Tribunal Regional Eleitoral - SP
Secretaria de Gestão da Informação e Documental
Coordenadoria De Gestão Da Informação
Seção de Legislação
RESOLUÇÃO Nº 507, DE 30 DE SETEMBRO DE 2020.
Altera a Política de Continuidade dos Serviços de Tecnologia da Informação e Comunicação no âmbito da Justiça Eleitoral do Estado de São Paulo e dá outras providências.
O TRIBUNAL REGIONAL ELEITORAL DO ESTADO DE SÃO PAULO, no uso de suas atribuições regimentais,
CONSIDERANDO que a prestação dos serviços deste Tribunal está baseada em recursos de Tecnologia da Informação e Comunicação,
CONSIDERANDO a Resolução CNJ nº 211/2015, que institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD),
CONSIDERANDO a Resolução TRE-SP nº 422/2017, que altera a Política de Segurança da Informação (PSI) no âmbito do Tribunal Regional Eleitoral de São Paulo,
CONSIDERANDO a Portaria TRE-SP 290/2020, que altera o processo de Continuidade dos Serviços de TIC no âmbito do Tribunal Regional Eleitoral do Estado de São Paulo,
CONSIDERANDO a necessidade de fornecer as diretrizes para implementação do processo de Continuidade dos Serviços de Tecnologia de Informação e Comunicação,
CONSIDERANDO as diretrizes estabelecidas na norma ISO/IEC 27031:2015, relativas à continuidade dos negócios da Tecnologia da Informação e Comunicação,
RESOLVE:
Art. 1º Alterar a Política de Continuidade dos Serviços de Tecnologia da Informação e Comunicação (POCSTIC) no âmbito do Tribunal Regional Eleitoral do Estado de São Paulo, cujos mecanismos encontram-se estabelecidos por esta Resolução.
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 2º Os objetivos da Política de Continuidade dos Serviços de Tecnologia da Informação e Comunicação são:
I - assegurar a continuidade do uso da informação no interesse do TRE-SP;
II - minimizar danos imediatos e perdas em uma situação de emergência;
III - assegurar a restauração das atividades e das instalações físicas dos equipamentos no menor tempo possível;
IV - propor medidas de redução dos riscos, incluindo planos de capacitação e de divulgação para a equipe responsável pelos ativos dos sistemas essenciais de TIC; e
V - promover a gestão da continuidade dos serviços de Tecnologia da Informação e Comunicação.
Art. 3º A Política de Continuidade dos Serviços de Tecnologia da Informação e Comunicação deve ser observada por todos os agentes públicos lotados ou não no TRE-SP e por qualquer colaborador ou entidade que atuem no âmbito do TRE-SP.
Art. 4º Para os efeitos desta Resolução, considera-se:
I - análise de impacto: processo que tem por objetivo revelar vulnerabilidades e subsidiar o desenvolvimento de estratégias para minimizar os riscos. O resultado é um relatório de análise de impacto, que descreve os riscos potenciais específicos no caso de uma interrupção dos serviços essenciais de tecnologia da informação e comunicação;
II - ativo de tecnologia da informação e comunicação: qualquer componente (humano, tecnológico, físico ou lógico) que sustenta um ou mais processos de negócio de uma unidade ou área de negócio. Aquilo que tem valor, seja tangível ou intangível, tais como informações, softwares, equipamentos e serviços relativos à tecnologia da informação e comunicação;
III - criticidade: descrição qualitativa utilizada para enfatizar a importância de um recurso, processo ou função que deve estar continuamente disponível e operacional no menor tempo possível após a ocorrência de um incidente, uma emergência ou desastre;
IV – incidente: é uma interrupção não planejada ou redução na qualidade de um serviço de tecnologia da informação e comunicação;
V – plano de comunicação: plano que define, de acordo com o nível/tipo de crise, a forma de comunicação interna de um incidente;
VI - plano de continuidade dos serviços de tecnologia da informação e comunicação: plano que identifica os serviços de tecnologia da informação e comunicação essenciais e define os procedimentos de controle de modo a gerenciar os riscos de interrupção e os procedimentos de retorno após os incidentes;
VII - plano de resposta ou plano de ação: é um processo documentado e um conjunto de procedimentos para tratar os riscos;
VIII - plano de recuperação: é um processo documentado e um conjunto de procedimentos para recuperar os serviços de tecnologia da informação e comunicação após um incidente.
CAPÍTULO II
DAS POLÍTICAS E DIRETRIZES
Art. 5º As políticas e diretrizes desta Resolução têm por finalidade a institucionalização de um conjunto de procedimentos previamente definidos e testados de forma a garantir a continuidade dos serviços de Tecnologia da Informação e Comunicação essenciais para o TRE-SP.
Parágrafo único. Para obtenção de tal garantia, para cada serviço de tecnologia da informação e comunicação considerado essencial, alinhado à Política de Continuidade do Negócio, quando houver, deverá ser implementado um Plano de Resposta aos riscos e um Plano de Recuperação.
Art. 6º O TRE-SP deverá promover ações para corrigir quaisquer eventuais falhas dos serviços de Tecnologia da Informação e Comunicação e identificar potenciais fraquezas nos elementos da Política e do Plano de Continuidade dos Serviços de Tecnologia da Informação e Comunicação.
Art. 7º Deverão ser definidos pelo TRE-SP procedimentos documentados tanto para implementação das ações corretivas quanto para a identificação de potenciais fraquezas de modo a:
I - identificar as falhas;
II - determinar as causas das falhas;
III - avaliar a necessidade de ações para assegurar que inconformidades não se repitam;
IV - determinar e implementar a ação corretiva necessária;
V - registrar resultados das ações tomadas; e
VI - revisar as ações corretivas tomadas.
CAPÍTULO III
DAS RESPONSABILIDADES
Art. 8º A Secretaria de Tecnologia da Informação deverá designar Grupo Técnico de Continuidade dos Serviços de Tecnologia da Informação e Comunicação.
Art. 9º Compete ao Grupo Técnico de Continuidade dos Serviços de Tecnologia da Informação e Comunicação:
I - elaborar e revisar, periodicamente, a Política e o Plano de Continuidade dos Serviços de Tecnologia da Informação e Comunicação;
II - efetuar a análise de impacto e riscos;
III - propor medidas de redução dos riscos, incluindo planos de capacitação e de divulgação para a equipe responsável pelos ativos dos sistemas essenciais de TIC;
IV - solicitar às unidades deste Tribunal, em especial à Secretaria de Tecnologia da Informação, o desenvolvimento de Planos de Resposta e Recuperação, além de respectivos testes; e
V - submeter a Política e o Plano de Continuidade dos Serviços de Tecnologia da Informação e Comunicação, os Planos de Resposta e Recuperação e resultado da validação destes planos, o Plano de Capacitação e o Plano de Divulgação ao Gestor de Segurança da Informação.
Art. 10. Compete às unidades deste Tribunal, em especial à Secretaria de Tecnologia da Informação:
I - elaborar planos de resposta e recuperação dos ativos dos sistemas essenciais de TIC sob sua responsabilidade;
II - elaborar testes para validar os planos de resposta e recuperação; e
III - submeter os Planos de Resposta e Recuperação e resultado da validação desses planos para o Grupo Técnico de Continuidade dos Serviços de Tecnologia da Informação e Comunicação.
Art. 11. Compete ao Gestor de Segurança da Informação:
I - avaliar a Política e o Plano de Continuidade dos Serviços de Tecnologia da Informação e Comunicação, os Planos de Resposta e Recuperação e resultado da validação desses planos, o Plano de Capacitação e o Plano de Divulgação; e
II - submeter a Política e o Plano de Continuidade dos Serviços de Tecnologia da Informação e Comunicação, o Plano de Capacitação e o Plano de Divulgação à Comissão de Segurança da Informação.
Art. 12. Compete à Comissão de Segurança da Informação:
I - Aprovar a Política e o Plano de Continuidade dos Serviços de Tecnologia da Informação e Comunicação, o Plano de Capacitação e o Plano de Divulgação.
Art. 13. Compete aos Gestores da Secretaria de Tecnologia da Informação:
I - analisar, revisar e propor a aprovação das normas e procedimentos, visando à regulamentação da Política de Continuidade dos Serviços de Tecnologia da Informação e Comunicação no âmbito da Justiça Eleitoral de São Paulo;
II - promover ações com o propósito de viabilizar recursos para o cumprimento da Política e do Plano de Continuidade dos Serviços de Tecnologia da Informação e Comunicação;
III - garantir que as atividades da Política e do Plano de Continuidade dos Serviços de Tecnologia da Informação e Comunicação sejam executadas em conformidade com a Política de Segurança da Informação (PSI) vigente no TRE-SP;
IV - promover a monitoração dos serviços essenciais de Tecnologia da Informação e Comunicação de sua competência, no âmbito do TRE-SP; e
V - promover ações para disseminar a cultura em continuidade dos serviços de Tecnologia da Informação e Comunicação.
CAPÍTULO IV
DA FREQUÊNCIA DE TESTES E REVISÃO DOS PLANOS
Art. 14. O TRE-SP deverá realizar, periodicamente ou quando necessário, testes com o objetivo de avaliar a efetividade e a funcionalidade de seu Plano de Continuidade dos Serviços de Tecnologia da Informação e Comunicação.
§ 1º A natureza, o escopo e a frequência dos testes deverão ser determinados de acordo com a criticidade dos processos envolvidos.
§ 2º Os resultados dos testes deverão ser documentados e avaliados periodicamente de modo a permitir o aprimoramento contínuo dos procedimentos e gerenciamento de riscos e recuperação.
§ 3º A revisão de toda documentação referente ao Plano de Continuidade de Serviços de Tecnologia da Informação e Comunicação deverá ocorrer em intervalos planejados ou após qualquer alteração significativa nos processos de trabalho decorrentes de atualizações, migrações, implantação de novos serviços, atendimento de novas demandas e por mudanças na legislação.
CAPÍTULO V
DAS INSTALAÇÕES
Art. 15. Os sistemas de recuperação de Tecnologia da Informação e Comunicação e os dados críticos deverão estar fisicamente separados do ambiente operacional para evitar que sejam atingidos pelo mesmo incidente.
Art. 16. O TRE-SP deverá elaborar estratégias que minimizem o impacto das instalações físicas ou lógicas sobre a gestão de continuidade dos serviços de Tecnologia da Informação e Comunicação devendo, sempre que possível, adotar:
I - localidades alternativas dentro do TRE-SP;
II - localidades alternativas providenciadas por outras Instituições;
III - localidades alternativas providenciadas por empresas terceiras especializadas;
IV - outras instalações predefinidas e adequadas aos trabalhos.
CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS
Art. 17. O TRE-SP deverá promover estudos de novas tecnologias e metodologias, visando atingir padrões cada vez mais elevados para a sustentabilidade e continuidade dos serviços essenciais de TIC.
Art. 18. Compete ao TRE-SP a melhoria contínua desta Política de Continuidade dos Serviços de Tecnologia da Informação e Comunicação.
Art. 19. Os casos omissos serão submetidos à Diretoria Geral deste Tribunal.
Art. 20. Esta Resolução entrará em vigor na data de sua publicação.
Art. 21. Fica revogada a Resolução TRE-SP nº 402/2017.
São Paulo, aos trinta dias do mês de setembro de 2020.
DESEMBARGADOR WALDIR SEBASTIÃO DE NUEVO CAMPOS JUNIOR
PRESIDENTE
DESEMBARGADOR PAULO SÉRGIO BRANT DE CARVALHO GALIZIA
VICE-PRESIDENTE E CORREGEDOR REGIONAL ELEITORAL
DESEMBARGADOR FEDERAL NELTON AGNALDO MORAES DOS SANTOS
JUIZ MANUEL PACHECO DIAS MARCELINO
JUIZ MARCELO VIEIRA DE CAMPOS
JUIZ MAURICIO FIORITO
JUIZ AFONSO CELSO DA SILVA
Este texto não substitui o publicado no DJE-TRE-SP nº 198, de 5.10.2020, p. 3-7.