Resolução Administrativa Nº 023/2018
RESOLUÇÃO ADMINISTRATIVA N. 023/2018
14 de dezembro de 2018
Dispõe sobre a Gestão de Segurança da Informação (GSI) no âmbito do Tribunal Regional do Trabalho da 15ª Região.
A DESEMBARGADORA PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 15ª REGIÃO, no uso de suas atribuições legais e regimentais,
CONSIDERANDO o decidido pelo Egrégio Órgão Especial desta Corte, nos autos do Processo Administrativo nº 0000282-37.2017.5.15.0895, em Sessão Administrativa realizada em 03/12/2018;
CONSIDERANDO as Diretrizes para a Gestão de Segurança da Informação no âmbito do Poder Judiciário, do Conselho Nacional de Justiça (CNJ);
CONSIDERANDO o advento da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação – LAI), que regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal;
CONSIDERANDO as boas práticas em segurança da informação preconizadas pelo Tribunal de Contas da União (TCU);
CONSIDERANDO a Norma Técnica ISO ABNT, 2013, NBR ISO 27001: Sistemas de gestão de segurança da informação, que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização;
CONSIDERANDO a Norma Técnica ISO ABNT, 2013, NBR ISO 27002: Código de prática para gestão de segurança da informação, que fornece diretrizes para práticas de gestão de segurança da informação;
CONSIDERANDO a Norma Complementar 01/IN01/DSIC/GSIPR, de 15 de outubro de 2008, do Departamento de Segurança da Informação e Comunicações da Presidência da República, que estabelece critérios e procedimentos para elaboração, atualização, alteração, aprovação e publicação de normas complementares sobre a Gestão de Segurança da Informação e Comunicações, no âmbito da Administração Pública Federal, direta e indireta;
CONSIDERANDO que o Tribunal produz e recebe informações no exercício de suas competências constitucionais, legais e regulamentares, e que tais informações devem permanecer íntegras e disponíveis, bem como seu eventual sigilo deve ser resguardado;
CONSIDERANDO que as informações do Tribunal são armazenadas em diferentes suportes e veiculadas por diversas formas, tais como meio impresso, eletrônico e microforma, estando, portanto, vulneráveis a incidentes como desastres naturais, acessos não autorizados, mau uso, falhas de equipamentos, extravio e furto;
CONSIDERANDO que a segurança é aspecto essencial para a adequada gestão da informação;
CONSIDERANDO a importância de aprimorar e sistematizar as práticas institucionais de segurança, as quais contribuem para assegurar o suporte necessário ao pleno exercício das funções do Tribunal;
CONSIDERANDO a necessidade de estabelecer diretrizes gerais para orientar a elaboração de normas específicas de segurança da informação e a definição de procedimentos que norteiem os processos de trabalho corporativos;
CONSIDERANDO a Política de Segurança da Informação vigente no âmbito do Tribunal Regional do Trabalho da 15ª Região;
CONSIDERANDO que o uso indevido dos recursos pode comprometer a segurança das informações produzidas ou custodiadas pelo Tribunal Regional do Trabalho da 15ª Região;
CONSIDERANDO que o aprimoramento da Segurança da Informação constitui-se etapa fundamental para a prestação jurisdicional e
CONSIDERANDO a Resolução nº 211, de 15/12/2015, do Conselho Nacional de Justiça (CNJ), que Institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD),
R E S O L V E:
Art. 1º A Gestão da Segurança da Informação (GSI) será estruturada por regulamentos específicos, quais sejam: a Política Institucional de Segurança da Informação (PISI) e as Diretrizes para Gestão de Segurança da Informação (DGSI-TRT), visando a elaboração, institucionalização, divulgação, implementação e busca da melhoria contínua da Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 15ª Região (TRT).
§ 1º O objetivo finalístico da Gestão da Segurança da Informação (GSI) é viabilizar e maximizar os requisitos da disponibilidade, da integridade, da confidencialidade e da autenticidade da informação em todo seu ciclo de vida, observados os princípios, os objetivos e as diretrizes institucionais estabelecidos, bem como as disposições constitucionais, legais e regimentais vigentes.
§ 2º Serão promovidas ações frequentes, no mínimo uma vez a cada semestre, para conscientização de magistrados, servidores, estagiários e prestadores de serviço, visando à disseminação dos componentes da GSI.
§ 3º A Política Institucional de Segurança da Informação (PISI) define em nível estratégico as regras que representam os princípios básicos da Segurança da Informação.
§ 4º As Diretrizes para a Gestão de Segurança da Informação (DGSI-TRT) definem em nível tático as obrigações a serem seguidas, especificando os controles que deverão ser implementados.
§ 5º A Política Institucional de Segurança da Informação (PISI) e as Diretrizes para Gestão de Segurança da Informação (DGSI-TRT) declaram o comprometimento e o apoio da Administração necessários para implementar a Gestão da Segurança da Informação (GSI) neste Tribunal.
Art. 2º A Política Institucional de Segurança da Informação (PISI) é proposta e revista por grupo de trabalho indicado e orientado pelo Comitê de Segurança da Informação.
Parágrafo único. A Política Institucional de Segurança da Informação (PISI) deverá ser instituída em forma de Resolução Administrativa.
Art. 3º As Diretrizes para Gestão de Segurança da Informação (DGSI-TRT) compreendem um conjunto de Normas, Metodologias e Processos de Trabalho.
Parágrafo único. As Diretrizes para Gestão de Segurança da Informação (DGSI-TRT) devem estar alinhadas à missão institucional e às boas práticas recomendadas pelos órgãos de controle, bem como aos princípios norteadores contidos na Política Institucional de Segurança da Informação (PISI), no âmbito deste Tribunal.
Art. 4º As Diretrizes para Gestão de Segurança da Informação (DGSI-TRT) serão estruturadas nos seguintes capítulos, representando temas e objetivos específicos:
I. DGSI-CI, Diretriz para Gestão de Segurança da Informação para Classificação da Informação, sob responsabilidade da Presidência;
II. DGSI-GA, Diretriz para Gestão de Segurança da Informação para Gestão de Ativos, sob responsabilidade da Presidência;
III. DGSI-GRSI, Diretriz para Gestão de Segurança da Informação para Gestão de Riscos em Segurança da Informação, sob responsabilidade da Presidência;
IV. DGSI-GISI, Diretriz para Gestão de Segurança da Informação para Gestão de Incidentes de Segurança da Informação, sob responsabilidade da Presidência;
V. DGSI-SRH, Diretriz para Gestão de Segurança da Informação para Segurança em Recursos Humanos, sob responsabilidade da Diretoria-Geral;
VI DGSI-TIC, Diretriz para Gestão de Segurança da Informação para Segurança em Tecnologia da Informação e Comunicações, sob responsabilidade da Secretaria de Tecnologia da Informação e Comunicações;
VII. DGSI-CA, Diretriz para Gestão de Segurança da Informação para Controle de Acessos, sob responsabilidade da Assessoria de Segurança;
VIII. DGSI-SFP, Diretriz para Gestão de Segurança da Informação para Segurança Física e Patrimonial, sob responsabilidade da Assessoria de Segurança;
IX. DEFI, relação única das definições julgadas necessárias para a correta compreensão dos termos utilizados nas diversas normas que compõem os capítulos das Diretrizes para Gestão de Segurança da Informação (DGSI-TRT). Os termos comuns utilizados serão cadastrados e mantidos atualizados por seus responsáveis;
X. ANEX, documentos complementares a serem utilizados como modelos na construção de documentos pertinentes, contendo a estrutura mínima a ser observada.
§ 1º A elaboração da proposta para os diversos capítulos, bem como eventuais revisões e alterações, serão efetuadas por grupos de trabalho indicados pelos seus respectivos responsáveis.
§ 2º As Diretrizes para Gestão de Segurança da Informação (DGSI-TRT) serão compiladas e instituídas em forma de Resolução Administrativa.
§ 3º Manuais, guias e cartilhas orientativos de boas práticas complementares deverão ser publicados por meio de Portarias.
§ 4º Os Mapeamentos de Processos de Trabalho devem observar o uso da metodologia BPM (Business Proccess Management).
§ 5º Devem ser identificados, definidos, mapeados e relacionados os Processos de Trabalho relacionados à Segurança da Informação, atribuindo-lhes a classificação de "Processos de Trabalho Críticos", com o tratamento compatível para tal classificação, os quais deverão ser aprovados no prazo e nos termos do art. 5º desta Resolução.
§ 6º Como forma de apoio às Diretrizes para Gestão de Segurança da Informação (DGSI-TRT), poderão ser elaborados e divulgados manuais, guias e cartilhas orientativas de boas práticas complementares, os quais devem compor o Capítulo MGC específico para esse fim.
§ 7º Visando a necessária publicidade das Diretrizes para Gestão de Segurança da Informação (DGSI-TRT) e objetivando facilitar a atualização periódica, será utilizado o sistema de publicação conjunta em forma de única Resolução Administrativa dos vários capítulos, normas complementares, metodologias e processos de trabalho que compõem as Diretrizes para Gestão de Segurança da Informação (DGSI-TRT).
Art. 5º A elaboração, a aprovação e a publicação de todos os capítulos, normas, metodologias e processos de trabalho que compõem as Diretrizes para Gestão de Segurança da Informação (DGSI-TRT) deverão ser efetuadas e submetidas ao Órgão Especial Administrativo no prazo máximo de 180 dias, a partir da publicação desta Resolução.
Parágrafo único. Este prazo poderá ser prorrogado uma única vez, por mais 60 dias, a critério da Presidência.
Art. 6º Todos os instrumentos normativos relativos à GSI devem ser revisados sempre que necessário.
Art. 7º A Política Institucional de Segurança da Informação (PISI) e as Diretrizes para Gestão de Segurança da Informação (DGSI-TRT) aplicam-se a todos os magistrados, servidores, estagiários, prestadores de serviço e demais agentes públicos ou particulares que executem atividade vinculada à atuação institucional do Tribunal Regional do Trabalho da 15ª Região.
Art. 8º Esta Resolução Administrativa entra em vigor na data de sua publicação, revogando-se as disposições em contrário.
GISELA RODRIGUES MAGALHÃES DE ARAUJO E MORAES
Desembargadora Presidente do Tribunal