Instrução Normativa CNJ 95 de 04 de Maio de 2023
Disciplina as práticas de gestão de identidade e controle de acesso a sistemas digitais no âmbito do Conselho Nacional de Justiça.
Publicado por Conselho Nacional de Justiça
Disciplinar as práticas de gestão de identidade e controle de acesso a sistemas digitais no âmbito do Conselho Nacional de Justiça.
Para os fins da presente Instrução Normativa, entenda-se:
I – gestão de identidade: atividade de administração de identidades digitais dos usuários que envolve a criação, gerenciamento e proteção das informações que identificam um usuário em um sistema ou ambiente corporativo;
II – gestão de acesso: gerenciamento dos níveis de acesso aos recursos de um sistema ou ambiente corporativo, no sentido de delimitação de quais usuários têm acesso a quais informações e recursos, bem como quais ações eles podem executar;
III – sistema: conjunto de componentes inter-relacionados que processam informações e executam funções específicas em um ambiente computacional, o que pode incluir hardware, software, redes, bancos de dados e outras tecnologias relacionadas;
IV – ambiente corporativo: conjunto de sistemas, processos e recursos que suportam as atividades de negócio de uma organização;
V – usuário: indivíduo, serviço ou aplicação que pode acessar informações ou recursos em um sistema ou ambiente corporativo;
VI – nível de acesso: conjunto de permissões que um usuário tem para acessar determinados recursos ou informações em um sistema ou ambiente corporativo;
VII – perfil de acesso: coleção de permissões que define o nível de acesso que um usuário ou grupo de usuários tem em um sistema ou ambiente corporativo;
VIII – gestor negocial: área responsável pela execução da atividade finalística e pelo controle da acurácia, completude, consistência e temporalidade das informações relativas à situação funcional dos usuários; e
IX – gestor técnico: área responsável pela sustentação de determinado sistema, conjunto de sistemas ou ambiente corporativo, capaz de implementar o credenciamento, descredenciamento ou alteração do nível de acesso do usuário.
A Secretaria de Gestão de Pessoas (SGP), na condição de gestor negocial da situação funcional de Conselheiros, juízes, servidores e estagiários do Conselho Nacional de Justiça, comunicará à Central de Atendimento do Departamento de Tecnologia da Informação e Comunicação (DTI) as alterações de situação funcional que importem em desligamento e diminuição de nível de acesso a sistemas.
Os gestores de contratos administrativos e de termos de cooperação técnica destinados à implementação de projetos institucionais, na condição de gestores negociais da situação funcional de colaboradores terceirizados, comunicarão à Central de Atendimento do Departamento de Tecnologia da Informação e Comunicação (DTI) as alterações de situação funcional que importem em desligamento e diminuição de nível de acesso a sistemas.
As comunicações endereçadas à Central de Atendimento serão realizadas no momento da consumação da alteração da situação funcional, por meio de mensagem eletrônica para o canal de atendimento controledeacesso@cnj.jus.br.
A Central de Atendimento, no prazo máximo de 24 horas a contar do recebimento da comunicação, identificará o nível de acesso do usuário e comunicará os respectivos gestores técnicos.
Os gestores técnicos, no prazo de 24 horas, a contar do recebimento da comunicação, promoverão a adequação do nível de acesso do usuário a sua nova situação funcional.
Em caso de desligamento, os usuários serão inativados no ambiente corporativo do Conselho Nacional de Justiça, bem como em todos os sistemas internos, incluindo sistemas licenciados, e ainda nos sistemas nacionais sob administração do CNJ.
Juízes e servidores requisitados para atuação junto ao CNJ deverão, a partir de seu desligamento, obter junto aos administradores regionais dos respectivos Tribunais de origem a restauração de seus níveis de acesso, conforme sua lotação e necessidade negocial.
O Departamento de Tecnologia da Informação e Comunicação assegurará a retenção de arquivos pessoais de usuários desligados pelo prazo de 30 (trinta) dias, a contar da data de desligamento, durante o qual disponibilizará cópia de segurança ao interessado, mediante provocação.
Ao final de cada semestre, ou mediante provocação do Departamento de Tecnologia da Informação e Comunicação, gestores técnicos e negociais deverão, conjuntamente, promover auditoria nos controles de acesso, a fim de remover credenciais obsoletas e adequar os níveis de acesso das credenciais em vigor.
A auditoria deverá ser documentada em relatório sintético e submetida a apreciação da Diretoria-Geral.
O Departamento de Tecnologia da Informação e Comunicação adotará providências para que:
I – as atividades realizadas em sistemas classificados como críticos, segundo metodologia vigente, sejam auditáveis, de modo que seja possível identificar quem acessou, quando e quais recursos foram acessados;
II – sejam definidos perfis de acesso para os sistemas classificados como críticos suficientes e adequados às funções ou responsabilidades dos usuários, de modo que cada usuário tenha apenas o acesso necessário para desempenhar suas funções e não tenha acesso a informações ou recursos que não sejam relevantes para suas atividades;
III – sejam implementadas medidas de automação para preservação da contínua integridade e confiabilidade do controle de acesso ao ambiente corporativo e seus sistemas.
A PRESIDENTE DO CONSELHO NACIONAL DE JUSTIÇA (CNJ), no uso das atribuições legais e regimentais,
CONSIDERANDO o disposto no art. 29 da Resolução CNJ n. 396/2021;
CONSIDERANDO o disposto no Anexo VI da Portaria CNJ n. 162/2021;
CONSIDERANDO o disposto nos arts. 14, 15 e 16 da Instrução Normativa n. 51/2013;
RESOLVE:
Art. 1º Disciplinar as práticas de gestão de identidade e controle de acesso a sistemas digitais no âmbito do Conselho Nacional de Justiça.
Art. 2º Para os fins da presente Instrução Normativa, entenda-se:
I – gestão de identidade: atividade de administração de identidades digitais dos usuários que envolve a criação, gerenciamento e proteção das informações que identificam um usuário em um sistema ou ambiente corporativo;
II – gestão de acesso: gerenciamento dos níveis de acesso aos recursos de um sistema ou ambiente corporativo, no sentido de delimitação de quais usuários têm acesso a quais informações e recursos, bem como quais ações eles podem executar;
III – sistema: conjunto de componentes inter-relacionados que processam informações e executam funções específicas em um ambiente computacional, o que pode incluir hardware, software, redes, bancos de dados e outras tecnologias relacionadas;
IV – ambiente corporativo: conjunto de sistemas, processos e recursos que suportam as atividades de negócio de uma organização;
V – usuário: indivíduo, serviço ou aplicação que pode acessar informações ou recursos em um sistema ou ambiente corporativo;
VI – nível de acesso: conjunto de permissões que um usuário tem para acessar determinados recursos ou informações em um sistema ou ambiente corporativo;
VII – perfil de acesso: coleção de permissões que define o nível de acesso que um usuário ou grupo de usuários tem em um sistema ou ambiente corporativo;
VIII – gestor negocial: área responsável pela execução da atividade finalística e pelo controle da acurácia, completude, consistência e temporalidade das informações relativas à situação funcional dos usuários; e
IX – gestor técnico: área responsável pela sustentação de determinado sistema, conjunto de sistemas ou ambiente corporativo, capaz de implementar o credenciamento, descredenciamento ou alteração do nível de acesso do usuário.
Art. 3º A Secretaria de Gestão de Pessoas (SGP), na condição de gestor negocial da situação funcional de Conselheiros, juízes, servidores e estagiários do Conselho Nacional de Justiça, comunicará à Central de Atendimento do Departamento de Tecnologia da Informação e Comunicação (DTI) as alterações de situação funcional que importem em desligamento e diminuição de nível de acesso a sistemas.
Art. 4º Os gestores de contratos administrativos e de termos de cooperação técnica destinados à implementação de projetos institucionais, na condição de gestores negociais da situação funcional de colaboradores terceirizados, comunicarão à Central de Atendimento do Departamento de Tecnologia da Informação e Comunicação (DTI) as alterações de situação funcional que importem em desligamento e diminuição de nível de acesso a sistemas.
Art. 5º As comunicações endereçadas à Central de Atendimento serão realizadas no momento da consumação da alteração da situação funcional, por meio de mensagem eletrônica para o canal de atendimento controledeacesso@cnj.jus.br.
Art. 6º A Central de Atendimento, no prazo máximo de 24 horas a contar do recebimento da comunicação, identificará o nível de acesso do usuário e comunicará os respectivos gestores técnicos.
Art. 7º Os gestores técnicos, no prazo de 24 horas, a contar do recebimento da comunicação, promoverão a adequação do nível de acesso do usuário a sua nova situação funcional.
§ 1º Em caso de desligamento, os usuários serão inativados no ambiente corporativo do Conselho Nacional de Justiça, bem como em todos os sistemas internos, incluindo sistemas licenciados, e ainda nos sistemas nacionais sob administração do CNJ.
§ 2º Juízes e servidores requisitados para atuação junto ao CNJ deverão, a partir de seu desligamento, obter junto aos administradores regionais dos respectivos Tribunais de origem a restauração de seus níveis de acesso, conforme sua lotação e necessidade negocial.
§ 3º O Departamento de Tecnologia da Informação e Comunicação assegurará a retenção de arquivos pessoais de usuários desligados pelo prazo de 30 (trinta) dias, a contar da data de desligamento, durante o qual disponibilizará cópia de segurança ao interessado, mediante provocação.
Art. 8º Ao final de cada semestre, ou mediante provocação do Departamento de Tecnologia da Informação e Comunicação, gestores técnicos e negociais deverão, conjuntamente, promover auditoria nos controles de acesso, a fim de remover credenciais obsoletas e adequar os níveis de acesso das credenciais em vigor.
Parágrafo único. A auditoria deverá ser documentada em relatório sintético e submetida a apreciação da Diretoria-Geral.
Art. 9º O Departamento de Tecnologia da Informação e Comunicação adotará providências para que:
I – as atividades realizadas em sistemas classificados como críticos, segundo metodologia vigente, sejam auditáveis, de modo que seja possível identificar quem acessou, quando e quais recursos foram acessados;
II – sejam definidos perfis de acesso para os sistemas classificados como críticos suficientes e adequados às funções ou responsabilidades dos usuários, de modo que cada usuário tenha apenas o acesso necessário para desempenhar suas funções e não tenha acesso a informações ou recursos que não sejam relevantes para suas atividades;
III – sejam implementadas medidas de automação para preservação da contínua integridade e confiabilidade do controle de acesso ao ambiente corporativo e seus sistemas.
Art. 10. Os casos omissos serão resolvidos pelo Secretário-Geral.
Art. 11. Esta Instrução Normativa entra em vigor na data de sua publicação.
Ministra ROSA WEBER