NB

Página 1
ESTE DOCUMENTO É UM PROJETO CIRCULADO PARA COMENTÁRIO E APROVAÇÃO.

É POR ISSO SUJEITA À MUDANÇA E NÃO PODE SER
REFERIDO COMO NORMA INTERNACIONAL ATÉ PUBLICADO COMO TAL.
ADEMÁS DA SUA AVALIAÇÃO COMO SER ACEITÁVEL PARA FINS INDUSTRIAIS,
TECNOLÓGICOS, COMERCIAIS E DE USUÁRIO, PROJETO
NORMAS INTERNACIONAIS PODEM SER OCORRIDAS À LUZ DO SEU POTENCIAL
PARA TORNAR NORMAS A
QUE REFERÊNCIA PODE SER FEITA NO REGULAMENTO NACIONAL.
OS RECEITORES DESTE PROJETO ESTÃO CONVIDOS A ENVIAR, COM OS SEUS
COMENTÁRIOS, NOTIFICAÇÃO DE QUAISQUER DIREITOS DE PATENTE RELEVANTES
DE QUALQUER
ESTÃO CONSCIENTES E FORNECIDAM DOCUMENTAÇÃO DE APOIO.
© Organização Internacional de Padronização, 2011
PROJETO DE NORMA INTERNACIONAL ISO / DIS 22313
ISO / TC 223
Secretaria: SIS
A votação começa em
A votação termina em
2011-12-13
2012-05-13
ORGANIZAÇÃO INTERNACIONAL PARA PADRONIZAÇÃO
•
МЕЖДУНАРОДНАЯ ОРГАНИЗАЦИЯ ПО СТАНДАРТИЗАЦИИ • ORGANIZAÇÃO
INTERNATIONALE DE NORMALIZAÇÃO
Segurança social - Gestão da continuidade do negócio
sistemas - Orientação
Segurança social - Gestão de negócios - Lignes diretrizes
ICS 03.100.01
De acordo com as disposições da Resolução 15/1993 do Conselho, este documento é
distribuído em
apenas a língua inglesa.
Conformément aux dispositions de la Résolution du Conseil 15/1993, ce document est
distribued en version anglaise seulement.
Para acelerar a distribuição, este documento é distribuído conforme recebido do comitê
secretariado. O trabalho de edição e composição de texto da Secretaria Central ISO será
realizado em
estágio de publicação.
Desligue a distribuição, le presente o documento é distribuído, pelo que está parvenu du
secretaria du comité. Le travail de rédaction e de composição de texto seraréferrou
Secrétariat central da ISO ao estádio de publicação.
Página 2
ISO / DIS 22313
Aviso de direitos autorais
Este documento ISO é um Draft International Standard e é protegido por direitos autorais pelo ISO.
Exceto quando permitido
de acordo com as leis aplicáveis do país do usuário, nem este rascunho ISO nem nenhum extrato
dele pode ser
reproduzidos, armazenados em um sistema de recuperação ou transmitidos de qualquer forma ou
por qualquer meio, eletrônicos,
fotocópia, gravação ou de outra forma, sem autorização prévia por escrito.
Os pedidos de permissão para reproduzir devem ser endereçados ao ISO no endereço abaixo ou ISO
órgão membro no país do requerente.
Escritório de direitos autorais ISO
Case postale 56 • CH-1211 Genebra 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
A reprodução pode estar sujeita a pagamentos de royalties ou a um contrato de licenciamento.
Os infractores podem ser processados.
ii
© ISO 2011 - Todos os direitos reservados
Página 3
ISO / DIS 22313
iii
Conteúdo
Página
Prefácio ................................................. .................................................. ............................................
...... ........ v
Introdução................................................. .................................................. ........................................
.......... ... vi
0
Introdução................................................. .................................................. .................................... vi
0,2
O ciclo Plan-Do-Check-Act ......................................... .................................................. .................
vii
0,3
Gestão de Continuidade de
Negócios ............................................... .................................................. .... vii
1
Escopo................................................. .................................................. ...............................................
... .1
2
Referências
normativas................................................ .................................................. .......................... 1
3
Termos e definições ............................................... .................................................. ..........................
2
4
Contexto da organização .............................................. .................................................. ..................
8
4.1
Compreensão da organização e do seu contexto .............................................. ................................
8
4.2
Compreender as necessidades e expectativas das partes
interessadas .......................................... ......... 9
4.2.1
Geral .............................................. .................................................. ..................................................
.9
4.2.2 Requisitos legais e
regulamentares .............................................. .................................................. ...... 10
4.3
Determinando o escopo do sistema de gestão ........................................... ............................. 11
4.3.1
Geral .............................................. .................................................. .................................................
11
4.3.2 Âmbito do
BCMS ........................................... .................................................. ................................ 11
4.4
Sistema de gestão da continuidade do
negócio .............................................. .......................................... 11
5
Liderança ................................................. .................................................. .................................... 12
5.1
Geral ................................................. .................................................. ..............................................
12
5.2
Compromisso de gestão ................................................ .................................................. ............ 12
5.3
Política ................................................. .................................................. .............................................
..... 12
5.4
Funções, responsabilidades e autoridades
organizacionais ............................................ ........................ 13
6
Planejamento ................................................. .................................................. ...................................
. 14
6.1
Ações para enfrentar riscos e
oportunidades ............................................ .......................................... 14
6.2
Objetivos e planos de continuidade do negócio para alcançá-
los .......................................... ................. 14
7
Apoio,
suporte................................................. .................................................. ..............................................
15
7.1
Recursos ................................................. .................................................. .........................................
15
7.1.1
Geral .............................................. .................................................. .................................................
15
7.1.2 Recursos do
BCMS ............................................. .................................................. ................................... 16
7.1.3 Pessoal de resposta a
incidentes ............................................ .................................................. ............... 16
7.2
Competência................................................. .................................................. .....................................
. 17
7.3
Consciência................................................. .................................................. .......................................
.. 18
7.4
Comunicação ................................................. .................................................. ................................
20
7,5
Informação
documentada ................................................ .................................................. .................. 20
7.5.1
Geral .............................................. .................................................. ..................................................
20
7.5.2 Criar e
atualizar ............................................ .................................................. ................................. 22
7.5.3 Controle de informações
documentadas ........................................... .................................................. ..... 22
8
Operação................................................. .................................................. ..........................................
. 23
8.1
Planejamento e controle operacional .............................................. ..................................................
...... 23
8.1.1 Elementos do programa de continuidade do
negócio ......................................... ................................... 23
8.1.2 Gerenciando o ambiente
BCM ........................................... .................................................. .......... 25
8.1.3 Gerenciando a capacidade de continuidade do
negócio .......................................... .......................................... 26
8.1.4 Medindo a
eficácia ............................................. .................................................. ...................... 26
8.1.5
Resultados .............................................. .................................................. ..........................................
... 26
8.2
Análise do impacto do negócio e avaliação de
risco ............................................ .................................. 26
8.2.1
Geral .............................................. .................................................. ..................................................
26
8.2.2 Análise do impacto do
negócio ............................................ .................................................. ..................... 28
Página 4
ISO / DIS 22313
iv
8.2.3 Avaliação do
risco ............................................. .................................................. .................................. 29
8.3
Estratégia de continuidade do
negócio ............................................... .................................................. ............ 30
8.3.1 Determinação e
seleção ............................................ .................................................. ................ 30
8.3.2 Estabelecimento de requisitos de
recursos ............................................ .................................................. .. 32
8.3.3 Proteção e
mitigação ............................................ .................................................. .................... 37
8.4
Estabelecer e implementar procedimentos de continuidade de
negócios ............................................ ................ 37
8.4.1
Geral .............................................. .................................................. .................................................
37
8.4.2 Estrutura de resposta a
incidentes ............................................ .................................................. ................ 38
8.4.3 Aviso e comunicação ............................................ .................................................. .............. 38
8.4.4 Planos de continuidade do
negócio ............................................ .................................................. ................... 40
8.4.5
Recuperação .............................................. .................................................. .......................................
....... 47
8.5
Exercício e teste ............................................... .................................................. ...................... 48
8.5.1 Programa de
exercícios ............................................. .................................................. ........................... 48
8.5.2 Exercício de planos de continuidade de
negócios ........................................... .................................................. 48
9
Avaliação de
desempenho ................................................ .................................................. ................... 50
9.1
Monitoramento, medição, análise e avaliação ........................................... ............................ 50
9.1.1
Geral .............................................. .................................................. ..................................................
50
9.1.2 Avaliação de procedimentos de
continuidade ............................................ .................................................. ... 51
9.2
Auditoria
interna ................................................ .................................................. ..................................... 52
9.3
Revisão de
gerenciamento................................................ .................................................. .......................... 53
10
Melhoria ................................................. .................................................. .................................... 54
10.1 Não conformidade e ação
corretiva ............................................. .................................................. 54
10.2 Melhorias
contínuas ............................................... .................................................. ..................... 55
Bibliografia ................................................. .................................................. ......................................
............ 57
Página 5
ISO / DIS 22313
v
Prefácio
ISO (Organização Internacional de Normalização) é uma federação mundial de organismos
nacionais de normalização
(Corpos de membros ISO). O trabalho de elaboração de Normas Internacionais é normalmente
realizado através do ISO
comitês técnicos. Cada órgão membro interessado em um assunto para o qual um comité técnico foi
estabelecido tem o direito de ser representado nesta comissão. Organizações internacionais,
governamentais e
não governamentais, em ligação com o ISO, também participam do trabalho. O ISO colabora
estreitamente com o
Comissão Eletrotécnica Internacional (IEC) sobre todos os assuntos de padronização eletrotécnica.
As Normas Internacionais são elaboradas de acordo com as regras estabelecidas nas Diretivas ISO /
IEC, Parte 2.
A principal tarefa dos comitês técnicos é preparar padrões internacionais. Projeto de Normas
Internacionais
aprovados pelos comitês técnicos são distribuídos aos órgãos membros para votar. Publicação como
A Norma Internacional requer aprovação por pelo menos 75% dos órgãos membros que proferem
voto.
A ISO 22313 foi preparada pelo Comitê Técnico ISO / TC 223, Segurança Societal .
Página 6
ISO / DIS 22313
vi
Introdução
0 Introdução
0.1 Geral
Este Padrão Internacional fornece orientação para o ISO 22301 para configurar e gerenciar um
efetivo
sistema de gerenciamento de continuidade de negócios (BCMS)
Um BCMS enfatiza a importância de:
- compreender as necessidades da organização e a necessidade de estabelecer a continuidade do
negócio
política e objetivos de gestão;
- implementar e operar controles e medidas para gerenciar o negócio geral de uma organização
riscos de continuidade;
- monitoramento e revisão do desempenho e efetividade do BCMS; e
- melhoria contínua com base na medição objetiva.
Um BCMS, como qualquer outro sistema de gerenciamento, inclui os seguintes componentes
principais:
a) uma política;
b) pessoas com responsabilidades definidas;
c) processos de gestão relacionados a:
1) política;
2) planejamento;
3) implementação e operação;
4) avaliação do desempenho;
5) revisão da gestão;
6) melhoria.
d) um conjunto de documentação que fornece provas auditáveis; e
e) qualquer processo de gerenciamento de continuidade de negócios relevante para a organização.
A continuidade do negócio contribui para uma sociedade mais resiliente. A comunidade em geral e a
organização
impacto ambiental na organização e, portanto, outras organizações podem precisar estar envolvidas
no
processo de recuperação.
Página 7
ISO / DIS 22313
vii
0.2 O ciclo do Plano-Do-Check-Act
O padrão aplica o ciclo 'Plano-Do-Check-Act' (PDCA) para planejar, estabelecer, implementar,
operando, monitorando, revisando, mantendo e melhorando continuamente a eficácia de uma
organização.
BCMS.
A Figura 1 ilustra como o BCMS leva os requisitos das partes interessadas como insumos para a
continuidade do negócio
gestão e, através das ações e processos necessários, produz resultados de continuidade de negócios
(ie
continuidade de negócios gerenciados) que atendam a esses requisitos.
Figura 1 - Ciclo PDCA aplicado aos processos BCMS
Tabela 1 - Explicação do ciclo PDCA
Plano
(Estabelecer)
Estabeleça políticas, objetivos, metas, controles, processos e
procedimentos relevantes para melhorar a continuidade do negócio, a fim de produzir resultados
que alinhem
com as políticas e objetivos gerais da organização.
Faz
(Implementar e operar)
Implementar e operar a política de continuidade do negócio, controles, processos e
procedimentos.
Verifica
(Monitorar e revisar)
Monitorar e avaliar o desempenho em relação aos objetivos e políticas de continuidade de negócios,
relatório
os resultados da gestão para análise e determinar e autorizar ações para
remediação e melhoria.
Aja
(Manter e melhorar)
Manter e melhorar o BCMS, tomando ações corretivas, com base nos resultados de
revisão de gestão e reapreciação do escopo do BCMS e continuidade do negócio
política e objetivos.
0.3 Gerenciamento de continuidade do negócio
O gerenciamento de continuidade do negócio (BCM) é sobre a preparação de uma organização para
lidar com incidentes disruptivos
que de outra forma poderia impedir que ele atinja seus objetivos.
Neste padrão, a palavra negócio é usada como um termo abrangente para as operações e serviços
realizado por uma organização em busca de seus objetivos, metas ou missão. Como tal, é
igualmente aplicável a
grandes, médias e pequenas organizações que operam em setores industriais, comerciais, públicos e
sem fins lucrativos.
Página 8
ISO / DIS 22313
viii
le
níveis de impacto surgem.
Produtos e serviços-chave da zation;
s e recursos necessários para entregá-los;
;
nt; e
posições.
plosões e gradual
incidentes, por exemplo, pandemias de gripe.
As atividades podem ser interrompidas por uma grande variedade de incidentes, muitos dos quais
são difíceis de prever ou analisar. De
nd permite que a organização determine o que é necessário para continuar
para cumprir suas obrigações. Através da gestão da continuidade do negócio, uma organização pode
reconhecer o que precisa
Os seguintes diagramas (Figura 2 - e Figura 3 -) visam ilustrar conceitualmente como o BCM pode
ser
Qualquer incidente, grande ou pequeno, natural, acidental ou deliberado tem potencial para causar
grandes distúrbios ao
operações da organização e sua capacidade de entregar produtos e serviços. No entanto,
implementando o BCM agora,
em vez de esperar que isso aconteça, a organização poderá retomar as operações antes de não
aceitar
BCM não é complicado. Envolve:
a) Identificando o organi
b) Identificar a atividade prioritária
c) Avaliando as ameaças a essas atividades e dependem
d) Colocando os mecanismos necessários para retomar essas atividades seguindo um processo
incide
e) Certificar-se de que estas disposições serão eficazes em todas as circunstâncias
O BCM pode ser eficaz para lidar com ambos os incidentes repentinos, por exemplo, causados por
ex
Com foco no impacto da interrupção, o gerenciamento da continuidade do negócio identifica as
atividades nas quais a
A organização depende da sua sobrevivência, uma
a fim de proteger suas pessoas, instalações, tecnologia, informações, cadeia de abastecimento,
partes interessadas e
reputação, antes de ocorrer um incidente. Com esse reconhecimento, a organização pode ter uma
visão realista sobre
as respostas que provavelmente serão necessárias quando ocorre uma interrupção, de modo que
possa ter certeza de que
gerenciando as conseqüências e evitando níveis inaceitáveis de impactos.
Uma organização com medidas adequadas de gerenciamento de continuidade de negócios também
pode ser capaz de tomar
vantagem de oportunidades que de outra forma poderiam ser julgadas como um risco muito
elevado.
eficaz na mitigação de impactos em determinadas situações. Sem escalas de tempo particulares
estão implicadas pelo parente
distância entre as etapas representadas em qualquer diagrama.
Página 9
ISO / DIS 22313
ix
Tempo de retomada do alvo
Tempo máximo aceitável
Nível de operações
Tempo
Inc
identidade
e
nt
Mitigação de impactos através de BCM efetivo - ruptura repentina
Reinício de atividades em condições aceitáveis
nível dentro do prazo aceitável
Mínimo
aceitável
nível de
operações
1. Mitigação, resposta
e gerenciamento de impactos
Recuperação com BCM
Recuperação sem BCM
2. Interrupção reduzida
Figura 2 - Ilustração de BCM sendo eficaz para interrupção súbita
Tempo de retomada do alvo
Tempo máximo aceitável
Nível de operações
Tempo
Mitigação de impactos através de BCM efetivo - interrupção gradual
Controlada
resposta
Atenção
Inc
ide
n
t
Mínimo
aceitável
nível de
operações
Reinício de atividades em condições aceitáveis
nível dentro do prazo aceitável
1. Mitigação, resposta
e gerenciamento de impactos
2. Interrupção reduzida
Recuperação com BCM
Recuperação sem BCM
Figura 3 - Ilustração do BCM sendo efetiva para a interrupção gradual (por exemplo,
pandemia que se aproxima)
Página 10
Página 11
PROJETO DE NORMA INTERNACIONAL
ISO / DIS 22313
1
Segurança social - Gestão da continuidade do negócio
sistemas - Orientação
1 Escopo
Este Padrão Internacional para a continuidade do negócio fornece orientações baseadas na melhor
prática internacional para
planejando, estabelecendo, implementando, operando, monitorando, revisando, mantendo e
melhorando continuamente
um sistema de gerenciamento documentado que permite que as organizações se preparem,
respondam e se recuperem de
interrupção.
Não é a intenção deste Padrão Internacional implicar uniformidade na estrutura de um BCMS, mas
por uma
organização para projetar um BCMS que seja apropriado às suas necessidades e que atenda aos
requisitos de sua
festas interessantes. Essas necessidades são moldadas por requisitos legais, regulamentares,
organizacionais e industriais.
produtos e serviços, os processos empregados, o tamanho e estrutura da organização e a
requisitos de suas partes interessadas.
Este Padrão Internacional é genérico e aplicável a todos os tamanhos e tipos de organizações,
incluindo grandes,
organizações médias e pequenas que operam em setores industriais, comerciais, públicos e sem fins
lucrativos que desejam
para:
a) estabelecer, implementar, manter e melhorar um BCMS;
b) assegurar a conformidade com a política de continuidade de negócios da organização; ou
c) faça uma autodeterminação e auto-declaração de conformidade com este Padrão Internacional.
Este Padrão Internacional não deve ser usado para avaliar a capacidade de uma organização atender
seu próprio negócio
necessidades de continuidade, nem qualquer cliente, necessidades legais ou regulamentares. As
organizações que desejam fazê-lo devem usar o
ISO 22301, Segurança social - Sistemas de gerenciamento de continuidade de negócios -
Requisitos, para demonstrar
conformidade com outros ou busca certificação / registro de seu BCMS por uma certificação
credenciada de terceiros
corpo.
2 Referências normativas
Os seguintes documentos referenciados são indispensáveis para a aplicação deste documento. Para
datado
referências, apenas a edição citada se aplica. Para referências não datadas, a última edição do
referenciado
É aplicável um documento (incluindo quaisquer alterações).
ISO 22300, Segurança social - Terminologia
ISO 22301, Segurança social - Sistemas de gerenciamento de continuidade de negócios -
Requisitos
Guia ISO 73, Gerenciamento de riscos - Vulnerabilidade
Página 12
ISO / DIS 22313
2
3 Termos e definições
Para os propósitos deste documento, os termos e definições fornecidos no Guia ISO / IEC 73: 2009,
ISO 22300 e
o seguinte se aplica.
NOTA
Deve-se notar que os termos e definições são harmonizados entre ISO 22301 e ISO 22313.
3.1
atividade
processo ou conjunto de processos realizados por uma organização (ou em seu nome) que produz
ou suporta um ou
mais produtos e serviços
NOTA
Exemplos de tais processos incluem contas, call center, TI, fabricação, distribuição.
3.2
auditoria
processo sistemático, independente e documentado para a obtenção de evidências de auditoria e
avaliação objetiva para
determinar em que medida os critérios de auditoria são cumpridos
NOTA 1 Uma auditoria pode ser uma auditoria interna (primeira parte) ou uma auditoria externa
(segunda parte ou terceiro), e pode ser uma
auditoria combinada (combinando duas ou mais disciplinas).
A NOTA 2 evidência de auditoria "e" critérios de auditoria "são definidos na ISO 19011.
3.3
capacidade estratégica e tática da organização para planejar e responder a incidentes e negócios
interrupções para continuar as operações comerciais em um nível predefinido aceitável
3.4
Gestão de Continuidade de Negócios
processo de gestão holística que identifica ameaças potenciais a uma organização e os impactos
para as empresas
As operações dessas ameaças, se realizadas, podem causar, e que fornece uma estrutura para a
construção
resiliência organizacional com a capacidade de uma resposta efetiva que salvaguarde os interesses
de sua chave
stakeholders, reputação, marca e atividades de criação de valor
3,5
sistema de gerenciamento de continuidade do negócio
BCMS
a parte do sistema geral de gestão que estabelece, implementa, opera, monitora, revisa,
mantém e melhora a continuidade do negócio
NOTA
O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento,
responsabilidades,
procedimentos, processos e recursos.
3.6
plano de continuidade de negocios
procedimentos documentados que orientam as organizações para responder, recuperar, retomar e
restaurar para um pré-definido
nível de operação após a interrupção
NOTA
Normalmente, isso abrange recursos, serviços e atividades necessários para garantir a continuidade
do negócio crítico
funções.
3,7
programa de continuidade do negócio
processo de gestão e governança em andamento apoiado pela alta administração e recursos
adequados para
implementar e manter o gerenciamento de continuidade do negócio
Página 13
ISO / DIS 22313
3
3,8
análise de impacto comercial
processo de análise de funções operacionais e o efeito que uma interrupção pode ter sobre eles
3.9
competência
capacidade de aplicar conhecimento e habilidades para alcançar os resultados pretendidos
3.10
conformidade
cumprimento de um requisito
[FONTE: ISO 22300]
melhoria contínua
atividade recorrente para melhorar o desempenho
[FONTE: ISO 22300]
3.11
correção
ação para eliminar uma não-conformidade detectada
[FONTE: ISO 22300]
3.12
ação corretiva
ação para eliminar a causa de uma não-conformidade e evitar a recorrência
[FONTE: ISO 22300]
3.13
documento
informação e suporte de suporte
NOTA 1 O meio pode ser papel, magnético, eletrônico ou disco óptico de computador, fotografia ou
amostra mestre, ou um
sua combinação.
NOTA 2 Um conjunto de documentos, por exemplo, especificações e registros, é freqüentemente
chamado de "documentação".
3.14
eficácia
medida em que as atividades planejadas são realizadas e os resultados planejados alcançados
[FONTE: ISO 22300]
3.15
evento
ocorrência ou alteração de um determinado conjunto de circunstâncias
NOTA 1 Um evento pode ser uma ou mais ocorrências, e pode ter várias causas.
NOTA 2 Um evento pode consistir em algo que não aconteça.
NOTA 3 Um evento às vezes pode ser referido como "incidente" ou "acidente".
NOTA 4 Um evento sem consequências também pode ser referido como "near miss", "incident",
"near hit", "close call".
[FONTE: GUIA ISO / IEC 73]
Página 14
ISO / DIS 22313
4
3.16
exercício
instrumento para treinar, avaliar, praticar e melhorar o desempenho e as capacidades em um
ambiente controlado
NOTA
Um teste é um tipo de exercício exclusivo e particular, que incorpora uma expectativa de um
elemento de aprovação ou falha
dentro do objetivo ou objetivos do exercício que está sendo planejado.
3.17
incidente
evento que possa ser, ou poderia levar a, a uma interrupção de negócios, perda, emergência ou crise
3.18
a infraestrutura
sistema de instalações, equipamentos e serviços necessários para o funcionamento de uma
organização
3.19
festa interessada
pessoa ou grupo de pessoas que detém uma visão que pode afetar a organização
3.20
Auditoria interna
auditoria realizada por, ou em nome de, a própria organização para revisão de gestão e outros fins
internos,
e que pode constituir a base para a auto-declaração de conformidade de uma organização
NOTA
Em muitos casos, particularmente em organizações menores, a independência pode ser demonstrada
pela liberdade de
responsabilidade pela atividade que está sendo auditada.
3.21
invocação
Ato de declarar que os arranjos de continuidade de negócios de uma organização precisam ser
implementados para
continuar a entrega dos principais produtos ou serviços
3.22
Sistema de gestão
conjunto de elementos inter-relacionados ou interagindo de uma organização para estabelecer
políticas e objetivos, e
processos para alcançar esses objetivos
NOTA 1 Um sistema de gerenciamento pode abordar uma única disciplina ou várias disciplinas.
NOTA 2 Os elementos do sistema incluem a estrutura, funções e responsabilidades da organização,
planejamento, operação, etc.
NOTA 3 O escopo de um sistema de gerenciamento pode incluir a totalidade da organização,
específica e identificada.
funções da organização, seções específicas e identificadas da organização, ou uma ou mais funções
em um grupo
de organizações.
[FONTE: ISO 22300]
3.23
corte máximo aceitável
MAO
tempo que levaria para impactos adversos, que poderiam surgir como resultado de não fornecer um
produto / serviço ou
realizar uma atividade, tornar-se inaceitável
NOTA
Veja também o período máximo tolerável de interrupção em 3,25.
3.24
Período máximo tolerável de interrupção
MTPD
tempo que levaria para impactos adversos, que poderiam surgir como resultado de não fornecer um
produto / serviço ou
realizar uma atividade, tornar-se inaceitável
Página 15
ISO / DIS 22313
5
NOTA
Veja também a interrupção máxima aceitável em 3.24.
3,25
objetivo mínimo de continuidade do negócio
MBCO
nível mínimo de serviços e / ou produtos que seja aceitável para a organização alcançar seus
negócios
objetivos durante uma interrupção
3.26
monitoramento
determinando o status de um sistema, um processo ou uma atividade
NOTA
Para determinar o status, pode haver necessidade de verificar, supervisionar ou observar de forma
crítica.
[FONTE: ISO 22300]
3.27
acordo de ajuda mútua
acordo pré-organizado desenvolvido entre duas ou mais entidades para prestar assistência às partes
do
acordo
3.28
não conformidade
não cumprimento de um requisito
[FONTE: ISO 22300]
3.29
objetivo
resultado a ser alcançado
NOTA 1 Um objetivo pode ser estratégico, tático ou operacional.
NOTA 2 Um objetivo pode ser expresso de outras maneiras, por exemplo, como um resultado
pretendido, um propósito, um operacional
critério, como um objetivo de continuidade do negócio ou pelo uso de outras palavras com
significado semelhante (por exemplo, objetivo, objetivo ou alvo).
[FONTE: ISO 22300]
3.30
organização
pessoa ou grupo de pessoas que tem suas próprias funções com responsabilidades, autoridades e
relacionamentos para
alcançar seus objetivos
NOTA 1 O conceito de organização inclui, mas não está limitado a empresa, corporação, empresa,
empresa, autoridade,
parceria, único comerciante, instituição de caridade ou instituição, ou parte ou combinação,
incorporada ou não, pública ou privada.
NOTA 2 Para organizações com mais de uma unidade operacional, uma única unidade pode ser
definida como uma organização.
[FONTE: ISO 22300]
3.31
terceirizar (verbo)
faça um acordo onde uma organização externa desempenha parte da função ou processo de uma
organização
NOTA
Uma organização externa está fora do escopo do sistema de gerenciamento, embora a função
terceirizada ou
O processo está dentro do escopo.
3.32
desempenho
resultado mensurável
Página 16
ISO / DIS 22313
6
NOTA 1 O desempenho pode estar relacionado a achados quantitativos ou qualitativos.
NOTA 2 O desempenho pode estar relacionado à gestão de atividades, processos, produtos
(incluindo serviços), sistemas ou
organizações.
3.33
avaliação de desempenho
processo de determinação de resultados mensuráveis
3.34
pessoal
pessoas que trabalham e estão sob o controle da organização
NOTA O conceito de pessoal inclui, mas não está limitado a funcionários, pessoal a tempo parcial e
pessoal da agência.
3.35
política
intenções e direção de uma organização formalmente expressada pela alta administração
[FONTE: ISO 22300]
3.36
procedimento
maneira especificada de realizar uma atividade ou um processo
3.37
processo
conjunto de atividades inter-relacionadas ou de interação que transformam entradas em resultados
3.38
produtos e serviços
resultados benéficos fornecidos por uma organização aos seus clientes, beneficiários e partes
interessadas
EXEMPLO
Artigos fabricados, seguro automóvel e enfermagem comunitária
3.39
atividades priorizadas
atividades a que deve ser dada prioridade urgente após um incidente, a fim de mitigar os impactos
NOTA
Os termos em uso comum para descrever atividades dentro deste grupo incluem: crítico, essencial,
vital, urgente e chave.
[FONTE: ISO 22300]
3.40
registro
declaração de resultados obtidos ou evidência de atividades realizadas
3.41
objetivo do ponto de recuperação
RPO
indique qual a informação usada por uma atividade deve ser restaurada para permitir que a atividade
funcione na retomada
NOTA
Pode também ser referido como "perda máxima de dados"
3.42
objetivo de tempo de recuperação
RTO
período de tempo após um incidente no qual o produto ou serviço deve ser retomado, a atividade
deve ser
retomada, ou os recursos devem ser recuperados
Página 17
ISO / DIS 22313
7
NOTA
Para produtos, serviços e atividades, o objetivo do tempo de recuperação deve ser menor do que o
tempo necessário para
os impactos adversos que surgirão como resultado de não fornecer um produto / serviço ou realizar
uma atividade para se tornar
inaceitável.
3.43
requerimento
Necessidade obrigatória ou expectativa declarada ou implícita
3.44
Recursos
todos os ativos, pessoas, habilidades, informações, tecnologia (incluindo instalações e
equipamentos), instalações e suprimentos e
informações (eletrônicas ou não) que uma organização tenha disponível para usar, quando
necessário, em
ordem para operar e atingir seu objetivo
3.45
risco
efeito da incerteza sobre os objetivos
NOTA 1 Um efeito é um desvio do esperado - positivo e / ou negativo.
NOTA 2 Os objetivos podem estar relacionados a diferentes disciplinas (como metas financeiras, de
saúde e segurança e metas ambientais)
e pode se inscrever em diferentes níveis (como estratégico, em toda a organização, projeto, produto
e processo). Um objetivo pode ser
expressado de outras formas, por exemplo, como resultado pretendido, um propósito, um critério
operacional, como continuidade de negócios
objetivo ou uso de outras palavras com significado semelhante (por exemplo, objetivo, objetivo ou
alvo).
NOTA 3 O risco é freqüentemente caracterizado por referência a eventos potenciais (Guia 73,
3.5.1.3) e conseqüências (Guia 73,
3.6.1.3), ou uma combinação destes.
NOTA 4 O risco é freqüentemente expresso em termos de uma combinação das conseqüências de
um evento (incluindo mudanças em
circunstâncias) e a probabilidade associada (Guia 73, 3.6.1.1) de ocorrência.
NOTA 5 A incerteza é o estado, mesmo parcial, da eficiência da informação relacionada,
compreensão ou conhecimento de uma
evento, conseqüência ou probabilidade.
NOTA 6 No contexto dos padrões do sistema de gerenciamento de continuidade do negócio, os
objetivos de continuidade do negócio são definidos por
a organização, consistente com a política de continuidade do negócio, para obter resultados
específicos. Ao aplicar o termo risco
e componentes da gestão de risco, isso deve estar relacionado aos objetivos da organização que
incluem, mas não são
limitado aos objetivos de continuidade do negócio conforme especificado em 6.2 do texto.
[FONTE: Guia ISO 73]
3.46
apetite de risco
quantidade e tipo de risco que uma organização está disposta a buscar ou a reter
3.47
avaliação de risco
processo geral de identificação de risco, análise de risco e avaliação de risco
3.48
gerenciamento de riscos
atividades coordenadas para direcionar e controlar uma organização em relação ao risco
3.49
testando
procedimento de avaliação; um meio de determinar a presença, qualidade ou veracidade de algo
Page 18
ISO / DIS 22313
8
NOTA 1 O teste pode ser encaminhado para um "teste".
NOTA 2 O teste é freqüentemente aplicado aos planos de suporte.
3.50
alta administração
pessoa ou grupo de pessoas que dirige e controla uma organização ao mais alto nível
NOTA 1 O alto gerenciamento tem o poder de delegar autoridade e fornecer recursos dentro da
organização.
NOTA 2 Uma organização pode, para esse efeito, ser identificada por referência ao escopo da
implementação de um
Sistema de gestão.
[FONTE: ISO 22300]
3.51
verificação
confirmação, através do fornecimento de provas, que os requisitos especificados foram cumpridos
3.52
ambiente de trabalho
conjunto de condições em que o trabalho é realizado
NOTA
As condições incluem fatores físicos, sociais, psicológicos e ambientais (como temperatura,
reconhecimento
esquemas, ergonomia e composição atmosférica).
[FONTE: ISO 22300]
4 Contexto da organização
4.1 Compreensão da organização e do seu contexto
A organização deve determinar fatores externos e internos que sejam relevantes para estabelecer,
implementar
e manter o BCMS da organização, e atribuir prioridades.
A organização deve avaliar e compreender os fatores que são relevantes para o propósito e as
operações.
Esta informação deve ser levada em consideração ao estabelecer, implementar, manter e melhorar a
BCMS.
A avaliação do contexto externo da organização deve incluir, quando relevante, os seguintes fatores:
- o ambiente político, jurídico e regulamentar seja internacional, nacional, regional ou local;
- o ambiente social, cultural, financeiro, tecnológico, econômico, natural e competitivo, seja
internacional, nacional, regional ou local;
- compromissos e relacionamentos da cadeia de suprimentos;
- consideração de estudos internos sobre os riscos, levando em consideração outros tipos de
gerenciamento de informações relevantes
sistemas e, mais geralmente, qualquer informação da gestão do conhecimento;
- principais impulsionadores e tendências que tenham impacto nos objetivos e no funcionamento da
organização; e
- relações com, e percepções e valores de, partes interessadas fora da organização.
Avaliar o contexto interno da organização deve incluir, quando relevante, os seguintes fatores:
Page 19
ISO / DIS 22313
9
- Produtos e serviços, atividades, recursos, parcerias, cadeias de suprimentos e relacionamentos com
interessados
festas;
- as capacidades, entendidas em termos de recursos e conhecimentos (por exemplo, capital, tempo,
pessoas, processos,
sistemas e tecnologias);
- sistemas de informação, fluxos de informação e processos de tomada de decisão (tanto formais
como informais);
- partes interessadas dentro da organização;
- políticas e objetivos, e as estratégias que estão em vigor para alcançá-los;
- oportunidades futuras e prioridades de negócios;
- percepções, valores e cultura;
- padrões e modelos de referência adotados pela organização; e
- estruturas (por exemplo, governança, funções e responsabilidades).
4.2 Compreender as necessidades e expectativas das partes interessadas
4.2.1 Geral
Ao estabelecer o seu BCMS, a organização deve assegurar que as necessidades e os requisitos dos
interessados
as partes são levadas em consideração.
A organização deve identificar todas as partes interessadas que sejam relevantes para o seu BCMS e
com base na sua
necessidades e expectativas, determinam seus requisitos. É importante identificar não só obrigatório
e declarado
requisitos, mas também quaisquer que estejam implícitos.
NOTA
Ao estabelecer o BCM, a organização precisa estar atenta não só aos "grupos sem os quais
apoiar a organização deixaria de existir ", a definição do Stanford Research Institute de partes
interessadas, mas, adicionalmente,
aqueles que se interessam pela organização, como a mídia, o público próximo, concorrentes e assim
por diante. além disso
um stakeholder pode ter definido requisitos que devem ser levados em consideração, enquanto que
uma parte interessada na maioria
situações não são capazes de especificar requisitos ou impor obrigações.
Ao planejar e implementar o BCMS, é importante identificar ações apropriadas em relação
para as partes interessadas, mas diferenciar entre as diferentes categorias. Por exemplo, é provável
que seja
apropriado para se comunicar com todas as partes interessadas após um incidente disruptivo, mas
pode não ser
apropriado para se comunicar com todas as partes interessadas durante todas as etapas do programa
de continuidade do negócio
referido no 8.1.1.
Página 20
ISO / DIS 22313
10
Aqueles com autoridade para invocar
Pessoal de resposta ao incidente
Aqueles responsáveis pela política de BCM e sua implementação
A organização
Aqueles que implementam e mantêm o BCMS
Aqueles que mantêm procedimentos de continuidade de negócios
Festas interessantes
Concorrentes
Cidadãos
meios de comunicação
Gestão
clientes
Top management
Comentaristas
Distribuidores
Grupos de comércio
Acionistas
Vizinhos
Investidores
Proprietários de procedimentos de continuidade de negócios
Grupos de pressao
os Proprietários
Seguradoras
Serviços de emergência
Governo
Outras agências de resposta
Porta-vozes apropriados
Serviços de transporte
Reguladores
Equipes de resposta
Serviço de recuperação
fornecedores
Dependentes da equipe
Outra equipe
Empreiteiros
Figura 4 - Exemplos de partes interessadas a serem consideradas nos setores público e
privado
4.2.2 Requisitos legais e regulamentares
Todos os sistemas de gestão devem funcionar no quadro do ambiente legal e regulamentar em
que a organização opera. A organização deve, portanto, estabelecer procedimentos que lhe permitam
identificar e acomodar em seu BCMS todos os requisitos legais e regulamentares aplicáveis que se
relacionem com o
continuidade de suas operações e partes interessadas. As informações relativas a esses requisitos
devem ser
documentado, mantido atualizado e comunicado aos funcionários afetados e outras partes
interessadas.
Ao estabelecer, implementar e manter o BCMS, a organização deve levar em consideração e
documentar os requisitos legais aplicáveis, outros requisitos aos quais se inscreve e as necessidades
dos interessados
festas.
A organização deve garantir que o seu programa de continuidade funcione dentro e em apoio da sua
legalidade.
obrigações e requisitos relevantes das partes interessadas.
A organização deve revisar os requisitos legais e regulamentares atuais e pendentes em suas
localidades
que podem incluir:
a) Resposta a incidentes: incluindo gerenciamento de emergência e legislação em matéria de saúde,
segurança e bem-estar;
b) Continuidade: que pode especificar o escopo do programa ou a extensão ou velocidade da
resposta;
c) Risco: requisitos que definem o escopo ou os métodos de um programa de gerenciamento de
risco; e
d) Perigos: requisitos operacionais relativos a materiais perigosos armazenados no local.
NOTA
As organizações que operam em vários locais podem ter que satisfazer os requisitos de diferentes
jurisdições.
Página 21
ISO / DIS 22313
11
4.3 Determinar o escopo do sistema de gerenciamento
4.3.1 Geral
A organização deve determinar o escopo do BCMS e garantir que ele possa ser adequadamente
comunicado
para as partes interessadas. Os limites e a aplicabilidade do BCMS devem ser claramente evidentes
e o escopo
deve levar em consideração as questões identificadas na Cláusula 4. 1 (Compreensão da
organização e seu contexto)
e Cláusula 4 .2 (Compreender as necessidades e expectativas das partes interessadas).
O escopo define qual parte dos produtos e serviços, atividades e / ou processos da organização,
locais, funções, etc. o BCMS se aplica a.
A organização deve documentar claramente o escopo e o contexto do BCMS e da gestão
compromisso com isso.
4.3.2 Escopo do BCMS
O escopo do BCMS deve ser definido em termos adequados ao tamanho, natureza e complexidade
do
organização.
A redação do escopo deve:
a) garantir que os produtos e serviços, atividades, recursos, parcerias, cadeias de suprimentos,
e os relacionamentos das partes interessadas incluídos no escopo são claramente distinguíveis;
b) incluir uma indicação da escala do incidente que o BCMS abordará e o risco da organização
apetite; e
c) identificar como o BCMS se encaixa na estratégia global de gerenciamento de riscos da
organização.
Quando parte de uma organização é excluída do âmbito de seu BCMS, a organização deve
documentar o
exclusão.
A organização deve, de forma adequada ao seu tamanho, natureza e complexidade, definir e
documentar a
âmbito do seu BCMS em termos de:
- os requisitos para a continuidade do negócio levando em consideração sua missão, metas,
responsabilidades legais
e obrigações internas e externas; e
- seus objetivos operacionais, produtos e serviços, atividades e recursos;
O objetivo é garantir a cobertura de todas as atividades, locais, fornecedores e parceiros de
terceirização que
ter um impacto sobre esses produtos e serviços. O escopo deve identificar os principais produtos e
serviços que
apoiar os objetivos, as obrigações e os deveres legais da organização. O objetivo é garantir
cobertura de todas as atividades, locais, fornecedores e parceiros de terceirização que tenham
impacto sobre esses produtos
e serviços.
O escopo deve ser consistente com a proteção e preservação da integridade da organização e sua
relacionamentos com partes interessadas (por exemplo, fornecedores-chave, parceiros de
terceirização, cadeia de fornecimento da organização
vendedores, clientes e a comunidade em que opera).
Qualquer exclusão do escopo deve ser claramente documentada, certificando-se de que tais
exclusões não prejudiquem
o desempenho e eficácia do BCMS, incluindo suas capacidades de continuidade.
4.4 Sistema de gestão da continuidade do negócio
A organização deve estabelecer um BCMS efetivo que esteja em conformidade com as
recomendações deste padrão.
Página 22
ISO / DIS 22313
12
Isso implica a necessidade de considerar não apenas os requisitos individuais, mas também os
processos que precisarão
ser estabelecido e a maneira como eles irão interagir.
5 Liderança
5.1 Geral
O gerenciamento em todos os níveis deve demonstrar claramente o suporte para o BCMS.
Todos os níveis de gestão devem demonstrar liderança na sua capacidade de cumprir a política de
e objetivos em apoio à alta administração. A demonstração pode ser alcançada usando técnicas de
motivação,
engajamento e capacitação.
5.2 Compromisso de gestão
A alta administração deve demonstrar seu compromisso com o BCMS.
A alta administração deve fornecer evidências de seu compromisso com o desenvolvimento e
implementação do
BCMS e continuamente melhorando a sua eficácia por:
a) cumprir com os requisitos legais aplicáveis e com outros requisitos aos quais a organização
subscreve (consulte 4.2.2 );
b) estabelecer políticas e objetivos de continuidade de negócios de acordo com o objetivo da
organização (consulte
5.3 );
c) nomear uma ou mais pessoas com a autoridade e competências apropriadas para serem
responsáveis pela
BCMS e responsável pela sua efetiva operação (consulte 5.4 );
d) garantir que as funções, responsabilidades e competências do BCMS sejam estabelecidas
(consulte 5.4 );
e) assegurar a disponibilidade de recursos suficientes (consulte 7.1 );
f) comunicar à organização a importância de cumprir a política e os objetivos de continuidade do
negócio
(consulte 7.4 );
g) assegurar que as auditorias internas do BCMS sejam conduzidas (consulte 9.2 );
h) realização de análises efetivas de gerenciamento do BCMS (consulte 9.3 ); e
i) dirigir e apoiar a melhoria contínua (consulte 10.2 ).
O compromisso de gerenciamento também pode ser demonstrado por:
- envolvimento operacional através de grupos de direção;
- participação ativa no exercício e no teste; e
- inclusão da BCM como item permanente nas reuniões de gerenciamento.
5.3 Política
A alta administração deve definir a política de gerenciamento de continuidade do negócio em
termos de organização
objetivos e suas obrigações e assegure-se de que:
Page 23
ISO / DIS 22313
13
- é apropriado ao propósito da organização (dada a sua dimensão, natureza e complexidade e, a fim
de
reflete sua cultura, dependências e ambiente operacional);
- fornece um quadro para a definição objetiva;
- inclui compromissos claros em relação aos requisitos aplicáveis, incluindo legal e regulamentar
obrigações e melhoria contínua do BCMS;
- é comunicado e compreendido dentro da organização e disponível para as partes interessadas.
- é complementar a outras políticas relevantes; e
- está disponível para as partes interessadas conforme aprovado pela administração.
Devem ser tomadas disposições adequadas para aprovar a política, mantendo informações
documentadas sobre ela e
revisando-o periodicamente (por exemplo, anualmente) e sempre que mudanças significativas no
interno ou externo
ocorrem fatores (por exemplo, mudança na administração superior ou introdução de nova
legislação). A adequação de
tais disposições dependerão do tamanho, complexidade, natureza e extensão da organização.
A política também deve:
- fornecer orientação sobre alcance e limites do programa de continuidade de negócios da
organização, incluindo
limitações e exclusões;
- identificar as autoridades e delegações requeridas nos termos do BCMS, incluindo pessoas ou
pessoas
responsável pelo BCM da organização;
- estabelecer os critérios de tipo e escala de incidentes a serem abordados; e
- incluir referências a padrões, diretrizes, regulamentos ou políticas que o BCM deve considerar ou
cumprir com.
A política de continuidade do negócio pode conter o seguinte:
- Termos chave;
- Compromisso de financiamento;
- Referências a outras políticas relacionadas;
- As intenções da administração em relação aos níveis de serviço durante a interrupção;
- Instalar atividades para estabelecer uma capacidade de continuidade de negócios; e
- Gestão contínua e manutenção da capacidade de continuidade do negócio.
As atividades de instalação devem incluir especificações, design, construção, implementação e
exercício inicial inicial de
a capacidade de continuidade do negócio.
As atividades contínuas de manutenção e gerenciamento devem incluir a inclusão da continuidade
do negócio dentro da
organização, exercitar procedimentos de continuidade de negócios regularmente, e atualizá-los e
comunicá-los,
particularmente quando há mudanças significativas em instalações, pessoal, processo, mercado,
tecnologia ou
estrutura organizacional.
5.4 Funções organizacionais, responsabilidades e autoridades
A alta administração deve assegurar a atribuição e comunicação de responsabilidades e autoridades
dentro
o BCMS.
Página 24
ISO / DIS 22313
14
Um membro da alta gerência deve ter responsabilidade geral pelo BCMS.
A alta administração da organização deve nomear (a) representante (s) de gerenciamento específico
que,
independentemente de outras responsabilidades, deve ter definidos papéis, responsabilidades e
autoridade para:
- assegurar que o programa de continuidade do negócio seja estabelecido, implementado e mantido
em
de acordo com a política de continuidade do negócio;
- relatório sobre o desempenho do programa de continuidade do negócio para a alta administração
para revisão e como
a base para a melhoria;
- promover a conscientização do programa em toda a organização; e
- garantir a eficácia dos procedimentos desenvolvidos para a resposta a incidentes, mas não
necessariamente na sua
implementação durante um incidente.
Esta pessoa pode:
- ser conhecido como o "gerente de continuidade do negócio";
- pode ter outras responsabilidades dentro da organização; e
- pode residir em muitas áreas de uma organização de acordo com seu tamanho, escala e
complexidade.
Representantes de cada função ou local da organização podem ser identificados para auxiliar na
implementação do programa de continuidade do negócio. Os seus papéis, responsabilidades,
responsabilidades e
as autoridades devem ser integradas nas descrições de cargos e nos conjuntos de habilidades que
podem ser reforçadas ao incluí-las
na política de avaliação, recompensa e reconhecimento da organização.
A organização pode nomear outros órgãos, como um comitê de direção, para supervisionar a
implementação de
o programa de continuidade do negócio.
Todos os papéis, responsabilidades e autoridades no programa de continuidade do negócio devem
ser definidos e
documentado e sujeito a auditoria.
6 Planejamento
6.1 Ações para enfrentar riscos e oportunidades
A organização deve determinar como os problemas identificados em 4.1 e os requisitos em 4.2
serão abordados.
Isso deve envolver a avaliação da necessidade de um plano de ação e, se necessário:
- integrar e implementar essas ações no processo BCMS; e
- assegurando que informações documentadas estarão disponíveis para avaliar se as ações foram
efetivas (ver
também 7,5 ).
6.2 Objetivos de continuidade do negócio e planos para alcançá-los
A alta administração deve assegurar que os objetivos adequados sejam estabelecidos para as
funções e níveis acordados.
dentro da organização, reter informações documentadas relacionadas a elas e indicar claramente
como elas serão
alcançado.
Esses objetivos devem:
Página 25
ISO / DIS 22313
15
- seja claramente indicado;
- ser consistente com a política;
- ser mensurável;
- ter prazos para sua realização;
- ter em conta as necessidades e os requisitos aplicáveis;
- permitir oportunidades para manter ou melhorar o desempenho;
- seja monitorado e atualizado, conforme apropriado.
A fim de assegurar que esses objetivos sejam alcançados, as organizações devem determinar:
- quem será responsável;
- o que será feito e quando ele será concluído; e
- como os resultados serão avaliados.
A alta administração pode definir objetivos mínimos de continuidade de negócios (MBCOs) para
produtos e serviços chave em
para estabelecer os níveis mínimos aceitáveis exigidos durante uma interrupção para alcançar a
organização
objetivos de negócios
7 Suporte
7.1 Recursos
7.1.1 Geral
A organização deve determinar e fornecer os recursos necessários para o BCMS.
O gerenciamento deve garantir a disponibilidade dos recursos necessários para implementar e
controlar o negócio
sistema de gerenciamento de continuidade e cumprir os objetivos da BCM da organização,
incluindo responder a
incidentes.
Através da alta administração, a organização deve fornecer recursos, capacidades, estruturas e
mecanismos de apoio que irão:
a) alcançar sua política, objetivos e metas de continuidade de negócios;
b) atender aos requisitos em mudança da organização;
c) permitir uma comunicação efetiva sobre assuntos de sistema de gerenciamento de continuidade
de negócios, internamente e
externamente; e
d) providenciar a operação contínua e a melhoria contínua da gestão da continuidade do negócio
sistema.
Estes devem ser fornecidos de forma oportuna e eficiente.
Página 26
ISO / DIS 22313
16
7.1.2 Recursos do BCMS
Ao identificar os recursos necessários para implementar e manter o BCMS, a organização deve
faça provisão adequada para:
a) Recursos relacionados a pessoas e pessoas, incluindo:
1)
O tempo necessário para desempenhar funções e responsabilidades do BCMS;
2)
Treinamento, educação, conscientização e exercício;
b) Instalações, incluindo locais de trabalho e infra-estrutura adequados;
c) Tecnologia, incluindo aplicativos que suportam gerenciamento de programas eficaz e eficiente;
d) Gestão e controle de todas as formas de informação documentada; e
e) Informações, incluindo a consideração de:
1)
Políticas;
2)
Partes interessadas (consulte a figura 4 na página X);
3)
Documentos legais (por exemplo, contratos, apólices de seguros, escrituras de títulos, etc.); e
4)
Outros documentos de serviços (por exemplo, contratos e acordos de nível de serviço).
7.1.3 Pessoal de resposta a incidentes
A organização deve nomear pessoal de resposta a incidentes com a necessária responsabilidade,
autoridade
e competência para gerir um incidente.
O pessoal de resposta a incidentes deve formar um grupo responsável por administrar qualquer
incidente disruptivo
que afete significativamente ou tenha o potencial de impactar significativamente a organização. As
responsabilidades de
Esta equipe pode incluir e, quando aplicável, deve haver procedimentos para:
a) Detecção e escalada de incidentes;
b) Avaliação de incidentes, incluindo confirmação da natureza e extensão do incidente;
c) Disparando de uma resposta apropriada;
d) Ativação;
e) Evacuação;
f) Triagem e primeiros socorros;
g) Segurança de parâmetros;
h) Controle de tráfego;
i) estabelecimento e operações do centro de operações de emergência;
j) Ligação com serviços de emergência e autoridades locais;
k) Liaison com a equipe de comunicação / comunicação pública de crise da organização;
l) Operações;
Página 27
ISO / DIS 22313
17
m) Coordenação e comunicação da resposta ao incidente; e
n) Análise e relatórios de incidentes de postagem.
Todo o pessoal que esteja neste grupo deve ter responsabilidades e autoridades claramente definidas
que se aplicam
antes, durante e após o incidente.
7.2 Competência
A organização deve estabelecer um sistema adequado e eficaz para gerenciar a competência.
O gerenciamento deve determinar as competências necessárias para todas as funções e
responsabilidades do BCMS e
consciência, conhecimento, compreensão e habilidades necessárias para cumpri-las. Todas as
pessoas atribuídas funções dentro do
a organização deve demonstrar as competências necessárias e receber treinamento, educação,
desenvolvimento e outro suporte necessário para fazê-lo. Isso pode ser referido como um
desenvolvimento de competência
programa que pode incluir:
- Avaliação das competências para o papel a ser realizado;
- Identificação de formação, educação, desenvolvimento e outros apoios necessários para alcançar
competências;
- Fornecimento de treinamento e orientação;
- Compartilhamento de conhecimento;
- Compartilhamento de trabalho;
- Contratação ou contratação de pessoas competentes;
- Concepção e desenvolvimento de um programa de desenvolvimento pessoal;
- Seleção de métodos e materiais adequados;
- Verificação da conformidade com os requisitos de treinamento do BCMS;
- Treinamento de grupos-alvo;
- Documentação e acompanhamento do treinamento recebido;
- Avaliação do treinamento recebido em relação às necessidades e requisitos de treinamento
definidos; e
- Melhoria do programa de desenvolvimento conforme necessário.
A organização deve ter um processo para identificar e entregar o treinamento de continuidade do
negócio
requisitos de todos os participantes e avaliação da eficácia da sua entrega.
O tipo de treinamento que pode ser apropriado para funções específicas são os seguintes:
a) Planejamento e implementação do BCMS:
1)
Gestão do programa de continuidade do negócio;
2)
Realização de uma análise de impacto comercial;
3)
Desenvolver e implementar documentação de continuidade de negócios;
4)
Execução de um programa de exercícios;
Página 28
ISO / DIS 22313
18
5)
Avaliação de risco; e
6)
Habilidades de comunicação;
b) Resposta a incidentes e recuperação de negócios:
1)
Gerenciamento de evacuação;
2)
Shelter-in-place;
3)
Processos de check-in para contabilizar os funcionários;
4)
Arranjos em locais de trabalho alternativos; e
5)
Manipulação de informações da mídia pela empresa.
As habilidades e competências de resposta em toda a organização devem ser desenvolvidas por
treinamento prático,
incluindo participação ativa em exercícios.
As equipes de resposta e recuperação devem receber educação e treinamento sobre suas
responsabilidades e deveres
incluindo interações com os primeiros socorros e outras partes interessadas. As equipes devem ser
treinadas regularmente
intervalos (pelo menos anualmente), e novos membros devem ser treinados quando se juntam à
estrutura de resposta.
Essas equipes também devem receber treinamento sobre prevenção de incidentes que possam se
transformar em crises.
As mudanças no ambiente de negócios e nas operações afetam a abordagem e a forma como as
empresas
As atividades de continuidade são planejadas, projetadas e implementadas. A organização pode
demonstrar a capacidade de
acompanhar e manter em sintonia com as tendências do BCM da indústria, participando ativamente
das atividades da indústria BCM que podem
incluir:
- participação no grupo de interesse da indústria BCM; e
- comparecimento em conferências locais ou globais do BCM.
A demonstração da participação ativa pode ser feita de uma ou mais das seguintes maneiras:
- comissão organizadora de conferências e seminários; e
- apresentação de trabalhos em conferências e seminários.
A competência pode ser reforçada por:
- integração das realizações do BCMS no processo de recompensa e reconhecimento da
organização;
- integração das realizações do BCMS no processo de avaliação e desempenho da organização;
- integração de funções, responsabilidades, responsabilidades e autoridade do BCMS no trabalho da
organização
descrições e habilidades definidas; e
- participação ativa dos usuários empresariais e da alta administração em ensaios, exercícios e
testes.
A organização deve estabelecer programas de treinamento e conscientização para todos os
funcionários atuais que possam ser
afetados por um incidente disruptivo e exigem que os contratantes que trabalham em seu nome
demonstrem essa (s) pessoa (s)
fazer o trabalho sob seu controle tem a competência necessária para o BCMS e os papéis de
resposta que eles irão
executar.
7.3 Consciência
As pessoas que trabalham sob o controle da organização devem ter uma consciência adequada do
BCMS.
Página 29
ISO / DIS 22313
19
Essas pessoas podem incluir pessoal, contratados, parceiros, fornecedores. Eles devem estar cientes
do negócio
política de continuidade e:
- seu papel e responsabilidade no que se refere à prevenção, detecção, mitigação, autoproteção,
evacuação, resposta, continuidade e recuperação;
- a importância da conformidade com a política e os procedimentos de continuidade do negócio;
- as implicações para BCM de mudanças na operação da organização;
- a contribuição para a efetividade do BCMS, incluindo os benefícios da melhoria da continuidade
do negócio
desempenho de gestão; e
- seu papel e responsabilidade na conformidade com os requisitos do BCMS e relatórios de
perigos ou ameaças potenciais.
A organização deve construir, promover e incorporar uma cultura BCM dentro da organização que:
- passa a fazer parte dos valores e gestão do núcleo da organização; e
- faz as partes interessadas conscientes da política de continuidade do negócio e do seu papel nos
procedimentos associados.
Uma organização com uma cultura positiva de continuidade de negócios irá:
- desenvolver um programa de continuidade de negócios de forma mais eficiente;
- instilar confiança em suas partes interessadas (especialmente funcionários e clientes) em sua
capacidade de lidar com negócios
interrupções;
- aumentar a sua resiliência ao longo do tempo, assegurando que as implicações da continuidade do
negócio são consideradas nas decisões
em todos os níveis; e
- minimizar a probabilidade e o impacto das interrupções.
O desenvolvimento de uma cultura BC é apoiado por:
- envolvimento de todo o pessoal na organização;
- liderança de gestores;
- atribuição de responsabilidades;
- indicadores de desempenho;
- sensibilização;
- treinamento de habilidades; e
- exercitar procedimentos de continuidade de negócios.
Um programa de conscientização pode incluir:
- um processo de consulta com funcionários em toda a organização sobre a implementação da
programa de continuidade do negócio;
- discussão do BCM nos boletins informativos da organização, briefings, programa de introdução
ou diários
(incluindo a nova orientação do funcionário);
Page 30
ISO / DIS 22313
20
- inclusão do BCM em páginas web e intranets relevantes;
- inclusão do BCM como tema nas reuniões da equipe e da equipe de gerenciamento;
- publicação seletiva de relatórios de revisão pós-evento após incidentes;
- briefings para a alta administração;
- visitas a localização alternativa designada (por exemplo, um local de recuperação);
- informar os principais fornecedores e distribuidores sobre os arranjos de continuidade dos
negócios da organização; e
- estabelecer processos internos apropriados.
7.4 Comunicação
A organização deve ter procedimentos efetivos de comunicação e consulta para o intercâmbio de
informações com as partes interessadas.
Estes devem incluir:
a) Comunicação interna entre partes interessadas, inclusive funcionários dentro da organização;
b) Comunicação externa com clientes, entidades parceiras, comunidade local e outras partes
interessadas,
incluindo a mídia;
c) Receber, documentar e responder à comunicação de todas as partes interessadas;
d) Adaptar e integrar um sistema de aconselhamento de ameaças nacional ou regional ou
equivalente em planejamento e
uso operacional, onde e se apropriado;
e) Alertar as partes interessadas potencialmente impactadas por um incidente real ou iminente;
f) Garantir a disponibilidade dos meios de comunicação durante um incidente disruptivo;
g) Facilitar a comunicação estruturada com as autoridades competentes e assegurar a
interoperabilidade de
organizações e pessoal com várias respostas, quando apropriado; e
h) Operação e teste das capacidades de comunicação destinadas a serem utilizadas durante a
interrupção do normal
comunicações.
A organização pode convidar todos os recursos externos que possam estar envolvidos em uma
resposta - como fogo, polícia,
Saúde Pública e fornecedores de terceiros - para revisar com o gerenciamento partes relevantes de
sua continuidade de negócios
procedimentos.
A organização pode incluir referências aos seus acordos BCMS e continuidade de negócios em
fornecedores e
boletins informativos e briefings de clientes.
A organização deve fornecer uma comunicação externa eficaz como parte de seu programa de
conscientização (ver
seção 7.3 ) e após um incidente (ver 8.4).
7.5 Informação documentada
7.5.1 Geral
As informações documentadas fornecem provas de conformidade aos requisitos e operação efetiva
do
Sistema de gestão.
Page 31
ISO / DIS 22313
21
O termo "procedimento" significa uma forma específica de realizar uma atividade ou um processo.
Um "procedimento documentado"
significa que o procedimento deve ser estabelecido e mantido em qualquer meio.
Um único documento pode abordar os requisitos para um ou mais procedimentos documentados e
um requisito
Para um procedimento documentado pode ser coberto por mais de um documento.
A documentação recomendada por este padrão deve incluir:
- Política de continuidade do negócio;
- Objetivos BCMS e BCM;
- Análise do impacto do negócio (BIA);
- Avaliação de risco;
- Opções de continuidade do negócio;
- Programa de conscientização;
- Programa de treino;
- Procedimentos de continuidade do negócio;
- Planos de continuidade do negócio;
- Programação de exercícios e relatórios; e
- Contratos e contratos de nível de serviço.
As informações documentadas relativas ao BCMS podem incluir:
- Organização e programas de treinamento individual;
- Evidência de monitoramento e desempenho do processo;
- Evidências de inspeção, manutenção e calibração;
- Documentação pertinente do contratante e fornecedor, incluindo contratos escritos;
- Publicar relatórios de eventos após incidentes e hits próximos;
- Relatórios que mostram resultados, análises e conclusões de exercícios e testes;
- Resultados da auditoria;
- Resultados da revisão de gestão;
- Decisão de comunicação externa;
- Documentação legal e regulamentar aplicável e evidência de conformidade;
- Ataques que mostram discussões e conclusões relativas a riscos e impactos significativos;
- Minutas e notas das reuniões dos sistemas de gestão; e
- Boletins informativos e outras comunicações com as partes interessadas.
Página 32
ISO / DIS 22313
22
Devem ser tomados cuidados adequados para assegurar a proteção e não divulgação de informações
confidenciais.
As organizações devem garantir a integridade das informações documentadas, tornando-a
inviolável, com segurança
apoiado, acessível apenas para pessoal autorizado e protegido contra danos, deterioração e perda.
A organização deve cumprir plenamente todas as leis e regulamentos relevantes relativos à retenção
de
informações documentadas e estabelecer, implementar e manter os processos necessários para
alcançar
conformidade.
O BCMS da organização deve cumprir todos os requisitos de informação documentada para o
BCMS como conjunto
abaixo.
7.5.2 Criar e atualizar
A organização deve cumprir todos os requisitos para criar ou atualizar informações documentadas.
- sua identificação e descrição (por exemplo, um título, nome, data, autor, número, referência de
revisão, etc.);
- consideração de como as informações serão capturadas e apresentadas; e
- sua revisão e aprovação para adequação, quando aplicável.
A captura e a apresentação devem incluir o formato a ser usado (por exemplo, idioma, versão de
software, gráficos)
e a mídia a ser usada (por exemplo, papel, documento eletrônico)
A extensão da informação documentada para o BCMS pode diferir de uma organização para outra
devido a:
- o tamanho da organização, seus produtos e serviços e o tipo de atividades que realiza;
- a complexidade das atividades e suas interações; e
- a competência das pessoas.
7.5.3 Controle de informações documentadas
Todas as informações documentadas necessárias devem ser controladas.
O objetivo do controle da documentação é assegurar que as organizações criem, mantenham e
protejam
documentos de forma apropriada e suficiente para implementar e operar o BCMS. O primário
O foco deve ser para este propósito em vez de estabelecer um sistema de controle de documentos
complexo.
Exemplos de proteção incluem evitar que os documentos sejam comprometidos, modificados sem
apropriação
autorização e eliminado acidentalmente.
Existem vários níveis de acesso e combinações que podem ser concedidos, por exemplo, apenas
visualizar, visualizar e
alteração e vista restrita.
Um procedimento documentado deve ser estabelecido para definir os controles necessários para:
a) distribuir informações documentadas;
b) fornecer acesso a ele (o acesso inclui, por exemplo, as permissões e autoridade para visualizar ou
alterar
informação documentada);
c) aprovar documentos para adequação antes da emissão;
Página 33
ISO / DIS 22313
23
d) revisar e atualizar conforme necessário e reaprovar os documentos;
e) garantir que as mudanças e o status atual da revisão dos documentos sejam identificados;
f) assegurar que as versões relevantes dos documentos aplicáveis estejam disponíveis nos pontos de
uso;
g) garantir que os documentos permaneçam legíveis e facilmente identificáveis;
h) garantir que documentos de origem externa determinados pela organização sejam necessários
para o planejamento
e a operação do BCMS são identificadas e sua distribuição controlada;
i) evitar o uso não desejado de documentos obsoletos e aplicar uma identificação adequada se eles
forem
retido para qualquer propósito;
j) estabelecer parâmetros de retenção e arquivamento de documentos; e
k) garantir a integridade dos documentos, assegurando que eles são invioláveis, protegidos de forma
segura, acessíveis
apenas para pessoal autorizado protegido de danos, deterioração ou perda e disponível quando
necessário para
resposta ou recuperação.
8 Operação
8.1 Planejamento e controle operacional
A organização deve determinar, planejar, implementar e controlar as atividades operacionais
necessárias para cumprir sua
política e objetivos de continuidade do negócio e atender às necessidades e requisitos aplicáveis.
Um programa de continuidade de negócios deve ser implementado para garantir que o negócio da
organização
Os arranjos de continuidade são gerenciados adequadamente e sua eficácia mantida.
Os mecanismos de controle devem incluir:
a) estabelecendo critérios para atividades operacionais relevantes (estes podem estar relacionados
ao fornecimento de bens e
serviços e podem ser contratados ou terceirizados);
b) implementar controles, de acordo com os critérios; e
c) manter informações documentadas para demonstrar que esses controles foram efetivos.
A organização deve garantir que as mudanças planejadas sejam controladas; as mudanças não
intencionais são revistas; e
Ação apropriada é tomada.
8.1.1 Elementos do programa de continuidade do negócio
O programa de continuidade do negócio compreende os seguintes elementos, conforme ilustrado no
diagrama abaixo:
Page 34
ISO / DIS 22313
24
Figura 5 - Elementos do programa de continuidade do negócio
Esses elementos e onde eles são abordados neste padrão são os seguintes:
a) Gerenciamento do programa de continuidade do negócio (ver cláusulas 4 Contexto da
organização,
5 Liderança, 6 Planejamento, 7 Suporte, 8.1 Planejamento e controle operacional, 9 Avaliação de
desempenho,
10 Melhoria )
O gerenciamento de programas é o cerne do processo de continuidade do negócio. Programa efetivo
A administração estabelece e mantém a abordagem da organização para a continuidade do negócio
b) Incorporação de competências e conscientização (ver cláusulas 7.2 e 7.3)
Promover a conscientização permite que a continuidade dos negócios se torne parte dos valores
fundamentais da organização e
garante que a competência necessária para o gerenciamento do programa e a resposta a um
incidente sejam
mantido. Também suscita a confiança das partes interessadas em que a organização irá lidar
efetivamente
com interrupções.
c) Compreender a organização (ver Cláusula 8.2 Análise de impacto de negócios e avaliação de
risco)
Obter acordo e compreensão de prioridades e requisitos para a continuidade do negócio é alcançado
através de análise de impacto comercial (BIA) e avaliação de risco (RA). A BIA permite que a
organização
priorizar a retomada, as atividades que suportam seus produtos e serviços. Avaliação de risco
promove
compreensão dos riscos para essas atividades e suas dependências e as possíveis conseqüências se
os riscos deveriam se concretizar. Esta compreensão permite que a organização determine
adequados
opções de continuidade de negócios
d) Selecionando opções de continuidade de negócios (ver Cláusula 8 .3 Estratégia de
continuidade de negócios)
Page 35
ISO / DIS 22313
25
A identificação e avaliação de uma gama de opções de continuidade de negócios permitem que a
organização
escolha formas apropriadas de prevenir a interrupção de suas atividades priorizadas e lidar com
qualquer
interrupções que ocorrem. As opções selecionadas proporcionam a retomada das atividades:
- em um nível aceitável de operação; e
- dentro de um prazo aceitável.
NOTA As opções escolhidas precisam levar em consideração qualquer resiliência e contramedidas
que já estão em vigor
dentro da organização (ver Cláusula 8.3.3 Proteção e mitigação).
e) Desenvolver e implementar uma resposta de continuidade de negócios (ver Cláusula 8.4
Estabelecer e
implementar procedimentos de continuidade de negócios )
Implementar arranjos de continuidade de negócios resulta na criação de uma estrutura de resposta a
incidentes
(ver 8.4.2 ), os meios para detectar e responder a um incidente (ver 8.4.3 Aviso e
comunicação ), planos de continuidade de negócios (ver 8.4.4 ) e outros pré-requisitos para lidar
com incidentes
(veja 8.4.5 Recuperação ) .
f) Exercício e teste (ver Cláusula 8.5 Exercício e teste)
Exercício e testes proporcionam a oportunidade à organização garantir que:
- os recursos e procedimentos de continuidade de negócios são completos, atuais e apropriados; e
- são identificadas oportunidades para melhorar sua capacidade de continuidade de negócios.
O programa deve ser implementado por uma pessoa responsável nomeada pela alta administração. o
O programa deve abordar:
- gerenciar o ambiente BCM;
- gerenciar a capacidade de continuidade do negócio; e
- medir a eficácia.
8.1.2 Gerenciando o ambiente BCM
O gerenciamento efetivo do ambiente BCM inclui:
g) Garantir a continuidade da relevância do escopo, funções e responsabilidades para a continuidade
do negócio;
h) Promover e incorporar continuidade em toda a organização e, se for caso disso, mais ampla;
i) Gerenciando os custos associados à capacidade de continuidade do negócio;
j) Estabelecer e monitorar regimes de gerenciamento de mudanças e gerenciamento de sucessão
dentro do
sistema de gerenciamento de continuidade de negócios;
k) Organização ou treinamento adequado para o pessoal; e
l) Manter a documentação do programa apropriada ao tamanho e complexidade da organização.
Cada componente dos arranjos BCM de uma organização, incluindo documentação, deve ser
regularmente
revisado, exercido e atualizado. Esses arranjos também devem ser revisados e atualizados sempre
que
é uma mudança significativa no ambiente operacional, pessoal, processos ou tecnologia da
organização, ou
quando um exercício ou incidente destaca deficiências.
Page 36
ISO / DIS 22313
26
A organização pode adotar um método reconhecido de gerenciamento de projetos para garantir que
o programa BCM seja
efetivamente gerenciado
8.1.3 Gerenciando a capacidade de continuidade do negócio
O gerenciamento de uma capacidade efetiva de continuidade de negócios inclui:
m) Manter o programa de continuidade do negócio atualizado através de boas práticas;
n) Administrando o programa de exercícios;
o) Coordenar a revisão periódica e atualização da capacidade de continuidade do negócio, incluindo
revisão ou
análise de impacto de negócios de retrabalho (BIAs) e avaliações de risco; e
p) Assegurar a manutenção da documentação de resposta adequada às necessidades das equipes de
resposta.
8.1.4 Medição da eficácia
Medir a eficácia precisa abordar ambos:
a) Monitoramento do desempenho da capacidade de continuidade do negócio; e
b) Acompanhamento e revisão dos arranjos de continuidade do negócio para atividades terceirizadas
e BCM
capacidades dos fornecedores.
8.1.5 Resultados
Os resultados indicativos de um programa efetivo de continuidade do negócio podem incluir o
seguinte:
a) Os principais produtos e serviços são identificados e protegidos, garantindo sua continuidade;
b) Uma capacidade de gerenciamento de incidentes é habilitada e fornece uma resposta efetiva;
c) A compreensão da organização em si e suas relações com outras organizações, relevantes
reguladores ou departamentos governamentais, autoridades locais e os serviços de emergência estão
adequadamente
desenvolvido, documentado e compreendido;
d) O exercício regular garante que a equipe seja treinada para responder efetivamente a um
incidente ou ruptura;
e) Requisitos das partes interessadas são entendidos e podem ser entregues;
f) Os funcionários recebem apoio e comunicações adequados em caso de perturbação;
g) A cadeia de fornecimento da organização está segura;
h) A reputação da organização está protegida;
i) A organização continua em conformidade com suas obrigações legais e regulamentares; e
j) Os controles financeiros são mantidos ao longo de um incidente.
8.2 Análise do impacto do negócio e avaliação de risco
8.2.1 Geral
A organização deve estabelecer, implementar e manter um processo formal e documentado para
negócios
análise de impacto e avaliação de risco.
Página 37
ISO / DIS 22313
27
O processo deve:
a) estabelecer o contexto de avaliação, definir critérios e avaliar o impacto potencial relacionado a
um
incidente disruptivo;
b) incluir critérios sistematicamente definidos para avaliar os impactos potenciais de incidentes
perturbadores;
c) levar em consideração os requisitos legais e outros aos quais a organização se inscreve;
d) incluir análise sistemática, priorização de controles de risco e tratamentos e seus custos
relacionados;
e) definir o resultado exigido da análise de impacto do negócio e avaliação de risco; e
f) especificar os requisitos para que esta informação seja mantida atualizada e confidencial.
NOTA
Reconhece-se que existem várias metodologias para análise de impacto de negócios e avaliação de
risco que
pode ser usado para determinar a ordem em que estes serão conduzidos.
Uma organização atinge sua finalidade ao entregar seus produtos e serviços para "clientes". É
importante
portanto, para criar uma compreensão do impacto adverso ao longo do tempo que a interrupção
desses produtos e
os serviços (e as atividades associadas) teriam sobre esses objetivos. Também é importante entender
o
inter-relacionamentos e necessidades de recursos das atividades que suportam produtos e serviços e
a
ameaças a eles.
Figura 6 - Compreender a organização
Através da compreensão, a organização pode garantir que o seu programa de continuidade de
negócios alinhe
seu propósito, deveres estatutários e obrigações para as partes interessadas. O entendimento é
alcançado através da
processos de análise de impacto de negócios e avaliação de risco. Este processo fornece as
informações necessárias para
determine e selecione as opções de continuidade do negócio conforme descrito na seção 8.3 .
A BIA e a avaliação dos riscos devem permitir que a organização identifique medidas que:
Página 38
ISO / DIS 22313
28
a) limitar o impacto de uma interrupção nos principais serviços da organização;
b) encurtar o período de interrupção; e
c) reduzir a probabilidade de uma interrupção.
Os critérios de contexto e avaliação e o formato do resultado desses dois processos devem ser
definidos
e concordou com antecedência.
As informações coletadas durante esses processos devem ser revisadas regularmente,
particularmente durante períodos de
mudança.
8.2.2 Análise do impacto do negócio
A organização deve estabelecer um processo formal de avaliação para determinar a continuidade e a
recuperação
prioridades, objetivos e metas.
O objetivo da BIA é:
- obter uma compreensão dos principais produtos dos produtos da organização e das atividades que
os realizam;
- determinar prioridades e prazos para a retomada após uma interrupção;
- determinar os prazos adequados dentro dos quais a retomada deve ser alcançada para manter a
capacidade da organização de alcançar seus objetivos operacionais, levando em consideração todos
os aspectos contratuais,
requisitos regulamentares e estatutários;
- identificar os principais recursos que provavelmente serão necessários para a recuperação; e
- identificar dependências (tanto internas quanto externas) dependentes para alcançar o
funcionamento operacional da organização.
Objetivos.
A análise do impacto do negócio deve incluir:
a) Identificando as atividades que suportam a entrega dos principais produtos e serviços da
organização - 'chave'
significa aqueles incluídos no escopo do BCMS;
b) Avaliando os impactos potenciais ao longo do tempo de interrupções resultantes de eventos não
controlados e não específicos
sobre essas atividades. Ao avaliar os impactos, a organização deve considerar principalmente os
relacionados com
seus objetivos comerciais e suas partes interessadas. Estes podem incluir:
1) Efeitos adversos no pessoal ou no bem-estar público,
2) Conseqüências da violação de obrigações estatutárias ou requisitos regulamentares,
3) Dano à reputação,
4) Reduzida a viabilidade financeira,
5) Deterioração da qualidade do produto ou serviço, e
6) danos ambientais;
NOTA 1 A interrupção das atividades pode causar a interrupção indireta da entrega de produtos e
serviços. Para
exemplo, a perda da capacidade de pagar fornecedores pode prejudicar a reputação da organização e
resultar em fornecedores
recusando-se a fornecer bens que impedem os produtos que estão sendo fabricados ou os serviços
que estão sendo entregues.
Page 39
ISO / DIS 22313
29
NOTA 2 Devem ser consideradas as variações diárias e a natureza cíclica de muitas atividades, que
podem
incluem variações sazonais e associação com prazos semanais, mensais ou anuais ou datas de
entrega do projeto. o
deve-se supor que a interrupção ocorre no pior momento durante estes ciclos.
c) Estimar o tempo que levaria para os impactos associados à interrupção das atividades da
organização
tornar-se inaceitável;
NOTA 3 O tempo necessário para que os impactos se tornem inaceitáveis pode variar entre
segundos e vários meses
dependendo da natureza da atividade. As atividades sensíveis ao tempo podem precisar ser
especificadas com um ótimo
grau de precisão, por exemplo, ao minuto ou à hora. Menos precisão será aceitável para atividades
menos sensíveis ao tempo.
NOTA 4 O tempo que leva para que os impactos se tornem inaceitáveis pode ser referido como
"máximo tolerável"
período de interrupção "," período máximo tolerável "ou" interrupção máxima aceitável ".
d) Com base na avaliação e tendo em conta outros fatores relevantes, estabelecendo prazos
priorizados para
retomando, a um nível mínimo aceitável especificado, as atividades da organização; e
e) Levando em consideração os prazos priorizados, identificando dependências relevantes e
apoiando
recursos, incluindo fornecedores, terceirização de parceiros e outras partes interessadas
A organização deve documentar sua abordagem para avaliar o impacto das interrupções ao longo do
tempo e sua
conclusões e conclusões, incluindo identificação de atividades, prioridades de recuperação
recomendadas geradas a partir de
a análise e dependências significativas.
As informações para a análise de impacto do negócio podem vir de:
- entrevistas;
- questionários;
- workshops; e
- outras fontes internas e externas.
8.2.3 Avaliação de risco
A organização deve estabelecer um processo formal de avaliação de risco que sistematicamente
identifique, analise
e avalia o risco de interromper as atividades priorizadas da organização e os processos, sistemas,
informações, pessoas, ativos, terceirização de parceiros e outros recursos que os apóiem.
A ISO 31010 afirma que "a avaliação de risco é essa parte da gestão de risco que fornece um
processo estruturado
que identifica como os objetivos podem ser afetados e analisa o risco em termos de conseqüências e
seus
probabilidades antes de decidir se um tratamento adicional é necessário.
Avaliação de risco tenta responder às seguintes questões fundamentais:
a) O que pode acontecer e por que (por identificação de risco)?
b) Quais são as conseqüências?
c) Qual é a probabilidade de sua ocorrência futura? e
d) Existem fatores que atenuem a conseqüência do risco ou que reduzam a probabilidade do risco?
O processo precisa levar em consideração as obrigações financeiras, governamentais e sociais.
A organização deve entender as ameaças e vulnerabilidades de cada recurso necessário para cada
atividade, e em particular:
Page 40
ISO / DIS 22313
30
- Requerido por atividades com alta prioridade; ou
- Com um tempo de entrega de substituição significativo
A organização deve selecionar um método adequado para identificar, analisar e avaliar os riscos que
poderiam
resultar em interrupções. O ISO 31000 estabelece os princípios de gerenciamento de riscos e
diretrizes associadas. Típica
Os elementos que devem ser incluídos no contexto desta Norma são os seguintes:
- Determinação dos critérios de aceitação de risco: a organização deve descrever as circunstâncias
sob a qual está disposto a aceitar riscos;
- Identificação de níveis aceitáveis de risco: Qualquer abordagem de avaliação de risco escolhida, a
organização
deve identificar os níveis de risco que considera aceitáveis;
- Análise dos riscos: a abordagem de avaliação de risco da organização deve abordar o seguinte
conceitos:
- As ameaças específicas podem ser descritas como eventos ou ações que poderiam, em algum
momento, causar um impacto
para os recursos, por exemplo, ameaças como incêndio, inundações, falhas de energia, perda de
pessoal, absentismo pessoal, computador
falha de vírus e hardware; e
- Vulnerabilidades podem ocorrer como fraquezas dentro dos recursos e podem, em algum
momento, ser exploradas
pelas ameaças, por exemplo, pontos únicos de falha, inadequações na proteção contra fogo,
resiliência elétrica,
níveis de pessoal, segurança de TI e resiliência de TI.
NOTA
Pode ser benéfico consultar os registros de risco que já foram estabelecidos em outros lugares da
organização
ou por órgãos externos.
A estimativa de um risco para uma atividade como "improvável" não deve ser usada para excluir
essa atividade de exigir uma
estratégia de continuidade. Onde os custos das estratégias de continuidade provavelmente serão
proibitivos, o produto ou serviço
deve ser removido do escopo do BCMS.
8.3 Estratégia de continuidade do negócio
8.3.1 Determinação e seleção
A determinação e a seleção da estratégia de continuidade dos negócios devem basear-se nos
resultados do negócio
análise de impacto e avaliação de risco (ver 8.2 ).
O objetivo da estratégia de continuidade do negócio é reduzir o impacto geral das interrupções ao
reduzir o período
de interrupção e reduzindo sua intensidade a níveis aceitáveis.
A organização deve determinar opções de estratégia apropriadas para:
a) Proteção de atividades priorizadas.
Estes podem ser direcionados para:
1)
Removendo o risco para a atividade;
2)
Transferir a atividade para um terceiro (embora a responsabilidade permaneça com a organização);
e
3)
Cessar ou mudar a atividade se houver alternativas viáveis disponíveis.
As opções para proteger as atividades priorizadas devem ser selecionadas de acordo com:
4)
as vulnerabilidades percebidas da atividade;
Page 41
ISO / DIS 22313
31
5)
o custo das medidas em comparação com os benefícios estimados;
6)
(opcionalmente) a urgência da atividade - uma vez que haverá menos tempo para resolver o
problema; e
7)
a viabilidade geral e a adequação da opção.
b) Estabilizar, continuar, retomar e recuperar atividades priorizadas e suas dependências e
recursos de apoio;
As opções de continuidade podem incluir:
1) Mudança de atividade: a transferência de algumas ou todas as atividades internamente para outra
parte do
organização, ou externamente a um terceiro, de forma independente ou através de uma ajuda
recíproca ou mútua
acordo;
2) Reencaminhamento ou reatribuição de recursos: os recursos, incluindo o pessoal, são transferidos
para outro local ou
atividade dentro da organização, ou externamente a um terceiro;
3) Processos alternativos e capacidade de reserva: Estabelecendo processos alternativos ou criando
capacidade de redundância / reposição em processos e / ou inventário;
4) Recuperação de recursos e habilidades: aprimorando as capacidades das pessoas, incluindo a
multi-competência do pessoal-chave ou
criando acesso a recursos de pessoas adicionais através da terceirização. Os recursos de substituição
são
fornecido por um terceiro ou de estoque mantido remotamente pela organização ou estabelecendo
assistência mútua
acordos com organizações externas e principais partes interessadas para fornecer acesso temporário
a
capacidade adicional;
5) Solução temporária: algumas atividades podem adotar uma maneira diferente de trabalhar, que
fornece a
resultados aceitáveis por um tempo limitado. É provável que a solução seja mais demorada
e / ou intensivo em mão-de-obra (por exemplo, uma operação manual em oposição a um sistema
automatizado). Para estes
razões, a solução só deve ser considerada para estender o período antes do retorno ao normal é
requeridos; e
6) Ao considerar locais em que retomar uma atividade, as opções de continuidade do negócio
devem
incluir o (s) site (s) danificado / afetado (s) e sites alternativos não danificados.
c) Mitigar, responder e gerir impactos.
As opções para mitigar o impacto e a duração de um incidente podem incluir:
1) Seguro: A compra de seguros pode fornecer algumas recompensas financeiras por algumas
perdas, mas será
não cumpre todos os custos (por exemplo, eventos não segurados, marca, reputação, valor das
partes interessadas, participação de mercado
e consequências humanas). Um acordo financeiro por si só não protegerá completamente a
organização e
satisfaça as expectativas dos interessados. A cobertura de seguro é mais provável de ser usada em
conjunto com
uma ou mais outras estratégias; e
2) Restauração de ativos: contratando serviços de stand-by de empresas que se especializam na
limpeza ou
reparação de ativos após seus danos.
A organização deve avaliar todas as opções de estratégia para determinar se essas medidas são
próprias
introduziu novos riscos.
A organização deve implementar um mecanismo para a revisão e aprovação das soluções
recomendadas.
A determinação das opções de estratégia deve incluir a definição de prazos priorizados para a
retomada de
as atividades antes dos impactos resultantes de não retomá-las tornam-se inaceitáveis.
Os objetivos de tempo de recuperação devem ser definidos para cada produto, serviço e atividade.
O objetivo do tempo de recuperação
deve ser inferior ao tempo dentro do qual os impactos de não retomar o produto, serviço ou
atividade
Page 42
ISO / DIS 22313
32
tornam-se inaceitáveis (conforme determinado durante a análise de impacto comercial a que se
refere o ponto .2.2) . Definição do
O objetivo do tempo de recuperação também pode levar em consideração:
- A possibilidade de fornecer um serviço mínimo por um período temporário até o ponto em que a
retomada total
É necessário;
- Soluções alternativas (como processos manuais) que podem diferir a necessidade de recuperação
total da atividade;
- As dependências de atividades inter-relacionadas;
- Complexidade ou escala de recuperação;
- Backlogs e recuperação de dados perdidos; e
- Complexidade dos requisitos de recuperação ou necessidade de equipamentos especializados com
um longo prazo
8.3.2 Estabelecer requisitos de recursos
8.3.2.1 Geral
A organização deve determinar os requisitos de recursos para implementar as opções de estratégia
selecionadas.
A organização deve estabelecer:
a) Equipes apropriadas ou, para organizações menores, indivíduos com autoridade apropriada para
supervisionar o incidente.
preparação, resposta e recuperação;
b) Recursos e procedimentos logísticos para localizar, adquirir, armazenar, distribuir, manter, testar
e contabilizar
serviços, pessoal, recursos, materiais e instalações produzidos ou doados para apoiar o BCMS;
c) Procedimentos financeiros, logísticos e administrativos para apoiar os acordos de continuidade de
negócios antes,
durante e depois de um incidente. Os procedimentos devem:
1) Assegurar que as decisões fiscais possam ser aceleradas; e
2) Seja de acordo com os níveis estabelecidos de autoridade, governança e princípios contábeis;
d) Objetivos de gerenciamento de recursos para tempos de resposta, pessoal, equipamentos,
treinamento, instalações, financiamento,
seguro, controle de responsabilidade, conhecimentos especializados, materiais e os prazos dentro
dos quais cada um será
necessário dos recursos da organização e de qualquer entidade parceira; e
e) Procedimentos para assistência de partes interessadas, comunicações, alianças estratégicas e
auxílio mútuo.
Os recursos e sua alocação devem ser revisados periodicamente, e em conjunto com a alta
administração, para
garantir a sua adequação. Ao avaliar a adequação dos recursos, deve-se considerar o planejamento
mudanças incluindo e quaisquer novas instalações, projetos ou mudanças nas operações.
A organização deve escolher e implementar estratégias de continuidade adequadas para obter e
operar a
recursos que serão necessários para a recuperação de suas atividades priorizadas.
Uma linha de tempo para a recuperação de atividades e a provisão de recursos necessários devem
ser preparadas para
defina os parâmetros para a seleção de opções de estratégia apropriadas.
8.3.2.2 Pessoas
A organização deve identificar medidas adequadas para manter e ampliar a disponibilidade de
habilidades básicas e
conhecimento no caso de o incidente resultar na redução da disponibilidade de pessoal. Essas
medidas devem
Page 43
ISO / DIS 22313
33
incluem funcionários, empreiteiros e outras partes interessadas que possuem extensas habilidades
especializadas e
conhecimento. As técnicas para proteger ou melhorar essas habilidades podem incluir:
- Documentação do processo em que as atividades são realizadas;
- Lista de especialistas qualificados e plano de chamada;
- Treinamento multi-habilidades de funcionários e contratados;
- Separação de habilidades básicas para reduzir o impacto de um incidente, incluindo a separação
física do pessoal com
habilidades básicas em mais de um local;
- Uso de terceiros;
- Planejamento de sucessão; e
- Retenção e gerenciamento de conhecimento.
Os procedimentos que dependem da deslocalização de funcionários após um incidente podem
precisar levar em consideração:
- Transporte de pessoal para outro local;
- Necessidades de pessoal no site alternativo, tais como:
- Alojamento;
- Instalações de restauração;
- Interrupção de arranjos normais, como cuidados infantis; e
- Treinamento em diferentes equipamentos;
- Desafios colocados pelo trabalho em casa.
As funções de especialista podem incluir:
- Segurança;
- Logística de transporte; e
- Bem-estar e emergência
8.3.2.3 Informação e dados
As informações vitais para a operação da organização devem ser protegidas e recuperáveis de
acordo com a
cronogramas identificados dentro da BIA.
NOTA 1 Outras orientações são dadas na ISO / IEC 27001. O armazenamento e a recuperação de
tais informações devem ser
em conformidade com a legislação pertinente.
Qualquer informação necessária para permitir que a resposta e as atividades da organização
funcionem devem ter
apropriado:
- Confidencialidade - por exemplo, se a atividade for movida para outro local;
- Integridade - que a informação é confiável e pode ser confiável;
Page 44
ISO / DIS 22313
34
- Disponibilidade - que a informação está disponível tão rapidamente quanto a atividade o exige.
Informação necessária
durante a resposta pode ser necessária imediatamente, enquanto outros dados podem não ser
necessários por algum tempo
após o incidente; e
- Moeda - como atualizado conforme necessário para permitir que a atividade funcione - embora os
dados perdidos devido ao incidente
pode precisar ser recriado.
As estratégias de informação devem ser documentadas para a recuperação de informações que ainda
não foram copiadas ou
apoiado em um local seguro.
As estratégias de informação devem se estender para incluir:
- Formatos físicos (impressos); e
- Formatos virtuais (eletrônicos), etc.
NOTA 2 Em todos os casos, a informação precisa ser recuperada até um ponto que é conhecido e
acordado pelo topo
gestão. Podem ser utilizados vários métodos de cópia, como backups eletrônicos ou de fita,
microfichas, fotocópias,
criando cópias duplas no momento da produção e assim por diante. Esse conhecido ponto de
recuperação é freqüentemente chamado de "recuperação
objetivo do ponto ".
NOTA 3 O local onde as cópias dos dados são armazenados deve estar localizado a uma distância
suficiente para garantir que o
O incidente não compromete sua integridade ou acesso. No entanto, a distância de separação ideal
pode comprometer o tempo
disponibilidade dos dados. Esta limitação deve ser acordada e documentada.
A moeda necessária de informações disponíveis após uma interrupção também deve ser
documentada - isso pode ser
obtido usando o objetivo do ponto de recuperação de cada categoria de informação.
Informações específicas para BCM podem incluir:
- Informações de contato;
- Fornecedor, partes interessadas e detalhes interessados;
- Documentos legais (por exemplo, contratos, apólices de seguro, títulos de propriedade); e
- Outros documentos de serviços (por exemplo, contratos e acordos de nível de serviço).
8.3.2.4 Edifícios, ambiente de trabalho e utilitários associados
As estratégias do local de trabalho podem variar significativamente e uma variedade de opções pode
estar disponível. Diferentes tipos de incidentes
ou ameaça pode exigir a implementação de opções de trabalho diferentes ou múltiplas. As táticas
apropriadas serão
em parte, será determinado pelo tamanho, setor e divulgação de atividades da organização, pelas
partes interessadas e por
base geográfica. Por exemplo, as autoridades públicas precisarão manter uma entrega de serviços de
linha de frente em suas
comunidades, enquanto algumas organizações podem operar a partir de um país ou continente
diferente.
A organização deve conceber uma estratégia para reduzir o impacto da indisponibilidade de seu (s)
local (es) de trabalho normal (s).
Isso pode incluir um ou mais dos seguintes:
a) Instalações alternativas (locais) dentro da organização, incluindo deslocamento de outras
atividades;
b) Instalações alternativas fornecidas por outras organizações (sejam ou não acordos recíprocos);
c) Centros de controle de emergência;
d) Práticas alternativas fornecidas por especialistas terceirizados;
e) Trabalhar em casa ou em sites remotos;
Page 45
ISO / DIS 22313
35
f) Outras instalações convenientes adequadas; e
g) Uso de uma força de trabalho alternativa em um site estabelecido.
As instalações alternativas devem ser cuidadosamente selecionadas, levando-se em consideração
uma área geográfica que pode ser
afetado pelo mesmo incidente. Um incidente como desastre natural pode causar danos em áreas
amplas e afetar
serviços essenciais como eletricidade, gás, água e comunicação. Se tal risco for esperado,
alternativa
As instalações devem estar distantes de uma possível zona afetada.
Se o pessoal deve ser transferido para instalações alternativas, essas instalações devem estar
próximas o suficiente para que a equipe esteja disposta
e capaz de viajar para lá, tendo em conta eventuais dificuldades causadas pelo incidente. No
entanto, o
As instalações alternativas não devem ser tão próximas que provavelmente serão afetadas pelo
mesmo incidente.
O uso de instalações alternativas para fins de continuidade deve ser apoiado por uma declaração
clara sobre
se os recursos necessários nas instalações alternativas são para uso exclusivo da organização. Se o
As instalações alternativas são compartilhadas com outras organizações, um plano para mitigar a
não disponibilidade desses
As instalações devem ser desenvolvidas e documentadas.
Pode ser apropriado mover a carga de trabalho em vez da equipe, por exemplo, uma linha de
fabricação ou um centro de atendimento
carga de trabalho.
Isso pode exigir capacidade adicional no site alternativo ou adicional (seja por horas extras ou
recrutamento) e
outros recursos disponíveis para operar a atividade
8.3.2.5 Instalações, equipamentos e consumíveis
A organização deve identificar e manter um inventário dos recursos principais que suportam a
prioridade
actividades.
As principais instalações e máquinas exigidas por uma atividade podem se tornar um gargalo para a
sua retomada devido a
dificuldades de substituição ou tempo de execução longo. Opções de continuidade do negócio para
resolver essas necessidades do pescoço da garrafa
planejamento de longo prazo como decisão de gerenciamento.
As técnicas para fornecer estes podem incluir:
- Armazenamento de suprimentos adicionais em outro local;
- Arranjos com terceiros para entrega de estoque em curto prazo;
- Desvio de entregas just-in-time para outros locais;
- Realização de materiais em armazéns ou locais de embarque;
- Transferência de operações de subconjunto para um local alternativo que possui suprimentos;
- Identificação de suprimentos alternativos / substituto; e
- Identificação de instalações e equipamentos e planejamento de múltiplas opções por fases.
Onde as atividades dependem de suprimentos especializados, a organização deve identificar os
principais fornecedores e
fontes únicas de fornecimento. Estratégias para gerenciar a continuidade do fornecimento podem
incluir:
- Aumento do número de fornecedores;
- Incentivar ou exigir que os fornecedores tenham uma capacidade de continuidade de negócios
valida;
- Contratos contratuais e / ou de nível de serviço com fornecedores-chave; e
Page 46
ISO / DIS 22313
36
- Identificação de fornecedores alternativos e capazes.
Onde as atividades estão sendo transferidas, verifique se os fornecedores podem fornecer seus
produtos ou
serviços de forma eficaz no local alternativo.
8.3.2.6 Sistemas de tecnologia das comunicações de informação (TIC)
Técnicas específicas devem ser desenvolvidas para salvaguardar, substituir ou restaurar construções
especializadas ou personalizadas.
tecnologias com longos prazos de entrega. A organização pode precisar fazer provisões para
operações manuais antes
Serviços de tecnologia completa são recuperados.
As técnicas tecnológicas dependerão da natureza da tecnologia empregada e da sua relação com as
atividades,
mas geralmente será uma ou uma combinação dos seguintes:
- Provisão feita dentro da organização;
- Serviços entregues à organização; e
- Serviços prestados externamente por terceiros.
As técnicas tecnológicas podem incluir:
- Distribuição geográfica da tecnologia, ou seja, manter a mesma tecnologia em diferentes locais
que
não seja afetado pela mesma interrupção do negócio;
- Segurando equipamentos antigos como substituição de emergência ou peças sobressalentes; e
- Mitigação de risco adicional para equipamentos de lead time únicos ou longos.
Os serviços de tecnologia da informação (TI) freqüentemente precisam de técnicas complexas de
continuidade. Onde tais técnicas
são necessários, deve ser dada atenção a:
- Objetivos de tempo de recuperação (RTOs) para sistemas e aplicativos que permitem o objetivo do
tempo de recuperação
de cada atividade a ser alcançada;
- Localização e distância entre sites de tecnologia;
- Número de sites de tecnologia;
- Acesso remoto;
- O uso de sites não-com pessoal (escuro) em oposição aos sites de pessoal;
- Conectividade de telecomunicações e roteamento redundante;
- A natureza do "failover" (seja necessária uma intervenção manual para ativar provisão alternativa
de TI ou
se isso precisa ocorrer automaticamente); e
- Conectividade de terceiros e links externos.
Se for adotada uma técnica de "failover over" de um site para outro, a distância do caminho da rede
entre os dois
Os sites devem ser cuidadosamente considerados, pois a distância entre os sites pode ter um
impacto negativo na
modo em que os sistemas de TI operam.
Quando mais de um site hospeda a TI de uma organização, pode haver uma estratégia mútua de
recuperação de TI, de modo que a
sistemas, rede e armazenamento em cada site são dimensionados para lidar com o tráfego
combinado e o trabalho do (s) outro (s)
além do seu próprio trabalho.
Page 47
ISO / DIS 22313
37
Outra solução para mudar as pessoas para instalações alternativas é fornecer-lhes acesso remoto às
TI via
dial-up, ou através da Internet usando Virtual Private Network (VPN) ou tecnologia similar.
NOTA
Mais orientações sobre continuidade para TI e hardware de telecomunicações podem ser
encontradas em documentos como
ISO / IEC 27031, ISO / IEC 27001 e ISO / IEC 20000 (ambas as partes).
8.3.2.7 Transporte
O transporte pode precisar ser fornecido após um incidente para:
- Pessoal enviado para casa se o meio de transporte normal não estiver disponível;
- Funcionários transferidos para local de trabalho alternativo; e
Os recursos podem ser necessários para serem transferidos para um site alternativo.
Se os arranjos logísticos para provisões recebidas e entregas de produtos e serviços recebidos forem
interrompidos,
Opções logísticas alternativas devem ser selecionadas. As técnicas para fornecer estes podem
incluir:
- Identificar possíveis cenários de interrupções logísticas que possam ser causadas diretamente por
um incidente e a
seguindo situações incomuns; e
- Garantir meios e rotas logísticos alternativos, tendo em conta as condições do trânsito, os meios de
transporte e outras redes de logística.
Entrar em acordos de suporte com parceiros de negócios e outras partes interessadas.
8.3.2.8 Finanças
Os controles financeiros devem ser mantidos por meio de um incidente. Isso pode incluir:
- Disponibilidade de fundos para compras de emergência necessárias para resposta e recuperação; e
- Registro de despesas durante um incidente.
8.3.2.9 Parceiros e fornecedores
Se um produto, serviço ou atividade tiver sido terceirizado, a responsabilidade de risco para esse
produto, serviço ou atividade
permanece investido dentro da organização. Conseqüentemente, uma organização deve assegurar-se
de que sua chave
fornecedores ou parceiros de terceirização têm acordos de continuidade efetivos no local. Um
método de fazer isso é
obter provas auditadas da viabilidade dos planos de continuidade dos principais fornecedores e seu
exercício e manutenção
programas.
8.3.3 Proteção e mitigação
Para os riscos identificados que exigem tratamento e de acordo com a sua atitude geral em relação
ao risco, a organização deve
considere maneiras de reduzir a probabilidade, reduzindo o período e limitando os impactos da
interrupção.
8.4 Estabelecer e implementar procedimentos de continuidade de negócios
8.4.1 Geral
A organização deve fornecer procedimentos adequados para gerenciar incidentes disruptivos e
garantir que seja
As atividades continuam com base em seus objetivos de recuperação identificados. Esses
procedimentos também devem cobrir o
atividades necessárias para gerenciar um incidente disruptivo. Os procedimentos de continuidade do
negócio devem estabelecer a
protocolo de comunicação interno e externo apropriado e seja:
Página 48
ISO / DIS 22313
38
a) Específico - no que diz respeito aos passos imediatos que devem ser tomados durante uma
interrupção;
b) Flexível - para que eles possam ser usados para responder a cenários de ameaças imprevistos e
mudar o padrão interno
e condições externas;
c) Focada - eles devem se relacionar claramente com o impacto de eventos que poderiam
potencialmente interromper operações e
desenvolvido com base em premissas declaradas e uma análise das interdependências; e
d) Efetivo - em termos de minimizar as conseqüências de incidentes através da implementação de
estratégias de mitigação.
8.4.2 Estrutura da resposta ao incidente
A organização deve estabelecer procedimentos e uma estrutura de gerenciamento que lhe permita se
preparar,
mitigar e responder efetivamente a incidentes disruptivos.
A estrutura de resposta deve providenciar:
- Identificar limiares de impacto que justifiquem o início de uma resposta formal;
- Avaliar a natureza e a extensão de um incidente disruptivo ou o impacto potencial;
- Implementar medidas para assegurar o bem-estar dos afetados;
- Iniciando uma resposta adequada à continuidade do negócio;
- Ter processos e procedimentos para ativação, operação, coordenação e comunicação do
resposta;
- Recursos disponíveis para suportar os processos e procedimentos necessários para gerenciar um
disruptivo
incidente ou trabalho para minimizar o impacto antes realizado; e
- Comunicação com as partes interessadas, nomeadamente as autoridades e os meios de
comunicação social.
A estrutura de resposta deve ser simples e capaz de ser formada rapidamente. Ao determinar o
estrutura, deve ser dada atenção a:
- Ter um ou mais funcionários competentes disponíveis para estabelecer as ramificações do
incidente e
avaliar o impacto ou impacto potencial do incidente e sua escala de tempo;
- Ser capaz de mobilizar equipes para assumir o controle, conter o incidente e iniciar o negócio
apropriado
resposta de continuidade; e
- Incluindo recursos adequados que podem incluir pessoal, empreiteiros, equipamentos e finanças.
Organizações maiores ou complexas podem usar uma abordagem em camadas para a resposta a
incidentes e podem estabelecer diferentes
equipes para se concentrar em resposta a incidentes, gerenciamento de incidentes, comunicações,
bem-estar, continuidade de negócios e
questões de recuperação de negócios. Em organizações menores, todos os aspectos da resposta a
incidentes podem ser tratados por um
equipe, mas nunca deve ser da responsabilidade de um único indivíduo.
Cada equipe deve ter procedimentos para gerenciar um incidente de acordo com suas
responsabilidades.
8.4.3 Aviso e comunicação
8.4.3.1 Geral
A organização deve estabelecer, implementar e manter procedimentos para aviso e comunicação.
Page 49
ISO / DIS 22313
39
a) detectar um incidente e alertar o pessoal de resposta;
b) acompanhamento contínuo do incidente;
c) comunicação interna entre os vários níveis e funções dentro da organização;
d) comunicações externas com organizações parceiras e outras partes interessadas;
e) receber, documentar e responder à comunicação de outras partes interessadas;
f) receber, documentar e responder a qualquer sistema de aconselhamento de risco nacional ou
regional ou equivalente;
g) alertar as partes interessadas potencialmente impactadas por um incidente perturbador real ou
iminente;
h) assegurar disponibilidade de meios de comunicação durante um incidente disruptivo;
i) facilitar a comunicação estruturada com os respondentes de emergência;
j) assegurar a interoperabilidade de múltiplas organizações e funcionários que respondem;
k) registro de informações vitais sobre o incidente, ações tomadas e decisões tomadas; e
l) operações de uma instalação de comunicação.
A organização deve decidir, usando a segurança de vida como a primeira prioridade e em consulta
com seus interessados
partes, seja para se comunicar externamente sobre seus riscos e impactos significativos. Arranjos
especiais podem
ser necessário para assegurar a eficácia da comunicação com as partes interessadas com
necessidades específicas, tais como
como deficiência. Esta decisão deve ser documentada.
Se a decisão for comunicar, a organização deve estabelecer e implementar procedimentos para
avisos, alertas e comunicação externa, inclusive, conforme apropriado, a mídia.
O sistema de alerta e comunicação deve ser regularmente exercido.
8.4.3.2 Procedimentos de resposta a incidentes
Devem ser estabelecidos procedimentos que, antes de um incidente potencial, podem permitir:
- receber, documentar e responder a qualquer sistema nacional ou regional de avaliação de riscos ou
equivalente;
Isso pode refletir ameaças comuns à localização - como o tsunami, terremoto ou furacão
advertências; e
- alertando as partes interessadas potencialmente impactadas por um incidente disruptivo real ou
iminente - onde o
A organização tem responsabilidade estatutária ou moral por aviso.
Uma vez iniciado o incidente, a organização deve desenvolver procedimentos que assegurem:
- o incidente é continuamente monitorado, através de observação local ou monitoramento remoto, e
qualquer
desenvolvimentos comunicados aos respondedores apropriados;
- comunicação estruturada com respondentes de emergência;
- a interoperabilidade de múltiplas organizações e pessoal de resposta, onde é responsabilidade
desta
a organização;
- fornecer comunicação entre as várias equipes de resposta com a organização;
Página 50
ISO / DIS 22313
40
- comunicação regular com a equipe e outros para quem há um dever de cuidados, como visitantes e
contratados - isso pode precisar estar em um ponto de evacuação inicialmente em casa ou locais
alternativos; e
- registro de informações vitais sobre o incidente, ações tomadas e decisões tomadas - pelos
indivíduos
que os criou ou por um detentor de log designado para cada equipe.
Também são necessários procedimentos para facilitar uma comunicação efetiva em duas vias entre
organizações parceiras e
outras partes interessadas, como os clientes e a mídia.
A organização deve manter as comunicações com essas partes até um retorno ao negócio normal
operações quando uma comunicação marcando o final do incidente pode ser apropriada.
8.4.3.3 Facilidades de resposta a incidentes
Esses procedimentos podem ser facilitados pela utilização de uma facilidade de comunicação
dedicada ou ad hoc. Isso deve ser
localizado suficientemente longe do site afetado, que seu funcionamento não é impedido pelo
incidente.
O equipamento de comunicação disponível deve reconhecer que o incidente pode ter afetado a
desempenho de comunicações normais, de modo que uma variedade de alternativas pode estar
disponível, tais como:
- alto-hailers ou sistemas de endereço público;
- Telefones móveis de reposição; e
- Rádios bidirecionais.
8.4.4 Planos de continuidade do negócio
8.4.4.1 Geral
A organização deve estabelecer procedimentos documentados que permitirão à organização
responder a uma
incidente e lidar adequadamente com a retomada e recuperação de suas atividades.
Estes procedimentos devem abordar todos os aspectos da resposta a um incidente com especial
atenção à segurança da vida
resolver e abordar todos aqueles que precisarão estar envolvidos na resposta.
As escalas de tempo e os níveis de desempenho devem basear-se nas informações coletadas durante
o impacto comercial
análise (referida no 8.2.2 ) e a estratégia de continuidade do negócio selecionada (referida no 8.3).
O seguinte deve ser claramente identificável dentro de cada plano:
- Finalidade e âmbito;
- Objetivos e medidas de sucesso em termos de atividades priorizadas;
- Critérios e procedimentos de ativação;
- Procedimentos de implementação;
- Funções, responsabilidades e autoridades;
- Requisitos e procedimentos de comunicação;
- Interdependências e interações internas e externas;
- Requisitos de recursos; e
Página 51
ISO / DIS 22313
41
- Processos de fluxo de informação e documentação.
Após o início de um incidente potencialmente perturbador, há uma série de ações que devem ser
considerado para determinar se e quando ativar e implantar o (s) plano (s), incluindo:
a) responder e avaliar o incidente:
1) O que aconteceu e como ocorreu?
2) Quais partes da organização e quais partes interessadas foram ou poderiam ter sido afetadas?
3) Qual é a duração prevista do incidente e seus impactos? e
4) O incidente pode ser gerenciado por arranjos de gerenciamento de rotina?
b) avaliar a avaliação do incidente em relação aos critérios de ativação para cada um dos
procedimentos;
c) declarar um incidente e ativar os procedimentos quando os critérios de ativação foram
cumpridos;
d) mobilizar o pessoal de resposta a incidentes em equipas para atividades de estabilização,
continuidade e recuperação;
e) estabelecer e executar o local de gerenciamento de incidentes;
f) priorizar questões e atividades a serem realizadas na gestão do incidente e seus impactos;
g) controlar e coordenar todos os procedimentos ativados;
h) ativar ou estabelecer sites alternativos para restauração de TI ou outra capacidade de infra-
estrutura e para
a operação temporária das atividades da organização;
i) monitorar o incidente à medida que ele progride;
j) revisão e adaptação de planos em resposta a mudanças nas circunstâncias;
k) escalando e pisando planos e retornando ao gerenciamento rotineiro, pois a capacidade
sustentável é
restabeleceu;
l) realizar um esclarecimento e identificar oportunidades de aprendizagem; e
m) assegurar a boa governança e o intercâmbio e a segurança da documentação gerada durante a
gestão e recuperação do incidente.
Para alcançar a retomada atempada da entrega de produtos e serviços pela organização, o
documentado
Os procedimentos para retomar cada atividade devem:
- atender ao objetivo de tempo de recuperação da atividade que apóia esse produto ou serviço; e
- seja suficientemente confiável.
Isso pode ser alcançado por:
- propriedade ou controle dos meios e recursos para implementar o procedimento; e
- contratos, acordos ou níveis de serviço com terceiros.
A operação do procedimento não será afetada pela mesma interrupção que invocou o procedimento
- em
caso de pandemia, por exemplo, assegurando a sua separação física, técnica e pessoal. No entanto
total
A separação para todas as escalas e tipos de incidentes não é possível e essa limitação deve ser
identificada e
Página 52
ISO / DIS 22313
42
concordou com a alta administração. Esta limitação pode ser expressa em termos de distância,
pessoal mínimo ou
gravidade e pode ser determinada pela resposta das autoridades civis a um incidente grave ou
generalizado.
8.4.4.2 Orientação sobre o conteúdo dos planos de continuidade do negócio
Uma pequena organização pode ter um único procedimento documentado que engloba todos os
requisitos e
cobre suas operações inteiras. Uma organização muito grande pode ter muitos procedimentos
documentados, cada um com um
propósito e escopo definidos.
O objetivo e o escopo do procedimento devem ser definidos, acordados pela alta administração e
compreendidos por
aqueles que o implementarão. Qualquer relação com outros procedimentos relevantes de
continuidade de negócios ou
os documentos dentro da organização devem ser claramente referenciados e o método de obtenção e
acesso
Eles são descritos.
Todos os procedimentos de continuidade de negócios devem ser concisos e acessíveis para aqueles
com responsabilidades definidas
entre eles. Coletivamente, todos os procedimentos de continuidade de negócios devem conter os
seguintes elementos:
a) Controles do documento (ver 7.5.3 )
b) Funções e responsabilidades:
1) Deve haver funções e responsabilidades definidas para indivíduos ou a equipe que usará o
procedimento de resposta durante e após um incidente; e
2) Deve haver diretrizes e critérios sobre quais indivíduos têm autoridade para invocar o
procedimentos e em que circunstâncias - isso pode seguir etapas de escalação definidas (por
exemplo,
Organização Mundial da Saúde orientações sobre pandemias.
c) Invocação e suspensão:
1) Cada procedimento de resposta deve ter um método pelo qual é invocado com consideração
quanto a
seja dentro ou fora do horário normal de trabalho;
2) Cada procedimento de resposta deve conter um meio formal de manter o time em baixo; e
3) Cada procedimento de resposta deve, conforme apropriado, identificar locais de reunião com
alternativas.
d) Gerenciamento de incidentes:
1) O procedimento de resposta deve conter detalhes de ações e tarefas que precisam ser realizadas;
2) Quando apropriado, o procedimento de resposta deve incluir a gestão das questões de bem-estar
dos afetados
pessoal e bem-estar dos membros da equipe;
3) O procedimento de resposta deve abordar questões no nível apropriado - estratégico, tático ou
opções operacionais. As questões que estão em outros níveis devem ser escaladas ou delegadas em
outras equipes
como requerido; e
4) O procedimento de resposta deve especificar um método para registrar informações-chave sobre
o incidente,
ações tomadas e decisões tomadas.
e) Informações de contato:
1) O procedimento de resposta deve conter detalhes de contato para as partes interessadas relevantes
que são
relevante - os detalhes de contato devem ser realizados em relação à legislação local de proteção de
dados; e
2) Os procedimentos de continuidade do negócio devem conter detalhes de contato e mobilização
para qualquer relevante
agências, organizações e recursos que podem ser necessários para apoiar a resposta.
Page 53
ISO / DIS 22313
43
f) Comunicação:
1) Todos os procedimentos de continuidade de negócios devem abordar a comunicação com outras
equipes.
8.4.4.3 Tipos específicos de procedimentos
8.4.4.3.1 Gerenciamento de incidentes / procedimentos de gerenciamento estratégico
O objetivo de um procedimento de Gerenciamento de Incidentes é permitir que a alta administração
da organização tome
controle durante a fase inicial de um incidente quando sua reputação é mais provável que seja
ameaçada.
O procedimento deve fornecer a base para o gerenciamento de todas as questões possíveis,
incluindo as relacionadas aos interessados,
enfrentando a organização durante um incidente.
A organização deve identificar uma localização, espaço ou espaço a partir do qual um incidente será
gerenciado. Uma vez
Esta localização deve ser o ponto focal para a resposta da organização. Uma reunião alternativa
apontar para um local diferente também deve ser indicado no caso de o acesso ao local principal ser
negado. Cada
a localização deve ter acesso aos recursos apropriados pelos quais a equipe de gerenciamento de
incidentes pode iniciar
atividades efetivas de gerenciamento de incidentes sem demora.
A localização pode ser tão simples como um quarto de hotel ou a casa de um membro da equipe.
Pode ser tão complexo como um
Centro de comando dedicado com PCs, videoconferência e vários telefones. Inicialmente, pode ser
necessário realizar uma reunião virtual ou fora do local, por exemplo, por telefone, teleconferência
ou videoconferência, para que
decisões importantes podem ser tomadas prontamente.
O local escolhido deve ser adequado e incluir:
- Espaço para o número necessário de pessoas;
- Meios efetivos de comunicação primária e secundária; e
- Instalações para acesso e compartilhamento de informações, incluindo o monitoramento dos meios
de comunicação.
Outras equipes de resposta podem exigir instalações similares.
8.4.4.3.2 Procedimentos de comunicação
Os procedimentos de comunicação podem ser incluídos no procedimento de resposta ao
gerenciamento de incidentes ou em um procedimento separado
O procedimento de resposta de comunicação (e equipe) pode ser apropriado.
Existe a necessidade de gerenciar e coordenar ativamente as muitas comunicações que serão
entregues e
recebido durante o incidente. Este procedimento deve conter:
a) detalhes sobre como e em que circunstâncias a organização se comunicará com os funcionários e
seus parentes, principais partes interessadas e contatos de emergência;
b) detalhes sobre a resposta da mídia da organização após um incidente, incluindo:
1) a estratégia de comunicação de incidentes;
2) interface preferida com a mídia;
3) guia ou modelo para elaborar uma declaração para a mídia; e
4) números apropriados de porta-vozes treinados e competentes autorizados a divulgar informações
ao
meios de comunicação.
Page 54
ISO / DIS 22313
44
A informação pré-preparada pode ser especialmente útil nos estágios iniciais de um incidente.
Permite um
organização para fornecer detalhes sobre a organização e seus negócios, enquanto os detalhes do
incidente ainda são
sendo estabelecido.
Pode ser apropriado:
- Estabelecer um local adequado para apoiar a ligação com a mídia, ou outros grupos de partes
interessadas;
- Estabeleça um número apropriado de pessoas competentes e treinadas para responder consultas
telefônicas da
pressione;
- Use todos os canais de comunicação abertos para a organização, incluindo as mídias sociais; e
- Prepare material de fundo sobre a organização e suas operações (esta informação deve ser pré-
concordou em liberar).
Grupos de ação de pressão ou comunidade que coletivamente têm poder ou influência sobre a
organização também podem
precisam ser considerados.
Um processo para identificar e priorizar as comunicações com outras partes interessadas principais
deve ser incluído.
Pode ser necessário desenvolver um procedimento separado para gerenciar as partes interessadas,
fornecer critérios para
estabelecendo prioridades e estabelecendo provisões para alocação de pessoas a cada stakeholder ou
grupo de partes interessadas.
8.4.4.3.3 Procedimentos de incidentes e bem-estar
Os procedimentos de incidente e bem-estar abrangem a fase inicial de um incidente envolvendo
danos ou ameaças à
segurança. Eles devem conter tarefas e informações para gerenciar as conseqüências imediatas de
uma interrupção
Incluindo:
- o bem-estar dos indivíduos; e
- opções estratégicas e operacionais para responder à interrupção; e prevenção de novas perdas ou
indisponibilidade de atividades.
As organizações têm a responsabilidade direta de salvaguardar o bem-estar dos funcionários,
contratados, visitantes e
clientes onde um incidente representa um risco direto para a vida, subsistência e bem-estar. Será
necessário prestar atenção especial
pago para qualquer grupo com deficiência ou outras necessidades específicas (por exemplo,
gravidez, incapacidade temporária por lesão,
etc.). Planejar com antecedência para atender a esses requisitos pode reduzir o risco e tranquilizar os
afetados. O longo-
Os impactos de incidentes a longo prazo não podem ser subestimados. Desenvolver estratégias
adequadas em apoio à
O bem-estar pode promover diretamente a recuperação física e emocional dentro da organização e
isso deve levar
em consideração considerações sociais e culturais relevantes.
Um procedimento de resposta ao bem-estar deve incluir:
- Evacuação do site (incluindo atividades internas de "abrigo no local") e pontos de montagem;
- A mobilização de equipes de segurança, primeiros socorros ou de evacuação; e
- Localizando e contabilizando aqueles que estavam no local ou nas imediações.
Eles também podem incluir:
- Serviços de tradução;
- Assistência ao transporte, incluindo instruções conforme necessário;
- Ligações designadas e informações de contato para serviços de emergência, agências apropriadas
e primeiro
respondedores;
Página 55
ISO / DIS 22313
45
- Locação de trabalhadores deslocados ou contratados;
- Gerenciando linhas de ajuda telefônica; e
- Serviços de reabilitação e aconselhamento (físico e emocional).
A organização pode manter um meio para prestar serviços para debriefar e aconselhar a equipe
afetada após um incidente
e fornecer suporte a longo prazo. Os serviços podem ser obtidos externamente ou podem ser
fornecidos como uma extensão para
programas existentes de saúde ocupacional e assistência aos empregados.
A organização deve implantar pessoal com os níveis apropriados de autoridade para estabelecer a
ligação, quando apropriado, com a
serviços de emergência. Os serviços de emergência desempenham o papel principal na proteção da
vida e no alívio do sofrimento durante
emergências. Portanto, a ligação precoce, a planejamento prévio e a coordenação de incidentes em
tempo real entre os
organização e seus primeiros atendentes e os serviços de emergência podem melhorar a eficiência
de um incidente
resposta.
Todos os recursos necessários devem ser especificamente identificados. Um recurso deve estar
disponível em tempo hábil
e deve ter a capacidade de fazer a função pretendida. A restrição do uso do recurso deve ser
levado em conta, e a aplicação do recurso não deve incorrer em mais responsabilidade do que a falta
de uso da
recurso. O custo do recurso não deve superar o benefício.
Os recursos que podem ser necessários para a resposta ao bem-estar incluem, mas não estão
limitados a, o seguinte:
- Os locais, quantidades, acessibilidade, operabilidade e manutenção de equipamentos (por
exemplo, pesados,
proteção, transporte, monitoramento, descontaminação, resposta, equipamento de proteção
individual);
- Suprimentos (por exemplo, médicos, higiene pessoal, consumíveis, administrativos, gelo);
- Fontes de energia (por exemplo, elétrica, combustível);
- Produção de energia de emergência (geradores);
- Sistemas de comunicação;
- Comida e água;
- Informação técnica;
- Vestuário e abrigo;
- Pessoal especializado (por exemplo, organizações médicas, religiosas, voluntárias, gestão de
desastres / emergências
funcionários, trabalhadores de serviços públicos, morticians e contratados privados);
- Grupos de voluntários especializados (por exemplo, cruz vermelha, rádio amador, organizações de
ajuda religiosa, organizações de caridade
agências;
- Voluntário, comunidade e apoio à resposta de emergência; e
- Agências externas internacionais, nacionais, provinciais, tribais, territoriais e locais.
Um ou mais procedimentos devem ser preparados para abordar a minimização da perda de recursos
após uma
incidente destrutivo. Isso pode incluir orientação sobre:
- Salvaguardar prioridades para instalações, equipamentos e informações documentadas; e
- Segurança das instalações entregues pelos Serviços de Emergência.
Page 56
ISO / DIS 22313
46
8.4.4.3.4 Procedimentos para a retomada de atividades
Cada procedimento deve especificar:
- Atividades prioritárias a serem retomadas;
- Calendários dentro dos quais devem ser retomados;
- Níveis de recuperação necessários para cada atividade prioritária; e
- Situações em que o procedimento pode ser utilizado.
Cada um deve detalhar, quando apropriado, os recursos necessários em diferentes pontos no tempo
para alcançar o
Objetivos. Isso pode incluir:
- Números de recursos;
- Habilidades e qualificações;
- Equipamento técnico;
- Instalações de telecomunicações; e
- Disponibilidade de recursos contratados, acordados através de auxílio mútuo ou susceptíveis de
estarem disponíveis.
Caso a falta de um serviço ou recurso faça os objetivos do procedimento de resposta da atividade
Inadmissíveis, as ações de escalação devem ser definidas. Essas ações podem incluir:
- Mobilização de recursos externos e de terceiros;
- Comunicação de ações de recuperação; e
- Procedimentos para a implementação de soluções técnicas manuais, recuperação do sistema, etc.
Os requisitos de recursos devem ser documentados e podem incluir:
- Registros vitais (cópia impressa e eletrônica);
- Manuais de operação e procedimento;
- planos e procedimentos de recuperação técnica de TI;
- Localização das instalações de armazenamento fora do local que são utilizadas pela organização;
- Locais alternativos de escritório e operação (se necessário);
- Autoridades / delegações para pagamento de despesas de emergência;
- Uma lista de pessoal com experiência exigida pelas unidades operacionais;
- documentação de infra-estrutura de TI e aplicativos;
- fonte de suporte de telecomunicações;
- Fontes de escritório e equipamentos especializados; e
- Contatos de serviços públicos (água, energia etc.).
Página 57
ISO / DIS 22313
47
8.4.4.3.5 Recuperação de sistemas de tecnologia das comunicações de informação (TIC)
Os procedimentos para a retomada das atividades devem fazer referência aos procedimentos de
recuperação de desastres que prevêem a
recuperação da tecnologia das comunicações de informação necessária para a retomada das
atividades prioritárias. Estes
Os procedimentos de recuperação de desastres devem ter um endereço mínimo:
- Os procedimentos logísticos para invocar os procedimentos de recuperação de desastres e pessoal
de implantação;
- Acesso a dados de backup e aquisição de hardware alternativo; e
- Restauração de dados e comunicações.
Os procedimentos de recuperação de desastres devem apoiar o cronograma de aplicativos e
comunicações
requisitos estabelecidos em todos os procedimentos de continuidade do negócio.
8.4.5 Recuperação
A organização deve ter procedimentos documentados para restaurar e retornar operações comerciais
a partir do
medidas temporárias adotadas para suportar os requisitos comerciais normais após um incidente.
Estes também devem abordar os requisitos relevantes de auditoria e governança corporativa.
A recuperação começa uma vez que as atividades priorizadas foram retomadas. Seu principal
objetivo é recuperar as operações
para o estado que estavam antes do incidente. Isto pode ser conseguido através da reparação dos
danos resultantes de
o incidente, migrando as operações de instalações temporárias para o local de negócios primário
restaurado ou
Movendo-se para um novo local. Uma decisão sobre a melhor forma de "retornar ao normal" deve
ser tomada com base no
gravidade dos danos causados pelo incidente e estimativa de quanto tempo pode demorar para
estabelecer a
instalações necessárias.
Os procedimentos documentados necessários devem providenciar uma avaliação detalhada da
situação e seu impacto
e a determinação de tarefas, etapas ou atividades necessárias para a recuperação. Durante a
recuperação, a organização pode
preciso:
a) estabelecer recursos de recuperação e infra-estrutura;
b) operar em instalações de recuperação;
c) restaurar instalações danificadas;
d) garantir compras e financiamento de emergência;
e) equipamento de resgate em instalações danificadas;
f) fazer reclamações contra apólices de seguro existentes;
g) obter mão de obra adicional para suportar o esforço de recuperação;
h) selecionar opções para restaurar e retornar ao negócio;
i) migrar operações para instalações de recuperação;
j) recuperar informações documentadas perdidas;
k) comunicar com as partes interessadas relevantes e suas respectivas frequências;
l) normalizar as operações nas instalações restauradas;
m) realizar uma revisão pós-recuperação; e
Página 58
ISO / DIS 22313
48
n) conduzir a devida diligência nos requisitos de auditoria e governança corporativa.
Os procedimentos documentados também devem prever atividades que não tenham sido priorizadas
durante a
análise de impacto comercial a que se refere o ponto .2.2 . Podem surgir situações em que
instalações adequadas para a
a retomada de tal atividade não estará disponível dentro do seu objetivo de tempo de recuperação.
8.5 Exercício e teste
8.5.1 Geral
Os arranjos de continuidade de negócios e gerenciamento de incidentes de uma organização não
podem ser considerados confiáveis
até serem exercidas e a menos que sua moeda seja mantida. O exercício é essencial para
desenvolver o trabalho em equipe
competência, confiança e conhecimento, todos os quais são vitais no momento de um incidente.
A organização deve exercer seus procedimentos de continuidade para garantir que sejam
consistentes com os negócios
objetivos de gerenciamento de continuidade.
8.5.2 Programa de exercícios
Não importa o quão bem concebido e pensado um procedimento parece ser, uma série de robusto e
realista
Os exercícios identificam áreas que exigem alteração.
Um programa de exercícios deve ser consistente com o escopo dos procedimentos de continuidade
do negócio,
em relação a qualquer legislação e regulamento relevantes.
Um programa de exercícios deve ser concebido que, ao longo de um período de tempo, leva a
garantia objetiva de que a
Os procedimentos funcionarão conforme previsto quando necessário. O programa deve:
a) Exercer os sistemas técnicos, logísticos, administrativos, processuais e outros sistemas
operacionais da
procedimentos;
b) Exercer os arranjos e infra-estrutura de continuidade do negócio (incluindo funções,
responsabilidades e
locais de gerenciamento de incidentes e áreas de trabalho, etc.); e
c) Validar a recuperação de tecnologia e telecomunicações, incluindo a disponibilidade e o
deslocamento de pessoal.
A escala e a complexidade dos exercícios devem ser adequadas aos objetivos de recuperação da
organização.
A frequência dos exercícios deve depender das necessidades da organização, do ambiente em que
opera.
e os requisitos das partes interessadas. No entanto, o programa de exercício deve ser flexível, tendo
em
alterações na conta dentro da organização e o resultado de exercícios anteriores. Uma mudança
significativa na
a organização pode desencadear o agendamento de um exercício para examinar os arranjos
revisados.
O programa de exercícios deve considerar os papéis de todas as partes, incluindo os principais
fornecedores de terceiros, terceirizar
parceiros e outros que deveriam participar de atividades de recuperação. Uma organização pode
incluir
tais partes em seus exercícios.
O escopo e o detalhe dos exercícios devem ser amadurecidos através do programa com base na
organização
experiência, recursos e capacidades. Testes iniciais podem incluir listas de verificação, exercícios
simples e pequenos
componentes, então a organização pode se deslocar através de exercícios de mesa para simulações
em tempo real em grande escala.
8.5.3 Exercício de planos de continuidade de negócios
Exercícios são atividades projetadas para examinar a capacidade da equipe de responder, recuperar
e continuar efetivamente
executar funções empresariais atribuídas quando confrontados com cenários disruptivos específicos.
A organização deve
exercícios de uso e os resultados documentados de exercícios para garantir a eficácia e prontidão da
sua
planos de continuidade de negócios.
Page 59
ISO / DIS 22313
49
Todo exercício deve ter objetivos claramente definidos que devem ser acordados e assinados antes
da
início do desenvolvimento detalhado do exercício.
Os exercícios podem:
- Antecipar um resultado predeterminado, por exemplo, são planejados e planejados
antecipadamente; e
- Permitir que a organização desenvolva soluções inovadoras.
Os exercícios devem ser realistas, cuidadosamente planejados e acordados com as partes
interessadas, de modo que haja um mínimo
risco de interrupção nos processos de negócios e de um incidente que ocorre como resultado direto
do exercício. este
pode ser alcançado realizando o exercício dentro de um ambiente controlado e isolado desde que
isso faça
não comprometem a integridade dos objetivos que estão sendo testados.
A organização deve projetar cenários de exercício que satisfaçam os objetivos do exercício e podem
usar
ameaças identificadas na avaliação de risco ou outros eventos apropriados.
A eficácia de alguns aspectos dos arranjos do BCM exigirá que determinados indivíduos ou aqueles
ocupar posições específicas têm conhecimentos, habilidades e entendimentos específicos. Estes
deveriam estar no lugar
antes do exercício, permitindo que os participantes os apliquem a cenários e simulações relevantes.
Os exercícios devem ser projetados e conduzidos para que eles forneçam um ou mais dos seguintes:
a) Melhor conhecimento do contexto e prioridades organizacionais;
b) Melhor compreensão do conteúdo e uso dos procedimentos de continuidade do negócio;
c) Melhor confiança na resposta a incidentes;
d) Uma oportunidade para melhorar as capacidades;
e) Uma avaliação da utilidade e aplicabilidade das opções do BCM;
f) Uma avaliação da adequação das capacidades e alocações de recursos desenvolvidas;
g) Identificação de requisitos e práticas anteriormente indocumentados empregados na gestão de um
incidente ou ruptura;
h) Uma oportunidade para identificar quaisquer outras inadequações nos procedimentos escritos de
continuidade do negócio e seus
implementação;
i) Garantir que os procedimentos de continuidade do negócio possam ser implementados quando
necessário;
j) Melhoria da confiança das partes interessadas quanto à preparação da organização; e
k) Um meio de cumprir os requisitos de governança regulatória, contratual ou organizacional.
Os exercícios podem estar em uma variedade de formatos diferentes. A decisão quanto à adequação
do tipo de exercício será
dependem do contexto para o BCM, os objetivos para o exercício, orçamento e disponibilidade de
participantes e
tolerância da organização à interrupção operacional causada pela realização do exercício.
Os principais tipos de exercício são descritos na ISO 22398.
Como parte do exercício, uma revisão deve ser agendada com todos os participantes para discutir
questões e lições
aprendeu. Esta informação deve ser documentada e as atualizações feitas no procedimento de
resposta, conforme necessário.
A organização deve realizar um esclarecimento e análise pós-exercício que considere a realização
de
os objetivos e objetivos do exercício. Deve ser produzido um relatório pós-exercício que contenha
recomendações e um cronograma para sua implementação.
Page 60
ISO / DIS 22313
50
As lições de exercícios e os incidentes reais experimentados devem ser reexaminados durante
exercícios futuros.
Exercícios que mostram deficiências graves ou imprecisões nos procedimentos devem ser
atualizados após a correção
as ações foram concluídas.
Os benefícios do exercício e teste incluem:
- validação do escopo de planejamento, premissas e estratégias;
- garantia do funcionamento correto das instalações e recursos técnicos;
- garantia da capacidade das instalações alternativas;
- aumentar a eficiência e reduzir o tempo necessário para a realização de um processo (por exemplo,
usando repetidos
perfura para reduzir o tempo de resposta); e
- Melhor conhecimento e conhecimento das partes interessadas sobre BCM e seus papéis.
9 Avaliação de desempenho
9.1 Monitoramento, medição, análise e avaliação
9.1.1 Geral
Os procedimentos para o desempenho e a eficácia do BCMS devem incluir a configuração de
desempenho
Métricas; avaliação da proteção de atividades priorizadas; confirmação do cumprimento dos
requisitos;
exame de evidências históricas; e uso de informações documentadas para facilitar a correção
subseqüente
ações. Os procedimentos também devem referir a política e os objetivos de continuidade do
negócio.
Os procedimentos para o monitoramento do desempenho devem incluir:
a) Configuração de métricas de desempenho, incluindo medidas qualitativas e quantitativas
apropriadas
às necessidades da organização;
b) Monitorar até que ponto a política, objetivos e metas de continuidade de negócios da organização
são
conheceu;
c) Avaliar o desempenho dos processos, procedimentos e funções que protegem as atividades
priorizadas;
d) Medidas proativas de desempenho que monitoram a conformidade do BCMS com a legislação
aplicável,
requisitos legais e regulamentares;
e) Medidas reativas de desempenho para monitorar falhas, incidentes, não conformidades (incluindo
falhas e falsos alarmes) e outras evidências históricas de desempenho deficiente em BCMS; e
f) Gravação de dados e resultados de monitoramento e medição suficientes para facilitar a correção
subseqüente
análise de ação.
Os procedimentos devem providenciar medição, monitoramento e avaliação sistemáticos da
organização
desempenho da continuidade do negócio em uma base regular. Um conjunto de indicadores de
desempenho deve ser desenvolvido para
medir os sistemas de gestão e seus resultados. As medições podem ser quantitativas ou
qualitativa. Os indicadores de desempenho podem ser indicadores de gestão, operacionais ou
econômicos. Indicadores
deve fornecer informações úteis para identificar os sucessos e as áreas que requerem correção ou
melhoria.
O BCMS deve fornecer dados de monitoramento e medição para identificar padrões e obter
informações
em relação à sua performance. Esses dados devem ser utilizados para garantir que a política,
objetivos e
São alcançados objetivos e identificando ações corretivas e áreas para melhoria.
Page 61
ISO / DIS 22313
51
A organização deve poder demonstrar que identificou, avaliou e cumpriu o legal
requisitos e quaisquer outros requisitos aos quais tenha subscrito.
Os registros de todas as avaliações periódicas e seus resultados devem ser mantidos.
A organização deve analisar, e em intervalos planejados, avaliar os resultados do monitoramento e
medição.
9.1.2 Avaliação de procedimentos de continuidade
A organização deve realizar avaliações de seus procedimentos e capacidades de continuidade para
garantir
sua adequação, adequação e eficácia contínuas.
As avaliações devem abordar a possível necessidade de mudanças na política, estratégia, objetivos e
outros
elementos do sistema de gerenciamento de continuidade de negócios à luz de coisas como
resultados de exercícios,
circunstâncias em mudança e o compromisso com a melhoria contínua.
As avaliações podem assumir a forma de auditorias internas ou externas, ou auto-avaliações. A
frequência eo tempo de
Os comentários podem ser influenciados por leis e regulamentos, dependendo do tamanho, natureza
e status legal do
organização. Eles também podem ser influenciados pelos requisitos das partes interessadas.
Uma avaliação do programa de continuidade de negócios da organização deve verificar que:
a) todos os principais produtos e serviços e suas atividades e recursos de apoio foram identificados e
incluído na estratégia de continuidade de negócios da organização;
b) política de continuidade de negócios da organização, estratégias, estrutura e procedimentos de
continuidade de negócios
refletir com precisão suas prioridades e requisitos (os objetivos da organização);
c) a competência de continuidade de negócios da organização e sua capacidade de continuidade de
negócios são efetivas e
adequados e permitirão a gestão, comando, controle e coordenação de um incidente;
d) as soluções de continuidade de negócios da organização são efetivas, atualizadas e adequadas, e
apropriado ao nível de risco enfrentado pela organização;
e) a manutenção da continuidade dos negócios da organização e o exercício de programas foram
efetivamente
implementado;
f) estratégias e procedimentos de continuidade de negócios incorporam melhorias identificadas
durante incidentes e
exercícios e no programa de manutenção;
g) a organização possui um programa contínuo de capacitação e conscientização de continuidade de
negócios;
h) os procedimentos de continuidade dos negócios foram efetivamente comunicados ao pessoal
relevante, e que esses funcionários
compreender os seus papéis e responsabilidades; e
i) processos de controle de mudança estão no lugar e operam efetivamente.
Deve ser estabelecido um programa de manutenção claramente definido e documentado. Este
programa deve:
- garantir que quaisquer alterações (internas ou externas) que afetem a organização sejam revisadas
em relação a
Gestão de Continuidade de Negócios;
- identificar novos produtos e serviços e suas atividades dependentes que precisam ser incluídos no
programa de gerenciamento de continuidade de negócios;
- assegure-se de que a capacidade de continuidade de negócios da organização permaneça efetiva,
adequada para o propósito e up-to-
encontro; e
Page 62
ISO / DIS 22313
52
- permitir que os horários de exercícios existentes sejam modificados quando houve uma alteração
significativa em qualquer um dos
opções de continuidade de negócios ou processos comerciais associados.
NOTA
Se houver grandes mudanças de negócios, a organização deve reavaliar a análise de impacto
comercial referida
em 8.2. 2. Os outros componentes do programa de continuidade do negócio podem precisar ser
alterados para ter em conta
estas alterações.
Os resultados do processo de manutenção da continuidade do negócio devem incluir:
- evidência documentada da gestão proativa e da governança dos negócios da organização
programa de continuidade;
- verificação de que as pessoas-chave que devem implementar a estratégia e os procedimentos de
continuidade do negócio são
treinados e competentes;
- verificação do acompanhamento e controle dos riscos de continuidade do negócio enfrentados pela
organização; e
- evidência documentada de que o material muda para a estrutura, produtos e serviços da
organização,
atividades, objetivos, funcionários e objetivos foram incorporados à continuidade do negócio da
organização
e procedimentos.
No caso de um incidente que perturbe as atividades priorizadas da organização ou requer uma
resposta, a avaliação pós-incidente realizada deve:
- identificar a natureza e a causa do incidente;
- avaliar a adequação da resposta da administração;
- avaliar a eficácia da organização no cumprimento dos seus objetivos de tempo de recuperação;
- avaliar a adequação dos arranjos de continuidade do negócio na preparação dos funcionários para
o incidente;
e
- identificar as melhorias a serem feitas nos arranjos de continuidade do negócio
No contexto da melhoria contínua, a organização pode adquirir conhecimento sobre a nova
tecnologia e práticas de gestão, incluindo novas ferramentas e técnicas. Estes devem ser avaliados
para
estabelecer o seu potencial benefício para a organização.
As informações documentadas relativas a todas as avaliações periódicas e seus resultados devem ser
mantidas como evidências
das avaliações.
9.2 Auditoria interna
A organização deve realizar auditorias internas em intervalos planejados para que possa certificar-se
de que o BCMS
está em conformidade com os seus próprios requisitos para o seu BCMS e os requisitos deste
Padrão Internacional.
É essencial realizar auditorias internas do BCMS para garantir que o BCMS esteja alcançando seus
objetivos, que
está em conformidade com os seus arranjos planejados e foi devidamente implementado e mantido,
e para identificar
oportunidades de melhoria. As auditorias internas do BCMS devem ser conduzidas a intervalos
planejados para
determinar e fornecer informações à administração superior sobre adequação e eficácia do BCMS
como
bem como para fornecer uma base para a definição de objetivos para a melhoria contínua do
desempenho do BCMS.
A organização deve estabelecer um programa de auditoria (veja ISO 19011 para orientação) para
direcionar o planejamento
e realização de auditorias, e identificar as auditorias necessárias para atingir os objetivos do
programa. O programa
deve basear-se na natureza das atividades da organização, em termos de avaliação de risco e
impacto
análise, resultados de auditorias passadas e outros fatores relevantes.
Page 63
ISO / DIS 22313
53
Um programa de auditoria interna deve basear-se no escopo total do BCMS, no entanto, cada
auditoria não precisa
cobre todo o sistema ao mesmo tempo. As auditorias podem ser divididas em partes menores, desde
que o programa de auditoria
garante que todas as unidades organizacionais, funções, atividades e elementos do sistema e o
escopo completo do BCMS
são auditados no programa de auditoria dentro do período de auditoria designado pela organização.
Os resultados de uma auditoria interna do BCMS podem ser fornecidos sob a forma de um relatório
e utilizados para corrigir ou prevenir
não conformidades específicas e fornecer contribuições para a realização da revisão da
administração.
As auditorias internas do BCMS podem ser realizadas por pessoal da organização ou por parte
externa
pessoas selecionadas pela organização, trabalhando em seu nome. Em ambos os casos, as pessoas
que realizam a auditoria
deve ser competente e em condições de fazê-lo de forma imparcial e objetiva. Em organizações
menores, auditor
A independência pode ser demonstrada por um auditor livre de responsabilidade pela atividade que
está sendo auditada.
9.3 Análise da gestão
A alta administração deve revisar o BCMS da organização, a intervalos planejados, para assegurar
sua continuação
adequação, adequação e eficácia, incluindo o funcionamento efetivo de seus procedimentos de
continuidade e
capacidades.
A revisão de gerenciamento fornece à gerência superior a oportunidade de avaliar a adequação
contínua,
adequação e eficácia do sistema de gestão. A revisão da gestão deve abranger o escopo de
o BCMS, embora não seja necessário rever todos os elementos ao mesmo tempo e o processo de
revisão pode ocorrer
durante um período de tempo. A revisão da gestão permitirá que a alta administração atenda a
necessidade de mudanças para
principais elementos do BCMS, incluindo:
- Política;
- Alocações de recursos;
- Aceitação de risco;
- Objetivos e metas; e
- Estratégias de continuidade do negócio.
A revisão da implementação e os resultados do BCMS pela alta administração devem ser agendados
regularmente
e avaliado. Embora a revisão contínua do sistema seja aconselhável, a revisão formal deve ser
estruturada e
devidamente documentado e agendado de forma adequada. Pessoas envolvidas na implementação
do
O BCMS e a alocação de seus recursos devem estar envolvidos na revisão da administração.
Além das análises regulares do sistema de gerenciamento, os seguintes fatores podem desencadear
uma revisão
e de outra forma, deve ser examinado uma vez que uma avaliação está agendada:
a) BIA e avaliação de risco: o BCMS deve ser revisado sempre que uma BIA ou avaliação de risco é
completado para a organização. Os resultados da BIA e avaliação de risco podem ser usados para
determinar
se o BCMS aborda adequadamente os riscos que a organização enfrenta.
b) Tendências setoriais / da indústria: as principais iniciativas do setor / indústria devem iniciar uma
revisão do BCMS. Tendências gerais e
as melhores práticas no setor / indústria e nas técnicas de planejamento de continuidade operacional
/ comercial podem ser
usado para fins de avaliação comparativa;
c) Requisitos regulamentares: novos requisitos regulamentares podem exigir uma revisão do
BCMS;
d) Experiência de incidente: uma revisão deve ser realizada após uma resposta a um incidente
disruptivo, seja
ou não o procedimento de resposta foi ativado. Se ativado, a revisão deve levar em consideração o
histórico
do procedimento de resposta, como funcionou, por que foi ativado, etc. Se o procedimento de
resposta não fosse
ativado, a revisão deve examinar o porquê e se essa foi uma decisão apropriada; e
Página 64
ISO / DIS 22313
54
e) Resultados de teste e exercício: com base nos resultados de teste e exercício, o BCMS deve ser
revisado e
modificado conforme necessário.
A melhoria contínua e a manutenção do BCMS devem refletir mudanças nas atividades, funções e
riscos para
a operação da organização que afetará o sistema de gerenciamento. Os seguintes são exemplos de
procedimentos, sistemas ou processos que podem afetar o BCMS:
- Mudanças de políticas;
- Mudanças na organização e seus processos de negócios;
- Mudanças no escopo do BCMS;
- Mudanças nos pressupostos na BIA e avaliação de risco;
- Mudanças de pessoal (funcionários e contratados) e suas informações de contato;
- Mudanças na cadeia de fornecedores e suprimentos;
- Mudanças de processo e tecnologia;
- Mudanças no software de sistemas e aplicativos;
- Perigos e mudanças de ameaça;
- Lições aprendidas com exercícios e testes;
- Lições aprendidas com os incidentes disruptivos das organizações externas;
- Questões descobertas durante a implementação de procedimentos de continuidade de negócios;
- Mudanças no ambiente externo (novos negócios na área, novas estradas ou mudanças no tráfego
existente
padrões, etc.); e
- Outros itens observados durante a revisão dos procedimentos de continuidade do negócio e
identificados durante o risco
avaliação e análise de impacto.
O resultado da revisão da gestão deve incluir decisões e ações, incluindo a comunicação
dos resultados da revisão da administração às partes interessadas.
10 Melhoria
10.1 Não-conformidade e ação corretiva
A organização deve identificar não-conformidades, tomar medidas para controlá-las, conter e
corrigi-las, lidar com
suas conseqüências e avaliar a necessidade de ação para eliminar suas causas.
A organização deve estabelecer procedimentos eficazes para garantir que o não cumprimento de um
requisito,
abordagem de planejamento, incidentes, perdas próximas (hits próximos) e fraquezas associadas ao
BCMS (seu
procedimentos de capacidade e continuidade de negócios) são identificados e comunicados em
tempo hábil para prevenir
ocorrência adicional da situação, bem como identificar e resolver as causas raiz. Os procedimentos
devem permitir
detecção, análise e eliminação contínuas de causas reais e potenciais de não conformidades.
As organizações que aceitam a não conformidade como um sintoma visível podem proceder a
identificar e corrigir o problema.
As não conformidades devem ser identificadas e tratadas de forma oportuna, como as ações
corretivas que
abordá-los. A ação corretiva deve ser originada de uma declaração de não-conformidade bem
definida que claramente
afirma o problema e é entendido.
Page 65
ISO / DIS 22313
55
As não-conformidades, correções, ações corretivas e melhoria contínua são componentes de um
único,
processo inter-relacionado. A ação corretiva aborda a recorrência do problema e a causa raiz e
condições associadas para a ocorrência de um problema.
Quando qualquer inconformidade é identificada, uma investigação sobre sua causa raiz deve ser
conduzida e uma
Plano de ação corretiva desenvolvido para abordar imediatamente o problema. O plano de ação
deve ser projetado
para mitigar quaisquer consequências e identificar as mudanças a serem feitas para corrigir a
situação, restaurar o normal
operações e eliminar a (s) causa (s) para evitar que o problema se repita. A natureza e o calendário
de
as ações devem ser apropriadas para a escala e a natureza da não-conformidade e suas possíveis
consequências.
Um problema potencial pode ser identificado, mas não existe nenhuma inconformidade real. Podem
ocorrer problemas potenciais
extrapolado de ações corretivas por não conformidades reais, identificadas durante a auditoria
interna do BCMS
processo, análise de tendências e eventos da indústria, ou identificados durante o exercício e testes.
Identificação de
possíveis não-conformidades também podem ser parte das responsabilidades rotineiras de pessoas
conscientes da
importância de observar e comunicar problemas potenciais ou reais.
Estabelecendo procedimentos para lidar com inconformidades reais e potenciais e para tomar ações
corretivas
de forma contínua, ajuda a garantir a confiabilidade e eficácia do BCMS. Os procedimentos devem
definir
responsabilidades, autoridade e etapas a serem tomadas no planejamento e execução de ações
corretivas. Topo
A administração deve assegurar que as ações corretivas sejam implementadas e que seja feito um
acompanhamento sistemático
avaliar sua eficácia.
As ações corretivas que resultam em mudanças no BCMS devem ser refletidas na documentação.
Eles deviam
também desencadeiam uma revisão da avaliação de risco e análise de impacto, a fim de avaliar seus
efeitos sobre as empresas
procedimentos de continuidade e necessidades de treinamento. As mudanças devem ser
comunicadas a todos os que precisam saber.
As ações necessárias para eliminar a causa das não-conformidades devem incluir:
a) revisando as não-conformidades;
b) determinar o que os causou;
c) avaliar a necessidade de ações para garantir que elas não se repitam;
d) determinar e implementar a ação apropriada que é necessária; e
e) revisão da eficácia das ações corretivas tomadas.
As ações corretivas tomadas devem ser adequadas aos efeitos potenciais e reais das não-
conformidades
encontrado e a organização deve garantir que as alterações necessárias sejam feitas no BCMS e
reter informações documentadas que fornecem provas de:
- a natureza da não-conformidade;
- as ações corretivas tomadas; e
- os resultados das ações corretivas.
A organização deve identificar e analisar a mudança do contexto interno e externo, e identificar as
ação focalizando a atenção em riscos significativamente alterados.
A prioridade das ações corretivas deve ser determinada com base nos resultados da avaliação de
risco e impacto
análise.
10.2 Melhoria contínua
A organização deve melhorar continuamente a eficácia do BCMS.
Página 66
ISO / DIS 22313
56
A melhoria contínua é um elemento-chave de qualquer padrão de sistema de gerenciamento. A
melhoria contínua pode
operar em três níveis dentro do ciclo PDCA:
a) No nível BCMS, o tempo de ciclo é um ano até vários anos;
b) No nível do programa de continuidade do negócio, o tempo de ciclo pode ser de seis meses até
um ano; e
c) Alguns elementos do programa podem ter um tempo de ciclo de alguns meses.
Os tempos de ciclo podem variar entre as organizações de acordo com seu tamanho, natureza e
complexidade.
A melhoria contínua deve ser conduzida pela política de continuidade do negócio, objetivos,
resultados de auditoria, análise de
eventos monitorados, ações corretivas e revisão de gerenciamento.
As mudanças decorrentes de ações corretivas devem ser refletidas na documentação do BCMS.
A melhoria contínua requer um processo que identifique adequadamente problemas e não
conformidades e, em seguida,
conserta-os. Este processo deve abordar a natureza do problema e do ambiente dentro do qual o
existe um problema e inclui a alteração do ambiente para garantir que o problema não se repita.
Cada passo
deve construir e melhorar o passo anterior para que a melhoria abranja mais aspectos do que apenas
o original
problema identificado e tem um efeito mais amplo e mais contundente sobre a organização.
A implementação de ações corretivas deve ser validada como efetiva. Cada ação deve ter um
data estimada de conclusão. Após essa data, a organização deve garantir que a ação prescrita seja
realizado e eficaz. Se a revisão revelar que a ação não teve sucesso conforme planejado, uma nova
data para a ação
deve ser definido.
O processo de melhoria contínua deve seguir o mesmo processo básico usado para ações corretivas
e
inclui o seguinte:
- Identificar o que abordar e a condição atual (não conformidade);
- Identificar o presente processo e controles (causa raiz); e
- Determine quais mudanças para implementar (ação corretiva).
As ações corretivas abordam deficiências no BCMS e garantem que ele funciona como previsto,
enquanto
A melhoria contínua leva o BCMS a um maior nível de eficiência e eficácia.
Página 67
ISO / DIS 22313
57
Bibliografia
[1]
ISO / PAS 22399: 2007, Segurança social - Diretriz para preparação de incidentes e operacional
gerenciamento de continuidade
[2]
BS 25999-1: 2006, Gestão da continuidade do negócio - Código de Prática , BSI British Standards
[3]
BS 25999-2: 2007, Gerenciamento de continuidade do negócio - Especificação, BSI British
Standards
[4]
HB 221: 2004, Gestão da continuidade do negócio , Normas Austrália / Normas Nova Zelândia,
ISBN 0-7337-6250-6
[5]
SI 24001: 2007, Sistemas de gerenciamento de segurança e continuidade - Requisitos e orientação
para uso ,
Instituição de padrões de Israel
[6]
NFPA 1600: 2007, Padrão de gestão de desastres / emergência e programas de continuidade de
negócios,
National Fire Protection Association (EUA)
[7]
Diretriz de redação do plano de continuidade do negócio , Ministério da Economia, Comércio e
Indústria (Japão), 2005
[8]
Diretriz de Continuidade de Negócios , Conselho Central de Gestão de Desastres, Gabinete do
Gabinete, Governo de
Japão, 2005
[9]
ANSI / ASIS SPC.1: 2009, Resiliência Organizacional: Segurança, Preparação e Continuidade
Sistemas de gerenciamento - Requisitos com orientação para uso
[10] ANSI / ASIS / BSI BCM.01: 2010, Sistemas de Gerenciamento de Continuidade de Negócios:
Requisitos com
Orientação para uso
[11] SS 540: 2008, Singapore Standard for Business Continuity Management
[12] Bravener, Lee C. (1999). O caminho para a melhoria contínua. Quality Digest , maio de 1999
( http://www.qualitydigest.com/may99/html/body_ci.html )

NB

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

NB

Enviado por

Direitos autorais:

Formatos disponíveis

Página 1

ESTE DOCUMENTO É UM PROJETO CIRCULADO PARA COMENTÁRIO E APROVAÇÃO.

Você também pode gostar