Normas do Tribunal
Nome: |
ATO GP Nº 28/2012
|
Origem: |
Gabinete da Presidência
|
Data de edição: |
10/12/2012
|
Data de publicação: |
12/12/2012
|
Fonte: |
DOELETRÔNICO - CAD. ADM. -
12/12/2012
|
Vigência: |
|
Tema: |
Institui a Política de
Segurança da Informação no âmbito do TRT da 2ª
Região.
|
Indexação: |
Política;
segurança; informação; serviço;
confidencialidade; acesso; integridade;
salvaguarda; método; disponibilidade;
garantia; usuário; recurso; tecnologia;
equipamento; infraestrutura; instalação;
magistrado; servidor; cargo;
comissão; empregado; empresa; consultor;
estagiário; negócio; procedimento;
acidente; desastre; contrato; convênio;
sítio; internet; monitoramento;
auditoria; evento; relatório; comitê;
registro; classificação; restauração;
cópia; norma; alteração; estratégia;
elaboração; divulgação; autoridade;
órgão; avaliação; administração;
secretaria; informática; competência;
subsídio; palestra; treinamento;
ambiente; irregularidade; chefia;
legislação; civl; penal.
|
Situação: |
REVOGADO
|
Observações: |
Alterado pelo Ato
GP nº 29/2014
Alterado pelo Ato
GP nº 06/2015
Alterado pelo Ato
GP nº 38/2018
Revogado pelo Ato n.
2/GP, de 7 de janeiro de 2022
|
ATO GP Nº 28/2012
Revogado pelo Ato n. 2/GP, de 7
de janeiro de 2022
Institui
a Política de Segurança da
Informação no âmbito do
Tribunal Regional do Trabalho
da 2ª Região.
A PRESIDENTE DO TRIBUNAL REGIONAL DO
TRABALHO DA 2ª REGIÃO, no uso de
suas atribuições legais e
regimentais,
CONSIDERANDO a necessidade de
estabelecer diretrizes e padrões
para garantir um ambiente
tecnológico controlado e seguro de
forma a oferecer todas as
informações necessárias aos
processos deste Tribunal com
integridade, confidencialidade e
disponibilidade;
CONSIDERANDO que a credibilidade da
instituição na prestação
jurisdicional deve ser preservada;
CONSIDERANDO a constante preocupação
com a qualidade e celeridade na
prestação de serviços à sociedade;
RESOLVE:
Art. 1º Instituir a Política de
Segurança da
Informação no âmbito do Tribunal
Regional do Trabalho
da 2ª Região.
Art. 2º Para os
efeitos deste Ato aplicam-se as
seguintes definições:
I - Confidencialidade: Garantia de
que o acesso à informação seja
obtido apenas por pessoas
autorizadas;
II - Integridade: Salvaguarda de
exatidão e completeza da informação
e dos métodos de processamento;
III - Disponibilidade: Garantia de
que os usuários autorizados obtenham
acesso à informação e aos recursos
correspondentes sempre que
necessário;
IV - Segurança da Informação:
preservação da confidencialidade,
integridade e disponibilidade da
informação;
V - Recurso de Tecnologia
de Informação: qualquer
equipamento, dispositivo, serviço,
infraestrutura ou
sistema de processamento da
informação, ou as instalações
físicas que os abriguem;
V.
Recurso de TIC: qualquer
equipamento, dispositivo, serviço,
infraestrutura ou sistema de
processamento
da informação, ou as instalações
físicas
que os abriguem; (Inciso alterado
pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
VI - Usuários: magistrados e
servidores ocupantes de cargo
efetivo ou em comissão,
requisitados e cedidos, desde que
previamente autorizados,
empregados de empresas prestadoras
de serviços terceirizados,
consultores, estagiários, e outras
pessoas que se encontrem a serviço
da Justiça do Trabalho, utilizando
em caráter temporário os recursos
tecnológicos do TRT;
VI. Usuários:
magistrados e servidores ocupantes
de cargo efetivo ou em comissão,
requisitados e cedidos, empregados
de empresas prestadoras de serviços
terceirizados, consultores,
estagiários e outras pessoas que,
devidamente autorizadas, utilizem os
recursos tecnológicos do TRT;
(Inciso
alterado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
VII - Plano de Continuidade
de Negócio: conjunto de ações de
prevenção e procedimentos de
recuperação a serem seguidos para
proteger os processos críticos de
trabalho contra efeitos de falhas
de equipamentos, acidentes, ações
intencionais ou desastres naturais
significativos, assegurando a
disponibilidade das informações.
VII -
Plano de Continuidade de Serviços
de TI: conjunto de ações de
prevenção e procedimentos de
recuperação a serem seguidos para
proteger os sistemas
informatizados críticos de
trabalho contra efeitos
de falhas de equipamentos,
acidentes, ações intencionais
ou desastres naturais
significativos, assegurando a
disponibilidade das
informações. (Inciso
alterado pelo Ato
GP nº 29/2014 -
DOEletrônico 16/12/2014)
VII.
Plano de Continuidade de Serviço de
TIC: documento com o objetivo de
estabelecer os procedimentos
necessários para restauração do
funcionamento de um serviço de TIC
no menor tempo possível, caso este
serviço seja atingido por eventos
que afetem sua disponibilidade;
(Inciso
alterado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
VIII.
Princípio do Menor Privilégio:
orientação para que qualquer tipo de
acesso configurado seja realizado da
forma mais restritiva possível,
garantindo que: (Inciso incluído
pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
a. O
acesso seja concedido apenas às
pessoas necessárias;
b. O
acesso seja concedido apenas pelo
tempo necessário;
c. O
acesso seja concedido apenas aos
recursos necessários;
d. O
acesso seja concedido apenas aos
perfis necessários.
IX. Registros
de Auditoria (LOGS): arquivos que
contém informações sobre eventos
relevantes, como informações de
autenticação ou de ações praticadas
em equipamento ou serviço de TIC; (Inciso
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
X.
Representante do Negócio: pessoa ou
comitê responsável por negociar com
a comunidade de usuários quais as
regras, demandas, expectativas de
nível de serviço e solicitações de
mudanças devem ser feitas para os
serviços
e qual a prioridade destas;
(Inciso
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
XI. Zona
Desmilitarizada: área reservada de
rede de computadores responsável por
concentrar os equipamentos que devem
ser acessíveis por outras redes
menos seguras, como a Internet,
implementando regras de acesso
específicas e suficientes para a
proteção do ambiente computacional
da instituição. (Inciso
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Art. 3º As disposições
deste Ato aplicam-se a todos os
usuários de recursos de tecnologia
da informação do Tribunal Regional
do Trabalho da 2ª Região.
Parágrafo único. Os contratos e os
convênios firmados pelo Tribunal
que envolvam utilização de
recursos de tecnologia da
informação devem conter cláusula
exigindo a observância deste Ato,
que estará disponível no sítio
eletrônico do Tribunal na
Internet.
Art. 4º O uso adequado dos
recursos de tecnologia da
informação visa a garantir a
continuidade da prestação
jurisdicional deste Tribunal.
Parágrafo único. Os recursos de
tecnologia da informação,
pertencentes ao Tribunal Regional
do Trabalho da 2ª Região que estão
disponíveis para os usuários,
devem ser utilizados em atividades
relacionadas às suas funções
institucionais.
Art. 5º A utilização dos recursos
de tecnologia da informação será
monitorada, com a finalidade de
detectar divergências entre as
normas que integram a Política de
Segurança da Informação e os
registros resultantes do
monitoramento, fornecendo
evidências nos casos de incidentes
de segurança.
Parágrafo único. Serão realizadas
auditorias com o intuito de apurar
eventos que deponham contra a
segurança e as boas práticas no
uso dos recursos de tecnologia da
informação, cujos relatórios serão
encaminhados ao Comitê de
Segurança da Informação.
Art. 6º Toda informação gerada no
Tribunal será classificada em
termos de seu valor, requisitos
legais, sensibilidade, criticidade
e necessidade de compartilhamento.
Parágrafo único. O Tribunal
providenciará dispositivos de
proteção proporcionais ao grau de
confidencialidade e de criticidade
da informação, independentemente
do suporte em que resida ou da
forma pela qual seja veiculada,
capazes de assegurar a sua
autenticidade, integridade e
disponibilidade.
Art. 7º As informações, sistemas e
métodos gerados ou criados pelos
usuários, no exercício de suas
funções, independentemente da
forma de sua apresentação ou
armazenamento, são propriedade do
Tribunal e serão utilizadas
exclusivamente para fins
relacionados às atividades a ele
afetas.
Parágrafo único. Quando as
informações, sistemas e métodos
forem gerados ou criados por
terceiros para
uso exclusivo do Tribunal, ficam
os criadores obrigados ao sigilo
permanente de tais produtos, sendo
vedada a sua reutilização em
projetos para outrem.
Art. 8º Compete ao Comitê
de Segurança da Informação, além
do disposto no Ato
GP 26/2012, de 30 de
novembro de 2012:
I - Elaborar e
submeter à Presidência do
Tribunal, propostas de normas e
políticas de uso dos recursos de
informação, tais
como:
I - Elaborar
propostas de normas e políticas de
uso dos recursos de
informação, tais como: (Inciso
alterado pelo Ato
GP nº 29/2014 -
DOEletrônico 16/12/2014)
a) Classificação das informações;
b) Contingência e continuidade do
negócio;
b)
Contingência e continuidade de
serviços de TI; (Alínea
alterada pelo Ato
GP nº 29/2014 -
DOEletrônico 16/12/2014)
c) Controle de acesso lógico e
físico;
d) Utilização de recursos de
tecnologia da informação e da
comunicação;
e) Tratamento dos incidentes
relacionados à segurança da
informação;
f) Política de geração e
restauração de cópias de
segurança.
II - Rever periodicamente as
normas relacionadas a essa
Política de Segurança da
Informação, sugerindo possíveis
alterações;
III - Estabelecer diretrizes e
definições estratégicas para a
elaboração do Plano Estratégico de
Segurança da Informação;
IV - Dirimir dúvidas e deliberar
sobre questões não contempladas
nessa política e normas
relacionadas;
V - Propor e acompanhar planos de
ação para aplicação dessa política
e das normas a ela relacionadas,
assim como campanhas de divulgação
e conscientização dos usuários;
VI - Receber as comunicações de
descumprimento das normas
referentes a essa política,
instruindo-as com os elementos
necessários à sua análise e
apresentando parecer à
autoridade/órgão competente à sua
apreciação;
VII - Solicitar, sempre que
necessário, a realização de
auditorias à Seção de Segurança da
Informação, relativamente ao uso
dos recursos de tecnologia da
informação, no âmbito do Tribunal;
VIII - Avaliar relatórios e
resultados de auditorias
apresentados pela Seção de
Segurança da Informação;
IX - Apresentar à Administração os
resultados da Política de
Segurança da Informação do
Tribunal;
X - Realizar a gestão de riscos,
com base nas análises de risco,
apresentando as medidas de
segurança necessárias à mitigação
destes.
Art.
3º. As disposições
deste Ato aplicam-se a todos os
usuários de recursos de TIC do
Tribunal
Regional do Trabalho da 2ª Região. (Artigo
alterado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Art. 4º. Compete
ao Comitê de Segurança da Informação
e Comunicações: (Artigo
alterado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
I. Elaborar
propostas de diretrizes, normas e
políticas para os assuntos
relacionados à Segurança da
Informação e Comunicações, tais
como:
a. Auditoria
e conformidade em segurança de TIC;
b.
Classificação das informações;
c.
Contingência e continuidade dos
serviços de TIC;
d. Controle
de acesso lógico e físico;
e.
Divulgação e conscientização;
f. Geração e
restauração de cópias de segurança;
g. Gestão de
riscos de TIC;
h.
Tratamento dos incidentes
relacionados à segurança de TIC;
i.
Utilização de recursos de TIC.
II. Rever
periodicamente esta Política de
Segurança da Informação e
Comunicações, sugerindo possíveis
alterações;
III.
Estabelecer diretrizes e definições
estratégicas para a segurança da
informação
e comunicações;
IV.
Acompanhar planos de ação
para aplicação dessa política e das
normas a ela relacionadas, assim
como campanhas de divulgação e
conscientização dos usuários;
V. Receber e
analisar as comunicações de
descumprimento das normas referentes
a essa política;
VI.
Solicitar, sempre que necessário, a
realização de auditorias à
Coordenadoria de Segurança de TIC,
relativamente ao uso dos recursos de
Tecnologia da Informação e
Comunicações, no âmbito deste
Tribunal;
VII.
Avaliar relatórios e resultados de
auditorias apresentados pela
Coordenadoria de Segurança de TIC;
VIII.
Definir quais serviços de TIC devem
ser considerados críticos;
IX. Realizar
a gestão de riscos de TIC, com base
em análises de risco, deliberando
sobre as medidas necessárias à
mitigação dos riscos identificados;
X. Dirimir
dúvidas e deliberar sobre questões
relacionadas à Política de
Segurança, não contempladas neste
Ato ou norma correlata;
XI.
Apresentar à Presidência do
Tribunal, quando solicitado, os
resultados de suas ações e
atividades.
Art. 5º. Compete
ao Gestor de Segurança da Informação
e Comunicações, mais antigo
integrante do Comitê de Segurança da
Informação e Comunicações: (Artigo
alterado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
I. Coordenar
as atividades do Comitê de Segurança
da Informação e Comunicações;
II. Submeter
à Presidência, propostas de
diretrizes, normas e políticas
relativas à Segurança da Informação
e Comunicações;
III.
Promover a cultura de segurança da
informação e comunicações;
IV.
Acompanhar os levantamentos e as
avaliações dos danos decorrentes de
quebra de segurança;
V. Propor
recursos necessários às ações de
segurança da informação e
comunicações;
VI. Avaliar
estudos de novas tecnologias, quanto
a possíveis impactos na segurança da
informação e comunicações.
Art. 6º. Compete
à Coordenadoria de Segurança de TIC,
além do disposto no Ato
GP nº 25/2016: (Artigo
alterado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
I. Elaborar e
coordenar as ações do Plano
Estratégico de Segurança da
Informação, com base nas definições
estratégicas estabelecidas pelo
Comitê de Segurança da Informação;
II. Prestar
apoio técnico especializado às
atividades do Comitê de Segurança da
Informação e Comunicações nos
assuntos relacionados à Segurança de
TIC;
III.
Informar ao Comitê de Segurança da
Informação e Comunicações a respeito
de incidentes de segurança de TIC e
riscos identificados no ambiente
computacional do Tribunal.
Art. 7º. A
Secretaria de Tecnologia da
Informação e Comunicações implantará
mecanismos de proteção que visem
assegurar a confidencialidade,
integralidade e disponibilidade do
ambiente computacional do Tribunal.
(Artigo
alterado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Art. 8º. Os
equipamentos que compõe o parque
tecnológico do Tribunal devem ter
seu relógio e fuso horário
sincronizados com o equipamento
responsável pelo serviço de relógio
mantido pela Secretaria de
Tecnologia da Informação e
Comunicações. (Artigo
alterado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Art. 8º-A.
Compete ao Gestor de Segurança da
Informação, Desembargador do
Trabalho mais antigo integrante do
Comitê de Segurança da Informação e
Comunicações, instituído pelo Ato
GP nº 26/2012: (Artigo acrescentado
pelo Ato
GP nº 29/2014 -
DOEletrônico 16/12/2014)
I. Submeter à
Presidência as propostas de normas
relativas à segurança da informação,
elaboradas nos termos do inciso I,
do
art. 8º desta norma;
II.
Promover e motivar a cultura de
segurança da informação e
comunicações;
III.
Acompanhar as investigações e as
avaliações dos danos decorrentes de
quebra de segurança;
IV. Propor
recursos necessários às ações de
segurança da informação e
comunicações;
V.
Coordenar as atividades do Comitê de
Segurança da Informação e
Comunicações;
VI.
Realizar e acompanhar estudos de
novas tecnologias quanto a possíveis
impactos na segurança da informação
e comunicações.
Art. 9º A Seção de
Segurança da Informação, vinculada
à Secretaria de Informática, tem
por objetivo prover soluções de
segurança que agreguem valor aos
serviços prestados pelo TRT da 2ª
Região, pautadas na
conscientização e no
comprometimento de seus
servidores para com a preservação
da confidencialidade, da
integridade e da disponibilidade
das informações, a segurança
nas operações e a excelente imagem
perante a sociedade.
Art.
9º A Seção de Segurança em
Tecnologia da Informação,
vinculada à Secretaria de
Tecnologia da Informação, tem por
objetivo prover soluções de
segurança que agreguem
valor aos serviços prestados pelo
TRT da 2ª Região,
pautadas na conscientização e no
comprometimento de seus
servidores para com a preservação
da confidencialidade,
da integridade e da
disponibilidade das informações, a
segurança
nas operações e a excelente imagem
perante a sociedade. (Artigo
alterado pelo Ato
GP nº 29/2014 -
DOEletrônico 16/12/2014)
Art. 10. Compete à Seção de
Segurança da Informação:
Art. 10.
Compete à Seção de Segurança em
Tecnologia da Informação: (Caput
alterado pelo Ato
GP nº 29/2014 -
DOEletrônico 16/12/2014)
I - Elaborar um Plano Estratégico
de Segurança da
Informação, com base nas
definições estratégicas
estabelecidas pelo Comitê de
Segurança da Informação;
II - Coordenar as ações do Plano
Estratégico de Segurança da
Informação e dos projetos a ele
relacionados;
III - Gerir a Política de
Segurança da Informação e as
normas a ela relacionadas;
IV - Apoiar o Comitê de Segurança
da Informação na elaboração das
normas e procedimentos relativos à
segurança da informação;
V - Fornecer subsídios para as
atividades do Comitê de Segurança
da Informação;
VI - Indicar eventual necessidade
de promover palestras e
treinamentos para conscientização
dos usuários e atualização das
ações de segurança, apoiando sua
realização;
VII - Realizar análises de risco
periódicas no que tange à
tecnologia, ambientes, processos e
pessoas, reportando os resultados
ao Comitê de Segurança da
Informação;
VIII - Manter os registros de
monitoramento sobre o uso dos
recursos de tecnologia;
IX - Realizar auditorias, quando
necessário, com emissão de
relatórios sobre o uso dos
recursos de tecnologia, apontando
irregularidades e
não-conformidades na utilização,
quando estas existirem;
X - Atuar de forma coordenada com
outras áreas nos assuntos
relativos à Segurança da
Informação;
XI - Informar ao Comitê de
Segurança da Informação:
a) Nível de segurança alcançado
nos ambientes tecnológicos, por
meio de relatórios gerenciais
provenientes das análises de
risco;
b) Incidentes de segurança
tecnológica.
Art. 11. Incumbe à chefia imediata
e superior do usuário verificar a
observância da Política de
Segurança da Informação no âmbito
de sua unidade, comunicando, de
imediato, ao Comitê de Segurança
da Informação, as irregularidades
constatadas, para as providências
cabíveis.
Art. 12. O descumprimento das
normas referentes à Política de
Segurança da Informação deste
Tribunal poderá acarretar, isolada
ou cumulativamente, nos termos da
legislação vigente, sanções
administrativas, civis e penais.
Art.
9º. Os registros de auditoria (logs)
gerados nos equipamentos servidores
devem ser armazenados em equipamento
centralizado, com controles de
acesso implementados de forma a
garantir a integridade
e a confidencialidade das
informações. (Artigo
alterado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Art. 10. As
configurações de acesso ou
comunicação realizadas nas soluções
de infraestrutura e segurança de TIC
devem obedecer ao princípio do menor
privilégio. (Artigo
alterado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
§1º. Qualquer
acesso ou comunicação que não tenha
necessidade de ser liberado deve ser
bloqueado.
§2º. Deverá
ser implementada
uma zona desmilitarizada para
confinamento de equipamentos
acessíveis
publicamente através da internet.
§3º. As redes
que contém equipamentos servidores
devem ser segregadas das redes que
contém equipamentos
de microinformática.
§4º. Sempre
que possível, as
redes que contêm equipamentos de
microinformática devem ser
segregadas ao nível das Unidades
Organizacionais.
Art. 11. Sempre
que possível, deverão ser utilizados
protocolos de comunicação que
implementem mecanismos de
criptografia em detrimento de
protocolos sem estes mecanismos; (Artigo
alterado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Art. 12. A
geração e restauração de cópias de
segurança do ambiente computacional
deverão seguir o disposto no Ato
GP nº 07/2015. (Artigo
alterado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Art.
12-A. A Política de Segurança da
Informação deverá ser revisada e
atualizada periodicamente, sempre
que forem observadas mudanças
significativas no ambiente
organizacional ou técnico, ou, no
mínimo, a cada vinte e quatro
meses. (Artigo
acrescentado pelo Ato
GP nº 29/2014 -
DOEletrônico 16/12/2014) (Artigo
revogado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Parágrafo
único. A revisão e atualização da
Política de Segurança da
Informação deverá considerar os
resultados provenientes das
Análises de Risco e
dos relatos sobre incidentes de
segurança da informação efetuados
no período, de forma a obter
melhoria dos controles e recursos
utilizados, bem como na definição
de responsabilidades.
Art. 12-B.
As Normas de Segurança da
Informação deverão ser revisadas e
atualizadas periodicamente, sempre
que forem observadas mudanças
significativas no ambiente
organizacional ou técnico, ou, no
mínimo, uma vez a cada vinte e
quatro meses. (Artigo
acrescentado pelo Ato
GP nº 29/2014 -
DOEletrônico 16/12/2014) (Artigo
revogado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Art. 12-C. As
diretrizes e procedimentos
adotados na Política de Segurança
da Informação, no âmbito deste
Regional, devem observar as
disposições contidas neste Ato, a
legislação vigente e, em especial,
as seguintes referências
normativas: (Artigo
acrescentado pelo Ato
GP nº 29/2014 -
DOEletrônico 16/12/2014)
(Artigo
revogado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
I. ABNT
NBR ISO/IEC 27002:2005: Norma que
estabelece diretrizes e princípios
gerais para iniciar, implementar,
manter e melhorar a gestão de
segurança da informação em uma
organização. Os objetivos
definidos nesta norma proveem
diretrizes gerais sobre as metas
geralmente aceitas para a gestão
de segurança da informação;
II.
ABNT NBR ISO/IEC 27005:2008 -
Norma que fornece diretrizes para
o processo de gestão de riscos de
segurança da informação.
Art. 12-D. Os
riscos de segurança da informação
serão tratados mediante um
processo de gestão de riscos,
de acordo com o Anexo I.
Este processo deverá cobrir as
seguintes atividades: (Artigo
acrescentado pelo Ato
GP nº 06/2015 -
DOEletrônico 26/03/2015)
(Artigo
revogado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
I.
Definições preliminares: definição
do escopo priorizando, no mínimo,
os ativos associados aos processos
mais críticos do negócio definidos
pela organização;
II.
Análise e avaliação:
identificação, comunicação,
avaliação, aceitação e priorização
dos riscos;
III.
Plano de tratamento: definição das
formas de tratamento dos riscos
que deve relacionar, no mínimo, as
ações a serem tomadas, os
responsáveis, as prioridades e os
prazos de execução necessários à
sua
implantação;
IV.
Execução do plano de tratamento:
execução das ações previstas no
plano de tratamento dos riscos
aprovado;
V.
Análise dos resultados: avaliação
dos resultados na execução do
plano, contendo que ações foram
executadas, dificuldades
encontradas na execução das ações,
e qualquer outra informação que
seja relevante ao processo;
VI.
Melhoria do processo: avaliação da
eficiência e eficácia do processo,
e dos problemas encontrados
durante sua execução; revisão das
etapas e ações previstas; revisão
do escopo para próximas análises e
implementações de melhorias.
Art. 13. O presente Ato
entra em vigor a partir da data de
sua publicação, revogadas as
disposições em contrário.
Art.
13. O descarte seguro de mídias de
armazenamento de dados no âmbito
deste Tribunal deverá seguir o
disposto no Ato
GP nº 09/2015. (Artigo
alterado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Art. 14. O uso
adequado dos recursos de TIC visa
garantir a continuidade da prestação
jurisdicional deste Tribunal. (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
§1º. Os
recursos de tecnologia da
informação, pertencentes ao Tribunal
que estão disponíveis para os
usuários, devem ser utilizados em
atividades relacionadas às suas
funções institucionais.
§2º. A
utilização dos
recursos de TIC será monitorada,
podendo serem realizadas auditorias
com a finalidade de detectar eventos
que deponham contra a segurança
da informação e comunicações, as
boas práticas
no uso dos recursos de TIC ou
eventos que estejam em
desconformidade com
os normativos vigentes.
§3º. A
utilização dos
recursos de TIC deverá seguir as
diretrizes contidas no
Ato GP nº 10/2009.
Art. 15. O
serviço de correio eletrônico deve
ser utilizado como ferramenta
institucional para execução das
atribuições funcionais de
magistrados e servidores, ativos e
inativos. (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Parágrafo
único. Assuntos relacionados à
rotina de trabalho devem ser
tratados exclusivamente através das
contas corporativas de correio
eletrônico, fornecidas por este
Tribunal, sendo vedada a utilização
de contas pessoais de correio
eletrônico para este fim.
Art. 16. O
serviço de acesso à Internet provido
através da rede do Tribunal deve
restringir-se às
páginas com conteúdo estritamente
relacionado com as atividades
desempenhadas pelo Órgão,
necessários ao cumprimento
das atribuições funcionais do
usuário. (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
§1º. O Comitê
de Segurança da Informação e
Comunicações deliberará a respeito
de solicitações de acesso a sites
bloqueados pela política de acesso
vigente, mas que sejam necessários à
rotina funcional das unidades
solicitantes.
§2º.
Equipamentos fornecidos para
utilização do público em geral terão
regras de acesso específicas, de
acordo com a necessidade de cada
equipamento, elaboradas de acordo
com o princípio do menor privilégio.
Art. 17. Toda
informação gerada no Tribunal será
classificada em termos de seu valor,
requisitos legais, sensibilidade,
criticidade e necessidade de
compartilhamento, observadas as
diretrizes contidas no Ato
GP nº 30/2014. (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Art. 18. As
informações, sistemas
e métodos gerados ou criados por
magistrados e servidores, no
exercício de suas funções,
independentemente da forma de sua
apresentação ou armazenamento, são
propriedades do Tribunal e serão
utilizadas exclusivamente para fins
corporativos. (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Art. 19. Quando
informações, sistemas e métodos
forem gerados ou criados por
terceiros para uso exclusivo do
Tribunal, ficam os criadores
obrigados ao sigilo permanente de
tais produtos, sendo vedada a sua
reutilização em projetos para
outrem. (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Art. 20. Os
contratos e convênios firmados pelo
Tribunal que envolvam a utilização
de recursos de TIC devem
conter cláusulas contemplando os
requisitos de segurança de
TIC necessários à manutenção da
integridade, confidencialidade,
disponibilidade e autenticidade das
informações. (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Art. 21. O
gerenciamento da continuidade dos
serviços de TIC será realizado
mediante processo que deverá cobrir,
no mínimo, as seguintes atividades:
(Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
I.
Elaboração de planos de continuidade
de serviços de TIC;
II. Revisão
dos planos de continuidade de
serviços de TIC;
III.
Testes dos planos de continuidade de
serviços de TIC.
§1º. Deverão
ser elaborados planos de
continuidade de serviços de TIC
para, no mínimo, todos
os serviços de TIC considerados
críticos;
§2º. Os planos
de continuidade deverão ser
atualizados sempre que houver
alteração no ambiente computacional
ou nos procedimentos necessários
para seu restabelecimento;
§3º. Deverá
ser elaborado cronograma para
execução de teste dos planos de
continuidade de todos
os serviços considerados críticos.
Art. 22.
Incidente de segurança de TIC é
qualquer evento, confirmado ou sob
suspeita, que: (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
I. Viole
este Ato Normativo;
II. Permita
ou facilite acesso não autorizado ao
ambiente computacional ou às
informações armazenadas digitalmente
por este Tribunal;
III.
Represente ameaça às informações
armazenadas, processadas ou
trafegadas pelos serviços de TIC;
IV.
Acarrete exposição de dados e
informações confidenciais.
Art. 23. Os
incidentes de segurança de TIC serão
tratados mediante processo que
deverá cobrir, no mínimo, as
seguintes atividades: (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
I. Registro;
II.
Avaliação;
III.
Tratamento;
IV.
Comunicação dos incidentes.
Art. 24. Os
usuários deverão notificar à Central
de Serviços de TIC qualquer
incidente de segurança de TIC
identificado. (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Art. 25. Os
riscos de segurança de TIC serão
tratados mediante processo que
deverá cobrir, no mínimo, as
seguintes atividades: (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
I.
Definições preliminares: definição
do escopo priorizando, no mínimo, os
ativos associados aos serviços
considerados críticos;
II. Análise
e avaliação: identificação,
comunicação, avaliação, aceitação e
priorização dos riscos;
III. Plano
de tratamento: definição das formas
de tratamento dos riscos que deve
relacionar, no mínimo, as ações a
serem tomadas, os responsáveis, as
prioridades e os prazos de execução
necessários à sua implantação;
IV.
Execução do plano de tratamento:
execução das ações previstas no
plano de tratamento dos riscos
aprovado;
V. Análise
dos resultados: avaliação dos
resultados na execução do plano,
contendo quais ações foram
executadas, dificuldades encontradas
na execução das
ações e qualquer outra informação
que seja relevante
ao processo;
VI.
Melhoria do processo: avaliação da
eficiência e eficácia do processo, e
dos problemas encontrados durante
sua execução, revisão das etapas e
ações previstas, revisão do escopo
para próximas análises
e implementações de melhorias.
Art. 26. A
auditoria e conformidade em
segurança de TIC será gerida
mediante processo que deverá cobrir,
no
mínimo, as seguintes atividades: (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
I.
Planejamento: definição do
escopo e do calendário dos
trabalhos;
II.
Análise: Identificação e análise das
desconformidades, para elaboração de
cronograma de ações para tratamento
das desconformidades identificadas;
III.
Tratamento: execução das atividades
previstas para tratamento das
desconformidades identificadas.
Art. 27. O
controle de acesso aos serviços de
TIC será gerenciado através do
processo de Gerenciamento de
Cumprimento de Requisição, publicado
através da Portaria
GP nº 57/2015. (Artigo
incluído
pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
§1º. O
controle de acesso lógico deverá
seguir as diretrizes contidas no Ato
GP nº 10/2009, Capítulo IV –
Das Competências.
§2º. Os
acessos devem ser geridos através do
princípio do menor privilégio.
§3º. O
representante de negócio de cada
serviço de TIC é responsável por
definir as
regras de acesso ao respectivo
serviço.
§4º. A criação
ou alteração de credenciais de
acesso deve seguir o disposto no Ato
GP nº 08/2015, que institui a
Política de Senhas no âmbito do
Tribunal.
Art. 28. O
acesso físico ao Datacenter e
às instalações de TIC deverão seguir
o disposto
no Ato
GP nº 10/2015. (Artigo
incluído
pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Art. 29. A
divulgação e conscientização em
segurança de TIC será realizada
mediante processo que deverá cobrir,
no mínimo, as atividades de
elaboração, revisão e divulgação de
material sobre o tema. (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Art. 30. Deverá
ser estabelecido um programa de
conscientização em segurança de TIC,
de forma que os usuários recebam
informações apropriadas ao
desempenho de suas funções. (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Parágrafo
único. O programa deverá considerar
as seguintes diretrizes:
I. Ter por
objetivo tornar os usuários
conscientes das suas
responsabilidades para a segurança
da informação e comunicações e os
meios pelos quais essas
responsabilidades são realizadas;
II. Estar
alinhado com as políticas e
procedimentos relevantes de
segurança de TIC;
III.
Considerar um número mínimo de
atividades de conscientização, tais
como campanhas e notícias;
IV.
Contemplar novos usuários.
Art. 31. Todos
os processos de segurança
de TIC elaborados devem ser
publicados na Intranet, para livre
consulta. (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Art. 32. Incumbe
à chefia imediata do servidor
verificar a observância desta
Política, no âmbito de
sua unidade, comunicando de imediato
à Central de Serviços
de TIC quaisquer irregularidades
identificadas. (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Parágrafo
único. O descumprimento desta
Política poderá acarretar, isolada
ou cumulativamente, nos termos da
legislação vigente, sanções
administrativas, civis e penais.
Art. 33. A
Política, as Normas e os Processos
de Segurança da Informação e
Comunicações deverão ser revisados e
atualizados periodicamente, sempre
que forem observadas mudanças
significativas no ambiente
organizacional ou
computacional ou, no mínimo, a cada
12 (doze) meses. (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Parágrafo
único. A revisão deverá considerar,
quando aplicável:
I. Os
resultados provenientes das análises
de risco;
II. Os
relatórios sobre incidentes de
segurança de TIC;
III. As
seguintes referências normativas:
a. Instrução
Normativa GSI/PR nº 1 de 2008,
do Gabinete de Segurança
Institucional da Presidência da
República, que disciplina a
Gestão da Segurança da Informação e
Comunicações na Administração
Pública Federal, e suas Normas
Complementares;
b. ABNT
NBR ISO/IEC 27001:2013;
c. ABNT
NBR ISO/IEC 27002:2013;
d. ABNT
NBR ISO/IEC 27005:2011.
Art. 34. O
presente Ato entra em vigor a partir
da data de sua publicação, revogadas
as disposições em contrário. (Artigo
incluído pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
Publique-se e
cumpra-se.
São Paulo, 10 de dezembro de 2012.
(a)MARIA DORALICE NOVAES
Desembargadora
do Trabalho Presidente do Tribunal
ANEXO
I
(Anexo acrescentado
pelo
Ato
GP nº 06/2015 -
DOEletrônico 26/03/2015)
Processo
de Gestão de
Riscos de Segurança da
Informação (conteúdo sigiloso)
(Anexo
revogado pelo Ato
GP nº 38/2018 - DeJT
12/09/2018)
DOELETRÔNICO - CAD. ADM. -
12/12/2012
|
|