1. MONITORAMENTO DE AUDITORIAS E OBRAS. LEVANTAMENTO E AVALIAÇÃO DA GESTÃO DE SERVIÇOS NO
ÂMBITO DA JUSTIÇA DO TRABALHO DE 1º E 2º GRAUS. VERIFICAÇÃO DA ENTREGA DOS PLANOS DE AÇÃO E SUA
CONFORMIDADE COM AS RECOMENDAÇÕES DIRECIONADAS AOS TRIBUNAIS REGIONAIS DO TRABALHO.
AUDITORIA SISTÊMICA - Acordão Processo nº CSJT -A-902-93.2021.5.90.0000.
Proad 1926/2023
OBJETIVO:
Verificação da entrega dos planos de ação requeridos e sua conformidade com as recomendações direcionadas aos Tribunais
Regionais.
DETERMINAÇÃO:
ACORDAM os Membros do Conselho Superior da Justiça do Trabalho, por unanimidade, conhecer do Procedimento de
Monitoramento de Auditoria e Obras e, no mérito, homologar integralmente o Relatório de Monitoramento elaborado pela
Secretaria de Auditoria (SECAUDI/CSJT), para: a) recomendar aos TRTs da 1ª, 9ª, 15ª, 18ª e 19ª Regiões que reavaliem seu plano
de ação, a fim de adequar o prazo de até 24 meses para a efetiva implementação de todas as recomendações consideradas
convenientes e oportunas; b) determinar ao TRT da 1ª Região que revise seu plano de ação, de forma a contemplar todas as
recomendações exaradas pelo CSJT, assim como as justificativas para aquelas recomendações não consideradas convenientes ou
oportunas; c) oficiar aos TRTs, a fim de cientificá-los deste pronunciamento; d) Retornar os autos à SECAUDI/CSJT para o
planejamento da segunda etapa desta ação de monitoramento.
PROVIDÊNCIAS ADOTADAS PELO TRT-13:
Não houve determinações para o TRT-13.
2. AVALIAÇÃO DA GESTÃO DE SEGURANÇA DA INFORMAÇÃO NO ÂMBITO DA JUSTIÇA DO TRABALHO DE
1º E 2º GRAUS.
AÇÃO COORDENADA DE AUDITORIA - Acórdão Processo CSJT-A-2201-66.2022.5.90.0000.
Proad 5905/2023
OBJETIVO:
O escopo da auditoria contemplou a área de Gestão de Tecnologia da Informação e Comunicação, com o objetivo de avaliar a
conformidade com os normativos pertinentes e a adoção das melhores práticas aplicáveis à gestão da segurança da informação,
no tocante ao gerenciamento de incidentes de segurança da informação e à gestão da continuidade dos serviços essenciais de
TIC.
DETERMINAÇÃO:
ACORDAM os Membros do Conselho Superior da Justiça do Trabalho , por unanimidade, homologar o relatório de auditoria para
(A) determinar (A.1) aos Tribunais Regionais do Trabalho que elaborem e apresentem à sua Unidade de Auditoria, em até 60 dias,
a contar da ciência desta deliberação, plano de ação, contendo, no mínimo, para cada recomendação direcionada ao Tribunal
Regional do Trabalho (Anexo 2), as medidas a serem adotadas, os responsáveis pelas ações e o prazo previsto para
implementação; (A.2) às Unidades de Auditoria dos Tribunais Regionais do Trabalho que monitorem o cumprimento do plano de
ação supracitado; (B) dar ciência à Secretaria de Tecnologia da Informação e Comunicação do Conselho Superior da Justiça do
Trabalho (SETIC/CSJT) deste relatório e do respectivo acórdão, para que (B.1) avalie a oportunidade e a conveniência de
estabelecer mecanismos que contribuam com a disseminação de boas práticas e troca de experiências entre os Tribunais
Regionais do Trabalho, considerando, entre outros fatores, a avaliação consolidada da capacidade em gestão da segurança da
informação da Justiça do Trabalho (Item 2); e (B.2) avalie a oportunidade e conveniência do desenvolvimento de ações de
capacitação em gestão da segurança da informação e temas correlatos, com vistas ao atendimento das demandas dos Tribunais
Regionais do Trabalho (Item 2) e (C) alertar os Tribunais Regionais do Trabalho da 4ª, 7ª, 10ª, 11ª, 12ª, 19ª, 20ª, 21ª, 22ª e 24ª
Regiões acerca da necessidade de dotar suas Unidades de Auditoria com os recursos necessários e suficientes para a realização
de auditorias de avaliação da governança e gestão de TIC, de forma a contribuir com a governança corporativa do tribunal.
Recomendações direcionadas ao TRT-13:
1.2.2 Determinar ao TRT que defina, aprove formalmente e implante processo de gerenciamento de incidentes de segurança
da informação, nos termos da Portaria CNJ 162/2021, contemplando, no mínimo, os seguintes elementos: a) instituição formal
da Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética (ETIR), contendo a definição da missão da equipe;
o público-alvo; o modelo de implementação; o nível de autonomia; a designação de integrantes; o canal de comunicação de
incidentes de segurança; e os serviços que serão prestados pela equipe.
1.2.3 Recomendar ao TRT que promova a capacitação técnica da equipe de TI com vistas à implantação/operacionalização do
processo de gerenciamento de incidentes de segurança da informação, com especial atenção às lacunas de conhecimento
apontadas pela Seção de Segurança de Informação: tratamento de incidentes de segurança da informação; gestão de
vulnerabilidades; segurança em aplicações web; correlação de eventos/logs.
1.2.5 Determinar ao TRT que defina, aprove formalmente e implante processo de gerenciamento de incidentes de segurança
da informação, nos termos da Portaria CNJ 162/2021, contemplando, no mínimo, os seguintes elementos: a) a interação com
os processos de monitoramento e gerenciamento de eventos de TI.
1.2.6 Determinar ao TRT que aperfeiçoe seu processo de gerenciamento de incidentes de segurança da informação, nos
termos da Portaria CNJ 162/2021, de forma que contemple, no mínimo, os seguintes elementos: a) a previsão das ações
responsivas a serem colocadas em prática quando ficar evidente que um incidente de segurança cibernética não será mitigado
rapidamente (identificação de crise cibernética) e os critérios para iniciar o gerenciamento de crise;
1.2.7 Determinar ao TRT que aperfeiçoe seu processo de gerenciamento de incidentes de segurança da informação, nos
termos da Portaria CNJ 162/2021, de forma que contemple, no mínimo, os seguintes elementos: a) a previsão das ações
responsivas a serem colocadas em prática quando ficar evidente que um incidente de segurança cibernética não será mitigado
rapidamente (identificação de crise cibernética) e os critérios para iniciar o gerenciamento de crise;
PROVIDÊNCIAS ADOTADAS PELO TRT-13:
Não houve determinações para o TRT-13.
1.2.8 Determinar ao TRT que aperfeiçoe seu processo de gerenciamento de incidentes de segurança da informação, nos
termos da Portaria CNJ 162/2021, de forma que contemple, também: – incidentes ocorridos nos serviços em nuvem
contratados pelo órgão.
1.2.9 Determinar ao TRT que aperfeiçoe seu processo de gerenciamento de incidentes de segurança da informação, nos
termos da Portaria CNJ 162/2021, de forma que contemple, no mínimo, os seguintes elementos: a) a comunicação de todos
os incidentes graves ao Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Poder Judiciário (CPTRIC-
PJ);
1.2.10 Determinar ao TRT que aperfeiçoe seu processo de gerenciamento de incidentes de segurança da informação, nos
termos da Portaria CNJ 162/2021, de forma que contemple, no mínimo, os seguintes elementos: a) etapa de lições aprendidas
pós-crise;
1.2.11 Determinar ao TRT que aperfeiçoe seu processo de gerenciamento de incidentes de segurança da informação, nos
termos da Portaria CNJ 162/2021, de forma que contemple, no mínimo, os seguintes elementos: a) elaboração de Relatório de
Comunicação de Incidente de Segurança Cibernética, contendo a descrição e o detalhamento da crise e o plano de ação
tomado.
2.2.2 Determinar ao TRT que aprimore seu programa de gestão da continuidade dos serviços essenciais de TI, de forma a
contemplar, no mínimo, os seguintes elementos: a) a definição das atividades críticas de negócio a serem contempladas,
abarcando, no mínimo, além do PJE-JT, os seguintes serviços: SIGEP-JT (FOLHA + CADASTRO) ou sistema equivalente,
Processo Administrativo e solução de comunicação (EX: GOOGLE SUITE).
2.2.3 Determinar ao TRT que aprimore seu programa de gestão da continuidade dos serviços essenciais de TI, de forma a
contemplar, no mínimo, os seguintes elementos: a) a identificação dos ativos de informação críticos, incluindo as pessoas, os
processos, a infraestrutura e os recursos de tecnologia da informação;
2.2.5 Determinar ao TRT que aprimore seu programa de gestão da continuidade dos serviços essenciais de TI, de forma a
contemplar, no mínimo, os seguintes elementos: a) a integração com o processo de gestão de riscos, com vistas a assegurar
a avaliação contínua dos riscos a que as atividades críticas estão expostas e que possam impactar diretamente na
continuidade do negócio;
2.2.7 Determinar ao TRT que aprimore seu programa de gestão da continuidade dos serviços essenciais de TI, de forma a
contemplar, no mínimo, os seguintes elementos: – elaborar planos de contingência que detalhem o monitoramento, o
acompanhamento e o tratamento dos riscos de maior criticidade, em razão de possíveis cenários de crise.
2.2.8 Determinar ao TRT que aprimore seu programa de gestão da continuidade dos serviços essenciais de TI, de forma a
contemplar, no mínimo, os seguintes elementos: a) a definição das atividades críticas de negócio a serem contempladas,
abarcando, no mínimo, os seguintes serviços: PJE-JT, SIGEP-JT (FOLHA + CADASTRO) ou sistema equivalente, Processo
Administrativo e solução de comunicação (EX: GOOGLE SUITE); b) planos de continuidade para os serviços essenciais de TI,
contendo no mínimo: o objetivo do plano; as atividades críticas a serem contempladas no plano; os requisitos para ativação do
plano, em especial o tempo máximo aceitável de permanência da falha; o(s) responsável (is) pela ativação do plano e os
respectivos contatos; o(s) responsável(is) por aplicar as medidas de contingência definidas, tendo cada servidor
responsabilidades formalmente definidas e nominalmente atribuídas, incluindo seus respectivos dados de contato; e a
definição das ações necessárias para operacionalização das medidas cuja implementação dependa da aquisição de recursos
físicos e/ou humanos, dos limites de decisão para os responsáveis pela aplicação das medidas de contingência perante
situações inesperadas, dos parâmetros para encerramento do plano e para a volta à normalidade, dos responsáveis por essas
ações, incluindo seus dados de contato, da forma de monitoramento desse processo e de um roteiro de simulação de teste de
funcionamento e da forma de sua aplicação.
2.2.9 Determinar ao TRT que aprimore seu programa de gestão da continuidade dos serviços essenciais de TI, de forma a
contemplar, no mínimo, os seguintes elementos: – realizar simulações e testes para validação dos planos e procedimentos
que integram o programa, quando ele for revisado ou em função de mudança significativa nos ativos de informação, nas
atividades ou em algum de seus componentes;
PROVIDÊNCIAS ADOTADAS PELO TRT-13:
O CSJT deu ciência sobre o resultado desta auditoria ao TRT-13 por meio do OFÍCIO CIRCULAR CSJT.SG.SEJUR Nº 128/2023. A
SECAUD, em cumprimento ao acórdão, solicitou à SETIC elaboração, em 60 dias, de plano de ação para as recomendações
direcionadas ao TRT-13, que apresentou as seguintes ações/evidências:
1.2.2 - Ato TRT SGP nº 163/2022, que institui Equipe de Tratamento e Resposta a Incidentes de Sigurança Cibernética (ETIR),
nos termos da Portaria CNJ/162/2021.
1.2.3 - Ato TRT SGP nº 162/2022, que insere no Plano Anual de Capacitação de Servidores de TIC as capacitações necessárias
aos membros do ETIR.
1.2.5 - Ato TRT SGP nº 181/2022, que revisa o Processo de Gestão de Incidentes de SI para que contemple a interação com
Processo de Gerenciamento de TIC.
1.2.6 - Ato TRT SGP nº 181/2022 e Ato TRT SGP nº 105/2022, que revisam o Processo de Gestão de Incidentes de SI para que
contemple a integração com o Protocolo de Gerenciamento de Crises Cibernéticas.
1.2.7 - Ato TRT SGP nº 181/2022 e Ato TRT SGP nº 105/2022 - Revisão do Processo de de Gestão de Incidentes de SI para
que contemple a integração com o Protocolo de Gerenciamento de Crises Cibernéticas.
1.2.8 - Ato TRT SGP nº 181/2022, que revisa o Processo de Gestão de Incidentes de SI para que contemple incidentes
ocorridos em serviços de nuvem contratados.
1.2.9 - Ato TRT SGP nº 181/2022, que revisa o Processo de Gestão de Incidentes de SI para que contemple a comunicação de
incidentes graves ao Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Poder Judiciário.
1.2.10 - Ato TRT SGP nº 181/2022, que revisa o Processo de Gestão de Incidentes de SI para que contemple a etapa de lições
aprendidas pós crise.
1.2.11 - Ato TRT SGP nº 181/2022, que revisa o Processo de Gestão de Incidentes de SI para que contemple elaboração de
Relatório de Comunicação de Incidente de SI.
2.2.2 - Ato TRT SGP nº 037/2024, que elabora e submete ao Comitê Gestor de SI, proposta de novo escopo do Sistema de
Gestão de SI, contemplando os serviços críticos sugeridos pela auditoria.
2.2.3 - Ato TRT SGP nº 06/2024, que revisa o Processo de Gestão de Continuidade de TIC para que contemple a identificação
dos ativos de informação críticos.
2.2.5 - Ato TRT SGP nº 06/2024, que revisa o Processo de Gestão de Continuidade de TIC para que contemple interação com
o Processo de Gestão de Riscos de SI.
2.2.7 - Em andamento. Prazo revisado em virtude da publicação de nova norma ABNT sobre o tema.
2.2.8 - Prazo revisado em virtude da publicação de nova norma ABNT sobre o tema.
2.2.9 - Prazo revisado em virtude da publicação de nova norma ABNT sobre o tema.
3. LEVANTAMENTO DO GRAU DE MATURIDADE EM BIM (BUILDING INFORMATION MODELING) NA
JUSTIÇA DO TRABALHO DE PRIMEIRO E SEGUNDO GRAUS.
AUDITORIA SISTÊMICA - Acórdão Processo CSJT-A-251-22.2022.5.90.0000.
Proad 6410/2023
OBJETIVO:
Melhoria dos processos para se projetar, construir, operar e manter as edificações no âmbito da Justiça do Trabalho de 1º e 2º
graus”, bem como como uma oportunidade para se desenvolver um projeto nacional tempestivo de implementação do BIM, com a
participação do CSJT e dos TRTs.
DETERMINAÇÃO:
4.1. Oficiar aos Tribunais Regionais do Trabalho para que tomem conhecimento do presente relatório, apêndices e anexos;
4.2. Alertar os Tribunais Regionais do Trabalho quanto aos riscos de:
4.2.1. não estarem preparados para uma provável adoção obrigatória do BIM, em razão da complexidade e tempo necessários para
o processo de implementação da metodologia;
4.2.2. aplicarem a metodologia ou contratarem serviços relacionados ao BIM de forma superficial, o que pode resultar em modelos
desalinhados, desconectados com a realidade e gerar ainda mais trabalho;
4.2.3. insuficiência de profissionais habilitados a realizar a adequada gestão e conservação dos imóveis no âmbito do Tribunal;
4.3. instituir grupo de trabalho - conduzido pela Coordenadoria de Governança de Contratações e de Obras (CGCO/CSJT) e com a
participação da Secretaria de Governança e Gestão Estratégica (SEGGEST/CSJT) e de representantes de Tribunais Regionais do
Trabalho – com o objetivo de instituir estratégia para a implementação do BIM na Justiça do Trabalho de 1º e 2º graus.
PROVIDÊNCIAS ADOTADAS PELO TRT-13:
O CSJT deu ciência sobre o resultado desta auditoria ao TRT-13 por meio do OFÍCIO CIRCULAR CSJT.GP.SG.SEJUR Nº 169/2023.
Instada a se manifestar, a CAEMA informou que os engenheiros e arquitetos lotados na Coordenadoria e no FMF não estavam
capacitados para utilizar a plataforma BIM. Assim, os referidos engenheiros e arquitetos se inscreveram em seis cursos, quais
sejam, BIM – Conceituação Básica, Democratizando BIM, Integração e Interoperabilidade BIM, BIM – Fluxos de trabalho, BIM –
Projetos, planejamento, orçamentos e contratos de construção; BIM – Implantação, todos disponíveis na EV.G
(escolavirtual.gov.br).
