ÓRGÃO ESPECIAL
RESOLUÇÃO ADMINISTRATIVA Nº 52/2017
(Disponibilizada em
18/9/2017 no DEJT, Caderno Administrativo)
Cria a Política de Gestão de Riscos de Tecnologia da Informação e
Comunicação no âmbito do Tribunal Regional do Trabalho da Primeira Região
O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA PRIMEIRA REGIÃO, no uso de suas atribuições legais
e regimentais, tendo em vista o decidido, por maioria, pelo
Órgão Especial, reunido em Sessão Ordinária, no dia 14 de setembro de 2017,
CONSIDERANDO a determinação do
art. 12 da Resolução nº 211, de 15 de dezembro de 2015, do Conselho Nacional de
Justiça, no sentido de instituir e manter estruturas organizacionais adequadas
e compatíveis, tendo em conta, dentre outros, os macroprocessos de segurança da
informação de riscos;
CONSIDERANDO os
modelos de boas práticas reconhecidos internacionalmente e a ABNT NBR ISO
31000:2009 - gestão de riscos - princípios e diretrizes,
CONSIDERANDO a necessidade de orientar
os processos de identificação, avaliação, tratamento, monitoramento e
comunicação dos riscos inerentes às atividades da tecnologia da informação do
Tribunal Regional do Trabalho da Primeira Região, preocupando-se ainda com a
otimização de recursos para alcançar seus objetivos; e
CONSIDERANDO que deve ser
incorporada a visão de riscos à tomada de decisões estratégicas da Instituição,
em conformidade com as melhores práticas de mercado,
RESOLVE:
CAPÍTULO I
DAS DISPOSIÇÕES
PRELIMINARES
Art. 1º Fica criada a
Política de Gestão de Riscos de Tecnologia da Informação e Comunicação no
âmbito do Tribunal Regional do Trabalho da Primeira Região.
Art. 2º Para os efeitos
desta Resolução Administrativa, os termos e definições constam no documento Glossário de Termos e Definições em
Tecnologia da Informação e Comunicação em anexo.
CAPÍTULO II
DOS PRINCÍPIOS,
DIRETRIZES E ESCOPO DA POLÍTICA DE GESTÃO DE RISCOS DE TECNOLOGIA DA INFORMAÇÃO
E COMUNICAÇÃO
Art. 3º A Política de Gestão
de Riscos de Tecnologia da Informação e Comunicação é regida pelos seguintes
princípios:
I - o reconhecimento
de que a gestão de riscos permite a identificação não só de ameaças, como
também de oportunidades de melhorias nos processos de negócio do Tribunal, além
da tomada de decisões baseada em riscos;
II - a adoção das
melhores práticas de governança corporativa, de forma sistemática, estruturada
e oportuna, com o objetivo de alcançar e manter a transparência e a qualidade
das suas informações, buscando melhor reputação perante os jurisdicionados e um
diferencial na geração de valor em seus serviços;
III - definição e a
comunicação dos papéis e das responsabilidades de cada um dos colaboradores
envolvidos no processo de gestão de riscos;
IV - a manutenção de uma
infraestrutura adequada e integrada de tecnologia em seus ativos e processos,
além de contar com estrutura funcional compatível com as atividades de
identificação, avaliação, tratamento e monitoramento de riscos, estabelecendo
ainda mecanismos de comunicação claros e objetivos;
V - desenvolvimento
continuado de competências multidisciplinares, técnicas e gerenciais,
necessárias ao exercício pleno de todas as atribuições dos servidores da
área de TI, com incentivo à obtenção das certificações profissionais
correspondentes, de acordo com as necessidades evidenciadas pelos planos e
prioridades da Tecnologia da Informação e Comunicação;
VI - a gestão de
riscos deve ser integrada e permear todas as práticas e processos
organizacionais da instituição, de forma a garantir a identificação de eventos
de riscos inerentes a todas as suas áreas de negócio;
VII - a adoção de uma
linguagem padrão de gestão de riscos para as unidades do Tribunal é essencial
ao processo de gestão de risco, possibilitando um melhor entendimento entre os
diversos setores de trabalho e um processo livre de interferências; e
VIII - a análise de
riscos para assegurar a eficácia da gestão de riscos por meio de revisões
frequentes, favorecendo o cumprimento de seus objetivos estratégicos.
Art. 4º A Política de Gestão
de Riscos de Tecnologia da Informação e Comunicação possui as seguintes
diretrizes gerais que definem e caracterizam as macroetapas
do processo de gestão de riscos de Tecnologia da Informação e Comunicação:
I - delimitar claramente
o escopo da gestão de risco, definindo os seus elementos, sejam por tipos de
ativos, por localização geográfica, por processos organizacionais ou por
objetivos estratégicos;
II - identificar os
riscos com a participação das áreas proprietárias dos seus diferentes níveis
devendo ser definidos eventos, fontes e impactos associados a cada risco;
III - realizar avaliações dos riscos, visando
à definição dos atributos de probabilidade, severidade e relevância, utilizados
na sua priorização;
IV - tratar os riscos
segundo o grau de tolerância ao risco do Tribunal, conforme previamente
homologado pelo Comitê Gestor de Segurança da Informação, observando-se as
seguintes atitudes:
a) evitar;
b) reduzir, pela
definição de planos de ação e controles internos;
c) transferir; ou
d) aceitar.
V - monitorar os
indicadores de riscos, supervisionando a implantação e manutenção dos planos de
ação e verificando o alcance das metas estabelecidas, através de atividades gerenciais
contínuas e/ou avaliações independentes; e
VI - comunicar todas
as etapas do processo de gestão de riscos de maneira clara e objetiva a todas
as partes interessadas.
Art. 5º O escopo do processo
de gestão de riscos está circunscrito a todos os ativos, sistemas, serviços,
processos, ambientes, pessoas e objetivos que suportam as operações do Tribunal
Regional do Trabalho da Primeira Região para alcançar sua missão.
CAPÍTULO III
DAS ATRIBUIÇÕES E
RESPONSABILIDADES ASSOCIADAS À POLÍTICA DE GESTÃO DE RISCOS DE TECNOLOGIA DA
INFORMAÇÃO E COMUNICAÇÃO
Art. 6º Compete ao
Comitê de Governança de Tecnologia da Informação e Comunicação:
I - patrocinar a
implantação da gestão de riscos na organização;
II - sugerir a
destinação de recursos financeiros necessários ao processo de gestão de risco,
bem como alterações posteriores que provoquem impacto significativo sobre a
alocação inicial;
III - definir a
infraestrutura apropriada às atividades de gestão de riscos;
IV - propor à
Administração do Tribunal a alocação de recursos humanos ou revisão do quadro
de pessoal vigente para avaliação, tratamento e monitoramento dos riscos; e
V - recomendar a alteração da Política de
Gestão de Riscos de Tecnologia da Informação e Comunicação ao Comitê Gestor de Segurança
da Informação de acordo com as melhores práticas de mercado.
Art. 7º Compete ao Comitê
Gestor de Segurança da Informação:
I - definir
estratégicas concernentes ao processo de gestão de riscos, tais como o grau de
tolerância a riscos do Tribunal e a política que norteará todo o processo;
II - acompanhar a
gestão de riscos, validando e revisando periodicamente a matriz de riscos da
organização, bem como a sua estrutura de controle interno e as ações tomadas
para minimizar a ocorrência de eventos que comprometam a realização dos
objetivos do Tribunal; e
III - servir como um
fórum para a discussão de sugestões de ajustes em documentos e processos
relacionados à gestão de riscos e alinhar as práticas e os processos que a
envolvam entre as áreas do setor da tecnologia da informação.
Art. 8º Compete ao Comitê de
Gestão de Tecnologia da Informação e Comunicação:
I - efetivar as ações
necessárias ao estabelecimento do ambiente de controle para auxílio no
tratamento dos riscos identificados pelas suas áreas proprietárias; e
II - definir as
equipes de trabalho que irão identificar, avaliar,
tratar e monitorar os riscos no setor da tecnologia da informação.
Art. 9º Compete à Seção de
Segurança de Tecnologia da Informação, vinculada à Secretaria de Tecnologia da
Informação:
a) gerenciar, avaliar
e definir os padrões a serem seguidos no que tange aos processos de gestão de
riscos, aos seus sistemas de suporte e às formas e à periodicidade de suas
comunicações; e
b) informar às áreas
proprietárias, apoiar e garantir a identificação e o monitoramento dos riscos.
Art. 10. Compete às áreas proprietárias de riscos o
cumprimento das normas de segurança da informação e comunicação.
CAPÍTULO IV
DAS DISPOSIÇÕES
FINAIS
Art. 11. A Presidência do Tribunal, se necessário,
editará normas complementares para efetivar operacionalização da Política de
Gestão de Risco de Tecnologia da Informação e Comunicação.
Art. 12. A presente Resolução entra em vigor a partir
da data de sua publicação.
Sala de Sessões, 14 de setembro
de 2017
FERNANDO ANTONIO
ZORZENON DA SILVA
Desembargador
Presidente do
Tribunal
Regional do Trabalho da 1ª Região