Regulamenta a Política de Segurança da Informação no âmbito do Poder Judiciário do Estado do Ceará.

• 1. RESOLUCAO-OE-25.2016.pdf

  Baixar anexo (65 KB)

  • Baixar (65 KB)

Regulamenta a Política de Segurança da Informação no âmbito do Poder Judiciário do Estado do Ceará.

O TRIBUNAL DE JUSTIÇA DO ESTADO DO CEARÁ, por seu Órgão Especial, no uso de suas atribuições constitucionais e
legais, por decisão unânime de seus componentes, em sessão realizada em 1º de setembro de 2016,

CONSIDERANDO a necessidade de obter maior segurança na geração, processamento, acesso, transmissão e divulgação
das informações sob a guarda do Tribunal de Justiça do Estado do Ceará;

CONSIDERANDO a Resolução nº 211, de 15 de dezembro de 2015, do Conselho Nacional de Justiça, que em seu art.
9º determina que cada órgão deverá elaborar e aplicar política, gestão e processo de segurança da informação a serem
desenvolvidos em todos os níveis da instituição, por meio de um Comitê Gestor de Segurança da Informação (CGSI), e em
harmonia com as diretrizes nacionais preconizadas pelo Conselho Nacional de Justiça (CNJ);

CONSIDERANDO a Resolução nº 3550/2010 do Tribunal de Contas do Estado do Ceará, que orienta sobre a importância do
gerenciamento da Segurança da Informação;

CONSIDERANDO as práticas contidas na NBR-ISO/IEC 27002, que trata da gestão da segurança da informação;

RESOLVE:

Art. 1º Estabelecer, através desta Resolução, a Política de Segurança da Informação (PSI) do Poder Judiciário do Estado do
Ceará e sua respectiva estrutura normativa, organizada da seguinte forma:
I- Política de Segurança da Informação (nível estratégico): constituída pelo presente documento, define as regras de alto
nível que representam os princípios básicos incorporados pela instituição à sua gestão, de acordo com a visão estratégica,
servindo de base para criação de diretrizes, normas e procedimentos de Segurança da Informação;
II- Normas de Segurança da Informação (nível tático): contemplam obrigações a serem seguidas de acordo com as
diretrizes estabelecidas na Política de Segurança da Informação, especificando, no plano tático, os controles que deverão ser
implementados para alcançar a estratégia definida nas diretrizes da política; e
III- Procedimentos de Segurança da Informação (nível operacional): instrumentalizam as normas, permitindo a direta
aplicação nas atividades da instituição.

CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES

Art. 2º Para os efeitos desta Resolução, aplicam-se as seguintes definições:
I- integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou
transmissão, contra alterações indevidas, intencionais ou acidentais;
II- confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;
III- disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes
sempre que necessário;
IV- segurança da informação: proteção da informação contra ameaças para garantir a continuidade do negócio, minimizar
os riscos e maximizar a eficiência e a efetividade das ações do negócio, preservando a confidencialidade, integridade e
disponibilidade da informação;
V- usuários internos: magistrados e servidores ocupantes de cargo efetivo ou em comissão, requisitados e cedidos, desde
que previamente autorizados, empregados de empresas prestadoras de serviços terceirizados, conveniados, consultores,
estagiários, e demais pessoas que se encontrem a serviço do Poder Judiciário do Estado do Ceará, utilizando em caráter
temporário os recursos tecnológicos deste Poder;
VI- usuários gestores de serviços e sistemas: responsáveis por coordenar, durante todo o ciclo de vida de um serviço ou
sistema, os trabalhos relativos ao sistema de informação que trata da sua área de negócio e/ou conhecimento, bem como definir
os requisitos funcionais que o sistema deve atender;
VII- usuários externos: todos os que não se enquadrem nos conceitos dos incisos V e VI deste artigo e que utilizem, mesmo
em caráter temporário, os recursos tecnológicos do Poder Judiciário do Estado do Ceará;
VIII- plano de continuidade de serviços essenciais de Tecnologia da Informação e Comunicação (TIC): conjunto de ações de
prevenção e procedimentos de recuperação a serem seguidos para proteger os sistemas informatizados e serviços de TIC contra
falhas de equipamentos, acidentes, ações intencionais ou desastres naturais significativos, assegurando a disponibilidade das
soluções de TIC que suportam os processos de trabalho críticos;
IX- custodiante: pessoa física, unidade ou projeto que detém a posse, mesmo que transitória, de informação produzida ou
recebida pelo Poder Judiciário do Estado do Ceará;
X- Termo de Ciência da Política de Segurança da Informação: documento impresso ou digital que deverá ser assinado
digitalmente ou de próprio punho pelo usuário interno, afirmando estar ciente da Política de Segurança da Informação;
XI- incidente de segurança da informação: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança
dos sistemas de computação ou das redes de computadores; e
XII- Política de Segurança da Informação (PSI): conjunto de princípios que norteiam a gestão de segurança da informação e
que deve ser observado pelo corpo técnico e gerencial e pelos usuários internos e externos.

Art. 3º As normas e procedimentos relacionados a esta resolução aplicam-se a todos os usuários que utilizam recursos de
tecnologia da informação no âmbito do Poder Judiciário do Estado do Ceará.

Art. 4º O uso dos recursos de tecnologia da informação visa garantir a continuidade da prestação jurisdicional no âmbito do
Poder Judiciário do Estado do Ceará.
§ 1º Os recursos de tecnologia da informação, pertencentes ao Poder Judiciário do Estado do Ceará e que estão disponíveis
para os usuários, devem ser utilizados em atividades estritamente relacionadas às funções institucionais; e
§ 2º A utilização dos recursos de tecnologia da informação será monitorada pela Secretaria de Tecnologia da Informação
(Setin).

Art. 5º As informações geradas no âmbito do Poder Judiciário do Estado do Ceará são de sua propriedade, independentemente
de sua forma de apresentação ou de armazenamento.
§ 1º As informações mencionadas no caput deste artigo devem ser adequadamente protegidas e utilizadas, exclusivamente,
para os fins relacionados às atividades desenvolvidas neste Poder, na conformidade da legislação vigente.
§ 2º Toda informação gerada no âmbito do Poder Judiciário do Estado do Ceará deverá seguir a classificação definida nos
normativos internos.

CAPÍTULO II
DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Art. 6º A Política de Segurança da Informação (PSI) do Poder Judiciário do Estado do Ceará observará os objetivos
estratégicos, os princípios e as diretrizes estabelecidas nesta resolução, bem como as disposições constitucionais, legais e
regimentais vigentes.

Art. 7º A PSI alinha-se às estratégias do Poder Judiciário do Estado do Ceará e tem por objetivo garantir a integridade,
confidencialidade e a disponibilidade das informações produzidas ou custodiadas no âmbito deste Poder.

Art. 8º Além dos princípios aplicáveis à Administração Pública em geral, a implementação e o cumprimento da PSI de que
trata esta resolução atenderão às regras de sigilo e aos princípios de:
I- responsabilidade: as responsabilidades primárias e finais pela proteção de cada ativo e pelo cumprimento de processos de
segurança devem ser claramente definidas;
II- conhecimento: para garantir a confiança no sistema, os administradores, os fornecedores e os usuários de um sistema de
informação devem ter ciência de todas as normas e procedimentos de segurança necessários;
III- ética: todos os direitos e interesses legítimos de usuários, intervenientes e colaboradores devem ser respeitados ao
prover um sistema de informação e ao estabelecer um sistema de segurança;
IV- legalidade: processos de segurança devem levar em consideração os objetivos estratégicos e a missão do Poder
Judiciário do Estado do Ceará, bem como as leis, políticas e normas administrativas, contratuais, técnicas e operacionais;
V- proporcionalidade: o nível, a complexidade e os custos dos processos de segurança devem ser adequados e proporcionais
ao valor e à necessidade de confiança nos sistemas de informação, considerando a severidade, a probabilidade e a extensão
de um dano potencial ou efetivo;
VI- integração: os processos de segurança devem ser coordenados e integrados entre si e com os demais processos e
práticas da organização, a fim de se criar um sistema de segurança da informação coerente;
VII- celeridade: as ações de resposta a incidentes e de correções de falhas de segurança devem ser providenciadas o mais
rápido possível; e
VIII- revisão: os sistemas de segurança devem ser reavaliados periodicamente, uma vez que os sistemas de informação e os
requisitos de segurança variam com o tempo e com a necessidade.

Art. 9º São diretrizes da Política de Segurança da Informação:
I- estabelecer a segurança da informação em todas as áreas e setores, implementando uma Política de Segurança da
Informação de forma a orientar estrategicamente as ações de segurança a serem executadas pelos órgãos do Poder Judiciário
do Estado do Ceará.
II- promover a segurança da informação em todos os níveis organizacionais, implementando-a de forma a abranger todos os
ativos de informação do Poder Judiciário do Estado do Ceará, devendo ser levada em consideração nos processos de trabalho;
III- adotar uma abordagem baseada em gestão de riscos, facultado ao Poder Judiciário do Estado do Ceará utilizar a norma
ABNT NBR ISO/IEC 27005:2011 – Gestão de riscos de segurança da informação como diretriz para nortear a identificação dos
riscos e a adoção de medidas de segurança da informação;
IV- assegurar correspondência com os requisitos legais internos e externos, cumprindo ao Poder Judiciário do Estado do
Ceará buscar sempre conformidade com as leis, políticas e normas organizacionais, administrativas, contratuais, técnicas e
operacionais para definição de políticas e ações de segurança da informação;
V- promover um ambiente positivo de segurança, com especial enfoque nos usuários, que constituem o ativo de informação
mais importante para a segurança da informação, devendo o Poder Judiciário do Estado do Ceará coordenar ações permanentes
de divulgação, treinamento, educação e conscientização em relação aos conceitos e às práticas de segurança da informação;
VI- analisar o desempenho da segurança da informação em relação aos resultados de processos de trabalho, mediante
avaliação e monitoramento periódicos da efetividade das ações de segurança da informação;
VII- desenvolver e aprimorar, continuamente, sistemática de classificação de dados, informações e conhecimentos, com o
objetivo de garantir os níveis de segurança desejados;
VIII- definir procedimentos e perfis de usuários para acesso a dados, informações e conhecimentos no âmbito dos órgãos
do Poder Judiciário do Estado do Ceará;
IX- estabelecer normas, padrões e procedimentos relacionados ao transporte, manuseio, custódia, armazenamento,
conservação e eliminação de ativos de Tecnologia da Informação no âmbito dos órgãos do Poder Judiciário do Estado do Ceará;
X- adotar critérios e procedimentos relacionados à disponibilidade e ao uso dos bens e ativos de tecnologia da informação
de forma a garantir a continuidade dos processos de trabalho dos órgãos do Poder Judiciário do Estado do Ceará; e
XI- elaborar normas de segurança da informação a serem observadas no processo de desenvolvimento de software,
aquisição e implantação de sistemas computacionais de forma a garantir níveis de segurança preestabelecidos.

Art. 10. As atualizações da PSI ocorrerão sempre em virtude de:

I- mudanças na organização, nas leis e regulamentações de Segurança da Informação;
II- necessidade de revisão sinalizada pelos indicadores de segurança;
III- necessidade de alterações decorrente de realização da análise de riscos e de resultados de auditorias; e
IV- deliberação da Presidência do TJCE.

CAPÍTULO III
DAS NORMAS DE SEGURANÇA DA INFORMAÇÃO

Art. 11. As Normas de Segurança da Informação (NSI) que tratam da gestão dos recursos de tecnologia da informação
contemplam obrigações a serem seguidas de acordo com as diretrizes estabelecidas na PSI e especificam, no plano tático, os
controles que deverão ser implementados.
Parágrafo único. As NSI que complementam a PSI serão aprovadas pela Presidência, publicadas através de portarias.

Art. 12. As inclusões, alterações e exclusões de normas que complementam a PSI deverão ser apreciadas pelo CGSI e
aprovadas pela Presidência.
Parágrafo único. A revisão das normas ocorrerá em data a ser definida pelo(a) Presidente do CGSI e em virtude dos critérios
dispostos nos incisos I a IV do art. 10.

CAPÍTULO IV
DOS PROCEDIMENTOS

Art. 13. Os procedimentos de Segurança da Informação detalham as atividades, passo a passo, para operacionalizar os
controles e as tecnologias mencionados nas normas, permitindo a direta aplicação nas atividades da instituição.
§ 1º Todos os procedimentos de segurança da informação deverão estar, obrigatoriamente, vinculados às NSI que
complementam a PSI.
§ 2º Todos os procedimentos seguirão um padrão estruturado e definido pelo Serviço de Segurança da Informação (SSI).

Art. 14. As inclusões, alterações e exclusões dos procedimentos relativos às normas serão elaboradas pelo SSI.
Parágrafo único. A revisão dos procedimentos ocorrerá em data a ser acordada pelo SSI em virtude dos critérios dispostos
nos incisos I a III do art. 10 ou a critério do CGSI.

CAPÍTULO V
DO GERENCIAMENTO DE SEGURANÇA DA INFORMAÇÃO

Art. 15. Compete ao Órgão Especial estabelecer e alterar a Política de Segurança da Informação.

Art. 16. As Normas de Segurança da Informação serão estabelecidas pela Presidência do Tribunal de Justiça por meio de
atos normativos.

Art. 17. O Comitê Gestor de Segurança da Informação (CGSI), instituído pela Presidência, terá atribuições de caráter
consultivo, normativo e fiscalizador.

Art. 18. O Serviço de Segurança da Informação possuirá atribuições de caráter gerencial e operacional com relação à PSI.
Parágrafo único. As funções gerenciais do SSI deverão ser executadas por servidores efetivos do quadro permanente.

Art. 19. O Grupo de Resposta a Incidentes de Segurança da Informação (Grisi), com atribuições operacionais, estará
vinculado diretamente ao SSI.
Parágrafo único. Compete ao Grisi:
I- monitorar os usuários quanto à conformidade com as normas de segurança da informação;
II- prestar suporte de Segurança da Informação às diversas áreas;
III- registrar incidentes de segurança da informação;
IV- analisar tecnicamente e monitorar incidentes de segurança da informação; e
V- solucionar incidentes e propor a resolução de problemas de segurança da informação.

CAPÍTULO VI
DAS PENALIDADES

Art. 20. O descumprimento das disposições constantes da PSI e das demais normas e procedimentos que a complementam
caracteriza infração funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo das responsabilidades penal
e civil.

Art. 21. Os casos omissos e as dúvidas surgidas na aplicação desta Política serão submetidos ao CGSI.

CAPÍTULO VII
DA VIGÊNCIA E DAS DISPOSIÇÕES FINAIS

Art. 22. As áreas responsáveis pela Gestão de Pessoas do Poder Judiciário do Estado do Ceará deverão realizar uma
campanha para coleta das assinaturas ou forma alternativa de aceite do Termo de Ciência da Política de Segurança da
Informação e suas normas e procedimentos, de maneira a abranger todos os magistrados, servidores, terceirizados e estagiários
do Poder Judiciário do Estado do Ceará, bem como enviarão, por e-mail, uma cópia do teor da política institucional e de suas
normas, para amplo conhecimento de todos os envolvidos.
Parágrafo único. Ao fim do prazo da campanha, os novos concursados (magistrados e servidores) e os novos contratados
(terceirizados e estagiários) deverão assinar o Termo de Ciência da Política de Segurança da Informação e suas normas e
procedimentos.

Art. 23. Todos os contratos e convênios do Poder Judiciário do Estado do Ceará deverão ser aditados com cláusulas
que permitam aos contratantes e conveniados tomarem ciência da Política de Segurança da Informação, suas normas e
procedimentos.
§ 1º Para os contratos vigentes e futuras contratações regidas pela Resolução nº 182/2013 do CNJ e suas atualizações
manter-se-ão as orientações do art. 23 da referida Resolução e deverão ser adicionadas cláusulas que determinem aos
contratados que tomem ciência da Política de Segurança da Informação, suas normas e procedimentos.
§ 2º Para os novos convênios, deverão ser previstas cláusulas que determinem aos conveniados que tomem ciência da
Política de Segurança da Informação, suas normas e procedimentos.

Art. 24. A Política de Segurança da Informação, as normas e os procedimentos que a complementam devem ser divulgados
a todos os magistrados, servidores, estagiários e prestadores de serviços quando de sua posse/admissão, bem como através
dos meios oficiais e de divulgação interna da instituição.
Art. 25. Esta Resolução entra em vigor na data de sua publicação.

ÓRGÃO ESPECIAL DO TRIBUNAL DE JUSTIÇA DO ESTADO DO CEARÁ, em Fortaleza, aos 1º de setembro de 2016.

Des. Francisco de Assis Filgueira Mendes - PRESIDENTE em exercício
Des. Fernando Luiz Ximenes Rocha
Des. Francisco Lincoln Araújo e Silva
Des. Haroldo Correia de Oliveira Máximo
Des. Francisco Barbosa Filho
Des. Emanuel Leite Albuquerque (Convocado)
Desa. Sérgia Maria Mendonça Miranda (Convocada)
Des. Washington Luis Bezerra de Araújo
Desa. Maria Iraneide Moura Silva
Desa. Lisete de Sousa Gadelha
Des. Raimundo Nonato Silva Santos
Des. Mário Parente Teófilo Neto
Des. José Tarcílio Souza da Silva

Revogada pela Resolução do Órgão Especial nº 15/2023 de 06/07/2023