• Nenhum resultado encontrado

Artigo: Lista de verificação dos documentos obrigatórios da ISO 22301

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "Artigo: Lista de verificação dos documentos obrigatórios da ISO 22301"

Copied!
10
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 10 páginas )

Texto

(1)

Artigo

: Lista de verificação dos documentos

obrigatórios da ISO 22301

ARTIGO

(2)

Copyright ©2014 27001Academy. Todos direitos reservados. 2

1. SUMÁRIO EXECUTIVO

A lista abaixo mostra o conjunto mínimo de documentos e registros requeridos pela ISO 22301:2012 (a norma se refere a documentos e registros como informação documentada):

Documentos e registros

Número da cláusula na

ISO 22301

Determinado o contexto da organização 4.1

Procedimento para identificação de requisitos legais e regulatórios

aplicáveis 4.2.2

Lista de requisitos legais, regulatórios e outros 4.2.2 Escopo do SGCN (Sistema de Gestão de Continuidade de Negócio) e

explicação das exclusões 4.3

Política de continuidade de negócio 5.3

Objetivos de continuidade de negócio 6.2

Competências de pessoal 7.2

Comunicação com partes interessadas 7.4

Processos para análise de impacto no negócio e levantamento de

risco 8.2.1

Resultados de análises de impacto no negócio 8.2.2

Resultados de levantamentos de riscos 8.2.3

Procedimentos de continuidade de negócio 8.4.1

Procedimentos de resposta a incidente 8.4.2

Decisão se riscos e impactos devem ser comunicados externamente 8.4.2 Comunicação com partes interessadas, incluindo sistemas nacionais

ou regionais de alerta sobre riscos 8.4.3

Registros de informações importantes sobre incidentes e ações e

(3)

Procedimentos para responder a incidentes disruptivos 8.4.4 Procedimentos para restaurar e retornar negócios operando sob

medidas temporárias 8.4.5

Resultados de ações direcionadas a tratativa de tendências ou

resultados adversos 9.1.1

Dados e resultados de monitoramento e medição 9.1.1 Resultados de análises críticas pós incidente 9.1.2

Resultados de auditorias internas 9.2

Resultados de análises críticas pela administração 9.3 Natureza das não conformidades e ações tomadas 10.1

Resultados de ações corretivas 10.1

De nenhuma forma esta é uma lista definitiva de documentos e registros que podem ser usados durante a implementação da ISO 22301 – a norma permite que quaisquer documentos sejam adicionados para melhorar o nível de resiliência.

2. Documentos não obrigatórios comumente

utilizados

Outros documentos frequentemente utilizados são os seguintes:

Documentos

Número da cláusula da ISO

22301

Implementação de plano para atingir os objetivos de

continuidade do negócio 6.2

Plano de treinamento e conscientização 7.2 e 7.3 Procedimento para controle de informação documentada 7.5 Contratos e acordos de nível de serviço (service level

agreements – SLAs) com fornecedores e parceiros em

terceirizações 8.1

Estratégia de continuidade de negócio 8.3

Mitigação de risco 8.3.3

(4)

Copyright ©2014 27001Academy. Todos direitos reservados. 4

Planos de exercício e de testes 8.5

Relatório pós-exercício 8.5

Plano de manutenção do SGCN 9.1.1

Métodos para monitoramento, medição, análise e avaliação 9.1.1

Procedimento para auditoria interna 9.2

Programa de auditoria interna 9.2

Procedimento para ação corretiva 10.1

3. Como estruturar documentos e registros

Determinado o contexto da organização (4.1)

O contexto é geralmente determinado através de diversos documentos, como por exemplo, procedimento para identificação de requisitos, política de continuidade de negócio, metodologia de análise de impacto no negócio, metodologia de levantamento de riscos, etc.

Em outras palavras, você geralmente não produzirá um único documento para determinação do contexto, ao invés disso, você irá documentar o contexto através de diversos outros documentos apropriados.

Procedimento para identificação de requisitos legais e regulatórios aplicáveis & lista de requisitos legais, regulatório e outros (4.2.2)

Este é geralmente um procedimento muito curto que define quem é responsável pela conformidade: quem deve identificar todas as partes interessadas, quem deve seguir todas as leis, regulamentações e outros requisitos de partes interessadas, quem será o responsável por assegurar a conformidade com os requisitos, como estes requisitos serão comunicados, etc.

Este procedimento, e a lista resultante, deveria ser definido logo no início do projeto, porque ele proverá entradas para todo o SGCN.

Leia mais aqui: Como identificar partes interessadas de acordo com a ISO 27001 e ISO 22301.

Escopo do SGCN e explicação de exclusões (4.3)

Este documento também é muito curto, e deveria ser escrito no começo do projeto de continuidade de negócio. Ele deveria definir claramente para quais partes da sua organização o SGCN será aplicado, baseado na identificação de requisitos e aspirações da organização. Ele deveria também explicar a razão pela qual algumas partes da sua organização foram excluídas do escopo.

Muito frequentemente, este documento é integrado a política de continuidade de negócio.

Política de continuidade de negócio e objetivos de continuidade de negócio (5.3, 6.2)

Este é o documento central a partir do qual a alta administração deveria declarar o que eles querem atingir como o SGCN, e como eles irão controlá-lo. Muito frequentemente, a alta administração aprovará apenas

(5)

este documento de alto nível, enquanto outros documentos do SGCN são aprovados por gerente de níveis mais baixos.

Este documento é muito curto, e organizações de pequeno e médio porte geralmente unificam o escopo a ele, assim como os objetivos do SGCN; organizações maiores normalmente teriam o escopo e objetivos como documentos separados.

Os objetivos do SGCN não deveriam ser misturados com Tempos Objetivo de Recuperação (Recovery Time Objectives – RTOs) – objetivos de um SGCN são definidos para o SGCN como um todo, não para as atividades.

Leia mais aqui: The purpose of Business continuity policy according to ISO 22301.

Planos de treinamento e conscientização; competências de pessoal (7.2, 7.3)

Estes planos são geralmente desenvolvidos anualmente, e são normalmente desenvolvidos pela pessoa responsável pela continuidade do negócio em conjunto com o departamento de recursos humanos (se você possui um). Registros de competência são geralmente mantidos pelo departamento de recursos humanos – se você não possui tal departamento, qualquer um que normalmente mantem os registros de empregados deveria estar fazendo este trabalho. Basicamente, uma pasta com todos os documentos contendo estas informações será o suficiente.

Leia mais aqui: Como realizar treinamento e conscientização para a ISO 27001 e ISO 22301.

Comunicação com partes interessadas (7.4)

Tal comunicação geralmente vem em diferentes formas: email, correio, telefone, etc.

Documentar a comunicação é muito fácil – você precisa apenas manter cópias destes emails, cartas, documentos etc. em algum tipo de arquivo. Se comunicação foi feita através de telefone, uma nota deveria ser feita e então arquivada de acordo com regras pré-definidas.

Procedimento para controle de informação documentada (7.5)

Este é normalmente um procedimento isolado, de 2 ou 3 páginas. Se você já implementou alguma outra norma como a ISO 9001, ISO 14001, ISO 22301 ou similar, você pode utilizar o mesmo procedimento para todos estes sistemas de gestão. Algumas vezes é melhor escrever este procedimento como o primeiro documento do projeto.

Leia mais aqui: Gestão de documentos dentro da ISO 27001 e BS 25999-2.

Contratos e acordos de nível de serviço (8.1)

É crucial que seus fornecedores e parceiros em terceirização reajam de forma esperada quando um incidente acontece – é por isso que seria melhor produzir um modelo com os requisitos mínimos de continuidade de negócio que deveriam ser inseridos em cada um dos contratos que você assina com eles.

Processo para análise de impacto no negócio e resultados (8.2.1, 8.2.2)

Antes que você comece a fazer sua análise de impacto no negócio (business impact analysis – BIA), você precisa definir regras sobre como ela será feita – isto é geralmente feito com uma metodologia de análise de impacto no negócio. Tal metodologia deveria ser escrita em 4 ou 5 páginas – curta o bastante para ser facilmente lida, mas não tão curta a ponto de ser vaga.

(6)

Copyright ©2014 27001Academy. Todos direitos reservados. 6

A coleta de dados para tal análisepara esta análise é feita através de questionários, que podem ser uma simples planilha do excel, ou talvez alguma ferramenta específica de BCM (Business Continuity Management).

Os resultados do processo de BIA são documentados tanto no relatório de impacto no negócio (para grandes organizações), ou você pode sumarizá-los na estratégia de continuidade de negócio (esta é a versão mais curta – mais aplicável para organizações de pequeno e médio porte).

Leia mais aqui: Como implementar a análise de impacto no negócio (business impact analysis – BIA) de acordo com a ISO 22301.

Processo para levantamento de riscos e resultados (8.2.1, 8.2.3)

Assim como a análise de impacto no negócio, o levantamento de riscos também precisa ser definido antes que você iniciá-lo, em uma metodologia. Uma vez que a ISO 22301 não especifica os requisitos para o levantamento de riscos, você pode usar a metodologia da ISO 27001 e ISO 27005, uma vez que estas normas provavelmente oferecem a melhor metodologia para levantamento de riscos para continuidade do negócio. Os resultados do levantamento de riscos deveriam ser documentos em um relatório de levantamento de riscos.

Aprenda mais aqui: Can ISO 27001 risk assessment be used for ISO 22301?

Estratégia de continuidade de negócio (8.3)

Esta é uma ligação fundamental entre a análise de impacto no negócio, o levantamento de riscos e os planos – seu propósito é assegurar que todos os recursos estão disponíveis em caso de uma interrupção. Isto é crucial porque sem todos os recursos, o plano de continuidade de negócio não será factível.

A estratégia de continuidade de negócio geralmente é um documento de alto nível, que contém estratégias para cada atividade como apêndices.

Leia mais aqui: A estratégia de continuidade de negócios pode ajudá-lo a economizar dinheiro?

Mitigação de risco & plano de implementação para atingir os objetivos de continuidade de

negócio (6.2, 8.3.3)

A mitigação de risco normalmente é documentada através do plano de tratamento de risco; contudo, é mais prático uni-la a um plano de implementação mais abrangente, que incluiria todas as atividades necessárias para implementar ao SGCN como um todo.

Leia mais aqui: Risk Treatment Plan and risk treatment process – What’s the difference?

Procedimentos de continuidade de negócio (8.4.1)

Falando de forma geral, procedimentos de continuidade de negócio incluem planos de resposta a incidente, planos de continuidade de negócio, planos de recuperação de desastre planos de comunicação, etc. Você pode organizar tais documentos dentro de um único plano de continuidade de negócio, o qual terá apêndices para cada elemento mencionado.

Veja mais detalhes neste artigo: Business continuity plan: How to structure it according to ISO 22301.

Procedimentos de resposta a incidente & registros sobre um incidente (8.4.2, 8.4.3)

Neste procedimento você trata todos os riscos principais que sua organização está enfrentando – e, como responder inicialmente caso tais incidentes aconteçam. Você pode escrever estes procedimentos em um

(7)

único documento, ou como procedimentos separados – um documento para cada incidente potencial. Muito frequentemente, estes são escritos em um documento chamado plano de resposta a incidente; tal(is)

documento(s) pode(m) incluir procedimentos de comunicação, etc. Em outras palavras, estes procedimentos podem ser bem extensos.

Um plano de resposta a incidente deveria definir o método de registrar os fatos sobre o incidente – pode ser algo tão simples quanto notas escritas a mão próximas a cada etapa do plano enquanto ele é executado. Aprenda mais aqui: Activation procedures for business continuity plan.

Procedimentos de comunicação (8.4.2, 8.4.3)

Estes procedimentos devem cobrir decisões tais como se os riscos e impactos devem ser comunicados externamente, e como comunicar com partes interessadas, particularmente com sistemas nacionais e regionais de alerta sobre riscos (por exemplo, alertas de tsunami). Para organizações de pequeno e médio porte, tais procedimentos serão parte do plano de resposta a incidentes, enquanto que para organizações de grande porte eles serão documentos separados.

O principal ponto aqui é definir claramente quem é responsável por se comunicar com quem, especialmente quem está autorizado a se comunicar com a mídia e com as autoridades. Modelos podem ser desenvolvidos para se comunicar com a mídia, os quais ajudarão a emitir comunicados (press releases) rapidamente, se necessário.

Procedimentos para responder a incidentes disruptivos (8.4.4)

Estes são normalmente procedimentos para recuperação de desastres (focados em como recuperar a infraestrutura de tecnologia da informação e comunicação), e procedimentos de recuperação de atividades (focados em recuperar o aspecto de negócio da organização).

Juntamente como plano de resposta a incidente, estes procedimentos formam a maior parte dos procedimentos de continuidade de negócio.

Leia mai aqui: Recuperação em caso de desastre vs. continuidade de negócios.

Procedimentos para restaurar e retornar o negócio operando a partir de medidas

temporárias (8.4.5)

Em muitos casos, estes procedimentos não serão muito detalhados, porque você pode não saber de antemão que tipo de dano suas instalações irão sofrer. Desta forma, você pode definir brevemente de quem será a responsabilidade de avaliar os danos e tomar as decisões apropriadas – você pode colocar tais procedimentos em seu plano de continuidade de alto nível.

Cenários de incidente (8.5)

Estas são descrições curtas (ou estórias) de como um certo incidente pode se desenrolar e como ele iria impactar as atividades da sua organização.

Eles deveriam ser desenvolvidos baseados nos resultados de um levantamento de riscos (eles deveriam refletir os principais riscos), e pode se adicionado tanto ao plano de exercícios e testes quanto a estratégia de continuidade de negócio.

(8)

Copyright ©2014 27001Academy. Todos direitos reservados. 8

Planos de exercício e teste & relatórios pós-exercício (8.5)

Exercícios e testes são cruciais para a melhoria dos procedimentos de continuidade de negócio –

normalmente, você deveria realizar execícios e teste ao menos uma vez ao ano, e eles deveriam se tornar mais e mais desafiadores a cada ano.

Cada plano deveria definir os objetivos que devem ser atingidos, e os cenários; o relatório deve revelar até que ponto estes objetivos foram atingidos.

Resultados de ações relacionadas a tratativa de tendências ou resultados adversos (9.1.1)

Estas ações são refletidas de duas formas: (1) Plano de tratamento de riscos (mencionado anteriormente), e (2) ações preventivas.

Ações preventivas não são obrigatórias na ISO 22301, mas elas existem nas ISO 27001, ISO 9001 e outros sistemas de gestão – portanto, se você já possui um procedimento para ações preventivas por causa de outros sistemas, você pode utilizá-lo para o seu SGCN.

Plano de manutenção do SGCN (9.1.1)

Uma vez que a documentação do SGCN pode ser bem extensa, e tornar-se obsoleta muito facilmente, é uma boa prática definir exatamente quando cada documento será revisado. Isto pode ser feito por meio de uma simples tabela definindo quando cada documentos deveria ser revisado, e por quem.

Métodos para monitoramento, medição, análise e avaliação (9.1.1)

A forma mais fácil de descrever como o sistema será medido é através de política e procedimento – normalmente, esta descrição pode ser escrita ao final de cada documento, e tal descrição define os tipos de KPIs (key performance indicators – indicadores chave de performance) que precisam ser medidos para cada documento.

Dados e resultados de monitoramento e medição (9.1.1)

Estres são todos os relatórios, KPIs, resultados não oficiais enviados por e-mail, decisões etc. – todos estes deveriam ser mantidos por um período de tempo especificado.

Resultados de revisões pós-incidente (9.1.2)

O melhor método seria criar um formulário com todos os dados necessários de serem levados em conta após um incidente ter ocorrido. Quando tal formulário é preenchido e conclusões apropriadas são feitas (se o plano de continuidade foi realizado de forma bem sucedida ou não), ele deveria ser mantido por um período de tempo especificado.

Procedimento de auditoria interna, programa de auditoria interna e resultados de

auditorias internas (9.2)

O procedimento de auditoria interna normalmente é um procedimento isolado que pode ter entre 2 e 3 páginas, e deve ser escrito antes que a auditoria interna tenha início. Assim como o procedimento para controle de documentos, um processo de auditoria interna pode ser usado para qualquer sistema de gestão. Um programa de auditoria interna pode ser um documento simples de uma página descrevendo quando cada auditoria irá ocorrer, e quem irá realizá-la.

Os resultados das auditoria internas são documentados através do relatório de auditoria interna – tal relatório deveria cobrir todas as não conformidades, assim como as obervações.

(9)

Leia mais aqui: Como fazer uma Lista de Verificação para Auditoria Interna da ISO 27001 / ISO 22301.

Resultados da análise crítica pela administração (9.3)

Estes registos normalmente estão na forma de minutas de reunião – Elas devem incluir todos os materiais que foram incluídos na reunião da administração, assim como todas as decisões que foram tomadas. As minutas podem estar em formulário de papel ou digital.

Leia mais aqui: Por que a análise crítica pela direção é importante para a ISO 27001 e ISO 22301?

Não conformidades e ações corretivas (10.1)

Geralmente, isto é coberto pelo procedimento para ações corretivas – se você já possui certificação em ISO 27001, ISO 9001 ou utra norma de gestão, então você pode utilizar o procedimento existente para este propósito.

Geralmente, tal procedimento não possui mais do que 2 ou 3 páginas. Este procedimento pode ser escrito ao final do projeto de implantação, embora seja melhor ser escrito mais cedo, de forma que os empregados possam ter tempo de se acostumar a ele.

Resultados de ações corretivas são tradicionalmente incluídos em formulários de ação corretiva (corrective action forms – CARs). Contudo, é muito melhor incluir tais registros em alguma aplicação que já esteja em uso na organização para suportar as atividades de Help Desk – por que ações corretivas são nada mais nada menos do que listas de coisas a fazer com definições claras de responsabilidades, tarefas e prazos.

Leia mais aqui: Uso prático das ações corretivas para a ISO 27001 e ISO 22301.

4. Amostra de modelos de documentos

Aqui você pode baixar uma prévia gratuita de Kit de documentação premium da ISO 27001 e ISO 22301 – nesta prévia gratuita você será capaz de ver a tabela de conteúdo de cada plano, políticas e procedimentos, assim como algumas poucas seções de cada documento.

(10)

Copyright ©2014 27001Academy. Todos direitos reservados. 10

EPPS Services Ltd. para negócios eletrônicos e consultoria de negócio UI. Vladimira Nazora 59, 10000 Zagreb Croácia, União Européia

Email: support@iso27001standard.com Fone: +385 1 48 34 120

Fone (para cliente nos E.U.A.): +1 (646) 797 2744 Fax: +385 1 556 0711

Referências

Descarregar agora ( PDF - 10 páginas - 629.46 KB )

Documentos relacionados

Relação entre a gestão pública e as instituições privadas de ensino no processo de inclusão de crianças com necessidades educacionais especiais

Neste capítulo, será apresentada a Gestão Pública no município de Telêmaco Borba e a Instituição Privada de Ensino, onde será descrito como ocorre à relação entre

The role of the university in terms of realisation of freedom of teaching and freedom of scientific research – polish case

versity; Dewajtis 5, 01-815 Warszawa, Poland; a.syryt@uksw.edu.pl Abstract: The terms “university”, “teaching” and “research” are closely related. The reason for the

A Lista de Fauna Ameaçada de Extinção e os Entraves para a Inclusão de Espécies – o Exemplo dos Peixes Troglóbios Brasileiros

A Lista de Fauna Ameaçada de Extinção e os Entraves para a Inclusão de Espécies – o Exemplo dos Peixes Troglóbios Brasileiros.. The List of Endangered Fauna and Impediments

ARNALDO FERNANDES CORRÊA ESTUDO DE CASO: O PROCESSO DE IMPLEMENTAÇÃO DA DIRETORIA DE PESSOAL NA REGIONAL DE ENSINO DE UBÁMG

Esta dissertação pretende explicar o processo de implementação da Diretoria de Pessoal (DIPE) na Superintendência Regional de Ensino de Ubá (SRE/Ubá) que conforme a

Relatório de estágio na C.C.D.R. Centro

Mestrado em Administração e Gestão Pública, começo por fazer uma breve apresentação histórica do surgimento de estruturas da Administração Central com competências em matéria

Instrumentação básica e sistema de telemetria para baja

Além de serem gravados no cartão, os dados são transmitidos através de um módulo de rádio frequência transmissor para um receptor do modelo, onde há um outro PIC capaz de

Problemas ambientais causados pelo crescimento urbano na cidade de São José do Campestre - RN

São muitos os problemas ambientais causados pelo crescimento urbano, o poder público não acompanha esse crescimento com investimentos em obras de infraestrutura, são ocupados