Resolução TRE/PI nº 354/2017

Identificação

Resolução TRE/PI nº 354, de 26 de setembro de 2017

Situação

Vigente

Origem

Processo Administrativo nº0600014-32.2017.6.18.0000

Publicação

DJe n° 190, de 19/10/2017

Normas correlatas

Observação

Texto Original (Formato PDF)

Texto

RESOLUÇÃO Nº 354, DE 26 DE SETEMBRO DE 2017

PROCESSO ADMINISTRATIVO (1298) Nº 0600014-32.2017.6.18.0000 (PJe). ORIGEM: TERESINA/PI

Requerente: Tribunal Regional Eleitoral do Piauí, por seu Presidente

Interessada: Secretaria de Tecnologia da Informação

RelatorDesembargador Joaquim Dias de Santana Filho

Institui a Política de Gestão de Riscos de Tecnologia da Informação do Tribunal Regional Eleitoral do Piauí.

O TRIBUNAL REGIONAL ELEITORAL DO PIAUÍ, no uso das atribuições que lhe confere o art. 15, inciso IX, da Resolução TRE-PI nº 107, de 4 de julho de 2005,

CONSIDERANDO as normas da Associação Brasileira de Normas Técnicas - ABNT NBR ISO 73:2009, 27.005:2011, 31.000:2009 e 31.010:2012, que tratam de princípios, diretrizes e técnicas relacionados ao processo de gestão de riscos;

CONSIDERANDO as boas práticas preconizadas nos Objetivos de Controle para Informação e Tecnologias Relacionadas (Control Objectives for Information and related Technology - COBIT);

CONSIDERANDO as orientações contidas no Referencial Básico de Governança do Tribunal de Contas da União (TCU), aplicável a Órgãos e Entidades da Administração Pública, especificamente no que tange à Gestão de Riscos como componente dos mecanismos de governança para o alcance dos objetivos institucionais;

CONSIDERANDO a Resolução do Conselho Nacional de Justiça (CNJ) nº 211/2015, art. 9º, que estabelece a obrigatoriedade de todo órgão do Poder Judiciário instituir e aplicar política, gestão e processo de Segurança da Informação, por meio de um Comitê Gestor de Segurança da Informação;

CONSIDERANDO o disposto na Resolução TRE-PI nº 346, de 28 de março de 2017, que trata da necessidade de normatizar o processo de alinhamento relacionado à segurança da informação e dos riscos relacionados à Tecnologia da Informação;

RESOLVE:

Art. 1º Instituir a Política de Gestão de Riscos de Tecnologia da Informação do Tribunal Regional Eleitoral Piauí, nos termos desta Resolução, que compreende:

I - objetivos da Política de Gestão de Riscos;

II - princípios da Gestão de Riscos;

III - diretrizes da Gestão de Riscos;

IV - responsabilidades da Gestão de Riscos.

Art. 2º A Gestão de Riscos de Tecnologia da Informação constitui um processo contínuo e iterativo, que visa dirigir e controlar eventos relacionados aos serviços de Tecnologia da Informação que possam afetar o cumprimento dos objetivos institucionais, oferecendo maior garantia para o sucesso do negócio.

CAPÍTULO I

DAS DEFINIÇÕES

Art. 3º Para fins desta Resolução, considera-se:

I - apetite a riscos: quantidade e tipo de riscos que uma organização está preparada para buscar, reter ou assumir;

II - análise crítica: atividade realizada para determinar a adequação, a suficiência e a efetividade da gestão de riscos de Tecnologia da Informação para atingir os objetivos estabelecidos;

III - causa: condição que viabiliza a concretização de um evento que afeta os objetivos estabelecidos, sendo resultante da junção das fontes de risco com as vulnerabilidades;

IV - Comitê Diretivo de Tecnologia da Informação (CDTI): equipe multidisciplinar integrada por participantes da alta administração, oficialmente designada para deliberar sobre políticas, diretrizes e investimentos em Tecnologia da Informação e Comunicação;

V - Comitê de Gestão de Tecnologia da Informação (CGTI): equipe técnica integrada pelos titulares da Secretaria e das Coordenadorias da Secretaria de Tecnologia da Informação e pela Assistência de Governança de Tecnologia da Informação;

VI - consequência: resultado de um evento que afeta os objetivos estabelecidos;

VII - contexto: conjunto de fatores internos e externos à organização que, junto com os critérios de riscos, definirão o ambiente de gerenciamento dos riscos;

VIII - critérios de risco: termos de referência contra os quais a significância de um risco é avaliada, envolvendo a escala de probabilidade, a escala de impacto e a relação entre eles, bem como o apetite a risco estabelecido pelo Tribunal e, por fim, sua classificação;

IX - evento: ocorrência ou mudança em um conjunto específico de circunstâncias;

X - fonte de risco: elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco;

XI - Gestão de Riscos de Tecnologia da Informação: atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos de Tecnologia da Informação;

XII - identificação de riscos: processo de busca, reconhecimento e descrição de riscos;

XIII - impacto: grandeza ou dimensão das consequências ou efeitos da ocorrência de um evento;

XIV - monitoramento: verificação, supervisão, observação crítica ou identificação da situação, executadas de forma contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado;

XV - nível de risco: magnitude de um risco ou combinação de riscos, expressa em termos da combinação das probabilidades e dos seus impactos;

XVI - parte interessada: pessoa ou organização que pode afetar, ser afetada, ou perceber-se afetada por uma decisão ou atividade;

XVII - plano de gestão de riscos: esquema (plano) dentro da estrutura de gestão de riscos, que especifica a abordagem, os componentes de gestão e os recursos a serem aplicados para gerenciar riscos;

XVIII - probabilidade: chance de algo acontecer;

XIX - processo de avaliação de riscos: processo global de identificação, análise e avaliação de riscos;

XX - processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e de identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos;

XXI - proprietário de risco: pessoa ou entidade com responsabilidade e autoridade para gerenciar um risco;

XXII - risco: evento ou condição incerta que, se ocorrer, provocará um efeito positivo ou negativo nos objetivos estabelecidos;

XXIII - risco residual: risco remanescente após o tratamento do risco;

XXIV - tratamento de riscos: processo para modificar o risco por meio de uma ação específica;

XXV - vulnerabilidade: propriedade intrínseca de algo resultando em suscetibilidade a uma fonte de riscos que pode levar a um evento com uma consequência.

CAPÍTULO II

DOS OBJETIVOS DA POLÍTICA DE GESTÃO DE RISCOS DE TECNOLOGIA DA INFORMAÇÃO

Art. 4º A Política de Gestão de Riscos de Tecnologia da Informação tem por objetivo geral estabelecer princípios, diretrizes e responsabilidades para a gestão de riscos, incorporando a visão de riscos à tomada de decisão, em conformidade com as boas práticas adotadas no setor público.

Art. 5º A Política de Gestão de Riscos de Tecnologia da Informação tem por objetivos específicos promover:

I - a identificação de eventos em potencial que afetem a consecução dos objetivos institucionais;

II - o fortalecimento das decisões em resposta aos riscos de Tecnologia da Informação;

III - o aprimoramento dos controles internos administrativos.

 

CAPÍTULO III

DOS PRINCÍPIOS DA GESTÃO DE RISCOS DE TECNOLOGIA DA INFORMAÇÃO

Art. 6º A Gestão de Riscos de Tecnologia da Informação observará os seguintes princípios:

I - abordar explicitamente a incerteza;

II - considerar fatores humanos e culturais;

III - criar e proteger valores institucionais;

IV - estar alinhada ao contexto da instituição;

V - estar alinhada ao Planejamento Estratégico do Tribunal;

VI - estar alinhada ao Planejamento Estratégico de Tecnologia da Informação (PETI);

VII - estar alinhada ao Plano Diretor de Tecnologia da Informação (PDTI);

VIII - facilitar a melhoria contínua da organização;

IX - ser baseada nas melhores informações disponíveis;

X - ser dinâmica, iterativa e capaz de reagir a mudanças;

XI - ser parte da tomada de decisões;

XII - ser parte integrante dos processos organizacionais;

XIII - ser sistemática, estruturada e oportuna;

XIV - ser transparente e inclusiva.

CAPÍTULO IV

DAS DIRETRIZES DA GESTÃO DE RISCOS DE TECNOLOGIA DA INFORMAÇÃO

Art. 7º A Gestão de Riscos de Tecnologia da Informação deve utilizar as informações disponíveis e a linguagem comum, bem como definir e comunicar as responsabilidades e a adoção de boas práticas de governança de Tecnologia da Informação.

Art. 8º São elementos estruturais da Gestão de Riscos de Tecnologia da Informação no TRE-PI:

I - a Política de Gestão de Riscos de Tecnologia da Informação;

II - o Processo de Gestão de Riscos de Tecnologia da Informação;

III - o Comitê Diretivo de Tecnologia da Informação (CDTI);

IV - o Comitê de Gestão de Tecnologia da Informação (CGTI);

V - o proprietário do risco;

VI - a Assistência de Governança de Tecnologia da Informação;

VII - a área de auditoria interna do Tribunal.

Parágrafo único. Os elementos estruturais da Gestão de Riscos de Tecnologia da Informação devem ser aprimorados continuamente a partir de informações obtidas por meio do monitoramento e da análise crítica dos riscos de Tecnologia da Informação.

CAPÍTULO V

DAS RESPONSABILIDADES PELA GESTÃO DE RISCOS

Art. 9º A Gestão de Riscos de Tecnologia da Informação é parte integrante dos processos organizacionais afetos à área de Tecnologia da Informação e constitui responsabilidade:

I - em primeira instância, do proprietário do risco;

II - em segunda instância, do CGTI;

III - em terceira instância, do CDTI.

§ 1º A Assistência de Governança de Tecnologia da Informação deverá atuar como apoio nas atividades de assessoramento à Gestão de Riscos de Tecnologia da Informação.

§ 2º A área de auditoria interna do Tribunal deverá atuar como orientadora e promotora do processo de Gestão de Riscos de Tecnologia da Informação.

Art. 10. Compete ao CDTI:

I - aprovar a Política de Gestão de Riscos de Tecnologia da Informação;

II - promover a revisão periódica e a atualização desta Política de Gestão de Riscos de Tecnologia da Informação;

III - assegurar a alocação dos recursos necessários à Gestão de Riscos de Tecnologia da Informação;

IV - avaliar a adequação, a suficiência e a efetividade da Política de Gestão de Riscos de Tecnologia da Informação;

V - deliberar, após manifestação do CGTI, sobre os riscos de Tecnologia da Informação considerados extremos e os riscos residuais considerados altos, que lhe forem submetidos por aquele Comitê de Gestão;

VI - aprovar o modelo do processo de Gestão de Riscos de Tecnologia da Informação.

Art. 11. Compete ao CGTI:

I - revisar esta Política de Gestão de Riscos de Tecnologia da Informação e apresentar proposta de alteração ao CDTI;

II - operacionalizar, no âmbito das unidades de Tecnologia da Informação, a aplicação dos recursos disponibilizados para a gestão de riscos;

III - dirimir eventuais dúvidas dos proprietários de risco, na execução do processo de Gestão de Riscos de Tecnologia da Informação;

IV - deliberar sobre os riscos considerados médios e altos que, eventualmente, lhe forem apresentados pelos proprietários de risco;

V - submeter ao CDTI, acompanhados de manifestação, os riscos de Tecnologia da Informação considerados extremos e os riscos residuais considerados altos;

VI - subsidiar o CDTI com informações técnicas, visando auxiliá-lo no processo de tomada de decisão;

VII - revisar continuamente o modelo do processo de Gestão de Riscos de Tecnologia da Informação e submetê-lo à aprovação do CDTI;

VIII - conscientizar os gestores sobre a importância da gestão de riscos de Tecnologia da Informação e a responsabilidade inerente a cada proprietário dos riscos.

Art. 12. Compete ao proprietário de risco:

I - gerir os riscos de Tecnologia da Informação sob sua responsabilidade;

II - reportar ao CGTI os riscos de Tecnologia da Informação que eventualmente extrapolarem sua competência e capacidade para gerenciamento;

III - encaminhar à Assistência de Governança de Tecnologia da Informação os Planos de Gestão de Riscos de Tecnologia da Informação de sua responsabilidade.

Art. 13. Compete à Assistência de Governança de Tecnologia da Informação:

I - proceder à integração dos planos de gestão de riscos de Tecnologia da Informação a ela encaminhados, monitorando os riscos e reportando-os ao CGTI, periodicamente;

II - disseminar e dar suporte metodológico à implementação e à operacionalização do processo de gerenciamento de riscos de Tecnologia da Informação nas unidades, equipes e comissões relacionadas à Secretaria de Tecnologia da Informação;

III - propor ao CGTI melhorias para a presente Política de Gestão de Riscos de Tecnologia da Informação e para o modelo de processo correspondente.

Art. 14. Compete à área de auditoria interna do Tribunal, no âmbito de suas atribuições:

I - incluir, nos planos de auditoria, ações de avaliação do gerenciamento de riscos de Tecnologia da Informação;

II - utilizar as ferramentas e técnicas de auditoria interna para analisar riscos e controles administrativos na área de Tecnologia da Informação;

III - prover aconselhamento, facilitar grupos de discussão, orientar os proprietários de risco sobre riscos de Tecnologia da Informação e controles administrativos, bem como promover o desenvolvimento de uma linguagem, estrutura e entendimento comuns;

IV - avaliar os controles internos utilizados pela área de Tecnologia da Informação na gestão de seus riscos;

V - realizar auditorias anuais com vistas a aferir o atendimento das diretrizes formuladas para a Gestão de Riscos de Tecnologia da Informação e a efetividade da Política de Gestão de Riscos de Tecnologia da Informação.

CAPÍTULO VI

DAS DISPOSIÇÕES GERAIS

Art. 15. O Plano de Gestão de Riscos de Tecnologia da Informação deverá ser alinhado continuamente ao modelo de Processo de Gestão de Riscos de Tecnologia da Informação estabelecido no âmbito deste Tribunal e às normas da Associação Brasileira de Normas Técnicas – ABNT vigentes, sem prejuízo da aplicação de outras normas complementares.

Parágrafo único. A modelagem do Processo de Gestão de Riscos de Tecnologia da Informação deverá ser elaborada pelo CGTI e publicada em até noventa dias, após a publicação desta Política.

Art. 16. Esta Política deverá ser revisada, no máximo, a cada 2 (dois) anos, ou a qualquer tempo, quando necessário.

Art. 17. Os casos omissos ou excepcionais serão resolvidos pelo CDTI.

Art. 18. Esta Resolução entra em vigor na data de sua publicação.

Sala das Sessões do Tribunal Regional Eleitoral do Piauí, em Teresina, 26 de setembro de 2017.

 

DESEMBARGADOR JOAQUIM DIAS DE SANTANA FILHO

Presidente

 

DESEMBARGADOR EDVALDO PEREIRA DE MOURA

Vice-Presidente e Corregedor Regional Eleitoral

 

JUIZ DANIEL SANTOS ROCHA SOBRAL

Juiz Federal

 

JUIZ PAULO ROBERTO DE ARAÚJO BARROS

Juiz de Direito

 

JUIZ SUBSTITUTO ASTROGILDO MENDES DE ASSUNÇÃO FILHO

Jurista

 

DOUTOR ISRAEL GONÇALVES SANTOS SILVA

Procurador Regional Eleitoral

Este texto não substitui o publicado no DJe nº 190, de 19/10/2017