Política de Segurança da Informação
- Código de Ética
- Comitê Gestor de Proteção de Dados
- Conhecendo a LGPD
- Direitos dos Titulares
- Diretrizes Institucionais de Proteção de Dados Pessoais
- Encarregado pelo tratamento de dados pessoais
- Material de Referência e Atos do PJERJ
- Política de Cookies
- Política de Privacidade
- Política de Segurança da Informação
- Publicações e Notícias
Política de Segurança da Informação
RESOLUÇÃO 9/2024
Institui a Política de Segurança da Informação (PSI) do Poder Judiciário do Estado do Rio de Janeiro.
O ÓRGÃO ESPECIAL DO TRIBUNAL DE JUSTIÇA, no uso de suas atribuições legais e regimentais, tendo em vista o decidido na sessão administrativa realizada no dia 01 de abril de 2024 (Processo SEI nº 2024-06008580);
CONSIDERANDO que o Poder Judiciário do Estado do Rio de Janeiro recebe e produz informações de caráter e procedência diversos, as quais devem permanecer íntegras, disponíveis e, nas situações em que a observância for obrigatória, com o sigilo resguardado;
CONSIDERANDO o número progressivo de incidentes cibernéticos no ambiente da rede mundial de computadores e a necessidade de processos de trabalho orientados para a boa gestão da segurança da informação;
CONSIDERANDO a Resolução TJ/OE/RJ nº 28/2022, republicada no DJERJ de 07/10/2022, que alterou a denominação do Comitê Gestor de Segurança da Informação do Tribunal de Justiça do Estado do Rio de Janeiro (CGSI) que passou a denominar se Comitê de Governança de Segurança da Informação do Poder Judiciário do Estado do Rio de Janeiro (CGSI);
CONSIDERANDO a Resolução TJ/OE/RJ nº 04/2023 que aprovou a nova Estrutura Organizacional do Poder Judiciário do Estado do Rio de Janeiro e vinculou o Departamento de Segurança da Informação (DESEG) ao Gabinete da Presidência;
CONSIDERANDO os termos da Resolução CNJ nº 370/2021, que instituiu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), e estabeleceu as diretrizes para sua governança, gestão e infraestrutura;
CONSIDERANDO os termos da Resolução CNJ nº 396/2021 que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ), bem como a Portaria CNJ nº 162/2021 que regulamentou a ENSEC-PJ;
CONSIDERANDO a importância de se estabelecer objetivos, princípios e diretrizes de Segurança da Informação alinhados às recomendações constantes da norma NBR ISO/IEC 27001:2022, que trata dos requisitos para sistemas de gestão de segurança da informação;
CONSIDERANDO a importância de se estabelecer objetivos, princípios e diretrizes de Segurança da Informação alinhados às recomendações constantes da norma NBR ISO/IEC 27002:2022, que trata dos controles aplicáveis à segurança da informação, segurança cibernética e proteção à privacidade;
CONSIDERANDO a importância de se estabelecer objetivos, princípios e diretrizes de Gestão de Riscos de Segurança da Informação alinhados às recomendações constantes da norma NBR ISO/IEC 27005:2023, que trata da gestão de riscos de segurança da informação;
CONSIDERANDO que a Lei Federal nº 12.527/2011 (Lei de Acesso à Informação), bem como, no âmbito do Judiciário, a Resolução CNJ nº 215/2015, disciplinam que todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, que serão prestadas no prazo da lei, sob pena de responsabilidade, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado;
CONSIDERANDO que a Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados), dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural e, portanto, impõe novas responsabilidades sobre a proteção e tratamento dos dados pessoais.
CONSIDERANDO que a segurança e a preservação dos documentos digitais devem estar associadas a um repositório digital confiável que ofereça acesso seguro e de longo prazo aos documentos considerados permanentes do PJERJ, de acordo com os parâmetros da Resolução TJ/OE nº 34/2014;
CONSIDERANDO que o acervo de documentos em mídia não digital, de caráter histórico e permanente, custodiado na rede de arquivos do PJERJ, necessita de uma política de segurança da informação arquivística, no que tange ao acesso e à integridade física dos documentos, assegurando a sua autenticidade e fidedignidade;
RESOLVE:
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
SEÇÃO I
DOS PRINCÍPIOS BÁSICOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI)
Art. 1º. Instituir a Política de Segurança da Informação (PSI) do Poder Judiciário do Estado do Rio de Janeiro (PJERJ), que tem como princípios básicos:
I - a proteção do direito individual e coletivo das pessoas à inviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição Federal;
II - proteção de informações relacionadas a assuntos que mereçam tratamento especial, conforme definição do Comitê de Governança de Segurança da Informação;
III - a capacitação dos segmentos das tecnologias sensíveis;
IV - a criação, desenvolvimento e manutenção de uma cultura relacionada à segurança da informação, alinhada com as diretrizes nacionais de segurança da informação e com a legislação federal, propiciando uma integração com os demais órgãos do Judiciário e com outros Poderes.
SEÇÃO II
DA ESTRUTURA NORMATIVA DA SEGURANÇA DA INFORMAÇÃO
Art. 2º. A Estrutura Normativa da Segurança da Informação do PJERJ é constituída por:
I - Política de Segurança da Informação;
II - normas de segurança da informação, que devem contemplar as obrigações a serem seguidas de acordo com os objetivos e diretrizes estabelecidos nesta PSI;
III - normas de gerenciamento e tratamento de riscos de TIC;
IV - procedimentos de segurança da informação, que definem regras operacionais de acordo com as normas de segurança da informação.
Parágrafo único. A estrutura normativa da segurança da informação do PJERJ tem como objetivo garantir os princípios básicos da segurança da informação, quais sejam a confidencialidade, a integridade, a disponibilidade, a autenticidade e o não repúdio, bem como contribuir para que a missão do Judiciário do Estado do Rio de Janeiro seja cumprida.
SEÇÃO III
DAS DEFINIÇÕES RELATIVAS À PSI
Art. 3º. Para efeitos desta Política, ficam estabelecidos os seguintes conceitos:
I - ameaça: qualquer circunstância ou evento com o potencial de causar impacto negativo sobre a confidencialidade, a integridade, a disponibilidade e a autenticidade da informação;
II - ativo crítico: ativos, dispositivos ou sistemas mínimos imprescindíveis para a prestação dos serviços essenciais do PJERJ;
III - ativo estratégico: ativos, dispositivos ou sistemas cujo funcionamento é estratégico para as atividades finalísticas do PJERJ, porém não necessariamente prioritários em caso de incidentes;
IV - ativo de informação: os meios de armazenamento físicos ou eletrônicos, transmissão e processamento, os sistemas de informação e os locais onde se encontram esses meios e as pessoas que a eles têm acesso;
V - autenticidade: propriedade de como a informação foi produzida, expedida, modificada ou destruída por um determinado indivíduo, entidade ou processo;
VI - ciclo de vida dos documentos: sucessivas fases por que passam os documentos arquivísticos, de sua produção à guarda permanente ou eliminação;
VII - conhecimento: Todos os usuários e prestadores de serviço devem ter ciência de normas, procedimentos, orientações e outras informações relevantes que permitam a execução de suas atribuições sem comprometer a segurança da informação;
VIII - confidencialidade: propriedade de que a informação não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem autorização;
IX - Dado pessoal: informação relacionada a pessoa natural identificada ou identificável, ou seja, qualquer informação que permita identificar, direta ou indiretamente, um indivíduo;
X - Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
XI - defeito: imperfeição ou inconsistência em serviço, software ou processo que leve a uma não conformidade;
XII - disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por indivíduo, entidades ou processos;
XIII - erro: resultado não esperado proveniente de um defeito ou falha;
XIV - falha: comportamento inesperado de um software ou sistema;
XV - gestor de ativo de informação: são os titulares das unidades responsáveis pela gestão e operação dos ativos de informação;
XVI - incidente de segurança: evento ou conjunto de eventos de segurança da informação, indesejados ou inesperados, confirmados ou sob suspeita;
XVII - informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do meio em que se materialize ou da forma pela qual seja veiculado;
XVIII - informação sigilosa: aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado;
XIX - integridade: propriedade de que a informação não foi modificada ou destruída, de maneira não autorizada ou acidental, por indivíduos, entidades ou processos;
XX - não repúdio: propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita;
XXI - plano de continuidade de serviços essenciais: documentação dos procedimentos e informações necessárias para manter os ativos de informação críticos e a continuidade de suas atividades críticas em local alternativo previamente definido, em casos de incidente;
XXII - plano de recuperação de serviços essenciais: documentação dos procedimentos e informações necessárias para que se operacionalize o retorno das atividades críticas à normalidade;
XXIII - preservação digital: conjunto de ações gerenciais e técnicas exigidas para superar as mudanças tecnológicas e a fragilidade dos suportes, garantindo acesso e interpretação dos documentos digitais pelo tempo que for necessário;
XXIV - público-alvo: é o conjunto de usuários internos e externos atendidos pelo Equipe de Tratamento de Incidentes em Redes de Computadores do Poder Judiciário do Estado do Rio de Janeiro (ETIR);
XXV - risco: possibilidade potencial de uma ameaça comprometer a informação ou o sistema de informação pela exploração da vulnerabilidade;
XXVI - segurança da informação: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
XXVII - serviços essenciais: são aqueles que são imprescindíveis à atividade finalística do PJERJ;
XXVIII - unidade gestora de segurança da informação: é a unidade responsável pela gestão de segurança da informação no PJERJ;
XXIX - usuário externo: qualquer pessoa física ou jurídica não caracterizada como usuário interno, que tenha acesso a informações produzidas pelo PJERJ de forma autorizada;
XXX - usuário interno: qualquer servidor, magistrado, prestador de serviço terceirizado, estagiário ou qualquer outro colaborador que tenha credencial de acesso às informações produzidas pelo PJERJ de forma autorizada; e
XXXI - vulnerabilidade: fragilidade de um ou mais ativos, processos e serviços que, se explorados de maneira negativa por uma ou mais ameaças, gera impacto na Segurança da Informação.
SEÇÃO IV
DOS OBJETIVOS DA PSI
Art. 4º. A PSI do PJERJ tem como objetivo geral assegurar a confidencialidade, integridade, disponibilidade e autenticidade das informações e dos recursos de TIC, visando a proteção do patrimônio informacional e a continuidade dos serviços prestados.
Art. 5º. Os objetivos específicos desta PSI incluem:
I - dotar as unidades do PJERJ de instrumentos jurídicos, normativos e organizacionais que as capacitem a assegurar a confidencialidade, a integridade, a disponibilidade e a autenticidade das informações produzidas e armazenadas;
II - estabelecer diretrizes e normas gerais para a efetiva implementação do Sistema de Gestão da Segurança da Informação (SGSI);
III - subsidiar a promoção das ações necessárias à implementação e à manutenção dos processos de gestão de riscos, gestão de incidentes de segurança da informação, gestão da continuidade de serviços essenciais e gestão do uso dos recursos de Tecnologia da Informação e Comunicação (TIC);
IV - promover o intercâmbio científico tecnológico entre o PJERJ, os demais órgãos e entidades do Judiciário do país e as instituições públicas e privadas sobre as atividades de segurança da informação;
V - estabelecer diretrizes claras e consistentes para a gestão de segurança da informação, em conformidade com as melhores práticas, normas internacionais e legislações aplicáveis;
VI - promover a conscientização e capacitação contínua dos colaboradores, gestores, terceirizados e demais partes interessadas sobre a importância da segurança da informação e seu papel na proteção dos recursos de TIC e das informações;
VII - estabelecer processos efetivos de identificação, análise e tratamento de riscos de segurança da informação, com o objetivo de minimizar o impacto de ameaças e vulnerabilidades;
VIII - garantir a conformidade com os requisitos legais, regulamentares e contratuais aplicáveis, incluindo a proteção de dados pessoais, em conformidade com a norma ISO 27701 e legislações específicas;
IX - implementar e monitorar controles de segurança da informação adequados e proporcionais aos riscos identificados, para garantir a proteção das informações e dos recursos de TIC;
X - estabelecer procedimentos eficazes de detecção, resposta e recuperação de incidentes de segurança da informação, com o objetivo de minimizar os impactos e garantir a continuidade dos serviços;
XI - desenvolver e manter um Plano de Continuidade de Negócios e um Plano de Recuperação de Desastres, para garantir a resiliência dos serviços críticos e a recuperação em caso de falhas ou interrupções;
XII - estabelecer mecanismos eficientes de monitoramento, análise e revisão contínua da PSI e dos controles de segurança, a fim de garantir a melhoria contínua do SGSI e a adaptação às mudanças no ambiente organizacional e tecnológico.
CAPÍTULO II
DAS DIRETRIZES GERAIS
SEÇÃO I
DA CLASSIFICAÇÃO E TRATAMENTO DA INFORMAÇÃO
Art. 6º. Os critérios gerais aplicáveis à classificação e ao tratamento da informação serão definidos por Ato Normativo da Presidência, elaborado pela unidade gestora de segurança da informação, com a participação de representantes de todas as unidades do PJERJ que produzem, recepcionam ou custodiam informações essenciais às atividades finalísticas.
§ 1º. O PJERJ é titular de toda informação documentada produzida ou recebida no âmbito deste Poder, relacionadas às atividades institucionais.
§ 2º. Toda informação documentada produzida ou recebida no âmbito do PJERJ possui valor, pelo menos um gestor e um custodiante e deve ser classificada e protegida de acordo com o grau de sigilo e sensibilidade, respeitando o ciclo de vida dos documentos exigido pelas atividades do PJERJ.
Art. 7º. A informação existe nos seguintes formatos:
I - físico (impressa ou escrita em papel);
II - digital (armazenada em mídias e discos rígidos, entre outros);
III - imagem e voz (fotografias, vídeos e áudios).
§ 1º. A gestão da informação documentada abrange os documentos produzidos, recebidos e armazenados, independentemente da forma ou do suporte, estejam eles em ambientes convencionais, digitais, não digitais ou híbridos.
§ 2º. O acesso à informação, independentemente da forma ou do meio pelo qual ela possa ser exibida ou compartilhada, sempre deverá ser protegido adequadamente, de acordo com os controles definidos, pela presente política e por seus documentos complementares.
§ 3º. A informação sigilosa deverá seguir os parâmetros da Lei de Acesso à Informação (Lei Federal nº 12.527/2011).
§ 4º. A informação que contém dados pessoais ou dados pessoais sensíveis deverá seguir os parâmetros da Lei Geral de Proteção de Dados (Lei Federal nº 13.709/2018).
SEÇÃO II
DA GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO
Art. 8º. A gestão de riscos é realizada por meio de processo definido de maneira formal, contendo as fases de definição do escopo, processo de avaliação de riscos e fase de tratamento de riscos
§ 1º. O processo de gestão de riscos deverá, sempre que possível e necessário, ser apoiado por uma ferramenta computacional que contemple as atividades mencionadas no caput deste artigo.
§ 2º. A política de gestão de riscos será regulada por Ato Normativo próprio.
Art. 9º. Os gestores dos ativos de informação são os responsáveis pela execução das fases de análise, avaliação e tratamento dos riscos.
Parágrafo único. A Unidade Gestora de Segurança da Informação supervisionará os gestores de ativos de informação nas atividades mencionadas no caput deste artigo.
Art. 10. O escopo da gestão de riscos de TIC será definido anualmente pelas áreas envolvidas nas atividades finalísticas, coordenadas pela Unidade Gestora de Segurança da Informação e Secretaria Geral de Tecnologia da Informação e Comunicações (SGTEC), com a aprovação do Comitê de Governança de Segurança da Informação (CGSI), mantendo a correspondência com os serviços essenciais, preferencialmente.
Parágrafo único. Os critérios gerais aplicáveis para aceitação de riscos serão definidos anualmente pelo CGSI, com a orientação técnica da Unidade Gestora de Segurança da Informação.
Art. 11. Unidade Gestora de Segurança da Informação elaborará relatório anual de gestão de riscos para o CGSI, contendo as ações tomadas frente às ameaças e vulnerabilidades e as recomendações utilizadas para tratar os riscos identificados.
SEÇÃO III
DA GESTÃO DO ACESSO E USO DOS RECURSOS DE TIC
Art. 12. A gestão de acesso e uso dos recursos relacionados à segurança da informação, disponibilizados pelo PJERJ, será regulada por Ato Normativo próprio, contendo, no mínimo, descrição do recurso, seu gestor, seu uso, política de utilização e sanções em caso de violação.
Art. 13. Estão sujeitos à regulamentação de que trata o caput do artigo anterior os usuários internos e externos do PJERJ que, de maneira autorizada, tenham acesso aos recursos de TIC prestados por este Tribunal.
Parágrafo único. A utilização desses recursos está condicionada à aceitação desta política por parte dos usuários mediante assinatura de termo de uso, preferencialmente em meio eletrônico.
Art. 14. Os recursos de TIC disponibilizados devem ser utilizados, exclusivamente, em atividades estritamente relacionadas às funções institucionais.
Art. 15. Os recursos de TIC, no âmbito do PJERJ, serão passíveis de monitoração pela SGTEC e pela Unidade Gestora de Segurança da Informação, em caso de vulnerabilidades ou ameaças, ocorridas ou suspeitas, na segurança de sistemas, de serviços ou de informações.
SEÇÃO IV
DA GESTÃO E CONTROLE DE ATIVOS DE INFORMAÇÃO
Art. 16. A gestão e controle dos ativos de informação é realizada por meio de processo definido de maneira formal, contendo as fases de cadastro, atualização, movimentação e exclusão, e será regulada por Ato Normativo próprio.
Parágrafo único. O processo de gestão e controle dos ativos de informação deverá, sempre que possível e necessário, ser apoiado por ferramenta computacional que contemple as atividades mencionadas no caput deste artigo.
Art. 17. Os gestores dos ativos de informação são os responsáveis pela execução das fases de cadastro, atualização e exclusão.
Parágrafo único. A Unidade Gestora de Segurança da Informação do PJERJ fiscalizará os gestores de ativos de informação nas atividades mencionadas no caput deste artigo, conforme estabelecido no Ato Normativo próprio.
SEÇÃO V
DA GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
Art. 18. A gestão de incidentes de segurança da informação é realizada por meio de processo definido de maneira formal, contendo as fases de detecção, triagem, análise e resposta aos incidentes de segurança.
Art. 19. O CGSI é o fórum para aprovar ações decorrentes de um incidente ou ameaça de segurança que afetem a imagem institucional ou a confidencialidade das informações do PJERJ.
§ 1º. O ETIR do PJERJ prestará todo o apoio técnico ao CGSI.
§ 2º. Excepcionalmente, conforme o nível de risco estabelecido na classificação do incidente de segurança, o ETIR terá autonomia para determinar a realização de procedimentos emergenciais para a sua contenção e/ou recuperação.
Art. 20. O ETIR é composto por representantes das áreas de Segurança da Informação, Tecnologia da Informação e Comunicações, Segurança Institucional, Planejamento Estratégico e Comunicação Institucional e poderá solicitar apoio das áreas jurídica, pesquisas judiciárias, controle interno, dentre outras, para responder aos incidentes de segurança da informação de forma adequada e tempestiva.
Art. 21. O funcionamento do ETIR será regulado por Ato Normativo próprio, devendo nele constar, no mínimo, os seguintes pontos:
I - definição da missão;
II - público-alvo;
III - modelo de implementação;
IV - canal de comunicação de incidentes de segurança; e
V - os serviços que serão prestados.
SEÇÃO VI
DA GESTÃO DA CONTINUIDADE DE SERVIÇOS ESSENCIAIS DE TIC
Art. 22. A gestão da continuidade dos serviços essenciais de TIC é realizada por meio de processo definido de maneira formal, contendo as fases de análise de impacto e definição das estratégias pelos CGSI e CGTIC do PJERJ e, por fim, a elaboração de planos.
§ 1º. Os planos mencionados no caput deste artigo são:
I - Plano de Continuidade de serviços essenciais de TIC; e
II - Plano de Recuperação de serviços essenciais de TIC.
§ 2º. Os planos referidos no § 1º deste artigo serão submetidos ao CGSI e CGTIC.
Art. 23. A definição dos serviços essenciais será proposta pela área de governança institucional, juntamente com a SGTEC e aprovada pelo CGTIC.
Art. 24. A Unidade Gestora de Segurança da Informação é responsável por estabelecer e manter o processo formal da gestão de continuidade de serviços essenciais de TIC, que deverá ser observado pelo responsável pelo funcionamento do serviço.
Art. 25. Os gestores dos ativos de informação são os responsáveis pela execução dos procedimentos técnicos constantes nos Planos de Continuidade e de Recuperação de serviços essenciais de TIC.
Art. 26. Os Planos de Continuidade e de Recuperação de serviços essenciais de TIC, após aprovados, serão exercitados e testados anualmente, e os resultados serão documentados de forma a garantir a sua efetividade.
Art. 27. Os Planos de Continuidade e de Recuperação de serviços essenciais de TIC serão revisados nas seguintes situações:
I - no mínimo, uma vez por ano;
II - excepcionalmente, em função dos resultados dos testes realizados; e
III - após alguma mudança significativa nos ativos de informação, nas atividades ou em algum de seus componentes.
SEÇÃO VII
DA RETENÇÃO E DESCARTE DE DADOS
Art. 28. A política de retenção e descarte de dados será regulamentada em Ato Normativo próprio, que terá como objetivo, estabelecer diretrizes para a manutenção e eliminação segura de informações e documentos armazenados pela organização, garantindo a conformidade legal e a preservação da confidencialidade, integridade e disponibilidade dos dados.
Art. 29. São requisitos para definição de prazos de retenção de dados ou documentos:
I - identificar e classificar os tipos de dados e documentos armazenados, levando em consideração a legislação vigente e as necessidades específicas da organização;
II - estabelecer um prazo de retenção, considerando aspectos legais, regulatórios, fiscais, de privacidade e de negócios, para cada tipo de dado ou documento;
III - manter um registro atualizado dos prazos de retenção aplicáveis a cada tipo de dado ou documento, bem como das leis e regulamentos relacionados.
Art. 30. São requisitos para o armazenamento seguro dos dados e documentos:
I - devem ser armazenados em ambientes seguros e controlados, garantindo a proteção contra acessos não autorizados, perda, corrupção ou vazamento de informações, durante o período de retenção;
II - devem ser classificados de acordo com sua criticidade e sensibilidade, e os controles de segurança devem ser aplicados de acordo com essa classificação.
Art. 31. Requisitos para o descarte seguro de dados e documentos:
I - devem ser descartados de forma segura e adequada, garantindo a completa destruição das informações, após o término do prazo de retenção;
II - em meio eletrônico deve ser realizado por meio de métodos aprovados e seguros, como a eliminação segura, que sobrescreve os dados várias vezes ou a destruição física dos dispositivos de armazenamento;
III - em meio físico, deve ser feito por meio de métodos seguros, como a trituração ou incineração, garantindo a impossibilidade de recuperação das informações;
IV - deve manter registros detalhados das atividades de descarte, incluindo a data, o tipo de dado ou documento e o método de descarte utilizado.
Art. 32. Requisitos para a revisão e atualização da política de retenção e descarte de dados ou documentos:
I - deve ser revisada periodicamente, no mínimo a cada dois anos, ou sempre que houver mudanças significativas na legislação, nos regulamentos ou nos requisitos de negócio da organização;
II - devem ser comunicadas a todos os funcionários e partes interessadas, garantindo que todos estejam cientes e compreendam suas responsabilidades relacionadas à retenção e descarte de dados.
SEÇÃO VIII
DA COMUNICAÇÃO DA PSI
Art. 33. O Plano de Comunicação Institucional de Segurança da Informação do PJERJ deverá propor ações para a divulgação, sensibilização e prospecção da PSI e dos seus instrumentos.
Parágrafo único. O Plano de Comunicação Institucional de Segurança da Informação do PJERJ será elaborado e revisado anualmente pela Unidade Gestora de Segurança da Informação, juntamente com as áreas educacionais e de comunicação do PJERJ, e aprovado pelo CGSI, e que será detalhado no documento específico onde se estabelece as normas para Gestão de Segurança da Informação (GSI) do Poder Judiciário do Estado do Rio de Janeiro.
CAPÍTULO III
DAS RESPONSABILIDADES
SEÇÃO I
DO CGSI
Art. 34. Cabe ao CGSI, assessorado pela Unidade Gestora de Segurança da Informação, adotar as seguintes diretrizes para todas as unidades do PJERJ:
I - propor normas e procedimentos internos relativos à segurança da informação, em conformidade com as legislações existentes sobre o tema;
II - promover cultura de segurança da informação no PJERJ e aprovar o Plano de Comunicação Institucional de Segurança da Informação destinado à conscientização e capacitação do corpo técnico e dos usuários internos, bem como campanhas de divulgação para os usuários externos;
III - propor recursos necessários às ações de segurança da informação;
IV - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;
V - estabelecer critérios de classificação dos dados e das informações, com vistas à garantia dos níveis de segurança desejados e à normatização do acesso e uso das informações;
VI - garantir que os objetivos propostos nessa PSI sejam alcançados.
SEÇÃO II
DA SGTEC
Art. 35. Cabe à SGTEC implantar e gerenciar os controles para:
I - inventariar todos os ativos de TIC e identificar seus responsáveis;
II - operação da segurança das configurações da rede de comunicação de dados, para garantir a proteção das informações disponíveis na rede e a infraestrutura de suporte, juntamente com a Unidade Gestora de Segurança da Informação;
III - Operação da segurança física dos ambientes computacionais, com o apoio da SGSEI, a fim de impedir e/ou repelir o acesso físico não autorizado e a ocorrência de danos e interferências nas instalações e informações digitais do órgão;
IV - operação dos recursos tecnológicas, a fim de garantir a execução segura dos recursos de processamento da informação;
V - operação das cópias e restauração de dados eletrônicos do PJERJ, para manter a confidencialidade, a integridade, a disponibilidade e a autenticidade das informações e dos recursos de processamento de informação, juntamente com a Unidade Gestora de Segurança da Informação;
VI - operação dos recursos tecnológicos e aos acessos às informações e serviços em rede do PJERJ, a fim de garantir o acesso somente aos usuários autorizados a operar as informações acessadas, juntamente com a Unidade Gestora de Segurança da Informação;
VII - modificações nos recursos de processamento da informação e sistemas do PJERJ, considerando a criticidade dos sistemas e serviços essenciais.
Art. 36. A SGTEC e a Unidade Gestora de Segurança da Informação deverão seguir as diretrizes e recomendações da norma ABNT ISO/IEC 27701:2019 relacionadas à proteção de dados pessoais e privacidade.
Parágrafo único. Cabe à SGTEC em conjunto com a unidade gestora de segurança da informação implantar e gerenciar os controles para atuar no tratamento de incidentes de Segurança da Informação, sob coordenação do ETIR, com o apoio das demais unidades detentoras de ativos de segurança da informação, a fim de permitir o controle das vulnerabilidades e eventos que porventura coloquem em risco a segurança das informações e dos serviços do PJERJ.
SEÇÃO III
A UNIDADE GESTORA DE SEGURANÇA DA INFORMAÇÃO
Art. 37. Cabe a Unidade Gestora de Segurança da Informação coordenar toda a área de segurança da informação vinculada a TIC integrando todos os setores e recursos da SGTEC e interagindo com as demais unidades organizacionais que compõe o CGSI do PJERJ, para prevenção e resolução de incidentes.
Parágrafo único. São ainda atribuições da Unidade Gestora de Segurança da Informação:
I - a gestão e controle do cumprimento das normas e diretrizes de segurança de TIC e propor mudanças sempre que necessário para manter a conformidade com os padrões estabelecidos;
II - propor ações preventivas para melhorar a qualidade da segurança da Informação Institucional;
III - elaboração o Plano de Comunicação Institucional de Segurança da Informação e submeter ao CGSI;
IV - garantia de que os ativos de SI estejam configurados dentro dos padrões estabelecidos pelo PJERJ, fiscalizando os setores envolvidos e orientando em relação à possíveis falhas de configuração, mantendo indicadores e metas;
V - gestão dos serviços essenciais de TIC em plena atividade e implementar ações que visem otimizar a sua recuperação em caso de falha, em conjunto com a SGTEC;
VI - gestão de riscos, realizando levantamento e análise, submetendo os aos CGSI quando necessário, e propondo ações que possam diminuir o nível de riscos do PJERJ;
VII - gestão de ameaças para mitigar e minimizar os seus impactos;
VIII - gestão de vulnerabilidades com o objetivo de reduzir a probabilidade de exploração;
IX - elaboração, manutenção e testes periódicos do plano de Continuidade de Negócios e do Plano de Recuperação de Desastres;
X - criação e manutenção de métricas relativas à conformidade de segurança da Informação;
XI - realização de auditorias internas e acompanhamento da execução das normas de Segurança da Informação;
XII - monitoração do ambiente tecnológico e identificação, avaliação, tratamento, registro e resposta aos incidentes de Segurança da Informação;
XIII - analisar, avaliar e participar da seleção de produtos e serviços de TIC, a fim de garantir a conformidade com os requisitos de segurança da informação e proteção de dados pessoais.
SEÇÃO IV
DOS GESTORES DO PJERJ
Art. 38. Cabe aos gestores do PJERJ:
I - zelar pela segurança das informações e recursos de TIC que estão sob sua responsabilidade;
II - orientar os subordinados e terceiros quanto à observação da Política de Segurança da Informação;
III - comunicar a Unidade Gestora de Segurança da Informação quaisquer ocorrências ou suspeitas de Incidentes de Segurança da Informação na estrutura sob sua gestão;
IV - garantir que os subordinados e os terceiros participem dos treinamentos e atividades educativas de Segurança da Informação propostas pelo PJERJ;
V - observar a Segurança da Informação nas contratações sob sua gestão;
VI - apoiar e promover conscientização e educação de Segurança da Informação entre os seus subordinados e terceiros, seguindo diretrizes da norma ABNT ISO/IEC 27002:2022.
SEÇÃO V
DOS USUÁRIOS INTERNOS DO PJERJ
Art. 39. Cabe aos usuários internos do PJERJ:
I - conhecer e cumprir esta PSI e suas normas e procedimentos complementares;
II - reportar imediatamente à autoridade diretamente superior e a Unidade Gestora de Segurança da Informação, vulnerabilidades, ameaças ou ações indevidas de que tiver conhecimento ou suspeita, relacionadas à segurança dos sistemas, serviços, informações ou quaisquer recursos de TIC, inclusive daqueles que não estejam sob sua responsabilidade;
III - seguir as orientações fornecidas pelos setores competentes em relação ao uso dos recursos computacionais e informacionais do órgão;
IV - utilizar de forma ética, legal e consciente os recursos computacionais e informacionais do PJERJ;
V - comunicar ao órgão ou à autoridade diretamente superior, assim definida em ato normativo da presidência, quaisquer ocorrências ou suspeitas de incidentes de Segurança da Informação.
SEÇÃO VI
DOS USUÁRIOS INTERNOS DO PJERJ
Art. 40. Cabe aos usuários externos do PJERJ:
I - conhecer e cumprir esta PSI e suas normas e procedimentos complementares;
II - reportar imediatamente à Unidade Gestora de Segurança da Informação, vulnerabilidades, ameaças ou ações indevidas de que tiver conhecimento ou suspeita, relacionadas à segurança dos sistemas, serviços, informações ou quaisquer recursos de TIC;
III - não explorar falhas de segurança para ganho pessoal;
IV - utilizar de forma ética, legal e consciente os recursos computacionais e informacionais do PJERJ.
CAPÍTULO IV
DAS DISPOSIÇÕES FINAIS
Art. 41. A inobservância dos dispositivos constantes desta PSI pode acarretar, isolada ou cumulativamente, nos termos da lei, sanções administrativas, civis ou penais, assegurados aos envolvidos o contraditório e a ampla defesa.
Art. 42. A estrutura normativa da segurança da informação do PJERJ deve ser analisada bienalmente, ou quando ocorrerem mudanças, para assegurar a sua pertinência, adequação e eficácia.
Art. 43. Esta Política deve ser revisada a cada biênio, ou sempre que necessário visando reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação.
Art. 44. A presente Resolução entra em vigor na data da sua publicação, revogadas as disposições em contrário, em especial a Resolução TJ/OE nº 05/2019.
Rio de Janeiro, 01 de abril de 2024.
Desembargador RICARDO RODRIGUES CARDOZO
Presidente