INSTRUÇÃO NORMATIVA Nº 33, DE 22 DE SETEMBRO DE 2025.

O Presidente do Tribunal Regional Eleitoral do Tocantins, no uso das atribuições que lhe são conferidas pelo art. 20, inciso XV, do Regimento Interno do Tribunal Regional Eleitoral do Tocantins, RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Ficam instituídas as regras e os procedimentos para a Gestão de Riscos de Segurança da Informação na Justiça Eleitoral do Tocantins.

Art. 2º Esta norma integra a Política de Segurança de Informação da Justiça Eleitoral, estabelecida pela Res. TSE 23.644/2021.

CAPÍTULO II

DAS DEFINIÇÕES GERAIS

Art. 3º Para efeitos desta norma consideram-se os termos e definições previstos na Portaria DG/TSE 444/2021, além das seguintes:

I – Contexto Externo – Conjunto de circunstâncias a que o risco de segurança da informação está associado, com perspectiva focada na sociedade.

II – Contexto Interno - Conjunto de circunstâncias a que o risco de segurança da informação está associado, com perspectiva focada apenas no ambiente interno da instituição.

III - Proprietário do Risco - Unidade Organizacional responsável pelo ativo ou processo de negócio a que o risco se refere.

Art. 4º Considere-se, no que couber, a Política de Gestão de Riscos e Continuidade do Negócio do TRE-TO, de acordo com a Resolução TRE/TO nº 472/2020.

Art. 5º São considerados gestores de riscos os responsáveis pelas unidades organizacionais do TRE-TO, o gestor de segurança da informação, o encarregado de dados pessoais e o gestor de continuidade de negócios.

Art. 6º Esta Instrução Normativa segue as diretrizes da norma ABNT ISO/IEC 27005:2019, na implementação e na operação do SGSI (Sistema de Gestão de Segurança da Informação).

Art. 7º Todos os novos sistemas de informação, sejam estes desenvolvidos internamente, obtidos de outras instituições ou adquiridos de fornecedor externo, deverão passar por análise de riscos de segurança da informação antes de sua implementação.

CAPÍTULO III

DA DEFINIÇÃO DO CONTEXTO DO RISCO

Art. 8º Para a definição dos contextos externos e internos devem ser considerados os fatores humanos, tecnológicos, organizacionais e de imagem da Justiça Eleitoral, além da:

I - Identificação dos ativos de informação;

II - Identificação das ameaças;

III - Identificação das vulnerabilidades;

IV - Proteção de dados pessoais, de acordo com a LGPD;

V - Identificação das partes interessadas.

CAPÍTULO IV

DO PROCESSO DE AVALIAÇÃO DO RISCO

Art. 9º O processo de avaliação do risco deve seguir a Metodologia de Gestão de Riscos e Continuidade de Negócio, aprovada pela Resolução TRE/TO nº 472/2020

Art. 10 Para a análise qualitativa do risco, considera-se o apetite ao risco definido pela Presidência em ato próprio.

Parágrafo Único - Caso a análise dos riscos seja quantitativa, caberá à Presidência o aceite do risco no caso concreto, após análise e parecer da Comissão Permanente de Segurança da Informação.

CAPÍTULO V

DO TRATAMENTO DO RISCO

Art. 11 O tratamento dos riscos, após criteriosa avaliação, deve incluir ações para evitar, transferir, mitigar ou aceitar os riscos, utilizando os controles e as medidas adequados, em conformidade com a Metodologia de Gestão de Riscos e Continuidade de Negócio.

CAPÍTULO VI

DA ACEITAÇÃO DO RISCO

Art. 12 A aceitação do risco residual, o qual esteja além do limite do apetite ao risco definido, deverá ser feito pela Administração, após análise e parecer da Comissão Permanente de Segurança da Informação. 

CAPÍTULO VII

DA COMUNICAÇÃO E CONSULTA DO RISCO

Art. 13 Os riscos deverão ser comunicados e compartilhados entre as partes interessadas.

CAPÍTULO VI

DO MONITORAMENTO E ANÁLISE CRÍTICA DO RISCO

Art. 14 O monitoramento e análise crítica dos riscos em segurança da informação deverá ser efetuada pelo gestor de segurança da informação e pela Comissão Permanente de Segurança da Informação, por meio de subsídios a serem encaminhados pelas áreas proprietárias do risco.

Art. 15 Os riscos elencados devem ser reavaliados com periodicidade mínima anual.

Art. 16 Os riscos de segurança da informação devem ser monitorados, preferencialmente, por meio de solução informatizada de GRC (governança, risco e conformidade), permitindo o acesso às partes interessadas e à alta administração.

Parágrafo Único. Na impossibilidade de adoção de sistema informatizado para monitoramento dos riscos, devem ser adotados controles manuais, cujo controle ficará a cargo do Gestor de Segurança da Informação. 

CAPÍTULO VII

DISPOSIÇÕES FINAIS

Art. 17  A Assessoria de Segurança Cibernética e o Gestor de Segurança da Informação apoiarão as demais unidades organizacionais quando da elaboração da análise de riscos de segurança da informação.

Art. 18 Qualquer descumprimento desta norma deve ser imediatamente comunicado e registrado pelo Gestor de Segurança da Informação, com consequente adoção das providências cabíveis.

Art. 19 Esta norma complementar deverá ser revisada a cada 12 meses pelo Gestor de Segurança da Informação e encaminhada para nova apreciação da Comissão Permanente de Segurança da Informação.

Art. 20 Os casos omissos serão resolvidos pela Comissão Permanente de Segurança da Informação.

Art. 21 Esta Instrução Normativa entra em vigor na data de sua publicação e sua implementação inicia-se imediatamente.

Palmas, 22 de setembro de 2025.

Desembargador Adolfo Amaro Mendes
Presidente