Iso 22301

ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)

MARO 2013
Segurana da sociedade Sistema de gesto de continuidade de

negcios Requisitos
APRESENTAO
1) Este Projeto de Norma da Comisso de Estudo Especial de Gesto de Riscos
(ABNT/CEE-63), na reunio de:
14.03.2013
2) Este Projeto de Norma previsto para cancelar e substituir a ABNT NBR 15999-2:2010,
quando aprovado, sendo que nesse nterim a referida norma continua em vigor
3) Previsto para ser equivalente ISO 22301:2013;
4) No tem valor normativo;
5) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informao em seus comentrios, com documentao comprobatria;
6) Este Projeto de Norma ser diagramado conforme as regras de editorao da ABNT
quando de sua publicao como Norma Brasileira.
7) Tomaram parte na elaborao deste Projeto:
Participante
Representante
ABNT/GPR
Carolina Martins de Oliveira

Mozart Silva Filho
ACCENTURE
Rodrigo de Barros Nabholz
AUTNOMO
Geraldo Rocha
Lcia Lobel
DELOITTE
Jos Pela Neto
FGV
Sergio L. Hoeflich
FIBRIA
Dorlange Figueiredo Costa
GLOBALSTAND
Elie Borges
INMETRO
Maria Luiza Costa Martins

Mayard S. Solotar
MODULO
Alberto Bastos
Gustavo Minarelli
Marcelo Ramos
OI TELEMAR
Fabiano Castello
NO TEM VALOR NORMATIVO
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
P. RANDALL
Marcello DAvila
PETROBRAS
Andr Horcio C. Santos

Nelson Maral Blanco
Tiago Amaro
PMI/FGV
Jos Angelo Santos do Valle
QSP
Francesco De Cicco
SABESP
Ana Maria Ribeiro
RELIAPLUS CONSULTING
Salvador Simes Filho
RISK AT RISK
Paulo A. Baraldi
TV GLOBO
Vinicius Brasileiro
UNB
Edgard Costa
USP
Rodrigo Barros
VALE
Debora Mairink
Rodrigo da Silva Peixoto
2/2
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
Segurana da sociedade Sistema de gesto de continuidade de negcios

Requisitos
Societal security Business continuity management systems - Requirements
Prefcio
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas
Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos
de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais (ABNT/CEE), so
elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas
fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros).
Os documentos Tcnicos ABNT so elaborados conforme as regras das Diretivas ABNT, Parte 2.
O Escopo desta Norma Brasileira em ingls o seguinte:
Scope
This Standard for business continuity management specifies requirements to plan, establish, implement,
operate, monitor, review, maintain and continually improve a documented management system to
protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive
incidents when they arise.
The requirements specified in this Standard are generic and intended to be applicable to all
organizations, or parts thereof, regardless of type, size and nature of the organization. The extent of
application of these requirements depends on the organizations operating environment and complexity.
It is not the intent of this Standard to imply uniformity in the structure of a Business Continuity
Management System (BCMS), but for an organization to design a BCMS that is appropriate to its needs
and that meets its interested parties requirements. These needs are shaped by legal, regulatory,
organizational and industry requirements, the products and services, the processes employed, the size
and structure of the organization, and the requirements of its interested parties.
This Standard is applicable to all types and sizes of organizations that wish to
a) establish, implement, maintain and improve a BCMS,
b) ensure conformity with stated business continuity policy,
c) demonstrate conformity to others,
d) seek certification/registration of its BCMS by an accredited third party certification body, or
e) make a self-determination and self-declaration of conformity with this Standard.
This Standard can be used to assess an organizations ability to meet its own continuity needs and
obligations
1/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
0 Introduo
0.1 Geral
Esta Norma especifica requisitos para estabelecer e gerenciar um eficaz Sistema de Gesto de
Continuidade de Negcios (SGCN).
Um SGCN refora a importncia de:
entender as necessidades da organizao e a imprescindibilidade de estabelecimento de poltica e
objetivos para a gesto de continuidade de negcios;
implementar e operar controles e medidas para a gesto da capacidade geral da organizao para
gerenciar incidentes de interrupo;
monitorar e analisar criticamente o desempenho e a eficcia do SGCN; e
melhorar continuamente com base na medio objetiva.
O SGCN, assim como outros sistemas de gesto, possui os seguintes componentes chave:
a) uma poltica;
b) pessoas com responsabilidades definidas;
c) processos de gesto relativos a:
1)
poltica,
2)
planejamento,
3)
implementao e operao,
4)
avaliao de desempenho;
5)
anlise crtica pela Direo e
6)
melhorias;
d)
documentao fornecendo evidncias auditveis; e
e)
quaisquer processos de gesto da continuidade de negcios pertinentes organizao.
A continuidade de negcios contribui para uma sociedade mais resiliente. possvel que seja
necessrio envolver no processo de recuperao a comunidade em geral, assim como outras
organizaes em funo do impacto no ambiente organizacional.
2/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
0.2 O modelo Plan-Do-Check-Act (PDCA)

Esta Norma adota o modelo Plan-Do-Check-Act para planejar, estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar continuamente a eficcia do SGCN de uma
organizao.
Isto garante um grau de consistncia com outras normas de sistemas de gesto, tais como
ABNT NBR ISO 9001:2000 (Sistemas de gesto da qualidade) e ABNT NBR ISO 14001:2004
(Sistemas de gesto ambiental), ABNT NBR ISO/IEC 27001:2005 (Sistemas de gesto de segurana
da informao), ABNT NBR ISO/IEC 20000-2 (Gesto de Servios de TI), e ABNT NBR ISO 28000,
(Especificao para sistemas de gesto de segurana para a cadeia logstica), suportando assim, a
implementao consistente e integrada e a operao com sistemas de gesto relacionados.
A Figura 1 ilustra como um SGCN considera como entradas as partes interessadas e os requisitos de
continuidade de negcios e, por meio de aes necessrias e processos, produz resultados de
continuidade (por exemplo, continuidade de negcios gerenciada) que atendem aqueles requisitos.
Figura 1 Modelo PDCA aplicado aos processos do SGCN
3/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
Tabela 1 Explicao do modelo PDCA

Plan
(Estabelecer)
Estabelecer uma poltica de continuidade de negcios, objetivos,

metas, controles, processos e procedimentos pertinentes para a
melhoria da continuidade de negcios de forma a ter resultados
alinhados com os objetivos e polticas gerais d a organizao.
Do
(Implementar e operar)
Implementar e operar a poltica de continuidade de negcios,

controles, processos e procedimentos.
Check
(Monitorar e analisar criticamente)
Monitorar e analisar criticamente o desempenho em relao aos

objetivos e poltica de continuidade de negcios, reportar os
resultados para a direo para anlise crtica, e definir e autorizar
aes de melhorias e correes.
Act
(Manter e melhorar)
Manter e melhorar o SGCN tomando aes corretivas e

preventivas, baseadas nos resultados da anlise crtica pela
Direo e reavaliando o escopo do SGCN e as polticas e objetivos
de continuidade de negcios.
0.3 Componentes do PDCA nesta Norma

0.3 Components of PDCA in this International Standard
No modelo Plan (Planejar)-Do (Fazer) Check (Checar)-Act (Agir) exibido na Tabela 1, as Sees de 4
a 10 desta Norma envolvem os seguintes componentes:
A Seo 4 um componente do Planejar. Introduz os requisitos necessrios para estabelecer o
contexto do SGCN, como se aplica na organizao, bem como suas necessidades, requisitos e
escopo.
A Seo 5 um componente do Planejar. Resume os requisitos especficos para o papel da Alta
Direo no SGCN, e como a liderana deve articular suas expectativas para a organizao por meio
de uma declarao de poltica.
A Seo 6 um componente do Planejar. Descreve os requisitos para a aplicao de objetivos
estratgicos e princpios direcionadores para o SGCN como um todo. O contedo desta Seo 6
difere do estabelecimento de oportunidades para o tratamento de riscos decorrentes do processo
de avaliao de risco, bem como os objetivos de recuperao derivados da anlise de impacto nos
negcios (BIA).
NOTA
Os requisitos dos processos de anlise de impacto nos negcios e de avaliao de riscos esto
detalhados na Seo 8.
A Seo 7 um componente do Planejar. Suporta a operao do SGCN, atribuindo competncias

e comunicao de forma recorrente/conforme necessria com as partes interessadas, bem como
documentando, controlando, mantendo e retendo as documentaes necessrias.
A Seo 8 um componente do Fazer. Define requisitos para a continuidade de negcios,
determinando como abord-los e como desenvolver procedimentos para gerenciar um incidente de
interrupo.
4/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
A Seo 9 um componente do Checar. Esta resume os requisitos necessrios para medir o

desempenho da gesto de continuidade de negcios, a conformidade do SCGN com esta Norma e
com as expectativas da Direo e busca o feedback dos gestores, com relao s expectativas.
A Seo 10 um componente do Agir. Este identifica e atua em aspectos do SGCN que no esto
em conformidade, atravs de aes corretivas.
1 Escopo
Esta Norma de gesto da continuidade de negcios especifica os requisitos para planejar, estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente um sistema de
gesto documentado para proteger-se, reduzir a possibilidade de ocorrncia, preparar-se, responder a e
recuperar-se de incidentes de interrupo quando estes ocorrerem.
Os requisitos especificados nesta Norma so genricos e planejados para serem aplicados em todas as
organizaes ou parte delas, independentemente do tipo, tamanho e natureza do negcio. A
abrangncia da aplicao desses requisitos depende do ambiente operacional e complexidade da
organizao.
Esta Norma no tem a inteno de impor uniformidade da estrutura de um Sistema de Gesto de
Continuidade de Negcios (SGCN), mas para que uma organizao projete um SGCN adequado s
suas necessidades e que satisfaa os requisitos das partes interessadas. Estas necessidades so
moldadas por requisitos legais, regulatrios, de negcios e dos clientes, pelos produtos e servios, os
processos utilizados, o tamanho e a estrutura da organizao e pelos requisitos das partes
interessadas.
Esta Norma aplicvel a todos os tipos e tamanhos de organizao que desejam:
a) estabelecer, implementar, manter e melhorar um SGCN,
b) assegurar conformidade com a poltica de continuidade de negcios estabelecida,
c) demonstrar conformidade para outros,
d) buscar certificao/registro de seu SGCN por meio de um organismo de certificao de terceira
parte acreditado, ou ,
e) fazer uma auto-determinao e uma auto-declarao de conformidade com esta Norma.
Esta Norma pode ser usada para avaliar a capacidade de uma organizao em atender suas prprias
necessidades e obrigaes de continuidade.
2 Referncias normativas
Os documentos relacionados a seguir so indispensveis aplicao deste documento. Para
referncias datadas, aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se
as edies mais recentes do referido documento (incluindo emendas).
No existem referncias normativas.
5/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
3 Termos e definies
Para os efeitos deste documento, aplicam-se os seguintes termos e definies.
3.1
atividade
processo ou conjunto de processos executados por uma organizao (ou em seu nome) que produzam
ou suportem um ou mais produtos ou servios
EXEMPLO Tais processos incluem contas, call center, TI, manufatura, distribuio.
3.2
auditoria
processo sistemtico, documentado e independente para obter evidncias de auditoria e avali-las
objetivamente para determinar a extenso na qual os critrios de auditoria so atendidos
NOTA 1 Uma auditoria pode ser interna (primeira parte) ou externa (segunda parte ou terceira parte), e pode
ser uma auditoria combinada (combinao de duas ou mais disciplinas).
NOTA 2
"A evidncia de auditoria" e "critrios de auditoria" so definidos na ABNT NBR ISO 19011.
3.3
continuidade de negcios
capacidade da organizao em continuar a entrega de produtos ou servios em um nvel aceitvel
previamente definido aps incidentes de interrupo
[FONTE: ISO 22300]
3.4
gesto de continuidade de negcios
processo abrangente de gesto que identifica ameaas potenciais para uma organizao e os possveis
impactos nas operaes de negcio caso estas ameaas se concretizem. Este processo fornece uma
estrutura para que se desenvolva uma resilincia organizacional que seja capaz de responder
eficazmente e salvaguardar os interesses das partes interessadas, a reputao e a marca da
organizao e suas atividades de valor agregado
3.5
sistema de gesto de continuidade de negcios
SGCN
parte do sistema global de gesto que estabelece, implementa, opera, monitora, analisa criticamente,
mantm e melhora a continuidade de negcios
NOTA
O sistema de gesto inclui estruturas organizacionais, polticas, atividades de planejamento,
responsabilidades, procedimentos, processos e recursos.
3.6
plano de continuidade de negcios
procedimentos documentados que orientam as organizaes a responder, recuperar, retomar e
restaurar a um nvel pr-definido de operao aps a interrupo
NOTA
Normalmente isto abrange recursos, servios e atividades necessrias para assegurar a continuidade
de funes crticas de negcios.
6/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
3.7
programa de continuidade de negcios
processo contnuo de gesto e governana suportado pela Alta Direo que recebe apropriadamente os
recursos para implementar e manter a gesto de continuidade de negcios
3.8
anlise de impacto nos negcios (BIA Business Impact Analysis)
processo de analisar as atividades e os efeitos que uma interrupo de negcio pode ter sobre elas
[FONTE: ISO 22300]
3.9
competncia
habilidade de aplicar conhecimentos e tcnicas para atingir os resultados esperados
3.10
conformidade
cumprimento de um requisito
[FONTE: ISO 22300]
3.11
melhoria contnua
atividade recorrente para melhorar o desempenho
[FONTE: ISO 22300]
3.12
correo
ao para eliminar uma no conformidade detectada
[FONTE: ISO 22300]
3.13
ao corretiva
ao para eliminar a causa de uma no conformidade e para prevenir a recorrncia
NOTA
No caso de outros resultados indesejveis, necessrio agir para minimizar ou eliminar as causas e
para reduzir o impacto ou prevenir a reincidncia. Tais aes esto fora do conceito de "ao corretiva", no sentido
desta definio.
[FONTE: ISO 22300]

3.14
documento
informao e seu meio de suporte
NOTA 1 Os meios podem ser papel, disco magntico, eletrnico ou ptico de computador, fotografia ou amostra
mestre, ou uma combinao destes.
NOTA 2 Um conjunto de documentos, por exemplo especificaes e registros, frequentemente chamado de
"documentao".
7/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
3.15
informao documentada
informao que deve ser controlada e mantida por uma organizao e o meio em que est contida
NOTA 1
Informao documentada pode estar em qualquer formato e em qualquer mdia de qualquer tipo.
NOTA 2
Informao documentada pode se referir a
o sistema de gesto, incluindo processos relacionados;

informao criada para que a organizao funcione (documentao);
evidncia de resultados atingidos (registros).
3.16
eficcia
extenso para quais atividades planejadas so realizadas e resultados planejados atingidos
[FONTE: ISO 22300]
3.17
evento
ocorrncia ou mudana em um conjunto especfico de circunstncias
NOTA 1 Um evento pode consistir em uma ou mais ocorrncias e pode ter vrias causas.
NOTA 2 Um evento pode consistir em alguma coisa no acontecer.
NOTA 3 Um evento pode algumas vezes ser referido como um incidente ou um acidente.
NOTA 4 Um evento sem consequncias pode tambm se referir a quase acidente, incidente, quase
coliso ou por um triz.
[FONTE: ABNT ISO/IEC Guia 73]
3.18
exercicio
processo de treino para avaliar, praticar e melhorar o desempenho em uma organizao
NOTA 1 Os exerccios podem ser usados para: validar polticas, planos, procedimentos, treinamento,
equipamentos e acordos entre organizaes; esclarecimento e treinamento de pessoal em funes e
responsabilidades, melhoria da coordenao e comunicao entre organizaes, identificao de lacunas de
recursos, melhoria do desempenho individual e; identificao de oportunidades de melhoria e o controle de
oportunidades para a prtica de improvisao.
NOTA 2 Um teste um tipo nico e particular de exerccio, que incorpora uma expectativa de aprovao ou
reprovao em relao aos objetivos planejados do exerccio.
[FONTE: ISO 22300]
3.19
incidente
situao que pode representar ou levar interrupo de negcios, perdas, emergncias ou crises
8/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
[FONTE: ISO 22300]
3.20
infraestrutura
sistema de instalaes, equipamentos e servios necessrios para a operao de uma organizao
3.21
partes interessadas
stakeholder
pessoa ou organizao que pode afetar, ser afetado ou que entendem ser afetados por uma deciso ou
atividade
NOTA O termo refere-se a um indivduo ou grupo que possui interesse em qualquer deciso ou atividade de
uma organizao.
3.22
auditoria interna
auditoria realizada por, ou em nome, da prpria organizao para anlise crtica pela Direo e outros
fins internos, e que pode formar a base para autodeclararo de conformidade de uma organizao
NOTA
Em muitos casos, particularmente em pequenas organizaes, a independncia pode ser demonstrada
pela no responsabilidade pela atividade a ser auditada.
3.23
invocao
ato de declarar que os arranjos para continuidade de negcios de uma organizao precisam ser
colocados em prtica, a fim de continuar a entrega de produtos ou servios essenciais.
3.24
sistema de gesto
conjunto de elementos inter-relacionados ou interativos de uma organizao para estabelecer polticas e
objetivos, bem como processos para atingir esses objetivos
NOTA 1
Um sistema de gesto pode abordar uma nica disciplina ou vrias disciplinas.
NOTA 2 Os elementos do sistema incluem a estrutura da organizao, papis e responsabilidades,

planejamento, operao, etc.
NOTA 3 O escopo de um sistema de gesto pode incluir a totalidade da organizao, funes especficas e
identificadas da organizao, sees especficas e identificadas da organizao, ou uma ou mais funes atravs
de um grupo de organizaes.
3.25
interrupo mxima aceitvel
MAO - Maximum Acceptable Outage
tempo para que os impactos adversos que possam surgir como resultado de no fornecer um produto /
servio, ou realizar uma atividade, tornem-se inaceitveis
3.26
perodo mximo de interrupo tolervel
MTPD - Maximum Tolerable Period of Disruption
tempo necessrio para que os impactos adversos tornem-se inaceitveis, que pode surgir como
resultado de no fornecer um produto/servio ou realizar uma atividade.
9/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
NOTA
Ver tambm interrupo mxima aceitvel.
3.27
medio
processo para determinar um valor
3.28
objetivo mnimo de continuidade de negcios
OMCN
nveis mnimos aceitveis de servios e/ou produtos para a organizao alcanar seus objetivos de
negcios durante uma interrupo
3.29
monitoramento
determinao do status de um sistema, de um processo ou de uma atividade
NOTA
Para determinar o status pode haver a necessidade de checar, supervisionar ou observar
criticamente.
3.30
acordo de ajuda mtua
pr-disposio de entendimento entre duas ou mais entidades para prestao de assistncia mtua
[FONTE: ISO 22300]
3.31
no conformidade
no cumprimento de um requisito
[FONTE: ISO 22300]
3.32
objetivo
resultado a ser atingido
NOTA 1
Um objetivo pode ser estratgico, ttico ou operacional.
NOTA 2 Os objetivos podem ser relacionados a diferentes disciplinas (tais como financeiro, sade e segurana,
e as metas ambientais) e podem ser aplicados em diferentes nveis (como estratgico, a organizao como um
todo, projeto, produto e processo).
NOTA 3 Um objetivo pode ser expresso por outros meios, por exemplo, como um resultado esperado, um
propsito, um critrio operacional, como um objetivo de segurana social ou pelo uso de outras palavras com
significado similar (por exemplo, objetivo, meta, ou alvo).
NOTA 4 No contexto de sistema de gesto de padres de segurana da sociedade, os objetivos de segurana
da sociedade so definidos pela organizao, de acordo com a poltica de segurana social, para alcanar
resultados especficos.
10/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
3.33
organizao
pessoas ou grupo de pessoas que tm suas funes com responsabilidades, autoridades e
relacionamentos para alcanar os objetivos.
NOTA 1 O conceito de organizao inclui, mas no se limita a, empresrio individual, companhia, corporao,
firma, empresa, autoridade, parceria, instituio de caridade ou outra instituio, ou parte ou combinao destas,
com responsabilidade limitada ou no, pblica ou privada.
NOTA 2 Para as organizaes com mais de uma unidade operacional, uma nica unidade operacional pode ser
definida como uma organizao.
3.34
terceirizar (verbo)
fazer um acordo onde uma organizao externa executa parte da funo ou processo de uma
organizao
NOTA
Uma organizao externa est fora do escopo do sistema de gesto, embora a funo terceirizada ou
processo esteja dentro do escopo de aplicao.
3.35 desempenho
resultado mensurvel
NOTA 1
O desempenho pode dizer respeito a resultados quantitativos ou qualitativos.
NOTA 2 Desempenho pode se relacionar com a gesto das atividades, processos, produtos (incluindo servios),
sistemas ou organizaes.
3.36
avaliao de desempenho
processo para determinar resultados mensurveis
3.37
pessoal
pessoas trabalhando para ou sob o controle da organizao
NOTA
O conceito de pessoal inclui, mas no se limita a empregados, pessoal em tempo parcial, e pessoal
temporrio.
3.38
poltica
intenes e direes de uma organizao expressadas formalmente pela sua alta gesto
3.39
procedimento
maneira especfica de conduzir uma atividade ou um processo
3.40
processo
grupo de atividades relacionadas ou interativas que transformam entradas em sadas
11/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
3.41
produtos e servios
resultados benficos que uma organizao fornece a seus clientes e partes interessadas, como bens
manufaturados, seguros automobilsticos, conformidade com regulamentaes e benefcios
comunitrios
3.42
atividades prioritrias
atividades que devem ser priorizadas aps um incidente para mitigar os impactos
NOTA
Termos de uso comum para descrever as atividades dentro deste grupo incluem: crtico, essencial,
vital, urgente e fundamental.
[FONTE: ISO 22300]

3.43
registro
declarao de resultados atingidos ou evidncia de atividades realizadas
3.44
ponto objetivado de recuperao
RPO - Recovery Point Objective
ponto em que a informao usada por uma atividade deve ser restaurada para permitir a operao da
atividade na retomada
NOTA
Tambm pode ser referido como "perda mxima de dados".
3.45
tempo objetivado de recuperao
RTO - Recovery Time Objective
perodo de tempo aps um incidente em que
o produto ou servio deve ser retomado, ou
a atividade deve ser retomada, ou
os recursos devem ser recuperados (NBR 2 3.45)
NOTA
Para os produtos, servios e atividades, o tempo objetivado de recuperao deve ser menor do que o
tempo em que os impactos negativos que surgiro como resultado de no fornecer um produto/servio ou realizar
uma atividade se torne inaceitvel.
3.46
requisitos
necessidade ou expectativa que determinada, geralmente implcita ou obrigatria
NOTA 1 "Geralmente implcita" significa que uma prtica habitual ou comum para a organizao e as partes
interessadas pela qual a necessidade ou expectativa sob considerao est implcita.
NOTA 2
Um requisito especificado aquele que determinado, por exemplo, na informao documentada.
12/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
3.47
recursos
todos os ativos, pessoas, competncias, informao, tecnologia (incluindo instalaes e equipamentos),
locais, suprimentos e informao (eletrnica ou no) que uma organizao deve ter disponveis para
uso, quando necessrio, a fim de operar e atingir seus objetivos.
3.48
risco
efeito da incerteza nos objetivos
NOTA 1
Um efeito um desvio do que esperado positivo ou negativo
NOTA 2 Os objetivos podem ter diferentes aspectos (como metas financeiras, sade e segurana, e ambientais)
e podem ser aplicados em diferentes nveis (tais como estratgico, em toda a organizao, projeto, produto e
processo). Um objetivo pode ser expresso por outros meios, por exemplo, como um resultado esperado, um
propsito, um critrio operacional, como objetivo da continuidade do negcio, ou pelo uso de outras palavras com
significado similar (por exemplo, objetivo, meta, ou alvo).
NOTA 3 Risco muitas vezes caracterizado pela referncia aos eventos potenciais (ABNT ISO Guia 73, 3.5.1.3)
e consequncias (ABNT ISO Guia 73, 3.6.1.3) ou uma combinao destes.
NOTA 4 Risco frequentemente expressado em termos de uma combinao das consequncias de um evento
(incluindo mudanas nas circunstncias) e a probabilidade (Guia 73, 3.6.1.1) de ocorrncia associada.
NOTA 5 Incerteza o estado, ainda que (mesmo) parcial, da deficincia de informao relacionada ao
entendimento ou conhecimento de um evento, sua consequncia ou probabilidade.
NOTA 6 No contexto de padres de gesto de continuidade de negcios, os objetivos de continuidade de
negcios so definidos pela organizao, de acordo com a poltica de continuidade de negcios, para alcanar
resultados especficos. Ao aplicar o termo risco e componentes de gerenciamento de risco, este deve ser
relacionado com os objetivos da organizao, que incluem, mas no esto limitados aos objetivos de continuidade
de negcios, conforme especificado em 6.2.
[FONTE: ABNT ISO/IEC Guia 73]

3.49
apetite a risco
quantidade e tipo de risco que a organizao est disposta a buscar ou manter
3.50
processo de avaliao de riscos (risk assessment)
processo global de identificao de riscos, anlise de riscos e avaliao de riscos
NOTA BRASILEIRA Para os efeitos deste documento o termo risk assessment foi traduzido como processo de
avaliao de riscos para evitar conflito com o termo risk evaluation que foi traduzido na ABNT NBR ISO 31000
como avaliao de riscos.
[FONTE: ABNT ISO Guia 73]

3.51
gesto de riscos
atividades coordenadas para dirigir e controlar uma organizao no que se refere a riscos
[FONTE: ABNT ISO Guia 73]
13/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
3.52 teste
procedimento para avaliao; maneira de determinar a presena, qualidade, ou veracidade de algo
NOTA 1
Teste pode se referir a um experimento.
NOTA 2
Teste frequentemente aplicado para suportar planos.
[FONTE: ISO 22300]

3.53
Alta Direo
pessoa ou grupo de pessoas que dirige e controla uma organizao em seu nvel mais alto
NOTA 1
A Alta Direo tem o poder de delegar autoridade e fornecer recursos dentro da organizao.
NOTA 2 Se o escopo do sistema de gesto abrange apenas parte de uma organizao, ento Alta Direo se
refere queles que dirigem e controlam parte da organizao.
3.54
verificao
confirmao, atravs de evidncia, que os requisitos especificados foram cumpridos
3.55
ambiente de trabalho
conjunto de condies sob as quais o trabalho realizado
NOTA Condies incluem fatores fsicos, sociais, psicolgicos e ambientais (tais como temperatura, sistemas de
reconhecimento, ergonomia e composio atmosfrica).
[FONTE: ISO 22300]
4 Contexto da organizao
4.1 Entendendo a organizao e seu contexto
A organizao deve determinar as questes internas e externas que so relevantes para seus
propsitos de atuao e que afetem sua capacidade em alcanar os resultados determinados em seu
SGCN.
Estas questes devem ser levadas em considerao quando do estabelecimento, implementao e
manuteno do SGCN da organizao.
A organizao deve identificar e documentar o seguinte:
a) as atividades, funes, servios, produtos e parcerias da organizao, bem como cadeias de
suprimentos, relacionamento com partes interessadas e o impacto potencial relacionado a um
incidente de interrupo;
b) relacionamento entre a poltica de continuidade de negcios e outras polticas e objetivos da
organizao, incluindo a sua estratgia geral de gesto de riscos;
c) o apetite a riscos da organizao.
14/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
No estabelecimento do contexto, a organizao deve:

1)
determinar seus objetivos, incluindo aqueles relacionados com a continuidade dos negcios,
2)
definir os fatores externos e internos que criam as incertezas que do origem ao risco,
3)
estabelecer os critrios de risco, levando em conta o apetite a riscos, e
4)
definir o propsito do SGCN.
4.2 Entendendo as necessidades e expectativas das partes interessadas

4.2.1
Geral
No momento de estabelecer o SGCN, a organizao deve determinar:

a) as partes interessadas que so relevantes para o SGCN, e
b) os requisitos das partes interessadas (por exemplo, as suas necessidades e expectativas definidas,
geralmente implcitas ou obrigatrias).
4.2.2
Requisitos legais e regulatrios
A organizao deve estabelecer, implementar e manter procedimentos para identificar, ter acesso e
avaliar os requisitos legais e regulatrios aplicveis ao seu mercado de atuao, alinhados com a
continuidade de suas operaes, produtos e servios, bem como os interesses das partes interessadas
relevantes.
A organizao deve assegurar que estes requisitos legais, regulatrios e outros requisitos que a
organizao esteja sujeita so levados em considerao no estabelecimento, implementao e
manuteno de seu SGCN.
A organizao deve documentar estas informaes e mant-las atualizadas. Novidades ou variaes
nos requisitos legais, regulatrios e outros requisitos devem ser comunicadas aos empregados
envolvidos e s outras partes interessadas
4.3 Determinando o escopo do sistema de gesto de continuidade de negcios

4.3.1
Geral
A organizao deve determinar os limites e aplicabilidade do SGCN para estabelecer seu escopo.
Ao definir o escopo, a organizao deve considerar:
as questes internas e externas citadas em 4.1, e
os requisitos citados em 4.2.
O escopo deve estar disponvel como informao documentada.
15/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
4.3.2
Escopo do SGCN
A organizao deve:
a) estabelecer as partes da organizao a serem includas no SGCN,
b) estabelecer requisitos do SGCN, considerando a misso da organizao, objetivos, obrigaes
internas e externas (incluindo aquelas com as partes interessadas), bem como responsabilidades
legais e regulatrias,
c) identificar produtos, servios e todas as atividades relacionadas com o escopo do SGCN,
d) levar em considerao as necessidades e interesses das partes interessadas, tais como clientes,
investidores, acionistas, cadeia de suprimentos, expectativas e interesses pblicos e/ou da
comunidade (quando apropriados), e
e) definir o escopo do SGCN apropriados ao tamanho, natureza e complexidade da organizao.
Ao definir o escopo, a organizao deve documentar e justificar excees; qualquer exceo no pode
afetar a capacidade e responsabilidade da organizao em prover a continuidade de negcios e
operaes contempladas nos requisitos do SGCN, como determinadas pela anlise de impacto nos
negcios ou no processo de avaliao de riscos e nos requisitos legais e regulatrios aplicveis.
4.4 Sistema de gerenciamento de continuidade dos negcios

A organizao deve determinar, implementar, manter e atualizar continuamente o SGCN, incluindo os
processos necessrios e suas interaes de acordo com os requisitos desta Norma.
5 Liderana
5.1 Liderana e comprometimento
Os membros da Alta Direo e demais gestores com papis relevantes dentro da organizao devem
demonstrar liderana em relao ao SGCN.
EXEMPLO Esta liderana e comprometimento podem ser demonstrados pela motivao e capacitao de pessoas em
contribuir com a eficcia do SGCN.
5.2 Comprometimento da Direo

A Alta Direo deve demonstrar liderana e comprometimento referente ao SGCN por
garantir que polticas e objetivos so estabelecidos para o sistema de gesto de continuidade de
negcios e que so compatveis com as diretrizes estratgicas da organizao,
garantir a integrao entre os requisitos do sistema de gesto de continuidade de negcios e os
processos de negcio da organizao,
garantir que os recursos necessrios para o SGCN esto disponveis,
16/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
comunicar a importncia de uma gesto de continuidade de negcios eficaz e alinhada com os

requisitos do SGCN,
garantia que o SGCN atinja os resultados esperados,
direcionamento e suporte colaboradores que contribuem para a eficcia do SGCN,
promoo para a melhoria contnua, e
apoio a demais gestores com papel relevante para demonstrar sua liderana e comprometimento
aplicados s suas reas de responsabilidades
NOTA 1 A referncia a negcio nesta Norma pretende que seja interpretada de forma ampla, significando
aquelas atividades que so essenciais para a existncia da organizao.
A Alta Direo deve prover evidncias de seu comprometimento para o estabelecimento,

implementao, operao, monitoramento, anlise crtica, manuteno e melhoria do SGCN da
organizao, por meio da
definio de uma poltica de continuidade de negcios,
garantia que os objetivos e planos do SGCN estejam estabelecidos,
implantao de papis, responsabilidades e competncias para o gerenciamento da continuidade
de negcios, e
nomeao de um ou mais colaboradores aptos a serem responsveis pelo SGCN, com autoridades
e competncias apropriadas para a implantao e manuteno do ciclo.
NOTA 2
Estas pessoas podem realizar outras atividades dentro da organizao.
A Alta Direo deve assegurar que as responsabilidades e papis relevantes sejam atribudos e
comunicados dentro da organizao por
definio de critrios e nveis de aceitao de riscos,
envolvimento ativo em exerccios e testes,
garantia que auditorias internas para o SGCN sejam realizadas,
realizao de anlises crticas da gesto do SGCN, e
demonstrao do comprometimento com a melhoria contnua.
5.3 Poltica
A Alta Direo deve definir uma poltica de continuidade de negcios que
a) esteja alinhada com o proposito da organizao,
b) fornece uma estrutura para estabelecer os objetivos de continuidade de negcios,
17/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
c) inclua o compromisso de atender aos requisitos aplicveis,

d) inclua o compromisso da melhoria contnua do SGCN.
A poltica do SGCN deve
estar disponvel como informao documentada,
ser comunicada a toda organizao,
estar disponvel para as partes interessadas, se apropriado,
ser analisada criticamente em perodos definidos ou sempre que mudanas significativas
ocorrerem, para garantir sua adequao organizao
A organizao deve manter informaes documentadas sobre a poltica de continuidade de negcios.
5.4 Papis, responsabilidades e autoridades organizacionais

A Alta Direo deve garantir que papis, responsabilidades e autoridades relevantes sejam atribudos e
comunicados dentro da organizao.
Os gestores devem assegurar a responsabilidade e autoridade atravs da
a) garantia que o sistema de gesto est em conformidade com os requisitos desta Norma, e
b) garantia de relatrios de desempenho do SGCN Alta Direo.
6 Planejamento
6.1 Aes para direcionar riscos e oportunidades
Ao planejar o SGCN, a organizao deve considerar as questes citadas em 4.1 e os requisitos
mencionados em 4.2, alm de determinar os riscos e oportunidades que devem ser avaliados para:
Garantir que o sistema de gerenciamento consiga atingir os resultados esperados,
prevenir, ou reduzir, consequncias indesejadas,
alcanar a melhoria continua,
A organizao deve planejar:
a) aes para enderear riscos e oportunidades,
b) como
1)
implantar aes e integr-las nos processos de SGCN (ver 8.1),
2)
avaliar a eficcia destas aes (ver 9.1).
18/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
6.2 Objetivos de continuidade de negcios e planos para alcan-los

A Alta Direo deve assegurar que os objetivos de continuidade de negcios sejam estabelecidos e
comunicados para funes e nveis relevantes dentro da organizao.
Os objetivos de continuidade de negcios devem
a) estar alinhados com a poltica de continuidade de negcios,
b) considerar o nvel mnimo de produtos e servios que aceitvel para a organizao alcanar seus
objetivos,
c) ser mensurveis,
d) considerar requisitos aplicveis, e
e) ser monitorados e atualizados sempre que necessrio.
A organizao deve manter documentadas as informaes sobre os objetivos de continuidade de
negcios.
Para alcanar seus objetivos de continuidade de negcios, a organizao deve determinar
quem sero os responsveis,
o que dever ser executado,
quais sero os recursos necessrios,
quando a execuo ser concluda, e
como os resultados sero avaliados.
7 Suporte
7.1 Recursos
A organizao deve determinar e prover os recursos necessrios para o estabelecimento,
implementao, manuteno e melhoria contnua do SGCN.
7.2 Competncia
A organizao deve
a) determinar as competncias necessrias das pessoas trabalhando sob seu controle que afete seu
desempenho;
b) garantir que essas pessoas sejam competentes com relao a educao apropriada, treinamento e
experincia;
c) quando necessrio, agir para adquirir a competncia necessria, e avaliar a eficcia das aes; e
19/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
d) reter informaes documentadas de forma apropriada como evidncia da competncia.

NOTA Aes aplicveis podem incluir, por exemplo: a proviso do treinamento, mentores, ou a mudana dos
atuais empregados; ou a contratao de pessoal competente
7.3
Conscientizao
Pessoas que realizam trabalho sob o controle da organizao devem estar conscientizadas
a) da poltica de continuidade de negcios;
b) da sua contribuio para a eficcia do SGCN, incluindo os benefcios do melhor desempenho da
gesto de continuidade de negcios;
c) das implicaes da no conformidade com os requisitos do SGCN; e
d) do seu prprio papel durante incidentes que causem interrupo.
7.4 Comunicao
A organizao deve determinar as necessidades de comunicaes internas e externas relevantes para
o SGCN inclusive
a) o que ser comunicado;
b) quando comunicar;
c) para quem comunicar;
A organizao deve estabelecer, implementar, e manter procedimento(s) para
comunicao interna entre os grupos interessados e empregados da organizao;
comunicao externa com clientes, entidades parceiras, comunidade local, e outros grupos
interessados, inclusive a mdia;
recebimento, documentao, e resposta comunicao dos grupos interessados;
adaptao e integrao um sistema de assessoria ameaas nacionais ou regionais, ou

equivalente, no planejamento ou operao, se apropriado;
garantia de disponibilidade dos meios de comunicao durante o incidente gerador de interrupo;
facilitao da estrutura de comunicao com as autoridades apropriadas para garantir

interoperabilidade de mltiplas organizaes e pessoal, quando apropriado; e
operao e teste das capacidades de comunicao destinados a serem utilizados durante a

interrupo dos meios normais de comunicao.
NOTA
Outros requisitos para comunicao em resposta a um incidente esto especificados em 8.4.3.
20/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
7.5 Informao documentada

7.5.1
Geral
O SGCN da organizao deve incluir
informaes documentadas requirida por esta norma; e
informaes documentadas determinadas pela organizao que sejam necessrias para a eficcia
do SGCN
NOTA A extenso de informaes documentadas para um SGCN pode ser diferente de uma
organizao para outra devido:
ao tamanho da organizao e seus tipos de atividade, processos, produtos e servios;
a complexidade dos processos e suas interaes; e
a competncia de pessoal.
7.5.2
Criando e atualizando
Quando criar ou atualizar informaes documentadas, a organizao deve garantir apropriados(as)

a) identificao e descrio (por exemplo: um ttulo, data, autor e nmero de referncia);
b) formato (por exemplo: linguagem, verso de software, grficos) e mdia (por exemplo: papel,
eletrnico), e anlise crtica e aprovao para adequao.
7.5.3
Controle de informaes documentadas
Informaes documentadas requeridas pelo SGCN e por esta norma devem ser controlados para
garantir
a) que esteja disponvel e utilizvel, quando e onde for necessrio;
b) que esteja protegido adequadamente (por exemplo: de perda de confidencialidade, uso imprprio,
ou perda de integridade).
Para fazer o controle de informaes documentadas, a organizao deve enderear as seguintes
atividades, onde aplicvel
distribuio, acesso, recuperao e uso;
armazenamento e preservao, incluindo preservao de legibilidade;
controle de mudanas (ex: controle de verso);
reteno e disposio;
recuperao e uso;
21/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
preservao de legibilidade (por exemplo: escrita legvel);

preveno de uso no intencional de informaes obsoletas.
Informaes de origem externa documentadas determinadas necessrias pela organizao para o
planejamento e operao do SGCN devem ser identificadas, se apropriado, e controladas.
Quando estabelecendo controle de informaes documentadas, a organizao deve garantir que haja
proteo adequada para informaes documentadas (por exemplo: proteo contra comprometimento,
modificao no autorizada ou deleo).
NOTA Acesso implica uma deciso sobre a permisso para visualizar informaes documentadas, ou permisso
e autoridade para visualizar informaes documentadas, etc.
8 Operao
8.1 Planejamento e controle operacional
A organizao deve planejar, implementar e controlar os processos necessrios para atender requisitos
e para implementar as aes determinadas em 6.1, por
a) estabelecer critrios para os processos,
b) implementar um controle para os processos em acordo com os critrios definidos, e
c) manter a documentao de informaes na extenso necessria para ter a confiana de que os
processos tem sido conduzidos de acordo com o planejado.
A organizao deve monitorar mudanas planejadas e avaliar as consequncias de mudanas
inesperadas, tomando medidas para mitigar os efeitos adversos, quando necessrio.
A organizao deve garantir que processos terceirizados so controlados.
8.2 Anlise de impacto nos negcios e processo de avaliao de riscos

8.2.1
Geral
A organizao deve definir, implementar e manter um processo formal e documentado para a anlise de
impacto nos negcios e no processo de avaliao de riscos que
a) estabelea o contexto da avaliao, definindo critrios e avaliando o impacto potencial de uma
interrupo;
b) considere requisitos legais dentre outros nos quais a organizao deva atender;
c) determine uma anlise sistemtica, com priorizao de tratamento dos riscos e seus respectivos
custos;
d) defina a estratgia necessria a partir da anlise de impacto nos negcios e no processo de
avaliao de riscos, e
22/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
e) especifique os critrios para que estas informaes sejam confidenciais e mantenham-se

atualizadas.
NOTA
Existem diversas metodologias para anlise de impacto nos negcios e para o processo de avaliao
de riscos, que determinaro a ordem em que estes sero realizados.
8.2.2
Anlise de impacto nos negcios
A organizao deve estabelecer, implementar e manter um processo de avaliao formal e

documentado para determinar prioridades de continuidade e recuperao, com objetivos e metas. Este
processo deve incluir a avalio dos impactos de interrupo que suportam os produtos e servios da
organizao.
A anlise de impacto nos negcios deve incluir:
a) identificar as atividades que suportam o fornecimento de produtos e servios;
b) avaliar os impactos ao longo do tempo de no realizar estas atividades;
c) fixar prazos de forma priorizada para a retomada destas atividades, em um nvel mnimo de
execuo tolervel, levando em considerao o tempo em que os impactos desta interrupo tornese inaceitvel; e
d) identificar dependncias e recursos que suportam estas atividades, incluindo fornecedores, terceiros
e demais partes interessadas relevantes.
8.2.3
Processo de avaliao de riscos
A organizao deve estabelecer, implementar e manter um processo documentado para avaliao de

riscos que sistematicamente identifique, analise, avalie os riscos de uma interrupo organizao.
NOTA
Este processo pode ser realizado em conformidade com a norma ABNT NBR ISO 31000.
A organizao deve
a) identificar riscos de interrupo das atividades prioritrias da organizao, bem como os processos,
sistemas, informaes, pessoas, bens, parceiros terceiros, e outros recursos que os suportam,
b) analisar sistematicamente o risco,
c) avaliar quais riscos de interrupo podem ser tratados, e
d) identificar os tratamentos alinhados com os objetivos de continuidade de negcios, e de acordo com
o apetite de risco da organizao.
NOTA A organizao deve estar ciente de que certas determinaes governamentais ou financeiras exigem a
comunicao dos riscos em diferentes nveis de detalhe. Alm disso, certas necessidades sociais podem tambm
requerer estas informaes em um nvel especfico de detalhes.
23/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
8.3 Estratgia de continuidade de negcios

8.3.1
Definindo e selecionando
A definio e seleo da estratgia deve ser baseada nos resultados da anlise de impacto nos
negcios e no processo de avaliao de riscos.
A organizao deve determinar uma estratgia de continuidade adequada para
a) proteger atividades prioritrias,
b) estabilizar, continuar, retomar e recuperar atividades priorizadas, bem como suas dependncias e
recursos de apoio, e
c) mitigar, responder e gerenciar impactos.
A definio da estratgia deve incluir a aprovao da priorizao dos tempos para a retomada das
atividades.
A organizao deve realizar avaliaes da capacidade de continuidade de negcios dos fornecedores.
8.3.2
Determinao dos recursos necessrios
A organizao deve determinar os recursos necessrios para implementar as estratgias definidas. Os

tipos de recursos considerados podem, porm no precisam estar limitados a
a) pessoas,
b) informaes e dados,
c) prdios, ambiente de trabalho e instalaes associadas,
d) instalaes, equipamentos e recursos consumveis,
e) sistemas de informao e telecomunicaes (ICT);
f)
transporte,
g) finanas, e
h) fornecedores e parceiros.
8.3.3
Proteo e mitigao
Para riscos identificados que necessitam de tratamento, a organizao deve considerar medidas
pr-ativas que
a) reduzam a probabilidade de interrupo,
b) diminuam o perodo de interrupo, e
c) limitem o impacto da interrupo sobre os principais produtos e servios da organizao.
24/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
A organizao deve escolher e implementar tratamentos adequados aos riscos, alinhados ao seu
apetite de riscos.
8.4 Estabelecendo e implementando procedimentos de continuidade de negcios

8.4.1
Geral
A organizao deve estabelecer, implementar e manter procedimentos de continuidade de negcios

para gerenciar interrupes e continuar suas atividades, com base em objetivos de recuperao
identificados na analise de impacto dos negcios
A organizao deve documentar procedimentos (incluindo acordos necessrios) para assegurar a
continuidade das atividades e gerenciamento do incidente.
Os procedimentos devem
a) estabelecer protocolos apropriados de comunicao interna e externa,
b) ser especficos sobre as medidas imediatas que devem ser tomadas durante uma interrupo,
c) ser flexveis para responder ameaas imprevistas e s mudanas de condies internas e
externas,
d) focar no impacto de eventos que podem interromper as operaes,
e) ser desenvolvidos com base em premissas declaradas e interdependncias analisadas, e
f)
ser eficazes para minimizar as consequncias, atravs da implementao de estratgias de

mitigao apropriadas.
8.4.2
Estrutura de resposta a incidentes
A organizao deve estabelecer, documentar e implementar procedimentos, bem como possuir uma
estrutura de gesto para responder uma interrupo, utilizando pessoal com a autoridade,
responsabilidade e competncia necessria para gerenciar um incidente.
a) identificar ponto inicial de impacto que justifique o incio da resposta formal,
b) avaliar a natureza, a extenso e o impacto potencial de um incidente,
c) acionar a resposta de continuidade de negcios adequada,
d) ter processos e procedimentos para a ativao, operao, coordenao e comunicao da
resposta,
e) ter recursos disponveis para apoiar os processos e procedimentos para a gesto de um incidente, a
fim de minimizar o impacto, e
f)
comunicar com as partes interessadas e as autoridades, bem como os meios de comunicao.
A organizao deve decidir, considerando a segurana de vida como a primeira prioridade e em

consulta com as partes interessadas relevantes, em comunicar externamente de acordo com seus
25/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
riscos e impactos, e documentar a sua deciso. Se a deciso a de comunicar, em seguida, a

organizao deve estabelecer e implementar procedimentos para comunicao externa, alertas e
avisos, incluindo os meios de comunicao apropriados.
8.4.3
Aviso e comunicao
A organizao deve estabelecer, implementar e manter procedimentos para

a) detectar um incidente,
b) monitorar regularmente a possibilidade de um incidente,
c) fazer a comunicao interna dentro da organizao, bem como receber, documentar e responder a
comunicaes das partes interessadas,
d) receber, documentar e responder a qualquer sistema de aviso de riscos regional, nacional ou
equivalente,
e) garantir a disponibilidade dos meios de comunicao durante um incidente,
f)
facilitar a comunicao estruturada com equipes de emergncia,
g) armazenar informaes vitais sobre o incidente, aes e decises tomadas, assim como os itens a
seguir devem ser considerados e implementados quando aplicvel:
alertar as partes interessadas potencialmente impactadas por um incidente de interrupo real ou
iminente,
assegurar a interoperabilidade de mltiplas organizaes e pessoal;
operar uma instalao de comunicaes.
Os procedimentos de comunicao e alerta deve ser regularmente exercitados.
8.4.4
Planos de continuidade de negcios
A organizao deve estabelecer procedimentos documentados para responder incidentes de

interrupo, e como ir continuar ou recuperar suas atividades dentro de um prazo pr definido. Tais
procedimentos devem atender aos requisitos de quem ir us-lo.
Os planos de continuidade de negcios devem coletivamente conter
a) papis e responsabilidades definidos para pessoas e equipes com autoridade durante e aps um
incidente,
b) um processo para ativar a estrutura de resposta incidentes,
c) detalhes para gerenciar os impactos imediatos de um incidente de interrupo, dando a devida
ateno a
1)
bem-estar dos colaboradores,

26/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
2)
alternativas estratgicas, tticas e operacionais para responder interrupo, e
3)
preveno de novas perdas ou indisponibilidade de atividades prioritrias;
d)
detalhes sobre como e em que circunstncias a organizao ir se comunicar com os funcionrios

e seus familiares, os principais interessados e contatos de emergncia,
e)
como a organizao vai continuar ou recuperar suas atividades prioritrias dentro de prazos pr
definidos,
f)
detalhes de resposta aps incidente da organizao mdia, incluindo

1)
a estratgia de comunicao,
2)
meio de comunicao preferido,
3)
diretriz ou modelo para a elaborao de uma declarao para a mdia, e
4)
porta voz apropriado;
g)
um processo para retorno normalidade quando o incidente terminar.
Cada plano deve definir

propsito e escopo,
objetivos,
critrios e procedimentos para sua ativao,
procedimentos de implementao,
papis, responsabilidades e autoridades,
requisitos e procedimentos de comunicao,
interdependncias internas, externas e suas interaes,
recursos necessrios, e
fluxo de informaes e processos documentados.
8.4.5
Recuperao
A organizao deve possuir procedimentos documentados para restaurar e retornar as atividades de

negcios das medidas temporrias adotadas, e atender aos requisitos de negcios normais aps um
incidente.
8.5 Exercitando e testando

A organizao deve possuir e testar os procedimentos de continuidade de negcios, para garantir que
estes so compatveis com os seus objetivos de continuidade.
27/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
A organizao deve conduzir exerccios e testes que

a) so consistentes com o escopo e os objetivos do SGCN,
b) so baseados em cenrios apropriados, so bem planejados e possuem escopo e objetivos
claramente definidos,
c) avaliar em conjunto ao longo do tempo o contedo do acordos de continuidade de negcios,
envolvendo partes interessadas relevantes,
d) minimizar o risco de interrupo das operaes,
e) aps o exerccio, produzir relatrios formalizados que contemplem os resultados, recomendaes e
aes para implementar melhorias,
f)
so analisados criticamente com o propsito de promover a melhoria contnua, e
g) so conduzidos em intervalos planejados ou quando h mudanas significativas dentro da

organizao ou para o ambiente em que opera.
9 Avaliao de desempenho
9.1 Monitoramento, medio, anlise e avaliao
9.1.1
Geral
A organizao deve determinar

a) o que precisa ser monitorado e medido;
b) os mtodos para monitoramento, medio, anlise e avaliao, conforme o caso, para assegurar
resultados vlidos;
c) quando o monitoramento e a medio devem ser realizados, e
d) quando os resultados do monitoramento e da medio devem ser analisados e avaliados.
A organizao deve manter uma documentao apropriada como evidncia dos resultados.
A organizao deve avaliar o desempenho e a eficcia do SGCN.
Adicionalmente a organizao deve
agir quando necessrio para enderear tendncias adversas ou resultados antes que uma no
conformidade ocorra, e
manter informaes relevantes como evidncia dos resultados.
Os procedimentos para monitorao do desempenho devem prever
a configurao de mtricas de desempenho apropriadas s necessidades da organizao;
28/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
monitorao da medida em que a poltica de continuidade dos negcios da organizao, objetivos e

metas sejam atingidas;
desempenho dos processos, procedimentos e funes que protegem suas atividades priorizadas,
monitorao da conformidade com esta Norma e os objetivos de continuidade dos negcios;
monitorao das evidncias histricas de desempenho deficitrio no SGCN, e
armazenamento de dados e resultados da monitorao e medio para facilitar aes corretivas
subsequentes.
NOTA
fato.
9.1.2
desempenho deficitrio pode incluir no conformidade, quase acidentes, alarmes falsos, e incidentes de
Avaliao dos procedimentos de continuidade dos negcios
a) A organizao deve conduzir avaliaes de seus procedimentos e capacidades de continuidade dos

negcios de forma a assegurar sua contnua aptido, adequao e eficcia;
b) Essas avaliaes devem ser realizadas atravs de anlises crticas peridicas, exerccios, testas,
relatrios ps-incidente e avaliaes de desempenho. Mudanas significativas decorrentes devem ser
refletidas no(s) procedimento(s) em tempo hbil;
c) A organizao deve avaliar periodicamente a conformidade com requisitos legais e regulatrios, com
as melhores prticas de sua indstria e com seus objetivos e poltica(s) de continuidade dos negcios; e
d) A organizao deve conduzir avaliaes em intervalos planejados e quando mudanas significantes
ocorrerem.
Quando um incidente que cause interrupo e resulte na ativao dos seus procedimentos de
continuidade dos negcios ocorre, a organizao deve realizar uma anlise crtica ps-incidente e
registrar os resultados.
9.2 Auditoria interna

A organizao deve conduzir auditorias internas em intervalos planejados para prover informaes
sobre se o sistema de gesto de continuidade dos negcios
a) est em conformidade
b)
1)
com os requisitos prprios da organizao para SGCN;
2)
com os requisitos desta Norma, e
est implementado e mantido eficazmente.
A organizao deve
planejar, estabelecer, implementar e manter (um) programa de auditoria, inclusive frequncia,
mtodos, responsabilidades, requisitos de planejamento e relatrios. O programa de auditoria deve
29/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
levar em considerao a importncia dos processos relevantes e os resultados das auditorias

anteriores;
definir o critrio de auditoria e o escopo para cada auditoria;
selecionar auditores e conduzir auditorias para assegurar objetividade e imparcialidade do processo
de auditoria;
assegurar que os resultados das auditorias sejam reportados para a gerncia relevante, e
manter informaes documentadas como evidncia da implementao do programa de auditoria e
os resultados das auditorias.
O programa de auditoria, incluindo qualquer cronograma, deve ser baseado nos resultados das
atividades do processo de avaliao de risco da organizao, e os no resultado de auditorias anteriores.
Os procedimentos de auditoria devem cobrir o escopo, frequncia, metodologias e competncias, bem
como as responsabilidades e requisitos para a realizao de auditorias e comunicao dos resultados.
A gerncia responsvel pela rea sendo auditada deve garantir que quaisquer correes necessrias e
aes corretivas sejam realizadas sem demora indevida para eliminar as no conformidades detectadas
e suas causas.
As atividades de acompanhamento devem incluir a verificao das aes realizadas e a comunicao
dos resultados da verificao.
9.3 Analise crtica pela Direo

A Alta Direo deve analisar criticamente o SGCN da organizao, em intervalos planejados, para
garantir sua contnua aptido, adequao e eficcia.
A anlise crtica da gesto deve levar em considerao
a) o status das aes de anlises crticas pelas Direes da gesto anteriores;
b) as mudanas em questes internas e externas que so relevantes para o sistema de gesto de
continuidade dos negcios;
c) informao do desempenho da continuidade dos negcios, inclusive tendncias em
d)
1)
no conformidades e aes corretivas;
2)
resultados da avaliao de monitorao e medio e,
3)
resultados de auditoria;
oportunidades de melhoria contnua.
As anlises crticas pela Direo devem considerar o desempenho da organizao, inclusive

aes de acompanhamento de anlises crticas pelas Direes anteriores;
a necessidade de mudanas do SGCN, inclusive a poltica e objetivos;
30/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
oportunidades de melhoria;
resultados das auditorias e anlises crticas do SGCN, incluindo aquelas de fornecedores chave e
parceiros, quando apropriado;
tcnicas, produtos ou procedimento, que podem ser usados na organizao para melhorar o
desempenho e a eficcia do SGCN;
status de aes corretivas;
resultados de exerccios e testes;
riscos ou questes no endereadas adequadamente em nenhum processo de avaliao de riscos
anterior;
quaisquer mudanas que possam afetar o SGCN, tanto interna quanto externa ao escopo do
SGCN;
adequao da poltica;
recomendaes de melhoria;
lies aprendidas e aes decorrentes de incidentes que cause interrupo, e
boas prticas e orientaes emergentes.
As sadas da anlise crtica pela Direo devem incluir decises relacionadas a oportunidades de
melhoria contnua e a possvel necessidade de mudanas do SGCN, e incluem os seguintes:
a) variaes do escopo do SGCN;
b) melhoria da eficcia do SGCN;
c) atualizao do processo de avaliao de riscos, anlise de impacto nos negcios, plano de
continuidade dos negcios e processos relacionados;
d) modificao de procedimento e controles para responder eventos externos ou internos que possam
impactar no SGCN, inclusive mudanas em
1)
requisitos operacionais e de negcio;
2)
requisitos de reduo de risco e segurana;
3)
condies operacionais e processos;
4)
requisitos legais e regulatrios;
5)
obrigaes contratuais;
6)
nveis de risco e/ou critrio de aceitao de riscos;
31/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
e)
7)
necessidades de recurso;
8)
requisitos de oramento e financiamento; e
como a eficcia dos controles medida.
A organizao deve manter informaes documentadas como evidncia dos resultados das anlises
crticas pela Direo.
A organizao deve
comunicar os resultados da anlise crtica pela Direo para as partes interessadas, e
realizar aes apropriadas para os resultados.
10 Melhoria
10.1 No conformidade e aes corretivas
Quando ocorrer uma no conformidade, a organizao deve
a) identificar a no conformidade,
b) reagir a no conformidade, e, quando aplicvel,
c)
1)
tomar aes para conteno e correo, e
2)
lidar com as consequncias.
avaliar a necessidade para a eliminao das causas de no conformidades, de modo que no

ocorra em outro lugar, atravs da
1)
anlise crtica da no conformidade,
2)
determinao das causas da no conformidade, e
3)
determinao se existe uma no conformidade similar, ou que potencialmente possa ocorrer,
4)
avaliao da necessidade de aes corretivas das no conformidades de modo que elas no

aconteam novamente ou em outro lugar
5)
determinao e implantao de aes corretivas necessrias
6)
anlise crtica da eficcia de qualquer ao corretiva tomada.
7)
mudanas no SGCN, se necessrio.
d)
implantao de qualquer ao necessria,
e)
anlise crtica da eficcia de qualquer ao corretiva tomada,
f)
mudanas no SGCN, se necessrio.

32/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
Aes corretivas devem ser apropriadas aos efeitos das no conformidades encontradas.
A organizao deve guardar documentaes para evidncias da
natureza das no conformidades e qualquer aes decorrentes, e
dos resultados de qualquer ao corretiva.
10.2 Melhoria contnua

A organizao deve melhorar continuamente a pertinncia, adequao e eficcia do SGCN.
NOTA
A organizao pode utilizar dos processos do SGCN, tais como liderana, planejamento e avaliao de
desempenho, para alcanar o aprimoramento.
33/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
Bibliografia
[1]
ABNT NBR ISO 9001, Sistema de gesto de qualidade Requisitos
[2]
ABNT NBR ISO 14001, Sistema de gesto ambiental Requisitos com guia para uso
[3]
ABNT NBR ISO 19011, Diretrizes para auditoria de sistema de gesto
[4]
ISO/IEC 20000-1,
Tecnologia
da
informao
Parte 1: Requisitos do sistema de gesto de servios
[5]
ISO 22300, Societal security -- Terminology
[6]
ISO/PAS 22399, Societal security - Guideline for incident preparedness and operational continuity
management
[7]
ISO/IEC 24762, Tecnologia da informao Tcnicas de segurana Diretrizes para os servios

de recuperao aps um desastre na tecnologia da informao e comunicao
[8]
ABNT NBR ISO/IEC 27001, Tecnologia da informao - Tcnicas de segurana - Sistemas de

gesto de segurana da informao Requisitos
[9]
ISO/IEC 27031, Information technology Security techniques Guidelines for information and
communication technology readiness for business continuity
Gesto
de
servios
[10] ABNT NBR ISO 31000, Gesto de riscos Princpios e diretrizes

[11] ABNT NBR ISO/IEC 31010, Gesto de riscos Tcnicas para o processo de avaliao de riscos
[12] ABNT ISO Guia 73, Gesto de riscos Vocabulrio
[13] BS 25999-1, Business continuity management Code of practice, British Standards Institution
(BSI)
[14] BS 25999-2, Business continuity management Specification, British Standards Institution (BSI)
[15] SI 24001, Security and continuity management systems Requirements and guidance for use,
Standards Institution of Israel

[16] NFPA 1600, Standard on disaster/emergency management and business continuity programs,
National Fire Protection Association (USA)

[17] Business Continuity Plan Drafting Guideline, Ministry of Economy, Trade and Industry (Japan), 2005
[18] Business Continuity Guideline, Central Disaster Management Council, Cabinet Office, Government
of Japan, 2005
34/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
[19] ANSI/ASIS SPC.1, Organizational Resilience: Security, Preparedness, and Continuity Management
Systems Requirements with Guidance for Use

[20] SS 540 : 2008, Singapore Standard for Business Continuity Management
[21] ANSI/ASIS/BSI BCM.01, Business Continuity Management Systems: Requirements with Guidance
for Use
35/35

Iso 22301

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Iso 22301

Enviado por

Direitos autorais:

Formatos disponíveis

ABNT/CEE-68

PROJETO 63:000.02-001 (ISO 22301)

Segurana da sociedade Sistema de gesto de continuidade de

Carolina Martins de Oliveira

Rodrigo de Barros Nabholz

Jos Pela Neto

Dorlange Figueiredo Costa

Maria Luiza Costa Martins

Andr Horcio C. Santos

Jos Angelo Santos do Valle

Ana Maria Ribeiro

Salvador Simes Filho

NO TEM VALOR NORMATIVO

Segurana da sociedade Sistema de gesto de continuidade de negcios

anlise crtica pela Direo e

documentao fornecendo evidncias auditveis; e

quaisquer processos de gesto da continuidade de negcios pertinentes organizao.

NO TEM VALOR NORMATIVO

0.2 O modelo Plan-Do-Check-Act (PDCA)

Figura 1 Modelo PDCA aplicado aos processos do SGCN

NO TEM VALOR NORMATIVO

Tabela 1 Explicao do modelo PDCA

Estabelecer uma poltica de continuidade de negcios, objetivos,

Implementar e operar a poltica de continuidade de negcios,

Monitorar e analisar criticamente o desempenho em relao aos

Manter e melhorar o SGCN tomando aes corretivas e

0.3 Componentes do PDCA nesta Norma

A Seo 7 um componente do Planejar. Suporta a operao do SGCN, atribuindo competncias

NO TEM VALOR NORMATIVO

A Seo 9 um componente do Checar. Esta resume os requisitos necessrios para medir o

NO TEM VALOR NORMATIVO

NO TEM VALOR NORMATIVO

[FONTE: ISO 22300]

NO TEM VALOR NORMATIVO

Informao documentada pode se referir a

o sistema de gesto, incluindo processos relacionados;

[FONTE: ISO 22300]

Um sistema de gesto pode abordar uma nica disciplina ou vrias disciplinas.

NOTA 2 Os elementos do sistema incluem a estrutura da organizao, papis e responsabilidades,

Ver tambm interrupo mxima aceitvel.

Um objetivo pode ser estratgico, ttico ou operacional.

NO TEM VALOR NORMATIVO

O desempenho pode dizer respeito a resultados quantitativos ou qualitativos.

NO TEM VALOR NORMATIVO

[FONTE: ISO 22300]

Tambm pode ser referido como "perda mxima de dados".

Um requisito especificado aquele que determinado, por exemplo, na informao documentada.

NO TEM VALOR NORMATIVO

Um efeito um desvio do que esperado positivo ou negativo

[FONTE: ABNT ISO/IEC Guia 73]

[FONTE: ABNT ISO Guia 73]

NO TEM VALOR NORMATIVO

Teste pode se referir a um experimento.

Teste frequentemente aplicado para suportar planos.

[FONTE: ISO 22300]

[FONTE: ISO 22300]

No estabelecimento do contexto, a organizao deve:

estabelecer os critrios de risco, levando em conta o apetite a riscos, e

definir o propsito do SGCN.

4.2 Entendendo as necessidades e expectativas das partes interessadas

No momento de estabelecer o SGCN, a organizao deve determinar:

Requisitos legais e regulatrios

4.3 Determinando o escopo do sistema de gesto de continuidade de negcios