Legislação

MINISTÉRIO DA SAÚDE
GABINETE DO MINISTRO

PORTARIA MS/GM Nº 1.706, DE 30 DE OUTUBRO DE 2023
Diário Oficial da União; República Federativa do Brasil, Seção 1, 31 out. 2023, p.78-79
ALTERA A PORTARIA DE CONSOLIDAÇÃO MS/GM Nº 1, DE 28-09-2017

Altera a Portaria de Consolidação GM/MS nº 1, de 28 de setembro de 2017, para instituir o Comitê Gestor de Segurança da Informação - CGSI e regulamentar o Gestor de Segurança da Informação no âmbito do Ministério da Saúde.

A MINISTRA DE ESTADO DA SAÚDE, no uso das atribuições que lhe conferem os incisos I e II do parágrafo único do art. 87 da Constituição, resolve:

Art.1º O Título VII da Portaria de Consolidação GM/MS nº 1 , de 28 de setembro de 2017, passa a vigorar com as seguintes alterações:

"CAPÍTULO II-B
DO COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO - CGSI E DO GESTOR DE SEGURANÇA DA INFORMAÇÃO" (NR)

"Art. 254-D. Fica instituído, no âmbito do Ministério da Saúde, o Comitê Gestor de Segurança da Informação - CGSI." (NR)

"Art. 254-E. Compete ao CGSI:

I - assessorar a alta administração na implementação das ações de segurança da informação, inclusive em campanhas de conscientização, análise de conformidade quanto à implementação de Política e Normativos e workshops de capacitação em segurança da informação;

II - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;

III - participar da elaboração da Política de Segurança da Informação do Ministério da Saúde e das normas internas de segurança da informação;

IV - propor alterações à política que regulamentar sobre segurança da informação e às normas internas de segurança da informação;

V - deliberar sobre normas internas de segurança da informação;

VI - propor alteração à estratégia de segurança da informação;

VII - garantir que a estratégia de segurança da informação seja implementada pelos agentes públicos do Ministério da Saúde; e

VIII - comunicar periodicamente à Coordenação-Geral de Infraestrutura e Segurança da Informação do Departamento de Informação e Informática do Sistema Único de Saúde propostas de melhorias e ajustes eventualmente julgados necessários, bem como informações consolidadas sobre a situação de segurança da informação no Ministério da Saúde.

§ 1º As ações de segurança da informação aprovadas pelo CGSI poderão ser submetidas ao Comitê Interno de Governança - CIG do Ministério da Saúde, observadas as respectivas competências.

§ 2º As ações de segurança da informação tratadas no Comitê de Governança Digital do Ministério da Saúde - CGD/MS ou no Comitê Executivo de Tecnologia da Informação e Comunicação do Ministério da Saúde - CETIC/MS deverão ser submetidas ao CGSI para deliberação.

§ 3º Os assuntos de segurança da informação discutidos no âmbito do Comitê Gestor de Saúde Digital - CGSD poderão ser submetidos ao CGSI para deliberação." (NR)

"Art. 254-F. O CGSI é composto pelos seguintes membros:

I - o Gestor de segurança da informação do Ministério da Saúde, que o coordenará;

II - um representante da Secretaria-Executiva;

III - um representante da Secretaria de Atenção Primária à Saúde;

IV - um representante da Secretaria de Atenção Especializada à Saúde;

V - um representante da Secretaria de Ciência, Tecnologia, Inovação e Complexo da Saúde;

VI - um representante da Secretaria de Vigilância em Saúde e Ambiente;

VII - um representante da Secretaria de Saúde Indígena;

VIII - um representante da Secretaria de Gestão do Trabalho e da Educação na Saúde;

IX - um representante da Secretaria de Informação e Saúde Digital; e

X - o titular do Departamento de Informação e Informática do Sistema Único de Saúde, da Secretaria de Informação e Saúde Digital.

§ 1º Caberá ao Ministro de Estado da Saúde designar o gestor de segurança da informação do órgão.

§ 2º Os membros do CGSI e seus suplentes serão indicados pelos titulares do órgão dentre servidores com conhecimento na área de atuação do setor que representam e designados em ato do Ministro de Estado da Saúde.

§ 3º Os membros indicados para o CGSI deverão ser ocupantes de Cargos Comissionados Executivos - CCE ou de Funções Comissionadas Executivas - FCE de nível equivalente ou superior ao nível 13.

§ 4º Nos casos de impedimentos, os membros titulares serão representados por seus suplentes.

§ 5º Os membros do CGSI serão responsáveis pela interlocução e articulação dos temas tratados ou deliberados no Comitê no âmbito de sua Secretaria.

§ 6º Poderão ser convidados para participar das reuniões do Comitê, sem direito a voto, representantes de órgãos e entidades públicos ou privados, com reconhecida capacidade técnica na área de informação e informática em saúde." (NR)

"Art. 254-G. O CGSI se reunirá em caráter ordinário trimestralmente e, em caráter extraordinário, sempre que necessário, por convocação de seu coordenador.

§ 1º O quórum de reunião do CGSI é de maioria absoluta dos membros, e o quórum de aprovação é de maioria simples dos membros presentes.

§ 2º Além do voto ordinário, o coordenador do CGSI terá o voto de qualidade em caso de empate.

§ 3º Os membros do CGSI que se encontrarem no Distrito Federal se reunirão  presencialmente ou por videoconferência, nos termos do disposto no Decreto nº 10.416, de 7 de julho de 2020, e os membros que se encontrarem em outros entes federativos participarão da reunião por meio de videoconferência." (NR)

"Art. 254-H. O CGSI poderá instituir grupos de trabalho com o objetivo de:

I - apoiar a definição de processos de gestão de vulnerabilidades e a gestão de processos de riscos de segurança da informação;

II - propor novas tecnologias de proteção contra ataques maliciosos aos sistemas do Ministério da Saúde, por intermédio da implementação de WAF nas aplicações críticas, de Blockchain, de Antivirus, antimalware, antispam e computação confidencial;

III - apoiar na definição e implementação de processos de gestão de incidentes cibernéticos;

IV - propor temas relevantes para elaboração de normas de segurança da informação que possam apoiar a implantação da Política de Segurança da Informação do Ministério da Saúde;

V - apoiar na proposição e implementação de programa de conscientização sobre segurança da informação voltado aos agentes públicos do Ministério da Saúde; e

VI - apoiar na definição das diretrizes de gestão de continuidade de negócios com foco em segurança da informação." (NR)

"Art. 254-I. Os grupos de trabalho de que trata o artigo 254-H:

I - serão compostos na forma de ato do coordenador do Comitê;

II - não poderão ter mais de cinco membros;

III - terão caráter temporário e duração não superior a um ano; e

IV - estão limitados a três operando simultaneamente." (NR)

"Art. 254-J. A Coordenação de Segurança da Informação da Coordenação-Geral de Infraestrutura e Segurança da Informação do Departamento de Informação e Informática do Sistema Único de Saúde atuará como Secretaria-Executiva do CGSI, com a finalidade de prestar o apoio administrativo necessário." (NR)

"Art. 254-K. A participação no CGSI é considerada prestação de serviço público relevante, não remunerada." (NR)

"Art. 254-L. Compete ao gestor de segurança da informação do Ministério da Saúde:

I - coordenar a elaboração da Política de Segurança da Informação e das normas internas de segurança da informação do órgão, observada a legislação aplicável;

II - assessorar a alta administração na implementação da Política de Segurança da Informação;

III - estimular ações de capacitação e de profissionalização de recursos humanos em temas relacionados à segurança da informação;

IV - promover a divulgação da Política de Segurança da Informação e das normas internas de segurança da informação aos servidores, usuários e prestadores de serviços do Ministério da Saúde;

V - incentivar a elaboração de estudos de novas tecnologias, de modo a conhecer seus eventuais impactos relacionados à segurança da informação;

VI - propor recursos necessários às ações de segurança da informação;

VII - acompanhar os trabalhos da Equipe de Tratamento e Resposta a Incidentes Cibernéticos;

VIII - verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação;

IX - acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação; e

X - manter contato direto com o Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República para o tratamento de assuntos relativos à segurança da informação." (NR)

Art. 2º Esta Portaria entra em vigor na data de sua publicação.

NÍSIA TRINDADE LIMA