Tribunal Regional Eleitoral - PR
Secretaria Judiciária
Coordenadoria de Sessões
Seção de Jurisprudência
PORTARIA Nº 345, DE 20 DE JULHO DE 2021.
Institui o Sistema de Gestão de Continuidade de Negócios da Justiça Eleitoral do Paraná - SGCN-TRE/PR.
O PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO PARANÁ, no uso da atribuição que lhe confere o inciso XXV do artigo 23 do seu Regimento Interno,
CONSIDERANDO o disposto no art. 14 da Resolução TSE n. 23.501, de 19.12.2016, que instituiu a Política de Segurança da Informação no âmbito da Justiça Eleitoral, prevendo o dever de elaboração do Plano de Continuidade de Negócios que estabeleça procedimentos e defina estrutura mínima de recursos para que se desenvolva uma resiliência organizacional capaz de garantir o fluxo das informações críticas em momento de crise e salvaguardar o interesse das partes interessadas, a reputação e a marca da organização, a ser testado e revisado periodicamente;
CONSIDERANDO a Resolução CNJ nº 370/2021, que estabelece a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), prevendo que cada órgão deverá elaborar Plano de Gestão de Continuidade de Negócios ou de Serviços no qual estabeleça estratégias e planos de ação que garantam o funcionamento dos serviços essenciais quando na ocorrência de falhas;
CONSIDERANDO a Resolução CNJ nº 396/2021 Institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ), prevendo ações destinadas a assegurar o funcionamento dos processos de trabalho, a continuidade operacional e a continuidade das atividades fim e administrativas dos órgãos do Poder Judiciário;
CONSIDERANDO a Lei Geral de Proteção de Dados (Lei nº 13.709/18), prevendo a necessidade da criação de planos de resposta a incidentes e remedição;
CONSIDERANDO a Norma ABNT NBR ISO 22301, que especifica a estrutura e os requisitos para a implementação e manutenção de um sistema de gestão de continuidade de negócios;
CONSIDERANDO a Norma ABNT NBR ISO 22313, que orienta o uso da ABNT NBR ISO 22301;
CONSIDERANDO a Norma ABNT NBR ISO 22316, que define os princípios e atributos de segurança e resiliência organizacional;
RESOLVE
Art. 1º Instituir o Sistema de Gestão de Continuidade de Negócios da Justiça Eleitoral do Paraná - SGCN-TRE/PR, tendo como escopo fomentar a redução de probabilidades de ocorrências e a implementação e manutenção de respostas para a recuperação de eventuais disrupções.
§ 1º Entende-se por continuidade de negócios, a capacidade estratégica e tática de planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido.
§ 2º Entende-se por disrupções, os incidentes, previstos ou imprevistos, que causem um desvio não planejado e negativo da expectativa de entrega de produtos e serviços de acordo com os objetivos do Tribunal.
Art. 2º O SGCN-TRE/PR visa aumentar o nível de resposta e prontidão da Justiça Eleitoral do Paraná para continuar operando durante eventuais disrupções, resultando em uma melhor compreensão dos relacionamentos internos e externos, uma melhor comunicação com as partes interessadas e a criação de um ambiente de melhoria continua.
Art. 3º O propósito do SGCN-TRE/PR será preparar, fornecer e manter controles e recursos para gerenciar a capacidade Justiça Eleitoral do Paraná para implantar estrutura de resposta eficaz de detecção de eventos, identificação e determinação de incidentes suscetíveis de causar disrupções
e continuar operando naquelas condições, tendo como perspectiva:
I. - Proteger a reputação e credibilidade, fornecendo confiança na capacidade da Justiça Eleitoral do Paraná em obter sucesso em sua missão, visão e valores, dando suporte à cadeia de valor.
II. - Contribuir para a resiliência organizacional, melhorando a sua capacidade de permanecer eficaz durante as disrupções e demostrando controle proativo dos riscos de maneira efetiva e eficiente;
III. - Proteger a vida, propriedade e meio ambiente;
IV. - Endereçar vulnerabilidades operacionais, aumentando o nível de resposta e prontidão da organização para continuar operando durante disrupções.
Art. 4º O SGCN-TRE/PR será promovido por Comissão de Gestão de Continuidade de Negócios, composta por servidores de diversas áreas do Tribunal, nomeando-se, entre eles, o Gestor da Continuidade de Negócios.
§ 1º Compete ao Gestor da Continuidade de Negócios:
I. - Estabelecer e demonstrar comprometimento com o SGCN-TRE/PR;
II. - Liderar as atividades do programa e coordenar com outras funções e unidades;
III. - Solicitar colaboração de servidores com senioridade, autoridade e competência apropriada;
IV. - Facilitar a aprovação de soluções, procedimentos e programas;
V. - Estimular a capacitação e treinamento;
VI. - Apresentar recomendações e reportes à Alta Gestão;
§ 2º Compete à Comissão de Gestão de Continuidade de Negócios:
I. - mplementar o SGCN-TRE/PR;
II. - Avaliar a adequação do programa e planos;
III. - Organizar e coordenar programas de conscientização, informação e divulgação, para que esta gestão se torne parte dos valores centrais da instituição;
IV. - Criar e conduzir programas de exercícios e buscar a aprovação da autoridade competente;
V. - Assegurar que o cumprimento dos programas, planos e exercícios sejam realizadas em tempo hábil;
VI. - Manter relacionamento com os gestores e interessados durante as disrupções;
Art. 5º A efetiva execução do SGCN-TRE/PR será responsabilidade compartilhada entre todos os gestores do Tribunal, que deverão:
I. Atender às demandas da Comissão de Gestão de Continuidade de Negócios, fornecendo as informações das suas áreas necessárias e fidedignas à elaboração dos planos;
II. Manter os procedimentos de continuidade de negócios;
III. Informar o Gestor de Continuidade de Negócios sobre a necessidade de atualização dos planos e reportar qualquer incidente;
IV. Colaborar com a exercitação dos planos, coordenando seu pessoal durante os exercícios;
V. Propor e acompanhar as ações corretivas;
Art. 6º A Diretoria-Geral fornecerá os recursos necessários para a execução do SGCN-TRE/PR, de forma a alcançar os seus objetivos, mediante disponibilidade orçamentária.
Art. 7º O SGCN-TRE/PR adotará modelo consistente em planejar, estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente a sua eficácia, observando-se as melhores práticas, com os seguintes objetivos:
I. - Entender o contexto e estrutura da organização, delimitando os objetivos gerais, produtos e
serviços e apetite ao risco, alinhando-se aos objetivos estratégicos;
II. - Concretizar o escopo do SGCN-TRE/PR, gradual e progressivamente para o Tribunal Pleno, Secretarias e Zonas Eleitorais, respeitada a aprendizagem e a maturidade institucionais, priorizando-se os processos organizacionais que impactam diretamente no atingimento dos objetivos estratégicos.
III. - Avaliar a natureza, a extensão e o impacto em relação ao ponto inicial de uma eventual disrupção que justifique o início de resposta formal;
IV. - Acionar a resposta de continuidade de negócios adequada;
V. - Planejar ações que precisem ser realizadas;
VI. - Estabelecer prioridades;
VII. - Monitorar os efeitos da disrupção e a resposta da Justiça Eleitoral do Paraná;
VIII. - Garantir a segurança da informação e a privacidade de dados pessoais durante incidentes e desastres, de acordo com as diretrizes da Política de Segurança da Informação;
IX. - Comunicar-se com as partes interessadas e as autoridades, bem como com os meios de comunicação, exceto nas situações com porta-voz designado;
X. - Definir e executar programa de exercícios e testes para validar os diversos planos que o comporão;
XI. - Determinar os métodos de monitoramento, análise e medição do desempenho e eficácia do sistema;
XII. - Reconhecer e promover ações corretivas e de melhoria contínua.
XIII. - Aumentar o nível de resposta e prontidão da Justiça Eleitoral do Paraná para continuar operando durante eventual disrupção.
Art. 8º São instrumentos do SGCN-TRE/PR:
I. - Gestão de Riscos;
II. - Análise do Impacto do Negócio - AIN;
III. - Planos de Continuidade de Negócios - PCN composto de:
a. Plano de Emergência - PE;
b. Plano de Gestão de Crises (Resposta a Incidentes) - PGC;
c. Plano de Contingência Operacional - PCO;
d. Plano de Recuperação de Desastres – PRD
e. Plano de Comunicação - PCOM;
IV. - Campanhas de Conscientização;
V. - Avaliação de Desempenho;
VI. - Auditoria Interna;
VII. - Análise Crítica pela Alta-Gestão
§ 1º Os planos conterão respectivos programas de exercícios, treinamentos e simulações.
§ 2º Os planos estarão disponíveis em meio físico e eletrônico, observando-se, quanto à publicidade, o nível de sigilo adequado, conforme estabelecido nos respectivos planos.
Art. 9º A Gestão de Riscos consiste no acompanhamento dos mapeamentos de riscos realizados pelas áreas gestoras, focado na continuidade de negócios, com suporte do Comitê de Gestão de Riscos do Tribunal, observadas as normativas e manuais próprios.
Art. 10. A Análise do Impacto do Negócio - AIN consiste na documentação que avalia riscos e analisa criticamente o impacto dos negócios, por meio dos seguintes processos:
I. - Estabelecimento dos tipos e critérios de impacto;
II. - Identificação das atividades essenciais, priorizando-as;
III. - Identificação dos prazos durante o qual os impactos de não retomada das atividades se tornariam inaceitáveis;
IV. - Definição sobre quais recursos são necessários para apoiar as atividades prioritárias;
V. - Avaliação de Riscos às atividades prioritárias;
Parágrafo único. A AIN deve ser revisada em intervalos planejados ou quando houver mudanças significativas na organização ou no contexto do TRE-PR.
Art. 11. O Plano de Emergência terá foco na proteção à vida e evacuação predial.
Art. 12. O Plano de Gestão de Crises (Resposta a Incidentes) - PGC consistirá na organização do processo de gestão de crises, declaração de crise, reunião do comitê de crise e acionamento do plano de comunicação adequado em momentos de incidentes de alta relevância, incluindo incidentes cibernéticos.
Art. 13. O Plano de Contingência Operacional - PCO, elaborado de forma segmentada para as atividades críticas do negócio, estabelecerá como as equipes responderão a disrupções e retomarão as atividades no âmbito do SGCN-TRE/PR.
Art. 14. O Plano de Recuperação de Desastres - PRD, elaborado de forma segmentada conforme as diferentes tecnologias e ativos de TIC, estabelecerá como será realizada a recuperação dos ativos atingidos a um estado operacional.
Art. 15. O Plano de Comunicação - PCOM determinará previamente os métodos, ferramentas e canais de comunicação, incluindo alternativa, que permitirão que a Justiça Eleitoral do Paraná se comunique eficazmente em ocorrências previstas no SGCN-TRE/PR, inclusive com a definição de porta-vozes e pontos de contato, bem como direcionando e fornecendo orientações aos colaboradores e aos meios de comunicação.
Art. 16. A Auditoria consistirá em procedimento sistemático, independente e documentado, para obter evidências e avaliação objetiva, para formar a base de declaração de conformidade, a ser conduzida internamente pela unidade própria do Tribunal Regional Eleitoral do Paraná.
Art. 17. A Análise Crítica pela Alta-Gestão do SGCN-TRE/PR será realizada em intervalos planejados, ainda que parcialmente, para assegurar sua conformidade, suficiência e eficácia da continuidade incluindo a operação eficaz de seus procedimentos e capacidade de continuidade.
Art. 18. Esta Portaria entra em vigor na data da sua publicação.
Curitiba, 20 de julho de 2021.
Des. TITO CAMPOS DE PAULA
Presidente
Este texto não substitui o publicado no DJE-TRE-PR, nº 144, de 26 de julho de 2021.