Escolar Documentos
Profissional Documentos
Cultura Documentos
14.03.2013
2) Este Projeto de Norma previsto para cancelar e substituir a ABNT NBR 15999-2:2010,
quando aprovado, sendo que nesse nterim a referida norma continua em vigor
3) Previsto para ser equivalente ISO 22301:2013;
4) No tem valor normativo;
5) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informao em seus comentrios, com documentao comprobatria;
6) Este Projeto de Norma ser diagramado conforme as regras de editorao da ABNT
quando de sua publicao como Norma Brasileira.
7) Tomaram parte na elaborao deste Projeto:
Participante
Representante
ABNT/GPR
ACCENTURE
AUTNOMO
Geraldo Rocha
Lcia Lobel
DELOITTE
FGV
Sergio L. Hoeflich
FIBRIA
GLOBALSTAND
Elie Borges
INMETRO
MODULO
Alberto Bastos
Gustavo Minarelli
Marcelo Ramos
OI TELEMAR
Fabiano Castello
NO TEM VALOR NORMATIVO
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
P. RANDALL
Marcello DAvila
PETROBRAS
PMI/FGV
QSP
Francesco De Cicco
SABESP
RELIAPLUS CONSULTING
RISK AT RISK
Paulo A. Baraldi
TV GLOBO
Vinicius Brasileiro
UNB
Edgard Costa
USP
Rodrigo Barros
VALE
Debora Mairink
Rodrigo da Silva Peixoto
2/2
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
Prefcio
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas
Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos
de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais (ABNT/CEE), so
elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas
fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros).
Os documentos Tcnicos ABNT so elaborados conforme as regras das Diretivas ABNT, Parte 2.
O Escopo desta Norma Brasileira em ingls o seguinte:
Scope
This Standard for business continuity management specifies requirements to plan, establish, implement,
operate, monitor, review, maintain and continually improve a documented management system to
protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive
incidents when they arise.
The requirements specified in this Standard are generic and intended to be applicable to all
organizations, or parts thereof, regardless of type, size and nature of the organization. The extent of
application of these requirements depends on the organizations operating environment and complexity.
It is not the intent of this Standard to imply uniformity in the structure of a Business Continuity
Management System (BCMS), but for an organization to design a BCMS that is appropriate to its needs
and that meets its interested parties requirements. These needs are shaped by legal, regulatory,
organizational and industry requirements, the products and services, the processes employed, the size
and structure of the organization, and the requirements of its interested parties.
This Standard is applicable to all types and sizes of organizations that wish to
a) establish, implement, maintain and improve a BCMS,
b) ensure conformity with stated business continuity policy,
c) demonstrate conformity to others,
d) seek certification/registration of its BCMS by an accredited third party certification body, or
e) make a self-determination and self-declaration of conformity with this Standard.
This Standard can be used to assess an organizations ability to meet its own continuity needs and
obligations
NO TEM VALOR NORMATIVO
1/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
0 Introduo
0.1 Geral
Esta Norma especifica requisitos para estabelecer e gerenciar um eficaz Sistema de Gesto de
Continuidade de Negcios (SGCN).
Um SGCN refora a importncia de:
entender as necessidades da organizao e a imprescindibilidade de estabelecimento de poltica e
objetivos para a gesto de continuidade de negcios;
implementar e operar controles e medidas para a gesto da capacidade geral da organizao para
gerenciar incidentes de interrupo;
monitorar e analisar criticamente o desempenho e a eficcia do SGCN; e
melhorar continuamente com base na medio objetiva.
O SGCN, assim como outros sistemas de gesto, possui os seguintes componentes chave:
a) uma poltica;
b) pessoas com responsabilidades definidas;
c) processos de gesto relativos a:
1)
poltica,
2)
planejamento,
3)
implementao e operao,
4)
avaliao de desempenho;
5)
6)
melhorias;
d)
e)
A continuidade de negcios contribui para uma sociedade mais resiliente. possvel que seja
necessrio envolver no processo de recuperao a comunidade em geral, assim como outras
organizaes em funo do impacto no ambiente organizacional.
2/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
3/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
Do
(Implementar e operar)
Check
(Monitorar e analisar criticamente)
Act
(Manter e melhorar)
4/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
1 Escopo
Esta Norma de gesto da continuidade de negcios especifica os requisitos para planejar, estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente um sistema de
gesto documentado para proteger-se, reduzir a possibilidade de ocorrncia, preparar-se, responder a e
recuperar-se de incidentes de interrupo quando estes ocorrerem.
Os requisitos especificados nesta Norma so genricos e planejados para serem aplicados em todas as
organizaes ou parte delas, independentemente do tipo, tamanho e natureza do negcio. A
abrangncia da aplicao desses requisitos depende do ambiente operacional e complexidade da
organizao.
Esta Norma no tem a inteno de impor uniformidade da estrutura de um Sistema de Gesto de
Continuidade de Negcios (SGCN), mas para que uma organizao projete um SGCN adequado s
suas necessidades e que satisfaa os requisitos das partes interessadas. Estas necessidades so
moldadas por requisitos legais, regulatrios, de negcios e dos clientes, pelos produtos e servios, os
processos utilizados, o tamanho e a estrutura da organizao e pelos requisitos das partes
interessadas.
Esta Norma aplicvel a todos os tipos e tamanhos de organizao que desejam:
a) estabelecer, implementar, manter e melhorar um SGCN,
b) assegurar conformidade com a poltica de continuidade de negcios estabelecida,
c) demonstrar conformidade para outros,
d) buscar certificao/registro de seu SGCN por meio de um organismo de certificao de terceira
parte acreditado, ou ,
e) fazer uma auto-determinao e uma auto-declarao de conformidade com esta Norma.
Esta Norma pode ser usada para avaliar a capacidade de uma organizao em atender suas prprias
necessidades e obrigaes de continuidade.
2 Referncias normativas
Os documentos relacionados a seguir so indispensveis aplicao deste documento. Para
referncias datadas, aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se
as edies mais recentes do referido documento (incluindo emendas).
No existem referncias normativas.
5/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
3 Termos e definies
Para os efeitos deste documento, aplicam-se os seguintes termos e definies.
3.1
atividade
processo ou conjunto de processos executados por uma organizao (ou em seu nome) que produzam
ou suportem um ou mais produtos ou servios
EXEMPLO Tais processos incluem contas, call center, TI, manufatura, distribuio.
3.2
auditoria
processo sistemtico, documentado e independente para obter evidncias de auditoria e avali-las
objetivamente para determinar a extenso na qual os critrios de auditoria so atendidos
NOTA 1 Uma auditoria pode ser interna (primeira parte) ou externa (segunda parte ou terceira parte), e pode
ser uma auditoria combinada (combinao de duas ou mais disciplinas).
NOTA 2
"A evidncia de auditoria" e "critrios de auditoria" so definidos na ABNT NBR ISO 19011.
3.3
continuidade de negcios
capacidade da organizao em continuar a entrega de produtos ou servios em um nvel aceitvel
previamente definido aps incidentes de interrupo
[FONTE: ISO 22300]
3.4
gesto de continuidade de negcios
processo abrangente de gesto que identifica ameaas potenciais para uma organizao e os possveis
impactos nas operaes de negcio caso estas ameaas se concretizem. Este processo fornece uma
estrutura para que se desenvolva uma resilincia organizacional que seja capaz de responder
eficazmente e salvaguardar os interesses das partes interessadas, a reputao e a marca da
organizao e suas atividades de valor agregado
3.5
sistema de gesto de continuidade de negcios
SGCN
parte do sistema global de gesto que estabelece, implementa, opera, monitora, analisa criticamente,
mantm e melhora a continuidade de negcios
NOTA
O sistema de gesto inclui estruturas organizacionais, polticas, atividades de planejamento,
responsabilidades, procedimentos, processos e recursos.
3.6
plano de continuidade de negcios
procedimentos documentados que orientam as organizaes a responder, recuperar, retomar e
restaurar a um nvel pr-definido de operao aps a interrupo
NOTA
Normalmente isto abrange recursos, servios e atividades necessrias para assegurar a continuidade
de funes crticas de negcios.
6/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
3.7
programa de continuidade de negcios
processo contnuo de gesto e governana suportado pela Alta Direo que recebe apropriadamente os
recursos para implementar e manter a gesto de continuidade de negcios
3.8
anlise de impacto nos negcios (BIA Business Impact Analysis)
processo de analisar as atividades e os efeitos que uma interrupo de negcio pode ter sobre elas
[FONTE: ISO 22300]
3.9
competncia
habilidade de aplicar conhecimentos e tcnicas para atingir os resultados esperados
3.10
conformidade
cumprimento de um requisito
[FONTE: ISO 22300]
3.11
melhoria contnua
atividade recorrente para melhorar o desempenho
[FONTE: ISO 22300]
3.12
correo
ao para eliminar uma no conformidade detectada
[FONTE: ISO 22300]
3.13
ao corretiva
ao para eliminar a causa de uma no conformidade e para prevenir a recorrncia
NOTA
No caso de outros resultados indesejveis, necessrio agir para minimizar ou eliminar as causas e
para reduzir o impacto ou prevenir a reincidncia. Tais aes esto fora do conceito de "ao corretiva", no sentido
desta definio.
7/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
3.15
informao documentada
informao que deve ser controlada e mantida por uma organizao e o meio em que est contida
NOTA 1
Informao documentada pode estar em qualquer formato e em qualquer mdia de qualquer tipo.
NOTA 2
3.17
evento
ocorrncia ou mudana em um conjunto especfico de circunstncias
NOTA 1 Um evento pode consistir em uma ou mais ocorrncias e pode ter vrias causas.
NOTA 2 Um evento pode consistir em alguma coisa no acontecer.
NOTA 3 Um evento pode algumas vezes ser referido como um incidente ou um acidente.
NOTA 4 Um evento sem consequncias pode tambm se referir a quase acidente, incidente, quase
coliso ou por um triz.
[FONTE: ABNT ISO/IEC Guia 73]
3.18
exercicio
processo de treino para avaliar, praticar e melhorar o desempenho em uma organizao
NOTA 1 Os exerccios podem ser usados para: validar polticas, planos, procedimentos, treinamento,
equipamentos e acordos entre organizaes; esclarecimento e treinamento de pessoal em funes e
responsabilidades, melhoria da coordenao e comunicao entre organizaes, identificao de lacunas de
recursos, melhoria do desempenho individual e; identificao de oportunidades de melhoria e o controle de
oportunidades para a prtica de improvisao.
NOTA 2 Um teste um tipo nico e particular de exerccio, que incorpora uma expectativa de aprovao ou
reprovao em relao aos objetivos planejados do exerccio.
[FONTE: ISO 22300]
3.19
incidente
situao que pode representar ou levar interrupo de negcios, perdas, emergncias ou crises
NO TEM VALOR NORMATIVO
8/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
3.20
infraestrutura
sistema de instalaes, equipamentos e servios necessrios para a operao de uma organizao
3.21
partes interessadas
stakeholder
pessoa ou organizao que pode afetar, ser afetado ou que entendem ser afetados por uma deciso ou
atividade
NOTA O termo refere-se a um indivduo ou grupo que possui interesse em qualquer deciso ou atividade de
uma organizao.
3.22
auditoria interna
auditoria realizada por, ou em nome, da prpria organizao para anlise crtica pela Direo e outros
fins internos, e que pode formar a base para autodeclararo de conformidade de uma organizao
NOTA
Em muitos casos, particularmente em pequenas organizaes, a independncia pode ser demonstrada
pela no responsabilidade pela atividade a ser auditada.
3.23
invocao
ato de declarar que os arranjos para continuidade de negcios de uma organizao precisam ser
colocados em prtica, a fim de continuar a entrega de produtos ou servios essenciais.
3.24
sistema de gesto
conjunto de elementos inter-relacionados ou interativos de uma organizao para estabelecer polticas e
objetivos, bem como processos para atingir esses objetivos
NOTA 1
3.25
interrupo mxima aceitvel
MAO - Maximum Acceptable Outage
tempo para que os impactos adversos que possam surgir como resultado de no fornecer um produto /
servio, ou realizar uma atividade, tornem-se inaceitveis
3.26
perodo mximo de interrupo tolervel
MTPD - Maximum Tolerable Period of Disruption
tempo necessrio para que os impactos adversos tornem-se inaceitveis, que pode surgir como
resultado de no fornecer um produto/servio ou realizar uma atividade.
NO TEM VALOR NORMATIVO
9/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
NOTA
3.27
medio
processo para determinar um valor
3.28
objetivo mnimo de continuidade de negcios
OMCN
nveis mnimos aceitveis de servios e/ou produtos para a organizao alcanar seus objetivos de
negcios durante uma interrupo
3.29
monitoramento
determinao do status de um sistema, de um processo ou de uma atividade
NOTA
Para determinar o status pode haver a necessidade de checar, supervisionar ou observar
criticamente.
3.30
acordo de ajuda mtua
pr-disposio de entendimento entre duas ou mais entidades para prestao de assistncia mtua
[FONTE: ISO 22300]
3.31
no conformidade
no cumprimento de um requisito
[FONTE: ISO 22300]
3.32
objetivo
resultado a ser atingido
NOTA 1
NOTA 2 Os objetivos podem ser relacionados a diferentes disciplinas (tais como financeiro, sade e segurana,
e as metas ambientais) e podem ser aplicados em diferentes nveis (como estratgico, a organizao como um
todo, projeto, produto e processo).
NOTA 3 Um objetivo pode ser expresso por outros meios, por exemplo, como um resultado esperado, um
propsito, um critrio operacional, como um objetivo de segurana social ou pelo uso de outras palavras com
significado similar (por exemplo, objetivo, meta, ou alvo).
NOTA 4 No contexto de sistema de gesto de padres de segurana da sociedade, os objetivos de segurana
da sociedade so definidos pela organizao, de acordo com a poltica de segurana social, para alcanar
resultados especficos.
10/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
3.33
organizao
pessoas ou grupo de pessoas que tm suas funes com responsabilidades, autoridades e
relacionamentos para alcanar os objetivos.
NOTA 1 O conceito de organizao inclui, mas no se limita a, empresrio individual, companhia, corporao,
firma, empresa, autoridade, parceria, instituio de caridade ou outra instituio, ou parte ou combinao destas,
com responsabilidade limitada ou no, pblica ou privada.
NOTA 2 Para as organizaes com mais de uma unidade operacional, uma nica unidade operacional pode ser
definida como uma organizao.
3.34
terceirizar (verbo)
fazer um acordo onde uma organizao externa executa parte da funo ou processo de uma
organizao
NOTA
Uma organizao externa est fora do escopo do sistema de gesto, embora a funo terceirizada ou
processo esteja dentro do escopo de aplicao.
3.35 desempenho
resultado mensurvel
NOTA 1
NOTA 2 Desempenho pode se relacionar com a gesto das atividades, processos, produtos (incluindo servios),
sistemas ou organizaes.
3.36
avaliao de desempenho
processo para determinar resultados mensurveis
3.37
pessoal
pessoas trabalhando para ou sob o controle da organizao
NOTA
O conceito de pessoal inclui, mas no se limita a empregados, pessoal em tempo parcial, e pessoal
temporrio.
3.38
poltica
intenes e direes de uma organizao expressadas formalmente pela sua alta gesto
3.39
procedimento
maneira especfica de conduzir uma atividade ou um processo
3.40
processo
grupo de atividades relacionadas ou interativas que transformam entradas em sadas
11/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
3.41
produtos e servios
resultados benficos que uma organizao fornece a seus clientes e partes interessadas, como bens
manufaturados, seguros automobilsticos, conformidade com regulamentaes e benefcios
comunitrios
3.42
atividades prioritrias
atividades que devem ser priorizadas aps um incidente para mitigar os impactos
NOTA
Termos de uso comum para descrever as atividades dentro deste grupo incluem: crtico, essencial,
vital, urgente e fundamental.
3.45
tempo objetivado de recuperao
RTO - Recovery Time Objective
perodo de tempo aps um incidente em que
o produto ou servio deve ser retomado, ou
a atividade deve ser retomada, ou
os recursos devem ser recuperados (NBR 2 3.45)
NOTA
Para os produtos, servios e atividades, o tempo objetivado de recuperao deve ser menor do que o
tempo em que os impactos negativos que surgiro como resultado de no fornecer um produto/servio ou realizar
uma atividade se torne inaceitvel.
3.46
requisitos
necessidade ou expectativa que determinada, geralmente implcita ou obrigatria
NOTA 1 "Geralmente implcita" significa que uma prtica habitual ou comum para a organizao e as partes
interessadas pela qual a necessidade ou expectativa sob considerao est implcita.
NOTA 2
12/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
3.47
recursos
todos os ativos, pessoas, competncias, informao, tecnologia (incluindo instalaes e equipamentos),
locais, suprimentos e informao (eletrnica ou no) que uma organizao deve ter disponveis para
uso, quando necessrio, a fim de operar e atingir seus objetivos.
3.48
risco
efeito da incerteza nos objetivos
NOTA 1
NOTA 2 Os objetivos podem ter diferentes aspectos (como metas financeiras, sade e segurana, e ambientais)
e podem ser aplicados em diferentes nveis (tais como estratgico, em toda a organizao, projeto, produto e
processo). Um objetivo pode ser expresso por outros meios, por exemplo, como um resultado esperado, um
propsito, um critrio operacional, como objetivo da continuidade do negcio, ou pelo uso de outras palavras com
significado similar (por exemplo, objetivo, meta, ou alvo).
NOTA 3 Risco muitas vezes caracterizado pela referncia aos eventos potenciais (ABNT ISO Guia 73, 3.5.1.3)
e consequncias (ABNT ISO Guia 73, 3.6.1.3) ou uma combinao destes.
NOTA 4 Risco frequentemente expressado em termos de uma combinao das consequncias de um evento
(incluindo mudanas nas circunstncias) e a probabilidade (Guia 73, 3.6.1.1) de ocorrncia associada.
NOTA 5 Incerteza o estado, ainda que (mesmo) parcial, da deficincia de informao relacionada ao
entendimento ou conhecimento de um evento, sua consequncia ou probabilidade.
NOTA 6 No contexto de padres de gesto de continuidade de negcios, os objetivos de continuidade de
negcios so definidos pela organizao, de acordo com a poltica de continuidade de negcios, para alcanar
resultados especficos. Ao aplicar o termo risco e componentes de gerenciamento de risco, este deve ser
relacionado com os objetivos da organizao, que incluem, mas no esto limitados aos objetivos de continuidade
de negcios, conforme especificado em 6.2.
13/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
3.52 teste
procedimento para avaliao; maneira de determinar a presena, qualidade, ou veracidade de algo
NOTA 1
NOTA 2
A Alta Direo tem o poder de delegar autoridade e fornecer recursos dentro da organizao.
NOTA 2 Se o escopo do sistema de gesto abrange apenas parte de uma organizao, ento Alta Direo se
refere queles que dirigem e controlam parte da organizao.
3.54
verificao
confirmao, atravs de evidncia, que os requisitos especificados foram cumpridos
3.55
ambiente de trabalho
conjunto de condies sob as quais o trabalho realizado
NOTA Condies incluem fatores fsicos, sociais, psicolgicos e ambientais (tais como temperatura, sistemas de
reconhecimento, ergonomia e composio atmosfrica).
4 Contexto da organizao
4.1 Entendendo a organizao e seu contexto
A organizao deve determinar as questes internas e externas que so relevantes para seus
propsitos de atuao e que afetem sua capacidade em alcanar os resultados determinados em seu
SGCN.
Estas questes devem ser levadas em considerao quando do estabelecimento, implementao e
manuteno do SGCN da organizao.
A organizao deve identificar e documentar o seguinte:
a) as atividades, funes, servios, produtos e parcerias da organizao, bem como cadeias de
suprimentos, relacionamento com partes interessadas e o impacto potencial relacionado a um
incidente de interrupo;
b) relacionamento entre a poltica de continuidade de negcios e outras polticas e objetivos da
organizao, incluindo a sua estratgia geral de gesto de riscos;
c) o apetite a riscos da organizao.
NO TEM VALOR NORMATIVO
14/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
determinar seus objetivos, incluindo aqueles relacionados com a continuidade dos negcios,
2)
definir os fatores externos e internos que criam as incertezas que do origem ao risco,
3)
4)
Geral
A organizao deve estabelecer, implementar e manter procedimentos para identificar, ter acesso e
avaliar os requisitos legais e regulatrios aplicveis ao seu mercado de atuao, alinhados com a
continuidade de suas operaes, produtos e servios, bem como os interesses das partes interessadas
relevantes.
A organizao deve assegurar que estes requisitos legais, regulatrios e outros requisitos que a
organizao esteja sujeita so levados em considerao no estabelecimento, implementao e
manuteno de seu SGCN.
A organizao deve documentar estas informaes e mant-las atualizadas. Novidades ou variaes
nos requisitos legais, regulatrios e outros requisitos devem ser comunicadas aos empregados
envolvidos e s outras partes interessadas
Geral
A organizao deve determinar os limites e aplicabilidade do SGCN para estabelecer seu escopo.
Ao definir o escopo, a organizao deve considerar:
as questes internas e externas citadas em 4.1, e
os requisitos citados em 4.2.
O escopo deve estar disponvel como informao documentada.
15/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
4.3.2
Escopo do SGCN
A organizao deve:
a) estabelecer as partes da organizao a serem includas no SGCN,
b) estabelecer requisitos do SGCN, considerando a misso da organizao, objetivos, obrigaes
internas e externas (incluindo aquelas com as partes interessadas), bem como responsabilidades
legais e regulatrias,
c) identificar produtos, servios e todas as atividades relacionadas com o escopo do SGCN,
d) levar em considerao as necessidades e interesses das partes interessadas, tais como clientes,
investidores, acionistas, cadeia de suprimentos, expectativas e interesses pblicos e/ou da
comunidade (quando apropriados), e
e) definir o escopo do SGCN apropriados ao tamanho, natureza e complexidade da organizao.
Ao definir o escopo, a organizao deve documentar e justificar excees; qualquer exceo no pode
afetar a capacidade e responsabilidade da organizao em prover a continuidade de negcios e
operaes contempladas nos requisitos do SGCN, como determinadas pela anlise de impacto nos
negcios ou no processo de avaliao de riscos e nos requisitos legais e regulatrios aplicveis.
5 Liderana
5.1 Liderana e comprometimento
Os membros da Alta Direo e demais gestores com papis relevantes dentro da organizao devem
demonstrar liderana em relao ao SGCN.
EXEMPLO Esta liderana e comprometimento podem ser demonstrados pela motivao e capacitao de pessoas em
contribuir com a eficcia do SGCN.
16/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
A Alta Direo deve assegurar que as responsabilidades e papis relevantes sejam atribudos e
comunicados dentro da organizao por
definio de critrios e nveis de aceitao de riscos,
envolvimento ativo em exerccios e testes,
garantia que auditorias internas para o SGCN sejam realizadas,
realizao de anlises crticas da gesto do SGCN, e
demonstrao do comprometimento com a melhoria contnua.
5.3 Poltica
A Alta Direo deve definir uma poltica de continuidade de negcios que
a) esteja alinhada com o proposito da organizao,
b) fornece uma estrutura para estabelecer os objetivos de continuidade de negcios,
NO TEM VALOR NORMATIVO
17/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
6 Planejamento
6.1 Aes para direcionar riscos e oportunidades
Ao planejar o SGCN, a organizao deve considerar as questes citadas em 4.1 e os requisitos
mencionados em 4.2, alm de determinar os riscos e oportunidades que devem ser avaliados para:
Garantir que o sistema de gerenciamento consiga atingir os resultados esperados,
prevenir, ou reduzir, consequncias indesejadas,
alcanar a melhoria continua,
A organizao deve planejar:
a) aes para enderear riscos e oportunidades,
b) como
1)
2)
18/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
7 Suporte
7.1 Recursos
A organizao deve determinar e prover os recursos necessrios para o estabelecimento,
implementao, manuteno e melhoria contnua do SGCN.
7.2 Competncia
A organizao deve
a) determinar as competncias necessrias das pessoas trabalhando sob seu controle que afete seu
desempenho;
b) garantir que essas pessoas sejam competentes com relao a educao apropriada, treinamento e
experincia;
c) quando necessrio, agir para adquirir a competncia necessria, e avaliar a eficcia das aes; e
NO TEM VALOR NORMATIVO
19/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
7.3
Conscientizao
Pessoas que realizam trabalho sob o controle da organizao devem estar conscientizadas
a) da poltica de continuidade de negcios;
b) da sua contribuio para a eficcia do SGCN, incluindo os benefcios do melhor desempenho da
gesto de continuidade de negcios;
c) das implicaes da no conformidade com os requisitos do SGCN; e
d) do seu prprio papel durante incidentes que causem interrupo.
7.4 Comunicao
A organizao deve determinar as necessidades de comunicaes internas e externas relevantes para
o SGCN inclusive
a) o que ser comunicado;
b) quando comunicar;
c) para quem comunicar;
A organizao deve estabelecer, implementar, e manter procedimento(s) para
comunicao externa com clientes, entidades parceiras, comunidade local, e outros grupos
interessados, inclusive a mdia;
NOTA
20/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
Geral
informaes documentadas determinadas pela organizao que sejam necessrias para a eficcia
do SGCN
NOTA A extenso de informaes documentadas para um SGCN pode ser diferente de uma
organizao para outra devido:
a competncia de pessoal.
7.5.2
Criando e atualizando
Informaes documentadas requeridas pelo SGCN e por esta norma devem ser controlados para
garantir
a) que esteja disponvel e utilizvel, quando e onde for necessrio;
b) que esteja protegido adequadamente (por exemplo: de perda de confidencialidade, uso imprprio,
ou perda de integridade).
Para fazer o controle de informaes documentadas, a organizao deve enderear as seguintes
atividades, onde aplicvel
distribuio, acesso, recuperao e uso;
armazenamento e preservao, incluindo preservao de legibilidade;
controle de mudanas (ex: controle de verso);
reteno e disposio;
recuperao e uso;
NO TEM VALOR NORMATIVO
21/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
8 Operao
8.1 Planejamento e controle operacional
A organizao deve planejar, implementar e controlar os processos necessrios para atender requisitos
e para implementar as aes determinadas em 6.1, por
a) estabelecer critrios para os processos,
b) implementar um controle para os processos em acordo com os critrios definidos, e
c) manter a documentao de informaes na extenso necessria para ter a confiana de que os
processos tem sido conduzidos de acordo com o planejado.
A organizao deve monitorar mudanas planejadas e avaliar as consequncias de mudanas
inesperadas, tomando medidas para mitigar os efeitos adversos, quando necessrio.
A organizao deve garantir que processos terceirizados so controlados.
Geral
A organizao deve definir, implementar e manter um processo formal e documentado para a anlise de
impacto nos negcios e no processo de avaliao de riscos que
a) estabelea o contexto da avaliao, definindo critrios e avaliando o impacto potencial de uma
interrupo;
b) considere requisitos legais dentre outros nos quais a organizao deva atender;
c) determine uma anlise sistemtica, com priorizao de tratamento dos riscos e seus respectivos
custos;
d) defina a estratgia necessria a partir da anlise de impacto nos negcios e no processo de
avaliao de riscos, e
22/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
8.2.2
Este processo pode ser realizado em conformidade com a norma ABNT NBR ISO 31000.
A organizao deve
a) identificar riscos de interrupo das atividades prioritrias da organizao, bem como os processos,
sistemas, informaes, pessoas, bens, parceiros terceiros, e outros recursos que os suportam,
b) analisar sistematicamente o risco,
c) avaliar quais riscos de interrupo podem ser tratados, e
d) identificar os tratamentos alinhados com os objetivos de continuidade de negcios, e de acordo com
o apetite de risco da organizao.
NOTA A organizao deve estar ciente de que certas determinaes governamentais ou financeiras exigem a
comunicao dos riscos em diferentes nveis de detalhe. Alm disso, certas necessidades sociais podem tambm
requerer estas informaes em um nvel especfico de detalhes.
23/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
Definindo e selecionando
A definio e seleo da estratgia deve ser baseada nos resultados da anlise de impacto nos
negcios e no processo de avaliao de riscos.
A organizao deve determinar uma estratgia de continuidade adequada para
a) proteger atividades prioritrias,
b) estabilizar, continuar, retomar e recuperar atividades priorizadas, bem como suas dependncias e
recursos de apoio, e
c) mitigar, responder e gerenciar impactos.
A definio da estratgia deve incluir a aprovao da priorizao dos tempos para a retomada das
atividades.
A organizao deve realizar avaliaes da capacidade de continuidade de negcios dos fornecedores.
8.3.2
transporte,
g) finanas, e
h) fornecedores e parceiros.
8.3.3
Proteo e mitigao
Para riscos identificados que necessitam de tratamento, a organizao deve considerar medidas
pr-ativas que
a) reduzam a probabilidade de interrupo,
b) diminuam o perodo de interrupo, e
c) limitem o impacto da interrupo sobre os principais produtos e servios da organizao.
NO TEM VALOR NORMATIVO
24/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
A organizao deve escolher e implementar tratamentos adequados aos riscos, alinhados ao seu
apetite de riscos.
Geral
8.4.2
A organizao deve estabelecer, documentar e implementar procedimentos, bem como possuir uma
estrutura de gesto para responder uma interrupo, utilizando pessoal com a autoridade,
responsabilidade e competncia necessria para gerenciar um incidente.
a) identificar ponto inicial de impacto que justifique o incio da resposta formal,
b) avaliar a natureza, a extenso e o impacto potencial de um incidente,
c) acionar a resposta de continuidade de negcios adequada,
d) ter processos e procedimentos para a ativao, operao, coordenao e comunicao da
resposta,
e) ter recursos disponveis para apoiar os processos e procedimentos para a gesto de um incidente, a
fim de minimizar o impacto, e
f)
25/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
Aviso e comunicao
g) armazenar informaes vitais sobre o incidente, aes e decises tomadas, assim como os itens a
seguir devem ser considerados e implementados quando aplicvel:
alertar as partes interessadas potencialmente impactadas por um incidente de interrupo real ou
iminente,
assegurar a interoperabilidade de mltiplas organizaes e pessoal;
operar uma instalao de comunicaes.
Os procedimentos de comunicao e alerta deve ser regularmente exercitados.
8.4.4
26/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
2)
3)
d)
e)
como a organizao vai continuar ou recuperar suas atividades prioritrias dentro de prazos pr
definidos,
f)
a estratgia de comunicao,
2)
3)
4)
g)
Recuperao
27/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
9 Avaliao de desempenho
9.1 Monitoramento, medio, anlise e avaliao
9.1.1
Geral
28/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
9.1.2
desempenho deficitrio pode incluir no conformidade, quase acidentes, alarmes falsos, e incidentes de
b)
1)
2)
A organizao deve
planejar, estabelecer, implementar e manter (um) programa de auditoria, inclusive frequncia,
mtodos, responsabilidades, requisitos de planejamento e relatrios. O programa de auditoria deve
NO TEM VALOR NORMATIVO
29/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
d)
1)
2)
3)
resultados de auditoria;
30/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
oportunidades de melhoria;
resultados das auditorias e anlises crticas do SGCN, incluindo aquelas de fornecedores chave e
parceiros, quando apropriado;
tcnicas, produtos ou procedimento, que podem ser usados na organizao para melhorar o
desempenho e a eficcia do SGCN;
status de aes corretivas;
resultados de exerccios e testes;
riscos ou questes no endereadas adequadamente em nenhum processo de avaliao de riscos
anterior;
quaisquer mudanas que possam afetar o SGCN, tanto interna quanto externa ao escopo do
SGCN;
adequao da poltica;
recomendaes de melhoria;
lies aprendidas e aes decorrentes de incidentes que cause interrupo, e
boas prticas e orientaes emergentes.
As sadas da anlise crtica pela Direo devem incluir decises relacionadas a oportunidades de
melhoria contnua e a possvel necessidade de mudanas do SGCN, e incluem os seguintes:
a) variaes do escopo do SGCN;
b) melhoria da eficcia do SGCN;
c) atualizao do processo de avaliao de riscos, anlise de impacto nos negcios, plano de
continuidade dos negcios e processos relacionados;
d) modificao de procedimento e controles para responder eventos externos ou internos que possam
impactar no SGCN, inclusive mudanas em
1)
2)
3)
4)
5)
obrigaes contratuais;
6)
31/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
e)
7)
necessidades de recurso;
8)
A organizao deve manter informaes documentadas como evidncia dos resultados das anlises
crticas pela Direo.
A organizao deve
comunicar os resultados da anlise crtica pela Direo para as partes interessadas, e
realizar aes apropriadas para os resultados.
10 Melhoria
10.1 No conformidade e aes corretivas
Quando ocorrer uma no conformidade, a organizao deve
a) identificar a no conformidade,
b) reagir a no conformidade, e, quando aplicvel,
c)
1)
2)
2)
3)
4)
5)
6)
7)
d)
e)
f)
32/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
Aes corretivas devem ser apropriadas aos efeitos das no conformidades encontradas.
A organizao deve guardar documentaes para evidncias da
natureza das no conformidades e qualquer aes decorrentes, e
dos resultados de qualquer ao corretiva.
33/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
Bibliografia
[1]
[2]
ABNT NBR ISO 14001, Sistema de gesto ambiental Requisitos com guia para uso
[3]
[4]
ISO/IEC 20000-1,
Tecnologia
da
informao
Parte 1: Requisitos do sistema de gesto de servios
[5]
[6]
ISO/PAS 22399, Societal security - Guideline for incident preparedness and operational continuity
management
[7]
[8]
[9]
ISO/IEC 27031, Information technology Security techniques Guidelines for information and
communication technology readiness for business continuity
Gesto
de
servios
(BSI)
[14] BS 25999-2, Business continuity management Specification, British Standards Institution (BSI)
[15] SI 24001, Security and continuity management systems Requirements and guidance for use,
of Japan, 2005
34/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
[19] ANSI/ASIS SPC.1, Organizational Resilience: Security, Preparedness, and Continuity Management
for Use
35/35