Beruflich Dokumente
Kultur Dokumente
BRASILEIRA ISO
22301
Primeira edição
06.06.2013
Válida a partir de
06.07.2013
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
Número de referência
ABNT NBR ISO 22301:2013
28 páginas
© ISO 2012
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT, único representante da ISO no território brasileiro.
© ABNT 2013
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT.
ABNT
Av.Treze de Maio, 13 - 28º andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 3974-2346
abnt@abnt.org.br
www.abnt.org.br
Sumário Página
Figura
Figura 1 – Modelo PDCA aplicado aos processos do SGCN ........................................................vii
Prefácio Nacional
alguns dos elementos deste documento podem ser objeto de direito de patente. A ABNT não deve ser
considerada responsável pela identificação de quaisquer direitos de patentes.
A ABNT NBR ISO 22301 foi elaborada pela Comissão de Estudo Especial de Gestão de Riscos
(ABNT/CEE-63). O Projeto circulou em Consulta Nacional conforme Edital nº 03, de 20.03.2013
a 18.04.2013, com o número de Projeto 63:000.02-001.
Esta Norma é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO 22301:2012, que foi
elaborada pelo Technical Committee Societal Security (ISO/TC 223), conforme ISO/IEC Guide 21-1:2005.
Esta Norma cancela e substitui a ABNT NBR 15999-2:2008.
O Escopo desta Norma Brasileira em inglês é o seguinte:
Scope
This Standard for business continuity management specifies requirements to plan, establish,
implement, operate, monitor, review, maintain and continually improve a documented management
system to protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover
from disruptive incidents when they arise.
The requirements specified in this Standard are generic and intended to be applicable to all organizations,
or parts thereof, regardless of type, size and nature of the organization. The extent of application of
these requirements depends on the organization’s operating environment and complexity.
It is not the intent of this Standard to imply uniformity in the structure of a Business Continuity
Management System (BCMS), but for an organization to design a BCMS that is appropriate to its
needs and that meets its interested parties’ requirements. These needs are shaped by legal, regulatory,
organizational and industry requirements, the products and services, the processes employed, the size
and structure of the organization, and the requirements of its interested parties.
This Standard is applicable to all types and sizes of organizations that wish to
a) establish, implement, maintain and improve a BCMS,
b) ensure conformity with stated business continuity policy,
c) demonstrate conformity to others,
d) seek certification/registration of its BCMS by an accredited third party certification body, or
e) make a self-determination and self-declaration of conformity with this Standard.
This Standard can be used to assess an organization’s ability to meet its own continuity needs and
obligations
0 Introdução
0.1 Geral
Esta Norma especifica requisitos para estabelecer e gerenciar um eficaz Sistema de Gestão de Con-
tinuidade de Negócios (SGCN).
a) uma política;
1) política,
2) planejamento,
3) implementação e operação,
4) avaliação de desempenho;
6) melhorias;
A continuidade de negócios contribui para uma sociedade mais resiliente. É possível que seja necessário
envolver no processo de recuperação a comunidade em geral, assim como outras organizações, em
função do impacto no ambiente organizacional.
Esta Norma adota o modelo “Plan-Do-Check-Act” para planejar, estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar continuamente a eficácia do SGCN de uma
organização.
Isto garante um grau de consistência com outras normas de sistemas de gestão, como
as ABNT NBR ISO 9001:2000 (Sistemas de gestão da qualidade), ABNT NBR ISO 14001:2004
(Sistemas de gestão ambiental), ABNT NBR ISO/IEC 27001:2005 (Sistemas de gestão de segurança
da informação), ABNT NBR ISO/IEC 20000-2 (Gestão de Serviços de TI) e ABNT NBR ISO 28000
(Especificação para sistemas de gestão de segurança para a cadeia logística), suportando, assim,
a implementação consistente e integrada e a operação com sistemas de gestão relacionados.
A Figura 1 ilustra como um SGCN considera como entradas as partes interessadas e os requisitos
de continuidade de negócios e, por meio de ações necessárias e processos, produz resultados
de continuidade (por exemplo, continuidade de negócios gerenciada) que atendem àqueles requisitos.
Estabelecer
(Planejar)
Partes
Partes
interessadas
interessadas
Manter e Implementar
melhorar e operar
(Agir) (Fazer)
Requisitos
Gerenciamento
para
da continuidade
continuidade Monitorar e de negócios
de negócios analisar
criticamente
(Checar)
No modelo “Plan (Planejar)-Do (Fazer) – Check (Checar)-Act (Agir)” exibido na Tabela 1, as Seções 4
a 10 desta Norma envolvem os seguintes componentes:
NOTA Os requisitos dos processos de análise de impacto nos negócios e de avaliação de riscos estão
detalhados na Seção 8.
— A Seção 10 é um componente do “Agir”. Identifica e atua em aspectos do SGCN que não estão
em conformidade através de ações corretivas.
1 Escopo
Esta Norma de gestão da continuidade de negócios especifica os requisitos para planejar, estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente um sistema
de gestão documentado para se proteger, reduzir a possibilidade de ocorrência, preparar-se, responder
a e recuperar-se de incidentes de interrupção quando estes ocorrerem.
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
Os requisitos especificados nesta Norma são genéricos e planejados para serem aplicados em
todas as organizações ou parte delas, independentemente do tipo, tamanho e natureza do negócio.
A abrangência da aplicação desses requisitos depende do ambiente operacional e complexidade
da organização.
Esta Norma não tem a intenção de impor uniformidade da estrutura de um Sistema de Gestão de
Continuidade de Negócios (SGCN), mas que uma organização projete um SGCN adequado às suas
necessidades e que satisfaça os requisitos das partes interessadas. Estas necessidades são moldadas
por requisitos legais, regulatórios, de negócios e dos clientes, pelos produtos e serviços, os processos
utilizados, o tamanho e a estrutura da organização e pelos requisitos das partes interessadas.
Esta Norma pode ser usada para avaliar a capacidade de uma organização em atender a suas próprias
necessidades e obrigações de continuidade.
2 Referências normativas
Os documentos relacionados a seguir são indispensáveis à aplicação deste documento. Para refe-
rências datadas, aplicam-se somente as edições citadas. Para referências não datadas, aplicam-se
as edições mais recentes do referido documento (incluindo emendas).
3 Termos e definições
Para os efeitos deste documento, aplicam-se os seguintes termos e definições.
3.1
atividade
processo ou conjunto de processos executados por uma organização (ou em seu nome) que produzem
ou suportem um ou mais produtos ou serviços
EXEMPLO Tais processos incluem contas, call center, TI, manufatura, distribuição.
3.2
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
auditoria
processo sistemático, documentado e independente para obter evidências de auditoria e avaliá-las
objetivamente para determinar a extensão na qual os critérios de auditoria são atendidos
NOTA 1 Uma auditoria pode ser interna (primeira parte) ou externa (segunda parte ou terceira parte),
e pode ser uma auditoria combinada (combinação de duas ou mais disciplinas).
NOTA 2 "A evidência de auditoria" e "critérios de auditoria" são definidos na ABNT NBR ISO 19011.
3.3
continuidade de negócios
capacidade da organização de continuar a entrega de produtos ou serviços em um nível aceitável
previamente definido após incidentes de interrupção
3.4
gestão de continuidade de negócios
processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possí-
veis impactos nas operações de negócio caso estas ameaças se concretizem. Este processo fornece
uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder
eficazmente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organi-
zação e suas atividades de valor agregado
3.5
sistema de gestão de continuidade de negócios
SGCN
parte do sistema global de gestão que estabelece, implementa, opera, monitora, analisa criticamente,
mantém e melhora a continuidade de negócios
3.6
plano de continuidade de negócios
procedimentos documentados que orientam as organizações a responder, recuperar, retomar e res-
taurar, após a interrupção, para um nível predefinido de operação
NOTA Normalmente isto abrange recursos, serviços e atividades necessárias para assegurar a continui-
dade de funções críticas de negócios.
3.7
programa de continuidade de negócios
processo contínuo de gestão e governança suportado pela Alta Direção que recebe apropriadamente
os recursos para implementar e manter a gestão de continuidade de negócios
3.8
análise de impacto nos negócios (BIA – Business Impact Analysis)
processo de analisar as atividades e os efeitos que uma interrupção de negócio pode ter sobre elas
3.9
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
competência
habilidade de aplicar conhecimentos e técnicas para atingir os resultados esperados
3.10
conformidade
cumprimento de um requisito
3.11
melhoria contínua
atividade recorrente para melhorar o desempenho
3.12
correção
ação para eliminar uma não conformidade detectada
3.13
ação corretiva
ação para eliminar a causa de uma não conformidade e para prevenir a recorrência
NOTA No caso de outros resultados indesejáveis, é necessário agir para minimizar ou eliminar as causas
e para reduzir o impacto ou prevenir a reincidência. Tais ações estão fora do conceito de "ação corretiva", no
sentido desta definição.
3.14
documento
informação e seu meio de suporte
NOTA 1 Os meios podem ser papel, disco magnético, eletrônico ou óptico de computador, fotografia
ou amostra-mestre, ou uma combinação destes.
3.15
informação documentada
informação que deve ser controlada e mantida por uma organização e o meio em que está contida
NOTA 1 Informação documentada pode estar em qualquer formato e em qualquer mídia de qualquer tipo.
3.16
eficácia
extensão para a qual atividades planejadas são realizadas e resultados planejados são atingidos
3.17
evento
ocorrência ou mudança em um conjunto específico de circunstâncias
NOTA 1 Um evento pode consistir em uma ou mais ocorrências e pode ter várias causas.
NOTA 3 Um evento pode, algumas vezes, ser referido como um “incidente” ou um “acidente”.
NOTA 4 Um evento sem consequências pode também se referir a “quase acidente”, “incidente”, “quase
colisão” ou “por um triz”.
3.18
exercício
processo de treino para avaliar, praticar e melhorar o desempenho em uma organização
NOTA 1 Os exercícios podem ser usados para: validar políticas, planos, procedimentos, treinamento, equi-
pamentos e acordos entre organizações; esclarecimento e treinamento de pessoal em funções e responsabi-
lidades, melhoria da coordenação e comunicação entre organizações, identificação de lacunas de recursos,
melhoria do desempenho individual; e identificação de oportunidades de melhoria e o controle de oportuni-
dades para a prática de improvisação.
NOTA 2 Um teste é um tipo único e particular de exercício, que incorpora uma expectativa de aprovação
ou reprovação em relação aos objetivos planejados do exercício.
3.19
incidente
situação que pode representar ou levar à interrupção de negócios, perdas, emergências ou crises
3.20
infraestrutura
sistema de instalações, equipamentos e serviços necessários para a operação de uma organização
3.21
partes interessadas
stakeholder
pessoa ou organização que pode afetar, ser afetado ou que entendem ser afetados por uma decisão
ou atividade
NOTA O termo refere-se a um indivíduo ou grupo que possui interesse em qualquer decisão ou atividade
de uma organização.
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
3.22
auditoria interna
auditoria realizada por, ou em nome, da própria organização para análise crítica pela Direção e outros
fins internos, e que pode formar a base para autodeclararão de conformidade de uma organização
3.23
invocação
ato de declarar que os arranjos para continuidade de negócios de uma organização precisam ser
colocados em prática, a fim de continuar a entrega de produtos ou serviços essenciais.
3.24
sistema de gestão
conjunto de elementos inter-relacionados ou interativos de uma organização para estabelecer políticas
e objetivos, bem como processos para atingir esses objetivos
NOTA 1 Um sistema de gestão pode abordar uma única disciplina ou várias disciplinas.
NOTA 3 O escopo de um sistema de gestão pode incluir a totalidade da organização, funções específicas
e identificadas da organização, seções específicas e identificadas da organização, ou uma ou mais funções
através de um grupo de organizações.
3.25
interrupção máxima aceitável
MAO – Maximum Acceptable Outage
tempo para que os impactos adversos que possam surgir como resultado de não fornecer um produto /
serviço, ou realizar uma atividade, tornem-se inaceitáveis
3.26
período máximo de interrupção tolerável
MTPD – Maximum Tolerable Period of Disruption
tempo necessário para que os impactos adversos tornem-se inaceitáveis, que pode surgir como
resultado de não fornecer um produto/serviço ou realizar uma atividade.
3.27
medição
processo para determinar um valor
3.28
objetivo mínimo de continuidade de negócios
OMCN
níveis mínimos aceitáveis de serviços e/ou produtos para a organização alcançar seus objetivos
de negócios durante uma interrupção
3.29
monitoramento
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
NOTA Para determinar o status pode haver a necessidade de checar, supervisionar ou observar
criticamente.
3.30
acordo de ajuda mútua
pré-disposição de entendimento entre duas ou mais entidades para prestação de assistência mútua
3.31
não conformidade
não cumprimento de um requisito
3.32
objetivo
resultado a ser atingido
NOTA 2 Os objetivos podem ser relacionados a diferentes disciplinas (tais como financeiro, saúde e segu-
rança, e as metas ambientais) e podem ser aplicados em diferentes níveis (como estratégico, a organização
como um todo, projeto, produto e processo).
NOTA 3 Um objetivo pode ser expresso por outros meios, por exemplo, como um resultado esperado, um
propósito, um critério operacional, como um objetivo de segurança social ou pelo uso de outras palavras com
significado similar (por exemplo, objetivo, meta, ou alvo).
3.33
organização
pessoas ou grupo de pessoas que têm suas funções com responsabilidades, autoridades e relaciona-
mentos para alcançar os objetivos.
NOTA 1 O conceito de organização inclui, mas não se limita a, empresário individual, companhia,
corporação, firma, empresa, autoridade, parceria, instituição de caridade ou outra instituição, ou parte
ou combinação destas, com responsabilidade limitada ou não, pública ou privada.
NOTA 2 Para as organizações com mais de uma unidade operacional, uma única unidade operacional pode
ser definida como uma organização.
3.34
terceirizar (verbo)
fazer um acordo onde uma organização externa executa parte da função ou processo de uma
organização
NOTA Uma organização externa está fora do escopo do sistema de gestão, embora a função terceirizada
ou processo esteja dentro do escopo de aplicação.
3.35
desempenho
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
resultado mensurável
NOTA 1 O desempenho pode dizer respeito a resultados quantitativos ou qualitativos.
NOTA 2 Desempenho pode se relacionar com a gestão das atividades, processos, produtos (incluindo
serviços), sistemas ou organizações.
3.36
avaliação de desempenho
processo para determinar resultados mensuráveis
3.37
pessoal
pessoas trabalhando para ou sob o controle da organização
NOTA O conceito de pessoal inclui, mas não se limita a empregados, pessoal em tempo parcial, e pessoal
temporário.
3.38
política
intenções e direções de uma organização expressadas formalmente pela sua alta gestão
3.39
procedimento
maneira específica de conduzir uma atividade ou um processo
3.40
processo
grupo de atividades relacionadas ou interativas que transformam entradas em saídas
3.41
produtos e serviços
resultados benéficos que uma organização fornece a seus clientes e partes interessadas, como
bens manufaturados, seguros automobilísticos, conformidade com regulamentações e benefícios
comunitários
3.42
atividades prioritárias
atividades que devem ser priorizadas após um incidente para mitigar os impactos
NOTA Termos de uso comum para descrever as atividades dentro deste grupo incluem: crítico, essencial,
vital, urgente e fundamental.
3.43
registro
declaração de resultados atingidos ou evidência de atividades realizadas
3.44
ponto objetivado de recuperação
RPO – Recovery Point Objective
ponto em que a informação usada por uma atividade deve ser restaurada para permitir a operação
da atividade na retomada
3.45
tempo objetivado de recuperação
RTO – Recovery Time Objective
período de tempo após um incidente em que
NOTA Para os produtos, serviços e atividades, o tempo objetivado de recuperação deve ser menor do
que o tempo em que os impactos negativos que surgirão como resultado de não fornecer um produto/serviço
ou realizar uma atividade se torne inaceitável.
3.46
requisitos
necessidade ou expectativa que é determinada, geralmente implícita ou obrigatória
NOTA 1 "Geralmente implícita" significa que é uma prática habitual ou comum para a organização e as
partes interessadas pela qual a necessidade ou expectativa sob consideração está implícita.
NOTA 2 Um requisito especificado é aquele que é determinado, por exemplo, na informação documentada.
3.47
recursos
todos os ativos, pessoas, competências, informação, tecnologia (incluindo instalações e equipamentos),
locais, suprimentos e informação (eletrônica ou não) que uma organização deve ter disponíveis para
uso, quando necessário, a fim de operar e atingir seus objetivos.
3.48
risco
efeito da incerteza nos objetivos
NOTA 2 Os objetivos podem ter diferentes aspectos (como metas financeiras, saúde e segurança e
ambientais) e podem ser aplicados em diferentes níveis (como estratégico, em toda a organização, projeto,
produto e processo). Um objetivo pode ser expresso por outros meios, por exemplo, como um resultado
esperado, um propósito, um critério operacional, como objetivo da continuidade do negócio, ou pelo uso de
outras palavras com significado similar (por exemplo, objetivo, meta ou alvo).
NOTA 3 Risco é muitas vezes caracterizado pela referência aos eventos potenciais (ABNT ISO Guia 73,
3.5.1.3) e consequências (ABNT ISO Guia 73, 3.6.1.3) ou uma combinação destes.
NOTA 5 Incerteza é o estado, ainda que (mesmo) parcial, da deficiência de informação relacionada
ao entendimento ou conhecimento de um evento, sua consequência ou probabilidade.
3.49
apetite a risco
quantidade e tipo de risco que a organização está disposta a buscar ou manter
3.50
processo de avaliação de riscos (risk assessment)
processo global de identificação de riscos, análise de riscos e avaliação de riscos
NOTA BRASILEIRA Para os efeitos deste documento o termo risk assessment foi traduzido como
“processo de avaliação de riscos” para evitar conflito com o termo risk evaluation, que foi traduzido na
ABNT NBR ISO 31000 como “avaliação de riscos”.
3.51
gestão de riscos
atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos
3.52
teste
procedimento para avaliação; maneira de determinar a presença, qualidade, ou veracidade de algo
3.53
Alta Direção
pessoa ou grupo de pessoas que dirige e controla uma organização em seu nível mais alto
NOTA 1 A Alta Direção tem o poder de delegar autoridade e fornecer recursos dentro da organização.
NOTA 2 Se o escopo do sistema de gestão abrange apenas parte de uma organização, então Alta Direção
refere-se àqueles que dirigem e controlam parte da organização.
3.54
verificação
confirmação, através de evidência, que os requisitos especificados foram cumpridos
3.55
ambiente de trabalho
conjunto de condições sob o qual o trabalho é realizado
NOTA Condições incluem fatores físicos, sociais, psicológicos e ambientais (como temperatura, sistemas
de reconhecimento, ergonomia e composição atmosférica).
4 Contexto da organização
4.1 Entendendo a organização e seu contexto
A organização deve determinar as questões internas e externas que sejam relevantes para seus
propósitos de atuação e que afetem sua capacidade em alcançar os resultados determinados em seu
SGCN.
1) determinar seus objetivos, incluindo aqueles relacionados com a continuidade dos negócios,
2) definir os fatores externos e internos que criam as incertezas que dão origem ao risco,
b) os requisitos das partes interessadas (por exemplo, as suas necessidades e expectativas definidas,
geralmente implícitas ou obrigatórias).
A organização deve estabelecer, implementar e manter procedimentos para identificar, ter acesso
e avaliar os requisitos legais e regulatórios aplicáveis ao seu mercado de atuação, alinhados com
a continuidade de suas operações, produtos e serviços, bem como os interesses das partes
interessadas relevantes.
A organização deve assegurar que estes requisitos legais, regulatórios e outros requisitos a que a
esteja sujeita sejam levados em consideração no estabelecimento, implementação e manutenção
de seu SGCN.
nos requisitos legais, regulatórios e outros requisitos devem ser comunicadas aos empregados
envolvidos e às outras partes interessadas
4.3.1 Geral
A organização deve determinar os limites e aplicabilidade do SGCN para estabelecer seu escopo.
A organização deve:
Ao definir o escopo, a organização deve documentar e justificar exceções; qualquer exceção não
pode afetar a capacidade e responsabilidade da organização em prover a continuidade de negócios
e operações contempladas nos requisitos do SGCN, como determinadas pela análise de impacto nos
negócios ou no processo de avaliação de riscos e nos requisitos legais e regulatórios aplicáveis.
5 Liderança
5.1 Liderança e comprometimento
Os membros da Alta Direção e demais gestores com papéis relevantes dentro da organização devem
demonstrar liderança em relação ao SGCN.
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
EXEMPLO Esta liderança e comprometimento podem ser demonstrados pela motivação e capacitação
de pessoas em contribuir com a eficácia do SGCN.
— garantir que políticas e objetivos sejam estabelecidos para o sistema de gestão de continuidade
de negócios e que sejam compatíveis com as diretrizes estratégicas da organização,
— apoiar aos demais gestores com papel relevante para demonstrar sua liderança e comprometimento
aplicados às suas áreas de responsabilidades
NOTA 1 A referência a “negócio” nesta Norma pretende que seja interpretada de forma ampla, significando
aquelas atividades que são essenciais à existência da organização.
A Alta Direção deve prover evidências de seu comprometimento com o estabelecimento, implementa-
ção, operação, monitoramento, análise crítica, manutenção e melhoria do SGCN da organização, por
meio da
— nomeação de um ou mais colaboradores aptos a serem responsáveis pelo SGCN, com autoridades
e competências apropriadas para a implantação e manutenção do ciclo.
A Alta Direção deve assegurar que as responsabilidades e papéis relevantes sejam atribuídos e comu-
nicados dentro da organização por
5.3 Política
A Alta Direção deve garantir que papéis, responsabilidades e autoridades relevantes sejam atribuídos
e comunicados dentro da organização.
a) garantia de que o sistema de gestão esteja em conformidade com os requisitos desta Norma, e
6 Planejamento
6.1 Ações para direcionar riscos e oportunidades
b) como
A Alta Direção deve assegurar que os objetivos de continuidade de negócios sejam estabelecidos
e comunicados para funções e níveis relevantes dentro da organização.
b) considerar o nível mínimo de produtos e serviços que é aceitável para a organização alcançar
seus objetivos,
c) ser mensuráveis,
7 Suporte
7.1 Recursos
7.2 Competência
A organização deve
a) determinar as competências necessárias das pessoas que trabalham sob seu controle que afetem
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
seu desempenho;
b) garantir que essas pessoas sejam competentes com relação a educação apropriada, treinamento
e experiência;
c) quando necessário, agir para adquirir a competência necessária, e avaliar a eficácia das ações; e
NOTA Ações aplicáveis podem incluir, por exemplo: a provisão do treinamento, mentores, ou a mudança dos
atuais empregados; ou a contratação de pessoal competente.
7.3 Conscientização
Pessoas que realizam trabalho sob o controle da organização devem estar conscientizadas
7.4 Comunicação
b) quando comunicar;
— comunicação externa com clientes, entidades parceiras, comunidade local, e outros grupos inte-
ressados, inclusive a mídia;
— operação e teste das capacidades de comunicação destinados a serem utilizados durante a inter-
rupção dos meios normais de comunicação.
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
NOTA Outros requisitos para comunicação em resposta a um incidente estão especificados em 8.4.3.
7.5.1 Geral
— informações documentadas determinadas pela organização que sejam necessárias para a eficá-
cia do SGCN
NOTA A extensão de informações documentadas para um SGCN pode ser diferente de uma organização
para outra devido:
— à competência de pessoal.
b) Formato(s) (por exemplo: linguagem, versão de software, gráficos) e mídia(s) (por exemplo: papel,
eletrônico), e análise crítica e aprovação para adequação.
Informações documentadas requeridas pelo SGCN e por esta Norma devem ser controladas para
garantir
— retenção e disposição;
— recuperação e uso;
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
Ao estabelecer controle de informações documentadas, a organização deve garantir que haja proteção
adequada a elas (por exemplo: proteção contra comprometimento, modificação não autorizada
ou deleção).
NOTA Acesso implica uma decisão sobre a permissão para visualizar informações documentadas, ou
permissão e autoridade para visualizar informações documentadas etc.
8 Operação
8.1 Planejamento e controle operacional
A organização deve planejar, implementar e controlar os processos necessários para atender aos
requisitos e para implementar as ações determinadas em 6.1, por
A organização deve definir, implementar e manter um processo formal e documentado para a análise
de impacto nos negócios e no processo de avaliação de riscos que
b) considere requisitos legais entre outros aos quais a organização deva atender;
c) determine uma análise sistemática, com priorização de tratamento dos riscos e seus respectivos
custos;
d) defina a estratégia necessária a partir da análise de impacto nos negócios e no processo de ava-
liação de riscos, e
NOTA Existem diversas metodologias para análise de impacto nos negócios e para o processo de avalia-
ção de riscos que determinarão a ordem em que estes serão realizados.
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
c) fixar prazos de forma priorizada para a retomada destas atividades, em um nível mínimo de
execução tolerável, levando em consideração o tempo dentro do qual os impactos desta interrupção
torne-se inaceitável; e
A organização deve estabelecer, implementar e manter um processo documentado dos para avaliação
de riscos que sistematicamente identifique, analise e avalie os riscos de uma interrupção à organização.
NOTA Este processo pode ser realizado em conformidade com a norma ABNT NBR ISO 31000.
A organização deve
NOTA A organização deve estar ciente de que certas determinações governamentais ou financeiras
exigem a comunicação dos riscos em diferentes níveis de detalhe. Além disso, certas necessidades sociais
podem também requerer estas informações em um nível específico de detalhes.
A definição e seleção da estratégia deve ser baseada nos resultados da análise de impacto nos negó-
cios e no processo de avaliação de riscos.
b) estabilizar, continuar, retomar e recuperar atividades priorizadas, bem como suas dependências
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
e recursos de apoio, e
A definição da estratégia deve incluir a aprovação da priorização dos tempos para a retomada das
atividades.
a) pessoas,
b) informações e dados,
f) transporte,
g) finanças, e
h) fornecedores e parceiros.
Para riscos identificados que necessitam de tratamento, a organização deve considerar medidas
proativas que
A organização deve escolher e implementar tratamentos adequados aos riscos, alinhados ao seu
apetite de riscos.
8.4.1 Geral
Os procedimentos devem
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
b) ser específicos sobre as medidas imediatas que devem ser tomadas durante uma interrupção,
e) ter recursos disponíveis para apoiar os processos e procedimentos para a gestão de um incidente,
a fim de minimizar o impacto, e
a) detectar um incidente,
c) fazer a comunicação interna dentro da organização, bem como receber, documentar e responder
a comunicações das partes interessadas,
ou equivalente,
g) armazenar informações vitais sobre o incidente, ações e decisões tomadas, assim como os itens
a seguir devem ser considerados e implementados quando aplicável:
a) papéis e responsabilidades definidos para pessoas e equipes com autoridade durante e após um
incidente,
d) detalhes sobre como, e em que circunstâncias, a organização irá se comunicar com os funcionários
e seus familiares, os principais interessados e contatos de emergência,
e) como a organização vai continuar ou recuperar suas atividades prioritárias dentro de prazos
predefinidos,
1) a estratégia de comunicação,
4) porta-voz apropriado;
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
— propósito e escopo,
— objetivos,
— procedimentos de implementação,
— recursos necessários, e
8.4.5 Recuperação
A organização deve possuir e testar os procedimentos de continuidade de negócios, para garantir que
estes são compatíveis com os seus objetivos de continuidade.
b) sejam baseados em cenários apropriados, sejam bem planejados e possuam escopo e objetivos
claramente definidos,
9 Avaliação de desempenho
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
b) os métodos para monitoramento, medição, análise e avaliação, conforme o caso, para assegurar
resultados válidos;
A organização deve manter uma documentação apropriada como evidência dos resultados.
— agir, quando necessário, para endereçar tendências adversas ou resultados antes que uma não
conformidade ocorra, e
— desempenho dos processos, procedimentos e funções que protegem suas atividades priorizadas,
NOTA Desempenho deficitário pode incluir não conformidade, quase acidentes, alarmes falsos e inciden-
tes de fato.
b) Essas avaliações devem ser realizadas através de análises críticas periódicas, exercícios, testes,
relatórios pós-incidente e avaliações de desempenho. Mudanças significativas decorrentes devem
ser refletidas no(s) procedimento(s) em tempo hábil;
Quando um incidente que cause interrupção e resulte na ativação dos seus procedimentos de conti-
nuidade dos negócios ocorre, a organização deve realizar uma análise crítica pós-incidente e registrar
os resultados.
A organização deve conduzir auditorias internas em intervalos planejados para prover informações
sobre se o sistema de gestão de continuidade dos negócios
a) está em conformidade
A organização deve
— assegurar que os resultados das auditorias sejam reportados para a gerência relevante, e
O programa de auditoria, incluindo qualquer cronograma, deve ser baseado nos resultados das
atividades do processo de avaliação de risco da organização, e nos resultados de auditorias anteriores.
Os procedimentos de auditoria devem cobrir o escopo, frequência, metodologias e competências, bem
como as responsabilidades e requisitos para a realização de auditorias e comunicação dos resultados.
A gerência responsável pela área sendo auditada deve garantir que quaisquer correções necessárias
e ações corretivas sejam realizadas sem demora indevida para eliminar as não conformidades
detectadas e suas causas.
A Alta Direção deve analisar criticamente o SGCN da organização, em intervalos planejados, para
garantir sua contínua aptidão, adequação e eficácia.
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
3) resultados de auditoria;
— oportunidades de melhoria;
— técnicas, produtos ou procedimento, que podem ser usados na organização para melhorar o
desempenho e a eficácia do SGCN;
— quaisquer mudanças que possam afetar o SGCN, tanto internas quanto externas ao escopo do
SGCN;
— adequação da política;
— recomendações de melhoria;
As saídas da análise crítica pela Direção devem incluir decisões relacionadas a oportunidades
de melhoria contínua e à possível necessidade de mudanças do SGCN, e incluem o seguinte:
c) atualização do processo de avaliação de riscos, análise de impacto nos negócios, plano de conti-
nuidade dos negócios e processos relacionados;
5) obrigações contratuais;
7) necessidades de recurso;
A organização deve manter informações documentadas como evidência dos resultados das análises
críticas pela Direção.
A organização deve
10 Melhoria
10.1 Não conformidade e ações corretivas
Quando ocorrer uma não conformidade, a organização deve
c) avaliar a necessidade para a eliminação das causas de não conformidades, de modo que não
ocorra em outro lugar, através da
3) determinação se existe uma não conformidade similar, ou que potencialmente possa ocorrer,
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
4) avaliação da necessidade de ações corretivas das não conformidades de modo que elas não
aconteçam novamente ou em outro lugar
Ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas.
NOTA A organização pode utilizar os processos do SGCN, como liderança, planejamento e avaliação
de desempenho, para alcançar o aprimoramento.
Bibliografia
[2] ABNT NBR ISO 14001, Sistema de gestão ambiental – Requisitos com guia para uso
[3] ABNT NBR ISO 19011, Diretrizes para auditoria de sistema de gestão
[4] ISO/IEC 20000-1, Tecnologia da informação – Gestão de serviços Parte 1: Requisitos do sistema
de gestão de serviços
Exemplar para uso exclusivo - DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES - DNIT - 04.892.707/0001-00
[6] ISO/PAS 22399, Societal security – Guideline for incident preparedness and operational continuity
management
[7] ISO/IEC 24762, Tecnologia da informação – Técnicas de segurança – Diretrizes para os serviços
de recuperação após um desastre na tecnologia da informação e comunicação
[8] ABNT NBR ISO/IEC 27001, Tecnologia da informação – Técnicas de segurança – Sistemas de
gestão de segurança da informação – Requisitos
[9] ISO/IEC 27031, Information technology – Security techniques – Guidelines for information and
communication technology readiness for business continuity
[11] ABNT NBR ISO/IEC 31010, Gestão de riscos – Técnicas para o processo de avaliação de riscos
[13] BS 25999-1, Business continuity management – Code of practice, British Standards Institution
(BSI)
[14] BS 25999-2, Business continuity management – Specification, British Standards Institution (BSI)
[15] SI 24001, Security and continuity management systems – Requirements and guidance for use,
Standards Institution of Israel
[16] NFPA 1600, Standard on disaster/emergency management and business continuity programs,
National Fire Protection Association (USA)
[17] Business Continuity Plan Drafting Guideline, Ministry of Economy, Trade and Industry (Japan),
2005
[18] Business Continuity Guideline, Central Disaster Management Council, Cabinet Office, Government
of Japan, 2005
[19] ANSI/ASIS SPC.1, Organizational Resilience: Security, Preparedness, and Continuity Management
Systems – Requirements with Guidance for Use
[21] ANSI/ASIS/BSI BCM.01, Business Continuity Management Systems: Requirements with Guidance
for Use