Atualiza a Política de Segurança da Informação no âmbito do Poder Judiciário do Estado do Ceará. 

• 1. Resolucao-no-15-06-07-2023.pdf

  Baixar anexo (163 KB)

  • Baixar (163 KB)

Atualiza a Política de Segurança da Informação no âmbito do Poder Judiciário do Estado do Ceará. 

O ÓRGÃO ESPECIAL DO TRIBUNAL DE JUSTIÇA DO ESTADO DO CEARÁ (TJCE), no uso de suas competências legais e regimentais, por decisão unânime de seus componentes, em sessão realizada em 06 de julho de 2023, 

CONSIDERANDO a Resolução nº 3550/2010 do Tribunal de Contas do Estado do Ceará, que orienta sobre a importância do gerenciamento da Segurança da Informação; 

CONSIDERANDO o teor da Resolução do Órgão Especial nº 25/2016, de 1º de setembro de 2016, sobretudo o disposto em seu art. 10, inciso I, que determina que as atualizações da Política de Segurança da Informação (PSI) ocorrerão sempre em virtude de mudanças na organização, nas leis e regulamentações de Segurança da Informação; 

CONSIDERANDO o teor da Resolução do Conselho Nacional de Justiça (CNJ) nº 363/2021, que estabelece medidas para o processo de adequação Lei nº 13.709/2018 Lei Geral de Proteção de Dados Pessoais (LGPD) a serem adotadas pelos tribunais; 

CONSIDERANDO o teor da Resolução CNJ nº 370/2021, que estabelece a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD); 

CONSIDERANDO o teor da Resolução CNJ nº 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ); 

CONSIDERANDO o teor da Portaria CNJ nº 162/2021, que aprova Protocolos e Manuais criados pela Resolução CNJ nº 396/2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ); 

CONSIDERANDO o teor da Resolução do Órgão Especial n° 40/2022, de 15 de dezembro de 2022, que dispõe sobre a Política Geral de Privacidade e Proteção de Dados Pessoais (PGPPDP) do Poder Judiciário do Estado do Ceará; 

CONSIDERANDO o teor da Resolução do Órgão Especial nº 03/2023, de 02 de março de 2023, que dispõe sobre a unificação do Comitê Gestor de Proteção de Dados Pessoais (CGPD) e do Comitê Gestor de Governança de Segurança da Informação e de Crises Cibernéticas (CGSICC) no âmbito do Poder Judiciário do Estado do Ceará; 

CONSIDERANDO a necessidade de obter maior segurança na geração, processamento, acesso, transmissão e divulgação das informações sob a guarda do Tribunal de Justiça do Estado do Ceará; e 

CONSIDERANDO o Objetivo de Desenvolvimento Sustentável (ODS) 16 da Agenda 2030, o qual visa a promover sociedades pacíficas e inclusivas para o desenvolvimento sustentável, proporcionar o acesso à justiça para todos e construir instituições eficazes, responsáveis e inclusivas em todos os níveis; 

RESOLVE: 

CAPÍTULO I 

DAS DISPOSIÇÕES PRELIMINARES 

Art. 1º Estabelecer a Política de Segurança da Informação (PSI) do Poder Judiciário do Estado do Ceará e sua respectiva estrutura funcional e normativa, organizada da seguinte forma: 

1. Estrutura Funcional de Segurança da Informação: estrutura com elementos funcionais responsáveis pela gestão e operacionalização da Segurança da Informação no âmbito do Poder Judiciário do Estado do Ceará, com as atribuições e a composição dos elementos funcionais normatizadas por portarias e resoluções; 
2. Política de Segurança da Informação (nível estratégico): constituída pelo presente documento, define as regras de alto nível que representam os princípios básicos incorporados pela instituição à sua gestão, de acordo com a visão estratégica, servindo de base para criação de diretrizes, normas e procedimentos de segurança da informação; 
3. Normas de Segurança da Informação (nível tático): contemplam obrigações a serem seguidas de acordo com as diretrizes estabelecidas na Política de Segurança da Informação, especificando, no plano tático, os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes da política; e 
4. Procedimentos de Segurança da Informação (nível operacional): instrumentalizam as normas, permitindo a direta aplicação nas atividades da instituição. 

Art. 2º Para os fins e feitos desta Resolução, adotam-se as seguintes definições: 

1. - Política de Segurança da Informação (PSI): documento aprovado pela autoridade responsável pelo órgão ou entidade da administração pública, direta e indireta, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação; 
2. – integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental; 
3. – confidencialidade: propriedade de que a informação não esteja disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizados; 
4. – disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade; 
5. segurança da informação: ações que objetivam viabilizar e assegurar a disponibilidade, integridade, confidencialidade e autenticidade das informações; 
6. usuários internos: magistrados e servidores ocupantes de cargo efetivo ou em comissão, requisitados e cedidos, desde que previamente autorizados, empregados de empresas prestadoras de serviços terceirizados, conveniados, consultores, estagiários, e demais pessoas que se encontrem a serviço do Poder Judiciário do Estado do Ceará, utilizando, em caráter temporário, os recursos tecnológicos deste Poder; 
7. usuários gestores de serviços e sistemas: responsáveis por coordenar, durante todo o ciclo de vida de um serviço ou sistema, os trabalhos relativos ao sistema de informação que trata da sua área de operação e/ou conhecimento, bem como definir os requisitos funcionais que o sistema deve atender; 
8. usuários externos: todos os que não se enquadrem nos conceitos dos incisos V e VI deste artigo e que utilizem, mesmo em caráter temporário, os recursos tecnológicos do Poder Judiciário do Estado do Ceará; e 
9. incidente de segurança da informação: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação e redes de computadores. 

Art. 3º Esta política, suas normas complementares e procedimentos aplicam-se a todos os usuários que utilizam os recursos de tecnologia da informação, de forma presencial ou remota, no âmbito do Poder Judiciário do Estado do Ceará. 

Art. 4º O uso dos recursos de tecnologia da informação visa a assegurar o funcionamento dos processos de trabalho e a continuidade da prestação jurisdicional no âmbito do Poder Judiciário do Estado do Ceará. 

§ 1º Os recursos de tecnologia da informação pertencentes ao Poder Judiciário do Estado do Ceará e que estão disponíveis para os usuários devem ser utilizados em atividades estritamente relacionadas às funções institucionais; e

§ 2º A utilização dos recursos de tecnologia da informação será monitorada pela Secretaria de Tecnologia da Informação (SETIN).

Art. 5º As informações geradas no âmbito do Poder Judiciário do Estado do Ceará são de sua propriedade, independentemente de sua forma de apresentação ou de armazenamento, e sempre deverão ser armazenadas nas soluções tecnológicas mantidas pelo Poder Judiciário do Estado do Ceará. 

§ 1º As informações mencionadas no caput deste artigo devem ser adequadamente protegidas e utilizadas, exclusivamente, para os fins relacionados às atividades desenvolvidas neste Poder, na conformidade da legislação vigente.

§ 2º Toda informação gerada no âmbito do Poder Judiciário do Estado do Ceará deverá seguir a classificação definida nos normativos internos.

Art. 6º Toda informação que contenha dado pessoal ou dado pessoal sensível, em meios físicos ou digitais, deverá ser tratada conforme a Resolução do Órgão Especial n° 40/2022, que dispõe sobre a Política Geral de Privacidade e Proteção de Dados Pessoais (PGPPDP) do Poder Judiciário do Estado do Ceará. 

CAPÍTULO II 

DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 

Art. 7º A Política de Segurança da Informação (PSI) do Poder Judiciário do Estado do Ceará observará os objetivos estratégicos, os princípios e as diretrizes estabelecidas nesta Resolução, bem como as disposições constitucionais, legais e regimentais vigentes. 

Art. 8º A PSI alinha-se à Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ) e às estratégias do Poder Judiciário do Estado do Ceará e tem por objetivo garantir a integridade, confidencialidade, autenticidade e proteção de quaisquer dados e de informações, bem como a disponibilidade das informações produzidas ou custodiadas no âmbito deste Poder. 

Art. 9º Além dos princípios aplicáveis à Administração Pública em geral, a implementação e o cumprimento da PSI de que trata esta Resolução atenderão às regras de sigilo e aos princípios de: 

1. – responsabilidade: as responsabilidades primárias e finais pela proteção de cada ativo e pelo cumprimento de processos de segurança devem ser claramente definidas; 
2. conhecimento: para garantir a confiança no sistema e o eficiente manuseio, os administradores, os fornecedores e os usuários de um sistema de informação devem ter ciência de todas as normas e procedimentos de segurança necessários; 
3. ética: todos os direitos e interesses legítimos de usuários, intervenientes e colaboradores devem ser respeitados ao prover um sistema de informação e ao estabelecer um sistema de segurança; 
4. legalidade: os processos de segurança devem levar em consideração os objetivos estratégicos e a missão do Poder Judiciário do Estado do Ceará, bem como as leis, políticas e normas administrativas, contratuais, técnicas e operacionais; 
5. proporcionalidade: o nível, a complexidade e os custos dos processos de segurança devem ser adequados e proporcionais ao valor e à necessidade de confiança nos sistemas de informação, considerando a severidade, a probabilidade e a extensão de um dano potencial ou efetivo; 
6. integração: os processos de segurança devem ser coordenados e integrados entre si e com os demais processos e práticas da organização, a fim de se criar um sistema de segurança da informação coerente; 
7. celeridade: as ações de resposta a incidentes e de correções de falhas de segurança devem ser providenciadas o mais rápido possível; e 
8. revisão: os sistemas de segurança devem ser reavaliados periodicamente, uma vez que os sistemas de informação e os requisitos de segurança variam com o tempo e com a necessidade. 

Art. 10. São diretrizes da Política de Segurança da Informação: 

1. implementação da Política de Segurança Cibernética do Poder Judiciário, instituída pela Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ); 
2. estabelecimento da segurança da informação em todas as unidades, implementando uma Política de Segurança da Informação de forma a orientar estrategicamente as ações de segurança a serem executadas pelos órgãos do Poder Judiciário do Estado do Ceará; 
3. implementação da Lei Geral de Proteção de Dados Pessoais; 
4. implementação da Política Geral de Privacidade e Proteção de Dados Pessoais; 
5. - promoção da segurança da informação em todos os níveis organizacionais; 
6. realização da prevenção e mitigação de ameaças cibernéticas e da promoção da confiança digital; 
7. realização da gestão de identidade e controle de acesso; 
8. estabelecimento da Política de Educação e Cultura em Segurança Cibernética; 
9. garantia da correspondência com os requisitos legais internos e externos, cumprindo ao Poder Judiciário do Estado do Ceará buscar sempre conformidade com as leis, políticas e normas organizacionais, administrativas, contratuais, técnicas e operacionais para definição de políticas e ações de segurança da informação; 
10. avaliação do desempenho da segurança da informação em relação aos resultados de processos de trabalho, mediante avaliação e monitoramento periódicos da efetividade das ações de segurança da informação; 
11. desenvolvimento e aprimoramento contínuo e sistemático de classificação de dados, informações e conhecimentos, com o objetivo de garantir os níveis de segurança desejados; 
12. estabelecimento de normas, protocolos, processos, padrões e procedimentos relacionados à segurança da informação; 
13. elevação do nível de segurança das infraestruturas críticas, em consonância com a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ): e 
14. estabelecimento de troca de informações e boas práticas com outros membros do poder público em geral e do setor privado, com objetivo colaborativo. 

Art. 11. A Coordenadoria de Segurança da Informação deverá estabelecer ações para: 

1. implementar as diretrizes conforme citadas no art. 9° desta Resolução; 
2. realizar a Gestão dos Ativos de Informação e da Política de Controle de Acesso; 
3. criar controles para o tratamento de informações com restrição de acesso; 
4. promover treinamento contínuo e certificação dos servidores diretamente envolvidos na área de segurança cibernética; 
5. estabelecer requisitos mínimos de segurança cibernética nas contratações e nos acordos que envolvam a comunicação com outros órgãos; 
6. utilizar os recursos de soluções de criptografia, ampliando o uso de assinatura eletrônica, conforme legislações específicas; e 
7. comunicar e articular as ações de segurança da informação com a alta administração do Poder Judiciário do Estado do Ceará. 

Art. 12. As atualizações da PSI do Poder Judiciário do Estado do Ceará ocorrerão sempre em virtude de: 

1. mudanças nas leis, regulamentações e resoluções que impactem em segurança da informação e proteção de dados pessoais; 
2. necessidade de revisão sinalizada pelos indicadores de segurança; 
3. necessidade de alterações decorrente de realização da análise de riscos e de resultados de auditorias; e 
4. deliberação da Presidência do Tribunal de Justiça do Estado do Ceará (TJCE) ou do Comitê de Governança da Segurança da Informação e de Crises Cibernéticas e de Proteção de Dados Pessoais (CGSICCPDP). 

Art. 13. Compete ao Órgão Especial regulamentar e alterar a Política de Segurança da Informação.

CAPÍTULO III 

DAS NORMAS DE SEGURANÇA DA INFORMAÇÃO 

Art. 14. As Normas de Segurança da Informação (NSI) que complementam a PSI contemplam diretrizes de gestão, responsabilidades e uso de tecnologias e informações e especificam, no plano tático, os controles que deverão ser implementados. 

Art. 15. As inclusões, exclusões e alterações de normas que complementam a PSI deverão ser apreciadas pelo CGSICCPDP e aprovadas pela Presidência. 

Parágrafo único. A revisão das normas ocorrerá em virtude dos critérios dispostos nos incisos I a IV do art. 11. 

Art. 16. As Normas de Segurança da Informação serão estabelecidas pela Presidência do Tribunal de Justiça por meio de atos normativos. 

CAPÍTULO IV 

DOS PROCEDIMENTOS 

Art. 17. Os procedimentos de segurança da informação detalham as atividades, passo a passo, para operacionalizar as NSI, permitindo a direta aplicação nas atividades da instituição. 

§ 1º Todos os procedimentos de segurança da informação estarão, preferencialmente, vinculados às NSI que complementam a PSI.

§ 2º Todos os procedimentos seguirão um padrão estruturado e definido pela Gestão de Segurança da Informação.

Art. 18. As inclusões, alterações e exclusões dos procedimentos relativos às NSI serão elaboradas pela área técnica e aprovadas pela Gestão de Segurança da Informação. 

Parágrafo único. A revisão dos procedimentos ocorrerá em virtude de mudança de normativo a ele vinculado ou por autorização da Gestão de Segurança da Informação. 

CAPÍTULO V 

DA ESTRUTURA DE SEGURANÇA DA INFORMAÇÃO 

Art. 19. Fica instituída a estrutura de Governança de Segurança da Informação no âmbito do Poder Judiciário do Estado do Ceará, integrada pelos seguintes elementos funcionais: 

1. Comitê de Governança da Segurança da Informação e de Crises Cibernéticas e de Proteção de Dados Pessoais (CGSICCPDP), vinculado à Presidência; 
2. Encarregado(a) pelo Tratamento da Segurança da Informação e de Proteção de Dados Pessoais; 
3. Grupo de Trabalho Técnico, vinculado ao Comitê indicado no inciso I deste artigo; 
4. Coordenadoria de Segurança da Informação (CSI), vinculada à Gerência de Infraestrutura de Tecnologia da Informação; 
5. – Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética (ETIR), vinculada à Coordenadoria de Segurança da Informação. 

Parágrafo único. A estrutura, as atribuições e a composição dos elementos funcionais do caput deste artigo serão normatizadas por portarias e resoluções. 

CAPÍTULO VI 

DAS PENALIDADES 

Art. 20. A inobservância dos dispositivos constantes desta Política de Segurança da Informação poderá acarretar, isolada ou cumulativamente, nos termos da lei, sanções administrativas, civis ou penais, assegurados aos envolvidos o contraditório e a ampla defesa. 

CAPÍTULO VII 

DAS DISPOSIÇÕES FINAIS 

Art. 21. Esta Política de Segurança da Informação e suas normas complementares deverão ser amplamente divulgadas. 

Art. 22. Todos os instrumentos jurídicos do Poder Judiciário do Estado do Ceará deverão ser aditados com cláusulas que permitam aos contratantes e conveniados tomarem ciência da Política de Segurança da Informação, suas normas e procedimentos. 

Art. 23. Esta Resolução entra em vigor na data de sua publicação e revoga expressamente a Resolução nº 25/2016, do Órgão Especial. 

ÓRGÃO ESPECIAL DO TRIBUNAL DE JUSTIÇA DO ESTADO DO CEARÁ, em Fortaleza, aos 06 de julho de 2023. 

Des. Fernando Luiz Ximenes Rocha

Desa. Maria Iracema Martins do Vale

Des. Paulo Francisco Banhos Ponte

Des. Durval Aires Filho 

Des. Francisco Gladyson Pontes 

Des. Washington Luís Bezerra de Araújo (convocado)

Desa. Maria Iraneide Moura Silva (convocada) 

Des. Luiz Evaldo Gonçalves Leite (convocado)

Desa. Maria Edna Martins 

Desa. Lígia Andrade de Alencar Magalhães

Des. Francisco Mauro Ferreira Liberato

Des. Francisco Luciano Lima Rodrigues

Des. José Ricardo Vidal Patrocínio 

Des. Carlos Augusto Gomes Correia (convocado)

Desa. Jane Ruth Maia de Queiroga (convocada) 

Desa. Andréa Mendes Bezerra Delfino