Академический Документы
Профессиональный Документы
Культура Документы
14.03.2013
2) Este Projeto de Norma previsto para cancelar e substituir a ABNT NBR 15999-2:2010,
quando aprovado, sendo que nesse nterim a referida norma continua em vigor
5) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informao em seus comentrios, com documentao comprobatria;
Participante Representante
Prefcio
Os documentos Tcnicos ABNT so elaborados conforme as regras das Diretivas ABNT, Parte 2.
Scope
This Standard for business continuity management specifies requirements to plan, establish, implement,
operate, monitor, review, maintain and continually improve a documented management system to
protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive
incidents when they arise.
The requirements specified in this Standard are generic and intended to be applicable to all
organizations, or parts thereof, regardless of type, size and nature of the organization. The extent of
application of these requirements depends on the organizations operating environment and complexity.
It is not the intent of this Standard to imply uniformity in the structure of a Business Continuity
Management System (BCMS), but for an organization to design a BCMS that is appropriate to its needs
and that meets its interested parties requirements. These needs are shaped by legal, regulatory,
organizational and industry requirements, the products and services, the processes employed, the size
and structure of the organization, and the requirements of its interested parties.
This Standard is applicable to all types and sizes of organizations that wish to
This Standard can be used to assess an organizations ability to meet its own continuity needs and
obligations
NO TEM VALOR NORMATIVO 1/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
0 Introduo
0.1 Geral
Esta Norma especifica requisitos para estabelecer e gerenciar um eficaz Sistema de Gesto de
Continuidade de Negcios (SGCN).
implementar e operar controles e medidas para a gesto da capacidade geral da organizao para
gerenciar incidentes de interrupo;
O SGCN, assim como outros sistemas de gesto, possui os seguintes componentes chave:
a) uma poltica;
1) poltica,
2) planejamento,
3) implementao e operao,
4) avaliao de desempenho;
6) melhorias;
A continuidade de negcios contribui para uma sociedade mais resiliente. possvel que seja
necessrio envolver no processo de recuperao a comunidade em geral, assim como outras
organizaes em funo do impacto no ambiente organizacional.
Esta Norma adota o modelo Plan-Do-Check-Act para planejar, estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar continuamente a eficcia do SGCN de uma
organizao.
Isto garante um grau de consistncia com outras normas de sistemas de gesto, tais como
ABNT NBR ISO 9001:2000 (Sistemas de gesto da qualidade) e ABNT NBR ISO 14001:2004
(Sistemas de gesto ambiental), ABNT NBR ISO/IEC 27001:2005 (Sistemas de gesto de segurana
da informao), ABNT NBR ISO/IEC 20000-2 (Gesto de Servios de TI), e ABNT NBR ISO 28000,
(Especificao para sistemas de gesto de segurana para a cadeia logstica), suportando assim, a
implementao consistente e integrada e a operao com sistemas de gesto relacionados.
A Figura 1 ilustra como um SGCN considera como entradas as partes interessadas e os requisitos de
continuidade de negcios e, por meio de aes necessrias e processos, produz resultados de
continuidade (por exemplo, continuidade de negcios gerenciada) que atendem aqueles requisitos.
No modelo Plan (Planejar)-Do (Fazer) Check (Checar)-Act (Agir) exibido na Tabela 1, as Sees de 4
a 10 desta Norma envolvem os seguintes componentes:
NOTA Os requisitos dos processos de anlise de impacto nos negcios e de avaliao de riscos esto
detalhados na Seo 8.
A Seo 10 um componente do Agir. Este identifica e atua em aspectos do SGCN que no esto
em conformidade, atravs de aes corretivas.
1 Escopo
Esta Norma de gesto da continuidade de negcios especifica os requisitos para planejar, estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente um sistema de
gesto documentado para proteger-se, reduzir a possibilidade de ocorrncia, preparar-se, responder a e
recuperar-se de incidentes de interrupo quando estes ocorrerem.
Os requisitos especificados nesta Norma so genricos e planejados para serem aplicados em todas as
organizaes ou parte delas, independentemente do tipo, tamanho e natureza do negcio. A
abrangncia da aplicao desses requisitos depende do ambiente operacional e complexidade da
organizao.
Esta Norma no tem a inteno de impor uniformidade da estrutura de um Sistema de Gesto de
Continuidade de Negcios (SGCN), mas para que uma organizao projete um SGCN adequado s
suas necessidades e que satisfaa os requisitos das partes interessadas. Estas necessidades so
moldadas por requisitos legais, regulatrios, de negcios e dos clientes, pelos produtos e servios, os
processos utilizados, o tamanho e a estrutura da organizao e pelos requisitos das partes
interessadas.
Esta Norma aplicvel a todos os tipos e tamanhos de organizao que desejam:
Esta Norma pode ser usada para avaliar a capacidade de uma organizao em atender suas prprias
necessidades e obrigaes de continuidade.
2 Referncias normativas
Os documentos relacionados a seguir so indispensveis aplicao deste documento. Para
referncias datadas, aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se
as edies mais recentes do referido documento (incluindo emendas).
3 Termos e definies
Para os efeitos deste documento, aplicam-se os seguintes termos e definies.
3.1
atividade
processo ou conjunto de processos executados por uma organizao (ou em seu nome) que produzam
ou suportem um ou mais produtos ou servios
EXEMPLO Tais processos incluem contas, call center, TI, manufatura, distribuio.
3.2
auditoria
processo sistemtico, documentado e independente para obter evidncias de auditoria e avali-las
objetivamente para determinar a extenso na qual os critrios de auditoria so atendidos
NOTA 1 Uma auditoria pode ser interna (primeira parte) ou externa (segunda parte ou terceira parte), e pode
ser uma auditoria combinada (combinao de duas ou mais disciplinas).
NOTA 2 "A evidncia de auditoria" e "critrios de auditoria" so definidos na ABNT NBR ISO 19011.
3.3
continuidade de negcios
capacidade da organizao em continuar a entrega de produtos ou servios em um nvel aceitvel
previamente definido aps incidentes de interrupo
3.4
gesto de continuidade de negcios
processo abrangente de gesto que identifica ameaas potenciais para uma organizao e os possveis
impactos nas operaes de negcio caso estas ameaas se concretizem. Este processo fornece uma
estrutura para que se desenvolva uma resilincia organizacional que seja capaz de responder
eficazmente e salvaguardar os interesses das partes interessadas, a reputao e a marca da
organizao e suas atividades de valor agregado
3.5
sistema de gesto de continuidade de negcios
SGCN
parte do sistema global de gesto que estabelece, implementa, opera, monitora, analisa criticamente,
mantm e melhora a continuidade de negcios
3.6
plano de continuidade de negcios
procedimentos documentados que orientam as organizaes a responder, recuperar, retomar e
restaurar a um nvel pr-definido de operao aps a interrupo
NOTA Normalmente isto abrange recursos, servios e atividades necessrias para assegurar a continuidade
de funes crticas de negcios.
3.7
programa de continuidade de negcios
processo contnuo de gesto e governana suportado pela Alta Direo que recebe apropriadamente os
recursos para implementar e manter a gesto de continuidade de negcios
3.8
anlise de impacto nos negcios (BIA Business Impact Analysis)
processo de analisar as atividades e os efeitos que uma interrupo de negcio pode ter sobre elas
3.9
competncia
habilidade de aplicar conhecimentos e tcnicas para atingir os resultados esperados
3.10
conformidade
cumprimento de um requisito
3.11
melhoria contnua
atividade recorrente para melhorar o desempenho
3.12
correo
ao para eliminar uma no conformidade detectada
3.13
ao corretiva
ao para eliminar a causa de uma no conformidade e para prevenir a recorrncia
NOTA No caso de outros resultados indesejveis, necessrio agir para minimizar ou eliminar as causas e
para reduzir o impacto ou prevenir a reincidncia. Tais aes esto fora do conceito de "ao corretiva", no sentido
desta definio.
3.14
documento
informao e seu meio de suporte
NOTA 1 Os meios podem ser papel, disco magntico, eletrnico ou ptico de computador, fotografia ou amostra
mestre, ou uma combinao destes.
NOTA 2 Um conjunto de documentos, por exemplo especificaes e registros, frequentemente chamado de
"documentao".
3.15
informao documentada
informao que deve ser controlada e mantida por uma organizao e o meio em que est contida
NOTA 1 Informao documentada pode estar em qualquer formato e em qualquer mdia de qualquer tipo.
3.16
eficcia
extenso para quais atividades planejadas so realizadas e resultados planejados atingidos
3.17
evento
ocorrncia ou mudana em um conjunto especfico de circunstncias
NOTA 1 Um evento pode consistir em uma ou mais ocorrncias e pode ter vrias causas.
NOTA 3 Um evento pode algumas vezes ser referido como um incidente ou um acidente.
NOTA 4 Um evento sem consequncias pode tambm se referir a quase acidente, incidente, quase
coliso ou por um triz.
3.18
exercicio
processo de treino para avaliar, praticar e melhorar o desempenho em uma organizao
NOTA 1 Os exerccios podem ser usados para: validar polticas, planos, procedimentos, treinamento,
equipamentos e acordos entre organizaes; esclarecimento e treinamento de pessoal em funes e
responsabilidades, melhoria da coordenao e comunicao entre organizaes, identificao de lacunas de
recursos, melhoria do desempenho individual e; identificao de oportunidades de melhoria e o controle de
oportunidades para a prtica de improvisao.
NOTA 2 Um teste um tipo nico e particular de exerccio, que incorpora uma expectativa de aprovao ou
reprovao em relao aos objetivos planejados do exerccio.
3.21
partes interessadas
stakeholder
pessoa ou organizao que pode afetar, ser afetado ou que entendem ser afetados por uma deciso ou
atividade
NOTA O termo refere-se a um indivduo ou grupo que possui interesse em qualquer deciso ou atividade de
uma organizao.
3.22
auditoria interna
auditoria realizada por, ou em nome, da prpria organizao para anlise crtica pela Direo e outros
fins internos, e que pode formar a base para autodeclararo de conformidade de uma organizao
NOTA Em muitos casos, particularmente em pequenas organizaes, a independncia pode ser demonstrada
pela no responsabilidade pela atividade a ser auditada.
3.23
invocao
ato de declarar que os arranjos para continuidade de negcios de uma organizao precisam ser
colocados em prtica, a fim de continuar a entrega de produtos ou servios essenciais.
3.24
sistema de gesto
conjunto de elementos inter-relacionados ou interativos de uma organizao para estabelecer polticas e
objetivos, bem como processos para atingir esses objetivos
NOTA 1 Um sistema de gesto pode abordar uma nica disciplina ou vrias disciplinas.
NOTA 3 O escopo de um sistema de gesto pode incluir a totalidade da organizao, funes especficas e
identificadas da organizao, sees especficas e identificadas da organizao, ou uma ou mais funes atravs
de um grupo de organizaes.
3.25
interrupo mxima aceitvel
MAO - Maximum Acceptable Outage
tempo para que os impactos adversos que possam surgir como resultado de no fornecer um produto /
servio, ou realizar uma atividade, tornem-se inaceitveis
3.26
perodo mximo de interrupo tolervel
MTPD - Maximum Tolerable Period of Disruption
tempo necessrio para que os impactos adversos tornem-se inaceitveis, que pode surgir como
resultado de no fornecer um produto/servio ou realizar uma atividade.
3.28
objetivo mnimo de continuidade de negcios
OMCN
nveis mnimos aceitveis de servios e/ou produtos para a organizao alcanar seus objetivos de
negcios durante uma interrupo
3.29
monitoramento
determinao do status de um sistema, de um processo ou de uma atividade
NOTA Para determinar o status pode haver a necessidade de checar, supervisionar ou observar
criticamente.
3.30
acordo de ajuda mtua
pr-disposio de entendimento entre duas ou mais entidades para prestao de assistncia mtua
3.31
no conformidade
no cumprimento de um requisito
3.32
objetivo
resultado a ser atingido
NOTA 2 Os objetivos podem ser relacionados a diferentes disciplinas (tais como financeiro, sade e segurana,
e as metas ambientais) e podem ser aplicados em diferentes nveis (como estratgico, a organizao como um
todo, projeto, produto e processo).
NOTA 3 Um objetivo pode ser expresso por outros meios, por exemplo, como um resultado esperado, um
propsito, um critrio operacional, como um objetivo de segurana social ou pelo uso de outras palavras com
significado similar (por exemplo, objetivo, meta, ou alvo).
3.33
organizao
pessoas ou grupo de pessoas que tm suas funes com responsabilidades, autoridades e
relacionamentos para alcanar os objetivos.
NOTA 1 O conceito de organizao inclui, mas no se limita a, empresrio individual, companhia, corporao,
firma, empresa, autoridade, parceria, instituio de caridade ou outra instituio, ou parte ou combinao destas,
com responsabilidade limitada ou no, pblica ou privada.
NOTA 2 Para as organizaes com mais de uma unidade operacional, uma nica unidade operacional pode ser
definida como uma organizao.
3.34
terceirizar (verbo)
fazer um acordo onde uma organizao externa executa parte da funo ou processo de uma
organizao
NOTA Uma organizao externa est fora do escopo do sistema de gesto, embora a funo terceirizada ou
processo esteja dentro do escopo de aplicao.
3.35 desempenho
resultado mensurvel
3.37
pessoal
pessoas trabalhando para ou sob o controle da organizao
NOTA O conceito de pessoal inclui, mas no se limita a empregados, pessoal em tempo parcial, e pessoal
temporrio.
3.38
poltica
intenes e direes de uma organizao expressadas formalmente pela sua alta gesto
3.39
procedimento
maneira especfica de conduzir uma atividade ou um processo
3.40
processo
grupo de atividades relacionadas ou interativas que transformam entradas em sadas
3.41
produtos e servios
resultados benficos que uma organizao fornece a seus clientes e partes interessadas, como bens
manufaturados, seguros automobilsticos, conformidade com regulamentaes e benefcios
comunitrios
3.42
atividades prioritrias
atividades que devem ser priorizadas aps um incidente para mitigar os impactos
NOTA Termos de uso comum para descrever as atividades dentro deste grupo incluem: crtico, essencial,
vital, urgente e fundamental.
3.43
registro
declarao de resultados atingidos ou evidncia de atividades realizadas
3.44
ponto objetivado de recuperao
RPO - Recovery Point Objective
ponto em que a informao usada por uma atividade deve ser restaurada para permitir a operao da
atividade na retomada
NOTA Tambm pode ser referido como "perda mxima de dados".
3.45
tempo objetivado de recuperao
RTO - Recovery Time Objective
perodo de tempo aps um incidente em que
NOTA Para os produtos, servios e atividades, o tempo objetivado de recuperao deve ser menor do que o
tempo em que os impactos negativos que surgiro como resultado de no fornecer um produto/servio ou realizar
uma atividade se torne inaceitvel.
3.46
requisitos
necessidade ou expectativa que determinada, geralmente implcita ou obrigatria
NOTA 1 "Geralmente implcita" significa que uma prtica habitual ou comum para a organizao e as partes
interessadas pela qual a necessidade ou expectativa sob considerao est implcita.
NOTA 2 Um requisito especificado aquele que determinado, por exemplo, na informao documentada.
3.47
recursos
todos os ativos, pessoas, competncias, informao, tecnologia (incluindo instalaes e equipamentos),
locais, suprimentos e informao (eletrnica ou no) que uma organizao deve ter disponveis para
uso, quando necessrio, a fim de operar e atingir seus objetivos.
3.48
risco
efeito da incerteza nos objetivos
NOTA 1 Um efeito um desvio do que esperado positivo ou negativo
NOTA 2 Os objetivos podem ter diferentes aspectos (como metas financeiras, sade e segurana, e ambientais)
e podem ser aplicados em diferentes nveis (tais como estratgico, em toda a organizao, projeto, produto e
processo). Um objetivo pode ser expresso por outros meios, por exemplo, como um resultado esperado, um
propsito, um critrio operacional, como objetivo da continuidade do negcio, ou pelo uso de outras palavras com
significado similar (por exemplo, objetivo, meta, ou alvo).
NOTA 3 Risco muitas vezes caracterizado pela referncia aos eventos potenciais (ABNT ISO Guia 73, 3.5.1.3)
e consequncias (ABNT ISO Guia 73, 3.6.1.3) ou uma combinao destes.
NOTA 4 Risco frequentemente expressado em termos de uma combinao das consequncias de um evento
(incluindo mudanas nas circunstncias) e a probabilidade (Guia 73, 3.6.1.1) de ocorrncia associada.
NOTA 5 Incerteza o estado, ainda que (mesmo) parcial, da deficincia de informao relacionada ao
entendimento ou conhecimento de um evento, sua consequncia ou probabilidade.
NOTA 6 No contexto de padres de gesto de continuidade de negcios, os objetivos de continuidade de
negcios so definidos pela organizao, de acordo com a poltica de continuidade de negcios, para alcanar
resultados especficos. Ao aplicar o termo risco e componentes de gerenciamento de risco, este deve ser
relacionado com os objetivos da organizao, que incluem, mas no esto limitados aos objetivos de continuidade
de negcios, conforme especificado em 6.2.
[FONTE: ABNT ISO/IEC Guia 73]
3.49
apetite a risco
quantidade e tipo de risco que a organizao est disposta a buscar ou manter
3.50
processo de avaliao de riscos (risk assessment)
processo global de identificao de riscos, anlise de riscos e avaliao de riscos
NOTA BRASILEIRA Para os efeitos deste documento o termo risk assessment foi traduzido como processo de
avaliao de riscos para evitar conflito com o termo risk evaluation que foi traduzido na ABNT NBR ISO 31000
como avaliao de riscos.
3.51
gesto de riscos
atividades coordenadas para dirigir e controlar uma organizao no que se refere a riscos
3.52 teste
procedimento para avaliao; maneira de determinar a presena, qualidade, ou veracidade de algo
3.53
Alta Direo
pessoa ou grupo de pessoas que dirige e controla uma organizao em seu nvel mais alto
NOTA 1 A Alta Direo tem o poder de delegar autoridade e fornecer recursos dentro da organizao.
NOTA 2 Se o escopo do sistema de gesto abrange apenas parte de uma organizao, ento Alta Direo se
refere queles que dirigem e controlam parte da organizao.
3.54
verificao
confirmao, atravs de evidncia, que os requisitos especificados foram cumpridos
3.55
ambiente de trabalho
conjunto de condies sob as quais o trabalho realizado
NOTA Condies incluem fatores fsicos, sociais, psicolgicos e ambientais (tais como temperatura, sistemas de
reconhecimento, ergonomia e composio atmosfrica).
4 Contexto da organizao
4.1 Entendendo a organizao e seu contexto
A organizao deve determinar as questes internas e externas que so relevantes para seus
propsitos de atuao e que afetem sua capacidade em alcanar os resultados determinados em seu
SGCN.
1) determinar seus objetivos, incluindo aqueles relacionados com a continuidade dos negcios,
2) definir os fatores externos e internos que criam as incertezas que do origem ao risco,
4.2.1 Geral
b) os requisitos das partes interessadas (por exemplo, as suas necessidades e expectativas definidas,
geralmente implcitas ou obrigatrias).
A organizao deve estabelecer, implementar e manter procedimentos para identificar, ter acesso e
avaliar os requisitos legais e regulatrios aplicveis ao seu mercado de atuao, alinhados com a
continuidade de suas operaes, produtos e servios, bem como os interesses das partes interessadas
relevantes.
A organizao deve assegurar que estes requisitos legais, regulatrios e outros requisitos que a
organizao esteja sujeita so levados em considerao no estabelecimento, implementao e
manuteno de seu SGCN.
4.3.1 Geral
A organizao deve determinar os limites e aplicabilidade do SGCN para estabelecer seu escopo.
A organizao deve:
d) levar em considerao as necessidades e interesses das partes interessadas, tais como clientes,
investidores, acionistas, cadeia de suprimentos, expectativas e interesses pblicos e/ou da
comunidade (quando apropriados), e
Ao definir o escopo, a organizao deve documentar e justificar excees; qualquer exceo no pode
afetar a capacidade e responsabilidade da organizao em prover a continuidade de negcios e
operaes contempladas nos requisitos do SGCN, como determinadas pela anlise de impacto nos
negcios ou no processo de avaliao de riscos e nos requisitos legais e regulatrios aplicveis.
5 Liderana
5.1 Liderana e comprometimento
Os membros da Alta Direo e demais gestores com papis relevantes dentro da organizao devem
demonstrar liderana em relao ao SGCN.
EXEMPLO Esta liderana e comprometimento podem ser demonstrados pela motivao e capacitao de pessoas em
contribuir com a eficcia do SGCN.
apoio a demais gestores com papel relevante para demonstrar sua liderana e comprometimento
aplicados s suas reas de responsabilidades
NOTA 1 A referncia a negcio nesta Norma pretende que seja interpretada de forma ampla, significando
aquelas atividades que so essenciais para a existncia da organizao.
nomeao de um ou mais colaboradores aptos a serem responsveis pelo SGCN, com autoridades
e competncias apropriadas para a implantao e manuteno do ciclo.
A Alta Direo deve assegurar que as responsabilidades e papis relevantes sejam atribudos e
comunicados dentro da organizao por
5.3 Poltica
A Alta Direo deve garantir que papis, responsabilidades e autoridades relevantes sejam atribudos e
comunicados dentro da organizao.
a) garantia que o sistema de gesto est em conformidade com os requisitos desta Norma, e
6 Planejamento
6.1 Aes para direcionar riscos e oportunidades
b) como
A Alta Direo deve assegurar que os objetivos de continuidade de negcios sejam estabelecidos e
comunicados para funes e nveis relevantes dentro da organizao.
b) considerar o nvel mnimo de produtos e servios que aceitvel para a organizao alcanar seus
objetivos,
c) ser mensurveis,
7 Suporte
7.1 Recursos
7.2 Competncia
A organizao deve
a) determinar as competncias necessrias das pessoas trabalhando sob seu controle que afete seu
desempenho;
b) garantir que essas pessoas sejam competentes com relao a educao apropriada, treinamento e
experincia;
c) quando necessrio, agir para adquirir a competncia necessria, e avaliar a eficcia das aes; e
NOTA Aes aplicveis podem incluir, por exemplo: a proviso do treinamento, mentores, ou a mudana dos
atuais empregados; ou a contratao de pessoal competente
7.3 Conscientizao
Pessoas que realizam trabalho sob o controle da organizao devem estar conscientizadas
7.4 Comunicao
b) quando comunicar;
comunicao externa com clientes, entidades parceiras, comunidade local, e outros grupos
interessados, inclusive a mdia;
NOTA Outros requisitos para comunicao em resposta a um incidente esto especificados em 8.4.3.
7.5.1 Geral
informaes documentadas determinadas pela organizao que sejam necessrias para a eficcia
do SGCN
NOTA A extenso de informaes documentadas para um SGCN pode ser diferente de uma
organizao para outra devido:
a competncia de pessoal.
b) formato (por exemplo: linguagem, verso de software, grficos) e mdia (por exemplo: papel,
eletrnico), e anlise crtica e aprovao para adequao.
Informaes documentadas requeridas pelo SGCN e por esta norma devem ser controlados para
garantir
b) que esteja protegido adequadamente (por exemplo: de perda de confidencialidade, uso imprprio,
ou perda de integridade).
reteno e disposio;
recuperao e uso;
Quando estabelecendo controle de informaes documentadas, a organizao deve garantir que haja
proteo adequada para informaes documentadas (por exemplo: proteo contra comprometimento,
modificao no autorizada ou deleo).
NOTA Acesso implica uma deciso sobre a permisso para visualizar informaes documentadas, ou permisso
e autoridade para visualizar informaes documentadas, etc.
8 Operao
8.1 Planejamento e controle operacional
A organizao deve planejar, implementar e controlar os processos necessrios para atender requisitos
e para implementar as aes determinadas em 6.1, por
8.2.1 Geral
A organizao deve definir, implementar e manter um processo formal e documentado para a anlise de
impacto nos negcios e no processo de avaliao de riscos que
b) considere requisitos legais dentre outros nos quais a organizao deva atender;
c) determine uma anlise sistemtica, com priorizao de tratamento dos riscos e seus respectivos
custos;
NOTA Existem diversas metodologias para anlise de impacto nos negcios e para o processo de avaliao
de riscos, que determinaro a ordem em que estes sero realizados.
c) fixar prazos de forma priorizada para a retomada destas atividades, em um nvel mnimo de
execuo tolervel, levando em considerao o tempo em que os impactos desta interrupo torne-
se inaceitvel; e
d) identificar dependncias e recursos que suportam estas atividades, incluindo fornecedores, terceiros
e demais partes interessadas relevantes.
NOTA Este processo pode ser realizado em conformidade com a norma ABNT NBR ISO 31000.
A organizao deve
a) identificar riscos de interrupo das atividades prioritrias da organizao, bem como os processos,
sistemas, informaes, pessoas, bens, parceiros terceiros, e outros recursos que os suportam,
NOTA A organizao deve estar ciente de que certas determinaes governamentais ou financeiras exigem a
comunicao dos riscos em diferentes nveis de detalhe. Alm disso, certas necessidades sociais podem tambm
requerer estas informaes em um nvel especfico de detalhes.
A definio e seleo da estratgia deve ser baseada nos resultados da anlise de impacto nos
negcios e no processo de avaliao de riscos.
b) estabilizar, continuar, retomar e recuperar atividades priorizadas, bem como suas dependncias e
recursos de apoio, e
A definio da estratgia deve incluir a aprovao da priorizao dos tempos para a retomada das
atividades.
a) pessoas,
b) informaes e dados,
f) transporte,
g) finanas, e
h) fornecedores e parceiros.
Para riscos identificados que necessitam de tratamento, a organizao deve considerar medidas
pr-ativas que
A organizao deve escolher e implementar tratamentos adequados aos riscos, alinhados ao seu
apetite de riscos.
8.4.1 Geral
Os procedimentos devem
b) ser especficos sobre as medidas imediatas que devem ser tomadas durante uma interrupo,
A organizao deve estabelecer, documentar e implementar procedimentos, bem como possuir uma
estrutura de gesto para responder uma interrupo, utilizando pessoal com a autoridade,
responsabilidade e competncia necessria para gerenciar um incidente.
e) ter recursos disponveis para apoiar os processos e procedimentos para a gesto de um incidente, a
fim de minimizar o impacto, e
a) detectar um incidente,
c) fazer a comunicao interna dentro da organizao, bem como receber, documentar e responder a
comunicaes das partes interessadas,
g) armazenar informaes vitais sobre o incidente, aes e decises tomadas, assim como os itens a
seguir devem ser considerados e implementados quando aplicvel:
a) papis e responsabilidades definidos para pessoas e equipes com autoridade durante e aps um
incidente,
e) como a organizao vai continuar ou recuperar suas atividades prioritrias dentro de prazos pr
definidos,
1) a estratgia de comunicao,
propsito e escopo,
objetivos,
procedimentos de implementao,
recursos necessrios, e
8.4.5 Recuperao
A organizao deve possuir e testar os procedimentos de continuidade de negcios, para garantir que
estes so compatveis com os seus objetivos de continuidade.
NO TEM VALOR NORMATIVO 27/35
ABNT/CEE-68
PROJETO 63:000.02-001 (ISO 22301)
MARO 2013
9 Avaliao de desempenho
9.1 Monitoramento, medio, anlise e avaliao
9.1.1 Geral
b) os mtodos para monitoramento, medio, anlise e avaliao, conforme o caso, para assegurar
resultados vlidos;
A organizao deve manter uma documentao apropriada como evidncia dos resultados.
agir quando necessrio para enderear tendncias adversas ou resultados antes que uma no
conformidade ocorra, e
desempenho dos processos, procedimentos e funes que protegem suas atividades priorizadas,
NOTA desempenho deficitrio pode incluir no conformidade, quase acidentes, alarmes falsos, e incidentes de
fato.
b) Essas avaliaes devem ser realizadas atravs de anlises crticas peridicas, exerccios, testas,
relatrios ps-incidente e avaliaes de desempenho. Mudanas significativas decorrentes devem ser
refletidas no(s) procedimento(s) em tempo hbil;
c) A organizao deve avaliar periodicamente a conformidade com requisitos legais e regulatrios, com
as melhores prticas de sua indstria e com seus objetivos e poltica(s) de continuidade dos negcios; e
Quando um incidente que cause interrupo e resulte na ativao dos seus procedimentos de
continuidade dos negcios ocorre, a organizao deve realizar uma anlise crtica ps-incidente e
registrar os resultados.
A organizao deve conduzir auditorias internas em intervalos planejados para prover informaes
sobre se o sistema de gesto de continuidade dos negcios
a) est em conformidade
A organizao deve
assegurar que os resultados das auditorias sejam reportados para a gerncia relevante, e
O programa de auditoria, incluindo qualquer cronograma, deve ser baseado nos resultados das
atividades do processo de avaliao de risco da organizao, e os no resultado de auditorias anteriores.
Os procedimentos de auditoria devem cobrir o escopo, frequncia, metodologias e competncias, bem
como as responsabilidades e requisitos para a realizao de auditorias e comunicao dos resultados.
A gerncia responsvel pela rea sendo auditada deve garantir que quaisquer correes necessrias e
aes corretivas sejam realizadas sem demora indevida para eliminar as no conformidades detectadas
e suas causas.
A Alta Direo deve analisar criticamente o SGCN da organizao, em intervalos planejados, para
garantir sua contnua aptido, adequao e eficcia.
3) resultados de auditoria;
oportunidades de melhoria;
resultados das auditorias e anlises crticas do SGCN, incluindo aquelas de fornecedores chave e
parceiros, quando apropriado;
tcnicas, produtos ou procedimento, que podem ser usados na organizao para melhorar o
desempenho e a eficcia do SGCN;
quaisquer mudanas que possam afetar o SGCN, tanto interna quanto externa ao escopo do
SGCN;
adequao da poltica;
recomendaes de melhoria;
As sadas da anlise crtica pela Direo devem incluir decises relacionadas a oportunidades de
melhoria contnua e a possvel necessidade de mudanas do SGCN, e incluem os seguintes:
d) modificao de procedimento e controles para responder eventos externos ou internos que possam
impactar no SGCN, inclusive mudanas em
5) obrigaes contratuais;
7) necessidades de recurso;
A organizao deve manter informaes documentadas como evidncia dos resultados das anlises
crticas pela Direo.
A organizao deve
10 Melhoria
10.1 No conformidade e aes corretivas
a) identificar a no conformidade,
Aes corretivas devem ser apropriadas aos efeitos das no conformidades encontradas.
NOTA A organizao pode utilizar dos processos do SGCN, tais como liderana, planejamento e avaliao de
desempenho, para alcanar o aprimoramento.
Bibliografia
[2] ABNT NBR ISO 14001, Sistema de gesto ambiental Requisitos com guia para uso
[3] ABNT NBR ISO 19011, Diretrizes para auditoria de sistema de gesto
[6] ISO/PAS 22399, Societal security - Guideline for incident preparedness and operational continuity
management
[7] ISO/IEC 24762, Tecnologia da informao Tcnicas de segurana Diretrizes para os servios
de recuperao aps um desastre na tecnologia da informao e comunicao
[8] ABNT NBR ISO/IEC 27001, Tecnologia da informao - Tcnicas de segurana - Sistemas de
gesto de segurana da informao Requisitos
[9] ISO/IEC 27031, Information technology Security techniques Guidelines for information and
communication technology readiness for business continuity
[11] ABNT NBR ISO/IEC 31010, Gesto de riscos Tcnicas para o processo de avaliao de riscos
[13] BS 25999-1, Business continuity management Code of practice, British Standards Institution
(BSI)
[14] BS 25999-2, Business continuity management Specification, British Standards Institution (BSI)
[15] SI 24001, Security and continuity management systems Requirements and guidance for use,
Standards Institution of Israel
[16] NFPA 1600, Standard on disaster/emergency management and business continuity programs,
National Fire Protection Association (USA)
[17] Business Continuity Plan Drafting Guideline, Ministry of Economy, Trade and Industry (Japan), 2005
[18] Business Continuity Guideline, Central Disaster Management Council, Cabinet Office, Government
of Japan, 2005
[19] ANSI/ASIS SPC.1, Organizational Resilience: Security, Preparedness, and Continuity Management
Systems Requirements with Guidance for Use
[21] ANSI/ASIS/BSI BCM.01, Business Continuity Management Systems: Requirements with Guidance
for Use