PORTARIA SE/MTUR Nº 10, DE 24 DE NOVEMBRO DE 2025

Aprova a Política de Gestão de Controle de Acesso no âmbito do Ministério do Turismo

A SECRETÁRIA-EXECUTIVA, no uso das atribuições que lhe conferem o art. 6°, III, do Decreto n° 7.579, de 11 de outubro de 2011, e o art. 13, IV, ‘a”, do Anexo I, aprovado pelo Decreto nº 11.416, de 16 de fevereiro de 2023, combinado com o art. 8° da Portaria SGD/MGI n° 852, de 28 de março de 2023, e o que consta do Processo nº 72031.006111/2023-78,

RESOLVE:

Art. 1º Aprovar, na forma dos Anexos I e II desta portaria, a Política de Gestão de Controle de Acesso no âmbito do Ministério do Turismo.

Art. 2º Esta Portaria entra em vigor na data da sua publicação.

ANA CARLA MACHADO LOPES

Este conteúdo não substitui o publicado no Boletim de Serviços, de 25 de novembro de 2025.

ANEXO I

POLÍTICA DE GESTÃO DE CONTROLE DE ACESSO DO MINISTÉRIO DO TURISMO

CAPÍTULO I

DISPOSIÇÕES GERAIS

Seção I

Do propósito

Art. 1º A Política de Controle de Acesso objetiva estabelecer controles de identificação, autenticação e autorização para salvaguardar as informações do Ministério do Turismo, estejam elas em qualquer meio, seja digital ou físico, a fim de evitar a quebra da segurança da informação e quaisquer acessos não autorizados que implique em risco de destruição, alteração, perda, roubo ou divulgação indevida.

Art. 2º Os controles de autorização, identificação e autenticação visam mitigar o risco potencial de que os sistemas de informação possam ser acessados ilicitamente de modo a comprometer a segurança desses sistemas.

Parágrafo Único. Considera-se, para fins de medidas de controle, que as credenciais, como crachá de identificação funcional e logins de acesso dos sistemas de informações, são pessoais e intransferíveis e constituem métodos legítimos pelos quais o direito de acesso físico e/ou lógico pode ser exercido.

Art. 3º Apenas usuários autorizados devem ter acesso físico ou fazer uso dos sistemas de informação do Ministério do Turismo.

Seção II

Do escopo

Art. 4º A Política tratada por esta Portaria se aplica:

I - a todas as informações cujo Ministério do Turismo seja o agente de tratamento;

II - ao meio utilizado para este tratamento, seja digital ou físico;

III - às dependências físicas do órgão; e

IV - à qualquer pessoa que circule nas dependências ou que interaja exercendo controle administrativo, técnico ou operacional, mesmo que eventualmente, dos meios de tratamento.

Parágrafo Único. Esta Portaria também se aplica a:

I - todos os funcionários, sejam servidores efetivos, temporários ou estagiários, do Ministério do Turismo;

II - todos os terceirizados que prestem serviços no Ministério do Turismo; e

III - todos os funcionários de empresas que acessam as dependências físicas ou a rede e sistemas de informação do Ministério do Turismo.

CAPÍTULO II

CONCEITOS E DEFINIÇÕES

Art. 5º Os termos utilizados nesta Portaria estão definidos a seguir, conforme Glossário de Segurança da Informação da Presidência da República:

I – acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique;

II - conta de serviço: conta de acesso à rede corporativa de computadores, necessária a um procedimento automático (aplicação, script, entre outros) sem qualquer intervenção humana no seu uso;

III - controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso ao uso de recursos físicos ou computacionais. Via de regra, requer procedimentos de autenticação;

IV – MFA: sigla de autenticação de multifatores (multifactor authentication);

V - VPN: sigla de rede privada virtual (virtual private network);

VII - single sign-on (SSO): solução tecnológica que permite que diversos aplicativos com senhas de acesso diferentes possam ser acessados de forma transparente e segura pela utilização de uma única senha principal ou meio de identificação pessoal (como a biometria ou um personal identification number- PIN, por exemplo). Ou seja, com o SSO, o usuário digita apenas uma senha quando faz o primeiro acesso e depois vai abrindo os demais aplicativos sem necessidade de digitar a senha específica do aplicativo; e

VIII – biometria: verificação da identidade de um indivíduo por meio de uma característica física.

CAPÍTULO III

REFERÊNCIA LEGAL E DE BOAS PRÁTICAS

Art. 6º Além da necessidade de observância da legislação correlata, são referências legais e de boas práticas a serem observadas nesta Política as constantes no Anexo III desta Portaria.

CAPÍTULO IV

DECLARAÇÕES DA POLÍTICA

Seção I

Das premissas

Art. 7º A Política de Gestão de Controle de Acesso deve seguir as seguintes premissas:

I - estar alinhada com à Política de Segurança da Informação do Ministério do Turismo; e

II - estar alinhada a uma gestão de continuidade de negócios em nível organizacional.

Seção II

Do acesso lógico

Art. 8º O acesso lógico aos recursos da Rede Local deve ser realizado por meio de sistema de controle de acesso, o qual deve ser concedido e mantido pela Coordenação-Geral de Tecnologia da Informação - CGTI.

§ 1º Para fins de acesso de que trata o caput, devem ser observados os seguintes procedimentos:

I - o órgão deve implementar protocolos de comunicação e redes seguros;

II - terão direito a acesso lógico aos recursos da rede local os usuários de recursos de tecnologia da informação.

III - o acesso remoto deve ser realizado por meio de VPN – Rede Virtual Privada, após as devidas autorizações;

IV - deve ser utilizado o MFA para a autenticação de acesso remoto;

V - o acesso a todas as aplicações corporativas ou de terceiros que estejam hospedados em fornecedores deve utilizar MFA;

VI - o órgão deve centralizar a autenticação, autorização e auditoria (AAA) dos ativos de informação da sua infraestrutura de rede; e

VII -o órgão deve adotar técnicas de segmentação de rede visando limitar o acesso de forma eficiente e segura, assegurando que apenas colaboradores e dispositivos autorizados possam interagir com partes específicas da rede.

§ 2º Para fins desta Portaria, consideram-se usuários de recursos de tecnologia da informação servidores ocupantes de cargo efetivo ou em comissão, ocupantes de emprego público em exercício, assim como funcionários de empresas prestadoras de serviços, estagiários e demais usuários temporários em atividade no Ministério do Turismo;

Art. 9º A CGTI deve estabelecer e manter um inventário de todas as contas gerenciadas, devendo incluir contas de usuário, administrativas, de testes e de serviço.

§ 1º Em caso de contas de serviço, o inventário deve conter no mínimo as informações:

I - de departamento proprietário; e

II - da data de criação/última autorização de renovação de acesso.

§2º A CGTI é responsável por validar todas as contas ativas do órgão a cada noventa dias.

Art. 10. A CGTI deve implementar a centralização da gestão de contas por meio de serviço de diretório e/ou identidade.

Art. 11. A CGTI deve estabelecer e manter um inventário dos sistemas de autenticação e autorização da organização, que deve ser revisado periodicamente.

Art. 12. A CGTI deve centralizar o controle de acesso para todos os ativos de informação da organização por meio de um serviço de diretório ou provedor de SSO.

Art. 13. A CGTI deve definir e manter o controle de acesso dos usuários baseado em funções, observando o seguinte:

I - deverá ser elaborada a documentação dos direitos dos acessos para cada função dentro da organização;

II- deverão ser realizadas análises de controle de acesso aos ativos institucionais para validar se todos os privilégios estão autorizados para a execução de atividades de cada função, este processo deve ser repetido de forma periódica ou quando novas funções e ativos de informação forem inseridos na organização;

III - ao conceder acesso a usuários que lidam com dados pessoais, deve-se limitar, estritamente, o acesso aos sistemas que processam tais dados ao mínimo necessário para cumprir os objetivos essenciais do processamento, em conformidade com o princípio da minimização de dados;

IV - ao atribuir ou revogar os direitos de acesso concedidos, deve-se incluir:

a) verificação de que o nível de acesso concedido é apropriado às políticas de acesso, além de ser consistente com outros requisitos, tais como, segregação de funções;

b) garantia de que os direitos de acesso não estão ativados antes que o procedimento de autorização esteja completo;

c) manutenção de um registro preciso e atualizado dos perfis dos usuários criados para os que tenham sido autorizados a acessar o sistema de informação e os dados pessoais neles contidos;

d) mudança dos direitos de acesso dos usuários que tenham mudado de função ou de atividades, e imediata remoção ou bloqueio dos direitos de acesso dos usuários que deixaram o órgão; e

e) análise critica dos direitos de acesso em intervalos regulares.

Art. 14. A CGTI deve implementar processo formal de registro de usuários que trate de dados pessoais para permitir atribuição de direitos de acesso e fornecer medidas para lidar com o comprometimento do controle de acesso do usuário, como corrupção ou comprometimento de senhas ou outros dados de registro do usuário.

Parágrafo único. A implementação de que trata o caput observar as seguintes a recomendações:

I - uso de um identificador de usuário único para permitir relacionar os usuários com suas responsabilidades e ações;

II- o uso compartilhado de identificador de usuário somente deve ser permitido onde necessário, por razões operacionais ou de negócios, e deverá ser aprovado e documentado; e

III - que um mesmo identificador de usuário não seja emitido para outros.

Seção III

Da conta de acesso lógico e senha

Art. 15. Para utilização das estações de trabalho do Ministério do Turismo, será obrigatório o uso de uma única identificação (login) e de senha de acesso, fornecidos pela CGTI, mediante solicitação formal pelo titular da unidade do requisitante.

§ 1º Os privilégios de acesso dos usuários à rede local devem ser definidos pela unidade requisitante ao qual o usuário esteja vinculado, limitando-se a atividades estritamente necessárias à realização de suas tarefas.

§ 2º Na necessidade de utilização de perfil diferente do disponibilizado, o titular da unidade do usuário deverá encaminhar solicitação à CGTI que a examinará, podendo negá-la nos casos em que a entender desnecessária.

Art. 16. O login e senha são de uso pessoal e intransferível, sendo proibida a sua divulgação.

§ 1º Quando constatada qualquer irregularidade no uso do login, pode ocorrer o bloqueio deste.

§ 2º Para retomar o acesso à rede, deverá ser formalizada nova requisição pelo titular da unidade do requisitante.

Art. 17. O padrão adotado para o formato da conta de acesso do usuário é a sequência primeiro nome, ponto e último sobrenome do usuário.

Parágrafo único. Nos casos de já existir conta de acesso para outro usuário, a CGTI realizará outra combinação.

Art. 18. O padrão adotado para o formato da senha é o definido pela CGTI, que considera o tamanho mínimo de caracteres, a tipologia (letras, número e símbolos) e a proibição de repetição de senhas anteriores.

§ 1º A formação da senha de identificação (login) de acesso à rede local deve seguir as seguintes regras:

I - possuir tamanho mínimo de oito caracteres, sendo obrigatório o uso de letras e números, para contas que utilizam MFA e 14 caracteres para contas que não utilizam MFA;

II - deve ser utilizadas letras maiúsculas, minúsculas e caracteres especiais ($, %, &,...);

III - não ser formada por sequência numérica, alfabética, nomes próprios, palavras de fácil dedução, datas, placa de carro, número de telefone, a própria conta de acesso, apelidos ou abreviações;

IV - não utilizar termos óbvios; e

V - não deve ser reutilizadas as últimas cinco senhas;.

§ 2º A CGTI deve fornecer uma senha temporária para cada conta de acesso criada no momento da liberação, devendo ser alterada pelo usuário quando do primeiro acesso à rede local.

Art. 19. As senhas de acesso serão renovadas, pelo próprio usuário, a cada noventa dias, devendo este ser informado antecipadamente.

Parágrafo único. Caso o usuário não efetue a troca no prazo estabelecido, será bloqueado seu acesso à rede local até que a nova senha seja configurada.

Seção IV

Do bloqueio, desbloqueio e desativação da conta de acesso

Art. 20. A conta de acesso será bloqueada nos seguintes casos:

I - três tentativas consecutivas de acesso;

II - solicitação do superior imediato do usuário com a devida justificativa;

III - quando da suspeita de mau uso dos serviços disponibilizados pelo órgão ou descumprimento da Política de Segurança da Informação – POSIN e normas correlatas em vigência; e

IV - após quarenta e cinco dias consecutivos sem movimentação pelo usuário.

Art. 21. O desbloqueio da conta de acesso à rede local será realizado apenas após solicitação formal do superior imediato do usuário.

Art. 22. Quando do afastamento temporário do usuário, a conta de acesso deve ser bloqueada a pedido do superior imediato ou do setor responsável pela Gestão de Pessoas.

Art. 23. A conta de acesso não utilizada há mais de cento e oitenta dias poderá ser desativada.

Art. 24. A CGTI deve garantir a implementação de processo formal de desativação de usuários que administrem ou operem sistemas e serviços que tratem de dados pessoais.

Parágrafo Único. O processo de que trata o caput deverá incluir:

I - a imediata remoção ou desabilitação de usuário que tenha deixado o órgão; e

II - a remoção e identificação, de forma periódica, ou a desabilitação de usuários com os mesmos identificadores.

Art. 25. A CGTI deve configurar o bloqueio automático de sessão nos ativos após um período de inatividade preestabelecido, podendo tal prazo ser específico para cada tipo de ativo.

Art. 26. A CGTI deve, sempre que possível, priorizar a revogação/desativação de contas com o objetivo de manter dados e logs para possíveis auditorias.

Seção V

Do acesso físico

Art. 27. O órgão deve definir perímetros de segurança para proteger ambientes e ativos contra acesso físico não autorizado, danos e interferências de acordo com as diretrizes a seguir:

I - deve ser definida a localização e resistência de acordo com os requisitos de segurança da informação relacionados aos ativos que se encontre dentro dos perímetros;

II - deve-se proteger os ambientes seguros contra acessos não autorizados por meio de mecanismos de controle de acesso, como fechaduras tradicionais ou digitais, que possibilitem autenticação por biometria, senhas, PINS ou cartões de acesso, e ainda:

a) o órgão deve executar testes nos mecanismos de controle de acesso em períodos pré-definidos para assegurar a funcionalidade total do equipamento; e

b) os mecanismos de controle de acesso devem ser monitorados pelo setor responsável por monitoração.

III - deve ser estabelecido uma área de recepção ou outros meios de controle de acesso físico a ambientes que não for conveniente a implementação de mecanismos de controle de acesso.

Art. 28. O acesso físico a ambientes seguros ou ativos de tratamento e armazenamento de dados do Ministério do Turismo é destinado apenas ao pessoal autorizado.

Art. 29. O órgão deve manter um processo de gestão de acessos para fornecimento, revisão periódica, atualização e revogação das autorizações.

Art. 30. O órgão deve implementar e manter seguro logs ou registro físico de todos os acessos aos ativos de informação.

Art. 31. O acesso a ambientes seguros ou ativos de tratamento e armazenamento de dados por fornecedores ou prestadores de serviços será concedido somente quando necessário para fins específicos e autorizados.

§ 1º O acesso de que trata o caput se dará mediante autorização concedida pelo setor responsável pela gestão de acesso ou responsável pelo ativo e será supervisionado e monitorado.

Art. 32. Os ativos de armazenamento e tratamento de dados que se encontrem fora do órgão devem ser protegidos contra perda, roubos, danos e acesso físico não autorizados e, ainda, atender as seguintes recomendações:

I - não se deve deixar o ativo sem vigilância em locais públicos e inseguros;

II - deve-se proteger o ativo contra riscos associados à visualização de informações por outra pessoa; e

III - deve-se implementar as funcionalidades de rastreamento e limpeza remota.

Art. 33. O Ministério do Turismo deve estabelecer política ou normativo equivalente sobre a gestão de mídias de armazenamento, de acordo com as seguintes diretrizes:

I – exigência de autorização para a saída de mídias de armazenamento do órgão;

II – armazenamento de mídias em local seguro de acordo com a classificação de suas informações;

III - criptografia das mídias de acordo com a classificação de suas informações; e

IV – manutenção de cópias de segurança de mídias de acordo com a classificação de suas informações.

Art. 34. O Ministério do Turismo poderá elaborar política ou normativo equivalente que defina condições e restrições para acesso e utilização de dispositivos de propriedade do órgão em trabalho remoto, levando em consideração as seguintes diretrizes:

I - segurança física do local de trabalho remoto; e

II - regras e orientações quanto ao acesso de familiares e visitantes ao dispositivo.

Seção VI

Da movimentação interna

Art. 35. Quando houver mudança do usuário para outro setor ou o usuário ocupar nova função, os direitos de acesso à rede local devem ser revogados.

§ 1º O novo superior imediato ou o setor responsável pela gestão de pessoas deve realizar a solicitação de novos acessos de acordo com novo setor/função do usuário.

§ 2º Os direitos de acesso antigos devem ser imediatamente revogados conforme solicitação do antigo superior imediato ou do setor responsável pela gestão de pessoas.

Seção VII

Da conta de acesso biométrico

Art. 36. A conta de acesso biométrico, quando implementada, deve ser vinculada a uma conta de acesso lógico e ambas devem ser utilizadas para se obter um acesso, a fim de atender os conceitos da autenticação de multifatores.

Parágrafo único. O órgão deverá tratar seus respectivos dados biométricos como dados sigilosos, preferencialmente, utilizando-se de criptografia, na forma da legislação vigente.

Seção VIII

Dos administradores

Art. 37. A utilização de identificação (login) com acesso no perfil de administrador é permitida somente para usuários cadastrados para execução de tarefas específicas na administração de ativos de informação, observando o seguinte:

I - somente os técnicos da CGTI, devidamente identificados e habilitados, terão senha com privilégio de administrador nos equipamentos locais e na rede;

II - na necessidade de utilização de login com privilégio de administrador do equipamento local, o usuário deverá encaminhar solicitação à CGTI, que poderá negar os casos em que entender desnecessária a utilização;

III - se concedida a permissão ao usuário como administrador local na estação de trabalho, este será responsável por manter a integridade da máquina, não podendo instalar, desinstalar ou remover qualquer programa sem autorização formal da CGTI;

IV - caso constatada a irregularidade, o usuário perderá o acesso como administrador, não mais podendo requerer outra permissão, salvo necessidade do serviço devidamente justificado e autorizado pela chefia imediata;

V - a identificação (login) com privilégio de administrador nos equipamentos locais será fornecida em caráter provisório, podendo ser renovada por solicitação formal do titular da unidade requisitante;

VI - salvo para atividades específicas da área responsável pela gestão da tecnologia da informação do órgão, não será concedida, para um mesmo usuário, identificação (login) com privilégio de administrador para mais de uma estação de trabalho, ou para acesso a equipamentos servidores e a dispositivos de rede;

VII - excepcionalmente, poderão ser concedidas identificações (login) de acesso à rede de comunicação de dados a visitante em caráter temporário após apreciação da CGTI;

VIII - a CGTI deve implementar o MFA para todas as contas de administrador;

IX - a CGTI deve restringir os privilégios de administrador a contas de administrador dedicados nos ativos de informação, para que o usuário com privilégio de administrador não consiga realizar atividades gerais de computação, como navegação na Internet, e-mail e uso do pacote de produtividade, sendo que tais atividades deverão ser realizadas preferencialmente a partir da conta primária não privilegiada do usuário; e

X - ao tratar dados pessoais, o órgão deve observar o princípio do privilégio mínimo como regra, para garantir que o usuário receba apenas os direitos mínimos necessários para executar suas atividades, podendo ser realizadas as seguintes ações:

a) remoção de direitos de administrador nos dispositivos finais;

b) remoção de todos os direitos de acesso "root" e "admin" aos servidores, além da utilização de tecnologias que permitam a elevação granular de privilégios conforme a necessidade e, ao mesmo tempo, forneçam recursos claros de auditoria e monitoramento;

c) eliminação de privilégios permanentes sempre que possível;

d) limitação de associação de uma conta privilegiada ao menor número possível de pessoas; e

e) minimização do número de direitos para cada conta privilegiada.

Seção IX

Das responsabilidades

Art. 38. É de responsabilidade do superior imediato do usuário comunicar formalmente ao setor responsável pela gestão de pessoas, caso não se trate de servidor, e à CGTI, o desligamento ou saída do usuário do órgão para que as permissões de acesso à rede local sejam canceladas.

Art. 39. Caberá ao setor responsável pela gestão de pessoas do Ministério do Turismo a comunicação imediata à CGTI sobre desligamentos, licenças ou afastamentos de servidores e estagiários, para que seja efetuado o bloqueio momentâneo ou a revogação definitiva da permissão de acesso aos recursos.

Art. 40. É responsabilidade do setor responsável pela gestão de mão-de-obra terceirizada do Ministério do Turismo a comunicação imediata à CGTI sobre desligamentos ou licença de funcionários de empresas prestadoras de serviços, para que seja efetuado o bloqueio momentâneo ou revogação definitiva da permissão de acesso aos recursos.

Parágrafo Único. Os serviços serão filtrados por programas de antivírus, anti-phishing e anti-spam e, caso violem alguma regra de configuração, serão bloqueados ou excluídos automaticamente.

Art. 41. É de responsabilidade da CGTI o monitoramento da utilização de serviços de rede e de acesso à Internet, podendo ainda exercer fiscalização nos casos de apuração de uso indevido desses recursos, bem como bloquear, temporariamente, sem aviso prévio, a estação de trabalho que esteja realizando atividade que coloque em risco a segurança da rede, até que seja verificada a situação e descartada qualquer hipótese de dano à infraestrutura tecnológica do órgão.

Art. 42. O usuário é responsável por todos os acessos realizados através de sua conta de acesso e por possíveis danos causados à rede local e a recursos de tecnologia custodiados ou de propriedade do Ministério do Turismo, e ainda:

I - o usuário é responsável pela integridade e utilização de sua estação de trabalho, devendo, no caso de sua ausência temporária do local onde se encontra o equipamento, bloqueá-lo ou desconectar-se da estação, para coibir acessos indevidos;

II - a utilização simultânea da conta de acesso à rede local em mais de uma estação de trabalho ou notebook deve ser evitada, sendo responsabilidade do usuário titular da conta de acesso os riscos que a utilização paralela implica; e

III - o usuário não poderá, em hipótese alguma, transferir ou compartilhar com outrem sua conta de acesso e respectiva senha à rede local.

Art. 43. O usuário deve informar à CGTI qualquer situação da qual tenha conhecimento que configure violação de sigilo ou que possa colocar em risco a segurança inclusive de terceiros.

Art. 44. É dever do usuário zelar pelo uso dos sistemas informatizados, tomando as medidas necessárias para restringir ou eliminar riscos para a instituição, tais como:

I - não permitir a interferência externa caracterizada como invasão, monitoramento ou utilização de sistemas por terceiros, e outras formas;

II - evitar sobrecarga de redes, de dispositivos de armazenamento de dados ou de outros aparelhos eletrônicos, para não gerar indisponibilidade de informações internas e externas;

III - interromper a conexão aos sistemas e adotar medidas que bloqueiem o acesso de terceiros, sempre que completarem suas atividades ou quando se ausentarem do local de trabalho por qualquer motivo;

IV - não se conectar a sistemas e não buscar acesso a informações para as quais não lhe tenham sido dadas senhas e/ou autorização de acesso;

V - não divulgar a terceiros ou a outros usuários dispositivos ou programas de segurança existentes em seus equipamentos ou sistemas, de modo que tal divulgação possa causar dano ao órgão, aos seus servidores ou a terceiros;

VI - utilizar corretamente os equipamentos de informática e conservá-los conforme os cuidados e medidas preventivas estabelecidos;

VII - não divulgar suas senhas e nem permitir que terceiros tomem conhecimento delas, reconhecendo-as como pessoais e intransferíveis; e

VIII - assinar o Termo de Responsabilidade, conforme Anexo II desta Resolução, quanto à utilização da respectiva conta de acesso.

Seção X

Das disposições gerais

Art. 45. Os incidentes que afetem a segurança das informações, assim como o descumprimento da Política de Segurança da Informação e normas de segurança, devem ser obrigatoriamente comunicados pelos usuários à CGTI.

Art. 46. Quando houver suspeita de quebra da segurança da informação que exponha ao risco os serviços ou recursos de tecnologia, a CGTI fará investigação, podendo interromper temporariamente o serviço afetado, sem prévia autorização.

§ 1º Nos casos em que o autor da quebra de segurança for um usuário, a CGTI comunicará os resultados ao superior imediato para ciência e eventuais providências, se for a caso.

§ 2º Ações que violem a POSIN ou que quebrem os controles de segurança da informação serão passíveis de sansões civis, penais e administrativas, conforme a legislação correlata.

§ 3º Os casos omissos serão resolvidos pelo Comitê de Governança Digital e Segurança da Informação ou autoridade competente, conforme o caso.

CAPÍTULO V

DISPOSIÇÕES FINAIS

Art. 47. A implementação das diretrizes e normas de que trata esta Portaria, conforme suas peculiaridades e complexidades, ocorrerá de forma gradual, de acordo com as possibilidades técnica, operacional, administrativa e, se for o caso, financeira do órgão.

ANEXO II

ANEXO III