Você está na página 1de 46

NORMA ABNT NBR

BRASILEIRA 15999-1
Primeira edio
22.10.2007

Vlida a partir de
22.11.2007

Verso corrigida
01.02.2008

Gesto de continuidade de negcios


Parte 1: Cdigo de prtica
Business continuity management
Part 1: Code of practice

Palavras-chave: Gesto. Continuidade de negcios.


Descriptors: Management. Business continuity.

ICS 03.100.01

ISBN 978-85-07-00750-0

Nmero de referncia
ABNT NBR 15999-1:2007
40 pginas

ABNT 2007
ABNT NBR 15999-1:2007

ABNT 2007
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicao pode ser reproduzida
ou por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito pela ABNT.

Sede da ABNT
Av.Treze de Maio, 13 - 28 andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 2220-1762
abnt@abnt.org.br
www.abnt.org.br

Impresso no Brasil

ii ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

Sumrio Pgina

Prefcio........................................................................................................................................................................v
0 Introduo .....................................................................................................................................................vi
0.1 Uso deste documento ..................................................................................................................................vi
0.2 Convenes de apresentao.....................................................................................................................vi
0.3 Consideraes legais e contratuais ...........................................................................................................vi
1 Escopo............................................................................................................................................................1
2 Termos e definies ......................................................................................................................................1
3 Viso geral da gesto da continuidade de negcios (GCN) .....................................................................5
3.1 O que a GCN? .............................................................................................................................................5
3.2 GCN e a estratgia organizacional ..............................................................................................................6
3.3 GCN relao com a gesto de riscos .......................................................................................................6
3.4 Por que convm que uma organizao adote a GCN?..............................................................................6
3.5 Benefcios de um programa eficaz de GCN................................................................................................7
3.6 Resultados de um programa eficaz de GCN...............................................................................................7
3.7 Elementos do ciclo de vida da gesto da continuidade de negcios......................................................8
4 A poltica de gesto da continuidade de negcios....................................................................................9
4.1 Viso geral......................................................................................................................................................9
4.2 Contexto .......................................................................................................................................................10
4.3 Desenvolvimento da poltica de continuidade de negcios ...................................................................10
4.4 Escopo do programa de GCN ....................................................................................................................11
4.5 Atividades terceirizadas..............................................................................................................................11
5 Gesto do programa de GCN .....................................................................................................................11
5.1 Viso geral....................................................................................................................................................11
5.2 Designando responsabilidades (governana)..........................................................................................12
5.3 Implementando a continuidade de negcios na organizao ................................................................12
5.4 Gesto contnua...........................................................................................................................................12
5.4.1 Viso geral....................................................................................................................................................12
5.4.2 Manuteno contnua..................................................................................................................................13
5.5 Documentao de GCN...............................................................................................................................13
6 Entendendo a organizao.........................................................................................................................14
6.1 Introduo ....................................................................................................................................................14
6.2 Anlise de impacto no negcio (BIA) ........................................................................................................14
6.3 Identificao de atividades crticas ...........................................................................................................15
6.4 Determinando requisitos de continuidade................................................................................................16
6.5 Avaliando ameaas a atividades crticas (realizando uma avaliao de riscos) ..................................16
6.6 Determinando escolhas ..............................................................................................................................17
6.6.1 Viso geral....................................................................................................................................................17
6.6.2 Continuidade de negcios..........................................................................................................................17
6.6.3 Aceitao......................................................................................................................................................17
6.6.4 Transferncia ...............................................................................................................................................17
6.6.5 Mudar, suspender ou terminar...................................................................................................................18
6.7 Aprovao ....................................................................................................................................................18
7 Determinando a estratgia de continuidade de negcios.......................................................................18
7.1 Introduo ....................................................................................................................................................19
7.2 Opes de estratgia ..................................................................................................................................19
7.3 Pessoas ........................................................................................................................................................19
7.4 Instalaes ...................................................................................................................................................20
7.5 Tecnologia....................................................................................................................................................20
7.6 Informao ...................................................................................................................................................22
7.7 Suprimentos.................................................................................................................................................22

ABNT 2007 - Todos os direitos reservados iii


ABNT NBR 15999-1:2007

7.8 Partes interessadas.....................................................................................................................................23


7.9 Emergncias civis .......................................................................................................................................23
7.10 Aprovao ....................................................................................................................................................23
8 Desenvolvendo e implementando uma resposta de GCN.......................................................................24
8.1 Introduo ....................................................................................................................................................24
8.2 Estrutura de resposta a incidentes............................................................................................................24
8.3 Contedo dos planos ..................................................................................................................................26
8.3.1 Introduo ....................................................................................................................................................26
8.3.2 Objetivo e escopo........................................................................................................................................26
8.3.3 Papis e responsabilidades .......................................................................................................................26
8.3.4 Ativao de planos ......................................................................................................................................27
8.3.5 Proprietrio e mantenedor do documento................................................................................................27
8.3.6 Detalhes de contato.....................................................................................................................................27
8.4 Plano de gerenciamento de incidentes (PGI) ...........................................................................................27
8.5 Contedo do PGI .........................................................................................................................................28
8.5.1 Geral..............................................................................................................................................................28
8.5.2 Lista de tarefas e aes ..............................................................................................................................28
8.5.3 Contatos de emergncia .............................................................................................................................28
8.5.4 Atividades das pessoas ..............................................................................................................................28
8.5.5 Comunicao mdia..................................................................................................................................29
8.5.6 Gesto de partes interessadas ..................................................................................................................30
8.5.7 Localizao para o gerenciamento de incidentes....................................................................................30
8.5.8 Anexos..........................................................................................................................................................30
8.6 Planos de continuidade de negcios (PCN) .............................................................................................31
8.7 Contedo do PCN ........................................................................................................................................31
8.7.1 Geral..............................................................................................................................................................31
8.7.2 Planos de ao/Listas de tarefas ...............................................................................................................31
8.7.3 Recursos necessrios.................................................................................................................................32
8.7.4 Responsveis...............................................................................................................................................32
8.7.5 Formulrios e anexos..................................................................................................................................32
9 Testando, mantendo e analisando criticamente os preparativos de GCN ............................................33
9.1 Introduo ....................................................................................................................................................33
9.2 Programa de testes .....................................................................................................................................33
9.3 Testando os preparativos de GCN.............................................................................................................34
9.4 Manuteno dos preparativos de GCN .....................................................................................................35
9.5 Anlise crtica dos preparativos de GCN ..................................................................................................36
9.6 Auditoria .......................................................................................................................................................37
9.7 Auto-avaliao .............................................................................................................................................37
10 Incluindo a GCN na cultura da organizao .............................................................................................37
10.1 Geral..............................................................................................................................................................38
10.2 Conscientizao ..........................................................................................................................................38
10.3 Treinamento .................................................................................................................................................39
Bibliografia ................................................................................................................................................................40

iv ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

Prefcio

A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas Brasileiras,
cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de Normalizao
Setorial (ABNT/ONS) e das Comisses de Estudo Especiais Temporrias (ABNT/CEET), so elaboradas
por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte:
produtores, consumidores e neutros (universidades, laboratrios e outros).

Os Documentos Tcnicos ABNT so elaborados conforme as regras da Diretivas ABNT, Parte 2.

A Associao Brasileira de Normas Tcnicas (ABNT) chama ateno para a possibilidade de que alguns
dos elementos deste documento podem ser objeto de direito de patente. A ABNT no deve ser considerada
responsvel pela identificao de quaisquer direitos de patentes.

A ABNT NBR 15999-1 foi elaborada pela Comisso de Estudo Especial Temporria de Gesto de Riscos
(ABNT/CEET-00:001.63). O Projeto circulou em Consulta Nacional conforme Edital n 06, de 22.05.2007
a 21.06.2007, com o nmero de Projeto 00:001.63-002/01.

A ABNT NBR 15999-1, sob o ttulo geral Gesto de continuidade de negcios Parte 1: Cdigo de prtica,
tem previso de conter as seguintes partes:

Parte 1: Cdigo de prtica;

Parte 2: Requisitos.

Esta Norma baseada na BSI 25999:2006.

Esta verso corrigida da ABNT NBR 15999-1:2007 incorpora a Errata 1 de 01.02.2008.

ABNT 2007 - Todos os direitos reservados v


ABNT NBR 15999-1:2007

0 Introduo

Esta Norma foi desenvolvida por especialistas da comunidade de continuidade de negcios, tendo como base
suas experincias acadmicas, tcnicas e prticas da gesto da continuidade de negcios (GCN). Foi elaborada
para fornecer um sistema baseado nas boas prticas de gesto da continuidade de negcios. Seu propsito
servir como um nico ponto de referncia para a maior parte das situaes em que a gesto da continuidade
de negcios praticada e ser usada por organizaes de grande, mdio e pequeno portes, nos setores industriais,
comerciais, pblicos e de carter voluntrio.

0.1 Uso deste documento

Como um cdigo de prticas, esta Norma tem a forma de um guia que possui recomendaes. No deve ser
citada como uma especificao e convm que alegaes de conformidade no sejam enganosas.

Qualquer usurio que afirme estar em conformidade com esta Norma deve ser capaz de justificar qualquer ao
que se desvie de suas recomendaes.

0.2 Convenes de apresentao

Esta Norma fornece recomendaes expressas em frases em que a principal a expresso convm que.
A Seo 3 no contm quaisquer recomendaes, mas fornece informaes de suporte teis sobre
a gesto da continuidade de negcios (apesar de esta Norma no ter a inteno de ser um guia da gesto da
continuidade de negcios para principiantes).

A palavra pode utilizada no texto para exprimir permisso, ou seja, como uma alternativa recomendao
principal da seo. A palavra pode usada tambm para expressar possibilidade, ou seja, a conseqncia
de uma ao ou evento.

Comentrios adicionais, explicaes e material informativo em geral aparecem em fonte menor e em itlico,
e no constituem elementos normativos.

0.3 Consideraes legais e contratuais

Esta Norma no busca incluir todas as condies necessrias de um contrato. Os usurios so responsveis
por sua correta aplicao.

vi ABNT 2007 - Todos os direitos reservados


NORMA BRASILEIRA ABNT NBR 15999-1:2007

Gesto de continuidade de negcios


Parte 1: Cdigo de prtica

1 Escopo

Esta Norma estabelece o processo, os princpios e a terminologia da gesto da continuidade de negcios (GCN).
O propsito desta Norma fornecer uma base para que se possa entender, desenvolver e implementar
a continuidade de negcios em uma organizao alm de obter confiana nos negcios da organizao
com clientes e outras organizaes. Ela permite tambm que a organizao avalie sua capacidade de GCN
de uma maneira consistente e reconhecida.

Esta Norma fornece um sistema baseado nas boas prticas de GCN.

Esta Norma foi desenvolvida para ser usada por qualquer pessoa que seja responsvel pelas operaes
de negcios e servios, desde a alta direo, passando por todos os nveis da organizao; por organizaes com
uma nica sede e por empresas globais; por pequenas e mdias empresas at organizaes que empregam
milhares de pessoas. Logo, aplicvel a qualquer pessoa responsvel por alguma operao e,
conseqentemente, pela continuidade desta operao.

Esta Norma no cobre as atividades relacionadas ao planejamento de emergncia, pois esse tpico est
relacionado a emergncias civis.

NOTA Independentemente dos esforos ou recursos investidos na gesto da continuidade de negcios, ainda possvel
que uma organizao tenha que se defrontar com um incidente ou uma combinao de incidentes que no foi prevista.

2 Termos e definies

Para os efeitos desta Norma, aplicam-se os seguintes termos e definies.

2.1
alta direo
pessoa ou grupo de pessoas que dirige e controla uma organizao em seu nvel mais alto

[ABNT NBR ISO 9000:2005]

NOTA A alta direo, especialmente em uma grande multinacional, pode no estar diretamente envolvida; porm,
ela sempre possui responsabilidade por meio da cadeia de comando. Em uma organizao pequena, a alta direo pode
ser unicamente o dono ou proprietrio.

2.2
anlise de custo-benefcio
tcnica financeira que mede o custo de implementao de uma soluo especfica e o compara com o benefcio
que ela proporciona

NOTA O benefcio pode ser definido em termos financeiros, de reputao, entrega de servios, regulamentaes
ou outros termos que sejam apropriados organizao.

ABNT 2007 - Todos os direitos reservados 1


ABNT NBR 15999-1:2007

2.3
anlise de impacto nos negcios (BIA business impact analysis)
processo de analisar as funes de negcio e os efeitos que uma interrupo possa causar nelas

2.4
apetite a risco
quantidade total de risco que uma organizao est preparada para aceitar, tolerar ou ser exposta a qualquer
tempo

2.5
atividade
processo ou conjunto de processos executados por uma organizao (ou em seu nome) que produzem
ou suportem um ou mais produtos ou servios

NOTA Exemplos desses processos incluem contas, "call centers", TI, manufatura, distribuio, entre outros.

2.6
atividades crticas
atividades que devem ser executadas de forma a entregar os produtos e servios fundamentais da organizao
que a permitam atingir seus objetivos mais importantes e sensveis ao tempo

2.7
avaliao de riscos
processo geral de identificao, anlise e estimativa dos riscos

2.8
ciclo de vida da gesto da continuidade de negcios
srie de atividades que, coletivamente, abordam todos os aspectos e fases do programa de gesto da
continuidade de negcios

NOTA O ciclo de vida da gesto da continuidade de negcios est ilustrado na Figura 1.

2.9
conseqncia
resultado de um incidente que pode ter um impacto nos objetivos da organizao

NOTA 1 Podem existir vrias conseqncias a partir de um nico incidente.

NOTA 2 Uma conseqncia pode ser certa ou incerta e pode causar impactos positivos ou negativos aos objetivos.

2.10
continuidade de negcios
capacidade estratgica e ttica da organizao de se planejar e responder a incidentes e interrupes
de negcios, para conseguir continuar suas operaes em um nvel aceitvel previamente definido

2.11
declarao
ato de declarar que o plano de continuidade de negcios de uma organizao precisa ser colocado em prtica, de
forma a continuar o fornecimento dos produtos ou servios fundamentais.

2.12
emergncia civil
evento ou situao que pode causar danos srios ao bem-estar humano em um local, em um ambiente,
ou segurana do pas ou de um local especfico

2 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

2.13
estratgia de continuidade de negcios
abordagem de uma organizao que garante a sua recuperao e continuidade, ao se defrontar com um desastre,
outro incidente maior ou interrupo de negcios

2.14
ganho
conseqncia positiva

2.15
gesto da continuidade de negcios (GCN)
processo abrangente de gesto que identifica ameaas potenciais para uma organizao e os possveis impactos
nas operaes de negcio, caso estas ameaas se concretizem. Este processo fornece uma estrutura para
que se desenvolva uma resilincia organizacional que seja capaz de responder efetivamente e salvaguardar
os interesses das partes interessadas, a reputao e a marca da organizao, e suas atividades de valor
agregado

NOTA A gesto da continuidade de negcios envolve o gerenciamento da recuperao ou da continuidade das atividades
no caso de uma interrupo de negcios e o gerenciamento do programa de continuidade por meio de treinamentos, testes
e anlises crticas, de forma a garantir que os planos de continuidade de negcios estejam sempre atualizados.

2.16
gesto de riscos
desenvolvimento estruturado e aplicao de uma cultura de gesto, polticas, procedimentos e prticas s tarefas
de identificao, anlise e controle dos riscos

2.17
impacto
conseqncia avaliada de um evento em particular

2.18
incidente
situao que pode representar ou levar a uma interrupo de negcios, perdas, emergncias ou crises

2.19
interrupo
evento, seja previsto (por exemplo, uma greve ou furaco) ou no (por exemplo, um blecaute ou terremoto),
que cause um desvio negativo imprevisto na entrega e execuo de produtos ou servios da organizao,
de acordo com seus objetivos

2.20
organizao
grupo de pessoas e instalaes com uma srie de responsabilidades, autoridades e relacionamentos

EXEMPLO: Companhia, corporao, firma, empresa, instituio de caridade, profissional liberal ou associao, ou partes
ou combinaes destas.

NOTA 1 Esse grupo geralmente bem ordenado.

NOTA 2 Uma organizao pode ser pblica ou privada. [NBR ISO 9000:2005].

2.21
partes interessadas
aqueles que possuem algum interesse nos resultados de uma organizao

NOTA Este um termo abrangente que inclui, entre outros, empregados internos e terceirizados, clientes, fornecedores,
parceiros, empregados, distribuidores, investidores, seguradoras, acionistas, donos, o governo e os reguladores.

ABNT 2007 - Todos os direitos reservados 3


ABNT NBR 15999-1:2007

2.22
perda
conseqncia negativa

2.23
perodo mximo de interrupo tolervel
durao a partir da qual a viabilidade de uma organizao ser ameaada de forma inevitvel, caso a entrega
de produtos e servios no possa ser reiniciada

2.24
planejamento de emergncia
desenvolvimento e manuteno de procedimentos acordados de forma a prevenir, reduzir, controlar, mitigar
e escolher aes a serem tomadas no caso de uma emergncia civil

2.25
plano de continuidade de negcios (PCN)
documentao de procedimentos e informaes desenvolvida, consolidada e mantida de forma que esteja pronta
para uso caso ocorra um incidente, de forma a permitir que a organizao mantenha suas atividades crticas
em um nvel aceitvel previamente definido

2.26
plano de gerenciamento de incidentes
plano de ao claramente definido e documentado, para ser usado quando ocorrer um incidente que basicamente
cubra as principais pessoas, recursos, servios e outras aes que sejam necessrias para implementar
o processo de gerenciamento de incidentes

2.27
probabilidade
possibilidade de algo acontecer que seja determinada, medida ou estimada, objetiva ou subjetivamente,
em termos gerais (tais como raro, pouco provvel, provvel, quase certo etc.), freqncias ou probabilidades
matemticas

NOTA A probabilidade pode ser expressa qualitativa ou quantitativamente.

2.28
produtos e servios
resultados benficos que uma organizao fornece a seus clientes e partes interessadas, como produtos
manufaturados, seguros automobilsticos, conformidade com regulamentaes e benefcios comunitrios

2.29
programa de gesto da continuidade de negcios
processos contnuos de gesto e governana que so suportados pela alta direo e que recebem os recursos
apropriados para garantir que os passos necessrios esto sendo tomados de forma a identificar o impacto
de perdas em potencial, manter estratgias e planos de recuperao viveis e garantir a continuidade de
fornecimento de produtos e servios por meio de treinamentos, testes, manuteno e anlises crticas

2.30
resilincia
capacidade de uma organizao de resistir aos efeitos de um incidente

4 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

2.31
risco
algo que pode ocorrer e seus efeitos nos objetivos da organizao

NOTA 1 A palavra risco e suas ramificaes so usadas coloquialmente de vrias formas, como um substantivo
(um risco ou, no plural, riscos), um verbo (arriscar [algo], ou colocar em risco), ou como um adjetivo ("arriscado"). O termo
"um risco" pode se relacionar a um evento em potencial, suas causas, a chance de algo acontecer ou os efeitos desses
eventos. Na gesto de riscos (ver 6.5), importante ter uma distino clara entre esses usos da palavra "risco".

NOTA 2 Risco definido em relao a um objetivo em particular; assim sendo, a preocupao com vrios objetivos implica
a possibilidade de mais de uma medida de risco ter que ser usada para cada fonte de risco.

NOTA 3 O risco geralmente quantificado como uma mdia de seus efeitos, por meio da soma do efeito de todas
as conseqncias possveis ponderada pela probabilidade associada a cada conseqncia, de forma a obter um valor
esperado. Porm, preciso que existam distribuies probabilsticas de forma a quantificar o que se percebe quanto
variao de conseqncias possveis. Alternativamente, estatsticas, tais como o desvio-padro, podem ser usadas alm
do valor esperado.

2.32
tempo objetivado de recuperao (RTO recovery time objective)
tempo alvo para:

retomada da entrega de produtos ou servios aps um incidente; ou

recuperao do desempenho de uma atividade aps um incidente; ou

recuperao de um sistema ou aplicao de TI aps um incidente.

NOTA O tempo objetivado de recuperao deve ser menor que o perodo mximo de interrupo tolervel.

2.33
teste
atividade na qual os planos de continuidade de negcios so exercitados parcial ou integralmente, de forma
a garantir que os planos contenham as informaes apropriadas e produzam o resultado desejado quando
colocados em prtica

NOTA Um teste pode envolver a execuo de procedimentos de continuidade de negcios, mas mais provvel que
envolva apenas uma simulao de um incidente de continuidade de negcios, previamente anunciada ou no, na qual
os participantes interpretam papis de forma a avaliar quais os problemas que podem ocorrer antes de uma execuo real.

3 Viso geral da gesto da continuidade de negcios (GCN)

3.1 O que a GCN?

A gesto da continuidade de negcios (GCN) um processo da organizao que estabelece uma estrutura
estratgica e operacional adequada para:

melhorar proativamente a resilincia da organizao contra possveis interrupes de sua capacidade


em atingir seus principais objetivos;

prover uma prtica para restabelecer a capacidade de uma organizao fornecer seus principais produtos
e servios, em um nvel previamente acordado, dentro de um tempo previamente determinado aps uma
interrupo; e

obter reconhecida capacidade de gerenciar uma interrupo no negcio, de forma a proteger a marca
e reputao da organizao.

ABNT 2007 - Todos os direitos reservados 5


ABNT NBR 15999-1:2007

Ainda que os processos de continuidade de negcios sejam diferentes de acordo com o tamanho, a estrutura
e as responsabilidades da organizao, os princpios bsicos no se alteram, sejam as organizaes pblicas,
privadas ou instituies de caridade, independentemente de seu tamanho, escopo ou complexidade.

3.2 GCN e a estratgia organizacional

Todas as organizaes, sejam elas grandes ou pequenas, possuem metas e objetivos, tais como crescer, fornecer
servios e adquirir outros negcios. Estas metas e objetivos geralmente so atingidos por meio de planos
estratgicos que permitem atingi-los a curto, mdio ou longo prazo. O entendimento da GCN no nvel mais alto
da organizao ajuda a garantir que estas metas e objetivos no sero comprometidos por interrupes
inesperadas.

As conseqncias de um incidente variam e podem ser abrangentes. Estas conseqncias podem envolver perda
de vidas, ativos e renda, ou a incapacidade de entregar os produtos e servios dos quais a estratgia, a reputao
ou at mesmo a sobrevivncia da organizao dependem.

A GCN precisa reconhecer a importncia estratgica das partes interessadas conhecidas. Alm disso, de acordo
com o desenrolar das conseqncias de uma interrupo, aparecem novas partes interessadas que podem ter
um impacto na extenso total dos danos. Por exemplo, grupos especficos podem tentar pressionar a organizao
que enfrenta uma interrupo.

Todos esses assuntos so estrategicamente importantes para a organizao.

3.3 GCN relao com a gesto de riscos

A GCN complementar a uma estrutura de gesto de riscos que busca entender os riscos s operaes
e negcios e suas conseqncias.

A gesto de riscos visa administrar o risco relacionado aos produtos e servios fundamentais que
uma organizao fornece. A entrega desses produtos e servios pode ser interrompida por uma grande variedade
de incidentes, e muitos dos quais so de difcil previso ou anlise das causas.

Com foco no impacto da interrupo, a GCN identifica os produtos e servios dos quais a organizao depende
para sobreviver e capaz de identificar o que necessrio para que a organizao continue cumprindo suas
obrigaes. Por meio da GCN, uma organizao pode reconhecer o que precisa ser realizado antes da ocorrncia
de um incidente, de forma a proteger suas pessoas, instalaes, tecnologia, informaes, cadeia de fornecimento,
partes interessadas e reputao. Reconhecendo isso, a organizao pode ento ter uma viso realista das
respostas necessrias quando e se ocorrer uma interrupo, de modo que ela pode ter confiana de que
conseguir administrar eventuais conseqncias sem atrasos inaceitveis na entrega de seus produtos e servios.

Uma organizao que tenha tomado as medidas apropriadas de GCN pode ser capaz de aproveitar oportunidades
de alto risco.

3.4 Por que convm que uma organizao adote a GCN?

A GCN um elemento importante da boa gesto de negcios, fornecimento de servios e prudncia empresarial.

Os gestores e proprietrios tm a responsabilidade de manter a capacidade de funcionamento sem interrupo


da organizao. As organizaes constantemente assumem compromissos ou tm o dever de entregar produtos
e servios, ou seja, assinam contratos e criam expectativas. Todas as organizaes tm responsabilidades morais
e sociais, particularmente em casos onde elas fornecem uma resposta de emergncia ou um servio pblico ou
voluntrio. Em alguns casos, as organizaes tm obrigaes legais ou regulamentares de efetuar uma GCN.

6 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

Toda atividade de negcios est sujeita a interrupes, tais como falhas tecnolgicas, enchentes, interrupes
nos servios pblicos e atos de terrorismo. A GCN fornece a capacidade de reagir adequadamente s
interrupes operacionais enquanto protege o bem-estar e a segurana.

A GCN deve ser encarada no como um processo custoso de planejamento, mas como um processo que agrega
valor organizao.

3.5 Benefcios de um programa eficaz de GCN

Os benefcios de um programa eficaz de GCN so que a organizao:

capaz de identificar proativamente os impactos de uma interrupo operacional;

tem uma resposta eficiente s interrupes, o que minimiza o impacto organizao;

mantm uma capacidade de gerenciar os riscos que no podem ser segurados;

promove o trabalho entre equipes;

capaz de demonstrar uma resposta possvel por meio de um processo de testes;

pode melhorar sua reputao; e

pode ganhar uma vantagem competitiva por meio da capacidade demonstrada de manter a entrega de seus
produtos e servios.

3.6 Resultados de um programa eficaz de GCN

Os resultados de um programa eficaz de GCN so que:

os principais produtos e servios so identificados e protegidos, de forma a garantir sua continuidade;

a organizao desenvolve uma capacidade de gerenciamento de incidentes, de forma a fornecer


uma resposta efetiva;

a organizao passa a entender a si mesma e a seus relacionamentos com outras organizaes, agncias
reguladoras pertinentes ou departamentos governamentais, autoridades locais e servios de emergncia,
desenvolvendo e documentando esse entendimento;

a equipe treinada de forma a responder de forma eficaz a um incidente ou interrupo por meio de testes
apropriados;

as necessidades das partes interessadas so entendidas e podem ser cumpridas;

a equipe recebe o suporte e as comunicaes necessrias em caso de interrupo;

a cadeia de suprimentos da organizao assegurada;

protege-se a reputao da organizao; e

a organizao permanece em conformidade com suas obrigaes legais e regulamentaes aplicveis.

ABNT 2007 - Todos os direitos reservados 7


ABNT NBR 15999-1:2007

3.7 Elementos do ciclo de vida da gesto da continuidade de negcios

O ciclo de vida de GCN composto por seis elementos, que podem ser visualizados na Figura 1. Estes podem ser
implementados em organizaes de todos os tamanhos, em todos os setores: pblico, privado, sem fins lucrativos,
educacional, manufatura etc. O escopo e a estrutura do programa de GCN podem variar e o esforo gasto ser
adaptado s necessidades de cada organizao, mas esses elementos fundamentais sero sempre obrigatrios.

a) Gesto do programa de GCN (ver Seo 5)

A gesto do programa possibilita que a capacidade de continuidade de negcios seja estabelecida (se necessrio)
e mantida de forma apropriada ao tamanho e complexidade da organizao;

b) Entendendo a organizao (ver Seo 6)

As atividades associadas a esta seo fornecem informaes que permitem a priorizao dos produtos e servios
da organizao e a urgncia das atividades que so necessrias para fornec-los. Isso estabelece os requisitos
que iro definir a seleo das estratgias de GCN apropriadas;

Figura 1 Ciclo de vida da gesto da continuidade de negcios

c) Determinando a estratgia de continuidade de negcios (ver Seo 7)

A definio da estratgia de continuidade de negcios permite que uma srie de estratgias seja avaliada.
Isso permite que uma resposta apropriada seja escolhida para cada produto ou servio, de modo
que a organizao possa continuar fornecendo esses produtos e servios:

em um nvel de operaes aceitvel, e

em uma quantidade de tempo aceitvel

durante e logo aps uma interrupo. As escolhas feitas devem levar em conta a resilincia e as opes de
contramedidas j presentes na organizao;

8 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

d) Desenvolvendo e implementando uma resposta de GCN (ver Seo 8)

O desenvolvimento e a implementao de uma resposta de GCN resultam na criao de uma estrutura de gesto
e numa estrutura de gerenciamento de incidentes, continuidade de negcios e planos de recuperao de negcios
que detalhem os passos a serem tomados durante e aps um incidente, para manter ou restaurar as operaes.

COMENTRIOS DE 3.7-d):

O termo incidente usado nesta Norma de forma a refletir a escalabilidade dos eventos, de pequeno, mdio ou grande porte,
que podem afetar a organizao. Um nico incidente ou uma srie de incidentes pode resultar em srias interrupes na
capacidade da organizao de cumprir suas obrigaes. Se um incidente for bem gerenciado, ele pode no resultar em uma
crise. Porm, alguns eventos podem causar uma interrupo to profunda aos objetivos da organizao, a ponto de serem
considerados crise imediatamente.

Um incidente pode exceder o nvel de preparao da organizao, mesmo que ela tenha cuidadosamente avaliado medidas de
respostas para um determinado nvel de dano esperado. , ento, imperativo que a direo e as estruturas que a suportam no
sigam o plano existente risca, independentemente da situao, mas o adaptem s circunstncias atuais. Um plano de
continuidade de negcios nunca ir substituir a tomada de decises competente e bem informada por parte da direo.

e) Testando, mantendo e analisando criticamente os preparativos de GCN (ver Seo 9)

Testar, manter, analisar criticamente e auditar o GCN faz com que a organizao seja capaz de:

demonstrar a que ponto suas estratgias e planos esto completos, atualizados e precisos; e

identificar oportunidades de melhoria.

f) Incluindo a GCN na cultura da organizao (ver Seo 10)

A incluso da GCN na cultura da organizao permite que ela se torne parte dos valores da organizao, dando
confiana s partes interessadas quanto capacidade da organizao de sobreviver a interrupes.

4 A poltica de gesto da continuidade de negcios

4.1 Viso geral

4.1.1 A poltica de GCN define os seguintes processos:

as atividades de preparao para se estabelecer uma capacidade de continuidade de negcios; e

o gerenciamento contnuo e manuteno desta capacidade de continuidade de negcios.

4.1.2 As atividades de preparao incluem a especificao, planejamento completo, criao, implementao


e testes iniciais da capacidade de continuidade de negcios.

4.1.3 As atividades de manuteno e gerenciamento permanentes so, por exemplo, a incluso da continuidade
de negcios na organizao, o teste regular dos planos, sua atualizao e comunicao, especialmente quando
houver mudanas significativas nas instalaes, pessoas, mercados, tecnologia ou estrutura organizacional.

COMENTRIOS DE 4.1

Os propsitos de se estabelecer uma poltica de continuidade de negcios so:

garantir que todas as atividades de GCN sejam conduzidas e implementadas de modo controlado e conforme
o combinado;

ABNT 2007 - Todos os direitos reservados 9


ABNT NBR 15999-1:2007

alcanar uma capacidade de continuidade de negcios que v ao encontro das necessidades do negcio e que seja
apropriada ao tamanho, complexidade e natureza da organizao; e

implementar uma estrutura claramente definida para a capacidade contnua de GCN.

4.2 Contexto

Convm que a organizao garanta que sua poltica de GCN apropriada natureza, escala, complexidade,
geografia e criticidade de suas atividades de negcio e que ela reflete sua cultura, dependncias e ambiente
operacional. A poltica de GCN define os processos necessrios para garantir que os preparativos de continuidade
de negcios continuem a atender s necessidades da organizao caso ocorra um incidente. Convm que essa
poltica garanta que a capacidade de continuidade de negcios promovida na cultura da organizao.
Convm que a capacidade de GCN seja integrada atividade de gerenciamento de mudanas da organizao
de modo que seja incorporada ao crescimento e desenvolvimento dos produtos e servios da organizao.

4.3 Desenvolvimento da poltica de continuidade de negcios


Convm que a organizao desenvolva sua poltica de continuidade de negcios que descreva os objetivos
da GCN na organizao. Inicialmente, isso pode ser uma declarao de alto nvel, que ento refinada
e melhorada de acordo com o desenvolvimento da capacidade da organizao.

Convm que a poltica de continuidade de negcios fornea princpios documentados aos quais ela ir buscar
e contra os quais a capacidade de continuidade de negcios da organizao dever ser medida. Convm que
o responsvel pela poltica de GCN possua um cargo de alto nvel, como um diretor do conselho executivo ou
um representante eleito.

A organizao deve considerar o seguinte enquanto desenvolve sua poltica de GCN:

definio do escopo do GCN dentro da organizao;

alocao de recursos para GCN;

definio dos princpios, guias e polticas que precisam ser includos ou podem ser utilizados como referncia;

referncia a normas pertinentes, regulamentos ou polticas que tenham que ser includos ou possam
ser usados como referncia.

Convm que a organizao mantenha e regularmente realize anlise crtica da sua poltica de GCN,
suas estratgias, planos e solues de acordo com suas necessidades.

Convm que o escopo da poltica de GCN defina claramente quaisquer limitaes ou excluses que possam
ser aplicveis, como, por exemplo, excluses geogrficas ou de produto.

4.4 Escopo do programa de GCN


A alta direo deve definir o escopo do programa de GCN por meio da identificao dos produtos e servios
fundamentais que suportam os objetivos, obrigaes e deveres estatutrios da organizao. Convm que
a definio do que fundamental seja consistente com a anlise de impacto nos negcios descrita em 6.2,
mas com consideraes de um nvel mais alto.

4.5 Atividades terceirizadas

Se um produto, servio ou atividade for terceirizado, o risco deste continua vinculado organizao.
Conseqentemente, convm que a organizao garanta que seus principais fornecedores ou parceiros
de terceirizao possuem planos de GCN eficazes. Um mtodo de fazer isso obter evidncia auditada
que demonstre a viabilidade dos planos de continuidade dos fornecedores e de seus programas de teste
e manuteno.

10 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

5 Gesto do programa de GCN

A gesto do programa est no cerne do processo de GCN. Uma gesto do programa eficiente estabelece
a abordagem da organizao continuidade de negcios.

A participao da alta direo fundamental para garantir que o processo de GCN seja corretamente introduzido,
suportado e estabelecido como parte da cultura da organizao.

5.1 Viso geral

Convm que um programa de GCN seja colocado em prtica para alcanar os objetivos definidos na poltica
de continuidade de negcios (ver 4.3). A gesto do programa de GCN envolve trs passos:

atribuio de responsabilidades (ver 5.2);

implementao da continuidade de negcios na organizao (ver 5.3); e

a gesto contnua da continuidade de negcios (ver 5.4).

5.2 Designando responsabilidades (governana)

5.2.1 Convm que a direo da organizao:

aponte ou nomeie uma pessoa com a senioridade e autoridade apropriadas para ser responsvel pela poltica
de GCN e sua implementao;

aponte ou nomeie um ou mais indivduos para implementar ou manter o programa de GCN.

COMENTRIOS DE 5.2.1

As pessoas que recebem a tarefa de implementar e manter o programa de continuidade de negcios podem ser de vrias
reas de uma organizao, dependendo de seu tamanho, escala e complexidade. essencial, porm, que uma pessoa com
a devida autoridade (por exemplo, proprietrio, diretor do conselho executivo ou representante eleito) tenha a responsabilidade
geral sobre o GCN e seja diretamente responsvel por garantir a continuidade do sucesso desta capacidade.

ABNT 2007 - Todos os direitos reservados 11


ABNT NBR 15999-1:2007

5.2.2 Se a estrutura da organizao assim indicar, a alta direo pode nomear representantes de outros nveis
do negcio por funo ou localizao para ajudar na implementao do programa de GCN.

Convm que os papis, responsabilidades e autoridades sejam integrados nas descries de trabalho e grupos de
habilidades.

Convm que o processo de auditoria da organizao analise criticamente estas responsabilidades.


Estas responsabilidades podem ser reforadas por meio de sua incluso na poltica de avaliao, recompensa
e reconhecimento da organizao.

COMENTRIOS DE 5.2.2

Em organizaes de grande porte, possvel que haja a necessidade de uma equipe formada por representantes
de continuidade de negcios, cada um com seu papel e responsabilidade. Em organizaes menores, a responsabilidade
pela continuidade de negcios pode pertencer a um ou mais indivduos.

5.3 Implementando a continuidade de negcios na organizao

5.3.1 Convm que as atividades de implementao do programa de continuidade de negcios incluam


o planejamento, desenvolvimento e implementao do programa.

Convm que a organizao:

comunique o programa s partes interessadas;

organize ou fornea treinamento apropriado para a equipe; e

teste sua capacidade de continuidade de negcios (ver Seo 9).

5.3.2 A organizao pode adotar um mtodo reconhecido de gerenciamento de projetos para garantir que
a implementao seja efetivamente gerenciada.

5.4 Gesto contnua

5.4.1 Viso geral

Convm que as atividades da gesto contnua assegurem que a continuidade de negcios esteja incorporada
na organizao. Convm que cada componente da capacidade de continuidade de negcios da organizao
seja analisado criticamente, exercitado e atualizado regularmente. Alm disso, convm que os planos e solues
de continuidade de negcios sejam analisados criticamente e atualizados sempre que haja uma mudana
significativa no ambiente operacional da organizao ou em suas pessoas, processos ou tecnologias, assim como
quando um teste ou incidente revelar deficincias.

5.4.2 Manuteno contnua

Independentemente de como sejam alocados os recursos de GCN, existem atividades que devem ser executadas
tanto inicialmente quanto durante a sua execuo. Estes podem incluir:

definir o escopo, papis e responsabilidades de GCN;

nomear uma pessoa ou equipe apropriada para gerenciar a capacidade contnua de GCN;

manter o programa de continuidade de negcios atual por meio das boas prticas;

promover a continuidade de negcios por toda a organizao de forma ampla, onde for apropriado;

administrar o programa de testes;

12 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

coordenar a anlise crtica e atualizao regular da capacidade de continuidade de negcios, incluindo


analisar criticamente ou refazer avaliaes de risco e anlises de impacto no negcio (BIA);

manter uma documentao apropriada ao tamanho e complexidade da organizao (ver 5.5);

monitorar o desempenho da capacidade de continuidade de negcios;

gerenciar os custos associados capacidade de continuidade de negcios; e

estabelecer e monitorar o gerenciamento de mudanas e o regime de sucesso da gesto.

5.5 Documentao de GCN

Convm que os indivduos responsveis por manter a continuidade de negcios devam criar e manter
a documentao de continuidade de negcios. Isso pode incluir os seguintes documentos:

a) poltica de GCN:

declarao do escopo de GCN;

termos de referncia de GCN;

b) anlise de impacto nos negcios (BIA);

c) avaliao de riscos e ameaas;

d) estratgias de GCN;

e) programa de conscientizao;

f) programa de treinamento;

g) planos de gerenciamento de incidentes;

h) planos de continuidade de negcio;

i) planos de recuperao de negcios;

j) agenda de testes e relatrios;

k) contratos e acordos de nveis de servio.

ABNT 2007 - Todos os direitos reservados 13


ABNT NBR 15999-1:2007

6 Entendendo a organizao

O objetivo desse elemento do ciclo de vida de GCN ajudar na compreenso da organizao por meio
da identificao de seus produtos e servios fundamentais e das atividades crticas e dos recursos que a suportam.
Esse elemento garante que o programa de GCN esteja alinhado aos objetivos, obrigaes e responsabilidades
legais da organizao.

6.1 Introduo

6.1.1 Em um contexto de continuidade de negcios, o entendimento da organizao deriva de:

identificar os objetivos da organizao, obrigaes das partes interessadas, deveres legais e o ambiente no
qual a organizao opera;

identificar as atividades, ativos e recursos, incluindo os externos, que do suporte entrega desses produtos
e servios;

avaliar o impacto e as conseqncias sobre o tempo de falha destas atividades, ativos e recursos (ver 6.2);

identificar e avaliar as ameaas que possam interromper os produtos e servios fundamentais e os ativos,
atividades e recursos que os suportam.

6.1.2 importante que a organizao compreenda:

a) a interdependncia de suas atividades; e

b) qualquer dependncia com organizaes externas e quaisquer terceiros que dependam dela.

6.2 Anlise de impacto no negcio (BIA)

6.2.1 Convm que a organizao defina e documente o impacto de uma interrupo nas atividades
que suportam seus produtos e servios fundamentais. Esse processo comumente conhecido como anlise
de impacto nos negcios (BIA).

14 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

6.2.2 Para cada atividade que suporta a entrega de produtos e servios fundamentais para a organizao,
dentro do escopo do programa de GCN, convm que a organizao:

a) verifique, conforme o passar do tempo, o impacto que aconteceria caso a atividade fosse interrompida;

b) estabelea o perodo mximo de interrupo tolervel de cada atividade, identificando:

o tempo mximo decorrido aps o incio de uma interrupo para que uma atividade precise ser reiniciada;

o nvel mnimo no qual a atividade tem que ser desempenhada aps seu reincio;

o tempo mximo at a retomada dos nveis normais de operao;

COMENTRIOS DE 6.2.2-b)

Durante uma interrupo, o impacto geralmente aumenta com o passar do tempo e afeta diferentemente cada atividade.
O impacto tambm pode variar de acordo com o dia, ms ou ponto do ciclo de vida do negcio.

c) identificar quaisquer atividades interdependentes, ativos, infra-estrutura de suporte ou recursos que tambm
precisem ser mantidos continuamente ou recuperados ao longo do tempo.

6.2.3 Ao avaliar os impactos, convm que a organizao considere aqueles que se relacionam a seus objetivos
de negcio e s partes interessadas. Estes podem incluir:

a) impacto ao bem-estar das pessoas;

b) dano ou perda de instalaes, tecnologias ou informao;

c) no cumprimento de deveres ou regulamentaes;

d) danos reputao;

e) danos viabilidade financeira;

f) deteriorao da qualidade de produtos ou servios;

g) danos ambientais.

Convm que a organizao documente a sua abordagem de avaliao do impacto de uma interrupo e suas
descobertas e concluses.

6.3 Identificao de atividades crticas

A organizao deve categorizar suas atividades de acordo com suas prioridades de recuperao.
Aquelas atividades cuja perda, de acordo com os resultados da BIA, teriam o maior impacto no menor tempo
e que necessitem ser recuperadas mais rapidamente devem ser chamadas de atividades crticas. Cada atividade
crtica suporta um ou mais produtos ou servios principais.

A organizao pode querer focar suas atividades de planejamento em atividades crticas, mas convm
que reconhea que as outras atividades tambm necessitaro ser recuperadas dentro de seu perodo mximo
de interrupo tolervel e podem tambm precisar que os devidos preparativos sejam realizados.

COMENTRIOS DE 6.3

O perodo de tempo mximo para a restaurao das atividades pode variar entre segundos e meses, dependendo da natureza
da atividade. As atividades que so sensveis a tempo podem necessitar de especificaes de tempo com alto grau de preciso,
por exemplo, em minutos ou em horas. Atividades menos sensveis a tempo podem necessitar de menos preciso.

O perodo mximo de interrupo tolervel influenciar o tempo objetivado de recuperao (RTO) de cada atividade durante
a definio de estratgias de GCN (ver Seo 7).

ABNT 2007 - Todos os direitos reservados 15


ABNT NBR 15999-1:2007

6.4 Determinando requisitos de continuidade

Convm que a organizao estime os recursos que cada atividade necessitar durante sua recuperao.
Estes podem incluir:

a) recursos de pessoal, incluindo quantidade, habilidades e conhecimento (de pessoas);

b) localizao dos trabalhos e instalaes necessrias (dependncias);

c) tecnologia, equipamentos e plantas que suportam o negcio (tecnologia);

d) informao (eletrnica ou em papel) sobre trabalhos anteriores ou trabalhos atualmente em progresso,


suficientemente atualizada e precisa, de forma a permitir que as atividades continuem no nvel acordado
(informao); e

e) servios e fornecedores externos (suprimentos).

Convm que a organizao leve em conta as necessidades das partes interessadas ao determinar os nveis
de recursos.

COMENTRIOS DE 6.4

Tecnologia implica uso de equipamento no sentido mais abrangente e relevante para a organizao. Isso pode incluir, mas no
est limitado a, software e hardware de TI, equipamento de telecomunicaes, tornos, mquinas de preparo de alimentos,
mquinas de selagem a vcuo ou qualquer outro recurso essencial capacidade de produo e manufatura.

Se registros ou informaes sobre trabalhos em andamento no esto disponveis, so imprecisos ou no suficientemente


atualizados, possvel que a restaurao das atividades seja impedida ou criticamente atrasada. Os requisitos de se fornecer
tais informaes so usados para formular estratgias apropriadas de gerenciamento de backup e registros durante a definio
das estratgias de GCN (Ver Seo 7).

6.5 Avaliando ameaas a atividades crticas (realizando uma avaliao de riscos)

6.5.1 Em um contexto de GCN, convm que o nvel de risco seja entendido especificamente no que diz respeito
s atividades crticas da organizao e aos riscos de uma interrupo destas. As atividades crticas tm como
base recursos como pessoas, instalaes, tecnologia, informaes, suprimentos e partes interessadas.
Convm que a organizao entenda as ameaas a esses recursos, as vulnerabilidades de cada recurso
e o impacto que haveria se uma ameaa se tornasse um incidente e causasse uma interrupo no negcio.

6.5.2 A deciso do mtodo de avaliao de riscos da organizao, mas importante que esse mtodo seja
apropriado a todos os requisitos da organizao.

6.5.3 A ABNT NBR ISO/IEC 27001 define uma estrutura de avaliao de riscos a ser escolhida atravs
da definio dos elementos obrigatrios que o processo deve conter. Alguns elementos tpicos so:

a) definio dos critrios de aceitao dos riscos. Esses critrios descrevem as circunstncias em que
a organizao pode aceitar riscos;

b) identificao dos nveis aceitveis de risco. Independentemente da estratgia de avaliao de riscos escolhida,
a organizao precisa identificar o nvel de risco que ela considera aceitvel;

c) anlise dos riscos. necessrio que a estratgia de avaliao dos riscos enderece todos os conceitos
discutidos em 6.5.4, 6.5.5 e 6.5.6.

6.5.4 Ameaas especficas podem ser descritas como eventos ou aes que possam, em algum ponto, causar
um impacto aos recursos, como, por exemplo, incndio, enchente, queda de energia, perda de equipe, equipe
ausente, vrus de computador e falha de hardware.

16 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

6.5.5 As vulnerabilidades podem existir como fraquezas nos recursos e podem, em algum ponto, ser exploradas
pelas ameaas, como, por exemplo, pontos nicos de falha e inadequaes na proteo contra incndio,
em instalaes eltricas, na quantidade de pessoas na equipe, na segurana e facilidade de recuperao
dos recursos de TI.

6.5.6 Os impactos (ver 6.2.3) podem resultar da explorao de vulnerabilidades pelas ameaas.

COMENTRIOS DE 6.5

Pode ser til consultar registros de riscos que j tenham sido estabelecidos em outra parte da organizao ou por terceiros.

6.6 Determinando escolhas

6.6.1 Viso geral

Como resultado da BIA e da avaliao de riscos, convm que a organizao identifique medidas que reduzam
o perodo de interrupo e que:

a) reduzam a chance de uma interrupo;

b) diminuam o perodo de interrupo; e

c) limitem o impacto de uma interrupo dos produtos e servios fundamentais da organizao.

Estas medidas so conhecidas como mitigao de perdas e tratamento de riscos.

Estratgias de mitigao de perdas podem ser usadas em conjunto com outras opes, visto que nem todos
os riscos podem ser prevenidos ou reduzidos a um nvel aceitvel. A organizao pode incluir uma, vrias
ou at mesmo todas as estratgias de 6.6.2 a 6.6.5 para cada atividade crtica.

6.6.2 Continuidade de negcios

Se a continuidade de negcios for a estratgia escolhida para um produto ou servio fundamental, convm que
um tempo objetivado de recuperao (RTO) seja estabelecido e as estratgias de continuidade da Seo 7
sejam avaliadas contra esse objetivo.

As estratgias de continuidade buscam melhorar a resilincia da organizao a interrupes, garantindo que as


atividades crticas continuem ou sejam recuperadas em um nvel mnimo aceitvel e no tempo estipulado pela BIA.

6.6.3 Aceitao

Um risco pode ser aceitvel sem que nenhuma outra ao seja realizada. Mesmo se ele no for aceitvel,
a capacidade de se executar qualquer ao frente a alguns riscos pode ser limitada, ou o custo de tomar esta
ao pode ser desproporcional ao benefcio em potencial. Nesses casos, a resposta pode ser tolerar o nvel
existente de risco, se a alta direo definir que o risco seja aceitvel e dentro do apetite a riscos da organizao.
Em algumas circunstncias, o impacto de um risco pode estar fora do apetite a riscos usual da organizao, mas,
devido a uma baixa probabilidade de ocorrncia do risco e/ou ao custo de controle fora das possibilidades
econmicas da organizao, a alta direo pode aceitar o risco.

A aceitao pode ser suplementada por um plano de tratamento dos possveis impactos, caso o risco
se concretize.

6.6.4 Transferncia

Para alguns riscos, a melhor resposta pode ser transferi-los. Isso pode ser realizado por meio de um seguro
convencional ou de acordos contratuais, ou pagando-se um terceiro para assumir o risco de outra forma.
Esta opo particularmente boa na mitigao de riscos financeiros ou riscos a ativos. Os riscos podem ser

ABNT 2007 - Todos os direitos reservados 17


ABNT NBR 15999-1:2007

transferidos de forma a reduzir a exposio a riscos da organizao ou porque outra organizao pode ter
uma melhor capacidade de gerenciar esses riscos. importante notar que alguns riscos no so (totalmente)
transferveis; em particular, geralmente no possvel transferir riscos reputao, mesmo se a entrega de
um servio for terceirizada.

As aplices de seguro podem ser parte de uma estratgia de tratamento de risco e fornecem alguma recompensa
financeira por determinadas perdas. Porm, nem todas as perdas so totalmente segurveis (por exemplo,
incidentes no cobertos, danos marca ou reputao, perda de valor para as partes interessadas, reduo da
participao no mercado e conseqncias humanas). improvvel que apenas um acordo financeiro proteja
totalmente a organizao de forma a satisfazer as expectativas das partes interessadas. Os seguros so
geralmente usados em conjunto com outras estratgias.

6.6.5 Mudar, suspender ou terminar

Em algumas circunstncias, pode ser apropriado mudar, suspender ou terminar o servio, produto, atividade,
funo ou processo. Esta opo s deve ser considerada quando no houver conflito com os objetivos
da organizao, sua conformidade com as regras e as expectativas das partes interessadas. Esta abordagem
geralmente considerada nos casos em que um servio, produto, atividade, funo ou processo tem um tempo
de vida limitado.
NOTA Estas estratgias so conhecidas s vezes como o modelo 4 T: Tratar (continuidade de negcios), Tolerar
(aceitar o risco), Transferir e Terminar.

6.7 Aprovao

Convm que a alta direo aprove a lista que documenta os principais produtos e servios, a anlise de impacto
nos negcios e a avaliao de riscos, de forma a garantir que o trabalho foi realizado de forma apropriada e reflete
verdadeiramente a realidade da organizao.

7 Determinando a estratgia de continuidade de negcios

Este elemento do ciclo de vida da GCN segue logicamente o elemento "Entendendo a organizao".
Como resultado da anlise anterior, uma organizao estar numa posio apropriada para efetuar a escolha
das estratgias de continuidade apropriadas ao alcance de seus objetivos.

18 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

7.1 Introduo
Convm que a abordagem da organizao para determinar suas estratgias de GCN:

a) implemente as medidas apropriadas, de forma a reduzir a probabilidade de ocorrncia de incidentes e/ou


reduzir os potenciais efeitos desses incidentes;

b) mantenha um registro das medidas de resilincia e mitigao;

c) fornea continuidade para as atividades crticas durante e aps um incidente; e

d) mantenha um registro das atividades que no foram identificadas como crticas.

COMENTRIOS DE 7.1

A Seo 7, assim como as seguintes, so relacionadas aos produtos e servios fundamentais que so alvo da continuidade
de negcios. Em todos os outros casos (por exemplo, suspenso, trmino ou aceitao do risco), o produto ou servio no
coberto pela GCN e no pode ser considerado em conformidade com esta Norma.

7.2 Opes de estratgia


7.2.1 Convm que a organizao considere opes estratgicas para suas atividades crticas e para
os recursos que cada atividade consumir durante sua restaurao. A(s) estratgia(s) mais apropriada(s)
depende(m) de uma srie de fatores, como:

a) o perodo mximo de interrupo tolervel da atividade crtica;

b) os custos de implementao de uma ou mais estratgias; e

c) as conseqncias de no se agir.

7.2.2 Estratgias podem ser necessrias para os seguintes recursos da organizao:

a) pessoas (ver 7.3);

b) instalaes (ver 7.4);

c) tecnologia (ver 7.5);

d) informao (ver 7.6);

e) suprimentos (ver 7.7);

f) partes interessadas (ver 7.8).

Em cada caso, convm que a organizao minimize a probabilidade de implementar uma soluo de continuidade
de negcios que possa ser afetada pelo mesmo incidente que causou a interrupo no negcio.

7.3 Pessoas

Convm que a organizao identifique as estratgias apropriadas para manter as habilidades e conhecimentos
fundamentais. Convm que essa anlise se estenda alm dos empregados, at prestadores de servio e outras
partes interessadas que possuam habilidades e conhecimento especializados. Estratgias que protejam
ou forneam estas habilidades podem incluir:

a) documentao do mtodo de execuo das atividades crticas;

ABNT 2007 - Todos os direitos reservados 19


ABNT NBR 15999-1:2007

b) treinamento multidisciplinar dos funcionrios e prestadores de servio;

c) separao das habilidades fundamentais, de modo a reduzir a concentrao do risco (isso pode causar uma
separao fsica dos funcionrios com habilidades fundamentais ou garantir que mais de uma pessoa possua
estas);

d) uso de terceiros;

e) planejamento de sucesso; e

f) reteno e gesto do conhecimento.

7.4 Instalaes

Convm que a organizao desenvolva uma estratgia que reduza o impacto da indisponibilidade de suas
instalaes normais de trabalho. Isso pode incluir um ou mais dos seguintes:

a) instalaes (ambientes) alternativas dentro da organizao, incluindo a realocao de outras atividades;

b) ambientes alternativos fornecidos por outras organizaes (por meio ou no de acordos recprocos);

c) ambientes alternativos fornecidos por terceiros especializados;

d) trabalho a partir de casa ou de locais remotos;

e) outros locais que sejam acordados como apropriados; e

f) uso de fora de trabalho alternativa em um local estabelecido.

NOTA 1 Caso a equipe seja movida para instalaes alternativas, estas sero prximas o suficiente para que a equipe
possa se deslocar para l, levando em considerao quaisquer possveis dificuldades causadas pelo incidente. Porm, estas
instalaes alternativas sero suficientemente distantes a ponto de no serem afetadas pelo mesmo incidente.

NOTA 2 O uso de instalaes alternativas para fins de continuidade deve ser apoiado por uma declarao sobre se essas
instalaes so para uso exclusivo da organizao. Se as instalaes alternativas forem compartilhadas com outras
organizaes, um plano, de forma a mitigar a indisponibilidade destas instalaes, desenvolvido e documentado.

NOTA 3 Pode ser apropriado relocar a carga de trabalho em vez da equipe, quando for possvel, como, por exemplo,
no caso de uma linha de produo ou um "call center".

COMENTRIOS DE 7.4

As estratgias de locais de trabalho podem variar significativamente e uma srie de opes pode estar disponvel. Diferentes
tipos de incidentes ou ameaas podem precisar da implementao de diferentes ou mltiplas opes. As estratgias mais
corretas vo, em parte, ser definidas pelo tamanho da organizao, setor e distribuio de atividades, partes interessadas e
base geogrfica. Por exemplo, autoridades pblicas necessitaro manter um servio de atendimento junto s suas
comunidades.

7.5 Tecnologia

7.5.1 As estratgias de tecnologia dependem da natureza da tecnologia empregada e da sua relao com
as atividades crticas, mas basicamente sero uma ou mais combinaes das condies a seguir:

a) proviso interna organizao;

b) servios entregues organizao; e

20 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

c) servios realizados externamente por terceiros

COMENTRIOS DE 7.5.1

As estratgias de tecnologia variam significativamente entre as organizaes de acordo com o tamanho, natureza
e complexidade do negcio. Estratgias especficas devem ser desenvolvidas de forma a proteger, substituir ou restaurar
as tecnologias desenvolvidas sob medida que demorariam muito para ser desenvolvidas novamente.

Pode ser necessrio que a organizao seja capaz de funcionar com base em operaes manuais antes que todos os servios
de tecnologia sejam recuperados.

7.5.2 As estratgias de tecnologia podem incluir:

a) distribuio geogrfica da tecnologia, ou seja, manter a tecnologia em locais diferentes que no sero
afetados pela mesma interrupo de negcios;

b) armazenar o equipamento mais antigo como substituto em caso de emergncias; e

c) mitigao de risco adicional para equipamento nico ou para um prazo de entrega longo.

7.5.3 Os servios de tecnologia da informao (TI) freqentemente necessitam de estratgias de continuidade


complexas. Nos casos em que estas estratgias sejam necessrias, convm que seja levado em considerao
o seguinte:

a) tempo objetivado de recuperao (RTO) de sistemas e aplicativos que suportam as atividades fundamentais
identificadas na BIA;

b) local e distncia entre instalaes tecnolgicas;

c) quantidade de instalaes tecnolgicas;

d) acesso remoto;

e) uso de instalaes vazias (sem equipe) em vez de instalaes ocupadas;

f) conectividade de telecomunicaes e roteamento redundante;

g) natureza do fail over (se necessria interveno manual para ativar os recursos alternativos de TI ou se
isso deve ocorrer automaticamente); e

h) conectividade com terceiros e links externos.

NOTA 1 Se for utilizada uma estratgia de fail over" de um local para outro, a distncia de rede entre os dois locais deve
ser cuidadosamente considerada, pois poderia ter impacto negativo na operao dos sistemas de TI.

NOTA 2 Em casos em que mais de um local hospede a TI da organizao, pode haver uma estratgia de recuperao de TI
mtua, de forma que os sistemas, redes e armazenamento em cada local estejam dimensionados para suportar o trfego
e trabalho adicional, alm da sua prpria carga.

NOTA 3 Uma alternativa a esta realocao de pessoal fornecer acesso aos servios de TI de forma discada ou
por meio da Internet, utilizando redes privadas virtuais (VPN) ou tecnologias similares.

NOTA 4 Mais informaes sobre continuidade de TI e de hardware de telecomunicaes podem ser encontradas
em documentos como PAS 77, ABNT NBR ISO/IEC 27001 e ISO/IEC 20000 (ambas as partes).

ABNT 2007 - Todos os direitos reservados 21


ABNT NBR 15999-1:2007

7.6 Informao

Convm que as estratgias de informao garantam que a informao vital para a operao da organizao esteja
protegida e seja recupervel de acordo com os limites de tempo descritos na BIA.

NOTA 1 Mais orientaes esto disponveis na ABNT NBR ISO/IEC 27001. O armazenamento e a recuperao destas
informaes devem estar em conformidade com a legislao pertinente.

Convm que qualquer informao que seja necessria para permitir a realizao das atividades crticas da
organizao possua, em nvel apropriado:

a) confidencialidade;

b) integridade;

c) disponibilidade; e

d) atualizao.

Convm que as estratgias de informao sejam documentadas para que seja possvel recuperar informaes
que ainda no tenham sido copiadas ou caso no tenha sido realizado backup em um local seguro.

Convm que as estratgias de informao sejam estendidas de forma a incluir:

a) formatos fsicos (impressos); e

b) formatos virtuais (eletrnicos) etc.

NOTA 2 Em todos os casos, a informao precisa ser recuperada em um intervalo de tempo conhecido e acordado com
a alta direo. Podem ser utilizados vrios mtodos de cpia, tais como backups eletrnicos ou em fita, microfilme, fotocpias,
criao de duas cpias durante a produo, entre outros. Esse ponto de recuperao geralmente conhecido como
ponto objetivado de recuperao (RPO).

7.7 Suprimentos

7.7.1 Convm que a organizao identifique e mantenha um inventrio dos suprimentos fundamentais
que suportem suas atividades crticas. As estratgias para fornecer esses suprimentos podem incluir:

a) armazenamento de suprimentos adicionais em outro local;

b) acordos com terceiros para entregas emergenciais;

c) remanejamento de entregas programadas para outros locais;

d) armazenamento de materiais em armazns ou bases de envio;

e) transferncia de atividades de montagem de unidades para um local alternativo que possua esses
suprimentos; e

f) identificao de suprimentos alternativos/substitutos.

7.7.2 Em situaes em que as atividades crticas dependam de suprimentos especiais, convm que
a organizao identifique os principais fornecedores e as fontes nicas de suprimentos. As estratgias para
gerenciar a continuidade dos suprimentos podem incluir:

a) aumento do nmero de fornecedores;

22 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

b) recomendao ou exigncia de que os fornecedores tenham uma capacidade de continuidade de negcios


validada;

c) obrigaes contratuais e/ou acordos de nvel de servios com os principais fornecedores; ou

d) a identificao de fornecedores alternativos que sejam capazes de atender demanda.

COMENTRIOS DE 7.7

Em ambientes de escritrio, os suprimentos podem ser cheques etc. Em indstrias, pode significar o estoque de vendas,
os suprimentos necessrios para seu funcionamento ou combustveis.

7.8 Partes interessadas

7.8.1 Ao determinar as estratgias de GCN, convm que a organizao considere e proteja os interesses
de suas principais partes interessadas. Convm que essas estratgias levem em considerao os aspectos
socioculturais pertinentes.

7.8.2 Convm que a organizao identifique as estratgias apropriadas para gerenciar suas relaes com
as principais partes interessadas, fornecedores e parceiros de negcios ou servios. Cada um desses grupos
pode precisar de consideraes especficas. As estratgias para proteger os interesses das principais partes
podem incluir preparativos especiais, de forma a garantir o bem-estar das partes interessadas com necessidades
especiais, como deficincias fsicas, doenas ou gravidez.

7.8.3 Convm que a organizao identifique pessoa(s) para garantir o bem-estar de todos aps o incidente.

7.9 Emergncias civis

7.9.1 Convm que as organizaes que buscam definir, implementar ou validar suas estratgias
de gerenciamento de incidentes e gesto da continuidade de negcios conheam as autoridades responsveis por
responder a emergncias. Estas autoridades tm como tarefas as atividades de antecipao, avaliao,
preveno, preparao, resposta e recuperao em casos de emergncias civis que ocorram dentro de suas
reas de atuao.

7.9.2 Estas autoridades sero fundamentais para a declarao oficial de que ocorreu uma emergncia civil,
alm de fornecer:

a) ajuda pr ou ps-incidente (por exemplo, avaliaes de risco);

b) procedimentos de aviso e informao; e

c) acordos de recuperao comunitria aps uma emergncia civil.

NOTA As emergncias civis podem resultar em morte e dano fsico, alm de poder ter um impacto profundo e duradouro
no bem-estar psicolgico, social e econmico dos indivduos envolvidos e de suas comunidades. As emergncias podem
causar interrupes significativas nos servios de transporte pblico, redes de telecomunicao, infra-estruturas crticas e no
fluxo de bens, servios e suprimentos. Tendo em vista esse potencial, importante que as organizaes se familiarizem com
o funcionamento das autoridades locais responsveis.

7.10 Aprovao

Convm que a alta direo aprove as estratgias que foram documentadas, de forma a confirmar que
a determinao das estratgias de continuidade foi efetuada de forma correta e abrange as mais provveis causas
e efeitos de incidentes, e que as estratgias escolhidas so apropriadas para alcanar os objetivos da organizao,
dentro do seu apetite a riscos.

ABNT 2007 - Todos os direitos reservados 23


ABNT NBR 15999-1:2007

8 Desenvolvendo e implementando uma resposta de GCN

Este elemento do ciclo de vida de GCN relacionado ao desenvolvimento e implementao dos planos
apropriados e dos preparativos realizados, de forma a garantir a continuidade das atividades crticas
e o gerenciamento dos incidentes.

8.1 Introduo

As Sees 6 e 7 definem como convm que a organizao:

a) identifique suas atividades crticas;

b) avalie as ameaas a estas atividades crticas;

c) escolha estratgias apropriadas que diminuam a probabilidade e os impactos dos incidentes; e

d) escolha estratgias apropriadas que permitam a continuidade ou recuperao de suas atividades crticas.

Convm que a gama de ameaas para a qual existiro planos seja definida pelo apetite a riscos da organizao.

8.2 Estrutura de resposta a incidentes

8.2.1 Convm que a organizao defina uma estratgia de resposta a incidentes que permita uma resposta
efetiva e uma recuperao ps-incidente.

8.2.2 Em qualquer incidente, convm que exista uma estrutura simples e rapidamente formada que permita
organizao:

a) confirmar a natureza e extenso do incidente,

b) tomar controle da situao,

c) controlar o incidente, e

d) comunicar-se com as partes interessadas.

24 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

Convm que a mesma estrutura emita uma resposta de continuidade de negcios adequada. Esta estrutura pode
ser chamada de equipe de gerenciamento de incidentes ou equipe de gerenciamento de crise.

8.2.3 Convm que as equipes possuam planos, processos e procedimentos de gerenciamento de incidentes
e que estes sejam suportados por ferramentas de continuidade de negcios, de forma a permitir a continuidade
e a recuperao de atividades crticas.

8.2.4 Convm que a equipe possua planos para a ativao, operao, coordenao e comunicao da resposta
ao incidente.

A Figura 2 ilustra as trs principais fases de tempo de um incidente e a relao entre o gerenciamento do incidente
e a continuidade de negcios.

Figura 2 Linha do tempo do incidente

NOTA Em alguns casos, a ativao dos planos de gerenciamento de incidentes, continuidade de negcios e recuperao
de negcios pode ocorrer em rpida sucesso ou simultaneamente.

8.2.5 As organizaes podem desenvolver planos especficos para recuperar ou retomar suas operaes num
estado "normal" (planos de recuperao). Mas em alguns incidentes pode no ser possvel definir o que "normal"
at um perodo aps o incidente, de forma que pode no ser possvel executar os planos de recuperao
imediatamente. Desta forma, as organizaes devem garantir que os planos de continuidade de negcio sejam
capazes de operar por um perodo estendido, de forma a assegurar que haja tempo para o desenvolvimento e
execuo de planos de recuperao (volta normalidade).

COMENTRIOS DE 8.2

Em organizaes pequenas, a responsabilidade pelo gerenciamento de incidentes e de continuidade de negcios pode ser
de um nico indivduo. Organizaes maiores podem usar uma estrutura em nveis e podem estabelecer diferentes equipes,
de forma a focalizar os problemas de gerenciamento de incidentes, continuidade de negcios e recuperao do negcio.
Em alguns casos, estas equipes podem ter o suporte de outras equipes que sejam responsveis por atividades como
comunicao com a mdia e questes de pessoal.

ABNT 2007 - Todos os direitos reservados 25


ABNT NBR 15999-1:2007

8.3 Contedo dos planos

8.3.1 Introduo

Convm que todos os planos, sejam eles de gerenciamento de incidentes, continuidade de negcios
ou recuperao de negcios, sejam concisos e acessveis queles que possuam responsabilidades definidas
nesses planos. Convm que os planos contenham os elementos descritos em 8.3.2 a 8.3.6.

COMENTRIOS DE 8.3.1

Uma organizao pequena pode ter um nico plano que tenha como abrangncia todos os requisitos do negcio e que cubra
todas as suas operaes. Uma organizao muito grande pode ter vrios planos, com cada um especificando em detalhes a
recuperao de:

a) uma parte especfica de seu negcio;

b) instalaes especficas; ou

c) um cenrio especfico,

d) e pode haver documentao separada para os estgios de incidente, continuidade e recuperao.

8.3.2 Objetivo e escopo

Convm que o objetivo e o escopo de cada plano especfico sejam definidos, acordados com a alta direo
e entendidos pelas pessoas que iro realizar o plano. Convm que qualquer relao com outros planos
ou documentos pertinentes que existam na organizao seja claramente especificada e o mtodo de obteno
desses documentos seja descrito.

Convm que cada plano de gerenciamento de incidentes, continuidade de negcios e recuperao de negcios
defina objetivos priorizados em termos de:

a) atividades crticas que necessitem de recuperao;

b) escala de tempo em que esta recuperao deve ocorrer;

c) nveis de recuperao necessrios para cada atividade crtica; e

d) situao em que cada plano pode ser utilizado.

COMENTRIOS DE 8.3.2

Cada plano deve conter claramente o que ele no busca alcanar e por que.

8.3.3 Papis e responsabilidades

Convm que os papis e responsabilidades das pessoas e equipes que possuam autoridade (tanto no que se
refere tomada de decises quanto aos gastos), durante e aps um incidente, sejam claramente documentados.

Convm que as pessoas ou grupos cobertos por um plano sejam claramente definidos.

COMENTRIOS DE 8.3.3

Os planos tambm podem conter, quando for apropriado, procedimentos e listas de verificao que suportem o processo
de anlise crtica ps-incidente.

26 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

8.3.4 Ativao de planos

Convm que o mtodo pelo qual um plano de gerenciamento de incidentes, continuidade de negcios
ou recuperao de negcios colocado em prtica seja claramente documentado. Convm que esse processo
permita que os planos ou partes pertinentes sejam executados no menor tempo possvel aps uma interrupo
de negcios.

Convm que a organizao estabelea e documente claramente os procedimentos e conjunto de critrios sobre
os quais os indivduos possuem a autoridade de colocar em prtica os planos e em quais circunstncias.

O processo de ativao pode necessitar de mobilizao imediata dos recursos organizacionais. Convm que
o plano inclua uma descrio clara e precisa de:

a) como mobilizar as equipes;

b) pontos de encontro imediatos; e

c) pontos de encontros subseqentes e detalhes de locais de encontro alternativos (em organizaes maiores,
esses locais podem ser conhecidos como centros de gerenciamento de incidentes ou de comando).

A organizao deve documentar um processo claro de desativao das equipes e retorno aos negcios, uma vez
que acabe o incidente.

COMENTRIOS DE 8.3.4

O tempo perdido durante uma resposta irrecupervel. sempre melhor mobilizar a equipe de resposta e depois par-la do
que perder a chance de conter um incidente em seu comeo e prevenir que tome propores maiores.

Convm que as organizaes levem em conta os procedimentos definidos e internacionalmente acordados para esses casos,
de acordo com as recomendaes de outras fontes especializadas, como, por exemplo, a Organizao Mundial de Sade,
no caso de pandemias.

8.3.5 Proprietrio e mantenedor do documento

Convm que a organizao nomeie o principal responsvel pelo plano e identifique e documente os responsveis
pela anlise crtica, correo e atualizao do plano em intervalos regulares.

Convm que um sistema de controle de verses seja empregado, as modificaes sejam formalmente notificadas
a todos os interessados e um registro formal de distribuio do plano seja mantido e atualizado.

8.3.6 Detalhes de contato

Convm que cada plano possua ou fornea uma referncia aos detalhes essenciais de contato de todas
as principais partes interessadas.

COMENTRIOS DE 8.3.6

Os detalhes de contato podem incluir informaes externas ao escritrio. Porm, nos casos em que os planos contenham
esses detalhes particulares, deve-se ter a mxima considerao pela proteo dos dados.

8.4 Plano de gerenciamento de incidentes (PGI)

O propsito de um PGI permitir que a organizao gerencie a fase inicial (crtica) de um incidente. Convm que
o PGI:

a) seja flexvel, vivel e relevante;

ABNT 2007 - Todos os direitos reservados 27


ABNT NBR 15999-1:2007

b) seja de fcil leitura e compreenso; e

c) fornea a base para se administrar todos os possveis problemas, incluindo aqueles com partes interessadas
e externos, que podem ser enfrentados pela organizao durante um incidente.

Convm que o PGI tambm:

1) tenha o apoio da alta direo, incluindo um patrocinador no nvel de diretoria, quando for aplicvel; e

2) seja suportado por um oramento apropriado para seu desenvolvimento, manuteno e treinamento dos
envolvidos.

8.5 Contedo do PGI

8.5.1 Geral

Alm do recomendado em 8.3, convm que o PGI inclua as informaes contidas em 8.5.2 a 8.5.8.

8.5.2 Lista de tarefas e aes

Convm que o PGI inclua listas de tarefas e de aes, de forma a administrar as conseqncias imediatas de uma
interrupo de negcios. Convm que essas tarefas:

a) garantam que a segurana das pessoas est em primeiro lugar;

b) tenham como base o resultado da BIA da organizao;

c) sejam estruturadas de forma que seja possvel a execuo das opes estratgicas e tticas escolhidas pela
organizao (como descrito na Seo 7); e

d) ajudem a prevenir maiores perdas ou indisponibilidade de atividades crticas e dos recursos que as suportam,
como definido na Seo 7.

8.5.3 Contatos de emergncia

Convm que uma descrio de como e em que circunstncias a organizao se comunicar com sua equipe, seus
familiares, amigos e contatos de emergncia seja includa. Em alguns casos, pode ser apropriado incluir detalhes
em um documento separado.

Convm que contatos de familiares e de emergncia para todos os empregados estejam atualizados e prontos
para uso.

COMENTRIOS DE 8.5.3

Dependendo do tamanho da organizao e do tamanho do incidente, pode ser necessria uma grande quantidade de pessoas
competentes e treinadas para responder s ligaes telefnicas sobre o incidente.

8.5.4 Atividades das pessoas

Convm que o PGI satisfaa os interesses daqueles cujo bem-estar possa ser colocado em risco como resultado
de um incidente, levando em conta as consideraes socioculturais pertinentes (ver 7.8.2).

Convm que o PGI identifique as pessoas que vo definir a responsabilidade por problemas de bem-estar
aps um incidente (ver 7.8.3), incluindo:

a) a evacuao do local (incluindo abrigos no local);

28 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

b) a mobilizao de equipes de segurana, primeiros-socorros ou assistncia evacuao;

c) a localizao e prestao de contas daqueles que estavam no local ou na vizinhana;

d) a manuteno das comunicaes com empregados e clientes, bem como relatrios de segurana.

Convm que a organizao coloque em ao equipes que possuam os nveis de autoridade apropriados para
estabelecer contato com os servios de emergncia, quando for apropriado.
NOTA Os servios de emergncia possuem o papel principal na proteo da vida e alvio do sofrimento durante
as emergncias. Logo, uma comunicao gil, pr-planejamento e coordenao dos incidentes em tempo real entre
a organizao e estas autoridades podem melhorar a eficincia de uma resposta a incidentes.

Convm que a organizao possua um meio de fornecer servios de forma a aconselhar e confortar aqueles
afetados pelo incidente. Os servios podem ser terceirizados ou fornecidos como uma extenso dos programas
existentes de sade do trabalho e assistncia aos empregados.

COMENTRIOS DE 8.5.4

As organizaes so diretamente responsveis por proteger o bem-estar de empregados, prestadores de servio, visitantes
e clientes nos casos em que um incidente causar um risco de vida e do bem-estar. necessria uma ateno especial quando
houver grupos com deficincias ou outras necessidades especficas (por exemplo, gravidez, invalidez temporria, etc.).
Um planejamento adequado, de forma a atender a esses requisitos, pode reduzir o risco e tranqilizar as pessoas afetadas.

No se deve subestimar os impactos a longo prazo de um incidente. O desenvolvimento de estratgias apropriadas que
promovam o bem-estar humano pode promover diretamente a recuperao fsica e emocional na organizao.

8.5.5 Comunicao mdia

Convm que a estratgia de comunicao da organizao com a mdia seja documentada no PGI, incluindo:

a) a estratgia de comunicao de incidentes;

b) a interface com a mdia escolhida pela organizao;

c) um guia ou modelo para a criao de uma minuta de declarao a ser fornecida mdia na primeira
oportunidade vivel aps o incidente;

d) uma quantidade apropriada de porta-vozes competentes que sejam nomeados e autorizados a liberar
as informaes autorizadas para a mdia;

e) a definio, quando for vivel, de um local apropriado para realizar o contato com a mdia ou com grupos
de pessoas interessadas.

Em alguns casos, pode ser apropriado:

fornecer detalhes de suporte em um documento separado;

estabelecer um nmero apropriado de pessoas competentes e treinadas para responder a ligaes


telefnicas da imprensa.

preparar material sobre a organizao e suas operaes (convm que esse material seja pr-aprovado para
divulgao);

garantir que toda a informao mdia esteja disponvel sem uma demora indevida.

COMENTRIOS DE 8.5.5

Informaes previamente preparadas podem ser especialmente teis nos primeiros estgios de um incidente. Elas permitem
que a organizao fornea detalhes sobre ela e seu negcio enquanto os detalhes do incidente ainda esto sendo descobertos.
Uma organizao pode usar todos os meios aplicveis de compartilhamento de informaes durante e aps um incidente.
Estas fontes podem incluir pginas na internet, porta-vozes, fontes de notcias e comunicados genricos.

ABNT 2007 - Todos os direitos reservados 29


ABNT NBR 15999-1:2007

8.5.6 Gesto de partes interessadas

Convm que um processo de identificao e priorizao da comunicao com as principais partes interessadas
seja includo. Pode ser necessrio desenvolver um plano de gesto das partes interessadas de forma
a estabelecer critrios e alocar uma pessoa para cada parte interessada ou grupo de partes interessadas.

COMENTRIOS DE 8.5.6

Presses ou grupos de ao comunitrios que coletivamente possuem poder ou influncia sobre a organizao tambm devem
ser considerados.

8.5.7 Localizao para o gerenciamento de incidentes

Convm que a organizao defina previamente um local, sala ou espao resistente a partir do qual um incidente
ser gerenciado. Uma vez estabelecido, convm que esse local seja o foco da resposta da organizao.
Convm que um ponto de encontro alternativo em um local diferente tambm seja estabelecido, caso no seja
possvel obter acesso ao local primrio. Convm que cada local tenha acesso aos recursos apropriados,
por meio do qual a equipe de incidentes possa iniciar as atividades de gerenciamento de incidentes sem atrasos.

Convm que o local escolhido seja apropriado e inclua:

a) meios primrios e secundrios eficientes de comunicao;

b) facilidades para acessar e compartilhar informaes, incluindo monitoramento de notcias na mdia.

COMENTRIOS DE 8.5.7

Uma localizao para o gerenciamento de incidentes um ponto focal conhecido, a partir do qual um incidente pode ser
gerenciado. importante capturar e compartilhar as principais informaes e definir objetivos, designar tarefas, gerenciar
recursos, identificar a rastrear problemas e tomar decises. essencial manter boas comunicaes. O uso de um ponto
de encontro elimina o problema de situaes em que as redes telefnicas estejam sobrecarregadas.

Esse local pode ser to simples quanto um quarto de hotel ou a casa de um membro da equipe. Tambm pode ser complexo
como um centro de comando dedicado, com PC, videoconferncia e vrios telefones.

Inicialmente, pode ser necessrio fazer uma reunio virtual, via telefone, teleconferncia ou videoconferncia, de forma que
as principais decises possam ser prontamente tomadas.

8.5.8 Anexos

Convm que o PGI inclua informaes de contato e mobilizao de todas as agncias, organizaes e recursos
pertinentes que possam ser necessrios para o suporte das estratgias de resposta da organizao.

Convm que o PGI inclua registros ou formulrios para armazenar informaes vitais sobre o incidente, como
a cronologia do incidente, detalhes de fatalidades, decises tomadas, recursos gastos, avaliaes de danos,
comunicaes realizadas e todas as outras informaes que sejam consideradas essenciais organizao para
dar suporte anlise crtica ps-incidente.

O PGI tambm pode incluir ou referenciar:

a) mapas, tabelas, plantas, fotografias e qualquer outra informao que possa ser relevante em caso de
incidente;

b) estratgias de resposta documentadas, acordadas com terceiros, conforme apropriado (parceiros de negcios,
prestadores de servios, fornecedores etc.);

c) detalhes de armazenamento de equipamentos e reas de instalao;

30 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

d) planos de acesso ao local; e

e) um procedimento de gerenciamento de solicitaes que garanta que todas as requisies legais ou de seguro,
a favor ou contra a organizao, atendam s regulamentaes e aos requisitos contratuais.

8.6 Planos de continuidade de negcios (PCN)

O propsito de um plano de continuidade de negcios (PCN) permitir que uma organizao recupere
ou mantenha suas atividades em caso de uma interrupo das operaes normais de negcios.

Os PCN so ativados para dar suporte s atividades crticas necessrias para cumprir os objetivos da organizao.
Eles podem ser executados integral ou parcialmente e em qualquer etapa da resposta a um incidente.

COMENTRIOS DE 8.6

O contedo e os componentes dos PCN variam de organizao para organizao e possuem diferentes nveis de detalhe,
dependendo da escala, ambiente, cultura e complexidade tcnica da organizao.

Algumas organizaes de grande porte podem necessitar de documentos separados para cada uma de suas atividades crticas,
enquanto as organizaes menores podem ser capazes de abordar todos os aspectos crticos em um nico documento.

8.7 Contedo do PCN

8.7.1 Geral

Alm dos termos recomendados em 8.3, convm que um PCN contenha os elementos contidos em 8.7.2 a 8.7.5.

8.7.2 Planos de ao/Listas de tarefas

Convm que o plano de ao inclua uma lista estruturada de aes e tarefas em ordem de prioridade,
destacando-se:

a) como o PCN ativado;

b) as pessoas responsveis por ativar o plano de continuidade de negcios;

c) o procedimento que esta pessoa deve adotar ao tomar esta deciso;

d) as pessoas que devem ser consultadas antes desta deciso ser tomada;

e) as pessoas que devem ser informadas quando a deciso for tomada;

f) quem vai para onde e quando;

g) quais servios esto disponveis, aonde e quando, incluindo como a organizao mobilizar seus recursos
externos e de terceiros;

h) como e quando esta informao ser comunicada; e

i) se relevante, procedimentos detalhados para solues manuais, recuperao dos sistemas etc.

COMENTRIOS DE 8.7.2

Os planos devem referenciar as pessoas, instalaes, tecnologia, informao, suprimentos e partes interessadas identificados
na fase de estratgias (ver Seo 7). Devem ser includas premissas claras e detalhamentos sobre quaisquer recursos
necessrios para implementar os planos. Caso a falta de um servio ou recurso torne os objetivos desse plano inalcanveis,
um procedimento claro deve ser definido para que o problema seja escalado a um nvel mais alto.

ABNT 2007 - Todos os direitos reservados 31


ABNT NBR 15999-1:2007

8.7.3 Recursos necessrios

Convm que os recursos necessrios para a continuidade e recuperao dos negcios sejam identificados
em diferentes pontos no tempo. Estes podem incluir:

a) pessoas, o que pode incluir:

segurana,

logstica de transporte,

necessidades de bem-estar e

gastos de emergncia;

b) instalaes;

c) tecnologia, incluindo comunicaes;

d) informaes, o que pode incluir:

detalhes financeiros (por exemplo, folha de pagamento),

registros de contas de clientes,

detalhes de fornecedores e partes interessadas,

documentos legais (por exemplo, contratos, aplices de seguro, escrituras etc.), e

outros documentos de servios (por exemplo, acordos de nvel de servios);

e) suprimentos; e

f) gesto das partes interessadas e da comunicao com estas.

8.7.4 Responsveis

Convm que a organizao identifique e designe um responsvel para gerenciar as fases da continuidade
e da recuperao dos negcios que ocorrem aps uma interrupo de servios.

COMENTRIOS DE 8.7.4

Em muitos casos, desejvel que a organizao designe os mesmos indivduos identificados no plano de gerenciamento
de incidentes para gerenciar as questes de longo prazo.

8.7.5 Formulrios e anexos

Quando apropriado, convm que o PCN possua detalhes de contato atualizados das agncias pertinentes internas
e externas, organizaes e fornecedores que possam ser necessrios para o suporte da organizao.

Convm que o plano de continuidade de negcios inclua um registro de incidentes ou formulrios para o registro
de informaes vitais, principalmente como conseqncia de decises tomadas durante sua execuo.

COMENTRIOS DE 8.7.5

O plano pode incluir tambm formulrios para armazenar dados administrativos, como, por exemplo, os recursos usados,
material para controle de despesas, mapas, desenhos e plantas do local e do escritrio, especialmente aqueles relacionados a
instalaes alternativas, tais como reas de recuperao do local de trabalho e de armazenagem.

32 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

9 Testando, mantendo e analisando criticamente os preparativos de GCN

Esse elemento do ciclo de vida da GCN garante que os preparativos para a GCN da organizao estejam
validados por testes e anlises crticas e que sejam mantidas atualizadas.

9.1 Introduo
Os preparativos de continuidade de negcios e de gerenciamento de incidentes da organizao no podem ser
considerados confiveis at serem testados e apenas se estiverem atualizados. A realizao de testes essencial
para o desenvolvimento do trabalho em equipe, da competncia, da confiana e do conhecimento, que so vitais
quando ocorre um incidente.

Convm que os preparativos sejam verificados por meio de testes, auditoria e processos de auto-avaliao,
de forma a garantir que estejam adequados.

9.2 Programa de testes


Convm que um programa de testes esteja consistente com o escopo do plano de continuidade de negcios,
levando em conta a legislao e as regulamentaes em vigor. Os testes podem:

a) adiantar um resultado previsto, ou seja, que tenha sido antecipadamente planejado e includo no escopo; ou

b) permitir que a organizao desenvolva solues inovadoras.

Convm que um programa de testes seja criado de forma que, ao longo do tempo, possa ser garantido
objetivamente que o PCN funcionar como previsto quando necessrio. Convm que o programa:

a) teste os aspectos tcnicos, logsticos, administrativos, de procedimento e outros sistemas em operao do PCN;

b) teste os preparativos e a infra-estrutura de GCN, incluindo papis, responsabilidades e quaisquer locais de


gerenciamento de incidentes e reas de trabalho, entre outros;

c) valide a recuperao da tecnologia e das telecomunicaes, incluindo a disponibilidade e remanejamento de


pessoal.

ABNT 2007 - Todos os direitos reservados 33


ABNT NBR 15999-1:2007

Adicionalmente, os testes podem melhorar a capacidade de GCN da organizao, pois permitem:

a) exercitar a capacidade da organizao de se recuperar de um incidente;

b) verificar se todas as atividades crticas da organizao, suas dependncias e prioridades esto contempladas
pelo PCN;

c) realar premissas que devam ser questionadas;

d) gerar confiana nos participantes envolvidos no teste;

e) aumentar a conscincia do processo de continuidade de negcios pela organizao por meio da publicao
do teste;

f) validar a funcionalidade e tempestividade do processo de restaurao das atividades crticas; e

g) demonstrar a competncia das equipes titulares de resposta a incidentes e de seus substitutos.

COMENTRIOS DE 9.2

Os testes fornecem evidncia demonstrvel da competncia e capacidade de continuidade de negcios e gerenciamento de


incidentes da organizao. O tempo e os recursos utilizados para validar as estratgias de GCN por meio dos testes dos PCN
levaro a uma capacidade adequada. Independentemente de quo bem pensada e desenhada possa ser uma estratgia de
GCN para PCN, uma srie de testes slidos e realistas vai identificar reas que necessitam de correes.

9.3 Testando os preparativos de GCN

9.3.1 Convm que os testes sejam realistas, planejados cuidadosamente e acordados com as partes
interessadas, de modo que haja um risco mnimo de interrupo dos processos de negcio. Convm que os testes
sejam planejados de forma a minimizar a chance de que ocorra um incidente como resultado direto do teste.

9.3.2 Convm que todo teste tenha objetivos claramente definidos. Convm que sejam elaborados relatrios
e anlises aps o teste que demonstrem se os objetivos do teste foram alcanados. Convm que um relatrio
ps-teste seja elaborado. Convm que esse relatrio contenha recomendaes juntamente de uma previso de
tempo para a implementao destas.

9.3.3 Convm que a escala e a complexidade dos testes sejam apropriadas aos objetivos de recuperao
da organizao.

9.3.4 Convm que os planos de continuidade de negcio e de gerenciamento de incidentes sejam testados
de forma a garantir que eles possam ser executados corretamente e estejam suficientemente detalhados,
contendo as instrues necessrias para sua execuo.

COMENTRIOS DE 9.3.4

Testes que demonstrem deficincias srias ou imprecises no PCN devem ser refeitos depois de as aes corretivas terem
sido completadas.

Uma srie de abordagens para testar as estratgias de GCN exibida na Tabela 1.

34 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

Tabela 1 Tipos e mtodos de teste de estratgias de GCN


Freqncia
Complexidade Teste Processo Variaes
recomendada a
Anlise
crtica/correo Atualizao/Validao Ao menos anualmente
Testes-de-mesa
Questionar contedo Auditoria/Verificao Anualmente
Simples
do PCN
Walk-through Questionar o Incluir interao e validar Anualmente
(repassar os passos) contedo do PCN papis dos participantes
do plano
Usar situao Incorporar planos Anualmente ou
artificial para validar associados duas vezes ao ano
se os PCN possuem
as informaes
Simulao necessrias e
suficientes, de forma
a permitir uma
Mdio recuperao com
sucesso
Execuo em Executar algumas Anualmente ou menos
ambiente controlado operaes a partir de um
Testar atividades
que no prejudique o local alternativo por um
criticas
andamento normal tempo determinado
dos negcios
Testar todo o PCN, Teste que envolve Anualmente
incluindo o todo o
Complexo
gerenciamento de prdio/campus/zona
incidentes de excluso
a
Convm que a freqncia dos testes dependa das necessidades da organizao, do ambiente no qual ela opera e das necessidades das
partes interessadas. Porm, convm que o programa de testes seja flexvel, levando em conta a freqncia de ocorrncia de mudanas
na organizao e o resultado dos testes anteriores. Os mtodos de teste acima podem ser empregados para cada componente
de um plano ou para um ou mais planos.

9.3.5 Convm que o programa de testes considere o papel de todas as partes envolvidas, inclusive principais
fornecedores, parceiros terceirizados e outros que seria esperado participar das atividades de recuperao.
A organizao deve inclu-los nos testes.

9.4 Manuteno dos preparativos de GCN

Convm que seja estabelecido um programa de manuteno do GCN claramente definido e documentado.
Convm que esse programa garanta que quaisquer mudanas, internas ou externas, que causem um impacto
organizao, sejam analisadas criticamente quanto GCN. Convm tambm identificar novos produtos
e servios e suas atividades dependentes, para que sejam includos no programa de manuteno da GCN.

Como resultado do programa de manuteno de GCN, convm que a organizao:

a) analise criticamente e questione quaisquer premissas adotadas para quaisquer componentes da GCN
presentes na organizao; e

b) distribua uma poltica de GCN atualizada, corrigida ou alterada, estratgias, solues, processos e planos
para os principais funcionrios dentro de um processo formal de controle de alteraes.

NOTA Se houver mudanas significativas no negcio, deve ser efetuada uma anlise crtica da BIA.
Os outros componentes do programa de GCN devem ser corrigidos para refletir estas mudanas.

ABNT 2007 - Todos os direitos reservados 35


ABNT NBR 15999-1:2007

Convm que os resultados do processo de manuteno da GCN incluam:

a) evidncia documentada da gesto pr-ativa e da governana do programa de continuidade de negcios


da organizao;

b) verificao de que as principais pessoas designadas para implementar as estratgias de GCN e planos foram
treinadas e so competentes;

c) verificao da monitorao e controle dos riscos de GCN enfrentados pela organizao; e

d) evidncia documentada das mudanas pertinentes relativas estrutura da organizao, seus produtos
e servios, atividades, propsito, equipe e objetivos que foram incorporados nos planos de continuidade
de negcio e de gerenciamento de incidentes.

COMENTRIOS DE 9.4

O propsito do processo de manuteno de GCN garantir que a competncia e a capacidade de GCN da organizao
continuem efetivas, apropriadas e atualizadas.

As atividades de manuteno buscam modificar os cronogramas atuais de teste quando ocorre uma mudana significativa
na estratgia, soluo ou processo de negcios.

9.5 Anlise crtica dos preparativos de GCN

9.5.1 Convm que a alta direo da organizao, nos intervalos que considerar apropriados, analise
criticamente a capacidade de GCN da organizao, de forma a garantir sua aplicabilidade, adequao
e funcionalidade. Convm que a anlise crtica seja documentada.

9.5.2 Convm que a anlise crtica verifique se a conformidade com a poltica de GCN da organizao garante
a conformidade com as leis, normas, estratgias, estruturas e boas prticas aplicveis.

9.5.3 Convm que a anlise crtica leve em conta uma eventual necessidade de mudanas na poltica,
na estratgia, nos objetivos e nos outros elementos da GCN, considerando o resultado dos testes, eventuais
circunstncias de mudana e o compromisso com uma melhoria contnua.

COMENTRIOS DE 9.5.3

No contexto da melhoria contnua, a organizao pode adquirir conhecimento em novas tecnologias e prticas relacionadas
GCN, incluindo novas ferramentas e tcnicas, que devem ser avaliadas para estabelecer seus benefcios organizao.

9.5.4 A anlise crtica pode ser realizada por meio de auditorias internas ou externas, ou auto-avaliaes.
A freqncia e a periodicidade destas anlises crticas podem ser influenciadas por leis e regulamentaes,
dependendo do tamanho, natureza e situao legal da organizao. Tambm podem ser influenciadas
por necessidades das partes interessadas.

Convm que uma auditoria ou auto-avaliao do programa de GCN da organizao verifique se:

a) todos os produtos e servios fundamentais e as atividades e recursos crticos que o suportam foram
identificados e includos na estratgia de GCN da organizao;

b) a poltica de GCN da organizao, suas estratgias, estrutura e planos refletem precisamente suas
prioridades e requisitos (os objetivos da organizao);

c) a competncia de GCN da organizao e sua capacidade so eficazes e adequados e vo permitir


o gerenciamento, comando, controle e coordenao de um incidente;

d) as solues de GCN da organizao so efetivas, atualizadas e adequadas, alm de apropriadas ao nvel


de risco enfrentado pela organizao;

36 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

e) os programas de manuteno e testes de GCN da organizao foram efetivamente implementados;

f) as estratgias e planos de GCN incorporam as melhorias identificadas durante os incidentes e testes e


no programa de manuteno;

g) a organizao tem um programa contnuo de treinamento e conscientizao de GCN;

h) os procedimentos de GCN foram efetivamente comunicados equipe relevante e se esta equipe entende
seus papis e responsabilidades;

i) os processos de controle de alteraes esto implementados e funcionam de forma eficaz.

9.6 Auditoria

Convm que a organizao providencie uma auditoria independente para avaliar sua competncia de GCN
e sua capacidade de identificar falhas reais e potenciais. Convm que a organizao estabelea, implemente
e mantenha procedimentos para lidar com a auditoria independente. Convm que auditorias independentes sejam
conduzidas por pessoas competentes, sejam elas internas ou externas.

9.7 Auto-avaliao

Um processo de auto-avaliao de GCN tem um papel importante para garantir que a organizao tem
competncia e capacidade de GCN slidas, eficazes e adequadas. Esse processo verifica qualitativamente
a capacidade da organizao de se recuperar de um incidente. Convm que seja realizada uma auto-avaliao
que verifique os objetivos da organizao. Convm que a auto-avaliao tambm leve em conta as normas
pertinentes e as boas prticas da indstria.

10 Incluindo a GCN na cultura da organizao

Para obter sucesso, a continuidade de negcios precisa se tornar parte da gesto da organizao,
independentemente de seu tamanho ou setor. Em cada estgio do processo de GCN, existem oportunidades
de se introduzir e melhorar a cultura de GCN da organizao.

ABNT 2007 - Todos os direitos reservados 37


ABNT NBR 15999-1:2007

10.1 Geral

O desenvolvimento, promoo e incorporao da cultura de GCN na organizao garantem que a GCN se tornar
parte dos valores bsicos e da gesto da organizao.
Uma organizao com uma cultura positiva de GCN ir:
a) desenvolver um programa de GCN com mais eficincia;
b) passar confiana s partes interessadas (especialmente funcionrios e clientes) quanto sua habilidade
de gerenciar interrupes de negcios;
c) aumentar sua resilincia ao longo do tempo ao garantir que as implicaes da GCN so consideradas
em todos os nveis de deciso; e
d) minimizar a probabilidade e o impacto das interrupes.
O desenvolvimento de uma cultura de GCN suportado por:
a) liderana dos nveis superiores da organizao;
b) atribuio de responsabilidades (ver 5.2);
c) conscientizao;
d) desenvolvimento de habilidades; e
e) planos de testes.
COMENTRIOS DE 10.1

A criao e incluso de uma cultura de GCN na organizao pode ser um processo longo e de difcil execuo e pode
encontrar um nvel de resistncia maior que o esperado. O entendimento da cultura atual da organizao ajuda
no desenvolvimento de um programa de cultura de GCN.

Toda a equipe deve entender que a GCN de alta relevncia para a organizao e que cada um possui papel importante
na manuteno da entrega de produtos e servios aos clientes, em caso de incidente.

10.2 Conscientizao

Convm que a organizao tenha um processo para identificar e implementar os requisitos de conscientizao de
GCN e para avaliar a eficincia desta implementao.

Convm que a equipe de GCN esteja consciente quanto s informaes externas de GCN. Isso pode ser realizado
em conjunto com uma busca por informaes junto a servios de emergncia, autoridades locais e agncias
reguladoras.

Convm que a organizao crie, aumente e mantenha uma conscincia por meio da educao permanente em
GCN e de um programa de informaes para toda a equipe.

Esse programa deve incluir:

a) um processo de consulta junto a toda a equipe sobre a implementao do programa de GCN;

b) discusso de GCN nos informativos, apresentaes, programas ou reportes dirios da organizao;

c) incluso da GCN nas pginas pertinentes da web ou da intranet;

d) aprendizado por meio de incidentes internos ou externos;

e) GCN como um tpico nas reunies de equipe;

38 ABNT 2007 - Todos os direitos reservados


ABNT NBR 15999-1:2007

f) testes de planos de continuidade em locais alternativos, por exemplo, um local de recuperao; e

g) visitas a esses locais alternativos.

A organizao deve estender seu programa de conscientizao de GCN para seus fornecedores e outras partes
interessadas.

COMENTRIOS DE 10.2

Criar e manter uma conscincia quanto importncia da GCN com toda a equipe da organizao importante para garantir
que todos entendam o motivo da importncia da GCN para a organizao. Deve ser mostrado que a GCN uma iniciativa
duradoura que tem o apoio permanente da alta direo.

10.3 Treinamento

Convm que a organizao possua um processo para identificar e implementar os requisitos de treinamento
de GCN e para avaliar a eficincia desta implementao.

Convm que a organizao treine:

a) a equipe de GCN para tarefas como:

gesto do programa de GCN,

execuo de uma anlise de impacto nos negcios,

desenvolvimento e implementao de PCN,

execuo de um programa de testes de PCN,

avaliao de riscos e ameaas, e

comunicao com a mdia;

b) o pessoal no relacionado diretamente GCN que necessite de habilidades especficas para desempenhar
seu papel em respostas a incidentes ou recuperao de negcios.

Convm que habilidades e competncias de resposta na organizao sejam desenvolvidas por meio
de treinamentos prticos, incluindo participao ativa em testes.

ABNT 2007 - Todos os direitos reservados 39


ABNT NBR 15999-1:2007

Bibliografia

[1] ABNT NBR ISO 9000, Sistemas de gesto da qualidade Fundamentos e vocabulrio

[2] ABNT NBR ISO/IEC 27001, Tecnologia da informao Tcnicas de segurana Sistemas de gesto de
segurana da informao

[3] ISO/IEC 20000 (both parts), Information technology Service management

[4] Requirements PAS 77, IT Service Continuity Management

40 ABNT 2007 - Todos os direitos reservados