Tribunal Regional Eleitoral - SC
Presidência
Direção Geral
Secretaria Judiciária
PORTARIA DG N. 371, DE 15 DE DEZEMBRO DE 2016.
Dispõe sobre a política e o processo de gestão de riscos de tecnologia da informação e comunicação no âmbito do Tribunal Regional Eleitoral de Santa Catarina.
O Diretor-Geral da Secretaria do Tribunal Regional Eleitoral de Santa Catarina, no uso das atribuições que lhe são conferidas pelo art. 36, VIII, do Regulamento Interno da Estrutura Orgânica deste Tribunal (Resolução TRESC n. 7.930, de 9.12.2015),
– considerando o disposto nos artigos 9º e 12 da Resolução CNJ n. 211, de 15.12.2015, que institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD);
– considerando a necessidade de estabelecer a política e o processo de gestão de riscos de tecnologia da informação no âmbito do Tribunal Regional Eleitoral de Santa Catarina, em atendimento ao item 9.1.1.3 do Acórdão n. 2.585/2012 - TCU – Plenário; e
– considerando as boas práticas preconizadas pelo COBIT 5, por meio do processo Gerenciar Riscos (APO12);
R E S O L V E:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º Esta Portaria dispõe sobre a política e o processo de gestão de riscos de tecnologia da informação e comunicação (TIC) no âmbito do Tribunal Regional Eleitoral de Santa Catarina (TRESC).
Art. 2º Para efeitos desta Portaria, aplicam-se as seguintes definições:
I – gestão de riscos de TIC: constitui processo contínuo e iterativo, que visa dirigir e controlar eventos relacionados à tecnologia da informação que possam afetar o cumprimento dos objetivos institucionais, oferecendo maior garantia para o sucesso do negócio.
II – contexto: ambientes externo e interno nos quais a organização busca atingir seus objetivos;
III – proprietário do risco: pessoa ou entidade com a responsabilidade e a autoridade para gerenciar um risco;
IV – risco: evento ou condição incerta que, se ocorrer, provocará um efeito positivo ou negativo nos objetivos estabelecidos;
V – tratamento de riscos: ações para modificar os riscos (evitar sua ocorrência, alterar sua probabilidade / consequências ou assumir / aceitar o risco);
VI – escopo: estabelece o que está e o que não está incluído no projeto.
CAPÍTULO II
DOS OBJETIVOS
Art. 3º A Política de Gestão de Riscos de TIC tem por objetivo geral estabelecer princípios, diretrizes e responsabilidades para a gestão de riscos, incorporando a visão de riscos à tomada de decisão, em conformidade com as melhores práticas adotadas no setor público.
Art. 4º A Política de Gestão de Riscos de TIC tem por objetivos específicos promover:
I – a identificação de ameaças que possam afetar a consecução dos objetivos institucionais;
II – o estabelecimento de uma base confiável para a tomada de decisão e o planejamento;
III – o aprimoramento dos controles internos;
IV – a melhoria a governança de TI;
VI – a minimização de perdas; e
VII – o aumento da resiliência da organização.
CAPÍTULO III
DOS PRINCÍPIOS DA GESTÃO DE RISCOS DE TIC
Art. 5º A Gestão de Riscos de TIC observará os seguintes princípios:
I – criar e proteger valores institucionais;
II – ser parte integrante dos processos organizacionais;
III – ser parte da tomada de decisões;
IV – abordar explicitamente a incerteza;
V – ser sistemática, estruturada e oportuna;
VI – ser baseada nas melhores informações disponíveis;
VII – estar alinhada ao contexto da instituição; e
VIII – considerar fatores humanos e culturais.
CAPÍTULO IV
DAS RESPONSABILIDADES
Art. 6º Os responsáveis pela gestão de riscos de tecnologia da informação e comunicação são os proprietários dos riscos, o Comitê Gestor de Tecnologia da Informação (GESTIC) e o Comitê de Governança de Tecnologia da Informação (GOVTIC).
Parágrafo Único. A Seção de Governança e Planejamento de TI compete atuar como apoio à Gestão de Riscos de TIC.
Art. 7º Compete ao GOVTIC:
I – aprovar a política de gestão de riscos de TIC e seu respectivo processo;
II – realizar revisão periódica e atualização do inciso I; e
III – assegurar a alocação dos recursos necessários à gestão de riscos de TI.
Art. 8º Compete ao GESTIC:
I – avaliar a adequação, a suficiência e a eficácia da estrutura de gestão de riscos de TIC;
II – revisar a política e o processo de gestão de riscos de TIC e apresentar proposta de alteração/atualização ao GOVTIC;
III – operacionalizar, no âmbito das unidades de TIC, a aplicação dos recursos disponibilizados para a gestão de riscos;
IV – subsidiar o GOVTIC com informações técnicas, visando auxiliá-lo no processo de tomada de decisão; e
V – promover e acompanhar a implantação do processo de gestão de riscos de TIC.
Art. 9º Compete ao proprietário de risco gerir os riscos sob sua responsabilidade.
Art. 10. Compete a Seção de Governança e Planejamento de TI:
I – disseminar e prestar suporte metodológico à implementação e à operacionalização do processo de gerenciamento de riscos nas unidades de TIC, equipes e comissões; e
II – propor melhorias no processo de gestão de riscos de TIC.
CAPÍTULO V
DISPOSIÇÕES FINAIS
Art. 11. Os riscos identificados no contexto e escopo dos projetos de TIC serão gerenciados no próprio projeto.
Art. 12. Os casos omissos ou excepcionais serão resolvidos pelo GOVTIC.
Art. 13. Esta portaria entra em vigor na data de sua publicação no Boletim Interno do Tribunal Regional Eleitoral de Santa Catarina.
Publique-se e cumpra-se.
Secretaria do Tribunal Regional Eleitoral de Santa Catarina, em Florianópolis, 15 de dezembro de 2016.
Eduardo Cardoso, Diretor-Geral substituto
Este texto não substitui o publicado no BITRESC de 10.1.2017.