Escolar Documentos
Profissional Documentos
Cultura Documentos
Conteúdo
pág.
Introdução........................................................................................................................................5
Generalidades..................................................................................................................................6
Benefícios da gestão de continuidade dos negócios ISO 22301......................................................6
O modelo Planear-Fazer-Verificar-Agir (PDCA).......................................................................7
Explicação do modelo PDCA........................................................................................................7
Planear..........................................................................................................................................7
Fazer.............................................................................................................................................7
Verificar.......................................................................................................................................7
Agir..............................................................................................................................................8
objetivos..........................................................................................................................................8
Componentes do PDCA nesta Norma Internacional..................................................................8
Segurança social - Gerenciamento de continuidade de negócios....................................................9
Sistemas - Requisitos.......................................................................................................................9
Escopo..........................................................................................................................................9
Referências normativas.............................................................................................................9
Termos e definições...................................................................................................................10
Actividade...........................................................................................................................10
Auditar................................................................................................................................10
Continuidade de negócios...................................................................................................10
Gestão de Continuidade de Negócios.................................................................................10
Sistema de gerenciamento de continuidade de negócios (BCMS).....................................10
Plano de continuidade de negócios.....................................................................................10
Programa de continuidade de negócios..............................................................................11
Análise de impacto nos negócios........................................................................................11
Competência.......................................................................................................................11
Conformidade:....................................................................................................................11
Melhoria contínua...............................................................................................................11
Documento..........................................................................................................................11
Informação documentada....................................................................................................11
Eficácia...............................................................................................................................11
Evento.................................................................................................................................11
Exercício.............................................................................................................................11
Incidente.............................................................................................................................11
Infraestrutura.......................................................................................................................12
Parte interessada.................................................................................................................12
Auditoria interna.................................................................................................................12
Invocação............................................................................................................................12
Sistema de gestão.......................................................................................................................12
Interrupção máxima aceitável (MAO).......................................................................................12
Período Máximo Admissível de Interrupção (MTPD).......................................................12
Medição..............................................................................................................................12
Objetivo Mínimo de Continuidade de Negócios (MBCO..................................................12
Acordo de ajuda mútua.......................................................................................................13
Não conformidade..............................................................................................................13
Objetivo..............................................................................................................................13
Organização........................................................................................................................13
Terceirizar...........................................................................................................................13
Desempenho.......................................................................................................................13
Avaliação de desempenho..................................................................................................13
Pessoal................................................................................................................................13
Política................................................................................................................................13
Procedimento......................................................................................................................13
Processo..............................................................................................................................13
Produtos e serviços.............................................................................................................13
Actividades priorizadas......................................................................................................13
Registro...............................................................................................................................14
Objetivo do ponto de recuperação (RPO)...........................................................................14
Objectivo do tempo de recuperação (RTO)........................................................................14
Requerimento:.....................................................................................................................14
Recursos..............................................................................................................................14
Risco...................................................................................................................................14
Apetite ao risco...................................................................................................................14
Avaliação de risco...............................................................................................................14
Gerenciamento de riscos.....................................................................................................14
Testando..............................................................................................................................14
Alta gerência.......................................................................................................................15
Verificação..........................................................................................................................15
Ambiente de trabalho..........................................................................................................15
Contexto da organização................................................................................................................15
Compreensão da organização e do seu contexto........................................................................15
-Definir o objectivo do SGCN...................................................................................................15
Compreender as necessidades e expectativas das partes interessadas................................15
Geral...........................................................................................................................................15
Requisitos legais e regulamentares............................................................................................16
Sistema de gerenciamento de continuidade de negócios...........................................................16
Liderança.......................................................................................................................................16
Liderança e comprometimento...................................................................................................16
Compromisso de gestão.............................................................................................................16
Política.......................................................................................................................................17
Funções organizacionais, responsabilidades e autoridades..................................................17
Planeamento...................................................................................................................................17
Ações para enfrentar riscos e oportunidades..............................................................................17
Objetivos de continuidade de negócios e planos para alcançá-los.............................................18
Suporte...........................................................................................................................................18
Recursos.....................................................................................................................................18
Competência...............................................................................................................................19
Consciência................................................................................................................................19
Comunicação..............................................................................................................................19
Informação documentada...........................................................................................................20
Geral...........................................................................................................................................20
Criando e Atualizando.............................................................................................................20
Controle de informações documentadas....................................................................................20
Operação........................................................................................................................................21
Planeamento e controle operacional..........................................................................................21
Análise de impacto nos negócios e avaliação de risco...............................................................21
Geral...........................................................................................................................................21
Análise de impacto nos negócios...............................................................................................21
Avaliação de risco......................................................................................................................22
Estratégia de continuidade de negócios.................................................................................22
Determinação e seleção..............................................................................................................22
Estabelecendo requisitos de recursos.....................................................................................22
Protecção e mitigação................................................................................................................23
Geral...........................................................................................................................................23
Estrutura de resposta a incidentes..............................................................................................24
Advertência e comunicação.......................................................................................................24
Planos de continuidade de negócios...........................................................................................25
Recuperação...............................................................................................................................26
Exercício e teste.........................................................................................................................26
Avaliação de desempenho.............................................................................................................26
Monitoramento, medição, análise e avaliação...........................................................................26
Geral...........................................................................................................................................26
Avaliação de procedimentos de continuidade de negócios........................................................27
Auditoria Interna........................................................................................................................28
Análise crítica pela administração.............................................................................................28
Melhoria.........................................................................................................................................30
Não conformidade e ação corretiva...........................................................................................30
Melhoria contínua......................................................................................................................31
Conclusão......................................................................................................................................31
Bibliografia....................................................................................................................................32
Introdução
A ISO (Organização Internacional de Normalização) é uma federação mundial de organismos
nacionais de normalização.
Órgãos membros da ISO - O trabalho de preparação de Normas Internacionais é normalmente
realizado através da ISO comissões técnicas. Cada órgão membro interessado em um assunto
para o qual um comitê técnico tenha sido estabelecido tem o direito de ser representado nessa
comissão. Organizações internacionais, governamentais e não-governamentais, em ligação com a
ISO, também participam do trabalho. A ISO colabora estreitamente com a International
Comissão Eletrotécnica (IEC) sobre todos os assuntos de padronização eletrotécnica.
As Normas Internacionais são elaboradas de acordo com as regras dadas nas Diretrizes da ISO /
IEC, Parte 2.
A principal tarefa dos comitês técnicos é preparar Padrões Internacionais. Esboço de Normas
Internacionais adotadas pelos comitês técnicos são distribuídas aos órgãos membros para
votação.
A Norma Internacional exige a aprovação de pelo menos 75% dos órgãos membros que votam.
Chama-se a atenção para a possibilidade de que alguns dos elementos deste documento possam
ser objecto de direitos. A ISO não será responsável por identificar qualquer ou todos os direitos
de patente.
A ISO 22301 foi preparada pelo Comitê Técnico ISO / TC 223, Segurança Social .
5
Generalidades
Esta Norma especifica os requisitos para configurar e gerenciar uma continuidade de negócios
eficaz.
Um Sistema de Gestão de Continuidade de Negócios (BCMS) enfatiza a importância de:
- Compreender as necessidades da organização e a necessidade de estabelecer uma gestão de
continuidade de negócios política e objetivos;
- Implementar e operar controlos e medidas para gerenciar a capacidade geral de uma
organização de gerenciar incidentes disruptivos;
- Monitorizar e rever o desempenho e a eficácia do SGSC e
- Melhoria contínua com base na medição objetiva.
6
O modelo Planear-Fazer-Verificar-Agir (PDCA)
Esta Norma aplica o modelo “Plan-Do-Check-Act” (PDCA) ao planeamento, estabelecimento,
implementar, operar, monitorar, revisar, manter e melhorar continuamente a eficácia de um
BCMS da organização.
Isso garante um grau de consistência com outros padrões de sistemas de gerenciamento, como
a qualidade ISO 9001 sistemas de gestão , ISO 14001, sistemas de gestão ambiental , ISO / IEC
27001, segurança da informação sistemas de gestão , ISO / IEC 20000-1, Tecnologia da
informação - Gestão de serviços , e ISO 28000, especificação para sistemas de gerenciamento de
segurança para a cadeia de suprimentos , suportando assim consistentes e implementação e
operação integradas com sistemas de gerenciamento relacionados.
Fazer
Implementar e operar a política de continuidade de negócios, controles, processos e
procedimentos.
Verificar
Monitorar e analisar o desempenho em relação à política e aos objectivos de continuidade de
negócios.
Reportar os resultados à administração para revisão, determinar e autorizar acções para
remediação e melhoria.
7
Agir
Manter e melhorar o SGCN tomando medidas correctivas, com base nos resultados de revisão da
administração e reavaliação do escopo do BCMS e da continuidade dos negócios política e
objetivos.
8
Cláusula 10: é um componente do Act. Identifica e atua na não-conformidade do BCMS
por meio de ação correctiva.
Sistemas - Requisitos
Escopo
Esta Norma para gestão de continuidade de negócios especifica requisitos para planear,
estabelecer, implementar, operar, monitorar, revisar, manter e melhorar continuamente um
sistema de gerenciamento documentado proteger contra, reduzir a probabilidade de ocorrência,
preparar-se para responder e recuperar-se de danos, incidentes quando eles surgem.
Os requisitos especificados nesta Norma são genéricos e destinados a ser aplicáveis a todas as
organizações, ou partes das mesmas, independentemente do tipo, tamanho e natureza da
organização. A extensão da aplicação desses requisitos depende do ambiente operacional e da
complexidade da organização.
Não é intenção desta Norma impor uniformidade na estrutura de uma Continuidade de Negócio.
Mas para uma organização projectar um BCMS adequado às suas necessidades e que satisfaz os
requisitos das partes interessadas. Essas necessidades são moldadas por aspectos legais,
regulatórios, e os requisitos da indústria, os produtos e serviços, os processos empregados, o
tamanho da estrutura da organização e os requisitos das partes interessadas.
Referências normativas
Os seguintes documentos, no todo ou em parte, são referenciados normativamente neste
documento e são indispensáveis para a sua aplicação. Para referências datadas, somente a edição
citada se aplica. Para referências sem data, a última edição do documento referenciado (incluindo
eventuais alterações), não há referências normativas.
Termos e definições
Para os propósitos deste documento, aplicam-se os seguintes termos e definições:
Actividade: processo ou conjunto de processos realizados por uma organização (ou em
seu nome) que produza ou suporte um ou mais productos e serviços.
EXEMPLO: Tais processos incluem contas, call center, TI, fabricação, distribuição.
9
Auditar: processo sistemático, independente e documentado para obter evidências de
auditoria e avaliá-las objetivamente determinar em que medida os critérios de auditoria
são cumpridos.
Análise de impacto nos negócios: processo de análise de actividades e o efeito que uma
interrupção de negócios pode ter sobre eles.
10
Competência: capacidade de aplicar conhecimentos e habilidades para alcançar os
resultados pretendidos.
Conformidade: cumprimento de um requisito.
Eficácia: até que ponto as atividades planeadas são realizadas e os resultados planeado
são alcançados.
Parte interessada: pessoa ou organização que pode afetar, ser afetada por, ou se
perceber afetada por uma decisão ou atividade.
11
Auditoria interna: auditoria conduzida por, ou em nome da própria organização, para
revisão da administração e outras para fins específicos, e que podem formar a base para a
auto-declaração de conformidade de uma organização.
Interrupção máxima aceitável (MAO): tempo que levaria para impactos adversos, que poderiam
surgir como resultado de não fornecer um produto / serviço ou realizar uma atividade, tornar-se
inaceitável.
Acordo de ajuda mútua: entendimento pré-arranjado entre duas ou mais entidades para
prestar assistência umas às outras.
12
Não conformidade: não cumprimento de um requisito.
Organização: pessoa ou grupo de pessoas que tem suas próprias funções com
responsabilidades, autoridades e relacionamentos alcançar seus objetivos.
Terceirizar: fazer um arranjo em que uma organização externa executa parte da função
de uma organização ou processo.
Política: intenções e direção de uma organização formalmente expressas por sua alta
direção.
Produtos e serviços: resultados benéficos fornecidos por uma organização aos seus
clientes, destinatários e partes interessadas, por itens manufaturados, seguro de carro e
enfermagem comunitária..
13
Registro: declaração dos resultados obtidos ou evidência de atividades realizadas.
Apetite ao risco: quantidade e tipo de risco que uma organização está disposta a buscar
ou manter.
14
Alta gerência: pessoa ou grupo de pessoas que dirige e controla uma organização ao
mais alto nível.
Contexto da organização
Compreensão da organização e do seu contexto
A organização deve determinar questões externas e internas que sejam relevantes para o seu
propósito e que sua capacidade de alcançar o (s) resultado (s) pretendido (s) do seu BCMS.
Estas questões devem ser tidas em conta aquando da elaboração, implementação e manutenção
do
BCMS da organização.
A organização deve identificar e documentar o seguinte:
- As actividades, funções, serviços, produtos, parcerias, cadeias de suprimento, relacionamentos
da organização com as partes interessadas e o impacto potencial relacionado a um incidente
disruptivo;
- Vínculos entre a política de continuidade de negócios e os objetivos da organização e outras
políticas, incluindo sua estratégia geral de gerenciamento de risco; e
- O apetite por risco da organização.
15
-Definir o objectivo do SGCN.
Compreender as necessidades e expectativas das partes interessadas
Geral
Ao estabelecer o seu SGCN, a organização deve determinar
a) As partes interessadas relevantes para o SGCN e
b) os requisitos dessas partes interessadas (ou seja, suas necessidades e expectativas, se
implícita ou obrigatória).
Liderança
Liderança e comprometimento
Pessoas na alta administração e outras funções relevantes de gerenciamento em toda a
organização
demonstrar liderança em relação ao SGCN.
EXEMPLO: Essa liderança e compromisso podem ser demonstrados motivando e capacitando
pessoas a contribuir para a eficácia de o BCMS.
16
Compromisso de gestão
A alta administração deve demonstrar liderança e comprometimento com relação ao SGCN ao:
- Assegurar que políticas e objetivos sejam estabelecidos para o sistema de gerenciamento de
continuidade de negócios e são compatíveis com a direção estratégica da organização;
- Assegurar a integração dos requisitos do sistema de gestão da continuidade dos negócios no
Processos de negócios da organização;
- Garantir que os recursos necessários para o sistema de gestão da continuidade dos negócios
estejam disponíveis;
- Comunicar a importância de uma gestão eficaz da continuidade dos negócios e de estar em
conformidade Requisitos do BCMS;
- Garantir que o SGCN atinja o (s) resultado (s) pretendido (s);
- Dirigir e apoiar pessoas para contribuir para a eficácia do SGCN;
- Promover a melhoria contínua e
- Apoiar outras funções de gestão relevantes para demonstrar a sua liderança e empenho, uma
vez que aplica-se às suas áreas de responsabilidade.
Política
- É apropriado para o propósito da organização,
-Fornece uma estrutura para estabelecer objectivos de continuidade de negócios,
-Inclui um compromisso para satisfazer os requisitos aplicáveis,
-Inclui um compromisso com a melhoria contínua do SGCN.
17
- Relatar o desempenho do SGCN à alta administração.
Planeamento
Acções para enfrentar riscos e oportunidades
Ao planejar o BCMS deve determinar os riscos e oportunidades que devem ser abordados para:
- Assegurar que o sistema de gestão possa alcançar o (s) resultado (s) pretendido (s);
- Prevenir ou reduzir efeitos indesejados;
- Alcançar a melhoria contínua.
18
- Como os resultados serão avaliados?
Suporte
Recursos
A organização deve determinar e fornecer os recursos necessários para o estabelecimento,
implementação, manutenção e melhoria contínua do SGCN.
Competência
A organização deve:
a) Determinar a competência necessária da (s) pessoa (s) que realiza (m) trabalho sob seu
controle que afeta seu desempenho;
b) Assegurar que essa (s) pessoa(s) seja(m) competente(s) com base em educação, treinamento
experiência;
c) Quando aplicável, tomar medidas para adquirir a competência necessária e avaliar a eficácia
de acções tomadas e
d) Reter informações documentadas apropriadas como prova de competência.
Consciência
Pessoas que trabalham sob o controle da organização devem estar cientes da / do:
a) Política de continuidade de negócios;
b) Contribuição para a eficácia do SGCN, incluindo os benefícios de melhores negócios
Desempenho de gerenciamento de continuidade;
c) Implicação de não conformidade com os requisitos do SGCN e
d) Seu próprio papel durante incidentes disruptivos.
Comunicação
A organização deve determinar a necessidade de comunicações internas e externas relevantes
para o SGSC.
Incluindo:
a) Sobre o que irá comunicar;
19
b) Quando se comunicar;
c) Com quem se comunicar.
Informação documentada
Geral
O SGCN da organização deve incluir:
- Informação documentada requerida por esta Norma e
- Informação documentada determinada pela organização como necessária para a eficácia do
BCMS.
Criando e Atualizando
Ao criar e actualizar informações documentadas, a organização deve assegurar:
a) Identificação e descrição (por exemplo, título, data, autor ou número de referência),
b) Formato (por exemplo, idioma, versão de software, gráficos) e mídia (por exemplo, papel,
eletrônica) e revisão e aprovação para adequação e adequação.
20
Controle de informações documentadas
A informação documentada requerida pelo SGSC e por esta Norma Internacional será controlada
para garantir que:
a) Está disponível e adequado para uso, onde e quando for necessário;
b) Esteja adequadamente protegido (por exemplo, por perda de confidencialidade, uso impróprio
ou perda de integridade).
Operação
Planeamento e controle operacional
A organização deve planejar, implementar e controlar os processos necessários para atender aos
requisitos e implementar as ações determinadas em 6), por
a) Estabelecer critérios para os processos;
b) Implementar o controle dos processos de acordo com os critérios e
c) Manter informação documentada na medida necessária para ter confiança de que os processos
realizados conforme planejado.
Análise de impacto nos negócios e avaliação de risco
Geral
A organização deve estabelecer, implementar e manter um processo formal e documentado para
os negócios, análise de impacto e avaliação de risco que:
21
a) Estabelece o contexto da avaliação, define critérios e avalia o impacto potencial de uma
incidente disruptivo;
b) Leva em consideração os requisitos legais e outros requisitos que a organização subscreve;
c) Inclui análise sistemática, priorização de tratamentos de risco e seus custos relacionados;
d) Define os resultados requeridos da análise de impacto do negócio e avaliação de risco e
e) Especifica os requisitos para que essas informações sejam mantidas atualizadas e
confidenciais.
Avaliação de risco
A organização deve estabelecer, implementar e manter um processo formal de avaliação de
riscos documentado que sistematicamente identifica, analisa e avalia o risco de incidentes de
ruptura para a organização.
22
A determinação da estratégia deve incluir a aprovação de prazos prioritários para a retomada das
actividades.
A organização deve realizar avaliações das capacidades de continuidade de negócios dos
fornecedores.
Protecção e mitigação
Para riscos identificados que requerem tratamento, a organização deve considerar medidas
proativas que:
a) Reduz a probabilidade de interrupção;
b) Encurtar o período de interrupção e
c) Limitar o impacto da interrupção nos principais produtos e serviços da organização
23
Os procedimentos devem:
a) Estabelecer um protocolo apropriado de comunicações internas e externas;
b) Ser específico em relação aos passos imediatos que devem ser tomados durante uma
interrupção;
c) Ser flexível para responder a ameaças imprevistas e alterar as condições internas e externas;
d) Concentrar-se no impacto de eventos que poderiam interromper as operações;
e) Ser desenvolvido com base em suposições e uma análise de interdependências e
f) Ser eficaz na minimização de consequências através da implementação de estratégias de
mitigação apropriadas.
24
d) Receber, documentar e responder a qualquer sistema nacional ou regional de assessoria de
riscos ou equivalente;
e) Assegurar a disponibilidade dos meios de comunicação durante um incidente disruptivo,
f) Facilitar a comunicação estruturada com os respondentes de emergência;
g) Registro de informações vitais sobre o incidente, ações tomadas e decisões tomadas, e as
seguintes também serão considerados e implementados, quando aplicável:
- Alertar as partes interessadas potencialmente impactadas por um incidente disruptivo real ou
iminente;
- Assegurar a interoperabilidade das organizações e do pessoal de resposta múltipla;
- Operação de uma instalação de comunicações.
25
4) Porta-vozes apropriados.
g) Um processo para ficar de pé quando o incidente terminar.
Cada plano deve definir:
- Finalidade e âmbito;
- Objetivos;
- Critérios e procedimentos de activação;
- Procedimentos de execução;
- Papéis, responsabilidades e autoridades;
- Requisitos e procedimentos de comunicação;
- Interdependências e interações internas e externas;
- Requisitos de recursos e
- Fluxo de informações e processos de documentação.
Recuperação
A organização deve ter procedimentos documentados para restaurar e devolver actividades de
negócios do medidas temporárias adotadas para apoiar os requisitos normais de negócios após
um incidente.
Exercício e teste
A organização deve exercer e testar seus procedimentos de continuidade de negócios para
garantir que consistenta com seus objectivos de continuidade de negócios.
A organização deve realizar exercícios e testes que:
a) São consistentes com o escopo e os objectivos do SGCN;
b) Basear-se em cenários adequados e bem planeados com objetivos e objectivos claramente
definidos;
c) Juntos, ao longo do tempo, validar a totalidade de seus arranjos de continuidade de negócios,
envolvendo partes interessantes;
d) Minimizar o risco de interrupção das operações;
e) Produzir relatórios pós-exercício formalizados que contenham resultados, recomendações e
ações para implementar melhorias;
f) São revisados dentro do contexto de promoção da melhoria contínua, e
26
g) São realizados em intervalos planeados e quando há mudanças significativas dentro da
organização ou o ambiente em que opera.
Avaliação de desempenho
Monitoramento, medição, análise e avaliação
Geral
A organização deve determinar:
a) O que precisa ser monitorado e medido;
b) Os métodos de monitoramento, medição, análise e avaliação, conforme aplicável, para
garantir resultados;
c) Quando a monitorização e medição devem ser realizadas, e
d) Quando os resultados de monitoramento e medição devem ser analisados e avaliados.
A organização deve reter informações documentadas apropriadas como prova dos resultados.
A organização deve avaliar o desempenho do SGCN e a eficácia do SGCN.
27
Avaliação de procedimentos de continuidade de negócios
a) A organização deve realizar avaliações de seus procedimentos de continuidade de negócios e
a fim de assegurar a sua adequação, adequação e eficácia contínuas;
b) Estas avaliações devem ser realizadas através de revisões periódicas, exercício, teste, pós-
incidente, relatórios e avaliações de desempenho. Mudanças significativas que surjam serão
refletidas no (s) procedimento (s) em tempo hábil;
c) A organização deve avaliar periodicamente o cumprimento das normas legais e
regulamentares
requisitos, as melhores práticas do setor e a conformidade com sua própria política de
continuidade
Objetivos; e
d) A organização deve realizar avaliações em intervalos planejados e quando mudanças
significativas ocorrerem.
Auditoria Interna
A organização deve realizar auditorias internas em intervalos planeados para fornecer
informações sobre o sistema de gerenciamento de continuidade de negócios. E esta, está de
acordo com:
1) Os próprios requisitos da organização para o seu BCMS,
2) Os requisitos desta Norma, e
b) É efetivamente implementado e mantido.
A organização deve:
- Planear, estabelecer, implementar e manter o (s) programa (s) de auditoria, incluindo a
frequência, métodos, responsabilidades, requisitos de planeamento e relatórios. O (s) programa
(s) de auditoria deve (m) consideração a importância dos processos em causa e os resultados das
auditorias anteriores;
- Definir os critérios de auditoria e o escopo para cada auditoria;
- Selecionar auditores e conduzir auditorias para garantir a objetividade e a imparcialidade do
processo de auditoria;
- Assegurar que os resultados das auditorias sejam reportados à gerência relevante, e
- Reter informação documentada como evidência da implementação do programa de auditoria.
28
O programa de auditoria, incluindo qualquer cronograma, deve ser baseado nos resultados das
avaliações de atividades da organização e os resultados de auditorias anteriores. Os
procedimentos de auditoria devem cobrir o escopo, frequência, metodologias e competências,
bem como as responsabilidades e requisitos de realização de auditorias e relatórios de resultados.
A administração responsável pela área que está sendo auditada deve assegurar que quaisquer
correções e ações corretivas são tomadas sem demora indevida para eliminar não-conformidades
detectadas e suas causas.
Análise crítica pela administração
A alta gerência deve revisar o SGSC da organização, em intervalos planejados, para assegurar
adequação e eficácia.
A revisão da gestão deve incluir a consideração de:
a) Status das ações de revisões anteriores da administração;
b) Mudanças em questões externas e internas que são relevantes para o sistema de gerenciamento
de continuidade de negócios;
c) Informações sobre o desempenho de continuidade de negócios, incluindo tendências em:
1) Não conformidades e ações corretivas;
2) Resultados da avaliação de monitoramento e medição, e
3) Resultados de auditoria;
d) Oportunidades de melhoria contínua.
As análises da administração devem considerar o desempenho da organização, incluindo:
- Acções de acompanhamento de revisões anteriores da administração;
- A necessidade de mudanças no SGCN, incluindo a política e os objetivos;
- Oportunidades de melhoria;
- Resultados das auditorias e revisões do SGCN, incluindo as dos principais fornecedores e
parceiros, quando apropriado;
- Técnicas, produtos ou procedimentos, que poderiam ser usados na organização para melhorar o
SGCN;
-Desempenho e eficácia;
- Estado das ações corretivas;
- Resultados do exercício e teste;
- Riscos ou problemas não abordados adequadamente em qualquer avaliação de risco anterior;
29
- Quaisquer alterações que possam afetar o SGCN, seja interno ou externo ao escopo do SGSC;
- Adequação da política;
- Recomendações para melhoria;
- Licções aprendidas e ações decorrentes de incidentes disruptivos e
- Boas práticas emergentes e orientação.
Os resultados da análise crítica pela administração devem incluir decisões relacionadas à
melhoria contínua de oportunidades e a possível necessidade de mudanças no SGCN, e inclua o
seguinte:
a) Variações no escopo do SGSC;
b) Melhoria da eficácia do SGSC;
c) Actualização da avaliação de riscos, análise de impacto nos negócios, planos de continuidade
de negócios e procedimentos;
d) Modificação de procedimentos e controles para responder a eventos internos ou externos que
possam impactar o BCMS, incluindo mudanças no:
1) Requisitos comerciais e operacionais;
2) Redução de riscos e requisitos de segurança;
3) Condições e processos operacionais;
4) Requisitos legais e regulamentares;
5) Obrigações contratuais;
6) Níveis de risco e / ou critérios para aceitação de riscos;
7) Necessidades de recursos;
8) Financiamento e requisitos orçamentais; e
e) Como a eficácia dos controles é medida.
A organização deve reter informação documentada como prova dos resultados das análises de
gestão.
A organização deve:
- Comunicar os resultados da análise crítica pela administração às partes interessadas relevantes
e
- Tomar as medidas adequadas relacionadas com esses resultados.
30
Melhoria
Não conformidade e ação corretiva
Quando a não conformidade ocorre, a organização deve:
a) Identificar a não conformidade;
b) Reagir à não-conformidade e, conforme aplicável:
1) Tomar medidas para controlá-lo e corrigi-lo e
2) Lidar com as consequências.
c) Avaliar a necessidade de ação para eliminar as causas da não-conformidade, a fim de que ela
não se repita ou ocorrer em outro lugar, por:
1) Revendo a não conformidade;
2) Determinar as causas da não-conformidade;
3) Determinar-se se não-conformidades similares existem, ou poderiam ocorrer;
4) Avaliar a necessidade de acção corretiva para garantir que as não-conformidades não se
repitam ou ocorram em outro lugar;
5) Determinar e implementar as ações corretivas necessárias;
6) Rever a eficácia de qualquer acção corretiva tomada e
7) Fazer alterações no BCMS, se necessário.
d) Implementar qualquer acção necessária;
e) Rever a eficácia de qualquer acção correctiva tomada;
f) Fazer alterações no sistema de gerenciamento de continuidade de negócios, se necessário.
As ações corretivas devem ser apropriadas aos efeitos das não-conformidades encontradas.
A organização deve reter informações documentadas como prova de:
- A natureza das não-conformidades e quaisquer ações subsequentes tomadas, e
- Os resultados de qualquer ação corretiva.
Melhoria contínua
A organização deve melhorar continuamente a adequação, adequação ou eficácia do SGCN.
31
Conclusão
A ISO 22301 fornece às organizações orientações para gerenciar, mitigar e recuperar incidentes
disruptivos com o objectivo final de sobrevivência do negócio, mas entregar todas as cláusulas
do padrão e compreendê-las de verdade pode beneficiar sua organização de várias maneiras.
Acreditação e conformidade podem trazer benefícios de reputação, motivacionais e financeiros
para a sua organização, trazendo clientes com maior confiança de que você pode fornecer
produtos e serviços em níveis de desempenho acordados, juntamente com melhorias em sua
cadeia de suprimentos. Todos esses elementos estão intimamente relacionados à capacidade da
sua organização de proporcionar satisfação aos clientes e atender às expectativas e desejos de
seus acionistas, ao mesmo tempo em que protege a capacidade da organização de fazer negócios
a longo prazo. Tendo tudo isso em mente, sua organização pode não ter as normas ISO
22301Isso ajuda a manter a consistência, alinhar padrões de sistema de gestão diferentes,
oferecer sub Especificação para sistemas de gerenciamento de segurança para a cadeia de
suprimentos , suportando assim consistentes e implementação e operação integradas com
sistemas de gerenciamento relacionados.
32
Referências bibliográficas:
33
[20] SS 540 : 2008, Singapore Standard for Business Continuity Management
[21] ANSI/ASIS/BSI BCM.01, Business Continuity Management Systems: Requirements with
Guidance for Use
34