Governançade Tiiipara Concursos Regular Aula 3

Prof.
Walter Cunha
PCN Aula 00
Aula 02 – Plano de Continuidade

de Negócios
Prof. Walter Cunha
1 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Sumário
SUMÁRIO 2
APRESENTAÇÃO 3
INTRODUÇÃO 4
TERMOS E DEFIÇÕES 7
SISTEMA DE GESTÃO DA CONTINUIDADE DO NEGÓCIO 8
CN E O PDCA (EIOMMAM) 8
SGCN 10
COMPONENTES DE UM SGCN 10
ESTÁGIOS DE UM SGCN 10
FASES DO PROJETO DE IMPLANTAÇÃO DE UM SGCN: 11
CRIAÇÃO DOS PLANOS DE SGCN 11
PLANOS DE GESTÃO DE CONTINUIDADE DE NEGÓCIOS 11
PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN) 12

Elementos de um PCN 12
Sub Planos do PCN 12
Plano de Gerenciamento de Incidentes (PGI) 13
Acessibilidade dos Planos 13
ESTRATÉGIAS DE GCN 14
IDENTIFICAÇÃO DE ATIVIDADES CRÍTICAS 14

DETERMINANDO REQUISITOS DE CONTINUIDADE 14
AVALIANDO AMEAÇAS A ATIVIDADES CRÍTICAS 15
DETERMINANDO ESCOLHAS 15
ESTRATÉGIAS DE MITIGAÇÃO: 15
APROVAÇÃO 16
OPÇÕES DE ESTRATÉGIA 16
Opções de estratégia – Instalações 16
Opções de estratégia – Tecnologia 16
Opções de estratégia – Informação 17
Opções de estratégia – Suprimentos 17
Opções de estratégia – Partes interessadas 17
Opções de estratégia – Emergências civis 17
Outras Estratégias 17
QUESTÕES COMENTADAS PELO PROFESSOR 20
LISTA DAS QUESTÕES 31
GABARITO 36
RESUMO DIRECIONADO 37
Prof. Walter Cunha
PCN Aula 00
Apresentação
Salve, salve, Galera! Prof. Walter Cunha na área... agora no Direção Concursos!
É com muita satisfação que damos início à colaboração com o Prof. Victor Dalton, profissional cujo trabalho
venho acompanhando desde o início, e agora quedou de unirmos forças, juntamente com outros colegas do
mesmo quilate, como o objetivo de fornecermos o melhor conteúdo de informática e Tecnologia da Informação
da atualidade.
E para começar os trabalhos, fui encarregado do tópico Plano de Continuidade de Negócios (PCN). O PCN é
um dos principais artefatos do Sistema de Gestão da Continuidade de Negócios (SCGN), que faz parte da trilha de
Gestão de Segurança da Informação, uma de minhas novas “vibes” na área de Governança.
Se você ainda não sabe, questões de PCN/SGCN são figurinhas carimbadas em praticamente todos os
concursos de Tecnologia da Informação e, ultimamente, também nos Concursos Fiscais. Portanto, vamos nos
dedicar de modo a não darmos mole e acabarmos perdermos esses preciosos pontos!
Uma notícia não tão animadora é que este é o tipo de tópico não linear (são muito comuns em Governança
de TI), pois, apesar de termos normas (ABNT) que tratam do assunto, elas são várias, nem sempre respeitam a
mesma nomenclatura, e são constantemente atualizadas. Para piorar, algumas questões são tiradas diretamente
dos diplomas legais, infralegais e dos manuais de prática elaborados pelos Órgãos e entidades da Administração
Pública. Assim, não se assuste se você experimentar em algum momento a sensação “colcha de retalhos”, mas,
como explicado, ela decorre intrinsecamente da multiplicidade das fontes. Contudo, fiz o possível para formar um
encadeamento lógico ao longo dos tópicos.
Antes de continuarmos, gostaria de me apresentar:
Aos que ainda não me conhecem, espero que poucos, sou o Prof. Walter Cunha (WC), natural de Fortaleza-
CE, Pós-Graduado em Gerência de Projetos pela Fundação Getúlio Vargas (FGV) e Engenheiro Eletrônico pelo
Instituto Tecnológico de Aeronáutica (ITA).
Atualmente, ocupo o cargo de Auditor Federal de Finanças e Controle da Controladoria-Geral da União
(AFFC), aprovado na especialidade de Tecnologia da Informação, lotado em Brasília-DF. Sou oriundo do concurso
de 2008, tendo sido convocado em 2009, na subespecialidade de Infraestrutura de TI. Como se pode perceber,
esse ano completo 10 (dez) anos de CGU (o tempo voa...).
Há uns 2 (dois) anos migrei da TI para a área de Governança Corporativa, e hoje a maior parte do meu tempo
é destinada a entender, harmonizar e gerar valor a partir da aplicação adaptada das mais diversas Boas Práticas
de mercado e de governo. Muito papel? Sim! Mas é o que acontece naturalmente quando se migra do nível técnico-
operacional para o de Gestão Estratégica. Particularmente, eu me adaptei muito bem, obrigado!
Antes de assumir o meu cargo atual, ocupei durante 3 (três) anos o cargo de Analista Tributário da Receita
Federal do Brasil (ATRFB), no qual desempenhei o papel de Analista de Projetos de Infraestrutura de TI. No
entanto, a minha carreira profissional começou bem antes, em 2000, como Oficial Engenheiro Eletrônico da Força
Aérea Brasileira (FAB), em Manaus-AM, onde permaneci até o final da implantação do Sistema de Vigilância da
Amazônia (SIVAM), em 2006. Lá, atuei predominantemente na área de Redes de Computadores e
Telecomunicações, minha área técnica de origem.
Prof. Walter Cunha
PCN Aula 00
No mundo dos concursos, depois de muita dedicação, consegui alguns resultados, dos quais os mais
expressivos foram: 2005 – Analista de Tecnologia da Informa na SEFAZ-AM; 2006 – Analista Tributário da Receita
Federal do Brasil TI (1o lugar da 3a Região Fiscal); 2006 – Analista de Finanças e Controle da Controladoria-Geral
da União (primeira vez); 2007 – Analista de Tecnologia da Informa na SEFAZ-CE; 2009 – Analista de Finanças e
Controle da Controladoria-Geral da União (sim, de novo! E antes da mudança de nomenclatura para Auditor),
onde, se tudo continuar correndo bem, planejo aposentar a caneta.
Como professor Presencial e Tele presencial, comecei minha trajetória em 2017, quando ministrando
Informática Básica para Concursos, fui convidado por alguns alunos a realizar um aulão para comentar a prova de
TI do TCU de 2015, com vistas ao novo certame que se descortinava naquele ano. Ou seja, já são mais de 10 (dez)
anos de estrada! Sempre fui conhecido por ministrar a disciplina de Redes de Computadores, mas lecionei também
Gerenciamento de Projetos e Licitações e Contratos de TI. Ultimamente dei uma “guinada” (também) para área
de Governança, mais especificamente para Gestão de Segurança da Informação/Auditoria e Planejamento
Estratégico de TI. Motivos? Fazem parte do meu cotidiano e poucos querem encarar essas carnes-de-pescoço...
Confesso ter relutado muito antes de aceitar o desafio de voltar a elaborar cursos escritos, mas a janela de
oportunidade de me juntar ao novo time do Victor acabou me convencendo. Só não esperem, pelo menos de
imediato, grande volume de produção, pois já sou “onça-cansada”, com dois filhos, e querendo ter mais qualidade
de vida. Todavia, podem esperar melhoria contínua!
Atualmente, mantenho também um programa de orientação à concurseiros de TI no Patreon

https://www.patreon.com/timasters. O foco lá não é a produção de material, mas técnicas e ferramentas de
aceleração do estudo e, por consequência, de aprovação.
Quanto a este curso, os objetivos são além de consolidar o conhecimento das disciplinas, derrubar alguns
mitos de concursos e mostrar que, com postura e tática adequadas, é possível estar bem preparado para concorrer
em qualquer certame, independentemente da banca.
Importante ressaltar que a abordagem será a mais objetiva possível nos temas, sem divagações ou retóricas
desnecessárias – o “academicismo” e o “praticismo” serão evitados ao máximo. A meta será o “concursismo”! Pois,
de fato, é o que aprova!
Por fim, se por ventura se você encontrar alguma inconsistência textual ou conceitual, peço que, em vez de
gastar energia se enfurecendo, use-a de forma mais proativa e tente me contatar, que prometo que terei o maior
prazer de avaliar as suas ponderações. E, uma vez confirmadas as inconsistências, suas correções serão
imediatamente agregadas à nova versão, e os devidos agradecimentos serão realizados.
Sem mais, #partiuFeroz!
INTRODUÇÃO
Antes de começarmos propriamente o “babaçu”, é importante ressaltar que, muito embora as normas 15999
tenham sido substituídas pela família 22.000, a maioria absoluta das questões relativas à Continuidade de Negócio
presente nos repositórios da Internet ainda referenciam as primeiras. Obviamente, o cenário tenderá a mudar no
futuro, mas por enquanto, é a realidade posta.
Prof. Walter Cunha
PCN Aula 00
É importante também destacar que estas normas têm a forma de guia de recomendações, e nesta qualidade
fornecem apenas recomendações, expressas pela expressão "convém que". Traduzindo, elas não são prescritivas
(obrigatórias). Traduzindo, qualquer tentativa de imprimir caráter obrigatório a essas normas deve despertar o
“sentido aranha” do candidato.
Outra dica que pode te ajudar a resolver muitas questões é lembrar que, diferente da família 27000, as
normas de continuidade de negócio, como o próprio nome já diz, são focadas em NEGÓCIO, e não
especificamente em TI. Então, qualquer tentativa de o examinador querer restringir o escopo CN apenas aos
aspectos tecnológicos, tornará a assertiva ERRADA.
Por fim, sempre relacionada de forma conjunta, a Gestão da Continuidade do Negócio é uma seara
complementar à Gestão de Riscos. A principal diferença é que enquanto a Gestão de Riscos foca mais no antes
(prevenção) a GCN foca mais nas consequências.
Você deve estar se perguntando de onde tiramos o nosso material... Pois bem, vamos às referências...
Referências:
▪ ABNT NBR 15999-1:2007 - Gestão de continuidade de negócios Parte 1: Código de prática (Substituída
por: ABNT NBR ISO 22313:2015)
 Esta Norma estabelece o processo, os princípios e a terminologia da gestão da continuidade de
negócios (GCN). O propósito desta Norma é fornecer uma base para que se possa entender,
desenvolver e implementar a continuidade de negócios em uma organização além de obter
confiança nos negócios da organização com clientes e outras organizações. Ela permite também
que a organização avalie sua capacidade de GCN de uma maneira consistente e reconhecida.
▪ ABNT NBR 15999-2:2008 - Gestão de continuidade de negócios Parte 2: Requisitos (Substituída por: ABNT
NBR ISO 22301:2013)
 Esta Norma especifica os requisitos para planejar, estabelecer, implementar, operar, monitorar,
analisar criticamente, exercitar, manter e melhorar o SGCN documentado dentro do contexto dos
riscos de negócios de toda a organização.
▪ ABNT NBR ISO 22313:2015 – Segurança da sociedade — Sistemas de gestão de continuidade de negócios
— Orientações
 Esta Norma para sistemas de gestão de continuidade de negócios fornece orientação com base em
boas práticas internacionais para o planejamento, criação, implantação, operação,
monitoramento, análise crítica, manutenção e melhoria contínua de um sistema de gestão
documentado, que permite que as organizações se preparem para responder e recuperar-se de
incidentes de interrupção quando eles surgirem.
▪ ABNT NBR ISO 22301:2013 - Segurança da sociedade — Sistema de gestão de continuidade de negócios
— Requisitos
 Esta Norma de gestão da continuidade de negócios especifica os requisitos para planejar,
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar
continuamente um sistema de gestão documentado para se proteger, reduzir a possibilidade de
Prof. Walter Cunha
PCN Aula 00
ocorrência, preparar-se, responder a e recuperar-se de incidentes de interrupção quando estes

ocorrerem.
▪ ABNT NBR ISO/IEC 27002:2013 – Tecnologia da informação — Técnicas de segurança — Código de prática
para controles de segurança da informação.
 Esta Norma fornece diretrizes para práticas de gestão de segurança da informação e normas de
segurança da informação para as organizações, incluindo a seleção, a implementação e o
gerenciamento de controles, levando em consideração os ambientes de risco da segurança da
informação da organização.
▪ ABNT NBR ISO/IEC 27001:2013 - Tecnologia da informação — Técnicas de segurança — Sistemas de gestão
da segurança da informação — Requisitos
 Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar
continuamente um sistema de gestão da segurança da informação dentro do contexto da
organização. Esta Norma também inclui requisitos para a avaliação e tratamento de riscos de
segurança da informação voltados para as necessidades da organização.
▪ ABNT NBR ISO/IEC 27005:2011 - Tecnologia da informação — Técnicas de segurança — Gestão de riscos
de segurança da informação
 Esta Norma fornece diretrizes para o processo de gestão de riscos de segurança da informação.
Tomando como base as normas listadas, fiz neste curso um apanhado do necessários e suficiente para
responder o que costuma ser cobrados em Concursos.
E, como é praxe, vamos ver como a diferença de escopo entre Normas é cobrada nos certames.
QUESTÃO - (CESPE/PCPE 2016) - A norma que visa garantir os processos fundamentais para que uma
organização, após ter passado por um incidente que cause uma ruptura do negócio, possa retornar à sua condição
normal, conseguindo, dessa forma, minimizar os prejuízos, é
A NBR 27002
B NBR 17799
C NBR 15999
D NBR 27005
E NBR 15900
Comentários:
A. NBR 27002 - Código de Prática para controles de segurança da informação.
B. NBR 17799 - Código de Prática para a gestão da segurança da informação (substituída pela 27002).
C. NBR 15999 - Gestão de continuidade dos negócios.

D. NBR 27005 - Gestão de Risco de Segurança da Informação.
E. NBR 15900 - Água para amassamento do concreto.

Resposta: C
Prof. Walter Cunha
PCN Aula 00
Posta a explicação, vamos agora definir alguns conceitos para nos familiarizarmos com jargões da
Continuidade do Negócio.
TERMOS E DEFIÇÕES
Continuidade de negócios (CN) – capacidade estratégica e tática da organização de se planejar e responder
a incidentes e interrupções de negócios para conseguir continuar suas operações em um nível aceitável
previamente definido.
Gestão de continuidade de negócios (GCN) – processo abrangente de gestão que identifica ameaças
potenciais para uma organização e os possíveis impactos nas operações de negócio caso estas ameaças se
concretizem.
Sistema de gestão de continuidade de negócios (SGCN) – aquela parte de um sistema global de gestão
que EIOMAMM* a continuidade de negócios.
NOTA: Estabelecer, Implementar e Operar, Monitorar e Analisar, Manter e Melhorar.
Plano de continuidade de negócios (PCN) – documentação de procedimentos e informações desenvolvida,

consolidada e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a
organização mantenha suas atividades críticas em um nível aceitável previamente definido.
Consequência – resultado de um incidente que pode ter impacto nos objetivos da organização.
* Podem existir várias consequências a partir de um único incidente.
** Uma consequência pode ser certa ou incerta e pode causar impactos positivos ou negativos aos objetivos.
Interrupção – evento previsto (por exemplo, uma greve ou furacão) ou não (por exemplo, um blecaute ou
terremoto), que cause um desvio negativo na esperada entrega e execução de produtos ou serviços, de acordo
com os objetivos da organização.
Impacto – consequência avaliada de um evento em particular Incidente – situação que pode representar ou
levar à interrupção de negócios, perdas, emergências ou crises.
Plano de gestão de incidentes (PGI) – plano de ação claramente definido e documentado para ser usado
quando ocorrer um incidente que tipicamente cobre as principais pessoas, recursos, serviços e outras ações que
sejam necessárias para implementar o processo de gestão de incidentes.
Período máximo de interrupção tolerável – duração a partir da qual a viabilidade de uma organização será
ameaçada de forma inevitável, caso a entrega de produtos e serviços não possa ser reiniciada.
Tempo objetivado de recuperação (RTO – Recovery Time Objective) tempo-alvo para retomada da entrega
de produtos, serviços ou atividades após um incidente.
NOTA: o RTO deve ser menor do que o período máximo de interrupção tolerável
Resiliência – capacidade de uma organização de resistir aos efeitos de um incidente (tolerância a falhas)
Análise de impacto nos negócios (business impact analysis – BIA) – processo de analisar as funções de
negócio e os efeitos que uma interrupção possa causar nelas.
Prof. Walter Cunha
PCN Aula 00
Apetite a risco – quantidade total de risco que uma organização está preparada para aceitar, tolerar ou ser
exposta a qualquer tempo.
Avaliação dos riscos – processo geral de identificação, análise e estimativa dos riscos.
Emergência civil – evento ou situação que pode causar danos sérios ao bem-estar humano em um local, em
um ambiente, ou à segurança do país ou de um local específico.
Plano de Administração de Crises (PAC) – plano que aborda todos os elementos necessários à atuação
coordenada durante uma crise, incluindo a tomada de decisões de contingência e o acionamento de equipes.
Plano de Contingência (PC) – plano emergencial, que deve ser utilizado em último caso. Entra em cena
quando todas as prevenções realizadas anteriormente tiverem falhado. O Plano de Contingência lista as ações
mais imediatas do PCN.
Acordo de reciprocidade – Propõe a aproximação de empresas com características/serviços semelhantes

através de um acordo formal para que possam servir como uma alternativa operacional.
Uma vez familiarizados com os conceitos, vamos passar agora ao estudo do Sistema de Gestão da
Continuidade de Negócio.
GESTÃO DA CONTINUIDADE DO NEGÓCIO

Mas afinal...
De que trata a Continuidade de Negócio?
A Gestão da Continuidade de Negócios (GCN) (ABNT NBR ISO 22301:2013) é uma disciplina que ajuda
a empresa a definir os processos-chave e os impactos que resultariam da concretização de situações de
interrupções, e preparar-se para responder a estes cenários, continuar os negócios e recuperar-se no menor tempo
possível. Recomenda-se que as organizações estabeleçam, implementem, e mantenham uma documentação e
avaliação formal para sistematizar o processo de análise de risco e impactos e estabeleça os objetivos da
continuidade de negócio.
• Traduzindo, a gestão da continuidade de negócios (GCN) é um processo da organização que estabelece

uma estrutura estratégica e operacional adequada para:
• Melhorar proativamente a resiliência da organização contra possíveis interrupções de sua capacidade
em atingir seus principais objetivos;
• Prover uma prática para restabelecer a capacidade de uma organização fornecer seus principais produtos
e serviços, em um nível previamente acordado, dentro de um tempo previamente determinado após
uma interrupção; e
• Obter reconhecida capacidade de gerenciar uma interrupção no negócio, de forma a proteger a marca e
reputação da organização.
CN e o PDCA (EIOMMAM)
A NBR 15999 faz uso do modelo PDCA (plan-do-check-act)
Prof. Walter Cunha
PCN Aula 00
QUESTÃO: (CESPE/MEC 2015) A NBR 15999 faz uso do modelo PDCA (plan-do-check-act), de forma a trabalhar
o desenvolvimento, a implementação, a manutenção e a melhoria de um sistema de gestão de continuidade do
negócio.
Comentários:
Como vimos, é o EIOMAMM* a continuidade de negócios.

Prof. Walter Cunha
PCN Aula 00
Resposta: Certa
SGCN
A Gestão de Continuidade dos Negócios (GCN) fornece uma estrutura que lhe permite identificar ameaças
potenciais à sua organização e desenvolve a capacidade para lidar com elas. Isto significa que estar preparado para
responder às ameaças e proteger os interesses da alta direção, dos stakeholders, a reputação e a marca de sua
empresa. O Sistema de Gestão de Continuidade dos Negócios está diretamente relacionado à estratégia da
empresa, sua sustentabilidade, reputação e sobrevivência.
Componentes de um SGCN
Um SGCN tem os seguintes componentes chave:
▪ uma política;
▪ pessoas com responsabilidade definidas;
▪ processos de gestão relativos a política, planejamento, implementação e operação, análise de
desempenho, análise crítica da gestão e melhorias;
▪ conjunto de documentos fornecendo evidências auditáveis;
▪ processos de tópicos específicos relativos a continuidade de negócios, ex: Análise de Impacto nos
Negócios, desenvolvimento de PCN, etc.
Estágios de um SGCN
▪ Criação do Programa de GCN;
▪ Entendendo a Organização;
▪ Determinando a Estratégia de Continuidade de Negócios;
▪ Desenvolvendo e implementando uma resposta de GCN;
▪ Testando, mantendo e analisando criticamente os preparativos de GCN;
▪ Incluindo a GCN na cultura da organização.
Prof. Walter Cunha
PCN Aula 00
- E, Walter, afinal, quais são os passos para se implantar um Sistema de Gerenciamento de Continuidade de
Negócios?
Fases do Projeto de Implantação de um SGCN:

▪ Atribuição de responsabilidades a indivíduos encarregados de serem os responsáveis e os
implementadores e mantenedores do programa de GCN;
▪ Implantação da continuidade de negócios na organização, precedida pelo planejamento e
desenvolvimento do programa, envolve a comunicação e treinamento às partes interessadas assim como
o teste da capacidade de continuidade de negócios;
▪ Gestão contínua, através da manutenção permanente nos componentes da GCN assim como
documentação de todas as suas atividades.
Criação dos Planos de SGCN
a. Avaliação de Riscos
Deve haver um processo definido, documentado e adequado para avaliação de riscos que possibilitará à
organização entender as ameaças e vulnerabilidades nas suas atividades críticas e recursos de suporte, incluindo
aqueles fornecidos por fornecedores e parceiros externos.
A organização deve entender o impacto que pode surgir caso a ameaça identificada se torne um incidente e
cause uma interrupção nos negócios.
b. Determinando escolhas
Para cada uma das atividades críticas, a organização deve identificar tratamentos de riscos disponíveis que:
i) Reduzam a probabilidade de uma interrupção;

ii) Diminuam o período de interrupção; e
iii) Limitem o impacto de uma interrupção nos produtos e serviços chave da organização.
A organização deve escolher e implementar tratamentos apropriados para cada atividade crítica de acordo
com seu nível de risco aceitável.
c. Formalização dos Planos de GCN

i) - Devem detalhar como gerir incidentes ou recuperar atividades;
ii) - Propósito, escopo, responsáveis pela revisão INDIVIDUAIS;
iii) - Comunicação, atividades chave, papéis COLETIVOS;
Estudado o SGCN, vamos agora detalhar os Planos de GCN.
Planos de Gestão de Continuidade de Negócios.

A Continuidade de Negócios é um domínio da Gestão de Riscos e demanda planejamento prévio e
preparação dos recursos. Para isto, alguns planos devem ser criados e sempre estarem atualizados:
Prof. Walter Cunha
PCN Aula 00
• Planos de Resposta (emergência e crises)

• Plano de Continuidade (recuperação e retorno)
Plano de Continuidade de Negócios (PCN)

O propósito desse plano é permitir que uma organização recupere ou mantenha suas atividades em caso de
uma interrupção das operações normais de negócios.
Conteúdo do PCN (adicional):
i) Plano de ação/listas de tarefas;

ii) Recursos necessários;
iii) Responsáveis;
iv) Formulários e anexos.
Elementos de um PCN
Convém que um PCN contenha os seguintes elementos: Plano de ação/Listas de tarefas;
▪ Como o PCN é ativado;

▪ As pessoas responsáveis por ativar o plano de continuidade de negócios;
▪ Procedimento que esta pessoa deve adotar ao tomar esta decisão;
▪ As pessoas que devem ser consultadas;
▪ Quem vai para onde e quando;
▪ Quais serviços estão disponíveis, aonde e quando, incluindo como a organização mobilizará seus recursos;
▪ Como e quando esta informação será comunicada.
Sub Planos do PCN

Plano de Continuidade de Negócios é constituído pelos seguintes (sub) planos:
▪ Plano de Contingência - plano emergencial, que deve ser utilizado em último caso. Entra em cena quando
todas as prevenções realizadas anteriormente tiverem falhado. O Plano de Contingência lista as ações
▪ Plano de Administração de Crises (PAC) – definir passo a passo o funcionamento das equipes envolvidas
com o acionamento da contingência antes, durante e depois da ocorrência do incidente, assim como no
período de retorno à normalidade. Exemplo de comunicação à imprensa;
▪ Plano de Recuperação de Desastres (PRD) – definir um plano de restauração e recuperação das
funcionalidades dos ativos afetados, a fim de restabelecer as condições originais. Convém que a
organização crie, aumente e mantenha uma consciência por meio da educação permanente em GCN e de
um programa de informações para toda a equipe.
▪ Plano de Continuidade Operacional (PCO) – definir os procedimentos para contingenciamento dos ativos
que suportam cada processo do negócio, objetivando reduzir o tempo de indisponibilidade e,
consequentemente, os impactos. Exemplo de ações com a queda da Internet.
Prof. Walter Cunha
PCN Aula 00
Plano de Gerenciamento de Incidentes (PGI)

O propósito desse plano é permitir que a organização gerencie a fase inicial e crítica de um incidente.
Conteúdo:
▪ Lista de tarefas e ações;

▪ Contatos de emergência;
▪ Atividades das pessoas;
▪ Comunicação à mídia;
▪ Gestão de partes interessadas.
Acessibilidade dos Planos

Segundo a ISO 15999-1,"8.3.1 Introdução
"Convém que todos os planos, sejam eles de gerenciamento de incidentes, continuidade de negócios ou
recuperação de negócios, sejam concisos e acessíveis àqueles que possuam responsabilidades
definidas nesses planos."
Ou seja, o ditame acima respeita a diretriz de segurança: “necessidade de conhecer”.
(CESPE/TRE-BA 2017) De acordo com as normas da ABNT NBR ISO/IEC 15999-1 e NBR ISO/IEC 15999-2 e com as
noções de governança e gestão de TI, o plano que aborda todos os elementos necessários à atuação coordenada
durante uma crise, incluindo a tomada de decisões de contingência e o acionamento de equipes, é denominado
plano de
a) continuidade operacional.
b) recuperação de desastres.
c) gestão de recursos.
d) gestão de crises.
e) gestão de emergências.
Comentários:
O Plano de Administração/Gestão de Crises (PAC) define passo a passo o funcionamento das equipes envolvidas
com o acionamento da contingência antes, durante e depois da ocorrência do incidente, assim como no período
de retorno à normalidade. Exemplo: assistência a vítimas de desastres.
Resposta: D
Prof. Walter Cunha
PCN Aula 00
Estratégias de GCN
Segundo a norma ISO 15999:
Convém que a abordagem da organização para determinar suas estratégias de GCN:
▪ Implemente as medidas apropriadas, de forma a reduzir a probabilidade de ocorrência de incidentes e/ou

reduzir os potenciais efeitos desses incidentes;
▪ Mantenha um registro das medidas de resiliência e mitigação;
▪ Forneça continuidade para as atividades críticas durante e após um incidente; e
▪ Mantenha um registro das atividades que não foram identificadas como críticas.
É papel da análise de negócios conhecer o ambiente onde está trabalhando. E, durante a tarefa de análise de GAPs de
capacidades, o analista precisa conhecer muito bem o estado atual da organização ou da unidade de negócios.
Identificação de atividades críticas

▪ A organização deve categorizar suas atividades de acordo com suas prioridades de recuperação;
▪ Aquelas atividades que, de acordo com os resultados da BIA, tenham maior impacto no menor tempo e
que necessitem ser recuperadas mais rapidamente devem ser chamadas de “atividades críticas”;
▪ Cada atividade crítica pode suportar um ou mais produtos ou serviços principais.
Determinando requisitos de continuidade
Convém que a organização estime os recursos que cada atividade necessitará durante sua recuperação,
como, por exemplo:
a) pessoas (ver 7.3);
b) instalações (ver 7.4);
c) tecnologia (ver 7.5);
d) informação (ver 7.6);
e) suprimentos (ver 7.7);
f) partes interessadas (ver 7.8).
Em cada caso, convém que a organização minimize a probabilidade de implementar uma solução de
continuidade de negócios que possa ser afetada pelo mesmo incidente que causou a interrupção no
negócio.
(FCC/Pref. Teresina 2016) A Gestão de Continuidade de Negócios deve prever estratégias a serem aplicadas a
diversos tipos de recursos de uma organização. Dentre tais recursos incluem-se
Prof. Walter Cunha
PCN Aula 00
A pessoas e recursos financeiros.
B tecnologia, mas não informação.
C informação e meio ambiente.
D suprimentos, mas não pessoas.
E instalações e informações.
Comentários:
Segundo a norma ISO 15999:
7.2.2 Estratégias podem ser necessárias para os seguintes recursos da organização:
1) pessoas (ver 7.3);
2) instalações (ver 7.4);
3) tecnologia (ver 7.5);
4) informação (ver 7.6);
5) suprimentos (ver 7.7);
6) partes interessadas (ver 7.8).
Resposta: E
Avaliando ameaças a atividades críticas
Em um contexto de GCN, convém que o nível de risco seja entendido no que diz respeito às atividades
críticas da organização e aos riscos de uma interrupção destas. Trata-se, pois de uma análise de riscos.
Determinando escolhas
Com o resultado da BIA e da avaliação de riscos, convém que a organização identifique medidas que:
- Reduzam o período e a chance de interrupção;
- Limitem o impacto.
- Estas medidas são conhecidas como mitigação de perdas e tratamento de riscos.
Estratégias de mitigação:
Convém que seja estabelecido um RTO e as estratégias de continuidade da seção 7 sejam testadas contra ele
(tratar);
- Aceitação do risco (tolerar);
Prof. Walter Cunha
PCN Aula 00
- Transferência do risco (transferir);
- Mudar, suspender ou terminar o serviço, produto, atividade, função ou processo (terminar).
QUESTÃO. (CESPE/TJ-RO 2012) As apólices de seguro são estratégias eficazes e suficientes para o tratamento de
risco, pois garantem recompensa financeira para as perdas mais significativas da organização.
Comentários:
Seguros garantem, em certa medida, indenizações pelas perdas decorrentes de um incidente, mas não são
pensados para tratar a Continuidade do Negócio. Imagine uma batida de carro. Você pode até reaver (parte) do
seu investimento, contudo o transtorno das horas perdidas parado e para liberar o seguro não serão recuperadas.
Resposta: ERRADA.
Aprovação
Convém que a alta direção aprove a lista que documenta os principais produtos e serviços, a BIA e a
avaliação de riscos, de forma a garantir que o trabalho foi realizado de forma apropriada e reflete
verdadeiramente a realidade da Organização.
Opções de estratégia
As estratégias mais apropriadas dependem de uma série de fatores:
▪ O período máximo de interrupção tolerável da atividade crítica;

▪ Os custos de implementação de uma ou mais estratégias;
▪ As consequências de não se agir.
Estratégias podem ser necessárias para todos os recursos da organização, tais como pessoas; instalações;
tecnologia; informação; suprimentos; partes interessadas.
Opções de estratégia – Instalações

▪ Instalações alternativas dentro da organização;
▪ Ambientes alternativos fornecidos por outras organizações (por meio ou não de acordos recíprocos);
▪ Ambientes alternativos fornecidos por terceiros especializados;
▪ Trabalho a partir de casa ou de locais remotos;
▪ Outros locais que sejam acordados como apropriados;
▪ Uso de força de trabalho alternativa em um local estabelecido.
Opções de estratégia – Tecnologia

▪ Distribuição geográfica da tecnologia;
▪ Armazenar o equipamento mais antigo como substituto em caso de emergências;
Prof. Walter Cunha
PCN Aula 00
▪ Mitigação de risco adicional para equipamento único ou para um prazo de entrega longo.
Opções de estratégia – Informação
Convém que as estratégias de informação sejam documentadas para que seja possível recuperar
informações que ainda não tenham sido copiadas ou caso não tenha sido realizado backup em um local
seguro.
Opções de estratégia – Suprimentos

▪ Armazenamento de suprimentos adicionais em outro local;
▪ Acordos com terceiros para entregas emergenciais;
▪ Remanejamento de entregas programadas para outros locais;
▪ Armazenamento de materiais em armazéns ou bases de envio;
▪ Transferência de atividades de montagem de unidades para um local alternativo que possua esses
suprimentos;
▪ Identificação de suprimentos alternativos/substitutos.
Opções de estratégia – Partes interessadas

▪ Ao determinar as estratégias de GCN, convém que a organização
▪ Considere e proteja os interesses de seus principais stakeholders;
▪ Convém que essas estratégias levem em consideração os aspectos socioculturais pertinentes.
Opções de estratégia – Emergências civis

▪ Convém que as organizações que buscam definir, implementar ou validar suas estratégias de
gerenciamento de incidentes e gestão de continuidade de negócios conheçam as autoridades
responsáveis por responder a emergências;
▪ Estas autoridades serão fundamentais para a declaração oficial de que ocorreu uma emergência civil.
Outras Estratégias
Programa de Testes
Convém que o programa teste os aspectos técnicos, logísticos, administrativos, de procedimentos e outros
sistemas em operação do PCN; teste os preparativos e a infraestrutura de CN; valide a recuperação da
tecnologia e das telecomunicações, incluindo a disponibilidade e o remanejamento de pessoal.
Prof. Walter Cunha
PCN Aula 00
Auditoria
Convém que a organização providencie uma auditoria independente para avaliar sua competência de GCN
e sua capacidade de identificar falhas reais e potenciais.
Convém que a organização estabeleça, implemente e mantenha procedimentos para lidar com a auditoria
independente.
Convém que auditorias independentes sejam conduzidas por pessoas competentes, sejam elas internas ou
externas.
Autoavaliação
Um processo de autoavaliação de GCN tem um papel importante para garantir que a organização tem
competência e capacidade de GCN sólidas, eficazes e adequadas.
Esse processo verifica qualitativamente a capacidade da organização de se recuperar de um incidente.
Convém que a autoavaliação também leve em conta as normas pertinentes e as boas práticas da indústria.
(CESPE/EBSERH 2018) Julgue o próximo item, a respeito da segurança da informação.
Uma auditoria no plano de continuidade de negócios de uma organização precisa verificar se o plano é exequível
e se o pessoal está treinado para executá-lo.
Comentários:
A questão foi tirada da cartilha Auditoria da Segurança da informação do TCU (página 39)
Resposta: Certa
Conscientização
Convém que a organização tenha um processo para identificar e implementar os requisitos de

conscientização de GCN e para avaliar a eficiência desta implementação.
Convém que a organização crie, aumente e mantenha uma consciência por meio da educação permanente
em GCN e de um programa de informações para toda a equipe.
Treinamento
Convém que a organização possua um processo para identificar e implementar os requisitos de treinamento
de GCN e para avaliar a eficiência desta implementação.
Prof. Walter Cunha
PCN Aula 00
Convém que a organização treine:

- A equipe de GCN;
- O pessoal não relacionado diretamente à GCN que necessite de habilidades específicas para desempenhar
seu papel em CN.
Atividades Terceirizadas
▪ Se um produto, serviço ou atividade for terceirizado, o risco deste continua vinculado à organização;
▪ Consequentemente, convém que a organização garanta que seus principais fornecedores ou parceiros de
terceirização possuem planos de GCN eficazes;
▪ Um método de garantir tal ponto é obter evidência auditada que demonstre a viabilidade dos planos.
Análise de Impacto (BIA)
Deve existir um método definido, documentado e adequado para determinar o impacto de qualquer
interrupção das atividades que suportam os principais produtos e serviços da organização.
Conforme o BIA, a organização deve, dentre outras atividades:

▪ Identificar as atividades que suportem seus produtos e serviços-chave;
▪ Identificar os impactos resultantes da interrupção dessas atividades e determinar sua variação na linha
do tempo;
▪ Estabelecer o tempo máximo de interrupção de cada atividade;
▪ Categorizar suas atividades conforme suas prioridades para recuperação;
▪ Definir o RTO para a retomada das atividades críticas dentro do seu tempo máximo de interrupção;
▪ Estimar os recursos que cada atividade crítica necessitará para retomada.
Os principais resultados gerados com a BIA, permitem as seguintes análises:

▪ Compreensão dos processos negócio/atividades, incluindo:
 Os clientes (internos e externos);
 Saídas / Entregas;
 Entradas (que permitem que o processo funcione, incluindo recursos e outras dependências de
terceiros);
▪ Compreender uma estimativa do impacto do tempo de inatividade, o que serve como justificativa de
negócios para estabelecer objetivos de recuperação;
▪ Identificação dos objetivos de recuperação e de prioridades de recuperação para os processos e recursos
de negócios;
▪ Coleta de informações que podem ajudar a identificar estratégias apropriadas de recuperação e
documentar planos para o futuro.
Prof. Walter Cunha
PCN Aula 00
Após a BIA, a organização deve ser capaz de identificar as atividades críticas que contribuem para a entrega
de seus mais importantes produtos e serviços, a lista de todos os recursos necessários para a recuperação, e
priorizar atividades e recursos por objetivo à recuperação.
QUESTÃO - (AOCP/TCE-PA 2012) Uma das preocupações frequentes das organizações é com relação aos riscos
de indisponibilidade dos negócios, fato este evidenciado após o 11 de Setembro de 2001. Por meio da NBR 15999-
1, é possível conhecer o objetivo, o negócio, as partes interessadas e as regulamentações envolvidas da
organização. A ferramenta que dá subsídios para isso é a
a) SWOT.
b) RACI.
c) BSC.
d) GNC.
e) BIA.
Comentários:
Análise de impacto nos negócios (business impact analysis – BIA) – processo de analisar as funções de negócio e
os efeitos que uma interrupção possa causar nelas.
Resposta: E
Bom, Pessoal, creio que isso é tudo que vocês precisam saber de PCN nesse momento. Que tal agora
testarmos os conhecimentos adquiridos?
Questões comentadas pelo professor
(CESGRANRIO/IBGE 2016)
Na gestão de segurança da informação, o desenvolvimento e a implantação dos planos para proteger os processos
críticos contra efeitos de falhas ou desastres significativos e, se for o caso, assegurar a sua retomada em tempo
hábil fazem parte da gestão de
A) incidentes de segurança
B) continuidade do negócio
C) ativos
D) segurança em recursos humanos

E) segurança física
Resolução
A Gestão da Continuidade de Negócios (GCN) (ABNT NBR ISO 22301:2013) é uma disciplina que ajuda a
empresa a definir os processos-chave e os impactos que resultariam da concretização de situações de
interrupções, e preparar-se para responder a estes cenários, continuar os negócios e recuperar-se no menor tempo
possível.
Prof. Walter Cunha
PCN Aula 00
A Continuidade de Negócios é um domínio da Gestão de Riscos e demanda planejamento prévio e

preparação dos recursos. Para isto, alguns planos devem ser criados e sempre estarem atualizados:
Planos de Resposta (emergência e crises)
Plano de Continuidade (recuperação e retorno)
Recomenda-se que as organizações estabeleçam, implementem, e mantenham uma documentação e

avaliação formal para sistematizar o processo de análise de risco e impactos e estabeleça os objetivos da
continuidade de negócio.
Resposta: B
(UECE/CGE-CE 2013)
Com respeito à norma ISO/IEC 15999, é correto afirmar-se que ela
A) orienta as empresas na garantia da continuidade dos negócios em caso de incidentes.

B) B) especifica ações a serem efetuadas por uma organização em caso de desastre natural.
C) não tem equivalente, no Brasil, elaborada pela ABNT.
D) deu origem, no Brasil, a três outras subnormas (recomendações especiais): 15999-1, 15999-2 e 15999-3.
Resolução:
a) Correta.
b) Não só em caso de desastres naturais, mas de qualquer incidente que possa paralisar o negócio.
c) ABNT ISO/IEC 15999-1, 15999-2 (substituídas pela 22301 e 22313).
d) Na verdade, são DUAS sub normas: 15999-2 fornece os requisitos; e a 15999-1 fornece a implementação.
Resposta: A
(CESPE/TCU 2010)
A norma NBR ISO/IEC 15999 destina-se a orientar as empresas no que fazer a partir do momento em que acontecer
algum incidente, oferecendo respostas às ameaças sofridas e seus impactos nas operações do negócio.
Resolução:
Como um código de práticas, esta Norma tem a forma de um guia de recomendações, e nesta qualidade
fornece recomendações expressas em frases em que a principal é a expressão "convém que".
A referida Norma restabelece o processo, os princípios e a terminologia da gestão da continuidade de

negócios (GCN).
Resposta: Errada
(CESPE/MEC 2015)
A NBR 15999 é baseada na ISO 27001, que é considerada como ponto focal da discussão de normas de gestão de
continuidade de negócios.
Prof. Walter Cunha
PCN Aula 00
Resolução:
A 27001 refere-se (apenas) à Gestão de Segurança da Informação, sendo a Gestão da Continuidade de

Negócios bem mais abrangente. Portanto, não é razoável que a 27001 seja considerada o ponto focal da SGCN.
Talvez se o enunciado se referisse à GSI ficasse correto.
Resposta: Errada
(CESPE/MEC 2015)
A norma ISO/IEC 15999-1, aplicável a atividades de serviço, visa subsidiar a implementação de um sistema de
gerenciamento de banco de dados (SGBD), tem um código de prática e fornece uma base para entendimento,
desenvolvimento e implementação da continuidade de negócios em uma organização.
Resolução:
Em vez de sistema de gerenciamento de banco de dados (SGBD), o correto seria Sistema de Gestão da
Continuidade de Negócio (SGCN).
Resposta: Errada
(CESPE/TJ-RO 2012)
De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de
continuidade do negócio (GCN).
A) A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de
interrupção das atividades críticas da organização.
B) A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a
incidentes, de continuidade e de comunicação.
C) A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou)
atividades críticas e recursos de suporte de uma organização.
D) GCN é uma abordagem alternativa à gestão de riscos de segurança da informação.
E) GCN é a fase inicial da implantação da gestão de continuidade em uma organização.
Resolução:
A) Os períodos máximos toleráveis são definidos na fase entendendo a organização
B) Os testes são realizados na fase: Testando, mantendo e analisando criticamente os preparativos de GCN
C) Correta
D) A GCN é complementar a uma estrutura de gestão de riscos que busca entender os riscos às operações
e negócios e suas consequências. Uma não substitui a outra.
E) A GCN é a própria Gestão da Continuidade do Negócio.
Resposta: C
(FGV/MPE-BA 2017)
Prof. Walter Cunha
PCN Aula 00
A gestão da continuidade de negócios, segundo a norma ABNT NBR 15999, é um processo da organização que
estabelece uma estrutura estratégica e operacional adequada para:
A) Eliminar a necessidade de treinar os colaboradores da organização para responder de forma eficaz a um

incidente ou interrupção;
B) Assegurar que não ocorra interrupção do negócio mesmo diante de incidentes graves;
C) Prover uma prática para justificar a incapacidade de uma organização fornecer seus principais produtos e
serviços após uma interrupção;
D) Permitir que a organização não precise cumprir suas obrigações legais e regulamentações aplicáveis na
ocorrência de um incidente;
E) Melhorar proativamente a resiliência da organização contra possíveis interrupções de sua capacidade em

atingir seus principais objetivos.
Resolução:
A) “Eliminar a necessidade de treinar os colaboradores...”. Onde já se viu?

B) Geralmente, não temos como assegurar que a interrupção não ocorra. O que podemos fazer é tentar
diminuir a sua probabilidade de ocorrência e atenuar seus impactos;
C) “Provar uma prática para justificar a incapacidade...”. O pior é que um candidato pode acabar marcando
certo, pois é uma prática nefasta disseminada.
D) “Não precise cumprir suas obrigações legais...”. Sem comentários...
E) Correta.
Resposta: E
(UPENET/UPE 2017)
São exemplos de fases do ciclo de vida de um sistema de gestão de continuidade de negócios (GCN), conforme a
norma NBR ISO/IEC 15999:2007:
A) Mecanismo de controle de acesso; Auditoria de qualidade; Gestão de responsabilidades.
B) Atribuição de responsabilidades; Pesquisa de atendimento de requisitos; Auditoria de qualidade.

C) Controle de acesso; Implementação da continuidade de negócios na organização; Gestão contínua da
D) Implementação de mecanismos de gestão compartilhada; Gestão contínua da continuidade de negócios;

Auditorias de emergência
E) Atribuição de responsabilidades; Implementação da continuidade de negócios na organização; Gestão

contínua da continuidade de negócios.
Resolução:
Atribuição de responsabilidades; Implementação da continuidade de negócios na organização; Gestão
Resposta: E
Prof. Walter Cunha
PCN Aula 00
(CESPE/MEC 2015)
A norma ISO/IEC 15999-2 especifica os requisitos para planejar, estabelecer, implementar, operar, monitorar,
analisar criticamente, exercitar, manter e melhorar o sistema de gerenciamento da continuidade de negócios
(SGCN) documentado dentro do contexto dos riscos de negócios de toda a organização.
Resolução:
Lembram do EIOMMAM?
RESPOSTA: Certa
(CESPE/TRT-21 2015)
No que concerne à gestão da continuidade de negócios, a norma brasileira NBR 15999 estabelece o que deve ser
atendido. Nesse aspecto, todos os estágios da gestão da continuidade são: Compreender o Negócio; Estratégia
de Continuidade; Plano de Continuidade; Construir e Disseminar a Cultura; e Exercitar, Manter e Auditar.
Resolução:
Conforme a NBR ISO/IEC 15999:2007, o ciclo de vida de GCN é composto por seis elementos:
▪ Gestão do Programa de GCN;

▪ Entendendo a Organização;
▪ Determinando a Estratégia de Continuidade de Negócios;
▪ Desenvolvendo e implementando uma resposta de GCN;
▪ Testando, mantendo e analisando criticamente os preparativos de GCN;
▪ Incluindo a GCN na cultura da organização.
Resposta: Errada
(VUNESP/TCE-SP 2014)
O ciclo de vida da Gestão de Continuidade de Negócios (GCN) da norma NBR ISO/IEC 15999:2007, em seu
elemento Gestão de Programa de GCN, inclui os seguintes 3 passos:
A) análise de impacto no negócio, opções de estratégia e atribuição de responsabilidade.
B) atribuição de responsabilidade, implementação da continuidade de negócio na organização e gestão
C) determinação de escolhas de fornecedores, análise de impacto nos negócios e determinação de requisitos

de contingência.
D) determinação de requisitos de contingência, definição de técnicas de gestão e aquisição de suprimentos.
E) identificação de atividades críticas, seleção de pessoal e gestão contínua da continuidade de negócios.
Resolução:
A gestão de programa de GCN envolve 3 passos:
▪ Atribuição de responsabilidades
Prof. Walter Cunha
PCN Aula 00
▪ Implantação da continuidade de negócios na organização

▪ Gestão contínua
Resposta: B
A norma NBR ISO/IEC 15999:2007 prevê um Plano de Gerenciamento de Incidentes (PGI). Esse plano está inserido
no seguinte elemento do ciclo de vida da Gestão de Continuidade de Negócios:
A) Desenvolvendo e implementando uma resposta de GCN.

B) Determinando a estratégia de continuidade dos negócios.
C) Entendendo a organização.
D) Gestão de programa de GCN.

E) Incluindo a GCN na cultura da organização.
Resolução:
O desenvolvimento e a implementação de uma resposta de GCN resultam na criação de uma estrutura de

gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de
negócios que detalhem os passos a serem tomados durante e após um incidente, para manter ou restaurar as
operações.
Resposta: A
(CESPE/TJ-SE 2014)
Elaborado e testado o plano de continuidade de negócio pelos dirigentes da organização com a possibilidade de
auxílio da equipe de gerência da segurança da informação, recomenda-se incluir um registro de incidentes ou
formulários para o registro de informações vitais, principalmente como consequência de decisões tomadas
durante a execução do plano.
Resolução:
Caros, não encontrei uma referência direta nas Normas. Contudo, a necessidade de registro de todas as
informações relevantes é uma constants nesses artefatos.
Resposta: CERTA
(CESPE/TJ-RO 2012)
Em conformidade com as normas NBR 15999 e ABNT NBR 15999-2, um plano de continuidade de negócios deve
conter
A) a análise e a avaliação dos riscos de segurança da informação que afetam os ativos organizacionais.
B) a definição dos controles técnicos que mitigam os riscos de segurança da informação.

C) uma lista das vulnerabilidades presentes nos ativos de processos organizacionais.
D) a definição da equipe de pessoas responsáveis pela operação do programa de continuidade.
Prof. Walter Cunha
PCN Aula 00
E) uma lista estruturada e priorizada de ações e tarefas que apresente a forma como o plano é ativado.
Resolução:
Convém que um PCN contenha os seguintes elementos:

- Plano de ação/Listas de tarefas;
- Como o PCN é ativado;
- As pessoas responsáveis por ativar o plano de continuidade de negócios;
- Procedimento que esta pessoa deve adotar ao tomar esta decisão;
- As pessoas que devem ser consultadas;
- Quem vai para onde e quando;
- Quais serviços estão disponíveis, aonde e quando, incluindo como a organização mobilizará seus recursos;
- Como e quando esta informação será comunicada;
Resposta: E
(CESPE/TJ-SE 2014)
Nos termos da referida norma, o plano de continuidade de negócio, um documento muito útil para a organização,
elaborado antes da ocorrência de desastres, deve ser reproduzido em cópias para armazenamento em locais de
fácil acesso.
Resolução:
Segundo a ISO 15999-1,"8.3.1 Introdução
"Convém que todos os planos, sejam eles de gerenciamento de incidentes, continuidade de negócios ou
recuperação de negócios, sejam concisos e acessíveis àqueles que possuam responsabilidades
definidas nesses planos."
Resposta: Errada
(CESPE/MEC 2015)
A elaboração de um estudo de análise de impacto nos negócios (BIA) pode ser precedida por uma análise de riscos
de segurança da informação, especialmente se for focado na indisponibilidade de ativos, pois, se o BIA identifica
de forma mais precisa os impactos de uma interrupção, ele também demanda investigações detalhadas sobre os
custos da interrupção de processos, e será mais efetivo se for focado nos processos de negócios associados aos
riscos de maior magnitude.
Resolução:
Prof. Walter Cunha
PCN Aula 00
Após a BIA, a organização deve ser capaz de identificar as atividades críticas que contribuem para a entrega
de seus mais importantes produtos e serviços, a lista de todos os recursos necessários para a recuperação, e
priorizar atividades e recursos por objetivo à recuperação.
Resposta: Certa
(CESPE/TCE-ES 2013 ADAPTADA)
Com relação à gestão de riscos, assinale a opção correta.

A NBR ISO/IEC 15999 estabelece as bases para a gestão de riscos em segurança da informação e a NBR ISO/IEC
27005 trata da gestão de continuidade de negócios.
Resolução: Está invertido.
Resposta: Errada
(FCC/ISS-SL 2018)
Considere, por hipótese, que um incêndio danificou um servidor da Prefeitura e um Auditor foi acionado para
restaurar um backup completo do que havia em uma fita em um novo servidor. Apesar de o Auditor ter levado
cerca de 30 minutos para restaurar os dados do backup, o total de tempo entre a notificação da interrupção dos
serviços dependentes dos dados do servidor danificado, a recuperação total dos dados e a restauração dos serviços
foi de aproximadamente 50 minutos, dentro do tempo tolerável previsto no Plano de Recuperação de Desastres
associado ao Plano de Continuidade de Negócio. Este limite de tempo é conhecido como
A) Recovery Time Point (RTP).
B) Business Process Recovery Objective (BPRO).

C) Recovery Point Objective (RPO).
D) Business Recovery Time (BRT).
E) Recovery Time Objective (RTO).
Resolução:
Segundo a ISO 15999, o Tempo objetivado de recuperação (RTO – recovery time objective) é o tempo alvo
para:
▪ retomada da entrega de produtos ou serviços após um incidente; ou

▪ recuperação do desempenho de uma atividade após um incidente; ou
▪ recuperação de um sistema ou aplicação de TI após um incidente.
NOTA: O tempo objetivado de recuperação deve ser menor que o período máximo de interrupção tolerável.
Resposta: E
(FCC/SEFAZ-SP 2009)
As ações a serem tomadas imediatamente após a ocorrência de um incidente que coloque em risco as operações
do negócio devem estar descritas no plano de continuidade de negócios como procedimentos
Prof. Walter Cunha
PCN Aula 00
A) operacionais temporários.
B) de ensaio geral.
C) de recuperação.
D) de restauração.
E) de emergência
Resolução:
Segundo a ISO 27002 (14.1.40) Estrutura do plano de continuidade do negócio
Diretrizes para implementação
Convém que uma estrutura de planejamento para continuidade de negócios contemple os requisitos
de segurança da informação identificados e considere os seguintes itens:
b) procedimentos de emergência que descrevam as ações a serem tomadas após a ocorrência de um
incidente que coloque em risco as operações do negócio;
Resposta: E
(FCC/MPE-PE 2018)
Estabelecer um plano de continuidade de negócios é primordial para as empresas, sendo que o plano de
continuidade é constituído de subplanos. O subplano estabelecido para ser utilizado em último caso quando todas
as prevenções tiverem falhado é conhecido como Plano de
A) Gerenciamento de Crises.
B) Contingência.
C) Recuperação de Desastres.
D) Administração.
E) Continuidade Operacional.
Resolução:
O Plano de Continuidade de Negócios é constituído pelos seguintes planos:
▪ Plano de Contingência;
▪ Plano de Administração de Crises (PAC);
▪ Plano de Recuperação de Desastres (PRD); e
▪ Plano de Continuidade Operacional (PCO).
Plano de Contingência: este é o plano emergencial, que deve ser utilizado em último caso. Entra em cena
quando todas as prevenções realizadas anteriormente tiverem falhado. O Plano de Contingência lista as
ações mais imediatas do PCN.
Prof. Walter Cunha
PCN Aula 00
Resposta: B
(FGV/AL-RO 2018)
Assinale a opção que apresenta uma boa prática de gestão da continuidade de negócios de uma organização.
A) Desprezar as atividades que não foram identificadas como críticas.

B) Implementar as medidas apropriadas para aumentar os potenciais efeitos dos incidentes.
C) Documentar o método de execução das atividades críticas realizadas apenas por empregados próprios.
D) Fornecer continuidade para as atividades críticas exclusivamente antes dos incidentes.

E) Manter um registro das medidas de resiliência e mitigação.
Resolução:
Segunda a norma ISO 15999:
Convém que a abordagem da organização para determinar suas estratégias de GCN:

a) implemente as medidas apropriadas, de forma a reduzir a probabilidade de ocorrência de incidentes e/ou
reduzir os potenciais efeitos desses incidentes;
b) mantenha um registro das medidas de resiliência e mitigação;
c) forneça continuidade para as atividades críticas durante e após um incidente; e
d) mantenha um registro das atividades que não foram identificadas como críticas
Resposta: E
(FAURGS/BANRISUL 2018)
No contexto da definição de um plano de continuidade de negócios, é preciso definir pelo menos uma estratégia
de contingência. Como se denomina a estratégia em que é feito um acordo formal com empresas que possuem
características físicas, tecnológicas ou humanas semelhantes, para que possam servir como uma alternativa
operacional em caso de incidentes?
A) Acordo de reciprocidade.
B) Autossuficiência.
C) Bureau de serviços.
D) Hot-site.
E) Realocação de operação.
Resolução:
Acordo de reciprocidade: Propõe a aproximação de empresas com características/serviços semelhantes através
de um acordo formal para que possam servir como uma alternativa operacional.
Resposta: A
Prof. Walter Cunha
PCN Aula 00
(CESPE/TER-BA 2017)
As atividades pertinentes à fase de inclusão e conscientização da gestão de continuidade de negócios (GCN) na

cultura de uma organização incluem o(a)
A) separação das habilidades fundamentais das pessoas, de modo a reduzir a concentração do risco na
organização.
B) nomeação do principal responsável pela análise crítica, correção e atualização do plano em intervalos
regulares na organização.
C) organização e treinamento adequados da equipe responsável pela GCN da organização.
D) estabelecimento do período máximo de interrupção tolerável de cada atividade da organização.
E) discussão de GCN em informativos, apresentações, programas ou comunicados diários da organização.
Resolução:
Convém que a organização crie, aumente e mantenha uma consciência por meio da educação permanente
em GCN e de um programa de informações para toda a equipe.
Esse programa deve incluir:
a) um processo de consulta junto a toda a equipe sobre a implementação do programa de GCN;
b) discussão de GCN nos informativos, apresentações, programas ou reportes diários da organização;
c) inclusão da GCN nas páginas pertinentes da web ou da intranet;
d) aprendizado por meio de incidentes internos ou externos;
e) GCN como um tópico nas reuniões de equipe;
f) testes de planos de continuidade em locais alternativos, por exemplo, um local de recuperação; e
g) visitas a esses locais alternativos.
Resposta: E
(CESPE/TCE-PA 2016)
Com base na NBR ISO 22301:2013, que dispõe requisitos para a gestão de continuidade de negócios, julgue o item
que se segue.
Os objetivos da continuidade de negócios devem ser monitorados e, quando necessário, atualizados.
Resolução:
A ISO 22301:2013 adota o PDCA (Plan-Do-Check-Act) para planejar, estabelecer, implementar,

operar, monitorar, analisar criticamente e melhorar continuamente a eficácia do Sistema de Gestão de
Continuidade de Negócios (SGCN) de uma organização.
Resposta: Certa
(CESPE/TCE-PA 2016)
Prof. Walter Cunha
PCN Aula 00
que se segue.
O controle dos processos terceirizados é opcional, motivo pelo qual as organizações podem avaliar tais processos
apenas quando considerarem isso necessário.
Resolução:
De acordo com a referida norma, o controle de processos terceirizados NÃO É OPCIONAL.
8 – OPERAÇÃO
8.1 - Planejamento e controle operacional
"A organização deve garantir que processos terceirizados são controlados".
Resposta: Errada
Lista das questões

(CESGRANRIO/IBGE 2016)
Na gestão de segurança da informação, o desenvolvimento e a implantação dos planos para proteger os processos
críticos contra efeitos de falhas ou desastres significativos e, se for o caso, assegurar a sua retomada em tempo
hábil fazem parte da gestão de
A) incidentes de segurança
B) continuidade do negócio
C) ativos
D) segurança em recursos humanos

E) segurança física
(UECE/CGE-CE 2013)
Com respeito à norma ISO/IEC 15999, é correto afirmar-se que ela
A) orienta as empresas na garantia da continuidade dos negócios em caso de incidentes.
B) B) especifica ações a serem efetuadas por uma organização em caso de desastre natural.
C) não tem equivalente, no Brasil, elaborada pela ABNT.
D) deu origem, no Brasil, a três outras subnormas (recomendações especiais): 15999-1, 15999-2 e 15999-3.
(CESPE/TCU 2010)
A norma NBR ISO/IEC 15999 destina-se a orientar as empresas no que fazer a partir do momento em que acontecer
algum incidente, oferecendo respostas às ameaças sofridas e seus impactos nas operações do negócio.
Prof. Walter Cunha
PCN Aula 00
(CESPE/MEC 2015)
A NBR 15999 é baseada na ISO 27001, que é considerada como ponto focal da discussão de normas de gestão de
(CESPE/MEC 2015)
A norma ISO/IEC 15999-1, aplicável a atividades de serviço, visa subsidiar a implementação de um sistema de
gerenciamento de banco de dados (SGBD), tem um código de prática e fornece uma base para entendimento,
desenvolvimento e implementação da continuidade de negócios em uma organização.
(CESPE/TJ-RO 2012)
De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de
continuidade do negócio (GCN).
A) A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de

interrupção das atividades críticas da organização.
B) A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a
incidentes, de continuidade e de comunicação.
C) A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou)
atividades críticas e recursos de suporte de uma organização.
D) GCN é uma abordagem alternativa à gestão de riscos de segurança da informação.
E) GCN é a fase inicial da implantação da gestão de continuidade em uma organização.
(FGV/MPE-BA 2017)
A gestão da continuidade de negócios, segundo a norma ABNT NBR 15999, é um processo da organização que
estabelece uma estrutura estratégica e operacional adequada para:
A) Eliminar a necessidade de treinar os colaboradores da organização para responder de forma eficaz a um
incidente ou interrupção;
B) Assegurar que não ocorra interrupção do negócio mesmo diante de incidentes graves;
C) Prover uma prática para justificar a incapacidade de uma organização fornecer seus principais produtos e
serviços após uma interrupção;
D) Permitir que a organização não precise cumprir suas obrigações legais e regulamentações aplicáveis na
ocorrência de um incidente;
E) Melhorar proativamente a resiliência da organização contra possíveis interrupções de sua capacidade em

atingir seus principais objetivos.
(UPENET/UPE 2017)
São exemplos de fases do ciclo de vida de um sistema de gestão de continuidade de negócios (GCN), conforme a
norma NBR ISO/IEC 15999:2007:
A) Mecanismo de controle de acesso; Auditoria de qualidade; Gestão de responsabilidades.
Prof. Walter Cunha
PCN Aula 00
B) Atribuição de responsabilidades; Pesquisa de atendimento de requisitos; Auditoria de qualidade.
C) Controle de acesso; Implementação da continuidade de negócios na organização; Gestão contínua da

D) Implementação de mecanismos de gestão compartilhada; Gestão contínua da continuidade de negócios;

Auditorias de emergência
E) Atribuição de responsabilidades; Implementação da continuidade de negócios na organização; Gestão
(CESPE/MEC 2015)
A norma ISO/IEC 15999-2 especifica os requisitos para planejar, estabelecer, implementar, operar, monitorar,
analisar criticamente, exercitar, manter e melhorar o sistema de gerenciamento da continuidade de negócios
(SGCN) documentado dentro do contexto dos riscos de negócios de toda a organização.
(CESPE/TRT-21 2015)
No que concerne à gestão da continuidade de negócios, a norma brasileira NBR 15999 estabelece o que deve ser
atendido. Nesse aspecto, todos os estágios da gestão da continuidade são: Compreender o Negócio; Estratégia
de Continuidade; Plano de Continuidade; Construir e Disseminar a Cultura; e Exercitar, Manter e Auditar.
O ciclo de vida da Gestão de Continuidade de Negócios (GCN) da norma NBR ISO/IEC 15999:2007, em seu
elemento Gestão de Programa de GCN, inclui os seguintes 3 passos:
A) análise de impacto no negócio, opções de estratégia e atribuição de responsabilidade.
B) atribuição de responsabilidade, implementação da continuidade de negócio na organização e gestão

C) determinação de escolhas de fornecedores, análise de impacto nos negócios e determinação de requisitos
de contingência.
D) determinação de requisitos de contingência, definição de técnicas de gestão e aquisição de suprimentos.
E) identificação de atividades críticas, seleção de pessoal e gestão contínua da continuidade de negócios.
A norma NBR ISO/IEC 15999:2007 prevê um Plano de Gerenciamento de Incidentes (PGI). Esse plano está inserido
no seguinte elemento do ciclo de vida da Gestão de Continuidade de Negócios:
A) Desenvolvendo e implementando uma resposta de GCN.
B) Determinando a estratégia de continuidade dos negócios.

C) Entendendo a organização.
D) Gestão de programa de GCN.

E) Incluindo a GCN na cultura da organização.
Prof. Walter Cunha
PCN Aula 00
(CESPE/TJ-SE 2014)
Elaborado e testado o plano de continuidade de negócio pelos dirigentes da organização com a possibilidade de
auxílio da equipe de gerência da segurança da informação, recomenda-se incluir um registro de incidentes ou
formulários para o registro de informações vitais, principalmente como consequência de decisões tomadas
durante a execução do plano.
(CESPE/TJ-RO 2012)
Em conformidade com as normas NBR 15999 e ABNT NBR 15999-2, um plano de continuidade de negócios deve
conter
A) a análise e a avaliação dos riscos de segurança da informação que afetam os ativos organizacionais.
B) a definição dos controles técnicos que mitigam os riscos de segurança da informação.
C) uma lista das vulnerabilidades presentes nos ativos de processos organizacionais.
D) a definição da equipe de pessoas responsáveis pela operação do programa de continuidade.
E) uma lista estruturada e priorizada de ações e tarefas que apresente a forma como o plano é ativado.
(CESPE/TJ-SE 2014)
Nos termos da referida norma, o plano de continuidade de negócio, um documento muito útil para a organização,
elaborado antes da ocorrência de desastres, deve ser reproduzido em cópias para armazenamento em locais de
fácil acesso.
(CESPE/MEC 2015)
A elaboração de um estudo de análise de impacto nos negócios (BIA) pode ser precedida por uma análise de riscos
de segurança da informação, especialmente se for focado na indisponibilidade de ativos, pois, se o BIA identifica
de forma mais precisa os impactos de uma interrupção, ele também demanda investigações detalhadas sobre os
custos da interrupção de processos, e será mais efetivo se for focado nos processos de negócios associados aos
riscos de maior magnitude.
(CESPE/TCE-ES 2013 ADAPTADA)
Com relação à gestão de riscos, assinale a opção correta.

A NBR ISO/IEC 15999 estabelece as bases para a gestão de riscos em segurança da informação e a NBR ISO/IEC
27005 trata da gestão de continuidade de negócios.
(FCC/ISS-SL 2018)
Considere, por hipótese, que um incêndio danificou um servidor da Prefeitura e um Auditor foi acionado para
restaurar um backup completo do que havia em uma fita em um novo servidor. Apesar de o Auditor ter levado
cerca de 30 minutos para restaurar os dados do backup, o total de tempo entre a notificação da interrupção dos
serviços dependentes dos dados do servidor danificado, a recuperação total dos dados e a restauração dos serviços
foi de aproximadamente 50 minutos, dentro do tempo tolerável previsto no Plano de Recuperação de Desastres
associado ao Plano de Continuidade de Negócio. Este limite de tempo é conhecido como
Prof. Walter Cunha
PCN Aula 00
A) Recovery Time Point (RTP).
B) Business Process Recovery Objective (BPRO).
C) Recovery Point Objective (RPO).
D) Business Recovery Time (BRT).
E) Recovery Time Objective (RTO).
(FCC/SEFAZ-SP 2009)
As ações a serem tomadas imediatamente após a ocorrência de um incidente que coloque em risco as operações
do negócio devem estar descritas no plano de continuidade de negócios como procedimentos
A) operacionais temporários.
B) de ensaio geral.
C) de recuperação.
D) de restauração.
E) de emergência
(FCC/MPE-PE 2018)
Estabelecer um plano de continuidade de negócios é primordial para as empresas, sendo que o plano de
continuidade é constituído de subplanos. O subplano estabelecido para ser utilizado em último caso quando todas
as prevenções tiverem falhado é conhecido como Plano de
A) Gerenciamento de Crises.
B) Contingência.
C) Recuperação de Desastres.
D) Administração.
E) Continuidade Operacional.
(FGV/AL-RO 2018)
Assinale a opção que apresenta uma boa prática de gestão da continuidade de negócios de uma organização.
A) Desprezar as atividades que não foram identificadas como críticas.
B) Implementar as medidas apropriadas para aumentar os potenciais efeitos dos incidentes.
C) Documentar o método de execução das atividades críticas realizadas apenas por empregados próprios.
D) Fornecer continuidade para as atividades críticas exclusivamente antes dos incidentes.
E) Manter um registro das medidas de resiliência e mitigação.
(FAURGS/BANRISUL 2018)
Prof. Walter Cunha
PCN Aula 00
No contexto da definição de um plano de continuidade de negócios, é preciso definir pelo menos uma estratégia
de contingência. Como se denomina a estratégia em que é feito um acordo formal com empresas que possuem
características físicas, tecnológicas ou humanas semelhantes, para que possam servir como uma alternativa
operacional em caso de incidentes?
A) Acordo de reciprocidade.
B) Autossuficiência.
C) Bureau de serviços.
D) Hot-site.
E) Realocação de operação.
(CESPE/TER-BA 2017)
As atividades pertinentes à fase de inclusão e conscientização da gestão de continuidade de negócios (GCN) na

cultura de uma organização incluem o(a)
A) separação das habilidades fundamentais das pessoas, de modo a reduzir a concentração do risco na
organização.
B) nomeação do principal responsável pela análise crítica, correção e atualização do plano em intervalos
regulares na organização.
C) organização e treinamento adequados da equipe responsável pela GCN da organização.

D) estabelecimento do período máximo de interrupção tolerável de cada atividade da organização.
E) discussão de GCN em informativos, apresentações, programas ou comunicados diários da organização.
(CESPE/TCE-PA 2016)
que se segue.
Os objetivos da continuidade de negócios devem ser monitorados e, quando necessário, atualizados.
(CESPE/TCE-PA 2016)
que se segue.
O controle dos processos terceirizados é opcional, motivo pelo qual as organizações podem avaliar tais processos
apenas quando considerarem isso necessário.
GABARITO
1. 4. Errada 7. E 10. Errada
2. A 5. Errada 8. E 11. B
3. 6. C 9. Certa 12. A
Prof. Walter Cunha
PCN Aula 00
13. Certa 17. Errada 21. E 25.
14. E 18. E 22. A
15. Errada 19. E 23. E
16. Certa 20. B 24. Certa
RESUMO DIRECIONADO
Referências:
▪ ABNT NBR 15999-1:2007 - Gestão de continuidade de negócios Parte 1: Código de prática (Substituída
por: ABNT NBR ISO 22313:2015)
▪ ABNT NBR 15999-2:2008 - Gestão de continuidade de negócios Parte 2: Requisitos (Substituída por:
ABNT NBR ISO 22301:2013)
▪ ABNT NBR ISO 22313:2015 – Segurança da sociedade — Sistemas de gestão de continuidade de negócios
— Orientações
▪ ABNT NBR ISO 22301:2013 - Segurança da sociedade — Sistema de gestão de continuidade de negócios
— Requisitos
▪ ABNT NBR ISO/IEC 27002:2013 – Tecnologia da informação — Técnicas de segurança — Código de
prática para controles de segurança da informação.
▪ ABNT NBR ISO/IEC 27001:2013 - Tecnologia da informação — Técnicas de segurança — Sistemas de
gestão da segurança da informação — Requisitos
▪ NBR ISO/IEC 27005:2011 - Tecnologia da informação — Técnicas de segurança — Gestão de riscos de
segurança da informação
CN e o PDCA (EIOMMAM)
A NBR 15999 faz uso do modelo PDCA (plan-do-check-act)
Prof. Walter Cunha
PCN Aula 00
Termos e Definições:
Sistema de gestão de continuidade de negócios (SGCN) – aquela parte de um sistema global de gestão
que EIOMAMM* a continuidade de negócios.

Plano de continuidade de negócios (PCN) – documentação de procedimentos e informações desenvolvida,
consolidada e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a
organização mantenha suas atividades críticas em um nível aceitável previamente definido.
Plano de gestão de incidentes (PGI) – plano de ação claramente definido e documentado para ser usado
quando ocorrer um incidente que tipicamente cobre as principais pessoas, recursos, serviços e outras ações que
sejam necessárias para implementar o processo de gestão de incidentes.
Período máximo de interrupção tolerável – duração a partir da qual a viabilidade de uma organização será
ameaçada de forma inevitável, caso a entrega de produtos e serviços não possa ser reiniciada.
Tempo objetivado de recuperação (RTO – Recovery Time Objective) tempo-alvo para retomada da
entrega de produtos, serviços ou atividades após um incidente.
NOTA: o RTO deve ser menor do que o período máximo de interrupção tolerável
Resiliência – capacidade de uma organização de resistir aos efeitos de um incidente (tolerância a falhas)
Análise de impacto nos negócios (business impact analysis – BIA) – processo de analisar as funções de
negócio e os efeitos que uma interrupção possa causar nelas.
Prof. Walter Cunha
PCN Aula 00
Plano de Administração de Crises (PAC) – plano que aborda todos os elementos necessários à atuação
coordenada durante uma crise, incluindo a tomada de decisões de contingência e o acionamento de equipes.
Plano de Contingência (PC) – plano emergencial, que deve ser utilizado em último caso. Entra em cena
quando todas as prevenções realizadas anteriormente tiverem falhado. O Plano de Contingência lista as ações
Requisitos de continuidade
Convém que a organização estime os recursos que cada atividade necessitará durante sua recuperação,
como, por exemplo:
a) pessoas (ver 7.3);
b) instalações (ver 7.4);
c) tecnologia (ver 7.5);
d) informação (ver 7.6);
e) suprimentos (ver 7.7);
f) partes interessadas (ver 7.8).

Governançade Tiiipara Concursos Regular Aula 3

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Governançade Tiiipara Concursos Regular Aula 3

Enviado por

Direitos autorais:

Formatos disponíveis

Prof.

Aula 02 – Plano de Continuidade

Prof. Walter Cunha

SISTEMA DE GESTÃO DA CONTINUIDADE DO NEGÓCIO 8

PLANOS DE GESTÃO DE CONTINUIDADE DE NEGÓCIOS 11

PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN) 12

IDENTIFICAÇÃO DE ATIVIDADES CRÍTICAS 14

QUESTÕES COMENTADAS PELO PROFESSOR 20

LISTA DAS QUESTÕES 31

Atualmente, mantenho também um programa de orientação à concurseiros de TI no Patreon

ocorrência, preparar-se, responder a e recuperar-se de incidentes de interrupção quando estes

A. NBR 27002 - Código de Prática para controles de segurança da informação.

C. NBR 15999 - Gestão de continuidade dos negócios.

E. NBR 15900 - Água para amassamento do concreto.

NOTA: Estabelecer, Implementar e Operar, Monitorar e Analisar, Manter e Melhorar.

Plano de continuidade de negócios (PCN) – documentação de procedimentos e informações desenvolvida,

* Podem existir várias consequências a partir de um único incidente.

Acordo de reciprocidade – Propõe a aproximação de empresas com características/serviços semelhantes

GESTÃO DA CONTINUIDADE DO NEGÓCIO

• Traduzindo, a gestão da continuidade de negócios (GCN) é um processo da organização que estabelece

Como vimos, é o EIOMAMM* a continuidade de negócios.

Fases do Projeto de Implantação de um SGCN:

Criação dos Planos de SGCN

i) Reduzam a probabilidade de uma interrupção;

c. Formalização dos Planos de GCN

Estudado o SGCN, vamos agora detalhar os Planos de GCN.

Planos de Gestão de Continuidade de Negócios.

• Planos de Resposta (emergência e crises)

Plano de Continuidade de Negócios (PCN)

i) Plano de ação/listas de tarefas;

▪ Como o PCN é ativado;

Sub Planos do PCN

Plano de Gerenciamento de Incidentes (PGI)

▪ Lista de tarefas e ações;

Acessibilidade dos Planos

Ou seja, o ditame acima respeita a diretriz de segurança: “necessidade de conhecer”.

Convém que a abordagem da organização para determinar suas estratégias de GCN:

▪ Implemente as medidas apropriadas, de forma a reduzir a probabilidade de ocorrência de incidentes e/ou

Identificação de atividades críticas

Determinando requisitos de continuidade

A pessoas e recursos financeiros.

B tecnologia, mas não informação.

C informação e meio ambiente.

D suprimentos, mas não pessoas.

7.2.2 Estratégias podem ser necessárias para os seguintes recursos da organização:

1) pessoas (ver 7.3);

2) instalações (ver 7.4);

3) tecnologia (ver 7.5);

4) informação (ver 7.6);

5) suprimentos (ver 7.7);

6) partes interessadas (ver 7.8).

Avaliando ameaças a atividades críticas

- Aceitação do risco (tolerar);

- Transferência do risco (transferir);

- Mudar, suspender ou terminar o serviço, produto, atividade, função ou processo (terminar).

▪ O período máximo de interrupção tolerável da atividade crítica;

Opções de estratégia – Instalações

Opções de estratégia – Tecnologia

Opções de estratégia – Informação

Opções de estratégia – Suprimentos

Opções de estratégia – Partes interessadas

Opções de estratégia – Emergências civis

Esse processo verifica qualitativamente a capacidade da organização de se recuperar de um incidente.