.png)
.png)
.png)
.png)
Resolução Administrativa Nº 018/2023
RESOLUÇÃO ADMINISTRATIVA Nº 018/2023
20 de setembro de 2023
Dispõe sobre as Diretrizes para Gestão de Segurança da Informação (DGSI) do Tribunal Regional do Trabalho da 15ª Região.
O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 15ª REGIÃO, no uso de suas atribuições legais e regimentais,
CONSIDERANDO os termos da Resolução CNJ n.° 435/2021, que dispõe sobre a política e o sistema nacional de segurança do Poder Judiciário e dá outras providências;
CONSIDERANDO o disposto na Resolução CNJ n.° 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO a Resolução CNJ n.° 370/2021, que estabelece a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD);
CONSIDERANDO o que dispõe a Lei n.° 13.709/2018, com a redação dada pela Lei n.° 13.853/2019, sobre a proteção de dados pessoais;
CONSIDERANDO a importância de se estabelecer objetivos, princípios e diretrizes para Segurança da Informação, alinhados às recomendações constantes da Norma Técnica ISO ABNT, 2013, NBR ISO 27001: Sistemas de Gestão de Segurança da Informação, que especificam os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização;
CONSIDERANDO a Norma Técnica ISO ABNT, 2013, NBR ISO 27002: Código de Prática para Gestão de Segurança da Informação, que fornece diretrizes para as práticas de gestão de segurança da informação;
CONSIDERANDO as boas práticas em segurança da informação, preconizadas pelo Tribunal de Contas da União (TCU);
CONSIDERANDO as Diretrizes para Gestão de Segurança da Informação no âmbito do Poder Judiciário, do Conselho Nacional de Justiça (CNJ);
CONSIDERANDO a Resolução Administrativa TRT15 n.° 023/2018, que dispõe sobre a Gestão de Segurança da Informação (GSI) do Tribunal Regional do Trabalho da 15ª Região;
CONSIDERANDO a Resolução Administrativa TRT15 n.° 004/2019, que trata da Política Institucional de Segurança da Informação (PISI) deste Regional;
CONSIDERANDO o disposto no Ato Regulamentar GP n.° 009/2021, que institui o Comitê de Governança de Segurança da Informação do TRT15;
CONSIDERANDO a necessidade de se estabelecer diretrizes gerais para orientar a elaboração de normas específicas de segurança da informação e a definição de procedimentos que norteiem os processos de trabalho corporativos,
CONSIDERANDO, por fim, o decidido pelo Órgão Especial Administrativo, nos autos do Processo n.º 17392/2022 PROAD, em sessão administrativa de 14/9/2023;
R E S O L V E:
CAPÍTULO I
DAS DIRETRIZES PARA GESTÃO DE SEGURANÇA DA INFORMAÇÃO (DGSI)
Art. 1.º As Diretrizes para Gestão de Segurança da Informação (DGSI) compreendem um conjunto de orientações, normas, metodologias e processos de trabalho, que serão compiladas e instituídas na forma desta Resolução Administrativa.
§ 1.º As Diretrizes para Gestão de Segurança da Informação (DGSI) devem estar alinhadas à missão institucional e às boas práticas recomendadas pelos órgãos de controle, bem como aos princípios norteadores contidos na Política Institucional de Segurança da Informação (PISI) deste Tribunal.
§ 2.º As Diretrizes para Gestão de Segurança da Informação (DGSI) definem em nível tático as obrigações a serem seguidas, especificando os controles que deverão ser implementados.
§ 3.º Manuais, guias e cartilhas orientativos de boas práticas complementares poderão ser publicados por meio de Portarias, como forma de apoio às Diretrizes para Gestão de Segurança da Informação (DGSI).
Art. 2.º As Diretrizes para Gestão de Segurança da Informação (DGSI) serão estruturadas observando-se os seguintes capítulos:
I – DGSI-CI, Diretrizes para Gestão de Segurança da Informação para Classificação da Informação, sob responsabilidade da Secretaria-Geral Judiciária;
II – DGSI-GA, Diretrizes para Gestão de Segurança da Informação para Gestão de Ativos, sob responsabilidade da Secretaria da Administração;
III – DGSI-GRSI, Diretrizes para Gestão de Segurança da Informação para Gestão de Riscos em Segurança da Informação, sob responsabilidade da Assessoria de Gestão Estratégica;
IV – DGSI-GISI, Diretrizes para Gestão de Segurança da Informação para Gestão de Incidentes de Segurança da Informação, sob responsabilidade da Assessoria de Gestão Estratégica;
V – DGSI-SRH, Diretrizes para Gestão de Segurança da Informação para Segurança em Recursos Humanos, sob responsabilidade da Secretaria de Gestão de Pessoas;
VI – DGSI-TIC, Diretrizes para Gestão de Segurança da Informação para Segurança em Tecnologia da Informação e Comunicações, sob responsabilidade da Secretaria de Tecnologia da Informação e Comunicações;
VII – DGSI-CA, Diretrizes para Gestão de Segurança da Informação para Controle de Acessos, sob responsabilidade da Assessoria de Segurança Institucional;
VIII – DGSI-SFP, Diretrizes para Gestão de Segurança da Informação para Segurança Física e Patrimonial, sob responsabilidade da Assessoria de Segurança Institucional.
§ 1.º A elaboração da proposta para os diversos capítulos, bem como eventuais revisões e alterações, serão efetuadas por grupos de trabalho indicados pelas(os) suas(seus) respectivas(os) responsáveis.
§ 2.º Os Mapeamentos de Processos de Trabalho devem observar o uso da metodologia BPM (‘Business Process Management’).
Art. 3.º As Diretrizes para Gestão de Segurança da Informação (DGSI-TRT) aplicam-se a todos os magistrados, servidores, estagiários, prestadores de serviço e demais agentes públicos ou particulares que executem atividade vinculada à atuação institucional do Tribunal Regional do Trabalho da 15ª Região.
CAPÍTULO II
DAS DIRETRIZES PARA GESTÃO DE SEGURANÇA DA INFORMAÇÃO PARA CLASSIFICAÇÃO DA INFORMAÇÃO (DGSI-CI)
Seção I
Da classificação da informação
Art. 4.º Este capítulo estabelece as Diretrizes para Gestão de Segurança da Informação para Classificação da Informação do Tribunal Regional do Trabalho da 15ª Região.
Parágrafo único. O presente capítulo tem por fundamento as seguintes referências legais e normativas:
I – Lei n.° 12.527/2011, que regula o acesso a informações previsto no inciso XXXIII do artigo 5º, no inciso II do parágrafo 3º do artigo 37 e no parágrafo 2º do artigo 216 da Constituição Federal; altera a Lei n.° 8.112/1990; revoga a Lei n.° 11.111/2005, e dispositivos da Lei n.° 8.159/1991; e dá outras providências;
II – Decreto n.° 7.724/2012, que regulamenta a Lei n.° 12.527/2011, que dispõe sobre o acesso a informações previsto no inciso XXXIII do caput do artigo 5º, no inciso II do parágrafo 3º do artigo 37 e no parágrafo 2º do artigo 216 da Constituição Federal;
III – Resolução Administrativa TRT15 n.° 024/2017, que regulamenta a Lei de Acesso à Informação no âmbito do Tribunal;
IV – Resolução CNJ n.° 215/2015, que dispõe, no âmbito do Poder Judiciário, sobre o acesso à informação e a aplicação da Lei n.º 12.527, de 18 de novembro de 2011;
V – Resolução CNJ n.° 408/2021, que dispõe sobre o recebimento, o armazenamento e o acesso a documentos digitais relativos a autos de processos administrativos e judiciais;
VI – Lei n.° 13.709/2018, Lei Geral de Proteção de Dados Pessoais (LGPD).
Art. 5.º São objetivos das Diretrizes para Gestão de Segurança da Informação para Classificação da Informação:
I – identificação, classificação e tratamento da informação visando à sua proteção conforme seu valor, sensibilidade, integridade, confidencialidade e disponibilidade;
II – proteção da informação sigilosa e/ou pessoal de acessos indevidos;
III – manutenção da integridade, autenticidade, disponibilidade e confidencialidade das informações.
Art. 6.º As Diretrizes para Gestão de Segurança da Informação para Classificação da Informação são regidas pelos seguintes princípios:
I – da publicidade como preceito geral e do sigilo como exceção;
II – da garantia ao sigilo das informações pessoais e inviolabilidade da vida privada, da honra e da imagem das pessoas.
Art. 7.º Em consonância com a Política Institucional de Segurança da Informação (PISI) e a Resolução Administrativa TRT15 n.° 024/2017, as informações produzidas ou custodiadas pelo Tribunal, independentemente do suporte, são classificadas quanto à confidencialidade, disponibilidade e integridade.
Parágrafo único. Entende-se por:
I – confidencialidade: princípio que garante que a informação seja acessada somente por pessoas ou processos autorizados;
II – disponibilidade: princípio que garante que as informações estejam acessíveis às pessoas e aos processos autorizados, sempre que necessário;
III – integridade: princípio que garante a inviolabilidade das informações com intuito de protegê-las contra alteração, gravação ou exclusão acidental ou proposital;
IV – usuária(o): magistradas(os) e servidoras(es) ativas(os) e inativas(os), desde que previamente autorizadas(os), empregadas(os) de empresas prestadoras de serviços, estagiárias(os) e outras pessoas que se encontrem a serviço deste Tribunal, no exercício de suas funções;
V – gestora(or) da informação: unidade ou usuária(o) que, no exercício de suas competências, produz informações ou as obtêm, de fonte externa ao Tribunal;
VI – custodiante: usuária(o) ou unidade que detém a posse, mesmo que transitória, de informação produzida ou recebida pelo Tribunal;
VII – rótulo: identificação física ou eletrônica (metadados) da classificação atribuída à informação;
VIII – ciclo de vida da informação: compreende as fases de produção, recebimento ou alteração, acesso, armazenamento, transporte e descarte da informação, considerando sua autenticidade, confidencialidade, integridade e disponibilidade.
Art. 8.º A classificação a que se refere o artigo anterior deverá ser feita após a avaliação e descrição documental, nos termos do plano de classificação e das tabelas de temporalidade em vigor.
Art. 9.º Quanto à confidencialidade, as informações classificam-se, além das hipóteses fixadas pelos artigos 23 e 24 da Resolução Administrativa TRT15 n.° 024/2017, em:
I – públicas: informações de interesse coletivo ou geral que podem ser divulgadas a qualquer pessoa;
II – restritas: informações que, por sua natureza, só podem ser divulgadas a grupo restrito de usuárias(os), temporariamente, apenas enquanto perdurar o processo decisório;
III – sigilosas: informações que, em razão de lei, interesse público ou para a preservação de direitos individuais, devam ser de conhecimento reservado.
Art. 10. Na hipótese de documento que contenha informações classificadas em diferentes graus de sigilo, será atribuído ao documento tratamento do grau de sigilo mais elevado, ficando assegurado o acesso às partes não classificadas.
§ 1.º Ao conjunto de informações classificadas em grau de sigilo que não possa sofrer fracionamento para fins de acesso, deverá ser atribuído o grau de confidencialidade da sua parte cuja classificação seja a mais restritiva.
§ 2.º É permitida a elaboração de extratos de documentos restritos, para divulgação interna ou pública, mediante autorização formal da(o) gestora(or) da informação ou autoridade competente, exceto quando expressamente vedado no documento original.
§ 3.º A informação sigilosa, independentemente do suporte ou da forma de tramitação, deve ter seus graus de confidencialidade identificados por meio de rótulos padronizados, ressalvados os limites de fracionamento indicados no parágrafo anterior.
Art. 11. A(O) usuária(o) custodiante é responsável pelas informações custodiadas, assim como pela guarda e sigilo, sendo responsável pelo seu uso indevido.
Parágrafo único. O acesso à informação classificada como sigilosa cria a obrigação para aquela(e) que a obteve de resguardar o sigilo.
Art. 12. Salvo manifestação contrária de autoridade competente, devem ser classificados, no mínimo, como restritos:
I – dados definidos pelo art. 15, itens VI, IX, X, da Resolução Administrativa TRT15 n.° 024/2017;
II – documentação e outros dados não públicos referentes a sistemas corporativos de tecnologia da informação;
III – decisões, despachos e pareceres em processo decisório;
IV – processos administrativos disciplinares e sindicâncias.
Art. 13. Nos termos do art. 5.º da Resolução CNJ n.° 408/2021, os documentos ou as mídias digitais que representem risco à violação da intimidade ou que sejam especialmente sensíveis deverão ser identificados na juntada ao processo eletrônico como documento ‘reservado/sensível’.
Art. 14. Compete às autoridades identificadas no art. 26 da Resolução Administrativa TRT15 n.° 024/2017 atribuir o nível de classificação das informações.
Art. 15. A classificação de informações em qualquer grau de sigilo será formalizada em Termo de Classificação de Informação (TCI), e conterá os seguintes dados, além dos definidos pelo art. 28 da Resolução Administrativa TRT15 n.° 024/2017:
I – código de classificação de documento (tabela de temporalidade);
II – identificação da(o) usuária(o) ou unidades com permissão para acessá-la.
Parágrafo único. No ato da classificação de uma informação em grau de sigilo, as autoridades classificadoras identificadas pela Resolução Administrativa TRT15 n.° 024/2017 deverão notificar a Coordenadoria de Gestão Documental.
Art. 16. A classificação da informação em grau de sigilo deverá ser observada enquanto durar o prazo de restrição de acesso, não sendo permitido o acesso à informação por usuárias(os) não autorizadas(os).
Parágrafo único. Documentos classificados em grau de sigilo só poderão ser encaminhados aos arquivos intermediário ou permanente após o término do prazo de restrição, devendo permanecer na unidade produtora sob responsabilidade de usuária(o) autorizada(o) até o fim do prazo.
Art. 17. Não deve ser conferido tratamento sigiloso ou restrito às informações contidas em documentos que, por força de lei, sejam de natureza pública ou de domínio público.
Art. 18. As informações produzidas ou custodiadas pelo Tribunal são classificadas quanto à integridade em função do impacto que a alteração, gravação ou exclusão indevida ou não autorizada da informação acarretaria à imagem ou às operações vitais da Corte.
Art. 19. O impacto da perda de integridade das informações produzidas ou custodiadas pelo Tribunal classifica-se em:
I – baixo: quando a perda de integridade da informação não comprometer a imagem, nem causar qualquer ônus ao erário;
II – médio: quando a perda de integridade da informação comprometer a imagem ou a tomada de decisões, mas sem interrompê-las, ou causar perda financeira;
III – alto: quando a perda de integridade da informação comprometer severamente a imagem, a tomada de decisões ou o exercício da função jurisdicional, causar perda financeira significativa, ou impossibilitar o cumprimento de determinação legal.
Art. 20. A classificação quanto à disponibilidade das informações produzidas ou custodiadas pelo Tribunal será efetuada posteriormente, mediante ato da Presidência.
Art. 21. A classificação das informações a que se refere este Capítulo será realizada a partir da publicação de ato da Presidência, após a implantação das funcionalidades tecnológicas cabíveis e das alterações normativas necessárias.
§ 1.º A identificação de informações como sigilosas deve ser realizada sempre que necessário, independentemente da data para início da classificação a que se refere o caput deste artigo.
§ 2.º As informações produzidas ou recebidas antes da publicação deste normativo podem ser classificadas gradualmente nos termos definidos em ato da Presidência do Tribunal.
Seção II
Da reclassificação ou desclassificação das informações
Art. 22. A classificação das informações sigilosas poderá ser realizada ou reavaliada pela autoridade classificadora ou por autoridade hierarquicamente superior, a qualquer tempo, com vistas à sua classificação, desclassificação ou redução do prazo de sigilo.
§ 1.º A informação reclassificada terá seu prazo contado a partir da produção da informação.
§ 2.º A classificação, desclassificação ou reclassificação da informação deve sempre ser registrada em sistema informatizado de gestão arquivística de documentos.
Seção III
Das informações classificadas em meio digital
Art. 23. As informações classificadas em meio digital deverão ser criadas e gerenciadas por Sistema Informatizado de Gestão Arquivística de Documentos (SIGAD), em conformidade com o Modelo de Requisitos para Sistemas Informatizados de Gestão de Processos e Documentos do Judiciário Brasileiro – MoReq-Jus, Resolução CNJ n.° 091/2009; ou que contemple, no mínimo, um plano de classificação e tabela de temporalidade.
Art. 24. As informações classificadas em meio digital deverão ser arquivadas em repositório arquivístico digital confiável – RDC-Arq, a fim de assegurar a manutenção da autenticidade, preservar e dar acesso, pelo tempo necessário, a documentos arquivísticos digitais autênticos; estar em conformidade com os critérios estabelecidos na ISO 16363:2012 e na NBR 15.472; utilizar padrões abertos que não possuam restrições legais quanto ao uso, reconhecidos em nível nacional e internacional; adotar protocolos padronizados para comunicação automática, garantida a interoperabilidade.
Art. 25. Os documentos digitais empacotados e disponíveis no RDC-Arq deverão atender aos requisitos de acesso e recuperação integral de seu conteúdo, de forma a serem lidos e compreendidos independentemente dos sistemas que os produziram, a qualquer tempo.
CAPÍTULO III
DAS DIRETRIZES PARA GESTÃO DE SEGURANÇA DA INFORMAÇÃO PARA GESTÃO DE ATIVOS (DGSI-GA)
Art. 26. Este capítulo estabelece as Diretrizes para Gestão de Segurança da Informação para Gestão de Ativos do Tribunal Regional do Trabalho da 15ª Região.
Parágrafo único. O presente capítulo tem por fundamento as seguintes referências legais e normativas:
I – Ato Regulamentar GP n.° 012/2013, que institui o Manual de Procedimentos para Controle Patrimonial no TRT15;
II – Decreto n.° 9.373/2018, com as alterações constantes do Decreto n.° 10.340/2020, que dispõe sobre a alienação, a cessão, a transferência, a destinação e a disposição final ambientalmente adequadas de bens móveis na administração pública federal direta, autárquica e fundacional;
III – Portaria DG n.° 001/2018, que subdelega competências à Secretaria da Administração;
IV – Portaria CPV n.° 237/2020, que designa integrantes da Comissão de Exame de Material Permanente;
V – Portaria CPV n.° 238/2020, que designa integrantes da Comissão de Recebimento de Materiais Permanentes e de Expediente;
VI – Portaria CPV n.° 239/2020, que designa integrantes da Comissão Especial de Recebimento de Equipamentos de Tecnologia da Informação e Comunicações;
VII – Portaria CPV n.° 237/2020, que designa integrantes da Comissão Especial de Recebimento de Serviços de Tecnologia da Informação e Comunicações.
Art. 27. São objetivos das Diretrizes para Gestão de Segurança da Informação para Gestão de Ativos:
I – proteção de registros organizacionais;
II – manutenção e melhoria na gestão de segurança da informação no TRT15;
III – manutenção e melhoria na proteção adequada dos ativos da organização;
IV – identificação e atribuição de responsabilidade das(os) proprietárias(os) de ativos.
Art. 28. As Diretrizes para Gestão de Segurança da Informação para Gestão de Ativos são regidas pelos seguintes princípios:
I – integridade: princípio que garante a inviolabilidade das informações com intuito de protegê-las contra alteração, gravação ou exclusão acidental ou proposital;
II – confidencialidade: princípio que garante que a informação seja acessada somente por pessoas ou processos autorizados;
III – disponibilidade: princípio que garante que as informações estejam acessíveis às pessoas e aos processos autorizados, sempre que necessário.
Art. 29. As informações e dados de ativos deste Regional se encontram disponibilizados em sistemas informatizados ou em meio físico, em especial:
I – no Sistema de Material e Patrimônio (SMP);
II – no Sistema Processo Administrativo Eletrônico – PROAD;
III – no Sistema de Acompanhamento Processual de 2º grau (SAP2G);
IV – em protocolos e processos administrativos físicos.
Art. 30. São gestoras(es) do acesso ao Sistema de Material e Patrimônio (SMP):
I – a(o) Coordenadora(or) de Material e Logística, em relação às funcionalidades/módulos:
● cadastro;
● entrada;
● saída;
● requisição;
● processamentos contábeis;
● almoxarifado;
● relatório;
● patrimônio;
● inventário de materiais.
II – as(os) servidoras(es) da Seção de Suprimentos, em relação às funcionalidades/módulos:
● cadastro;
● entrada;
● saída;
● requisição;
● processamentos contábeis;
● relatório.
III – as(os) servidoras(es) da Seção de Patrimônio, em relação às funcionalidades/módulos:
● relatório;
● patrimônio;
● inventário de materiais.
IV – as(os) servidoras(es) da Seção de Almoxarifado, em relação às funcionalidades/módulos:
● almoxarifado;
● relatório.
§ 1.º Competirá às(aos) gestoras(es) do Sistema de Material e Patrimônio (SMP) conceder os acessos necessários às(aos) servidoras(es) lotadas(os) nas unidades deste Tribunal, quando aplicável, mediante requerimento da chefia imediata, atribuindo-lhes o perfil necessário.
§ 2.º Serão assegurados acessos específicos e limitados às(aos) responsáveis administrativas(os) das diversas Unidades Operacionais (UOs) deste Regional.
Seção I
Ciclo de vida dos ativos
Art. 31. Os documentos fiscais relativos às aquisições de ativos serão processados no Sistema de Material e Patrimônio (SMP) exclusivamente por servidoras(es) da Seção de Suprimentos, que possuem acesso a tal funcionalidade.
Art. 32. Com a entrada do ativo no Sistema de Material e Patrimônio do Tribunal (SMP), será emitido automaticamente o número de tombo de cada ativo em ordem cronológica crescente.
Art. 33. A saída de ativo do Almoxarifado será efetuada exclusivamente por servidoras(es) da Seção de Suprimentos, e o Sistema de Material e Patrimônio (SMP) emitirá automaticamente Nota de Fornecimento, informando a Unidade Operacional (UO) responsável, o número de tombo e o valor do ativo.
Art 34. Os deslocamentos de ativos entre Unidades Operacionais (UOs) serão informados tempestivamente à Seção de Patrimônio, que providenciará a devida alteração no Sistema de Material e Patrimônio (SMP), e este emitirá automaticamente Nota de Transferência de uma UO para outra.
Art. 35. Quando os ativos deixarem de ser utilizados pelas Unidades Operacionais (UOs), a Seção de Patrimônio deverá ser informada e requererá à Comissão responsável laudo com a classificação dos bens inservíveis como ociosos, irrecuperáveis ou antieconômicos.
Art. 36. Compete à Presidência do Tribunal autorizar a doação e baixa de bens inservíveis após todo o procedimento administrativo, a ser realizado pelo Sistema PROAD-OUV.
§ 1.º A Seção de Patrimônio será responsável pelos procedimentos de doação e baixa dos bens inservíveis do TRT15.
§ 2.º A Comissão de Exame de Material Permanente será responsável por elaborar laudo com a classificação dos bens inservíveis como ociosos, irrecuperáveis ou antieconômicos.
§ 3.º A Seção de Patrimônio providenciará a elaboração de edital de convocação de instituições interessadas em receber, por doação, bens inservíveis do Tribunal.
Art. 37. O desfazimento de equipamentos de microinformática ou de infraestrutura será precedido da eliminação dos dados neles armazenados pela Coordenadoria de Administração de Recursos de Tecnologia da Informação e Comunicações, garantindo a segurança dos dados institucionais e arquivos das(os) usuárias(os) e visando, principalmente, garantir a segurança da informação.
§ 1.º Em situações excepcionais, devidamente justificadas e aprovadas pela Administração, o ativo poderá ser indicado para desfazimento sem a observância desta norma.
§ 2.º O desfazimento de ‘softwares’ não poderá contrariar a política de licenciamento do respectivo fabricante.
Seção II
Das(os) responsáveis pelos ativos
Art. 38. São devidamente estipuladas(os) as(os) responsáveis pelos ativos de cada Unidade Operacional deste Regional.
§ 1.º As(Os) servidoras(es) da Seção de Patrimônio serão as(os) únicas(os) autorizadas(os) a alterar os responsáveis pelas UOs.
§ 2.º As(Os) servidoras(es) da Seção de Patrimônio acompanharão as publicações no Diário Oficial com o objetivo de realizar Inventário Extraordinário, sempre que houver exoneração ou aposentadoria de responsável por UO.
Seção III
Do inventário anual
Art. 39. Será efetivado Inventário Anual com a finalidade de confirmar que todos os ativos listados nas UOs estão ali localizados, em boas condições e em atividade.
§ 1.º As(Os) responsáveis pelas UOs terão acesso exclusivo ao SMP para realizar os devidos apontamentos relativos ao Inventário Anual.
§ 2.º Fica autorizada a concessão de acesso às(aos) substitutas(os) das(os) responsáveis pelas UOs, desde que devidamente formalizado o pedido pelas(os) titulares, a fim de que possam preencher os dados do Inventário Anual.
§ 3.º Compete à(ao) titular responsável pela UO solicitar a tempestiva revogação do acesso da(o) substituta(o) desligada(o) da unidade ou realocada(o) em atividade que dispense o acesso concedido.
Seção IV
Das perdas e extravios
Art. 40. As(Os) responsáveis por bens permanentes devem comunicar, imediatamente, à Coordenadoria de Material e Logística, qualquer irregularidade ocorrida com os materiais permanentes sob sua guarda.
§ 1.º As irregularidades podem ocorrer por:
I – extravio: desaparecimento de bem ou de seus componentes;
II – sinistro: ocorrência de prejuízo ou dano em determinado bem, por incêndio, inundação, etc;
III – avaria: dano parcial ou total de bem ou de seus componentes;
IV – mau uso: emprego ou operação inadequada de material por negligência ou desatenção.
§ 2.º A comunicação de bem desaparecido ou avariado deve ser feita de maneira circunstanciada, por escrito.
§ 3.º No caso de ocorrência envolvendo sinistro ou uso de violência, devem ser adotadas, de imediato, pela(o) responsável, as seguintes medidas:
I – contatar os órgãos de segurança e registrar boletim de ocorrência;
II – preservar o local para análise pericial, quando cabível;
III – manter o local sob guarda até a chegada de órgão de segurança.
Art. 41. Sendo constatado, durante a realização de inventário, o desaparecimento de bem permanente, desde que não tenha sido declarado por nenhum outro responsável dentre o rol de seus ativos, deverão ser observados os seguintes procedimentos:
I – comunicação à(ao) responsável para nova verificação e/ou esclarecimentos pertinentes ao desaparecimento do bem, em prazo improrrogável de 5 (cinco) dias úteis;
II – aceite técnico dos esclarecimentos prestados e envio à autoridade superior para baixa do material;
III – comunicação à(ao) responsável sobre a concessão de prazo para indenização total do material, no valor de avaliação calculado considerando seu desgaste físico;
IV – envio das informações à administração superior para abertura de sindicância e inclusão do bem no rol de desaparecidos no SIAFI.
CAPÍTULO IV
DAS DIRETRIZES PARA GESTÃO DE SEGURANÇA DA INFORMAÇÃO PARA GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO (DGSI-GRSI)
Art. 42. Este capítulo estabelece as Diretrizes para Gestão de Segurança da Informação para Gestão de Riscos em Segurança da Informação do Tribunal Regional do Trabalho da 15ª Região.
Parágrafo único. O presente capítulo tem por fundamento as seguintes referências legais e normativas:
I – Resolução Administrativa TRT15 n.° 008/2020, que dispõe sobre a Política de Gestão de Riscos do Tribunal Regional do Trabalho da 15ª Região e dá outras providências;
II – Ato Regulamentar GP n.° 009/2020, que instituiu o Comitê de Gestão de Riscos do Tribunal Regional do Trabalho da 15ª Região;
III – Norma ABNT NBR ISO 31000:2018, que estabelece princípios e diretrizes para a gestão de riscos;
IV – Norma ISO/IEC 27001 - Norma e padrão de referência internacional para Gestão de Segurança da Informação.
Art. 43. É objetivo das Diretrizes para Gestão de Segurança da Informação para Gestão de Riscos em Segurança da Informação: estabelecer princípios, diretrizes, competências e responsabilidades, incorporando a visão de riscos à tomada de decisões, em conformidade com as melhores práticas adotadas no setor público.
Art. 44. As Diretrizes para Gestão de Segurança da Informação para Gestão de Riscos em Segurança da Informação são regidas pelos seguintes princípios:
I – criação e proteção dos valores institucionais;
II – integração de todos os processos institucionais;
III – participação na tomada de decisões;
IV – abordagem explícita da incerteza;
V – ação sistemática, estruturada e oportuna;
VI – embasamento nas melhores informações disponíveis;
VII – alinhamento ao contexto e ao perfil de risco da instituição;
VIII – consideração de fatores humanos e culturais;
IX – transparência e inclusão;
X – facilitação da melhoria contínua da organização.
Art. 45. A Gestão de Riscos é realizada por meio de processo definido de maneira formal, contendo as fases de análise, avaliação e tratamento dos riscos.
Art. 46. Ficam estabelecidas as seguintes definições e conceitos básicos da Gestão de Riscos:
I – análise crítica: planejamento, coleta e análise de informações para determinar a adequação, suficiência e eficácia de determinado processo para atingir os objetivos estabelecidos;
II – análise de riscos: processo de compreender a natureza do risco e suas características;
III – apetite ao risco: abordagem do Tribunal para avaliar e, eventualmente, evitar, assumir, mitigar ou reter o risco;
IV – avaliação de risco: processo de comparar os resultados da análise de riscos com os critérios utilizados para determinar se o risco e/ou sua magnitude é aceitável ou tolerável;
V – risco: o efeito da incerteza nos objetivos;
VI – risco residual: risco remanescente após o tratamento do risco;
VII – tratamento de riscos: processo cujo propósito é selecionar e implementar opções para abordar riscos;
VIII – cadeia de valor: representação do conjunto de processos finalísticos, de gestão ou de suporte, que compõem uma organização para a entrega de valor final ao usuário interno e aos atores externos;
IX – consequência: resultado de um evento que afeta os objetivos;
X – controle: medida, preventiva ou protetiva, que mantém e/ou modifica o risco;
XI – critérios de risco: termos de referência com base nos quais a significância de um risco é avaliada;
XII – estrutura da gestão de riscos: conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para conceber, implementar, monitorar, analisar e melhorar continuamente a gestão de riscos no Tribunal;
XIII – evento: ocorrência ou mudança em um conjunto específico de circunstâncias;
XIV – fonte de risco: elemento que, individualmente ou combinado, tem potencial para dar origem ao risco;
XV – gestão de riscos: atividades coordenadas para dirigir e controlar o Tribunal, no que se refere a riscos;
XVI – identificação de riscos: processo de busca, reconhecimento e descrição de riscos;
XVII – monitoramento: verificação, supervisão, observação crítica ou identificação da situação, executadas de forma contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado;
XVIII – nível de risco: magnitude de um risco ou associação de riscos, expressa em termos da combinação das consequências e de suas probabilidades;
XIX – parte interessada: pessoa ou organização que pode afetar, ser afetada, ou perceber-se afetada por uma decisão ou atividade;
XX – política de gestão de riscos: declaração das intenções e das diretrizes gerais do Tribunal, relacionadas à gestão de riscos;
XXI – probabilidade: chance de algo acontecer;
XXII – processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos.
Art. 47. Serão geridos riscos associados, no mínimo, a:
I – prestação jurisdicional;
II – comunicação e imagem institucional;
III – pessoas;
IV – saúde e segurança no trabalho;
V – segurança institucional;
VI – orçamento e finanças;
VII – patrimônio, aquisições e logística;
VIII – meio ambiente e sustentabilidade;
IX – tecnologia da informação e comunicação;
X – segurança da informação.
Art. 48. O Tribunal adotará o modelo do processo de gestão de riscos estabelecido na norma NBR ISO 31000:2018 da Associação Brasileira de Normas Técnicas (ABNT).
Parágrafo único. O processo de gestão de riscos a que se refere esta Resolução será detalhado no Plano de Gestão de Riscos.
Art. 49. O Plano de Gestão de Riscos contemplará:
I – as atividades necessárias e as(os) responsáveis por executá-las, a fim de estabelecer o contexto e de identificar, analisar, avaliar, tratar, registrar e relatar os riscos;
II – os critérios de riscos;
III – o nível a partir do qual o risco deverá ter o tratamento planejado;
IV – os meios de comunicação e consulta;
V – os modelos de documentos, a Matriz de Riscos e o processo de Trabalho da Gestão de Riscos, bem como as orientações de uso.
Parágrafo único. O Plano ao qual se refere o caput deste artigo será disponibilizado no sítio eletrônico do Tribunal e atualizado, sempre que necessário, pela Assessoria de Gestão Estratégica.
CAPÍTULO V
DAS DIRETRIZES PARA GESTÃO DE SEGURANÇA DA INFORMAÇÃO PARA GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO (DGSI-GISI)
Art. 50. Este capítulo estabelece as Diretrizes para Gestão de Segurança da Informação para Gestão de Incidentes de Segurança da Informação do Tribunal Regional do Trabalho da 15ª Região.
Parágrafo único. O presente capítulo tem por fundamento as seguintes referências legais e normativas:
I – Portaria GP n.° 030/2022, que institui a Norma Técnica Complementar DGSI-GISI (Diretriz para Gestão de Segurança da Informação para Gestão de Incidentes de Segurança da Informação), para criação da Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética (ETIR), no âmbito deste Regional;
II – Ato Regulamentar GP n.° 009/2021, que consolida a composição e o funcionamento do Comitê de Governança de Segurança da Informação do Tribunal Regional do Trabalho da 15ª Região;
III – Resolução do CNJ n.° 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
IV – Resolução Administrativa TRT15 n.° 04/2019, que revoga o Ato Regulamentar GP n.° 15/2007 e estabelece nova Política Institucional de Segurança da Informação (PISI), definindo, em nível estratégico, os princípios básicos de Segurança da Informação;
V – Resolução Administrativa TRT15 n.° 23/2018, que dispõe sobre a Gestão de Segurança da Informação (GSI), a ser estruturada em duas normas: Política Institucional de Segurança da Informação (PISI) e as Diretrizes para Gestão de Segurança da Informação (DGSI-TRT);
VI – Decreto-Lei n.° 9.637 de 26 de Dezembro de 2018, pelo qual fica instituída a Política Nacional de Segurança da Informação - PNSI, no âmbito da administração pública federal;
VII – Norma ISO/IEC 27001 - Norma e padrão de referência internacional para Gestão de Segurança da Informação.
Art. 51. São objetivos das Diretrizes para Gestão de Segurança da Informação para Gestão de Incidentes de Segurança da Informação:
I – tornar o Tribunal mais seguro e inclusivo no ambiente digital;
II – aumentar a resiliência às ameaças e prevenir futuras ocorrências;
III – adotar medidas de contenção ou solução do incidente, restabelecendo assim os serviços ou o ambiente afetado em menor tempo possível;
IV – garantir que os incidentes de segurança da informação sejam identificados, avaliados e respondidos de maneira mais adequada possível;
V – reportar as vulnerabilidades de segurança da informação, além de tratá-las adequadamente.
Art. 52. As Diretrizes para Gestão de Segurança da Informação para Gestão de Incidentes de Segurança da Informação são regidas pelos seguintes princípios:
I – ameaça: qualquer circunstância ou evento com o potencial de causar impacto negativo sobre a confidencialidade, a integridade, a autenticidade e a disponibilidade da informação;
II – ativo de informação: os meios de armazenamento, transmissão e processamento, os sistemas de informação e os locais onde se encontram esses meios e as pessoas que a eles têm acesso;
III – autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por um determinado indivíduo, entidade ou processo;
IV – confidencialidade: propriedade de que a informação não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem autorização;
V – disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por indivíduo, entidades ou processos;
VI – gestora(or) de ativo de informação: são as(os) titulares das unidades responsáveis pela gestão e operação dos ativos de informação;
VII – incidente de segurança: evento ou conjunto de eventos de segurança da informação, indesejados ou inesperados, confirmados ou sob suspeita, que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação;
VIII – informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do meio em que resida ou da forma pela qual seja veiculada;
IX – integridade: propriedade de que a informação não foi modificada ou destruída, de maneira não autorizada ou acidental, por indivíduos, entidades ou processos;
X – risco: possibilidade potencial de uma ameaça comprometer a informação ou o sistema de informação pela exploração da vulnerabilidade;
XI – segurança da informação: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
XII – serviços essenciais: são aqueles que são imprescindíveis à atividade finalística do Tribunal Regional do Trabalho da 15ª Região;
XIII – unidade gestora de segurança da informação: é a unidade responsável pela gestão de segurança da informação no TRT15;
XIV – usuária(o) externa(o): qualquer pessoa física ou jurídica, não caracterizada como usuária(o) interna(o), que tenha acesso a informações produzidas pelo Tribunal, de forma autorizada;
XV – usuária(o) interna(o): qualquer servidora(or), prestadora(or) de serviço terceirizado, estagiária(o) ou qualquer outra(o) colaboradora(or) que tenha acesso às informações produzidas pelo Tribunal, de forma autorizada;
XVI – vulnerabilidade: fragilidade de um ativo ou grupo de ativos de informação que pode ser explorado negativamente por uma ou mais ameaças.
Art. 53. A gestão de incidentes de segurança da informação é realizada por meio de processo definido de maneira formal, contendo as fases de detecção, triagem, análise e resposta aos incidentes de segurança.
§ 1.º O tratamento de incidentes de segurança tem como principal objetivo, em sua gestão, assegurar que incidentes de segurança da informação sejam identificados, registrados e avaliados em tempo hábil, com a tomada de medidas de contenção e/ou solução adequadas.
§ 2.º Os incidentes de segurança da informação abrangidos por esta norma são os eventos, confirmados ou suspeitos, que comprometam os ativos de informação, dados e processos de trabalho relacionados ao ambiente do Tribunal.
§ 3.º Poderão ser analisados os incidentes de segurança da informação dos quais decorram degradação, interrupção ou indisponibilidade de serviço essencial, vulnerabilidades, divulgação, alteração ou destruição de informações, bem como a prática de ato definido como crime ou infração administrativa.
Seção I
Do Tratamento de Incidentes de Segurança da Informação
Art. 54. O tratamento de incidentes de segurança da informação é contínuo.
Art. 55. A gestão de tratamento de incidentes de segurança da informação deve observar as seguintes etapas:
I – detecção e registro: compreende o recebimento, registro e autorizações necessárias para o encaminhamento da investigação;
II – investigação e contenção: compreende a investigação e o tratamento do incidente, coleta de dados, comunicação às áreas afetadas, proposição e aplicação de ações de contenção, quando necessárias;
III – encerramento: compreende a análise do incidente, com verificação da necessidade de outras ações, providências ou comunicações, e após seu cumprimento, o encerramento do incidente;
IV – avaliação: compreende a avaliação do histórico de incidentes, por intermédio da consolidação das informações e indicadores, bem como a verificação das oportunidades de melhoria e lições aprendidas.
Seção II
Da detecção e registro de incidentes de segurança da informação
Art. 56. Os incidentes, notificados ou detectados, devem ser registrados, com a finalidade de assegurar a manutenção do histórico e auxiliar na geração de indicadores.
Art. 57. A notificação de incidente, interna ou externa, deverá ser registrada por qualquer usuária(o), o mais breve possível.
Art. 58. Vulnerabilidades ou fragilidades suspeitas não deverão ser objeto de teste ou prova pelas(os) usuárias(os), sob risco de violar as normas e regulamentações de segurança da informação que regem a instituição ou provocar danos aos recursos do TRT15.
Seção III
Da investigação e contenção de incidentes de segurança da informação
Art. 59. A investigação e o tratamento de incidentes devem ser realizados de forma a viabilizar e assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informação, buscando o retorno das operações à normalidade no menor prazo possível, bem como minimizar futuras ocorrências, por intermédio da proposição de medidas de solução, quando existentes.
Art. 60. A coleta de evidências dos incidentes de segurança da informação deve ser realizada por pessoal designado.
Art. 61. Quando o incidente de segurança da informação decorrer de suspeita de descumprimento das normas e regulamentações de segurança da informação, será observado o sigilo durante todo o processo de investigação, ficando as evidências, informações e demais registros restritos às(aos) envolvidas(os).
Art. 62. Quando houver indícios de ilícitos durante o gerenciamento dos incidentes de segurança da informação, a Administração do Regional e o Comitê de Governança de Segurança da Informação deverão ser comunicados, para avaliação das providências cabíveis.
CAPÍTULO VI
DAS DIRETRIZES PARA GESTÃO DE SEGURANÇA DA INFORMAÇÃO PARA SEGURANÇA EM RECURSOS HUMANOS (DGSI-SRH)
Art. 63. Este capítulo estabelece as Diretrizes para Gestão de Segurança da Informação para Segurança em Recursos Humanos do Tribunal Regional do Trabalho da 15ª Região.
Parágrafo único. O presente capítulo tem por fundamento as seguintes referências legais e normativas:
I – Lei n.° 9.784/1999, que regulamenta o processo administrativo no âmbito da Administração Pública Federal;
II – Lei n.° 8.112/1990, que dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas federais;
III – Resolução CSJT n.° 217/2018, que institui o Sistema Integrado de Gestão de Pessoas da Justiça do Trabalho - SIGEP-JT como ferramenta informatizada de Gestão de Pessoas da Justiça do Trabalho;
IV – Ato CSJT.GP.SG.SETIC.CSAN n.° 25/2021;
V – Portaria GP n.° 034/2021, que altera a composição do Comitê Regional do Sistema Integrado de Gestão de Pessoas - SIGEP do Tribunal Regional do Trabalho da 15ª Região;
VI – Portaria DG n.° 01/2018, com as alterações constantes da Portaria DG n.° 01/2019, que subdelega competências à Secretaria de Gestão de Pessoas;
VII – Portaria SEGP n.° 01/2019, que subdelega competências aos Coordenadores de Desenvolvimento de Pessoas, de Informações Funcionais de Servidores, de Pagamento e de Provimento e Vacância.
Art. 64. São objetivos das Diretrizes para Gestão de Segurança da Informação para Segurança em Recursos Humanos:
I – contribuir para a segurança do indivíduo, observados os direitos e as garantias fundamentais;
II – garantir a segurança dos dados pessoais;
III – preservar a imagem institucional do Tribunal;
IV – orientar ações relacionadas:
a) ao tratamento das informações com restrições de acesso;
b) à proteção dos dados pessoais e dos dados pessoais sensíveis, em conformidade com legislação específica;
c) à concessão e à gestão do acesso aos documentos e sistemas de informação de gestão de pessoas;
d) à definição de perfis de acesso às informações de gestão de pessoas.
Art. 65. As Diretrizes para Gestão de Segurança da Informação para Segurança em Recursos Humanos são regidas pelos seguintes princípios:
I – segurança jurídica;
II – respeito e promoção dos direitos humanos e das garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção de privacidade e o acesso à informação;
III – integração, cooperação e intercâmbio operacional entre os órgãos do Poder Judiciário e de Controle Externo;
IV – garantia ao sigilo das informações pessoais e inviolabilidade da vida privada, da honra e da imagem das pessoas.
Art. 66. As informações e dados de gestão de pessoas tratados no Tribunal Regional do Trabalho da 15ª Região encontram-se disponibilizados em sistemas informatizados ou em meio físico, em especial:
I – nos módulos ou funcionalidades do Sistema Integrado de Gestão de Pessoas da Justiça do Trabalho – SIGEP;
II – no Sistema Fênix;
III – no Sistema Processo Administrativo Eletrônico – PROAD-OUV;
IV – no Sistema de Acompanhamento Processual de 2º grau (SAP2G);
V – em protocolos e processos administrativos físicos.
Art. 67. São gestoras(es) do acesso ao Sistema de Gestão de Pessoas da Justiça do Trabalho – SIGEP-JT:
I – a(o) Secretária(o) de Gestão de Pessoas, em relação às funcionalidades/módulos:
● afastamentos;
● anuênios;
● aposentadoria;
● auxílios;
● avaliação de desempenho;
● averbação;
● benefícios;
● cessão;
● comissionamento;
● dependentes e pensionistas;
● emissão de documentos;
● exercício provisório;
● férias;
● folha de pagamento;
● gestão;
● lotação;
● portarias;
● progressão e movimentação;
● quadro de vagas;
● requisição;
● SAO.
II – a(o) Secretária(o) de Saúde, em relação à funcionalidade/módulo Licenças Médicas;
III – a(o) Assessora(or) de Apoio aos Magistrados, em relação às funcionalidades/módulos:
● afastamentos;
● designação de magistrados;
● férias;
● frequência.
IV – a(o) Coordenadora(or) de Pagamento, em relação às funcionalidades/módulos:
● afastamentos;
● anuênios;
● aposentadoria;
● benefícios;
● comissionamento;
● dependentes e pensionistas;
● folha de pagamento;
● gestão;
● SAO.
V – a(o) Coordenadora(or) de Informações Funcionais de Servidores, em relação às funcionalidades/módulos:
● afastamentos;
● anuênios;
● averbação;
● comissionamento;
● férias;
● gestão;
● requisição;
● SAO.
VI – a(o) Coordenadora(or) de Provimento e Vacância, em relação às funcionalidades/módulos:
● afastamentos;
● anuênios;
● aposentadoria;
● cessão;
● comissionamento;
● emissão de documentos;
● exercício provisório;
● gestão;
● lotação;
● portarias;
● progressão e movimentação;
● quadro de vagas;
● requisição;
● SAO.
VII – a(o) Coordenadora(or) de Desenvolvimento de Pessoas, em relação às funcionalidades/módulos:
● afastamentos;
● aposentadoria;
● auxílios;
● avaliação de desempenho;
● benefícios;
● comissionamento;
● dependentes e pensionistas;
● emissão de documentos;
● gestão;
● lotação;
● portarias;
● PROGECOM;
● progressão e movimentação;
● quadro de vagas;
● SAO.
VIII – a Assessoria da Vice-Presidência Administrativa, em relação à funcionalidade/módulo SAF.
§ 1.º Competirá às(aos) gestoras(es) do Sistema de Gestão de Pessoas da Justiça do Trabalho - SIGEP-JT conceder os acessos necessários às(aos) servidoras(es) lotadas(os) nas unidades administrativas da Secretaria de Gestão de Pessoas, da Secretaria de Saúde e da Assessoria de Apoio aos Magistrados, quando aplicável, mediante requerimento da chefia imediata, atribuindo-lhes o perfil necessário (gestor, consulta ou usuário).
§ 2.º Serão assegurados acessos específicos e limitados às(aos) gestoras(es) ou responsáveis administrativas(os) das diversas unidades organizacionais deste Tribunal, por intermédio do módulo Autoatendimento, a fim de assegurar a veracidade dos lançamentos/registros mensais e a legitimidade da retificação, quando necessária, dos lançamentos/registros relativos à respectiva unidade.
§ 3.º Assegura-se às(aos) gestoras(es) ou responsáveis administrativas(os) das diversas unidades organizacionais do TRT15 o acesso a dados de frequência das(os) servidoras(es) lotadas(os) na respectiva unidade e/ou nas unidades hierarquicamente subordinadas.
§ 4.º O módulo Autoatendimento destina-se ao registro e ao acompanhamento das ocorrências relativas à vida funcional das(os) magistradas(os) e servidoras(es) do Tribunal Regional do Trabalho da 15ª Região, mediante acesso individual e exclusivo de cada usuária(o).
Art. 68. Compete à Presidência do Tribunal conceder o acesso excepcional e restrito ao Sistema de Gestão de Pessoas da Justiça do Trabalho - SIGEP-JT a servidoras(es) lotadas(os) em unidades não vinculadas à Secretaria de Gestão de Pessoas, à Secretaria de Saúde e à Assessoria de Apoio aos Magistrados.
§ 1.º Fica autorizada a concessão de acesso de consulta a módulos específicos devidamente identificados às(aos) servidoras(es) formalmente indicadas(os) pela Corregedoria Regional e pela Escola Judicial.
§ 2.º Compete às(aos) gestoras(es) administrativas(os) das unidades indicadas no § 1º solicitar a tempestiva revogação do acesso da(o) servidora(or) desligada(o) da unidade ou realocada(o) em atividade que dispense o acesso concedido.
§ 3.º A concessão do acesso de que trata este artigo ficará condicionada à formalização de termo de confidencialidade pela(o) servidora(or) indicada(o), nos termos do disposto no art. 6º.
Art. 69. As(Os) servidoras(es) designadas(os) para lotação em unidade hierarquicamente vinculada à Secretaria de Gestão de Pessoas, à Secretaria de Saúde e à Assessoria de Apoio aos Magistrados deverão firmar Termo de Confidencialidade, em conformidade com o modelo do Anexo Único deste capítulo.
Parágrafo único. As(Os) servidoras(es) em exercício nas unidades referidas no caput, bem como aquelas(es) que porventura já tenham recebido autorização para o acesso ao Sistema de Gestão de Pessoas da Justiça do Trabalho - SIGEP-JT, deverão firmar o termo de responsabilidade do Anexo Único no prazo de 60 (sessenta) dias, contados da publicação desta norma.
Art. 70. Compete à(ao) servidora(or) à(ao) qual foi atribuída a análise de documento em processo administrativo eletrônico - PROAD-OUV ou SAP2G - avaliar preliminarmente a pertinência de lhe atribuir acesso restrito, quando constatada a existência dos seguintes elementos, dentre outros necessários à proteção dos direitos humanos e das garantias fundamentais:
I – informações de saúde da(o) interessada(o) ou de terceira(o), incluindo laudos periciais e atestados médicos;
II – informações fiscais da(o) interessada(o) ou de terceira(o), inclusive declaração de imposto de renda;
III – informações bancárias da(o) interessada(o) ou de terceira(o);
IV – informações sobre menores;
V – cópia de decisão judicial relacionada a processo que envolve segredo de justiça, ou no qual figuram menores, ou, ainda, pessoa absolutamente incapaz;
VI – dados pessoais sensíveis, nos termos da LGPD (Lei n.º 13.709/2018).
§ 1.º Quando aplicável, o acesso restrito poderá ser atribuído posteriormente, pela(o) gestora(or) na unidade detentora do processo, mediante requerimento formal da(o) interessada(o) ou de ofício, desde que presente pelo menos uma das condições dispostas nos incisos I a VI do caput.
§ 2.º A restrição de acesso poderá ser revogada a qualquer tempo, mediante pedido fundamentado da(o) titular das informações ou de terceira(o) interessada(o), ou por determinação superior.
Art. 71. As informações/dados pessoais sensíveis constantes de expediente e processos administrativos físicos mantidos em arquivos nas unidades da Secretaria de Gestão de Pessoas serão acessíveis tão somente às(aos) servidoras(es) autorizadas(os) da respectiva unidade administrativa do Tribunal.
Parágrafo único. Será autorizado o acesso, ainda que parcial, aos documentos referidos no caput tão somente à(ao) própria(o) titular das informações e dados ou, mediante autorização formal da(o) Diretora(or)-Geral, a terceira pessoa justificadamente interessada.
Art. 72. Aplicam-se ao acesso ao Sistema Fênix, até a sua extinção, as mesmas diretrizes e restrições estabelecidas neste Capítulo para o tratamento de dados e informações de gestão de pessoas constantes do SIGEP-JT e dos processos administrativos eletrônicos.
CAPÍTULO VII
DAS DIRETRIZES PARA GESTÃO DE SEGURANÇA DA INFORMAÇÃO PARA SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÕES (DGSI-TIC)
Art. 73. Este capítulo estabelece as Diretrizes para Gestão de Segurança da Informação para Segurança em Tecnologia da Informação e Comunicações do Tribunal Regional do Trabalho da 15ª Região.
Parágrafo único. O presente capítulo tem por fundamento os normativos abaixo relacionados, os quais podem ser acessados na página do Comitê de Governança de Segurança da Informação (https://trt15.jus.br/intranet/setic/comite-de-seguranca-da-informacao):
I – Portaria GP n.° 039/2021, que institui a Norma Técnica Complementar DGSI-TIC - Controle de Acesso Lógico;
II – Portaria GP n.° 078/2019, que institui a Norma Técnica Complementar DGSI-TIC – Gestor de Serviço de TIC e Cartilha de Gestor de Serviço de TIC;
III – Portaria GP n.° 061/2019, que institui a Norma Técnica Complementar DGSI-TIC – Cópias de Segurança (backup);
IV – Portaria GP n.° 060/2019, que institui a Norma Técnica Complementar DGSI-TIC - Utilização de Acesso à Internet;
V – Portaria GP n.° 062/2019, que institui a Norma Técnica Complementar DGSI-TIC – Padrão de ‘Software’ em Estações de Trabalho;
VI – Portaria GP n.° 063/2019, que institui a Norma Técnica Complementar DGSI-TIC – Tratamento de Incidentes de Segurança de Informações de TIC;
VII – Portaria GP n.° 079/2019, que institui a Norma Técnica Complementar DGSI-TIC – Utilização e Seguridade de Login, Dispositivos de Identificação e Senha e Padrão de Formação do Login de Usuário;
VIII – Portaria GP n.° 064/2019, que institui a Norma Técnica Complementar DGSI-TIC – Serviço de Correio Eletrônico Institucional.
CAPÍTULO VIII
DAS DIRETRIZES PARA GESTÃO DE SEGURANÇA DA INFORMAÇÃO PARA CONTROLE DE ACESSOS (DGSI-CA)
Art. 74. Este capítulo estabelece as Diretrizes para Gestão de Segurança da Informação para Controle de Acessos do Tribunal Regional do Trabalho da 15ª Região.
Parágrafo único. O presente capítulo tem por fundamento as seguintes referências legais e normativas:
I – Resolução CNJ n.° 291/2019, que consolida as Resoluções do Conselho Nacional de Justiça sobre a Política e o Sistema Nacional de Segurança do Poder Judiciário e dá outras providências;
II – Resolução CNJ n.° 344/2020, que regulamenta o exercício do poder de polícia administrativa no âmbito dos tribunais, dispondo sobre as atribuições funcionais dos agentes e inspetores da polícia judicial;
III – Resolução CSJT n.° 315/2021, que regulamenta, no âmbito da Justiça do Trabalho de 1.º e 2.º graus, as Resoluções CNJ n.º 291, de 23 de agosto de 2019; 344, de 9 de setembro de 2020; 379, de 15 de março de 2021; 380, de 16 de março de 2021; e 383, de 25 de março de 2021; e consolida as disposições relativas às Resoluções CSJT n.º 108, de 29 de junho de 2012;175, de 21 de outubro de 2016, e 203, de 25 de agosto de 2017;
IV – Resolução Administrativa TRT15 n.° 003/2020, que altera dispositivos da Resolução Administrativa TRT15 n.° 010/2014 para reestruturar a composição orgânico administrativa da Assessoria de Segurança Institucional e dispõe sobre suas competências;
V – Portaria GP n.° 026/2014, que institui os Procedimentos Operacionais Padrão de Segurança Institucional – POPs deste Regional;
VI – Portaria GP n.° 048/2019, que Regulamenta a entrada e a permanência do público e dos Servidores no edifício-sede judicial do Tribunal Regional do Trabalho da 15ª Região, com portarias localizadas na Rua Barão de Jaguara, 901 e na Avenida Francisco Glicério, 860, assim como no edifício-sede administrativo, localizado na Rua Dr. Quirino, 1080, ambos em Campinas.
Art. 75. São objetivos das Diretrizes para Gestão de Segurança da Informação para Controle de Acesso:
I – zelar pela preservação de dados pessoais daqueles que acessam as instalações do Tribunal Regional do Trabalho da 15ª Região;
II – promover constante atualização de meios e métodos para aperfeiçoamento dessa diretriz.
Art. 76. As Diretrizes para Gestão de Segurança da Informação para Controle de Acessos são regidas pelos seguintes princípios:
I – inviolabilidade dos dados pessoais, na forma da lei;
II – utilização de dados pessoais em estrita observância à legislação vigente;
III – compartimentação de dados, garantido o acesso apenas a quem tenha necessidade de conhecê-lo;
IV – sistematização, acompanhamento e supervisão de dados.
Art. 77. A coleta e o armazenamento de informações/dados pessoais e/ou sensíveis, relativos ao controle de acesso de pessoas no Tribunal Regional do Trabalho da 15ª Região serão de responsabilidade da Seção de Inteligência, acessíveis apenas às(aos) servidoras(es) autorizadas(os) da respectiva unidade.
§ 1.º Fica autorizada a concessão de acesso de consulta ao sistema de controle de acesso, a módulos específicos, devidamente identificados, às(aos) servidoras(es) formalmente indicadas(os) pela Seção de Inteligência.
§ 2.º Compete à(ao) gestora(or) administrativa(o) da unidade indicada no § 1.º solicitar a tempestiva revogação de acesso da(o) servidora(or) desligada(o) da unidade ou realocada(o) em atividade que dispense o acesso concedido.
CAPÍTULO IX
DAS DIRETRIZES PARA GESTÃO DE SEGURANÇA DA INFORMAÇÃO PARA SEGURANÇA FÍSICA E PATRIMONIAL (DGSI-SFP)
Art. 78. Este capítulo estabelece as Diretrizes para Gestão de Segurança da Informação para Segurança Física e Patrimonial do Tribunal Regional do Trabalho da 15ª Região.
Parágrafo único. O presente capítulo tem por fundamento as seguintes referências legais e normativas:
I – Resolução CNJ n.° 291/2019, que consolida as Resoluções do Conselho Nacional de Justiça sobre a Política e o Sistema Nacional de Segurança do Poder Judiciário e dá outras providências;
II – Resolução CNJ n.° 344/2020, que regulamenta o exercício do poder de polícia administrativa no âmbito dos tribunais, dispondo sobre as atribuições funcionais dos agentes e inspetores da polícia judicial;
III – Resolução CSJT n.° 315/2021, que regulamenta, no âmbito da Justiça do Trabalho de 1º e 2º graus, as Resoluções CNJ n.º 291, de 23 de agosto de 2019, 344, de 9 de setembro de 2020, 379, de 15 de março de 2021, 380, de 16 de março de 2021, 383, de 25 de março de 2021; e consolida as disposições relativas às Resoluções CSJT n.º 108, de 29 de junho de 2012, 175, de 21 de outubro de 2016, e 203, de 25 de agosto de 2017;
IV – Resolução Administrativa TRT15 n.° 003/2020, que altera dispositivos da Resolução Administrativa TRT15 n.° 010/2014 para reestruturar a composição orgânico administrativa da Assessoria de Segurança Institucional e dispõe sobre suas competências;
V – Portaria GP n.° 026/2014, que institui os Procedimentos Operacionais Padrão de Segurança Institucional – POPs deste Regional;
VI – Portaria GP n.° 048/2019, que Regulamenta a entrada e a permanência do público e dos Servidores no edifício-sede judicial do Tribunal Regional do Trabalho da 15ª Região, com portarias localizadas na Rua Barão de Jaguara, 901 e na Avenida Francisco Glicério, 860, assim como no edifício-sede administrativo, localizado na Rua Dr. Quirino, 1080, ambos em Campinas.
Art. 79. São objetivos das Diretrizes para Gestão de Segurança da Informação para Segurança Física e Patrimonial:
I – zelar pela segurança de informações pessoais, observados os direitos e as garantias fundamentais;
II – garantir a proteção de dados de natureza social, sem distinção de raça, gênero, orientação sexual, nacionalidade, religião e situação econômica;
III – promover constante atualização de meios e métodos para aperfeiçoamento desta diretriz.
Art. 80. As Diretrizes para Gestão de Segurança da Informação para Segurança Física e Patrimonial são regidas pelos seguintes princípios:
I – respeito à dignidade humana;
II – utilização de dados pessoais em estrita observância à legislação vigente;
III – compartimentação de dados, garantido o acesso apenas a quem tenha necessidade de conhecê-lo;
IV – sistematização, acompanhamento e supervisão de dados.
Art. 81. É de responsabilidade da Seção de Segurança a coleta e o armazenamento de informações/dados pessoais e/ou sensíveis relativos ao:
I – controle do fluxo de pessoas do Tribunal, Fóruns e Varas do Trabalho;
II – controle de entrada e permanência de pessoas portando armas de fogo;
III – fiscalização da entrada e saída de bens móveis pertencentes ao patrimônio da Justiça do Trabalho;
IV – registro de movimentação de veículos das garagens do Tribunal.
Art. 82. É de responsabilidade da Seção de Transportes a coleta e o armazenamento de informações/dados pessoais e/ou sensíveis relativos ao:
I – registro de requisição de transportes;
II – registro de deslocamento dos veículos.
Art. 83. É de responsabilidade da Seção de Inteligência a coleta e o armazenamento de informações/dados pessoais e/ou sensíveis relativos à atividade de inteligência desenvolvida no Tribunal Regional do Trabalho da 15ª Região.
Parágrafo único. Entende-se por atividade de inteligência o exercício permanente e sistemático de ações especializadas para identificar, avaliar e acompanhar ameaças reais ou potenciais aos ativos do Poder Judiciário, orientadas para a produção e salvaguarda de conhecimentos necessários ao processo decisório da segurança institucional.
Art. 84. Os Relatórios de Inteligência (RELINTS) devem ser identificados como documento ‘RESERVADO’.
CAPÍTULO X
DAS DISPOSIÇÕES FINAIS
Art. 85. Esta Resolução Administrativa entrará em vigor na data de sua publicação, revogando-se as disposições em contrário.
(a)SAMUEL HUGO LIMA
Desembargador Presidente do Tribunal
.png)
.png)
.png)
