Institui a política de segurança da informação e comunicação do Poder Judiciário do Estado do Rio Grande Do Sul (PSIC-PJRS).

O excelentíssimo senhor desembargador Carlos Eduardo Zietlow Duro, presidente do Tribunal de Justiça do Estado do Rio Grande do Sul, no uso de suas atribuições legais, em atenção ao que consta no expediente nº 8.2018.0207/000194-6,

Considerando que o poder judiciário do estado do rio grande do sul, no exercício de suas competências constitucionais, legais e regulamentares, recebe, produz e manipula informações, as quais devem permanecer íntegras, disponíveis e, quando for o caso, com o sigilo resguardado;

Considerando que a adequada gestão da informação precisa nortear todos os processos de trabalho e unidades do poder Judiciário do estado do Rio Grande no Sul, e deve ser delineada por uma política de segurança da informação e comunicação (PSIC);

Considerando as diretrizes do conselho nacional de justiça (CNJ) para a implantação da gestão de segurança da informação (GSI) no poder judiciário;

Considerando a Resolução nº 211, de 15 de dezembro de 2015, do CNJ, que institui a estratégia nacional de tecnologia da Informação e comunicação do Poder Judiciário (ENTIC-JUD);

Considerando o disposto no plano de segurança institucional, cuja finalidade é regular a política e gestão de segurança da tecnologia da informação e seus processos, bem como estabelecer normas de conduta no acesso às informações digitais, visando controlar e proteger os dados de acesso indevido e não autorizado, além de preservar a integridade destes dados, garantindo a plena disponibilidade dos sistemas de informática do poder judiciário do Estado do Rio Grande do Sul;

Considerando o disposto no plano de segurança institucional, que atribui à direção de tecnologia da informação e comunicação (DITIC) a competência de adotar medidas de proteção da tecnologia da informação visando a sua preservação e funcionalidade,

Resolve:

Art. 1º instituir a política de segurança da informação e comunicação do poder judiciário do Estado do Rio Grande do Sul (PSICPJRS).

Parágrafo Único. As normas deste ato aplicam-se a todos os agentes públicos que executem atividades vinculadas ou relacionadas ao ciclo de vida de informações institucionais no Poder judiciário do Estado do Rio Grande do Sul.

Art. 2º a presente política de segurança da informação e comunicação tem por objetivo estabelecer os princípios e diretrizes para a segurança da informação no tratamento, controle, utilização, manutenção e descarte de dados, informações e conhecimento produzidos, armazenados ou transmitidos pelos sistemas informatizados no âmbito do Poder Judiciário do Estado Do Rio Grande do Sul.

Art. 3º para os efeitos deste ato, entende-se por:

I – Ativo: qualquer coisa que tenha valor para a organização;

II – Ciclo de vida da informação: compreende as etapas de produção, tratamento, armazenamento, transmissão e descarte ou destruição da informação;

III – Incidente em segurança da informação: qualquer indício de fraude, sabotagem, desvio, falha ou evento indesejado ou Inesperado, intencional ou não, que tenha probabilidade de comprometer as operações ou ameaçar os princípios básicos da segurança da informação;

IV – Informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente da forma em que tenha sido obtida (produzida ou custodiada pelo Poder Judiciário do Rio Grande Do Sul), do meio em que resida ou da forma pela qual seja transmitida;

V – LOGS: registros de eventos relevantes para restauração de um sistema, diagnóstico de problemas, registros de acesso aos sistemas, entre outros eventos essenciais para a realização de auditorias;

VI – Modelo de gestão: modelo que permite a criação e a manutenção de um sistema de gestão de segurança da informação (SGSI) concebido a partir da implementação de processos, tais como gestão de riscos, controle de acesso, gestão da continuidade de negócio, auditoria e conformidade, dentre outros processos de segurança da informação;

VII – Plano de continuidade do negócio: garantia da continuidade dos serviços essenciais, mesmo em situações atípicas, e a melhoria contínua na eficiência dos processos relacionados ao ciclo de vida da informação;

VIII – Recurso de tecnologia de informação: qualquer equipamento, dispositivo, serviço, infraestrutura ou sistema de processamento da informação e instalações físicas que os abriguem;

IX – Segurança da informação: garantia dos princípios de disponibilidade, integridade, confidencialidade e autenticidade da informação;

X – Sistema de gestão de segurança da informação (SGSI): conjunto de processos e procedimentos que visa estabelecer, implementar, manter e melhorar continuamente a gestão da informação;

XI – Violação da segurança da informação: efetiva ocorrência de um incidente de segurança, cuja consequência seja a quebra de qualquer um dos princípios da segurança da informação.

Art. 4º a política de segurança da informação e comunicação do Poder Judiciário do Estado do Rio Grande do Sul tem como princípios fundamentais:

I – Garantir a disponibilidade e a transparência da informação nos trâmites administrativos e judiciais, em conformidade com os princípios constitucionais e legais, preservando o direito à publicidade e à privacidade;

II – Adotar os requisitos e recomendações das normas ABNT-ISO/IEC 27000, 27002, 27003, 27004, 27005, 27031 e 38500 e outras que possam surgir;

III – contemplar, em suas diretrizes, os aspectos estratégicos, táticos e operacionais, fundamentando a elaboração dos demais atos normativos que a incorporarão.

Art. 5º a política de segurança da informação e comunicação do Poder Judiciário do Estado do Rio Grande do Sul tem como diretrizes principais:

I – Estabelecer e difundir a cultura da segurança da informação e as melhores práticas de conduta segura nos processos de trabalho, na forma de conscientização e capacitação contínua;

II – Estabelecer o plano de continuidade de negócio, considerando os níveis aceitáveis de disponibilidade, integridade e confidencialidade, mesmo em situações críticas;

III – Assegurar e aprimorar a segurança da informação e da comunicação na gestão de recursos humanos, de modo que cada usuário tenha ciência de suas responsabilidades e atribuições nos processos de trabalho, sendo firmado na forma de termo de responsabilidade;

IV – Estabelecer e aprimorar os mecanismos de auditoria e rastreabilidade de acesso e modificação de informações críticas nos processos de trabalho;

V – Implantar sistema de gestão de riscos dos ativos de informação com o objetivo de alcançar níveis aceitáveis de riscos, minimizando seus impactos;

VI – Aprimorar o sistema de acesso aos ativos de tecnologia da informação, na forma de gestão de identidade e controle de acesso, de modo que cada usuário ativo tenha permissões de acesso suficiente aos recursos necessários para o desenvolvimento de suas funções;

VII – Promover e assegurar a adequada utilização dos recursos de tecnologia da informação, visando garantir a segurança da informação e da comunicação, na forma de ações preventivas periódicas; no controle de permissões de acesso; no controle de instalação de aplicativos autorizados e licenciados, e registros de logs de atividades críticas relacionadas a estes recursos;

VII – garantir a melhoria contínua do sistema de gestão de segurança da informação visando aderência às atualizações tecnológicas e às normas vigentes.

Art. 6º a segurança da informação abrange aspectos físicos, tecnológicos e humanos da organização, e orienta-se pelos seguintes princípios:

I – Disponibilidade: garante que as informações estejam acessíveis às pessoas e aos processos autorizados, sempre que necessário;

II – Integridade: garantia de que a informação não seja alterada de forma não autorizada;

III – Confidencialidade: garantia de que a informação seja acessada exclusivamente por pessoas ou processos autorizados;

IV – Autenticidade: assegura que a informação é proveniente da fonte que se anuncia.

Art. 7º as informações produzidas ou custodiadas serão classificadas em função do seu grau de confidencialidade, disponibilidade, integridade e prazo de retenção.