Portal TRT21

Art. 1º Regulamentar a política de backup no âmbito do Tribunal Regional do Trabalho da 21ª Região.

Art. 2º Para efeitos deste Ato, aplicam-se as seguintes definições:

I -  Backup: cópias de segurança de dados armazenadas em meios distintos do original.

II - Instalação principal: local nas dependências do complexo sede do Tribunal designado para armazenamento e processamento de todos os dados custodiados.

III - Período de retenção: período de tempo em que as cópias de segurança deverão ser armazenadas.

IV - Serviço em nuvem: entrega de recursos computacionais como serviço, acessível via internet;

V - RPO (Recovery Point Objective - Objetivo de Ponto de Recuperação: indicador que mensura o período máximo em que os dados, de um sistema ou serviço de tecnologia da informação, podem ser perdidos, devido a um incidente grave, sem causar sérios danos financeiros ou à reputação da Organização.

VI - RTO: Recovery Time Objective (Objetivo de Tempo de Recuperação) é um indicador que mensura o tempo máximo em que um sistema ou serviço de tecnologia da informação pode ficar indisponível, após um incidente grave, sem causar sérios danos financeiros ou à reputação da Organização.

Art. 3º Fica estabelecida a obrigatoriedade de backup dos dados relacionado a:

I - sistemas ou serviços de tecnologia da informação que apoiam as atividades e os processos judiciais;

II - sistemas ou serviços de tecnologia da informação que apoiam as atividades e os processos administrativos; e

III - outros sistemas ou serviços de tecnologia da informação definidos pelo Comitê Gestor de Segurança da Informação.

§ 1º A obrigatoriedade de que trata o caput não se aplica aos casos previstos pelo artigo. 17 do Ato TRT21-GP nº 395/2014.

§ 2º O backup de sistemas ou serviços de tecnologia da informação deverá contemplar todos os arquivos e dados necessários à sua plena restauração.

Art. 4º O backup de sistemas, aplicativos e documentos protegidos por direitos autorais deve observar as restrições de cópia previstas em suas respectivas licenças de uso e na legislação vigente.

Art. 5º As cópias de segurança devem ser geradas, transportadas e armazenadas de forma segura, com controles físicos e lógicos compatíveis com os requisitos de confidencialidade, integridade e disponibilidade alinhados à política de classificação da informação e à política de controles criptográficos.

Art. 6º Os dados e suas cópias de segurança devem ser mantidos em localidades distintas para que, em caso de evento classificado de desastre, ao menos uma das cópias seja resguardada.

Art. 7º Convém que seja dado nível apropriado de proteção física e ambiental às cópias de segurança, similar ao aplicado na instalação principal.

Art. 8º As cópias de segurança devem ser mantidas de acordo com o período de retenção associado ao tipo do backup.

Art. 9º Os tipos de backup e seus respectivos períodos de retenção são os seguintes:

I - backup horário: últimas 24 (vinte e quatro) horas;

II - backup diário: últimos 30 (trinta) dias;

III - backup mensal: últimos 12 (doze) meses;

IV - backup anual: últimos 5 (cinco) anos.

§ 1º Todos os sistemas ou serviços enquadrados no artigo. 3º devem ser protegidos por backups diários, mensais e anuais.

§ 2º os Sistemas de banco de dados devem ser protegidos por backups horários, diários, mensais e anuais.

§ 3º  O Comitê Gestor de Segurança da Informação para sistemas ou serviços de tecnologia da informação específicos, poderá definir outros tipos de backups e períodos de retenção diferentes dos elencados no caput deste artigo..

Art. 10. Os dados de qualquer natureza que estejam armazenados em serviços em nuvem serão regidos pelas políticas de backup e retenção estabelecidas pelo provedor do serviço.

Parágrafo único. Visando à garantia de níveis de serviço adequados ao cumprimento da missão institucional, a política de backup e retenção do provedor de serviço em nuvem deverá ser submetida à apreciação do Comitê Gestor de Segurança da Informação, tanto na ocasião do planejamento da contratação quanto em caso de eventuais alterações da política daquele provedor de serviço durante a vigência do contrato.

Art. 11. Compete à Secretaria de Tecnologia da Informação e Comunicação:

I - planejar, executar e monitorar as rotinas de backup, detectando e corrigindo eventuais falhas;

II - testar regularmente as cópias de segurança para assegurar que a confiabilidade das mídias de backup, a integridade dos dados e o tempo de restauração das cópias estejam aderentes aos requisitos de continuidade de negócio definidos pelo Tribunal;

III - manter documentação pertinente ao processo de backup, incluindo os procedimentos básicos para configuração, execução e recuperação de cópias de segurança; e

IV - atender aos níveis de serviço, tais como RPO e RTO, estabelecidos pela alta Administração do Tribunal.

Art. 12. Compete ao Comitê Gestor de Segurança da Informação deliberar sobre os casos omissos ou que suscitem dúvidas quanto ao disposto neste Ato.

Art. 13. Fica revogado o Ato TRT21-GP nº 76/2015.

Art. 14. Este Ato entra em vigor na data de sua publicação.

Publique-se.

Natal-RN, 03 de setembro de 2020.

 

BENTO HERCULANO DUARTE NETO

Desembargador Presidente