Disponibilização: Segunda-feira, 2 de Junho de 2008 Diário da Justiça Eletrônico - Caderno Administrativo São Paulo, Ano I - Edição 242 9
PORTARIA nº 7.560/2008
O DESEMBARGADOR PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DE SÃO PAULO, no uso de suas atribuições legais,
CONSIDERANDO o esforço e o investimento empregado para a Modernização do Tribunal de Justiça do Estado de São Paulo e de sua infra-estrutura de tecnologia da Informação e de Comunicações;
CONSIDERANDO a importância, nesse contexto, de se registrar as diretrizes básicas que nortearão a implementação de medidas para a Segurança da Informação do Tribunal de Justiça do Estado de São Paulo;
CONSIDERANDO a necessidade de se estabelecer parâmetros e orientações estratégicas de Segurança da Informação e, a partir da sua existência, normas técnicas, de usuários, específicas, procedimentos operacionais, instruções de trabalho e padrões de segurança, compondo, assim, uma Política de Segurança da Informação para a Instituição;
CONSIDERANDO a necessidade de assegurar que os gestores possam realizar o gerenciamento da estrutura de segurança da informação do Tribunal de Justiça de São Paulo, definindo, analisando e priorizando as ações necessárias para alcançar os objetivos estabelecidos para a segurança das informações;
CONSIDERANDO que a Política de Segurança da Informação deve ser aplicada a todos os Ambientes, Sistemas, Pessoas e Processos do Tribunal de Justiça de São Paulo;
CONSIDERANDO a necessidade das diretrizes gerais da organização estar em consonância com a Lei n º. 11.419 de 19 de dezembro de 2006, que dispõe sobre a informatização do processo judicial, e com as melhores práticas de mercado, notadamente, a norma ABNT NBR ISO/IEC 27002:2005 “Código de Práticas para Gestão da Segurança da Informação”;
RESOLVE :
ARTIGO 1º. – O Tribunal de Justiça do Estado de São Paulo institui sua Política de Segurança da Informação, objetivando assegurar que as informações e seus ativos, possuídos ou custodiados, serão estabelecidos, protegidos e utilizados de forma a garantir sua confidencialidade, integridade e disponibilidade, de acordo com a lei, a ética e a confiança da comunidade.
Parágrafo Único - A Política de Segurança da Informação do Tribunal de Justiça de São Paulo (TJSP) será estabelecida por intermédio de Diretrizes Básicas de Segurança da Informação, Normas Gerais para Usuários, Normas Gerais para Técnicos, Normas Específicas, Procedimentos Operacionais e Instruções de Trabalho.
ARTIGO 2º. – As Diretrizes Básicas de Segurança da Informação do TJSP visam:
I. Propriedade da Informação – Garantir que toda informação gerada, em trânsito e/ou custodiada pelo TJSP por meio de tecnologia, procedimentos, pessoas e ambientes, é de sua propriedade, e seja utilizada por usuários devidamente autorizados para fins profissionais, no estrito interesse da Instituição.
II. Proteção de Recursos – Proteger os recursos de tecnologia da informação e comunicação, as informações e sistemas contra a modificação, destruição, acesso ou divulgação não autorizada pelo TJSP, garantindo sua confidencialidade, integridade e disponibilidade, considerando níveis para a classificação da informação.
III. Nível de Segurança – Garantir que na criação de novos serviços internos e externos, a seleção de mecanismos de segurança e a aquisição de bens levem em consideração o balanceamento de aspectos, como risco, tecnologia, austeridade no gasto, qualidade, velocidade e impacto no negócio.
IV. Utilização de Informações e Recursos – Assegurar que informações e recursos sejam disponibilizados para magistrados, servidores e terceiros devidamente autorizados, e que sejam utilizados apenas para as finalidades lícitas, éticas e administrativamente aprovadas e devidamente autorizadas pelo TJSP, bem como que suas configurações não sejam alteradas sem aprovação prévia, sendo os usuários adequadamente identificados.
V. Classificação da Informação – Garantir que todas as informações tenham classificação de segurança, colocadas de maneira clara, permitindo que sejam adequadamente protegidas quanto ao seu acesso e uso. A informação e/ou a documentação consideradas de acesso restrito devem ter adequada guarda e armazenamento, assim como as sem utilidade devem ser destruídas no momento do seu descarte.
VI. Sigilo Profissional – Assegurar que informações e recursos estejam sujeitos às regras referentes ao sigilo profissional, garantindo adequada proteção, considerando as cláusulas contratuais (terceiros) e os termos de responsabilidade e sigilo (servidores).
VII. Conscientização – Assegurar que magistrados, servidores e terceiros com acesso às informações, ambientes e recursos do TJSP, sejam devidamente conscientizados quanto à Segurança da Informação, face às suas responsabilidades e atuação.
VIII. Monitoramento – Garantir o monitoramento do tráfego efetuado em ambientes e recursos de Tecnologia de Informação, rastreando eventos críticos e evidenciando possíveis ocorrências, dando ampla e geral divulgação dessa atividade e da possibilidade de uso desse recurso em casos de incidentes.
IX. Gestão de Ativos – Assegurar a análise periódica dos ativos da informação, de forma que estejam devidamente inventariados, protegidos, tenham um proprietário responsável e tenham mapeadas suas vulnerabilidades e ameaças de segurança. Os ativos devem possuir cuidados adequados à manutenção de sua existência junto a Instituição, independente da existência de solução de continuidade.
X. Desenvolvimento, Manutenção e Produção de Sistemas – Assegurar que o desenvolvimento, a manutenção de sistemas internos e/ou externos, os sistemas e produtos adquiridos no mercado e customizados, bem como a produção destes, sejam providos dos requisitos de segurança necessários para garantir informações confiáveis, íntegras e oportunas.
XI. Documentação de Tecnologia da Informação e Comunicação – Assegurar que os sistemas e procedimentos de Tecnologia da Informação e Comunicação (TIC) do Tribunal de Justiça do Estado de São Paulo tenham documentação e regras adequadas e suficientes para garantir seu entendimento e recuperação em casos de contingências.
XII. Gerenciamentos das Operações e Comunicação – Garantir a operação segura e corrente dos recursos do processamento da informação e dos negócios em geral por intermédio da implementação de controles internos e de requisitos de segurança considerando as variáveis pessoas, procedimentos, ambientes e tecnologia.
XIII. Terceirização ou Prestação de Serviços – Manter nível de segurança da informação adequado, quanto aos aspectos desta política, quando a responsabilidade pelos procedimentos, sistemas e recursos, ou mesmo parte deles, for terceirizada para outra entidade, provendo auditorias periódicas, buscando a certificação do cumprimento dos requisitos de segurança da informação e garantia de cláusula de responsabilidade e sigilo.
XIV. Segurança de Pessoas, Segurança Física e do Ambiente – Assegurar que magistrados, servidores, terceiros e visitantes possuam segurança adequada nos ambientes em que atuam no TJSP, bem como que o acesso físico às suas instalações observe o controle e monitoramento de pessoas e equipamentos.
XV. Continuidade das Atividades – Garantir a continuidade das atividades do TJSP reduzindo a um período aceitável, a interrupção causada por desastres ou falhas de segurança, por intermédio da combinação de ações de administração de crise, prevenção e recuperação.
XVI. Prevenção e Resposta a Incidentes – Assegurar que medidas preventivas sejam tomadas com o objetivo de diminuir o risco de ocorrência de fraudes e/ou incidentes de segurança da informação, devendo existir canal de comunicação adequado para esse fim.
XVII. Organização da Segurança da Informação – Assegurar que o gerenciamento da Segurança da Informação no TJSP seja feito pela alta direção da Instituição, por intermédio de área específica com responsabilidades de estabelecer, implementar, manter e coordenar a elaboração e revisão da Política de Segurança da Informação, bem como na avaliação e análise de assuntos a ela pertinentes, e de todos os assuntos referentes à segurança das informações custodiadas pelo TJSP, nos ambientes físicos e tecnológicos, nos procedimentos e pessoas.
XVIII. Conformidade – Garantir o atendimento das leis, regulamentos e normas que regem as atividades do TJSP, de forma a obter absoluto cumprimento destes instrumentos legais e normativos. Além disso, garantir que os requisitos de segurança legais e/ou instituídos sejam cumpridos, assegurando o nível de segurança desejado.
XVIX. Alegação de Desconhecimento – Esclarecer aos usuários de informações, procedimentos, ambientes e recursos do TJSP, que não é dado o direito de alegação de desconhecimento desta Política de Segurança da Informação, vez que a mesma é amplamente divulgada no âmbito interno da organização, devendo ser seguida em seu conteúdo e forma.
XX. Sanções – Garantir que a não observância dos preceitos deste documento implicará na aplicação de sanções administrativas previstas nas normas internas do TJSP, nas cláusulas de responsabilidade e sigilo, e outros preceitos legais pertinentes à situação, pactuadas em contratos, declarações ou termos de responsabilidade, sem prejuízo, se for o caso, da responsabilização pecuniária que lhe for atribuída. Em se tratando de magistrado e servidor o ressarcimento do prejuízo não eximirá da penalidade disciplinar cabível.
Tratando-se de crime, serão os fatos levados ao conhecimento da autoridade policial, para instauração do respectivo inquérito, sem prejuízo das medidas de natureza cível.
ARTIGO 3º. – Competirá à Secretaria de Tecnologia da Informação e à Comissão de Informática a manutenção, atualização e monitoramento periódico dessas Diretrizes Básicas, bem como sua complementação por intermédio dos demais instrumentos que compõe a Política de Segurança da Informação do TJSP, conforme Parágrafo Único do Artigo 1 º. desta Portaria.
§ 1º – A revisão por completo das diretrizes deve ocorrer, obrigatoriamente, em período não superior a 01 (um) ano, ou a qualquer momento, em virtude de demanda competente ou de necessidade urgente, como por exemplo: incidentes de segurança considerados significativos; nova tecnologia e/ou vulnerabilidades encontradas; ou novas necessidades legais e/ou de mercado.
§ 2º – A aprovação das alterações nas Diretrizes, bem como das Normas Gerais e Específicas, instrumentos que compõe a Política de Segurança da Informação, competirá à Presidência, depois de referendado pela Comissão de Informática.
ARTIGO 4º. – A Presidência do Tribunal de Justiça do Estado de São Paulo poderá determinar que eventuais monitoramentos possam ser utilizados em pesquisa para identificação de possíveis tentativas ou mesmo infrações contra as Políticas de Segurança da Informação do TJSP.
ARTIGO 5º. – Faz parte integrante desta Portaria, o Glossário (Segurança da Informação), elaborado em conjunto pela Secretaria de Tecnologia da Informação e a Módulo Security Solutions.
ARTIGO 6º. – Este Portaria entrará em vigor na data de sua publicação, ficando revogadas as disposições em contrário.
REGISTRE-SE. PUBLIQUE-SE. CUMPRA-SE.
São Paulo, 28 de maio de 2008.
(a) ROBERTO VALLIM BELLOCCHI
Presidente do Tribunal de Justiça
PORTARIA nº 7.561/2008
Institui o Termo de Responsabilidade e Sigilo para todos os servidores do Tribunal de Justiça do Estado de São Paulo.
O DESEMBARGADOR PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DE SÃO PAULO, no uso de suas atribuições legais,
CONSIDERANDO a necessidade de implementação de normas gerais que regulamentem o acesso às informações e recursos de tecnologia da informação e comunicações do Tribunal de Justiça do Estado de São Paulo (TJSP) em função de sua Política de Segurança da Informação;
CONSIDERANDO que a Política de Segurança da Informação do TJSP traduz um conjunto de diretrizes, normas, procedimentos e instruções geradas pela Instituição para conhecimento e prática de Magistrados e Servidores, no sentido de proteger seus ativos de informação em qualquer âmbito;
CONSIDERANDO que esta política, instituída pela Portaria N° 7.560 de 28 de maio de 2008, está em consonância com a norma ABNT NBR ISO/IEC 27002:2005 “Código de Prática para Gestão da Segurança da Informação”,
RESOLVE:
Artigo 1º. – Instituir o documento denominado Termo de Responsabilidade e Sigilo - TRS, para todos os Servidores, que tem por objetivo registrar a adesão expressa, formal e inequívoca de todos, às diretrizes, normas, procedimentos e instruções que compõem a Política de Segurança da Informação da Instituição.
Parágrafo Único - O documento Termo de Responsabilidade e Sigilo - TRS também pode servir de respaldo jurídico formal para dirimir toda e qualquer dúvida a respeito do conhecimento e aderência dos Servidores às diretrizes e normas de segurança da informação emanadas pela alta direção do TJSP.
Artigo 2º. – Esta norma se aplica a todo usuário do TJSP que tenha acesso aos recursos de tecnologia da informação e de comunicação, às informações e aos sistemas que as suporta. Nesse contexto, o termo “usuário” abrange Magistrados e Servidores.
Artigo 3º. – O Termo de Responsabilidade e Sigilo é o documento que contém uma declaração formal em que o usuário manifesta, de livre e espontânea vontade, seu conhecimento e adesão à Política de Segurança da Informação do TJSP, reconhecendo seus deveres, obrigações e responsabilidades perante a Instituição.
Artigo 4º. – O Tribunal de Justiça do Estado de São Paulo, com o estabelecimento do Termo de Responsabilidade e Sigilo – TRS tem por objetivo:
I. Manter um documento padrão que possa ser aplicado a todos os Servidores da Instituição com um texto claro e preciso das responsabilidades e obrigações para com a preservação da Segurança das Informações, principalmente no tocante ao Sigilo e Responsabilidade sobre as mesmas.
II. Assegurar que os Magistrados e Servidores tomem conhecimento das regras e critérios que compõem a Política de Segurança da Informação do TJSP, da seriedade com que o assunto é tratado na Instituição, e das suas responsabilidades nesse contexto.
III. Dar suporte jurídico documental no que tange ao conhecimento dos aspectos tratados na Política de Segurança da Informação, nos processos em que for demandado.
Artigo 5º. – O documento Termo de Responsabilidade e Sigilo – TRS deve ser:
Lido, Entendido e Assinado pelo usuário por ocasião de sua admissão na Instituição e, logo após o processo de integração onde lhe serão apresentadas as regras e os critérios de Segurança da Informação praticadas. Nesse momento, será indicada a Política de Segurança da Informação (Diretrizes Básicas) ao usuário para seu conhecimento, sendo-lhe também informadas as demais políticas voltadas para segurança da informação, pertinente às suas atividades e que ele deve conhecer, bem como a devida localização para consulta.
Revalidado e assinado periodicamente pelo usuário, segundo critérios da Secretaria de Recursos Humanos do TJSP, cuidando-se de manter a guarda dos documentos anteriores em pasta funcional. Emitido pelo usuário em papel sem timbre da Instituição, uma vez que se trata de manifestação pessoal e de cunho particular. Arquivado junto ao cadastro do usuário na Secretaria de Recursos Humanos do Tribunal de Justiça do Estado de São Paulo. Nos casos de contratação de prestação de serviços de terceiros, os instrumentos deverão conter cláusulas de segurança, confidencialidade, integridade, disponibilidade e responsabilidade civil e criminal.
Artigo 6º. – A assinatura do Termo de Responsabilidade e Sigilo – TRS representa dever funcional dos servidores.
Artigo 7º. – Esta norma e o documento TRS, assim como as Diretrizes Básicas e demais Normas e Procedimentos da Política de Segurança da Informação do TJSP, devem ser amplamente divulgados no processo de integração, durante a admissão de novos Servidores, devem ser explicados periodicamente nos programas de reciclagem e de conscientização e comprometimento dos Servidores para com os aspectos de segurança da informação.
Artigo 8º. – Eventuais omissões nesta norma e no documento TRS devem ser supridas pelas disposições aplicadas na Política de Segurança da Informação (PSI). Em caso de dúvida, o usuário deverá consultar seu superior imediato, a respectiva área da Secretaria de Recursos Humanos do TJSP (SRH) e/ou a Secretaria de Tecnologia da Informação (STI).
Artigo 9º. – Competirá a todo usuário cumprir e fazer cumprir as regras de segurança estabelecidas nesta norma, devendo ainda: Informar imediatamente a área competente da Secretaria de Tecnologia da Informação (STI) do TJSP, qualquer violação das regras de sigilo ora estabelecidas. Estar ciente que o descumprimento dos compromissos assumidos está sujeito às penalidades aplicáveis, como medidas administrativas e/ou disciplinares internas, sem prejuízo de ações indenizatórias, penais ou cíveis.
Artigo 10º. – Competirá à STI em conjunto com a SRH a responsabilidade de propor a atualização desta norma, que deverá ser revisada por completo, obrigatoriamente, em período não superior a 01 (um) ano, ou então a qualquer momento, parcial ou totalmente, quando for demandada por instância competente, ou em caso de sugestões, esclarecimentos ou outras necessidades que se mostrem urgentes, como por exemplo:
I. Incidentes de Segurança considerados significativos não previstos no TRS original;
II. Novas vulnerabilidades encontradas na Instituição que afetem o TRS original ou última versão em vigor;
III. Novas necessidades em termos legais, de mercado ou de novas tecnologias.
Artigo 11º. – Esta Portaria entrará em vigor na data de sua publicação, ficando revogadas as disposições em contrário, formalmente estabelecidas e reconhecidas pela Instituição.
REGISTRE-SE. PUBLIQUE-SE. CUMPRA-SE.
São Paulo, 28 de maio de 2008.
(a) ROBERTO VALLIM BELLOCCHI
Presidente do Tribunal de Justiça
Fonte: Diário Oficial da Justiça de São Paulo
Nenhum comentário:
Postar um comentário