1. O que é a ISO 22317?
1.1. Objetivos:
1.1.1. Fornece orientações para a criação, implementação e manutenção de uma analise de impacto sobre as empresas (BIA);
1.1.2. Priorizar os componentes organizacionais para que a entrega de produtos e serviços possam ser retomadas em uma ordem pré-determinada na sequência de um incidente para satisfazer as partes interessadas;
1.2. A integridade do programa de GCN depende dos dados obtidos durante a conclusão da BIA;
1.3. Requisitos estão na norma 22301;
1.4. Sistema de Gestão para Continuidade dos Negócios (SGCN) = Programa de Gestão para Continuidade de Negócios (Programa GCN);
2. Priorização de Atividades
2.1. A organização deve executar uma priorização a nivel de atividade para...
2.1.1. Relacionar os recursos necessários de cada atividade;
2.1.1.1. Pessoas;
2.1.1.2. Equipamentos;
2.1.1.3. Instalações;
2.1.1.4. Registros;
2.1.1.5. Tecnologia de informação e comunicação;
2.1.1.6. Fornecedores e terceiros;
2.1.2. Confirmar o impacto quando houver um incidente;
2.2. Entradas do processo:
2.2.1. Processos e priorização de produtos e serviços;
2.2.2. Atividades de cada processo;
2.2.3. Escopo do BIA;
2.2.4. Organograma;
2.3. Saídas do processo:
2.3.1. Impacto de indisponibilidade ao longo do tempo;
2.3.2. Recursos necessários;
2.3.3. Dependências em outras atividades e terceiros;
2.3.4. Informação sobre o negocio;
2.3.5. Análise de interdependências dos recursos;
2.3.6. Lista de atividades priorizadas;
2.3.7. Lista de recursos priorizados;
2.4. Informações coletadas durante o processo:
2.4.1. Produtos e serviços que cada atividades suporta;
2.4.2. Método de cada atividade;
2.4.3. A duração e prazo para entrega da atividade;
2.4.4. Periodos de maior pico da atividade;
2.5. Informações sobre recursos necessários:
2.5.1. Colaboradores e terceiros;
2.5.2. Qualificações e conhecimento;
2.5.3. Exigências do ambiente de trabalho;
2.5.4. Registros;
2.5.5. Requisitos regulamentares e contratuais;
2.5.6. Equipamentos e matéria prima;
3. Analise e Consolidação
3.1. A organização deve revisar os resultados das atividades de priorização e as conclusões para continuidade do negócio (analise final);
3.1.1. Determinar se é uma análise quantitativa ou qualitativa;
3.1.1.1. Depende das informações coletadas e dos resultados desejados;
3.2. Entradas do processo:
3.2.1. Validação e aprovação das informações recolhidas nos outros processos;
3.3. Saídas do processo:
3.3.1. Confirmação dos impactos ao longo do tempo;
3.3.2. Revisão e confirmação das dependências e requisitos de recursos;
3.3.3. Revisão e confirmação da interdependência dos processos e atividades, e a relação com a entrega de produtos e serviços;
4. Gestão de Resultados do BIA
4.1. A organização deve:
4.1.1. Procurar a aprovação dos resultados após o processo de análise e gestão da BIA;
4.1.2. Garantir que as informações coletadas possam ser mantidas e atualizadas em uma base periódica;
4.1.2.1. Análise manual ou utilização de algum software de continuidade de negócio;
4.1.3. Fornecer relatórios com os resultados da BIA à alta administração para sua revisão, alteração (se necessário), e aprovação;
4.1.3.1. Resumo de informações;
4.1.3.2. Sumário executivo;
4.2. Entradas do processo:
4.2.1. Produtos, serviços, processos, atividades, recursos e suas interdependências;
4.2.2. Impacto de indisponibilidade ao longo do tempo;
4.2.3. Requisitos da continuidade de negócios recomendado incluindo a justificação para a priorização recomendada;
4.2.4. Análise de independência entre atividades e recursos;
4.3. Saídas dos processo:
4.3.1. Resumo dos requisitos de continuidade de negocio;
4.3.2. Resultados dos processos anteriores;
5. Seleção de estratégia para continuidade do negócio
5.1. EXEMPLOS:
5.1.1. Espaço de trabalho alternativo;
5.1.2. Acordos com fornecedores para contingência;
5.1.3. Opções de recuperação para TIC;
5.1.4. Contingência de pessoas;
5.1.5. Contingência de equipamentos e matéria prima;
6. Priorização de produtos e serviços
6.1. A organização deve priorizar os produtos e serviços caso ocorra um incidente que ameaça os objetivos de negócio;
6.1.1. Produtos e serviços com a mesma prioridade podem ser agrupados;
6.1.1.1. Identificar o impacto de uma interrupção para cada grupo:
6.1.1.1.1. Quais as expectativas dos clientes?
6.1.1.1.2. Qual a sanção se uma expectativa não é alcançada?
6.1.1.1.3. Qual impacto a sanção tem sobre a organização?
6.1.1.1.4. Qual impacto na cooperação de outros parceiros?
6.1.1.1.5. Qual o impacto para a opinião pública e para a marca da organização?
6.1.1.1.6. Qual impacto sobre investimentos futuros?
6.1.1.1.7. O que os concorrentes podem tirar de proveito?
6.1.1.1.8. Quais as sanções de regulamentações?
6.1.1.2. Documentação para cada grupo:
6.1.1.2.1. Qual o periodo máximo de interrupção?
6.1.1.2.2. Qual o motivo para cada periodo de tempo identificado?
6.1.1.2.3. Quais são os requisitos para cada prove cada produto ou serviço?
6.1.1.2.4. Qual o tempo de retomada em caso de interrupção?
6.2. Entradas do processo:
6.2.1. Missão, objetivos e direção estratégica atuais;
6.2.2. Escopo do Programa GCN;
6.2.3. Avaliação de prioridade de produtos e serviços provenientes de uma analise anterior;
6.2.4. Requisitos e regulamentações que a organização esta sujeita;
6.2.5. Requisitos contratuais (sanções por interrupção);
6.2.6. Avaliação de reputação e financeiro por interrupção;
6.2.7. Relatórios recentes sobre incidentes e seu impacto;
6.3. Saidas do processo:
6.3.1. Modificação do escopo do Programa GCN;
6.3.2. Identificação de requisitos regulamentares e contratuais;
6.3.3. Avaliação de impacto quando houver indisponibilidade para justificar a continuidade dos negócios;
6.3.4. Exigencias para a entrega de produtos e serviços;
6.3.5. Identificação de processos;
6.3.6. Lista de produtos e serviços prioritarios;
6.3.7. Analise dos objetivos estratégicos das partes interessadas;
7. Processo de Priorização
7.1. A organização deve realizar uma priorizaçao a nivel de processo para determinar a relação entre os processos internos;
7.1.1. Quais produtos e serviços cada processo entrega?
7.1.2. Quais atividades compõe cada processo?
7.1.3. Definição de cronograma para recuperação de indisponibilidades;
7.2. Entradas do processo:
7.2.1. Escopo do BIA;
7.2.2. Requisitos de entrega para produtos e serviços;
7.2.3. Relação entre processos e produtos/serviços;
7.2.4. Impacto de indisponibilidade ao longo do tempo;
7.2.5. Requisitos regulamentares e contratuais;
7.3. Saidas do processo:
7.3.1. Relação entre produto e serviços, processos e atividades;
7.3.2. Dependências de outros processos;
7.3.3. Avaliação do impacto ao longo do prazo caso haja falha no processo;
7.3.4. Produtos e serviços para clientes;
7.3.5. Documentação das atividades que proporcionam processos;
7.3.6. Documentação dos processos que oferecem produtos e serviços;
8. Pré-requisitos do Programa de GCN
8.1. Contexto:
8.1.1. Ambiente interno e externo, e os produtos, serviço, recursos e atividades;
8.1.2. Regulamentações que influenciam na BIA;
8.2. Escopo:
8.2.1. Definir e documentar o escopo do programa de GCN, em termos de seus produtos e serviços;
8.2.2. Documentar a justificativa de exclusões;
8.2.3. A BIA deve cobrir todo o escopo do programa de GCN;
8.3. Papeis e Responsabilidades:
8.3.1. Atribuir e comunicar as responsabilidades;
8.3.2. Definir e documentar responsabilidades e funções;
8.3.3. Determinar a responsabilidade geral e sanções;
8.4. Comprometimento da alta administração:
8.4.1. Demonstrar liderança;
8.4.2. Alocar recursos;
8.4.3. Motivação dos colaboradores (conscientização);
8.4.4. Garantir a melhor relação custo benefício para a estratégia mais eficaz;
8.4.5. Fornecer uma visão geral da organização;
8.4.6. Identificar a relação entre produtos, serviços, atividades e recursos;
8.4.7. Repassar informações para estabelecer requisitos adequados para a continuidade dos negocios;
8.5. Recursos:
8.5.1. A organização deve prover os recursos para..
8.5.1.1. Atingir os objetivos;
8.5.1.2. Tomar decisões adequadas;
8.5.1.3. Atender as novas exigência da organização;
8.5.1.4. Oferecer melhoria contínua;