Você está na página 1de 34

Índice

Conteúdo
pág.
Introdução........................................................................................................................................5
Generalidades..................................................................................................................................6
Benefícios da gestão de continuidade dos negócios ISO 22301......................................................6
O modelo Planear-Fazer-Verificar-Agir (PDCA).......................................................................7
Explicação do modelo PDCA........................................................................................................7
Planear..........................................................................................................................................7
Fazer.............................................................................................................................................7
Verificar.......................................................................................................................................7
Agir..............................................................................................................................................8
objetivos..........................................................................................................................................8
Componentes do PDCA nesta Norma Internacional..................................................................8
Segurança social - Gerenciamento de continuidade de negócios....................................................9
Sistemas - Requisitos.......................................................................................................................9
Escopo..........................................................................................................................................9
Referências normativas.............................................................................................................9
Termos e definições...................................................................................................................10
Actividade...........................................................................................................................10
Auditar................................................................................................................................10
Continuidade de negócios...................................................................................................10
Gestão de Continuidade de Negócios.................................................................................10
Sistema de gerenciamento de continuidade de negócios (BCMS).....................................10
Plano de continuidade de negócios.....................................................................................10
Programa de continuidade de negócios..............................................................................11
Análise de impacto nos negócios........................................................................................11
Competência.......................................................................................................................11
Conformidade:....................................................................................................................11
Melhoria contínua...............................................................................................................11
Documento..........................................................................................................................11
Informação documentada....................................................................................................11
Eficácia...............................................................................................................................11
Evento.................................................................................................................................11
Exercício.............................................................................................................................11
Incidente.............................................................................................................................11
Infraestrutura.......................................................................................................................12
Parte interessada.................................................................................................................12
Auditoria interna.................................................................................................................12
Invocação............................................................................................................................12
Sistema de gestão.......................................................................................................................12
Interrupção máxima aceitável (MAO).......................................................................................12
Período Máximo Admissível de Interrupção (MTPD).......................................................12
Medição..............................................................................................................................12
Objetivo Mínimo de Continuidade de Negócios (MBCO..................................................12
Acordo de ajuda mútua.......................................................................................................13
Não conformidade..............................................................................................................13
Objetivo..............................................................................................................................13
Organização........................................................................................................................13
Terceirizar...........................................................................................................................13
Desempenho.......................................................................................................................13
Avaliação de desempenho..................................................................................................13
Pessoal................................................................................................................................13
Política................................................................................................................................13
Procedimento......................................................................................................................13
Processo..............................................................................................................................13
Produtos e serviços.............................................................................................................13
Actividades priorizadas......................................................................................................13
Registro...............................................................................................................................14
Objetivo do ponto de recuperação (RPO)...........................................................................14
Objectivo do tempo de recuperação (RTO)........................................................................14
Requerimento:.....................................................................................................................14
Recursos..............................................................................................................................14
Risco...................................................................................................................................14
Apetite ao risco...................................................................................................................14
Avaliação de risco...............................................................................................................14
Gerenciamento de riscos.....................................................................................................14
Testando..............................................................................................................................14
Alta gerência.......................................................................................................................15
Verificação..........................................................................................................................15
Ambiente de trabalho..........................................................................................................15
Contexto da organização................................................................................................................15
Compreensão da organização e do seu contexto........................................................................15
-Definir o objectivo do SGCN...................................................................................................15
Compreender as necessidades e expectativas das partes interessadas................................15
Geral...........................................................................................................................................15
Requisitos legais e regulamentares............................................................................................16
Sistema de gerenciamento de continuidade de negócios...........................................................16
Liderança.......................................................................................................................................16
Liderança e comprometimento...................................................................................................16
Compromisso de gestão.............................................................................................................16
Política.......................................................................................................................................17
Funções organizacionais, responsabilidades e autoridades..................................................17
Planeamento...................................................................................................................................17
Ações para enfrentar riscos e oportunidades..............................................................................17
Objetivos de continuidade de negócios e planos para alcançá-los.............................................18
Suporte...........................................................................................................................................18
Recursos.....................................................................................................................................18
Competência...............................................................................................................................19
Consciência................................................................................................................................19
Comunicação..............................................................................................................................19
Informação documentada...........................................................................................................20
Geral...........................................................................................................................................20
Criando e Atualizando.............................................................................................................20
Controle de informações documentadas....................................................................................20
Operação........................................................................................................................................21
Planeamento e controle operacional..........................................................................................21
Análise de impacto nos negócios e avaliação de risco...............................................................21
Geral...........................................................................................................................................21
Análise de impacto nos negócios...............................................................................................21
Avaliação de risco......................................................................................................................22
Estratégia de continuidade de negócios.................................................................................22
Determinação e seleção..............................................................................................................22
Estabelecendo requisitos de recursos.....................................................................................22
Protecção e mitigação................................................................................................................23
Geral...........................................................................................................................................23
Estrutura de resposta a incidentes..............................................................................................24
Advertência e comunicação.......................................................................................................24
Planos de continuidade de negócios...........................................................................................25
Recuperação...............................................................................................................................26
Exercício e teste.........................................................................................................................26
Avaliação de desempenho.............................................................................................................26
Monitoramento, medição, análise e avaliação...........................................................................26
Geral...........................................................................................................................................26
Avaliação de procedimentos de continuidade de negócios........................................................27
Auditoria Interna........................................................................................................................28
Análise crítica pela administração.............................................................................................28
Melhoria.........................................................................................................................................30
Não conformidade e ação corretiva...........................................................................................30
Melhoria contínua......................................................................................................................31
Conclusão......................................................................................................................................31
Bibliografia....................................................................................................................................32
Introdução
A ISO (Organização Internacional de Normalização) é uma federação mundial de organismos
nacionais de normalização.
Órgãos membros da ISO - O trabalho de preparação de Normas Internacionais é normalmente
realizado através da ISO comissões técnicas. Cada órgão membro interessado em um assunto
para o qual um comitê técnico tenha sido estabelecido tem o direito de ser representado nessa
comissão. Organizações internacionais, governamentais e não-governamentais, em ligação com a
ISO, também participam do trabalho. A ISO colabora estreitamente com a International
Comissão Eletrotécnica (IEC) sobre todos os assuntos de padronização eletrotécnica.
As Normas Internacionais são elaboradas de acordo com as regras dadas nas Diretrizes da ISO /
IEC, Parte 2.
A principal tarefa dos comitês técnicos é preparar Padrões Internacionais. Esboço de Normas
Internacionais adotadas pelos comitês técnicos são distribuídas aos órgãos membros para
votação. 
A Norma Internacional exige a aprovação de pelo menos 75% dos órgãos membros que votam.
Chama-se a atenção para a possibilidade de que alguns dos elementos deste documento possam
ser objecto de direitos. A ISO não será responsável por identificar qualquer ou todos os direitos
de patente.
A ISO 22301 foi preparada pelo Comitê Técnico ISO / TC 223, Segurança Social .

5
Generalidades
Esta Norma especifica os requisitos para configurar e gerenciar uma continuidade de negócios
eficaz.
Um Sistema de Gestão de Continuidade de Negócios (BCMS) enfatiza a importância de:
- Compreender as necessidades da organização e a necessidade de estabelecer uma gestão de
continuidade de negócios política e objetivos;
- Implementar e operar controlos e medidas para gerenciar a capacidade geral de uma
organização de gerenciar incidentes disruptivos;
- Monitorizar e rever o desempenho e a eficácia do SGSC e
- Melhoria contínua com base na medição objetiva.

Um BCMS, como qualquer outro sistema de gerenciamento, possui os seguintes componentes-


chave:
a) Uma política;
b) Pessoas com responsabilidades definidas;
c) Processos de gestão relacionados com Política, Planeamento, Implementação e operação,
Avaliação de desempenho, Revisão gerencial e Melhoria.
d) Documentação fornecendo evidências auditáveis e
e) Quaisquer processos de gerenciamento de continuidade de negócios relevantes para a
organização.

Benefícios da gestão de continuidade dos negócios ISO 22301

 Identificar e gerenciar ameaças atuais e futuras aos seus negócios;


 Adotar uma atitude pró-ativa para minimizar o impacto de incidentes;
 Manter funções críticas em funcionamento durante períodos de crise;
 Minimizar o tempo de inatividade durante incidentes e melhorar o tempo de recuperação;
 Demonstrar resiliência aos clientes, fornecedores e em solicitações de propostas.

6
O modelo Planear-Fazer-Verificar-Agir (PDCA)
Esta Norma aplica o modelo “Plan-Do-Check-Act” (PDCA) ao planeamento, estabelecimento,
implementar, operar, monitorar, revisar, manter e melhorar continuamente a eficácia de um
BCMS da organização.
Isso garante um grau de consistência com outros padrões de sistemas de gerenciamento, como
a qualidade ISO 9001 sistemas de gestão , ISO 14001, sistemas de gestão ambiental , ISO / IEC
27001, segurança da informação sistemas de gestão , ISO / IEC 20000-1, Tecnologia da
informação - Gestão de serviços , e ISO 28000, especificação para sistemas de gerenciamento de
segurança para a cadeia de suprimentos , suportando assim consistentes e implementação e
operação integradas com sistemas de gerenciamento relacionados.

Explicação do modelo PDCA


Planear
Estabelecer política de continuidade de negócios, objectivos, metas, controles, processos e
procedimentos relevantes para melhorar a continuidade dos negócios, a fim de fornecer
resultados com as políticas e objectivos gerais da organização.

Fazer
Implementar e operar a política de continuidade de negócios, controles, processos e
procedimentos.

Verificar
Monitorar e analisar o desempenho em relação à política e aos objectivos de continuidade de
negócios.
Reportar os resultados à administração para revisão, determinar e autorizar acções para
remediação e melhoria.

7
Agir

Manter e melhorar o SGCN tomando medidas correctivas, com base nos resultados de revisão da
administração e reavaliação do escopo do BCMS e da continuidade dos negócios política e
objetivos.

Componentes do PDCA nesta Norma Internacional


No modelo Plan-Do-Check-Act, estão agrupados as cláusulas 4 até a cláusula 10.
 Cláusula 4: é um componente do Plano. Introduz requisitos necessários para estabelecer
o contexto da BCMS. Aplica-se à organização, bem como às necessidades, requisitos e
escopo.
 Cláusula 5: é um componente do Plano. Ele resume os requisitos específicos para o
papel da alta administração no BCMS e como a liderança articula suas expectativas para
a organização por meio de uma declaração de política.
 Cláusula 6: é um componente do Plano. Descreve os requisitos relacionados ao
estabelecimento de objectivos estratégicos e princípios orientadores para o BCMS como
um todo. O conteúdo da Cláusula 6 difere do estabelecimento de risco as oportunidades
de tratamento decorrentes da avaliação de risco, bem como a análise de impacto nos
negócios (BIA), objectivos de recuperação.
A análise de impacto nos negócios e os requisitos do processo de avaliação de risco estão
detalhados na Cláusula 8.
 Cláusula 7: é um componente do plano. Ele suporta operações do BCMS relacionadas ao
estabelecimento de competência e comunicação em uma base recorrente / conforme
necessário com as partes interessadas, enquanto documenta, controla, manter e reter a
documentação exigida.
 Cláusula 8: é um componente do plano. Define os requisitos de continuidade de
negócios. Determina como lidar e desenvolve os procedimentos para gerenciar um
incidente disruptivo.
 Cláusula 9: é um componente do Check. Ele resume os requisitos necessários para medir
a continuidade dos negócios o desempenho da gestão, a conformidade com a Norma
Internacional e os expectativas, e busca feedback da gerência em relação às expectativas.

8
 Cláusula 10: é um componente do Act. Identifica e atua na não-conformidade do BCMS
por meio de ação correctiva.

Segurança social - Gerenciamento de continuidade de negócios

Sistemas - Requisitos
Escopo
Esta Norma para gestão de continuidade de negócios especifica requisitos para planear,
estabelecer, implementar, operar, monitorar, revisar, manter e melhorar continuamente um
sistema de gerenciamento documentado proteger contra, reduzir a probabilidade de ocorrência,
preparar-se para responder e recuperar-se de danos, incidentes quando eles surgem.
Os requisitos especificados nesta Norma são genéricos e destinados a ser aplicáveis a todas as
organizações, ou partes das mesmas, independentemente do tipo, tamanho e natureza da
organização. A extensão da aplicação desses requisitos depende do ambiente operacional e da
complexidade da organização.
Não é intenção desta Norma impor uniformidade na estrutura de uma Continuidade de Negócio.
Mas para uma organização projectar um BCMS adequado às suas necessidades e que satisfaz os
requisitos das partes interessadas. Essas necessidades são moldadas por aspectos legais,
regulatórios, e os requisitos da indústria, os produtos e serviços, os processos empregados, o
tamanho da estrutura da organização e os requisitos das partes interessadas.

Referências normativas
Os seguintes documentos, no todo ou em parte, são referenciados normativamente neste
documento e são indispensáveis para a sua aplicação. Para referências datadas, somente a edição
citada se aplica. Para referências sem data, a última edição do documento referenciado (incluindo
eventuais alterações), não há referências normativas.

Termos e definições
Para os propósitos deste documento, aplicam-se os seguintes termos e definições:
 Actividade: processo ou conjunto de processos realizados por uma organização (ou em
seu nome) que produza ou suporte um ou mais productos e serviços.
EXEMPLO: Tais processos incluem contas, call center, TI, fabricação, distribuição.
9
 Auditar: processo sistemático, independente e documentado para obter evidências de
auditoria e avaliá-las objetivamente determinar em que medida os critérios de auditoria
são cumpridos.

 Continuidade de negócios: capacidade da organização de continuar a entrega de


produtos ou serviços em níveis predefinidos aceitáveis seguinte incidente disruptivo.

 Gestão de Continuidade de Negócios: processo de gestão holística que identifica


ameaças potenciais a uma organização e os impactos para os negócios operações essas
ameaças, se realizadas, podem causar, e que fornece uma estrutura para a construção de
resiliência com a capacidade de uma resposta eficaz que proteja os interesses de seus
principais interessados, atividades de reputação, marca e criação de valor.

 Sistema de gerenciamento de continuidade de negócios (BCMS): parte do sistema


geral de gestão que estabelece, implementa, opera, monitora, analisa, mantém e melhora
a continuidade dos negócios. O sistema de gestão inclui estrutura organizacional,
políticas, atividades de planeamento, responsabilidades, procedimentos, processos e
recursos.

 Plano de continuidade de negócios: procedimentos documentados que orientam as


organizações a responder, recuperar, retomar e restaurar para um nível de operação após
a interrupção.

 Programa de continuidade de negócios: processo contínuo de gestão e governação


apoiado pela alta administração e dotado de recursos adequados para implementar e
manter o gerenciamento de continuidade de negócios.

 Análise de impacto nos negócios: processo de análise de actividades e o efeito que uma
interrupção de negócios pode ter sobre eles.

10
 Competência: capacidade de aplicar conhecimentos e habilidades para alcançar os
resultados pretendidos.
 Conformidade: cumprimento de um requisito.

 Melhoria contínua: atividade recorrente para melhorar o desempenho.

 Documento: informação e seu meio de apoio.


Um conjunto de documentos, por exemplo, especificações e registros, é frequentemente chamado
de “documentação”.
 Informação documentada: informações que devem ser controladas e mantidas por uma
organização e o meio no qual está contida. As informações documentadas podem estar
em qualquer formato e em qualquer mídia de qualquer origem.

 Eficácia: até que ponto as atividades planeadas são realizadas e os resultados planeado
são alcançados.

 Evento: ocorrência ou alteração de um conjunto particular de circunstâncias.

 Exercício: processo para treinar, avaliar, praticar e melhorar o desempenho em uma


organização.
 Incidente: situação que pode ser, ou pode levar a, uma ruptura, perda, emergência ou
crise.

 Infraestrutura: sistema de instalações, equipamentos e serviços necessários para o


funcionamento de uma organização.

 Parte interessada: pessoa ou organização que pode afetar, ser afetada por, ou se
perceber afetada por uma decisão ou atividade.

11
 Auditoria interna: auditoria conduzida por, ou em nome da própria organização, para
revisão da administração e outras para fins específicos, e que podem formar a base para a
auto-declaração de conformidade de uma organização.

 Invocação: ato de declarar que os arranjos de continuidade de negócios de uma


organização precisam ser para continuar a entrega dos principais produtos ou serviços.

Sistema de gestão: conjunto de elementos inter-relacionados ou interagentes de uma organização


para estabelecer políticas e objetivos, e processos para atingir esses objetivos.

Interrupção máxima aceitável (MAO): tempo que levaria para impactos adversos, que poderiam
surgir como resultado de não fornecer um produto / serviço ou realizar uma atividade, tornar-se
inaceitável.

 Período Máximo Admissível de Interrupção (MTPD): tempo que levaria para


impactos adversos, que poderiam surgir como resultado de não fornecer um produto /
serviço ou realizar uma atividade, tornar-se inaceitável.

 Medição: processo para determinar um valor.

 Objetivo Mínimo de Continuidade de Negócios (MBCO): nível mínimo de serviços e /


ou produtos aceitáveis para a organização atingir seus negócios objetivos durante uma
interrupção.

 Monitoramento: determinar o status de um sistema, um processo ou uma atividade.

 Acordo de ajuda mútua: entendimento pré-arranjado entre duas ou mais entidades para
prestar assistência umas às outras.

12
 Não conformidade: não cumprimento de um requisito.

 Objectivo: resultado a ser alcançado.

 Organização: pessoa ou grupo de pessoas que tem suas próprias funções com
responsabilidades, autoridades e relacionamentos alcançar seus objetivos.

 Terceirizar: fazer um arranjo em que uma organização externa executa parte da função
de uma organização ou processo.

 Desempenho: resultado mensurável.

 Avaliação de desempenho: processo de determinação de resultados mensuráveis.

 Pessoal: pessoas que trabalham para e sob o controle da organização.

 Política: intenções e direção de uma organização formalmente expressas por sua alta
direção.

 Procedimento: forma especificada para realizar uma atividade ou um processo.

 Processo: conjunto de atividades inter-relacionadas ou interativas que transforma


entradas em saídas.

 Produtos e serviços: resultados benéficos fornecidos por uma organização aos seus
clientes, destinatários e partes interessadas, por itens manufaturados, seguro de carro e
enfermagem comunitária..

 Actividades priorizadas: atividades às quais deve ser dada prioridade após um


incidente, a fim de mitigar os impactos.

13
 Registro: declaração dos resultados obtidos ou evidência de atividades realizadas.

 Objetivo do ponto de recuperação (RPO): ponto em que as informações usadas por


uma atividade devem ser restauradas para permitir que a atividade retome.

 Objectivo do tempo de recuperação (RTO): período de tempo após um incidente no


qual o produto ou serviço deve ser retomado; a atividade deve ser retomada ou os
recursos devem ser recuperados.

 Requerimento: necessidade ou expectativa que é declarada, geralmente implícita ou


obrigatória.

 Recursos: todos os ativos, pessoas, habilidades, informações, tecnologia (incluindo


instalações e equipamentos), instalações e suprimentos e informações (eletrônicas ou
não) que uma organização deve ter disponível para uso, quando necessário, a fim de
operar e atingir seu objetivo.

 Risco: efeito da incerteza sobre os objectivos.

 Apetite ao risco: quantidade e tipo de risco que uma organização está disposta a buscar
ou manter.

 Avaliação de risco: processo global de identificação de risco, análise de risco e avaliação


de risco.

 Gerenciamento de riscos: atividades coordenadas para dirigir e controlar uma


organização em relação ao risco.

 Testando: procedimento para avaliação; um meio de determinar a presença, qualidade ou


veracidade de algo.

14
 Alta gerência: pessoa ou grupo de pessoas que dirige e controla uma organização ao
mais alto nível.

 Verificação: confirmação, através do fornecimento de provas, de que os requisitos


especificados foram cumpridos.

 Ambiente de trabalho: conjunto de condições sob as quais o trabalho é executado

Contexto da organização
Compreensão da organização e do seu contexto
A organização deve determinar questões externas e internas que sejam relevantes para o seu
propósito e que sua capacidade de alcançar o (s) resultado (s) pretendido (s) do seu BCMS.
Estas questões devem ser tidas em conta aquando da elaboração, implementação e manutenção
do
BCMS da organização.
A organização deve identificar e documentar o seguinte:
- As actividades, funções, serviços, produtos, parcerias, cadeias de suprimento, relacionamentos
da organização com as partes interessadas e o impacto potencial relacionado a um incidente
disruptivo;
- Vínculos entre a política de continuidade de negócios e os objetivos da organização e outras
políticas, incluindo sua estratégia geral de gerenciamento de risco; e
- O apetite por risco da organização.

Ao estabelecer o contexto, a organização deve:


-Articular seus objetivos, incluindo aqueles relacionados à continuidade dos negócios;
-Definir os fatores externos e internos que criam a incerteza que dá origem ao risco;
-Definir critérios de risco tendo em conta o apetite ao risco e

15
-Definir o objectivo do SGCN.
Compreender as necessidades e expectativas das partes interessadas
Geral
Ao estabelecer o seu SGCN, a organização deve determinar
a) As partes interessadas relevantes para o SGCN e
b) os requisitos dessas partes interessadas (ou seja, suas necessidades e expectativas, se
implícita ou obrigatória).

Requisitos legais e regulamentares


A organização deve estabelecer, implementar e manter procedimento (s) para identificar, ter
acesso e avaliar os requisitos legais e regulamentares aplicáveis que a organização subscreve
relacionados com a continuidade de suas operações, produtos e serviços, bem como os interesses
das partes interessadas relevantes.
A organização deve assegurar que estes requisitos legais, regulatórios e outros requisitos
aplicáveis aos quais o os subscritores da organização são levados em consideração no
estabelecimento, implementação e manutenção de seu SGCN.
A organização deve documentar essas informações e mantê-las atualizadas. Novo ou variações
para legal, requisitos regulamentares e outros devem ser comunicados aos funcionários afetados
e outros interessados festas.
Sistema de gerenciamento de continuidade de negócios
A organização deve estabelecer, implementar, manter e melhorar continuamente um SGCN,
incluindo os processos necessários e suas interações, de acordo com os requisitos desta Norma
Internacional. Padrão.

Liderança
Liderança e comprometimento
Pessoas na alta administração e outras funções relevantes de gerenciamento em toda a
organização
demonstrar liderança em relação ao SGCN.
EXEMPLO: Essa liderança e compromisso podem ser demonstrados motivando e capacitando
pessoas a contribuir para a eficácia de o BCMS.

16
Compromisso de gestão
A alta administração deve demonstrar liderança e comprometimento com relação ao SGCN ao:
- Assegurar que políticas e objetivos sejam estabelecidos para o sistema de gerenciamento de
continuidade de negócios e são compatíveis com a direção estratégica da organização;
- Assegurar a integração dos requisitos do sistema de gestão da continuidade dos negócios no
Processos de negócios da organização;
- Garantir que os recursos necessários para o sistema de gestão da continuidade dos negócios
estejam disponíveis;
- Comunicar a importância de uma gestão eficaz da continuidade dos negócios e de estar em
conformidade Requisitos do BCMS;
- Garantir que o SGCN atinja o (s) resultado (s) pretendido (s);
- Dirigir e apoiar pessoas para contribuir para a eficácia do SGCN;
- Promover a melhoria contínua e
- Apoiar outras funções de gestão relevantes para demonstrar a sua liderança e empenho, uma
vez que aplica-se às suas áreas de responsabilidade.
Política
- É apropriado para o propósito da organização,
-Fornece uma estrutura para estabelecer objectivos de continuidade de negócios,
-Inclui um compromisso para satisfazer os requisitos aplicáveis,
-Inclui um compromisso com a melhoria contínua do SGCN.

A política do BCMS esta disponível como informação documentada; É comunicado dentro da


organização; Está disponível para as partes interessadas, conforme o caso, É revisado para
adequação contínua em intervalos definidos e quando ocorrerem mudanças significativas e A
organização deve reter informações documentadas sobre a política de continuidade de negócios.

Funções organizacionais, responsabilidades e autoridades


- A alta direção deve assegurar que as responsabilidades e autoridades pelas funções relevantes
sejam atribuídas e comunicada dentro da organização;
- A alta administração deve atribuir a responsabilidade e a autoridade;
- Assegurar que o sistema de gestão está em conformidade com os requisitos desta Norma, e

17
- Relatar o desempenho do SGCN à alta administração.

Planeamento
Acções para enfrentar riscos e oportunidades
Ao planejar o BCMS deve determinar os riscos e oportunidades que devem ser abordados para:
- Assegurar que o sistema de gestão possa alcançar o (s) resultado (s) pretendido (s);
- Prevenir ou reduzir efeitos indesejados;
- Alcançar a melhoria contínua.

A organização deve planejar:


-Acções para enfrentar esses riscos e oportunidades;
-Integrar e implementar as ações em seus processos de BCMS;
-Avaliar a eficácia dessas ações.

Objetivos de continuidade de negócios e planos para alcançá-los


A alta direcção deve assegurar que os objectivos de continuidade do negócio sejam estabelecidos
e comunicados funções e níveis relevantes dentro da organização.
Os objetivos de continuidade dos negócios são:
a) Ser consistente com a política de continuidade de negócios;
b) Ter em conta o nível mínimo de produtos e serviços que é aceitável para a organização
alcançar seus objetivos;
c) Ser mensurável;
d) Levar em conta os requisitos aplicáveis e
e) ser monitorado e actualizado conforme apropriado.

Para atingir seus objectivos de continuidade de negócios, a organização deve determinar:


- Quem será responsável?
- O que será feito?
- Quais recursos serão necessários?
- Quando será concluído?

18
- Como os resultados serão avaliados?

Suporte
Recursos
A organização deve determinar e fornecer os recursos necessários para o estabelecimento,
implementação, manutenção e melhoria contínua do SGCN.

Competência
A organização deve:
a) Determinar a competência necessária da (s) pessoa (s) que realiza (m) trabalho sob seu
controle que afeta seu desempenho;
b) Assegurar que essa (s) pessoa(s) seja(m) competente(s) com base em educação, treinamento
experiência;
c) Quando aplicável, tomar medidas para adquirir a competência necessária e avaliar a eficácia
de acções tomadas e
d) Reter informações documentadas apropriadas como prova de competência.

Consciência
Pessoas que trabalham sob o controle da organização devem estar cientes da / do:
a) Política de continuidade de negócios;
b) Contribuição para a eficácia do SGCN, incluindo os benefícios de melhores negócios
Desempenho de gerenciamento de continuidade;
c) Implicação de não conformidade com os requisitos do SGCN e
d) Seu próprio papel durante incidentes disruptivos.

Comunicação
A organização deve determinar a necessidade de comunicações internas e externas relevantes
para o SGSC.
Incluindo:
a) Sobre o que irá comunicar;

19
b) Quando se comunicar;
c) Com quem se comunicar.

A organização deve estabelecer, implementar e manter procedimento (s) para:


- Comunicação interna entre as partes interessadas e os funcionários da organização;
- Comunicação externa com clientes, entidades parceiras, comunidade local e outros interessados
partes, incluindo os meios de comunicação;
- Receber, documentar e responder à comunicação das partes interessadas,
- Adaptar e integrar um sistema nacional ou regional de consultoria sobre ameaças, ou
equivalente, no planeamento e uso operacional, se apropriado;
- Garantir a disponibilidade dos meios de comunicação durante um incidente perturbador;
- Facilitando a comunicação estruturada com as autoridades competentes e assegurando a
interoperabilidade várias organizações e pessoal de resposta, quando apropriado e
- Funcionamento e ensaio das capacidades de comunicação destinadas a serem utilizadas durante
a interrupção de comunicações.

Informação documentada
Geral
O SGCN da organização deve incluir:
- Informação documentada requerida por esta Norma e
- Informação documentada determinada pela organização como necessária para a eficácia do
BCMS.

Criando e Atualizando
Ao criar e actualizar informações documentadas, a organização deve assegurar:
a) Identificação e descrição (por exemplo, título, data, autor ou número de referência),
b) Formato (por exemplo, idioma, versão de software, gráficos) e mídia (por exemplo, papel,
eletrônica) e revisão e aprovação para adequação e adequação.

20
Controle de informações documentadas
A informação documentada requerida pelo SGSC e por esta Norma Internacional será controlada
para garantir que:
a) Está disponível e adequado para uso, onde e quando for necessário;
b) Esteja adequadamente protegido (por exemplo, por perda de confidencialidade, uso impróprio
ou perda de integridade).

Para o controle de informações documentadas, a organização deve abordar as seguintes


actividades:
- Distribuição, acesso, recuperação e uso;
- Armazenamento e preservação, incluindo a preservação da legibilidade;
- Controlo de alterações (por exemplo, controlo de versões);
- Retenção e disposição;
- Recuperação e uso;
- Preservação da legibilidade (ou seja, suficientemente clara para ler) e
- Prevenção do uso não intencional de informações obsoletas.

Operação
Planeamento e controle operacional
A organização deve planejar, implementar e controlar os processos necessários para atender aos
requisitos e implementar as ações determinadas em 6), por
a) Estabelecer critérios para os processos;
b) Implementar o controle dos processos de acordo com os critérios e
c) Manter informação documentada na medida necessária para ter confiança de que os processos
realizados conforme planejado.
Análise de impacto nos negócios e avaliação de risco
Geral
A organização deve estabelecer, implementar e manter um processo formal e documentado para
os negócios, análise de impacto e avaliação de risco que:

21
a) Estabelece o contexto da avaliação, define critérios e avalia o impacto potencial de uma
incidente disruptivo;
b) Leva em consideração os requisitos legais e outros requisitos que a organização subscreve;
c) Inclui análise sistemática, priorização de tratamentos de risco e seus custos relacionados;
d) Define os resultados requeridos da análise de impacto do negócio e avaliação de risco e
e) Especifica os requisitos para que essas informações sejam mantidas atualizadas e
confidenciais.

Análise de impacto nos negócios


A análise de impacto nos negócios deve incluir o seguinte:
a) Identificar actividades que suportam a oferta de produtos e serviços;
b) Avaliar os impactos ao longo do tempo de não realizar essas actividades;
c) Definir cronogramas prioritários para a retomada dessas actividades em um nível mínimo
aceitável especificado, levando em consideração o tempo;
d) Identificar dependências e recursos de apoio para essas atividades, incluindo fornecedores,
terceirizar parceiros e outras partes interessadas relevantes.

Avaliação de risco
A organização deve estabelecer, implementar e manter um processo formal de avaliação de
riscos documentado que sistematicamente identifica, analisa e avalia o risco de incidentes de
ruptura para a organização.

Estratégia de continuidade de negócios


Determinação e seleção
A determinação e selecção da estratégia deve basear-se nos resultados da análise de impacto nos
negócios e avaliação de risco.
A organização deve determinar uma estratégia de continuidade de negócios apropriada para:
a) Proteger as atividades priorizadas;
b) Estabilizar, continuar, retomar e recuperar as atividades priorizadas e suas dependências e
recursos de apoio e
c) Mitigar, responder e gerenciar impactos.

22
A determinação da estratégia deve incluir a aprovação de prazos prioritários para a retomada das
actividades.
A organização deve realizar avaliações das capacidades de continuidade de negócios dos
fornecedores.

Estabelecendo requisitos de recursos


A organização deve determinar os requisitos de recursos para implementar as estratégias
selecionadas. O tipos de recursos considerados incluem, mas não se limitam a:
a) Pessoas;
b) Informação e dados;
c) Edifícios, ambiente de trabalho e serviços associados;
d) Instalações, equipamentos e consumíveis;
e) Sistemas de tecnologia da informação e comunicação (TIC);
f) Transporte;
g) Finanças e
h) Parceiros e fornecedores.

Protecção e mitigação
Para riscos identificados que requerem tratamento, a organização deve considerar medidas
proativas que:
a) Reduz a probabilidade de interrupção;
b) Encurtar o período de interrupção e
c) Limitar o impacto da interrupção nos principais produtos e serviços da organização

 Estabelecer e implementar procedimentos de continuidade de negócios


Geral
A organização deve estabelecer, implementar e manter procedimentos de continuidade de
negócios para gerenciar incidente disruptivo e continuar suas actividades com base nos
objectivos de recuperação identificados no negócio análise de impacto.
A organização deve documentar os procedimentos (incluindo as providências necessárias) para
assegurar a continuidade do processo.

23
Os procedimentos devem:
a) Estabelecer um protocolo apropriado de comunicações internas e externas;
b) Ser específico em relação aos passos imediatos que devem ser tomados durante uma
interrupção;
c) Ser flexível para responder a ameaças imprevistas e alterar as condições internas e externas;
d) Concentrar-se no impacto de eventos que poderiam interromper as operações;
e) Ser desenvolvido com base em suposições e uma análise de interdependências e
f) Ser eficaz na minimização de consequências através da implementação de estratégias de
mitigação apropriadas.

Estrutura de resposta a incidentes


A organização deve estabelecer, documentar e implementar procedimentos e uma estrutura de
gestão para responder a um incidente disruptivo utilizando pessoal com a responsabilidade,
autoridade e competência para gerenciar um incidente.
A estrutura de resposta deve:
a) Identificar os limiares de impacto que justificam o início da resposta formal;
b) Avaliar a natureza e a extensão de um incidente disruptivo e seu impacto potencial;
c) Activar uma resposta de continuidade de negócios apropriada;
d) Ter processos e procedimentos para a activação, operação, coordenação e comunicação da
resposta;
e) Ter recursos disponíveis para apoiar os processos e procedimentos para gerenciar um
incidente disruptivo para minimizar o impacto e
f) Comunicar com as partes e autoridades interessadas, bem como com os meios de
comunicação.
Advertência e comunicação
A organização deve estabelecer, implementar e manter procedimentos para:
a) Detectar um incidente;
b) Monitoramento regular de um incidente;
c) Comunicação interna dentro da organização e receber, documentar e responder a comunicação
das partes interessadas;

24
d) Receber, documentar e responder a qualquer sistema nacional ou regional de assessoria de
riscos ou equivalente;
e) Assegurar a disponibilidade dos meios de comunicação durante um incidente disruptivo,
f) Facilitar a comunicação estruturada com os respondentes de emergência;
g) Registro de informações vitais sobre o incidente, ações tomadas e decisões tomadas, e as
seguintes também serão considerados e implementados, quando aplicável:
- Alertar as partes interessadas potencialmente impactadas por um incidente disruptivo real ou
iminente;
- Assegurar a interoperabilidade das organizações e do pessoal de resposta múltipla;
- Operação de uma instalação de comunicações.

Planos de continuidade de negócios


A organização deve estabelecer procedimentos documentados para responder a um incidente
disruptivo e continuará ou recuperará suas actividades dentro de um prazo predeterminado. Esses
procedimentos devem os requisitos daqueles que irão usá-los.
Os planos de continuidade de negócios devem conter:
a) Funções e responsabilidades para pessoas e equipes com autoridade durante e após uma
incidente;
b) Processos para activar a resposta;
c) Detalhes para gerenciar as consequências imediatas de um incidente disruptivo dando:
1) O bem-estar dos indivíduos;
2) Opções estratégicas, táticas e operacionais para responder à ruptura, e
3) Prevenção de perda adicional ou indisponibilidade de actividades priorizadas;
d) Detalhes sobre como e sob quais circunstâncias a organização se comunicará com os
funcionários e seus parentes, principais interessados e contatos de emergência;
e) Como a organização continuará ou recuperará suas atividades prioritárias dentro de um prazo
predeterminado;
f) Detalhes da resposta da mídia da organização após um incidente, incluindo;
1) Uma estratégia de comunicação;
2) Interface preferida com a mídia;
3) Directriz ou modelo para a elaboração de uma declaração para a mídia, e

25
4) Porta-vozes apropriados.
g) Um processo para ficar de pé quando o incidente terminar.
Cada plano deve definir:
- Finalidade e âmbito;
- Objetivos;
- Critérios e procedimentos de activação;
- Procedimentos de execução;
- Papéis, responsabilidades e autoridades;
- Requisitos e procedimentos de comunicação;
- Interdependências e interações internas e externas;
- Requisitos de recursos e
- Fluxo de informações e processos de documentação.

Recuperação
A organização deve ter procedimentos documentados para restaurar e devolver actividades de
negócios do medidas temporárias adotadas para apoiar os requisitos normais de negócios após
um incidente.
Exercício e teste
A organização deve exercer e testar seus procedimentos de continuidade de negócios para
garantir que consistenta com seus objectivos de continuidade de negócios.
A organização deve realizar exercícios e testes que:
a) São consistentes com o escopo e os objectivos do SGCN;
b) Basear-se em cenários adequados e bem planeados com objetivos e objectivos claramente
definidos;
c) Juntos, ao longo do tempo, validar a totalidade de seus arranjos de continuidade de negócios,
envolvendo partes interessantes;
d) Minimizar o risco de interrupção das operações;
e) Produzir relatórios pós-exercício formalizados que contenham resultados, recomendações e
ações para implementar melhorias;
f) São revisados dentro do contexto de promoção da melhoria contínua, e

26
g) São realizados em intervalos planeados e quando há mudanças significativas dentro da
organização ou o ambiente em que opera.

Avaliação de desempenho
Monitoramento, medição, análise e avaliação
Geral
A organização deve determinar:
a) O que precisa ser monitorado e medido;
b) Os métodos de monitoramento, medição, análise e avaliação, conforme aplicável, para
garantir resultados;
c) Quando a monitorização e medição devem ser realizadas, e
d) Quando os resultados de monitoramento e medição devem ser analisados e avaliados.
A organização deve reter informações documentadas apropriadas como prova dos resultados.
A organização deve avaliar o desempenho do SGCN e a eficácia do SGCN.

Além disso, a organização deve:


- Tomar medidas quando necessário para abordar tendências ou resultados adversos antes que
uma não-conformidade ocorra e
- Reter informações relevantes documentadas como prova dos resultados.

Os procedimentos para monitorar o desempenho devem prever:


- O estabelecimento de métricas de desempenho adequadas às necessidades da organização;
- Monitorar até que ponto a política de continuidade de negócios, objectivos e metas da
organização são conhecidas;
- Desempenho dos processos, procedimentos e funções que protegem suas atividades priorizadas;
- Monitorar o cumprimento desta Norma e os objetivos de continuidade dos negócios;
- Monitorar evidências históricas de desempenho deficiente do SGCN e
- Registo de dados e resultados de monitoramento e medição para facilitar ações corretivas
subsequentes.

27
Avaliação de procedimentos de continuidade de negócios
a) A organização deve realizar avaliações de seus procedimentos de continuidade de negócios e
a fim de assegurar a sua adequação, adequação e eficácia contínuas;
b) Estas avaliações devem ser realizadas através de revisões periódicas, exercício, teste, pós-
incidente, relatórios e avaliações de desempenho. Mudanças significativas que surjam serão
refletidas no (s) procedimento (s) em tempo hábil;
c) A organização deve avaliar periodicamente o cumprimento das normas legais e
regulamentares
requisitos, as melhores práticas do setor e a conformidade com sua própria política de
continuidade
Objetivos; e
d) A organização deve realizar avaliações em intervalos planejados e quando mudanças
significativas ocorrerem.
Auditoria Interna
A organização deve realizar auditorias internas em intervalos planeados para fornecer
informações sobre o sistema de gerenciamento de continuidade de negócios. E esta, está de
acordo com:
1) Os próprios requisitos da organização para o seu BCMS,
2) Os requisitos desta Norma, e
b) É efetivamente implementado e mantido.
A organização deve:
- Planear, estabelecer, implementar e manter o (s) programa (s) de auditoria, incluindo a
frequência, métodos, responsabilidades, requisitos de planeamento e relatórios. O (s) programa
(s) de auditoria deve (m) consideração a importância dos processos em causa e os resultados das
auditorias anteriores;
- Definir os critérios de auditoria e o escopo para cada auditoria;
- Selecionar auditores e conduzir auditorias para garantir a objetividade e a imparcialidade do
processo de auditoria;
- Assegurar que os resultados das auditorias sejam reportados à gerência relevante, e
- Reter informação documentada como evidência da implementação do programa de auditoria.

28
O programa de auditoria, incluindo qualquer cronograma, deve ser baseado nos resultados das
avaliações de atividades da organização e os resultados de auditorias anteriores. Os
procedimentos de auditoria devem cobrir o escopo, frequência, metodologias e competências,
bem como as responsabilidades e requisitos de realização de auditorias e relatórios de resultados.
A administração responsável pela área que está sendo auditada deve assegurar que quaisquer
correções e ações corretivas são tomadas sem demora indevida para eliminar não-conformidades
detectadas e suas causas.
Análise crítica pela administração
A alta gerência deve revisar o SGSC da organização, em intervalos planejados, para assegurar
adequação e eficácia.
A revisão da gestão deve incluir a consideração de:
a) Status das ações de revisões anteriores da administração;
b) Mudanças em questões externas e internas que são relevantes para o sistema de gerenciamento
de continuidade de negócios;
c) Informações sobre o desempenho de continuidade de negócios, incluindo tendências em:
1) Não conformidades e ações corretivas;
2) Resultados da avaliação de monitoramento e medição, e
3) Resultados de auditoria;
d) Oportunidades de melhoria contínua.
As análises da administração devem considerar o desempenho da organização, incluindo:
- Acções de acompanhamento de revisões anteriores da administração;
- A necessidade de mudanças no SGCN, incluindo a política e os objetivos;
- Oportunidades de melhoria;
- Resultados das auditorias e revisões do SGCN, incluindo as dos principais fornecedores e
parceiros, quando apropriado;
- Técnicas, produtos ou procedimentos, que poderiam ser usados na organização para melhorar o
SGCN;
-Desempenho e eficácia;
- Estado das ações corretivas;
- Resultados do exercício e teste;
- Riscos ou problemas não abordados adequadamente em qualquer avaliação de risco anterior;

29
- Quaisquer alterações que possam afetar o SGCN, seja interno ou externo ao escopo do SGSC;
- Adequação da política;
- Recomendações para melhoria;
- Licções aprendidas e ações decorrentes de incidentes disruptivos e
- Boas práticas emergentes e orientação.
Os resultados da análise crítica pela administração devem incluir decisões relacionadas à
melhoria contínua de oportunidades e a possível necessidade de mudanças no SGCN, e inclua o
seguinte:
a) Variações no escopo do SGSC;
b) Melhoria da eficácia do SGSC;
c) Actualização da avaliação de riscos, análise de impacto nos negócios, planos de continuidade
de negócios e procedimentos;
d) Modificação de procedimentos e controles para responder a eventos internos ou externos que
possam impactar o BCMS, incluindo mudanças no:
1) Requisitos comerciais e operacionais;
2) Redução de riscos e requisitos de segurança;
3) Condições e processos operacionais;
4) Requisitos legais e regulamentares;
5) Obrigações contratuais;
6) Níveis de risco e / ou critérios para aceitação de riscos;
7) Necessidades de recursos;
8) Financiamento e requisitos orçamentais; e
e) Como a eficácia dos controles é medida.
A organização deve reter informação documentada como prova dos resultados das análises de
gestão.

A organização deve:
- Comunicar os resultados da análise crítica pela administração às partes interessadas relevantes
e
- Tomar as medidas adequadas relacionadas com esses resultados.

30
Melhoria
Não conformidade e ação corretiva
Quando a não conformidade ocorre, a organização deve:
a) Identificar a não conformidade;
b) Reagir à não-conformidade e, conforme aplicável:
1) Tomar medidas para controlá-lo e corrigi-lo e
2) Lidar com as consequências.
c) Avaliar a necessidade de ação para eliminar as causas da não-conformidade, a fim de que ela
não se repita ou ocorrer em outro lugar, por:
1) Revendo a não conformidade;
2) Determinar as causas da não-conformidade;
3) Determinar-se se não-conformidades similares existem, ou poderiam ocorrer;
4) Avaliar a necessidade de acção corretiva para garantir que as não-conformidades não se
repitam ou ocorram em outro lugar;
5) Determinar e implementar as ações corretivas necessárias;
6) Rever a eficácia de qualquer acção corretiva tomada e
7) Fazer alterações no BCMS, se necessário.
d) Implementar qualquer acção necessária;
e) Rever a eficácia de qualquer acção correctiva tomada;
f) Fazer alterações no sistema de gerenciamento de continuidade de negócios, se necessário.
As ações corretivas devem ser apropriadas aos efeitos das não-conformidades encontradas.
A organização deve reter informações documentadas como prova de:
- A natureza das não-conformidades e quaisquer ações subsequentes tomadas, e
- Os resultados de qualquer ação corretiva.

Melhoria contínua
A organização deve melhorar continuamente a adequação, adequação ou eficácia do SGCN.

31
Conclusão
A ISO 22301 fornece às organizações orientações para gerenciar, mitigar e recuperar incidentes
disruptivos com o objectivo final de sobrevivência do negócio, mas entregar todas as cláusulas
do padrão e compreendê-las de verdade pode beneficiar sua organização de várias maneiras.
Acreditação e conformidade podem trazer benefícios de reputação, motivacionais e financeiros
para a sua organização, trazendo clientes com maior confiança de que você pode fornecer
produtos e serviços em níveis de desempenho acordados, juntamente com melhorias em sua
cadeia de suprimentos. Todos esses elementos estão intimamente relacionados à capacidade da
sua organização de proporcionar satisfação aos clientes e atender às expectativas e desejos de
seus acionistas, ao mesmo tempo em que protege a capacidade da organização de fazer negócios
a longo prazo. Tendo tudo isso em mente, sua organização pode não ter as normas ISO
22301Isso ajuda a manter a consistência, alinhar padrões de sistema de gestão diferentes,
oferecer sub Especificação para sistemas de gerenciamento de segurança para a cadeia de
suprimentos , suportando assim consistentes e implementação e operação integradas com
sistemas de gerenciamento relacionados.

32
Referências bibliográficas:

[1] ISO 9001, Sistemas de Gestão da Qualidade - Requisitos


[2] ISO 14001, Sistemas de gestão ambiental - Requisitos com orientação para uso
[3] ISO 19011, Diretrizes para Auditoria de Sistemas de Gestão.
[4] ISO / IEC 20000-1, Tecnologia da Informação - Gerenciamento de Serviços
[5] ISO 22300, Segurança Societal - Terminologia
[6] ISO / PAS 22399, Segurança Societal - Diretriz para preparação de incidentes e operacional
gerenciamento de continuidade
[7] ISO / IEC 24762, Tecnologia da informação - Técnicas de segurança - Diretrizes para
informação e serviços de recuperação de desastres de tecnologia de comunicações
[8] ISO/IEC 27001, Information Security Management Systems
[9] ISO/IEC 27031, Information technology — Security techniques — Guidelines for
information and communication technology readiness for business continuity
[10] ISO 31000, Risk Management — Principles and Guidelines
[11] ISO/IEC 31010, Risk management — Risk assessment techniques
[12] ISO/IEC Guide 73, Risk management — Vocabulary
[13] BS 25999-1, Business continuity management — Code of practice , British Standards
Institution (BSI)
[14] BS 25999-2, Business continuity management — Specification , British Standards
Institution (BSI)
[15] SI 24001, Security and continuity management systems — Requirements and guidance for
use , Standards Institution of Israel
[16] NFPA 1600, Standard on disaster/emergency management and business continuity
programs ,
National Fire Protection Association (USA)
[17] Business Continuity Plan Drafting Guideline , Ministry of Economy, Trade and Industry
(Japan),2005
[18] Business Continuity Guideline , Central Disaster Management Council, Cabinet Office,
Government of Japan, 2005
[19] ANSI/ASIS SPC.1, Organizational Resilience: Security, Preparedness, and Continuity
Management Systems – Requirements with Guidance for Use

33
[20] SS 540 : 2008, Singapore Standard for Business Continuity Management
[21] ANSI/ASIS/BSI BCM.01, Business Continuity Management Systems: Requirements with
Guidance for Use

34

Você também pode gostar