07/06/2021 SEI/SEDE - 13912736 - Política - SEI

EMPRESA BRASILEIRA DE SERVIÇOS HOSPITALARES

SCS Quadra 9, Edifício Parque Cidade Corporate, Torre C, 1° ao 3° andares - Bairro Asa Sul

Brasília-DF, CEP 70308-200

(61) 3255-8900 - http://www.ebserh.gov.br

Política - SEI nº 1/2021/SGTI/DTI-EBSERH

Brasília, 28 de maio de 2021.

  

  

POLÍTICA DE GOVERNANÇA DE TIC

 
Versão Data Descrição da Ação Autor(es)
Simone Henriqueta Cossetin Scholze
Cláudia Brandão
Victor Alex Begnini
Rodrigo Vaz dos Santos
1.0 23/04/2021 Elaboração do Documento
Natalícia Batista Bueno
Eliane Cunha Marques
Igor de Andrade Marrocos
Paulo Cesar Guimaraes Campos

TÍTULO I - DA POLÍTICA DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO– PGTIC

Art. 1º. Institui a Política de Governança de Tecnologia da Informação e Comunicação (PGTIC) da Empresa Brasileira de Serviços Hospitalares
(Ebserh), constituída por um conjunto de princípios, diretrizes e atividades, visando alinhar as ações e a utilização dos recursos de Tecnologia
da Informação e Comunicação (TIC) às estratégias da Ebserh.

Parágrafo único. Os princípios e diretrizes de que trata o caput deste artigo são guiados pelo conjunto de boas práticas para gestão e
governança de TIC estabelecidos no Guia de Governança de TIC do SISP e no framework COBIT.

CAPÍTULO I – DOS CONCEITOS

Art. 2º. Para efeitos desta política considera-se:

I.  Acordo de nível de serviço: acordo entre a unidade responsável pelo provimento de um serviço de TIC e a área responsável pela
informação tecnológica, no qual se estabelecem metas de qualidade e de desempenho para o serviço de TIC, considerando-se as
necessidades do negócio, o impacto das soluções, o custo e a capacidade de alocação de recursos para o provimento do serviço de TIC;
II. Aplicações de  TIC : programa de computador (software) que constitui uma parte de um processo de negócio, operacionalizando suas
transações ou automatizando suas atividades;
III. Arquitetura da informação: conjunto de documentos que descrevem dados e informações corporativas, compreendendo o modelo de
dados, o dicionário de dados, as regras de sintaxe, integridade e consistência para os dados, a classificação destes quanto à
propriedade, confidencialidade e criticidade e os direitos para acesso, retenção e descarte;
IV. Arquitetura de aplicações: é a definição de como a aplicação fará o gerenciamento dos dados e o fornecimento de informação
tecnológica para as pessoas que executam funções de negócio, possibilitando o acesso ao dado no formato adequado e custo
aceitável;
V. Arquitetura de negócios: atividades ou tarefas que compõem os processos de negócios necessários para desempenhar a competência
organizacional e alcançar a missão e as metas organizacionais;
VI. Arquitetura de tecnologia: definição de padrões para tipos de tecnologias ou plataformas que darão suporte ao negócio em ambiente
de compartilhamento de dados;
VII. Arquitetura de TIC : é a lógica de organização para aplicações, dados e tecnologia de infraestrutura concretizada em um conjunto de
políticas e escolhas técnicas, cujo propósito é viabilizar a estratégia de negócio, compreendendo quatro dimensões: arquitetura de
negócios, arquitetura da informação, arquitetura de aplicações e arquitetura tecnológica;
VIII. Atividades de  TIC : todas as tarefas que utilizam os meios tecnológicos para tratamento da informação ou auxílio na comunicação,
incluindo hardware, computadores, rede telemóvel e softwares;
IX. COBIT: Sigla para “Control Objectives for Information and related Technology”, é um framework de boas práticas criado pela ISACA
(Information Systems Audit and Control Association) para a governança de tecnologia de informação (TIC).
X. Escritório de gerenciamento de programas e projetos de TIC (EGPP-TI): função responsável pelo controle e monitoramento dos
programas e projetos de  TIC , atribuída segundo entendimento da direção de  TIC;
XI. Gestão de  TIC: compreende o uso racional de meios (pessoas e recursos de  TIC) para alcançar as metas organizacionais, mediante o
planejamento, organização, coordenação, monitoramento e controle das atividades operacionais e dos projetos, considerando um
dado período de tempo;
https://sei.ebserh.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=26718860&infra_… 1/10
07/06/2021 SEI/SEDE - 13912736 - Política - SEI
XII. Governança de  TIC: conjunto de princípios, diretrizes, normas, processos, estruturas organizacionais e instrumentos de controle que
visam assegurar que as decisões e as ações relacionadas à gestão e ao uso de TIC estejam integradas e coerentes com as necessidades
institucionais, contribuindo, assim, para o cumprimento da missão e o alcance das metas organizacionais;
XIII. Indicadores Estratégicos: Instrumentos dinâmicos de gestão essenciais para pôr em prática a obtenção dos objetivos estratégicos,
permitindo monitorar e avaliar continuamente o cumprimento das metas, identificando seus avanços ou deficiências com vistas a sua
melhoria contínua;
XIV. Infraestrutura de TIC : conjunto de bens utilizados para o processamento e as comunicações de informações, compreendendo
equipamentos (hardware), programas (software), redes de dados e telecomunicações, estações de trabalho, bancos de dados,
impressoras, entre outros elementos;
XV. Portifólio de TIC: coleção de projetos, programas, serviços ou qualquer outros trabalhos de TIC, em andamento ou planejados,
estando eles relacionados de alguma forma ou não, que estão agrupados com o propósito de facilitar o gerenciamento efetivo das
ações para atender aos objetivos estratégicos organizacionais;
XVI. Princípios de  TIC : conjunto de declarações estratégicas sobre como a TIC deve ser utilizada na Ebserh, compreendendo os valores e
premissas fundamentais que devem ser respeitados nas atividades de governança e gestão de TIC;
XVII. Recursos de  TIC : compreende os ativos organizacionais relacionados a TIC (informação, serviços, infraestrutura e aplicações), que
permitem a organização alcançar suas metas;
XVIII. Risco de  TIC : fonte de ameaças que potencializa uma vulnerabilidade, expondo a organização a impactos em seu funcionamento,
como mal funcionamento de sistemas, roubo ou vazamento de informações, deficiências de desempenho em recursos tecnológicos;
XIX. Riscos Gerenciais: fatores organizacionais que devem ser controlados, mitigados e prevenidos e que podem afetar e até inviabilizar o
desempenho de processos, projetos e programas;
XX. Segurança da Informação: ações que tem como objetivo viabilizar e assegurar a disponibilidade, integridade, confidencialidade e
autenticidade das informações;
XXI. Serviço de TIC: atividades de fornecimento de infraestrutura e aplicações de  TIC, bem como suporte técnico para seu uso, atendendo
aos requisitos de qualidades definidos no acordo de nível de serviço;
XXII. Solução de TIC: conjunto de bens e/ou serviços que apoiam processos de negócio, mediante a conjugação de recursos, processos e
técnicas utilizados para obter, processar, armazenar, disseminar e fazer uso de informações;
XXIII. Tecnologia da Informação e Comunicação (TIC): ativo estratégico que suporta processos de negócios institucionais, mediante a
conjugação de recursos, processos e técnicas utilizados para obter, processar, armazenar, disseminar e fazer uso de informações;

CAPÍTULO II – DOS OBJETIVOS

Art. 3º. A PGTIC da Ebserh tem como objetivos:

I. Estabelecer princípios e diretrizes para a governança e gestão de TIC, bem como, para as atividades relacionadas ao provimento de
serviços e soluções de TIC;
II. Integrar as práticas de governança e gestão de  TIC  às estratégias, planos e políticas da Ebserh;
III. Prover instrumentos de transparência, comunicação e controle da governança e da gestão de TIC;
IV. Definir papéis e responsabilidades dos atores envolvidos na governança e na gestão de  TIC  no âmbito da Ebserh;
V. Monitorar e avaliar, de forma convergente e dinâmica, o desempenho de processos, projetos e programas de TIC;
VI. Contribuir para ações de transformação digital conforme a Estratégia de Governança Digital do Governo Federal (Decreto nº. 10.332,
de 28 de abril de 2020); e
VII. Fomentar avanços nos níveis de maturidade na governança e na gestão de TIC na Ebserh.

CAPÍTULO III - DA ABRANGÊNCIA

Art. 4º. Esta Política de Governança de TIC abrange todas as Unidades da Ebserh, quanto a:

I. Demandas de TIC atuais e futuras, formalizadas ou potenciais, identificadas junto às áreas finalísticas e de apoio da Ebserh;
II. Estruturas, recursos e meios tecnológicos e de comunicações em operação na Ebserh; e
III. Processos, projetos, atividades, programas e demais iniciativas de TIC da Ebserh.

CAPÍTULO IV – DOS PRINCÍPIOS

Art. 5º. Nas práticas de governança e de gestão de TIC devem ser considerados os princípios que regem as atividades da Administração
Pública Federal, quais sejam:

I. Legalidade, impessoalidade, moralidade, publicidade e eficiência, expressos no artigo 37 da Constituição Federal;

II. Planejamento, coordenação, descentralização, delegação de competência e controle, expressos no artigo 6º do Decreto-Lei nº 200, de
25 de fevereiro de 1967;
III. Legalidade, finalidade, motivação, razoabilidade, proporcionalidade, moralidade, ampla defesa, contraditório, segurança jurídica,
interesse público e eficiência, expressos no artigo 2º da Lei nº 9.784, de 29 de janeiro de 1999;
IV. Liderança, integridade, responsabilidade, compromisso, transparência, prestação de contas, expressos na Instrução Normativa
Conjunta CGU/MP nº 1, de 10 de maio de 2016; e
V. Estrita observância à Lei Geral de Proteção de Dados (LGPD).

Art. 6º. Além do disposto no Art. 5º supra, a governança e gestão de TIC orientam-se, no que couber, pelos seguintes princípios específicos:

I. Responsabilidade – definição formal de autoridade e responsabilidade por decisões e ações;

II. Estratégia – alinhamento dos planos e das ações de TIC ao Planejamento Estratégico de TIC e às necessidades da Ebserh;
III. Transparência – recursos de TIC com transparência nos custos, riscos e resultados;
https://sei.ebserh.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=26718860&infra_… 2/10
07/06/2021 SEI/SEDE - 13912736 - Política - SEI
IV. Desempenho - disponibilidade dos serviços, níveis de serviços e qualidade de serviços necessários para atender às demandas atuais e
futuras da Ebserh;
V. Conformidade – adequação às normas e melhores práticas aplicáveis, bem como às diretrizes definidas nesta política; e
VI. Gestão por resultados - monitoramento e avaliação regular, pela alta administração, do alcance das metas definidas nos  planos  de
 TIC  e  da  conformidade  e  desempenho  das atividades  que  suportam  a  política  de governança de TIC.

TÍTULO II – DA ESTRUTURA ORGANIZACIONAL DE GOVERNANÇA DE TIC

Art. 7º. As estruturas organizacionais que integram a Governança de TIC da Administração Central são:

I. Comitê Gestor de Tecnologia da Informação e Comunicação (CGTIC);

II. Comitê de Segurança da Informação (CSI); e
III. Diretoria de Tecnologia da Informação (DTI).

Art. 8º. As estruturas organizacionais que integram a Governança de TIC das Unidades Hospitalares são:

I. Colegiado Executivo;
II. Comitê de Segurança da Informação(CSI); e
III. Setor de Gestão de Processos e Tecnologia da Informação (SGPTI).

CAPÍTULO I – DO COMITÊ GESTOR DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO (CGTIC)

Art. 9º. O Comitê Gestor de Tecnologia da Informação e Comunicação – CGTIC é o órgão colegiado, de natureza deliberativa e caráter
permanente, formado por membros das áreas finalísticas e da área de TIC, que tem o objetivo de estabelecer as diretrizes estratégicas de
planejamento, organização, priorização e execução das atividades e recursos de Tecnologia da Informação e Comunicação (TIC) na Ebserh;

Parágrafo único. A finalidade, competências, composição e regimento interno do CGTIC são definidos em portaria específica.

CAPÍTULO II – DO COMITÊ  DE SEGURANÇA DA INFORMAÇÃO (CSI)

Art. 10. O Comitê  de Segurança da Informação – CSI é órgão colegiado, de natureza deliberativa e caráter permanente, que tem por finalidade
coordenar, implantar, divulgar e operacionalizar a Política de Segurança da Informação e Comunicação (PoSIC) da Ebserh, bem como propor e
acompanhar planos de ação para aplicação desta política.

Parágrafo único. A finalidade, competências, composição e regimento interno do CSI são definidos em portaria específica.

CAPÍTULO III – DA DIRETORIA DE TECNOLOGIA DA INFORMAÇÃO (DTI)

Art. 11 A Diretoria de Tecnologia da Informação da Ebserh é responsável pela gestão de TIC no âmbito da Administração Central e das Filiais,
nos termos do Regimento Interno da empresa.

CAPÍTULO IV – DA ÁREA DE TIC DOS HOSPITAIS UNIVERSITÁRIOS FEDERAIS (SGPTI)

Art. 12 O Setor de Gestão de Processos e Tecnologia da Informação(SGPTI) nos HUFs está ligado diretamente à Superintendência de cada
Hospital Universitário Federal (HUF) e é responsável pela gestão de TIC no âmbito do respectivo hospital, tendo a competência de apoiar e
executar as estratégias e atividades estabelecidas pela Superintendência do hospital, alinhadas às estratégias definidas pela Diretoria de
Tecnologia da Informação (DTI) da Ebserh.

Art. 13 A Governança de TIC dos HUFs é responsabilidade de cada hospital e deve estar alinhada às diretrizes da Administração Central da
Ebserh.

Parágrafo único. A finalidade, competências, composição e regimento interno dos SGPTIs são definidos em portaria específica publicada pelo
respectivo HUF.

Art. 14 A Instância colegiada superior do hospital, conforme determinação interna de cada HUF, tem entre suas responsabilidades a
governança de TIC do HUF.

CAPÍTULO V – ESPECIFICAÇÃO DOS DIREITOS DECISÓRIOS SOBRE A TIC

Art. 15 Decisões sobre princípios de TIC referem-se às políticas e diretrizes de alto nível, sobre como a TIC deve ser utilizada para apoiar as
atividades finalísticas da Ebserh e podem ser tomadas pelos profissionais de TIC, conjuntamente com outras áreas da Ebserh, no âmbito das
instâncias colegiadas da Administração Central.

Art. 16 Decisões sobre arquitetura de TIC referem-se às escolhas entre as opções disponíveis de modelos e padrões tecnológicos, com vistas a
obter padronização e integração de dados que melhor atenda à organização e devem ser tomadas pela área de TIC, em função do perfil
https://sei.ebserh.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=26718860&infra_… 3/10
07/06/2021 SEI/SEDE - 13912736 - Política - SEI
técnico necessário.

Art. 17 Decisões sobre infraestrutura de TIC referem-se à seleção e priorização de produtos, serviços e outros recursos que sustentam a
capacidade planejada da TIC e devem ser tomadas pela área de TIC, em função do perfil técnico necessário.

Art. 18 Decisões sobre necessidades de aplicações de negócio referem-se à especificação das necessidades e requisitos de negócio para
soluções de TIC, tanto para as desenvolvidas internamente quanto para aquelas adquiridas no mercado, devem ser tomadas pela área de TIC,
juntamente com as demais áreas finalísticas da Ebserh.

Art. 19 Decisões sobre necessidades de investimento em TIC referem-se à seleção e priorização de projetos de TIC, os respectivos valores e as
justificativas para tais decisões, devem ser tomadas pela área de TIC, juntamente com as demais áreas finalísticas da Ebserh.

TÍTULO III – DAS DIRETRIZES

CAPÍTULO I – DAS DIRETRIZES PARA GESTÃO DA ESTRATÉGIA DE TIC

Art. 20 As práticas de gestão da estratégia de TIC obedecerão às seguintes diretrizes:

I. Compreensão das políticas públicas, programas, projetos e processos de trabalho da Ebserh, com o objetivo de identificar
oportunidades que possam ser alavancadas pelo uso de TIC;
II. Coordenação centralizada das iniciativas para atendimento às necessidades de negócio relacionadas à TIC;
III. Formulação de estratégias e planos de TIC que contemplem objetivos de médio e longo prazo, bem como iniciativas e prioridades, de
forma a contribuir com o alcance dos objetivos estratégicos da Ebserh;
IV. Elaboração de indicadores e estabelecimento de metas para avaliação dos objetivos estabelecidos, em função dos benefícios
esperados para a Ebserh;
V. Ampla participação de todas as unidades (HUFs) na formulação das estratégias e planos de TIC;
VI. Transparência na execução das estratégias e planos de TIC;
VII. Estabelecimento de critérios de priorização e alocação orçamentária para os programas e projetos de TIC;
VIII. Alinhamento entre a proposta orçamentária anual e as estratégias e planos de TIC;
IX. Atuação da governança e gestão com apoio do Escritório de Gerenciamento de Programas e Projetos de TIC; e
X. Prestação de contas, responsabilização e conformidade por meio de clara definição e aceitação formal de papéis, funções e
competências.

Art. 21 Para o alcance dos objetivos e das metas institucionais,  a DTI e os respectivos SGPTIs, deverão formular e propor à aprovação das
instâncias colegiadas competentes os seguintes planos, que nortearão os programas, projetos, serviços, sistemas e operações de  TIC:

I. Plano Estratégico de Tecnologia da Informação e Comunicações (PETIC), pela DTI;

II. Plano Diretor de Tecnologia da Informação e Comunicações (PDTIC), pela DTI e pelos SGPTIs respectivamente; e
III. Política de Segurança da Informação e Comunicação (PoSIC), pela DTI.

Art. 22 O Plano Estratégico de Tecnologia da Informação e Comunicação (PETIC) deve observar as seguintes determinações:

I. Alinhar-se aos objetivos estratégicos da Ebserh;

II. Referir-se e alinhar-se aos objetivos estratégicos de TIC e com os objetivos estratégicos do Plano Estratégico Institucional;
III. Ser compatível com o Plano Plurianual e a Estratégia de Governança Estratégia de Governança Digital do Governo Federal;
IV. Ter a mesma vigência do Plano Estratégico Institucional; e
V. Ser instrumento único para toda a Ebserh, levando em consideração o contexto das filiais e da Administração Central da Ebserh.

Art. 23 O Plano Diretor de Tecnologia da Informação e Comunicação (PDTIC) deve observar as seguintes determinações:

I. Na Administração Central deve ser elaborada por equipe instituída pelo CGTIC e aprovado pela Diretoria Executiva da Ebserh.
II. Ser elaborado pelo gestor de TIC do HUF, submetido à DTI e aprovado pelo colegiado de cada HUF;
III. Deve conter, pelo menos, as seguintes informações:

a. Inventário de necessidades priorizado;

b. Plano de metas e ações;
c. Plano de gestão de pessoas;
d. Plano orçamentário; e
e. Plano de gestão de riscos.

IV. Deve apresentar uma ou mais metas para cada objetivo estratégico ou necessidade de TIC, inclusive indicadores, valores e prazos para
cada meta;
V. Referir-se e alinhar-se ao PETIC e, quando couber, ao Plano Diretor Estratégico da Filial;
VI. Dispor de processo de acompanhamento para monitorar e avaliar a implementação das ações, o uso dos recursos e a entrega dos
serviços, com o objetivo de atender às estratégias e aos objetivos institucionais e verificar o alcance das metas estabelecidas, além de
estabelecer ações para corrigir eventuais desvios incongruências, quando necessário;
VII. Ter vigência mínima de dois anos, com revisão anual; e
VIII. Uma vez aprovado e pulicado, deve ser monitorado e avaliado.

Parágrafo único. Cada Filial deverá elaborar e aprovar o respetivo PDTIC.

Art. 24 A Política de Segurança da Informação (PoSIC) deve observar as seguintes determinações:

I. Orientar a Ebserh no que diz respeito à gestão de riscos e ao tratamento de incidentes de segurança da informação, em conformidade
com as disposições legais e regimentais vigentes;
https://sei.ebserh.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=26718860&infra_… 4/10
07/06/2021 SEI/SEDE - 13912736 - Política - SEI
II. Ter a mesma vigência do Plano Diretor Estratégico Institucional; e
III. Ser instrumento único para toda a Ebserh, levando em consideração o contexto das filiais e da Administração Central da Ebserh.

CAPÍTULO II – DAS DIRETRIZES PARA GESTÃO DE SERVIÇOS DE TIC

Art. 25 As atividades de gestão de serviços de TIC da Ebserh obedecerão às seguintes diretrizes específicas:

I. Os serviços de TIC devem ser relacionados e formalizados no Catálogo Unificado de Serviços de TIC;
II. Os níveis mínimos de serviços de TIC devem ser definidos e revisados periodicamente;
III. O desempenho dos serviços de TIC deve ser mensurado e informado semestralmente ao CGTIC;
IV. Os processos operacionais, infraestrutura e aplicações devem ser gerenciados de forma a cumprir os níveis de serviços negociados e
acordados entre a área de TIC e as áreas de negócio;
V. A prestação de serviços de TIC deve ser centralizada na DTI, na Administração Central, e no SGPTI nas filiais;
VI. Os processos, serviços, infraestrutura e aplicações devem primar pela integração e interoperabilidade; e
VII. Os Planos desenvolvidos definem as estratégias de ação, guiando-as através dos processos estabelecidos pelas áreas finalísticas da
Ebserh.

Art. 26 Para orientar e delimitar a gestão de serviços de TIC, devem ser desenvolvidos os seguintes produtos, pela DTI e pelos SGPTIs, no que
lhes couber:

I. Catálogo Unificado de Serviços de TIC, contendo critérios de priorização dos serviços de TIC e nível mínimo de serviço;
II. Plano de Gerenciamento de Incidentes;
III. Plano de Gerenciamento de Problemas;
IV. Plano de Gerenciamento de Mudança; e
V. Plano de Continuidade de TIC.

Art. 27 Todo serviço de TIC oferecidos aos usuários da Ebserh deverá ser acompanhado pela sua norma operacional e elaborada pelo
respectivo responsável pelo serviço, abrangendo:

I. A forma mais indicada para utilização do serviço;

II. As restrições de utilização do serviço, ou seja, a quem se destina e a disponibilidade do serviço  ao usuário;
III. O nível de segurança e responsabilidades do usuário na utilização do serviço; e
IV. As sanções e penalidades pelo uso inadequado do serviço, caso houver.

Parágrafo único. As normas operacionais devem ser divulgadas por meio da Intranet da Ebserh, sendo aprovadas no âmbito da DTI na
Administração Central e pelos SGPTI nas filiais, e observadas por todos os usuários.

Art. 28 O usuário que desrespeitar a norma operacional de um serviço estará sujeito às seguintes medidas:

I. Notificação de violação à norma operacional;

II. Suspensão temporária do acesso aos serviços, total ou parcialmente;
III. Suspensão permanente do acesso aos serviços, total ou parcialmente;
IV. Sanções disciplinares da Ebserh; e
V. Sanções na esfera cível e criminal, quando aplicáveis.

Art. 29 Com vistas a manter a continuidade da prestação de serviços de TIC em caso de desastres, sinistros e incidentes na infraestrutura física
e lógica de TIC, a DTI na Administração Central e o SGPTI nas filiais, TIC devem formular e implantar um Plano de Continuidade de TIC, com a
participação de todas as unidades envolvidas.

§ 1º. O Plano de Continuidade de TIC deverá ser testado e revisado periodicamente, de forma a refletir as mudanças na infraestrutura física e
lógica de TIC e as necessidades atuais da Ebserh.

§ 2º. O Plano de Continuidade de TIC deverá considerar os riscos existentes relativos à infraestrutura física e lógica de TIC, bem como a
criticidade dos serviços de TIC para a Ebserh.

CAPÍTULO III – DAS DIRETRIZES PARA INFRAESTRUTURA DE TIC

Art. 30 As diretrizes para infraestrutura de TIC são definidas pela DTI, cabendo aos HUFs cumpri-las.

Art. 31 Os HUFs deverão encaminhar anualmente para a DTI informações sobre o inventário de equipamentos de TIC de acordo com
orientações da Coordenação de Infraestrutura e Segurança de Tecnologia da Informação (CISTI) da DTI.

Art. 32 Os HUF deverão encaminhar semestralmente para a DTI relação de todos os contratos de prestação de serviços relacionados à
infraestrutura de TIC e os respectivos valores pagos com detalhamento mensal.

CAPÍTULO IV – DAS DIRETRIZES PARA GESTÃO DE AQUISIÇÕES DE TIC

Art. 33 As diretrizes para gestão de aquisição de soluções de TIC são definidas pela DTI. Cabe aos hospitais o planejamento, controle e
execução no próprio HUF.

https://sei.ebserh.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=26718860&infra_… 5/10
07/06/2021 SEI/SEDE - 13912736 - Política - SEI
Art. 34  As aquisições de TIC deverão cumprir as seguintes diretrizes específicas:

I. Realização por justificativas válidas, baseadas em análise técnica e administrativa adequada, com tomada de decisão formal, buscando
equilibrar adequadamente as necessidades, benefícios, custos e riscos para a Ebserh;
II. Integração e alinhamento das aquisições de TIC às estratégias, planos e prioridades institucionais da Ebserh, considerando a alocação
orçamentária necessária à realização das iniciativas planejadas e ao custeio dos contratos vigentes de serviços de natureza continuada;
III. Formalização do alinhamento estratégico e padronização do processo de aquisições de TIC;
IV. Planejamento com vistas à aquisição, sempre que justificável, de soluções completas, contemplando itens como implantação,
treinamento, suporte, operação e demais componentes necessários ao alcance dos objetivos definidos;
V. Estabelecimento, sempre que possível, nos contratos com fornecedores, de previsão de pagamentos em função de resultados
verificáveis e baseados em níveis mínimos de serviços;
VI. Proteção dos direitos de propriedade intelectual da Ebserh sobre códigos, documentos e outros elementos integrantes de aplicações
que sejam desenvolvidas especificamente para a Ebserh, com recursos próprios ou de terceiros; e
VII. Planejamento e execução das aquisições em TIC com base em análises técnica e gerencial continuadas, com decisões formais que
evidenciem equilíbrio adequado entre os benefícios, oportunidades, custos e riscos para a Ebserh, em curto, médio e longo prazos e
em conformidade com normas vigentes.

Art. 35  A gestão de aquisições de TIC deve ser orientada pelos seguintes documentos:

I. Instrução Normativa nº 1 de 4 de abril de 2019;

II. Norma de Planejamento de Contratação de TIC; e
III. Plano de Gerenciamento de Aquisições.

CAPÍTULO V – DAS DIRETRIZES PARA SEGURANÇA DA INFORMAÇÃO

Art. 36  O Comitê de Segurança da Informação deve definir normas e padrões de segurança da informação para os serviços da Ebserh e
aplicações de TIC, buscando garantir a confidencialidade, integridade, disponibilidade, autenticidade e legalidade das informações.

Art. 37 A execução das ações de segurança da informação ocorrerá de forma descentralizada.

Art. 38 Os  serviços para a elaboração e a implementação de práticas de segurança da informação poderão ser contratados externamente,
quando atendidos os requisitos do artigo 4º do Decreto nº 9.507/2018 e demais normativos internamente aplicáveis.

CAPÍTULO VI – DAS DIRETRIZES PARA PROVIMENTO DE SOLUÇÕES DE SISTEMAS DE INFORMAÇÃO

Art. 39 Para os fins desta Política, o provimento de soluções de sistemas de informação compreende as seguintes modalidades:

I. Desenvolvimento: construção de soluções, com recursos próprios ou de terceiros, para atender a necessidades específicas da Ebserh;
II. Aquisição: adoção de soluções construídas externamente à Ebserh, por meio de contratação, recebimento de outros órgãos e
entidades ou utilização de software livre; e
III. Manutenção: alteração de solução existente para correção de erros, melhoria de qualidade, incorporação de novas funcionalidades,
mudança nas regras de negócio ou adaptação a novas tecnologias.

Parágrafo único. Qualquer que seja a modalidade referida no caput, o provimento de solução de sistema de informação deve ser comunicado
à DTI e seguir respectiva orientação.

Art. 40 As soluções de Sistemas de Informação devem ser classificadas da seguinte forma:

I. Centralizada, quando o desenvolvimento, a aquisição ou a manutenção da solução é realizada pela Administração Central com
participação da DTI; ou
II. Descentralizada, quando o desenvolvimento, a aquisição ou a manutenção da solução é realizada nas Filiais, sob orientação da DTI.

Art. 41 O provimento de soluções de sistemas de informação observará as seguintes diretrizes:

I. Concepção de soluções com foco na otimização dos processos de trabalho da Ebserh, na integração de soluções e na reutilização de
dados e componentes;
II. Consideração, quando da concepção de soluções de sistemas a serem desenvolvidas ou adquiridas, de requisitos não funcionais
relevantes, em especial dos requisitos de segurança da informação e dos requisitos relativos à disponibilidade, ao desempenho e à
usabilidade da solução;
III. Adoção de arquitetura e padrões tecnológicos que satisfaçam aos critérios técnicos definidos pela DTI e que se baseiem
preferencialmente em padrões de mercado e em diretrizes de interoperabilidade do Governo Federal;
IV. Proteção dos direitos de propriedade intelectual da Ebserh sobre códigos, documentos e outros elementos integrantes de soluções
que sejam desenvolvidas especificamente para a instituição, com recursos próprios ou de terceiros;
V. Realização, previamente à implantação das soluções de TIC, dos testes necessários para assegurar o correto funcionamento e a
aderência das soluções às regras de negócio e aos requisitos especificados;
VI. Definição, mensuração e revisão periódica de acordos de níveis de serviço;
VII. Planejamento e gestão do ambiente de TIC e dos processos operacionais que o suportam com foco no cumprimento dos níveis de
serviço acordados para as soluções de sistemas;
VIII. Atuação proativa com vistas à identificação de lacunas de conhecimento e ao desenvolvimento de competências dos usuários
previamente à implantação de novas soluções de sistemas, bem como de forma continuada;
IX. Definição formal dos processos de trabalho relacionados às atividades necessárias ao provimento de soluções de sistemas em
qualquer das modalidades previstas no art. 39 supra;

https://sei.ebserh.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=26718860&infra_… 6/10
07/06/2021 SEI/SEDE - 13912736 - Política - SEI
X. Adoção da modalidade de provimento que se revelar justificadamente mais adequada à realização das estratégias e ao alcance dos
objetivos institucionais, com base em critérios definidos nos planos estratégicos de TIC ou em normas internas;
XI. Adoção preferencial da abordagem centralizada para provimento de soluções de natureza corporativa, de modo a garantir a
conformidade na gestão das aplicações em TIC;
XII. Adoção preferencial de abordagem descentralizada para provimento de soluções de natureza específica da unidade da Ebserh,
considerando sempre o planejamento e a execução de operações integradas ou compartilhadas para maior eficiência técnica e de
custeio das operações de TIC; e
XIII. O desenvolvimento e provimento de sistemas de informação seguirá, rigorosamente, as normas dispostas na Lei Geral de Proteção de
Dados – LGPD.

Art. 42 O provimento de solução de sistemas de informação por meio de aquisição observará as modalidades e diretrizes previstas nos arts.
40 e 41 desta Política.

Art. 43 O provimento de solução de sistemas de informação nas modalidades desenvolvimento ou manutenção, observará as seguintes
diretrizes específicas:

I. Todas as soluções de sistemas desenvolvidas e mantidas na Ebserh, seguirão obrigatoriamente a Metodologia de Desenvolvimento de
Sistemas (MDS-Ebserh), elaborada e publicada pela área de TIC da Administração Central;
II. Caso uma Filial tenha interesse em desenvolver alguma aplicação deverá solicitar autorização à área de TIC na Administração Central,
devendo dispor de equipe e meios para sustentar a aplicação desenvolvida, levando ainda em consideração  disseminar tal solução
para as demais Filiais; e
III. Qualquer aplicação desenvolvida pelas Filiais será de propriedade patrimonial e intelectual exclusiva da Ebserh, não podendo ser
cedida ou comercializada diretamente pela Filial.

Art. 44 Para gerenciar as soluções de sistemas da Ebserh a DTI e os SGPTIs, devem elaborar o catálogo de sistemas de TIC.

Parágrafo único: O catálogo de sistemas de TIC deve ser encaminhado pelos SGPTIs à DTI e atualizado anualmente.

CAPÍTULO VII – DAS DIRETRIZES PARA PROSPECÇÃO, PADRÕES E PLATAFORMAS TECNOLÓGICAS

Art. 45 A DTI prospectará tecnologias e padrões técnicos de TIC com garantia de sua implantação em plataformas tecnológicas de hardware e
software para a prestação de serviços públicos, assegurando a conformidade com os padrões de interoperabilidade e de governo eletrônico,
definidos pelo Ministério da Economia.

Art. 46 Modelo de arquitetura de TIC deve ser utilizado para nortear as aquisições de TIC, bem como o desenvolvimento, evolução,
manutenção e implantação de serviços de TIC.

Art. 47 O modelo de arquitetura de TIC será composto por:

I. Modelo de arquitetura de negócio;

II. Modelo de arquitetura da informação;
III. Modelo arquitetura de aplicações; e
IV. Modelo de arquitetura de tecnologia.

Art. 48 O modelo de arquitetura da TIC deve ser gerenciado e revisado periodicamente de modo a refletir as necessidades atuais e futuras da
Ebserh.

CAPÍTULO VIII – DAS DIRETRIZES PARA INVESTIMENTO DE TIC

Art. 49 Todo projeto de TIC deve conter cronograma, estimativas de investimento e custo anual de operação e manutenção.

Art. 50 Todas as ações que impliquem investimento e/ou custeio de TIC, cujos valores sejam superiores aos limites de referência previamente
definidos, requerem de análise técnica prévia da DTI, observando inclusão no respectivo PDTIC e aprovação pela instância colegiada
competente.

Art. 51 A DTI na Administração Central e os SGPTIs nas filiais devem realizar o gerenciamento de portfólios de TIC, assegurando que os
projetos e programas sejam analisados e que seja priorizada a alocação de recursos, de modo consistente com as estratégias organizacionais
da Empresa.

Art. 52 Não é permitida a realização de dispêndios em TIC que resultem na duplicação parcial ou total de soluções de TIC existentes e
disponíveis.

CAPÍTULO IX – DAS DIRETRIZES PARA GESTÃO DE RISCOS DE TIC

Art. 53 O processo de gerenciamento de riscos de TIC tem o propósito de identificar, mensurar e gerenciar os riscos de TIC que impactam nos
processos de negócios da Ebserh e nos objetivos estratégicos de TIC, estabelecendo os ativos críticos, as potenciais ameaças, sejam humanas,
naturais, tecnológicas e ambientais, bem como as vulnerabilidades que possam ser exploradas.

Art. 54 As atividades de gestão de riscos de TIC devem obedecer às seguintes diretrizes específicas:

I. Promover a cultura de gestão de riscos como fator essencial na implantação de estratégias e planos de TIC e na tomada de decisão;

https://sei.ebserh.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=26718860&infra_… 7/10
07/06/2021 SEI/SEDE - 13912736 - Política - SEI
II. Considerar os riscos de TIC que tenham impacto sobre outras organizações públicas e demais partes interessadas e comunicar,
consultar e compartilhar informações regularmente com essas partes; e
III. Os riscos de TIC devem ser identificados, analisados, avaliados, tratados e monitorados de forma contínua mediante processos
formalizados.

Art. 55 Para orientar a gestão de riscos de TIC na execução de suas atividades, caberá à DTI formular os seguintes documentos:

I.  Política de Gestão de Riscos de TIC; e

II.  Plano de Gestão de Riscos de TIC.

CAPÍTULO X – DAS DIRETRIZES DE RECURSOS HUMANOS DE TIC

Art. 56 A Ebserh deve, em ação conjunta da Diretoria de Tecnologia da Informação e da Diretoria de Gestão de Pessoas:

I. Estimular a qualificação continuada dos recursos humanos de TIC, considerando as competências, habilidades e atitudes necessárias
aos respectivos cargos e funções, tanto no âmbito corporativo, quanto no âmbito de suas unidades operacionais, atuando
conjuntamente com as respectivas coordenações e lideranças de processos, projetos e programas de TIC;
II. Dimensionar as necessidades e orientar a alocação de recursos humanos, buscando a melhor adequação de perfis profissionais e
posições técnicas e de gestão, atuando conjuntamente com as respectivas coordenações e lideranças de processos, projetos e
programas de TIC;
III. Promover análises de alternativas técnicas para alocação de número e perfis profissionais de TIC adequados no quadro de
empregados, por meio de concursos públicos ou contratações temporárias previstas em lei; e
IV. Promover ações de avaliação de desempenho e planos de ação para orientar a atuação dos recursos humanos alocados em processos,
projetos e programas.

CAPÍTULO XI – DAS DIRETRIZES DE COMUNICAÇÃO E TRANSPARÊNCIA

Art. 57 A DTI deve primar pela permanente e fluida comunicação entre os serviços de TIC da Administração Central e HUFs, favorecer a
transparência e a efetividade das ações empreendidas em TIC.

Art. 58 Os normativos desenvolvidos relativos às atividades de TIC deverão ser divulgados.

TÍTULO IV – DAS ATIVIDADES PARA IMPLEMENTAÇÃO DA PGTIC

Art. 59  A implementação desta Política de Governança de TIC requer a execução contínua das seguintes atividades:

I. Diagnosticar: realizar a avaliação da situação atual da TIC na Ebserh;

II. Planejar: mapear e planejar as mudanças necessárias para que a TIC torne-se aderente à esta política;
III. Direcionar: formalizar as estruturas organizacionais e diretrizes definidas nesta PGTI;
IV. Executar: implementar as mudanças e aprimoramentos na execução da PGTIC;
V. Monitorar: implantar mecanismos para o monitoramento da conformidade e do desempenho de TIC; e
VI. Avaliar: medir a eficiência e eficácia da TIC com base nesta PGTIC para aferição da eficácia do plano/ciclo, promovendo a melhoria
contínua por meio de um novo ciclo.

CAPÍTULO I – DA ATIVIDADE DE DIAGNÓSTICO SITUACIONAL

Art. 60 A realização do diagnóstico da situação de governança e gestão de TIC na Ebserh pressupõe sua avaliação pelo Serviço de Governança
de TIC (SGTIC) da DTI.

Art. 61 A avaliação do ambiente de governança e de gestão de TIC da organização deverá identificar e avaliar:

I. As áreas interessadas e as estruturas organizacionais que influem ou são afetadas pelo uso e pela gestão da TIC na Ebserh, sejam eles a
alta administração, gestores de negócio, órgãos de controle, fornecedores de serviços de TIC, entre outros, bem como as respectivas
necessidades;
II. As leis e regulamentos que afetam a forma de atuação em TIC e a respectiva conformidade por parte da Ebserh;
III. As demais políticas corporativas que contém princípios e diretrizes relacionados à governança de TIC;
IV. Os processos e práticas de TIC atualmente implantados e sua aderência com esta PGTI; 
V. Os riscos decorrentes de eventual baixa maturidade em governança de TIC, como a falta de alinhamento entre TIC e o negócio, a
realização de investimentos em TIC que não geram o benefício esperado, a desconformidade com o marco regulatório aplicável; e
VI. As situações que causam  disfunções organizacionais que possam decorrer de falhas na governança de TIC, como: incidentes
significativos de TIC que possam gerar riscos ao negócio; falhas de projetos; insatisfação com serviços fornecidos; problemas com a
entrega de serviços contratados; recursos humanos em TIC com competências inadequadas e ausência de participação das áreas de
negócio nos processos e na construção de requisitos de demandas de TIC.

Art. 62 Caberá à alta administração, observadas as normas e os procedimentos específicos aplicáveis, implementar e manter mecanismos,
instâncias e práticas de governança em consonância com os princípios e as diretrizes estabelecidos nesta Política.

Art. 63 Os mecanismos, as instâncias e as práticas de governança de que trata o art. 62 incluirão, no mínimo:

https://sei.ebserh.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=26718860&infra_… 8/10
07/06/2021 SEI/SEDE - 13912736 - Política - SEI
I. Formas de acompanhamento de resultados;
II. Soluções para melhoria do desempenho da DTI e dos HUFs; e
III. Instrumentos de promoção do processo decisório fundamentado em evidências.

CAPÍTULO II – DA ATIVIDADE DE PLANEJAMENTO DA PGTIC

Art. 64 A segunda etapa da atividade para implementação da PGTIC consiste no planejamento das ações necessárias para que a Ebserh seja
capaz de aprimorar sua capacidade de governança de TIC de forma a entregar valor, considerando o resultado do diagnóstico obtido na etapa
anterior.

Art. 65 A atividade deve definir:

I. Os objetivos, os indicadores e as metas de governança de TIC aderentes aos princípios e diretrizes estabelecidos na PGTIC, alinhados à
estratégia da organização e considerando os riscos que podem afetar negativamente a governança de TIC;
II. As habilidades e competências necessárias para que os objetivos e metas de governança de TIC sejam alcançados; e
III. As ações, quais sejam atividades, projetos e contratações, necessárias para alcance dos objetivos e metas de governança de TIC, os
recursos humanos e financeiros necessários, os responsáveis pela execução das ações contidas no plano, os prazos respectivos, bem
como a métrica de avaliação dos resultados alcançados, priorizando-se soluções de implementação mais rápidas e que possam gerar
maior benefício para a Ebserh.

CAPÍTULO III – DA ATIVIDADE DE DIRECIONAMENTO

Art. 66 A governança de TIC deve orientar a preparação, formalização e implementação das estruturas e diretrizes definidas na PGTIC,
conforme diagnostico e planejamento dos processos anteriores, assegurando que o uso da TIC atenda aos objetivos do negócio.

Art. 67 As estruturas e diretrizes estabelecidas na PGTIC direcionarão a atuação da gestão de TIC.

CAPÍTULO IV – DA ATIVIDADE DE EXECUÇÃO DA PGTIC

Art. 68 Na etapa de execução ocorrem as mudanças práticas que permitam alcançar os objetivos e metas de governança de TIC previamente
estabelecidos, mediante a realização das seguintes atividades:

I. Execução de ações de capacitação de recursos humanos nas competências e habilidades de TIC, consideradas necessárias para apoiar
o alcance dos objetivos organizacionais;
II. Desenvolvimento e disseminação de ações de sensibilização dos empregados quanto ao comportamento esperado pela Ebserh; e
III. Uso de competências e habilidades adquiridas pelos empregados para exercer adequadamente suas atribuições, observando os
princípios contidos nas políticas e normas.

CAPÍTULO V – DA ATIVIDADE DE MONITORAMENTO DA PGTIC

Art. 69 A atividade de monitoramento da PGTIC requer o constante acompanhamento pelo Serviço de Governança de TIC da DTI, verificando
se as ações referentes à TIC estão em conformidade com as obrigações e práticas externas e internas de trabalho e se o desempenho está de
acordo com os planos e os objetivos de negócio da Ebserh.

Art. 70 A conformidade do ambiente de TIC deve ser analisada continuamente, frente aos marcos regulatórios que regem a Administração
Pública Federal, tais como leis, decretos, instruções normativas, acórdãos, entre outros instrumentos legais e infralegais concernentes.

Art. 71 O desempenho das ações empreendidas pela DTI e SGPTIs deve ser monitorado e supervisionado, em consonância com a cultura
organizacional com foco na gestão por resultados, por meio de, pelo menos, as seguintes atividades:

I. Gerenciamento de nível de serviço, em especial a definição, monitoramento e reporte das metas de nível de serviço formalizadas entre
a área de TIC e as áreas finalísticas da organização, fornecendo subsídios para que a TIC possa ser monitorada em termos de
provimento de serviços e satisfação dos usuários;
II. Aprovação e formalização de planos de TIC por parte das instâncias competentes da alta administração da Ebserh, permitindo a criação
de marco formal pelo qual o desempenho da área de TIC é monitorada;
III. Definição de metas e indicadores para a TIC, permitindo que seu desempenho possa ser monitorado e acompanhado de maneira
objetiva; e
IV. Gerenciamento de fornecedores e serviços terceirizados, de modo que metas e indicadores contratuais de entrega de serviços ou
produtos de TIC adquiridos de fornecedores internos ou externos e providos por entes terceirizados sejam definidos, monitorados e
reportados em períodos acordados à função de governança.

Art. 72 A fim de aprimorar as atividades de governança e gestão de TIC, durante o monitoramento devem ser periodicamente apresentados
ao CGTIC os seguintes artefatos:

I. Relatórios de conformidade;
II. Relatórios de desempenho de TIC; e
III. Relatórios de acompanhamento do PDTIC e da PGTI.

https://sei.ebserh.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=26718860&infra_… 9/10
07/06/2021 SEI/SEDE - 13912736 - Política - SEI
CAPÍTULO VI – DA ATIVIDADE DE AVALIAÇÃO DA PGTIC

Art. 73 Com base nas medições realizadas na atividade de monitoramento, o CGTIC deve:

I. Verificar o grau de alcance dos objetivos e das metas de governança de TIC previamente estabelecidas, identificando as causas que
eventualmente levaram a descumprimentos; e
II. Identificar e documentar as ações necessárias para correção de desvios ocorridos no ciclo anterior, em um relatório de avaliação de
uso de TIC, de forma a possibilitar as mudanças necessárias para que a área de TIC cumpra os seus objetivos, bem como para apoiar a
etapa de diagnóstico do ciclo seguinte.

TÍTULO V – DAS DISPOSIÇÕES FINAIS 

Art. 74 O tratamento de dados pessoais será disciplinado na Política de Privacidade e Proteção de Dados da Ebserh.

Art. 75 Os casos omissos a esta Política deverão ser levados ao CGTIC para análise e julgamento.

Art. 76 Esta Política será objeto de revisão a cada quatro anos, ou a qualquer tempo desde que seja identificada a necessidade pelo CGTIC

Atenciosamente,

Documento assinado eletronicamente por Simone Henriqueta Cossetin Scholze, Diretor(a), em 28/05/2021, às 15:18,
conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

A autenticidade deste documento pode ser conferida no site https://sei.ebserh.gov.br/sei/controlador_externo.php?

acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 13912736 e o código CRC
E9156135.

Referência: Processo nº 23477.011108/2020-89 SEI nº 13912736

https://sei.ebserh.gov.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=26718860&infra… 10/10