RESOLUÇÃO Nº 510, DE 11 DE DEZEMBRO DE 2017

O Tribunal Regional Eleitoral do Amapá, no uso de suas atribuições constitucionais, legais e regimentais, e considerando a necessidade de implementar, neste Regional, a Política de Segurança da Informação da Justiça Eleitoral (PSI), visando preservar a integridade, a confidencialidade e a credibilidade dos ativos de informação da Justiça Eleitoral, pautando suas ações nos princípios que regem a Administração Pública,

RESOLVE:

Art. 1º A presente resolução dispõe sobre a adoção, no âmbito do Tribunal Regional Eleitoral do Amapá, das diretrizes da Política de Segurança da Informação da Justiça Eleitoral, estabelecidas pela Resolução TSE nº 23.501/2016.

Art. 2º Atribui-se à Comissão designada através da Portaria TRE/AP nº 134, de 20 de abril de 2017, a denominação de Comissão de Segurança da Informação do TRE/AP (CSI), a ela competindo, continuamente, a elaboração de normas e procedimentos, visando à regulamentação e à operacionalização das diretrizes fixadas na Resolução TSE nº 23.501/2016.

Art. 3º As normas e procedimentos elaborados pela Comissão de Segurança da Informação do TRE/AP devem ser estruturadas sob a forma de normas complementares, editadas por atos da Presidência do Tribunal.

CAPÍTULO I

DOS CONCEITOS E DEFINIÇÕES

Art. 4º Para os efeitos desta resolução e de suas regulamentações, aplicam-se as seguintes definições:

I –ameaça: causa potencial de um incidente indesejado que pode resultar em dano para um sistema ou organização;

II –atividades precípuas: conjunto de procedimentos e tarefas que utilizam recursos tecnológicos, humanos e materiais, inerentes à atividade-fim da Justiça Eleitoral;

III – atividades críticas: atividades precípuas da Justiça Eleitoral cuja interrupção ocasiona severos transtornos, como, por exemplo, perda de prazos administrativos e judiciais, dano à imagem institucional, prejuízo ao Erário, entre outros;

IV – ativo: qualquer bem, tangível ou intangível, que tenha valor para a organização;

V – ativo de informação: patrimônio composto por todos os dados e informações gerados, adquiridos, utilizados ou armazenados pela Justiça Eleitoral;

VI – ativo de processamento: patrimônio composto por todos os elementos de hardware, software e infraestrutura de comunicação necessários à execução das atividades precípuas da Justiça Eleitoral;

VII – autenticidade: propriedade que garante que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;

VIII – ciclo de vida da informação: ciclo formado pelas fases de produção, recepção, organização, uso, disseminação e destinação;

IX – cifração: ato de cifrar mediante uso de algoritmo simétrico ou assimétrico, com recurso criptográfico, para substituir sinais de linguagem em claro por outros ininteligíveis a pessoas não autorizadas a conhecê-los;

X – confidencialidade: propriedade da informação que garante que ela não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem a devida autorização;

XI – continuidade de negócios: capacidade estratégica e tática de um órgão ou entidade de planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido;

XII – decifração: ato de decifrar mediante uso de algoritmo simétrico ou assimétrico, com recurso criptográfico, para reverter processo de cifração original;

XIII – disponibilidade: propriedade da informação que garante que ela será acessível e utilizável sempre que demandada;

XIV – Gestão de Segurança da Informação: ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade de negócios, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando à tecnologia da informação;

XV – incidente de segurança em redes computacionais: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;

XVI – incidente em segurança da informação: qualquer indício de fraude, sabotagem, desvio, falha ou evento indesejado ou inesperado que tenha probabilidade de comprometer as operações do negócio ou ameaçar a segurança da informação;

XVII – informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado;

XVIII – integridade: propriedade que garante que a informação mantenha todas as características originais estabelecidas pelo proprietário;

XIX – irretratabilidade (ou não repúdio): garantia de que a pessoa se responsabilize por ter assinado ou criado a informação;

XX – quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação;

XXI – recurso: além da própria informação, é todo o meio direto ou indireto utilizado para o seu tratamento, tráfego e armazenamento;

XXII – recurso criptográfico: sistema, programa, processo, equipamento isolado ou em rede que utiliza algoritmo simétrico ou assimétrico para realizar cifração ou decifração;

XXIII – rede de computadores: rede formada por um conjunto de máquinas eletrônicas com processadores capazes de trocar informações e partilhar recursos, interligados por um subsistema de comunicação, ou seja, existência de dois ou mais computadores, e outros dispositivos interligados entre si de modo a poder compartilhar recursos físicos e lógicos, sendo que estes podem ser do tipo dados, impressoras, mensagens (e-mails), entre outros;

XXIV – risco: potencial associado à exploração de vulnerabilidades de um ativo de informação por ameaças, com impacto negativo no negócio da organização;

XXV – segurança da informação: abrange aspectos físicos, tecnológicos e humanos da organização e orienta-se pelos princípios da autenticidade, da confidencialidade, da integridade, da disponibilidade e da irretratabilidade da informação, entre outras propriedades;

XXVI – tratamento da informação: recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da informação, inclusive as sigilosas;

XXVII – usuário: aquele que utiliza, de forma autorizada, recursos inerentes às atividades precípuas da Justiça Eleitoral;

XXVIII – vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

XXIX – acesso: possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registros ou arquivos, visando a receber ou fornecer dados;

XXX – alta direção: conjunto de gestores que ocupam os cargos de presidente, de vice-presidente, de corregedor, de diretor geral e de secretário;

XXXI – backup: cópia de segurança de arquivos;

XXXII – classificação da informação: atribuição, pelo classificador, de grau de segurança ao dado, informação, documento ou material;

XXXIII – classificador: pessoa responsável pela classificação das informações;

XXXIV – códigos maliciosos: programas especificamente desenvolvidos para executar ações danosas em um computador;

XXXV – Comissão de Segurança da Informação: grupo responsável por tomar decisões estratégicas sobre assuntos relacionados com a segurança da informação;

XXXVI – confidencialidade: propriedade que garante que a informação não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem autorização;

XXXVII – conta de acesso: identificação do usuário válida para utilização dos recursos de tecnologia da informação;

XXXVIII – correio eletrônico: recurso de tecnologia da informação utilizado para troca de informações entre usuários;

XXXIX – dado: informação preparada para ser processada, operada e transmitida por um sistema ou programa de computador;

XL – dados pessoais: representação de fatos, juízos ou situações referentes a uma pessoa física ou jurídica, passível de ser captada, armazenada, processada ou transmitida, por meios informatizados ou não;

XLI – formato digital: formato no qual a informação é armazenada em mídia digital ou transmitida por meios informatizados;

XLII – equipamentos de conectividade: equipamentos responsáveis pela conectividade na infraestrutura de rede, como, por exemplo, switches, roteadores, hubs, modems, etc.;

XLIII – estações de trabalho: computador ou qualquer outro dispositivo computacional utilizado pelos usuários para acessar os sistemas;

XLIV – Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR): equipe responsável pelo tratamento e respostas aos incidentes de segurança da informação ocorridos na rede local do Tribunal Eleitoral;

XLV – Gestor de Segurança da Informação: pessoa responsável pelo planejamento, implementação e controle das ações de segurança da informação no Tribunal Regional Eleitoral;

XLVI – identificação da conta: login do usuário, username;

XLVII – integridade: garantia de que as informações e métodos de processamento somente sejam alterados por meio de ações planejadas, registradas e autorizadas;

XLVIII – login: ação necessária para acessar um sistema computacional restrito, inserindo uma identificação e senha individuais;

XLIX – material comburente: aquilo que alimenta e mantém a combustão;

L – medidas de proteção: medidas destinadas a garantir sigilo, inviolabilidade, integridade, autenticidade, legitimidade e disponibilidade de dados e informações. Também objetivam prevenir, detectar, anular e registrar ameaças reais ou potenciais aos ativos;

LI – Política de Segurança da Informação: documento contendo as diretrizes da alta direção para a segurança da informação;

LII – prestadores de serviço: profissionais que pertencem a outras empresas e realizam trabalhos eventuais para a Justiça Eleitoral;

LIII – recursos de tecnologia da informação: servidores de rede, estações de trabalho, equipamentos de conectividade, todos e quaisquer hardwares e softwares que compõem soluções e aplicações de TI;

LIV – rede local: conjunto de servidores de rede, sistemas e recursos interligados localmente com o objetivo de disponibilizar serviços aos usuários;

LV – senhas: recursos de segurança individual e intransferível para autenticar, restringir ou liberar acesso de usuários a recursos de tecnologia da informação;

LVI – senhas em branco: não utilização de caracteres para criação da senha, senha nula;

LVII – servidor de rede: recurso de tecnologia da informação com a finalidade de disponibilizar ou gerenciar serviços ou sistemas informatizados;

LVIII – usuários: profissionais, sejam magistrados, promotores de justiça, advogados, servidores públicos, colaboradores, prestadores de serviço, estagiários ou outros que, de alguma forma, tenham acesso às informações do Tribunal.

CAPÍTULO II

DOS PRINCÍPIOS

Art. 5º Esta PSI se alinha às estratégias da Justiça Eleitoral e tem como princípio norteador a garantia da integridade, da autenticidade, da confidencialidade, da disponibilidade e da irretratabilidade dos ativos de informação e de processamento.

CAPÍTULO III

DO ESCOPO

Art. 6º São objetivos da PSI da Justiça Eleitoral do Amapá:

I – instituir diretrizes estratégicas, responsabilidades e competências visando à estruturação da segurança da informação;

II – promover ações necessárias à implementação e à manutenção da segurança da informação;

III – combater atos acidentais ou intencionais de destruição, modificação, apropriação ou divulgação indevida de informações, de modo a preservar os ativos de informação e a imagem da instituição;

IV – promover a conscientização e a capacitação de recursos humanos em segurança da informação.

Art. 7º Esta PSI se aplica a todos os magistrados, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, estagiários, prestadores de serviço, colaboradores e usuários externos que fazem uso dos ativos de informação e de processamento no âmbito da Justiça Eleitoral do Amapá.

Parágrafo único. Os destinatários desta PSI, relacionados no caput, são corresponsáveis pela segurança da informação, de acordo com os preceitos estabelecidos nesta resolução.

CAPÍTULO IV

DAS DIRETRIZES GERAIS

Art. 8º Deverão ser criadas, conforme o caso, normas, procedimentos, planos e/ou processos, para as seções elencadas neste capítulo.

Parágrafo único. Conforme necessidade e conveniência do Tribunal, poderão ser editados normativos sobre outros temas.

Seção I

Da Gestão de Ativos

Art. 9º Todos os ativos de informação e de processamento da Justiça Eleitoral deverão ser inventariados, classificados, atualizados periodicamente e mantidos em condições de uso.

Parágrafo único. Cada ativo de informação e de processamento deverá ter uma unidade responsável, com atribuições claramente definidas.

Art. 10. O processo de classificação da informação deverá ser regulamentado e coordenado pela unidade ou comissão responsável pela gestão da informação.

Art. 11. Toda e qualquer informação produzida ou custodiada pela Justiça Eleitoral deve ser classificada em função do seu grau de confidencialidade, criticidade, disponibilidade, integridade e prazo de retenção, devendo ser protegida, de acordo com a regulamentação de classificação da informação.

Parágrafo único. As informações produzidas por usuários, no exercício de suas funções, são patrimônio intelectual da Justiça Eleitoral, e não cabe a seus criadores qualquer forma de direito autoral.

Art. 12. É vedado o uso dos ativos da Justiça Eleitoral para obter proveito pessoal ou de terceiro, bem como para veicular opiniões político-partidárias.

Seção II

Do Controle de Acessos

Art. 13. O acesso às informações produzidas ou custodiadas pela Justiça Eleitoral que não sejam de domínio público deve ser limitado às atribuições necessárias ao desempenho das respectivas atividades dos destinatários desta PSI, na forma descrita no caput do art. 5º.

§ 1º Qualquer outra forma de uso que extrapole as atribuições necessárias ao desempenho das atividades necessitará de prévia autorização formal.

§ 2º O acesso a informações produzidas ou custodiadas pela Justiça Eleitoral que não sejam de domínio público, quando autorizado, será condicionado ao aceite a termo de sigilo e responsabilidade.

Art. 14. Todo usuário deverá possuir identificação pessoal e intransferível, qualificando-o, inequivocamente, como responsável por qualquer atividade desenvolvida sob essa identificação.

Seção III

Da Gestão de Riscos

Art. 15. Deverá ser estabelecido Processo de Gestão de Riscos de ativos de informação e de processamento do Tribunal, visando à identificação, avaliação e posterior tratamento e monitoramento dos riscos considerados críticos para a segurança da informação.

Parágrafo único. O Processo de Gestão de Riscos deverá ser revisado periodicamente.

Seção IV

Da Gestão da Continuidade de Negócios

Art. 16. Deverá ser elaborado Plano de Continuidade de Negócios que estabeleça procedimentos e defina estrutura mínima de recursos para que se desenvolva uma resiliência organizacional capaz de garantir o fluxo das informações críticas em momento de crise e salvaguardar o interesse das partes interessadas, a reputação e a marca da organização.

Parágrafo único. O Plano de Continuidade de Negócios deverá ser testado e revisado periodicamente.

Seção V

Do Tratamento de Incidentes de Rede

Art. 17. Deverá ser elaborado um Processo de Tratamento e Resposta a Incidentes em Redes de Computadores, visando impedir, interromper ou minimizar o impacto de uma ação maliciosa ou acidental.

Seção VI

Da Gestão de Incidentes de Segurança da Informação

Art. 18. A gestão de incidentes em segurança da informação tem por objetivo assegurar que fragilidades e incidentes em segurança da informação sejam identificados, permitindo a tomada de ação corretiva em tempo hábil.

Parágrafo único. Os usuários são responsáveis por:

I – reportar tempestivamente ao Gestor de Segurança da Informação os incidentes em segurança da informação de que tenham ciência ou suspeita; e

II – colaborar, em suas áreas de competência, na identificação e no tratamento de incidentes em segurança da informação.

Seção VII

Da Auditoria e Conformidade

Art. 19. Deverá ser incluída no escopo do Plano Anual de Auditoria e Conformidade análise do correto cumprimento desta PSI, seus regulamentos e demais normativos de segurança vigentes.

Parágrafo único. A inclusão no escopo do Plano Anual de Auditoria e Conformidade deve ser realizada, no mínimo, a cada dois anos e deve abranger uma ou mais normas, procedimentos, planos e/ou processos estabelecidos.

Seção VIII

Dos Serviços de Internet e Do Correio Eletrônico Corporativo

Art. 20. Os serviços de acesso à Internet e de correio eletrônico corporativo disponibilizados aos usuários são considerados de propriedade da Justiça Eleitoral e passíveis de monitoramento.

Seção IX

Do Desenvolvimento de Sistemas Seguros

Art. 21. O Processo de Desenvolvimento de Software do Tribunal deverá contemplar atividades específicas que garantam maior segurança para os sistemas utilizados, de forma a preservar o ambiente tecnológico, assim como prevenir possíveis incidentes de segurança com os dados desses sistemas ou com a infraestrutura utilizada.

Seção X

Do Uso de Recursos Criptográficos

Art. 22. Toda a informação classificada, em qualquer grau de sigilo, produzida, armazenada ou transmitida pelo Tribunal, em parte ou totalmente, por qualquer meio eletrônico, deverá ser protegida com recurso criptográfico.

Parágrafo único. A falta de proteção criptográfica poderá ocorrer quando justificada e aprovada pela unidade gestora de riscos, ou pela Comissão de Segurança da Informação, ou quando prevista em normativo específico.

Seção XI

Do Processo de Tratamento da Informação

Art. 23. O tratamento da informação deve abranger as políticas, os processos, as práticas e os instrumentos utilizados pela Justiça Eleitoral para lidar com a informação ao longo de cada fase do ciclo de vida, contemplando o conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação.

Parágrafo único. O conjunto das ações referentes ao tratamento da informação será agrupado nas seguintes fases:

I – produção e recepção: refere-se à fase inicial do ciclo de vida e compreende produção, recepção ou custódia e classificação da informação;

II – organizações: refere-se ao armazenamento, arquivamento e controle da informação;

III – uso e disseminação: refere-se à utilização, acesso, reprodução, transporte, transmissão e distribuição da informação;

IV – destinações: refere-se à fase final do ciclo de vida da informação e compreende avaliação, destinação ou eliminação da informação.

CAPÍTULO V

DA ESTRUTURA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO

Art. 24. Deverá ser constituída, no âmbito do Tribunal Regional Eleitoral do Amapá, Comissão de Segurança da Informação, subordinada à Presidência do Tribunal, composta, no mínimo, por representantes da Presidência, da Corregedoria, da Diretoria-Geral, de cada Secretaria e da Assessoria de Comunicação Social ou da unidade que desempenhe essa atividade.

Art. 25. Compete à Comissão de Segurança da Informação:

I – propor melhorias a esta PSI;

II – propor normas, procedimentos, planos e/ou processos, nos termos do art. 6º, visando à operacionalização desta PSI;

III – promover a divulgação desta PSI e normativos, bem como ações para disseminar a cultura em segurança da informação, no âmbito do Tribunal;

IV – propor estratégias para a implantação desta PSI;

V – propor ações visando à fiscalização da aplicação das normas e da política de segurança da informação;

VI – propor recursos necessários à implementação das ações de segurança da informação;

VII – propor a realização de análise de riscos e mapeamento de vulnerabilidades nos ativos;

VIII – propor a abertura de sindicância para investigar e avaliar os danos decorrentes de quebra de segurança da informação;

IX – propor o modelo de implementação da Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais (ETIR), de acordo com a norma vigente;

X – propor a constituição de grupos de trabalho para tratar de temas sobre segurança da informação;

XI – responder pela segurança da informação.

Art. 26. Caberá, especificamente, à Comissão de Segurança da Informação do Tribunal Regional Eleitoral do Amapá:

I – apresentar à alta administração do TRE/AP, proposta de revisão da PSI da Justiça Eleitoral, no máximo a cada três anos, de modo a atualizá-la em razão de novos requisitos corporativos de segurança;

II – avaliar e referendar proposições encaminhadas pelas unidades do Tribunal e Zonas Eleitorais para melhoria desta PSI;

III – propor modelos de normas, procedimentos, planos e/ou processos, visando auxiliar a operacionalização desta política no âmbito do Tribunal;

IV – promover, em âmbito regional, a divulgação desta PSI, bem como ações para disseminar a cultura em segurança da informação.

Art. 27. Deverá ser nomeado um Gestor de Segurança da Informação, no âmbito do Tribunal, com as seguintes responsabilidades:

I – propor normas relativas à segurança da informação à Comissão de Segurança da Informação;

II – propor iniciativas para aumentar o nível da segurança da informação à Comissão de Segurança da Informação, com base, inclusive, nos registros armazenados pela ETIR;

III – propor o uso de novas tecnologias na área de segurança da informação;

IV –- implantar, em conjunto com as demais áreas, normas, procedimentos, planos e/ou processos elaborados pela Comissão de Segurança da Informação.

Parágrafo único. O Gestor de Segurança da Informação deverá ser servidor que detenha amplo conhecimento dos processos de negócio do Tribunal e do tema em foco.

Art. 28. Deverá ser instituída ETIR, conforme modelo proposto pela Comissão de Segurança da Informação e aprovado pelo Diretor-Geral da Secretaria do Tribunal, com a responsabilidade de receber, analisar, classificar, tratar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores, além de armazenar registros para formação de séries históricas como subsídio estatístico e para fins de auditoria.

Parágrafo único. Caberá ainda à ETIR elaborar o Processo de Tratamento e Resposta a Incidentes em Redes de Computadores no âmbito do Tribunal.

CAPÍTULO VI

DAS COMPETÊNCIAS DAS UNIDADES

Art. 29. Compete à Presidência:

I – apoiar a aplicação das ações estabelecidas nesta PSI;

II – nomear ou delegar ao Diretor-Geral da Secretaria a nomeação:

1. a) do Gestor da Comissão de Segurança da Informação, nos termos do art. 22;
2. b) do Gestor de Segurança da Informação e seu substituto, nos termos do art. 25, parágrafo único;
3. c) de integrantes da ETIR, nos termos do art. 26.

Art. 30. Compete ao Diretor-Geral da Secretaria do Tribunal:

I – aprovar normas, procedimentos, planos e/ou processos que lhe forem submetidos pela Comissão de Segurança da Informação;

II – submeter à Presidência as propostas que extrapolem sua alçada decisória;

III – apoiar a aplicação das ações estabelecidas nesta PSI;

IV – viabilizar financeiramente as ações de implantação desta PSI, inclusive a exequibilidade do Plano de Continuidade de Negócios do Tribunal, abrangendo sua manutenção, treinamento e testes periódicos.

Art. 31. Compete à Secretaria de Tecnologia da Informação:

I – apoiar a implementação desta PSI;

II – prover os ativos de processamento necessários ao cumprimento desta PSI;

III – garantir que os níveis de acesso lógico concedidos aos usuários estejam adequados aos propósitos do negócio e condizentes com as normas vigentes de segurança da informação;

IV – disponibilizar e gerenciar a infraestrutura necessária aos processos de trabalho da ETIR;

V – executar as orientações técnicas e os procedimentos estabelecidos pela Comissão de Segurança da Informação.

Art. 32. Compete à Secretaria de Administração:

I –- implantar controles nos ambientes físicos, visando prevenir danos, furtos, roubos, interferência e acesso não autorizado às instalações e ao patrimônio da Justiça Eleitoral;

II – implantar controles e proteção contra ameaças externas ou decorrentes do meio ambiente, como incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e desastres naturais;

III – assegurar que os empregados das empresas prestadoras de serviço contratadas conheçam suas atribuições e responsabilidades em relação à segurança da informação;

IV – adotar as medidas necessárias por ocasião do desligamento de empregados das empresas prestadoras de serviço contratadas e comunicar às demais unidades do Tribunal, com vistas à pertinente remoção dos acessos às informações da Justiça Eleitoral;

V – executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação.

Parágrafo único. As atribuições indicadas nos incisos I e II serão de competência da unidade de Segurança Institucional.

Art. 33. Compete à unidade de Gestão de Pessoas:

I – apoiar a Comissão de Segurança da Informação na missão de assegurar que os magistrados, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo e estagiários conheçam suas atribuições e responsabilidades em relação à segurança da informação;

II – adotar as medidas necessárias por ocasião do desligamento de pessoal e comunicar às demais unidades do Tribunal, com vistas à pertinente remoção dos acessos às informações da Justiça Eleitoral;

III – promover a capacitação dos servidores que integram a estrutura de gestão da segurança da informação, no que for pertinente;

IV – executar as orientações técnicas e os procedimentos estabelecidos pela Comissão de Segurança da Informação.

Art. 34. Compete à Assessoria de Comunicação ou unidade responsável por essa atividade, com a Comissão de Segurança da Informação:

I – promover campanhas de conscientização sobre a importância da segurança da informação;

II – divulgar esta PSI;

III – executar as orientações técnicas e os procedimentos estabelecidos pela Comissão de Segurança da Informação.

Art. 35. Compete à Corregedoria Eleitoral:

I – empreender medidas e expedir normas para adequar as práticas cartorárias a esta PSI;

II – executar as orientações técnicas e os procedimentos estabelecidos pela Comissão de Segurança da Informação.

Art. 36. Compete à unidade de Controle Interno e Auditoria:

I – incluir no escopo do Plano Anual de Auditoria e Conformidade, nos termos estabelecidos no art. 17, a análise do cumprimento desta PSI, seus regulamentos e demais normativos de segurança vigentes;

II – realizar auditorias conforme Plano Anual de Auditoria e Conformidade;

III – executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação.

Art. 37. Compete à unidade responsável pela Gestão da Informação:

I – regulamentar e coordenar o processo de classificação da informação no âmbito do Tribunal;

II – executar as orientações técnicas e os procedimentos estabelecidos.

Art. 38. Compete ao Juízo Eleitoral:

I – apoiar a Comissão de Segurança da Informação na missão de assegurar que os magistrados, servidores efetivos e requisitados, estagiários, prestadores de serviço e colaboradores conheçam suas atribuições e responsabilidades em relação à segurança da informação;

II – executar as orientações técnicas e os procedimentos estabelecidos pela Comissão de Segurança da Informação.

Art. 39. Compete aos usuários:

I – responder por toda atividade executada com o uso de sua identificação;

II – ter pleno conhecimento desta PSI;

III – reportar tempestivamente ao Gestor de Segurança da Informação quaisquer falhas ou indícios de falhas de segurança de que tenha conhecimento ou suspeita;

IV – proteger as informações sigilosas e pessoais obtidas em decorrência do exercício de suas atividades;

V – executar as orientações técnicas e os procedimentos estabelecidos pela Comissão de Segurança da Informação;

VI – gerenciar os ativos sob sua responsabilidade.

CAPÍTULO VII

DAS DISPOSIÇÕES FINAIS

Art. 40. Os casos omissos desta PSI serão resolvidos pela Comissão de Segurança da Informação do Tribunal.

Art. 41. Esta PSI e demais normas, procedimentos, planos e/ou processos deverão ser publicados na Intranet do Tribunal pela Comissão de Segurança da Informação.

Art. 42. O descumprimento desta PSI será objeto de apuração pela unidade competente do Tribunal e pode acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.

Art. 43. Os contratos, convênios, acordos de cooperação e outros instrumentos congêneres celebrados pelo Tribunal devem observar, no que couber, o constante desta PSI.

Art. 44. Esta resolução entra em vigor na data de sua publicação.

Sala de Sessões do Tribunal Regional Eleitoral do Amapá, 11 de dezembro de 2017.

Juíza SUELI PINI

Presidente