Art. 10. Compete aos órgãos e às entidades da administração pública federal, em seu âmbito de atuação:

I - implementar a Política Nacional de Segurança da Informação;

II - instituir comitê interno de segurança da informação ou estrutura equivalente;

III - designar o gestor de segurança da informação;

IV - elaborar, publicar, implementar e revisar regularmente suas políticas de segurança da informação e suas normas internas de segurança da informação, observados os normativos sobre segurança da informação editados pelo Gabinete de Segurança Institucional;

V - estimular ações de conscientização e de capacitação de pessoas que atuem nos órgãos e nas entidades da administração pública federal em temas relacionados à segurança da informação;

VI - realizar a avaliação de conformidade com as normas relativas à segurança da informação;

VII - aplicar as ações corretivas e administrativas cabíveis nos casos de violação de sua política de segurança da informação, nos termos do disposto neste Decreto e na legislação;

VIII - coordenar as atividades desenvolvidas pelo gestor de segurança da informação, pelo encarregado pelo tratamento de dados pessoais, pelo gestor de segurança e credenciamento e pelo titular da unidade de tecnologia da informação;

IX - assegurar a transmissão do conhecimento e das responsabilidades por ocasião da substituição do gestor de segurança da informação; e

X - planejar e destinar recursos orçamentários para ações de segurança da informação.

Parágrafo único. Ao órgão de que trata o inciso II do caput compete propor a elaboração e as revisões da política de segurança da informação e das normas internas de segurança da informação do seu órgão ou da sua entidade.