PORTARIA SE/MTUR Nº 12, DE 24 DE NOVEMBRO DE 2025

Aprova a Política de Gestão de Ativos no âmbito do Ministério do Turismo.

A SECRETÁRIA-EXECUTIVA, no uso das atribuições que lhe conferem o art. 6°, III, do Decreto n° 7.579, de 11 de outubro de 2011, e o art. 13, IV, ‘a”, do Anexo I, aprovado pelo Decreto nº 11.416, de 16 de fevereiro de 2023, combinado com o art. 8° da Portaria SGD/MGI n° 852, de 28 de março de 2023, e o que consta do Processo nº 72031.006111/2023-78,

RESOLVE:

Art. 1º Aprovar, na forma do Anexo desta portaria, a Política de Gestão de Ativos no âmbito do Ministério do Turismo.

Art. 2º Esta Portaria entra em vigor na data de sua publicação.

ANA CARLA MACHADO LOPES

Este conteúdo não substitui o publicado no Boletim de Serviços, de 25 de novembro de 2025.

ANEXO

POLÍTICA DE GESTÃO DE ATIVOS DO MINISTÉRIO DO TURISMO

CAPÍTULO I

DISPOSIÇÕES GERAIS

Seção I

Do propósito

Art. 1º A Política de Gestão de Ativos do Ministério do Turismo objetiva garantir que os ativos de informação sejam identificados adequadamente e que os controles de proteção recomendados para estes ativos de informação estejam em vigor.

Parágrafo Único. Para atingir o objetivo mencionado no caput, a Política de Gestão de Ativos mapeará e monitorará os ativos tecnológicos de modo a garantir maior controle da organização, auxiliar na aplicação de atualizações, na implementação de controles de segurança e gestão de risco, bem como auxiliar na recuperação de incidentes.

Seção II

Do escopo

Art. 2º Esta política se aplica a todos os ativos de informação do Ministério do Turismo, incluindo ativos fora do órgão como os armazenados em um serviço de nuvem.

Parágrafo Único. Ativos de informação incluem, entre outros:

I - documentos;

II - base de dados;

III - contratos;

IV - documentação de sistemas;

V - procedimentos;

VI manuais;

VII - logs de sistemas;

VIII - planos;

IX - guias;

X - programas de computador;

XI- servidores;

XII - computadores;

XIII - e-mail;

XIV - arquivos pessoais e compartilhados;

XV - bancos de dados;

XVI - conteúdo da web de responsabilidade do Ministério do Turismo;

XVII - Ativos físicos;

XVIII - Dispositivos móveis;

XIX - Hardwares;

XX - Mídias removíveis;

XXI - Níveis de permissões;

XXII - Serviços; e

XXIII - Softwares.

Art. 3º A classificação dos ativos de informação e o escopo desta política serão revisados anualmente ou sempre que necessário.

CAPÍTULO II

CONCEITOS E DEFINIÇÕES

Art. 4º Os termos utilizados nesta Portaria estão definidos a seguir, conforme Glossário de Segurança da Informação da Presidência da República:

I - agente responsável pelo mapeamento dos ativos de informação - servidor público, militar de carreira ou empregado público, ocupantes de cargo efetivo em órgão ou entidade da administração pública federal, direta e indireta, incumbido de gerenciar o processo de mapeamento de ativos de informação;

II - ativos de informação - meios de armazenamento, transmissão e processamento da informação, equipamentos necessários a isso, sistemas utilizados para tal, locais onde se encontram esses meios, recursos humanos que a eles têm acesso e conhecimento ou dado que tem valor para um indivíduo ou organização;

III - computação em nuvem - modelo de fornecimento e entrega de tecnologia de informação que permite acesso conveniente e sob demanda a um conjunto de recursos computacionais configuráveis, sendo que tais recursos podem ser provisionados e liberados com mínimo gerenciamento ou interação com o provedor do serviço de nuvem (PSN);

IV - criptografia - arte de proteção da informação, por meio de sua transformação em um texto cifrado (criptografado), com o uso de uma chave de cifragem e de procedimentos computacionais previamente estabelecidos, a fim de que somente o(s) possuidor(es) da chave de decifragem possa(m) reverter o texto criptografado de volta ao original (texto pleno). A chave de decifragem pode ser igual (criptografia simétrica) ou diferente (criptografia assimétrica) da chave de cifragem;

V - documento - unidade de registro de informações, qualquer que seja o suporte ou o formato;

VI - e-mail - sigla de correio eletrônico (electronic mail);

VII - gestão de continuidade de negócios em segurança da informação - processo que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem. Esse processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputação, a marca da organização e suas atividades de valor agregado;

VIII - gestão de mudanças nos aspectos relativos à segurança da informação - processo estruturado que visa aumentar a probabilidade de sucesso em mudanças, com mínimos impactos, e assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informação;

IX - gestão de riscos em segurança da informação - processo de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, que contempla as atividades de identificação, avaliação e gerenciamento de potenciais eventos que possam afetar a organização, destinado a fornecer segurança razoável quanto à realização de seus objetivos;

X - incidente - interrupção não planejada ou redução da qualidade de um serviço, ou seja, ocorrência, ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação;

XI - informação - dados, processados ou não, que podem ser utilizados para produção e para transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;

XII - internet - rede global, composta pela interligação de inúmeras redes. Conecta mais de 500 milhões de usuários, provendo comunicação e informações das mais variadas áreas de conhecimento;

XIII - log (registro de auditoria) - registro de eventos relevantes em um dispositivo ou sistema computacional;

XIV - níveis de acesso - especificam quanto de cada recurso ou sistema o usuário pode utilizar;

XV - perfil de acesso - conjunto de atributos de cada usuário, definidos previamente como necessários para credencial de acesso;

XVI - política de segurança da informação - documento aprovado pela autoridade responsável pelo órgão ou entidade da administração pública federal, direta e indireta, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação. Este termo substituiu o termo Política de Segurança da Informação e Comunicação; e

XVII - termo de responsabilidade - termo assinado pelo usuário, concordando em contribuir com a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações a que tiver acesso, bem como assumir responsabilidades decorrentes de tal acesso.

CAPÍTULO III

REFERÊNCIA LEGAL E DE BOAS PRÁTICAS

Art. 5º Além da necessidade de observância da legislação correlata, são referências legais e de boas práticas a serem observadas pela Política de Gestão de Ativos as constantes na tabela do Anexo II desta Portaria.

CAPÍTULO IV

DECLARAÇÕES DA POLÍTICA

Art. 6º A Política de Gestão de Ativos deve seguir as seguintes diretrizes:

I - deve estar alinhada com à Política de Segurança da Informação (POSIN) do Ministério do Turismo (MTur);

II - deve estar alinhada com uma gestão de continuidade de negócios em nível organizacional;

III - o processo de mapeamento de ativos de informação deve estruturar e manter um registro de ativos de informação, destinados a subsidiar os processos de gestão de risco, de gestão de continuidade e de gestão de mudanças nos aspectos relativos à segurança da informação;

IV - as rotinas de inventário e mapeamento de ativos de informação devem ser orientadas para a identificação dos ativos de informação da organização, a fim de manter o escopo da organização mapeado e documentado;

V - o processo de mapeamento de ativos de informação deve considerar, preliminarmente, os objetivos estratégicos da organização, seus processos internos, os requisitos legais e sua estrutura organizacional;

VI - o registro de ativos de informação resultante do processo de mapeamento de ativos de informação deverá conter:

a) os responsáveis (proprietários e custodiantes) de cada ativo de informação;

b) as informações básicas sobre os requisitos de segurança da informação de cada ativo de informação;

c) os contêineres de cada ativo de informação; e

d) as interfaces de cada ativo de informação e as interdependências entre eles.

VII - Informações ou ativos de informação de instalações de processamento de informações devem ser inventariados e documentados e esse registro deve ser mantido atualizado;

VIII - a categorização do inventário deve ser aprovada pelas partes apropriadas ou autoridade de autorização;

IX - a organização empregará o uso de mecanismos automatizados para identificar sistemas autorizados e não autorizados, incluindo hardware ou software;

X - a organização deve assegurar que os ativos de informação inventariados possuam contrato de suporte em vigor;

XI - a organização empregará o uso de ferramentas de descoberta ativa e/ou passiva para identificar dispositivos conectados à rede da instituição e automaticamente atualizar o inventário de ativos;

XII - a organização utilizará ferramentas de inventário de software, quando possível, em toda a organização para automatizar a descoberta e documentação do software instalado;

XIII - a organização assegurará que exista um processo semanal para lidar com ativos não autorizados;

XIV - a organização utilizará controles técnicos em todos os ativos para garantir que apenas software autorizado seja executado, sendo estes reavaliados semestralmente ou com mais frequência;

XV - a organização utilizará controles técnicos para garantir que apenas bibliotecas e scripts autorizados, e assinados digitalmente tenham permissão para serem executados;

XVI - a organização utilizará ferramenta de gerenciamento de endereços IP - ex.: Dynamic Host Configuration Protocol (DHCP) - para atualizar o inventário de ativos da instituição; e

XVII - o inventário também deverá incluir atualizações ou remoções dos softwares, bem como dos sistemas de informação.

XVIII - as atualizações e novas versões de softwares devem ser avaliadas e aprovadas antes da instalação;

XIX cada ativo de informação (por exemplo, desktops, laptops, servidores, tablets), quando aplicável, deve ter uma etiqueta afixada ao dispositivo com esse identificador;

XX - deve ser registrado o identificador de ativos da informação juntamente com outras informações relevantes no inventário de TI, incluindo:

a) identificador de ativos;

b) data da compra;

c) preço de compra;

d) descrição do item;

e) fabricante;

f) número do modelo;

g) número de série;

h) nome do proprietário do ativo corporativo (por exemplo, administrador, usuário), função ou unidade de negócios, quando aplicável;

i) localização física do ativo, quando aplicável;

j) endereço físico (controle de acesso à mídia - MAC);

k) endereço de Protocolo de Internet (IP);

l) data de validade da garantia/vida útil; e

m) qualquer informação de licenciamento relevante.

XXI - no caso de softwares instalados na organização, devem ser registradas no inventário informações como:

a) título do software;

b) desenvolvedor ou editor de software;

c) data de aquisição;

d) data de instalação;

e) duração do uso;

f) finalidade comercial;

g) lojas de aplicativos;

h) versões;

i) mecanismo de implantação;

j) data de fim do suporte, se conhecida;

k) qualquer informação de licenciamento relevante; e

l) data de descomissionamento.

XXI - indivíduos que requeiram acesso aos sistemas de informação devem seguir o procedimento adequado para recebê-lo;

XXII - a mídia contendo informações confidenciais e internas do Ministério do Turismo devem ser protegidas contra acesso não autorizado, uso indevido, corrupção durante o transporte e, preferencialmente, com o uso de criptografia.

Seção II

Do agente responsável pela gestão de ativos

Art. 7º Cada ativo de informação deverá ter um agente responsável, o qual realizará a classificação do ativo de informação.

Parágrafo único. O ativo de informação deverá ser registrado em uma base de dados gerenciada de forma centralizada.

Art. 8º São responsabilidades do agente responsável pela gestão de ativos:

I - identificar potenciais ameaças aos ativos de informação;

II - identificar vulnerabilidades dos ativos de informação;

III - consolidar informações resultantes da análise do nível de segurança da informação de cada ativo de informação ou de grupos de ativos de informação em um relatório; e

IV - avaliar os riscos dos ativos de informação ou do grupo de ativos de informação.

Seção III

Da criticidade do ativo de informação

Art. 9º Para determinação dos ativos críticos da organização, devem ser considerados valores como:

I - requisitos legais;

II - potencial de agregar valor ao negócio;

III - vida útil;

IV - valor financeiro;

V - segurança da informação; e

VI - outros valores dos ativos julgados pertinentes pelos gestores.

Seção IV

Da classificação de Nível de Acesso das Informações:

Art. 10. Todos os ativos de informação devem ser classificados de acordo com seu nível de acesso, a fim de assegurar o direito fundamental de acesso à informação, bem como dispor sobre a devida restrição de acesso sobre informações sigilosas, conforme previsto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação - LAI) e demais normas aplicáveis.

Art. 11. As informações armazenadas, transmitidas, processadas ou que se encontram sob a guarda dos ativos de informação do Ministério do Turismo, independentemente de seu formato e suporte, devem ser classificadas segundo seu nível de acesso, de acordo com a legislação pertinente, sobretudo com as disposições da LAI, do Decreto nº 7.724, de 16 de maio de 2012, e orientações ou normas complementares editadas por órgãos competentes.

Art. 12. A classificação de nível de acesso das informações deve observar às diretrizes constantes na Lei nº 12.527, de 2011, no Decreto nº 7.724, de 16 de maio de 2012 e nas demais normas aplicáveis .

Art. 13. As informações devem ser classificadas conforme os seguintes níveis de acesso:

I - pública, com acesso irrestrito e visível a todos os usuários, inclusive pelo público externo;

II - restrita, quando se tratar de informação sigilosa não classificada em grau de sigilo, protegidas por demais hipóteses legais de restrição de acesso; e

III - sigilosa classificada em grau de sigilo, nos termos do art. 23 da Lei nº 12.527, de 2011, subdividida nos graus ultrassecreto, secreto ou reservado.

Art. 14. Os ativos de informação serão rotulados e manuseados com base nos procedimentos apropriados de classificação de nível de acesso de informações usados pela organização.

Seção III

Do uso aceitável de ativos

Art. 15. Além de seguir as determinações relativas aos ativos de informação, estabelecidas na Política de Segurança da Informação (POSIN) do Ministério do Turismo, devem ser observadas as recomendações desta Portaria.

Subseção I

Da manipulação de mídia

Art. 16. A mídia removível deve ser gerenciada pelo mesmo procedimento de classificação de ativos de informação usado pela organização.

Art. 17. A mídia removível deve ser protegida contra acesso não autorizado e o uso indevido, inclusive durante o trânsito, e deve ser descartada com segurança.

Art. 18. A mídia com informações confidenciais e internas do Ministério do Turismo devem ser protegidas contra acesso não autorizado, uso indevido, corrupção durante o transporte e, preferencialmente, com o uso de criptografia.

Subseção II

Do uso de computadores e demais recursos de tecnologia da informação

Art. 19. Os computadores e demais recursos de tecnologia da informação do Ministério do Turismo devem ser usados exclusivamente para as atividades corporativas, sendo vedado o uso inadequado que possa causar qualquer prejuízo ou dano aos ativos do órgão, como, por exemplo:

I - instalação não autorizada de softwares nocivos aos sistemas e à segurança da informação do MTur;

II - sobrecarga com atividades não recomendas, conforme informações do fabricante, que possam danificar os aparelhos;

III - abertura não autorizada que possam danificar circuitos internos dos aparelhos ou ocasionar perda de garantia; e

IV - manuseio inadequado ou transporte não autorizado, sem acompanhamento dos técnicos de suporte responsáveis.

Parágrafo Único. Dispositivos portáteis podem ser transportados sem acompanhamento técnico, ficando o usuário responsável pelo seu bom uso, proteção e guarda.

Subseção III

Do uso de software, e sistemas de informação e dados

Art. 20. A implantação de qualquer software no MTur deve ser autorizada ou homologada pelo órgão.

Parágrafo único. Quando a instalação do software a que se refere o caput não estiver disponível em central de software disponibilizada que possibilite a instalação pelo próprio usuário, este deve solicitar a sua instalação ao suporte técnico.

Art. 21. Não será admitido o uso de softwares não licenciados ou obtidos de maneira não autorizada pelo fabricante.

Art. 22. Os sistemas de informação devem atender aos propósitos para os quais foram criados.

§ 1º Os sistemas de informação a que se refere o caput poderão possuir níveis de acesso.

§ 2º A senha de administração será exigida somente aos gestores autorizados e cujas atividades justifiquem.

§ 3º Para os demais usuários deverá ser disponibilizado perfil adequado às suas atividades.

Art. 23. Os dados obtidos de sistemas e softwares devem ser utilizados de forma adequada, devem atenderão interesse público que se destinam e devem ser adotadas medidas de proteção contra perda ou danos que impeçam sua utilização.

Parágrafo Único. Poderá ser responsabilizado, nos termos da legislação pertinente, quem der causa à perda, ao extravio, à corrupção ou à modificação indevida de dados de que trata o caput, devendo ser observado, em todos os casos, o devido processo legal.

Subseção IV

Do uso da internet e e-mail

Art. 24. O uso da internet do Ministério do Turismo deve ter como finalidade o desenvolvimento das atividades corporativas e de interesse público.

Parágrafo único. Poderá ser disponibilizada à autoridade competente, atendendo os requisitos legais, os registros de navegação de usuário da internet do Ministério do Turismo.

Art. 25. É vedado o uso da internet de maneira que possa comprometer à segurança, causar danos ao órgão ou à qualquer pessoa.

Art. 26. O uso da internet do órgão para fins ilícitos deve ser apurado nas esferas competentes, de acordo com a legislação correlata.

Art. 27. O uso do e-mail institucional se destina às atividades coorporativas, devendo ser evitado para fins pessoais e sem relação com as atividades do Ministério do Turismo.

Art. 28. Na comunicação por e-mail, o usuário deve atender a padronização definida pelo órgão, além de adequação vocabular definida no Manual de Redação da Presidência da República e de trato adequado aos destinatários das mensagens, conforme padrões éticos definidos em legislação.

Art. 29. No envio de e-mails com anexos, principalmente de arquivos com grande volume de dados, deve ser avaliado pelo usuário a melhor maneira de fazê-lo, priorizando o uso de ferramentas de compactação ou o compartilhamento, se possível, por outros recursos tecnológicos disponíveis no órgão.

Art. 30. O usuário deve avaliar criticamente os e-mails recebidos, evitando clicar em links ou anexos suspeitos que possam comprometer a segurança do órgão, devendo, se pertinente, comunicar o fato à autoridade competente.

Subseção V

Do uso do telefone

Art. 31. O uso de telefone, fixo ou móvel, deve ser prioritariamente para as atividades corporativas e de interesse público.

Art. 32. É dever dos usuários de telefone móvel corporativo zelar pela sua conservação, ainda que fora do ambiente de trabalho, e devolvê-lo quando solicitado ou quando as razões que justificaram sua disponibilização cessarem.

CAPÍTULO V

RESPONSABILIZAÇÕES E DISPOSIÇÕES FINAIS

Seção I

Da não conformidade

Art. 33. A violação desta política poderá ensejar, por meio de autoridade competente, apurações nas esferas administrativa, civil e penal, conforme o caso e de acordo com a legislação correlata.

Seção II

Disposições finais

Art. 34. A implementação das diretrizes e normas de que trata esta Política, conforme suas peculiaridades e complexidades, ocorrerá de forma gradual, de acordo com as possibilidades técnica, operacional, administrativa e, se for o caso, financeira do órgão.

ANEXO II