Instrução Normativa CNJ 95 de 04 de Maio de 2023

Identificação

Instrução Normativa Nº 95 de 04/05/2023

Apelido

---

Temas

Ementa

Disciplina as práticas de gestão de identidade e controle de acesso a sistemas digitais no âmbito do Conselho Nacional de Justiça.

Situação

Revogado

Situação STF

---

Origem

Presidência

Fonte

DJe/CNJ n. 109/2023, de 23 de maio de 2023, p. 2-3.

Alteração

Portaria n. 408, de 29 de novembro de 2024 - revogadora

Legislação Correlata

Portaria n. 162, de 10 de junho de 2021 Resolução n. 396, de 7 de junho de 2021 Instrução Normativa n. 51, de 4 de julho de 2013

Observação / CUMPRDEC / CONSULTA

SEI n. 04482/2023.

Texto

A PRESIDENTE DO CONSELHO NACIONAL DE JUSTIÇA (CNJ), no uso das atribuições legais e regimentais, CONSIDERANDO o disposto no art. 29 da Resolução CNJ n. 396/2021; CONSIDERANDO o disposto no Anexo VI da Portaria CNJ n. 162/2021; CONSIDERANDO o disposto nos arts. 14, 15 e 16 da Instrução Normativa n. 51/2013; RESOLVE: Art. 1º Disciplinar as práticas de gestão de identidade e controle de acesso a sistemas digitais no âmbito do Conselho Nacional de Justiça. Art. 2º Para os fins da presente Instrução Normativa, entenda-se: I – gestão de identidade: atividade de administração de identidades digitais dos usuários que envolve a criação, gerenciamento e proteção das informações que identificam um usuário em um sistema ou ambiente corporativo; II –  gestão de acesso: gerenciamento dos níveis de acesso aos recursos de um sistema ou ambiente corporativo, no sentido de delimitação de quais usuários têm acesso a quais informações e recursos, bem como quais ações eles podem executar; III – sistema: conjunto de componentes inter-relacionados que processam informações e executam funções específicas em um ambiente computacional, o que pode incluir hardware, software, redes, bancos de dados e outras tecnologias relacionadas; IV –  ambiente corporativo: conjunto de sistemas, processos e recursos que suportam as atividades de negócio de uma organização; V –  usuário: indivíduo, serviço ou aplicação que pode acessar informações ou recursos em um sistema ou ambiente corporativo; VI –  nível de acesso: conjunto de permissões que um usuário tem para acessar determinados recursos ou informações em um sistema ou ambiente corporativo; VII –  perfil de acesso: coleção de permissões que define o nível de acesso que um usuário ou grupo de usuários tem em um sistema ou ambiente corporativo; VIII – gestor negocial: área responsável pela execução da atividade finalística e pelo controle da acurácia, completude, consistência e temporalidade das informações relativas à situação funcional dos usuários; e IX – gestor técnico: área responsável pela sustentação de determinado sistema, conjunto de sistemas ou ambiente corporativo, capaz de implementar o credenciamento, descredenciamento ou alteração do nível de acesso do usuário. Art. 3º A Secretaria de Gestão de Pessoas (SGP), na condição de gestor negocial da situação funcional de Conselheiros, juízes, servidores e estagiários do Conselho Nacional de Justiça, comunicará à Central de Atendimento do Departamento de Tecnologia da Informação e Comunicação (DTI) as alterações de situação funcional que importem em desligamento e diminuição de nível de acesso a sistemas. Art. 4º Os gestores de contratos administrativos e de termos de cooperação técnica destinados à implementação de projetos institucionais, na condição de gestores negociais da situação funcional de colaboradores terceirizados, comunicarão à Central de Atendimento do Departamento de Tecnologia da Informação e Comunicação (DTI) as alterações de situação funcional que importem em desligamento e diminuição de nível de acesso a sistemas. Art. 5º As comunicações endereçadas à Central de Atendimento serão realizadas no momento da consumação da alteração da situação funcional, por meio de mensagem eletrônica para o canal de atendimento controledeacesso@cnj.jus.br. Art. 6º A Central de Atendimento, no prazo máximo de 24 horas a contar do recebimento da comunicação, identificará o nível de acesso do usuário e comunicará os respectivos gestores técnicos. Art. 7º Os gestores técnicos, no prazo de 24 horas, a contar do recebimento da comunicação, promoverão a adequação do nível de acesso do usuário a sua nova situação funcional. § 1º Em caso de desligamento, os usuários serão inativados no ambiente corporativo do Conselho Nacional de Justiça, bem como em todos os sistemas internos, incluindo sistemas licenciados, e ainda nos sistemas nacionais sob administração do CNJ. § 2º Juízes e servidores requisitados para atuação junto ao CNJ deverão, a partir de seu desligamento, obter junto aos administradores regionais dos respectivos Tribunais de origem a restauração de seus níveis de acesso, conforme sua lotação e necessidade negocial. § 3º O Departamento de Tecnologia da Informação e Comunicação assegurará a retenção de arquivos pessoais de usuários desligados pelo prazo de 30 (trinta) dias, a contar da data de desligamento, durante o qual disponibilizará cópia de segurança ao interessado, mediante provocação. Art. 8º Ao final de cada semestre, ou mediante provocação do Departamento de Tecnologia da Informação e Comunicação, gestores técnicos e negociais deverão, conjuntamente, promover auditoria nos controles de acesso, a fim de remover credenciais obsoletas e adequar os níveis de acesso das credenciais em vigor. Parágrafo único. A auditoria deverá ser documentada em relatório sintético e submetida a apreciação da Diretoria-Geral. Art. 9º O Departamento de Tecnologia da Informação e Comunicação adotará providências para que: I –  as atividades realizadas em sistemas classificados como críticos, segundo metodologia vigente, sejam auditáveis, de modo que seja possível identificar quem acessou, quando e quais recursos foram acessados; II – sejam definidos perfis de acesso para os sistemas classificados como críticos suficientes e adequados às funções ou responsabilidades dos usuários, de modo que cada usuário tenha apenas o acesso necessário para desempenhar suas funções e não tenha acesso a informações ou recursos que não sejam relevantes para suas atividades; III – sejam implementadas medidas de automação para preservação da contínua integridade e confiabilidade do controle de acesso ao ambiente corporativo e seus sistemas. Art. 10. Os casos omissos serão resolvidos pelo Secretário-Geral. Art. 11. Esta Instrução Normativa entra em vigor na data de sua publicação. Ministra ROSA WEBER