ÓRGÃO ESPECIAL

 

RESOLUÇÃO ADMINISTRATIVA Nº 32/2015

 

(Publicada em 8/9/2015, no DOERJ, Parte III, Seção II)

(REVOGADA pela Resolução Administrativa nº 20/2020, disponibilizada em 19/11/2020 no DEJT, Caderno Administrativo)

 

Dispõe sobre a Política de Continuidade de Negócios de Tecnologia da Informação e Comunicação no âmbito do Tribunal Regional do Trabalho da 1ª Região.

 

 

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA PRIMEIRA REGIÃO, no uso de suas atribuições legais e regimentais, tendo em vista o decidido, por unanimidade, pelo Órgão Especial, reunido em Sessão Ordinária, no dia 20 de agosto de 2015,

 

CONSIDERANDO a necessidade de estabelecer intenções e direções para garantir um ambiente tecnológico disponível de forma segura a oferecer todas as informações e serviços necessários aos processos deste Tribunal, mantendo-se um nível aceitável previamente definido na hipótese de algum incidente de interrupção na área de tecnologia da informação;

 

CONSIDERANDO a proteção das pessoas, do patrimônio e dos processos, levando-se em consideração os relevantes serviços exercidos por esta Instituição à sociedade;

 

CONSIDERANDO as definições consagradas pela Associação Brasileira de Normas Técnicas - ABNT e por organismos internacionais (International Organization for Standardization - ISO, International Eletrothecnical Comission - IEC);

 

CONSIDERANDO a Resolução CNJ nº 90/2009 (texto alterado e compilado pela Resolução 136/2011) do Conselho Nacional de Justiça, que dispõe sobre os requisitos de nivelamento de tecnologia da informação no âmbito do Poder Judiciário;

 

CONSIDERANDO o disposto no art.1º, inciso IV, alínea “h”, objetivo 10 da Resolução nº 99/2009 do Conselho Nacional de Justiça (“Garantir a disponibilidade de sistemas de TIC essenciais ao judiciário”);

 

CONSIDERANDO o deliberado pelo Tribunal de Contas da União no acórdão 1603/2008-P (item 9.1.3), que orienta sobre a necessidade de estabelecer e/ou aperfeiçoar a gestão da continuidade de negócios nos órgãos integrantes da estrutura do Poder Judiciário Federal;

 

CONSIDERANDO o deliberado pelo Tribunal de Contas da União no acórdão 2471/2008 (item 9.14 c/c item 9.6.1), que dispõe sobre a necessidade de instituição de Plano de Continuidade de Negócios no âmbito do Poder Judiciário; e

 

CONSIDERANDO o disposto no art. 10 da Resolução Administrativa nº56/2014 que instituiu a Política de Segurança da Informação e Comunicações do Tribunal Regional do Trabalho da 1ª. Região.

 

RESOLVE:

 

CAPÍTULO I

DA CRIAÇÃO DA POLÌTICA DE CONTINUIDADE E DEFINIÇÕES

 

Art. 1º Fica instituída a Política de Continuidade de Negócios de Tecnologia da Informação e Comunicação no âmbito do Tribunal Regional do Trabalho da 1ª Região (TRT/RJ).

 

Art. 2º Para os efeitos desta Resolução aplicam-se as seguintes definições:

 

I - Análise de impacto nos negócios (BIA - Business Impact Analysis): processo de analisar as atividades e os efeitos que uma interrupção de negócio pode ter sobre elas;

 

II - Continuidade de negócios: capacidade da organização em continuar a entrega de produtos ou serviços em um nível aceitável previamente definido após incidentes de interrupção;

 

III - Crise: Período de instabilidade para o TRT/RJ que pode ter origem interna ou externa, com a possibilidade de resultados não esperado que necessite de decisões urgentes pela alta administração da Corte. Esse resultado pode interferir nas operações normais dos serviços de Tecnologia da Informação e Comunicação, causando prejuízos na prestação de serviços para a sociedade, imagem do próprio Tribunal e perdas financeiras;

 

IV - Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada;

 

V - Desastre: Um evento repentino, inesperado e calamitoso que traga grandes perdas ou danos. Qualquer evento que crie uma inabilidade por parte do TRT/RJ de prover funções críticas ao negócio por um determinado período de tempo;

 

VI - Incidente de Continuidade de Negócios: situação que deve representar ou levar a uma interrupção de negócios, perdas, emergências ou crises. O Incidente é a concretização de uma ameaça que ocasione perda ou dano ao ativo, causando a indisponibilidade, interrupção ou comprometimento do processo;

 

VII - Gestão de continuidade de negócios: processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio caso estas ameaças se concretizem. Este processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder eficazmente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização e suas atividades de valor agregado;

 

VIII - Gestores das Áreas Funcionais: Diretoria da área de Tecnologia da Informação, suas coordenadorias, divisões e seções do TRT/RJ;

 

IX - Objetivos de Continuidade de Negócios: resultado a ser atingido;

 

a) um objetivo pode ser estratégico, tático ou operacional;

 

b) os objetivos podem ser relacionados a diferentes disciplinas (tais como financeiro, saúde e segurança, além das metas ambientais) e podem ser aplicados em diferentes níveis (como estratégico, a organização como um todo, projeto, produto e processo);

 

c) um objetivo pode ser expresso por outros meios, por exemplo, como um resultado esperado, um propósito e um critério operacional, como um objetivo de segurança social ou pelo uso de outras palavras com significado similar (por exemplo, objetivo, meta, ou alvo);

 

d) no contexto de sistema de gestão de padrões de segurança da sociedade, os objetivos de segurança da sociedade são definidos pela organização de acordo com a política de segurança social, para alcançar resultados específicos.

 

X - Período Máximo de Interrupção Tolerável (MTPD - Maximum Tolerable Period of Disruption): tempo necessário para que os impactos adversos tornem-se inaceitáveis, que pode surgir como resultado de não fornecer um produto/serviço ou realizar uma atividade;

 

XI - Política de Continuidade de Negócios de Tecnologia da Informação e Comunicação: Estabelecer estratégias, premissas e responsabilidades para a gestão de continuidade dos negócios referentes às atividades de TI no âmbito do Tribunal Regional do Trabalho da 1ª Região;

 

XII - Plano de Continuidade do Negócio: conjunto de ações de prevenção e procedimentos de recuperação a serem seguidos para proteger os processos críticos de trabalho contra efeitos de falhas de equipamentos, acidentes, ações intencionais ou desastres naturais significativos, assegurando a disponibilidade das informações. Normalmente abrangendo recursos, serviços e atividades necessárias para assegurar a continuidade de funções críticas de negócios.

 

XIII - Produtos e serviços: resultados benéficos que uma organização fornece a seus clientes e partes interessadas, como bens manufaturados, seguros automobilísticos, conformidade com regulamentações e benefícios comunitários;

 

XIV - Programa de continuidade de negócios: Processo contínuo de gestão e governança suportado pelo Tribunal, que recebe e gerencia recursos para implementar e manter a gestão de continuidade de negócios;

 

XV - Ponto objetivado de recuperação (RPO - Recovery Point Objective): ponto em que a informação usada por uma atividade deve ser restaurada para permitir a imediata operação da atividade na retomada do serviço;

 

 XVI - Tempo objetivado de recuperação (RTO - Recovery Time Objective): período de tempo após um incidente em que o produto ou serviço deve ser retomado, ou a atividade deve ser retomada, ou os recursos devem ser recuperados. Para os produtos, serviços e atividades, o tempo objetivado de recuperação deve ser menor possível para não produzir impactos negativos;

 

XVII - Resiliência: capacidade de uma organização de resistir aos efeitos de um incidente de continuidade de negócios;

 

XVIII - Teste: procedimento para avaliação. Maneira de determinar a presença, qualidade, ou veracidade de algo. O teste pode se referir a um “experimento” e é frequentemente usado para suportar os planos; e

 

XIX - Usuários: pessoas que fazem uso de recursos de tecnologia da informação e comunicação.  Os usuários dividem-se em:

 

a) Usuários Magistrados - magistrados do TRT/RJ ou que estejam a serviço deste.

 

b) Usuários Servidores - servidores ocupantes de cargo efetivo ou em comissão, requisitados e cedidos que tenham acesso legítimo aos recursos de TIC;

 

c) Usuários colaboradores - empregados de empresas prestadoras de serviços terceirizados, consultores, estagiários ou qualquer outro colaborador que esteja a serviço do TRT/RJ; e

 

d) Usuários externos - membros do Ministério Público do Trabalho, advogados públicos ou privados, peritos, partes e outras pessoas que se utilizem dos serviços.

 

Art. 3º Esta Política se aplica a todos os usuários que exercem atividades no âmbito do TRT/RJ ou quem quer que venha a ter acesso a dados, informações, sistemas, ambientes e demais ativos protegidos por este regulamento.

 

Art. 4º O uso adequado dos recursos de tecnologia da informação e comunicação visa garantir a continuidade de negócios da prestação jurisdicional do TRT/RJ.

 

Parágrafo único. Os recursos de tecnologia da informação e comunicação pertencentes ao TRT/RJ, disponíveis para o usuário, serão utilizados em atividades estritamente relacionadas às suas funções institucionais.

 

CAPÍTULO II

DO ESCOPO

 

Art. 5º O escopo da Gestão de Continuidade de Negócios está restrito aos processos, serviços e produtos do ambiente de tecnologia da informação e comunicação do Tribunal e que estão sob a supervisão e orientação do Comitê Gestor da Segurança da Informação do TRT/RJ.

 

CAPÍTULO III

DAS ATRIBUIÇÕES E RESPONSABILIDADES

 

Art. 6º Esta Política atribui as responsabilidades da Gestão de Continuidade de Negócios.

 

I - À Comissão de Tecnologia da Informação (CTI) compete.

 

a) apresentar proposições para formulação dos Planos Estratégicos do Tribunal para a profícua Gestão de Continuidade de Negócios;

 

b) solicitar à Administração do Tribunal recursos para o desenvolvimento da Política de Continuidade de Negócios.

 

II - Ao Comitê Gestor de Segurança da Informação (CGSI) compete.

 

a) aprovar o Programa de Gestão da Continuidade de Negócios;

 

b) propor ao Órgão Especial a revisão da Política de Continuidade de Negócios no âmbito do TRT/RJ;

 

c) incentivar campanhas de conscientização e treinamentos sobre Continuidade de Negócios;

 

d) estabelecer os Objetivos de Continuidade de Negócios.

 

III - À Secretaria de Tecnologia da Informação (STI) e à Secretaria de Soluções de Tecnologia (SST) compete:

 

a) propor a revisão do Programa de Gestão da Continuidade de Negócios;

 

b) apresentar propostas ao Comitê Gestor de Segurança da Informação para formulação das Estratégias de Continuidade de Negócios; e

 

c) respeitar e difundir a Política de Continuidade de Negócios no âmbito do TRT/RJ.

 

IV - À Seção de Segurança de Tecnologia da Informação (SECSIN), vinculada à Secretaria da Tecnologia da Informação (STI), compete:

 

a) implantar o Programa de Gestão da Continuidade de Negócios que identifique as atividades críticas, avalie os riscos e defina estratégias de continuidade, de forma a evitar ou mitigar as perdas em potencial, como previsto na Norma ABNT NBR ISO 22301:2013;

 

b) propor a atualização da Política de Continuidade de Negócios de TIC;

 

c) avaliar os riscos de ambiente físico, de tecnologia, de processos e de pessoas;

 

d) analisar impactos nos negócios (BIA);

 

e) propor as estratégias de continuidade necessárias à manutenção dos serviços priorizados;

 

f) estabelecer padrões e critérios para elaboração, manutenção, atualização e testes dos Planos;

 

g) consolidar os Planos de Continuidade dos Negócios dos serviços e produtos com o escopo da Gestão de Continuidade de Negócios de TIC;

 

h) acompanhar os testes e exercícios dos Planos;

 

i) avaliar e aprimorar os Planos de Continuidade de Negócio e divulgar os resultados dos testes e exercícios;

 

j) administrar a situação de desastre quando da interrupção dos serviços, com base nos Planos de Continuidade; e

 

k) manter em local seguro e acessível para os servidores credenciados as cópias de segurança dos documentos dos Planos de Continuidade.

 

V - Compete aos Gestores das Áreas Funcionais:

 

a) apresentar subsídios para a formulação do Plano de Continuidade das atividades sob sua gestão;

 

b) participar da execução dos testes dos planos;

 

c) oferecer proposta de revisão de seus planos em conformidade com os testes;

 

d) alocar pessoal e materiais necessários para treinamento, testes e exercícios; e

 

e) executar os Planos de Continuidade dos Negócios dos serviços e produtos de acordo com o escopo da Gestão de Continuidade de Negócios de TIC.

 

VI - Os usuários dos produtos e serviços da Tecnologia da Informação e Comunicação do Tribunal Regional do Trabalho de 1ª Região devem se conscientizar das responsabilidades desta Política de Continuidade de Negócios e cumprir as diretrizes aqui traçadas.

             

CAPÍTULO IV

DAS CONDIÇÕES DE DESASTRES E DE CRISES

 

Art. 7º Os seguintes incidentes determinam condição de desastre e são considerados como fatores determinantes de interrupções dos processos finalísticos:

           

I - incêndios;

 

II - desastres naturais;

 

III - problemas climáticos;

 

IV - perda de informação significativa;

 

V - greves dos empregados;

 

VI - paralisação do sistema de transporte urbano;

 

VII - sabotagem, terrorismo, bombas; e

 

VIII - qualquer outro incidente que provoque uma interrupção significativa em algum serviço crítico.

 

Art. 8º Os seguintes incidentes determinam condição de crise e são considerados como fatores determinantes de interrupções dos processos finalísticos.

 

I - falhas no fornecimento de infraestrutura básica, energia, tecnologias e comunicações;

 

II - ações que resultem em dano significativo a um ativo que interrompa  processos, serviços e produtos do ambiente de Tecnologia da Informação e Comunicação do TRT/RJ delineados dentro do escopo de atuação desta Política; e

 

III - falhas em sistemas que suportam a prestação de processos, serviços e produtos do ambiente de Tecnologia da Informação e Comunicação do TRT/RJ delineados dentro do escopo de atuação desta Política.

 

CAPÍTULO V

DOS OBJETIVOS DE CONTINUIDADE DE NEGÓCIOS

 

Art. 9º O Comitê Gestor de Segurança da Informação deve assegurar que os objetivos de continuidade de negócios sejam estabelecidos e comunicados para funções e níveis relevantes no âmbito do TRT/RJ.

 

Art. 10 Conforme preconizado na ABNT NBR ISO 22301:2013 em seu item 6.2, os objetivos devem:

 

I - estar alinhados com a Política de Continuidade de Negócios;

 

II - considerar o nível mínimo de produtos e serviços que é aceitável para o TRT/RJ alcançar seus objetivos;

 

III - ser mensuráveis;

 

IV - considerar requisitos aplicáveis;

 

V - ser comunicados; e

 

VI - ser monitorados e atualizados sempre que necessário.

 

Art. 11 Em virtude da orientação acima, estão descritos a seguir os objetivos a serem atingidos, visando cumprir a missão atribuída à Continuidade de Negócios de Tecnologia da Informação e colaborar no desenvolvimento dos objetivos estratégicos do Tribunal Regional do Trabalho da 1ª Região:

 

I - Objetivo 01: Garantir a continuidade na prestação dos serviços aos clientes

 

Não permitir a interrupção das atividades concernentes ao TRT/RJ, protegendo os processos críticos contra efeitos de falhas ou de desastres significativos e assegurando a sua retomada em tempo hábil. Isso será possível a partir do desenvolvimento de capacidades de resiliência corporativa nos níveis estratégicos e táticos e da implantação da Continuidade de Negócios, visando responder e tratar adequadamente incidentes críticos.

 

II - Objetivo 02: Garantir a conformidade com leis, regulamentações e obrigações contratuais

 

Avaliar a conformidade com políticas, normas e procedimentos de continuidade de negócios e evitar violações de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais perante a sociedade e aos órgãos reguladores como o Conselho Nacional de Justiça, o Conselho Superior da Justiça do Trabalho e o Tribunal de Contas da União.

 

III - Objetivo 03: Adotar boas práticas de Continuidade de Negócios internacionalmente consagradas

 

Implantar as melhores práticas de Continuidade de Negócios reconhecidas internacionalmente para proteger a imagem da Instituição, demonstrando para a sociedade o comprometimento em alcançar o estado ideal em prestação de serviços aos seus usuários.

 

IV - Objetivo 04 - Capacitar e Conscientizar o Capital Humano sobre o tema Continuidade de Negócios

 

Promover a capacitação do capital humano para o desenvolvimento de competências e habilidades, visando à condução proficiente e confiável das atividades inerentes à Continuidade de Negócios, das operações e da infraestrutura crítica do TRT/RJ; e

 

V -  Objetivo 05 - Estabelecer indicadores para a melhoria contínua da Gestão de Continuidade de Negócios do TRT/RJ

 

Definir indicadores que tenham como finalidade a medição periódica da evolução e adequação da Gestão de Continuidade de Negócios no TRT/RJ.

 

CAPÍTULO VI

DOS DOCUMENTOS DE REFERÊNCIA

 

Art. 12 Para a elaboração desta Política foram utilizadas as melhores práticas de mercado sobre o tema de Continuidade de Negócios. Os documentos estão discriminados abaixo para estudo e consulta.

 

I - ISO 22300:2012 - Societal security - Terminology; e

 

II - ABNT NBR ISO 22301:2013 - Segurança da Sociedade - Sistema de gestão de continuidade de negócios - Requisitos.

 

CAPÍTULO VII

DAS DISPOSIÇÕES GERAIS

 

Art. 13 Os instrumentos normativos gerados a partir desta Política devem ser revisados sempre que se fizer necessário.

 

Art. 14 O usuário que agir em desacordo com os termos aqui definidos, ficará sujeito à aplicação das penalidades previstas na legislação vigente.

 

Art. 15 A presente Resolução entra em vigor a partir da data de sua publicação.

 

Sala de Sessões, 20 de agosto de 2015

 

 

MARIA DAS GRAÇAS CABRAL VIEGAS PARANHOS

Desembargadora Presidente do

Tribunal Regional do Trabalho da Primeira Região