Este texto não substitui o publicado no Diário Oficial da União
Gabinete do Ministro
PORTARIA GM/MS Nº 1.706, DE 30 DE OUTUBRO DE 2023
Altera a Portaria de Consolidação GM/MS nº 1, de 28 de setembro de 2017, para instituir o Comitê Gestor de Segurança da Informação - CGSI e regulamentar o Gestor de Segurança da Informação no âmbito do Ministério da Saúde.
A MINISTRA DE ESTADO DA SAÚDE, no uso das atribuições que lhe conferem os incisos I e II do parágrafo único do art. 87 da Constituição, resolve:
Art.1º O Título VII da Portaria de Consolidação GM/MS nº 1 , de 28 de setembro de 2017, passa a vigorar com as seguintes alterações:
"CAPÍTULO II-B
DO COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO - CGSI E DO GESTOR DE SEGURANÇA DA INFORMAÇÃO" (NR)
"Art. 254-D. Fica instituído, no âmbito do Ministério da Saúde, o Comitê Gestor de Segurança da Informação - CGSI." (NR)
"Art. 254-E. Compete ao CGSI:
I - assessorar a alta administração na implementação das ações de segurança da informação, inclusive em campanhas de conscientização, análise de conformidade quanto à implementação de Política e Normativos e workshops de capacitação em segurança da informação;
II - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;
III - participar da elaboração da Política de Segurança da Informação do Ministério da Saúde e das normas internas de segurança da informação;
IV - propor alterações à política que regulamentar sobre segurança da informação e às normas internas de segurança da informação;
V - deliberar sobre normas internas de segurança da informação;
VI - propor alteração à estratégia de segurança da informação;
VII - garantir que a estratégia de segurança da informação seja implementada pelos agentes públicos do Ministério da Saúde; e
VIII - comunicar periodicamente à Coordenação-Geral de Infraestrutura e Segurança da Informação do Departamento de Informação e Informática do Sistema Único de Saúde propostas de melhorias e ajustes eventualmente julgados necessários, bem como informações consolidadas sobre a situação de segurança da informação no Ministério da Saúde.
§ 1º As ações de segurança da informação aprovadas pelo CGSI poderão ser submetidas ao Comitê Interno de Governança - CIG do Ministério da Saúde, observadas as respectivas competências.
§ 2º As ações de segurança da informação tratadas no Comitê de Governança Digital do Ministério da Saúde - CGD/MS ou no Comitê Executivo de Tecnologia da Informação e Comunicação do Ministério da Saúde - CETIC/MS deverão ser submetidas ao CGSI para deliberação.
§ 3º Os assuntos de segurança da informação discutidos no âmbito do Comitê Gestor de Saúde Digital - CGSD poderão ser submetidos ao CGSI para deliberação." (NR)
"Art. 254-F. O CGSI é composto pelos seguintes membros:
I - o Gestor de segurança da informação do Ministério da Saúde, que o coordenará;
II - um representante da Secretaria-Executiva;
III - um representante da Secretaria de Atenção Primária à Saúde;
IV - um representante da Secretaria de Atenção Especializada à Saúde;
V - um representante da Secretaria de Ciência, Tecnologia, Inovação e Complexo da Saúde;
VI - um representante da Secretaria de Vigilância em Saúde e Ambiente;
VII - um representante da Secretaria de Saúde Indígena;
VIII - um representante da Secretaria de Gestão do Trabalho e da Educação na Saúde;
IX - um representante da Secretaria de Informação e Saúde Digital; e
X - o titular do Departamento de Informação e Informática do Sistema Único de Saúde, da Secretaria de Informação e Saúde Digital.
§ 1º Caberá ao Ministro de Estado da Saúde designar o gestor de segurança da informação do órgão.
§ 2º Os membros do CGSI e seus suplentes serão indicados pelos titulares do órgão dentre servidores com conhecimento na área de atuação do setor que representam e designados em ato do Ministro de Estado da Saúde.
§ 3º Os membros indicados para o CGSI deverão ser ocupantes de Cargos Comissionados Executivos - CCE ou de Funções Comissionadas Executivas - FCE de nível equivalente ou superior ao nível 13.
§ 4º Nos casos de impedimentos, os membros titulares serão representados por seus suplentes.
§ 5º Os membros do CGSI serão responsáveis pela interlocução e articulação dos temas tratados ou deliberados no Comitê no âmbito de sua Secretaria.
§ 6º Poderão ser convidados para participar das reuniões do Comitê, sem direito a voto, representantes de órgãos e entidades públicos ou privados, com reconhecida capacidade técnica na área de informação e informática em saúde." (NR)
"Art. 254-G. O CGSI se reunirá em caráter ordinário trimestralmente e, em caráter extraordinário, sempre que necessário, por convocação de seu coordenador.
§ 1º O quórum de reunião do CGSI é de maioria absoluta dos membros, e o quórum de aprovação é de maioria simples dos membros presentes.
§ 2º Além do voto ordinário, o coordenador do CGSI terá o voto de qualidade em caso de empate.
§ 3º Os membros do CGSI que se encontrarem no Distrito Federal se reunirão presencialmente ou por videoconferência, nos termos do disposto no Decreto nº 10.416, de 7 de julho de 2020, e os membros que se encontrarem em outros entes federativos participarão da reunião por meio de videoconferência." (NR)
"Art. 254-H. O CGSI poderá instituir grupos de trabalho com o objetivo de:
I - apoiar a definição de processos de gestão de vulnerabilidades e a gestão de processos de riscos de segurança da informação;
II - propor novas tecnologias de proteção contra ataques maliciosos aos sistemas do Ministério da Saúde, por intermédio da implementação de WAF nas aplicações críticas, de Blockchain, de Antivirus, antimalware, antispam e computação confidencial;
III - apoiar na definição e implementação de processos de gestão de incidentes cibernéticos;
IV - propor temas relevantes para elaboração de normas de segurança da informação que possam apoiar a implantação da Política de Segurança da Informação do Ministério da Saúde;
V - apoiar na proposição e implementação de programa de conscientização sobre segurança da informação voltado aos agentes públicos do Ministério da Saúde; e
VI - apoiar na definição das diretrizes de gestão de continuidade de negócios com foco em segurança da informação." (NR)
"Art. 254-I. Os grupos de trabalho de que trata o artigo 254-H:
I - serão compostos na forma de ato do coordenador do Comitê;
II - não poderão ter mais de cinco membros;
III - terão caráter temporário e duração não superior a um ano; e
IV - estão limitados a três operando simultaneamente." (NR)
"Art. 254-J. A Coordenação de Segurança da Informação da Coordenação-Geral de Infraestrutura e Segurança da Informação do Departamento de Informação e Informática do Sistema Único de Saúde atuará como Secretaria-Executiva do CGSI, com a finalidade de prestar o apoio administrativo necessário." (NR)
"Art. 254-K. A participação no CGSI é considerada prestação de serviço público relevante, não remunerada." (NR)
"Art. 254-L. Compete ao gestor de segurança da informação do Ministério da Saúde:
I - coordenar a elaboração da Política de Segurança da Informação e das normas internas de segurança da informação do órgão, observada a legislação aplicável;
II - assessorar a alta administração na implementação da Política de Segurança da Informação;
III - estimular ações de capacitação e de profissionalização de recursos humanos em temas relacionados à segurança da informação;
IV - promover a divulgação da Política de Segurança da Informação e das normas internas de segurança da informação aos servidores, usuários e prestadores de serviços do Ministério da Saúde;
V - incentivar a elaboração de estudos de novas tecnologias, de modo a conhecer seus eventuais impactos relacionados à segurança da informação;
VI - propor recursos necessários às ações de segurança da informação;
VII - acompanhar os trabalhos da Equipe de Tratamento e Resposta a Incidentes Cibernéticos;
VIII - verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação;
IX - acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação; e
X - manter contato direto com o Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República para o tratamento de assuntos relativos à segurança da informação." (NR)
Art. 2º Esta Portaria entra em vigor na data de sua publicação.