Resolução TRE/PI nº 356/2017

Identificação

Resolução TRE/PI nº 356, de 18 de dezembro de 2017

Situação

Vigente

Origem

Processo Administrativo nº0600218-76.2017.6.18.0000

Publicação

DJe n° 228, de 19/12/2017

Normas correlatas

Resolução TRE nº 315/ 2015.

Observação

Texto Original (Formato PDF)

Texto

RESOLUÇÃO Nº 356, DE 18 DE DEZEMBRO DE 2017.

PROCESSO ADMINISTRATIVO Nº 0600218-76.2017.6.18.0000 (PJe). ORIGEM: TERESINA/PI

Requerente: Secretaria de Tecnologia da Informação do TRE/PI

Relator: Desembargador Joaquim Dias de Santana Filho

Estabelece a Política de Segurança da Informação(PSI) do Tribunal Regional Eleitoral do Piauí.

O TRIBUNAL REGIONAL ELEITORAL DO PIAUÍ, no uso das atribuições que lhe são conferidas pelo art. 15, inciso IX, do Regimento Interno (Resolução nº 107, de 4 de julho de 2005); e

CONSIDERANDO que a Justiça Eleitoral gera, adquire ou absorve informações no exercício de suas competências constitucionais, legais e regulamentares e que essas informações devem permanecer íntegras, disponíveis e, quando for o caso, com sigilo resguardado;

CONSIDERANDO que as informações na Justiça Eleitoral são armazenadas em diferentes formas, veiculadas em diferentes meios físicos e eletrônicos, portanto vulneráveis a incidentes como desastres naturais, acessos não autorizados, mau uso, falhas de equipamentos, extravio e furto;

CONSIDERANDO a importância da adoção de boas práticas relacionadas à proteção da informação preconizadas pelas normas NBR ISO/IEC 27001:2013, NBR ISO/IEC 27002:2013, NBR ISO/IEC 27005:2011 e as Diretrizes para a Gestão de Segurança da Informação no âmbito do Poder Judiciário de 2012, às quais a Política de Segurança da Informação (PSI) da Justiça Eleitoral deverá estar alinhada;

CONSIDERANDO a edição do Acórdão-TCU nº 1233/2012-plenário, que recomenda ao Conselho Nacional de Justiça a promoção de ações para a melhoria da governança de tecnologia da informação em virtude do resultado de diagnóstico de maturidade e aderência de processos de segurança da informação;

CONSIDERANDO o Decreto nº 3.505/2000, que institui a obrigatoriedade do estabelecimento de Políticas de Segurança da Informação nos órgãos da Administração Pública Federal;

CONSIDERANDO a Norma Complementar nº 03/IN01/DSIC/GSIPR, de 30 de junho de 2009, que estabelece diretrizes para a elaboração de Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal;

CONSIDERANDO a Resolução nº 211/2015 do Conselho Nacional de Justiça, que dispõe sobre os requisitos de nivelamento de tecnologia da informação no âmbito do Poder Judiciário;

CONSIDERANDO a Resolução TSE nº 23.379/2012, que dispõe sobre o Programa de Gestão Documental no âmbito da Justiça Eleitoral;

CONSIDERANDO a necessidade de orientar a condução de Políticas de Segurança da Informação no âmbito da Justiça Eleitoral;

CONSIDERANDO as diretrizes constantes do Código de Ética deste Tribunal (Resolução TRE-PI nº 258, de 22.01.2013), relativas aos deveres dos servidores em relação ao trato da informação obtida no exercício do cargo ou função;

CONSIDERANDO que a adequada gestão da informação precisa nortear todos os processos de trabalho e unidades do Tribunal e deve ser impulsionada por política interna de segurança da informação;

CONSIDERANDO a necessidade de adaptar a PSI deste Tribunal à instituída pelo Tribunal Superior Eleitoral por meio da Resolução TSE nº 23.501, de 19 de dezembro de 2016.

RESOLVE:

Art. 1º Instituir a Política de Segurança da Informação - PSI do Tribunal Regional Eleitoral do Piauí.

CAPÍTULO I

DAS DEFINIÇÕES

Art. 2º Para os efeitos desta Resolução e de suas regulamentações, aplicam-se as seguintes definições:

I - ameaça: causa potencial de um incidente indesejado que pode resultar em dano para um sistema ou organização;

II - atividades precípuas: conjunto de procedimentos e tarefas que utilizam recursos tecnológicos, humanos e materiais, inerentes à atividade-fim da Justiça Eleitoral;

III - atividades críticas: atividades precípuas da Justiça Eleitoral cuja interrupção ocasiona severos transtornos, como perda de prazos administrativos e judiciais, dano à imagem institucional, prejuízo ao Erário, entre outros;

IV - ativo: qualquer bem, tangível ou intangível, que tenha valor para a organização;

V - ativo de informação: patrimônio composto por todos os dados e informações gerados, adquiridos, utilizados ou armazenados pela Justiça Eleitoral;

VI - ativo de processamento: patrimônio composto por todos os elementos de hardware, software e infraestrutura de comunicação necessários à execução das atividades precípuas da Justiça Eleitoral;

VII - autenticidade: propriedade que garante que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;

VIII - ciclo de vida da informação: ciclo formado pelas fases de produção, recepção, organização, uso, disseminação e destinação;

IX - cifração: ato de cifrar mediante uso de algoritmo simétrico ou assimétrico, com recurso criptográfico, para substituir sinais de linguagem em claro por outros ininteligíveis a pessoas não autorizadas a conhecê-los;

X - confidencialidade: propriedade da informação que garante que ela não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem a devida autorização;

XI - continuidade de negócios: capacidade estratégica e tática de um órgão ou entidade de planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido;

XII - decifração: ato de decifrar mediante uso de algoritmo simétrico ou assimétrico, com recurso criptográfico, para reverter processo de cifração original;

XIII - disponibilidade: propriedade da informação que garante que ela será acessível e utilizável sempre que demandada;

XIV - Gestão de Segurança da Informação: ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade de negócios, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando à tecnologia da informação;

XV - incidente de segurança em redes computacionais: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;

XVI - incidente em segurança da informação: qualquer indício de fraude, sabotagem, desvio, falha ou evento indesejado ou inesperado que tenha probabilidade de comprometer as operações do negócio ou ameaçar a segurança da informação;

XVII - informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado;

XVIII - integridade: propriedade que garante que a informação mantém todas as características originais estabelecidas pelo proprietário;

XIX - irretratabilidade (ou não repúdio): garantia de que a pessoa se responsabilize por ter assinado ou criado a informação;

XX - quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação;

XXI - recurso: além da própria informação, é todo o meio direto ou indireto utilizado para o seu tratamento, tráfego e armazenamento;

XXII - recurso criptográfico: sistema, programa, processo, equipamento isolado ou em rede que utiliza algorítmo simétrico ou assimétrico para realizar cifração ou decifração;

XXIII - rede de computadores: rede formada por um conjunto de máquinas eletrônicas com processadores capazes de trocar informações e partilhar recursos, interligados por um subsistema de comunicação ou seja, existência de dois ou mais computadores, e outros dispositivos interligados entre si de modo a poder compartilhar recursos físicos e lógicos, sendo que estes podem ser do tipo dados, impressoras, mensagens (e-mails), entre outros;

XXIV - risco: potencial associado à exploração de vulnerabilidades de um ativo de informação por ameaças, com impacto negativo no negócio da organização;

XXV - segurança da informação: abrange aspectos físicos, tecnológicos e humanos da organização e orienta-se pelos princípios da autenticidade, da confidencialidade, da integridade, da disponibilidade e da irretratabilidade da informação, entre outras propriedades;

XXVI - tratamento da informação: recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da informação, inclusive as sigilosas;

XXVII - usuário: aquele que utiliza, de forma autorizada, recursos inerentes às atividades precípuas da Justiça Eleitoral;

XXVIII - vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

CAPÍTULO II

DOS PRINCÍPIOS

Art. 3º Esta PSI se alinha às estratégias da Justiça Eleitoral e tem como princípio norteador a garantia da integridade, da autenticidade, da confidencialidade, da disponibilidade e da irretratabilidade dos ativos de informação e de processamento.

CAPÍTULO III

DO ESCOPO

Art. 4º São objetivos da Política de Segurança da Informação deste Tribunal:

I - instituir diretrizes estratégicas, responsabilidades e competências visando à estruturação da segurança da informação;

II - promover ações necessárias à implementação e à manutenção da segurança da informação;

III - combater atos acidentais ou intencionais de destruição, modificação, apropriação ou divulgação indevida de informações, de modo a preservar os ativos de informação e a imagem da instituição;

IV - promover a conscientização e a capacitação de recursos humanos em segurança da informação.

Art. 5º Esta Política de Segurança da Informação se aplica a todos os magistrados, membros do Ministério Público, servidores, estagiários, prestadores de serviço, colaboradores e usuários externos que fazem uso dos ativos de informação e de processamento no âmbito do Tribunal Regional Eleitoral do Piauí.

Parágrafo único. Os destinatários desta PSI, relacionados no caput, são corresponsáveis pela segurança da informação, de acordo com os preceitos estabelecidos nesta Resolução.

CAPÍTULO IV

DAS DIRETRIZES GERAIS

Art. 6º Deverão ser criadas normas, procedimentos, planos e/ou processos visando à regulamentação e operacionalização dos controles a seguir elencados:

I - gestão de ativos;

II - controle de acessos;

III - gestão de riscos;

IV - gestão da continuidade do negócio;

V - tratamento de incidentes de rede;

VI - gestão de incidentes de segurança da informação;

VII - auditoria e conformidade;

VIII - serviços de internet e comunicação eletrônica;

IX - desenvolvimento de sistemas seguros;

X - uso de recursos criptográficos;

XI - processamento de tratamento da informação.

Parágrafo único. Conforme necessidade e conveniência deste Tribunal Regional Eleitoral do Piauí, poderão ser criados normativos sobre outros temas, que farão parte integrante da Política de Segurança da Informação.

SEÇÃO I

DA GESTÃO DE ATIVOS

Art. 7º Todos os ativos de informação e de processamento da Justiça Eleitoral deverão ser inventariados, classificados, atualizados periodicamente e mantidos em condições de uso.

Parágrafo único. Cada ativo de informação e de processamento deverá ter uma unidade responsável, com atribuições claramente definidas.

Art. 8º O processo de classificação da informação deverá ser regulamentado e coordenado pela unidade ou comissão responsável pela gestão da informação.

Art. 9º Toda e qualquer informação produzida ou custodiada pela Justiça Eleitoral deve ser classificada em função do seu grau de confidencialidade, criticidade, disponibilidade, integridade e prazo de retenção, devendo ser protegida, de acordo com a regulamentação de classificação da informação.

Parágrafo único. As informações produzidas por usuários, no exercício de suas funções, são patrimônio intelectual da Justiça Eleitoral, e não cabe a seus criadores qualquer forma de direito autoral.

Art. 10. É vedado o uso dos ativos do TRE-PI para obter proveito pessoal ou de terceiro, para constranger, assediar, caluniar, injuriar, difamar, ameaçar ou causar prejuízos a qualquer pessoa física ou jurídica, bem como para veicular opiniões político-partidárias, propagar e divulgar boatos, trotes, pornografia, propaganda comercial ou religiosa.

SEÇÃO II

DO CONTROLE DE ACESSOS

Art. 11. O acesso às informações produzidas ou custodiadas pela Justiça Eleitoral que não sejam de domínio público deve ser limitado às atribuições necessárias ao desempenho das respectivas atividades dos destinatários desta PSI, na forma descrita no caput do art. 5º.

§ 1º Qualquer outra forma de uso que extrapole as atribuições necessárias ao desempenho das atividades necessitará de prévia autorização formal.

§ 2º O acesso a informações produzidas ou custodiadas pela Justiça Eleitoral que não sejam de domínio público, quando autorizado, será condicionado ao aceite a termo de sigilo e responsabilidade.

Art. 12. Todo usuário deverá possuir identificação pessoal e intransferível, qualificando-o, inequivocamente, como responsável por qualquer atividade desenvolvida sob essa identificação.

SEÇÃO III

DA GESTÃO DE RISCOS

Art. 13. Deverá ser estabelecido Processo de Gestão de Riscos de ativos de informação e de processamento do Tribunal Regional Eleitoral do Piauí, visando à identificação, avaliação e posterior tratamento e monitoramento dos riscos considerados críticos para a segurança da informação.

Parágrafo único. O Processo de Gestão de Riscos deverá ser revisado periodicamente.

SEÇÃO IV

DA GESTÃO DA CONTINUIDADE DE NEGÓCIOS

Art. 14. Deverá ser elaborado Plano de Continuidade de Negócios que estabeleça procedimentos e defina estrutura mínima de recursos, para que se desenvolva uma resiliência organizacional capaz de garantir o fluxo das informações críticas em momento de crise e salvaguardar o interesse das partes interessadas, a reputação e a imagem da instituição.

Parágrafo único. O Plano de Continuidade de Negócios contemplará os requisitos e a continuidade da gestão de segurança da informação, o qual será testado e revisado anualmente.

SEÇÃO V

DO TRATAMENTO DE INCIDENTES DE REDE

Art. 15. Deverá ser elaborado um Processo de Tratamento e Resposta a Incidentes em Redes de Computadores visando impedir, interromper ou minimizar o impacto de uma ação maliciosa ou acidental.

SEÇÃO VI

DA GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

Art. 16. A gestão de incidentes em segurança da informação tem por objetivo assegurar que fragilidades e incidentes em segurança da informação sejam identificados, permitindo a tomada de ação corretiva em tempo hábil.

Parágrafo único. Os usuários são responsáveis por:

I – reportar tempestivamente ao Gestor de Segurança da Informação os incidentes em segurança da informação de que tenham ciência ou suspeita; e

II – colaborar, em suas áreas de competência, na identificação e no tratamento de incidentes em segurança da informação.

SEÇÃO VII

DA AUDITORIA E CONFORMIDADE

Art. 17. Deverá ser incluída no escopo do Plano Anual de Auditoria e Conformidade análise do correto cumprimento desta PSI, seus regulamentos e demais normativos de segurança vigentes.

Parágrafo único. A inclusão no escopo do Plano de Auditoria e Conformidade deve ser realizada, no mínimo, a cada dois anos e deve abranger uma ou mais normas, procedimentos, planos e/ou processos estabelecidos.

SEÇÃO VIII

DOS SERVIÇOS DE INTERNET E DE COMUNICAÇÃO ELETRÔNICA

Art. 18. Os serviços de acesso à internet e de comunicação eletrônica disponibilizados aos usuários são considerados de propriedade do Tribunal Regional Eleitoral do Piauí e passíveis de controle e monitoramento, com o uso regulamentado por normas internas.

SEÇÃO IX

DO DESENVOLVIMENTO DE SISTEMAS SEGUROS

Art. 19. O Processo de Desenvolvimento de Software do Tribunal, ao ser estabelecido, deverá contemplar atividades específicas que garantam maior segurança para os sistemas utilizados, de forma a preservar o ambiente tecnológico e prevenir possíveis incidentes de segurança com os dados desses sistemas ou com a infraestrutura utilizada.

SEÇÃO X

DO USO DE RECURSOS CRIPTOGRÁFICOS

Art. 20. Toda informação classificada, em qualquer grau de sigilo, produzida, armazenada ou transmitida pelo Tribunal, em parte ou totalmente, por qualquer meio eletrônico, deverá ser protegida com recurso criptográfico.

Parágrafo único. A falta de proteção criptográfica poderá ocorrer quando justificada e aprovada pela unidade gestora de riscos, ou pela Comissão de Segurança da Informação, ou quando prevista em normativo específico.

SEÇÃO XI

DO PROCESSO DE TRATAMENTO DA INFORMAÇÃO

Art. 21. O tratamento da informação deve abranger as políticas, os processos, as práticas e os instrumentos utilizados pela Justiça Eleitoral para lidar com a informação ao longo de cada fase do ciclo de vida, contemplando o conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação.

Parágrafo único. O conjunto das ações referentes ao tratamento da informação será agrupado nas seguintes fases:

I – produção e recepção: refere-se à fase inicial do ciclo de vida e compreende produção, recepção ou custódia e classificação da informação;

II – organizações: refere-se ao armazenamento, arquivamento e controle da informação;

III – uso e disseminação: refere-se à utilização, acesso, reprodução, transporte, transmissão e distribuição da informação;

IV – destinações: refere-se à fase final do ciclo de vida da informação e compreende avaliação, destinação ou eliminação da informação.

CAPÍTULO V

DA ESTRUTURA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO

Art. 22. Deverá ser constituída a Comissão de Segurança da Informação subordinada à Presidência deste Tribunal composta, no mínimo, por servidores representantes das seguintes unidades:

I – Presidência;

II – Corregedoria;

III – Diretoria-Geral;

IV – de cada Secretaria; e

V – da área responsável pela Comunicação Institucional.

Art. 23. Compete à Comissão de Segurança da Informação:

I - propor melhorias a esta PSI;

II - propor normas, procedimentos, planos e/ou processos, nos termos do art. 6º, visando à operacionalização desta PSI;

III - promover a divulgação desta PSI e normativos, bem como ações para disseminar a cultura em segurança da informação, no âmbito do Tribunal Regional Eleitoral do Piauí;

IV - propor estratégias para a implantação desta PSI;

V - propor ações visando à fiscalização da aplicação das normas e da política de segurança da informação;

VI - propor recursos necessários à implementação das ações de segurança da informação;

VII - propor a realização de análise de riscos e mapeamento de vulnerabilidades nos ativos;

VIII - propor a abertura de sindicância para investigar e avaliar os danos decorrentes de quebra de segurança da informação;

IX - propor o modelo de implementação da Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais (ETIR), de acordo com a norma vigente;

X - propor a constituição de grupos de trabalho para tratar de temas sobre segurança da informação;

XI - responder pela segurança da informação;

XII - auxiliar a Presidência do Tribunal na avaliação das proposições de suspensão de acesso dos usuários.

Art. 24. Deverá ser nomeado um Gestor de Segurança da Informação com as seguintes responsabilidades:

I - propor normas relativas à segurança da informação à Comissão de Segurança da Informação;

II - propor iniciativas para aumentar o nível da segurança da informação à Comissão de Segurança da Informação, com base, inclusive, nos registros armazenados pela ETIR;

III - propor o uso de novas tecnologias na área de segurança da informação;

IV - implantar, em conjunto com as demais áreas, normas, procedimentos, planos e/ou processos elaborados pela Comissão de Segurança da Informação;

V - disponibilizar e gerenciar a infraestrutura necessária aos processos de trabalho da ETIR;

VI - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;

VII – propor à Secretaria de Tecnologia da Informação a suspensão de acesso do usuário a recursos do Tribunal, quando evidenciados riscos à segurança da informação, para deliberação pela Presidência do Tribunal;

Parágrafo único. O Gestor de Segurança da Informação deverá ser servidor que detenha amplo conhecimento dos processos de negócio do Tribunal e do tema em foco.

Art. 25. Deverá ser instituída ETIR, conforme modelo proposto pela Comissão de Segurança da Informação e aprovado pelo Diretor-Geral da Secretaria do Tribunal, com a responsabilidade de receber, analisar, classificar, tratar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores, além de armazenar registros para formação de séries históricas como subsídio estatístico e para fins de auditoria.

Parágrafo único. Caberá ainda à ETIR elaborar o processo de Tratamento e Resposta a Incidentes em Redes de Computadores no âmbito do Tribunal Regional Eleitoral do Piauí.

CAPÍTULO VI

DAS COMPETÊNCIAS DAS UNIDADES

Art. 26. Compete à Presidência do Tribunal:

I - apoiar a aplicação das ações estabelecidas nesta PSI;

II - viabilizar financeiramente as ações de implantação desta PSI;

III – autorizar os pedidos de suspensão de acesso do usuário a recursos do Tribunal, quando evidenciados riscos à segurança da informação;

IV - nomear ou delegar ao Diretor-Geral a nomeação:

a) da Comissão de Segurança da Informação, nos termos do art. 22;

b) do Gestor de Segurança da Informação e seu substituto, nos termos do art. 24;

c) de integrantes da ETIR, nos termos do art.25.

Art. 27. Compete à Diretoria-Geral:

I - aprovar normas, procedimentos, planos e/ou processos que lhe forem submetidos pela Comissão de Segurança da Informação;

II - submeter à Presidência as propostas que extrapolem sua alçada decisória; apoiar a aplicação das ações estabelecidas nesta PSI;

III - viabilizar financeiramente as ações de implantação desta PSI, inclusive a exequibilidade do Plano de Continuidade de Negócios do Tribunal, abrangendo sua manutenção, treinamento e testes periódicos.

Art. 28. Compete à Secretaria de Tecnologia da Informação:

I - apoiar a implementação desta PSI;

II - prover os ativos de processamento necessários ao cumprimento desta PSI;

III - garantir que os níveis de acesso lógico concedidos aos usuários estejam adequados aos propósitos do negócio e condizentes com as normas vigentes de segurança da informação;

IV - disponibilizar e gerenciar a infraestrutura necessária aos processos de trabalho da ETIR;

V - executar as orientações técnicas e os procedimentos estabelecidos pela Comissão de Segurança da Informação.

VI - apoiar a realização de auditorias, conforme Plano de Auditoria e Conformidade;

VII - propor à Presidência do Tribunal a nomeação do Gestor de Segurança da Informação e dos integrantes da ETIR;

VIII - gerenciar os ativos sob sua responsabilidade.

Art. 29. Compete à Secretaria de Administração, Orçamento e Finanças, na sua área de atuação:

I - implantar controles nos ambientes físicos, visando prevenir danos, furtos, roubos, interferência e acesso não autorizado às instalações e ao patrimônio do TRE-PI;

II - implantar controles e proteção contra ameaças externas ou decorrentes do meio ambiente, como incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e desastres naturais;

III - assegurar que os empregados das empresas prestadoras de serviço contratadas conheçam suas atribuições e responsabilidades em relação à segurança da informação;

IV - adotar as medidas necessárias por ocasião do desligamento de empregados das empresas prestadoras de serviço contratadas e comunicar às demais unidades do Tribunal, com vistas à pertinente remoção dos acessos às informações do Tribunal Regional Eleitoral do Piauí;

V - executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação.

VI - coordenar o processo de classificação da informação;

VII - adotar nos contratos, convênios e outros instrumentos congêneres, celebrados por este Tribunal, os princípios, os objetivos e as diretrizes dessa Política de Segurança da Informação;

VIII - gerenciar os ativos sob sua responsabilidade.

Art. 30. Compete à Secretaria de Gestão de Pessoas, na sua área de atuação:

I - apoiar a Comissão de Segurança da Informação na missão de assegurar que os magistrados, membros do Ministério Público, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, bem como os estagiários e colaboradores conheçam suas atribuições e responsabilidades em relação à segurança da informação;

II - adotar as medidas necessárias por ocasião do desligamento de pessoal e comunicar às demais unidades do Tribunal, com vistas à pertinente remoção dos acessos às informações do Tribunal Regional Eleitoral do Piauí;

III - promover a capacitação dos servidores que integram a estrutura de gestão da segurança da informação, no que for pertinente;

IV - executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação;

V - gerenciar os ativos sob sua responsabilidade.

Art. 31. Compete ao Serviço de Imprensa e Comunicação Social, em conjunto com a Comissão de Segurança da Informação.

I - promover campanhas de conscientização sobre a importância da Segurança da Informação;

II - divulgar esta PSI;

III - executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação;

IV - gerenciar os ativos sob sua responsabilidade.

Art. 32. Compete à Secretaria Judiciária, na sua área de atuação:

I - organizar a conservação e a guarda dos documentos, assim como o acesso a eles e às informações neles contidas, de acordo com o seu nível de confidencialidade;

II - adotar medidas que garantam a segurança dos documentos e processos que estão sob a sua guarda;

III - utilizar critérios padronizados de transferência e de recolhimento dos documentos e processos das unidades administrativas e judiciais para a unidade de gestão documental;

IV - atuar conjuntamente com a Comissão de Segurança da Informação e com a Secretaria de Tecnologia da Informação para assegurar a implementação dos critérios de segurança, do trâmite, da guarda, da classificação e da disponibilização das informações em meio digital;

V - executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação;

VI - coordenar o processo de classificação da informação no âmbito do Tribunal Regional Eleitoral do Piauí;

VII - gerenciar os ativos sob sua responsabilidade.

Art. 33. Compete à Corregedoria:

I - empreender medidas e expedir normas para adequar as práticas cartorárias a esta PSI;

II - executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação;

III - organizar a conservação e a guarda dos documentos, assim como o acesso a eles e às informações neles contidas, de acordo com o seu nível de confidencialidade;

IV - adotar medidas que garantam a segurança dos documentos e processos que estão sob a sua guarda;

V - utilizar critérios padronizados de transferência e de recolhimento dos documentos e processos das unidades administrativas e judiciais para a unidade de gestão documental;

VI - atuar conjuntamente com a Comissão de Segurança da Informação e com a Secretaria de Tecnologia da Informação para assegurar a implementação pela Corregedoria e pelos Juízos Eleitorais dos critérios de segurança, do trâmite, da guarda, da classificação e da disponibilização das informações em meio digital;

VII - executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação;

VIII - promover e acompanhar a adoção pelos cartórios eleitorais das diretrizes estabelecidas nesta Política;

IX - gerenciar os ativos sob sua responsabilidade.

Art. 34. Compete à unidade de Controle Interno:

I - incluir no escopo do Plano Anual de Auditoria e Conformidade, nos termos do art. 17, a análise do cumprimento desta PSI, seus regulamentos e demais normativos de segurança vigentes;

II - realizar auditorias conforme Plano Anual de Auditoria e Conformidade;

III - executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação;

IV - gerenciar os ativos sob sua responsabilidade.

Art. 35. Compete ao Juízo Eleitoral:

I - apoiar a Comissão de Segurança da Informação na missão de assegurar que os promotores, servidores efetivos e requisitados, estagiários, prestadores de serviço e colaboradores conheçam suas atribuições e responsabilidades em relação à segurança da informação;

II - executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação;

III - organizar a conservação e a guarda dos documentos, assim como o acesso a eles e às informações neles contidas, de acordo com o seu nível de confidencialidade;

IV - adotar medidas que garantam a segurança dos documentos e processos que estão sob a sua guarda;

V - utilizar critérios padronizados de transferência e de recolhimento dos documentos e processos das unidades administrativas e judiciais para a unidade de gestão documental;

VI - gerenciar os ativos sob sua responsabilidade.

Art. 36. Compete aos Usuários:

I - responder por toda atividade executada com o uso de sua identificação; ter pleno conhecimento desta Política de Segurança da Informação e segui-la;

II - reportar tempestivamente ao Gestor de Segurança da Informação do Tribunal quaisquer falhas ou indícios de falhas de segurança de que tenha conhecimento ou suspeita;

III - proteger as informações sigilosas e pessoais obtidas em decorrência do exercício de suas atividades;

IV - guardar sigilo de senhas e códigos fornecidos para utilização dos equipamentos e sistemas do Tribunal Regional Eleitoral do Piauí, zelando por sua confidencialidade;

V - colaborar, em sua área de competência, na identificação e tratamento de incidentes em segurança da informação;

VI - executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação;

VII - gerenciar os ativos sob sua responsabilidade.

CAPÍTULO VII

DISPOSIÇÕES FINAIS

Art. 37. Compete a todas as unidades do Tribunal Regional Eleitoral do Piauí executar as orientações e os procedimentos estabelecidos pela CSI.

Art. 38. Os casos omissos desta PSI serão resolvidos pela Presidência do Tribunal, com o auxílio da Comissão de Segurança da Informação.

Art. 39. Esta PSI e demais normas, procedimentos, planos e/ou processos deverão ser publicados no portal da intranet do Tribunal Regional Eleitoral do Piauí pela Comissão de Segurança da Informação.

Art. 40. O descumprimento desta PSI será objeto de apuração pela unidade competente do Tribunal e pode acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.

Art. 41. Os contratos, convênios, acordos de cooperação e outros instrumentos congêneres celebrados pelo Tribunal Regional Eleitoral do Piauí devem observar, no que couber, o constante desta PSI.

Art. 42. A Política de Segurança da Informação será revisada periodicamente a cada três anos ou, em periodicidade inferior, quando se fizer necessário ou conveniente para o Tribunal.

Art. 43. Esta Resolução entrará em vigor na data de sua publicação, ficando revogada a Resolução TRE nº 315, de 21 de setembro de 2015.

Sala das Sessões do Tribunal Regional Eleitoral do Piauí, em Teresina, 18 de dezembro de 2017.

DESEMBARGADOR JOAQUIM DIAS DE SANTANA FILHO

Presidente

DESEMBARGADOR EDVALDO PEREIRA DE MOURA

Vice-Presidente e Corregedor Regional Eleitoral

JUIZ FEDERAL DANIEL SANTOS ROCHA SOBRAL

Juiz Federal

JUIZ JOSÉ WILSON FERREIRA DE ARAÚJO JÚNIOR

Jurista

JUIZ ANTÔNIO LOPES DE OLIVEIRA

Juiz de Direito

JUIZ PAULO ROBERTO DE ARAÚJO BARROS

Juiz de Direito

DOUTOR PATRÍCIO NOÉ DA FONSECA

Procurador Regional Eleitoral

Este texto não substitui o publicado no DJe nº 228, de 19/12/2017