Вы находитесь на странице: 1из 62

SlideShare Explorar Pesquisar Voc

Carregar
Logon
Cadastro

Pgina Inicial
Tecnologia
Educao
Mais tpicos

Para Carregadores
Coletar Indicaes

Comear

Dicas e truques

Ferramentas

Para Negcios
Prximos SlideShare
Carregando em...5

39 of 40

ABNT NBR ISO 22301:2013 - Segurana da


sociedade - Sistema de gesto de continuidade de
negcios Requisitos
14,270
-1

QSP - Centro da Qualidade, Segurana e Produtividade


Follow

Published on 02 de junho de 2013

A ABNT publicou a verso oficial da NBR ISO 22301 em 06 de junho de 2013. Saiba mais no nosso blog:

Published in: Negcios

0 Comentrios
21 pessoas curtiram isso
Estatsticas
Notas
Full Name
Comment goes here.
12 horas atrs Delete Reply Spam Block
Tem certeza que quer? Sim No
Sua mensagem vai aqui

Seja o primeiro a comentar

Eduardo de Jesus at Promotional


4 months ago

Emilio Filho , Analista de Sistemas e Administrador de Redes at Fundao Vanzolini


5 months ago

Rainon Jos de , ADM REDE DE COMPUTADORES at S.G. Krauss Co. at Unio Energia
comercializao de Energia Eltrica S/A
5 months ago

Roberto Araujo at Ministrio do Planejamento, Oramento e Gesto


6 months ago

Guilherme Augusto Mello Zanin , Inteligncia de Mercado na JValrio at JValrio


6 months ago

Show More
Sem downloads
Visualizaes
Visualizaes totais
14,270
No Slideshare
0
A partir de incorporaes
0
Nmero de incorporaes
9
Aes
Compartilhamentos
15
Downloads
0
Comentrios
0
Curtidas
21
Incorporar 0
No embeds

No notes for slide

ABNT NBR ISO 22301:2013 - Segurana da sociedade - Sistema de gesto de


continuidade de negcios Requisitos

1. 1. ABNT/CEE-68 PROJETO 63:000.02-001 ISO 22301 MARO 2013 NO TEM VALOR


NORMATIVO Segurana da sociedade Sistema de gesto de continuidade de negcios
Requisitos APRESENTAO 1) Este Projeto de Norma da Comisso de Estudo Especial de Gesto
de Riscos (ABNT/CEE-63), na reunio de: 14.03.2013 2) Este Projeto de Norma previsto para
cancelar e substituir a ABNT NBR 15999-2:2010, quando aprovado, sendo que nesse nterim a
referida norma continua em vigor 3) Previsto para ser equivalente ISO 22301:2013; 4) No tem
valor normativo; 5) Aqueles que tiverem conhecimento de qualquer direito de patente devem
apresentar esta informao em seus comentrios, com documentao comprobatria; 6) Este Projeto
de Norma ser diagramado conforme as regras de editorao da ABNT quando de sua publicao
como Norma Brasileira.
2. 2. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 1/35 Segurana da sociedade Sistema de gesto de continuidade de negcios
Requisitos Societal security Business continuity management systems - Requirements Prefcio A
Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas
Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos
Organismos de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais
(ABNT/CEE), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos
setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades,
laboratrios e outros). Os documentos Tcnicos ABNT so elaborados conforme as regras das
Diretivas ABNT, Parte 2. O Escopo desta Norma Brasileira em ingls o seguinte: Scope This
Standard for business continuity management specifies requirements to plan, establish, implement,
operate, monitor, review, maintain and continually improve a documented management system to
protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from
disruptive incidents when they arise. The requirements specified in this Standard are generic and
intended to be applicable to all organizations, or parts thereof, regardless of type, size and nature of
the organization. The extent of application of these requirements depends on the organizations
operating environment and complexity. It is not the intent of this Standard to imply uniformity in the
structure of a Business Continuity Management System (BCMS), but for an organization to design a
BCMS that is appropriate to its needs and that meets its interested parties requirements. These
needs are shaped by legal, regulatory, organizational and industry requirements, the products and
services, the processes employed, the size and structure of the organization, and the requirements of
its interested parties. This Standard is applicable to all types and sizes of organizations that wish to
a) establish, implement, maintain and improve a BCMS, b) ensure conformity with stated business
continuity policy, c) demonstrate conformity to others, d) seek certification/registration of its BCMS
by an accredited third party certification body, or e) make a self-determination and self-declaration
of conformity with this Standard. This Standard can be used to assess an organizations ability to
meet its own continuity needs and obligations
3. 3. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 2/35 0 Introduo 0.1 Geral Esta Norma especifica requisitos para estabelecer e
gerenciar um eficaz Sistema de Gesto de Continuidade de Negcios (SGCN). Um SGCN refora a
importncia de: entender as necessidades da organizao e a imprescindibilidade de
estabelecimento de poltica e objetivos para a gesto de continuidade de negcios; implementar e
operar controles e medidas para a gesto da capacidade geral da organizao para gerenciar
incidentes de interrupo; monitorar e analisar criticamente o desempenho e a eficcia do SGCN;
e melhorar continuamente com base na medio objetiva. O SGCN, assim como outros sistemas
de gesto, possui os seguintes componentes chave: a) uma poltica; b) pessoas com
responsabilidades definidas; c) processos de gesto relativos a: 1) poltica, 2) planejamento, 3)
implementao e operao, 4) avaliao de desempenho; 5) anlise crtica pela Direo e 6)
melhorias; d) documentao fornecendo evidncias auditveis; e e) quaisquer processos de gesto da
continuidade de negcios pertinentes organizao. A continuidade de negcios contribui para uma
sociedade mais resiliente. possvel que seja necessrio envolver no processo de recuperao a
comunidade em geral, assim como outras organizaes em funo do impacto no ambiente
organizacional.
4. 4. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 3/35 0.2 O modelo Plan-Do-Check-Act (PDCA) Esta Norma adota o modelo
Plan-Do-Check-Act para planejar, estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar continuamente a eficcia do SGCN de uma organizao. Isto
garante um grau de consistncia com outras normas de sistemas de gesto, tais como ABNT NBR
ISO 9001:2000 (Sistemas de gesto da qualidade) e ABNT NBR ISO 14001:2004 (Sistemas de
gesto ambiental), ABNT NBR ISO/IEC 27001:2005 (Sistemas de gesto de segurana da
informao), ABNT NBR ISO/IEC 20000-2 (Gesto de Servios de TI), e ABNT NBR ISO 28000,
(Especificao para sistemas de gesto de segurana para a cadeia logstica), suportando assim, a
implementao consistente e integrada e a operao com sistemas de gesto relacionados. A Figura
1 ilustra como um SGCN considera como entradas as partes interessadas e os requisitos de
continuidade de negcios e, por meio de aes necessrias e processos, produz resultados de
continuidade (por exemplo, continuidade de negcios gerenciada) que atendem aqueles requisitos.
Figura 1 Modelo PDCA aplicado aos processos do SGCN
5. 5. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 4/35 Tabela 1 Explicao do modelo PDCA Plan (Estabelecer) Estabelecer uma
poltica de continuidade de negcios, objetivos, metas, controles, processos e procedimentos
pertinentes para a melhoria da continuidade de negcios de forma a ter resultados alinhados com os
objetivos e polticas gerais d a organizao. Do (Implementar e operar) Implementar e operar a
poltica de continuidade de negcios, controles, processos e procedimentos. Check (Monitorar e
analisar criticamente) Monitorar e analisar criticamente o desempenho em relao aos objetivos e
poltica de continuidade de negcios, reportar os resultados para a direo para anlise crtica, e
definir e autorizar aes de melhorias e correes. Act (Manter e melhorar) Manter e melhorar o
SGCN tomando aes corretivas e preventivas, baseadas nos resultados da anlise crtica pela
Direo e reavaliando o escopo do SGCN e as polticas e objetivos de continuidade de negcios. 0.3
Componentes do PDCA nesta Norma 0.3 Components of PDCA in this International Standard No
modelo Plan (Planejar)-Do (Fazer) Check (Checar)-Act (Agir) exibido na Tabela 1, as Sees de
4 a 10 desta Norma envolvem os seguintes componentes: A Seo 4 um componente do
Planejar. Introduz os requisitos necessrios para estabelecer o contexto do SGCN, como se aplica
na organizao, bem como suas necessidades, requisitos e escopo. A Seo 5 um componente do
Planejar. Resume os requisitos especficos para o papel da Alta Direo no SGCN, e como a
liderana deve articular suas expectativas para a organizao por meio de uma declarao de
poltica. A Seo 6 um componente do Planejar. Descreve os requisitos para a aplicao de
objetivos estratgicos e princpios direcionadores para o SGCN como um todo. O contedo desta
Seo 6 difere do estabelecimento de oportunidades para o tratamento de riscos decorrentes do
processo de avaliao de risco, bem como os objetivos de recuperao derivados da anlise de
impacto nos negcios (BIA). NOTA Os requisitos dos processos de anlise de impacto nos negcios
e de avaliao de riscos esto detalhados na Seo 8. A Seo 7 um componente do Planejar.
Suporta a operao do SGCN, atribuindo competncias e comunicao de forma
recorrente/conforme necessria com as partes interessadas, bem como documentando, controlando,
mantendo e retendo as documentaes necessrias. A Seo 8 um componente do Fazer.
Define requisitos para a continuidade de negcios, determinando como abord-los e como
desenvolver procedimentos para gerenciar um incidente de interrupo.
6. 6. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 5/35 A Seo 9 um componente do Checar. Esta resume os requisitos
necessrios para medir o desempenho da gesto de continuidade de negcios, a conformidade do
SCGN com esta Norma e com as expectativas da Direo e busca o feedback dos gestores, com
relao s expectativas. A Seo 10 um componente do Agir. Este identifica e atua em
aspectos do SGCN que no esto em conformidade, atravs de aes corretivas. 1 Escopo Esta
Norma de gesto da continuidade de negcios especifica os requisitos para planejar, estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente um sistema
de gesto documentado para proteger-se, reduzir a possibilidade de ocorrncia, preparar-se,
responder a e recuperar-se de incidentes de interrupo quando estes ocorrerem. Os requisitos
especificados nesta Norma so genricos e planejados para serem aplicados em todas as
organizaes ou parte delas, independentemente do tipo, tamanho e natureza do negcio. A
abrangncia da aplicao desses requisitos depende do ambiente operacional e complexidade da
organizao. Esta Norma no tem a inteno de impor uniformidade da estrutura de um Sistema de
Gesto de Continuidade de Negcios (SGCN), mas para que uma organizao projete um SGCN
adequado s suas necessidades e que satisfaa os requisitos das partes interessadas. Estas
necessidades so moldadas por requisitos legais, regulatrios, de negcios e dos clientes, pelos
produtos e servios, os processos utilizados, o tamanho e a estrutura da organizao e pelos
requisitos das partes interessadas. Esta Norma aplicvel a todos os tipos e tamanhos de
organizao que desejam: a) estabelecer, implementar, manter e melhorar um SGCN, b) assegurar
conformidade com a poltica de continuidade de negcios estabelecida, c) demonstrar conformidade
para outros, d) buscar certificao/registro de seu SGCN por meio de um organismo de certificao
de terceira parte acreditado, ou , e) fazer uma auto-determinao e uma auto-declarao de
conformidade com esta Norma. Esta Norma pode ser usada para avaliar a capacidade de uma
organizao em atender suas prprias necessidades e obrigaes de continuidade. 2 Referncias
normativas Os documentos relacionados a seguir so indispensveis aplicao deste documento.
Para referncias datadas, aplicam-se somente as edies citadas. Para referncias no datadas,
aplicam-se as edies mais recentes do referido documento (incluindo emendas). No existem
referncias normativas.
7. 7. ISO 31000, ISO Guia 73 e ISO/IEC 31010 As novas referncias mundiais para a Gesto de Riscos
Conhea as atividades pioneiras do QSP relacionadas s novas normas
___________________________________________________________________
___________________________________________________________________ QSP Centro
da Qualidade, Segurana e Produtividade Curso Pioneiro e Exclusivo do QSP Capacitao em
Gesto de Riscos e Auditoria Baseada em Riscos Para mais informaes, clique na figura ou acesse:
http://www.qsp.org.br/capacitacao_gr.shtml
___________________________________________________________________ Curso Pioneiro
e Exclusivo do QSP Seleo de Ferramentas e Tcnicas de Risk Assessment Para mais informaes,
clique na figura ou acesse: http://www.qsp.org.br/curso_risk.shtml
___________________________________________________________________
8. 8. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 6/35 3 Termos e definies Para os efeitos deste documento, aplicam-se os seguintes
termos e definies. 3.1 atividade processo ou conjunto de processos executados por uma
organizao (ou em seu nome) que produzam ou suportem um ou mais produtos ou servios
EXEMPLO Tais processos incluem contas, call center, TI, manufatura, distribuio. 3.2 auditoria
processo sistemtico, documentado e independente para obter evidncias de auditoria e avali-las
objetivamente para determinar a extenso na qual os critrios de auditoria so atendidos NOTA 1
Uma auditoria pode ser interna (primeira parte) ou externa (segunda parte ou terceira parte), e pode
ser uma auditoria combinada (combinao de duas ou mais disciplinas). NOTA 2 "A evidncia de
auditoria" e "critrios de auditoria" so definidos na ABNT NBR ISO 19011. 3.3 continuidade de
negcios capacidade da organizao em continuar a entrega de produtos ou servios em um nvel
aceitvel previamente definido aps incidentes de interrupo [FONTE: ISO 22300] 3.4 gesto de
continuidade de negcios processo abrangente de gesto que identifica ameaas potenciais para uma
organizao e os possveis impactos nas operaes de negcio caso estas ameaas se concretizem.
Este processo fornece uma estrutura para que se desenvolva uma resilincia organizacional que seja
capaz de responder eficazmente e salvaguardar os interesses das partes interessadas, a reputao e a
marca da organizao e suas atividades de valor agregado 3.5 sistema de gesto de continuidade de
negcios SGCN parte do sistema global de gesto que estabelece, implementa, opera, monitora,
analisa criticamente, mantm e melhora a continuidade de negcios NOTA O sistema de gesto
inclui estruturas organizacionais, polticas, atividades de planejamento, responsabilidades,
procedimentos, processos e recursos. 3.6 plano de continuidade de negcios procedimentos
documentados que orientam as organizaes a responder, recuperar, retomar e restaurar a um nvel
pr-definido de operao aps a interrupo NOTA Normalmente isto abrange recursos, servios e
atividades necessrias para assegurar a continuidade de funes crticas de negcios.
9. 9. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 7/35 3.7 programa de continuidade de negcios processo contnuo de gesto e
governana suportado pela Alta Direo que recebe apropriadamente os recursos para implementar e
manter a gesto de continuidade de negcios 3.8 anlise de impacto nos negcios (BIA Business
Impact Analysis) processo de analisar as atividades e os efeitos que uma interrupo de negcio
pode ter sobre elas [FONTE: ISO 22300] 3.9 competncia habilidade de aplicar conhecimentos e
tcnicas para atingir os resultados esperados 3.10 conformidade cumprimento de um requisito
[FONTE: ISO 22300] 3.11 melhoria contnua atividade recorrente para melhorar o desempenho
[FONTE: ISO 22300] 3.12 correo ao para eliminar uma no conformidade detectada [FONTE:
ISO 22300] 3.13 ao corretiva ao para eliminar a causa de uma no conformidade e para prevenir
a recorrncia NOTA No caso de outros resultados indesejveis, necessrio agir para minimizar ou
eliminar as causas e para reduzir o impacto ou prevenir a reincidncia. Tais aes esto fora do
conceito de "ao corretiva", no sentido desta definio. [FONTE: ISO 22300] 3.14 documento
informao e seu meio de suporte NOTA 1 Os meios podem ser papel, disco magntico, eletrnico
ou ptico de computador, fotografia ou amostra mestre, ou uma combinao destes. NOTA 2 Um
conjunto de documentos, por exemplo especificaes e registros, frequentemente chamado de
"documentao".
10. 10. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 8/35 3.15 informao documentada informao que deve ser controlada e mantida
por uma organizao e o meio em que est contida NOTA 1 Informao documentada pode estar em
qualquer formato e em qualquer mdia de qualquer tipo. NOTA 2 Informao documentada pode se
referir a o sistema de gesto, incluindo processos relacionados; informao criada para que a
organizao funcione (documentao); evidncia de resultados atingidos (registros). 3.16 eficcia
extenso para quais atividades planejadas so realizadas e resultados planejados atingidos [FONTE:
ISO 22300] 3.17 evento ocorrncia ou mudana em um conjunto especfico de circunstncias NOTA
1 Um evento pode consistir em uma ou mais ocorrncias e pode ter vrias causas. NOTA 2 Um
evento pode consistir em alguma coisa no acontecer. NOTA 3 Um evento pode algumas vezes ser
referido como um incidente ou um acidente. NOTA 4 Um evento sem consequncias pode
tambm se referir a quase acidente, incidente, quase coliso ou por um triz. [FONTE: ABNT
ISO/IEC Guia 73] 3.18 exercicio processo de treino para avaliar, praticar e melhorar o desempenho
em uma organizao NOTA 1 Os exerccios podem ser usados para: validar polticas, planos,
procedimentos, treinamento, equipamentos e acordos entre organizaes; esclarecimento e
treinamento de pessoal em funes e responsabilidades, melhoria da coordenao e comunicao
entre organizaes, identificao de lacunas de recursos, melhoria do desempenho individual e;
identificao de oportunidades de melhoria e o controle de oportunidades para a prtica de
improvisao. NOTA 2 Um teste um tipo nico e particular de exerccio, que incorpora uma
expectativa de aprovao ou reprovao em relao aos objetivos planejados do exerccio. [FONTE:
ISO 22300] 3.19 incidente situao que pode representar ou levar interrupo de negcios, perdas,
emergncias ou crises
11. 11. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 9/35 [FONTE: ISO 22300] 3.20 infraestrutura sistema de instalaes, equipamentos
e servios necessrios para a operao de uma organizao 3.21 partes interessadas stakeholder
pessoa ou organizao que pode afetar, ser afetado ou que entendem ser afetados por uma deciso ou
atividade NOTA O termo refere-se a um indivduo ou grupo que possui interesse em qualquer
deciso ou atividade de uma organizao. 3.22 auditoria interna auditoria realizada por, ou em nome,
da prpria organizao para anlise crtica pela Direo e outros fins internos, e que pode formar a
base para autodeclararo de conformidade de uma organizao NOTA Em muitos casos,
particularmente em pequenas organizaes, a independncia pode ser demonstrada pela no
responsabilidade pela atividade a ser auditada. 3.23 invocao ato de declarar que os arranjos para
continuidade de negcios de uma organizao precisam ser colocados em prtica, a fim de continuar
a entrega de produtos ou servios essenciais. 3.24 sistema de gesto conjunto de elementos inter-
relacionados ou interativos de uma organizao para estabelecer polticas e objetivos, bem como
processos para atingir esses objetivos NOTA 1 Um sistema de gesto pode abordar uma nica
disciplina ou vrias disciplinas. NOTA 2 Os elementos do sistema incluem a estrutura da
organizao, papis e responsabilidades, planejamento, operao, etc. NOTA 3 O escopo de um
sistema de gesto pode incluir a totalidade da organizao, funes especficas e identificadas da
organizao, sees especficas e identificadas da organizao, ou uma ou mais funes atravs de
um grupo de organizaes. 3.25 interrupo mxima aceitvel MAO - Maximum Acceptable Outage
tempo para que os impactos adversos que possam surgir como resultado de no fornecer um produto
/ servio, ou realizar uma atividade, tornem-se inaceitveis 3.26 perodo mximo de interrupo
tolervel MTPD - Maximum Tolerable Period of Disruption tempo necessrio para que os impactos
adversos tornem-se inaceitveis, que pode surgir como resultado de no fornecer um produto/servio
ou realizar uma atividade.
12. 12. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 10/35 NOTA Ver tambm interrupo mxima aceitvel. 3.27 medio processo para
determinar um valor 3.28 objetivo mnimo de continuidade de negcios OMCN nveis mnimos
aceitveis de servios e/ou produtos para a organizao alcanar seus objetivos de negcios durante
uma interrupo 3.29 monitoramento determinao do status de um sistema, de um processo ou de
uma atividade NOTA Para determinar o status pode haver a necessidade de checar, supervisionar ou
observar criticamente. 3.30 acordo de ajuda mtua pr-disposio de entendimento entre duas ou
mais entidades para prestao de assistncia mtua [FONTE: ISO 22300] 3.31 no conformidade
no cumprimento de um requisito [FONTE: ISO 22300] 3.32 objetivo resultado a ser atingido
NOTA 1 Um objetivo pode ser estratgico, ttico ou operacional. NOTA 2 Os objetivos podem ser
relacionados a diferentes disciplinas (tais como financeiro, sade e segurana, e as metas
ambientais) e podem ser aplicados em diferentes nveis (como estratgico, a organizao como um
todo, projeto, produto e processo). NOTA 3 Um objetivo pode ser expresso por outros meios, por
exemplo, como um resultado esperado, um propsito, um critrio operacional, como um objetivo de
segurana social ou pelo uso de outras palavras com significado similar (por exemplo, objetivo,
meta, ou alvo). NOTA 4 No contexto de sistema de gesto de padres de segurana da sociedade, os
objetivos de segurana da sociedade so definidos pela organizao, de acordo com a poltica de
segurana social, para alcanar resultados especficos.
13. 13. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 11/35 3.33 organizao pessoas ou grupo de pessoas que tm suas funes com
responsabilidades, autoridades e relacionamentos para alcanar os objetivos. NOTA 1 O conceito de
organizao inclui, mas no se limita a, empresrio individual, companhia, corporao, firma,
empresa, autoridade, parceria, instituio de caridade ou outra instituio, ou parte ou combinao
destas, com responsabilidade limitada ou no, pblica ou privada. NOTA 2 Para as organizaes
com mais de uma unidade operacional, uma nica unidade operacional pode ser definida como uma
organizao. 3.34 terceirizar (verbo) fazer um acordo onde uma organizao externa executa parte
da funo ou processo de uma organizao NOTA Uma organizao externa est fora do escopo do
sistema de gesto, embora a funo terceirizada ou processo esteja dentro do escopo de aplicao.
3.35 desempenho resultado mensurvel NOTA 1 O desempenho pode dizer respeito a resultados
quantitativos ou qualitativos. NOTA 2 Desempenho pode se relacionar com a gesto das atividades,
processos, produtos (incluindo servios), sistemas ou organizaes. 3.36 avaliao de desempenho
processo para determinar resultados mensurveis 3.37 pessoal pessoas trabalhando para ou sob o
controle da organizao NOTA O conceito de pessoal inclui, mas no se limita a empregados,
pessoal em tempo parcial, e pessoal temporrio. 3.38 poltica intenes e direes de uma
organizao expressadas formalmente pela sua alta gesto 3.39 procedimento maneira especfica de
conduzir uma atividade ou um processo 3.40 processo grupo de atividades relacionadas ou
interativas que transformam entradas em sadas
14. 14. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 12/35 3.41 produtos e servios resultados benficos que uma organizao fornece a
seus clientes e partes interessadas, como bens manufaturados, seguros automobilsticos,
conformidade com regulamentaes e benefcios comunitrios 3.42 atividades prioritrias atividades
que devem ser priorizadas aps um incidente para mitigar os impactos NOTA Termos de uso comum
para descrever as atividades dentro deste grupo incluem: crtico, essencial, vital, urgente e
fundamental. [FONTE: ISO 22300] 3.43 registro declarao de resultados atingidos ou evidncia de
atividades realizadas 3.44 ponto objetivado de recuperao RPO - Recovery Point Objective ponto
em que a informao usada por uma atividade deve ser restaurada para permitir a operao da
atividade na retomada NOTA Tambm pode ser referido como "perda mxima de dados". 3.45
tempo objetivado de recuperao RTO - Recovery Time Objective perodo de tempo aps um
incidente em que o produto ou servio deve ser retomado, ou a atividade deve ser retomada, ou
os recursos devem ser recuperados (NBR 2 3.45) NOTA Para os produtos, servios e atividades, o
tempo objetivado de recuperao deve ser menor do que o tempo em que os impactos negativos que
surgiro como resultado de no fornecer um produto/servio ou realizar uma atividade se torne
inaceitvel. 3.46 requisitos necessidade ou expectativa que determinada, geralmente implcita ou
obrigatria NOTA 1 "Geralmente implcita" significa que uma prtica habitual ou comum para a
organizao e as partes interessadas pela qual a necessidade ou expectativa sob considerao est
implcita. NOTA 2 Um requisito especificado aquele que determinado, por exemplo, na
informao documentada.
15. 15. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 13/35 3.47 recursos todos os ativos, pessoas, competncias, informao, tecnologia
(incluindo instalaes e equipamentos), locais, suprimentos e informao (eletrnica ou no) que
uma organizao deve ter disponveis para uso, quando necessrio, a fim de operar e atingir seus
objetivos. 3.48 risco efeito da incerteza nos objetivos NOTA 1 Um efeito um desvio do que
esperado positivo ou negativo NOTA 2 Os objetivos podem ter diferentes aspectos (como metas
financeiras, sade e segurana, e ambientais) e podem ser aplicados em diferentes nveis (tais como
estratgico, em toda a organizao, projeto, produto e processo). Um objetivo pode ser expresso por
outros meios, por exemplo, como um resultado esperado, um propsito, um critrio operacional,
como objetivo da continuidade do negcio, ou pelo uso de outras palavras com significado similar
(por exemplo, objetivo, meta, ou alvo). NOTA 3 Risco muitas vezes caracterizado pela referncia
aos eventos potenciais (ABNT ISO Guia 73, 3.5.1.3) e consequncias (ABNT ISO Guia 73, 3.6.1.3)
ou uma combinao destes. NOTA 4 Risco frequentemente expressado em termos de uma
combinao das consequncias de um evento (incluindo mudanas nas circunstncias) e a
probabilidade (Guia 73, 3.6.1.1) de ocorrncia associada. NOTA 5 Incerteza o estado, ainda que
(mesmo) parcial, da deficincia de informao relacionada ao entendimento ou conhecimento de um
evento, sua consequncia ou probabilidade. NOTA 6 No contexto de padres de gesto de
continuidade de negcios, os objetivos de continuidade de negcios so definidos pela organizao,
de acordo com a poltica de continuidade de negcios, para alcanar resultados especficos. Ao
aplicar o termo risco e componentes de gerenciamento de risco, este deve ser relacionado com os
objetivos da organizao, que incluem, mas no esto limitados aos objetivos de continuidade de
negcios, conforme especificado em 6.2. [FONTE: ABNT ISO/IEC Guia 73] 3.49 apetite a risco
quantidade e tipo de risco que a organizao est disposta a buscar ou manter 3.50 processo de
avaliao de riscos (risk assessment) processo global de identificao de riscos, anlise de riscos e
avaliao de riscos NOTA BRASILEIRA Para os efeitos deste documento o termo risk assessment
foi traduzido como processo de avaliao de riscos para evitar conflito com o termo risk
evaluation que foi traduzido na ABNT NBR ISO 31000 como avaliao de riscos. [FONTE:
ABNT ISO Guia 73] 3.51 gesto de riscos atividades coordenadas para dirigir e controlar uma
organizao no que se refere a riscos [FONTE: ABNT ISO Guia 73]
16. 16. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 14/35 3.52 teste procedimento para avaliao; maneira de determinar a presena,
qualidade, ou veracidade de algo NOTA 1 Teste pode se referir a um experimento. NOTA 2 Teste
frequentemente aplicado para suportar planos. [FONTE: ISO 22300] 3.53 Alta Direo pessoa ou
grupo de pessoas que dirige e controla uma organizao em seu nvel mais alto NOTA 1 A Alta
Direo tem o poder de delegar autoridade e fornecer recursos dentro da organizao. NOTA 2 Se o
escopo do sistema de gesto abrange apenas parte de uma organizao, ento Alta Direo se refere
queles que dirigem e controlam parte da organizao. 3.54 verificao confirmao, atravs de
evidncia, que os requisitos especificados foram cumpridos 3.55 ambiente de trabalho conjunto de
condies sob as quais o trabalho realizado NOTA Condies incluem fatores fsicos, sociais,
psicolgicos e ambientais (tais como temperatura, sistemas de reconhecimento, ergonomia e
composio atmosfrica). [FONTE: ISO 22300] 4 Contexto da organizao 4.1 Entendendo a
organizao e seu contexto A organizao deve determinar as questes internas e externas que so
relevantes para seus propsitos de atuao e que afetem sua capacidade em alcanar os resultados
determinados em seu SGCN. Estas questes devem ser levadas em considerao quando do
estabelecimento, implementao e manuteno do SGCN da organizao. A organizao deve
identificar e documentar o seguinte: a) as atividades, funes, servios, produtos e parcerias da
organizao, bem como cadeias de suprimentos, relacionamento com partes interessadas e o impacto
potencial relacionado a um incidente de interrupo; b) relacionamento entre a poltica de
continuidade de negcios e outras polticas e objetivos da organizao, incluindo a sua estratgia
geral de gesto de riscos; c) o apetite a riscos da organizao.
17. 17. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 15/35 No estabelecimento do contexto, a organizao deve: 1) determinar seus
objetivos, incluindo aqueles relacionados com a continuidade dos negcios, 2) definir os fatores
externos e internos que criam as incertezas que do origem ao risco, 3) estabelecer os critrios de
risco, levando em conta o apetite a riscos, e 4) definir o propsito do SGCN. 4.2 Entendendo as
necessidades e expectativas das partes interessadas 4.2.1 Geral No momento de estabelecer o SGCN,
a organizao deve determinar: a) as partes interessadas que so relevantes para o SGCN, e b) os
requisitos das partes interessadas (por exemplo, as suas necessidades e expectativas definidas,
geralmente implcitas ou obrigatrias). 4.2.2 Requisitos legais e regulatrios A organizao deve
estabelecer, implementar e manter procedimentos para identificar, ter acesso e avaliar os requisitos
legais e regulatrios aplicveis ao seu mercado de atuao, alinhados com a continuidade de suas
operaes, produtos e servios, bem como os interesses das partes interessadas relevantes. A
organizao deve assegurar que estes requisitos legais, regulatrios e outros requisitos que a
organizao esteja sujeita so levados em considerao no estabelecimento, implementao e
manuteno de seu SGCN. A organizao deve documentar estas informaes e mant-las
atualizadas. Novidades ou variaes nos requisitos legais, regulatrios e outros requisitos devem ser
comunicadas aos empregados envolvidos e s outras partes interessadas 4.3 Determinando o escopo
do sistema de gesto de continuidade de negcios 4.3.1 Geral A organizao deve determinar os
limites e aplicabilidade do SGCN para estabelecer seu escopo. Ao definir o escopo, a organizao
deve considerar: as questes internas e externas citadas em 4.1, e os requisitos citados em 4.2. O
escopo deve estar disponvel como informao documentada.
18. 18. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 16/35 4.3.2 Escopo do SGCN A organizao deve: a) estabelecer as partes da
organizao a serem includas no SGCN, b) estabelecer requisitos do SGCN, considerando a misso
da organizao, objetivos, obrigaes internas e externas (incluindo aquelas com as partes
interessadas), bem como responsabilidades legais e regulatrias, c) identificar produtos, servios e
todas as atividades relacionadas com o escopo do SGCN, d) levar em considerao as necessidades e
interesses das partes interessadas, tais como clientes, investidores, acionistas, cadeia de suprimentos,
expectativas e interesses pblicos e/ou da comunidade (quando apropriados), e e) definir o escopo
do SGCN apropriados ao tamanho, natureza e complexidade da organizao. Ao definir o escopo, a
organizao deve documentar e justificar excees; qualquer exceo no pode afetar a capacidade e
responsabilidade da organizao em prover a continuidade de negcios e operaes contempladas
nos requisitos do SGCN, como determinadas pela anlise de impacto nos negcios ou no processo
de avaliao de riscos e nos requisitos legais e regulatrios aplicveis. 4.4 Sistema de gerenciamento
de continuidade dos negcios A organizao deve determinar, implementar, manter e atualizar
continuamente o SGCN, incluindo os processos necessrios e suas interaes de acordo com os
requisitos desta Norma. 5 Liderana 5.1 Liderana e comprometimento Os membros da Alta Direo
e demais gestores com papis relevantes dentro da organizao devem demonstrar liderana em
relao ao SGCN. EXEMPLO Esta liderana e comprometimento podem ser demonstrados pela
motivao e capacitao de pessoas em contribuir com a eficcia do SGCN. 5.2 Comprometimento
da Direo A Alta Direo deve demonstrar liderana e comprometimento referente ao SGCN por
garantir que polticas e objetivos so estabelecidos para o sistema de gesto de continuidade de
negcios e que so compatveis com as diretrizes estratgicas da organizao, garantir a
integrao entre os requisitos do sistema de gesto de continuidade de negcios e os processos de
negcio da organizao, garantir que os recursos necessrios para o SGCN esto disponveis,
19. 19. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 17/35 comunicar a importncia de uma gesto de continuidade de negcios eficaz
e alinhada com os requisitos do SGCN, garantia que o SGCN atinja os resultados esperados,
direcionamento e suporte colaboradores que contribuem para a eficcia do SGCN, promoo
para a melhoria contnua, e apoio a demais gestores com papel relevante para demonstrar sua
liderana e comprometimento aplicados s suas reas de responsabilidades NOTA 1 A referncia a
negcio nesta Norma pretende que seja interpretada de forma ampla, significando aquelas
atividades que so essenciais para a existncia da organizao. A Alta Direo deve prover
evidncias de seu comprometimento para o estabelecimento, implementao, operao,
monitoramento, anlise crtica, manuteno e melhoria do SGCN da organizao, por meio da
definio de uma poltica de continuidade de negcios, garantia que os objetivos e planos do
SGCN estejam estabelecidos, implantao de papis, responsabilidades e competncias para o
gerenciamento da continuidade de negcios, e nomeao de um ou mais colaboradores aptos a
serem responsveis pelo SGCN, com autoridades e competncias apropriadas para a implantao e
manuteno do ciclo. NOTA 2 Estas pessoas podem realizar outras atividades dentro da
organizao. A Alta Direo deve assegurar que as responsabilidades e papis relevantes sejam
atribudos e comunicados dentro da organizao por definio de critrios e nveis de aceitao de
riscos, envolvimento ativo em exerccios e testes, garantia que auditorias internas para o SGCN
sejam realizadas, realizao de anlises crticas da gesto do SGCN, e demonstrao do
comprometimento com a melhoria contnua. 5.3 Poltica A Alta Direo deve definir uma poltica de
continuidade de negcios que a) esteja alinhada com o proposito da organizao, b) fornece uma
estrutura para estabelecer os objetivos de continuidade de negcios,
20. 20. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 18/35 c) inclua o compromisso de atender aos requisitos aplicveis, d) inclua o
compromisso da melhoria contnua do SGCN. A poltica do SGCN deve estar disponvel como
informao documentada, ser comunicada a toda organizao, estar disponvel para as partes
interessadas, se apropriado, ser analisada criticamente em perodos definidos ou sempre que
mudanas significativas ocorrerem, para garantir sua adequao organizao A organizao deve
manter informaes documentadas sobre a poltica de continuidade de negcios. 5.4 Papis,
responsabilidades e autoridades organizacionais A Alta Direo deve garantir que papis,
responsabilidades e autoridades relevantes sejam atribudos e comunicados dentro da organizao.
Os gestores devem assegurar a responsabilidade e autoridade atravs da a) garantia que o sistema de
gesto est em conformidade com os requisitos desta Norma, e b) garantia de relatrios de
desempenho do SGCN Alta Direo. 6 Planejamento 6.1 Aes para direcionar riscos e
oportunidades Ao planejar o SGCN, a organizao deve considerar as questes citadas em 4.1 e os
requisitos mencionados em 4.2, alm de determinar os riscos e oportunidades que devem ser
avaliados para: Garantir que o sistema de gerenciamento consiga atingir os resultados esperados,
prevenir, ou reduzir, consequncias indesejadas, alcanar a melhoria continua, A organizao
deve planejar: a) aes para enderear riscos e oportunidades, b) como 1) implantar aes e
integr-las nos processos de SGCN (ver 8.1), 2) avaliar a eficcia destas aes (ver 9.1).
21. 21. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 19/35 6.2 Objetivos de continuidade de negcios e planos para alcan-los A Alta
Direo deve assegurar que os objetivos de continuidade de negcios sejam estabelecidos e
comunicados para funes e nveis relevantes dentro da organizao. Os objetivos de continuidade
de negcios devem a) estar alinhados com a poltica de continuidade de negcios, b) considerar o
nvel mnimo de produtos e servios que aceitvel para a organizao alcanar seus objetivos, c)
ser mensurveis, d) considerar requisitos aplicveis, e e) ser monitorados e atualizados sempre que
necessrio. A organizao deve manter documentadas as informaes sobre os objetivos de
continuidade de negcios. Para alcanar seus objetivos de continuidade de negcios, a organizao
deve determinar quem sero os responsveis, o que dever ser executado, quais sero os
recursos necessrios, quando a execuo ser concluda, e como os resultados sero avaliados. 7
Suporte 7.1 Recursos A organizao deve determinar e prover os recursos necessrios para o
estabelecimento, implementao, manuteno e melhoria contnua do SGCN. 7.2 Competncia A
organizao deve a) determinar as competncias necessrias das pessoas trabalhando sob seu
controle que afete seu desempenho; b) garantir que essas pessoas sejam competentes com relao a
educao apropriada, treinamento e experincia; c) quando necessrio, agir para adquirir a
competncia necessria, e avaliar a eficcia das aes; e
22. 22. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 20/35 d) reter informaes documentadas de forma apropriada como evidncia da
competncia. NOTA Aes aplicveis podem incluir, por exemplo: a proviso do treinamento,
mentores, ou a mudana dos atuais empregados; ou a contratao de pessoal competente 7.3
Conscientizao Pessoas que realizam trabalho sob o controle da organizao devem estar
conscientizadas a) da poltica de continuidade de negcios; b) da sua contribuio para a eficcia do
SGCN, incluindo os benefcios do melhor desempenho da gesto de continuidade de negcios; c)
das implicaes da no conformidade com os requisitos do SGCN; e d) do seu prprio papel durante
incidentes que causem interrupo. 7.4 Comunicao A organizao deve determinar as
necessidades de comunicaes internas e externas relevantes para o SGCN inclusive a) o que ser
comunicado; b) quando comunicar; c) para quem comunicar; A organizao deve estabelecer,
implementar, e manter procedimento(s) para comunicao interna entre os grupos interessados e
empregados da organizao; comunicao externa com clientes, entidades parceiras, comunidade
local, e outros grupos interessados, inclusive a mdia; recebimento, documentao, e resposta
comunicao dos grupos interessados; adaptao e integrao um sistema de assessoria ameaas
nacionais ou regionais, ou equivalente, no planejamento ou operao, se apropriado; garantia de
disponibilidade dos meios de comunicao durante o incidente gerador de interrupo; facilitao
da estrutura de comunicao com as autoridades apropriadas para garantir interoperabilidade de
mltiplas organizaes e pessoal, quando apropriado; e operao e teste das capacidades de
comunicao destinados a serem utilizados durante a interrupo dos meios normais de
comunicao. NOTA Outros requisitos para comunicao em resposta a um incidente esto
especificados em 8.4.3.
23. 23. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 21/35 7.5 Informao documentada 7.5.1 Geral O SGCN da organizao deve incluir
informaes documentadas requirida por esta norma; e informaes documentadas
determinadas pela organizao que sejam necessrias para a eficcia do SGCN NOTA A extenso de
informaes documentadas para um SGCN pode ser diferente de uma organizao para outra
devido: ao tamanho da organizao e seus tipos de atividade, processos, produtos e servios; a
complexidade dos processos e suas interaes; e a competncia de pessoal. 7.5.2 Criando e
atualizando Quando criar ou atualizar informaes documentadas, a organizao deve garantir
apropriados(as) a) identificao e descrio (por exemplo: um ttulo, data, autor e nmero de
referncia); b) formato (por exemplo: linguagem, verso de software, grficos) e mdia (por
exemplo: papel, eletrnico), e anlise crtica e aprovao para adequao. 7.5.3 Controle de
informaes documentadas Informaes documentadas requeridas pelo SGCN e por esta norma
devem ser controlados para garantir a) que esteja disponvel e utilizvel, quando e onde for
necessrio; b) que esteja protegido adequadamente (por exemplo: de perda de confidencialidade, uso
imprprio, ou perda de integridade). Para fazer o controle de informaes documentadas, a
organizao deve enderear as seguintes atividades, onde aplicvel distribuio, acesso,
recuperao e uso; armazenamento e preservao, incluindo preservao de legibilidade;
controle de mudanas (ex: controle de verso); reteno e disposio; recuperao e uso;
24. 24. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 22/35 preservao de legibilidade (por exemplo: escrita legvel); preveno de
uso no intencional de informaes obsoletas. Informaes de origem externa documentadas
determinadas necessrias pela organizao para o planejamento e operao do SGCN devem ser
identificadas, se apropriado, e controladas. Quando estabelecendo controle de informaes
documentadas, a organizao deve garantir que haja proteo adequada para informaes
documentadas (por exemplo: proteo contra comprometimento, modificao no autorizada ou
deleo). NOTA Acesso implica uma deciso sobre a permisso para visualizar informaes
documentadas, ou permisso e autoridade para visualizar informaes documentadas, etc. 8
Operao 8.1 Planejamento e controle operacional A organizao deve planejar, implementar e
controlar os processos necessrios para atender requisitos e para implementar as aes determinadas
em 6.1, por a) estabelecer critrios para os processos, b) implementar um controle para os processos
em acordo com os critrios definidos, e c) manter a documentao de informaes na extenso
necessria para ter a confiana de que os processos tem sido conduzidos de acordo com o planejado.
A organizao deve monitorar mudanas planejadas e avaliar as consequncias de mudanas
inesperadas, tomando medidas para mitigar os efeitos adversos, quando necessrio. A organizao
deve garantir que processos terceirizados so controlados. 8.2 Anlise de impacto nos negcios e
processo de avaliao de riscos 8.2.1 Geral A organizao deve definir, implementar e manter um
processo formal e documentado para a anlise de impacto nos negcios e no processo de avaliao
de riscos que a) estabelea o contexto da avaliao, definindo critrios e avaliando o impacto
potencial de uma interrupo; b) considere requisitos legais dentre outros nos quais a organizao
deva atender; c) determine uma anlise sistemtica, com priorizao de tratamento dos riscos e seus
respectivos custos; d) defina a estratgia necessria a partir da anlise de impacto nos negcios e no
processo de avaliao de riscos, e
25. 25. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 23/35 e) especifique os critrios para que estas informaes sejam confidenciais e
mantenham-se atualizadas. NOTA Existem diversas metodologias para anlise de impacto nos
negcios e para o processo de avaliao de riscos, que determinaro a ordem em que estes sero
realizados. 8.2.2 Anlise de impacto nos negcios A organizao deve estabelecer, implementar e
manter um processo de avaliao formal e documentado para determinar prioridades de
continuidade e recuperao, com objetivos e metas. Este processo deve incluir a avalio dos
impactos de interrupo que suportam os produtos e servios da organizao. A anlise de impacto
nos negcios deve incluir: a) identificar as atividades que suportam o fornecimento de produtos e
servios; b) avaliar os impactos ao longo do tempo de no realizar estas atividades; c) fixar prazos
de forma priorizada para a retomada destas atividades, em um nvel mnimo de execuo tolervel,
levando em considerao o tempo em que os impactos desta interrupo torne- se inaceitvel; e d)
identificar dependncias e recursos que suportam estas atividades, incluindo fornecedores, terceiros
e demais partes interessadas relevantes. 8.2.3 Processo de avaliao de riscos A organizao deve
estabelecer, implementar e manter um processo documentado para avaliao de riscos que
sistematicamente identifique, analise, avalie os riscos de uma interrupo organizao. NOTA Este
processo pode ser realizado em conformidade com a norma ABNT NBR ISO 31000. A organizao
deve a) identificar riscos de interrupo das atividades prioritrias da organizao, bem como os
processos, sistemas, informaes, pessoas, bens, parceiros terceiros, e outros recursos que os
suportam, b) analisar sistematicamente o risco, c) avaliar quais riscos de interrupo podem ser
tratados, e d) identificar os tratamentos alinhados com os objetivos de continuidade de negcios, e
de acordo com o apetite de risco da organizao. NOTA A organizao deve estar ciente de que
certas determinaes governamentais ou financeiras exigem a comunicao dos riscos em diferentes
nveis de detalhe. Alm disso, certas necessidades sociais podem tambm requerer estas informaes
em um nvel especfico de detalhes.
26. 26. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 24/35 8.3 Estratgia de continuidade de negcios 8.3.1 Definindo e selecionando A
definio e seleo da estratgia deve ser baseada nos resultados da anlise de impacto nos negcios
e no processo de avaliao de riscos. A organizao deve determinar uma estratgia de continuidade
adequada para a) proteger atividades prioritrias, b) estabilizar, continuar, retomar e recuperar
atividades priorizadas, bem como suas dependncias e recursos de apoio, e c) mitigar, responder e
gerenciar impactos. A definio da estratgia deve incluir a aprovao da priorizao dos tempos
para a retomada das atividades. A organizao deve realizar avaliaes da capacidade de
continuidade de negcios dos fornecedores. 8.3.2 Determinao dos recursos necessrios A
organizao deve determinar os recursos necessrios para implementar as estratgias definidas. Os
tipos de recursos considerados podem, porm no precisam estar limitados a a) pessoas, b)
informaes e dados, c) prdios, ambiente de trabalho e instalaes associadas, d) instalaes,
equipamentos e recursos consumveis, e) sistemas de informao e telecomunicaes (ICT); f)
transporte, g) finanas, e h) fornecedores e parceiros. 8.3.3 Proteo e mitigao Para riscos
identificados que necessitam de tratamento, a organizao deve considerar medidas pr-ativas que a)
reduzam a probabilidade de interrupo, b) diminuam o perodo de interrupo, e c) limitem o
impacto da interrupo sobre os principais produtos e servios da organizao.
27. 27. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 25/35 A organizao deve escolher e implementar tratamentos adequados aos riscos,
alinhados ao seu apetite de riscos. 8.4 Estabelecendo e implementando procedimentos de
continuidade de negcios 8.4.1 Geral A organizao deve estabelecer, implementar e manter
procedimentos de continuidade de negcios para gerenciar interrupes e continuar suas atividades,
com base em objetivos de recuperao identificados na analise de impacto dos negcios A
organizao deve documentar procedimentos (incluindo acordos necessrios) para assegurar a
continuidade das atividades e gerenciamento do incidente. Os procedimentos devem a) estabelecer
protocolos apropriados de comunicao interna e externa, b) ser especficos sobre as medidas
imediatas que devem ser tomadas durante uma interrupo, c) ser flexveis para responder ameaas
imprevistas e s mudanas de condies internas e externas, d) focar no impacto de eventos que
podem interromper as operaes, e) ser desenvolvidos com base em premissas declaradas e
interdependncias analisadas, e f) ser eficazes para minimizar as consequncias, atravs da
implementao de estratgias de mitigao apropriadas. 8.4.2 Estrutura de resposta a incidentes A
organizao deve estabelecer, documentar e implementar procedimentos, bem como possuir uma
estrutura de gesto para responder uma interrupo, utilizando pessoal com a autoridade,
responsabilidade e competncia necessria para gerenciar um incidente. a) identificar ponto inicial
de impacto que justifique o incio da resposta formal, b) avaliar a natureza, a extenso e o impacto
potencial de um incidente, c) acionar a resposta de continuidade de negcios adequada, d) ter
processos e procedimentos para a ativao, operao, coordenao e comunicao da resposta, e) ter
recursos disponveis para apoiar os processos e procedimentos para a gesto de um incidente, a fim
de minimizar o impacto, e f) comunicar com as partes interessadas e as autoridades, bem como os
meios de comunicao. A organizao deve decidir, considerando a segurana de vida como a
primeira prioridade e em consulta com as partes interessadas relevantes, em comunicar externamente
de acordo com seus
28. 28. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 26/35 riscos e impactos, e documentar a sua deciso. Se a deciso a de comunicar,
em seguida, a organizao deve estabelecer e implementar procedimentos para comunicao
externa, alertas e avisos, incluindo os meios de comunicao apropriados. 8.4.3 Aviso e
comunicao A organizao deve estabelecer, implementar e manter procedimentos para a) detectar
um incidente, b) monitorar regularmente a possibilidade de um incidente, c) fazer a comunicao
interna dentro da organizao, bem como receber, documentar e responder a comunicaes das
partes interessadas, d) receber, documentar e responder a qualquer sistema de aviso de riscos
regional, nacional ou equivalente, e) garantir a disponibilidade dos meios de comunicao durante
um incidente, f) facilitar a comunicao estruturada com equipes de emergncia, g) armazenar
informaes vitais sobre o incidente, aes e decises tomadas, assim como os itens a seguir devem
ser considerados e implementados quando aplicvel: alertar as partes interessadas potencialmente
impactadas por um incidente de interrupo real ou iminente, assegurar a interoperabilidade de
mltiplas organizaes e pessoal; operar uma instalao de comunicaes. Os procedimentos de
comunicao e alerta deve ser regularmente exercitados. 8.4.4 Planos de continuidade de negcios A
organizao deve estabelecer procedimentos documentados para responder incidentes de
interrupo, e como ir continuar ou recuperar suas atividades dentro de um prazo pr definido. Tais
procedimentos devem atender aos requisitos de quem ir us-lo. Os planos de continuidade de
negcios devem coletivamente conter a) papis e responsabilidades definidos para pessoas e equipes
com autoridade durante e aps um incidente, b) um processo para ativar a estrutura de resposta
incidentes, c) detalhes para gerenciar os impactos imediatos de um incidente de interrupo, dando a
devida ateno a 1) bem-estar dos colaboradores,
29. 29. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 27/35 2) alternativas estratgicas, tticas e operacionais para responder interrupo,
e 3) preveno de novas perdas ou indisponibilidade de atividades prioritrias; d) detalhes sobre
como e em que circunstncias a organizao ir se comunicar com os funcionrios e seus familiares,
os principais interessados e contatos de emergncia, e) como a organizao vai continuar ou
recuperar suas atividades prioritrias dentro de prazos pr definidos, f) detalhes de resposta aps
incidente da organizao mdia, incluindo 1) a estratgia de comunicao, 2) meio de comunicao
preferido, 3) diretriz ou modelo para a elaborao de uma declarao para a mdia, e 4) porta voz
apropriado; g) um processo para retorno normalidade quando o incidente terminar. Cada plano
deve definir propsito e escopo, objetivos, critrios e procedimentos para sua ativao,
procedimentos de implementao, papis, responsabilidades e autoridades, requisitos e
procedimentos de comunicao, interdependncias internas, externas e suas interaes, recursos
necessrios, e fluxo de informaes e processos documentados. 8.4.5 Recuperao A organizao
deve possuir procedimentos documentados para restaurar e retornar as atividades de negcios das
medidas temporrias adotadas, e atender aos requisitos de negcios normais aps um incidente. 8.5
Exercitando e testando A organizao deve possuir e testar os procedimentos de continuidade de
negcios, para garantir que estes so compatveis com os seus objetivos de continuidade.
30. 30. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 28/35 A organizao deve conduzir exerccios e testes que a) so consistentes com o
escopo e os objetivos do SGCN, b) so baseados em cenrios apropriados, so bem planejados e
possuem escopo e objetivos claramente definidos, c) avaliar em conjunto ao longo do tempo o
contedo do acordos de continuidade de negcios, envolvendo partes interessadas relevantes, d)
minimizar o risco de interrupo das operaes, e) aps o exerccio, produzir relatrios formalizados
que contemplem os resultados, recomendaes e aes para implementar melhorias, f) so
analisados criticamente com o propsito de promover a melhoria contnua, e g) so conduzidos em
intervalos planejados ou quando h mudanas significativas dentro da organizao ou para o
ambiente em que opera. 9 Avaliao de desempenho 9.1 Monitoramento, medio, anlise e
avaliao 9.1.1 Geral A organizao deve determinar a) o que precisa ser monitorado e medido; b)
os mtodos para monitoramento, medio, anlise e avaliao, conforme o caso, para assegurar
resultados vlidos; c) quando o monitoramento e a medio devem ser realizados, e d) quando os
resultados do monitoramento e da medio devem ser analisados e avaliados. A organizao deve
manter uma documentao apropriada como evidncia dos resultados. A organizao deve avaliar o
desempenho e a eficcia do SGCN. Adicionalmente a organizao deve agir quando necessrio
para enderear tendncias adversas ou resultados antes que uma no conformidade ocorra, e
manter informaes relevantes como evidncia dos resultados. Os procedimentos para monitorao
do desempenho devem prever a configurao de mtricas de desempenho apropriadas s
necessidades da organizao;
31. 31. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 29/35 monitorao da medida em que a poltica de continuidade dos negcios da
organizao, objetivos e metas sejam atingidas; desempenho dos processos, procedimentos e
funes que protegem suas atividades priorizadas, monitorao da conformidade com esta Norma
e os objetivos de continuidade dos negcios; monitorao das evidncias histricas de
desempenho deficitrio no SGCN, e armazenamento de dados e resultados da monitorao e
medio para facilitar aes corretivas subsequentes. NOTA desempenho deficitrio pode incluir
no conformidade, quase acidentes, alarmes falsos, e incidentes de fato. 9.1.2 Avaliao dos
procedimentos de continuidade dos negcios a) A organizao deve conduzir avaliaes de seus
procedimentos e capacidades de continuidade dos negcios de forma a assegurar sua contnua
aptido, adequao e eficcia; b) Essas avaliaes devem ser realizadas atravs de anlises crticas
peridicas, exerccios, testas, relatrios ps-incidente e avaliaes de desempenho. Mudanas
significativas decorrentes devem ser refletidas no(s) procedimento(s) em tempo hbil; c) A
organizao deve avaliar periodicamente a conformidade com requisitos legais e regulatrios, com
as melhores prticas de sua indstria e com seus objetivos e poltica(s) de continuidade dos
negcios; e d) A organizao deve conduzir avaliaes em intervalos planejados e quando mudanas
significantes ocorrerem. Quando um incidente que cause interrupo e resulte na ativao dos seus
procedimentos de continuidade dos negcios ocorre, a organizao deve realizar uma anlise crtica
ps-incidente e registrar os resultados. 9.2 Auditoria interna A organizao deve conduzir auditorias
internas em intervalos planejados para prover informaes sobre se o sistema de gesto de
continuidade dos negcios a) est em conformidade 1) com os requisitos prprios da organizao
para SGCN; 2) com os requisitos desta Norma, e b) est implementado e mantido eficazmente. A
organizao deve planejar, estabelecer, implementar e manter (um) programa de auditoria,
inclusive frequncia, mtodos, responsabilidades, requisitos de planejamento e relatrios. O
programa de auditoria deve
32. 32. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 30/35 levar em considerao a importncia dos processos relevantes e os resultados
das auditorias anteriores; definir o critrio de auditoria e o escopo para cada auditoria;
selecionar auditores e conduzir auditorias para assegurar objetividade e imparcialidade do processo
de auditoria; assegurar que os resultados das auditorias sejam reportados para a gerncia relevante,
e manter informaes documentadas como evidncia da implementao do programa de auditoria
e os resultados das auditorias. O programa de auditoria, incluindo qualquer cronograma, deve ser
baseado nos resultados das atividades do processo de avaliao de risco da organizao, e os no
resultado de auditorias anteriores. Os procedimentos de auditoria devem cobrir o escopo, frequncia,
metodologias e competncias, bem como as responsabilidades e requisitos para a realizao de
auditorias e comunicao dos resultados. A gerncia responsvel pela rea sendo auditada deve
garantir que quaisquer correes necessrias e aes corretivas sejam realizadas sem demora
indevida para eliminar as no conformidades detectadas e suas causas. As atividades de
acompanhamento devem incluir a verificao das aes realizadas e a comunicao dos resultados
da verificao. 9.3 Analise crtica pela Direo A Alta Direo deve analisar criticamente o SGCN
da organizao, em intervalos planejados, para garantir sua contnua aptido, adequao e eficcia.
A anlise crtica da gesto deve levar em considerao a) o status das aes de anlises crticas pelas
Direes da gesto anteriores; b) as mudanas em questes internas e externas que so relevantes
para o sistema de gesto de continuidade dos negcios; c) informao do desempenho da
continuidade dos negcios, inclusive tendncias em 1) no conformidades e aes corretivas; 2)
resultados da avaliao de monitorao e medio e, 3) resultados de auditoria; d) oportunidades de
melhoria contnua. As anlises crticas pela Direo devem considerar o desempenho da
organizao, inclusive aes de acompanhamento de anlises crticas pelas Direes anteriores;
a necessidade de mudanas do SGCN, inclusive a poltica e objetivos;
33. 33. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 31/35 oportunidades de melhoria; resultados das auditorias e anlises crticas do
SGCN, incluindo aquelas de fornecedores chave e parceiros, quando apropriado; tcnicas,
produtos ou procedimento, que podem ser usados na organizao para melhorar o desempenho e a
eficcia do SGCN; status de aes corretivas; resultados de exerccios e testes; riscos ou
questes no endereadas adequadamente em nenhum processo de avaliao de riscos anterior;
quaisquer mudanas que possam afetar o SGCN, tanto interna quanto externa ao escopo do SGCN;
adequao da poltica; recomendaes de melhoria; lies aprendidas e aes decorrentes de
incidentes que cause interrupo, e boas prticas e orientaes emergentes. As sadas da anlise
crtica pela Direo devem incluir decises relacionadas a oportunidades de melhoria contnua e a
possvel necessidade de mudanas do SGCN, e incluem os seguintes: a) variaes do escopo do
SGCN; b) melhoria da eficcia do SGCN; c) atualizao do processo de avaliao de riscos, anlise
de impacto nos negcios, plano de continuidade dos negcios e processos relacionados; d)
modificao de procedimento e controles para responder eventos externos ou internos que possam
impactar no SGCN, inclusive mudanas em 1) requisitos operacionais e de negcio; 2) requisitos de
reduo de risco e segurana; 3) condies operacionais e processos; 4) requisitos legais e
regulatrios; 5) obrigaes contratuais; 6) nveis de risco e/ou critrio de aceitao de riscos;
34. 34. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 32/35 7) necessidades de recurso; 8) requisitos de oramento e financiamento; e e)
como a eficcia dos controles medida. A organizao deve manter informaes documentadas
como evidncia dos resultados das anlises crticas pela Direo. A organizao deve comunicar
os resultados da anlise crtica pela Direo para as partes interessadas, e realizar aes
apropriadas para os resultados. 10 Melhoria 10.1 No conformidade e aes corretivas Quando
ocorrer uma no conformidade, a organizao deve a) identificar a no conformidade, b) reagir a no
conformidade, e, quando aplicvel, 1) tomar aes para conteno e correo, e 2) lidar com as
consequncias. c) avaliar a necessidade para a eliminao das causas de no conformidades, de
modo que no ocorra em outro lugar, atravs da 1) anlise crtica da no conformidade, 2)
determinao das causas da no conformidade, e 3) determinao se existe uma no conformidade
similar, ou que potencialmente possa ocorrer, 4) avaliao da necessidade de aes corretivas das
no conformidades de modo que elas no aconteam novamente ou em outro lugar 5) determinao
e implantao de aes corretivas necessrias 6) anlise crtica da eficcia de qualquer ao
corretiva tomada. 7) mudanas no SGCN, se necessrio. d) implantao de qualquer ao necessria,
e) anlise crtica da eficcia de qualquer ao corretiva tomada, f) mudanas no SGCN, se
necessrio.
35. 35. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 33/35 Aes corretivas devem ser apropriadas aos efeitos das no conformidades
encontradas. A organizao deve guardar documentaes para evidncias da natureza das no
conformidades e qualquer aes decorrentes, e dos resultados de qualquer ao corretiva. 10.2
Melhoria contnua A organizao deve melhorar continuamente a pertinncia, adequao e eficcia
do SGCN. NOTA A organizao pode utilizar dos processos do SGCN, tais como liderana,
planejamento e avaliao de desempenho, para alcanar o aprimoramento.
36. 36. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 34/35 Bibliografia [1] ABNT NBR ISO 9001, Sistema de gesto de qualidade
Requisitos [2] ABNT NBR ISO 14001, Sistema de gesto ambiental Requisitos com guia para
uso [3] ABNT NBR ISO 19011, Diretrizes para auditoria de sistema de gesto [4] ISO/IEC 20000-1,
Tecnologia da informao Gesto de servios Parte 1: Requisitos do sistema de gesto de
servios [5] ISO 22300, Societal security -- Terminology [6] ISO/PAS 22399, Societal security -
Guideline for incident preparedness and operational continuity management [7] ISO/IEC 24762,
Tecnologia da informao Tcnicas de segurana Diretrizes para os servios de recuperao
aps um desastre na tecnologia da informao e comunicao [8] ABNT NBR ISO/IEC 27001,
Tecnologia da informao - Tcnicas de segurana - Sistemas de gesto de segurana da informao
Requisitos [9] ISO/IEC 27031, Information technology Security techniques Guidelines for
information and communication technology readiness for business continuity [10] ABNT NBR ISO
31000, Gesto de riscos Princpios e diretrizes [11] ABNT NBR ISO/IEC 31010, Gesto de
riscos Tcnicas para o processo de avaliao de riscos [12] ABNT ISO Guia 73, Gesto de riscos
Vocabulrio [13] BS 25999-1, Business continuity management Code of practice, British
Standards Institution (BSI) [14] BS 25999-2, Business continuity management Specification,
British Standards Institution (BSI) [15] SI 24001, Security and continuity management systems
Requirements and guidance for use, Standards Institution of Israel [16] NFPA 1600, Standard on
disaster/emergency management and business continuity programs, National Fire Protection
Association (USA) [17] Business Continuity Plan Drafting Guideline, Ministry of Economy, Trade
and Industry (Japan), 2005 [18] Business Continuity Guideline, Central Disaster Management
Council, Cabinet Office, Government of Japan, 2005
37. 37. ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARO 2013 NO TEM VALOR
NORMATIVO 35/35 [19] ANSI/ASIS SPC.1, Organizational Resilience: Security, Preparedness,
and Continuity Management Systems Requirements with Guidance for Use [20] SS 540 : 2008,
Singapore Standard for Business Continuity Management [21] ANSI/ASIS/BSI BCM.01, Business
Continuity Management Systems: Requirements with Guidance for Use
38. 38. ISO 31000, ISO Guia 73 e ISO/IEC 31010 As novas referncias mundiais para a Gesto de
Riscos Conhea as atividades pioneiras do QSP relacionadas s novas normas
___________________________________________________________________
___________________________________________________________________ QSP Centro
da Qualidade, Segurana e Produtividade Curso Pioneiro e Exclusivo do QSP Capacitao em
Gesto de Riscos e Auditoria Baseada em Riscos Para mais informaes, clique na figura ou acesse:
http://www.qsp.org.br/capacitacao_gr.shtml
___________________________________________________________________ Curso Pioneiro
e Exclusivo do QSP Seleo de Ferramentas e Tcnicas de Risk Assessment Para mais informaes,
clique na figura ou acesse: http://www.qsp.org.br/curso_risk.shtml
___________________________________________________________________

Recomendado

Entrepreneurship Fundamentals

Strategic Planning Fundamentals

Management Tips

Exemplo de plano de continuidade de ti


Fernando Palma
Segurana da Informao - Conhea a nova norma ISO/IEC 27001:2013 em portugus
QSP - Centro da Qualidade, Segurana e Produtividade

Requisitos da continuidade(dos negcios)na segurana da informao


Sidney Modenesi, MBCI

Plano de Continuidade de Negcios


CIMCORP

Aula 4 - Plano de Continuidade de Negcios (PCN)


Carlos Henrique

BS25777: IT Continuity
BSI British Standards Institution

Plano de contingncia
Universidade Federal Fluminense

PORTUGUS (BRASIL)
English
Franais
Espaol
Portugus (Brasil)
Deutsch

Ingls
Espanhol
Portugues
Franais
Deutsche

Sobre
Dev & API
Blog
Termos
Privacidade
Direitos Autorais
Suporte

LinkedIn Corporation 2016

Share Painel de recortes

Email

Email sent successfully..

Facebook
Twitter
LinkedIn
Google+

Link

Public clipboards featuring this slide


No public clipboards found for this slide

Recorte os slides mais importantes para salv-los

Recorte slides de uma apresentao para colecionar e organiz-los de forma eficiente. Inclua seus
slides favoritos em um painel de recortes para classfic-los de acordo com tpico.

Selecionar outro painel de recortes

Looks like you've clipped this slide to already.


Criar um painel de recortes

Voc recortou seu primeiro slide!

Recortar slides uma maneira fcil de colecionar informaes para acessar mais tarde. Agora, personalize
o nome do seu painel de recortes.

Name*
Description
Visibilidade
Outros podem ver meu painel de recortes

Salvar este documento

Вам также может понравиться