Escolar Documentos
Profissional Documentos
Cultura Documentos
ARTIGO
6 de agosto de 2014
Número da cláusula na
Documentos e registros
ISO 22301
Determinado o contexto da organização 4.1
De nenhuma forma esta é uma lista definitiva de documentos e registros que podem ser usados durante a
implementação da ISO 22301 – a norma permite que quaisquer documentos sejam adicionados para
melhorar o nível de resiliência.
Em outras palavras, você geralmente não produzirá um único documento para determinação do contexto, ao
invés disso, você irá documentar o contexto através de diversos outros documentos apropriados.
Este é geralmente um procedimento muito curto que define quem é responsável pela conformidade: quem
deve identificar todas as partes interessadas, quem deve seguir todas as leis, regulamentações e outros
requisitos de partes interessadas, quem será o responsável por assegurar a conformidade com os requisitos,
como estes requisitos serão comunicados, etc.
Este procedimento, e a lista resultante, deveria ser definido logo no início do projeto, porque ele proverá
entradas para todo o SGCN.
Leia mais aqui: Como identificar partes interessadas de acordo com a ISO 27001 e ISO 22301.
Este documento é muito curto, e organizações de pequeno e médio porte geralmente unificam o escopo a ele,
assim como os objetivos do SGCN; organizações maiores normalmente teriam o escopo e objetivos como
documentos separados.
Os objetivos do SGCN não deveriam ser misturados com Tempos Objetivo de Recuperação (Recovery Time
Objectives – RTOs) – objetivos de um SGCN são definidos para o SGCN como um todo, não para as
atividades.
Leia mais aqui: The purpose of Business continuity policy according to ISO 22301.
Leia mais aqui: Como realizar treinamento e conscientização para a ISO 27001 e ISO 22301.
Documentar a comunicação é muito fácil – você precisa apenas manter cópias destes emails, cartas,
documentos etc. em algum tipo de arquivo. Se comunicação foi feita através de telefone, uma nota deveria
ser feita e então arquivada de acordo com regras pré-definidas.
Os resultados do processo de BIA são documentados tanto no relatório de impacto no negócio (para grandes
organizações), ou você pode sumarizá-los na estratégia de continuidade de negócio (esta é a versão mais
curta – mais aplicável para organizações de pequeno e médio porte).
Leia mais aqui: Como implementar a análise de impacto no negócio (business impact analysis – BIA) de
acordo com a ISO 22301.
Aprenda mais aqui: Can ISO 27001 risk assessment be used for ISO 22301?
A estratégia de continuidade de negócio geralmente é um documento de alto nível, que contém estratégias
para cada atividade como apêndices.
Leia mais aqui: A estratégia de continuidade de negócios pode ajudá-lo a economizar dinheiro?
Leia mais aqui: Risk Treatment Plan and risk treatment process – What’s the difference?
Veja mais detalhes neste artigo: Business continuity plan: How to structure it according to ISO 22301.
Um plano de resposta a incidente deveria definir o método de registrar os fatos sobre o incidente – pode ser
algo tão simples quanto notas escritas a mão próximas a cada etapa do plano enquanto ele é executado.
O principal ponto aqui é definir claramente quem é responsável por se comunicar com quem, especialmente
quem está autorizado a se comunicar com a mídia e com as autoridades. Modelos podem ser desenvolvidos
para se comunicar com a mídia, os quais ajudarão a emitir comunicados (press releases) rapidamente, se
necessário.
Juntamente como plano de resposta a incidente, estes procedimentos formam a maior parte dos
procedimentos de continuidade de negócio.
Eles deveriam ser desenvolvidos baseados nos resultados de um levantamento de riscos (eles deveriam
refletir os principais riscos), e pode se adicionado tanto ao plano de exercícios e testes quanto a estratégia de
continuidade de negócio.
Cada plano deveria definir os objetivos que devem ser atingidos, e os cenários; o relatório deve revelar até
que ponto estes objetivos foram atingidos.
Ações preventivas não são obrigatórias na ISO 22301, mas elas existem nas ISO 27001, ISO 9001 e outros
sistemas de gestão – portanto, se você já possui um procedimento para ações preventivas por causa de outros
sistemas, você pode utilizá-lo para o seu SGCN.
Um programa de auditoria interna pode ser um documento simples de uma página descrevendo quando cada
auditoria irá ocorrer, e quem irá realizá-la.
Os resultados das auditoria internas são documentados através do relatório de auditoria interna – tal
relatório deveria cobrir todas as não conformidades, assim como as obervações.
Leia mais aqui: Por que a análise crítica pela direção é importante para a ISO 27001 e ISO 22301?
Geralmente, tal procedimento não possui mais do que 2 ou 3 páginas. Este procedimento pode ser escrito ao
final do projeto de implantação, embora seja melhor ser escrito mais cedo, de forma que os empregados
possam ter tempo de se acostumar a ele.
Resultados de ações corretivas são tradicionalmente incluídos em formulários de ação corretiva (corrective
action forms – CARs). Contudo, é muito melhor incluir tais registros em alguma aplicação que já esteja em
uso na organização para suportar as atividades de Help Desk – por que ações corretivas são nada mais nada
menos do que listas de coisas a fazer com definições claras de responsabilidades, tarefas e prazos.
Leia mais aqui: Uso prático das ações corretivas para a ISO 27001 e ISO 22301.