Home / Diário Oficial da União / sexta-feira, 10 de julho de 2026
PortariaSeção 1 · Edição 128 · Pág. 197
PORTARIA NORMATIVA SE/CGU Nº 274, DE 9 DE JULHO DE 2026
Controladoria-Geral da União › Secretaria Executiva
Texto integral
PORTARIA NORMATIVA SE/CGU Nº 274, DE 9 DE JULHO DE 2026
Institui a Política de Gestão de Dispositivos Corporativos no âmbito da Controladoria-Geral da União.
A SECRETÁRIA-EXECUTIVA DA CONTROLADORIA-GERAL DA UNIÃO, no exercício das atribuições previstas no art. 35 do Anexo I ao Decreto nº 11.330, de 1º de janeiro de 2023, e no art. 5º, caput, inciso II, da Portaria Normativa CGU nº 164, de 30 de agosto de 2024, e considerando o disposto no Decreto nº 12.069, de 21 de junho de 2024, na Portaria SE/CGU nº 587, de 10 de março de 2021, e na Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021, bem como com base no Processo Administrativo nº 00190.102152/2026-01, resolve:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º Fica instituída a Política de Gestão de Dispositivos Corporativos no âmbito da Controladoria-Geral da União.
Art. 2º A Política de que trata esta Portaria Normativa observará os princípios e os objetivos da Política Nacional de Segurança da Informação, instituída pelo Decreto nº 12.572, de 4 de agosto de 2025, e estará alinhada à Política de Segurança da Informação da Controladoria-Geral da União, prevista na Portaria SE/CGU nº 587, de 10 de março de 2021, e aos preceitos da Lei nº 13.709, de 14 de agosto de 2018, em harmonia com a Política de Gerenciamento de Configuração Segura de Dispositivos e Softwares Corporativos, instituída pela Portaria Normativa SE/CGU nº 229, de 15 de outubro de 2025.
Art. 3º Para os efeitos desta Portaria Normativa, considera-se:
I - dispositivos corporativos: dispositivos de usuário final, incluindo portáteis e móveis, dispositivos de rede, servidores e dispositivos não computacionais relativos à internet das coisas conectados à infraestrutura física da Controladoria-Geral da União, de forma direta, virtual ou remota, além daqueles em ambientes de nuvem, e que estejam sob gestão da Diretoria de Tecnologia da Informação da Secretaria-Executiva;
II - dispositivo não autorizado: dispositivo conectado à infraestrutura tecnológica da instituição sem o devido registro ou autorização;
III - inventário de dispositivos corporativos: base de dados que registra e mantém informações atualizadas sobre todos os dispositivos corporativos da instituição;
IV - rede interna: rede que contém os dispositivos corporativos interconectados dentro de uma área geográfica limitada e sob controle administrativo e de segurança da instituição; e
V - usuários: agentes públicos, estagiários e prestadores de serviços autorizados para acesso à rede de dados da Controladoria-Geral da União.
Parágrafo único. Na aplicação desta Portaria Normativa, deverão ser observados, no que couber, os conceitos constantes do Glossário de Segurança da Informação aprovado pela Portaria GSI/PR nº 93, de 18 de outubro de 2021.
Art. 4º O objetivo da Política de Gestão de Dispositivos Corporativos é estabelecer princípios, diretrizes e responsabilidades para a gestão do ciclo de vida dos dispositivos corporativos, abrangendo sua aquisição, identificação, rastreamento, manutenção e descarte, de modo a garantir a segurança da informação e a conformidade dos dispositivos com os padrões institucionais.
Art. 5º As disposições desta Portaria Normativa e da regulamentação correlata aplicam-se:
I - aos dispositivos corporativos da Controladoria-Geral da União; e
II - aos usuários que, no desempenho de suas atividades, sejam responsáveis pelo ciclo de vida do dispositivo corporativo da Controladoria-Geral da União.
Art. 6º Os dispositivos corporativos da Controladoria-Geral da União que, por dificuldades técnicas ou obrigações contratuais e normativas, não estejam contemplados em algum requisito desta Política serão tratados de forma excepcional.
§ 1º As excepcionalidades a esta Política deverão ser aprovadas e registradas pela área de segurança cibernética da Diretoria de Tecnologia da Informação da Secretaria-Executiva.
§ 2º No registro da excepcionalidade, deverão constar justificativa, riscos de não se proceder conforme as definições desta Política e mitigações específicas que possam ser implementadas.
CAPÍTULO II
DAS RESPONSABILIDADES
Art. 7º A Diretoria de Tecnologia da Informação da Secretaria-Executiva é responsável por:
I - elaborar, manter e fazer cumprir a Política e o Processo de Gestão de Dispositivos Corporativos no âmbito da Controladoria-Geral da União;
II - gerenciar o ciclo de vida do dispositivo corporativo no âmbito da Controladoria-Geral da União;
III - manter atualizado o inventário de dispositivos corporativos;
IV - implementar e operar ferramentas de descoberta e monitoramento de dispositivos;
V - estabelecer e fazer cumprir requisitos de segurança para dispositivos corporativos;
VI - coordenar os procedimentos de descarte seguro de dispositivos; e
VII - promover ações de conscientização sobre o uso seguro de dispositivos corporativos.
Parágrafo único. As responsabilidades específicas de outras áreas e dos usuários de dispositivos corporativos serão detalhadas em normas complementares.
CAPÍTULO III
DOS PROCEDIMENTOS
Art. 8º Será estabelecido e mantido um inventário atualizado de todos os dispositivos de propriedade ou sob a responsabilidade da instituição, conforme escopo definido nesta Portaria Normativa.
Art. 9º O inventário lógico de dispositivos deverá ser revisado e validado periodicamente, com frequência mínima semestral, distinguindo-se do inventário físico contábil anual a cargo do setor de patrimônio.
Art. 10. A Diretoria de Tecnologia da Informação da Secretaria-Executiva atribuirá identificadores únicos a todos os dispositivos corporativos existentes e recém-adquiridos.
§ 1º O identificador único estará vinculado ao número de registro patrimonial oficial e deverá ser afixado no dispositivo de forma permanente, por meio de uma etiqueta ou método similar, sempre que a natureza do dispositivo assim permitir.
§ 2º A identificação visual suplementar pela Diretoria de Tecnologia da Informação da Secretaria-Executiva não substitui a plaqueta de tombamento.
§ 3º O identificador e demais informações relevantes do dispositivo corporativo serão registrados e mantidos atualizados no inventário de dispositivos corporativos.
§ 4º Dispositivos dispensados de registro patrimonial oficial possuirão identificador que possibilite localizá-los unicamente dentre os dispositivos da mesma categoria.
Art. 11. A Diretoria de Tecnologia da Informação da Secretaria-Executiva deverá empregar ferramentas automatizadas, de descoberta ativa e passiva, para identificar dispositivos conectados à rede da instituição.
Parágrafo único. As ferramentas de descoberta serão configuradas para realizar varreduras periódicas, com frequência mínima diária para ferramentas de descoberta ativa e semanal para ferramentas de descoberta passiva.
Art. 12. A Diretoria de Tecnologia da Informação da Secretaria-Executiva deverá analisar e tratar os dispositivos identificados na rede da Controladoria-Geral da União e não cadastrados no inventário, verificando sua conformidade e autorização de uso, observando o seguinte:
I - os dispositivos de propriedade da instituição, mas não incluídos no inventário, devem ser devidamente registrados e adicionados a ele, após a verificação de sua conformidade e do cumprimento dos requisitos de segurança; e
II - os dispositivos não pertencentes à instituição ou cuja propriedade não possa ser comprovada devem ser imediatamente desconectados da rede interna, exceto quando houver autorização formal concedida pela Diretoria de Tecnologia da Informação da Secretaria-Executiva.
Art. 13. A Diretoria de Tecnologia da Informação da Secretaria-Executiva manterá processo contínuo de monitoramento da rede para identificar a presença de dispositivos não autorizados e de dispositivos inativos, podendo aplicar as seguintes medidas:
I - remoção do dispositivo não autorizado da rede;
II - bloqueio de conexão remota do dispositivo não autorizado à rede institucional;
III - isolamento do dispositivo não autorizado em ambiente de quarentena para análise; e
IV - bloqueio de dispositivos inativos por mais de noventa dias.
Art. 14. Deverá ser estabelecida, documentada e revisada continuamente norma específica sobre o uso seguro dos recursos de tecnologia da informação no âmbito da Controladoria-Geral da União, contemplando orientações sobre o uso adequado de dispositivos corporativos.
Art. 15. Os dispositivos corporativos que atingirem o fim do seu ciclo de vida útil, tornarem-se obsoletos ou forem substituídos deverão ser devolvidos à Diretoria de Tecnologia da Informação da Secretaria-Executiva para os procedimentos de descarte seguro, etapa prévia obrigatória para subsidiar o processo administrativo de desfazimento conduzido pela comissão competente.
§ 1º Previamente ao descarte, os dispositivos corporativos devem ser submetidos a processo de sanitização que assegure a remoção segura e irrecuperável de todos os dados e softwares licenciados.
§ 2º O responsável pela custódia do dispositivo deve realizar backup dos dados armazenados no dispositivo antes de retorná-lo à Diretoria de Tecnologia da Informação da Secretaria-Executiva.
§ 3º O descarte de dispositivos deve observar a legislação ambiental aplicável e as normas de sustentabilidade da instituição.
Art. 16. A perda ou o roubo de dispositivos corporativos serão imediatamente relatados à Diretoria de Tecnologia da Informação da Secretaria-Executiva, sem prejuízo da obrigatória comunicação ao setor de patrimônio para fins de apuração de responsabilidade.
Parágrafo único. Recebida a comunicação, a Diretoria de Tecnologia da Informação da Secretaria-Executiva deverá adotar as seguintes medidas de contingência:
I - revogar o acesso do dispositivo aos sistemas e dados corporativos;
II - acionar procedimentos de localização remota, quando disponíveis;
III - executar procedimentos de limpeza remota de dados, se tecnicamente viável;
IV - atualizar o status do dispositivo no inventário; e
V - avaliar a necessidade de notificação às autoridades competentes e aos titulares de dados pessoais eventualmente comprometidos, conforme legislação aplicável.
CAPÍTULO IV
DISPOSIÇÕES FINAIS
Art. 17. O art. 2º, inciso I, da Portaria Normativa SE/CGU nº 229, de 15 de outubro de 2025, passa a vigorar com a seguinte redação:
"Art. 2º ...
I - dispositivos corporativos: dispositivos de usuário final, incluindo portáteis e móveis, dispositivos de rede, servidores e dispositivos não computacionais relativos à internet das coisas conectados à infraestrutura física da Controladoria-Geral da União, de forma direta, virtual ou remota, além daqueles em ambientes de nuvem, e que estejam sob gestão da Diretoria de Tecnologia da Informação da Secretaria-Executiva;" (NR)
Art. 18. Os casos omissos serão resolvidos pela Diretoria de Tecnologia da Informação da Secretaria-Executiva.
Art. 19. A revisão desta Portaria Normativa deve ser realizada a cada dois anos ou sempre que se fizer necessário.
Art. 20. Esta Portaria Normativa entra em vigor na data de sua publicação.
EVELINE MARTINS BRITO
