Resolução TRE/RR n.º 363/2017

Resolução TRE/RR n.º 363/2017

Institui a Política de Gestão da Continuidade de Negócios no Tribunal Regional Eleitoral de Roraima e dá outras providências.

O TRIBUNAL REGIONAL ELEITORAL DE RORAIMA, no uso de suas atribuições, e

CONSIDERANDO o art. 14 da Resolução TSE n.º 23.501/2016 ;

CONSIDERANDO a necessidade de minimizar eventuais ameaças e vulnerabilidades, bem como impedir que as consequências de eventos nocivos venham influenciar na continuidade de suas atividades;

CONSIDERANDO a Resolução TRE nº 276/2015 , que aprova o Planejamento Estratégico Institucional para o período 2016 – 2021;

RESOLVE:

Art. 1.º Instituir a Política de Gestão da Continuidade de Negócios (PGCN) no Tribunal Regional Eleitoral de Roraima.

Art. 2.º A Gestão de Continuidade de Negócios (GCN) é o processo que objetiva minimizar qualquer impacto danoso sobre o Tribunal Regional Eleitoral de Roraima e reduzir eventuais perdas de ativos tangíveis e intangíveis a um nível aceitável, por meio da combinação de ações de prevenção e recuperação e estabelecendo procedimentos e definindo estrutura mínima de recursos para que se desenvolva uma resiliência organizacional capaz de garantir o fluxo das informações críticas em momento de crise e salvaguardar o interesse das partes interessadas, a reputação e a marca da organização.

CAPÍTULO I
DA POLÍTICA DE GESTÃO DE CONTINUIDADE DE NEGÓCIOS

Art. 3.º A PGCN tem como diretriz principal estabelecer, implementar, manter e melhorar a GCN no âmbito do Tribunal e Cartórios Eleitorais, observados os seguintes objetivos específicos:

I – garantir a formação de competências necessárias ao processo de GCN e processos relacionados dentre os quais a Gestão de Riscos e Tratamento de Incidentes de Segurança Institucional;

II – implementar o Plano de Continuidade de Negócios (PCN), devidamente documentado, que deverá ser mantido e acessível em casos de incidentes que possam interromper ou comprometer as atividades essenciais do Tribunal e do processo eleitoral, de forma a permitir ao Tribunal responder a um incidente e lidar adequadamente com a recuperação de suas atividades;

III – definir papéis e responsabilidades;

IV – realizar treinamentos, testes e análises que garantam a manutenção e o bom funcionamento do PCN, e em conformidade com esta PGCN.

Parágrafo único. A PGCN deve estar disponível como informação documentada e ser revisada sempre que mudanças significativas ocorrerem, para garantir a sua adequação.

CAPÍTULO II
DOS CONCEITOS

Art. 4.º A PGCN abrange os seguintes conceitos:

I – atividade: processo ou conjunto de processos executados pelo Tribunal que produzam ou suportem um ou mais produtos ou serviços administrativo, judicial ou cartorário;

II – auditoria: exame sistemático para determinar se as atividades e resultados relacionados estão em conformidade com o acordado e se esses acordos estão implementados eficaz e adequadamente;

III – continuidade de negócios: capacidade estratégica e tática de um órgão ou entidade de planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido;

IV – alta administração: pessoa ou conjunto de pessoas que dirige e controla o Tribunal em seu nível mais alto;

V – pessoal de gestão de continuidade de negócios: magistrados, servidores e terceiros com responsabilidades definidas no sistema de gestão de continuidade de negócios;

VI – Sistema de Gestão de Continuidade de Negócios (SGCN): parte do conjunto de elementos de gestão que estabelece, implementa, opera, monitora, analisa criticamente, mantém e aprimora a continuidade de negócios;

VII – media training: treinamento específico dos porta-vozes para facilitar o contato com os jornalistas nos eventos que impactem na continuidade de negócios do Tribunal;

VIII – Estratégia de Continuidade de Negócios (ECN): abordagem que garanta a recuperação e continuidade das atividades do Tribunal diante da interrupção do negócio decorrente de um desastre ou de qualquer outro incidente;

IX – análise de impacto nos negócios (Business Impact Analysis – BIA): processo de análise das funções de negócios e os efeitos que uma interrupção possa causar;

X – atividades críticas: atividades precípuas da Justiça Eleitoral cuja interrupção ocasiona severos transtornos às suas atividades e dano à imagem institucional;

XI – interrupção: evento, previsível ou não, que cause um desvio negativo na entrega de produtos ou execução de serviços;

XII – teste: atividade na qual os planos de continuidade de negócios são exercitados parcial ou integralmente, de forma a garantir que eles contenham as informações apropriadas e produzam o resultado desejado quando colocados em prática;

XIII – ganho: consequência positiva;

XIV – impacto: consequência avaliada de um evento em particular;

XV – incidente: qualquer evento que possa causar a interrupção de negócios;

XVI – Plano de Gestão de Crises (PGC): plano de ação claramente definido e documentado para ser usado na ocorrência de incidente, minimizando seus impactos e possibilitando oportunidades de melhoria;

XVII – auditoria interna: análise crítica para formar juízo de valor para uma autodeclaração de conformidade;

XVIII – declaração de acionamento ou ativação do plano: ato de declarar que o PCN precisa ser colocado em prática de forma a continuar o fornecimento de produtos ou serviços fundamentais;

XIX – probabilidade: possibilidade de algo acontecer;

XX – perda: consequência negativa;

XXI – sistema de gestão: conjunto de elementos para estabelecer políticas e objetivos, bem como a forma de atingi-los;

XXII – não-conformidade: não cumprimento de um requisito;

XXIII – processo: conjunto de atividades relacionadas ou interativas que transformam entradas em produtos ou serviços;

XXIV – produtos e serviços: resultados benéficos fornecidos ao público interno e externo;

XXV – tempo objetivado de recuperação (Recovery Time Objective – RTO): período de tempo após um incidente em que a atividade, o produto ou serviço devem ser retomados ou os recursos devem ser recuperados;

XXVI – ponto objetivado de recuperação (Recovery Point Objective – RPO): ponto em que a informação usada por uma atividade deve ser restaurada para permitir a operação da atividade na retomada;

XXVII – resiliência: capacidade de resistir aos efeitos de um incidente e retornar ao estado normal de operação;

XXVIII – recursos: todos os ativos, pessoas, competências, informação, tecnologia, locais, suprimentos e informação disponíveis para uso, quando necessário, a fim de operar e atingir seus objetivos;

XXIX – risco: algo que pode ocorrer e seus efeitos nos objetivos do Tribunal;

XXX – avaliação de riscos: processo geral de identificação, análise e estimativa de riscos;

XXXI – gestão de riscos: desenvolvimento estruturado e aplicação de uma cultura de gestão, políticas, procedimentos e práticas para as tarefas de identificação, análise, avaliação e controle dos riscos;

XXXII – partes interessadas (Stackholders): magistrados, servidores, terceirizados, advogados, jurisdicionados, fornecedores.

CAPÍTULO III
DAS DIRETRIZES

Art. 5.º A GCN observará, dentre outras, as seguintes diretrizes:

I – identificar e documentar as atividades, funções, serviços, produtos e parcerias do Tribunal, bem como cadeias de suprimentos, relacionamento com partes interessadas e o impacto potencial relacionado a um incidente de interrupção;

II – identificar as ameaças internas e externas que possam comprometer a continuidade da prestação jurisdicional e os possíveis impactos à operação, decorrentes da concretização de tais ameaças;

III – definir, implementar e manter um processo formal e documentado para a Análise de impacto nos negócios (Business Impact Analysis – BIA);

IV – documentar o PCN para assegurar a continuidade das suas operações em um nível aceitável.

Art. 6.º Deverão ser elaborados e testados os procedimentos de continuidade de negócios, para garantir que estes sejam compatíveis com os seus objetivos.

CAPÍTULO IV
DOS PAPÉIS E RESPONSABILIDADES

Art. 7.º As estruturas envolvidas na continuidade de negócios do Tribunal são:

I – Presidência;

II – Assessoria de Planejamento e Desenvolvimento (ASS-PD);

III – Gestores de Negócios.

§ 1º As Comissões de Segurança e de Segurança da Informação atuarão alinhadas com as diretrizes da PGCN e da Comissão de Gestão de Riscos e da Continuidade de Negócios (COMGREC).

§ 2º Os Gestores de Negócios, para efeito desta resolução, são os responsáveis por unidades administrativas ou processos em que forem identificadas atividades críticas relacionadas ao negócio do Tribunal.

SEÇÃO I
DA PRESIDÊNCIA

Art. 8.º São atribuições da Presidência do Tribunal:

I – submeter ao Tribunal eventuais revisões desta PGCN;

II – garantir os recursos necessários para estabelecer, implementar, operar e manter a GCN;

III – aprovar estratégias, planos, processos e decidir sobre ações de melhorias e correções em relação à continuidade de negócios;

IV – aprovar, ouvida a ASS-PD, a Análise de impacto nos negócios (Business Impact Analysis – BIA);

V – decidir sobre a ativação do PCN em caso de incidentes;

VI – decidir os casos omissos, ouvida a COMGREC.

SEÇÃO II
ASSESSORIA DE PLANEJAMENTO E DESENVOLVIMENTO

Art. 9.º São atribuições da ASS-PD:

I – coordenar a realização periódica da Análise de impacto nos negócios (Business Impact Analysis – BIA);

II – definir a metodologia e as ferramentas a serem utilizadas na condução da GCN;

III – propor melhorias na implantação de novos controles relativos à GCN;

IV – consolidar os resultados de testes dos planos integrantes de continuidade de negócios, por meio da elaboração de relatórios, e reportá-los ao COMGREC;

V – propor projetos e iniciativas para o aperfeiçoamento da GCN do Tribunal, observando as melhores práticas existentes no assunto;

VI – desenvolver a cultura de GCN.

SEÇÃO III
DOS GESTORES DE NEGÓCIOS

Art. 10. São atribuições dos Gestores de Negócios:

I – realizar a Análise de Impacto nos Negócios (Business Impact Analysis – BIA) dos processos sob sua responsabilidade;

II – elaborar e manter o PCN, com base na análise de impacto nos negócios (Business Impact Analysis – BIA);

III – garantir a participação ativa das equipes sob sua gestão nos processos de elaboração e teste do PCN;

IV – avaliar e aprimorar os planos a partir dos resultados dos testes;

V – assegurar a execução de ações com base nos planos desenvolvidos, quando da ocorrência de incidente;

VI – solicitar os recursos necessários para a implantação e o desenvolvimento das ações relacionadas à continuidade das atividades, bem como para a realização dos testes dos planos.

SEÇÃO IV
DA ESTRUTURA DA GESTÃO DE CONTINUIDADE DE NEGÓCIO

Art.11. A COMGREC será constituída pela Diretoria Geral (DG), composta preferencialmente por servidores das seguintes unidades:

I – ASS-PD;

II – Assessoria de Comunicação Social, Imprensa e Cerimonial (ACSIC);

VI – DG;

VI – Secretaria de Administração (SA);

VI – Secretaria de Tecnologia da Informação (STI).

Parágrafo único. São atribuições da COMGREC:

a) propor as diretrizes estratégicas, ajustes, aprimoramentos e modificações da PGCN;

b) revisar o PCN e os demais documentos que o integram;

c) deliberar sobre controles, processos e procedimentos de continuidade de negócios;

d) acompanhar a política, estratégias, processos, projetos e iniciativas corporativas de continuidade de negócios, zelando por sua qualidade e efetividade;

e) atuar como instância consultiva da Presidência;

f) validar a análise de impacto nos negócios (Business Impact Analysis – BIA);

g) aprovar o cronograma dos testes de continuidade de negócios;

h) definir a metodologia e as ferramentas a serem utilizadas na condução da GCN;

i) coordenar a elaboração dos planos previstos na PGCN;

j) desenvolver atividades relativas a identificação, classificação, avaliação, mensuração, cálculo do impacto, tratamento dos Riscos, Monitoramento dos Riscos, Informação e Comunicação, conforme as boas práticas descritas nas normas vigentes.

CAPÍTULO V
DO PLANO DE CONTINUIDADE DE NEGÓCIOS

Art. 12. O PCN é formado por procedimentos documentados que orientam o Tribunal a responder, recuperar, retomar e restaurar a um nível pré-definido de operação após a interrupção, constituindo planos específicos para os períodos eleitorais e não eleitorais.

Parágrafo único. A COMGREC é a unidade responsável pela implementação e manutenção do PCN do Tribunal.

Art. 13. O PCN é constituído pelos seguintes componentes:

I – Plano de Gerenciamento de Crises (PGC);

I – Plano de Continuidade de Tecnologia da Informação e Comunicação (PCTIC)

I – Plano de Continuidade Operacional (PCO)

I – Plano de Comunicação (PCOM).

Art. 14. Cada componente do PCN previsto no art. 13 desta Resolução odedecerá à seguinte estrutura:

I – finalidade e escopo;

II – objetivos;

III – critérios e procedimentos para sua ativação;

IV – procedimentos de implementação;

V – papéis e responsabilidades das pessoas e equipes com autoridade durante e após um incidente;

VI – requisitos e procedimentos de comunicação;

VII – recursos necessários;

VIII – mecanismos para revisão periódica e contínuo aprimoramento.

SEÇÃO I
DO PLANO DE GERENCIAMENTO DE CRISES – PGC

Art. 15. O PGC será elaborado e mantido pela ASS-PD e tem como objetivo minimizar o impacto em situação de crise ou de ameaça de crise, de forma rápida, organizada e proporcionar o retorno à normalidade no menor tempo possível.

Art. 16. O PGC deverá ser elaborado com base nas seguintes diretrizes:

I – individualização do cenário a ser gerenciado de forma a possibilitar a utilização de um mesmo plano para situações congêneres não previstas;

II – manutenção das atividades do Tribunal ou a retomada destas no menor espaço de tempo e com o mínimo custo possível;

III – respeito a eventuais terceiros atingidos por incidentes;

IV – garantia do menor dano possível aos ativos e à imagem do Tribunal;

V – identificação dos integrantes das equipes envolvidas em cada cenário, bem como seus substitutos;

VI – identificação das ações iniciais, intermediárias e finais a serem praticadas, indicando o momento apropriado e o respectivo responsável;

VII – prestação de informações de forma rápida, clara e confiável por uma única pessoa, previamente indicada no Plano.

SEÇÃO II
DO PLANO DE CONTINUIDADE OPERACIONAL – PCO

Art. 17. O PCO tem como objetivo estabelecer um conjunto de procedimentos alternativos, planejados de acordo com os cenários de inoperância previamente definidos, para manter a continuidade das atividades prioritárias, reduzindo eventuais perdas.

Parágrafo único. Os cenários de situações inesperadas ou incidentes descritos no PCN deverão conter de forma sistematizada as ações de contingência que deverão ser executadas pelas equipes envolvidas, de acordo com as suas atribuições.

Art. 18. O PCO deverá estar em conformidade com as normas ABNT NBR ISO 22301:2013 e ABNT NBR ISO 22313:2015 e conter:

I – responsáveis (nomes, cargos, e-mail e telefones);

II – contatos de emergência (nomes, cargos, e-mail e telefones);

III – tempo objetivado de recuperação (Recovery Time Objective – RTO) de cada processo crítico;

IV – procedimentos, com responsabilidades definidas, antes do incidente, durante o incidente, durante a contingência, após a contingência e retorno à normalidade.

SEÇÃO VIII
DO PLANO DE CONTINUIDADE DOS SERVIÇOS ESSENCIAIS DE TIC - PCTIC

Art. 19. O PCTIC é um processo documentado e um conjunto de procedimentos que objetiva recuperar os serviços de Tecnologia da Informação e Comunicação (TIC) após um evento extremo, visando manter a continuidade das atividades prioritárias, reduzindo perdas.

Parágrafo único. A STI é a unidade responsável pela elaboração, implementação e manutenção do PCTIC.

Art. 20. O PCTIC deverá conter:

I – tabela de criticidade, com tipo (vitais, críticos, essenciais, não críticos e periféricos) para cada ativo de TIC, tempo objetivado de recuperação (Recovery Time Objective – RTO) e o ponto objetivado de recuperação (Recovery Point Objective – RPO), tendo como referência a análise de impacto nos negócios (Business Impact Analysis – BIA) realizada pelo Tribunal;

II – estratégia de continuidade de negócios adequada, as ações necessárias para implementação e subsequente retomada da operação para cada processo crítico;

III – periodicidade dos testes e responsáveis pela sua coordenação.

SEÇÃO IX
DO PLANO DE COMUNICAÇÃO – PCOM

Art. 21. O PCOM define as melhores formas de transmitir as mensagens, os canais e públicos adequados, bem como a periodicidade de contato com determinados públicos.

Parágrafo único. A ACSIC é a unidade responsável pela implementação e manutenção do PCOM.

Art. 22. O PCOM deverá observar, no mínimo, as seguintes diretrizes:

I – alinhamento à Política de Comunicação Organizacional do TRE-RR;

II – utilização de ferramentas de comunicação no intuito de internalizar a importância e as diretrizes do PCN para que todos conheçam seus respectivos papéis e responsabilidades durante um evento;

III – elaboração e divulgação do manual sobre principais ações relacionadas à descontinuidade de negócios, que deverá ser de conhecimento de todos, ressalvados apenas os pontos sigilosos;

IV – monitoramento de todos os meios de comunicação para avaliar o impacto da crise com utilização de clipagem nas plataformas eletrônicas de divulgação de informação, nos termos da Instrução Normativa 4/2017 ( 0365865 );

V – respeito aos princípios da agilidade, tempestividade, transparência, responsabilidade social, inteligibilidade e veracidade dos fatos na hora de elaboração das mensagens chave a ser encaminhadas às partes interessadas (stakeholders), primando pela preservação ou menor prejuízo à reputação do Tribunal;

VI – posicionamento do TRE-RR como única fonte autorizada a divulgar informações sobre os incidentes que causem impacto na continuidade de negócios, esclarecendo sobre as ações desenvolvidas para a recuperação de suas atividades;

VII – formulação de discurso unificado e adequado a cada canal de comunicação e partes interessadas (stakeholders), com designação de porta-vozes com competência e formação adequadas em media training para falar pela instituição;

VIII – previsão e manutenção de meios alternativos de comunicação para situações de emergência;

IX – esclarecimento do público interno e externo para minimizar a difusão de boatos e a postagem de falsos relatos na mídia social;

X – respeito à imprensa, pautando-se pela presteza e cordialidade no atendimento, dentro dos preceitos estabelecidos no Código de Ética ( Resolução TRE/RR 141/2013 ).

CAPÍTULO V
DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS

Art. 23. Todas as unidades do Tribunal são corresponsáveis pela implementação e manutenção da GCN do Tribunal.

Art. 24. A COMGREC deverá implementar e operar a PGCN, coordenando a elaboração dos planos previstos nesta resolução, bem como os controles, processos e procedimentos necessários até o dia 31/12/2019.

Art. 25. Os casos omissos serão resolvidos pela Diretoria Geral.

Art. 26. Esta Resolução entra em vigor na data de sua publicação.

TÂNIA MARIA BRANDÃO VASCONCELOS, Presidente, Diego Leonardo Andrade de Oliveira, Juiz Membro, Rozane Pereira Ignácio, Juiz Membro, Alexandre Magno Magalhães Vieira, Juiz Membro, Graciete Sotto Mayor Ribeiro, Juiz Membro

NOTAS

  1. Evento 0375304. Publicada no DJE n.º 215 (evento 0377423).

Este texto não substitui o publicada no DJE nº 215, ano 2017, p. 3/11 ( 0377423 ).