Daily Journal

Home / Diário Oficial da União / sexta-feira, 10 de julho de 2026

PortariaSeção 1 · Edição 128 · Pág. 197

PORTARIA NORMATIVA SE/CGU Nº 274, DE 9 DE JULHO DE 2026

Controladoria-Geral da UniãoSecretaria Executiva

Texto integral

PORTARIA NORMATIVA SE/CGU Nº 274, DE 9 DE JULHO DE 2026 Institui a Política de Gestão de Dispositivos Corporativos no âmbito da Controladoria-Geral da União. A SECRETÁRIA-EXECUTIVA DA CONTROLADORIA-GERAL DA UNIÃO, no exercício das atribuições previstas no art. 35 do Anexo I ao Decreto nº 11.330, de 1º de janeiro de 2023, e no art. 5º, caput, inciso II, da Portaria Normativa CGU nº 164, de 30 de agosto de 2024, e considerando o disposto no Decreto nº 12.069, de 21 de junho de 2024, na Portaria SE/CGU nº 587, de 10 de março de 2021, e na Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021, bem como com base no Processo Administrativo nº 00190.102152/2026-01, resolve: CAPÍTULO I DISPOSIÇÕES PRELIMINARES Art. 1º Fica instituída a Política de Gestão de Dispositivos Corporativos no âmbito da Controladoria-Geral da União. Art. 2º A Política de que trata esta Portaria Normativa observará os princípios e os objetivos da Política Nacional de Segurança da Informação, instituída pelo Decreto nº 12.572, de 4 de agosto de 2025, e estará alinhada à Política de Segurança da Informação da Controladoria-Geral da União, prevista na Portaria SE/CGU nº 587, de 10 de março de 2021, e aos preceitos da Lei nº 13.709, de 14 de agosto de 2018, em harmonia com a Política de Gerenciamento de Configuração Segura de Dispositivos e Softwares Corporativos, instituída pela Portaria Normativa SE/CGU nº 229, de 15 de outubro de 2025. Art. 3º Para os efeitos desta Portaria Normativa, considera-se: I - dispositivos corporativos: dispositivos de usuário final, incluindo portáteis e móveis, dispositivos de rede, servidores e dispositivos não computacionais relativos à internet das coisas conectados à infraestrutura física da Controladoria-Geral da União, de forma direta, virtual ou remota, além daqueles em ambientes de nuvem, e que estejam sob gestão da Diretoria de Tecnologia da Informação da Secretaria-Executiva; II - dispositivo não autorizado: dispositivo conectado à infraestrutura tecnológica da instituição sem o devido registro ou autorização; III - inventário de dispositivos corporativos: base de dados que registra e mantém informações atualizadas sobre todos os dispositivos corporativos da instituição; IV - rede interna: rede que contém os dispositivos corporativos interconectados dentro de uma área geográfica limitada e sob controle administrativo e de segurança da instituição; e V - usuários: agentes públicos, estagiários e prestadores de serviços autorizados para acesso à rede de dados da Controladoria-Geral da União. Parágrafo único. Na aplicação desta Portaria Normativa, deverão ser observados, no que couber, os conceitos constantes do Glossário de Segurança da Informação aprovado pela Portaria GSI/PR nº 93, de 18 de outubro de 2021. Art. 4º O objetivo da Política de Gestão de Dispositivos Corporativos é estabelecer princípios, diretrizes e responsabilidades para a gestão do ciclo de vida dos dispositivos corporativos, abrangendo sua aquisição, identificação, rastreamento, manutenção e descarte, de modo a garantir a segurança da informação e a conformidade dos dispositivos com os padrões institucionais. Art. 5º As disposições desta Portaria Normativa e da regulamentação correlata aplicam-se: I - aos dispositivos corporativos da Controladoria-Geral da União; e II - aos usuários que, no desempenho de suas atividades, sejam responsáveis pelo ciclo de vida do dispositivo corporativo da Controladoria-Geral da União. Art. 6º Os dispositivos corporativos da Controladoria-Geral da União que, por dificuldades técnicas ou obrigações contratuais e normativas, não estejam contemplados em algum requisito desta Política serão tratados de forma excepcional. § 1º As excepcionalidades a esta Política deverão ser aprovadas e registradas pela área de segurança cibernética da Diretoria de Tecnologia da Informação da Secretaria-Executiva. § 2º No registro da excepcionalidade, deverão constar justificativa, riscos de não se proceder conforme as definições desta Política e mitigações específicas que possam ser implementadas. CAPÍTULO II DAS RESPONSABILIDADES Art. 7º A Diretoria de Tecnologia da Informação da Secretaria-Executiva é responsável por: I - elaborar, manter e fazer cumprir a Política e o Processo de Gestão de Dispositivos Corporativos no âmbito da Controladoria-Geral da União; II - gerenciar o ciclo de vida do dispositivo corporativo no âmbito da Controladoria-Geral da União; III - manter atualizado o inventário de dispositivos corporativos; IV - implementar e operar ferramentas de descoberta e monitoramento de dispositivos; V - estabelecer e fazer cumprir requisitos de segurança para dispositivos corporativos; VI - coordenar os procedimentos de descarte seguro de dispositivos; e VII - promover ações de conscientização sobre o uso seguro de dispositivos corporativos. Parágrafo único. As responsabilidades específicas de outras áreas e dos usuários de dispositivos corporativos serão detalhadas em normas complementares. CAPÍTULO III DOS PROCEDIMENTOS Art. 8º Será estabelecido e mantido um inventário atualizado de todos os dispositivos de propriedade ou sob a responsabilidade da instituição, conforme escopo definido nesta Portaria Normativa. Art. 9º O inventário lógico de dispositivos deverá ser revisado e validado periodicamente, com frequência mínima semestral, distinguindo-se do inventário físico contábil anual a cargo do setor de patrimônio. Art. 10. A Diretoria de Tecnologia da Informação da Secretaria-Executiva atribuirá identificadores únicos a todos os dispositivos corporativos existentes e recém-adquiridos. § 1º O identificador único estará vinculado ao número de registro patrimonial oficial e deverá ser afixado no dispositivo de forma permanente, por meio de uma etiqueta ou método similar, sempre que a natureza do dispositivo assim permitir. § 2º A identificação visual suplementar pela Diretoria de Tecnologia da Informação da Secretaria-Executiva não substitui a plaqueta de tombamento. § 3º O identificador e demais informações relevantes do dispositivo corporativo serão registrados e mantidos atualizados no inventário de dispositivos corporativos. § 4º Dispositivos dispensados de registro patrimonial oficial possuirão identificador que possibilite localizá-los unicamente dentre os dispositivos da mesma categoria. Art. 11. A Diretoria de Tecnologia da Informação da Secretaria-Executiva deverá empregar ferramentas automatizadas, de descoberta ativa e passiva, para identificar dispositivos conectados à rede da instituição. Parágrafo único. As ferramentas de descoberta serão configuradas para realizar varreduras periódicas, com frequência mínima diária para ferramentas de descoberta ativa e semanal para ferramentas de descoberta passiva. Art. 12. A Diretoria de Tecnologia da Informação da Secretaria-Executiva deverá analisar e tratar os dispositivos identificados na rede da Controladoria-Geral da União e não cadastrados no inventário, verificando sua conformidade e autorização de uso, observando o seguinte: I - os dispositivos de propriedade da instituição, mas não incluídos no inventário, devem ser devidamente registrados e adicionados a ele, após a verificação de sua conformidade e do cumprimento dos requisitos de segurança; e II - os dispositivos não pertencentes à instituição ou cuja propriedade não possa ser comprovada devem ser imediatamente desconectados da rede interna, exceto quando houver autorização formal concedida pela Diretoria de Tecnologia da Informação da Secretaria-Executiva. Art. 13. A Diretoria de Tecnologia da Informação da Secretaria-Executiva manterá processo contínuo de monitoramento da rede para identificar a presença de dispositivos não autorizados e de dispositivos inativos, podendo aplicar as seguintes medidas: I - remoção do dispositivo não autorizado da rede; II - bloqueio de conexão remota do dispositivo não autorizado à rede institucional; III - isolamento do dispositivo não autorizado em ambiente de quarentena para análise; e IV - bloqueio de dispositivos inativos por mais de noventa dias. Art. 14. Deverá ser estabelecida, documentada e revisada continuamente norma específica sobre o uso seguro dos recursos de tecnologia da informação no âmbito da Controladoria-Geral da União, contemplando orientações sobre o uso adequado de dispositivos corporativos. Art. 15. Os dispositivos corporativos que atingirem o fim do seu ciclo de vida útil, tornarem-se obsoletos ou forem substituídos deverão ser devolvidos à Diretoria de Tecnologia da Informação da Secretaria-Executiva para os procedimentos de descarte seguro, etapa prévia obrigatória para subsidiar o processo administrativo de desfazimento conduzido pela comissão competente. § 1º Previamente ao descarte, os dispositivos corporativos devem ser submetidos a processo de sanitização que assegure a remoção segura e irrecuperável de todos os dados e softwares licenciados. § 2º O responsável pela custódia do dispositivo deve realizar backup dos dados armazenados no dispositivo antes de retorná-lo à Diretoria de Tecnologia da Informação da Secretaria-Executiva. § 3º O descarte de dispositivos deve observar a legislação ambiental aplicável e as normas de sustentabilidade da instituição. Art. 16. A perda ou o roubo de dispositivos corporativos serão imediatamente relatados à Diretoria de Tecnologia da Informação da Secretaria-Executiva, sem prejuízo da obrigatória comunicação ao setor de patrimônio para fins de apuração de responsabilidade. Parágrafo único. Recebida a comunicação, a Diretoria de Tecnologia da Informação da Secretaria-Executiva deverá adotar as seguintes medidas de contingência: I - revogar o acesso do dispositivo aos sistemas e dados corporativos; II - acionar procedimentos de localização remota, quando disponíveis; III - executar procedimentos de limpeza remota de dados, se tecnicamente viável; IV - atualizar o status do dispositivo no inventário; e V - avaliar a necessidade de notificação às autoridades competentes e aos titulares de dados pessoais eventualmente comprometidos, conforme legislação aplicável. CAPÍTULO IV DISPOSIÇÕES FINAIS Art. 17. O art. 2º, inciso I, da Portaria Normativa SE/CGU nº 229, de 15 de outubro de 2025, passa a vigorar com a seguinte redação: "Art. 2º ... I - dispositivos corporativos: dispositivos de usuário final, incluindo portáteis e móveis, dispositivos de rede, servidores e dispositivos não computacionais relativos à internet das coisas conectados à infraestrutura física da Controladoria-Geral da União, de forma direta, virtual ou remota, além daqueles em ambientes de nuvem, e que estejam sob gestão da Diretoria de Tecnologia da Informação da Secretaria-Executiva;" (NR) Art. 18. Os casos omissos serão resolvidos pela Diretoria de Tecnologia da Informação da Secretaria-Executiva. Art. 19. A revisão desta Portaria Normativa deve ser realizada a cada dois anos ou sempre que se fizer necessário. Art. 20. Esta Portaria Normativa entra em vigor na data de sua publicação. EVELINE MARTINS BRITO