CNPq

PORTARIA CNPQ Nº 2.256, DE 12 DE MAIO DE 2025

Cria o Programa de Conscientização e Educação em Privacidade e
Segurança da Informação do CNPq - CONSCIENTIZA-SIN.

          O Presidente do CONSELHO NACIONAL DE DESENVOLVIMENTO CIENTÍFICO E TECNOLÓGICO - CNPq, no uso das atribuições que lhe são conferidas pelo Estatuto aprovado pelo Decreto nº 11.229, de 7 de outubro de 2022, em conformidade com decisão da Diretoria Executiva em sua 6ª (sexta) reunião, de 7 de maio de 2025, em observância às recomendações da Política de Proteção de Dados do CNPq (PoSin) e nos termos da motivação e justificativas constantes do processo nº 01300.004414/2024-71, resolve:

         Art. 1º  Institui o Programa de Conscientização e Educação em Privacidade e Segurança da Informação do CNPq (Conscientiza-SIN CNPq), integrante do Programa de Privacidade e Segurança da Informação (PPSI).

         Art. 2º  O Conscientiza-SIN - CNPq tem o propósito de conceber, desenvolver e implementar ações para conscientização e educação de servidores e colaboradores do CNPq na temática de privacidade e segurança da informação.

         Art. 3º  São objetivos do programa:

         I - demonstrar, por meio de ações efetivas, o comprometimento da alta gestão do CNPq com a conscientização e a educação em privacidade e segurança da informação em toda a instituição;

         II - definir os papéis e responsabilidades de todos os envolvidos na disseminação da cultura de privacidade e segurança da informação no CNPq;

         III - contribuir com o nível de maturidade do CNPq em privacidade e segurança da informação;

         IV - estabelecer ações de Conscientização e Educação em segurança da informação, alinhadas com as políticas, normas e procedimentos da organização, respeitando a cultura organizacional;

         V - estabelecer indicadores de monitoramento de ações para a educação e a conscientização de servidores; e

         VI - avaliar e melhorar continuamente as estratégias e ações adotadas, garantindo uma execução regular, atualizada, abrangente e em conformidade com as políticas, normas e procedimentos em vigor na instituição.

         Parágrafo único.  Para o cumprimento de seus objetivos, poderá ser usada Consultoria externa especializada com a finalidade de produzir itens específicos das ações de conscientização, a avaliação da efetividade das ações do programa e o grau de maturidade organizacional em privacidade e segurança da informação.

         Art. 4º  São competências e responsabilidades:

         I - do Comitê de Segurança da Informação (CSI): responsável por demandar e propor ações de conscientização no âmbito do CNPq;

         II - do Serviço de Capacitação e Competências (SECAC/CODQV/COGEP): responsável por apoiar e executar ações de capacitação em privacidade e segurança da informação no CNPq;

         III - da Assessoria de Comunicação Social (ACS/PRE): responsável por apoiar e executar ações de conscientização e educação em privacidade e segurança da informação no CNPq, apoiando na elaboração de conteúdo, logística de realização, comunicação, promoção e realização de ações, bem como apoiar o SECAC na elaboração das ações de conscientização em privacidade e segurança da informação;

         IV - do Gestor de Segurança da Informação do CNPq (GSI): responsável pelo acompanhamento das ações de conscientização, com a priorização e execução por parte da Coordenação Geral de Tecnologia da Informação - CGETI no que for necessário;

         V - do Serviço de Suporte ao Usuário de TI (SESUTI/COINT/CGETI): responsável por orientar, auxiliar e tirar dúvidas dos usuários sobre questões de segurança da informação;

         VI - do servidor ou colaborador do CNPq (Usuário): responsável por participar efetivamente do programa e das ações de desenvolvimento das propostas, visando cumprir a política e normas de segurança da informação do CNPq para a mitigação do risco de ocorrência de incidentes na privacidade e segurança na instituição.

         Parágrafo único.  As competências e responsabilidades dos agentes elencados nos incisos de I a V deverão ser executadas de modo colaborativo.

         Art. 5º  Para a implementação das ações do Programa Conscientiza-SIN CNPq, deve ser definido um Plano de Ação, conforme Anexo I, com as seguintes informações mínimas:

         I - os objetivos da ação a ser implementada;

         II - as métricas do alcance da ação;

         III - a forma de implementação da ação por meio de um plano de ação; e

         IV - a forma de monitorar e avaliar a ação.

         Parágrafo único.  O Anexo I é um instrumento de apoio à elaboração do plano de ação em Conscientização e Educação em privacidade e segurança da informação do CNPq.

         Art. 6º  São considerados temas passíveis de serem trabalhados pelo Conscientiza-SIN CNPq, entre outros:

         I - segurança da estação de trabalho;

         II - segurança em dispositivos móveis;

         III - vírus e códigos maliciosos;

         IV - segurança de senhas;

         V - cópias de segurança (backup);

         VI - atualização de sistemas;

         VII - mecanismos de proteção de sistema (antivírus, antimalware, firewall);

         VIII - golpes na Internet e fraudes eletrônicas (phishing);

         IX - uso seguro da Internet;

         X - VPN do CNPq;

         XI - uso de ferramentas pessoais, como redes sociais e outras ferramentas de comunicação, para transmitir, conversar, compartilhar ou tratar de assuntos institucionais;

         XII - Lei Geral de Proteção de Dados Pessoais - LGPD; e

         XIII - princípio do privilégio mínimo.

         Art. 7º  O CNPq deverá reservar recursos orçamentários para a execução do Programa Conscientiza-SIN CNPq.

         Art. 8º  Deverão ser definidas ações de desenvolvimento em privacidade e segurança da informação no Programa Conscientiza-SIN, obrigatórias para servidores, inclusive os ocupantes de cargos em comissão e funções comissionadas.

         § 1º  A Diretoria de Análise de Resultados e soluções Digitais (DASD) deverá solicitar, anualmente, a inclusão da necessidade de ações de desenvolvimento em Privacidade e Segurança da Informação no Plano de Desenvolvimento de Pessoas (PDP).

         § 2º  Será obrigatória, na avaliação de desempenho individual, a pactuação e a inserção de metas individuais de desenvolvimento em privacidade e segurança da informação, inclusive para os ocupantes de cargos e funções comissionadas.

         § 3º  Às chefias imediatas das unidades organizacionais compete:

         I - pactuar, em conjunto com os servidores, a meta individual que se refere o caput desse artigo;

         II - preencher o plano de trabalho e acompanhar sua execução;

         III - responsabilizar-se pela observância dos critérios e procedimentos gerais e específicos de avaliação de desempenho no CNPq, em sua respectiva equipe de trabalho; e

         IV - comunicar à unidade que acompanha o Conscientiza-SIN, o cumprimento ou não da referida meta individual.

         § 4º  É recomendável que as chefias incentivem os colaboradores a participarem ativamente das ações de desenvolvimento em privacidade e segurança da informação no Programa Conscientiza-SIN CNPq.

         Art. 9º  Os servidores que não cumprirem as ações de desenvolvimento individual em Privacidade e Segurança da Informação, receberão um aviso formal da sua chefia imediata e terão prazo de 30 dias para regularização e cumprimento de suas obrigações ou poderão sofrer as seguintes restrições, enquanto perdurar a inadimplência:

         I - não poder participar do Programa de Gestão e Desempenho (PGD);

         II - não receber apoio do CNPq para participação em eventos externos;

         III - não ser contemplado com prêmios e homenagens internos;

         IV - não ser priorizado em casos de disponibilização de equipamentos como notebooks e desktops.

         Art. 10.  O servidor movimentado para o CNPq será, obrigatoriamente, inserido no Programa Conscientiza-SIN.

         Art. 11.  Os resultados do monitoramento e a avaliação do Programa Conscientiza-SIN no CNPq devem ser publicados em local de fácil acesso, de modo a promover uma comunicação eficaz envolvendo usuários e gestores e a fortalecer o processo de aprendizagem, a tomada de decisão, a governança e a sustentabilidade das iniciativas implementadas.

         Art. 12.  Os canais de comunicação, e-mail e número de telefone, para atendimento das demandas e dúvidas relacionadas à Segurança da Informação deverão constar na Intranet do CNPq, em local de fácil acesso.

         Art. 13.  O Comitê de Segurança da Informação (CSI) deverá criar um Grupo de Trabalho (GT) para a elaboração e acompanhamento da execução dos Planos de Ações do Conscientiza-SIN CNPq.

         § 1º  O GT deverá ser composto pelos seguintes membros:

         I - Encarregado de Dados;

         II - Serviço de Capacitação e Competências (SECAC/CODQV/CGGEP);

         III - Assessoria de Comunicação Social (ACS/PRE); e

         IV - responsável pela Segurança da Informação no CNPq.

         § 2º  Competirá ao GT elaborar relatório das ações executadas e o submeter para conhecimento e análise do Comitê de Segurança da Informação (CSI).

         Art. 14.  Esta Portaria entrará em vigor 30 (trinta) dias após a data da sua publicação.
 

(Assinado Eletronicamente)
RICARDO MAGNUS OSÓRIO GALVÃO
Presidente do CNPq

Anexo I