O Instituto Nacional de Tecnologia da Informação (ITI) aprovou a Política de Segurança da Informação (POSIN-ITI), por meio da Portaria nº 1, de 9 de janeiro de 2026, publicada no Diário Oficial da União em 12 de janeiro de 2026. A POSIN-ITI estabelece princípios, diretrizes, competências e responsabilidades para a gestão da segurança da informação, com o objetivo de proteger os ativos informacionais no âmbito do Instituto, assegurar a confidencialidade, integridade, disponibilidade e autenticidade das informações e promover o alinhamento das ações de segurança às estratégias institucionais.
Entre os principais objetivos da Política estão a conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD), o respeito aos princípios da Lei de Acesso à Informação (LAI), a promoção da gestão de riscos em segurança da informação e o fortalecimento da cultura organizacional voltada à proteção da informação e da privacidade.
Abrangência e aplicação
A POSIN-ITI aplica-se a todas as unidades organizacionais do Instituto, bem como a servidores, empregados, estagiários, prestadores de serviços, colaboradores e terceiros que, de forma permanente ou temporária, tenham acesso a dados, informações ou recursos do ITI. O acesso aos ativos de informação e aos ambientes físicos ou lógicos do Instituto passa a exigir a assinatura prévia do Termo de Conhecimento e Responsabilidade (TCR).
A Política não se aplica aos ativos e ambientes tecnológicos relacionados à atuação do ITI como Autoridade Certificadora Raiz da ICP-Brasil, que seguem regramento próprio.
Estrutura de governança e responsabilidades
A nova Política segue a nova estrutura de governança do ITI, agora aplicada à gestão de segurança da informação, com a participação de instâncias como o Comitê de Gestão Estratégica (CGE), o Subcomitê de Governança Digital e Segurança da Informação (SGDSI), o Gestor de Segurança da Informação (GSI), a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR), entre outros atores estratégicos.
Também são detalhadas as responsabilidades de gestores, usuários, custodiante e responsáveis pelas informações, reforçando o papel de cada um na proteção dos ativos informacionais do Instituto.
Diretrizes modernas e alinhadas às boas práticas
A POSIN-ITI adota referências nacionais e internacionais de boas práticas em segurança da informação, incluindo normas da família ABNT NBR ISO/IEC 27000, e incorpora diretrizes sobre gestão de riscos, classificação da informação, continuidade de negócios, gestão de incidentes, proteção de dados pessoais e uso seguro e responsável da inteligência artificial.
A Política prevê ainda ações permanentes de conscientização e capacitação, reconhecendo a educação e a comunicação como pilares fundamentais para o fortalecimento da cultura de segurança da informação no ITI.
O ITI acredita que a Segurança da Informação e a Proteção de Dados é alcançada, principalmente pelas pessoas, mais que tecnologia. Para tanto a direção pretende implementar um plano de capacitação em segurança e privacidade logo no início de 2026, além de eventos para promover uma cultura de segurança no instituto.
Vigência e revisão
A Política de Segurança da Informação entrou em vigor na data de sua publicação e deverá ser revisada periodicamente, no mínimo a cada quatro anos, ou sempre que necessário, para acompanhar mudanças no ambiente institucional, nos riscos e nas melhores práticas de segurança da informação.
Com a aprovação da POSIN-ITI, o ITI reafirma seu compromisso com a segurança da informação, a proteção de dados pessoais, a transparência e a governança pública, contribuindo para um ambiente institucional mais seguro, confiável e alinhado às normas legais vigentes.
Fonte: ITI
