Disciplina as práticas de gestão de identidade e controle de acesso ao sistema de Controle de Acessos (SCA) Corporativo do Conselho Nacional de Justiça.
SEI n. 11797/2023.
O PRESIDENTE DO CONSELHO NACIONAL DE JUSTIÇA (CNJ), no uso de suas atribuições legais e regimentais, e considerando o contido no Processo SEI nº 11797/2023,
CONSIDERANDO o disposto na Resolução CNJ nº 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO o disposto na Portaria CNJ nº 118/2021, que dispõe sobre o portfólio de soluções de tecnologia da informação e comunicação e serviços digitais do Conselho Nacional de Justiça, bem como seu Anexo II, com redação determinada pela Portaria CNJ nº 411/2022;
CONSIDERANDO o disposto na Portaria SG nº 47/2017, que dispõe sobre a política de Segurança da Informação do CNJ;
RESOLVE:
Art. 1º Disciplinar as práticas de gestão de identidade e controle de acesso ao sistema de Controle de Acessos (SCA) Corporativo do Conselho Nacional de Justiça.
Art. 2º Para os fins desta Portaria, entenda-se:
I – gestão de identidade: atividade de administração de identidades digitais de usuários que envolva a criação, o gerenciamento e a proteção das informações que identificam um usuário em um sistema ou ambiente corporativo;
II – gestão de acesso: gerenciamento dos níveis de acesso aos recursos de um sistema ou ambiente corporativo, no sentido de delimitação de quais usuários têm acesso a quais informações e recursos, bem como quais ações eles podem executar;
III – SCA Corporativo: sistema que viabiliza o login único aos sistemas disponibilizados pelo CNJ, permitindo a inclusão, exclusão e vinculação de usuários aos perfis de acesso disponíveis;
IV – usuário: indivíduo que pode acessar informações, sistemas ou serviços a partir do SCA Corporativo;
V – nível de acesso: conjunto de permissões que um usuário tem para acessar informações, sistemas ou serviços a partir do SCA Corporativo;
VI – perfil de acesso: coleção de permissões que define o nível de acesso que um usuário ou grupo de usuários tem no SCA Corporativo;
VII – credencial de acesso: identidade digital do usuário, composta pelo conjunto de permissões concedidas a partir de sua vinculação a um ou múltiplos perfis de acesso; e
VIII – administrador regional: perfil que permite a criação, exclusão e vinculação de usuários aos perfis de acesso disponíveis.
Art. 3º Compete aos conselhos e tribunais submetidos à autoridade do CNJ, no âmbito de suas atividades, a gestão de identidade e a gestão de acesso ao sistema SCA Corporativo.
Parágrafo único. No exercício da atribuição referida no caput, conselhos e tribunais deverão:
I – incluir usuários no sistema, por meio de processo de trabalho devidamente documentado;
II – definir credenciais de acesso, atribuindo aos usuários perfis de acesso compatíveis com os níveis de acesso necessários à execução de suas atividades, de modo a garantir que o usuário tenha acesso apenas aos serviços e sistemas relacionados às suas funções e não tenha acesso a informações ou recursos que não sejam relevantes para suas atividades;
III – excluir usuários do sistema, quando esgotados os motivos justificadores do acesso;
IV – cadastrar administradores regionais junto ao CNJ, em quantidade compatível com as necessidades da operação, observados os limites estabelecidos pelo Conselho Nacional de Justiça; e
V – realizar, ao final de cada semestre e sob responsabilidade dos administradores regionais, auditoria nos controles de acesso, a fim de remover credenciais obsoletas, inativar usuários ociosos e adequar os níveis de acesso das credenciais em vigor.
Art. 4º Compete exclusivamente ao CNJ a atribuição e exclusão do perfil de administrador regional.
§ 1º O cadastramento de administradores regionais será realizado mediante pedido da Presidência dos conselhos ou dos tribunais, com indicação do nome, matrícula e e-mail funcional dos indicados, instruído com cópia dos respectivos documentos de identificação.
§ 2º Pedidos de cadastramento de administradores regionais deverão ser formalizados por meio do Protocolo Eletrônico do CNJ, em expediente endereçado à Secretaria-Geral.
§ 3º Formalizado e adequadamente instruído o pedido de cadastramento de administrador regional, a Secretaria-Geral autorizará o cadastramento e o DTI/CNJ promoverá a atribuição do perfil aos usuários indicados, no prazo máximo de 5 (cinco) dias úteis.
§ 4º O quantitativo de administradores regionais ativos observará os seguintes limites:
I – conselhos e tribunais Superiores: até 10 administradores regionais;
II – tribunais de grande porte: até 16 administradores regionais;
III – tribunais de médio porte: até 10 administradores regionais; e
IV – tribunais de pequeno porte: até 6 administradores regionais.
Art. 5º No prazo de 90 (noventa) dias a contar da publicação desta Portaria, conselhos e tribunais deverão promover o recadastramento de seus administradores regionais, observados os limites quantitativos estabelecidos.
Parágrafo único. Alcançado o termo final do prazo estabelecido, todas as credenciais de administrador regional não recadastradas serão removidas.
Art. 6º Anualmente, no mês de julho de cada ano, o Departamento de Tecnologia da Informação e Comunicação (DTI/CNJ) encaminhará aos conselhos e tribunais a relação nominal dos administradores regionais cadastrados no SCA Corporativo, para fins de saneamento.
Art. 7º Os casos omissos serão resolvidos pelo Secretário-Geral.
Art. 8º Esta Portaria entra em vigor na data de sua publicação.
Ministro Luís Roberto Barroso