Escolar Documentos
Profissional Documentos
Cultura Documentos
Walter Cunha
PCN Aula 00
1 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Sumário
SUMÁRIO 2
APRESENTAÇÃO 3
INTRODUÇÃO 4
TERMOS E DEFIÇÕES 7
CN E O PDCA (EIOMMAM) 8
SGCN 10
COMPONENTES DE UM SGCN 10
ESTÁGIOS DE UM SGCN 10
FASES DO PROJETO DE IMPLANTAÇÃO DE UM SGCN: 11
CRIAÇÃO DOS PLANOS DE SGCN 11
ESTRATÉGIAS DE GCN 14
GABARITO 36
RESUMO DIRECIONADO 37
2 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Apresentação
Salve, salve, Galera! Prof. Walter Cunha na área... agora no Direção Concursos!
É com muita satisfação que damos início à colaboração com o Prof. Victor Dalton, profissional cujo trabalho
venho acompanhando desde o início, e agora quedou de unirmos forças, juntamente com outros colegas do
mesmo quilate, como o objetivo de fornecermos o melhor conteúdo de informática e Tecnologia da Informação
da atualidade.
E para começar os trabalhos, fui encarregado do tópico Plano de Continuidade de Negócios (PCN). O PCN é
um dos principais artefatos do Sistema de Gestão da Continuidade de Negócios (SCGN), que faz parte da trilha de
Gestão de Segurança da Informação, uma de minhas novas “vibes” na área de Governança.
Se você ainda não sabe, questões de PCN/SGCN são figurinhas carimbadas em praticamente todos os
concursos de Tecnologia da Informação e, ultimamente, também nos Concursos Fiscais. Portanto, vamos nos
dedicar de modo a não darmos mole e acabarmos perdermos esses preciosos pontos!
Uma notícia não tão animadora é que este é o tipo de tópico não linear (são muito comuns em Governança
de TI), pois, apesar de termos normas (ABNT) que tratam do assunto, elas são várias, nem sempre respeitam a
mesma nomenclatura, e são constantemente atualizadas. Para piorar, algumas questões são tiradas diretamente
dos diplomas legais, infralegais e dos manuais de prática elaborados pelos Órgãos e entidades da Administração
Pública. Assim, não se assuste se você experimentar em algum momento a sensação “colcha de retalhos”, mas,
como explicado, ela decorre intrinsecamente da multiplicidade das fontes. Contudo, fiz o possível para formar um
encadeamento lógico ao longo dos tópicos.
Antes de continuarmos, gostaria de me apresentar:
Aos que ainda não me conhecem, espero que poucos, sou o Prof. Walter Cunha (WC), natural de Fortaleza-
CE, Pós-Graduado em Gerência de Projetos pela Fundação Getúlio Vargas (FGV) e Engenheiro Eletrônico pelo
Instituto Tecnológico de Aeronáutica (ITA).
Atualmente, ocupo o cargo de Auditor Federal de Finanças e Controle da Controladoria-Geral da União
(AFFC), aprovado na especialidade de Tecnologia da Informação, lotado em Brasília-DF. Sou oriundo do concurso
de 2008, tendo sido convocado em 2009, na subespecialidade de Infraestrutura de TI. Como se pode perceber,
esse ano completo 10 (dez) anos de CGU (o tempo voa...).
Há uns 2 (dois) anos migrei da TI para a área de Governança Corporativa, e hoje a maior parte do meu tempo
é destinada a entender, harmonizar e gerar valor a partir da aplicação adaptada das mais diversas Boas Práticas
de mercado e de governo. Muito papel? Sim! Mas é o que acontece naturalmente quando se migra do nível técnico-
operacional para o de Gestão Estratégica. Particularmente, eu me adaptei muito bem, obrigado!
Antes de assumir o meu cargo atual, ocupei durante 3 (três) anos o cargo de Analista Tributário da Receita
Federal do Brasil (ATRFB), no qual desempenhei o papel de Analista de Projetos de Infraestrutura de TI. No
entanto, a minha carreira profissional começou bem antes, em 2000, como Oficial Engenheiro Eletrônico da Força
Aérea Brasileira (FAB), em Manaus-AM, onde permaneci até o final da implantação do Sistema de Vigilância da
Amazônia (SIVAM), em 2006. Lá, atuei predominantemente na área de Redes de Computadores e
Telecomunicações, minha área técnica de origem.
3 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
No mundo dos concursos, depois de muita dedicação, consegui alguns resultados, dos quais os mais
expressivos foram: 2005 – Analista de Tecnologia da Informa na SEFAZ-AM; 2006 – Analista Tributário da Receita
Federal do Brasil TI (1o lugar da 3a Região Fiscal); 2006 – Analista de Finanças e Controle da Controladoria-Geral
da União (primeira vez); 2007 – Analista de Tecnologia da Informa na SEFAZ-CE; 2009 – Analista de Finanças e
Controle da Controladoria-Geral da União (sim, de novo! E antes da mudança de nomenclatura para Auditor),
onde, se tudo continuar correndo bem, planejo aposentar a caneta.
Como professor Presencial e Tele presencial, comecei minha trajetória em 2017, quando ministrando
Informática Básica para Concursos, fui convidado por alguns alunos a realizar um aulão para comentar a prova de
TI do TCU de 2015, com vistas ao novo certame que se descortinava naquele ano. Ou seja, já são mais de 10 (dez)
anos de estrada! Sempre fui conhecido por ministrar a disciplina de Redes de Computadores, mas lecionei também
Gerenciamento de Projetos e Licitações e Contratos de TI. Ultimamente dei uma “guinada” (também) para área
de Governança, mais especificamente para Gestão de Segurança da Informação/Auditoria e Planejamento
Estratégico de TI. Motivos? Fazem parte do meu cotidiano e poucos querem encarar essas carnes-de-pescoço...
Confesso ter relutado muito antes de aceitar o desafio de voltar a elaborar cursos escritos, mas a janela de
oportunidade de me juntar ao novo time do Victor acabou me convencendo. Só não esperem, pelo menos de
imediato, grande volume de produção, pois já sou “onça-cansada”, com dois filhos, e querendo ter mais qualidade
de vida. Todavia, podem esperar melhoria contínua!
Quanto a este curso, os objetivos são além de consolidar o conhecimento das disciplinas, derrubar alguns
mitos de concursos e mostrar que, com postura e tática adequadas, é possível estar bem preparado para concorrer
em qualquer certame, independentemente da banca.
Importante ressaltar que a abordagem será a mais objetiva possível nos temas, sem divagações ou retóricas
desnecessárias – o “academicismo” e o “praticismo” serão evitados ao máximo. A meta será o “concursismo”! Pois,
de fato, é o que aprova!
Por fim, se por ventura se você encontrar alguma inconsistência textual ou conceitual, peço que, em vez de
gastar energia se enfurecendo, use-a de forma mais proativa e tente me contatar, que prometo que terei o maior
prazer de avaliar as suas ponderações. E, uma vez confirmadas as inconsistências, suas correções serão
imediatamente agregadas à nova versão, e os devidos agradecimentos serão realizados.
Sem mais, #partiuFeroz!
INTRODUÇÃO
Antes de começarmos propriamente o “babaçu”, é importante ressaltar que, muito embora as normas 15999
tenham sido substituídas pela família 22.000, a maioria absoluta das questões relativas à Continuidade de Negócio
presente nos repositórios da Internet ainda referenciam as primeiras. Obviamente, o cenário tenderá a mudar no
futuro, mas por enquanto, é a realidade posta.
4 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
É importante também destacar que estas normas têm a forma de guia de recomendações, e nesta qualidade
fornecem apenas recomendações, expressas pela expressão "convém que". Traduzindo, elas não são prescritivas
(obrigatórias). Traduzindo, qualquer tentativa de imprimir caráter obrigatório a essas normas deve despertar o
“sentido aranha” do candidato.
Outra dica que pode te ajudar a resolver muitas questões é lembrar que, diferente da família 27000, as
normas de continuidade de negócio, como o próprio nome já diz, são focadas em NEGÓCIO, e não
especificamente em TI. Então, qualquer tentativa de o examinador querer restringir o escopo CN apenas aos
aspectos tecnológicos, tornará a assertiva ERRADA.
Por fim, sempre relacionada de forma conjunta, a Gestão da Continuidade do Negócio é uma seara
complementar à Gestão de Riscos. A principal diferença é que enquanto a Gestão de Riscos foca mais no antes
(prevenção) a GCN foca mais nas consequências.
Você deve estar se perguntando de onde tiramos o nosso material... Pois bem, vamos às referências...
Referências:
▪ ABNT NBR 15999-1:2007 - Gestão de continuidade de negócios Parte 1: Código de prática (Substituída
por: ABNT NBR ISO 22313:2015)
Esta Norma estabelece o processo, os princípios e a terminologia da gestão da continuidade de
negócios (GCN). O propósito desta Norma é fornecer uma base para que se possa entender,
desenvolver e implementar a continuidade de negócios em uma organização além de obter
confiança nos negócios da organização com clientes e outras organizações. Ela permite também
que a organização avalie sua capacidade de GCN de uma maneira consistente e reconhecida.
▪ ABNT NBR 15999-2:2008 - Gestão de continuidade de negócios Parte 2: Requisitos (Substituída por: ABNT
NBR ISO 22301:2013)
Esta Norma especifica os requisitos para planejar, estabelecer, implementar, operar, monitorar,
analisar criticamente, exercitar, manter e melhorar o SGCN documentado dentro do contexto dos
riscos de negócios de toda a organização.
▪ ABNT NBR ISO 22313:2015 – Segurança da sociedade — Sistemas de gestão de continuidade de negócios
— Orientações
Esta Norma para sistemas de gestão de continuidade de negócios fornece orientação com base em
boas práticas internacionais para o planejamento, criação, implantação, operação,
monitoramento, análise crítica, manutenção e melhoria contínua de um sistema de gestão
documentado, que permite que as organizações se preparem para responder e recuperar-se de
incidentes de interrupção quando eles surgirem.
▪ ABNT NBR ISO 22301:2013 - Segurança da sociedade — Sistema de gestão de continuidade de negócios
— Requisitos
Esta Norma de gestão da continuidade de negócios especifica os requisitos para planejar,
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar
continuamente um sistema de gestão documentado para se proteger, reduzir a possibilidade de
5 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Tomando como base as normas listadas, fiz neste curso um apanhado do necessários e suficiente para
responder o que costuma ser cobrados em Concursos.
E, como é praxe, vamos ver como a diferença de escopo entre Normas é cobrada nos certames.
QUESTÃO - (CESPE/PCPE 2016) - A norma que visa garantir os processos fundamentais para que uma
organização, após ter passado por um incidente que cause uma ruptura do negócio, possa retornar à sua condição
normal, conseguindo, dessa forma, minimizar os prejuízos, é
A NBR 27002
B NBR 17799
C NBR 15999
D NBR 27005
E NBR 15900
Comentários:
B. NBR 17799 - Código de Prática para a gestão da segurança da informação (substituída pela 27002).
6 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Posta a explicação, vamos agora definir alguns conceitos para nos familiarizarmos com jargões da
Continuidade do Negócio.
TERMOS E DEFIÇÕES
Continuidade de negócios (CN) – capacidade estratégica e tática da organização de se planejar e responder
a incidentes e interrupções de negócios para conseguir continuar suas operações em um nível aceitável
previamente definido.
Gestão de continuidade de negócios (GCN) – processo abrangente de gestão que identifica ameaças
potenciais para uma organização e os possíveis impactos nas operações de negócio caso estas ameaças se
concretizem.
Sistema de gestão de continuidade de negócios (SGCN) – aquela parte de um sistema global de gestão
que EIOMAMM* a continuidade de negócios.
** Uma consequência pode ser certa ou incerta e pode causar impactos positivos ou negativos aos objetivos.
Interrupção – evento previsto (por exemplo, uma greve ou furacão) ou não (por exemplo, um blecaute ou
terremoto), que cause um desvio negativo na esperada entrega e execução de produtos ou serviços, de acordo
com os objetivos da organização.
Impacto – consequência avaliada de um evento em particular Incidente – situação que pode representar ou
levar à interrupção de negócios, perdas, emergências ou crises.
Plano de gestão de incidentes (PGI) – plano de ação claramente definido e documentado para ser usado
quando ocorrer um incidente que tipicamente cobre as principais pessoas, recursos, serviços e outras ações que
sejam necessárias para implementar o processo de gestão de incidentes.
Período máximo de interrupção tolerável – duração a partir da qual a viabilidade de uma organização será
ameaçada de forma inevitável, caso a entrega de produtos e serviços não possa ser reiniciada.
Tempo objetivado de recuperação (RTO – Recovery Time Objective) tempo-alvo para retomada da entrega
de produtos, serviços ou atividades após um incidente.
NOTA: o RTO deve ser menor do que o período máximo de interrupção tolerável
Resiliência – capacidade de uma organização de resistir aos efeitos de um incidente (tolerância a falhas)
Análise de impacto nos negócios (business impact analysis – BIA) – processo de analisar as funções de
negócio e os efeitos que uma interrupção possa causar nelas.
7 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Apetite a risco – quantidade total de risco que uma organização está preparada para aceitar, tolerar ou ser
exposta a qualquer tempo.
Avaliação dos riscos – processo geral de identificação, análise e estimativa dos riscos.
Emergência civil – evento ou situação que pode causar danos sérios ao bem-estar humano em um local, em
um ambiente, ou à segurança do país ou de um local específico.
Plano de Administração de Crises (PAC) – plano que aborda todos os elementos necessários à atuação
coordenada durante uma crise, incluindo a tomada de decisões de contingência e o acionamento de equipes.
Plano de Contingência (PC) – plano emergencial, que deve ser utilizado em último caso. Entra em cena
quando todas as prevenções realizadas anteriormente tiverem falhado. O Plano de Contingência lista as ações
mais imediatas do PCN.
Uma vez familiarizados com os conceitos, vamos passar agora ao estudo do Sistema de Gestão da
Continuidade de Negócio.
A Gestão da Continuidade de Negócios (GCN) (ABNT NBR ISO 22301:2013) é uma disciplina que ajuda
a empresa a definir os processos-chave e os impactos que resultariam da concretização de situações de
interrupções, e preparar-se para responder a estes cenários, continuar os negócios e recuperar-se no menor tempo
possível. Recomenda-se que as organizações estabeleçam, implementem, e mantenham uma documentação e
avaliação formal para sistematizar o processo de análise de risco e impactos e estabeleça os objetivos da
continuidade de negócio.
CN e o PDCA (EIOMMAM)
A NBR 15999 faz uso do modelo PDCA (plan-do-check-act)
8 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
QUESTÃO: (CESPE/MEC 2015) A NBR 15999 faz uso do modelo PDCA (plan-do-check-act), de forma a trabalhar
o desenvolvimento, a implementação, a manutenção e a melhoria de um sistema de gestão de continuidade do
negócio.
Comentários:
9 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Resposta: Certa
SGCN
A Gestão de Continuidade dos Negócios (GCN) fornece uma estrutura que lhe permite identificar ameaças
potenciais à sua organização e desenvolve a capacidade para lidar com elas. Isto significa que estar preparado para
responder às ameaças e proteger os interesses da alta direção, dos stakeholders, a reputação e a marca de sua
empresa. O Sistema de Gestão de Continuidade dos Negócios está diretamente relacionado à estratégia da
empresa, sua sustentabilidade, reputação e sobrevivência.
Componentes de um SGCN
Um SGCN tem os seguintes componentes chave:
▪ uma política;
▪ pessoas com responsabilidade definidas;
▪ processos de gestão relativos a política, planejamento, implementação e operação, análise de
desempenho, análise crítica da gestão e melhorias;
▪ conjunto de documentos fornecendo evidências auditáveis;
▪ processos de tópicos específicos relativos a continuidade de negócios, ex: Análise de Impacto nos
Negócios, desenvolvimento de PCN, etc.
Estágios de um SGCN
▪ Criação do Programa de GCN;
▪ Entendendo a Organização;
▪ Determinando a Estratégia de Continuidade de Negócios;
▪ Desenvolvendo e implementando uma resposta de GCN;
▪ Testando, mantendo e analisando criticamente os preparativos de GCN;
▪ Incluindo a GCN na cultura da organização.
10 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
- E, Walter, afinal, quais são os passos para se implantar um Sistema de Gerenciamento de Continuidade de
Negócios?
a. Avaliação de Riscos
Deve haver um processo definido, documentado e adequado para avaliação de riscos que possibilitará à
organização entender as ameaças e vulnerabilidades nas suas atividades críticas e recursos de suporte, incluindo
aqueles fornecidos por fornecedores e parceiros externos.
A organização deve entender o impacto que pode surgir caso a ameaça identificada se torne um incidente e
cause uma interrupção nos negócios.
b. Determinando escolhas
Para cada uma das atividades críticas, a organização deve identificar tratamentos de riscos disponíveis que:
A organização deve escolher e implementar tratamentos apropriados para cada atividade crítica de acordo
com seu nível de risco aceitável.
11 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Elementos de um PCN
Convém que um PCN contenha os seguintes elementos: Plano de ação/Listas de tarefas;
▪ Plano de Contingência - plano emergencial, que deve ser utilizado em último caso. Entra em cena quando
todas as prevenções realizadas anteriormente tiverem falhado. O Plano de Contingência lista as ações
mais imediatas do PCN.
▪ Plano de Administração de Crises (PAC) – definir passo a passo o funcionamento das equipes envolvidas
com o acionamento da contingência antes, durante e depois da ocorrência do incidente, assim como no
período de retorno à normalidade. Exemplo de comunicação à imprensa;
▪ Plano de Recuperação de Desastres (PRD) – definir um plano de restauração e recuperação das
funcionalidades dos ativos afetados, a fim de restabelecer as condições originais. Convém que a
organização crie, aumente e mantenha uma consciência por meio da educação permanente em GCN e de
um programa de informações para toda a equipe.
▪ Plano de Continuidade Operacional (PCO) – definir os procedimentos para contingenciamento dos ativos
que suportam cada processo do negócio, objetivando reduzir o tempo de indisponibilidade e,
consequentemente, os impactos. Exemplo de ações com a queda da Internet.
12 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
"Convém que todos os planos, sejam eles de gerenciamento de incidentes, continuidade de negócios ou
recuperação de negócios, sejam concisos e acessíveis àqueles que possuam responsabilidades
definidas nesses planos."
(CESPE/TRE-BA 2017) De acordo com as normas da ABNT NBR ISO/IEC 15999-1 e NBR ISO/IEC 15999-2 e com as
noções de governança e gestão de TI, o plano que aborda todos os elementos necessários à atuação coordenada
durante uma crise, incluindo a tomada de decisões de contingência e o acionamento de equipes, é denominado
plano de
a) continuidade operacional.
b) recuperação de desastres.
c) gestão de recursos.
d) gestão de crises.
e) gestão de emergências.
Comentários:
O Plano de Administração/Gestão de Crises (PAC) define passo a passo o funcionamento das equipes envolvidas
com o acionamento da contingência antes, durante e depois da ocorrência do incidente, assim como no período
de retorno à normalidade. Exemplo: assistência a vítimas de desastres.
Resposta: D
13 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Estratégias de GCN
Segundo a norma ISO 15999:
É papel da análise de negócios conhecer o ambiente onde está trabalhando. E, durante a tarefa de análise de GAPs de
capacidades, o analista precisa conhecer muito bem o estado atual da organização ou da unidade de negócios.
Convém que a organização estime os recursos que cada atividade necessitará durante sua recuperação,
como, por exemplo:
a) pessoas (ver 7.3);
b) instalações (ver 7.4);
c) tecnologia (ver 7.5);
d) informação (ver 7.6);
e) suprimentos (ver 7.7);
f) partes interessadas (ver 7.8).
Em cada caso, convém que a organização minimize a probabilidade de implementar uma solução de
continuidade de negócios que possa ser afetada pelo mesmo incidente que causou a interrupção no
negócio.
(FCC/Pref. Teresina 2016) A Gestão de Continuidade de Negócios deve prever estratégias a serem aplicadas a
diversos tipos de recursos de uma organização. Dentre tais recursos incluem-se
14 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
E instalações e informações.
Comentários:
Segundo a norma ISO 15999:
Resposta: E
Em um contexto de GCN, convém que o nível de risco seja entendido no que diz respeito às atividades
críticas da organização e aos riscos de uma interrupção destas. Trata-se, pois de uma análise de riscos.
Determinando escolhas
Com o resultado da BIA e da avaliação de riscos, convém que a organização identifique medidas que:
- Reduzam o período e a chance de interrupção;
- Limitem o impacto.
- Estas medidas são conhecidas como mitigação de perdas e tratamento de riscos.
Estratégias de mitigação:
Convém que seja estabelecido um RTO e as estratégias de continuidade da seção 7 sejam testadas contra ele
(tratar);
15 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
QUESTÃO. (CESPE/TJ-RO 2012) As apólices de seguro são estratégias eficazes e suficientes para o tratamento de
risco, pois garantem recompensa financeira para as perdas mais significativas da organização.
Comentários:
Seguros garantem, em certa medida, indenizações pelas perdas decorrentes de um incidente, mas não são
pensados para tratar a Continuidade do Negócio. Imagine uma batida de carro. Você pode até reaver (parte) do
seu investimento, contudo o transtorno das horas perdidas parado e para liberar o seguro não serão recuperadas.
Resposta: ERRADA.
Aprovação
Convém que a alta direção aprove a lista que documenta os principais produtos e serviços, a BIA e a
avaliação de riscos, de forma a garantir que o trabalho foi realizado de forma apropriada e reflete
verdadeiramente a realidade da Organização.
Opções de estratégia
As estratégias mais apropriadas dependem de uma série de fatores:
Estratégias podem ser necessárias para todos os recursos da organização, tais como pessoas; instalações;
tecnologia; informação; suprimentos; partes interessadas.
16 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
▪ Mitigação de risco adicional para equipamento único ou para um prazo de entrega longo.
Convém que as estratégias de informação sejam documentadas para que seja possível recuperar
informações que ainda não tenham sido copiadas ou caso não tenha sido realizado backup em um local
seguro.
Outras Estratégias
Programa de Testes
Convém que o programa teste os aspectos técnicos, logísticos, administrativos, de procedimentos e outros
sistemas em operação do PCN; teste os preparativos e a infraestrutura de CN; valide a recuperação da
tecnologia e das telecomunicações, incluindo a disponibilidade e o remanejamento de pessoal.
17 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Auditoria
Convém que a organização providencie uma auditoria independente para avaliar sua competência de GCN
e sua capacidade de identificar falhas reais e potenciais.
Convém que a organização estabeleça, implemente e mantenha procedimentos para lidar com a auditoria
independente.
Convém que auditorias independentes sejam conduzidas por pessoas competentes, sejam elas internas ou
externas.
Autoavaliação
Um processo de autoavaliação de GCN tem um papel importante para garantir que a organização tem
competência e capacidade de GCN sólidas, eficazes e adequadas.
Convém que a autoavaliação também leve em conta as normas pertinentes e as boas práticas da indústria.
Uma auditoria no plano de continuidade de negócios de uma organização precisa verificar se o plano é exequível
e se o pessoal está treinado para executá-lo.
Comentários:
A questão foi tirada da cartilha Auditoria da Segurança da informação do TCU (página 39)
Resposta: Certa
Conscientização
Convém que a organização crie, aumente e mantenha uma consciência por meio da educação permanente
em GCN e de um programa de informações para toda a equipe.
Treinamento
Convém que a organização possua um processo para identificar e implementar os requisitos de treinamento
de GCN e para avaliar a eficiência desta implementação.
18 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Atividades Terceirizadas
▪ Se um produto, serviço ou atividade for terceirizado, o risco deste continua vinculado à organização;
▪ Consequentemente, convém que a organização garanta que seus principais fornecedores ou parceiros de
terceirização possuem planos de GCN eficazes;
▪ Um método de garantir tal ponto é obter evidência auditada que demonstre a viabilidade dos planos.
Deve existir um método definido, documentado e adequado para determinar o impacto de qualquer
interrupção das atividades que suportam os principais produtos e serviços da organização.
19 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Após a BIA, a organização deve ser capaz de identificar as atividades críticas que contribuem para a entrega
de seus mais importantes produtos e serviços, a lista de todos os recursos necessários para a recuperação, e
priorizar atividades e recursos por objetivo à recuperação.
QUESTÃO - (AOCP/TCE-PA 2012) Uma das preocupações frequentes das organizações é com relação aos riscos
de indisponibilidade dos negócios, fato este evidenciado após o 11 de Setembro de 2001. Por meio da NBR 15999-
1, é possível conhecer o objetivo, o negócio, as partes interessadas e as regulamentações envolvidas da
organização. A ferramenta que dá subsídios para isso é a
a) SWOT.
b) RACI.
c) BSC.
d) GNC.
e) BIA.
Comentários:
Análise de impacto nos negócios (business impact analysis – BIA) – processo de analisar as funções de negócio e
os efeitos que uma interrupção possa causar nelas.
Resposta: E
Bom, Pessoal, creio que isso é tudo que vocês precisam saber de PCN nesse momento. Que tal agora
testarmos os conhecimentos adquiridos?
(CESGRANRIO/IBGE 2016)
Na gestão de segurança da informação, o desenvolvimento e a implantação dos planos para proteger os processos
críticos contra efeitos de falhas ou desastres significativos e, se for o caso, assegurar a sua retomada em tempo
hábil fazem parte da gestão de
A) incidentes de segurança
B) continuidade do negócio
C) ativos
Resolução
A Gestão da Continuidade de Negócios (GCN) (ABNT NBR ISO 22301:2013) é uma disciplina que ajuda a
empresa a definir os processos-chave e os impactos que resultariam da concretização de situações de
interrupções, e preparar-se para responder a estes cenários, continuar os negócios e recuperar-se no menor tempo
possível.
20 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Resposta: B
(UECE/CGE-CE 2013)
D) deu origem, no Brasil, a três outras subnormas (recomendações especiais): 15999-1, 15999-2 e 15999-3.
Resolução:
a) Correta.
b) Não só em caso de desastres naturais, mas de qualquer incidente que possa paralisar o negócio.
d) Na verdade, são DUAS sub normas: 15999-2 fornece os requisitos; e a 15999-1 fornece a implementação.
Resposta: A
(CESPE/TCU 2010)
A norma NBR ISO/IEC 15999 destina-se a orientar as empresas no que fazer a partir do momento em que acontecer
algum incidente, oferecendo respostas às ameaças sofridas e seus impactos nas operações do negócio.
Resolução:
Como um código de práticas, esta Norma tem a forma de um guia de recomendações, e nesta qualidade
fornece recomendações expressas em frases em que a principal é a expressão "convém que".
Resposta: Errada
(CESPE/MEC 2015)
A NBR 15999 é baseada na ISO 27001, que é considerada como ponto focal da discussão de normas de gestão de
continuidade de negócios.
21 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Resolução:
Resposta: Errada
(CESPE/MEC 2015)
A norma ISO/IEC 15999-1, aplicável a atividades de serviço, visa subsidiar a implementação de um sistema de
gerenciamento de banco de dados (SGBD), tem um código de prática e fornece uma base para entendimento,
desenvolvimento e implementação da continuidade de negócios em uma organização.
Resolução:
Em vez de sistema de gerenciamento de banco de dados (SGBD), o correto seria Sistema de Gestão da
Continuidade de Negócio (SGCN).
Resposta: Errada
(CESPE/TJ-RO 2012)
De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de
continuidade do negócio (GCN).
A) A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de
interrupção das atividades críticas da organização.
B) A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a
incidentes, de continuidade e de comunicação.
C) A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou)
atividades críticas e recursos de suporte de uma organização.
D) GCN é uma abordagem alternativa à gestão de riscos de segurança da informação.
E) GCN é a fase inicial da implantação da gestão de continuidade em uma organização.
Resolução:
B) Os testes são realizados na fase: Testando, mantendo e analisando criticamente os preparativos de GCN
C) Correta
D) A GCN é complementar a uma estrutura de gestão de riscos que busca entender os riscos às operações
e negócios e suas consequências. Uma não substitui a outra.
Resposta: C
(FGV/MPE-BA 2017)
22 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
A gestão da continuidade de negócios, segundo a norma ABNT NBR 15999, é um processo da organização que
estabelece uma estrutura estratégica e operacional adequada para:
B) Assegurar que não ocorra interrupção do negócio mesmo diante de incidentes graves;
C) Prover uma prática para justificar a incapacidade de uma organização fornecer seus principais produtos e
serviços após uma interrupção;
D) Permitir que a organização não precise cumprir suas obrigações legais e regulamentações aplicáveis na
ocorrência de um incidente;
Resolução:
(UPENET/UPE 2017)
São exemplos de fases do ciclo de vida de um sistema de gestão de continuidade de negócios (GCN), conforme a
norma NBR ISO/IEC 15999:2007:
A) Mecanismo de controle de acesso; Auditoria de qualidade; Gestão de responsabilidades.
Resolução:
Atribuição de responsabilidades; Implementação da continuidade de negócios na organização; Gestão
contínua da continuidade de negócios.
Resposta: E
23 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
(CESPE/MEC 2015)
A norma ISO/IEC 15999-2 especifica os requisitos para planejar, estabelecer, implementar, operar, monitorar,
analisar criticamente, exercitar, manter e melhorar o sistema de gerenciamento da continuidade de negócios
(SGCN) documentado dentro do contexto dos riscos de negócios de toda a organização.
Resolução:
Lembram do EIOMMAM?
RESPOSTA: Certa
(CESPE/TRT-21 2015)
No que concerne à gestão da continuidade de negócios, a norma brasileira NBR 15999 estabelece o que deve ser
atendido. Nesse aspecto, todos os estágios da gestão da continuidade são: Compreender o Negócio; Estratégia
de Continuidade; Plano de Continuidade; Construir e Disseminar a Cultura; e Exercitar, Manter e Auditar.
Resolução:
Conforme a NBR ISO/IEC 15999:2007, o ciclo de vida de GCN é composto por seis elementos:
(VUNESP/TCE-SP 2014)
O ciclo de vida da Gestão de Continuidade de Negócios (GCN) da norma NBR ISO/IEC 15999:2007, em seu
elemento Gestão de Programa de GCN, inclui os seguintes 3 passos:
A) análise de impacto no negócio, opções de estratégia e atribuição de responsabilidade.
B) atribuição de responsabilidade, implementação da continuidade de negócio na organização e gestão
contínua da continuidade de negócios.
Resolução:
A gestão de programa de GCN envolve 3 passos:
▪ Atribuição de responsabilidades
24 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Resposta: B
(VUNESP/TCE-SP 2014)
A norma NBR ISO/IEC 15999:2007 prevê um Plano de Gerenciamento de Incidentes (PGI). Esse plano está inserido
no seguinte elemento do ciclo de vida da Gestão de Continuidade de Negócios:
C) Entendendo a organização.
(CESPE/TJ-SE 2014)
Elaborado e testado o plano de continuidade de negócio pelos dirigentes da organização com a possibilidade de
auxílio da equipe de gerência da segurança da informação, recomenda-se incluir um registro de incidentes ou
formulários para o registro de informações vitais, principalmente como consequência de decisões tomadas
durante a execução do plano.
Resolução:
Caros, não encontrei uma referência direta nas Normas. Contudo, a necessidade de registro de todas as
informações relevantes é uma constants nesses artefatos.
Resposta: CERTA
(CESPE/TJ-RO 2012)
Em conformidade com as normas NBR 15999 e ABNT NBR 15999-2, um plano de continuidade de negócios deve
conter
A) a análise e a avaliação dos riscos de segurança da informação que afetam os ativos organizacionais.
25 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
E) uma lista estruturada e priorizada de ações e tarefas que apresente a forma como o plano é ativado.
Resolução:
Resposta: E
(CESPE/TJ-SE 2014)
Nos termos da referida norma, o plano de continuidade de negócio, um documento muito útil para a organização,
elaborado antes da ocorrência de desastres, deve ser reproduzido em cópias para armazenamento em locais de
fácil acesso.
Resolução:
"Convém que todos os planos, sejam eles de gerenciamento de incidentes, continuidade de negócios ou
recuperação de negócios, sejam concisos e acessíveis àqueles que possuam responsabilidades
definidas nesses planos."
Resposta: Errada
(CESPE/MEC 2015)
A elaboração de um estudo de análise de impacto nos negócios (BIA) pode ser precedida por uma análise de riscos
de segurança da informação, especialmente se for focado na indisponibilidade de ativos, pois, se o BIA identifica
de forma mais precisa os impactos de uma interrupção, ele também demanda investigações detalhadas sobre os
custos da interrupção de processos, e será mais efetivo se for focado nos processos de negócios associados aos
riscos de maior magnitude.
Resolução:
26 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Após a BIA, a organização deve ser capaz de identificar as atividades críticas que contribuem para a entrega
de seus mais importantes produtos e serviços, a lista de todos os recursos necessários para a recuperação, e
priorizar atividades e recursos por objetivo à recuperação.
Resposta: Certa
Resposta: Errada
(FCC/ISS-SL 2018)
Considere, por hipótese, que um incêndio danificou um servidor da Prefeitura e um Auditor foi acionado para
restaurar um backup completo do que havia em uma fita em um novo servidor. Apesar de o Auditor ter levado
cerca de 30 minutos para restaurar os dados do backup, o total de tempo entre a notificação da interrupção dos
serviços dependentes dos dados do servidor danificado, a recuperação total dos dados e a restauração dos serviços
foi de aproximadamente 50 minutos, dentro do tempo tolerável previsto no Plano de Recuperação de Desastres
associado ao Plano de Continuidade de Negócio. Este limite de tempo é conhecido como
A) Recovery Time Point (RTP).
Resolução:
Segundo a ISO 15999, o Tempo objetivado de recuperação (RTO – recovery time objective) é o tempo alvo
para:
Resposta: E
(FCC/SEFAZ-SP 2009)
As ações a serem tomadas imediatamente após a ocorrência de um incidente que coloque em risco as operações
do negócio devem estar descritas no plano de continuidade de negócios como procedimentos
27 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
A) operacionais temporários.
B) de ensaio geral.
C) de recuperação.
D) de restauração.
E) de emergência
Resolução:
Segundo a ISO 27002 (14.1.40) Estrutura do plano de continuidade do negócio
Convém que uma estrutura de planejamento para continuidade de negócios contemple os requisitos
de segurança da informação identificados e considere os seguintes itens:
b) procedimentos de emergência que descrevam as ações a serem tomadas após a ocorrência de um
incidente que coloque em risco as operações do negócio;
Resposta: E
(FCC/MPE-PE 2018)
Estabelecer um plano de continuidade de negócios é primordial para as empresas, sendo que o plano de
continuidade é constituído de subplanos. O subplano estabelecido para ser utilizado em último caso quando todas
as prevenções tiverem falhado é conhecido como Plano de
A) Gerenciamento de Crises.
B) Contingência.
C) Recuperação de Desastres.
D) Administração.
E) Continuidade Operacional.
Resolução:
O Plano de Continuidade de Negócios é constituído pelos seguintes planos:
▪ Plano de Contingência;
▪ Plano de Administração de Crises (PAC);
▪ Plano de Recuperação de Desastres (PRD); e
▪ Plano de Continuidade Operacional (PCO).
Plano de Contingência: este é o plano emergencial, que deve ser utilizado em último caso. Entra em cena
quando todas as prevenções realizadas anteriormente tiverem falhado. O Plano de Contingência lista as
ações mais imediatas do PCN.
28 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Resposta: B
(FGV/AL-RO 2018)
Assinale a opção que apresenta uma boa prática de gestão da continuidade de negócios de uma organização.
C) Documentar o método de execução das atividades críticas realizadas apenas por empregados próprios.
Resolução:
Resposta: E
(FAURGS/BANRISUL 2018)
No contexto da definição de um plano de continuidade de negócios, é preciso definir pelo menos uma estratégia
de contingência. Como se denomina a estratégia em que é feito um acordo formal com empresas que possuem
características físicas, tecnológicas ou humanas semelhantes, para que possam servir como uma alternativa
operacional em caso de incidentes?
A) Acordo de reciprocidade.
B) Autossuficiência.
C) Bureau de serviços.
D) Hot-site.
E) Realocação de operação.
Resolução:
Acordo de reciprocidade: Propõe a aproximação de empresas com características/serviços semelhantes através
de um acordo formal para que possam servir como uma alternativa operacional.
Resposta: A
29 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
(CESPE/TER-BA 2017)
A) separação das habilidades fundamentais das pessoas, de modo a reduzir a concentração do risco na
organização.
B) nomeação do principal responsável pela análise crítica, correção e atualização do plano em intervalos
regulares na organização.
Resolução:
Convém que a organização crie, aumente e mantenha uma consciência por meio da educação permanente
em GCN e de um programa de informações para toda a equipe.
Esse programa deve incluir:
a) um processo de consulta junto a toda a equipe sobre a implementação do programa de GCN;
b) discussão de GCN nos informativos, apresentações, programas ou reportes diários da organização;
c) inclusão da GCN nas páginas pertinentes da web ou da intranet;
d) aprendizado por meio de incidentes internos ou externos;
e) GCN como um tópico nas reuniões de equipe;
f) testes de planos de continuidade em locais alternativos, por exemplo, um local de recuperação; e
g) visitas a esses locais alternativos.
Resposta: E
(CESPE/TCE-PA 2016)
Com base na NBR ISO 22301:2013, que dispõe requisitos para a gestão de continuidade de negócios, julgue o item
que se segue.
Resolução:
Resposta: Certa
(CESPE/TCE-PA 2016)
30 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Com base na NBR ISO 22301:2013, que dispõe requisitos para a gestão de continuidade de negócios, julgue o item
que se segue.
O controle dos processos terceirizados é opcional, motivo pelo qual as organizações podem avaliar tais processos
apenas quando considerarem isso necessário.
Resolução:
De acordo com a referida norma, o controle de processos terceirizados NÃO É OPCIONAL.
8 – OPERAÇÃO
8.1 - Planejamento e controle operacional
"A organização deve garantir que processos terceirizados são controlados".
Resposta: Errada
A) incidentes de segurança
B) continuidade do negócio
C) ativos
(UECE/CGE-CE 2013)
B) B) especifica ações a serem efetuadas por uma organização em caso de desastre natural.
C) não tem equivalente, no Brasil, elaborada pela ABNT.
D) deu origem, no Brasil, a três outras subnormas (recomendações especiais): 15999-1, 15999-2 e 15999-3.
(CESPE/TCU 2010)
A norma NBR ISO/IEC 15999 destina-se a orientar as empresas no que fazer a partir do momento em que acontecer
algum incidente, oferecendo respostas às ameaças sofridas e seus impactos nas operações do negócio.
31 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
(CESPE/MEC 2015)
A NBR 15999 é baseada na ISO 27001, que é considerada como ponto focal da discussão de normas de gestão de
continuidade de negócios.
(CESPE/MEC 2015)
A norma ISO/IEC 15999-1, aplicável a atividades de serviço, visa subsidiar a implementação de um sistema de
gerenciamento de banco de dados (SGBD), tem um código de prática e fornece uma base para entendimento,
desenvolvimento e implementação da continuidade de negócios em uma organização.
(CESPE/TJ-RO 2012)
De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de
continuidade do negócio (GCN).
B) A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a
incidentes, de continuidade e de comunicação.
C) A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou)
atividades críticas e recursos de suporte de uma organização.
(FGV/MPE-BA 2017)
A gestão da continuidade de negócios, segundo a norma ABNT NBR 15999, é um processo da organização que
estabelece uma estrutura estratégica e operacional adequada para:
A) Eliminar a necessidade de treinar os colaboradores da organização para responder de forma eficaz a um
incidente ou interrupção;
B) Assegurar que não ocorra interrupção do negócio mesmo diante de incidentes graves;
C) Prover uma prática para justificar a incapacidade de uma organização fornecer seus principais produtos e
serviços após uma interrupção;
D) Permitir que a organização não precise cumprir suas obrigações legais e regulamentações aplicáveis na
ocorrência de um incidente;
(UPENET/UPE 2017)
São exemplos de fases do ciclo de vida de um sistema de gestão de continuidade de negócios (GCN), conforme a
norma NBR ISO/IEC 15999:2007:
A) Mecanismo de controle de acesso; Auditoria de qualidade; Gestão de responsabilidades.
32 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
(CESPE/MEC 2015)
A norma ISO/IEC 15999-2 especifica os requisitos para planejar, estabelecer, implementar, operar, monitorar,
analisar criticamente, exercitar, manter e melhorar o sistema de gerenciamento da continuidade de negócios
(SGCN) documentado dentro do contexto dos riscos de negócios de toda a organização.
(CESPE/TRT-21 2015)
No que concerne à gestão da continuidade de negócios, a norma brasileira NBR 15999 estabelece o que deve ser
atendido. Nesse aspecto, todos os estágios da gestão da continuidade são: Compreender o Negócio; Estratégia
de Continuidade; Plano de Continuidade; Construir e Disseminar a Cultura; e Exercitar, Manter e Auditar.
(VUNESP/TCE-SP 2014)
O ciclo de vida da Gestão de Continuidade de Negócios (GCN) da norma NBR ISO/IEC 15999:2007, em seu
elemento Gestão de Programa de GCN, inclui os seguintes 3 passos:
(VUNESP/TCE-SP 2014)
A norma NBR ISO/IEC 15999:2007 prevê um Plano de Gerenciamento de Incidentes (PGI). Esse plano está inserido
no seguinte elemento do ciclo de vida da Gestão de Continuidade de Negócios:
33 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
(CESPE/TJ-SE 2014)
Elaborado e testado o plano de continuidade de negócio pelos dirigentes da organização com a possibilidade de
auxílio da equipe de gerência da segurança da informação, recomenda-se incluir um registro de incidentes ou
formulários para o registro de informações vitais, principalmente como consequência de decisões tomadas
durante a execução do plano.
(CESPE/TJ-RO 2012)
Em conformidade com as normas NBR 15999 e ABNT NBR 15999-2, um plano de continuidade de negócios deve
conter
A) a análise e a avaliação dos riscos de segurança da informação que afetam os ativos organizacionais.
E) uma lista estruturada e priorizada de ações e tarefas que apresente a forma como o plano é ativado.
(CESPE/TJ-SE 2014)
Nos termos da referida norma, o plano de continuidade de negócio, um documento muito útil para a organização,
elaborado antes da ocorrência de desastres, deve ser reproduzido em cópias para armazenamento em locais de
fácil acesso.
(CESPE/MEC 2015)
A elaboração de um estudo de análise de impacto nos negócios (BIA) pode ser precedida por uma análise de riscos
de segurança da informação, especialmente se for focado na indisponibilidade de ativos, pois, se o BIA identifica
de forma mais precisa os impactos de uma interrupção, ele também demanda investigações detalhadas sobre os
custos da interrupção de processos, e será mais efetivo se for focado nos processos de negócios associados aos
riscos de maior magnitude.
(FCC/ISS-SL 2018)
Considere, por hipótese, que um incêndio danificou um servidor da Prefeitura e um Auditor foi acionado para
restaurar um backup completo do que havia em uma fita em um novo servidor. Apesar de o Auditor ter levado
cerca de 30 minutos para restaurar os dados do backup, o total de tempo entre a notificação da interrupção dos
serviços dependentes dos dados do servidor danificado, a recuperação total dos dados e a restauração dos serviços
foi de aproximadamente 50 minutos, dentro do tempo tolerável previsto no Plano de Recuperação de Desastres
associado ao Plano de Continuidade de Negócio. Este limite de tempo é conhecido como
34 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
(FCC/SEFAZ-SP 2009)
As ações a serem tomadas imediatamente após a ocorrência de um incidente que coloque em risco as operações
do negócio devem estar descritas no plano de continuidade de negócios como procedimentos
A) operacionais temporários.
B) de ensaio geral.
C) de recuperação.
D) de restauração.
E) de emergência
(FCC/MPE-PE 2018)
Estabelecer um plano de continuidade de negócios é primordial para as empresas, sendo que o plano de
continuidade é constituído de subplanos. O subplano estabelecido para ser utilizado em último caso quando todas
as prevenções tiverem falhado é conhecido como Plano de
A) Gerenciamento de Crises.
B) Contingência.
C) Recuperação de Desastres.
D) Administração.
E) Continuidade Operacional.
(FGV/AL-RO 2018)
Assinale a opção que apresenta uma boa prática de gestão da continuidade de negócios de uma organização.
C) Documentar o método de execução das atividades críticas realizadas apenas por empregados próprios.
(FAURGS/BANRISUL 2018)
35 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
No contexto da definição de um plano de continuidade de negócios, é preciso definir pelo menos uma estratégia
de contingência. Como se denomina a estratégia em que é feito um acordo formal com empresas que possuem
características físicas, tecnológicas ou humanas semelhantes, para que possam servir como uma alternativa
operacional em caso de incidentes?
A) Acordo de reciprocidade.
B) Autossuficiência.
C) Bureau de serviços.
D) Hot-site.
E) Realocação de operação.
(CESPE/TER-BA 2017)
A) separação das habilidades fundamentais das pessoas, de modo a reduzir a concentração do risco na
organização.
B) nomeação do principal responsável pela análise crítica, correção e atualização do plano em intervalos
regulares na organização.
(CESPE/TCE-PA 2016)
Com base na NBR ISO 22301:2013, que dispõe requisitos para a gestão de continuidade de negócios, julgue o item
que se segue.
(CESPE/TCE-PA 2016)
Com base na NBR ISO 22301:2013, que dispõe requisitos para a gestão de continuidade de negócios, julgue o item
que se segue.
O controle dos processos terceirizados é opcional, motivo pelo qual as organizações podem avaliar tais processos
apenas quando considerarem isso necessário.
GABARITO
1. 4. Errada 7. E 10. Errada
2. A 5. Errada 8. E 11. B
3. 6. C 9. Certa 12. A
36 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
RESUMO DIRECIONADO
Referências:
▪ ABNT NBR 15999-1:2007 - Gestão de continuidade de negócios Parte 1: Código de prática (Substituída
por: ABNT NBR ISO 22313:2015)
▪ ABNT NBR 15999-2:2008 - Gestão de continuidade de negócios Parte 2: Requisitos (Substituída por:
ABNT NBR ISO 22301:2013)
▪ ABNT NBR ISO 22313:2015 – Segurança da sociedade — Sistemas de gestão de continuidade de negócios
— Orientações
▪ ABNT NBR ISO 22301:2013 - Segurança da sociedade — Sistema de gestão de continuidade de negócios
— Requisitos
▪ ABNT NBR ISO/IEC 27002:2013 – Tecnologia da informação — Técnicas de segurança — Código de
prática para controles de segurança da informação.
▪ ABNT NBR ISO/IEC 27001:2013 - Tecnologia da informação — Técnicas de segurança — Sistemas de
gestão da segurança da informação — Requisitos
▪ NBR ISO/IEC 27005:2011 - Tecnologia da informação — Técnicas de segurança — Gestão de riscos de
segurança da informação
CN e o PDCA (EIOMMAM)
37 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Termos e Definições:
Sistema de gestão de continuidade de negócios (SGCN) – aquela parte de um sistema global de gestão
que EIOMAMM* a continuidade de negócios.
Plano de gestão de incidentes (PGI) – plano de ação claramente definido e documentado para ser usado
quando ocorrer um incidente que tipicamente cobre as principais pessoas, recursos, serviços e outras ações que
sejam necessárias para implementar o processo de gestão de incidentes.
Período máximo de interrupção tolerável – duração a partir da qual a viabilidade de uma organização será
ameaçada de forma inevitável, caso a entrega de produtos e serviços não possa ser reiniciada.
Tempo objetivado de recuperação (RTO – Recovery Time Objective) tempo-alvo para retomada da
entrega de produtos, serviços ou atividades após um incidente.
NOTA: o RTO deve ser menor do que o período máximo de interrupção tolerável
Resiliência – capacidade de uma organização de resistir aos efeitos de um incidente (tolerância a falhas)
Análise de impacto nos negócios (business impact analysis – BIA) – processo de analisar as funções de
negócio e os efeitos que uma interrupção possa causar nelas.
38 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263
Prof. Walter Cunha
PCN Aula 00
Plano de Administração de Crises (PAC) – plano que aborda todos os elementos necessários à atuação
coordenada durante uma crise, incluindo a tomada de decisões de contingência e o acionamento de equipes.
Plano de Contingência (PC) – plano emergencial, que deve ser utilizado em último caso. Entra em cena
quando todas as prevenções realizadas anteriormente tiverem falhado. O Plano de Contingência lista as ações
mais imediatas do PCN.
Requisitos de continuidade
Convém que a organização estime os recursos que cada atividade necessitará durante sua recuperação,
como, por exemplo:
a) pessoas (ver 7.3);
39 de 39| www.direcaoconcursos.com.br
Tonny Silva - 94760250263