• LEGISLAÇÃO INTERNA >> Procuradoria-Geral de Justiça - PGJ >> Atos

O PROCURADOR-GERAL DE JUSTIÇA, no uso das atribuições que lhes são conferidas pelo art. 18, inciso XIX, alíneas “b” e “d”, da Lei Complementar Estadual n. 197/2000 – Lei Orgânica do Ministério Público do Estado de Santa Catarina,

CONSIDERANDO o disposto na Resolução n. 171, de 27 de junho de 2017, do Conselho Nacional do Ministério Público, que instituiu a Política Nacional de Tecnologia da Informação do Ministério Público (PNTI-MP);

CONSIDERANDO o disposto no Ato n. 57/2015/PGJ, de 2 de fevereiro de 2015, que instituiu o Comitê Estratégico de Tecnologia da Informação do Ministério Público de Santa Catarina;

CONSIDERANDO a necessidade de alinhar as ações de Tecnologia da Informação (TI) aos objetivos estratégicos da Instituição;

CONSIDERANDO a importância de se estabelecerem objetivos, princípios, diretrizes e estruturas organizacionais de governança de TI alinhados às recomendações constantes da NBR ISO/IEC 38500, que trata da governança corporativa de TI, e às boas práticas do COBIT e de outros modelos de governança e gestão de TI reconhecidos internacionalmente;

CONSIDERANDO o disposto no Ato n. 213/2018/PGJ, que instituiu a Comissão para Gestão e Desenvolvimento de Sistemas para Área-Fim;

CONSIDERANDO o disposto no Ato n. 395/2013/PGJ, que institui a Comissão de Gestão do Planejamento Estratégico do Ministério Público de Santa Catarina;

CONSIDERANDO o Ato n. 257/2013/PGJ, que disciplinou as atividades do setor Escritório de Processos;

CONSIDERANDO o Ato n. 173/2018/PGJ, que criou a Comissão Permanente Gestora do Sistema Integrado de Gestão; e

CONSIDERANDO o Ato n. 752/2014/PGJ, que criou o Comitê Gestor de Segurança do Ministério Público de Santa Catarina,

RESOLVE:

Art. 1º Instituir a Política de Governança de Tecnologia da Informação do Ministério Público de Santa Catarina (PGTI/MPSC).

Parágrafo único. O Plano Estratégico de Tecnologia da Informação (PETI), alinhado às prioridades fixadas pelo Planejamento Estratégico Institucional, é o principal instrumento da PGTI/MPSC que norteia as ações de TI.

Art. 2º A PGTI/MPSC observará os conceitos, os objetivos, os princípios, as diretrizes, os papéis e as responsabilidades estabelecidos neste documento, além das disposições constitucionais, legais e normas vigentes.

Parágrafo único. As normas gerais e específicas de TI, vigentes no âmbito do Ministério Público de Santa Catarina (MPSC), devem estar condizentes com as orientações deste documento.

Art. 3º Para fins desta norma, considera-se:

I – Acordo de Nível de Serviço (ANS): acordo definido entre a unidade de TI e os usuários da instituição, que descreve condições e garantias na prestação dos serviços de TI, além de documentar metas de qualidade e especificar as responsabilidades da unidade de TI e dos usuários;

II – ativo de TI: qualquer componente ou recurso que precise ser gerenciado de forma a garantir a entrega de um serviço de TI;

III – catálogo de serviços de TI: banco de dados ou documento estruturado, com informações sobre os serviços de TI ativos;

IV – gestão de TI: práticas e atividades que buscam planejar, construir, executar e monitorar a organização de TI com o objetivo de viabilizar a entrega e o suporte de serviços de TI focados nas necessidades dos clientes e de modo alinhado à estratégia da Instituição;

V – governança de TI: conjunto de diretrizes, estruturas organizacionais, processos e mecanismos de controle que visam a assegurar o alinhamento das decisões e das ações relativas à gestão e ao uso da TI às necessidades institucionais, mantendo riscos em níveis aceitáveis e em conformidade com normativos regulatórios internos e externos;

VI – portfólio de TI: conjunto de projetos e serviços de TI que visam ao alcance dos objetivos estratégicos institucionais;

VII – requisitos da Solução de TI: capacidades ou características que a solução de TI deve apresentar ou condições a que deve atender com vistas à realização de seu propósito;

VIII – solução de TI: conjunto formado por elementos de tecnologia da informação processos de trabalho e estrutura de pessoas, todos integrados para produzir resultados que atendam às necessidades do MPSC, sendo entregues aos usuários da solução na forma de serviços de TI;

IX – serviços de TI: uma ou mais soluções de TI que, em conjunto, habilitam um processo de negócio;

X – nível de serviço: meta de desempenho ou de qualidade definida para a solução de TI, tais como: horário de funcionamento, tempo máximo de resposta, quantidade mínima de transações a processar e nível mínimo de disponibilidade; e

XI – Tecnologia da Informação: ativo estratégico de suporte para processos de negócio institucionais por meio da conjugação de recursos, processos e técnicas utilizados para obter, processar e armazenar informações, além de fazer uso delas.

CAPÍTULO I

DOS OBJETIVOS

Art. 4º A PGTI/MPSC visa a assegurar o alinhamento das práticas de governança de TI com as estratégias institucionais do MPSC, observados os seguintes objetivos específicos:

I – estabelecer princípios e diretrizes para induzir o desenvolvimento da governança e da gestão de TI;

II – prover mecanismos de transparência e controle da governança e da gestão de TI;

III – assegurar que os riscos de TI estejam dentro de limites aceitáveis, reduzindo eventuais impactos nas atividades institucionais; e

IV – definir papéis e responsabilidades dos envolvidos na governança e na gestão de TI.

CAPÍTULO II

DOS PRINCÍPIOS E DIRETRIZES

Art. 5º A governança, a gestão e o uso de TI, no âmbito do MPSC, orientam-se para o uso eficaz, eficiente e aceitável da TI, em conformidade com disposições legais, incluindo normas internas e externas e pelos seguintes princípios:

I – responsabilidade: todos os integrantes da equipe compreendem e aceitam suas responsabilidades em relação ao fornecimento e à demanda de TI. Aqueles que são responsáveis pelas ações também têm autoridade para desempenhá-las;

II – estratégia: a estratégia de negócio da organização leva em conta as capacidades atuais e futuras da TI;

III – aquisição: as aquisições de TI são feitas com base apropriada e contínua, com tomada de decisão clara e transparente. Busca-se um equilíbrio entre benefícios, oportunidades, custos e riscos, de curto e longo prazo;

IV – desempenho: a TI deve apoiar o atingimento dos objetivos da Instituição, fornecendo serviços, com níveis de desempenho e qualidade definidos e acompanhados;

V – conformidade: a TI deve observar toda legislação e regulamentos obrigatórios. As políticas e práticas são claramente definidas, implementadas e fiscalizadas; e

VI – comportamento humano: as políticas, práticas e decisões de TI demonstram respeito ao comportamento humano, considerando as necessidades atuais e futuras de todos as pessoas no processo.

Art. 6º O provimento, a gestão e o uso de soluções de TI observarão as seguintes diretrizes:

I – integração entre a TI e as unidades organizacionais por meio do diálogo permanente e da adoção de linguagem comum, buscando aprimorar a governança e gestão de TI;

II – coordenação centralizada das iniciativas para atendimento das necessidades institucionais do MPSC relacionadas à TI;

III – alocação de recursos para provimento de soluções de TI baseada em critérios de priorização de forma a atender às estratégias institucionais;

IV – utilização de soluções de TI de acordo com política e normas de segurança de TI da Instituição;

V – disseminação da cultura de que os serviços de TI são meios para a entrega de valor aos clientes e que os serviços ofertados devem estar registrados e monitorados;

VI – otimização dos processos de trabalho e o uso de recursos;

VII – incentivo ao comportamento ético; e

VIII – criação de ambiente de inovação, buscando manter-se atualizado e propor a implantação na Instituição das melhores práticas e técnicas existentes no mercado.

CAPÍTULO III

DOS PAPÉIS E RESPONSABILIDADES

Art. 7º Serão responsáveis pela coordenação, implantação e gestão da PGTI/MPSC, os seguintes órgãos:

I – Comitê Estratégico de Tecnologia da Informação (CETI);

II – Coordenadoria de Tecnologia da Informação (COTEC);

III – Gerência de Governança e Qualidade em TI;

IV – Gerência de Atendimento ao Usuário;

V – Gerência de Segurança da Informação e Gestão de Riscos;

VI – Gerência de Sistemas de Informação; e

VII – Gerência de Infraestrutura Tecnológica.

§ 1º A Coordenadoria de Tecnologia da Informação deverá atuar em consonância com a Comissão para Gestão e Desenvolvimento de Sistemas para Área-Fim, instituída no Ato n. 885/2014/PGJ/CGMP, com a Comissão Permanente Gestora do Sistema Integrado de Gestão, instituída no Ato n. 173/2018/PGJ, e, também, com o Comitê Gestor de Segurança do Ministério Público de Santa Catarina, instituído no Ato n. 752/2014/PGJ.

§ 2º Em função da complexidade e abrangência dos resultados, a COTEC, em conjunto com o CETI, poderá propor à Administração Superior do MPSC a criação de novas comissões.

Seção I

Do Comitê Estratégico de Tecnologia da Informação

Art. 8º O CETI é órgão deliberativo, colegiado, de caráter permanente, com responsabilidades de cunho estratégico e executivo definidas no Ato n. 57/2015/PGJ, responsável por coordenar e acompanhar os resultados obtidos com as ações relacionadas à PGTI/MPSC.

Seção II

Da Coordenadoria de Tecnologia da Informação

Art. 9º A COTEC, em conjunto com suas Gerências, será responsável por implantar, acompanhar e assessorar o CETI em relação aos objetivos da PGTI/MPSC, incumbindo-lhe:

I – realizar o provimento centralizado de soluções de TI e assegurar seu funcionamento em conformidade com os níveis de serviço acordados;

II – oferecer ambiente computacional e suporte adequados ao provimento e ao uso de soluções de TI;

III – definir e implementar o modelo de gestão de TI, incluindo processos, planejamento e controle da execução de ações de TI, monitoramento e alocação de recursos;

IV – propor a arquitetura corporativa de TI, implementar, implantação ou adquirir novas tecnologias, além de mudar as plataformas operacionais atuais;

V – adquirir o que envolva recursos de TI;

VI – planejar o orçamento destinado à TI e sua alocação;

VII – participar da avaliação da necessidade de desenvolvimento ou aquisição de novos sistemas e sobre necessidades de integração, descontinuidade e mudanças nos sistemas existentes;

VIII – auxiliar na identificação de oportunidades de informatização de processos de trabalho e na formulação de demandas para provimento de novas soluções de TI;

IX – participar da definição de acordos de nível de serviços (ANS); e

X – prestar contas ao CETI quanto à gestão de TI, considerando desempenho, custo, qualidade, conformidade e risco dos projetos, processos e serviços de TI.

Seção III

Do Plano Estratégico de Tecnologia da Informação

Art. 10. O PETI é um desdobramento do Planejamento Estratégico Institucional (PEI).

§ 1° O PETI conterá as contribuições da TI para o alcance dos objetivos estratégicos, observando a:

I – participação efetiva das diversas áreas do MPSC;

II – inclusão de indicadores que demonstrem o alcance dos resultados esperados; e

III – a previsão de, pelo menos, uma meta para cada indicador.

§ 2° O PETI deve ser revisado periodicamente, observado o ciclo do PEI.

Seção IV

Do Plano Diretor de Tecnologia da Informação

Art. 11. O Plano Diretor de Tecnologia da Informação (PDTI) é um desdobramento do PETI e conterá as ações necessárias para o atingimento dos objetivos definidos.

Parágrafo único. O PDTI deverá ser elaborado pela COTEC e encaminhado para deliberação do CETI, instância de governança de TI no MPSC.

Seção V

Dos Macroprocessos de TI

Art. 12. Fica a COTEC responsável pela coordenação-geral do mapeamento dos seguintes macroprocessos de TI, sendo designados para gestão de cada um deles:

I – portfólio, programas e projetos de TI: gestão sob a responsabilidade da Gerência de Governança e Qualidade em TI;

II – riscos de TI: gestão sob a responsabilidade da Gerência de Segurança da Informação e Gestão de Riscos;

III – serviços de TI: gestão sob a responsabilidade da Gerência de Atendimento ao Usuário;

IV – continuidade dos serviços de TI: gestão sob a responsabilidade da Gerência de Infraestrutura Tecnológica;

V – sistemas de informação: gestão sob a responsabilidade da Gerência de Sistemas da Informação;

VI – infraestrutura de TI: gestão sob a responsabilidade da Gerência de Infraestrutura Tecnológica; e

VII – segurança da informação nos ativos de TI: gestão sob a responsabilidade da Gerência de Segurança da Informação e Gestão de Riscos.

Parágrafo único. A COTEC poderá definir a regulamentação de outros macroprocessos de TI, definindo a Gerência responsável pela gestão.

Art. 13. A governança dos macroprocessos será exercida pelo CETI, a partir das informações e dos acompanhamentos realizados pela COTEC.

CAPÍTULO IV

DOS PAPÉIS E RESPONSABILIDADES

Art. 14. A gestão dos ativos e soluções de TI no MPSC compete à COTEC e é realizada a partir da execução dos macroprocessos de TI.

Art. 15. A Gerência de Governança e Qualidade em TI (GEGOV) é responsável pela formalização e condução do macroprocesso de gestão de portfólios, programas e projetos de TI, contemplando:

I – mecanismos eficientes de planejamento, execução e controle;

II – minimização de riscos;

III – manutenção de custos, prazos e qualidade planejados;

IV – seleção de projetos e serviços de TI alinhados aos objetivos estratégicos da Instituição;

V – modelo de priorização na alocação dos recursos;

VI – monitoramento do desempenho e da entrega dos projetos e serviços de TI; e

VII – manutenção do registro dos projetos da COTEC, priorizados pelo CETI, utilizando ferramentas e metodologia definidas pela área responsável.

Parágrafo único. A GEGOV é a responsável pela condução do processo de elaboração e manutenção do PETI e PDTI e auxilia o CETI na condução de suas atividades.

Art. 16. A Gerência de Segurança da Informação e Gestão de Riscos (GESEG) é responsável pela formalização e condução do macroprocesso de Gestão dos Riscos de TI, considerando:

I – estabelecimento do contexto;

II – identificação dos riscos;

III – análise dos riscos;

IV – avaliação de riscos;

V – tratamento dos riscos;

VI – monitoramento e análise crítica;

VII – comunicação e consulta;

VIII – planos de tratamento; e

IX – matriz de responsabilidades.

Art. 17. A Gerência de Atendimento ao Usuário (GEAU) é responsável pela formalização e condução do macroprocesso de gestão dos serviços de TI, incluindo:

I – gestão do catálogo de serviços, incluindo a dos Acordos de Nível de Serviço;

II – classificação dos serviços, em função do suporte aos processos de negócio, em essenciais e críticos;

III – central de serviços de TI;

IV – gestão de incidentes;

V – solicitações de serviço;

VI – gestão de problemas; e

VII – participação de representante dos usuários na gestão dos Acordos de Nível de Serviço.

§ 1° A cada serviço do Catálogo de que trata o inciso I corresponderá um gestor formalmente designado.

§ 2° O Catálogo de Serviços deverá identificar, em função do suporte aos processos de negócio, os serviços que são essenciais e críticos.

§ 3º Caberá ao CETI monitorar a qualidade, os riscos, os custos e o desempenho dos serviços.

Art. 18. A Gerência de Infraestrutura Tecnológica (GETEC) é responsável pela formalização e consolidação do macroprocesso de gestão da continuidade dos serviços de TI, contemplando:

I – análise de impacto;

II – definição de estratégias; e

III – desenvolvimento de plano de continuidade dos serviços de TI essenciais, incluindo testes e revisões periódicas.

Parágrafo único. O plano de continuidade dos serviços de TI deve incluir o gerenciamento de recuperação de desastres de TI (IT DR/PRTI), englobando premissas, RPO e RTO, responsáveis por declarar o desastre de TI, os critérios para declaração de desastre de TI, o plano de comunicação, os riscos, as limitações, os responsáveis pela coordenação e a execução do plano de recuperação, o procedimento de recuperação de desastre, o plano destes, a auditoria e a manutenção. Esse planejamento deverá estar alinhado ao plano de continuidade de negócios (BCM) do MPSC.

Art. 19. A Gerência de Sistemas de Informação (GESIN) é responsável pela formalização e condução do macroprocesso de gestão dos sistemas de informação, contemplando:

I – gestão de requisitos, de desenvolvimento, de manutenção, de testes, de homologação e implantação;

II – envolvimento da área de negócio;

III – testes e homologações; e

IV – transferência de conhecimento para as equipes de operação e os usuários finais.

Parágrafo único. O fluxo de tratamento das demandas de desenvolvimento de sistemas deverá levar em consideração as comissões vigentes e o relacionamento dessas comissões com o CETI.

Art. 20. A Gerência de Infraestrutura Tecnológica (GETEC) é responsável pela formalização e condução do macroprocesso de gestão da infraestrutura de TI no MPSC, contemplando:

I – quanto às mudanças:

a) registro, avaliação e aprovação das mudanças; e

b) prévia comunicação aos usuários impactados; e

II – controle e gestão dos itens de configuração e ativos de TI.

Art. 21. A Gerência de Segurança da Informação e Gestão de Riscos (GESEG) é responsável pela formalização e condução do macroprocesso de segurança da informação nos ativos de TI. A regulamentação da gestão buscará garantir que os ativos críticos, os riscos, as ameaças, as vulnerabilidades e os incidentes de segurança sejam identificados, monitorados e priorizados por meio de controles efetivos.

Art. 22. Os casos omissos deverão ser avaliados e deliberados no CETI.

Art. 23. Este Ato entra em vigor na data de sua publicação.

REGISTRE-SE, PUBLIQUE-SE E COMUNIQUE-SE.

Florianópolis, 27 de agosto de 2018.

Sandro José Neis

Procurador-Geral de Justiça