RESOLUÇÃO Nº 616, DE 01 DE ABRIL DE 2025

O TRIBUNAL REGIONAL ELEITORAL DO AMAPÁ, no uso de suas atribuições legais e regimentais,

CONSIDERANDO que a Justiça Eleitoral e o Tribunal Regional Eleitoral do Amapá produzem, recebem e custodiam informações no exercício de suas competências constitucionais, legais e regulamentares, e que essas informações devem atender aos princípios da integridade, confidencialidade e disponibilidade da Segurança da Informação;

CONSIDERANDO que as informações e os documentos na Justiça Eleitoral são armazenados e disponibilizados em diferentes suportes, físicos e eletrônicos, portanto, vulneráveis a incidentes, como desastres naturais, acessos não autorizados, mau uso, falhas de equipamentos, extravio e furto;

CONSIDERANDO a importância da adoção de boas práticas relacionadas à proteção da informação preconizadas pelas normas NBR ISO/IEC 27001:2022, NBR ISO/IEC 27002:2022, NBR ISO/IEC 27005:2023;

CONSIDERANDO a Lei nº 12.527/2011, que versa sobre o acesso à informação, especialmente quanto às normas de classificação, restrição e segurança da informação;

CONSIDERANDO a necessidade de implementar ações para garantir a adequada execução da Lei nº 13.709/2018 (LGPD), no que tange à segurança da informação;

CONSIDERANDO o Decreto nº 9.637/2018, que institui a Política Nacional de Segurança da Informação no âmbito da Administração Pública Federal;

CONSIDERANDO a Resolução nº 325/2020 do Conselho Nacional de Justiça, que institui a Estratégia Nacional do Poder Judiciário para o sexênio 2021- 2026;

CONSIDERANDO a Resolução nº 370/2021 do Conselho Nacional de Justiça, que estabelece a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD);

CONSIDERANDO a Resolução nº 396/2021 do Conselho Nacional de Justiça, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução nº 23.644/2021 do Tribunal Superior Eleitoral, que dispõe sobre a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Resolução nº 559/2021 do Tribunal Regional Eleitoral do Amapá, que Institui o Planejamento Estratégico do Tribunal Regional Eleitoral do Amapá para o período 2021/2026 e dá outras providências;

CONSIDERANDO o Plano Diretor de Tecnologia da Informação do Tribunal Regional Eleitoral do Amapá (PDTIC) para o período 2021-2026, aprovado através da Portaria Presidência TRE/AP nº 180/2021;

CONSIDERANDO a necessidade de orientar a condução de ações voltadas à promoção da Segurança da Informação no âmbito da Justiça Eleitoral do Estado do Amapá.

RESOLVE:

Art. 1º Fica instituída a Política de Segurança da Informação (PSI) do Tribunal Regional Eleitoral do Amapá.

CAPÍTULO I

DOS CONCEITOS E DAS DEFINIÇÕES

Art. 2º Para efeitos desta Resolução e de suas regulamentações, aplicar-se-á o glossário de termos de segurança da informação definido pela Portaria da Presidência TRE/AP nº 25, de 13 de março de 2023, que institui a norma de termos e definições relativos à Política de Segurança da Informação.

CAPÍTULO II

DOS PRINCÍPIOS

Art. 3º Esta PSI se alinha à estratégia do Tribunal Regional Eleitoral do Amapá; à Estratégia Nacional de Tecnologia da Informação do Poder Judiciário (ENTIC-JUD); à Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ) e tem como princípio norteador a garantia da disponibilidade, integridade, confidencialidade, autenticidade, irretratabilidade e auditabilidade das informações produzidas, recebidas, armazenadas, tratadas ou transmitidas pelo Tribunal Regional Eleitoral do Amapá no exercício de suas atividades e funções.

Art. 4º O uso adequado dos recursos de tecnologia da informação e comunicação visa garantir a continuidade da prestação jurisdicional e de serviços do Tribunal Regional Eleitoral do Amapá.

§ 1º Os recursos de tecnologia da informação e comunicação, pertencentes ao Tribunal Regional Eleitoral do Amapá e que estão disponíveis para as usuárias e usuários, devem ser utilizados em atividades estritamente relacionadas às funções institucionais.

§ 2º A utilização dos recursos de tecnologia da informação e comunicação é passível de monitoramento e controle por parte do Tribunal Regional Eleitoral do Amapá.

Art. 5º As informações produzidas por usuárias e usuários, no exercício de suas atividades e funções, são patrimônio intelectual do Tribunal Regional Eleitoral do Amapá, não cabendo a suas/seus criadoras(es) qualquer forma de direito autoral.

CAPÍTULO III

DO ESCOPO

Art. 6º São objetivos da PSI do Tribunal Regional Eleitoral do Amapá:

I - instituir diretrizes estratégicas, responsabilidades e competências, visando à estruturação da segurança da informação;

II - direcionar as ações necessárias à implementação e à manutenção da segurança da informação;

III - definir as ações necessárias para evitar ou mitigar os efeitos de atos acidentais ou intencionais, internos ou externos, de destruição, modificação, apropriação ou divulgação indevida de informações, de modo a preservar os ativos de informação e a imagem da instituição;

IV - nortear os trabalhos de conscientização e de capacitação de pessoal em segurança da informação e em proteção de dados pessoais.

Art. 7º Esta PSI se aplica a todas as magistradas e magistrados, membros do Ministério Público, servidoras e servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, estagiárias e estagiários, prestadoras e prestadores de serviço, colaboradoras e colaboradores e usuárias e usuários externos que fazem uso ou tenham acesso aos ativos de informação e de processamento no âmbito do Tribunal Regional Eleitoral do Amapá.

Art. 8º As destinatárias e destinatários desta PSI, relacionados na cabeça do artigo 7º, são corresponsáveis pela segurança da informação, de acordo com os preceitos estabelecidos nesta Resolução, e têm como deveres:

I - ter pleno conhecimento desta PSI e zelar por seu cumprimento;

II - proteger as informações sigilosas e pessoais obtidas em decorrência do exercício de suas atividades;

III - preservar o sigilo da identificação de usuário e de senhas de acessos individuais a sistemas de informação, ou outros tipos de credenciais de acesso que lhes forem atribuídos;

IV - participar das campanhas de conscientização e dos treinamentos pertinentes aos temas de segurança da informação e proteção de dados pessoais, conforme planejamento deste Tribunal;

V - reportar qualquer falha ou incidente de segurança da informação de que tiver conhecimento, encaminhando todas as informações necessárias para o e-mail etir@tre-ap.jus.br ou outros meios indicados pela Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética;

VI - utilizar os ativos sob sua responsabilidade de forma segura, em observância ao disposto nesta PSI e em eventuais normativos a ela subordinados.

CAPÍTULO IV

DAS DIRETRIZES GERAIS

Art. 9º A estrutura normativa referente à Segurança da Informação será estabelecida e organizada conforme definido a seguir:

I - Nível Estratégico: Política de Segurança da Informação do Tribunal Regional Eleitoral do Amapá, constituída por esta Resolução, a qual define as diretrizes fundamentais e os princípios basilares incorporados pela instituição à sua gestão, de acordo com a visão definida pelo Planejamento Estratégico do Tribunal Regional Eleitoral do Amapá;

II - Nível Tático: Normas Complementares sobre Segurança da Informação, que contemplam obrigações a serem seguidas de acordo com as diretrizes estabelecidas nesta PSI, a serem editadas pelo Presidente do Tribunal Regional Eleitoral do Amapá, e devem abarcar, no mínimo, os seguintes temas:

a) Gestão de Ativos de informação e de processamento;

b) Gestão de Identidade e o Controle de Acesso Físico e Lógico ao Ambiente Cibernético;

c) Gestão de Riscos de Segurança da Informação;

d) Política de Uso Aceitável dos Recursos de Tecnologia da Informação e Comunicação (TIC);

e) Política de Backup e Recuperação de Dados do Tribunal Regional Eleitoral do Amapá;

f) Plano de Continuidade de Serviços Essenciais de TIC;

g) Gestão de Incidentes de Segurança da Informação;

h) Gestão de Vulnerabilidades;

i) Gestão e Monitoramento de Registros de Atividade (logs);

j) Desenvolvimento e Implantação Segura de Software;

k) Uso de Recursos Criptográficos;

l) Configuração Segura de Ambientes.

III - Nível Operacional: Procedimentos de Segurança da Informação que contemplam regras operacionais, roteiros técnicos, fluxos de processos, manuais com informações técnicas que instrumentalizam o disposto nas normas referenciadas no plano tático, de acordo com o disposto nas diretrizes e normas de segurança estabelecidas, permitindo sua utilização nas atividades do órgão.

§ 1º Conforme necessidade e conveniência, poderão ser criados normativos sobre outros temas.

§ 2º Os normativos deverão considerar as disposições contidas na família de normas ISO 27000, na Instrução Normativa nº 01 GSI/PR/2008, nas disposições apresentadas na Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ) e na Estratégia Nacional de Segurança Cibernética da Justiça Eleitoral.

CAPÍTULO V

DA ESTRUTURA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO

Art. 10. Compete à alta administração do Tribunal Regional Eleitoral do Amapá realizar a governança da segurança da informação e especialmente:

I - implementar, no que lhe couber, a Política de Segurança Cibernética do Poder Judiciário e da Justiça Eleitoral;

II - elaborar e revisar a Política de Segurança da Informação e normas internas correlatas ao tema, observadas as normas de segurança da informação editadas pelo CNJ;

III - destinar recursos orçamentários específicos para as ações de segurança da informação;

IV - promover ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação;

V - instituir e implementar a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR);

VI - coordenar e executar as ações de segurança da informação no âmbito de sua atuação; e

VII - aplicar as ações corretivas e disciplinares cabíveis nos casos de violação da segurança da informação.

Art. 11. A(o) Presidente do Tribunal Regional Eleitoral do Amapá deverá constituir Comitê de Governança de Segurança da Informação (CGSI), subordinado à Presidência do Tribunal, composto, no mínimo, por representantes da Presidência, da Corregedoria, da Diretoria-Geral e de cada Secretaria; ao qual caberá:

I - assessorar a alta administração do Tribunal Regional Eleitoral do Amapá em todas as questões relacionadas à governança e gestão de segurança da informação;

II - propor alterações na política de segurança da informação e deliberar sobre assuntos a ela relacionados, incluindo atividades de priorização de ações e gestão de riscos de segurança;

III - propor normas internas relativas à segurança da informação;

IV - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação; e

V - consolidar e analisar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação.

§ 1º Os(as) representantes indicados pelas unidades citadas na cabeça deste artigo devem ser preferencialmente servidoras e/ou servidores do Tribunal Regional Eleitoral do Amapá.

§ 2º Os(as) integrantes do Comitê de Governança de Segurança da Informação deverão assinar Termo de Sigilo¹ em que se comprometam a não divulgar as informações de que venham a ter ciência em razão de sua participação no citado comitê para terceiros estranhos aos processos e procedimentos relativos à segurança da informação.

§ 3º O CGSI será coordenado pela autoridade responsável pela segurança da informação, nomeado pelo(a) Presidente do Tribunal Regional Eleitoral do Amapá.

§ 4º O(a) Presidente do Tribunal Regional Eleitoral do Amapá editará ato para definir a forma de instituição e funcionamento do CGSI, observado o disposto nesta Resolução, na PSI da Justiça Eleitoral e na Resolução CNJ nº 396/2021.

Art. 12. O Tribunal Regional Eleitoral do Amapá deverá constituir estrutura de segurança da informação, subordinada diretamente à alta administração do órgão e desvinculada da área de TIC.

§ 1º O(a) titular da estrutura prevista na cabeça deste artigo será o(a) Gestor(a) de Segurança da Informação do Tribunal Regional Eleitoral do Amapá.

§ 2º O(a) Gestor(a) de Segurança da Informação terá as seguintes atribuições:

I - instituir e gerir o Sistema de Gestão de Segurança da Informação;

II - implementar controles internos fundamentados na gestão de riscos da segurança da informação;

III - planejar a execução de programas, de projetos e de processos relativos à segurança da informação com as demais unidades do Tribunal Regional Eleitoral do Amapá;

IV - implantar procedimento de tratamento e resposta a incidentes em segurança da informação; e

V - observar as normas e os procedimentos específicos aplicáveis em consonância com os princípios e as diretrizes desta Resolução e da Resolução CNJ nº 396/2021.

§ 3º O(a) Gestor(a) de Segurança da Informação deverá ser servidor ou servidora que detenha amplo conhecimento dos processos de negócio do Tribunal e do tema objeto desta Resolução.

Art. 13. Deverá ser instituída Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética - ETIR, conforme modelo proposto pelo Comitê de Governança de Segurança da Informação e aprovado pelo(a) Presidente do Tribunal Regional Eleitoral do Amapá, com a responsabilidade de receber, analisar, classificar, tratar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores, além de armazenar registros para formação de séries históricas, como subsídio estatístico, e para fins de auditoria.

§ 1º Caberá à ETIR elaborar o Processo de Tratamento e Resposta a Incidentes em Redes Computacionais no âmbito do Tribunal Regional Eleitoral do Amapá.

§ 2º Poderá a ETIR comunicar a ocorrência de incidentes em redes de computadores aos Centros de Tratamento de Incidentes ligados a entidades de governo, ao Centro de Tratamento de Incidentes em Redes Computacionais do Poder Judiciário, tão logo esteja implantado, e ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil - CERT.br, sempre que a cooperação seja necessária para prover uma melhor resposta ao incidente.

§ 3º Caberá à ETIR a comunicação com as equipes congêneres de outros tribunais eleitorais para o tratamento de incidentes de segurança comuns aos tribunais envolvidos.

§ 4º Caso a ETIR, não esteja constituída ou não esteja em operação, as atribuições definidas neste artigo caberão à Secretaria de Tecnologia da Informação.

CAPÍTULO VI

DO PROCESSO DE TRATAMENTO DA INFORMAÇÃO

Art. 14. O tratamento da informação deve abranger as políticas, os processos, as práticas e os instrumentos utilizados pela Justiça Eleitoral para lidar com a informação ao longo de cada fase do seu ciclo de vida, contemplando o conjunto de ações referentes às fases de produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação.

Art. 15. As informações produzidas ou custodiadas pelo Tribunal Regional Eleitoral do Amapá devem ser tratadas em função do seu grau de confidencialidade, criticidade e temporalidade, garantindo-se a sua integridade, autenticidade, disponibilidade e a cadeia de custódia dos documentos.

§ 1º Serão protegidas quanto à confidencialidade as informações classificadas e as que possuem sigilo em decorrência de previsão legal, nos termos da Lei de Acesso à Informação e de sua regulamentação no Tribunal Regional Eleitoral do Amapá.

§ 2º Serão protegidas quanto à integridade, autenticidade e disponibilidade todas as informações, adotando-se medidas de proteção de acordo com a criticidade atribuída a cada informação.

§ 3º Os direitos de acesso aos sistemas de informação e às bases de dados da Justiça Eleitoral deverão ser concedidos às usuárias e usuários em estrita observância à efetiva necessidade de tal acesso para a execução de suas atividades e funções no TRE/AP, observadas, no que couber, as disposições da Lei de Acesso à Informação.

§ 4º A regulamentação das informações classificadas no Tribunal deverá ser proposta pela Seção de Protocolo e Arquivo ou Comissão de Gestão de Documental.

§ 5º As informações ostensivas de interesse público deverão ser disponibilizadas independentemente de solicitações, observadas a Política e Planos de Dados Abertos ou determinações semelhantes no Tribunal.

Art. 16. Toda informação classificada, em qualquer grau de sigilo, produzida, armazenada ou transmitida pelo Tribunal, em parte ou totalmente, por qualquer meio eletrônico, deverá ser protegida com recurso criptográfico.

Parágrafo único. A falta de proteção criptográfica poderá ocorrer quando justificada e aprovada pela unidade gestora de riscos, ou pelo Comitê de Governança de Segurança da Informação ou quando prevista em normativo específico.

CAPÍTULO VII

DAS COMPETÊNCIAS DAS UNIDADES

Art. 17. Compete à Presidência do Tribunal:

I - apoiar a aplicação das ações estabelecidas nesta PSI;

II - nomear ou delegar à Diretora ou Diretor-Geral da Secretaria a nomeação:

a) do Comitê de Governança de Segurança da Informação;

b) da Gestora ou Gestor de Segurança da Informação;

c) de integrantes da ETIR.

III - aprovar normas, procedimentos, planos ou processos que lhe forem submetidos pelo Comitê de Governança de Segurança da Informação, ETIR ou Secretaria de Tecnologia da Informação;

IV - apoiar a aplicação das ações estabelecidas nesta PSI;

V - viabilizar financeiramente as ações de implantação desta PSI, inclusive a exequibilidade do Plano de Continuidade de Serviços Essenciais de TI ou do Plano de Continuidade de Negócios, abrangendo manutenção, treinamento e testes periódicos; e implementação de programas de treinamento e conscientização em Segurança da Informação.

Art. 18. Compete à Secretaria de Tecnologia da Informação (STI):

I - apoiar a implementação desta PSI;

II - prover os ativos de processamento necessários ao cumprimento desta PSI;

III - garantir que os níveis de acesso lógico concedidos aos usuários, de acordo com os direitos de acesso definidos pelos(as) gestores(as) dos sistemas de informação, estejam adequados aos propósitos do negócio e condizentes com as normas vigentes de segurança da informação;

IV - disponibilizar e gerenciar a infraestrutura necessária aos processos de trabalho da ETIR;

V - executar as orientações e os procedimentos estabelecidos pelo Comitê de Governança de Segurança da Informação.

Art. 19. Compete à Secretaria de Gestão de Pessoas (SGP):

I - garantir que os(as) destinatários(as) previstos no artigo 7º, inclusive para cada novo(a) destinatário(a) que venha a ingressar no Tribunal, conheçam os deveres previstos no artigo 8º, ambos desta Resolução;

II - incluir Termo de Responsabilidade e Confidencialidade referente a esta política como documento obrigatório para exercício dos(as) destinatários(as) desta Resolução e proceder à guarda segura dos documentos assinados;

III - manter atualizados, no sistema informatizado de gestão de pessoas, todos os dados referentes a desligamentos, afastamentos, retornos e modificações no quadro funcional do TRE/AP;

IV - manter o status atualizado das credenciais que precisem ser emitidas, revogadas e suspensas.

Art. 20. Compete à Escola Judicial Eleitoral (EJE):

I - apoiar as campanhas de conscientização de Segurança da Informação, juntamente com a STI;

II - manter programas permanentes de treinamento e conscientização em segurança da informação no âmbito deste Tribunal.

Art. 21. As demais unidades organizacionais do Tribunal deverão apoiar, observadas suas atribuições regimentais, as estruturas organizacionais responsáveis pela Gestão da Segurança da Informação, conforme definições constantes no Capítulo V.

CAPÍTULO VIII

DAS DISPOSIÇÕES TRANSITÓRIAS E FINAIS

Art. 22. As diretrizes de segurança da informação para computação em nuvem, trabalho remoto e adoção de novos sistemas ou soluções de TIC serão regulamentadas em normativos próprios, por ato da Presidência do Tribunal.

Art. 23. Os casos omissos desta PSI serão resolvidos pelo Comitê de Governança de Segurança da Informação.

Art. 24. Esta PSI e demais normas, procedimentos, planos ou processos deverão ser publicados na página da intranet do Tribunal Regional Eleitoral do Amapá, caso não afetem a segurança das operações do Tribunal.

Parágrafo único. As diretrizes normativas de que trata o caput deste artigo também devem ser divulgadas a todas(os) as(os) citadas(os) no artigo 7º no momento da sua posse ou admissão, além de a outras pessoas que se encontrem a serviço ou em visita às unidades do Tribunal Regional Eleitoral do Amapá, autorizadas a utilizar temporariamente os recursos de tecnologia da informação e comunicação da instituição.

Art. 25. O descumprimento desta PSI será objeto de apuração pela unidade competente do Tribunal, mediante sindicância ou processo administrativo disciplinar, e pode acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos(às) envolvidos(as) o contraditório e a ampla defesa.

Art. 26. Os contratos, convênios, acordos de cooperação e outros instrumentos congêneres celebrados pelo Tribunal deverão observar, no que couber, o constante desta PSI.

Art. 27. Deverá ser incluída no escopo do Plano Anual de Auditoria e Conformidade a análise do correto cumprimento desta PSI, de seus regulamentos e demais normativos de segurança vigentes, conforme planejamento estabelecido pela Unidade de Auditoria Interna, abrangendo uma ou mais normas, procedimentos, planos ou processos estabelecidos.

Art. 28. A PSI e a Política Geral de Privacidade e Proteção de Dados Pessoais do Tribunal Regional Eleitoral do Amapá são complementares e devem ser interpretadas em conjunto, estando alinhadas à PSI e à Política Geral de Privacidade e Proteção de Dados Pessoais da Justiça Eleitoral.

Art. 29. O uso de soluções baseadas em Inteligência Artificial (IA) no âmbito do Tribunal Regional Eleitoral do Amapá deverá observar as diretrizes estabelecidas pelo Conselho Nacional de Justiça (CNJ) e pelo Tribunal Superior Eleitoral, especialmente no que se refere à ética, transparência, integridade e rastreabilidade dos algoritmos utilizados.

Art. 30. Fica revogada a Resolução TRE/AP nº 570, de 20 de maio de 2022, e suas alterações posteriores.

Art. 31. Esta Resolução entra em vigor na data de sua publicação.

Sala de Sessões do Tribunal Regional Eleitoral do Amapá, 1º de abril de 2025. 

Juiz CARMO ANTÔNIO

Relator