
Tribunal Regional Eleitoral - CE
Diretoria-Geral
Assessoria de Acessibilidade, Sustentabilidade, Compliance, Integridade e Riscos
PORTARIA Nº 461, DE 10 DE MAIO DE 2023
O PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO CEARÁ no uso das atribuições que lhe confere o artigo 23, inciso LX, do Regimento Interno deste Tribunal,
CONSIDERANDO o que dispõe os artigos 7º e 9º da Res. TRE/CE n.º 920/2022;
CONSIDERANDO o disposto no Processo Administrativo Digital SEI n.º 2022.0.000004901-9;
CONSIDERANDO a Resolução TRE nº 793/2020, que dispõe sobre o Planejamento Estratégico da Justiça Eleitoral do Ceará;
CONSIDERANDO a Resolução TRE nº 563/2014, que dispõe sobre a Política de Gestão de Riscos e cria a Rede de Gestão de Riscos da Justiça Eleitoral do Ceará;
CONSIDERANDO a Resolução TRE nº 618/2016, que regulamenta a aplicação, no âmbito do Tribunal Regional Eleitoral do Ceará, da Lei nº 12.527, de 18 de novembro de 2011, que versa sobre o acesso à informação;
CONSIDERANDO a Res. CNJ 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO a Res. TSE nº 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;
CONSIDERANDO a Portaria DG/TSE nº 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;
CONSIDERANDO as boas práticas em segurança da informação previstas nas normas ABNT ISO /IEC 27001 e ABNT NBR ISO/IEC 27002;
CONSIDERANDO as boas práticas gestão de riscos prevista na norma ABNT ISO/IEC 27005:2019;
CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls V.8;
CONSIDERANDO a Res. TRE-CE 920/2022, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral do Ceará;
CONSIDERANDO a Lei nº 12.527, de 18 de novembro de 2011, que regula o acesso a informações previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal;
CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral do Ceará;
RESOLVE:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º Fica instituída a portaria para a Gestão de Riscos de Segurança da Informação.
Art. 2º Esta norma integra a Política de Segurança de Informação da Justiça Eleitoral, estabelecida pela Res. TSE nº 23.644/2021 e com a Política de Segurança de Informação da Justiça Eleitoral doCeará, regulamentada pela 2Resolução TRE-CE nº 920/2022.
CAPÍTULO II
DAS DEFINIÇÕES GERAIS
Art. 3º Para efeitos desta norma, consideram-se os termos e definições previstos na Portaria DG/TSE nº 444/2021, além das seguintes:
I - Contexto Externo - Conjunto de circunstâncias a que o risco de segurança da informação está associado, com perspectiva focada na sociedade.
II - Contexto Interno - Conjunto de circunstâncias a que o risco de segurança da informação está associado, com perspectiva focada apenas no ambiente interno da instituição.
III - Proprietário do Risco - Unidade Organizacional responsável pelo ativo ou processo de negócio a que o risco se refere.
Art. 4º Considere-se, no que couber, a Política de Gestão de Riscos do TRE-CE, de acordo com a Resolução nº 563/2014.
Art. 5º São considerados gestores de riscos os responsáveis pelas unidades organizacionais, o Presidente do Tribunal Regional Eleitoral, o Corregedor Regional Eleitoral, o Diretor-Geral, os Assessores-chefes, os Secretários, os Coordenadores, os Chefes de Seção, os Chefes de Cartório e cargos equivalentes, o gestor de segurança da informação, o encarregado de dados pessoais e o gestor de continuidade de negócios.
Parágrafo Único. Os gestores de riscos poderão propor controles para aceitar, evitar, tranferir ou mitigar os riscos e suas áreas.
Art. 6º Esta norma segue as diretrizes da norma ABNT ISO/IEC 27005:2019, na implementação e na operação do SGSI (Sistema de Gestão de Segurança da Informação).
Art. 7º Todos os novos sistemas de informação, sejam estes desenvolvidos internamente, obtidos de outras instituições ou adquiridos de fornecedor externo, deverão passar por análise de riscos de segurança da informação antes de sua implementação.
CAPÍTULO III
DA DEFINIÇÃO DO CONTEXTO DO RISCO
Art. 8º Para a definição dos contextos externos e internos devem ser considerados os fatores humanos, tecnológicos, organizacionais e de imagem da Justiça Eleitoral, além da:
I. Identificação dos ativos de informação;
II. Identificação das ameaças;
III. Identificação dos controles existentes;
IV. Identificação da consequências;
V. Identificação das vulnerabilidades;
VI. Proteção de dados pessoais, de acordo com a LGPD;
VII. Identificação das partes interessadas.
CAPÍTULO IV
DO PROCESSO DE AVALIAÇÃO DO RISCO
Art. 9º O processo de avaliação do risco deve seguir os seguintes passos:
I - Identificação: Reconhecimento do contexto, dos ativos, das ameaças e das vulnerabilidades, dos controles existentes, no que tange a integridade, a disponibilidade e a confidencialidade da informação, independente da fonte ou causa do risco estar ou não sob o controle da organização.
II - Análise: A análise do risco deve levar em conta a criticidade dos ativos de informação, a extensão das vulnerabilidades conhecidas e dos incidentes anteriores registrados.
III - Avaliação: A avaliação do risco se dará pela comparação da tabela de impacto x probabilidade com o apetite ao risco estabelecido pela organização, definindo as medidas de tratamento aplicáveis.
Art. 10 Para a análise qualitativa do risco, considera-se a magnitude das consequências potenciais (muito baixa, baixa, média, alta e muito alta) e a probabilidade dessas ocorrerem.
Parágrafo Único - Caso a análise dos riscos seja quantitativa, caberá ao Comitê de Segurança da Informação o aceite do risco no caso concreto.
CAPÍTULO V
DO TRATAMENTO DO RISCO
Art. 11 O tratamento do risco, elaborado após criterios de avaliação, deverá atuar para modificar, reter, compartilhar ou evitar os riscos, por meio de controles e ações adequados.
I - Aceitaçao do Risco: Não é tomar nenhuma ação para reduzir a probabilidade de um risco
II - Evitar o Risco: É a decisão de tentar eliminar totalmente o risco.
III - Reduzir o Risco: A mitigação de risco é o tipo mais comum de gerenciamento de risco e inclui a tomada de ações para prevenir ou reduzir a possibilidade de um risco evento ou seu impacto.
IV - Transferir o Risco: É a prática de passar o risco para outra parte, que aceitará o impacto financeiro do dano resultante de um risco sendo realizado em troca de pagamento.
CAPÍTULO VI
DA COMUNICAÇÃO E CONSULTA DO RISCO
Art. 12 Os riscos deverão ser comunicados e compartilhados entre as partes interessadas.
Parágrafo Único. Convém que uma coordenação, a ser definida pela alta administração, estreita entre as duas, facilite a troca de informações factuais, oportunas, pertinentes, precisas ecompreensíveis, levando em consideração a confidencialidade e integridade da informação, bem como os direitos de privacidade dos indivíduos.
CAPÍTULO VII
DO MONITORAMENTO E ANÁLISE CRÍTICA DO RISCO
Art. 13 O monitoramento e análise crítica dos riscos em segurança da informação deverão ser efetuados pelo gestor de segurança da informação e pela Comissão de Segurança da Informação, por meio de subsídios a serem encaminhados pelas áreas proprietárias do risco.
Art. 14 Os riscos elencados devem ser reavaliados com periodicidade mínima anual.
Art. 15 Os riscos de segurança da informação devem ser monitorados, preferencialmente, por meio de solução informatizada de GRC (governança, risco e conformidade), permitindo o acesso às partes interessadas e à alta administração.
Parágrafo Único. Na impossibilidade de adoção de sistema informatizado para monitoramento dos riscos, devem ser adotados controles manuais, cujo controle ficará a cargo do Gestor de Segurança da Informação.
CAPÍTULO VIII
DISPOSIÇÕES FINAIS
Art. 16 - A Seção de Suporte Operacional e Segurança da Informação e Comunicação (SESIC) e o Gestor de Segurança da Informação apoiarão as demais unidades organizacionais quando da elaboração da análise de riscos de segurança da informação.
Art. 17 Os casos omissos serão resolvidos pela Comissão de Segurança da Informação, de acordo com o tipo do risco elencado.
Art. 18 Qualquer descumprimento desta norma deve ser imediatamente comunicado e registrado pelo Gestor de Segurança da Informação, com consequente adoção das providências cabíveis.
Art. 19 Esta norma complementar deverá ser revisada a cada 12 meses pelo Gestor de Segurança da Informação e encaminhada para nova apreciação da Comissão de Segurança da Informação.
Art. 20 Esta Portaria entra em vigor na data de sua publicação e sua implementação inicia-se imediatamente.
CIENTIFIQUE-SE, PUBLIQUE-SE E CUMPRA-SE.
Fortaleza, 10 de maio de 2023.
Desembargador INACIO DE ALENCAR CORTEZ NETO
PRESIDENTE
Este texto não substitui o publicado no DJE/TRE-CE nº 95 de 11.5.2023, pp. 8-11.