Fundamentos da ISO 22301

O que é a ISO 22301?

O nome completo deste padrão é ISO 22301:2012 Segurança social – Sistemas de gestão da continuidade de negócios – Requisitos. Este padrão é escrito pelos maiores especialistas em continuidade de negócios e oferece a melhor estrutura para a gestão da continuidade de negócios em uma organização.

Um dos recursos que diferenciam este padrão em comparação a outras estruturas/padrões de continuidade de negócios é o fato de que uma organização pode obter a certificação por meio de um corpo de certificação reconhecido, e assim ser capaz de comprovar a conformidade aos seus clientes, parceiros, proprietários e outros stakeholders.

Relação com a BS 25999-2

A ISO 22301 substituiu a 25999-2 – estes dois padrões são muito similares, mas a ISO 22301 pode ser considerada como uma atualização da BS 25999-2. Para conhecer as diferenças entre estes dois padrões, consulte o infográfico ISO 22301 vs. BS 25999-2.

Quais são os benefícios da continuidade de negócios?

Quando implementada corretamente, a gestão de continuidade de negócios irá reduzir a probabilidade de incidentes disruptivos, e se algum chegar a ocorrer, a organização estará pronta para responder de forma apropriada, reduzindo drasticamente o dano em potencial de tal incidente.

Quem pode implementar este padrão?

Qualquer organização – grande ou pequena, com ou sem fins lucrativos, públicas ou privadas. O padrão foi concebido de tal forma que é aplicável em qualquer tamanho ou tipo de organização.

Como a continuidade de negócios se encaixa na gestão global?

A continuidade de negócios faz parte da gestão de risco global em uma empresa, com áreas que se sobrepõe à gestão de segurança e de TI.

Nota: A gestão de risco faz parte da gestão corporativa geral.

Termos básicos usados em um padrão

  • Sistema de gestão da continuidade de negócios (BCMS) – parte do sistema de gestão global que cuida de como a continuidade de negócios é planejada, implementada, mantida e aprimorada continuamente
  • Máxima interrupção aceitável (MAO) – quantidade de tempo máxima em que uma atividade pode ser interrompida sem incorrer em danos inaceitáveis (Período de disrupção máximo tolerado – MTPD)
  • Objetivo de tempo de recuperação (RTO) – tempo pré-determinado em que uma atividade deve ser retomada, ou recursos devem ser recuperados
  • Objetivo de ponto de recuperação (RPO) – perda de dados máxima, por exemplo, a quantidade mínima de dados que precisa ser restaurada
  • Objetivo de continuidade de negócios mínimo (MBCO) – nível mínimo de serviços ou produtos que uma organização precisa produzir após retomar as suas operações de negócios

Conteúdo da ISO 22301

O padrão inclui estas seções:

Introdução

0.1 Geral

0.2 O modelo Planeje-Faça-Verifique-Aja (PDCA)

0.3 Componentes do PDCA neste padrão internacional

1 Escopo

2 Referências normativas

3 Termos e definições

4 Contexto da organização

4.1 Compreendendo a organização e seu contexto

4.2 Compreendendo as necessidades e expectativas das partes interessadas

4.3 Determinado o escopo do sistema de gestão

4.4 Sistema de gestão da continuidade de negócios

5 Liderança

5.1 Geral

5.2 Gestão de compromisso

5.3 Política

5.4 Papéis organizacionais, responsabilidades e autoridades

6 Planejamento

6.1 Ações para abordar riscos e oportunidades

6.2 Objetivos da continuidade de negócios e planos para alcançá-los

7 Suporte

7.1 Recursos

7.2 Competência

7.3 Conscientização

7.4 Comunicação

7.5 Informações documentadas

8 Operação

8.1 Planejamento e controle operacional

8.2 Análise de impacto nos negócios e avaliação de riscos

8.3 Estratégia de continuidade de negócios

8.4 Estabelecer e implementar procedimentos de continuidade de negócios

8.5 Exercícios e testes

9 Avaliação de desempenho

9.1 Monitoramento, medida, análise e avaliação

9.2 Auditoria interna

9.3 Análise crítica da gestão

10 Melhoria

10.1 Não-conformidade e ação corretiva

10.2 Melhoria contínua

Bibliografia

Documentação obrigatória

Se uma organização deseja implementar este padrão, os seguintes documentos são obrigatórios:

  • Lista de requisitos legais, regulamentares e outros
  • Escopo do BCMS
  • Política de continuidade de negócios
  • Objetivos da continuidade de negócios
  • Evidência de competências pessoais
  • Registros de comunicação com as partes interessadas
  • Análise de impacto nos negócios
  • Avaliação de riscos, incluindo tratamento de riscos
  • Estrutura de resposta a incidentes
  • Planos de continuidade de negócios
  • Procedimentos de recuperação
  • Resultados de ações preventivas
  • Resultados de monitoramento e medida
  • Resultados de auditoria interna
  • Resultados de revisão de gestão
  • Resultados de ações corretivas

Clique aqui para ver explicação detalhada de cada um dos documentos obrigatórios.

Normas relacionadas

Outros padrão são úteis em uma implementação de continuidade de negócios:

  • ISO/IEC 27031:2011 – Diretrizes de adequação à tecnologia da informações e comunicação para a continuidade de negócios
  • PAS 200 – Gerenciamento de crises – Orientação e melhores práticas
  • PD 25666 – Orientação em exercícios e testes para programas de continuidade e contingência
  • PD 25111 – Orientação sobre os aspectos humanos da continuidade de negócios
  • ISO/IEC 24762 – Diretrizes para serviços de recuperação de desastres para tecnologia da informação e comunicação
  • ISO/PAS 22399 – Diretrizes para adequação a incidentes e gestão de continuidade operacional
  • ISO/IEC 27001 – Sistemas de gestão de segurança da informação – Requisitos

Para saber mais sobre a implementação da ISO 22301, por favor, visite nossa página ISO 22301 Download gratuito. Você encontrará vários recursos úteis.

rhand-circle

Rhand Leal
Especialista em 27001 para o Brasil

Você tem alguma questão sobre qualquer etapa?

Converse com nossos consultores gratuitamente

AGENDE UMA CONSULTORIA GRATUITA

Calculadora gratuita de Retorno sobre o Investimento em Segurança

Você já enfrentou uma situação onde lhe disseram que as medidas de segurança eram muito caras? Ou onde você encontrou muita dificuldade em explicar para a sua gerência quais as consequências se um incidente ocorresse? Provar que vale a pena investir em segurança é difícil, mas nossa calculadora de Retorno sobre o Investimento (Return on Security Investment – ROSI) pode ajudar você. Ela é completamente gratuita.

VEJA COMO FUNCIONA

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM, TL e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.