SEI/DNOCS - 0007916

MINISTÉRIO DA INTEGRAÇÃO NACIONAL
DEPARTAMENTO NACIONAL DE OBRAS CONTRA AS SECAS

O DIRETOR GERAL DO DEPARTAMENTO NACIONAL DE OBRAS CONTRA AS SECAS, usando das atribuições que lhe confere o art. 11, letra “K”, da Lei nº 4.229, de 1º de junho de 1963, com as alterações da Lei nº 10.204, de 22 de fevereiro de 2001 e o disposto no art. 18, inciso VII do Anexo I do Decreto nº 4.650, de 27 de março de 2003,:

Art. 1º Instituir a Política de Governança de Tecnologia da Informação do Departamento Nacional de Obras Contra as Secas PGTI – DNOCS, constituída por um conjunto de objetivos, princípios, diretrizes, normas, processos, estruturas organizacionais e pessoas, visando à criação de valor para a instituição e para o cidadão mediante o uso dos recursos de Tecnologia da Informação – TI.

I - contribuir para a sustentabilidade, o cumprimento da missão e a melhoria dos resultados institucionais, em benefício da sociedade brasileira;

II - integrar as práticas de governança, gestão e de uso da TI às estratégias e planos do DNOCS;

III - prover instrumentos de transparência e controle da governança e da gestão de TI;

IV - estabelecer diretrizes para a gestão de TI, bem como para as atividades relacionadas ao provimento de serviços e soluções de TI ; e

V - definir os papéis e as responsabilidades dos atores envolvidos na governança e gestão de TI no âmbito do DNOCS;

II - as demais políticas de TI, organizadas em portarias e normas complementares a esta política;

I - Tecnologia da Informação (TI): ativo estratégico que suporta processos de negócios institucionais, mediante a conjugação de recursos, processos e técnicas utilizados para obter, processar, armazenar, disseminar e fazer uso de informações;

II - governança de TI: conjunto de princípios, diretrizes, normas, processos, estruturas organizacionais e instrumentos de controle que visam assegurar que as decisões e as ações relacionadas à gestão e ao uso de TI estejam integradas e coerentes às necessidades institucionais, contribuindo, assim, para o cumprimento da missão e o alcance das metas organizacionais;

III - gestão de TI: compreende o uso racional de meios (pessoas e recursos de TI) para alcançar as metas organizacionais, mediante o planejamento, organização, coordenação, monitoramento e controle das atividades operacionais e dos projetos;

IV - alta administração: as seguintes autoridades públicas do Departamento Nacional de Obras Contra as Secas, responsáveis pela governança de TI:

V - solução de TI: conjunto formado por elementos de tecnologia da informação e processos de trabalho que se integram para produzir resultados que atendam a necessidades do DNOCS;

VI - unidade provedora de solução de TI (unidade provedora): unidade organizacional do DNOCS responsável pelas atividades de gestão de TI, pela prestação de serviços de TI e pelo desenvolvimento, evolução e manutenção das soluções tecnológicas que suportam tais serviços;

VII - unidade gestora solução de TI (unidade gestora): unidade organizacional do DNOCS responsável pela definição de processos de trabalho, requisitos, regras de negócio e níveis de serviço aplicáveis a um serviço de TI;

VIII - provimento de solução: ações necessárias para implantar a solução de TI, assegurar funcionamento e dar suporte adequado aos usuários;

IX – princípios de TI: conjunto de declarações estratégicas sobre como a TI deve ser utilizada no DNOCS, compreendendo os valores e premissas fundamentais que devem ser respeitados nas atividades de governança e gestão de TI;

X – recursos de TI: ativos organizacionais relacionados a TI (informação, serviços, infraestrutura e aplicações) que permitem a organização alcançar suas metas;

XI – serviço de TI: atividades de fornecimento de infraestrutura e aplicações de TI, bem como suporte técnico para o uso destes, atendendo aos requisitos de qualidade definidos no acordo de nível de serviço, de forma a suportar uma ou mais soluções de TI; e

XII – acordo de nível de serviço: acordo entre a unidade responsável pelo provimento de um serviço de TI (unidade provedora) e a unidade gestora solução de TI (unidade gestora), no qual se estabelecem metas de qualidade e de desempenho para o serviço de TI, considerando–se as necessidades do negócio, o impacto das soluções, o custo e a capacidade de alocação de recursos para o provimento do serviço de TI.

Parágrafo único. Para os fins do disposto nos incisos V e XI deste artigo, as soluções e os serviços de TI são classificados, segundo a sua natureza, em:

I – Externo – quando de caráter estruturante ou provocarem impacto significativo sobre o funcionamento administrativo, as políticas públicas e os resultados DNOCS; ou

II – Interno – quando destinados ao atendimento de necessidades de uma unidade ou de um conjunto reduzido de unidades, sem impacto significativo sobre o funcionamento, as políticas públicas e os resultados do DNOCS.

Art. 5º As práticas de governança e de gestão da TI, bem como o uso dos recursos de TI no âmbito do DNOCS obedecerão aos seguintes princípios determinados pela legislação brasileira:

I – os princípios da administração pública direta e indireta, definidos no artigo 37 da Constituição Federal de 1988: legalidade, impessoalidade, moralidade, publicidade e eficiência;

II – os princípios fundamentais das atividades de administração federal, determinados pelo artigo 6º do Decreto–Lei nº 200, de 25 de fevereiro de 1967: planejamento, coordenação, descentralização, delegação de competência e controle; e

III – os princípios listados no artigo 2º da Lei nº 9.784, de 29 de janeiro de 1999: legalidade, finalidade, motivação, razoabilidade, proporcionalidade, moralidade, ampla defesa, contraditório, segurança jurídica, interesse público e eficiência.

Art. 6º Às práticas de governança e de gestão da TI, bem como ao uso dos recursos de TI no âmbito do DNOCS, aplicam–se as seguintes diretrizes gerais:

I – definição formal de autoridade e responsabilidade por decisões e ações relacionadas a TI;

II – todos os indivíduos e grupos dentro da organização devem compreender e aceitar suas responsabilidades com respeito às demandas e ao fornecimento de bens e serviços de TI;

III – a estratégia do DNOCS deve levar em conta as capacidades atuais e futuras de TI, assim como as estratégias e planos de TI devem satisfazer as necessidades atuais e contínuas da estratégia do DNOCS;

IV – a alta administração do DNOCS deve monitorar e avaliar periodicamente o alcance das metas definidas nos planos de TI, o cumprimento dos níveis de serviços estabelecidos, a conformidade e o desempenho dos processos relacionados à TI;

V – deve existir integração entre as áreas finalísticas, meio e de TI mediante diálogo permanente e adoção de um vocabulário comum;

VI – as diretrizes, os processos e os procedimentos operacionais devem ser formalizados;

VII – a TI deve ser adequada ao propósito de apoiar a organização mediante o fornecimento de serviços necessários para atender aos requisitos atuais e futuros do DNOCS;

VIII – as atividades de TI devem cumprir toda a legislação e normas complementares; e

IX – as diretrizes, processos e os procedimentos operacionais devem respeitar as pessoas envolvidas nas atividades de TI, incluindo as necessidades atuais e futuras dessas pessoas.

Art. 7º. Para obedecer aos princípios e cumprir as diretrizes gerais desta política, bem como contribuir para o alcance dos objetivos e das metas institucionais, serão formulados os seguintes planos, que nortearão os programas, projetos, serviços, sistemas e operações de TI:

I – Plano Estratégico de Tecnologia da Informação (PETI), de caráter plurianual, harmonizado com o Plano Estratégico Institucional do DNOCS e compatível com o Plano Plurianual e a Estratégia de Governança Digital da Administração Pública Federal;

II – Plano Diretor de Tecnologia da Informação (PDTI), de caráter plurianual, harmonizado com o Plano Estratégico de TI;

Art. 8º As práticas de gestão da estratégia de TI obedecerão as seguintes diretrizes:

I – compreensão das políticas públicas, programas, projetos e processos de trabalho do DNOCS, com o objetivo de identificar oportunidades que possam ser alavancadas pelo uso de TI;

II – coordenação centralizada das iniciativas para atendimento às necessidades de negócio relacionadas à TI;

III – formulação de estratégias e planos de TI que contemplem objetivos de médio e longo prazo, bem como iniciativas e prioridades, de forma a contribuir com o alcance dos objetivos estratégicos;

IV – elaboração de indicadores e estabelecimento de metas para avaliação dos objetivos estabelecidos, em função dos benefícios esperados para o DNOCS;

V – ampla participação de todas as unidades organizacionais no DNOCS das estratégias e planos de TI;

VI – desenvolvimento continuado de competências multidisciplinares, técnicas e gerenciais, necessárias ao exercício pleno de todas as atribuições dos servidores da área de TI, com incentivo à obtenção das certificações profissionais correspondentes, de acordo com as necessidades evidenciadas pelos planos e prioridades organizacionais;

VIII – estabelecimento de critérios de priorização e alocação orçamentária para os programas e projetos de TI; e

IX – alinhamento entre a proposta orçamentária anual e as estratégias e planos de TI.

Art. 9º Para os fins do disposto nesta Política, o provimento de soluções de TI compreende as seguintes modalidades:

I – desenvolvimento: construção de soluções, com recursos próprios ou de terceiros, para atender a necessidades específicas do DNOCS;

II – aquisição: adoção de soluções construídas externamente ao DNOCS, por meio de contratação, recebimento de outros órgãos e entidades ou utilização de software livre; e

III – manutenção: alteração de solução existente para correção de erros, melhoria de qualidade, incorporação de novas funcionalidades, mudança nas regras de negócio ou adaptação a novas tecnologias.

Parágrafo único. Qualquer que seja a modalidade adotada, a abordagem de provimento de soluções de TI classifica–se, segundo a responsabilidade das unidades envolvidas, em:

I – centralizada: quando o desenvolvimento, a aquisição ou a manutenção da solução é realizado pelo Serviço de Tecnologia da Informação – STI; ou

II – descentralizada: quando o desenvolvimento, a aquisição ou a manutenção da solução é realizada por outra unidade provedora, sob orientação técnica do Serviço de Tecnologia da Informação – STI e seguindo a arquitetura e os padrões tecnológicos estabelecidos.

I – concepção de soluções com foco na otimização dos processos de trabalho do DNOCS, na integração de soluções e na reutilização de dados e componentes;

II – consideração, quando da concepção de soluções de TI a serem desenvolvidas ou adquiridas, de requisitos não funcionais relevantes, em especial dos requisitos de segurança da informação e dos requisitos relativos à disponibilidade, ao desempenho e à usabilidade da solução;

III – adoção de arquitetura e padrões tecnológicos que satisfaçam aos critérios técnicos aprovados pelo Comitê de Tecnologia e de Segurança da Informação e Comunicações – CTS e que se baseiem preferencialmente em padrões de mercado e em diretrizes de interoperabilidade do Governo Federal;

IV – preservação dos direitos de propriedade intelectual do DNOCS sobre códigos, documentos e outros elementos integrantes de soluções que sejam desenvolvidas especificamente para a instituição, com recursos próprios ou de terceiros;

V – realização, previamente à implantação das soluções de TI, dos testes necessários para assegurar o correto funcionamento e a aderência das soluções às regras de negócio e aos requisitos especificados;

VI – definição, mensuração e revisão periódica de acordos de níveis de serviço;

VII – planejamento e gestão do ambiente de TI e dos processos operacionais que o suportam com foco no cumprimento dos níveis de serviço acordados para as soluções de TI;

VIII – atuação proativa com vistas à identificação de lacunas de conhecimento e ao desenvolvimento de competências dos usuários previamente à implantação de novas soluções de TI, bem como de forma continuada;

IX – definição formal dos processos de trabalho relacionados às atividades necessárias ao provimento de soluções de TI em qualquer das modalidades previstas no art. 9º;

X – adoção da modalidade de provimento que se revelar justificadamente mais adequada à realização das estratégias e ao alcance dos objetivos institucionais, com base em critérios definidos nos planos estratégicos de TI ou em normas internas;

XI – adoção preferencial da abordagem centralizada para provimento de soluções de natureza corporativa; e

XII – adoção preferencial de abordagem descentralizada para provimento de soluções de natureza departamental.

Art. 11 As atividades de gestão de serviços de TI obedecerão as seguintes diretrizes específicas:

I – os serviços de TI devem ser relacionados e formalizados no Catálogo de Serviços de TI;

II – os níveis de serviços de TI devem ser definidos e revisados periodicamente;

III – o desempenho dos serviços de TI deverá ser mensurado e informado periodicamente ao Comitê de Governança, Riscos e Controles;

IV – os processos operacionais, a infraestrutura e as aplicações devem ser gerenciados de forma a cumprir os níveis de serviços;

V– a prestação de serviços de TI deve ser centralizada no Serviço de Tecnologia da Informação – STI;

VI – a utilização da informação, da infraestrutura e das aplicações, necessária para a prestação dos serviços de TI, deve ser racionalizada; e

VII – os processos, serviços, infraestrutura e aplicações devem estar integrados e ser interoperáveis.

Art. 12. Todo serviço oferecido aos usuários do DNOCS será acompanhado de sua norma operacional, que abrangerá necessariamente:

II – as restrições de utilização do serviço, ou seja, a quem se destina e quanto do serviço estará disponível ao usuário;

III – o nível de segurança e responsabilidades do usuário na utilização do serviço; e

Parágrafo único – As normas operacionais, bem como modificações supervenientes, serão divulgadas por meio da Intranet ou diretamente por e–mail institucional, devendo o usuário do serviço se manifestar oficialmente em caso de discordância em relação às normas operacionais associadas ao serviço.

Art. 13 Todos os usuários estão sujeitos à auditoria em sua utilização dos serviços de TI.

§ 1º Os procedimentos de auditoria e de monitoramento de uso dos serviços de TI serão realizados constantemente pelas aplicações preparadas para este fim. A gestão destas aplicações será de responsabilidade do Serviço de Tecnologia da Informação – STI, podendo sua execução ser delegada a uma consultoria contratada, com o objetivo de observar o cumprimento das normas operacionais associadas.

§ 2º Havendo evidência de atividade que possa comprometer o desempenho e/ou a segurança dos serviços de TI ou que infrinja a norma operacional associada, será permitido ao Serviço de Tecnologia da Informação – STI auditar e monitorar as atividades de usuários, inclusive inspecionando seus arquivos e registros de acesso, bem como proibir o acesso à fonte causadora do problema, devendo ser o fato comunicado imediatamente ao superior imediato do usuário causador do problema.

Art. 14. O usuário que desrespeitar a norma operacional poderá sofrer sanções tais como ter o acesso aos serviços suspensos temporária ou permanentemente.

Art. 15. Com vistas a manter a continuidade da prestação de serviços de TI em caso de desastres e sinistros na infraestrutura física e lógica de TI, a unidade provedora de TI deve formular e implantar um Plano de Continuidade do Negócio com a participação de todas as unidades interessadas no sucesso do plano.

§ 1º O Plano de Continuidade do Negócio deverá ser testado e revisado periodicamente, de forma a refletir as mudanças na infraestrutura física e lógica de TI e as necessidades atuais do DNOCS.

§ 2º O Plano de Continuidade do Negócio deverá considerar os riscos existentes relativos à infraestrutura física e lógica de TI, bem como a criticidade dos serviços de TI para o DNOCS.

Art. 16. As aquisições de TI deverão cumprir as seguintes diretrizes específicas:

I – realização por justificativas válidas, baseadas numa análise adequada, com tomada de decisão clara e transparente, buscando equilibrar apropriadamente os benefícios, custos e riscos;

II – integração e alinhamento das aquisições de TI às estratégias, planos e prioridades institucionais, considerando a alocação orçamentária necessária à realização das iniciativas planejadas e ao custeio dos contratos vigentes de serviços de natureza continuada;

IV – planejamento com vistas à aquisição, sempre que justificável, de soluções completas, contemplando itens como implantação, treinamento, suporte, operação e demais componentes necessários ao alcance dos objetivos definidos;

V – estabelecimento, sempre que possível, nos contratos com fornecedores, de previsão de pagamentos em função de resultados verificáveis e baseados em níveis mínimos de serviços; e

VI – preservação dos direitos de propriedade intelectual do DNOCS sobre códigos, documentos e outros elementos integrantes de aplicações que sejam desenvolvidas especificamente para a instituição, com recursos próprios ou de terceiros.

Art. 17. As atividades de gestão de riscos de TI devem obedecer as seguintes diretrizes específicas:

I – fomentar a cultura de gestão de riscos como fator essencial para implantar as estratégias e planos de TI, tomar decisões e realizar os objetivos relacionados à TI;

II – considerar se os riscos de TI têm impacto sobre outras organizações públicas e demais partes interessadas, com consulta e compartilhamento de informações entre os atores envolvidos;

II – os riscos de TI devem ser identificados, analisados, avaliados, tratados e monitorados de forma contínua mediante processos formalizados; e

IV – a alta administração deverá estabelecer critérios para tratamento dos riscos relacionados à TI, considerando aspectos legais, financeiros, sociais, operacionais, tecnológicos, negociais e de imagem do DNOCS.

Art. 18. Um modelo de arquitetura e padrões tecnológicos de TI deverá ser utilizado para nortear as aquisições de TI, bem como o desenvolvimento, evolução, manutenção e implantação de serviços de TI.

Art. 20. O modelo de arquitetura da TI deverá ser gerenciado e revisado periodicamente de modo a refletir as necessidades atuais e futuras do DNOCS.

Art. 21. A arquitetura de TI deverá ser padronizada, consistente e em conformidade com os padrões de interoperabilidade e de governo eletrônico.

Art. 22. A aprovação do modelo de arquitetura e padrões tecnológicos de TI é de responsabilidade do Comitê de Tecnologia e de Segurança da Informação e Comunicações – CTS.

Art. 10. As estruturas organizacionais que integram o Sistema de Governança de TI do DNOCS:

II – Comitê de Tecnologia e de Segurança da Informação e Comunicações – CTS;

Art. 24. Compete ao Comitê de Governança, Riscos e Controles, órgão colegiado de natureza deliberativa, de caráter estratégico, presidido pelo Diretor e composto pela Diretoria Colegiada, para efeito do disposto nesta Política:

I – analisar as propostas de políticas, diretrizes, objetivos e estratégias de TI e submetê–las, quando couber, à aprovação do próprio comitê;

II – aprovar os planos estratégicos e táticos de TI e os indicadores de desempenho de TI;

III – aprovar a alocação dos recursos orçamentários destinados à TI, bem como alterações que provoquem impacto significativo sobre a alocação inicial;

IV – aprovar as demandas para provimento centralizado e descentralizado de novas soluções de TI de natureza corporativa, assim como demandas de manutenção com impacto significativo sobre os planos de TI; e

V – acompanhar, periodicamente, a execução dos planos estratégicos e táticos de TI, a evolução dos indicadores de desempenho de TI e outras informações relativas ao provimento, à gestão e ao uso de TI no DNOCS, de modo a reavaliar prioridades, identificar eventuais desvios e determinar correções necessárias.

Parágrafo único. O regimento interno do Comitê de Governança, Riscos e Controles será definido em portaria específica.

Art. 25. Ao Comitê de Tecnologia e de Segurança da Informação e Comunicações – CTS , que tem suas atribuições e competências definidas pela Portaria nº 126, de 05 de novembro de 2013, com relação a esta Política cabe:

I – assessorar o Comitê de Governança, Riscos e Controles no exercício de suas competências; e

Art. 26. Comitê de Tecnologia e de Segurança da Informação e Comunicações – CTS é órgão colegiado de natureza consultiva e de caráter permanente, com responsabilidades de cunho executivo, ao qual compete, para efeito do disposto nesta Política:

I – coordenar a formulação de propostas de políticas, diretrizes, objetivos e estratégias de TI;

II – coordenar a elaboração dos planos e a definição dos indicadores de desempenho de TI, bem como a implementação das ações planejadas e a mensuração dos resultados obtidos;

III – consolidar custos, agregar e propor a alocação dos recursos orçamentários destinados à TI, bem como alterações que provoquem impacto significativo sobre a alocação inicial;

IV – analisar, manifestar–se a respeito e encaminhar ao Comitê de Governança, Riscos e Controles para aprovação e priorização as demandas que tratem do provimento centralizado e descentralizado de novas soluções de TI de natureza corporativa, assim como demandas de manutenção com impacto significativo sobre os planos de TI;

V – submeter periodicamente ao Comitê de Governança, Riscos e Controles, com as propostas de melhorias e ajustes julgados necessários, informações consolidadas sobre a situação da governança, da gestão e do uso de TI no DNOCS, em especial sobre:

VI – promover a adequada publicidade e transparência das informações a que se refere o inciso anterior;

VII – fazer a gestão e o monitoramento do Catálogo de Programas e Projetos de TI.

Art. 27. A Divisão de Gestão Estratégica, o Serviço de Gestão e Desenvolvimento Institucional – GDI e o Serviço de Tecnologia da Informação – STI, que têm suas atribuições e competências definidas, respectivamente, pelos arts. 19, 20 e 21 da Portaria nº 43, de 31 de janeiro de 2017, para os efeitos desta Política devem:

I – conjuntamente, estabelecer, prover meios de funcionamento e coordenar estudos de viabilidade técnica de soluções, sendo responsáveis pela definição da arquitetura e padrões tecnológicos para as soluções de TI, além de emitir parecer técnico de viabilidade de soluções de TI propostas ao Comitê de Tecnologia e de Segurança da Informação e Comunicações – CTS;

II – submeter, periodicamente, ao Comitê de Tecnologia e de Segurança da Informação e Comunicações – CTS, propostas de melhorias e ajustes pertinentes sobre a gestão e o uso da TI no DNOCS, no âmbito das suas respectivas competências;

III – fazer a gestão do Catálogo de Serviços de TI, no âmbito das suas respectivas competências; e

IV – assessorar o CTS no exercício de suas atribuições, no âmbito das suas respectivas competências;

Art. 28. As normas complementares relativas à gestão e uso de recursos de TI, emanadas no âmbito do DNOCS, devem harmonizar–se com as disposições desta Política.

Documento assinado eletronicamente por Angelo Jose de Negreiros Guerra, Diretor Geral, em 31/01/2018, às 06:50, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

A autenticidade deste documento pode ser conferida no site https://sei.dnocs.gov.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 0007916 e o código CRC B996ABF5.