ÓRGÃO ESPECIAL

 

RESOLUÇÃO ADMINISTRATIVA Nº 52/2017

 

(Disponibilizada em 18/9/2017 no DEJT, Caderno Administrativo)

(REVOGADA pela Resolução Administrativa nº 17/2020, disponibilizada em 21/9/2020 no DEJT, Caderno Administrativo)

 

Cria a Política de Gestão de Riscos de Tecnologia da Informação e Comunicação no âmbito do Tribunal Regional do Trabalho da Primeira Região

 

 

O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA PRIMEIRA REGIÃO, no uso de suas atribuições legais e regimentais, tendo em vista o decidido, por maioria, pelo Órgão Especial, reunido em Sessão Ordinária, no dia 14 de setembro de 2017,

 

CONSIDERANDO a determinação do art. 12 da Resolução nº 211, de 15 de dezembro de 2015, do Conselho Nacional de Justiça, no sentido de instituir e manter estruturas organizacionais adequadas e compatíveis, tendo em conta, dentre outros, os macroprocessos de segurança da informação de riscos;

 

CONSIDERANDO os modelos de boas práticas reconhecidos internacionalmente e a ABNT NBR ISO 31000:2009 - gestão de riscos - princípios e diretrizes,

 

CONSIDERANDO a necessidade de orientar os processos de identificação, avaliação, tratamento, monitoramento e comunicação dos riscos inerentes às atividades da tecnologia da informação do Tribunal Regional do Trabalho da Primeira Região, preocupando-se ainda com a otimização de recursos para alcançar seus objetivos; e

 

CONSIDERANDO que deve ser incorporada a visão de riscos à tomada de decisões estratégicas da Instituição, em conformidade com as melhores práticas de mercado,

 

RESOLVE:

 

 

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

 

 

Art. 1º  Fica criada a Política de Gestão de Riscos de Tecnologia da Informação e Comunicação no âmbito do Tribunal Regional do Trabalho da Primeira Região.

 

Art. 2º  Para os efeitos desta Resolução Administrativa, os termos e definições constam no documento Glossário de Termos e Definições em Tecnologia da Informação e Comunicação em anexo.

 

 

CAPÍTULO II

DOS PRINCÍPIOS, DIRETRIZES E ESCOPO DA POLÍTICA DE GESTÃO DE RISCOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO

 

 

Art. 3º  A Política de Gestão de Riscos de Tecnologia da Informação e Comunicação é regida pelos seguintes princípios:

 

I - o reconhecimento de que a gestão de riscos permite a identificação não só de ameaças, como também de oportunidades de melhorias nos processos de negócio do Tribunal, além da tomada de decisões baseada em riscos;

 

II - a adoção das melhores práticas de governança corporativa, de forma sistemática, estruturada e oportuna, com o objetivo de alcançar e manter a transparência e a qualidade das suas informações, buscando melhor reputação perante os jurisdicionados e um diferencial na geração de valor em seus serviços;

 

III - definição e a comunicação dos papéis e das responsabilidades de cada um dos colaboradores envolvidos no processo de gestão de riscos;

 

IV - a manutenção de uma infraestrutura adequada e integrada de tecnologia em seus ativos e processos, além de contar com estrutura funcional compatível com as atividades de identificação, avaliação, tratamento e monitoramento de riscos, estabelecendo ainda mecanismos de comunicação claros e objetivos;

 

V - desenvolvimento continuado de competências multidisciplinares, técnicas e gerenciais, necessárias ao exercício pleno de todas as atribuições dos servidores da área de TI, com incentivo à obtenção das certificações profissionais correspondentes, de acordo com as necessidades evidenciadas pelos planos e prioridades da Tecnologia da Informação e Comunicação;

 

VI - a gestão de riscos deve ser integrada e permear todas as práticas e processos organizacionais da instituição, de forma a garantir a identificação de eventos de riscos inerentes a todas as suas áreas de negócio;

 

VII - a adoção de uma linguagem padrão de gestão de riscos para as unidades do Tribunal é essencial ao processo de gestão de risco, possibilitando um melhor entendimento entre os diversos setores de trabalho e um processo livre de interferências; e

 

VIII - a análise de riscos para assegurar a eficácia da gestão de riscos por meio de revisões frequentes, favorecendo o cumprimento de seus objetivos estratégicos.

 

Art. 4º  A Política de Gestão de Riscos de Tecnologia da Informação e Comunicação possui as seguintes diretrizes gerais que definem e caracterizam as macroetapas do processo de gestão de riscos de Tecnologia da Informação e Comunicação:

 

I - delimitar claramente o escopo da gestão de risco, definindo os seus elementos, sejam por tipos de ativos, por localização geográfica, por processos organizacionais ou por objetivos estratégicos;

 

II - identificar os riscos com a participação das áreas proprietárias dos seus diferentes níveis devendo ser definidos eventos, fontes e impactos associados a cada risco;

 

III - realizar avaliações dos riscos, visando à definição dos atributos de probabilidade, severidade e relevância, utilizados na sua priorização;

 

IV - tratar os riscos segundo o grau de tolerância ao risco do Tribunal, conforme previamente homologado pelo Comitê Gestor de Segurança da Informação, observando-se as seguintes atitudes:

 

a) evitar;

 

b) reduzir, pela definição de planos de ação e controles internos;

 

c) transferir; ou

 

d) aceitar.

 

V - monitorar os indicadores de riscos, supervisionando a implantação e manutenção dos planos de ação e verificando o alcance das metas estabelecidas, através de atividades gerenciais contínuas e/ou avaliações independentes; e

 

VI - comunicar todas as etapas do processo de gestão de riscos de maneira clara e objetiva a todas as partes interessadas.

 

Art. 5º  O escopo do processo de gestão de riscos está circunscrito a todos os ativos, sistemas, serviços, processos, ambientes, pessoas e objetivos que suportam as operações do Tribunal Regional do Trabalho da Primeira Região para alcançar sua missão.

 

 

 

CAPÍTULO III

DAS ATRIBUIÇÕES E RESPONSABILIDADES ASSOCIADAS À POLÍTICA DE GESTÃO DE RISCOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO

 

 

 

Art. 6º Compete ao Comitê de Governança de Tecnologia da Informação e Comunicação:

 

I - patrocinar a implantação da gestão de riscos na organização;

 

II - sugerir a destinação de recursos financeiros necessários ao processo de gestão de risco, bem como alterações posteriores que provoquem impacto significativo sobre a alocação inicial;

 

III - definir a infraestrutura apropriada às atividades de gestão de riscos;

 

IV - propor à Administração do Tribunal a alocação de recursos humanos ou revisão do quadro de pessoal vigente para avaliação, tratamento e monitoramento dos riscos; e

 

V - recomendar a alteração da Política de Gestão de Riscos de Tecnologia da Informação e Comunicação ao Comitê Gestor de Segurança da Informação de acordo com as melhores práticas de mercado.

 

Art. 7º  Compete ao Comitê Gestor de Segurança da Informação:

 

I - definir estratégicas concernentes ao processo de gestão de riscos, tais como o grau de tolerância a riscos do Tribunal e a política que norteará todo o processo;

 

II - acompanhar a gestão de riscos, validando e revisando periodicamente a matriz de riscos da organização, bem como a sua estrutura de controle interno e as ações tomadas para minimizar a ocorrência de eventos que comprometam a realização dos objetivos do Tribunal; e

 

III - servir como um fórum para a discussão de sugestões de ajustes em documentos e processos relacionados à gestão de riscos e alinhar as práticas e os processos que a envolvam entre as áreas do setor da tecnologia da informação.

 

Art. 8º  Compete ao Comitê de Gestão de Tecnologia da Informação e Comunicação:

 

I - efetivar as ações necessárias ao estabelecimento do ambiente de controle para auxílio no tratamento dos riscos identificados pelas suas áreas proprietárias; e

 

II - definir as equipes de trabalho que irão identificar, avaliar, tratar e monitorar os riscos no setor da tecnologia da informação.

 

Art. 9º  Compete à Seção de Segurança de Tecnologia da Informação, vinculada à Secretaria de Tecnologia da Informação:

 

a) gerenciar, avaliar e definir os padrões a serem seguidos no que tange aos processos de gestão de riscos, aos seus sistemas de suporte e às formas e à periodicidade de suas comunicações; e

 

b) informar às áreas proprietárias, apoiar e garantir a identificação e o monitoramento dos riscos.

 

Art. 10.  Compete às áreas proprietárias de riscos o cumprimento das normas de segurança da informação e comunicação.

 

 

CAPÍTULO IV

DAS DISPOSIÇÕES FINAIS

 

 

Art. 11.  A Presidência do Tribunal, se necessário, editará normas complementares para efetivar operacionalização da Política de Gestão de Risco de Tecnologia da Informação e Comunicação.

 

Art. 12.  A presente Resolução entra em vigor a partir da data de sua publicação.

 

Sala de Sessões, 14 de setembro de 2017

 

 

FERNANDO ANTONIO ZORZENON DA SILVA

Desembargador Presidente do

Tribunal Regional do Trabalho da 1ª Região