Sie sind auf Seite 1von 11

2013 27001Academy Page 1 of 11

Lista de verificao dos documentos obrigatrios da


ISO 22301

1) Quais documentos e registros so requeridos?
A lista abaixo mostra o conjunto mnimo de documentos e registros requeridos pela ISO
22301:2012 (a norma se refere a documentos e registros como informao documentada):
Documentos e registros Nmero da clusula na ISO 22301
Determinado o contexto da organizao 4.1
Procedimento para identificao de requisitos legais e
regulatrios aplicveis
4.2.2
Lista de requisitos legais, regulatrios e outros 4.2.2
Escopo do SGCN (Sistema de Gesto de Continuidade
de Negcio) e explicao das excluses
4.3
Poltica de continuidade de negcio 5.3
Objetivos de continuidade de negcio 6.2
Competncias de pessoal 7.2
Comunicao com partes interessadas 7.4
Processos para anlise de impacto no negcio e
levantamento de risco
8.2.1
Resultados de anlises de impacto no negcio 8.2.2
Resultados de levantamentos de riscos 8.2.3
Procedimentos de continuidade de negcio 8.4.1
Procedimentos de resposta a incidente 8.4.2
Deciso se riscos e impactos devem ser comunicados
externamente
8.4.2
Comunicao com partes interessadas, incluindo
sistemas nacionais ou regionais de alerta sobre riscos
8.4.3
Registros de informaes importantes sobre incidentes
e aes e decises tomadas
8.4.3
Procedimentos para responder a incidentes disruptivos 8.4.4

www.iso27001standard.com


2013 27001Academy Page 2 of 11
Procedimentos para restaurar e retornar negcios
operando sob medidas temporrias
8.4.5
Resultados de aes direcionadas a tratativa de
tendncias ou resultados adversos
9.1.1
Dados e resultados de monitoramento e medio 9.1.1
Resultados de anlises crticas ps incidente 9.1.2
Resultados de auditorias internas 9.2
Resultados de anlises crticas pela administrao 9.3
Natureza das no conformidades e aes tomadas 10.1
Resultados de aes corretivas 10.1

De nenhuma forma esta uma lista definitiva de documentos e registros que podem ser
usados durante a implementao da ISO 22301 a norma permite que quaisquer
documentos sejam adicionados para melhorar o nvel de resilincia.

2) Documentos no obrigatrios comumente utilizados
Outros documentos frequentemente utilizados so os seguintes:
Documentos Nmero da clusula da ISO 22301
Implementao de plano para atingir os objetivos de
continuidade do negcio
6.2
Plano de treinamento e conscientizao 7.2 e 7.3
Procedimento para controle de informao
documentada
7.5
Contratos e acordos de nvel de servio (service level
agreements SLAs) com fornecedores e parceiros em
terceirizaes
8.1
Estratgia de continuidade de negcio 8.3
Mitigao de risco 8.3.3
Cenrios de incidente 8.5
Planos de exerccio e de testes 8.5
Relatrio ps-exerccio 8.5
www.iso27001standard.com


2013 27001Academy Page 3 of 11
Plano de manuteno do SGCN 9.1.1
Mtodos para monitoramento, medio, anlise e
avaliao
9.1.1
Procedimento para auditoria interna 9.2
Programa de auditoria interna 9.2
Procedimento para ao corretiva 10.1

3) Como estruturar documentos e registros
Determinado o contexto da organizao (4.1)
O contexto geralmente determinado atravs de diversos documentos, como por exemplo,
procedimento para identificao de requisitos, poltica de continuidade de negcio,
metodologia de anlise de impacto no negcio, metodologia de levantamento de riscos, etc.
Em outras palavras, voc geralmente no produzir um nico documento para determinao
do contexto, ao invs disso, voc ir documentar o contexto atravs de diversos outros
documentos apropriados.
Procedimento para identificao de requisitos legais e regulatrios aplicveis & lista de
requisitos legais, regulatrio e outros (4.2.2)
Este geralmente um procedimento muito curto que define quem responsvel pela
conformidade: quem deve identificar todas as partes interessadas, quem deve seguir todas
as leis, regulamentaes e outros requisitos de partes interessadas, quem ser o
responsvel por assegurar a conformidade com os requisitos, como estes requisitos sero
comunicados, etc.
Este procedimento, e a lista resultante, deveria ser definido logo no incio do projeto, porque
ele prover entradas para todo o SGCN.


www.iso27001standard.com


2013 27001Academy Page 4 of 11
Escopo do SGCN e explicao de excluses (4.3)
Este documento tambm muito curto, e deveria ser escrito no comeo do projeto de
continuidade de negcio. Ele deveria definir claramente para quais partes da sua
organizao o SGCN ser aplicado, baseado na identificao de requisitos e aspiraes da
organizao. Ele deveria tambm explicar a razo pela qual algumas partes da sua
organizao foram excludas do escopo.
Muito frequentemente, este documento integrado a poltica de continuidade de negcio.
Poltica de continuidade de negcio e objetivos de continuidade de negcio (5.3, 6.2)
Este o documento central a partir do qual a alta administrao deveria declarar o que eles
querem atingir como o SGCN, e como eles iro control-lo. Muito frequentemente, a alta
administrao aprovar apenas este documento de alto nvel, enquanto outros documentos
do SGCN so aprovados por gerente de nveis mais baixos.
Este documento muito curto, e organizaes de pequeno e mdio porte geralmente
unificam o escopo a ele, assim como os objetivos do SGCN; organizaes maiores
normalmente teriam o escopo e objetivos como documentos separados.
Os objetivos do SGCN no deveriam ser misturados com Tempos Objetivo de Recuperao
(Recovery Time Objectives RTOs) objetivos de um SGCN so definidos para o SGCN
como um todo, no para as atividades.
Planos de treinamento e conscientizao; competncias de pessoal (7.2, 7.3)
Estes planos so geralmente desenvolvidos anualmente, e so normalmente desenvolvidos
pela pessoa responsvel pela continuidade do negcio em conjunto com o departamento de
recursos humanos (se voc possui um). Registros de competncia so geralmente mantidos
pelo departamento de recursos humanos se voc no possui tal departamento, qualquer
um que normalmente mantem os registros de empregados deveria estar fazendo este
trabalho. Basicamente, uma pasta com todos os documentos contendo estas informaes
ser o suficiente.
www.iso27001standard.com


2013 27001Academy Page 5 of 11
Comunicao com partes interessadas (7.4)
Tal comunicao geralmente vem em diferentes formas: email, correio, telefone, etc.
Documentar a comunicao muito fcil voc precisa apenas manter cpias destes
emails, cartas, documentos etc. em algum tipo de arquivo. Se comunicao foi feita atravs
de telefone, uma nota deveria ser feita e ento arquivada de acordo com regras pr-
definidas.
Procedimento para controle de informao documentada (7.5)
Este normalmente um procedimento isolado, de 2 ou 3 pginas. Se voc j implementou
alguma outra norma como a ISO 9001, ISO 14001, ISO 22301 ou similar, voc pode utilizar
o mesmo procedimento para todos estes sistemas de gesto. Algumas vezes melhor
escrever este procedimento como o primeiro documento do projeto.
Leia mais aqui: Gesto de documentos dentro da ISO 27001 e BS 25999-2.
Contratos e acordos de nvel de servio (8.1)
crucial que seus fornecedores e parceiros em terceirizao reajam de forma esperada
quando um incidente acontece por isso que seria melhor produzir um modelo com os
requisitos mnimos de continuidade de negcio que deveriam ser inseridos em cada um dos
contratos que voc assina com eles.
Processo para anlise de impacto no negcio e resultados (8.2.1, 8.2.2)
Antes que voc comece a fazer sua anlise de impacto no negcio (business impact
analysis BIA), voc precisa definir regras sobre como ela ser feita isto geralmente
feito com uma metodologia de anlise de impacto no negcio. Tal metodologia deveria ser
escrita em 4 ou 5 pginas curta o bastante para ser facilmente lida, mas no to curta a
ponto de ser vaga.
A coleta de dados para tal anlisepara esta anlise feita atravs de questionrios, que
podem ser uma simples planilha do excel, ou talvez alguma ferramenta especfica de BCM
www.iso27001standard.com


2013 27001Academy Page 6 of 11
(Business Continuity Management).
Os resultados do processo de BIA so documentados tanto no relatrio de impacto no
negcio (para grandes organizaes), ou voc pode sumariz-los na estratgia de
continuidade de negcio (esta a verso mais curta mais aplicvel para organizaes de
pequeno e mdio porte).
Leia mais aqui: Cinco dicas para uma anlise de impacto nos negcios bem-sucedida.
Processo para levantamento de riscos e resultados (8.2.1, 8.2.3)
Assim como a anlise de impacto no negcio, o levantamento de riscos tambm precisa ser
definido antes que voc inici-lo, em uma metodologia. Uma vez que a ISO 22301 no
especifica os requisitos para o levantamento de riscos, voc pode usar a metodologia da
ISO 27001 e ISO 27005, uma vez que estas normas provavelmente oferecem a melhor
metodologia para levantamento de riscos para continuidade do negcio. Os resultados do
levantamento de riscos deveriam ser documentos em um relatrio de levantamento de
riscos.
Aprenda mais aqui: Can ISO 27001 risk assessment be used for ISO 22301?
Estratgia de continuidade de negcio (8.3)
Esta uma ligao fundamental entre a anlise de impacto no negcio, o levantamento de
riscos e os planos seu propsito assegurar que todos os recursos esto disponveis em
caso de uma interrupo. Isto crucial porque sem todos os recursos, o plano de
continuidade de negcio no ser factvel.
A estratgia de continuidade de negcio geralmente um documento de alto nvel, que
contm estratgias para cada atividade como apndices.
Leia mais aqui: A estratgia de continuidade de negcios pode ajud-lo a economizar
dinheiro?

www.iso27001standard.com


2013 27001Academy Page 7 of 11
Mitigao de risco & plano de implementao para atingir os objetivos de continuidade de
negcio (6.2, 8.3.3)
A mitigao de risco normalmente documentada atravs do plano de tratamento de risco;
contudo, mais prtico uni-la a um plano de implementao mais abrangente, que incluiria
todas as atividades necessrias para implementar ao SGCN como um todo.
Leia mais aqui: Risk Treatment Plan and risk treatment process Whats the difference?
Procedimentos de continuidade de negcio (8.4.1)
Falando de forma geral, procedimentos de continuidade de negcio incluem planos de
resposta a incidente, planos de continuidade de negcio, planos de recuperao de desastre
planos de comunicao, etc. Voc pode organizar tais documentos dentro de um nico
plano de continuidade de negcio, o qual ter apndices para cada elemento mencionado.
Veja mais detalhes neste artigo: Business continuity plan: How to structure it according to
ISO 22301.
Procedimentos de resposta a incidente & registros sobre um incidente (8.4.2, 8.4.3)
Neste procedimento voc trata todos os riscos principais que sua organizao est
enfrentando e, como responder inicialmente caso tais incidentes aconteam. Voc pode
escrever estes procedimentos em um nico documento, ou como procedimentos separados
um documento para cada incidente potencial. Muito frequentemente, estes so escritos em
um documento chamado plano de resposta a incidente; tal(is) documento(s) pode(m) incluir
procedimentos de comunicao, etc. Em outras palavras, estes procedimentos podem ser
bem extensos.
Um plano de resposta a incidente deveria definir o mtodo de registrar os fatos sobre o
incidente pode ser algo to simples quanto notas escritas a mo prximas a cada etapa do
plano enquanto ele executado.
Aprenda mais aqui: Activation procedures for business continuity plan.
www.iso27001standard.com www.iso27001standard.com


2013 27001Academy Page 8 of 11
Procedimentos de comunicao (8.4.2, 8.4.3)
Estes procedimentos devem cobrir decises tais como se os riscos e impactos devem ser
comunicados externamente, e como comunicar com partes interessadas, particularmente
com sistemas nacionais e regionais de alerta sobre riscos (por exemplo, alertas de tsunami).
Para organizaes de pequeno e mdio porte, tais procedimentos sero parte do plano de
resposta a incidentes, enquanto que para organizaes de grande porte eles sero
documentos separados.
O principal ponto aqui definir claramente quem responsvel por se comunicar com
quem, especialmente quem est autorizado a se comunicar com a mdia e com as
autoridades. Modelos podem ser desenvolvidos para se comunicar com a mdia, os quais
ajudaro a emitir comunicados (press releases) rapidamente, se necessrio.
Procedimentos para responder a incidentes disruptivos (8.4.4)
Estes so normalmente procedimentos para recuperao de desastres (focados em como
recuperar a infraestrutura de tecnologia da informao e comunicao), e procedimentos de
recuperao de atividades (focados em recuperar o aspecto de negcio da organizao).
Juntamente como plano de resposta a incidente, estes procedimentos formam a maior parte
dos procedimentos de continuidade de negcio.
Leia mai aqui: Recuperao em caso de desastre vs. continuidade de negcios.
Procedimentos para restaurar e retornar o negcio operando a partir de medidas
temporrias (8.4.5)
Em muitos casos, estes procedimentos no sero muito detalhados, porque voc pode no
saber de antemo que tipo de dano suas instalaes iro sofrer. Desta forma, voc pode
definir brevemente de quem ser a responsabilidade de avaliar os danos e tomar as
decises apropriadas voc pode colocar tais procedimentos em seu plano de continuidade
de alto nvel.

www.iso27001standard.com


2013 27001Academy Page 9 of 11
Cenrios de incidente (8.5)
Estas so descries curtas (ou estrias) de como um certo incidente pode se desenrolar e
como ele iria impactar as atividades da sua organizao.
Eles deveriam ser desenvolvidos baseados nos resultados de um levantamento de riscos
(eles deveriam refletir os principais riscos), e pode se adicionado tanto ao plano de
exerccios e testes quanto a estratgia de continuidade de negcio.
Planos de exerccio e teste & relatrios ps-exerccio (8.5)
Exerccios e testes so cruciais para a melhoria dos procedimentos de continuidade de
negcio normalmente, voc deveria realizar execcios e teste ao menos uma vez ao ano, e
eles deveriam se tornar mais e mais desafiadores a cada ano.
Cada plano deveria definir os objetivos que devem ser atingidos, e os cenrios; o relatrio
deve revelar at que ponto estes objetivos foram atingidos.
Resultados de aes relacionadas a tratativa de tendncias ou resultados adversos (9.1.1)
Estas aes so refletidas de duas formas: (1) Plano de tratamento de riscos (mencionado
anteriormente), e (2) aes preventivas.
Aes preventivas no so obrigatrias na ISO 22301, mas elas existem nas ISO 27001,
ISO 9001 e outros sistemas de gesto portanto, se voc j possui um procedimento para
aes preventivas por causa de outros sistemas, voc pode utiliz-lo para o seu SGCN.
Plano de manuteno do SGCN (9.1.1)
Uma vez que a documentao do SGCN pode ser bem extensa, e tornar-se obsoleta muito
facilmente, uma boa prtica definir exatamente quando cada documento ser revisado.
Isto pode ser feito por meio de uma simples tabela definindo quando cada documentos
deveria ser revisado, e por quem.


www.iso27001standard.com


2013 27001Academy Page 10 of 11
Mtodos para monitoramento, medio, anlise e avaliao (9.1.1)
A forma mais fcil de descrever como o sistema ser medido atravs de poltica e
procedimento normalmente, esta descrio pode ser escrita ao final de cada documento, e
tal descrio define os tipos de KPIs (key performance indicators indicadores chave de
performance) que precisam ser medidos para cada documento.
Dados e resultados de monitoramento e medio (9.1.1)
Estres so todos os relatrios, KPIs, resultados no oficiais enviados por e-mail, decises
etc. todos estes deveriam ser mantidos por um perodo de tempo especificado.
Resultados de revises ps-incidente (9.1.2)
O melhor mtodo seria criar um formulrio com todos os dados necessrios de serem
levados em conta aps um incidente ter ocorrido. Quando tal formulrio preenchido e
concluses apropriadas so feitas (se o plano de continuidade foi realizado de forma bem
sucedida ou no), ele deveria ser mantido por um perodo de tempo especificado.
Procedimento de auditoria interna, programa de auditoria interna e resultados de auditorias
internas (9.2)
O procedimento de auditoria interna normalmente um procedimento isolado que pode ter
entre 2 e 3 pginas, e deve ser escrito antes que a auditoria interna tenha incio. Assim
como o procedimento para controle de documentos, um processo de auditoria interna pode
ser usado para qualquer sistema de gesto.
Um programa de auditoria interna pode ser um documento simples de uma pgina
descrevendo quando cada auditoria ir ocorrer, e quem ir realiz-la.
Os resultados das auditoria internas so documentados atravs do relatrio de auditoria
interna tal relatrio deveria cobrir todas as no conformidades, assim como as obervaes.
Leia mais aqui: Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2.

www.iso27001standard.com


2013 27001Academy Page 11 of 11
Resultados da anlise crtica pela administrao (9.3)
Estes registos normalmente esto na forma de minutas de reunio Elas devem incluir
todos os materiais que foram includos na reunio da administrao, assim como todas as
decises que foram tomadas. As minutas podem estar em formulrio de papel ou digital.
No conformidades e aes corretivas (10.1)
Geralmente, isto coberto pelo procedimento para aes corretivas se voc j possui
certificao em ISO 27001, ISO 9001 ou utra norma de gesto, ento voc pode utilizar o
procedimento existente para este propsito.
Geralmente, tal procedimento no possui mais do que 2 ou 3 pginas. Este procedimento
pode ser escrito ao final do projeto de implantao, embora seja melhor ser escrito mais
cedo, de forma que os empregados possam ter tempo de se acostumar a ele.
Resultados de aes corretivas so tradicionalmente includos em formulrios de ao
corretiva (corrective action forms CARs). Contudo, muito melhor incluir tais registros em
alguma aplicao que j esteja em uso na organizao para suportar as atividades de Help
Desk por que aes corretivas so nada mais nada menos do que listas de coisas a fazer
com definies claras de responsabilidades, tarefas e prazos.
Leia mais aqui: Procedimentos obrigatrios documentados exigidos pela norma ISO 27001.

4) Amostra de modelos de documentos
Aqui voc pode baixar uma prvia gratuita de Kit de documentao premium da ISO 27001
e ISO 22301 nesta prvia gratuita voc ser capaz de ver a tabela de contedo de cada
plano, polticas e procedimentos, assim como algumas poucas sees de cada documento.

www.iso27001standard.com

Das könnte Ihnen auch gefallen