Legislação

- Competem ao Gabinete de Segurança Institucional os seguintes temas relacionados à segurança da informação:

I - coordenar as atividades de segurança da informação e das comunicações, inclusive quanto à formulação de políticas públicas;

II - elaborar diretrizes, estratégias, planos, normativos, requisitos metodológicos e recomendações;

III - promover programas destinados à formação e à qualificação de recursos humanos;

IV - coordenar e realizar ações destinadas à promoção da cultura de segurança da informação;

V - acompanhar a evolução tecnológica e as melhores práticas, em âmbito nacional e internacional; e

VI - estimular a cooperação internacional, em coordenação com o Ministério das Relações Exteriores.

- Compete ao Sistema de Controle Interno do Poder Executivo Federal auditar a execução das ações da Política Nacional de Segurança da Informação de responsabilidade dos órgãos e das entidades da administração pública federal.

- Compete aos órgãos e às entidades da administração pública federal, em seu âmbito de atuação:

I - implementar a Política Nacional de Segurança da Informação;

II - instituir comitê interno de segurança da informação ou estrutura equivalente;

III - designar o gestor de segurança da informação;

IV - elaborar, publicar, implementar e revisar regularmente suas políticas de segurança da informação e suas normas internas de segurança da informação, observados os normativos sobre segurança da informação editados pelo Gabinete de Segurança Institucional;

V - estimular ações de conscientização e de capacitação de pessoas que atuem nos órgãos e nas entidades da administração pública federal em temas relacionados à segurança da informação;

VI - realizar a avaliação de conformidade com as normas relativas à segurança da informação;

VII - aplicar as ações corretivas e administrativas cabíveis nos casos de violação de sua política de segurança da informação, nos termos do disposto neste Decreto e na legislação;

VIII - coordenar as atividades desenvolvidas pelo gestor de segurança da informação, pelo encarregado pelo tratamento de dados pessoais, pelo gestor de segurança e credenciamento e pelo titular da unidade de tecnologia da informação;

IX - assegurar a transmissão do conhecimento e das responsabilidades por ocasião da substituição do gestor de segurança da informação; e

X - planejar e destinar recursos orçamentários para ações de segurança da informação.

Parágrafo único - Ao órgão de que trata o inciso II do caput compete propor a elaboração e as revisões da política de segurança da informação e das normas internas de segurança da informação do seu órgão ou da sua entidade.