Tribunal Regional Eleitoral - SP
Secretaria de Gestão da Informação e Documental
Coordenadoria De Gestão Da Informação
Seção de Legislação
RESOLUÇÃO Nº 422, DE 23 DE JANEIRO DE 2018.
Altera a Política de Segurança da Informação (PSI) no âmbito do Tribunal Regional Eleitoral de São Paulo.
O TRIBUNAL REGIONAL ELEITORAL DE SÃO PAULO, no uso das atribuições que lhe confere a Lei,
CONSIDERANDO que a Justiça Eleitoral de São Paulo gera, adquire ou absorve informações no exercício de suas competências constitucionais, legais e regulamentares e que essas informações devem permanecer íntegras, disponíveis e, quando for o caso, com sigilo resguardado;
CONSIDERANDO que o volume de informações mencionado, ressalvados os direitos autorais, integra o patrimônio da Justiça Eleitoral de São Paulo;
CONSIDERANDO que as informações na Justiça Eleitoral de São Paulo são armazenadas em diferentes formas, veiculadas em diferentes meios físicos e eletrônicos, portanto vulneráveis a incidentes como desastres naturais, acessos não autorizados, mau uso, falhas de equipamentos, extravio e furto;
CONSIDERANDO a importância da adoção de boas práticas relacionadas à proteção da informação preconizadas pelas normas NBR ISO/IEC 27001:2013, NBR ISO/IEC 27002:2013, NBR ISO/IEC 27005:2011 e as Diretrizes para a Gestão de Segurança da Informação no âmbito do Poder Judiciário de 2012, às quais a Política de Segurança da Informação (PSI) da Justiça Eleitoral de São Paulo deverá estar alinhada;
CONSIDERANDO a edição do Acórdão TCU nº 1233/2012-plenário, que recomenda a promoção de ações para a melhoria da governança de tecnologia da informação em virtude do resultado de diagnóstico de maturidade e aderência de processos de segurança da informação;
CONSIDERANDO o Decreto nº 3.505/2000, que institui a obrigatoriedade do estabelecimento de Políticas de Segurança da Informação nos órgãos da Administração Pública Federal;
CONSIDERANDO a Norma Complementar nº 03/IN01/DSIC/GSIPR, de 30 de junho de 2009, que estabelece diretrizes para a elaboração de Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal;
CONSIDERANDO a Resolução nº 211/2015 do Conselho Nacional de Justiça que dispõe sobre os requisitos de nivelamento de tecnologia da informação no âmbito do Poder Judiciário;
CONSIDERANDO a Resolução TSE nº 23.379/2012, que dispõe sobre o Programa de Gestão Documental no âmbito da Justiça Eleitoral;
CONSIDERANDO que os processos de trabalho das unidades da Justiça Eleitoral de São Paulo devem ser respaldados por uma política corporativa de segurança da informação alinhada à Política de Segurança da Informação da Justiça Eleitoral, estabelecida pela Resolução TSE nº 23.501/2016,
RESOLVE:
Art. 1º Alterar a Política de Segurança da Informação (PSI) da Justiça Eleitoral de São Paulo de acordo com o estabelecido na presente Resolução.
CAPÍTULO I
DOS CONCEITOS E DEFINIÇÕES
Art. 2º Para os efeitos desta resolução e de suas regulamentações, aplicam-se as seguintes definições:
I - ameaça: causa potencial de um incidente indesejado que pode resultar em dano para um sistema ou organização;
II - atividades precípuas: conjunto de procedimentos e tarefas que utilizam recursos tecnológicos, humanos e materiais, inerentes à atividade-fim da Justiça Eleitoral;
III - atividades críticas: atividades precípuas da Justiça Eleitoral cuja interrupção ocasiona severos transtornos, como, por exemplo, perda de prazos administrativos e judiciais, dano à imagem institucional, prejuízo ao Erário, entre outros;
IV - ativo: qualquer bem, tangível ou intangível, que tenha valor para a organização;
V - ativo de informação: patrimônio composto por todos os dados e informações gerados, adquiridos, utilizados ou armazenados pela Justiça Eleitoral;
VI - ativo de processamento: patrimônio composto por todos os elementos de hardware, software e infraestrutura de comunicação necessários à execução das atividades precípuas da Justiça Eleitoral;
VII - autenticidade: propriedade que garante que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;
VIII - ciclo de vida da informação: ciclo formado pelas fases de produção, recepção, organização, uso, disseminação e destinação;
IX - cifração: ato de cifrar mediante uso de algoritmo simétrico ou assimétrico, com recurso criptográfico, para substituir sinais de linguagem em claro por outros ininteligíveis a pessoas não autorizadas a conhecê-los;
X - confidencialidade: propriedade da informação que garante que ela não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem a devida autorização;
XI - continuidade de negócios: capacidade estratégica e tática de um órgão ou entidade de planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido;
XII - decifração: ato de decifrar mediante uso de algoritmo simétrico ou assimétrico, com recurso criptográfico, para reverter processo de cifração original;
XIII - disponibilidade: propriedade da informação que garante que ela será acessível e utilizável sempre que demandada;
XIV - Gestão de Segurança da Informação: ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade de negócios, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando à tecnologia da informação;
XV - incidente de segurança em redes computacionais: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;
XVI - incidente em segurança da informação: qualquer indício de fraude, sabotagem, desvio, falha ou evento indesejado ou inesperado que tenha probabilidade de comprometer as operações do negócio ou ameaçar a segurança da informação;
XVII - informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado;
XVIII - integridade: propriedade que garante que a informação mantém todas as características originais estabelecidas pelo proprietário;
XIX - irretratabilidade (ou não repúdio): garantia de que a pessoa se responsabilize por ter assinado ou criado a informação;
XX - quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação;
XXI - recurso: além da própria informação, é todo o meio direto ou indireto utilizado para o seu tratamento, tráfego e armazenamento;
XXII - recurso criptográfico: sistema, programa, processo, equipamento isolado ou em rede que utiliza algoritmo simétrico ou assimétrico para realizar cifração ou decifração;
XXIII - rede de computadores: rede formada por um conjunto de máquinas eletrônicas com processadores capazes de trocar informações e partilhar recursos, interligados por um subsistema de comunicação ou seja, existência de dois ou mais computadores, e outros dispositivos interligados entre si de modo a poder compartilhar recursos físicos e lógicos, sendo que estes podem ser do tipo dados, impressoras, mensagens (e-mails), entre outros;
XXIV - risco: potencial associado à exploração de vulnerabilidades de um ativo de informação por ameaças, com impacto negativo no negócio da organização;
XXV - segurança da informação: abrange aspectos físicos, tecnológicos e humanos da organização e orienta-se pelos princípios da autenticidade, da confidencialidade, da integridade, da disponibilidade e da irretratabilidade da informação, entre outras propriedades;
XXVI - tratamento da informação: recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da informação, inclusive as sigilosas;
XXVII - usuário: aquele que utiliza, de forma autorizada, recursos inerentes às atividades precípuas da Justiça Eleitoral;
XXVIII - vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
CAPÍTULO II
DOS PRINCÍPIOS
Art. 3º Esta Política de Segurança da Informação se alinha às estratégias da Justiça Eleitoral de São Paulo e tem como princípio norteador a garantia da integridade, da autenticidade, da confidencialidade, da disponibilidade e da irretratabilidade dos ativos de informação e de processamento.
CAPÍTULO III
DO ESCOPO
Art. 4º São objetivos da Política de Segurança da Informação da Justiça Eleitoral de São Paulo:
I - instituir diretrizes estratégicas, responsabilidades e competências visando à estruturação da segurança da informação;
II - promover ações necessárias à implementação e à manutenção da segurança da informação;
III - combater atos acidentais ou intencionais de destruição, modificação, apropriação ou divulgação indevida de informações, de modo a preservar os ativos de informação e a imagem da instituição;
IV - promover a conscientização e a capacitação de recursos humanos em segurança da informação.
Art. 5º Esta Política de Segurança da Informação se aplica a todos os magistrados, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, estagiários, prestadores de serviço, colaboradores e usuários externos que fazem uso dos ativos de informação e de processamento no âmbito da Justiça Eleitoral de São Paulo.
Parágrafo único. Os destinatários desta Política de Segurança da Informação, relacionados no caput, são corresponsáveis pela segurança da informação, de acordo com os preceitos estabelecidos nesta resolução.
CAPÍTULO IV
DAS DIRETRIZES GERAIS
Art. 6º Deverão ser criadas, conforme o caso, normas, procedimentos, planos e/ou processos, para as seções elencadas neste capítulo.
Parágrafo único. Conforme necessidade e conveniência, poderão ser criados normativos sobre outros temas.
SEÇÃO I
DA GESTÃO DE ATIVOS
Art. 7º Todos os ativos de informação e de processamento da Justiça Eleitoral de São Paulo deverão ser inventariados, classificados, atualizados periodicamente e mantidos em condições de uso.
Parágrafo único. Cada ativo de informação e de processamento deverá ter uma unidade responsável, com atribuições claramente definidas.
Art. 8º O processo de classificação da informação deverá ser regulamentado e coordenado pela unidade ou comissão responsável pela gestão da informação.
Art. 9º Toda e qualquer informação produzida ou custodiada pela Justiça Eleitoral de São Paulo deve ser classificada em função do seu grau de confidencialidade, criticidade, disponibilidade, integridade e prazo de retenção, devendo ser protegida, de acordo com a regulamentação de classificação da informação.
Parágrafo único. As informações produzidas por usuários, no exercício de suas funções, são patrimônio intelectual da Justiça Eleitoral de São Paulo, e não cabe a seus criadores qualquer forma de direito autoral.
Art. 10. É vedado o uso dos ativos da Justiça Eleitoral de São Paulo para obter proveito pessoal ou de terceiros, bem como para veicular opiniões político-partidárias.
SEÇÃO II
DO CONTROLE DE ACESSOS
Art. 11. O acesso às informações produzidas ou custodiadas pela Justiça Eleitoral de São Paulo que não sejam de domínio público deve ser limitado às atribuições necessárias ao desempenho das respectivas atividades dos destinatários desta Política de Segurança da Informação, na forma descrita no caput do art. 5º.
§ 1º Qualquer outra forma de uso que extrapole as atribuições necessárias ao desempenho das atividades necessitará de prévia autorização formal.
§ 2º O acesso a informações produzidas ou custodiadas pela Justiça Eleitoral de São Paulo que não sejam de domínio público, quando autorizado, será condicionado ao aceite a termo de sigilo e responsabilidade.
Art. 12. Todo usuário deverá possuir identificação pessoal e intransferível, qualificando-o, inequivocamente, como responsável por qualquer atividade desenvolvida sob essa identificação.
SEÇÃO III
DA GESTÃO DE RISCOS
Art. 13. Deverá ser estabelecido Processo de Gestão de Riscos de ativos de informação e de processamento do Tribunal Regional Eleitoral de São Paulo, visando à identificação, avaliação e posterior tratamento e monitoramento dos riscos considerados críticos para a segurança da informação.
Parágrafo único. O Processo de Gestão de Riscos deverá ser revisado periodicamente.
SEÇÃO IV
DA GESTÃO DA CONTINUIDADE DE NEGÓCIOS
Art. 14. Deverá ser elaborado Plano de Continuidade de Negócios que estabeleça procedimentos e defina estrutura mínima de recursos para que se desenvolva uma resiliência organizacional capaz de garantir o fluxo das informações críticas em momento de crise e salvaguardar o interesse das partes interessadas, a reputação e a marca da organização.
Parágrafo único. O Plano de Continuidade de Negócios deverá ser testado e revisado periodicamente.
SEÇÃO V
DO TRATAMENTO DE INCIDENTES DE REDE
Art. 15. Deverá ser elaborado um Processo de Tratamento e Resposta a Incidentes em Redes de Computadores, visando impedir, interromper ou minimizar o impacto de uma ação maliciosa ou acidental.
SEÇÃO VI
DA GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
Art. 16. A gestão de incidentes em segurança da informação tem por objetivo assegurar que fragilidades e incidentes em segurança da informação sejam identificados, permitindo a tomada de ação corretiva em tempo hábil.
Parágrafo único. Os usuários são responsáveis por:
I - reportar tempestivamente ao Gestor de Segurança da Informação os incidentes em segurança da informação de que tenham ciência ou suspeita; e
II - colaborar, em suas áreas de competência, na identificação e no tratamento de incidentes em segurança da informação.
SEÇÃO VII
DA AUDITORIA E CONFORMIDADE
Art. 17. Deverá ser incluída no escopo do Plano Anual de Auditoria e Conformidade análise do correto cumprimento desta Política de Segurança da Informação, seus regulamentos e demais normativos de segurança vigentes.
Parágrafo único. A inclusão no escopo do Plano Anual de Auditoria e Conformidade deve ser realizada, no mínimo, a cada dois anos e deve abranger uma ou mais normas, procedimentos, planos e/ou processos estabelecidos.
SEÇÃO VIII
DOS SERVIÇOS DE INTERNET E DO CORREIO ELETRÔNICO CORPORATIVO
Art. 18. Os serviços de acesso à Internet e de correio eletrônico corporativo disponibilizados aos usuários são considerados de propriedade da Justiça Eleitoral de São Paulo e passíveis de monitoramento.
SEÇÃO IX
DO DESENVOLVIMENTO DE SISTEMAS SEGUROS
Art. 19. O Processo de Desenvolvimento de Software do Tribunal Regional Eleitoral de São Paulo deverá contemplar atividades específicas que garantam maior segurança para os sistemas utilizados, de forma a preservar o ambiente tecnológico, assim como prevenir possíveis incidentes de segurança com os dados desses sistemas ou com a infraestrutura utilizada.
SEÇÃO X
DO USO DE RECURSOS CRIPTOGRÁFICOS
Art. 20. Toda a informação classificada, em qualquer grau de sigilo, produzida, armazenada ou transmitida pelo Tribunal, em parte ou totalmente, por qualquer meio eletrônico, deverá ser protegida com recurso criptográfico.
Parágrafo único. A falta de proteção criptográfica poderá ocorrer quando justificada e aprovada pela unidade gestora de riscos, ou pela Comissão de Segurança da Informação, ou quando prevista em normativo específico.
SEÇÃO XI
DO PROCESSO DE TRATAMENTO DA INFORMAÇÃO
Art. 21. O tratamento da informação deve abranger as políticas, os processos, as práticas e os instrumentos utilizados pela Justiça Eleitoral de São Paulo para lidar com a informação ao longo de cada fase do ciclo de vida, contemplando o conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação.
Parágrafo único. O conjunto das ações referentes ao tratamento da informação será agrupado nas seguintes fases:
I - produção e recepção: refere-se à fase inicial do ciclo de vida e compreende produção, recepção ou custódia e classificação da informação;
II - organizações: refere-se ao armazenamento, arquivamento e controle da informação;
III - uso e disseminação: refere-se à utilização, acesso, reprodução, transporte, transmissão e distribuição da informação;
IV - destinações: refere-se à fase final do ciclo de vida da informação e compreende avaliação, destinação ou eliminação da informação.
CAPÍTULO V
DA ESTRUTURA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Art. 22. Deverá ser constituída Comissão de Segurança da Informação, subordinada à Presidência do Tribunal, composta, no mínimo, por representantes da Presidência, da Corregedoria, da Diretoria-Geral, de cada Secretaria, de cada Assessoria e da Coordenadoria de Comunicação Social.
Art. 23. Compete à Comissão de Segurança da Informação:
I - propor melhorias a esta Política de Segurança da Informação;
II - propor normas, procedimentos, planos e/ou processos, nos termos do art. 6º, visando à operacionalização desta Política de Segurança da Informação;
III – promover a divulgação desta Política de Segurança da Informação e normativos, bem como ações para disseminar a cultura em Segurança da Informação, no âmbito do Tribunal Regional Eleitoral de São Paulo;
IV - propor estratégias para a implantação desta Política de Segurança da Informação;
V - propor ações visando à fiscalização da aplicação das normas e da política de segurança da informação;
VI – propor recursos necessários à implementação das ações de segurança da informação;
VII - propor a realização de análise de riscos e mapeamento de vulnerabilidades nos ativos;
VIII - propor a abertura de sindicância para investigar e avaliar os danos decorrentes de quebra de segurança da informação;
IX - propor o modelo de implementação da Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais (ETIR), de acordo com a norma vigente;
X - propor a constituição de grupos de trabalho para tratar de temas sobre segurança da informação;
XI - responder pela segurança da informação.
Art. 24. Deverá ser nomeado um Gestor de Segurança da Informação, no âmbito do Tribunal Regional Eleitoral de São Paulo, com as seguintes responsabilidades:
I - propor normas relativas à segurança da informação à Comissão de Segurança da Informação;
II - propor iniciativas para aumentar o nível da segurança da informação à Comissão de Segurança da Informação, com base, inclusive, nos registros armazenados pela Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais (ETIR);
III - propor o uso de novas tecnologias na área de segurança da informação;
IV - implantar, em conjunto com as demais áreas, normas, procedimentos, planos e/ou processos elaborados pela Comissão de Segurança da Informação;
Parágrafo único. O Gestor de Segurança da Informação deverá ser servidor que detenha amplo conhecimento dos processos de negócio do Tribunal e do tema em foco.
Art. 25. Deverá ser instituída Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais (ETIR), com a responsabilidade de receber, analisar, classificar, tratar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores, além de armazenar registros para formação de séries históricas como subsídio estatístico e para fins de auditoria.
Parágrafo único. Caberá ainda à Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais (ETIR) elaborar o Processo de Tratamento e Resposta a Incidentes em Redes de Computadores no âmbito do Tribunal Regional Eleitoral de São Paulo.
CAPÍTULO VI
DAS COMPETÊNCIAS DAS UNIDADES
Art. 26. Compete à Presidência:
I - apoiar a aplicação das ações estabelecidas nesta Política de Segurança da Informação;
II - nomear ou delegar ao Diretor-Geral da Secretaria a nomeação:
a) do Gestor da Comissão de Segurança da Informação, nos termos do art. 22;
b) do Gestor de Segurança da Informação e seu substituto, nos termos do art. 24, parágrafo único;
c) dos integrantes da Equipe de Tratamento e Resposta a Incidentes em Redes de Computadores (ETIR) , nos termos do art. 25.
Art. 27. Compete ao Diretor-Geral da Secretaria do Tribunal:
I - aprovar normas, procedimentos, planos e/ou processos que lhe forem submetidos pela Comissão de Segurança da Informação;
II - submeter à Presidência as propostas que extrapolem sua alçada decisória;
III - apoiar a aplicação das ações estabelecidas nesta Política de Segurança da Informação;
IV - viabilizar financeiramente as ações de implantação desta Política de Segurança da Informação, inclusive a exequibilidade do Plano de Continuidade de Negócios do Tribunal, abrangendo sua manutenção, treinamento e testes periódicos.
Art. 28. Compete à Secretaria de Tecnologia da Informação:
I - apoiar a implementação desta Política de Segurança da Informação;
II - prover os ativos de processamento necessários ao cumprimento desta Política de Segurança da Informação;
III - garantir que os níveis de acesso lógico concedidos aos usuários estejam adequados aos propósitos do negócio e condizentes com as normas vigentes de segurança da informação;
IV - disponibilizar e gerenciar a infraestrutura necessária aos processos de trabalho da Equipe de Tratamento e Resposta a Incidentes em Redes de Computadores (ETIR);
V - executar as orientações técnicas e os procedimentos estabelecidos pela Comissão de Segurança da Informação.
Art. 29. Compete à Secretaria de Administração de Material:
I - assegurar que os empregados das empresas prestadoras de serviço contratadas conheçam suas atribuições e responsabilidades em relação à segurança da informação;
II - adotar as medidas necessárias por ocasião do desligamento de empregados das empresas prestadoras de serviço contratadas e comunicar às demais unidades do Tribunal, com vistas à pertinente remoção dos acessos às informações da Justiça Eleitoral de São Paulo;
III - executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação.
Art. 30. Compete à Secretaria de Gestão de Serviços:
I - implantar controles nos ambientes físicos, visando prevenir danos, furtos, roubos, interferência e acesso não autorizado às instalações e ao patrimônio da Justiça Eleitoral de São Paulo;
II - implantar controles e proteção contra ameaças externas ou decorrentes do meio ambiente, como incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e desastres naturais;
III - executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação.
Art. 31. Compete à Secretaria de Gestão de Pessoas:
I - assegurar que os magistrados, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo e estagiários conheçam suas atribuições e responsabilidades em relação à segurança da informação;
II - adotar as medidas necessárias por ocasião do desligamento de pessoal e comunicar às demais unidades do Tribunal, com vistas à pertinente remoção dos acessos às informações da Justiça Eleitoral de São Paulo;
III - promover a capacitação dos servidores que integram a estrutura de gestão da segurança da informação, no que for pertinente;
IV - executar as orientações técnicas e os procedimentos estabelecidos pela Comissão de Segurança da Informação.
Art. 32. Compete à Coordenadoria de Comunicação Social:
I - promover campanhas de conscientização sobre a importância da segurança da informação;
II - divulgar esta Política de Segurança da Informação;
III - executar as orientações técnicas e os procedimentos estabelecidos pela Comissão de Segurança da Informação.
Art. 33. Compete à Corregedoria Regional Eleitoral:
I - empreender medidas e expedir normas para adequar as práticas cartorárias a esta Política de Segurança da Informação;
II - executar as orientações técnicas e os procedimentos estabelecidos pela Comissão de Segurança da Informação.
Art. 34. Compete à Secretaria de Controle Interno:
I - incluir no escopo do Plano Anual de Auditoria e Conformidade, nos termos estabelecidos no art. 17, a análise do cumprimento desta Política de Segurança da Informação, seus regulamentos e demais normativos de segurança vigentes;
II - realizar auditorias conforme Plano Anual de Auditoria e Conformidade;
III - executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação.
Art. 35. Compete à unidade ou comissão responsável pela Gestão da Informação:
I - regulamentar e coordenar o processo de classificação da informação no âmbito do Tribunal Regional Eleitoral de São Paulo;
II - executar as orientações técnicas e os procedimentos estabelecidos pela Comissão de Segurança da Informação.
Art. 36. Compete ao Juízo Eleitoral:
I – assegurar, no âmbito da Zona Eleitoral, que os magistrados, servidores efetivos e requisitados, estagiários, prestadores de serviço e colaboradores conheçam suas atribuições e responsabilidades em relação à segurança da informação;
II - executar as orientações técnicas e os procedimentos estabelecidos pela Comissão de Segurança da Informação.
Art. 37. Compete aos usuários:
I - responder por toda atividade executada com o uso de sua identificação;
II - ter pleno conhecimento desta Política de Segurança da Informação;
III - reportar tempestivamente ao Gestor de Segurança da Informação quaisquer falhas ou indícios de falhas de segurança de que tenha conhecimento ou suspeita;
IV - proteger as informações sigilosas e pessoais obtidas em decorrência do exercício de suas atividades;
V - gerenciar os ativos sob sua responsabilidade;
VI - executar as orientações técnicas e os procedimentos estabelecidos pela Comissão de Segurança da Informação.
CAPÍTULO VII
DAS DISPOSIÇÕES FINAIS
Art. 38. Os casos omissos desta Política de Segurança da Informação serão resolvidos pela Comissão de Segurança da Informação do Tribunal Regional Eleitoral de São Paulo.
Art. 39. Esta Política de Segurança da Informação e demais normas, procedimentos, planos e/ou processos deverão ser publicados na Intranet do Tribunal Regional Eleitoral de São Paulo.
Art. 40. O descumprimento desta Política de Segurança da Informação será objeto de apuração e poderá acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.
Art. 41. Os contratos, convênios, acordos de cooperação e outros instrumentos congêneres celebrados pelo Tribunal Regional Eleitoral de São Paulo devem observar, no que couber, o constante desta Política de Segurança da Informação.
Art. 42. Esta Resolução entra em vigor na data de sua publicação, revogadas as Resoluções TRE-SP nº 339, de 12 de março de 2015, e nº 358, de 1º de dezembro de 2015.
Sala das Sessões do Tribunal Regional Eleitoral de São Paulo, aos vinte e três dias do mês de janeiro de 2018.
DESEMBARGADOR CARLOS EDUARDO CAUDURO PADIN
PRESIDENTE
DESEMBARGADOR WALDIR SEBASTIÃO DE NUEVO CAMPOS JUNIOR
VICE-PRESIDENTE E CORREGEDOR REGIONAL ELEITORAL
DESEMBARGADOR FEDERAL FÁBIO PRIETO DE SOUZA
JUÍZA CLAUDIA LÚCIA FONSECA FANUCCHI
JUIZ MARCELO COUTINHO GORDO
JUIZ MANUEL PACHECO DIAS MARCELINO
JUIZ MARCELO VIEIRA DE CAMPOS
Este texto não substitui o publicado no DJE-TRE-SP nº 19, de 29.1.2018, p. 7-12.