Fundamentos da ISO 22301
|
Como a continuidade de negócios se encaixa na gestão global?↓ |
O que é a ISO 22301?
O nome completo deste padrão é ISO 22301:2012 Segurança social - Sistemas de gestão da continuidade de negócios - Requisitos. Este padrão é escrito pelos maiores especialistas em continuidade de negócios e oferece a melhor estrutura para a gestão da continuidade de negócios em uma organização.
Um dos recursos que diferenciam este padrão em comparação a outras estruturas/padrões de continuidade de negócios é o fato de que uma organização pode obter a certificação por meio de um corpo de certificação reconhecido, e assim ser capaz de comprovar a conformidade aos seus clientes, parceiros, proprietários e outros stakeholders.
Relação com a BS 25999-2
A ISO 22301 substituiu a 25999-2 – estes dois padrões são muito similares, mas a ISO 22301 pode ser considerada como uma atualização da BS 25999-2. Para conhecer as diferenças entre estes dois padrões, consulte o infográfico ISO 22301 vs. BS 25999-2.
Quais são os benefícios da continuidade de negócios?
Quando implementada corretamente, a gestão de continuidade de negócios irá reduzir a probabilidade de incidentes disruptivos, e se algum chegar a ocorrer, a organização estará pronta para responder de forma apropriada, reduzindo drasticamente o dano em potencial de tal incidente.
Quem pode implementar este padrão?
Qualquer organização - grande ou pequena, com ou sem fins lucrativos, públicas ou privadas. O padrão foi concebido de tal forma que é aplicável em qualquer tamanho ou tipo de organização.
Como a continuidade de negócios se encaixa na gestão global?
A continuidade de negócios faz parte da gestão de risco global em uma empresa, com áreas que se sobrepõe à gestão de segurança e de TI.
Nota: A gestão de risco faz parte da gestão corporativa geral.
Termos básicos usados em um padrão
- Sistema de gestão da continuidade de negócios (BCMS) - parte do sistema de gestão global que cuida de como a continuidade de negócios é planejada, implementada, mantida e aprimorada continuamente
- Máxima interrupção aceitável (MAO) - quantidade de tempo máxima em que uma atividade pode ser interrompida sem incorrer em danos inaceitáveis (Período de disrupção máximo tolerado - MTPD)
- Objetivo de tempo de recuperação (RTO) - tempo pré-determinado em que uma atividade deve ser retomada, ou recursos devem ser recuperados
- Objetivo de ponto de recuperação (RPO) - perda de dados máxima, por exemplo, a quantidade mínima de dados que precisa ser restaurada
- Objetivo de continuidade de negócios mínimo (MBCO) - nível mínimo de serviços ou produtos que uma organização precisa produzir após retomar as suas operações de negócios
Conteúdo da ISO 22301
O padrão inclui estas seções:
|
Introdução 0.1 Geral 0.2 O modelo Planeje-Faça-Verifique-Aja (PDCA) 0.3 Componentes do PDCA neste padrão internacional 1 Escopo 2 Referências normativas 3 Termos e definições 4 Contexto da organização 4.1 Compreendendo a organização e seu contexto 4.2 Compreendendo as necessidades e expectativas das partes interessadas 4.3 Determinado o escopo do sistema de gestão 4.4 Sistema de gestão da continuidade de negócios |
5 Liderança 5.1 Geral 5.2 Gestão de compromisso 5.3 Política 5.4 Papéis organizacionais, responsabilidades e autoridades 6 Planejamento 6.1 Ações para abordar riscos e oportunidades 6.2 Objetivos da continuidade de negócios e planos para alcançá-los 7 Suporte 7.1 Recursos 7.2 Competência 7.3 Conscientização 7.4 Comunicação 7.5 Informações documentadas |
8 Operação 8.1 Planejamento e controle operacional 8.2 Análise de impacto nos negócios e avaliação de riscos 8.3 Estratégia de continuidade de negócios 8.4 Estabelecer e implementar procedimentos de continuidade de negócios 8.5 Exercícios e testes 9 Avaliação de desempenho 9.1 Monitoramento, medida, análise e avaliação 9.2 Auditoria interna 9.3 Análise crítica da gestão 10 Melhoria 10.1 Não-conformidade e ação corretiva 10.2 Melhoria contínua Bibliografia |
Documentação obrigatória
Se uma organização deseja implementar este padrão, os seguintes documentos são obrigatórios:
- Lista de requisitos legais, regulamentares e outros
- Escopo do BCMS
- Política de continuidade de negócios
- Objetivos da continuidade de negócios
- Evidência de competências pessoais
- Registros de comunicação com as partes interessadas
- Análise de impacto nos negócios
- Avaliação de riscos, incluindo tratamento de riscos
- Estrutura de resposta a incidentes
- Planos de continuidade de negócios
- Procedimentos de recuperação
- Resultados de ações preventivas
- Resultados de monitoramento e medida
- Resultados de auditoria interna
- Resultados de revisão de gestão
- Resultados de ações corretivas
Padrões relacionados
Outros padrão são úteis em uma implementação de continuidade de negócios:
- ISO/IEC 27031:2011 – Diretrizes de adequação à tecnologia da informações e comunicação para a continuidade de negócios
- PAS 200 – Gerenciamento de crises – Orientação e melhores práticas
- PD 25666 – Orientação em exercícios e testes para programas de continuidade e contingência
- PD 25111 – Orientação sobre os aspectos humanos da continuidade de negócios
- ISO/IEC 24762 – Diretrizes para serviços de recuperação de desastres para tecnologia da informação e comunicação
- ISO/PAS 22399 – Diretrizes para adequação a incidentes e gestão de continuidade operacional
- ISO/IEC 27001 – Sistemas de gestão de segurança da informação – Requisitos
