(Publicação: DJE, n. 173, p. 125, 15.09.2022)
RESOLUÇÃO TRE-RS N. 401/2022, DE 13 DE SETEMBRO DE 2022
INSTITUI A POLÍTICA DE GESTÃO DA CONTINUIDADE DE NEGÓCIOS NO ÂMBITO DO TRIBUNAL REGIONAL ELEITORAL DO RIO GRANDE DO SUL E DÁ OUTRAS PROVIDÊNCIAS.
O TRIBUNAL REGIONAL ELEITORAL DO RIO GRANDE DO SUL, no uso de suas atribuições, e
CONSIDERANDO a Resolução CNJ nº 370/2021, que estabelece a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), prevendo que cada órgão deverá elaborar Plano de Gestão de Continuidade de Negócios ou de Serviços no qual estabeleça estratégias e planos de ação que garantam o funcionamento dos serviços essenciais quando na ocorrência de falhas;
CONSIDERANDO a Resolução CNJ nº 396/2021 institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ), prevendo ações destinadas a assegurar o funcionamento dos processos de trabalho, a continuidade operacional e a continuidade das atividades fim e administrativas dos órgãos do Poder Judiciário;
CONSIDERANDO a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), prevendo a necessidade da criação de planos de resposta a incidentes e remediação;
CONSIDERANDO a Norma ABNT NBR ISO 22301, que especifica a estrutura e os requisitos para a implementação e manutenção de um sistema de gestão de continuidade de negócios;
CONSIDERANDO a Norma ABNT NBR ISO 22313, que orienta o uso da ABNT NBR ISO 22301;
CONSIDERANDO a necessidade de minimizar os impactos de eventuais interrupções na prestação de seus serviços, bem como impedir que as consequências de eventos nocivos venham influenciar na continuidade de suas atividades;
RESOLVE:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1° Instituir a Política de Gestão da Continuidade de Negócios (PGCN) no âmbito do Tribunal Regional Eleitoral do Rio Grande do Sul.
Parágrafo único. Entende-se por continuidade de negócios, a capacidade estratégica e tática de planejar e responder a interrupções na prestação de serviços, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter as operações em um nível aceitável, previamente definido.
CAPÍTULO II
DOS OBJETIVOS
Art. 2° São objetivos da Política de Gestão da Continuidade de Negócios:
I - contribuir para a resiliência organizacional, melhorando a capacidade de permanecer eficaz durante eventuais indisponibilidades prolongadas de recursos necessários para a prestação normal dos serviços;
II - proteger a reputação e a credibilidade da Justiça Eleitoral do Rio Grande do Sul, fornecendo confiança na capacidade de obter sucesso em sua missão, visão e valores, dando suporte à cadeia de valor;
III - identificar formalmente os serviços considerados essenciais ao cumprimento da missão institucional do Tribunal;
IV - definir, implementar e manter procedimentos para a Análise de Impacto nos Negócios (AIN);
V - formalizar o Plano de Continuidade de Negócios para assegurar a prestação dos serviços essenciais em um nível aceitável durante eventuais interrupções causadas por indisponibilidade de recursos.
CAPÍTULO III
DAS DEFINIÇÕES
Art. 3° Para os fins desta resolução, consideram-se:
I - atividade: processo ou conjunto de processos que produzam ou suportem um ou mais serviços;
II - auditoria: exame sistemático das atividades e dos resultados relacionados, com o objetivo de verificar se estão em conformidade com o planejado;
III - análise de impacto nos negócios (AIN): processo de análise das funções de negócios e os efeitos que uma interrupção possa causar;
IV - atividades críticas: atividades precípuas da Justiça Eleitoral cuja interrupção ocasiona severos transtornos aos seus serviços e danos à imagem institucional;
V - interrupção: evento que cause um desvio negativo na entrega de produtos ou execução de serviços;
VI - teste: atividade na qual os planos de continuidade de negócios são exercitados parcial ou integralmente, de forma a garantir que eles contenham as informações apropriadas e produzam o resultado desejado, quando colocados em prática;
VII - impacto: consequência avaliada de um evento em particular;
VIII - incidente: qualquer evento que possa causar a interrupção nos serviços;
IX - declaração de acionamento ou ativação do plano: ato de declarar que o Plano de Continuidade de Negócios precisa ser colocado em prática de forma a continuar o fornecimento de produtos ou serviços essenciais;
X - perda: consequência negativa;
XI - resiliência: capacidade de resistir aos efeitos de um incidente e retornar ao estado normal de operação;
XII - recursos: todos os ativos, pessoas, competências, informação, tecnologia, suprimentos e bens disponíveis para uso, quando necessário, a fim de operar e atingir seus objetivos;
XIII - risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos, medido em termos de impacto e de probabilidade;
XIV - avaliação de riscos: processo geral de identificação, análise e estimativa de riscos;
XV - gestão de riscos: desenvolvimento estruturado e aplicação de uma cultura de gestão, políticas, procedimentos e práticas para as tarefas de identificação, análise, avaliação e controle dos riscos;
XVI - partes interessadas: magistrados, servidores, terceirizados, advogados, jurisdicionados, fornecedores;
XVII - serviços essenciais: conjunto de serviços prestados pelo Tribunal cuja interrupção pode causar danos à imagem institucional;
XVIII - plano de continuidade de negócios: documento que contém os procedimentos e informações necessários para a manutenção das atividades críticas de uma organização diante de situações que afetem seu funcionamento normal.
CAPÍTULO IV
DA GESTÃO DA CONTINUIDADE DE NEGÓCIOS
Art. 4° A Gestão da Continuidade de Negócios do TRE-RS (GCN-TRE-RS) será promovida pelo Gestor da Continuidade de Negócios.
Art. 5° A GCN-TRE-RS tem como objetivos:
I - entender o contexto, a estrutura e o apetite ao risco da instituição, identificando os processos organizacionais que impactam diretamente na prestação dos serviços considerados essenciais pelo Tribunal;
II - acionar a resposta de continuidade de negócios adequada;
III - planejar as ações necessárias à continuidade de negócios;
IV - estabelecer prioridades;
V - monitorar os efeitos da interrupção e a resposta de continuidade de negócios;
VI - garantir a segurança da informação e a privacidade de dados pessoais durante incidentes, de acordo com as diretrizes da Política de Segurança da Informação da Justiça Eleitoral;
VII - comunicar-se com as partes interessadas, autoridades e meios de comunicação;
VIII - definir e executar programa de exercícios e testes para validar os planos que compõem o Plano de Continuidade de Negócios (PCN);
IX - definir os métodos de monitoramento, análise e medição do desempenho e eficácia do PCN;
X - reconhecer e promover ações corretivas e de melhoria contínua;
XI - aumentar o nível de resposta e prontidão do TRE-RS para continuar operando durante eventuais interrupções em seus serviços essenciais;
XII - garantir o desenvolvimento das competências necessárias ao processo de Gestão de Continuidade de Negócios;
XIII - implementar o Plano de Continuidade de Negócios, a ser acionado em casos de incidentes que possam interromper ou comprometer os serviços essenciais do Tribunal e do processo eleitoral, de forma a permitir uma resposta adequada e a recuperação de suas atividades;
XIV - definir papéis e responsabilidades;
XV - promover treinamentos e análises que garantam a manutenção e o bom funcionamento do PCN, em conformidade com esta PGCN.
CAPÍTULO V
DOS INSTRUMENTOS DA GESTÃO DA CONTINUIDADE DE NEGÓCIOS
SEÇÃO I
DAS MODALIDADES DE INSTRUMENTOS
Art. 6° São instrumentos da GCN-TRE-RS:
I - Gestão de Riscos dos serviços essenciais;
II - Análise do Impacto no Negócio - AIN;
III - Plano de Continuidade de Negócios, composto de:
a) Plano de Emergência - PE;
b) Plano de Gestão de Crises - PGC;
c) Plano de Contingência Operacional - PCO;
d) Plano de Recuperação de Desastres - PRD;
e) Plano de Comunicação - PCOM;
f) Plano de Retorno à Normalidade;
IV - Campanhas de Conscientização;
V - Avaliação de Desempenho;
VI -Auditoria Interna;
VII - Análise Crítica.
SEÇÃO II
DA GESTÃO DE RISCOS DOS SERVIÇOS ESSENCIAIS
Art. 7° A gestão de riscos dos serviços essenciais consiste no acompanhamento dos mapeamentos de riscos realizados pelas áreas gestoras dos serviços essenciais, focado na continuidade de negócios, observada a Política de Gestão de Riscos.
SEÇÃO III
DA ANÁLISE DE IMPACTO NO NEGÓCIO
Art. 8° A Análise do Impacto do Negócio - AIN consiste na documentação que avalia riscos e analisa criticamente o impacto nos negócios, por meio dos seguintes processos:
I - estabelecimento dos tipos e critérios de impacto;
II - identificação dos serviços essenciais;
III - identificação dos prazos durante os quais os impactos de não retomada dos serviços essenciais se tornariam inaceitáveis;
IV - definição dos recursos necessários para apoiar os serviços essenciais;
V - avaliação de riscos dos serviços essenciais.
Parágrafo único. A AIN deve ser revisada em intervalos planejados ou quando houver mudanças significativas na organização ou no contexto do TRE-RS.
SEÇÃO IV
DO PLANO DE CONTINUIDADE DE NEGÓCIOS
Art. 9° O Plano de Continuidade de Negócios - PCN é composto por um conjunto de planos que definem os procedimentos que orientam o Tribunal a responder, recuperar, retomar e restaurar a um nível pré definido de operação após a interrupção, constituindo planos específicos para os períodos eleitorais e não eleitorais.
Art. 10. O PCN é constituído pelos seguintes planos:
I - Plano de Emergência (PE) - com foco na proteção à vida e evacuação predial;
II - Plano de Gestão de Crises (PGC) - define o processo de gestão de crises, a declaração de crise, as reuniões do Comitê de Pronta Resposta e o acionamento do plano de comunicação adequado em momentos de incidentes de alta relevância, incluindo incidentes cibernéticos;
III - Plano de Continuidade Operacional (PCO) - elaborado de forma segmentada para as atividades críticas do negócio, estabelece os procedimentos e recursos alternativos a serem adotados pelas equipes em momentos de interrupções;
IV - Plano de Recuperação de Desastres (PRD) - elaborado de forma segmentada conforme os diferentes recursos, estabelecendo como será realizada a recuperação dos ativos atingidos a um estado operacional;
V - Plano de Comunicação (PCOM) - determina os métodos, ferramentas, canais de comunicação, incluindo alternativas que permitirão à Justiça Eleitoral do Rio Grande do Sul se comunicar eficazmente durante as interrupções em seus serviços e monitorar os canais de comunicação para avaliar o impacto da crise, inclusive com a definição de porta-vozes e pontos de contato, bem como direcionando e fornecendo orientações aos colaboradores e aos meios de comunicação;
VI - Plano de Retorno à Normalidade (PRN) - define os procedimentos para o retorno às rotinas normais quando os recursos interrompidos estiverem operacionais.
Art. 11. Cada plano integrante do PCN, previsto no art. 10 desta Resolução, obedecerá à seguinte estrutura:
I - finalidade e escopo;
II - critérios e procedimentos para sua ativação;
III - procedimentos de implementação;
IV - papéis e responsabilidades;
V - requisitos e procedimentos de comunicação;
VI - recursos necessários;
VII - mecanismos para revisão periódica e contínuo aprimoramento.
§ 1° Os planos estarão disponíveis em meio físico e eletrônico, observando-se, quanto à publicidade e o nível de sigilo adequado.
§ 2° Deverão ser elaborados e testados os procedimentos de continuidade de negócios, para garantir que sejam compatíveis com os seus objetivos.
SEÇÃO V
DAS CAMPANHAS DE CONSCIENTIZAÇÃO
Art. 12. As campanhas de conscientização terão como objetivo o desenvolvimento da cultura da gestão da continuidade de negócios.
SEÇÃO VI
DA AVALIAÇÃO DE DESEMPENHO
Art. 13. A GCN-TRE-RS deve ter seu desempenho avaliado, no mínimo, uma vez ao ano, com a realização de simulações segmentadas por atividade crítica definida.
SEÇÃO VII
DA AUDITORIA INTERNA
Art. 14. A auditoria consistirá em procedimento sistemático, independente e documentado, para obter evidências e avaliação objetiva, para formar a base de declaração de conformidade.
SEÇÃO VIII
DA ANÁLISE CRÍTICA
Art. 15. A análise crítica será realizada em intervalos planejados para assegurar a conformidade, suficiência e eficácia da GCN-TRE-RS.
CAPÍTULO VI
DOS PAPÉIS E RESPONSABILIDADES
SEÇÃO I
DAS ESTRUTURAS ENVOLVIDAS
Art. 16. As estruturas envolvidas na continuidade de negócios do Tribunal são:
I - Presidência;
II - Comitê de Pronta Resposta;
III - Diretoria-Geral;
IV - Secretaria de Administração;
V - Secretaria de Tecnologia da Informação;
VI - Secretaria de Auditoria Interna;
VII - Assessoria de Comunicação Social;
VIII - Assessoria de Planejamento Estratégico e Desenvolvimento Institucional;
IX - Assessoria de Segurança da Informação;
X - Escola Judiciária Eleitoral;
XI - Gestores de Negócios.
§ 1° Os Comitês de Segurança Institucional, de Segurança da Informação e Proteção de Dados Pessoais e a Assessoria de Planejamento Estratégico e Desenvolvimento Institucional, unidade responsável pela Gestão de Riscos, atuarão alinhados com as diretrizes da PGCN e do Comitê de
Pronta Resposta (CPR).
§ 2° Os Gestores de Negócios, para efeito desta resolução, são os responsáveis por unidades administrativas ou processos em que forem identificadas atividades críticas relacionadas ao negócio do Tribunal.
SEÇÃO II
DA PRESIDÊNCIA
Art. 17. Compete à Presidência:
I - garantir os recursos necessários para estabelecer, implementar, operar e manter a GCN;
II - decidir sobre o acionamento do Comitê de Pronta Resposta em caso de incidentes.
SEÇÃO III
DO COMITÊ DE PRONTA RESPOSTA
Art. 18. Compete ao Comitê de Pronta Resposta:
I - deliberar sobre controles, processos e procedimentos de continuidade de negócios;
II - acompanhar a política, estratégias, processos, projetos e iniciativas corporativas de continuidade de negócios, zelando por sua qualidade e efetividade;
III - validar a análise de impacto nos negócios;
IV - aprovar os programas de conscientização, informação e divulgação;
V - aprovar os planos de retorno à normalidade elaborados pelos Gestores de Negócios.
Parágrafo único. Durante as eventuais interrupções dos serviços considerados essenciais, cabe ao Comitê:
I - declarar crise, mediante avaliação do cenário apresentado;
II - autorizar o acionamento dos planos integrantes do PCN;
III - aprovar as comunicações a serem realizadas pelos porta-vozes do Tribunal;
IV - avaliar os impactos da crise;
V - manter o Tribunal Superior Eleitoral atualizado sobre a situação da crise.
SEÇÃO IV
DA DIRETORIA-GERAL
Art. 19. Compete à Diretoria-Geral:
I - aprovar estratégias, planos, processos e decidir sobre ações de melhorias e correções em relação à continuidade de negócios;
II - aprovar a análise de impacto nos negócios;
III - declarar, formalmente, os serviços considerados essenciais pelo TRE-RS;
IV - promover a análise crítica da GCN-TRE-RS.
SEÇÃO V
DA SECRETARIA DE ADMINISTRAÇÃO
Art. 20. Compete à Secretaria de Administração a elaboração e manutenção do Plano de Emergência, previsto no Art. 10, desta Resolução.
SEÇÃO VI
DA SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
Art. 21. Compete à Secretaria de Tecnologia da Informação a elaboração e manutenção do Plano de Recuperação de Desastres, previsto no Art. 10, desta Resolução.
SEÇÃO VII
DA SECRETARIA DE AUDITORIA INTERNA
Art. 22. Compete à Secretaria de Auditoria Interna a inclusão da auditoria prevista no Art. 14, desta Resolução, no Plano Anual de Auditoria do TRE-RS.
SEÇÃO VIII
DA ASSESSORIA DE COMUNICAÇÃO SOCIAL
Art. 23. Compete à Assessoria de Comunicação Social a elaboração e manutenção do Plano de Comunicação, previsto no Art. 10, desta Resolução.
SEÇÃO IX
DA ASSESSORIA DE PLANEJAMENTO ESTRATÉGICO E DESENVOLVIMENTO INSTITUCIONAL
Art. 24. Compete à Assessoria de Planejamento Estratégico e Desenvolvimento Institucional, como unidade responsável pela Gestão de Riscos do TRE-RS, a coordenação das análises necessárias a fim de ficarem evidenciados os riscos a serem mitigados nas atividades consideradas essenciais para o TRE-RS, como prevê o Art. 7º, desta Resolução.
SEÇÃO X
DO ASSESSOR DE SEGURANÇA DA INFORMAÇÃO
Art. 25. O Assessor de Segurança da Informação será o Gestor de Continuidade de Negócios, a quem compete:
I - promover a implantação da GCN-TRE-RS;
II - coordenar a elaboração e avaliar a adequação dos instrumentos da GCN-TRE-RS;
III - coordenar a realização periódica da análise de impacto nos negócios;
IV - definir a metodologia e as ferramentas a serem utilizadas na condução da GCN;
V - propor melhorias na implantação de novos controles relativos à GCN;
VI - consolidar os resultados de testes dos planos integrantes de continuidade de negócios, por meio da elaboração de relatórios, e dar ciência à Diretoria-Geral;
VII - propor projetos e iniciativas para o aperfeiçoamento da GCN do Tribunal, observando as melhores práticas existentes no assunto;
VIII - desenvolver a cultura de GCN, conforme Art. 12, desta Resolução;
IX - elaborar o Plano de Gestão de Crises, conforme previsto no Art. 10, desta Resolução;
X - estimular a capacitação e treinamento;
XI - apresentar recomendações e reportes à administração;
XII - propor melhorias na Política de Continuidade de Negócios;
XIII - monitorar os efeitos de eventuais interrupções e os níveis de resposta da execução dos planos;
XIV - criar e conduzir programas de exercícios, testes e simulações, buscando a aprovação da
Diretoria-Geral.
SEÇÃO XI
DA ESCOLA JUDICIÁRIA ELEITORAL
Art. 26. Compete à Escola Judiciária Eleitoral a disponibilização de capacitações sobre continuidade de negócios.
SEÇÃO XII
DOS GESTORES DE NEGÓCIOS
Art. 27. São atribuições dos Gestores de Negócios:
I - realizar a análise de impacto nos negócios dos processos sob sua responsabilidade que suportam os serviços essenciais;
II - elaborar e manter o PCO da atividade sob sua responsabilidade, com base na análise de impacto nos negócios, conforme prevê o Art. 10, desta Resolução;
III - garantir a participação ativa das equipes sob sua gestão nos processos de elaboração e teste do PCO;
IV - avaliar e aprimorar os planos a partir dos resultados dos testes;
V - assegurar a execução de ações com base nos planos desenvolvidos, quando da ocorrência de incidente;
VI - solicitar os recursos necessários para a implantação e o desenvolvimento das ações relacionadas à continuidade das atividades, bem como para a realização de testes;
VII - elaborar o PRN da atividade sob sua responsabilidade, conforme prevê o Art. 10, desta Resolução.
CAPÍTULO VII
DAS DISPOSIÇÕES FINAIS
Art. 28. A efetiva execução da GCN-TRE-RS será de responsabilidade compartilhada entre todos os gestores do Tribunal, que deverão:
I - atender às demandas do Gestor de Continuidade de Negócios;
II - elaborar e manter os planos e procedimentos de continuidade de negócios de competência de suas áreas de negócio;
III - informar o Gestor de Continuidade de Negócios sobre a necessidade de atualização dos planos e reportar qualquer incidente;
IV - colaborar com a exercitação dos planos, coordenando sua equipe durante os exercícios;
V - propor e acompanhar as ações corretivas.
Art. 29. Todas as unidades do Tribunal são corresponsáveis pela implementação e manutenção da GCN do Tribunal.
Art. 30. O Gestor da Continuidade de Negócios deverá implementar e operar a PGCN, coordenando a elaboração dos planos previstos nesta resolução, bem como os controles, processos e procedimentos necessários até o dia 31/12/2022.
Art. 31. A PGCN deve ser revisada sempre que mudanças significativas ocorrerem, para garantir a sua adequação.
Art. 32. Os casos omissos serão resolvidos pela Diretoria-Geral.
Art. 33. Esta Resolução entra em vigor na data de sua publicação.
Desembargador Francisco José Moesch,
Presidente
Desembargadora Vanderlei Teresinha Tremeia Kubiak,
Vice-Presidente e Corregedora Regional Eleitoral
Desembargador Eleitoral Gerson Fischmann
Desembargador Eleitoral Amadeo Henrique Ramella Buttelli
Desembargador Eleitoral Oyama Assis Brasil de Moraes
Desembargador Federal Luís Alberto D'Azevedo Aurvalle
Desembargador Eleitoral Caetano Cuervo Lo Pumo