NBR ISO 22313 - Orient GRisco - Draft 2015

ABNT/CEE-063
PROJETO ABNT NBR ISO 22313

AGO 2015
Segurança da sociedade — Sistemas de gestão de continuidade de

negócios — Orientações
APRESENTAÇÃO
Projeto em Consulta Nacional
1) Este Projeto foi elaborado pela Comissão de Estudo Especial de Gestão de Riscos
(ABNT/CEE-063), com número de Texto-Base 063:000.002-002, nas reuniões de:
06.08.2014 15.10.2014 10.02.2015
a) É previsto para cancelar e substituir a ABNT NBR 15999:12007, quando aprovado,

sendo que nesse ínterim a referida norma continua em vigor
b) É Previsto para ser idêntico à ISO 22313:2012, que foi elaborada pelo Technical
Committee Security (ISO/TC 292), conforme ISO/IEC Guide 21-1:2005;
c) Não tem valor normativo.
2) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informação em seus comentários, com documentação comprobatória;
3) Tomaram parte na sua elaboração:
Participante Representante
UNB Edgar Costa

BIOINICIATIVA Thiago Branquinho
QSP Francesco De Cicco
MÓDULO Marcelo Ramos
MÓDULO Alberto Bastos
MÓDULO Victor Brito Ferraz
FIOCRUZ Misael Araújo
BRASILIANO ASSOCIADOS Antônio Celso R. Brasiliano
CASA DA MOEDA Gisela Pires Terra
CASA DA MOEDA Anna Edith Carneiro
COPEL Marcelo Perdoncini
© ABNT ‌2015
Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte desta publicação pode ser modificada
ou utilizada de outra forma que altere seu conteúdo. Esta publicação não é um documento normativo e tem
apenas a incumbência de permitir uma consulta prévia ao assunto tratado. Não é autorizado postar na internet
ou intranet sem prévia permissão por escrito. A permissão pode ser solicitada aos meios de comunicação da ABNT.
NÃO TEM VALOR NORMATIVO

ABNT NBR ISO 22313:2015
ELETROBRAS Bianca Paranhos

FIOCRUZ/ BIO MANGUINHOS Gisele Cotias Nero
HOPE CONSULTORIA Jose Luiz de Moura Santos
INMETRO Mayard Zolotar
INMETRO Janaína Goulart
INMETRO Maria Luiza Martins

PETROBRAS Denise Faertes
PETROBRAS William Borges Lima
PREVI Newton Pinto da Cunha
RELIA PLUS CONSULTING Salvador Simões Filho
UFF Gabriela Franco S. V. Maciel
WITT-O'BRIENS BRASIL Fernando Marinho
viii © ISO 2012 - © ABNT ‌2015 - Todos os direitos reservados

ABNT/CEE-063
AGO 2015

Societal security ─ Business continuity management systems ─ Guidance

Prefácio Nacional
A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas

Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos de
Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais (ABNT/CEE), são elaboradas
por Comissões de Estudo (CE), formadas pelas partes interessadas no tema objeto da normalização.
Os Documentos Técnicos ABNT são elaborados conforme as regras da Diretiva ABNT, Parte 2.
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais direitos
de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados à ABNT
a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Ressalta-se que Normas Brasileiras podem ser objeto de citação em Regulamentos Técnicos. Nestes
casos, os Órgãos responsáveis pelos Regulamentos Técnicos podem determinar outras datas para
exigência dos requisitos desta Norma, independentemente de sua data de entrada em vigor.
A ABNT NBR ISO 22313 foi elaborada pela Comissão de Estudo Especial de Gestão de Riscos
(ABNT/CEE-063). O Projeto circulou em Consulta Nacional conforme Edital nº XX, de XX.XX.XXXX a
XX.XX.XXXX.
Esta Norma é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO 22313:2012, que
foi elaborada pelo Technical Committee Security (ISO/TC 292), conforme ISO/IEC Guide 21-1:2005.
O Escopo em inglês desta Norma Brasileira é o seguinte:
Scope
This Standard for business continuity management systems provides guidance based on good international
practice for planning, establishing, implementing, operating, monitoring, reviewing, maintaining and
continually improving a documented management system that enables organizations to prepare for,
respond to and recover from disruptive incidents when they arise.
It is not the intent of this Standard to imply uniformity in the structure of a BCMS but for an organization to
design a BCMS that is appropriate to its needs and that meets the requirements of its interested parties.
These needs are shaped by legal, regulatory, organizational and industry requirements, the products and
services, the processes employed, the environment in which it operates, the size and structure of the
organization and the requirements of its interested parties.
This Standard is generic and applicable to all sizes and types of organizations, including large, medium
and small organizations operating in industrial, commercial, public and not-for-profit sectors that wish to:
a) establish, implement, maintain and improve a BCMS;

ABNT/CEE-063
AGO 2015
b) ensure conformance with the organization’s business continuity policy; or
c) make a self-determination and self-declaration of compliance with this International Standard.
This Standard cannot be used to assess an organization’s ability to meet its own business continuity
needs, nor any customer, legal or regulatory needs. Organizations wishing to do so can use the
ABNT NBR ISO 22301 requirements to demonstrate conformance to others or seek certification
of its BCMS by an accredited third party certification body.

ABNT/CEE-063
AGO 2015
Introdução
Generalidades
Esta Norma fornece orientação, onde apropriado, sobre os requisitos da ABNT NBR ISO 22301:2013
e fornece recomendações (“convém que”) e permissões (“pode”) em relação a eles. Não é a intenção
desta Norma fornecer orientações gerais sobre todos os aspectos da continuidade de negócios.
Esta Norma inclui os mesmos títulos que a ABNT NBR ISO 22301, mas não repete os requisitos
para sistemas de gestão de continuidade de negócios e seus termos e definições relacionados. As
organizações que desejam ser informadas destas, portanto, devem consultar a ABNT NBR ISO 22301
e a ISO 22300.
Para fornecer mais esclarecimentos e explicação de pontos-chave, esta Norma inclui uma série
de figuras. Todas essas figuras são apenas para fins ilustrativos e o texto relacionado no corpo desta
Norma tem precedência.
Um sistema de gestão de continuidade de negócios (SGCN) enfatiza a importância de:
—— compreender as necessidades da organização e a necessidade de estabelecer uma política e

objetivos de continuidade de negócios;
—— implementar e operar controles e medidas para a gestão da capacidade geral de uma organização
para gerenciar incidentes de interrupção;
—— monitorar e analisar criticamente o desempenho e a eficácia dos SGCN e
—— melhorar continuamente, com base em medições objetivas.
O SGCN, como qualquer outro sistema de gestão, inclui os principais componentes a seguir:
a) uma política;
b) pessoas com responsabilidades definidas;
c) processos de gestão relativos a:
1) política;
2) planejamento;
3) implementação e operação;
4) avaliação de desempenho;
5) análise crítica da gestão e,
6) melhoria.
d) um conjunto de documentação fornecendo evidências auditáveis, e
e) quaisquer processos do SGCN relevantes para a organização.

ABNT/CEE-063
AGO 2015
Geralmente a continuidade de negócios é específica para uma organização, no entanto, a sua

implementação pode ter implicações de longo alcance sobre a comunidade em geral e terceiros.
É provável que uma organização tenha outras organizações externas que dependam dela, e assim
vice-versa. Uma continuidade de negócios eficaz, portanto, contribui para uma sociedade mais
resiliente.
O ciclo Plan-do-check-act
Esta Norma adota o modelo “Plan-do-check-act” (PDCA) para planejar, estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar continuamente a eficácia do SGCN de uma
organização.
A Figura 1 ilustra a forma como o SGCN leva requisitos das partes interessadas como insumos para
a gestão de continuidade de negócios (GCN) e, por meio das ações necessárias e processos, produz
resultados de continuidade de negócios (por exemplo, gestão de continuidade de negócios) que
atendem a esses requisitos.
Melhoria continua do Sistema de

Gestão de Continuidade de Negócios
(SGCN)
Partes
Partes
interessadas
interessadas
Estabelecer
(Plan)
Manter e Implementar
melhorar e operar
(Act) (Do)
Monitorar e
Requisitos para a revisar
(Check) Continuidade de
continuidade de negócios
negócios gerenciada
Figura 1 – Modelo PDCA aplicado aos processos do SGCN

ABNT/CEE-063
AGO 2015
Tabela 1 – Explicação do modelo PDCA
Plan Estabelecer uma política de continuidade de negócios, objetivos, metas,

(Estabelecer) controles, processos e procedimentos pertinentes para a melhoria da
continuidade de negócios de forma a ter resultados alinhados com os objetivos
e políticas gerais da organização.
Do
Implementar e operar a política de continuidade de negócios, controles,
(Implementar e
processos e procedimentos.
operar)
Check Monitorar e analisar criticamente o desempenho em relação aos objetivos e
(Monitorar e política de continuidade de negócios, reportar os resultados para a direção
revisar) para análise crítica, e definir e autorizar ações de melhorias e correções.
Act Manter e melhorar o SGCN tomando ações corretivas e preventivas, baseadas
(Manter e nos resultados da análise crítica da direção e reavaliando o escopo do SGCN
melhorar) e as políticas e objetivos de continuidade de negócios.
Componentes do PDCA desta Norma
Existe uma relação direta entre o conteúdo da Figura 1 e as seções desta Norma:
Tabela 2 – Relação entre o modelo PDCA e as Seções 4 a 10
Componente PDCA Sessão correspondente ao componente PDCA

Seção 4 (Contexto da organização) determina o que a organização tem
de fazer para se certificar de que o SGCN atende seus requisitos, tendo
em conta todos os fatores internos e externos relevantes, incluindo:
—— As necessidades e expectativas das partes interessadas.
—— As suas obrigações legais e regulamentares.
—— O escopo exigido do SGCN.
Seção 5 (Liderança) define o papel fundamental da gestão em termos
Plan de compromisso demonstrado, definindo uma política e estabelecendo
(Estabelecer) funções, responsabilidades e autoridades.
Seção 6 (Planejamento) descreve as ações necessárias para estabelecer
objetivos estratégicos e princípios orientadores para o SGCN como um todo.
Estes definem o contexto para a análise de impacto nos negócios e avaliação
de riscos (8.2) e estratégia de continuidade de negócios (8.3).
Seção 7 (Suporte) identifica os elementos-chave que precisam estar
implementados para apoiar o SGCN, a saber: recursos, competência,
consciência, comunicação e informação documentada.
Do Seção 8 (Operação) identifica os elementos de gestão de continuidade
(Implementar e de negócios (GCN) que são necessários para garantir a continuidade
operar) do negócio.
Check Seção 9 (Avaliação de desempenho) fornece a base para a melhoria
(Monitorar e revisar) do SGCN através de medição e avaliação do seu desempenho.
Act Seção 10 (Melhoria) abrange a ação corretiva necessária para enfrentar não
(Manter e melhorar) conformidades identificadas por meio de avaliação de desempenho.
NÃO TEM VALOR NORMATIVO xiii/55

ABNT/CEE-063
AGO 2015
Continuidade de negócios
A continuidade de negócios é a capacidade que uma organização tem de continuar a entrega

de produtos ou serviços em níveis aceitáveis pré-definidos após um incidente de interrupção.
A gestão de continuidade de negócios (GCN) é o processo de alcançar a gestão da continuidade

do negócio e é sobre a preparação de uma organização para lidar com incidentes de interrupção que
poderiam impedi-la de atingir seus objetivos.
Colocar a GCN dentro de uma estrutura e disciplinas de um sistema de gestão cria um sistema
de gestão de continuidade de negócios (SGCN) que permite que a GCN possa ser controlada, avaliada
e melhorada continuamente.
Nesta Norma, a palavra negócio é usada como um termo abrangente para as operações e serviços
realizados por uma organização em busca de seus objetivos, metas ou missão. Como tal, é igualmente
aplicável a organizações grandes, médias e pequenas que operam em setores industrial, comercial,
público e sem fins lucrativos.
Qualquer incidente, grande ou pequeno, natural, acidental ou deliberado tem o potencial de causar
grande interrupção para as operações da organização e sua capacidade de fornecer produtos
e serviços. No entanto, a implementação de uma gestão de continuidade de negócios antes que
um incidente de interrupção ocorra, ao invés de esperar que isso aconteça, vai permitir que
a organização retome suas operações antes que surjam níveis de impacto inaceitáveis.
A GCN envolve:
a) ser claro sobre os principais serviços e produtos-chave da organização e as atividades que os
suportam;
b) conhecer as prioridades para retomar as atividades e os recursos necessários;
c) ter uma compreensão clara das ameaças a essas atividades, incluindo suas dependências, e
compreendendo os impactos de uma não retomada;
d) ter implementado arranjos testados e confiáveis para retomar essas atividades após um incidente
de interrupção, e
e) certificar-se que estes acordos são analisados criticamente e atualizados de forma rotineira, de
modo que eles sejam eficazes em todas as circunstâncias.
A continuidade de negócios pode ser eficaz em lidar tanto com incidentes repentinos de interrupção
(por exemplo, explosões) como aqueles graduais (por exemplo, pandemias de gripe).
As atividades são interrompidas por uma grande variedade de incidentes, muitos dos quais são difíceis
de prever ou analisar. Ao concentrar-se sobre o impacto da interrupção e não a causa, a continuidade
de negócios identifica as atividades em que a organização depende para a sua sobrevivência,
e permite que a organização determine o que é necessário para continuar a cumprir as suas obrigações.
Através da continuidade de negócios, a organização pode reconhecer o que precisa ser feito para
proteger os seus recursos (por exemplo, pessoas, instalações, tecnologia e informação), cadeia
de suprimentos, as partes interessadas e reputação, antes que um incidente de interrupção ocorra.
Com esse reconhecimento, a organização é capaz de ter uma visão realista sobre as respostas que
possam vir a ser necessárias, caso e quando uma interrupção ocorra, e assim esteja confiante para
gerenciar as consequências e evitar impactos inaceitáveis.
xiv/55 NÃO TEM VALOR NORMATIVO

ABNT/CEE-063
AGO 2015
Uma organização que tenha implementado uma gestão de continuidade de negócios adequada
também pode tirar vantagem das oportunidades que de outro modo poderiam ser consideradas como
de risco muito alto.
Os seguintes diagramas (Figuras 2 e 3) destinam-se a ilustrar conceitualmente como a gestão

de continuidade de negócios pode ser eficaz na atenuação dos impactos em determinadas situações.
Nenhuma escala de tempo específica está implícita pela distância relativa entre as fases descritas
em qualquer diagrama.
Mitigação dos impactos através de continuidade de negócios eficaz – interrupção gradual
Retomada das atividades em

Nível das operações
nível aceitável e prazo aceitável
Tempo objetivado de
Incidente
recuperação
Tempo para que os impactos
se tornem inaceitáveis
2. Interrupção encurtada
Com continuidade
de negócios
1. Mitigando, respondendo e Nível mínimo

gerenciando os impactos aceitável de
operações
Sem continuidade de negócios
Tempo
Figura 2 – Ilustração da gestão da continuidade de negócios sendo eficaz para a
interrupção súbita
NÃO TEM VALOR NORMATIVO xv/55

ABNT/CEE-063
AGO 2015
Mitigação dos impactos através de continuidade de negócios eficaz – interrupção gradual
Retomada das atividades em

nível aceitável e prazo aceitável
Incidente
Tempo objetivado de
Nível de operações
recuperação
Aviso
Tempo para que os impactos
se tornem inaceitáveis
2. Interrupção encurtada
Resposta
controlada
Com continuidade de negócios
1. Mitigando, Nível mínimo

respondendo aceitável de
e gerenciando operações
os impactos
Sem continuidade de negócios
Tempo
Figura 3 – Ilustração da gestão de continuidade de negócios sendo eficaz para o rompimento
gradual (por exemplo, pandemia se aproximando) O ciclo Plan-do-check-act
xvi/55 NÃO TEM VALOR NORMATIVO

ABNT/CEE-063
AGO 2015

1 Escopo
Esta Norma para sistemas de gestão de continuidade de negócios fornece orientação com base em
boas práticas internacionais para o planejamento, criação, implantação, operação, monitoramento,
análise crítica, manutenção e melhoria contínua de um sistema de gestão documentado, que permite
que as organizações se prepararem para responder e recuperar-se de incidentes de interrupção
quando eles surgirem.
Não é a intenção desta Norma impor uniformidade na estrutura de um SGCN mas permitir que uma
organização projete um SGCN que seja adequado às suas necessidades e que atenda aos requisitos
de suas partes interessadas. Essas necessidades são formadas por requisitos legais, regulatórios,
organizacionais e industriais, pelos produtos e serviços, processos empregados, o ambiente no qual a
organização opera, seu tamanho e estrutura assim como os requisitos das suas partes interessadas.
Esta Norma é genérica e aplicável a todos os tipos e tamanhos de organizações, incluindo grandes,
médias e pequenas que operam em setores industrial, comercial, público e sem fins lucrativos que
desejam:
a) estabelecer, implementar, manter e melhorar um SGCN;
b) assegurar conformidade com a política de continuidade de negócios da organização, ou
c) fazer uma autodeterminação e autodeclararão de conformidade com esta Norma.
Não é possível utilizar esta Norma para avaliar a capacidade de uma organização para atender
às suas necessidades de continuidade de negócios próprios, nem qualquer cliente, necessidades
legais ou regulamentares. As organizações que desejam fazê-lo podem usar os requisitos da
ABNT NBR ISO 22301 para demonstrar conformidade para outros ou buscar a certificação de seu
SGCN por um organismo de certificação terceiro acreditado.
2 Referências normativas
Os documentos relacionados a seguir são indispensáveis à aplicação deste documento. Para
referências datadas, somente a edição citada se aplica. Para referências não datadas, aplica-se a
última edição do referido documento (incluindo emendas).
ABNT NBR ISO 22301, Segurança da sociedade ─ Sistemas de gestão de continuidade de negócios
– Requisitos
ISO 22300, Societal security -- Terminology
3 Termos e definições
Para os efeitos deste documento, aplicam os termos e definições da ISO 22300 e da
ABNT NBR ISO 22301.
NÃO TEM VALOR NORMATIVO 1/55

ABNT/CEE-063
AGO 2015
4 Contexto da organização
4.1 Entendendo a organização e seu contexto
Esta seção é sobre a compreensão do contexto que uma organização tem em relação à instalação
e gestão do SGCN. A instalação e a gestão da GCN são cobertas em 8.1.
Convém que a organização avalie e compreenda os fatores internos e externos que são relevantes
para a sua finalidade e operações. Convém que esta informação seja considerada quando
do estabelecimento, implementação, manutenção e melhoria do SGCN da organização e atribuição
de prioridades.
Convém que a avaliação do contexto externo da organização inclua, quando relevante, os seguintes
fatores:
—— o ambiente político, legal e regulamentar, seja internacional, nacional, regional ou local;
—— o ambiente social e cultural, financeiro, tecnológico, econômico, natural e competitivo, a nível

internacional, nacional, regional ou local;
—— comprometimento com a cadeia de fornecedores e relacionamentos;
—— apreciação de estudos internos sobre os riscos, tendo em conta outros sistemas de informação
relevantes de gestão e mais genericamente qualquer informação de gestão do conhecimento;
—— fatores-chave e tendências tendo um impacto sobre os objetivos e operação da organização, e
—— relacionamentos com, e percepções e valores das, partes interessadas fora da organização.
Convém que a avaliação do contexto interno da organização inclua, quando relevante, os seguintes
fatores:
—— produtos e serviços, atividades, recursos, cadeia de suprimentos, e as relações com as partes

interessadas;
—— as capacidades, entendidas em termos de recursos e de conhecimentos (por exemplo, capital,

tempo, pessoas, processos, sistemas e tecnologias);
—— sistemas de informação, fluxos de informação e processos de decisão (formal e informal);
—— as partes interessadas dentro da organização;
—— as políticas e os objetivos, e as estratégias que estão em vigor para os atingir;
—— oportunidades futuras e prioridades de negócios;
—— percepções, valores e cultura;
—— as normas e modelos de referência adotados pela organização, e
—— estruturas (por exemplo, governança, papéis e responsabilidades).
2/55 NÃO TEM VALOR NORMATIVO

ABNT/CEE-063
AGO 2015
4.2 Entendendo as necessidades e expectativas das partes interessadas
4.2.1 Generalidades
Ao estabelecer o SGCN, convém que a organização assegure que as necessidades e requisitos das
partes interessadas sejam levados em consideração.
Convém que a organização identifique todas as partes interessadas que são de relevância para seu
SGCN e com base em suas necessidades e expectativas, determine os seus requisitos. É importante
identificar não apenas os requisitos obrigatórios e definidos, mas também os que estão implicados.
NOTA A organização precisa estar ciente de todos aqueles que têm um interesse na organização, como
a mídia, o público nas proximidades, concorrentes e assim por diante.
Ao planejar e implementar o SGCN, é importante identificar ações que sejam apropriadas em relação
às partes interessadas, mas diferenciar entre as diferentes categorias. Por exemplo, embora possa
ser apropriado se comunicar com todas as partes interessadas na sequência de um incidente
de interrupção, pode não ser apropriado se comunicar com todas as partes interessadas quando
da criação e gerenciamento da GCN (8.1.1).
Parte interessadas
A organização
Cidadãos Concorrentes
Gestão
Alta direção Mídia
Clientes
Aqueles que estabelecem políticas e
Distribuidores objetivos para o SGCN Comentaristas
Acionistas Aqueles que configuram e gerenciam a continuidade do negócio Grupos de troca
Aqueles que mantêm os procedimentos de continuidade de negócios

Investidores Vizinhos
Proprietários dos procedimentos de
continuidade de negócios
Proprietários Grupos de pressão
Pessoal de resposta a incidentes Serviços de

Seguradoras
emergência
Aqueles com autoridade para invocar
Outras agências
Governo
de resposta
Porta-vozes apropriados
Serviços de
Reguladores transporte
Equipes de resposta
Fornecedores de Dependentes
serviços de da equipe
Outros funcionários Contratantes
recuperação
Figura 4 – Exemplos de partes interessadas a serem consideradas nos setores público e

privado
4.2.2 Os requisitos legais e regulatórios
Convém que todos os sistemas de gestão operem no âmbito da estrutura jurídica e ambiente regulatório
em que a organização opera. Convém que a organização identifique e acomode em seu SGCN tudo
que seja relevante, aplicável legalmente, requisitado na forma regulatória e que esteja vinculado
às necessidades das partes interessadas.

ABNT/CEE-063
AGO 2015
Convém que a informação relativa a esses requisitos seja documentada e mantida atualizada. Novos
requisitos ou variações legais, regulamentares e em outros requisitos convém que sejam comunicados
aos empregados afetados e outras partes interessadas.
Ao estabelecer, implementar e manter o SGCN, convém que a organização considere e documente

os requisitos legais aplicáveis, outros requisitos a que esteja vinculada e as necessidades das partes
interessadas.
Convém que a organização assegure que o seu SGCN contempla e suporta as suas obrigações legais
e requisitos relevantes de partes interessadas.
Convém que a organização reveja os requisitos estatutários e regulamentares atuais e pendentes

em seus locais que podem incluir:
a) resposta a incidentes: incluindo o gerenciamento de emergência e legislação referente à saúde,

segurança e bem-estar;
b) continuidade: o que pode especificar o escopo do programa ou a extensão ou a velocidade da

resposta;
c) risco: requisitos definindo o escopo ou métodos de um programa de gestão de riscos; e
d) riscos: requisitos operacionais relacionados aos materiais perigosos armazenados no local.
NOTA Organizações operando em diversas localidades frequentemente têm que satisfazer as exigências
de diferentes jurisdições.
4.3 Determinar o escopo do sistema de gestão
4.3.1 Generalidades
Convém que a organização determine o escopo de aplicação do SGCN e garanta que ele possa ser
adequadamente comunicado às partes interessadas. É importante que os limites e aplicabilidade do
SGCN sejam claramente visíveis e que o escopo leve em consideração as questões identificadas em
4.1 e 4.2.
O escopo determina os produtos e serviços, locais, funções, processos e atividades aplicados

ao SGCN. Segue-se que todas as dependências estarão no escopo, mesmo que não tenham
sido expressamente identificadas na declaração do escopo. Por exemplo, se “de remuneração
do empregado” é especificado no escopo, por padrão, a disponibilidade de recursos, aprovação
de gestão e as instruções para que a instituição financeira possa fazer o pagamento também estaria
dentro do escopo.
Convém que a organização documente claramente o escopo e contexto do SGCN.
4.3.2 Escopo do SGCN
Convém que a organização, em uma forma e termos adequados à dimensão, natureza e complexidade
da organização, defina e documente o escopo do SGCN.
Convém que o escopo:
a) identifique as partes da organização incluídas no SGCN;

ABNT/CEE-063
AGO 2015
b) estabeleça os requisitos do SGCN da organização levando em consideração a sua missão,

objetivos, responsabilidades e obrigações legais internos e externos;
c) identifique os produtos e serviços da organização de forma que todas as atividades relacionadas,
recursos e cadeia de suprimentos possam identificados e
d) tenha em conta as necessidades e os interesses das partes interessadas.
O escopo também pode:
—— incluir uma indicação da escala do incidente que o SGCN irá abordar e o apetite de risco da
organização, e
—— identificar como o SGCN se encaixa na estratégia global de gestão de riscos da organização (se
houver).
Quando parte de uma organização é excluída do escopo do seu SGCN, convém que a organização
documente e explique a exclusão.
A finalidade de definir o escopo é assegurar a cobertura de todas as atividades relevantes, locais

e fornecedores (8.2.1, Figura 6).
4.4 Sistema de gestão de continuidade de negócios
Esta é a referência normativa à ABNT NBR ISO 22301:2013, que especifica os requisitos para
um SGCN. Nenhuma orientação é fornecida.
5 Liderança
5.1 Liderança e comprometimento
Convém que todos os níveis de gestão relevantes na organização demonstrem compromisso

e liderança na implementação da política e objetivos de continuidade de negócios. A demonstração
pode ser alcançada usando envolvimento, motivação e capacitação.
5.2 Comprometimento da direção
Convém que a alta direção demonstre seu compromisso com o SGCN.
Convém que a alta direção forneça evidência do seu comprometimento com o desenvolvimento
e implementação do SGCN e melhore continuamente a sua eficácia:
a) cumprindo com as exigências legais aplicáveis e com outros requisitos aos quais a organização
subscreve (ver 4.2.2);
b) integrando os processos do SGCN com os procedimentos de manutenção e análise crítica

estabelecidos na organização;
c) estabelecendo a política e os objetivos da continuidade do negócio em linha com os objetivos,

obrigações e direção estratégica da organização (ver 5.3);
d) apontando uma ou mais pessoas com a autoridade apropriada e as competências para
ser responsável pelo SGCN e responsável por sua operação eficaz (consultar 5.4);

ABNT/CEE-063
AGO 2015
e) assegurando que os papéis, as responsabilidades e as competências do SGCN estejam

estabelecidos (ver 5.4);
f) assegurando a disponibilidade de recursos suficientes, incluindo níveis apropriados de

financiamento (ver 7.1);
g) comunicando à organização a importância de cumprir a política e os objetivos da continuidade do

negócio (ver 7.4);
h) engajando-se ativamente em exercícios e testes;
i) assegurando de que as auditorias internas do SGCN sejam conduzidas (ver 9.2);
j) conduzindo análises críticas eficazes da gestão do SGCN (ver 9.3); e
k) dirigindo e dando suporte à melhoria do SGCN (ver Seção 10).
O compromisso da gerência pode também ser demonstrado por:
—— envolvimento operacional, por meio de grupos de direção;
—— inclusão de continuidade de negócios como um ponto obrigatório de reuniões de gestão.
5.3 Política
Convém que a alta direção defina a política de continuidade de negócios em termos de objetivos
da organização e as suas obrigações e certifique-se de que:
—— é apropriada à finalidade da organização (dado seu tamanho, a natureza e a complexidade, e a

fim de refletir sua cultura, dependências e ambiente de funcionamento);
—— fornece uma estrutura para definir objetivos;
—— inclui compromissos claros com relação aos requisitos aplicáveis, incluindo obrigações legais e
regulamentares e a melhoria contínua do SGCN;
—— é comunicado e compreendido dentro da organização e disponível às partes interessadas;
—— é complementar a outras políticas relevantes; e
—— é feito disponível às partes interessadas como aprovado pela gerência.
Convém que as disposições apropriadas sejam feitas para aprovar a política, reter a informação
documentada nela e revê-la periodicamente (por exemplo, anualmente), e sempre que as mudanças
significativas aos fatores internos ou externos ocorrerem (por exemplo, mudança na alta direção
ou na introdução de nova legislação). A conformidade de tais disposições dependerá do tamanho,
da complexidade, da natureza e da extensão da organização.
Convém que a política também:
—— forneça a direção no escopo e os limites do programa de continuidade do negócio da organização

incluindo limitações e exclusões;
—— identifique quaisquer autoridades e delegações necessárias, incluindo pessoa ou pessoas

responsáveis por SGCN da organização;

ABNT/CEE-063
AGO 2015
—— estabeleça os critérios para o tipo e a escala dos incidentes a serem tratados; e
—— inclua referências às normas, às diretrizes, aos regulamentos ou às políticas que convém que o
SGCN considere ou cumpra.
A política da continuidade de negócio pode conter o seguinte:

—— termos-chaves;
—— compromisso de financiamento
—— referências a outras políticas relacionadas;
—— a necessidade de implementar a continuidade de negócios;
—— o compromisso de exercitar e manter a continuidade do negócio.
5.4 Papéis, responsabilidades e autoridades organizacionais
Convém que a alta direção da organização assegure a atribuição e a comunicação das responsabilidades
e das autoridades dentro do SGCN.
Convém que um membro da alta direção tenha a responsabilidade total pelo SGCN.
Convém que a alta direção da organização aponte os representantes específicos da gerência que,
independentemente de outras responsabilidades, convém que tenham papéis, responsabilidades e
autoridade definidos para:
—— assegurar que o programa de continuidade do negócio esteja estabelecido, executado e mantido

de acordo com a política da continuidade do negócio;
—— relatar o desempenho do programa de continuidade do negócio à alta direção da empresa para

revisão e como a base para a melhoria;
—— promover a consciência do programa através de toda a organização; e
—— assegurar a eficácia dos procedimentos desenvolvidos para reação à interrupção, mas não
necessariamente em sua implementação durante um incidente.
Esta pessoa pode:
—— ser conhecida como “o gerente de continuidade de negócios”;
—— ter outras responsabilidades dentro da organização; e
—— residir em muitas áreas de uma organização segundo seu tamanho, escala e complexidade.
Os representantes de cada função ou lugar da organização podem ser identificados para apoiar
na implementação do programa de continuidade do negócio. Convém que seus papéis, capacidade
de prestar contas, responsabilidades e autoridades sejam integrados nas descrições de funções
e nos conjuntos de habilidades que podem ser reforçados, incluindo os de avaliação da organização,
na recompensa e na política do reconhecimento.

ABNT/CEE-063
AGO 2015
A alta direção pode apontar outros organismos, como um comitê da direção, para supervisionar a
implementação do programa de continuidade do negócio.
Convém que todos os papéis, responsabilidades e autoridades da GCN sejam definidos e documentados
e sujeitos a auditoria.
6 Planejamento
6.1 Ações para direcionar riscos e oportunidades
Convém que a organização determine como quaisquer questões identificadas em 4.1 e requisitos em
4.2 serão tratadas.
Convém que isto envolva a avaliação necessária de um plano de ação para:
—— prevenir resultados indesejados;
—— aproveitar de todas as oportunidades para melhorar o SGCN.
Se necessário, convém que também envolva:
—— integrar e implementar estas ações no processo SGCN; e
—— assegurar de que a informação documentada esteja disponível para avaliar se as ações foram
eficazes (ver 7.5).
6.2 Objetivos de continuidade do negócio e planos para alcança-los
Convém que um plano para instalação e gestão da GCN (conforme definido na Seção 8) seja desenhado
e inclua a identificação de responsabilidades e a definição de metas realísticas e apropriadas para
a conclusão de tarefas. Convém que o plano seja baseado em objetivos de continuidade que tenham
sido estabelecidos e comunicados para as funções e níveis relevantes na organização. Convém que
o progresso do plano seja monitorado e documentado.
Convém que este plano seja analisado criticamente e pode ser que precise ser atualizado regularmente
na medida que o SGCN evolui.
A seguir são apresentados exemplos de objetivos de continuidade de negócios que podem, em certas
circunstâncias, atender aos requisitos especificados na ABNT NBR ISO 22301:
—— “implantar um SGCN que seja consistente com a ABNT NBR ISO 22313, por data”;
—— “obter a certificação com ABNT NBR ISO 22301:2013, por data”;
—— “por data, ter continuidade de negócios implementada que atenda às obrigações

com clientes-chave”, e
—— “ter GCN implementada que proteja produtos e serviços-chave, por data”.

ABNT/CEE-063
AGO 2015
7 Suporte
7.1 Recursos
7.1.1 Generalidades
Convém que a organização determine e forneça os recursos necessários para o SGCN que irão:
a) alcançar seus objetivos e política de continuidade do negócio;
b) atender aos requisitos de mudanças da organização;
c) possibilitar uma comunicação eficaz em assuntos do sistema de gestão da continuidade do

negócio, internamente e externamente; e
d) fornecer o funcionamento constante e a melhoria contínua do sistema de gestão da continuidade

do negócio.
Convém que isto seja fornecido de uma maneira oportuna e eficiente.
7.1.2 Recursos do SGCN
Ao identificar os recursos exigidos para executar e manter o SGCN, convém que a organização faça
a provisão adequada para:
a) pessoas e recursos relacionados a pessoas, incluindo:
1) o tempo necessário para atender papéis e responsabilidades do SGCN;
2) treinamento, educação, consciência e exercício;
3) gestão do pessoal de SGCN;
b) instalações, incluindo lugar de trabalho e infraestrutura apropriados;
c) tecnologia da informação e comunicações (TIC), incluindo as aplicações que dão suporte à gestão
de programa eficaz e eficiente;
d) gestão e controle de todas as formas da informação documentada;
e) comunicação com partes interessadas (ver Figura 4); e
f) finanças e financiamento.
Convém que os recursos e sua alocação sejam revistos periodicamente, a fim de garantir a sua
adequação. Pode ser apropriado para envolver a alta administração nesta revisão.
7.1.3 Pessoal de resposta a incidente
Convém que a organização nomeie colaboradores para respostas a incidente com a responsabilidade,
a autoridade e a competência necessárias para administrar um incidente.
Convém que o pessoal de resposta a incidente forme um grupo que seja responsável por administrar
qualquer incidente de interrupção que significativamente impacte ou tenha o potencial de impactar
significativamente a organização.

ABNT/CEE-063
AGO 2015
Os colaboradores podem ser atribuídos às equipes de acordo com a sua competência demonstrada
de lidar com os diferentes aspectos da resposta a incidentes, como por exemplo:
—— gestão de incidentes/gestão estratégica (8.4.4.3.1);
—— comunicações (8.4.4.3.2);
—— segurança e bem-estar (8.4.4.3.3);
—— resgate e segurança (8.4.4.3.4);
—— retomando as atividades (8.4.4.3.5);
—— recuperação da TIC (8.4.4.3.6).
Convém que todos os funcionários que estejam nesses grupos tenham responsabilidades e autoridades
claramente definidas que sejam aplicadas antes, durante e após um incidente.
7.2 Competência
Convém que a organização estabeleça um sistema adequado e eficaz para o gerenciamento de

competência das pessoas que realizam o trabalho de SGCN sob seu controle.
Convém que a gerência determine as competências exigidas para todos os papéis e responsabilidades
do SGCN e a consciência, conhecimento, compreensão e habilidades necessários para cumpri-
los. Convém que todas as pessoas com papéis atribuídos dentro da organização demonstrem as
competências exigidas e recebam treinamento, educação, desenvolvimento e qualquer outro suporte
necessário. Isto pode ser referido como um programa de desenvolvimento da competência que possa
incluir:
—— avaliação de competências para que o(s) papel(éis) seja(m) empreendido(s);
—— a identificação do treinamento, educação, desenvolvimento e qualquer outro suporte necessário

para alcançar competências;
—— disposição do treinamento e de tutoria;
—— partilha do conhecimento;
—— partilha de trabalho;
—— contrato ou emprego de pessoas competentes;
—— treinamento dos grupos-alvo;
—— documentação e monitoração do treinamento recebido;
—— avaliação do treinamento recebido em função das necessidades e requisitos definidos de treinamento

de forma a verificar a conformidade com os requisitos de treinamento do SGCN ; e
—— melhoria do programa de desenvolvimento conforme necessário.

ABNT/CEE-063
AGO 2015
Convém que a organização tenha um processo para identificar e entregar os requisitos de treinamento
da continuidade do negócio de todos os participantes e avaliar a eficácia de sua entrega.
O tipo de treinamento que pode ser apropriado para papéis específicos é como a seguir:
a) criação e gestão do SGCN:

1) configuração e gestão da GCN;
2) condução de uma análise de impacto do negócio;
3) análise e avaliação de riscos;
4) habilidades de comunicações;
5) desenvolvimento e implementação de uma documentação de continuidade de negócios; e
6) execução de um programa de exercícios;
b) resposta ao incidente e recuperação do negócio:
1) avaliação do incidente;
2) evacuação e abrigo no local de gestão, incluindo processos de “check-in” para contar
empregados;
3) arranjos em locais alternativos; e
4) tratamento de questionamentos da mídia.
Convém que as habilidades e a competência da resposta através de toda a organização sejam

desenvolvidas por treinamento prático, incluindo a participação ativa nos exercícios.
Convém que as equipes da resposta e de recuperação recebam a educação e treinamento sobre

suas responsabilidades e deveres que incluem interações com primeiros atendentes e outras
partes interessadas. Convém que as equipes sejam treinadas em intervalos regulares (pelo menos
anualmente), e que membros novos sejam treinados quando se juntam à estrutura de reação. Convém
que estas equipes também recebam o treinamento na prevenção dos incidentes que podem escalar
até crises.
As mudanças no ambiente empresarial e as operações afetam a abordagem e a maneira em que

as atividades da continuidade do negócio são planejadas, projetadas e executadas. Convém que
a organização demonstre uma capacidade para seguir e manter-se em harmonia com tendências
da GCN da indústria participando ativamente nas atividades de GCN da indústria que podem incluir:
—— adesão a um grupo de interesse da indústria;
—— adesão de uma comissão organizadora de congresso.
—— realização de apresentações em conferências e seminários, e
—— participação em conferências de GCN locais ou globais.

ABNT/CEE-063
AGO 2015
A demonstração da participação ativa pode ser feita em uma ou mais das seguintes maneiras:
—— adesão a uma comissão organizadora de conferências e seminários, e
—— apresentação de artigos em conferências e seminários.

A competência pode ser reforçada por:
—— integração de realizações do SGCN no processo de recompensa e reconhecimento da organização
—— integração de realizações do SGCN no processo de avaliação de desempenho da organização e;
—— integração dos papéis, responsabilidades, responsabilidades e autoridade do SGCN dentro das

descrições das funções da organização e do conjunto das habilidades; e
—— participação ativa dos usuários do negócio e da Alta Direção nos treinamentos, exercícios e
testes.
Convém que a organização estabeleça programas de treinamento e conscientização para todos

os empregados atuais que podem ser afetados por um incidente de interrupção e exija junto aos
contratantes que trabalham em seu nome para demonstrar que as pessoas que fazem o trabalho sob
seu controle têm a competência necessária para o SGCN e os papéis de reação que executarão.
7.3 Conscientização
Convém que as pessoas que trabalham sob o controle da organização tenham a consciência apropriada
do SGCN.
Estas pessoas podem incluir os colaboradores, contratantes, sócios, fornecedores. Convém que eles
estejam cientes da política da continuidade do negócio e:
—— de seu papel e responsabilidade no que diz respeito à prevenção do incidente, à detecção, à

mitigação, à autoproteção, à evacuação, à reação, à continuidade e à recuperação;
—— da importância da conformidade com a política e procedimentos da continuidade do negócio;
—— das implicações das mudanças na operação da organização;
—— de sua contribuição para a eficácia do SGCN, incluindo os benefícios do desempenho melhorado

de gestão da continuidade do negócio; e
—— de seu papel e responsabilidade em conseguir a conformidade com os requisitos do SGCN.
Convém à organização construir, promover e incorporar uma cultura dentro da organização a qual:
—— se torne parte dos valores centrais da organização e da gestão; e
—— faça as partes interessadas cientes da política de continuidade do negócio e de seu papel

em procedimentos associados.

ABNT/CEE-063
AGO 2015
Uma organização com uma cultura positiva da continuidade do negócio:
—— desenvolve a continuidade do negócio mais eficientemente;
—— incute confiança em suas partes interessadas (especialmente colaboradores e clientes) em sua

capacidade para tratar incidentes de interrupção;
—— aumenta sua resiliência ao longo do tempo assegurando que implicações da continuidade do

negócio são considerados nas decisões em todos os níveis; e
—— minimiza a probabilidade e o impacto das interrupções.
O desenvolvimento de uma cultura de BC recebe suporte por:
—— participação de todo o pessoal na organização;
—— liderança dos gerentes;
—— atribuição de responsabilidades;
—— medição baseada em indicadores de desempenho;
—— conscientização;
—— treinamento de habilidades; e
—— exercícios de procedimentos da continuidade do negócio.
Um programa de conscientização pode incluir:
—— processo da consulta com o pessoal de toda a organização a respeito da implementação

do programa de GCN;
—— discussão da continuidade de negócios nos boletins de notícias, comunicações, programas

de introdução ou nos jornais da organização (incluindo orientação de novos empregados);
—— inclusão da continuidade de negócios em páginas Web e em intranets relevantes;
—— inclusão da GCN como um assunto em reuniões dos colaboradores e direção;
—— publicação seletiva dos relatórios de revisão do evento depois dos incidentes;
—— apresentações para a alta direção da empresa;
—— visitas ao lugar alternativo designado (por exemplo, um local de recuperação); e
—— informação para fornecedores e distribuidores chave sobre arranjos para a continuidade

do negócio da organização.
7.4 Comunicação
Convém que a organização tenha procedimentos eficazes de comunicação e consulta para a troca
de informação com as partes interessadas.

ABNT/CEE-063
AGO 2015
Convém que estes incluam todos os seguintes:
a) comunicação interna entre as partes interessadas, incluindo empregados dentro da organização;
b) comunicação externa com os clientes, fornecedores, comunidade local, e outras partes
interessadas, incluindo a mídia;
c) recebimento, documentação, e resposta à comunicação de todas as partes interessadas;
d) adaptação e integração de um sistema consultivo de ameaça nacional ou regional ou equivalente

no planejamento e no uso operacional, quando e se apropriado;
e) garantia da disponibilidade de meios de comunicação durante um incidente de interrupção;
f) garantia da capacidade da organização de se comunicar com as autoridades externas e, quando

adequado, garantindo que outras organizações e pessoas são capazes de se comunicar entre
si; e
g) teste de funcionamento e de recursos de comunicações para uso durante uma interrupção de
comunicações normais.
A organização pode convidar quaisquer recursos externos que podem ser envolvidos em uma reação
– como os bombeiros, a polícia, a saúde pública e os fornecedores terceirizados – para rever com a
direção partes relevantes de seus procedimentos de continuidade do negócio.
A organização pode incluir referências a seu SGCN e arranjos da continuidade do negócio nos boletins
de notícias e informações do fornecedor e do cliente.
Convém à organização prover uma comunicação externa eficaz como parte de seu programa de
conscientização (ver 7.3) e depois de um incidente (ver 8.4).
7.5 Informação documentada
7.5.1 Generalidades
A informação documentada fornece a evidência da conformidade aos requisitos e o funcionamento

eficaz do sistema de gestão.
O termo “procedimento” significa uma maneira especificada de realizar uma atividade ou um processo.
Um “procedimento documentado“ significa que convém que o procedimento seja estabelecido
e mantido em qualquer meio.
Um único documento pode se referir a requisitos para um ou mais procedimentos documentados

e um requisito para um procedimento documentado pode ser coberto por mais de um documento.
Convém que a documentação recomendada por esta Norma inclua:
—— o contexto da organização (4.1);
—— os requisitos legais, regulamentares e outras e evidências de conformidade (4.2.2);
—— escopo do SGCN e quaisquer exclusões (4.3.2);

ABNT/CEE-063
AGO 2015
—— política de continuidade de negócios (5.3);
—— objetivos de continuidade de negócios (6.2);
—— competência (7.2);
—— análise de impacto nos negócios e do processo de avaliação de riscos (8.2);
—— estratégia de continuidade de negócios (8.3), incluindo opções estratégicas consideradas;
—— continuidade, gestão de incidentes e procedimentos de recuperação (8.4);
—— relatórios de pós-exercícios (8.5);
—— monitoramento do SGCN (9.1);
—— auditorias internas (9.2);
—— análises críticas da direção (9.3);
—— não conformidade e ação corretiva (10.1).
Além disso, a informação documentada cobrindo as seguintes informações pode ser necessária para
garantir a eficácia do SGCN:
—— contratos de clientes e níveis de serviço;
—— resultados de análises de impacto de negócios;
—— resultados das avaliações de riscos;
—— determinação e seleção de estratégias de continuidade de negócios;
—— visão geral de resposta a incidentes;
—— programa de conscientização;
—— SGCN e comunicações de incidentes com funcionários e partes interessadas - como boletins,

notas de reuniões e alertas;
—— programas de formação para a organização e os indivíduos;
—— programa de exercícios;
—— contratos e acordos de nível de serviço com fornecedores;
—— procedimentos de notificação e de resposta de contratante e fornecedor;
—— evidência de inspeção, manutenção e calibração;
—— relatório de pós-incidente de incidentes e quase sucessos;
—— minutas de reunião de análise crítica do SGCN.

ABNT/CEE-063
AGO 2015
7.5.2 Criar e atualizar
A fim de cumprir os requisitos para a criação e atualização de informações documentadas:
—— convém que todas as informações documentadas incluam a sua identificação e descrição

(por exemplo, um título, nome, data, autor, número, referência da revisão etc.);
—— convém que formatos aceitáveis sejam especificados (por exemplo, linguagem, versão
do software, gráficos) e mídia (por exemplo, papel eletrônico) para a captura e apresentação
de informações documentadas claramente indicadas;
—— convém que todas as informações documentadas sejam analisadas criticamente e aprovadas

para adequação.
Convém que a captação e a apresentação incluam o formato a ser usado (por exemplo, linguagem,
versão de software, gráficos) e os meios a serem usados (por exemplo, papel, documento eletrônico)
A extensão da informação documentada para o SGCN pode diferir de uma organização a outra devido à:
—— tamanho da organização, dos seus produtos e serviços e do tipo de atividades que empreende;
—— complexidade das atividades e das suas interações; e
—— competência das pessoas.
7.5.3 Controle da informação documentada
Convém que toda informação documentada exigida seja controlada.
A finalidade de controlar a documentação é assegurar que as organizações criem, mantenham

e protejam documentos de uma forma que seja apropriada e suficiente para executar e operar
o SGCN. Convém que o foco preliminar esteja nesta finalidade em vez de estabelecer um sistema
complexo de controle dos documentos.
Os exemplos da proteção incluem impedir que os documentos estejam comprometidos, modificados

sem autorização apropriada e acidentalmente removidos.
Há vários níveis de acesso e combinações que podem ser concedidos, por exemplo, somente leitura,
leitura e alteração e leitura restringida.
Convém que um procedimento documentado seja estabelecido para definir os controles necessários
para:
a) distribuir a informação documentada;
b) fornecer o acesso (o acesso inclui, por exemplo, as permissões e a autoridade para ver ou mudar
a informação documentada);
c) aprovar documentos para a adequação antes da emissão;
d) revisar e atualizar segundo as necessidades e reaprovar documentos;
e) assegurar que as mudanças e o estado atual da revisão dos documentos estejam identificados;

ABNT/CEE-063
AGO 2015
f) assegurar que as versões relevantes de documentos aplicáveis estejam disponíveis em pontos
do uso;
g) assegurar que os documentos permaneçam legíveis e prontamente identificáveis;
h) assegurar-se de que os documentos da origem externa determinados pela organização como
necessários para o planejamento e a operação do SGCN estejam identificados e sua distribuição

controlada;
i) impedir o uso não intencional de documentos obsoletos e para aplicar-lhes a identificação
apropriada se são retidos para a finalidade qualquer;
j) estabelecer a retenção do documento e parâmetros de arquivo; e
k) assegurar a proteção e a não divulgação de informações confidenciais.
Convém que as organizações garantam a integridade das informações documentadas tornando-as à

prova de falsificação, de forma segura de backup, acessível apenas a pessoal autorizado, e protegidas
de danos, deterioração e perda.
Convém que a organização cumpra integralmente toda a legislação e regulamentos pertinentes em

relação à retenção de informações documentadas e estabeleça, implemente e mantenha os processos
necessários para atingir a conformidade.
8 Operação
8.1 Planejamento e controle operacional
Convém que a organização determine, planeje, implemente e controle as atividades operacionais

necessárias para cumprir sua política e objetivos da continuidade do negócio e atenda às necessidades
e requisitos aplicáveis.
Estas ações podem ser combinadas para criar um programa para assegurar que a continuidade de
negócios da organização é gerida de forma adequada e sua eficácia mantida.
Convém que a organização estabeleça mecanismos de controle dentro do programa, que incluam:
a) decidir como convém que essas ações sejam determinadas, planejadas, executadas e controladas,
por exemplo através da criação de um plano de implementação e adotando uma metodologia
adequada para a implementação da GCN;
b) assegurar que os controles sobre essas ações são executados de acordo com as decisões
tomadas, por exemplo, definir os marcos do projeto e especificar resultados necessários, e
c) manter informação documentada para demonstrar que os processos foram realizados como
planejado.
Convém que a organização assegure que as mudanças planejadas são controladas, as alterações
não intencionais são analisadas criticamente e que sejam tomadas medidas adequadas.

ABNT/CEE-063
AGO 2015
8.1.1 Elementos da GCN
A GCN compreende os seguintes elementos, como ilustrado na Figura 5.
Análise de impacto
de negócios e
avaliação de riscos
Exercitando Controle e Estratégia de

e testando planejamento continuidade
operacional de negócios
Estabelecimento e
implementação de
procedimentos de
continuidade
de negócios
Figura 5 – Elementos de programa de continuidade do negócio
Estes elementos e onde são referidos nesta Norma são como a seguir:
a) Planejamento e controle operacional (8.1)
O Planejamento e controle operacional eficaz está no coração da gestão de continuidade de negócio.

Convém que ele seja conduzido por uma pessoa responsável indicado pela alta direção.
b) Análise de impacto dos negócios (BIA) e análise e avaliação de risco (8.2)
O acordo de obter e compreender as prioridades e requisitos para a continuidade dos negócios

é alcançado através de análise de impacto dos negócios (BIA) e de avaliação de risco (AR). A BIA
permite à organização priorizar para a retomada, as atividades que dão suporte aos seus produtos
e serviços.A avaliação de risco promove a compreensão dos riscos para as atividades priorizadas
e suas dependências e as consequências potenciais de um incidente de interrupção. Este entendimento
permite que a organização selecione apropriadas estratégias de continuidade de negócios.
c) Estratégia de continuidade de negócios (8.3)
A identificação e avaliação de um conjunto de opções de estratégias de continuidade de negócios

permite que a organização escolha formas adequadas de prevenção de interrupção de suas atividades
priorizadas e lidar com quaisquer interrupções que ocorram. A seleção de estratégias de continuidade
de negócios proporcionará a retomada das atividades em um nível aceitável de operação e dentro
de prazos acordados.
NOTA Convém que as estratégias escolhidas levem em conta qualquer tratamento de riscos que já esteja
em vigor na organização (8.3.3).

ABNT/CEE-063
AGO 2015
d) Estabelecer e implementar procedimentos de continuidade de negócios (8.4)
Implementação de acordos comerciais resultados de continuidade na criação de uma estrutura

de resposta a incidentes (8.4.2), os meios para detectar e responder a um incidente (8.4.3), os planos
de continuidade de negócios (8.4.4) e procedimentos para voltar ao período de normalidade (8.4.5).
e) Exercer e testar (8.5)
Exercícios e testes proporcionam a oportunidade para que a organização:
—— promova a conscientização dos colaboradores e desenvolvimento de competências;
—— assegure que a continuidade do negócio e procedimentos de continuidade de negócios são

completos, atuais e apropriados; e
—— identifique oportunidades para melhorar a sua continuidade do negócio.
8.1.2 Gerenciando o ambiente GCN
A gestão eficaz do ambiente GCN inclui:
a) assegurar a continuidade da relevância do escopo, funções e responsabilidades para a

continuidade do negócio;
b) a promoção e incorporação da continuidade em toda a organização e outras partes interessadas,

se for o caso;
c) gerenciamento de custos associados com a continuidade do negócio;
d) estabelecer e monitorar o gerenciamento de mudanças e regimes de gestão de sucessão dentro

do sistema de gestão de continuidade de negócios;
e) organizar ou fornecer treinamento de pessoal adequado e consciência; e
f) manter a documentação do programa apropriada ao tamanho e complexidade da organização.
Convém que cada componente do arranjo da GCN de uma organização, incluindo a documentação,
seja revisado regularmente, exercitado e atualizado. Convém que estes acordos também sejam
revisados e atualizados sempre que houver uma mudança significativa no ambiente operacional
da organização, estrutura, locais, pessoas, processos ou tecnologia, ou quando um exercício
ou incidente destacarem deficiências.
A organização pode adotar um método de gerenciamento de projeto reconhecido para garantir que
o programa GCN seja gerido de forma eficaz.
8.1.3 Mantendo a continuidade dos negócios
Manter a continuidade de negócios eficaz inclui:
a) manter a GCN atual por meio de boas práticas;
b) administrar o programa de exercícios;
c) coordenar a revisão periódica e atualização da continuidade do negócio, incluindo a revisão

ou reformulação da análise de impacto do negócio (BIA) e avaliações de risco; e

ABNT/CEE-063
AGO 2015
d) assegurar a manutenção dos procedimentos de continuidade de negócios adequada às

necessidades das equipes de resposta.
8.1.4 Avaliando a eficácia
Para medir a eficácia é necessário:

a) monitorar o desempenho de continuidade de negócios; e
b) acompanhar e analisar criticamente os arranjos de continuidade de atividades terceirizadas e as

capacidades de GCN de fornecedores.
Exemplos de indicadores que podem ser utilizados para a medição de eficácia incluem:
—— atividades e recursos que sejam recuperáveis dentro de seu tempo objetivado de recuperação
(RTO) e a informação é da moeda requerida (ponto objetivado de recuperação);
—— acomodação necessária e equipamentos que estejam disponíveis no local(ais) alternativo(s) para

permitir a recuperação e retomada das atividades;
—— as competências necessárias para retomar as atividades priorizadas dentro do tempo objetivado

de recuperação que têm sido demonstradas, e
—— as competências requeridas para responder e gerenciar incidentes que têm sido demonstradas.
8.1.5 Resultados
Resultados indicativos da GCN eficaz podem incluir o seguinte:
a) uma capacidade de gerenciamento de incidentes ser habilitada e oferecer uma resposta eficaz;
b) a compreensão da organização de si mesma e de suas relações com outras organizações,

entidades reguladoras relevantes ou departamentos governamentais, autoridades locais
e os serviços de emergência serem devidamente desenvolvidos, documentados e compreendidos;
c) o exercício regular garantir que os funcionários sejam treinados para responder eficazmente
a um incidente ou interrupção;
d) os requisitos das partes interessadas serem entendidos e capazes de ser entregues;
e) os colaboradores receberem o apoio adequado e de comunicações em caso de uma interrupção;
f) a reputação da organização estar protegida;
g) a organização continuar em conformidade com suas obrigações legais e regulamentares; e
h) controles financeiros serem mantidos ao longo de um incidente.
8.2 Análise de impacto nos negócios e processo de avaliação de riscos
8.2.1 Generalidades
Convém que a organização estabeleça, implemente e mantenha um processo formal e documentado

para análise de impacto nos negócios (BIA) e avaliação de risco. O entendimento obtido em toda a

ABNT/CEE-063
AGO 2015
organização a partir da BIA e avaliação de risco fornece a base para uma continuidade de negócios
eficaz.
Uma organização alcança o seu objetivo oferecendo seus produtos e serviços aos clientes. É importante,
portanto, para criar um entendimento do impacto negativo ao longo do tempo, que a interrupção
destes produtos e serviços (e as atividades associadas) teria sobre os objetivos e funcionamento
da organização. Também é importante compreender as interrelações e requisitos de recursos das

atividades que suportam produtos e serviços e as ameaças sobre eles.
Organização Contexto Contexto

Fornecedores interno externo
e parceiros
terceirizados Propósito da Organização
Produto/serviço Produto/serviço
Produto/serviço
Atividade Clientes
Atividade Atividade Atividade Atividade Atividade
Atividades
de apoio
Dependências e
atividades de apoio
Atividades
de apoio
Ativos e recursos
Figura 6 – Compreendendo a organização
Por meio da compreensão, a organização é capaz de garantir que a sua continuidade do negócio se
alinha com a sua finalidade, deveres e obrigações legais para as suas partes interessadas.
O entendimento é alcançado por meio dos processos de análise de impacto nos negócios e avaliação
de riscos. Estes processos fornecem a informação de que a organização precisa determinar e
selecionar estratégias de continuidade de negócios (8.3.1).
Convém que a BIA e a avaliação de risco permitam a organização identificar medidas que:
a) limitem o impacto de uma interrupção na organização;
b) encurtem o período de interrupção; e
c) diminuam a probabilidade de uma interrupção.
Convém que o contexto, critérios de avaliação e formato do resultado da BIA e avaliação de risco sejam
definidos e acordados com antecedência. Convém que as informações coletadas sejam analisadas
criticamente regularmente, especialmente durante os períodos de mudança.

ABNT/CEE-063
AGO 2015
8.2.2 Análise de impacto nos negócios
Convém que a organização estabeleça um processo de avaliação formal para determinar prioridades
da continuidade e da recuperação, objetivos e alvos.
A finalidade da BIA é:
—— obter uma compreensão dos produtos e serviços-chaves da organização e as atividades que os

entregam;
—— determinar prioridades e períodos de tempo para a retomada das atividades;
—— identificar os recursos-chave provavelmente a serem exigidos para a recuperação; e
—— identificar dependências (internas e externas).
Convém que a análise de impacto nos negócios inclua:
a) identificação das atividades que dão suporte à entrega dos produtos e dos serviços-chave
da organização – “chave” significa aqueles incluídos no escopo do SGCN;
b) avaliação dos impactos potenciais ao longo do tempo das interrupções resultantes dos eventos
descontrolados, não específicos nestas atividades. Convém que ao avaliar impactos, a organização
primeiramente considere aqueles em relação a seus objetivos de negócio e objetivos e suas
partes interessadas. Estes podem incluir:
1) efeitos adversos sobre a equipe e bem-estar público,
2) consequências de romper deveres estatutários ou exigências regulamentares,
3) dano à reputação,
4) viabilidade financeira reduzida,
5) deterioração do produto ou da qualidade do serviço, e
6) dano ao meio ambiente;
NOTA 1 A interrupção das atividades pode causar que a entrega dos produtos e dos serviços seja
interrompida indiretamente. Por exemplo, a perda da capacidade para pagar fornecedores pode danificar
a reputação da organização e resultar que fornecedores se recusem a fornecer os bens, o que então
impede que os produtos que estão sendo fabricados ou os serviços sejam entregues.
NOTA 2 Atividades geralmente sofrem variações e podem ser naturalmente cíclicas. Existem variações
sazonais e níveis de atividade mais altos associados com fins do prazo ou datas de entrega do projeto
semanais, mensais ou anuais. Supor que a interrupção ocorre no pior momento durante estes ciclos
garante que o máximo impacto possível está avaliado.
c) cálculo de quanto tempo levaria para que os impactos associados com a perturbação das
atividades da organização se tornem inaceitáveis;
NOTA 3 O tempo tomado para que os impactos se tornem inaceitáveis pode variar entre segundos
e diversos meses segundo a natureza da atividade. Atividades que são sensíveis ao tempo em que
ocorrem necessitam poder ser especificadas com um grande grau de precisão, por exemplo, ao minuto
ou à hora. Menor precisão será aceitável para atividades menos sensíveis ao tempo.

ABNT/CEE-063
AGO 2015
NOTA 4 O tempo que tomaria para que os impactos se tornem inaceitáveis pode ser referido como “o
período tolerável máximo de interrupção”, “o período tolerável máximo” ou “a indisponibilidade aceitável
máxima”. O nível mínimo do produto ou serviço que é aceitável à organização pode ser expressado
como o objetivo mínimo de continuidade de negócios (OMCN).
d) baseado na avaliação de impactos potenciais e tomando em consideração outros fatores

relevantes, o ajuste de prazos de prioridade para retomar, em nível aceitável mínimo especificado,
as atividades da organização; e
e) identificar dependências entre as atividades; e
f) identificação de dependência de cada atividade sobre os recursos de apoio, incluindo fornecedores
e outras partes interessadas relevantes.
O prazo priorizado para retomar uma atividade pode ser referido como Tempo Objetivado para
Recuperação (RTO). O RTO pode ter em conta as dependências das atividades interrelacionadas e
do tempo em que os impactos de não reiniciar a atividade seria inaceitável [referem-se a c) acima].
NOTA 5 A partir deste ponto em diante nesta Norma, o termo “tempo objetivado de recuperação” ou sua
abreviatura “RTO” será usado em vez de “prazo priorizados”.
Convém que o resultado da análise de impacto nos negócios seja documentado e inclua a identificação de:
—— produtos, serviços e atividades;
—— prioridades de recuperação;
—— dependências e recursos significativos de apoio.
Informações para a análise de impacto nos negócios podem vir de:
—— entrevistas;
—— questionários;
—— oficinas; e
—— outras fontes internas e externas.
8.2.3 Processo de avaliação de risco
Convém que a organização estabeleça um processo formal da avaliação de risco que sistematicamente
identifique, analise e avalie o risco de interromper as atividades prioritárias e os processos da
organização, sistemas, informação, pessoas, recursos, sócios externos e os outros recursos que lhes
dão suporte.
O processo de avaliação de risco fornece um processo estruturado de análise de risco em termo

das consequências e das suas probabilidades antes de decidir se um tratamento adicional pode ser
exigido. Este processo estruturado tenta responder às seguintes perguntas fundamentais:
a) O que pode acontecer e por quê (identificação do risco)?
b) Quais podem ser as consequências?

ABNT/CEE-063
AGO 2015
c) Qual é a probabilidade de sua ocorrência futura? e
d) Há quaisquer fatores que mitiguem a consequência do risco ou que reduzem a probabilidade do
risco?
O processo precisa considerar obrigações financeiras, governamentais e sociais.

Convém que a organização compreenda as ameaças a e as vulnerabilidades dos recursos exigidos

para cada atividade da organização, e em particular aquelas:
—— exigidas por uma atividade com alta prioridade; ou
—— com um prazo de entrega significativo para substituição.
Convém que a organização selecione um método apropriado para identificação, análise e avaliação
de riscos que poderiam conduzir às interrupções. A ABNT NBR ISO 31000 expõe os princípios
de gestão de riscos e de diretrizes associadas. Convém que os elementos sejam incluídos no contexto
desta Norma são como a seguir:
—— identificação dos riscos: Identificar os riscos de interrupção de atividades prioritárias da

organização e os processos, sistemas, informações, pessoas, ativos, fornecedores e outros
recursos que lhes dão suporte. Estes podem vir a partir de:
—— ameaças específicas, que podem ser descritas como eventos ou ações que poderiam em
algum momento interromper as atividades e recursos (por exemplo, ameaças como incêndio,
inundação, falta de energia, perda de colaboradores, absenteísmo do pessoal, vírus e falha
de hardware); e
—— incidentes de interrupção, que podem surgir a partir de vulnerabilidades dentro de recursos

(por exemplo, pontos únicos de falha, inadequações em proteção contra incêndio, falta de
resistência elétrica, nível de pessoal inadequado e falta de segurança de TI e resiliência);
—— avaliação de riscos: Avaliar quais riscos relacionados com a interrupção necessitam de

tratamento. Convém que isto incida sobre os recursos necessários para atividades com alta
prioridade ou com um tempo significativo de substituição principal; e
—— identificação dos tratamentos: Identificar os tratamentos que podem entregar os objetivos

de continuidade de negócios e estão de acordo com o apetite de risco da organização (4.1).
NOTA Se qualquer outra análise de risco for feita pela organização ou por organismos externos, isto pode
fornecer informações úteis que sejam relevantes para o processo de avaliação de risco.
Necessidades sociais ou obrigações regulamentares podem exigir que a organização compartilhe

alguns dos resultados do processo de avaliação de risco com algumas partes interessadas.
8.3 Estratégia de continuidade de negócios
8.3.1 Definindo e selecionando
8.3.1.1 Generalidades
Determinar a estratégia de continuidade de negócios está relacionado à identificação de ações

necessárias para abordar as constatações oriundas da análise de impacto nos negócios (BIA) e

ABNT/CEE-063
AGO 2015
no processo de avaliação de riscos, de forma a atender aos objetivos de continuidade de negócios

da organização. É provável que esta ação seja necessária antes, durante e depois de um incidente
de interrupção e pode, por exemplo, incluir:
—— separação de uma linha de produção industrial em dois locais;

—— instalação de um gerador de energia; ou
—— redução do impacto geral de um incidente de interrupção por acordos de continuidade de negócios

que diminuam o período de interrupção e reduzam sua intensidade a níveis aceitáveis.
Convém que a determinação e seleção de estratégia de continuidade de negócios sejam baseadas

nos resultados da análise de impactos nos negócios e avaliação de riscos (8.2).
Convém que a organização determine as opções apropriadas de estratégia para:
—— proteger as atividades prioritárias;
—— estabilizar, continuar, retomar e recuperar atividades prioritárias;
—— mitigar, responder e gerenciar impactos.
Convém que a organização tenha um mecanismo para a revisão e aprovação de soluções

recomendadas.
8.3.1.2 Protegendo atividades prioritárias
A proteção das atividades prioritárias pode ser orientada para:
—— reduzir o risco da atividade;
—— transferir a atividade a um terceiro (embora a responsabilidade permaneça com a organização); e
—— cessar ou mudar a atividade, se alternativas viáveis estiverem disponíveis.
Convém que as opções para proteger atividades prioritárias sejam selecionadas de acordo com:
—— as vulnerabilidades percebidas da atividade;
—— o custo das medidas comparado aos benefícios estimados;
—— (opcionalmente) a urgência da atividade – uma vez que haverá menos tempo para resolver a
situação; e
—— a exequibilidade e a conformidade geral da opção.
Quando a organização estimar que uma ameaça seja “extremamente improvável” ou o custo
de proteger uma atividade prioritária for proibitivamente caro, a mesma pode optar por aceitar o risco
e reavaliá-lo como parte de sua avaliação contínua do desempenho do SGCN (Seção 10).
8.3.1.3 Estabilizando, continuando, retomando e recuperando atividades prioritárias
Ao estabilizar, continuar, retomar e recuperar atividades prioritárias, convém que as dependências

e recursos de suporte também sejam endereçados.

ABNT/CEE-063
AGO 2015
As opções de estratégia da continuidade podem incluir:
a) Realocação da atividade: Transferir algumas ou todas as atividades tanto internamente a uma
outra parte da organização, quanto externamente a um terceiro, independentemente ou por meio
de um acordo de auxílio recíproco ou mútuo;
b) Realocação ou remanejamento de recurso: Os recursos, incluindo os colaboradores, são

transferidos a uma outra localidade ou atividade dentro da organização, ou externamente a um
terceiro;
c) Processos alternativos e capacidade de reposição: Estabelecer processos alternativos ou

criar a redundância/capacidade de reserva nos processos e/ou no inventário;
d) Substituição do recurso e das habilidades: Reforçar as habilidades das pessoas, incluindo
a multiplicidade de habilidades do pessoal-chave ou criando o acesso à capacidade adicional
com terceirização. Os recursos de substituição são fornecidos por um terceiro ou pelo estoque
guardado remotamente pela organização, ou pelo estabelecimento de acordos de auxílio mútuo
com organizações externas e partes interessadas-chave para fornecer o acesso provisório à
capacidade adicional;
e) Ação alternativa provisória: Algumas atividades podem adotar uma maneira diferente de trabalho
que fornece resultados aceitáveis por um período limitado. É provável que a ação alternativa
seja mais demorada e/ou mais laboriosa (por exemplo, uma operação manual ao contrário de
um sistema automatizado). Por estas razões, convém que uma a ação alternativa somente seja
considerada para estender o período antes que um retorno ao normal esteja exigido; e
f) Quando consideradas as localidades para retomar uma atividade, convém que as opções
da continuidade do negócio incluam os locais danificados/afetados e locais alternativos não
danificados.
Para garantir que as atividades possam ser retomadas dentro de seus objetivos de tempo
de recuperação (RTO), também poderão ser definidos objetivos de tempo de recuperação para suas
dependências e recursos de apoio. Para a definição desses objetivos de tempo de recuperação pode
ser necessário considerar:
—— a possibilidade de prestar um serviço mínimo temporariamente até o momento em que a retomada

integral seja necessária;
—— soluções alternativas (como processos manuais), que podem adiar a necessidade de retomar a
dependência de recursos de apoio;
—— atrasos e tempo necessário para recuperar os dados perdidos; e
—— a complexidade e escala das necessidades de recuperação ou a necessidade de equipamento

especializado com um longo período de tempo.
Convém que a organização avalie todas as opções de estratégia para determinar se estas medidas
introduzem novos riscos inerentes a essas.
Opções de estratégia de continuidade de negócios para a estabilizar, continuar, retomar ou recuperar

uma atividade prioritária frequentemente pode ser proibitivamente caro. Quando a organização estimar
que este seja o caso, convém que a mesma selecione estratégias alternativas que sejam aceitáveis e
atinjam seus objetivos de continuidade de negócios ou tratem os produtos e serviços afetados como
exclusões do âmbito do SGCN, de acordo com o 4.3.2.

ABNT/CEE-063
AGO 2015
8.3.1.4 Mitigando, respondendo e gerenciando impactos.
As opções para mitigar o impacto e a duração de um incidente podem incluir:
a) Seguro: A compra de seguro pode fornecer alguma recompensa financeira para algumas perdas,
mas não atenderá todos os custos (por exemplo, eventos sem seguro, marca, reputação, valor
das partes interessadas, participação de mercado e consequências humanas). Apenas um

pagamento financeiro não protegerá inteiramente a organização ou satisfará expectativas das
partes interessadas. É mais provável que a solução do seguro seja usada conjuntamente com um
ou mais outras estratégias;
b) Restauração de ativo: Contratação de empresas de serviços em prontidão que se especializam

na limpeza ou no reparo dos ativos após seu dano; e
c) Gestão de reputação: Desenvolver uma capacidade efetiva de alertar e comunicar (8.4.3)
e estabelecer procedimentos efetivos de comunicação (8.4.4.3.2).
8.3.1.5 A continuidade dos negócios de fornecedores
Convém que a organização assegure que a continuidade de negócios de fornecedores seja avaliada.
A organização pode querer concentrar os seus esforços sobre os fornecedores cuja falha na entrega
interromperia rapidamente as atividades priorizadas. Técnicas podem incluir:
—— especificação de requisitos em licitações e contratos;
—— auditorias periódicas dos planos de fornecedores;
—— exercícios conjuntos de continuidade de negócios.
8.3.2 Estabelecendo requisitos de recursos
Convém que a organização determine os requisitos de recursos para implementar as opções

de estratégia selecionadas.
Convém que a organização estabeleça:
a) equipes apropriadas ou, para organizações menores, indivíduos com a devida autoridade para
supervisionar a prontidão, reação e recuperação do incidente;
b) capacidades logísticas e procedimentos para encontrar, adquirir, armazenar, distribuir, manter,

testar, e prestar contas de serviços, pessoal, recursos, materiais, e instalações produzidas ou
doadas para dar suporte ao SGCN;
c) procedimentos financeiros, logísticos e administrativos para dar suporte aos arranjos da

continuidade do negócio antes, durante, e após de um incidente. Convém que os procedimentos:
1) assegurem que as decisões orçamentárias possam ser cumpridas; e
2) estejam de acordo com níveis estabelecidos de autoridade, governança, e princípios

de responsabilidade;

ABNT/CEE-063
AGO 2015
d) objetivos da gestão de recurso para tempos de resposta, pessoal, equipamentos, treinamentos,
instalações, financiamento, seguro, controle de responsabilidades, conhecimento especialista,
materiais e períodos de tempo dentro dos quais cada um será necessário pelos recursos
da organização e de qualquer fornecedor; e
e) procedimentos para a assistência da parte interessada, comunicações, alianças estratégicas,

e auxílio mútuo.
8.3.2.2 Pessoas
Convém que a organização identifique medidas apropriadas para manter e ampliar a disponibilidade
de habilidades e conhecimento centrais caso o incidente conduza à redução da disponibilidade
de pessoal. Convém que estas medidas incluam os empregados, os autônomos e as outras partes
interessadas que possuam habilidades e conhecimentos especializados extensivos. As técnicas para
proteger ou aprimorar essas habilidades podem incluir:
—— lista de especialistas alternativos habilitados e plano de chamada;
—— treinamento polivalente dos colaboradores e de autônomos;
—— separação de habilidades centrais para reduzir o impacto de um incidente, incluindo a separação

física dos colaboradores com habilidades centrais em mais de uma localidade;
—— uso de terceiros;
—— planejamento de sucessão; e
—— processos de documentação e outras formas de retenção e gestão de conhecimento.
Procedimentos respaldados na realocação do pessoal depois de um incidente podem precisar

considerar:
—— transporte do pessoal a outro lugar;
—— necessidades do pessoal no local alternativo como:
—— acomodação;
—— instalações de alimentação;
—— compromissos pessoais e familiares; e
—— treinamento em equipamento diferente;
—— desafios decorridos por trabalho em casa.
Os papéis do especialista podem incluir:
—— segurança;
—— logística de transporte; e
—— bem-estar e emergência.

ABNT/CEE-063
AGO 2015
8.3.2.3 Informações e dados
Convém que a informação vital à operação da organização seja protegida e recuperável de acordo com
os períodos de tempo identificados dentro da BIA. Convém que o armazenamento e a recuperação
de dados sejam aderentes à legislação vigente.
NOTA 1 Orientações adicionais sobre a validade de dados eletrônicos são dadas na ABNT NBR 27031.
A ABNT NBR 27002 fornece orientações para garantir a confidencialidade, integridade e disponibilidade
dos dados em curso.
Convém que qualquer informação requerida para permitir que a organização responda e recupere
tenha a devida:
—— confidencialidade: por exemplo, se a atividade é movida para uma outra localidade;
—— integridade: que a informação seja segura e possa ser confiada;
—— disponibilidade: que a informação esteja disponível tão rapidamente como a atividade a exige.
Uma informação requerida durante a resposta pode ser exigida imediatamente enquanto outros
dados podem não ser exigidos por algum tempo após o incidente; e
—— atualidade: tão atualizada quanto necessário para permitir a atividade de se operar - embora
dados perdidos no incidente possam ter de ser recriados.
Em todos os casos, convém que a informação requerida para uma atividade esteja adequadamente
atualizada. Esta atualização pode ser referida como o objetivo do ponto de recuperação (RPO).
Quando dados são copiados, vários métodos podem ser usados, incluindo backups eletrônicos
ou de fita, microfichas, fotocópias, cópias duplas criadas no tempo da produção.
Convém que as estratégias da informação sejam documentadas para a recuperação de informação

que ainda não tenha sido copiada nem levada a um local seguro.
Convém que as estratégias da informação sejam estendidas para incluir:
—— formatos físicos (via impressa); e
—— formatos virtuais (eletrônicos) etc.
NOTA 2 Se a informação copiada for armazenada muito próxima à original, o incidente de interrupção pode
comprometer sua integridade ou impedir o acesso a ela. No entanto, uma longa distância pode impedir que
ela esteja disponível quando for necessária. É adequado documentar evidências de como essas questões
conflitantes foram resolvidas.
A informação específica para esta seção pode incluir:
—— informações de contato;
—— fornecedor, partes interessadas e detalhes da parte interessada;
—— documentos legais (por exemplo, contratos, apólices de seguros, ações de título); e
—— outros documentos dos serviços (por exemplo, contratos e acordos de nível de serviço).

ABNT/CEE-063
AGO 2015
8.3.2.4 Prédios, ambiente de trabalho e instalações associadas
As estratégias do local de trabalho podem variar significativamente e uma gama de opções pode estar
disponível. Diferentes tipos de incidente ou de ameaça podem requerer a implementação de locais
de trabalho em opções diferentes ou múltiplas. As táticas apropriadas serão determinadas em parte
pelo tamanho, pelo setor e pela propagação das atividades da organização, pelas partes interessadas
e pela base geográfica. Por exemplo, as autoridades públicas precisarão manter o fornecimento
da linha da frente de seus serviços em suas comunidades, enquanto algumas organizações poderiam
operar a partir de um país ou de um continente diferente.
Convém que a organização elabore uma estratégia para reduzir o impacto da indisponibilidade
de seus locais de trabalho normais. Isto pode incluir um ou mais do seguinte:
a) instalações alternativas (locais) dentro da organização, incluindo o deslocamento de outras

atividades;
b) instalações alternativas fornecidas por outras organizações (sejam ou não acordos recíprocos);
c) centros do controle da emergência;
d) locais alternativos fornecidos por especialistas terceirizados;
e) trabalho em casa ou em locais remotos;
f) outros locais apropriados acordados; e
g) uso de uma mão de obra alternativa em um local definido.
Convém que os locais alternativos sejam selecionados com cuidado, levando em consideração que
uma área geográfica possa ser afetada pelo mesmo incidente. Um incidente como uma catástrofe
natural pode causar danos em vastas áreas e afetar serviços essenciais como eletricidade, gás, água
e comunicação. Se tal risco é esperado, convém que as instalações alternativas estejam distantes
de uma possível zona afetada.
Se os colaboradores podem ser movidos para locais alternativos, estes locais podem ser próximos
o bastante que o colaborador possa estar disposto e capaz de se deslocar para o local, considerando
quaisquer dificuldades possíveis causadas pelo incidente. Contudo, não é permitido que os locais
alternativos sejam tão próximos que seja haja probabilidade de serem afetados pelo mesmo incidente.
Convém que o uso de locais alternativos para finalidades de continuidade tenha o suporte de uma
indicação clara sobre se os recursos exigidos nos locais alternativos são para o uso exclusivo
da organização. Se os locais alternativos forem compartilhados com outras organizações, convém
desenvolver e documentar um plano para mitigar a indisponibilidade desses locais.
Em algumas situações (por exemplo, uma linha de fabricação ou um centro de atendimento), pode
ser apropriado mover a carga de trabalho ao invés do pessoal. Isto pode requerer a capacidade
de reserva no local alternativo ou recursos adicionais (seja através de horas extras ou de recrutamento)
e outros disponíveis para operar a atividade.
8.3.2.5 Instalações, equipamento e recursos consumíveis
Convém que a organização identifique e mantenha um inventário dos suprimentos essenciais que dão
suporte a suas atividades prioritárias.

ABNT/CEE-063
AGO 2015
Algumas instalações e a maquinária exigidas por uma atividade podem ser difíceis de adquirir,
ser muito caras (requerendo muito tempo para autorizações) ou ter longo prazo de entrega.
As soluções para fornecer esses recursos podem precisar considerar essas questões. Mudar práticas
operacionais, como o controle de estoque ou a gestão de prédios pode fornecer soluções.
As técnicas para fornecer essas soluções podem incluir:

—— armazenamento de suprimentos adicionais em outra localidade;
—— acordos com terceiros para a entrega do estoque em curto prazo;
—— desvio de entregas just-in-time a outros locais;
—— armazenamento de materiais em armazéns ou em locais do transporte;
—— transferência de subconjuntos de operações a um lugar alternativo que tenha suprimentos;
—— identificação de suprimentos alternativos/substitutos; e
—— identificação de instalações e equipamento e planejamento multiopção por fases.
Quando as atividades são dependentes de suprimentos especializados, convém que a organização

identifique os fornecedores-chave e os exclusivos. As estratégias para administrar a continuidade de
suprimentos podem incluir:
—— aumento do número de fornecedores;
—— incentivo ou requerimento para que fornecedores tenham continuidade do negócio;
—— contratos e/ou acordos do nível de serviço com fornecedores-chave; e
—— identificação de fornecedores alternativos capazes.
Quando as atividades são realocadas, convém verificar se os fornecedores são capazes de prover os
produtos ou serviços de forma eficaz no lugar alternativo.
8.3.2.6 Sistemas de informação e telecomunicações (TIC)
Em muitas organizações, não é possível realizar as atividades sem sistemas de TIC, e esses precisam
ser restabelecidos antes que as atividades possam ser retomadas. Onde for possível e prático, a
organização pode precisar implementar operações manuais, enquanto seus serviços de TIC estão
sendo restabelecidos.
Opções tecnológicas dependerão da natureza da tecnologia utilizada e da sua relação com as

atividades, mas será tipicamente de uma combinação das seguintes características:
—— provisão feita dentro da organização;
—— serviços entregues à organização por um terceiro; e
—— serviços externos cuja organização contrata.

ABNT/CEE-063
AGO 2015
Técnicas para fornecimento de sistemas de TIC exigidos por atividades priorizadas podem incluir:
—— distribuí-las geograficamente, por exemplo, mantendo a mesma tecnologia em diferentes

localidades, que não será afetada pelo mesmo incidente de interrupção;
—— guardar equipamentos mais antigos como substituto de emergência ou de peças de reposição; e

—— contratar a provisão de equipamentos ou serviços de recuperação.
Devido à complexidade das tecnologias que os suportam, os sistemas de TIC têm frequentemente
necessidade de arranjos complexos para assegurar que eles possam ser recuperados tempestivamente.
Convém, portanto, considerar:
—— definir os objetivos de tempo de recuperação (RTO) para sistemas de TIC que permitem que
as atividades priorizadas sejam retomadas dentro de seus RTO;
—— conceder especial atenção para as localidades de sítios de tecnologia e da distância entre eles;
—— distribuir a tecnologia através de um grande número de locais distintos;
—— fornecer instalações adequadas para o aumento do número de usuários com acesso remoto;
—— configurar sítios sem equipe (dark sites), bem como sítios com equipes;
—— melhorar a conectividade de telecomunicações e aumentar os níveis de roteamento redundante;
—— fornecer “failover” automático em vez de exigir uma intervenção manual para redirecionar
o fornecimento de TIC;
—— acomodar obsolescência de TIC; e
—— fornecer conectividade de terceiros adicionais e links externos.
Se uma técnica de “failover” for adotada de um local a outro, pode-se considerar a distância do
trajeto de rede entre os dois locais. Caso haja uma longa distância entre esses, pode ocorrer lentidão
na resposta do sistema e tornar os sistemas de TIC ineficientes.
Se uma organização abriga seus sistemas de TIC em mais de um sítio, pode haver a oportunidade
de implementar uma “estratégia mútua de TIC”, de modo que cada sítio seja dimensionado para
acomodar a capacidade combinada de TIC em mais de um sítio.
Se uma organização utilizar tecnologias muito especializadas ou personalizadas, com longo tempo
de espera para recuperação, pode ser necessário elevar a proteção de seus TIC ao fazer provisões
especiais para substituição ou restauração.
NOTA Orientação adicional na continuidade para a TIC pode ser encontrada nas ABNT NBR ISO 27031,
ABNT NBR ISO 27001 e ABNT NBR ISO 20000 (ambas as partes).
8.3.2.7 Transporte
O transporte precisar de ser fornecido após um incidente para:
—— os colaboradores enviados para casa se o meio de transporte normal estiver disponível;

ABNT/CEE-063
AGO 2015
—— os colaboradores realocados ao local alternativo do trabalho; e
—— os recursos que possam ter de ser transferidos a um local alternativo.
Convém que a organização determine antecipadamente as opções para fornecer meios alternativos
de transporte que possam ser necessários na sequência de um incidente de interrupção. Esses podem
incluir:
—— identificar cenários possíveis de interrupções logísticas que podem ser causados diretamente por
um incidente e por situações pouco usuais;
—— assegurar meios logísticos e rotas alternativas considerando condições de tráfego, meios

de transporte, e das outras redes da logística; e
—— contratos com fornecedores de transporte.
8.3.2.8 Finanças
Convém que a organização determine as opções para garantir que o financiamento necessário esteja
disponível durante e após um incidente de interrupção. Isso pode incluir:
—— fornecer fundos para compras de emergência, como alimentação, alojamento, instalações,

materiais de consumo e de transporte;
—— o reembolso das despesas de colaboradores;
—— grandes despesas, por exemplo, a locação ou a aquisição de imóveis e equipamentos.
Para se proteger contra abusos ou facilitar avisos de sinistro, pode ser necessário para demonstrar
controles financeiros efetivos, como por exemplo, o registro formal das despesas durante e após um
incidente de interrupção.
8.3.2.8.1 Fornecedores
Se um produto, serviço ou atividade for terceirizado, a responsabilidade e a prestação de contas para

esse produto, serviço ou atividade permanece com a organização. Consequentemente, convém que a
organização assegure-se de que os seus principais fornecedores têm instaurados arranjos efetivos de
continuidade. Um método de fazer isso é obter evidências da viabilidade dos planos de continuidade
dos fornecedores-chave e seus programas de exercícios e manutenção. Ver 8.3.1.5.
8.3.3 Proteção e mitigação
Para os riscos identificados que requeiram tratamento e alinhamento com a atitude geral ao risco,
convém que a organização considere maneiras de reduzir a probabilidade, diminuindo o período e
limitando os impactos da interrupção.
8.4 Estabelecer e implementar procedimentos de continuidade de negócios

8.4.1 Generalidades
Convém que a organização coloque em prática e documente procedimentos que forneçam controle
total da resposta a um incidente de interrupção e retome as atividades dentro de seus objetivos
de tempo de recuperação. Convém que os procedimentos de continuidade de negócios estabeleçam
os protocolos de comunicação interna e externa apropriados e que sejam:
a) específicos – no que diz respeito aos passos imediatos, os quais convém que sejam seguidos
durante uma interrupção;

ABNT/CEE-063
AGO 2015
b) flexíveis – de modo que possam ser usados para responder aos cenários não antecipados de
ameaça e condições internas e externas em mudança;
c) focalizados – convém que sejam claramente relacionados ao impacto dos eventos que poderiam
potencialmente interromper operações e desenvolvido com base em pressupostos indicados e
em uma análise de interdependências; e
d) efetivos – em termos de minimizar as consequências dos incidentes com a implementação de

estratégias apropriadas de mitigação.
8.4.2 Estrutura de resposta a incidentes
Convém que a organização implemente procedimentos e uma estrutura de gestão que permitirá se
preparar para mitigar e responder efetivamente aos incidentes de interrupção.
Convém que a estrutura da resposta forneça:
—— recursos para identificar os pontos iniciais do impacto que justifiquem a iniciação da resposta
formal;
—— recursos para avaliar a natureza e a extensão de um incidente de interrupção ou do impacto

potencial;
—— recursos para implantar medidas para prover o bem-estar das que foram afetadas;
—— recursos para iniciar uma reação apropriada da continuidade do negócio;
—— recursos para processos e procedimentos para ativação, operação, coordenação e comunicação

da resposta;
—— recursos disponíveis para dar suporte aos processos e os procedimentos necessários para gerir
um incidente de interrupção ou minimizar o impacto; e
—— comunicação com as partes interessadas, incluindo em particular, as autoridades e a mídia.
Convém que a estrutura de resposta seja simples e capaz de ser formada rapidamente. Ao determinar
a estrutura, convém considerar:
—— ter uma ou mais pessoas competentes disponíveis para estabelecer as ramificações do incidente
e avaliar o impacto ou o potencial impacto do incidente em sua escala de tempo;
—— ser capaz de mobilizar equipes para tomar o controle, conter o incidente e iniciar a resposta
apropriada; e
—— incluir os recursos apropriados que possam conter colaboradores, autônomos, equipamentos e

finanças.
As organizações maiores ou complexas podem usar uma abordagem em níveis para a resposta
ao incidente e podem estabelecer equipes distintas com foco na resposta ao incidente, na gestão
do incidente, nas comunicações, no bem-estar e na retomada do negócio. Em organizações menores,
todos os aspectos de resposta ao incidente podem ser tratados por uma equipe, mas convém nunca
serem de responsabilidade de um único indivíduo. Convém que cada equipe tenha procedimentos
para controlar um incidente de acordo com suas responsabilidades. Competências individuais
e de equipes podem ser demonstradas por treinos e exercícios.

ABNT/CEE-063
AGO 2015
8.4.3 Avisos e comunicação
Convém que a organização estabeleça, implemente e mantenha procedimentos para avisos

e comunicação. Convém que estes incluam:
a) detectar um incidente e alertar a resposta de colaboradores;
b) monitorar continuamente um incidente;
c) comunicação interna entre os vários níveis e funções dentro da organização;
d) comunicar externamente com as partes interessadas;
e) receber, documentar e responder à comunicação de outras partes interessadas;
f) receber, documentar e responder ao sistema regional ou nacional de informações de riscos

ou equivalente;
g) alertar às partes interessadas potencialmente impactadas por um incidente de interrupção

ocorrido ou iminente;
h) assegurar a disponibilidade de meios de comunicação durante um incidente de interrupção;
i) facilitar uma comunicação estruturada com os que respondem à emergência;
j) assegurar a interoperabilidade nas respostas de múltiplas organizações e colaboradores;
k) registar informação vital sobre o incidente, as ações tomadas e as decisões feitas; e
l) operar uma instalação de comunicações.
Uma organização pode ter de decidir se quer ou não e em que ponto se comunicar com partes
interessadas externas sobre o seus alertas e procedimentos de comunicação. Convém que
a segurança de vida seja a primeira consideração ao tomar essa decisão. Convém que a decisão
e as razões para isso sejam documentadas.
Por exemplo, uma organização que realiza atividades perigosas que podem ameaçar a segurança
dos vizinhos mais próximos pode precisar certificar-se de que os vizinhos sejam notificados do perigo
potencial. Isso pode significar que eles necessitam entender como os alarmes são emitidos e como
respondê-los.
Convém que a organização tenha procedimentos efetivos e instalações para rápida emissão de avisos,
alertas e comunicação externa. Um regime especial pode ser necessário para as partes interessadas
com necessidades específicas, por exemplo, os idosos e demais portadores de necessidades
especiais. Convém que o sistema de alerta e comunicação seja regularmente exercitado. Para obter
orientação sobre exercício, ver 8.5.
8.4.3.2 Procedimentos de comunicação de incidentes
Os procedimentos precisam ser estabelecidos antes de um incidente potencial, podendo facilitar:
—— receber, documentar e responder a qualquer sistema nacional ou regional de informações de risco

ou equivalente. Esses podem refletir as ameaças que são comuns ao local - como terremoto,
tsunami, ou avisos de furacão; e

ABNT/CEE-063
AGO 2015
—— alertar os interessados potencialmente impactados por um incidente de interrupção ocorrido ou

iminente - onde a organização tem a responsabilidade legal ou moral para a advertência.
Uma vez que o incidente tenha iniciado, convém que a organização desenvolva procedimentos que
garantam:
—— que o incidente é continuamente monitorado, através da observação local ou monitoramento

remoto e quaisquer desenvolvimentos comunicados aos agentes de resposta apropriados;
—— comunicação estruturada com equipes de emergência;
—— interoperabilidade nas respostas de múltiplas organizações e colaboradores onde for de respon-

sabilidade da organização;
—— que a comunicação é fornecida entre as várias equipes de resposta da organização;
—— comunicação regular com os funcionários e os outros para os quais há um dever de cuidado,

como visitantes e prestadores de serviços - este podem ter de ser em pontos de evacuação
inicialmente, em seguida, em casa ou locais alternativos; e
—— gravação de informação vital sobre o incidente, as ações tomadas e decisões feitas – por parte
dos indivíduos que as fizeram ou por uma pessoa designada em cada equipe.
Procedimentos também são necessários para facilitar a comunicação eficaz de duas vias entre as
partes interessadas, como clientes e a mídia.
Convém que a organização mantenha comunicação com essas partes até o retorno das operações
normais quando a comunicação que marca o fim do incidente possa ser apropriada.
8.4.3.3 Instalações de comunicação do incidente
Estes procedimentos podem ser facilitados pelo uso uma instalação de comunicações dedicada
ou ad hoc. Convém que isto fique situado suficientemente longe do local afetado tal que sua operação
não seja impedida pelo incidente.
Convém que o equipamento de comunicações disponível reconheça que o incidente possa ter afetado
o desempenho de comunicações normais assim que uma variedade de alternativas possam estar
disponíveis como:
—— alto-falantes ou sistemas públicos de som;
—— telefones móveis sobressalentes; e
—— rádios bidirecionais.
8.4.4 Planos de continuidade do negócio
Convém que a organização estabeleça procedimentos documentados que permitam à organização

responder a um incidente e lidar adequadamente com a retomada e recuperação de suas atividades.

ABNT/CEE-063
AGO 2015
Convém que estes procedimentos abordem todos os aspectos da resposta a um incidente com
especial atenção às questões de segurança à vida e as necessidades de todos aqueles que irão usá-
los. Para determinar os requisitos, pode ser vantajoso:
—— envolver no desenvolvimento dos procedimentos, aqueles que irão usá-los;

—— usar a retroalimentação do exercício e lições aprendidas de incidentes de interrupção.
Convém que prazos e níveis de desempenho sejam baseados na informação recolhida durante
a análise de impacto nos negócios (8.2.2) e da estratégia selecionada de continuidade de
negócios (8.3.1).
Convém que seja identificado de forma clara dentro de cada plano o seguinte:
—— finalidade e escopo;
—— objetivos e indicadores de sucesso em termos das atividades prioritárias;
—— critérios e procedimentos de ativação;
—— procedimentos de implementação;
—— papéis, responsabilidades, e autoridades;
—— requerimentos e procedimentos de comunicação;
—— interações e interdependências internas e externas;
—— requerimentos de recursos; e
—— processos de documentação e fluxo de informação.
Ao lidar com um incidente de interrupção, há um número de ações que precisam ser consideradas.
Convém que essas ações sejam incluídas em procedimentos documentados (8.4.4.2 e 8.4.4.3) e
abordem:
a) responder e avaliar o incidente:
1) O que aconteceu e como ele ocorre?
2) Quais as partes da organização e que as partes interessadas foram ou poderiam ter sido
afetadas?
3) Qual é a duração previsível do incidente e seus impactos? e
4) Poderia o incidente ser gerenciado pelas ações da rotina de gestão?
b) avaliar o incidente contra critérios de ativação para cada um dos procedimentos;
c) declarar um incidente e ativar os procedimentos quando os critérios de ativação forem cumpridos;
d) estabilizar, continuar, retomar e recuperar atividades;
e) estabelecer e executar a localidade de gerenciamento do incidente;

ABNT/CEE-063
AGO 2015
f) priorizar questões e atividades a serem realizadas na gestão do incidente e seus impactos;
g) controlar e coordenar todos os procedimentos ativados;
h) ativar ou estabelecer locais alternativos para a restauração de TI ou outras capacidades

de infraestrutura para o funcionamento temporário das atividades da organização;
i) monitorar o incidente conforme progride;
j) revisar e adaptar planos em resposta a mudanças nas circunstâncias;
k) desativar planos e retornar à rotina de gestão conforme for restabelecida a capacidade sustentável;
l) conduzir uma interrogação e identificar oportunidades de aprendizagem; e
m) assegurar a boa governança, agrupamento e segurança da documentação gerada durante

a gestão e recuperação do incidente.
Para conseguir a retomada rápida da entrega de produtos e serviços da organização, convém que
os procedimentos documentados para retomar cada atividade:
—— atendam ao objetivo de tempo de recuperação da atividade que suporta o produto ou serviço, e
—— sejam suficientemente confiáveis.
Isso pode ser alcançado por meio:
—— da propriedade ou controle dos meios e recursos para decretar o procedimento; e
—— de contratos, acordos ou níveis de serviço com terceiros.
Para assegurar que o funcionamento dos procedimentos não seja afetado pela mesma interrupção,
a organização pode tomar precauções, por exemplo, separando os colaboradores e as TIC em múltiplas
localidades. No entanto, a separação total para todas as escalas e tipos de incidente não é possível,
e convém que esta limitação seja identificada e acordada com a alta direção. Esta limitação pode ser
expressa em termos de distância, pessoal mínimo ou com a gravidade e pode ser determinada pela
resposta das autoridades civis a um incidente grave e/ou generalizado.
8.4.4.2 Conteúdo dos planos de continuidade de negócios
Um plano de continuidade de negócios pode ser um único procedimento documentado ou vários

procedimentos, abrangendo todos os requisitos e sobre o âmbito do SGCN.
Convém que a finalidade, escopo e objetivos de cada procedimento sejam definidos e compreensíveis
para aqueles que irão colocá-lo em prática. Qualquer relação a outros procedimentos relevantes
documentados convém que sejam claramente referenciados e o método de obtenção de acesso
a eles descrito.
Dentro dos planos de continuidade do negócio, convém ser claramente identificável (ver também
8.4.4.3):
a) papéis e responsabilidades:
1) papéis, responsabilidades e autoridades definidas para pessoas e equipes que usarão
os planos de continuidade do negócio. Se o plano de continuidade do negócio contempla mais

ABNT/CEE-063
AGO 2015
de um procedimento documentado, convém que os papéis, responsabilidades e autoridades

para cada procedimento estejam definidos; e
2) orientações e critérios sobre quem tem a autoridade de invocar os procedimentos e sob quais
circunstâncias – isso pode seguir alçadas definidas.
b) invocação e desativação:
1) um processo para ativar a resposta da organização a um incidente de interrupção e, dentro

de cada procedimento documentado, seus critérios e procedimentos de ativação. Pode ser
relevante considerar se é dentro ou fora do horário normal de expediente;
2) um processo para desmobilizar equipes uma vez que o incidente se passou; e
3) encontro e lugares para se encontrar com alternativas apropriadas.
c) gestão do incidente:
1) gestão das consequências imediatas de um incidente de interrupção considerando

as questões de bem-estar de pessoas afetadas (incluindo os membros da equipe), as opções
para responder à interrupção (que podem ser descritas como estratégica, tática e operacional)
e prevenção, perda adicional ou indisponibilidade de atividades prioritárias;
2) dentro de cada procedimento documentado, convém que existam:
i. processos de implementação que identifiquem as ações e tarefas que precisam ser

executadas, principalmente em relação à forma como a organização vai continuar ou
recuperar suas atividades priorizadas dentro de prazos pré-determinados;
ii. requerimentos dos recursos (8.3.2) relevantes para o procedimento documentado; e
iii. meios para registrar as principais informações sobre o incidente, as ações tomadas e
decisões feitas.
d) informações dentro de cada procedimento documentado em contato com:
1) detalhes de contato para os membros da equipe e outras pessoas com funções e
responsabilidades - onde se aplica a legislação local de proteção de dados, convém que
informações de contato sejam armazenadas de acordo com essa; e
2) detalhes de contato e mobilização para quaisquer órgãos competentes, organizações

e os recursos que possam ser necessários.
e) comunicação (8.4.3):
1) detalhes abordando como e em que circunstâncias a organização irá se comunicar

com os funcionários e seus familiares, com as principais partes interessadas e contatos
de emergência; e
2) detalhes da resposta da organização à mídia após um incidente, incluindo a sua estratégia,
a interface preferida de comunicação com a mídia, orientações ou modelos para elaboração
de declarações e de identificação de porta-vozes apropriados.

ABNT/CEE-063
AGO 2015
8.4.4.3 Tipos específicos de procedimentos
8.4.4.3.1 Gestão do incidente/procedimentos estratégicos da gestão
O objetivo da gestão de incidentes é garantir que a resposta da organização a um incidente

de interrupção seja efetiva em nível estratégico.
Convém que o procedimento forneça a base para controlar todas as questões possíveis, incluindo
aquelas relativas às partes interessadas, que a organização enfrenta durante um incidente.
Convém que a organização identifique um local, uma sala ou um espaço de onde um incidente
será controlado. Uma vez estabelecido, convém que este local seja o ponto focal para a resposta
da organização. Convém também, que um ponto de reunião alternativo em um local diferente seja
nomeado caso o acesso ao local preliminar seja negado. Convém que cada local tenha o acesso
aos recursos apropriados pelos quais a equipe diretiva do incidente pode iniciar as atividades eficazes
da gestão do incidente sem demora.
O local pode ser tão simples quanto uma sala de hotel ou a casa de um membro dos colaboradores. Pode
ser tão complexo quanto de “um centro de comando dedicado” com computadores, videoconferência
e telefones múltiplos. Inicialmente, pode ser necessário realizar uma reunião virtual ou fora do local,
por exemplo por meio de telefone, teleconferência ou videoconferência, de modo que as decisões-
chave possam ser tomadas prontamente.
Convém que o lugar escolhido seja ajustado para a finalidade e inclua:
—— espaço para o número exigido de pessoas;
—— meios primários e secundários eficazes de comunicação; e
—— instalações para acessar e compartilhar a informação, incluindo a monitoração de mídia noticiosa.
Outras equipes de resposta podem exigir instalações similares.
8.4.4.3.2 Procedimentos das comunicações
Os procedimentos das comunicações podem ser incluídos no procedimento da gestão da reação do

incidente ou um procedimento separado da reação das comunicações (e a equipe) pode ser apropriado.
Há uma necessidade de controlar e coordenar ativamente muitas comunicações que serão entregues
e recebidas durante o incidente. Convém que este procedimento contenha:
a) detalhes em como e em que circunstâncias a organização se comunicará com os empregados e

os seus parentes, partes interessadas-chave e contatos de emergência;
b) detalhes na reação da mídia da organização que segue um incidente, incluindo:
1) a estratégia das comunicações do incidente;
2) relação preferida com a mídia;
3) diretriz ou molde para esboçar uma declaração para a mídia; e
4) número apropriado de porta-vozes treinados, competentes e autorizados a liberar informações

à mídia

ABNT/CEE-063
AGO 2015
A informação pré-preparada pode ser especialmente útil nas fases iniciais de um incidente. Permite à
organização fornecer detalhes sobre a organização e seu negócio enquanto os detalhes do incidente
ainda estão sendo estabelecidos.
Pode ser apropriado:

—— estabelecer um local de encontro apropriado para dar suporte à ligação com a mídia, ou outros
grupos de partes interessadas;
—— estabelecer um número apropriado de pessoas competentes, treinadas para responder a

perguntas da imprensa por telefone;
—— usar todos os canais de comunicação abertos à organização incluindo mídias sociais; e
—— preparar o material de fundo sobre a organização e suas operações (convém que esta informação
seja pré-concordada para liberação).
A pressão ou os grupos de ação comunitária que têm coletivamente o poder ou a influência sobre
a organização podem também ser considerados.
Convém que um processo para identificar e dar a prioridade a comunicações com outras partes
interessadas-chaves seja incluído. Pode ser necessário desenvolver um procedimento separado para
administrar partes interessadas, fornecer critérios para ajustar prioridades e fazer disposições para
atribuir pessoas a cada parte interessada ou grupo de partes interessadas.
8.4.4.3.3 Procedimentos de segurança e bem-estar
As organizações têm uma responsabilidade direta de proteger o bem-estar dos empregados, dos
contratantes, dos visitantes e dos clientes onde um incidente levanta um risco direto à vida, à
subsistência e ao bem-estar. É necessário que atenção especial seja prestada a quaisquer grupos
com inabilidades ou outras necessidades específicas (por exemplo, gravidez, inabilidade provisória
devido a ferimento etc.). O planejamento adiantado para cumprir estes requisitos pode reduzir o
risco e tranquilizar as pessoas afetadas. Os impactos a longo prazo dos incidentes não podem ser
subestimados. Desenvolver estratégias apropriadas a favor do bem-estar humano pode diretamente
promover recuperação física e emocional dentro da organização e convém levar em consideração
aspectos sociais e culturais relevantes.
Elementos de um procedimento da resposta com relação ao bem-estar convém incluir:
—— evacuação do local (inclusive de atividades internas de “abrigo no local”) e pontos de reunião;
—— mobilização da segurança, dos primeiros socorros ou das equipes de evacuação-auxílio; e
—— localização e consideração daqueles que estavam no local ou na vizinhança imediata.
Podem também incluir:
—— serviços de tradução
—— auxílio em transporte incluindo direções em caso de necessidade;
—— conexões e informações de contato designadas para serviços de urgências, agências apropriadas,

e primeiros socorros;

ABNT/CEE-063
AGO 2015
—— localização de mão de obra ou contratantes deslocados;
—— controle de linhas de ajuda por telefone; e
—— serviços de reabilitação e aconselhamento (físico e emocional).

A organização pode reter um meio de proporcionar serviços para informar e aconselhar os

colaboradores afetados após um incidente e para dar suporte em longo prazo. Os serviços podem
ser contratados externamente ou podem ser fornecidos como uma extensão dos programas de saúde
ocupacional e de auxílio existentes do empregado.
Convém que a organização distribua os colaboradores com os níveis de autoridade apropriados

para contatar, onde apropriado, os serviços de urgências. Os serviços de urgências têm o papel
primário na proteção da vida e em aliviar o sofrimento durante emergências. Consequentemente,
ligação antecipada, pré-planejamento e coordenação do incidente em tempo real entre a organização
e seus primeiros atendentes e os serviços de urgências pode melhorar a eficiência de uma reação
do incidente.
Convém que quaisquer recursos exigidos especificadamente sejam identificados. Convém que
um recurso esteja disponível em tempo oportuno e convém que se tenha a capacidade para fazer
sua função pretendida. Convém que a limitação no uso do recurso seja tomada em consideração,
e convém que a aplicação do recurso não incorra em mais responsabilidade do que deixar de usar
o recurso. Convém que o custo do recurso não aumente o benefício.
Os recursos que podem ser exigidos para uma reação pelo bem-estar incluem, mas não são limitados
a, o seguinte:
—— os locais, quantidades, acessibilidade, operabilidade, e manutenção do equipamento (por

exemplo, pesado, transporte, monitoração, descontaminação, reação, equipamento de proteção
pessoal);
—— suprimento (por exemplo, material médico, colaboradores, materiais de consumo, administrativo,

gelo);
—— fontes de energia (por exemplo, elétrica, combustível);
—— produção de energia de emergência (geradores);
—— sistemas de comunicações;
—— alimento e água;
—— informação técnica;
—— roupa e abrigo;
—— pessoal especializado (por exemplo, médicos, religiosos, organizações voluntárias, pessoal

de gestão de emergência/desastre, trabalhadores de serviço público, agentes funerários,
e contratantes privados);
—— grupos voluntários especializados (por exemplo, Cruz Vermelha, rádioamadores, organizações

de ajuda religiosas, agências caritativas);

ABNT/CEE-063
AGO 2015
—— voluntários, comunidade, suporte de emergência; e
—— agências internacionais, nacionais, provinciais, tribais, territoriais, e locais externos.
8.4.4.3.4 Salvamento e procedimentos de segurança

A organização pode preparar procedimentos documentados que tratem de resgate e de segurança.

Isso pode incluir orientações sobre:
—— as prioridades de resgate para instalações, equipamentos e informação documentada; e
—— segurança das instalações, uma vez entregues pelos serviços de emergência.
A organização pode nomear empreiteiros de resgate especializadas antes do incidente. Resgate

eficaz de instalações, equipamentos e informação documentada podem limitar os impactos e permitir
um retorno mais rápido ao trabalho normal.
8.4.4.3.5 Procedimentos para retomar as atividades
Convém que cada procedimento especifique:
—— atividades prioritárias a serem retomadas;
—— linha do tempo para serem retomadas;
—— níveis de recuperação necessários para cada atividade prioritária; e
—— situações em que o procedimento pode ser utilizado.
Convém que cada procedimento detalhe, quando apropriado, os recursos exigidos em pontos
diferentes a tempo para conseguir os objetivos. Isto pode incluir:
—— números do recurso;
—— habilidades e qualificações;
—— equipamento técnico;
—— instalações de telecomunicações; e
—— disponibilidade de recursos contratantes, concordados por auxílio mútuo ou provável de estar

disponível.
Caso a falta de um serviço ou de um recurso ameace a retomada de atividades, convém que ações
de escalonadas sejam definidas. Estas ações podem incluir:
—— mobilização de recursos externos e de terceiros;
—— uma comunicação sobre ações da recuperação; e
—— procedimentos para executar ações alternativas manuais, a recuperação de sistema etc.

ABNT/CEE-063
AGO 2015
Convém que os requisitos de recurso sejam documentados e eles podem incluir:
—— registros vitais (via impressa e eletrônico);
—— manuais de funcionamento e procedimento;
—— planos e procedimentos técnicos da recuperação de TI;

—— localização de instalações de armazenamento, que estão sendo usadas pela organização fora
da área;
—— locais alternativos;
—— autoridades/delegações para o pagamento de despesas da emergência;
—— lista dos colaboradores com a experiência exigida pelas unidades operacionais;
—— documentação da infraestrutura de TI e das aplicações;
—— fonte de suporte às telecomunicações;
—— fontes de equipamento de escritório e especialistas; e
—— contatos das utilidades (água, energia etc.).
8.4.4.3.6 Recuperação de sistemas de informação e telecomunicações (TIC)
Convém que os procedimentos de retorno às atividades identifiquem os sistemas de TIC em que se

baseia a sua retomada e referencie quaisquer procedimentos de continuidade de TIC que existam.
Convém que procedimentos de continuidade de TIC, se existirem, tratem no mínimo de:
—— invocação da resposta de TIC necessária e recuperação e implantação de pessoal de TIC;
—— acesso ao back-up de dados e aquisição de prestação de serviço alternativo;
—— recuperação de dados, serviços de informação e comunicações e de apoio; e
—— calendário de requisitos de disponibilidade e capacidade estabelecido nos procedimentos

de continuidade de negócios, permitindo que as atividades atendam seus objetivos de tempo
de recuperação.
NOTA Outras orientações podem ser encontradas na ABNT NBR ISO 27031.
8.4.5 Recuperação
Convém que a organização tenha procedimentos documentados para restaurar e retomar as operações
comerciais das medidas temporárias adotadas para dar suporte aos requisitos de negócios normais
depois de um incidente. Convém que estes atendam aos requisitos de governança corporativa e auditoria
relevante.
O objetivo da recuperação é reestabelecer as atividades comerciais para suportar os requisitos de

negócios normais após um incidente de interrupção. A volta ao normal pode ser alcançada por meio de:
—— reparação dos danos resultantes do incidente;

ABNT/CEE-063
AGO 2015
—— migração de operações de instalações provisórias de volta para o local de trabalho principal

restaurado; ou
—— mudança para um novo local.
A decisão sobre a melhor forma de “voltar ao normal” terá que ser tomada com base na gravidade dos
danos causados pelo incidente e as estimativas de quanto tempo isso pode levar para o estabelecimento
das instalações necessárias.
Convém que os procedimentos documentados exigidos prevejam uma avaliação detalhada da situação
e de seu impacto e a determinação das tarefas, das etapas ou das atividades necessárias para a
recuperação. Durante a recuperação, a organização pode precisar:
a) estabelecer recursos e infraestrutura da recuperação;
b) operar em instalações de recuperação;
c) restaurar instalações danificadas;
d) garantir compras e financiamento de emergência;
e) restaurar equipamento em instalações danificadas;
f) registrar ocorrências de acordo com as apólices de seguro existentes;
g) obter mão de obra adicional para dar suporte ao esforço da recuperação;
h) selecionar opções para restaurar e retornar ao negócio;
i) migrar operações para as instalações de recuperação;
j) recuperar informação documentada perdida;
k) comunicar-se com as partes interessadas relevantes e com frequência apropriada;
l) normalizar operações nas instalações restauradas;
m) conduzir uma análise crítica após a recuperação; e
n) conduzir diligência devida em requisitos de auditoria e governança corporativa
Convém que os procedimentos documentados para a recuperação incluam uma provisão para a
retomada de todas as atividades e não apenas aquelas identificadas como atividades prioritárias. Isto
reconhece que as atividades com uma baixa prioridade precisam ser retomadas em algum ponto no
tempo e têm as necessidades de recursos (8.3.2).
8.5 Exercitando e testando
8.5.1 Generalidades
Não é possível considerar os procedimentos e arranjos de continuidade de negócios de uma

organização confiáveis até a realização de exercícios e, a menos que seu progresso seja mantido.
O exercício é essencial para assegurar que as estratégias, políticas, planos e procedimentos que
têm sido postos em prática são adequados e cumprem os objetivos de continuidade de negócios.

ABNT/CEE-063
AGO 2015
Exercícios desenvolvem o trabalho em equipe, a competência, a confiança e o conhecimento,

e convém incluir aqueles que podem ser obrigados a utilizar os procedimentos.
8.5.2 Programa de exercícios
Não importa o quão bem desenvolvido e discutido um procedimento parece ser, uma série de exercícios
robustos e realísticos identificará áreas que exigem melhoria.
Convém que um programa de exercícios seja consistente com o escopo dos procedimentos
de continuidade do negócio, dando a consideração devida a qualquer legislação e regulamentação
relevantes.
Convém que um programa de exercícios seja planejado de forma que, durante um período de tempo,
conduza à garantia objetiva de que os procedimentos e acordos trabalharão conforme antecipado
se necessário. Convém ao programa:
a) exercitar os sistemas técnicos, logísticos, administrativos, processuais e outros sistemas

operacionais dos procedimentos;
b) exercitar todas as pessoas com responsabilidades atribuídas nestes procedimentos;
c) exercitar os arranjos e a infraestrutura da continuidade do negócio (que incluem por exemplo,
locais de gestão de incidentes e áreas de trabalho); e
d) validar a recuperação da tecnologia e das telecomunicações, incluindo a disponibilidade e a

realocação dos colaboradores.
Convém que a escala e a complexidade dos exercícios sejam apropriadas aos objetivos de continuidade
de negócios da organização.
Convém que exista um cronograma planejado de exercícios, cuja frequência convém que dependa
das necessidades da organização, o ambiente em que atua e os requisitos das partes interessadas.
No entanto, convém que o programa de exercícios seja flexível, tendo em conta as mudanças dentro
da organização e os resultados de exercícios anteriores. Uma mudança significativa na organização
pode desencadear o agendamento de um exercício para examinar as disposições revistas.
Convém que o programa de exercícios considere os papéis de todas as partes, incluindo os principais
provedores de terceira parte, fornecedores e outros que seriam esperados para participar de atividades
de recuperação. Uma organização pode incluir estas partes em seus exercícios e pode participar
em exercícios que elas organizam.
Convém que o escopo e o detalhe dos exercícios amadureçam com um programa baseado
na experiência, nos recursos, e nas capacidades da organização. Em estágios iniciais de
maturidade, o exercício e os testes podem estar limitados ao uso de listas de verificação e exercícios
de conscientização. Conforme o programa amadurece, isto pode incluir exercícios de simulação,
simulações em tempo real, em larga escala.
8.5.3 Exercitando planos de continuidade de negócios
Os exercícios são atividades projetadas para examinar a capacidade dos colaboradores para reagir,
recuperar e continuar eficazmente a executar funções de negócio atribuídas quando enfrentados com
cenários de interrupção específicos. Convém que a organização faça uso de exercícios e de resultados
documentados destes para assegurar a eficácia e a prontidão de seus planos de continuidade
de negócios.

ABNT/CEE-063
AGO 2015
Convém que cada exercício e teste tenham metas e objetivos claramente definidos e sejam baseados
em um cenário apropriado para conhecê-los.
Os exercícios podem:
—— antecipar um resultado predeterminado, por exemplo, é planejado e esquematizado com

antecedência; e
—— permite que a organização desenvolva soluções inovadoras.
Convém que os exercícios sejam realísticos, planejados com cuidado e acordados com as partes
interessadas, de modo que haja um risco mínimo de interrupção aos processos de negócios
e de um incidente que ocorra por um resultado direto do exercício. Isto pode ser conseguido
empreendendo o exercício dentro de um ambiente controlado e isolado contanto que este
não comprometa a integridade dos objetivos que estão sendo testados.
Convém que a organização projete cenários do exercício que satisfaçam aos objetivos do exercício
e possam usar ameaças identificadas na avaliação de risco ou em outros eventos apropriados.
A eficácia de alguns aspectos dos arranjos da GCN exigirá que os indivíduos particulares ou aquelas
posições específicas de ocupação tenham o conhecimento, habilidades e compreensões particulares.
Convém que estes sejam colocados antes do exercício permitindo que os participantes apliquem
estes aos cenários e às simulações relevantes.
Convém que os exercícios sejam projetados e conduzidos de modo que forneçam um ou mais
do seguinte:
a) verificação de que os tempos objetivados de recuperação (RTO) são realizáveis (8.3.1);
b) confiança de que as informações exigidas pelas atividades são apropriadamente atuais (8.3.2.3);
c) melhoria da compreensão das dependências na continuidade dos negócios de fornecedores e

outras partes interessadas;
d) maior consciência do contexto e as prioridades da organização;
e) melhoria da compreensão do conteúdo e utilização de procedimentos de continuidade de negócios;
f) melhoria da confiança na resposta a incidentes;
g) uma oportunidade para melhorar as capacidades;
h) uma avaliação da utilidade e aplicabilidade de estratégias de continuidade de negócios;
i) uma avaliação da adequação das capacidades desenvolvidas e alocação de recursos;
j) uma identificação das necessidades e práticas anteriores utilizadas na gestão de um incidente
ou interrupção que não foram documentadas;
k) uma oportunidade para identificar quaisquer outras insuficiências nos procedimentos
de continuidade de negócios escritos e sua implementação;
l) garantia de que os procedimentos de continuidade de negócios são capazes de serem

implementados, quando necessário;

ABNT/CEE-063
AGO 2015
m) melhoria da confiança das partes interessadas sobre a preparação da organização; e
n) um meio de cumprimento dos requisitos de governança regulamentares, contratuais

ou organizacionais.
Os exercícios podem ter uma variedade de diferentes formatos. A decisão a respeito da adequação do
tipo de exercício dependerá do contexto para a GCN, dos objetivos para o exercício, da disponibilidade
do orçamento e dos participantes e da tolerância da organização à interrupção operacional causada
pela execução do exercício.
Os tipos principais de exercício são descritos na ISO 22398 (Societal security – Guidelines for exercises
and testing).
Como parte do exercício, convém que uma revisão seja programada com todos os participantes para
discutir questões e lições aprendidas. Convém que esta informação seja documentada e atualizações
sejam feitas nos procedimentos em caso de necessidade.
Convém que a organização empreenda uma discussão e análise após o exercício que considere
a realização dos alvos e objetivos do exercício. Convém que um relatório após o exercício seja
produzido contendo recomendações e um cronograma para sua implementação.
Convém que as lições dos exercícios e dos incidentes reais experimentados sejam reexaminadas
durante os exercícios futuros. Convém que os exercícios que mostram deficiências ou irregularidades
sérias nos procedimentos sejam reexecutados depois que as ações corretivas forem concluídas.
Os benefícios dos exercícios e testes incluem:
—— validação do escopo, das suposições e das estratégias do planejamento;
—— segurança do funcionamento correto de instalações e de recursos técnicos;
—— segurança da capacidade das instalações alternativas;
—— aumento da eficiência e redução do tempo necessário para a realização de um processo (por

exemplo, usando exercícios repetidos para encurtar o tempo de resposta);
—— melhorar a consciência das partes interessadas sobre a GCN; e
—— desenvolvimento da competência e conscientização dos participantes.
9 Avaliação de desempenho
9.1 Monitoramento, medição, análise e avaliação
9.1.1 Generalidades
Convém que os procedimentos para o desempenho e a eficácia do SGCN incluam o ajuste da métrica
do desempenho; avaliação da proteção de atividades prioritárias; confirmação da conformidade
com requisitos, exame da evidência histórica e uso da informação documentada para facilitar ações
corretivas subsequentes. Convém que procedimentos também façam referência à política e objetivos
da continuidade de negócios.

ABNT/CEE-063
AGO 2015
Convém que os procedimentos para monitorar o desempenho incluam:
a) definição de métricas de desempenho, incluindo medições qualitativas e quantitativas que sejam
apropriadas às necessidades da organização;
b) acompanhamento, na medida em que a política de continuidade de negócios da organização e

os objetivos sejam atingidos;
c) identificação de quando o monitoramento e medição ocorrerá;
d) avaliação de desempenho dos processos, procedimentos e funções que protejam as atividades
priorizadas;
e) medidas proativas de desempenho que monitorem o cumprimento do SGCN com a legislação
aplicável, os requisitos estatutários e regulamentares;
f) medidas reativas de desempenho para monitorar falhas, incidentes, não conformidades (incluindo
quase acidentes e alarmes falsos) e outras evidências históricas de desempenho deficiente do
SGCN e
g) registro de dados e resultados do monitoramento e medição suficientes para facilitar a subsequente
análise da ação corretiva.
Convém que os procedimentos prevejam a medição sistemática, monitoramento e avaliação

da continuidade dos negócios da organização em uma base regular. Convém que um conjunto
de indicadores de desempenho seja desenvolvido para medir tanto o sistema de gestão e seus
resultados. As medições podem ser quantitativas ou qualitativas. Os indicadores de desempenho
podem ser indicadores de gestão, operacional ou econômica. Convém que os indicadores forneçam
informações úteis para identificar os sucessos e as áreas que necessitam de correção ou melhoria.
Convém que o SGCN forneça dados de medição e monitoramento para identificar padrões e obter
informações sobre o seu desempenho. Convém que estes dados sejam usados para garantir que
a política e os objetivos da organização sejam alcançados, bem como identificar as ações corretivas
e as áreas de melhoria.
Convém que a organização seja capaz de demonstrar que identificou, avaliou e cumpriu os requisitos
legais e outros requisitos aos quais tenha subscrito.
Convém que os registros de todas as avaliações periódicas e seus resultados sejam mantidos.
Convém que a organização analise e, a intervalos planejados, avalie os resultados do monitoramento

e medição.
9.1.2 Avaliação dos procedimentos de continuidade
Convém que a organização realize avaliações de seus processos de continuidade de negócios, a fim
de assegurar a sua contínua adequação e eficácia.
Convém que as avaliações sejam endereçadas à necessidade possível para mudanças de política,
de estratégia, de objetivos e de outros elementos do sistema de gestão da continuidade do negócio
à vista de coisas como resultados do exercício, circunstâncias em mudança e o compromisso
à melhoria contínua.

ABNT/CEE-063
AGO 2015
As avaliações podem tomar o formulário de exames internos ou externos, ou a autoavaliação.

A frequência e o sincronismo das revisões podem ser influenciados por leis e por regulamentos,
segundo o tamanho, a natureza e o estatuto jurídico da organização. Podem também ser influenciados
pelas exigências de partes interessadas.
Convém que uma avaliação dos procedimentos de continuidade do negócio da organização verifiquem
que:
a) todos os produtos básicos e serviços e suas atividades e recursos dando suporte foram identificados
e incluídos na estratégia da continuidade do negócio da organização;
b) a política da continuidade do negócio da organização, as estratégias, a estrutura e os procedimentos

da continuidade do negócio refletem exatamente suas prioridades e requisitos (os objetivos de
organização);
c) a competência da continuidade do negócio da organização e sua capacidade da continuidade do

negócio são eficazes e adequados e permitirão a gestão, o comando, o controle e a coordenação
de um incidente;
d) as soluções da continuidade do negócio da organização são eficazes, modernas e adequadas, e

se apropriam ao nível de risco enfrentado pela organização;
e) a manutenção da continuidade do negócio da organização e os programas do exercício foram

executados eficazmente;
f) as estratégias e os procedimentos da continuidade do negócio incorporam as melhorias

identificadas durante incidentes e exercícios e no programa de manutenção;
g) a organização tem um programa contínuo para o treinamento e a consciência da continuidade do

negócio;
h) os procedimentos da continuidade do negócio foram comunicados eficazmente aos colaboradores

relevantes, e estes colaboradores compreendem seus papéis e responsabilidades; e
i) os processos do controle de mudanças estão implementados e operam eficazmente.
Convém que um programa de manutenção claramente definido e documentado seja estabelecido.

Convém a este programa:
—— assegurar que quaisquer mudanças (internas ou externas) que impactam a organização estejam
revistas com relação à gestão da continuidade do negócio;
—— identificar quaisquer produtos e serviços novos e suas atividades dependentes que precisam ser
incluídos no programa da gestão da continuidade do negócio;
—— assegurar de que a capacidade da continuidade do negócio da organização permaneça eficaz,

adequada e atualizada; e
—— permite programações existentes de exercício serem alteradas quando houver uma

mudança significativa em qualquer das opções da continuidade do negócio ou dos processos
de negócio associados.
NOTA Se há mudanças grandes no negócio, convém que a organização faça uma nova avaliação
da análise de impacto do negócio referida em 8.2.2. Os outros componentes do programa de continuidade
do negócio podem precisar ser alterados para tomar em consideração estas mudanças.

ABNT/CEE-063
AGO 2015
Convém que os resultados do processo da manutenção da continuidade do negócio incluam:
—— evidência documentada da gestão e da governança proativas da GCN da organização;
—— verificação do planejamento operacional e controle da GCN;
—— verificação de que as pessoas-chave que estão a implementar a estratégia e os procedimentos

de continuidade de negócios são treinados e competentes;
—— evidência de que a organização tenha avaliado o cumprimento dos procedimentos de continuidade

de negócios; e
—— evidência de que alterações significativas na estrutura da organização, produtos e serviços e

atividades têm se refletido nos procedimentos de continuidade de negócios da organização em
tempo hábil.
No caso de um incidente que interrompa as atividades prioritárias da organização ou exija uma

resposta da continuidade do negócio, a revisão pós-incidente empreendida, convém:
—— identificar a natureza e a causa do incidente;
—— avaliar a adequação da resposta da administração;
—— avaliar a eficácia da organização no cumprimento dos seus objetivos de tempo de recuperação;
—— avaliar a adequação das medidas de continuidade de negócios em preparar os funcionários para

o incidente;
—— identificar melhorias a serem feitas ao regime de continuidade de negócios;
—— comparar os impactos reais com aqueles considerados durante a análise de impacto nos negócios
(8.2.2); e
—— obter retroalimentação dos interessados e daqueles que participaram na resposta.
No contexto da melhoria contínua, a organização pode adquirir o conhecimento em tecnologia e em

práticas novas da gestão da continuidade do negócio, incluindo novas ferramentas e técnicas. Convém
que estes sejam avaliados para estabelecer seu benefício potencial à organização.
Convém que a informação documentada em relação a todas as avaliações periódicas e a seus

resultados seja mantida como a evidência das avaliações.
9.2 Auditoria interna
Convém que a organização conduza auditorias internas em intervalos planejados de modo que possa
se certificar de que o SGCN está em conformidade com seus próprios requisitos e com os requisitos
desta Norma.
É essencial conduzir auditorias internas do SGCN para assegurar-se que de que o SGCN esteja
conseguindo seus objetivos, que se conforma a seus arranjos planejados e foi corretamente executado
e mantido, e para identificar oportunidades para melhoria. Convém que as auditorias internas
do SGCN sejam conduzidas em intervalos planejados para determinar e fornecer a informação à alta
direção sobre a conveniência e a eficácia do SGCN assim como para fornecer uma base para ajustar
objetivos para a melhoria contínua do desempenho SGCN.

ABNT/CEE-063
AGO 2015
Convém que a organização estabeleça um programa de auditoria (ver ABNT NBR ISO 19011 para
a orientação) para dirigir o planejamento e a conduta das auditorias, e identifique as auditorias
necessárias para atender os objetivos do programa. Convém que o programa seja baseado
na natureza das atividades da organização, em termos de sua avaliação de risco e análise de impacto,
os resultados de auditorias passadas, e outros fatores relevantes.
Convém que um programa de auditoria interna seja baseado no objetivo completo do SGCN,
contudo, cada auditoria não precisa cobrir imediatamente o sistema inteiro. As auditorias podem ser
divididas em partes menores, contanto que o programa da auditoria se assegure de que todas as
unidades de organização, as funções, as atividades e os elementos de sistema e o objetivo completo
do SGCN estejam auditados no programa de auditoria dentro do período de auditoria designada pela
organização.
Os resultados de uma auditoria interna SGCN podem ser fornecidos sob a forma de um relatório
e ser usados para corrigir ou impedir nãoconformidades específicas e para prover entrada à conduta
da revisão da gestão.
As auditorias internas do SGCN podem ser executadas por colaboradores de dentro da organização
ou por colaboradores externos selecionados pela organização, trabalhando em seu nome. Em qualquer
dos casos, convém que as pessoas que conduzem a auditoria sejam competentes e em uma posição
a fazê-la imparcial e objetivamente. Em organizações menores, a independência do auditor pode
ser demonstrada por um auditor que está livre da responsabilidade para a atividade que está sendo
examinada.
9.3 Análise crítica pela direção
Convém que a alta direção analise criticamente o SGCN da organização, em intervalos planejados,
para assegurar sua conformidade, suficiência e eficácia de continuação incluindo a operação eficaz
de seus procedimentos e capacidades da continuidade.
Convém que a análise crítica pela direção inclua a avaliação :
—— da situação das ações das análises críticas anteriores;
—— do desempenho do sistema de gestão, incluindo as tendências aparentes de não conformidades

e ações corretivas, os resultados de monitoramento e medição, e os achados de auditoria;
—— das mudanças na organização e seu contexto (4.1) que possam afetar o sistema de gestão, e
—— das oportunidades de melhoria contínua.
A análise crítica da gestão fornece à alta direção a oportunidade de avaliar a conformidade, suficiência
e eficácia do sistema de gestão. Convém que a análise crítica da gestão envolva o escopo do SGCN,
embora não seja necessário rever todos os elementos de uma só vez e o processo de análise possa
ser estabelecido ao longo de um período de tempo.
Convém que a revisão da implementação e dos resultados do SGCN pela alta direção seja programada
e avaliada regularmente. Sendo aconselhável a análise crítica contínua de sistema, convém que
a análise crítica formal seja estruturada e apropriadamente documentada e programada em uma base
apropriada. Convém que as pessoas que são envolvidas em implementar o SGCN e em atribuir seus
recursos sejam envolvidas na análise crítica pela direção.

ABNT/CEE-063
AGO 2015
Além das análises críticas do sistema de gestão regularmente programadas, os seguintes fatores
podem provocar uma análise crítica e convém que sejam examinados uma vez que a análise crítica
é programada:
a) Tendências do setor/indústria: Convém que as principais iniciativas do setor/indústria iniciem

uma análise crítica do SGCN. Tendências gerais e as melhores práticas no setor/indústria
e em técnicas de planejamento de continuidade de negócios/operacionais podem ser utilizadas

para fins de benchmarking;
b) Exigências regulamentares: novas exigências regulamentares podem requerer a análise crítica
do SGCN; e
c) Experiência em incidente: Convém que a análise crítica seja feita após uma resposta
a um incidente de interrupção independentemente do procedimento de resposta ter sido ativado
ou não. Se ativado, convém que a análise crítica leve em conta a história do procedimento
de resposta, como funcionava, por que foi ativado etc. Se o procedimento de resposta não foi
ativado, convém que análise crítica examine por que e se isso era ou não uma decisão adequada.
Convém que a análise crítica pela direção resulte em melhorias para a eficiência e desempenho do
SGCN e nas seguintes alterações:
—— variações no escopo;
—— melhorias na sua eficácia;
—— atualização dos procedimentos de continuidade de negócios; e
—— alterações de controles e como sua eficácia é medida.
Convém que a organização retenha a informação documentada como evidência dos resultados das
análises críticas e convém que:
—— comunique os resultados da avaliação de gestão para as partes interessadas, e
—— tome as medidas necessárias em relação a esses resultados.
10 Melhoria
10.1 Não conformidade e ação corretiva
Convém que a organização identifique não conformidades, tome ações para controlar, conter e
corrigi-las, arque com suas consequências e avalie a necessidade para que a ação elimine suas
causas.
Convém que a organização estabeleça procedimentos eficazes para assegurar-se de que

o não atendimento de um requisito, a abordagem do planejamento, e as fraquezas associadas com
o SGCN são identificados e comunicados em tempo oportuno para impedir uma nova ocorrência
da situação, assim como identificar e tratar as causas-raiz. Convém que os procedimentos permitam
contínua detecção, análise e eliminação de causas reais e potenciais da não conformidade.
Convém que não conformidades sejam identificadas e tratadas em tempo hábil assim como
as ações corretivas para tratá-las. A ação corretiva pode se originar a partir de uma declaração de não
conformidade bem definida que estabeleça claramente o problema e que seja compreendida.

ABNT/CEE-063
AGO 2015
Quando qualquer não conformidade é identificada, convém que uma investigação em sua causa-
raiz seja conduzida e um plano da ação corretiva seja desenvolvido imediatamente referindo-se ao
problema. Convém que o plano de ação seja projetado para mitigar quaisquer consequências e para
identificar as mudanças a serem feitas para corrigir a situação, recuperar as operações normais e
para eliminar a(s) causa(s) a fim de impedir que o problema retorne. Convém que a natureza e o
sincronismo das ações sejam apropriados à escala e à natureza da não conformidade e de suas
consequências potenciais.
Um problema potencial pode ser identificado, mas nenhuma não conformidade real existe. Os
problemas potenciais podem ser extrapolados das ações corretivas para não conformidades reais,
ser identificados durante o processo interno de auditoria do SGCN ou análise de tendências da
indústria e os eventos. A identificação de não conformidades potenciais pode também fazer parte de
responsabilidades rotineiras das pessoas cientes da importância de notar e de comunicar problemas
potenciais ou reais.
Estabelecer procedimentos, tratar as não conformidades reais e potenciais e tomar ações corretivas em
uma base contínua ajuda a assegurar a confiança e a eficácia do SGCN. Convém que os procedimentos
definam responsabilidades, autoridade e etapas a serem seguidas no seu planejamento e execução
da ação corretiva. Convém que a alta direção da empresa assegure-se de que as ações corretivas
sejam implementadas e que há um acompanhamento sistemático para avaliar sua eficácia.
10.2 Melhoria contínua

Convém que a organização melhore continuamente a eficácia do SGCN.
A melhoria contínua opera em todos os níveis dentro do ciclo PDCA e convém que seja impulsionada
pela política de continuidade de negócios e objetivos, resultados de auditorias, análise de eventos
monitorados, ações corretivas e análises críticas da gestão.
Convém que as alterações decorrentes de ações corretivas sejam refletidas na documentação

do SGCN.
A melhoria contínua requer um processo que identifique adequadamente os problemas e não

conformidades e, em seguida, corrija-os. Convém que este processo trate a natureza do problema
e o meio ambiente dentro do qual existe o problema e inclua alterar o ambiente para garantir que
o problema não se repita. Convém que cada passo construa e melhore o passo anterior para que
a melhoria abranja mais aspectos do que apenas o problema identificado original e tenha um efeito
mais amplo, mais revelador sobre a organização.
Convém que a implementação de ações corretivas seja validada como eficaz. Convém que cada
ação tenha uma data estimada de conclusão. Após essa data, convém que a organização assegure
que a ação prescrita foi realizada e efetiva. Se a revisão revela que a ação não teve sucesso como
planejado, convém que uma nova data para a ação seja definida.
Convém que o processo de melhoria contínua siga o mesmo processo básico, usado para ações
corretivas e incluam o seguinte:
—— identificar o que abordar e a condição atual (não conformidade);
—— identificar o presente processo e os controles (causa-raiz); e
—— determinar o que muda para implementar (ação corretiva).
Ações corretivas tratam deficiências no SGCN e garantem que ele funcione conforme o esperado,
enquanto a melhoria contínua leva o SGCN para um maior nível de eficiência e eficácia.

ABNT/CEE-063
AGO 2015
Bibliografia
[1] ISO/PAS 22399:2007, Societal security – Guideline for incident preparedness and operational
continuity management
NOTA BRASILEIRA O ISO/PAS 22399:2007 foi cancelado sem substituição em 25.11.2013
[2] BS 25999-1:2006, Business continuity management – Code of practice, BSI British Standards
NOTA BRASILEIRA A BS 25999-1:2006, foi cancelada e substituída pela BS EN ISO 22301:2014

Societal security – Business continuity management systems – Requirements, a qual no Brasil corresponde
à ABNT NBR ISO 22301:2013 - Segurança da sociedade – Sistema de gestão de continuidade de negócios
– Requisitos
[3] BS 25999-2:2007, Business continuity management – Specification, BSI British Standards
NOTA BRASILEIRA A BS 25999-2:2007, foi cancelada e substituída pela BS EN ISO 22313:2014

Societal security - Business continuity management systems – Guidance, a qual no Brasil corresponde a
ABNT NBR ISO 22313 – Segurança da sociedade – Sistema de gestão de continuidade de negócios –
Orientações
[4] HB 221:2004, Business continuity management, Standards Australia/Standards New Zealand,

ISBN 0-7337-6250-6
[5] SI 24001:2007, Security and continuity management systems – Requirements and guidance for
use, Standards Institution of Israel
[6] NFPA 1600:2007, Standard on disaster/emergency management and business continuity

programs, National Fire Protection Association (USA)
[7] Business continuity plan drafting guideline, ministry of economy, trade and industry (Japan), 2005
[8] Business continuity guideline, Central disaster management council, Cabinet Office, Government
of Japan, 2005
[9] ANSI/ASIS SPC.1:2009, Organizational resilience: Security, preparedness, and continuity

managements systems – Requirements with guidance for use
[10] ANSI/ASIS/BSI BCM.01:2010, Business continuity management systems: Requirements with

guidance for use
[11] SS 540: 2008, Singapore standard for business continuity management
[12] Bravener, Lee C. (1999). The road to continuous improvement. Quality digest, May 1999
(http://www.qualitydigest.com/may99/html/body_ci.html)

NBR ISO 22313 - Orient GRisco - Draft 2015

Enviado por

Direitos autorais:

NBR ISO 22313 - Orient GRisco - Draft 2015

Enviado por

Dados do documento

Direitos autorais

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

NBR ISO 22313 - Orient GRisco - Draft 2015

Enviado por

Direitos autorais:

ABNT/CEE-063

PROJETO ABNT NBR ISO 22313

Segurança da sociedade — Sistemas de gestão de continuidade de

06.08.2014 15.10.2014 10.02.2015

a) É previsto para cancelar e substituir a ABNT NBR 15999:12007, quando aprovado,

c) Não tem valor normativo.

3) Tomaram parte na sua elaboração:

UNB Edgar Costa

NÃO TEM VALOR NORMATIVO

ELETROBRAS Bianca Paranhos

INMETRO Maria Luiza Martins

viii © ISO 2012 - © ABNT ‌2015 - Todos os direitos reservados

Segurança da sociedade — Sistemas de gestão de continuidade de

Societal security ─ Business continuity management systems ─ Guidance

A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas

O Escopo em inglês desta Norma Brasileira é o seguinte:

a) establish, implement, maintain and improve a BCMS;

NÃO TEM VALOR NORMATIVO

b) ensure conformance with the organization’s business continuity policy; or

NÃO TEM VALOR NORMATIVO

Um sistema de gestão de continuidade de negócios (SGCN) enfatiza a importância de:

—— compreender as necessidades da organização e a necessidade de estabelecer uma política e

—— monitorar e analisar criticamente o desempenho e a eficácia dos SGCN e

—— melhorar continuamente, com base em medições objetivas.

a) uma política;

b) pessoas com responsabilidades definidas;

c) processos de gestão relativos a:

3) implementação e operação;

4) avaliação de desempenho;

5) análise crítica da gestão e,

d) um conjunto de documentação fornecendo evidências auditáveis, e

e) quaisquer processos do SGCN relevantes para a organização.

NÃO TEM VALOR NORMATIVO

Geralmente a continuidade de negócios é específica para uma organização, no entanto, a sua

Melhoria continua do Sistema de

Figura 1 – Modelo PDCA aplicado aos processos do SGCN

NÃO TEM VALOR NORMATIVO

Tabela 1 – Explicação do modelo PDCA

Plan Estabelecer uma política de continuidade de negócios, objetivos, metas,

Componentes do PDCA desta Norma

Tabela 2 – Relação entre o modelo PDCA e as Seções 4 a 10

Componente PDCA Sessão correspondente ao componente PDCA

NÃO TEM VALOR NORMATIVO xiii/55

A continuidade de negócios é a capacidade que uma organização tem de continuar a entrega

A gestão de continuidade de negócios (GCN) é o processo de alcançar a gestão da continuidade

b) conhecer as prioridades para retomar as atividades e os recursos necessários;

xiv/55 NÃO TEM VALOR NORMATIVO

Os seguintes diagramas (Figuras 2 e 3) destinam-se a ilustrar conceitualmente como a gestão

Mitigação dos impactos através de continuidade de negócios eficaz – interrupção gradual

Retomada das atividades em

nível aceitável e prazo aceitável

1. Mitigando, respondendo e Nível mínimo

Sem continuidade de negócios

NÃO TEM VALOR NORMATIVO xv/55

Mitigação dos impactos através de continuidade de negócios eficaz – interrupção gradual

Retomada das atividades em

1. Mitigando, Nível mínimo

xvi/55 NÃO TEM VALOR NORMATIVO

Segurança da sociedade — Sistemas de gestão de continuidade de

a) estabelecer, implementar, manter e melhorar um SGCN;

b) assegurar conformidade com a política de continuidade de negócios da organização, ou

c) fazer uma autodeterminação e autodeclararão de conformidade com esta Norma.

ISO 22300, Societal security -- Terminology

NÃO TEM VALOR NORMATIVO 1/55