Tribunal Regional Eleitoral - DF
Secretaria Judiciária
Coordenadoria de Registros de Partidos Políticos e Jurisprudência
PORTARIA PRESIDÊNCIA N. 125, DE 23 DE JULHO DE 2018.
Institui a Política de Gestão de Continuidade de Negócios de Tecnologia da Informação, no âmbito do Tribunal Regional Eleitoral do Distrito Federal (TRE-DF).
A PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO DISTRITO FEDERAL, no uso de suas atribuições legais, e considerando: a necessidade deste Tribunal de estar sempre alerta a ameaças e vulnerabilidades e para a reação eficaz a possíveis eventos danosos à sua estrutura de Tecnologia da Informação e Comunicação que possam impactar a execução de sua missão institucional; as diretrizes constantes nos Acórdãos TCU 2.308/2010, 2.585/2012, 3.117/2014, 1.603/2008, item 188, I, "c"; os objetivos estratégicos de Governança Institucional presentes no Plano Estratégico desta Corte (2015-2020); as orientações dos Sistemas de Gestão de Continuidade de Negócios presentes nas Normas ABNT NBR ISO 22301 /22313; e o disposto no PA SEI nº 0003655-96.2018.6.07.8100, RESOLVE:
Art. 1º Instituir a Política de Gestão de Continuidade de Negócios de TIC – PGCNTIC no Tribunal Regional Eleitoral do Distrito Federal –TRE-DF.
TITULO I
Da Política de Gestão de Continuidade de Negócios de TIC – PGCNTIC
Art. 2º A Gestão de Continuidade de Negócios de TI – GCN é o processo que objetiva minimizar um impacto danoso sobre os serviços críticos de Tecnologia da Informação do TRE-DF e recuperar perdas de ativos tangíveis e intangíveis a um nível aceitável, por meio da combinação de ações de prevenção e recuperação.
Art. 3º A PGCNTIC tem como diretriz principal estabelecer, implementar, manter e melhorar a Gestão de Continuidade de Negócios – GCN no âmbito da Tecnologia da Informação no TRE-DF, observados os seguintes objetivos específicos:
I – implementar o Plano de Continuidade de Negócios – PCN dos serviços de Tecnologia da Informação, devidamente documentado, que deverá ser mantido e acessível em casos de incidentes que possam interromper ou comprometer as atividades essenciais do
Tribunal;
II – definir papéis e responsabilidades;
III – realizar treinamentos, testes e análises que garantam a manutenção e o bom funcionamento do PCN no âmbito da Tecnologia da Informação.
Parágrafo Único. A PGCNTIC no âmbito da Tecnologia da Informação deve estar disponível como informação documentada, ser comunicada a todo o Tribunal e ser revisada anualmente ou sempre que mudanças significativas ocorrerem, para garantir a sua adequação.
TITULO II
CAPÍTULO I
Dos Conceitos
Art. 4º A PGCNTIC no âmbito da Tecnologia da Informação do TRE-DF abrange os seguintes conceitos:
I – Atividade: processo ou conjunto de processos executados pelo TREDF (ou em seu nome) que produzam ou suportem um ou mais produtos ou serviços no âmbito da Tecnologia da Informação; são exemplos de tais processos os registros eletrônicos dos processos judiciais e administrativos, o atendimento ao público através do uso da infra estrutura de conectividade, bem como qualquer processo de trabalho interno, seja administrativo ou judicial, mas que faça uso da infra estrutura de TIC;
II – Auditoria: exame sistemático para determinar se as atividades e resultados relacionados estão em conformidade com o acordado e se esses acordos estão implementados eficazmente e são adequados para que o TRE-DF atinja seus objetivos e políticas;
III – Continuidade de Negócios: capacidade estratégica e tática do TRE-DF no âmbito da Tecnologia da Informação de planejar e responder a incidentes e interrupções de negócios para conseguir continuar suas operações em um nível aceitável previamente definido;
IV – Gestão de Continuidade de Negócios – GCN: processo abrangente de gestão que identifica ameaças potenciais para o TRE-DF e os possíveis impactos nas operações de negócios no âmbito da Tecnologia da Informação caso elas se concretizem; este processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputação e a imagem do TRE-DF; a gestão de continuidade de negócios envolve gerenciar a recuperação ou a continuidade de negócios em caso de interrupção, bem como a gestão de todo o programa por meio de treinamento, testes e análises críticas, a fim de garantir que o Plano de Continuidade de Negócios no âmbito da Tecnologia da Informação esteja atualizado e operacional;
V – Pessoal de Gestão de Continuidade de Negócios: magistrados, servidores ou terceiros com responsabilidades definidas no Sistema de Gestão de Continuidade de Negócios;
VI – Sistema de Gestão de Continuidade de Negócios – SGCN: parte do conjunto de elementos de gestão do TRE-DF que estabelece, implementa, opera, monitora, analisa criticamente, mantém e aprimora a continuidade de negócios;
VII – Plano de Continuidade de Negócios – PCN: procedimentos documentados que permitam ao TRE-DF responder a um incidente no âmbito da Tecnologia da Informação e lidar adequadamente com a recuperação de suas atividades;
VIII – Estratégia de Continuidade de Negócios – ECN: abordagem do TRE-DF que garanta a recuperação e continuidade de suas atividades diante da interrupção do negócio decorrente de um desastre ou de qualquer outro incidente no âmbito da Tecnologia da Informação;
IX – Análise de Impacto nos Negócios (Business Impact Analysis – BIA): processo de análise das funções de negócios e os efeitos que uma interrupção possa causar no âmbito da Tecnologia da Informação;
X – Atividades críticas: aquelas que devem ser executadas de forma a entregar os produtos e serviços fundamentais do TRE-DF no âmbito da Tecnologia da Informação, os quais permitem atingir seus objetivos mais importantes e sensíveis ao tempo;
XI – Interrupção: evento, previsível ou não, que cause um desvio negativo na entrega de produtos ou execução de serviços no âmbito da Tecnologia da Informação, de acordo com os objetivos do TRE-DF;
XII – Teste: atividade na qual os planos de continuidade de negócios são exercitados parcial ou integralmente, de forma a garantir que eles contenham as informações apropriadas e produzam o resultado desejado quando colocados em prática;
XIII – Ganho: consequência positiva;
XIV – Impacto: consequência avaliada de um evento em particular;
XV – Incidente: qualquer evento que possa causar a interrupção de negócios no âmbito da Tecnologia da Informação;
XVI – Auditoria interna: análise crítica conduzida pelo TRE-DF, ou em seu nome, para formar juízo de valor para uma autodeclaração de conformidade;
XVII – Declaração de acionamento ou ativação do plano: ato de declarar que o Plano de Continuidade de Negócios de TIC– PCNTIC do TRE-DF precisa ser colocado em prática de forma a continuar o fornecimento de produtos ou serviços fundamentais no âmbito da Tecnologia da Informação;
XVIII – Probabilidade: possibilidade de algo acontecer;
XIX – Perda: consequência negativa;
XX – Sistema de gestão: conjunto de elementos para estabelecer políticas e objetivos, bem como a forma de atingi-los;
XXI – Não-conformidade: não cumprimento de um requisito;
XXII – Processo: conjunto de atividades relacionadas ou interativas que transformam entradas em produtos ou serviços;
XXIII – Produtos e serviços: resultados benéficos que o TRE-DF fornece ao público interno e externo, como audiências, decisões judiciais e administrativas;
XXIV – Tempo Objetivado de Recuperação (Recovery Time Objective – RTO): período de tempo após um incidente em que a atividade, o produto ou serviço devem ser retomados ou os recursos devem ser recuperados;
XXV – Ponto Objetivado de Recuperação (Recovery Point Objective – RPO): ponto em que a informação usada por uma atividade deve ser restaurada para permitir a operação da atividade na retomada;
XXVI – Resiliência: capacidade do Tribunal de resistir aos efeitos de um incidente;
XXVII – Recursos: todos os ativos, pessoas, competências, informação, tecnologia (incluindo instalações e equipamentos), locais, suprimentos e informação (eletrônica ou não) que o TRE-DF deve ter disponíveis para uso, quando necessário, a fim de operar e atingir seus objetivos;
XXVIII – Risco: algo que pode ocorrer e seus efeitos nos objetivos do TRE-DF;
XXIX – Avaliação de riscos: processo geral de identificação, análise e estimativa de riscos;
XXX – Gestão de riscos: desenvolvimento estruturado e aplicação de uma cultura de gestão, políticas, procedimentos e práticas para as tarefas de identificação, análise, avaliação e controle dos riscos;
XXXI – Partes interessadas (Stackholders): aqueles que possuem algum interesse nos resultados do TRE-DF; termo abrangente que inclui, entre outros, magistrados, servidores, terceirizados, advogados, jurisdicionados, fornecedores;
XXXII – Alta administração: pessoa ou conjunto de pessoas que dirige e controla o TRE-DF em seu nível mais alto.
CAPÍTULO II
Das Diretrizes
Art. 5º A Gestão de Continuidade de Negócios de TIC – GCNTIC no âmbito da Tecnologia da Informação observará as seguintes diretrizes:
I - Identificar e documentar as atividades, funções, serviços, produtos e parcerias do Tribunal, bem como cadeias de suprimentos, relacionamento com partes interessadas e o impacto potencial relacionado a um incidente de interrupção;
II - Identificar no âmbito da Tecnologia da Informação as ameaças internas e externas que possam comprometer a continuidade da prestação jurisdicional e os possíveis impactos à operação, decorrentes da concretização de tais ameaças;
III - Definir, implementar e manter um processo formal e documentado para Análise de Impacto nos Negócios (Business Impact Analysis BIA). A análise deve incluir:
a) identificação no âmbito da Tecnologia da Informação das atividades que suportam o fornecimento de produtos e serviços;
b) avaliação dos impactos de não realização das atividades ao longo do tempo;
c) fixação dos prazos de forma priorizada para a retomada das atividades, em um nível mínimo de execução tolerável, levando em consideração o tempo em que os impactos da interrupção torne-se inaceitável;
d) identificação de dependências e recursos no âmbito da Tecnologia da Informação que suportam as atividades, incluindo fornecedores, terceiros e demais partes interessadas relevantes.
IV - Determinar uma estratégia de continuidade de negócios adequada para proteger, estabilizar, continuar, retomar e recuperar as atividades prioritárias de TIC, bem como suas dependências e recursos de apoio no âmbito da Tecnologia da Informação;
V - Documentar o Plano de Continuidade de Negócio de TIC PCNTIC para assegurar a continuidade das suas operações em um nível aceitável, no âmbito da Tecnologia da Informação.
Art. 6º Deverão ser elaborados e testados os procedimentos de continuidade de negócios, para garantir que estes sejam compatíveis com os seus objetivos.
Parágrafo Único. Caberá à Secretaria de Tecnologia da Informação e Comunicação STIC implementar, monitorar e analisar criticamente a PGCNTIC, no âmbito da Tecnologia da Informação, bem como reportar os resultados à alta administração, propondo, quando for o caso, iniciativas de melhorias e correções.
TÍTULO III
CAPÍTULO I
Dos Papéis e Responsabilidades
Art. 7º No âmbito da Tecnologia da Informação, as estruturas envolvidas na continuidade de negócios do TRE-DF são:
I - Diretoria-Geral;
II - Comitê de Gestão de TIC;
III - Secretaria de Tecnologia da Informação e Comunicação.
Parágrafo Único. A Comissão de Segurança da Informação e o Comitê de Gestão de TIC atuarão alinhadas com as diretrizes da PGCNTIC.
CAPÍTULO II
Da Diretoria Geral
Art. 8º Compete a Diretoria-Geral do TRE-DF nas questões relacionadas à Continuidade de Negócios no âmbito da Tecnologia da Informação:
I - Submeter à apreciação da Presidência para o encaminhamento ao Tribunal Pleno a PGCNTIC e suas revisões para apreciação e aprovação;
II - Garantir os recursos necessários para estabelecer, implementar, operar e manter a Gestão de Continuidade de Negócios no âmbito da Tecnologia da Informação;
III - Aprovar estratégias, planos, processos e decidir sobre ações de melhorias e correções em relação à Continuidade de Negócios;
IV - Aprovar, ouvido o Comitê de Gestão de TIC, a Análise de Impacto nos Negócios (Business Impact Analysis BIA);
V - decidir, ouvido o Comitê de Gestão de TIC, os casos omissos.
CAPÍTULO III
Do Comitê de Gestão de TIC
Art. 9º Compete ao Comitê de Gestão de TIC do TRE-DF nas questões relacionadas à Continuidade de Negócios:
I - Propor ajustes, aprimoramentos e modificações da PGCNTIC;
II - Revisar o Plano de Continuidade de Negócios de TIC e os demais planos que o integram;
III - Deliberar sobre controles, processos e procedimentos de Continuidade de Negócios;
IV - Acompanhar a política, estratégias, processos, projetos e iniciativas de continuidade de negócios de TIC, zelando por sua qualidade e efetividade;
V - Propor o planejamento e a alocação de recursos no que tange à Continuidade de Negócios de TIC;
VI - Atuar como instância consultiva da Diretoria-Geral nas questões relativas à Continuidade de Negócios de TIC;
VII - Validar a Análise de Impacto nos Negócios (Business Impact Analysis BIA);
VIII - Aprovar o cronograma dos testes de Continuidade de Negócios de TIC;
IX - Acompanhar e avaliar, no âmbito da Tecnologia da Informação, os resultados dos testes dos Planos de Continuidade de Negócios de TIC desenvolvidos pelo Tribunal.
CAPÍTULO IV
Da Secretaria de Tecnologia da Informação e Comunicação
Art. 10. Compete a STIC decidir sobre a ativação do Plano de Continuidade de Negócios de Tecnologia da Informação em caso de incidentes.
TÍTULO IV
CAPÍTULO I
Do Plano de Continuidade de Negócios de TIC PCNTIC
Art. 11. O PCNTIC é focado no âmbito da Tecnologia da Informação e formado por procedimentos documentados que orientam o TRE-DF a responder, recuperar, retomar e restaurar a um nível pré-definido de operação após a interrupção.
Art. 12. O PCNTIC deverá estabelecer cenários de situações inesperadas ou incidentes (quer sejam operacionais, desastres ou crises), além de formas de gerenciar os impactos imediatos de um incidente de interrupção, dando a devida atenção a:
I - bem-estar dos colaboradores;
II - alternativas estratégicas, táticas e operacionais para responder à interrupção;
III - prevenção de novas perdas ou indisponibilidade de atividades prioritárias;
IV - detalhes sobre como e em que circunstâncias o TRE-DF irá se comunicar com as partes interessadas e seus familiares ou contatos de emergência.
Art. 13. O PCNTIC poderá ser constituído pelas informações abaixo, além do Plano de Continuidade dos Serviços Essenciais de TIC PCSTIC e, observados os cenários estabelecidos, definirá:
I - propósito e escopo;
II - objetivos;
III - critérios e procedimentos para sua ativação;
IV - procedimentos de implementação, contendo, no mínimo:
a) especificidades sobre as medidas imediatas que devem ser tomadas durante uma interrupção;
b) flexibilidade para responder às ameaças imprevistas e às mudanças de condições internas e externas;
c) forma que o TRE-DF vai continuar ou recuperar, no âmbito da Tecnologia da Informação, suas atividades prioritárias dentro de prazos pré-definidos;
d) forma de retorno à normalidade quando o incidente terminar;
e) testes e análises para garantir a manutenção e o bom funcionamento dos planos de continuidade.
V - papéis e responsabilidades das pessoas e equipes com autoridade durante e após um incidente;
VI - requisitos e procedimentos de comunicação;
VII - interdependências internas, externas e suas interações;
VIII - recursos necessários;
IX - foco no impacto de eventos que podem interromper as operações;
X - fluxo de informações e processos documentados;
XI - mecanismos para revisão periódica e contínuo aprimoramento.
CAPÍTULO II
Do Plano de Continuidade dos Serviços Essenciais de TIC PCSTIC
Art. 14. O Plano de Continuidade dos Serviços Essenciais de TIC PCSTIC é um processo documentado e um conjunto de procedimentos que objetiva recuperar os serviços de TIC após um evento extremo, visando manter a continuidade das atividades prioritárias, reduzindo perdas.
Parágrafo Único. A STIC é a unidade responsável pela implementação e manutenção do PCSTIC.
Art. 15. O PCSTIC deverá conter:
I - tabela de criticidade, com tipo (vitais, críticos, essenciais, não críticos e periféricos) para cada ativo de TIC, tempo objetivado de recuperação (Recovery Time Objective RTO) e o ponto objetivado de recuperação (Recovery Point Objective RPO), tendo
como referência a análise de impacto nos negócios (Business Impact Analysis BIA) realizada pelo Tribunal;
II - estratégia de continuidade de negócios adequada, as ações necessárias para implementação e subsequente retomada da operação para cada processo crítico, considerando:
a) hipóteses de continuidade de processos críticos;
b) tempo total para implementação da alternativa e para retomada da operação ao nível adequado;
c) capacidade de suprir todas as funções necessárias para atingir o nível operacional mínimo;
d) custo da alternativa, considerando aquisição de produtos e serviços, treinamento de pessoal e teste; e
e) perdas estimadas para o negócio e para a reputação do TRE-DF, devido à interrupção total ou parcial desses processos críticos, bem como o tempo para a retomada das operações ao nível normal.
III - periodicidade dos testes e responsáveis pela sua coordenação (planejamento, agendamento, convocação e avaliação dos testes).
TÍTULO V
Das Disposições Finais e Transitórias
Art. 16. Todas as unidades do Tribunal são corresponsáveis pela implementação e manutenção da Gestão da Continuidade de Negócios de TIC no TRE-DF.
Art. 17 A revisão desta política ocorrerá após sua entrada em vigor, sempre que se fizer necessário ou conveniente para este Tribunal, não excedendo o período máximo de 1 (um) ano.
Art. 18. O Comitê de Gestão de TIC deverá, em até 24 (vinte e quatro) meses, implementar e operar a PGCNTIC, coordenando a elaboração dos planos previstos nesta portaria, bem como os controles, processos e procedimentos necessários.
Art. 19. Os casos omissos serão resolvidos pela Diretoria-Geral.
Art. 20. Esta portaria entra em vigor na data de sua publicação.
Desembargadora Carmelita Brasil
Presidente
Este texto não substitui o publicado no DJE-TREDF, n. 137, de 25.7.2018, p. 2-7.