PORTARIA N° 1148, DE 27 DE NOVEMBRO DE 2023

A PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DE SERGIPE, no uso das atribuições que lhe são conferidas pelo art. 28, inciso XXXIV, do Regimento Interno do Tribunal Regional Eleitoral de Sergipe (Resolução TRE/SE n° 187/2016),

CONSIDERANDO o Objetivo de Desenvolvimento Sustentável da Agenda 2030 "Paz, Justiça e Instituições Eficazes" (16): promover sociedades pacíficas e inclusivas para o desenvolvimento sustentável, proporcionar o acesso à justiça para todos e construir instituições eficazes, responsáveis e inclusivas em todos os níveis;

CONSIDERANDO a Resolução TRE/SE 17/2018, que dispõe sobre a Política de Gestão de Riscos da Justiça Eleitoral de Sergipe;

CONSIDERANDO a preocupação de impedir que as consequências de eventos nocivos ao Tribunal venham influenciar na continuidade de suas atividades;

CONSIDERANDO que o Referencial Básico de Governança (3ª ed. 2020) do Tribunal de Contas da União apresenta, dentre as práticas mínimas para a boa governança das organizações públicas, a função de gerir riscos, relativa, dentre outros aspectos, a implementar um processo de gestão de continuidade de negócio, para se preparar e reduzir os efeitos de possíveis incidentes que tenham o potencial de interromper as atividades da organização, sejam ameaças provocadas de forma intencional (a exemplo de ataques terroristas e ataques cibernéticos), sejam ameaças naturais (tais como incêndios, inundações, terremotos, epidemias etc.);

CONSIDERANDO as Normas ABNT NBR ISO 22301:2020 e 22313:2020, que dispõem sobre os requisitos e orientações dos sistemas de gestão de continuidade de negócios;

CONSIDERANDO o artigo 36 da Resolução CNJ 370, de 28 de janeiro de 2021, que dispõe sobre a necessidade de cada órgão elaborar Plano de Gestão de Continuidade de Negócio ou de Serviços no qual estabeleça estratégias e planos de ação que garantam o funcionamento dos serviços essenciais quando da ocorrência de falhas; e

CONSIDERANDO a Resolução CNJ 396, de 7 de junho de 2021, que tem como objetivo, entre outros, permitir a manutenção e a continuidade dos serviços ou o seu restabelecimento em menor tempo possível;

RESOLVE:

Art. 1° Instituir a Política de Gestão de Continuidade de Negócio do Tribunal Regional Eleitoral de Sergipe, nos termos desta Portaria.

TÍTULO I

DA POLÍTICA DE GESTÃO DE CONTINUIDADE DE NEGÓCIO

CAPÍTULO I

Descrição e Objetivos

Art. 2º. A Gestão de Continuidade de Negócio (GCN) é um processo de negócio que tem por escopo conhecer os riscos que podem afetar a consecução dos objetivos institucionais, bem como minimizar o impacto danoso desses riscos sobre as atividades do Tribunal Regional Eleitoral de Sergipe, estabelecendo mecanismos de prevenção e procedimentos de recuperação de perdas de ativos tangíveis e intangíveis a um nível aceitável previamente definido.

CAPÍTULO II

Dos conceitos

Art. 3° Para fins desta Portaria, considera-se:

I - Análise de Impacto no Negócio (Business Impact Analysis - BIA): processo de análise das funções de negócios e dos efeitos que uma interrupção possa causar;

II - Ativação do Plano: ato de declarar que o Plano de Continuidade de Negócio (PCN) do TRE-SE precisa ser colocado em prática, de forma a continuar o fornecimento de produtos ou serviços fundamentais;

III - Processo: conjunto de tarefas relacionadas, com uma saída definida, que suportam um ou mais produtos ou serviços.

IV - Processos Críticos ou Prioritários: processos que entregam os produtos e serviços fundamentais do TRE-SE, cuja urgência é determinada de forma a evitar impactos inaceitáveis aos negócios durante uma disrupção;

V - Avaliação de Riscos: processo de comparar os resultados da análise de riscos com os critérios de risco da organização, para determinar se um risco e/ou sua magnitude é aceitável ou tolerável;

VI - Continuidade de Negócio: capacidade de uma organização de responder a interrupções de negócio e continuar suas operações em um nível aceitável previamente definido;

VII - Criticidade: descrição qualitativa utilizada para enfatizar a importância de um recurso, processo ou função que deve estar continuamente disponível e em operação, nos casos de disrupção, com a maior brevidade possível;

VIII - Disrupção: evento, previsível ou não, que cause um desvio negativo na entrega de produtos ou execução de serviços de acordo com a missão e os objetivos do TRE-SE;

IX - Equipe de Continuidade de Negócio: equipe que se reunirá, após a ativação do Plano de Continuidade de Negócio, para liderar a resposta a uma disrupção;

X - Estratégia de Continuidade de Negócio (ECN): abordagem do TRE-SE que garanta a recuperação e a continuidade de suas atividades diante da interrupção do negócio decorrente de um desastre ou de qualquer outro incidente, documentada por meio do Plano de Continuidade de Negócio;

XI - Impacto: consequência avaliativa de um evento em particular;

XII - Incidente: qualquer evento que possa causar a interrupção de negócio;

XIII - Partes Interessadas (stakeholders): aqueles que possuem algum interesse nos resultados do TRE-SE ou são impactados pelos mesmos;

XIV - Período de Sensibilidade: indica o lapso temporal (dia, semana, mês, ano etc.) em que a interrupção do processo teria um impacto especialmente elevado;

XV - Período Máximo de Interrupção Tolerável (MTPD): tempo necessário para que os impactos adversos se tornem inaceitáveis, os quais podem surgir como resultado do não fornecimento de um produto/serviço ou da não realização de uma atividade;

XVI - Plano de Continuidade de Negócio (PCN): plano de ação que reúne um conjunto de procedimentos documentados que permitam ao TRE-SE responder a um incidente e lidar adequadamente com a recuperação de suas atividades;

XVII - Ponto Objetivado de Recuperação - Recovery Point Objective (RPO): ponto em que a informação usada por uma atividade deve ser restaurada para permitir a operação da atividade na retomada;

XVIII - Procedimentos de Continuidade Operacional: conjunto de procedimentos alternativos, planejados de acordo com os cenários de inoperância previamente definidos, para manter a continuidade das atividades prioritárias, reduzindo perdas;

XIX - Procedimentos de Gestão do Incidente: procedimentos que objetivam minimizar o impacto no TRE quando em situação de crise ou de ameaça de crise, de forma rápida e organizada, e, ainda, proporcionar o retorno à normalidade no menor tempo possível;

XX - Procedimentos de Recuperação: procedimentos que objetivam garantir a retomada das atividades a níveis normais o mais rápido possível, considerando as tecnologias, a infraestrutura e os recursos humanos necessários à realização dos processos;

XXI - Recursos: todos os ativos, pessoas, competências, informações, tecnologia (incluindo instalações e equipamentos), locais, suprimentos e bens móveis em geral que o TRE-SE tem disponível para o uso a fim de operar e atingir seus objetivos;

XXII - Risco: efeito da incerteza nos objetivos do TRE-SE;

XXIII - Tempo Objetivado de Recuperação - Recovery Time Objective (RTO): período de tempo após um incidente em que a atividade, o produto ou serviço deve ser retomado ou os recursos devem ser recuperados;

XXIV - Teste: atividade na qual o Plano de Continuidade de Negócio será exercitado parcial ou integralmente, de forma a garantir que ele contenha as informações apropriadas e produza o resultado desejado quando colocado em prática.

CAPÍTULO III

Das Diretrizes

Art. 4º A Gestão de Continuidade de Negócios (GCN) observará as seguintes diretrizes:

I - Identificar e documentar as atividades, funções, serviços, produtos e parcerias do Tribunal, bem como cadeias de suprimentos, relacionamento com partes interessadas e o impacto potencial relacionado a um incidente de interrupção;

II - Identificar as ameaças internas e externas que possam comprometer a continuidade do negócio da Instituição, bem como os possíveis impactos decorrentes da concretização de tais ameaças;

III - Definir, implementar e manter um processo formal e documentado para a Análise de Impactos no Negócio (Business Impact Analysis - BIA), a qual deve incluir:

a) identificação das atividades que suportam o fornecimento de produtos e serviços;

b) avaliação dos impactos de não realização das atividades ao longo do tempo;

c) fixação dos prazos de forma priorizada para a retomada das atividades, em um nível mínimo de execução tolerável, levando em consideração o tempo em que os impactos da interrupção tornem-se inaceitáveis;

d) identificação de dependências e recursos que suportam as atividades, incluindo fornecedores, terceiros e demais partes interessadas relevantes.

IV - Determinar uma Estratégia de Continuidade de Negócio (ECN) adequada para proteger, estabilizar, continuar, retomar e recuperar as atividades prioritárias, bem como suas dependências e recursos de apoio;

V - Documentar o Plano de Continuidade de Negócio (PCN) para assegurar a continuidade das suas operações em um nível aceitável.

TÍTULO II

DOS PAPÉIS E RESPONSABILIDADES

Art. 5º As Estruturas envolvidas na continuidade de negócio do TRE-SE são:

I - Presidência;

II - Comitê Gestor de Crise (CGC);

III - Coordenadoria de Planejamento, Estratégia e Governança (COPEG); e

IV - Gestoras(es) de Negócios.

Parágrafo único. As(Os) Gestoras(es) de Negócios, para efeito desta política, são as(os) responsáveis por unidades administrativas ou processos onde foram identificadas atividades prioritárias, inclusive no âmbito dos Cartórios Eleitorais.

CAPÍTULO I

Da Presidência

Art. 6º Compete à Presidência do Tribunal Regional Eleitoral de Sergipe nas questões relacionadas à continuidade de negócio:

I - Instituir a Política de Gestão de Continuidade de Negócio e suas revisões;

II - Garantir os recursos necessários para implementar, operar e manter a Gestão de Continuidade de Negócio;

III - Aprovar, ouvido o Comitê Gestor de Crise, a metodologia de Gestão de Continuidade de Negócio, as Análises de Impacto nos Negócios (Business Impact Analysis - BIA) e os Planos de Continuidade de Negócio;

IV - Decidir sobre ações de melhorias e correções em relação à continuidade de negócio;

V - Decidir, ouvido o Comitê Gestor de Crise, sobre a ativação do Plano de Continuidade de Negócio; e

VI - Decidir, ouvido o Comitê Gestor de Crise, os casos omissos.

CAPÍTULO II

Do Comitê Gestor de Crise

Art. 7º Compete ao Comitê Gestor de Crise do Tribunal Regional Eleitoral de Sergipe nas questões relacionadas à continuidade de negócio:

I - Propor ajustes, aprimoramentos e modificações da Política de Gestão de Continuidade de Negócio;

II - Deliberar sobre estratégias, projetos, processos, controles, iniciativas e procedimentos de continuidade de negócio;

III - Atuar como instância consultiva da Presidência do Tribunal nas questões relacionadas à continuidade de negócio;

IV - Validar os processos prioritários identificados pela COPEG;

V - Validar as Análises de Impacto nos Negócios (Business Impact Analysis - BIA);

VI - Validar e revisar os Planos de Continuidade de Negócio instituídos no âmbito do Tribunal;

VII - Avaliar as circunstâncias de crise para subsidiar a Presidência quanto à decisão sobre ativação do Plano de Continuidade de Negócio; e

VIII - Aprovar o cronograma dos testes de Continuidade de Negócio e avaliar seus resultados.

CAPÍTULO III

Da Coordenadoria de Planejamento, Estratégia e Governança (COPEG)

Art. 8º Compete à Coordenadoria de Planejamento, Estratégia e Governança do Tribunal Regional Eleitoral de Sergipe nas questões relacionadas à continuidade de negócio:

I - Definir a metodologia e as ferramentas a serem utilizadas na condução da Gestão de Continuidade de Negócio;

II - Identificar, a cada dois anos, os processos prioritários e as unidades com as quais estão relacionados, sujeitando-os à validação do Comitê Gestor de Crise;

III - Coordenar a realização periódica das Análises de Impacto nos Negócios (Business Impact Analysis - BIA);

IV - Coordenar a elaboração e revisão dos Planos de Continuidade de Negócio;

V - Gerenciar os riscos de disrupção para as atividades prioritárias e propor melhorias na implantação de novos controles relativos à Gestão de Continuidade de Negócio;

VI - Consolidar os resultados de testes dos Planos de Continuidade de Negócio, por meio da elaboração de relatórios, e reportá-los ao Comitê Gestor de Crise;

VII - Propor projetos e iniciativas para o aperfeiçoamento da Gestão de Continuidade de Negócio do Tribunal, observando as melhores práticas existentes no assunto;

VIII - Propor o planejamento e a alocação de recursos no que tange à continuidade de negócio;

IX- Subsidiar o Comitê Gestor de Crise com informações pertinentes à continuidade de negócio; e

X - Disseminar a cultura de Gestão de Continuidade de Negócio;

XI - Propor capacitação, sempre que entender necessário, de modo a garantir a manutenção e o bom funcionamento da Gestão de Continuidade de Negócio.

CAPÍTULO IV

Das(os) Gestoras(es) de Negócios

Art. 9º Compete às(aos) Gestoras(es) de Negócios:

I - Realizar as Análises de Impacto nos Negócios (Business Impact Analysis - BIA) dos processos sob a sua responsabilidade;

II - Elaborar e manter o Plano de Continuidade de Negócio dos processos pelos quais é responsável, com base nas Análises de Impacto nos Negócios (Business Impact Analysis - BIA) realizadas;

III - Efetuar os testes previstos para o Plano de Continuidade de Negócio e encaminhar seus respectivos relatórios à Coordenadoria de Planejamento, Estratégia e Governança;

IV - Garantir a participação ativa das equipes sob sua gestão nos processos de elaboração e teste do Plano de Continuidade de Negócio;

V - Avaliar e aprimorar os planos a partir dos resultados dos testes;

VI - Assegurar a execução de ações com base nos Planos de Continuidade ativados quando da ocorrência de incidente; e

VII - Solicitar os recursos necessários para a implantação e o desenvolvimento das ações relacionadas à continuidade de negócio, bem como para a realização dos testes dos Planos.

TÍTULO III

DO PLANO DE CONTINUIDADE DE NEGÓCIO - PCN

Art. 10. O Plano de Continuidade de Negócio (PCN) apresenta procedimentos documentados que orientam o TRE-SE a responder, recuperar, retomar e restaurar seus serviços, a um nível pré-definido de operação, após a ocorrência de uma interrupção, sendo observadas as seguintes diretrizes:

I - Definição de estratégias e soluções de continuidade considerando cenários de situações inesperadas ou incidentes, quer sejam operacionais, desastres ou crises;

II - Identificação e documentação de procedimentos de continuidade de negócio com base no resultado das estratégias e soluções selecionadas;

III - Os procedimentos devem:

a) Ser específicos sobre as medidas imediatas que devem ser tomadas durante uma disrupção;

b) Ser flexíveis para responder às mudanças de condições internas e externas de uma disrupção;

c) Focar no impacto de eventos que potencialmente levem à disrupção;

d) Ser efetivos, minimizando o impacto por meio da implementação de soluções apropriadas;

e) Atribuir papéis e responsabilidades para as tarefas;

f) Atender ao tempo objetivado de recuperação da atividade que suporta o produto ou serviço; e

g) Ser mantidos acessíveis.

Art. 11. O PCN é constituído pelos procedimentos de Gestão do Incidente, de Continuidade Operacional e de Recuperação e deve apresentar os seguintes aspectos:

I - Propósito, escopo e objetivos;

II - Critérios de ativação do Plano;

III - Papéis e responsabilidades da equipe que implementará o Plano;

IV - Detalhes para gerenciar as consequências imediatas de uma disrupção, levando em consideração o bem-estar dos indivíduos, a prevenção de novas perdas ou indisponibilidade de atividades prioritárias e o impacto do ambiente;

V - Detalhes das ações que as equipes executarão para continuar, retomar e recuperar atividades priorizadas dentro dos prazos predeterminados, além de monitorar o impacto da disrupção e a resposta sobre ela;

VI - Requisitos e procedimentos de comunicação;

VII - Recursos necessários;

VIII - Vínculos com outros procedimentos documentados ou documentos requeridos;

IX - Mecanismos de finalização quando o incidente tiver encerrado;

X - Testes e análises para garantir a manutenção e o bom funcionamento dos Planos de Continuidade.

CAPÍTULO I

Dos Procedimentos de Gestão do Incidente

Art. 12. Os Procedimentos de Gestão do Incidente têm como objetivo minimizar o impacto no TRE quando em situação de crise ou de ameaça de crise, de forma rápida e organizada, e, ainda, proporcionar o retorno à normalidade no menor tempo possível, sendo definidos com base nas seguintes diretrizes:

I - Identificação do responsável pela implementação e gerenciamento dos Procedimentos de Gestão de Crise e, ainda, a identificação do responsável pelo estabelecimento da comunicação necessária;

II - Identificação das ações a serem praticadas e dos seus respectivos responsáveis, com a indicação do nome, e-mail e telefone;

III - Estabelecimento de prioridades, usando a segurança à vida como a primeira delas;

IV - Respeito a eventuais vítimas e respectivas famílias;

V - Evacuação do local e definição de pontos de reunião;

VI - Mobilização da segurança, dos primeiros socorros ou das equipes de evacuação e auxílio;

VII - Manutenção de conexões e informações de contato para serviços de urgências, primeiros socorros e demais serviços públicos apropriados;

VIII - Disponibilização de serviços de reabilitação e aconselhamento (físico e emocional);

IX - Identificação dos recursos exigidos;

X - Garantia do menor dano possível aos ativos e à imagem do TRE;

XI - Manutenção das atividades finalísticas do Tribunal ou a sua retomada em curto espaço de tempo e com o menor custo possível;

XII - Prestação de informações de forma rápida, clara e confiável por uma única pessoa; e

XIII - Individualização do cenário a ser gerenciado de forma a possibilitar a utilização dos procedimentos para situações congêneres não previstas.

CAPÍTULO II

Dos Procedimentos de Continuidade Operacional

Art. 13. Os procedimentos de Continuidade Operacional têm como objetivo estabelecer um conjunto de procedimentos alternativos, planejados de acordo com os cenários de inoperância previamente definidos, para manter a continuidade das atividades prioritárias, reduzindo perdas.

Parágrafo único. Os cenários de situações inesperadas ou incidentes, quer sejam operacionais, desastres ou crises, descritos no PCN, deverão conter de forma sistematizada as ações de contingência que deverão ser executadas pelas equipes envolvidas, de acordo com as suas atribuições.

Art. 14. Os procedimentos de Continuidade Operacional abrangem:

I - Identificação do responsável pela implementação e gerenciamento dos Procedimentos de Continuidade Operacional;

II - Procedimentos durante a contingência, após a contingência e retorno à normalidade;

III - Definição de responsabilidades para os procedimentos previstos, com a indicação dos seus nomes, e-mails e telefones;

IV - Atividades ou processos a serem retomados;

V - O prazo para essas atividades ou processos serem retomados (tempo objetivado de recuperação - RTO);

VI - As capacidades de cada atividade ou processo prioritário ser retomado;

VII - Os procedimentos que objetivam recuperar os sistemas e serviços de TIC que dão suporte às atividades ou processos prioritários;

VIII - Ações de comunicação adequadas conforme o necessário;

IX - Estimativa dos recursos que cada atividade ou processo prioritário contingenciado necessitará durante sua retomada ou recuperação, incluindo:

a) Recursos de pessoal, englobando quantidade, habilidades e conhecimento;

b) Localização dos trabalhos e instalações necessárias;

c) Tecnologia e equipamentos que suportam o negócio;

d) Serviços de telecomunicações;

e) Informação (eletrônica ou não) sobre trabalhos anteriores ou trabalhos atualmente em progresso, suficientemente atualizada e precisa, de forma a permitir que as atividades continuem no nível acordado; e

f) Recursos e serviços contratados, acordados ou por meio de ajuda mútua ou por disponibilidade.

Parágrafo único. Para os procedimentos de continuidade dos serviços de TIC, devem ser considerados o tempo objetivado de recuperação (Recovery Time Objective - RTO) e o ponto objetivado de recuperação (Recovery Point Objective - RPO) de cada processo prioritário, tendo como referência a Análise de Impacto nos Negócios (Business Impact Analysis - BIA) realizada pelo Tribunal.

CAPÍTULO III

Dos Procedimentos de Recuperação

Art. 15. Os Procedimentos de Recuperação têm como objetivo garantir a retomada das atividades a níveis normais o mais rápido possível, considerando as tecnologias, a infraestrutura e os recursos humanos necessários à realização dos processos.

TÍTULO IV

DAS DISPOSIÇÕES FINAIS

Art. 16. Todas as unidades do Tribunal são corresponsáveis pela implementação e manutenção da Gestão de Continuidade de Negócio no TRE-SE.

Art. 17. Deverá ser instituída metodologia para a Gestão de Continuidade de Negócio no âmbito do Tribunal, elaborada a partir dos conceitos, diretrizes e procedimentos previstos nesta Política.

Art. 18. Os casos omissos serão resolvidos pela Presidência.

Art. 19. Revoga-se a Portaria 153/2022.

Art. 20. Esta Portaria entra em vigor na data de sua publicação.

PUBLIQUE-SE E CUMPRA-SE.

ELVIRA MARIA DE ALMEIDA SILVA

Presidente