INSTRUÇÃO NORMATIVA Nº 32, DE 22 DE SETEMBRO DE 2025

O Presidente do Tribunal Regional Eleitoral do Tocantins, no uso das atribuições que lhe são conferidas pelo art. 20, inciso XV, do Regimento Interno do Tribunal Regional Eleitoral do Tocantins, RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Ficam instituídas as regras e os procedimentos para Continuidade de Serviços Essenciais de TI do Tribunal Regional Eleitoral do Tocantins.

Art. 2º Esta norma integra a Política de Segurança de Informação da Justiça Eleitoral, estabelecida pela Res. TSE 23.644/2021.

Art. 3º Considere-se, no que couber, a Política de Gestão de Riscos e Continuidade de Negócios do TRE-TO, instituída pela Resolução 472/2020.

Art. 4º Será elaborado um plano operacional de continuidade de serviços de TI, considerando os processos e ativos críticos, no prazo máximo de 1 (um) ano.

CAPÍTULO II

DAS DEFINIÇÕES

Art. 5º Para efeitos desta norma consideram-se os termos e definições previstos na Portaria DG/TSE 444/2021, além das seguintes:

I - PCNSTI - Plano de continuidade de serviços de TI – Plano de nível operacional que contém os detalhes para manter ou recuperar as atividades da organização frente a incidentes que causem uma disrupção. 

II - Objetivo de Tempo de Recuperação (OTR/RTO) – Período de tempo gasto pela organização para recuperar uma atividade ou processo crítico após sua interrupção.

III - O Objetivo de Ponto de Recuperação (OPR/RPO) - Posição (no tempo) na qual deverão estar disponíveis os dados das aplicações recuperadas após a ocorrência de uma disrupção.

IV - O Período Máximo de Interrupção Tolerável (PMIT/MTO) - Tempo necessário para que os impactos adversos tornem-se inaceitáveis, que pode surgir como resultado de não fornecer um produto/serviço ou realizar uma atividade.

V - Análise de Impacto no Negócio (AIN/BIA) - Documento que registra a análise de uma disrupção na organização ao longo do tempo.

VI - Disrupção – Incidente, seja previsto ou imprevisto, que causa um desvio não planejado e negativo da expectativa de entrega de produtos e serviços de acordo com os objetivos da organização.

CAPÍTULO III

DO ESTABELECIMENTO DO CONTEXTO

Art. 6º Para estabelecimento do contexto para criação do PCNSTI deverão ser analisados:

I - O documento de Análise de Impacto no Negócio (AIN/BIA), que será elaborado pelo COGETIC - Comitê Gestor de Planejamento Estratégico e Governança da Tecnologia da Informação e Comunicação.

II - Os sistemas e aplicativos descritos como essenciais ou críticos para o negócio, conforme definidos em portaria específica.

III - Os macroprocessos de trabalho e sua importância para a organização.

IV - A infraestrutura tecnológica em uso ou em implantação.

Art. 7º O contexto estabelecido deve ser apresentado à Comissão Permanente de Segurança da Informação e ao Comitê de Gestão Riscos e Continuidade de Negócio para validação.

CAPÍTULO IV

DO PLANEJAMENTO

Art. 8º A Análise de Impacto no Negócio (AIN/BIA) é documento oficial de avaliação e planejamento da continuidade de negócios, devendo constar, no mínimo:

I - Os objetivos institucionais.

II - Os macroprocessos de trabalhos afetados.

III - As pessoas impactadas.

IV - Os ativos de informação impactados.

V - A avaliação dos riscos.

VI - A definição dos tempos de possíveis perdas e interrupções

CAPÍTULO V

DAS PERDAS E INTERRUPÇÕES

Art. 9º  O Objetivo de Tempo de Recuperação (OTR/RTO) fica definido em:

I - Sistemas críticos: 48h.

II - Sistemas não-críticos: 96h.

III - Infraestrutura de rede, incluindo equipamentos de comunicação, infraestrutura de virtualização, servidores de DNS e DHCP, serviços de autenticação (Active Directory e Single-Sign-On): 24h.

IV - Sistemas de homologação e testes: Sem tempo definido.

Art. 10 O Objetivo de Ponto de Recuperação (OPR/RPO) fica definido em:

I - Sistemas críticos: 24h.

II - Sistemas não-críticos: 72h.

III - Infraestrutura de rede, incluindo equipamentos de comunicação, infraestrutura de virtualização, servidores de DNS e DHCP, serviços de autenticação (Active Directory e Single-Sign-On): 24h

Art. 11 O Período Máximo de Interrupção Tolerável (PMIT/MTO) fica definido em:

I - Sistemas críticos: 72h.

II - Sistemas não-críticos: 168h.

III - Infraestrutura de rede, incluindo equipamentos de comunicação, infraestrutura de virtualização, servidores de DNS e DHCP, serviços de autenticação (Active Directory e Single-Sign-On): 48h.

IV - Sistemas de homologação e testes: Sem tempo definido.

CAPÍTULO VI

DO PLANO DE CONTINUIDADE DE SERVIÇOS DE TI

Art. 12 O Gestor de Continuidade de Negócios elaborará plano para continuidade dos serviços de TI, em conjunto com as áreas técnicas, conforme níveis de serviço previstos no capítulo V e em consonância com a Política de Gestão Riscos e de Continuidade de Negócios, estabelecida pela Resolução TRE-TO nº 472/2020.

Art. 13 O plano de continuidade de serviços de TI será aprovado pela Comissão Permanente de Segurança da Informação e publicado somente na Intranet, com acesso restrito, evitando exposição desnecessária de informações relativas à segurança do ambiente computacional.

Art. 14 O Gestor de Continuidade de Negócios é o responsável por elaborar e manter a documentação sobre o plano de continuidade de serviços de TI.

Art. 15. O plano deverá ser testado anualmente, de forma integral ou em partes, considerando o nível de maturidade do processo e a disponibilidade das equipes técnicas.

Art. 16 O resultado dos testes será documentado e posteriormente avaliado pela Comissão Permanente de Segurança da Informação, que poderá solicitar ajustes ou outras providências.

Art. 17 O plano de continuidade de serviços de TI deverá ter cópias físicas impressas em locais de fácil acesso aos gestores das equipes técnicas responsáveis pela sua execução.

Art. 18 A política de cópias de segurança (backup) deve suportar os níveis de serviço previstos no capítulo V.

CAPÍTULO VII

DISPOSIÇÕES FINAIS

Art. 19 Qualquer descumprimento desta normativa deve ser imediatamente comunicado e registrado pelo Gestor de Segurança da Informação, com consequente adoção das providências cabíveis.

Art. 20 Esta norma complementar deve ser revisada a cada 12 meses pelo Gestor de Segurança da Informação e encaminhada para nova apreciação da Comissão Permanente de Segurança da Informação.

Art. 21 Os casos omissos serão resolvidos pela Comissão Permanente de Segurança da Informação ou pelo Comitê de Gestão de Riscos e Continuidade Negócios.

Art. 22 Esta Instrução Normativa entra em vigor na data de sua publicação e sua implementação inicia-se imediatamente.

Palmas, 22 de setembro de 2025.

Desembargador Adolfo Amaro Mendes
Presidente