ÓRGÃO ESPECIAL
RESOLUÇÃO ADMINISTRATIVA Nº 32/2015
(Publicada em 8/9/2015, no DOERJ, Parte III, Seção
II)
Dispõe sobre a
Política de Continuidade de Negócios de Tecnologia da Informação e Comunicação
no âmbito do Tribunal Regional do Trabalho da 1ª Região.
A PRESIDENTE DO TRIBUNAL
REGIONAL DO TRABALHO DA PRIMEIRA REGIÃO, no uso de suas atribuições legais
e regimentais, tendo em vista o decidido, por unanimidade, pelo Órgão Especial,
reunido em Sessão Ordinária, no dia 20 de agosto de 2015,
CONSIDERANDO a necessidade
de estabelecer intenções e direções para garantir um ambiente tecnológico
disponível de forma segura a oferecer todas as informações e serviços
necessários aos processos deste Tribunal, mantendo-se um nível aceitável previamente
definido na hipótese de algum incidente de interrupção na área de tecnologia da
informação;
CONSIDERANDO a proteção das
pessoas, do patrimônio e dos processos, levando-se em consideração os
relevantes serviços exercidos por esta Instituição à sociedade;
CONSIDERANDO as definições
consagradas pela Associação Brasileira de Normas Técnicas - ABNT e por
organismos internacionais (International Organization for Standardization -
ISO, International Eletrothecnical Comission - IEC);
CONSIDERANDO a Resolução CNJ
nº 90/2009 (texto alterado e compilado pela Resolução 136/2011) do Conselho
Nacional de Justiça, que dispõe sobre os requisitos de nivelamento de
tecnologia da informação no âmbito do Poder Judiciário;
CONSIDERANDO o disposto no
art.1º, inciso IV, alínea “h”, objetivo 10 da Resolução nº 99/2009 do Conselho
Nacional de Justiça (“Garantir a disponibilidade de sistemas de TIC essenciais
ao judiciário”);
CONSIDERANDO o deliberado
pelo Tribunal de Contas da União no acórdão 1603/2008-P (item 9.1.3), que
orienta sobre a necessidade de estabelecer e/ou aperfeiçoar a gestão da
continuidade de negócios nos órgãos integrantes da estrutura do Poder
Judiciário Federal;
CONSIDERANDO o deliberado pelo
Tribunal de Contas da União no acórdão 2471/2008 (item 9.14 c/c item 9.6.1),
que dispõe sobre a necessidade de instituição de Plano de Continuidade de
Negócios no âmbito do Poder Judiciário; e
CONSIDERANDO o disposto no
art. 10 da Resolução Administrativa nº56/2014 que
instituiu a Política de Segurança da Informação e Comunicações do Tribunal
Regional do Trabalho da 1ª. Região.
RESOLVE:
CAPÍTULO I
DA CRIAÇÃO DA
POLÌTICA DE CONTINUIDADE E DEFINIÇÕES
Art. 1º Fica instituída a Política de
Continuidade de Negócios de Tecnologia da Informação e Comunicação no âmbito do
Tribunal Regional do Trabalho da 1ª Região (TRT/RJ).
Art. 2º Para os efeitos desta Resolução
aplicam-se as seguintes definições:
I - Análise de impacto nos
negócios (BIA - Business Impact Analysis): processo de analisar as atividades e os
efeitos que uma interrupção de negócio pode ter sobre elas;
II - Continuidade de negócios:
capacidade da organização em continuar a entrega de produtos ou serviços em um
nível aceitável previamente definido após incidentes de interrupção;
III - Crise: Período de
instabilidade para o TRT/RJ que pode ter origem interna ou externa, com a
possibilidade de resultados não esperado que necessite de decisões urgentes
pela alta administração da Corte. Esse resultado pode interferir nas operações
normais dos serviços de Tecnologia da Informação e Comunicação, causando
prejuízos na prestação de serviços para a sociedade, imagem do próprio Tribunal
e perdas financeiras;
IV - Disponibilidade:
propriedade de estar acessível e utilizável sob demanda por uma
entidade autorizada;
V - Desastre: Um evento
repentino, inesperado e calamitoso que traga grandes perdas ou danos. Qualquer
evento que crie uma inabilidade por parte do TRT/RJ de prover funções críticas
ao negócio por um determinado período de tempo;
VI - Incidente de Continuidade
de Negócios: situação que deve representar ou levar a uma interrupção de
negócios, perdas, emergências ou crises. O Incidente é a concretização de uma
ameaça que ocasione perda ou dano ao ativo, causando a indisponibilidade,
interrupção ou comprometimento do processo;
VII - Gestão de continuidade de
negócios: processo abrangente de gestão que identifica ameaças potenciais
para uma organização e os possíveis impactos nas operações de negócio caso
estas ameaças se concretizem. Este processo fornece uma estrutura para que se
desenvolva uma resiliência organizacional que seja capaz de responder
eficazmente e salvaguardar os interesses das partes interessadas, a reputação e
a marca da organização e suas atividades de valor agregado;
VIII - Gestores das Áreas
Funcionais: Diretoria da área de Tecnologia da Informação, suas coordenadorias,
divisões e seções do TRT/RJ;
IX - Objetivos de Continuidade
de Negócios: resultado a ser atingido;
a) um objetivo pode ser estratégico,
tático ou operacional;
b) os objetivos podem ser relacionados
a diferentes disciplinas (tais como financeiro, saúde e segurança, além das
metas ambientais) e podem ser aplicados em diferentes níveis (como estratégico,
a organização como um todo, projeto, produto e processo);
c) um objetivo pode ser expresso por
outros meios, por exemplo, como um resultado esperado, um propósito e um
critério operacional, como um objetivo de segurança social ou pelo uso de
outras palavras com significado similar (por exemplo, objetivo, meta, ou alvo);
d) no contexto de sistema de gestão de
padrões de segurança da sociedade, os objetivos de segurança da sociedade são
definidos pela organização de acordo com a política de segurança social, para
alcançar resultados específicos.
X - Período Máximo de
Interrupção Tolerável (MTPD - Maximum Tolerable Period of Disruption): tempo
necessário para que os impactos adversos tornem-se inaceitáveis, que pode
surgir como resultado de não fornecer um produto/serviço ou realizar uma
atividade;
XI - Política de Continuidade
de Negócios de Tecnologia da Informação e Comunicação: Estabelecer
estratégias, premissas e responsabilidades para a gestão de continuidade dos
negócios referentes às atividades de TI no âmbito do Tribunal Regional do
Trabalho da 1ª Região;
XII - Plano de Continuidade do
Negócio: conjunto de ações de prevenção e procedimentos de recuperação
a serem seguidos para proteger os processos críticos de trabalho contra efeitos
de falhas de equipamentos, acidentes, ações intencionais ou desastres naturais
significativos, assegurando a disponibilidade das informações. Normalmente
abrangendo recursos, serviços e atividades necessárias para assegurar a
continuidade de funções críticas de negócios.
XIII - Produtos e serviços: resultados
benéficos que uma organização fornece a seus clientes e partes interessadas,
como bens manufaturados, seguros automobilísticos, conformidade com
regulamentações e benefícios comunitários;
XIV - Programa de continuidade
de negócios: Processo contínuo de gestão e governança suportado pelo
Tribunal, que recebe e gerencia recursos para implementar e manter a
gestão de continuidade de negócios;
XV - Ponto objetivado de
recuperação (RPO - Recovery Point Objective): ponto
em que a informação usada por uma atividade deve ser restaurada para permitir a
imediata operação da atividade na retomada do serviço;
XVI - Tempo objetivado de
recuperação (RTO - Recovery Time Objective): período
de tempo após um incidente em que o produto ou serviço deve ser retomado, ou a
atividade deve ser retomada, ou os recursos devem ser recuperados. Para os
produtos, serviços e atividades, o tempo objetivado de recuperação deve ser
menor possível para não produzir impactos negativos;
XVII - Resiliência:
capacidade de uma organização de resistir aos efeitos de um incidente de
continuidade de negócios;
XVIII - Teste: procedimento
para avaliação. Maneira de determinar a presença, qualidade, ou veracidade de
algo. O teste pode se referir a um “experimento” e é frequentemente usado para
suportar os planos; e
XIX - Usuários: pessoas que
fazem uso de recursos de tecnologia da informação e comunicação. Os
usuários dividem-se em:
a) Usuários Magistrados - magistrados
do TRT/RJ ou que estejam a serviço deste.
b) Usuários Servidores - servidores
ocupantes de cargo efetivo ou em comissão, requisitados e cedidos que tenham
acesso legítimo aos recursos de TIC;
c) Usuários colaboradores - empregados
de empresas prestadoras de serviços terceirizados, consultores, estagiários ou
qualquer outro colaborador que esteja a serviço do TRT/RJ; e
d) Usuários externos - membros do
Ministério Público do Trabalho, advogados públicos ou privados, peritos, partes
e outras pessoas que se utilizem dos serviços.
Art. 3º Esta Política se aplica a todos
os usuários que exercem atividades no âmbito do TRT/RJ ou quem quer que venha a
ter acesso a dados, informações, sistemas, ambientes e demais ativos protegidos
por este regulamento.
Art. 4º O uso adequado dos recursos de
tecnologia da informação e comunicação visa garantir a continuidade de negócios
da prestação jurisdicional do TRT/RJ.
Parágrafo único. Os recursos de
tecnologia da informação e comunicação pertencentes ao TRT/RJ, disponíveis para
o usuário, serão utilizados em atividades estritamente relacionadas às suas
funções institucionais.
CAPÍTULO II
DO ESCOPO
Art. 5º O escopo da Gestão de
Continuidade de Negócios está restrito aos processos, serviços e produtos do
ambiente de tecnologia da informação e comunicação do Tribunal e que estão sob
a supervisão e orientação do Comitê Gestor da Segurança da Informação do
TRT/RJ.
CAPÍTULO III
DAS ATRIBUIÇÕES E
RESPONSABILIDADES
Art. 6º Esta Política atribui as
responsabilidades da Gestão de Continuidade de Negócios.
I - À Comissão de Tecnologia da
Informação (CTI) compete.
a) apresentar proposições para
formulação dos Planos Estratégicos do Tribunal para a profícua Gestão de
Continuidade de Negócios;
b) solicitar à Administração do
Tribunal recursos para o desenvolvimento da Política de Continuidade de
Negócios.
II - Ao Comitê Gestor de Segurança da
Informação (CGSI) compete.
a) aprovar o Programa de Gestão da
Continuidade de Negócios;
b) propor ao Órgão Especial a revisão
da Política de Continuidade de Negócios no âmbito do TRT/RJ;
c) incentivar campanhas de
conscientização e treinamentos sobre Continuidade de Negócios;
d) estabelecer os Objetivos de
Continuidade de Negócios.
III - À Secretaria de Tecnologia da
Informação (STI) e à Secretaria de Soluções de Tecnologia (SST) compete:
a) propor a revisão do Programa de
Gestão da Continuidade de Negócios;
b) apresentar propostas ao Comitê
Gestor de Segurança da Informação para formulação das Estratégias de
Continuidade de Negócios; e
c) respeitar e difundir a Política de
Continuidade de Negócios no âmbito do TRT/RJ.
IV - À Seção de Segurança de Tecnologia
da Informação (SECSIN), vinculada à Secretaria da Tecnologia da Informação
(STI), compete:
a) implantar o Programa de Gestão da
Continuidade de Negócios que identifique as atividades críticas, avalie os
riscos e defina estratégias de continuidade, de forma a evitar ou mitigar as
perdas em potencial, como previsto na Norma ABNT NBR ISO 22301:2013;
b) propor a atualização da Política de
Continuidade de Negócios de TIC;
c) avaliar os riscos de ambiente
físico, de tecnologia, de processos e de pessoas;
d) analisar impactos nos negócios
(BIA);
e) propor as estratégias de
continuidade necessárias à manutenção dos serviços priorizados;
f) estabelecer padrões e critérios para
elaboração, manutenção, atualização e testes dos Planos;
g) consolidar os Planos de Continuidade
dos Negócios dos serviços e produtos com o escopo da Gestão de Continuidade de
Negócios de TIC;
h) acompanhar os testes e exercícios
dos Planos;
i) avaliar e aprimorar os Planos de
Continuidade de Negócio e divulgar os resultados dos testes e exercícios;
j) administrar a situação de desastre
quando da interrupção dos serviços, com base nos Planos de Continuidade; e
k) manter em local seguro e acessível
para os servidores credenciados as cópias de segurança dos documentos dos
Planos de Continuidade.
V - Compete aos Gestores das Áreas
Funcionais:
a) apresentar subsídios para a
formulação do Plano de Continuidade das atividades sob sua gestão;
b) participar da execução dos testes
dos planos;
c) oferecer proposta de revisão de seus
planos em conformidade com os testes;
d) alocar pessoal e materiais
necessários para treinamento, testes e exercícios; e
e) executar os Planos de Continuidade
dos Negócios dos serviços e produtos de acordo com o escopo da Gestão de
Continuidade de Negócios de TIC.
VI - Os usuários dos produtos e
serviços da Tecnologia da Informação e Comunicação do Tribunal Regional do
Trabalho de 1ª Região devem se conscientizar das responsabilidades desta
Política de Continuidade de Negócios e cumprir as diretrizes aqui traçadas.
CAPÍTULO IV
DAS CONDIÇÕES DE
DESASTRES E DE CRISES
Art. 7º Os seguintes incidentes
determinam condição de desastre e são considerados como fatores determinantes
de interrupções dos processos finalísticos:
I - incêndios;
II - desastres naturais;
III - problemas climáticos;
IV - perda de informação significativa;
V - greves dos empregados;
VI - paralisação do sistema de
transporte urbano;
VII - sabotagem, terrorismo,
bombas; e
VIII - qualquer outro incidente que
provoque uma interrupção significativa em algum serviço crítico.
Art. 8º Os seguintes incidentes
determinam condição de crise e são considerados como fatores determinantes de
interrupções dos processos finalísticos.
I - falhas no fornecimento de
infraestrutura básica, energia, tecnologias e comunicações;
II - ações que resultem em dano
significativo a um ativo que interrompa processos,
serviços e produtos do ambiente de Tecnologia da Informação e Comunicação do
TRT/RJ delineados dentro do escopo de atuação desta Política; e
III - falhas em sistemas que suportam a
prestação de processos, serviços e produtos do ambiente de Tecnologia da
Informação e Comunicação do TRT/RJ delineados dentro do escopo de atuação desta
Política.
CAPÍTULO V
DOS OBJETIVOS DE
CONTINUIDADE DE NEGÓCIOS
Art. 9º O Comitê Gestor de Segurança da
Informação deve assegurar que os objetivos de continuidade de negócios sejam
estabelecidos e comunicados para funções e níveis relevantes no âmbito do
TRT/RJ.
Art. 10 Conforme preconizado na ABNT
NBR ISO 22301:2013 em seu item 6.2, os objetivos devem:
I - estar alinhados com a Política de
Continuidade de Negócios;
II - considerar o nível mínimo de
produtos e serviços que é aceitável para o TRT/RJ alcançar seus objetivos;
III - ser mensuráveis;
IV - considerar requisitos aplicáveis;
V - ser comunicados; e
VI - ser monitorados e atualizados
sempre que necessário.
Art. 11 Em virtude da orientação acima,
estão descritos a seguir os objetivos a serem atingidos, visando cumprir a
missão atribuída à Continuidade de Negócios de Tecnologia da Informação e
colaborar no desenvolvimento dos objetivos estratégicos do Tribunal Regional do
Trabalho da 1ª Região:
I - Objetivo 01: Garantir a
continuidade na prestação dos serviços aos clientes
Não permitir a interrupção das
atividades concernentes ao TRT/RJ, protegendo os processos críticos contra
efeitos de falhas ou de desastres significativos e assegurando a sua retomada
em tempo hábil. Isso será possível a partir do desenvolvimento de capacidades
de resiliência corporativa nos níveis estratégicos e táticos e da implantação
da Continuidade de Negócios, visando responder e tratar adequadamente
incidentes críticos.
II - Objetivo 02: Garantir a
conformidade com leis, regulamentações e obrigações contratuais
Avaliar a conformidade com políticas,
normas e procedimentos de continuidade de negócios e evitar violações de
quaisquer obrigações legais, estatutárias, regulamentares ou contratuais
perante a sociedade e aos órgãos reguladores como o Conselho Nacional de
Justiça, o Conselho Superior da Justiça do Trabalho e o Tribunal de Contas da
União.
III - Objetivo 03: Adotar boas
práticas de Continuidade de Negócios internacionalmente consagradas
Implantar as melhores práticas de
Continuidade de Negócios reconhecidas internacionalmente para proteger a imagem
da Instituição, demonstrando para a sociedade o comprometimento em alcançar o
estado ideal em prestação de serviços aos seus usuários.
IV - Objetivo 04 - Capacitar e
Conscientizar o Capital Humano sobre o tema Continuidade de Negócios
Promover a capacitação do capital
humano para o desenvolvimento de competências e habilidades, visando à condução
proficiente e confiável das atividades inerentes à Continuidade de Negócios,
das operações e da infraestrutura crítica do TRT/RJ; e
V - Objetivo 05 -
Estabelecer indicadores para a melhoria contínua da Gestão de Continuidade de
Negócios do TRT/RJ
Definir indicadores que tenham como
finalidade a medição periódica da evolução e adequação da Gestão de
Continuidade de Negócios no TRT/RJ.
CAPÍTULO VI
DOS DOCUMENTOS DE
REFERÊNCIA
Art. 12 Para a elaboração desta
Política foram utilizadas as melhores práticas de mercado sobre o tema de
Continuidade de Negócios. Os documentos estão discriminados abaixo para estudo
e consulta.
I - ISO 22300:2012 - Societal security - Terminology; e
II - ABNT NBR ISO 22301:2013 -
Segurança da Sociedade - Sistema de gestão de continuidade de negócios -
Requisitos.
CAPÍTULO VII
DAS DISPOSIÇÕES
GERAIS
Art. 13 Os instrumentos normativos
gerados a partir desta Política devem ser revisados sempre que se fizer
necessário.
Art. 14 O usuário que agir em desacordo
com os termos aqui definidos, ficará sujeito à aplicação das penalidades
previstas na legislação vigente.
Art. 15 A presente Resolução entra em
vigor a partir da data de sua publicação.
Sala de Sessões, 20 de agosto de 2015
MARIA DAS GRAÇAS CABRAL VIEGAS PARANHOS
Desembargadora Presidente do
Tribunal Regional do Trabalho da
Primeira Região