Dispõe sobre a criação e composição do Comitê de Governança de Segurança da Informação e de Crises Cibernéticas no âmbito do Conselho Nacional de Justiça (CGSICC.CNJ).
O PRESIDENTE DO CONSELHO NACIONAL DE JUSTIÇA (CNJ), no uso de suas atribuições legais e regimentais,
CONSIDERANDO a atribuição do CNJ de supervisionar administrativa e financeiramente as ações de tecnologia da informação e comunicação do Poder Judiciário;
CONSIDERANDO os termos da Resolução CNJ nº 370/2021, que instituiu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), e estabeleceu as Diretrizes Estratégicas de Nivelamento;
CONSIDERANDO a necessidade de adesão ao Protocolo de Gerenciamento de Crises Cibernéticas no âmbito do Poder Judiciário (PGCC/PJ);
CONSIDERANDO a Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais do Conselho Nacional de Justiça (ETIRCNJ) instituída pela Política de Segurança da Informação do CNJ;
CONSIDERANDO os princípios fundamentais da segurança da informação e conceitos estabelecidos pela Política de Segurança da Informação do CNJ;
CONSIDERANDO a necessidade de atendimento às orientações e recomendações efetuadas pelo Tribunal de Contas da União (TCU) nos Acórdãos que versam sobre a Segurança da Informação na Administração Pública Federal (APF) e assuntos correlatos;
RESOLVE:
Art. 1º Fica instituído o Comitê de Governança de Segurança da Informação e de Crises Cibernéticas (CGSICC.CNJ) para atuar exclusivamente no âmbito do Conselho Nacional de Justiça, com vistas à promoção da cultura de segurança da Informação, inclusive no que tange à prevenção e ao tratamento de crises cibernéticas de forma contínua, estabelecendo um modelo de gestão que cria um sistema eficiente de segurança da informação em todas as suas variáveis.
Art. 2º O CGSICC.CNJ tem natureza consultiva, técnica e operacional, de caráter permanente, e tem, ainda, por finalidade analisar, periodicamente, de forma a proporcionar melhoria contínua, a efetividade das diretrizes correlatas à Segurança da Informação e das ações relacionadas às Crises Cibernéticas no CNJ;
Art. 3º Compete ao CGSICC.CNJ, no âmbito do CNJ:
I – propor e acompanhar estratégias, metas e ações de segurança da informação, bem como apresentar resultados decorrentes da implementação;
II – propor critérios de classificação dos dados e das informações, com vistas à garantia dos níveis de segurança desejados e à normatização do acesso e uso das informações;
III – requerer das áreas do CNJ informações e dados que possam ser necessários para o desdobramento das ações e estratégias de segurança da Informação e de crises cibernéticas, verificando fatos e descartando boatos;
IV – propor o processo de gestão em caso de detecção de ameaças ou riscos;
V – administrar, de maneira preventiva e corretiva, as crises cibernéticas, devendo comunicar imediatamente as medidas urgentes adotadas às unidades da alta administração do CNJ, cujos temas as crises mais diretamente se refiram, unidades com as quais deverá manter diálogo permanente durante os incidentes;
VI – prover aderência do CNJ aos Protocolos de Segurança da Informação e de Gestão de Crises Cibernéticas estabelecidos em atos normativos do CNJ de âmbito nacional;
VII – apresentar relatórios de tratamento de crises, incidentes de segurança da informação ou quaisquer outras situações geridas pelo CSCPJ;
VIII – solicitar a colaboração de especialistas ou de centros de resposta a incidentes de segurança;
IX – propor à chefia da unidade o envio servidores e colaboradores do CNJ para auxiliar nas situações de crise;
X – elaborar plano de retorno à normalidade a ser proposto à Presidência do CNJ;
XI – propor a elaboração e a revisão de políticas, normas e procedimentos inerentes à segurança da informação;
XII – gerenciar e avaliar os resultados de auditorias de conformidade de segurança da informação e de aspectos legais relacionados à proteção das informações;
XIII – elaborar proposta e promover atualização periódica de plano com medidas que garantam a continuidade das atividades do CNJ e o retorno à situação de normalidade em caso de desastre ou falha nos recursos que suportam os processos vitais de negócio do CNJ;
XIV – promover a cultura de segurança da informação no CNJ e implementar programas contínuos destinados à conscientização e capacitação dos usuários internos; e
XV – desenvolver outras atividades inerentes à sua finalidade.
Art. 4º Ao CGSICC.CNJ compete, quando a crise estiver instalada, atuar de forma eficiente para a sua resolução, em tempo hábil, com o auxílio da ETIRCNJ.
Parágrafo único. Todas as crises instaladas ou incidentes relevantes deverão ser comunicados ao Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Poder Judiciário (CPTRIC).
Art. 5º O CGSICC.CNJ será composto pelos seguintes integrantes do CNJ:
I – Juízes Auxiliares Coordenadores de TIC do Departamento de Tecnologia da Informação e Comunicação (DTI);
II – Diretor do DTI;
III – Diretor-Técnico do Departamento de Pesquisas Judiciárias (DPJ);
IV – Diretor do Departamento de Segurança Institucional do Poder Judiciário (DSIPJ);
V – Assessor-Chefe da Assessoria Jurídica;
VI – Secretário de Comunicação Social;
VII – Secretário de Administração;
VIII – Chefe da Seção de Segurança da Informação do DTI; e
IX – Coordenador de Atendimento e Infraestrutura do DTI.
§ 1º O CGSICC.CNJ reunir-se-á a qualquer tempo em que haja necessidade de atuação do Comitê, não extrapolando o prazo de 6 (seis) meses a contar do início de cada ano.
§ 2º O CGSICC.CNJ será presidido por um dos Juízes Auxiliares Coordenadores do DTI indicados pela Presidência, sendo coordenado pelo Diretor do Departamento de Tecnologia da Informação e Comunicação. ("Designar o Juiz Auxiliar da Presidência do CNJ João Thiago de França Guerra para presidir o Comitê de Governança de Segurança da Informação e de Crises Cibernéticas no âmbito do Conselho Nacional de Justiça (CGSICC.CNJ), instituído pela Portaria CNJ n. 128/2021, e os Juízes Auxiliares da Presidência do CNJ Adriano da Silva Araújo e Rafael Leite Paulo, como suplentes, nos termos do § 2o do art. 5o da referida Portaria". - redação dada pelo art. 29 da Portaria n. 351, de 29.9.2022)
§ 3º Os membros efetivos do comitê deverão designar os respectivos suplentes.
§ 4º O Presidente do CGSICC.CNJ deverá convidar o Secretário-Geral e o Secretário Especial de Programas, Pesquisas e Gestão Estratégica nos casos em que a gravidade do incidente cibernético exigirem.
Art. 6º O coordenador deverá indicar, em 15 (quinze) dias, onde funcionará a sala presencial de situação, ambiente que permita ao Comitê deliberar com tranquilidade e que possua uma equipe dedicada à execução de atividades administrativas para o período das crises.
§ 1º O coordenador deverá, tão logo criada a sala de situação, indicar os servidores do DTI que secretariarão os trabalhos, bem como comunicar o local de funcionamento da sala aos membros do Comitê.
§ 2º As reuniões poderão ocorrer de forma telepresencial em ambiente virtual, conforme vier a ser decidido pelo Presidente do CGSICC.CNJ.
Art. 7º Para eficácia dos trabalhos do CGSICC.CNJ, no que concerne ao tratamento preventivo e corretivo de crises cibernéticas ocorridas no âmbito do CNJ, são necessárias atribuições e atividades aderentes ao PGCC/PJ.
Art. 8º Caberá ao CGSICC.CNJ, por ato de seu coordenador, aprovado pelo Presidente do Comitê, regulamentar e detalhar as atividades e a forma de atuação do Comitê, de acordo com os normativos instituídos pelo CNJ relacionados à adoção dos Protocolos deSegurança da Informação e de Gestão de Crises Cibernéticas.
Art. 9º Esta Portaria entrará em vigor na data de sua publicação.
Ministro LUIZ FUX