Instrução Normativa Ibram nº 17, de 06 de janeiro de 2026

INSTRUÇÃO NORMATIVA IBRAM Nº 17, DE 06 DE JANEIRO DE 2026

Dispõe sobre normas e procedimentos para concessão, uso, gestão e revogação de acessos
aos sistemas estruturantes no âmbito do Instituto Brasileiro de Museus – Ibram.

O PRESIDENTE DO INSTITUTO BRASILEIRO DE MUSEUS - IBRAM SUBSTITUTO, no uso da atribuição que lhe confere o art. 19, II e IV, do Anexo I do Decreto nº 11.236, de 18 de outubro de 2022, e considerando as diretrizes de segurança da informação previstas na Lei nº 13.709, de 14 de agosto de 2018. (Lei Geral de Proteção de Dados), resolve:

Art. 1°  Ficam estabelecidas as diretrizes, competências e procedimentos relativos ao uso dos sistemas estruturantes e corporativos no âmbito do IBRAM, garantindo segurança, integridade e rastreabilidade.

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Art. 2°  Para fins desta Instrução Normativa, considera-se:

I – sistemas estruturantes: sistemas de informação que suportam processos administrativos essenciais, tais como SIAFI, Compras.Gov.br, Contratos.Gov, SEI, SCDP, SIADS, entre outros;

II – usuários internos: servidores efetivos, comissionados ou requisitados;

III – usuários externos vinculados: estagiários, terceirizados, consultores e prestadores de serviços autorizados;

IV – credencial de acesso: login e senha, certificado digital ou outro meio de autenticação individual;

V - autenticação: processo de segurança que consiste em verificar a identidade de um usuário, sistema ou dispositivo, confirmando que ele é quem afirma ser, por meio de credenciais ou mecanismos de validação;

VI - cadastrador: responsável pelo cadastramento, habilitação e desabilitação de usuários; e

VII - nível de acesso: amplitude das informações a que o usuário pode consultar e registrar, de acordo com suas atribuições funcionais.

Art. 3°  A organização de acesso aos sistemas estruturantes é orientada pelas seguintes diretrizes:

I - segurança: adoção de medidas para garantir a segurança, integridade e a confidencialidade dos dados registrados, por meio de mecanismos de controle de acesso e de proteção contra ameaças internas e externas;

II - confiabilidade: adoção de medidas para assegurar a confiabilidade e a fidedignidade dos dados registrados, por meio da implementação de processos de controle de qualidade e de auditoria;

III - segregação de funções: garantia da separação clara de responsabilidades entre usuários do sistema, de modo a separar papéis na execução de transações sensíveis, assegurar a integridade dos registros e reduzir os riscos de fraude e erros;

IV - responsabilidade individual: responsabilidade integral de cada usuário pelo uso de suas credenciais de acesso e pelas transações realizadas, devendo cumprir os requisitos de segurança estabelecidos pela LGPD e demais normas de proteção de dados, incluindo as diretrizes estabelecidas nas normas federais de segurança da informação;

V - identidade digital única e intransferível: representada pelo Cadastro de Pessoas Físicas - CPF do respectivo usuário, vedados o compartilhamento e a utilização da identidade digital de outro usuário em qualquer circunstância;

VI - gestão do ciclo de vida do acesso: gerenciamento do acesso, desde o cadastro inicial até a sua revogação, por meio de procedimentos formais de verificação da identidade do usuário;

VII - princípio do menor privilégio: acesso do usuário apenas às transações, aos dados e às funcionalidades estritamente necessárias para o desempenho de suas atribuições funcionais, de modo que a concessão de permissões excessivas não comprometa a segurança e a integridade do sistema; e

VIII - gestão de identidades: na gestão das identidades digitais dos usuários, em observância aos princípios da privacidade e da proteção de dados pessoais, deve-se garantir que:

a) o acesso às informações de identificação dos usuários seja restrito aos cadastradores e titulares das Unidades, conforme necessidade e previsão legal;

b) os dados pessoais dos usuários sejam tratados conforme a Lei nº 12.527, de 18 de novembro de 2011, e a Lei nº 13.709, de 14 de agosto de 2018, bem como normas complementares da Administração Pública federal sobre segurança da informação e privacidade;

c) o uso das informações de identificação dos usuários seja feito exclusivamente para os fins de gestão e controle de acesso, sendo vedada sua utilização para qualquer outra finalidade; e

d) os usuários sejam informados sobre o tratamento de seus dados pessoais, conforme a Lei nº 13.709, de 14 de agosto de 2018.

CAPÍTULO II

DAS REGRAS DE CONCESSÃO DE ACESSO

Art. 4° O acesso aos sistemas é condicionado ao prévio cadastramento e habilitação do usuário.

Art. 5° O cadastramento e a habilitação de usuários serão realizados por cadastrador designado por Autoridade Superior competente.

§ 1° Os cadastradores devem ser servidores em exercício, preferencialmente, nas unidades responsáveis pela contabilidade.

§ 2° O usuário cadastrado deve ser, preferencialmente, servidor público efetivo, comissionado ou requisitado.

§ 3° Usuários terceirizados ou estagiários, em caso de necessidade a ser avaliada pelo Titular da Unidade Gestora, poderão ser cadastrados.

§ 4° A solicitação de acesso deverá ser feita por meio de formulário elaborado, assinado digitalmente e encaminhado eletronicamente, via SEI, ou outro que vier a substituí-lo.

§ 5° O formulário de solicitação de acesso de que trata o § 4º deverá ser encaminhado ao titular da Unidade Gestora, que avaliará a adequação do acesso às necessidades do usuário, de modo a garantir que esteja de acordo com as suas atribuições funcionais.

Art. 6° A concessão de acesso dar-se-á exclusivamente para atividades institucionais.

Art. 7° Os perfis devem observar necessidade, princípio do menor privilégio e segregação de funções.

Art. 8° A solicitação deverá ser realizada pela chefia imediata, mediante:

I – preenchimento e assinatura de formulário, conforme Anexo I desta Instrução Normativa;

II – indicação das atividades e perfis necessários;

III – termo de Responsabilidade assinado pelo usuário, conforme Anexo II desta Instrução Normativa; e

IV – comprovação de capacitação, quando aplicável.

§ 1° No caso de estagiários e terceirizados serão ainda exigidos:

I – justificativa funcional;

II – perfis compatíveis com o contrato ou plano de atividades; e

III – supervisão formal da chefia imediata.

CAPÍTULO III

DAS LIMITAÇÕES

Art. 9° É vedado:

I – compartilhamento de credenciais de acesso;

II – logins genéricos;

III – delegação informal de tarefas que envolvam sistemas estruturantes; e

IV – uso para fins pessoais.

CAPÍTULO IV

DAS RESPONSABILIDADES

Art. 10 Responsabilidades de todos os usuários:

I – uso exclusivo para fins institucionais;

II – guarda das credenciais de acesso;

III – cumprimento das políticas de segurança do órgão;

IV – comunicação de incidentes; e

V – zelo pela integridade das informações.

Art. 11 Responsabilidades das chefias imediatas:

I – avaliar necessidade de acesso;

II – acompanhar o uso pelos usuários;

III – comunicar mudanças de função ou desligamentos; e

IV – responder por omissões no controle.

Art. 12 Os credenciadores deverão:

I – gerir acessos e perfis;

II – manter logins;

III – revisar acessos;

IV – bloquear acessos de risco; e

V – emitir parecer técnico, quando necessário.

CAPÍTULO V

MONITORAMENTO E AUDITORIA

Art. 13 A Auditoria Interna poderá solicitar informações sobre uso dos sistemas e auditá-los, quando necessário.

Art. 14 Constatado uso indevido, caberá:

I – bloqueio imediato de acesso;

II – responsabilização do usuário;

III - responsabilização da chefia imediata em caso de omissão; e

IV – comunicação aos órgãos de controle, conforme o caso.

CAPÍTULO VI

REVOGAÇÃO DE ACESSO

Art. 15 O acesso será imediatamente suspenso quando o usuário:

I - fizer uso indevido do sistema;

II - descumprir as normas de segurança estabelecidas;

III - realizar atividades identificadas como suspeitas;

IV - tiver suas atribuições funcionais alteradas e que não justifiquem manter seu acesso;

V - for desligado do órgão;

VI – por solicitação da chefia imediata;

VII – por determinação de Autoridade Superior; ou

VIII – por inatividade prolongada.

Parágrafo único. A suspensão de acesso de que trata o caput não afasta a possibilidade de apuração de responsabilidade administrativa, civil e penal do usuário e, em caso de omissão no controle, da chefia imediata.

Art. 16 A revogação será registrada e comunicada.

CAPÍTULO VII

DAS ATRIBUIÇÕES

Art. 17 Compete ao titular da Unidade Gestora:

I - autorizar o cadastramento, a habilitação e a revogação do acesso de usuários e cadastradores vinculados a sua Unidade Gestora;

II - conhecer os perfis e níveis de acesso dos sistemas para atribuí-los adequadamente aos usuários de acordo com as respectivas atribuições funcionais; e

III - solicitar a imediata suspensão de acesso dos usuários sob sua gestão quando verificadas as hipóteses do art. 15.

Art. 18 Compete ao Cadastrador:

I - criar, alterar e excluir o cadastro e a habilitação de usuários; e

II - gerenciar e manter os perfis de acesso para a utilização dos sistemas, de modo a garantir que estejam alinhados às diretrizes de segurança e às necessidades operacionais;

Art. 19 Compete aos usuários:

I - respeitar todas as diretrizes fixadas nesta Instrução Normativa e nas demais regras estabelecidas na legislação vigente;

II - não compartilhar suas credenciais de acesso e mantê-las em absoluto sigilo;

III - acessar os sistemas exclusivamente para cumprir suas atribuições funcionais;

IV - comunicar imediatamente ao seu respectivo cadastrador qualquer suspeita de comprometimento de sua credencial, para imediata suspensão de acesso;

V - não divulgar ou utilizar, fora do estrito âmbito profissional e para finalidades não autorizadas, qualquer fato ou informação de qualquer natureza de que tenha conhecimento por força de suas atribuições, especialmente dados pessoais, salvo em decorrência de decisão judicial ou legal, ou mediante autorização expressa da autoridade administrativa superior, sempre em conformidade com os princípios da Lei nº 13.709, de 14 de agosto de 2018, e das demais normas de proteção de dados pessoais;

VI - adotar todas as medidas de segurança para evitar exposição indevida de dados, especialmente dados pessoais, ao exibir informações em tela, ao realizar impressões ou armazená-las em meios eletrônicos, para garantir que somente pessoas autorizadas tenham acesso a tais dados;

VII - não se ausentar do equipamento sem encerrar a sessão de uso do sistema, para garantir a impossibilidade de uso indevido por pessoas não autorizadas; e

VIII - solicitar formalmente ao seu respectivo cadastrador alteração ou revogação de seu acesso sempre que ocorrer mudança em suas atribuições funcionais, garantindo que seu perfil de acesso esteja sempre adequado às suas responsabilidades atuais.

§ 1° A lista de deveres prevista neste artigo não é exaustiva, e o usuário deve observar também as orientações constantes da Lei nº 13.709, de 14 de agosto de 2018, e nas demais normas de proteção de dados.

§ 2° O usuário estará sujeito às sanções penais, civis e administrativas decorrentes do uso indevido de sistemas e do não atendimento do disposto nesta Instrução Normativa.

CAPÍTULO VIII

DISPOSIÇÕES FINAIS

Art. 20 Os casos omissos e excepcionais relativos a cadastramento e habilitação de usuários serão decididos pela Autoridade Superior do Órgão.

Art. 21 Esta Instrução Normativa entra em vigor na data de sua publicação.

MICHEL ROCHA CORREIA
Presidente Substituto
Instituto Brasileiro de Museus

Brasília, 7 de janeiro de 2026
Este texto não substitui o publicado no DOU em 08 de janeiro de 2026 (clique aqui)

ANEXO I

Formulário para Acesso de Usuário a Sistemas

IDENTIFICAÇÃO DO USUÁRIO

ATRIBUTOS PARA CADASTRO

AUTORIZAÇÃO PARA CADASTRO (Dirigente da Unidade ou Ordenador de Despesas)

ANEXO II

TERMO DE RESPONSABILIDADE PELO USO DE SISTEMAS

Eu, __________________________________________,
CPF nº _______________________,
Cargo/Função: ____________________________________,
Lotação: __________________________________________,

DECLARO, para os devidos fins, que:

1. Tenho conhecimento de que o acesso aos sistemas estruturantes do IBRAM é pessoal e intransferível, sendo vedado o compartilhamento de credenciais sob qualquer hipótese;
2. Comprometo-me a utilizar os sistemas exclusivamente para fins institucionais, observando as normas legais, regulamentares e a Instrução Normativa nº /2025 – IBRAM;
3. Comprometo-me a zelar pela confidencialidade, integridade e disponibilidade das informações acessadas;
4. Reconheço que a violação das normas pode acarretar responsabilização administrativa, civil e penal, bem como o bloqueio imediato do acesso;
5. Declaro estar ciente de que meus acessos são monitorados e auditáveis, podendo ser revogados a qualquer tempo.

Local e data: ________________________________________

Assinatura do usuário: ________________________________

Assinatura da chefia imediata: _________________________

ANEXO III

FLUXO DE SOLICITAÇÃO, ALTERAÇÃO E REVOGAÇÃO DE ACESSOS

1. Solicitação de acesso (novos usuários)

Etapa 1 – Chefia imediata

• Avaliação da necessidade funcional;

• Preenchimento e assinatura de formulário de solicitação de acesso (Anexo I);

• Anexação de Termo de Responsabilidade assinado pelo usuário (Via SEI ou Gov.br);

• Confirmação de dados, atividades e perfis necessários;

• Justificativa, no caso de terceirizados/estagiários;

Etapa 2 - Titular da Unidade Gestora

• Análise da pertinência da solicitação;
• Autorização do cadastramento;

Etapa 3 – Cadastrador

• Aprovação e configuração de perfis;

• Registro em despacho interno.

2. Alteração de acesso (mudança de função, ampliação ou redução de perfil)

Etapa 1 – Chefia Imediata

• Solicitação de alteração e justificativa para perfis adicionais;

• Informação sobre mudança de lotação ou função;

Etapa 2 - Titular da Unidade Gestora

• Análise da pertinência da solicitação;
• Autorização de alteração;

Etapa 3 – Cadastrador

• Avaliação de riscos;

• Ajuste de perfis;

• Atualização de logins.

3. Revogação de acesso (automática ou solicitada)

Revogação automática:

Desligamento;

Término de contrato/estágio;

Afastamentos superiores ao prazo definido;

Inatividade prolongada;

• Revogação solicitada:

• Chefia imediata efetua comunicação imediatamente ao Cadastrador;

• Cadastrador procede com o bloqueio;

• Registro e arquivamento do pedido.

ANEXO IV

MATRIZ DE PERFIS POR TIPO DE USUÁRIO