{"id":4348,"date":"2015-06-18T17:04:13","date_gmt":"2015-06-18T17:04:13","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/015\/06\/18\/como-usar-a-iso-22301-para-implementar-a-continuidade-de-negocio-na-iso-27001\/"},"modified":"2022-07-17T15:53:25","modified_gmt":"2022-07-17T15:53:25","slug":"como-usar-a-iso-22301-para-implementar-a-continuidade-de-negocio-na-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2015\/06\/18\/como-usar-a-iso-22301-para-implementar-a-continuidade-de-negocio-na-iso-27001\/","title":{"rendered":"Como usar a ISO 22301 para implementar a continuidade de neg\u00f3cio na ISO 27001"},"content":{"rendered":"

how to Um dos maiores mist\u00e9rios na implementa\u00e7\u00e3o da ISO 27001<\/a>\u00a0\u00e9 a se\u00e7\u00e3o A.17 do Anexo A, que trata da gest\u00e3o da continuidade do neg\u00f3cio. Como a continuidade do neg\u00f3cio se relaciona \u00e0 seguran\u00e7a da informa\u00e7\u00e3o, e por que ela \u00e9 inclu\u00edda na ISO 27001? Infelizmente, a ISO 27001 n\u00e3o prove muitos detalhes quando se trata de continuidade de neg\u00f3cio.<\/p>\n

Para aumentar a confus\u00e3o, a ISO 27001 fala sobre \u201caspectos de seguran\u00e7a da informa\u00e7\u00e3o na gest\u00e3o da continuidade de neg\u00f3cio\u201d \u2013 o que isto significa? Basicamente, isto quer dizer que uma organiza\u00e7\u00e3o deveria possibilitar que sua seguran\u00e7a da informa\u00e7\u00e3o continuasse a operar ap\u00f3s um incidente; contudo, uma vez que a seguran\u00e7a da informa\u00e7\u00e3o por si s\u00f3 (sem os principais processos de neg\u00f3cio e de TI) n\u00e3o faz sentido, organiza\u00e7\u00f5es tipicamente planejam sua continuidade de neg\u00f3cio para todas as opera\u00e7\u00f5es importantes tanto de neg\u00f3cio quanto de TI).<\/p>\n

Como a ISO 27001 e ISO 22301 s\u00e3o similares?<\/h2>\n

Primeiro de tudo, seguran\u00e7a da informa\u00e7\u00e3o e continuidade de neg\u00f3cio tem uma coisa muito importante em comum: ambas protegem a disponibilidade da informa\u00e7\u00e3o \u2013 \u00e9 por isso que a ISO 27001 precisou incluir controles de continuidade de neg\u00f3cio em seus Anexo A.<\/p>\n

A ISO 22301 \u00e9 a norma internacional l\u00edder em continuidade de neg\u00f3cio (tenha uma vis\u00e3o geral aqui: O que \u00e9 a ISO 22301?<\/a>), e como todas a normas de gest\u00e3o ISO, \u00e9 baseada no ciclo PDCA (Plan-Do-Check-Act). Isto significa que ela tem praticamente os mesmos elementos da ISO 27001 e de outras normas ISO: controle de documento, auditoria interna<\/a>, a\u00e7\u00f5es corretivas<\/a>, an\u00e1lise cr\u00edtica pela administra\u00e7\u00e3o<\/a>, treinamento & conscientiza\u00e7\u00e3o<\/a>, etc.<\/p>\n

Assim, se voc\u00ea j\u00e1 implementou todos estes elementos para a ISO 27001, ent\u00e3o voc\u00ea j\u00e1 est\u00e1 totalmente em conformidade com a ISO 22301 quando se trata de gerir o sistema. Existem tamb\u00e9m alguns outros elementos da ISO 27001 que s\u00e3o totalmente compat\u00edveis com a ISO 22301 \u2013 e.g., a gest\u00e3o de riscos \u2013 veja este artigo para detalhes: Can ISO 27001 risk assessment be used for ISO 22301?<\/a><\/p>\n

Onde elas s\u00e3o diferentes<\/h2>\n

A ISO 27001 \u00e9 bem pobre quando se trata de documenta\u00e7\u00e3o de continuidade de neg\u00f3cio \u2013 \u00e9 basicamente o suficiente para escrever um Plano de recupera\u00e7\u00e3o de desastre<\/a>\u00a0para cobrir o controle A.17.1.2 (que requer a implementa\u00e7\u00e3o de procedimentos de continuidade) e controle A.17.2.1 (que requer a disponibilidade da TI, i.e., a redund\u00e2ncia). Veja tamb\u00e9m: Lista de documentos obrigat\u00f3rios requeridos pela ISO 27001 (revis\u00e3o de 2013)<\/a>.<\/p>\n

Por outro lado, como seria de se esperar, a ISO 22301 requer o desenvolvimento de mais documentos, muitos deles para estes elementos essenciais da continuidade de neg\u00f3cio:<\/p>\n