Este material serve de referência para todos os órgãos e empresas da administração pública federal e, além do mais, podem servir de modelo para qualquer empresa que esteja criando ou revisando a sua política. O DSIC já criou cinco normas até o momento, que foram publicadas no Diário Oficial da União e também estão disponíveis na página de Normas Complementares no site do DSIC. As normas são as seguintes:
- Norma Complementar nº 01/DSIC/GSIPR, Atividade de Normatização
- Norma Complementar nº 02/DSIC/GSIPR, Metodologia de Gestão de Segurança da Informação e Comunicações.
- Norma Complementar nº 03/DSIC/GSIPR, Diretrizes para a Elaboração de Política de Segurança da Informação e Comunicações nos Órgãos e Entidades da Administração Pública Federal.
- Norma Complementar nº 04/DSIC/GSIPR, e seu anexo, Diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC nos órgãos e entidades da Administração Pública Federal.
- Norma Complementar nº 05/DSIC/GSIPR, e seu anexo, Disciplina a criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais - ETIR nos órgãos e entidades da Administração Pública Federal.
O DSIC é um subordinado ao Gabinete de Segurança Institucional da Presidência da República e é o grupo responsável por planejar e coordenar a execução das atividades de segurança da informação na administração pública federal. Sua responsabilidade inclui não apenas as redes da administração direta, como nos ministérios, mas também as empresas de controle misto, como a Petrobrás e o Banco do Brasil, totalizando 320 "grandes redes" (segundo as palavras do Diretor do DSIC, Raphael Mandarino Jr.). Isto também inclui o Serpro, Exército, Marinha e Aeronáutica.
Este trabalho é muito importante pois cria um conjunto mínimo de regulamentos que devem ser seguido pelos órgãos e empresas. Assim, serve para orientar aquelas entidades que ainda não possuem uma política de segurança e, além do mais, fornece um ferramental valioso para que as empresas revisem suas políticas, mesmo no caso das que já possuem algum tipo de normativa interna.