Guias e Modelos
Quais guias, modelos, ferramentas e melhores práticas podem ser usados para a privacidade e a segurança da informação?
Publicado em
16/06/2021 18h26
Atualizado em
19/09/2023 13h27
Guias e Modelos
A Diretoria de Privacidade e Segurança da Informação da Secretaria de Governo Digital incentiva a cultura de privacidade, segurança da informação e proteção de dados, bem como a evolução da maturidade necessária para que órgãos e entidades federais possam agir de modo proativo e preventivo em busca de mais resiliência institucional e conformidade legal. Nesse sentido, os diversos guias, modelos e ferramentas listados abaixo oferecem recursos técnicos para facilitar tais objetivos em cada órgão e entidade.
Lembramos que a Autoridade Nacional de Proteção de Dados (ANPD) possui outras publicações informativas, específicas sobre Lei Geral de Proteção de Dados Pessoais (LGPD) - LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Disponível em Publicações da ANPD. Assim como o Departamento de Segurança da Informação e Cibernética, do Gabinete de Segurança Institucional da Presidência da República possui normativos publicados para a efetiva Gestão da Segurança da Informação, disponíveis em Normativos GSI.
Para acessar outros eventos e conteúdos audiovisuais da Secretaria de Governo Digital, visite também o Canal da Diretoria de Privacidade e Segurança da Informação no YouTube.
Guias e Modelos do Programa de Privacidade e Segurança da Informação (PPSI)
![]() |
Cartilha do Programa de Privacidade e Segurança da Informação (PPSI): apresenta contextualização sobre os principais aspectos que envolvem o PPSI instituído no âmbito dos órgãos e entidades da administração pública federal que possuem unidades que compõem o SISP.
|
![]() |
Framework de Privacidade e Segurança da Informação: propõe às instituições públicas diretrizes para auxiliar a identificação, o acompanhamento e o preenchimento das lacunas de privacidade e segurança da informação existentes na organização. |
|
Modelo de Política de Backup: tem por enfoque prover diretrizes para política de backup e restauração de dados digitais.
|
|
Modelo de Política de Gestão de Ativos: tem por objetivo prover diretrizes para a gestão de ativos.
|
|
Modelo de Política de Controle de Acesso: tem por finalidade prover diretrizes para o controle de acesso.
|
![]() |
Modelo de Política de Gestão de Registros (Logs) de Auditoria: tem por objetivo prover diretrizes para a gestão de registros de auditoria.
|
|
Guia de Gerenciamento de Vulnerabilidades e Modelo de Política de Gerenciamento de Vulnerabilidades: abordam a construção de processos repetitivos de ciclos de gerenciamento das vulnerabilidades em proteção e segurança de dados da instituição. |
Demais guias operacionais da Diretoria de Privacidade e Segurança da Informação
|
Programa de Governança em Privacidade: apresenta os principais pontos da LGPD, fornecendo os subsídios para a criação de um programa institucional de gerenciamento de privacidade. |
![]() |
Inventário de Dados Pessoais: incentiva a adoção de inventários de todas as operações de tratamento de dados pessoais e suas respectivas avaliações, sob a ótica dos princípios da LGPD. |
![]() |
Termo de Uso e Política de Privacidade: orienta a elaboração de Termos de Uso e Políticas de Privacidade vinculados à utilização de serviços públicos prestados por meio de aplicações (sites, sistemas ou aplicativos para dispositivos móveis) e fornecidos por órgãos e entidades da administração pública. |
![]() |
Requisitos e Obrigações quanto a Privacidade e à Segurança da Informação: orienta a adequação do processo de contratação para contemplar os requisitos mais importantes de privacidade e segurança da informação, conforme a Instrução Normativa SGD nº 31, de 23 de março de 2021. |
![]() |
Relatório de Impacto à Proteção de Dados Pessoais (RIPD): orienta a elaboração de documento de comunicação e transparência que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos, bem como propõe medidas, salvaguardas e mecanismos de mitigação. |
![]() |
Guia de Requisitos Mínimos de Privacidade e Segurança da Informação para Aplicações Web: auxilia os profissionais de desenvolvimento e manutenção de sistemas a atenderem os requisitos de privacidade e segurança da informação, antes e durante o desenvolvimento da aplicação. |
![]() |
Guia de Resposta a Incidentes de Segurança: apresenta boas práticas para que as instituições e os profissionais de segurança da informação realizem o tratamento de incidentes cibernéticos, com enfoque em incidentes que envolvam dados pessoais. |
![]() |
Guia de Requisitos Mínimos de Privacidade e Segurança da Informação para APIs: apresenta, para as instituições e os profissionais de segurança da informação, as boas práticas a serem aplicadas para proteção dos dados pessoais quando do uso de Interface de Programação de Aplicações (Application Programming Interface - API). |
![]() |
Guia de Requisitos Mínimos de Privacidade e Segurança da Informação para Aplicativos Móveis: fornece orientações básicas e auxilia os profissionais de desenvolvimento e manutenção de sistemas a atenderem os requisitos de privacidade e segurança da informação, nas distintas etapas do desenvolvimento da aplicação. |
Guia de Boas Práticas - Lei Geral de Proteção de Dados Pessoais
|
Guia de Boas Práticas - LGPD: fruto de debates internos ao Ministério da Economia e de contribuições técnicas de órgãos e entidades externas, consolidados no âmbito do Comitê Central de Governança de Dados, foi aprovado e disponibilizado por intermédio da Resolução CCGD nº 4, de 14 de abril de 2020. |
Conformidade e Melhores Práticas
O gerenciamento de conformidade pode incluir políticas, procedimentos, documentação, auditoria interna, auditorias de terceiros, controles de segurança e aplicação de tecnologia. Entre as boas e melhores práticas de conformidade destacam-se, por exemplo, a proteção da privacidade, boa manutenção de registros e processos de segurança da informação. Agir de forma proativa e preventiva, antevendo problemas, evita transtornos, auditoria externa e multas.
Há um grande acervo de melhores práticas internacionais em matéria de privacidade, segurança da informação e proteção de dados. A Diretoria de Privacidade e Segurança da Informação da Secretaria de Governo Digital busca incorporá-las ao seu cotidiano e difundi-las em seus guias e modelos, pois tais medidas decorrem da experiência prática ao longo do tempo e estão frequentemente amparadas por um amplo debate entre organismos e fóruns internacionais, governos, entidades especializadas, empresas e profissionais técnicos da área de Tecnologia da Informação.
As listagens abaixo não têm a intenção de enumerar todas as práticas internacionais disponíveis, tampouco de recomendar organizações ou normas específicas em detrimento de outras. O objetivo das listagens é apenas auxiliar profissionais e demais interessados na busca por mais padrões e informações internacionais sobre segurança da informação, privacidade e proteção de dados.
Para informações sobre normas federais brasileiras vigentes, visite a página sobre legislação federal.
NACIONAIS
INTERNACIONAIS
- Organização Internacional de Normalização - ISO.org
- OECD/LEGAL/0449 - Recommendation of the Council on Artificial Intelligence
- OECD/LEGAL/0415 - Recommendation of the Council on Digital Security Risk Management for Economic and Social Prosperity
- OECD/LEGAL/0289 - Recommendation of the Council concerning Guidelines for Cryptography Policy
- OECD/LEGAL/0188 - Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data
- Center for Internet Security (CIS) - The 18 CIS Controls
- Open Web Application Security Project (OWASP) - OWASP Secure Coding Practices - Quick Reference Guide
- Open Web Application Security Project (OWASP) - OWASP Top Ten
- União Europeia - Regulamento Geral sobre a Proteção de Dados (GDPR)
- European Data Protection Board - Guidelines, Recommendations, Best Practices
- GDPR.EU - Cookies, the GDPR, and the ePrivacy Directive
- Red Iberoamericana de Protección de Datos
- Argentina - Dirección Nacional de Ciberseguridad
- Austrália - Australian Cyber Security Centre
- Canadá - Canadian Centre for Cyber Security
- Canadá - Information and Privacy Commissioner of Ontario - Privacy by Design - The 7 Foundational Principles
- Coreia - Korea Internet & Security Agency
- Estados Unidos da América - Cybersecurity & Infrastructure Security Agency
- Estados Unidos da América – NIST Cybersecurity Framework
- Estônia - Information System Authority
- França - Agence Nationale de la Sécurité des Systèmes d'Information
- Irlanda - National Cyber Security Centre
- Japão - National Center of Incident Readiness and Strategy for Cybersecurity
- Países Baixos - National Cyber Security Centre
- Reino Unido - National Cyber Security Centre
- Uruguai - Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento