1. Introdução a GCN
1.1. Incidente
1.1.1. Situação que pode representar ou levar à interrupção de negócios, perdas, emergências ou crises
1.1.2. Aqui na GCN, somente nos preocupamos com incidentes de interrupção nas atividades de negócio
1.2. Continuidade de Negócios
1.2.1. É a capacidade da organização de continuar a entrega de produtos ou serviços em um nível aceitável previamente definido após incidentes de interrupção.
1.3. Gestão de Continuidade de Negócios
1.3.1. É um processo que identifica ameaças potenciais e os possíveis impactos nas operações de negócio caso estas ameaças se concretizem
1.3.2. É um processo que fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder eficazmente e salvaguardar os interesses das partes interessadas
1.4. Programa de continuidade de negócios
1.4.1. Processo contínuo de gestão e governança suportado pela Alta Direção que recebe apropriadamente os recursos para implementar e manter a gestão de continuidade de negócios
1.4.2. A GCN é vista como um programa, pois pode ter projetos de implementação e tem atividades que serão contínuas, nunca terminarão.
1.5. Principais falha nos projetos
1.5.1. Falta de comprometimento da alta direção.
1.5.2. Planos teóricos.
1.5.3. Estratégias orientadas apenas pela tecnologia da informação.
1.6. Benefícios da GCN
1.6.1. Auxílio no atendimento de requisitos
1.6.2. Proteção física das pessoas
1.6.3. Continuidade das atividades essenciais da organização
1.6.4. Melhor compreensão da organização
1.6.5. Redução de custos para lidar com incidentes de interrupção
1.6.6. Respeito às partes interessadas (seu investimento ou serviços/produtos que usam)
1.6.7. Proteção da reputação e da marca
1.6.7.1. Cai no exame como um resultado indicativo da eficácia da GCN
1.6.8. Aumento da confiança por parte dos clientes
1.6.8.1. Os clientes vão ter a expectativa que seus produtos e serviços serão entregues em tempo hábil, mesmo com incidentes de interrupção.
1.6.9. Vantagem competitiva no mercado
1.6.10. Cumprimento de requisitos legais
1.6.11. Cumprimento normativo/legislação
1.6.12. Cumprimento de contratos
1.7. Principais normas relacionadas à GCN
1.7.1. ISO 22301
1.7.1.1. Estabelece os requisitos mínimos
1.7.1.2. É usada pelo auditor externo para fins de auditoria de certificação
1.7.1.3. É aplicável a qualquer tipo de organização
1.7.2. ISO 22313
1.7.2.1. Contém as boas práticas
1.7.2.2. Não é usada pelo auditor externo para confirmar atendimento dos requisitos mínimos
1.8. Associação da ISO 22301 com o ciclo PDCA
1.8.1. Planejar
1.8.1.1. Estabelecer política, objetivos, metas, controles, processos e procedimentos de continuidade de negócios relevantes.
1.8.2. Executar
1.8.2.1. Implementar e operar a política, controles, processos e procedimentos de continuidade do negócio.
1.8.3. Verificar
1.8.3.1. Monitorar e rever o desempenho em relação aos objetivos e políticas de continuidade do negócio.
1.8.4. Agir
1.8.4.1. Manter e melhorar o SGCN, tomando ações corretivas, com base nos resultados da análise crítica da direção.
1.9. Estrutura da norma ISO 22301
1.9.1. 0 Introdução
1.9.2. 1 Escopo
1.9.2.1. Descreve a aplicabilidade desta norma
1.9.3. 2 Referências normativas
1.9.3.1. Referência outras normas sobre o assunto
1.9.4. 3 Termos e definições
1.9.4.1. Define termos usados pela norma
1.9.5. 4 Contexto da organização
1.9.5.1. Fatores Internos e Externos (4.1)
1.9.5.2. Necessidades das Partes Interessadas (4.2)
1.9.5.3. Requisitos Legais e Regulatórios (4.2.2)
1.9.5.4. Escopo do SGCN (4.3)
1.9.5.5. SGCN (4.4)
1.9.6. 5 Liderança
1.9.6.1. Liderança e Comprometimento (5.1)
1.9.6.2. Comprometimento da Direção (5.2)
1.9.6.3. Política de Continuidade de Negócio (5.3)
1.9.6.4. Papéis & Responsabilidades (5.4)
1.9.7. 6 Planejamento
1.9.7.1. Direcionar Riscos e Oportunidades (6.1)
1.9.7.2. Objetivos da Continuidade e Planos (6.2)
1.9.8. 7 Suporte
1.9.8.1. Recursos (7.1)
1.9.8.2. Competência (7.2)
1.9.8.3. Conscientização (7.3)
1.9.8.4. Comunicação (7.4)
1.9.8.5. Informação Documentada (7.5)
1.9.9. 8 Operação
1.9.9.1. Planejamento e Controle Operacional (8.1)
1.9.9.2. Análise de Impacto no Negócio (8.2.2)
1.9.9.3. Avaliação de Riscos (8.2.3)
1.9.9.4. Estratégia de Continuidade de Negócios (8.3)
1.9.9.5. Planos e Procedimentos de Continuidade de Negócio (8.4)
1.9.9.6. Exercícios e Testes (8.5)
1.9.10. 9 Avaliação de desempenho
1.9.10.1. Monitoramento, Medição e Análise (9.1)
1.9.10.2. Auditoria Interna (9.2)
1.9.10.3. Análise Crítica pela Direção (9.3)
1.9.11. 10 Melhoria
1.9.11.1. Não conformidades e Ações Corretivas (10.1)
1.9.11.2. Melhoria Contínua (10.2)
1.10. SGCN
1.10.1. É parte do sistema global de gestão que estabelece, implementa, opera, monitora, analisa criticamente, mantém e melhora a continuidade de negócios
1.10.2. O sistema de gestão inclui estruturas organizacionais, políticas, atividades de planejamento, responsabilidades, procedimentos, processos e recursos.
1.10.3. Muitos requisitos de outras normas, como ISO 9001, ISO/IEC 27001, podem ser comuns
2. Contexto organizacional
2.1. 4.1 Entendendo a organização e seu contexto
2.1.1. Propósito
2.1.1.1. Consiste em entender o que a organização de fato faz
2.1.2. Conceitos-chave
2.1.2.1. Atividade
2.1.2.1.1. É o processo ou conjunto de processos executados por uma organização (ou em seu nome) que produzem ou suportem um ou mais produtos ou serviços
2.1.2.1.2. Precisamos levantar as principais atividades de negócio (processos) para entender o contexto interno da organização
2.1.3. Boas práticas
2.1.3.1. A análise de contexto da organização ajuda a responder as seguintes perguntas:
2.1.3.1.1. Quais são os produtos/serviços que a organização está produzindo?
2.1.3.1.2. Quem são os usuários de seus produtos/serviços (quem são seus clientes)?
2.1.3.1.3. Quais unidades organizacionais existem (consultar o organograma)?
2.1.3.1.4. Quais são os principais processos que são utilizados para produzir esses produtos / serviços?
2.1.3.1.5. Quais são os locais físicos da organização?
2.1.3.1.6. Quem são os principais parceiros e fornecedores?
2.1.3.1.7. Por que são eles importantes para a organização?
2.1.4. Requisitos importantes
2.1.4.1. A organização deve identificar e documentar o seguinte:
2.1.4.1.1. as atividades, funções, serviços, produtos e parcerias da organização, bem como cadeias de suprimentos, relacionamento com partes interessadas e o impacto potencial relacionado a um incidente de interrupção;
2.1.4.1.2. o relacionamento entre a política de continuidade de negócios e outras políticas e objetivos da organização, incluindo a sua estratégia geral de gestão de riscos;
2.1.4.1.3. o apetite a riscos da organização.
2.1.4.2. No estabelecimento do contexto, a organização deve:
2.1.4.2.1. Determinar seus objetivos
2.1.4.2.2. Definir os fatores externos e internos
2.1.4.2.3. Estabelecer os critérios de risco, levando em conta o apetite a riscos
2.1.4.2.4. Definir o propósito do SGCN.
2.2. 4.2 Entendendo as necessidades e expectativas das partes interessadas
2.2.1. 4.2.1 Geral
2.2.1.1. Propósito
2.2.1.1.1. Descobrir o que se espera da continuidade de negócios a partir das partes interessadas.
2.2.1.2. Conceito-chave
2.2.1.2.1. Parte interessada
2.2.1.3. Requisitos importantes
2.2.1.3.1. No momento de estabelecer o SGCN, a organização deve determinar:
2.2.2. 4.2.2 Requisitos legais e regulatórios
2.2.2.1. Propósito
2.2.2.1.1. Identificar os requisitos legais e regulatórios aplicáveis
2.2.2.2. Boas práticas
2.2.2.2.1. É importante identificar e gerenciar as necessidades que possuem partes interessadas a respeito de requisitos legais e obrigatórios.
2.2.2.3. Requisitos importantes
2.2.2.3.1. A organização deve assegurar que estes requisitos legais, regulatórios e outros requisitos a que a esteja sujeita sejam levados em consideração no estabelecimento, implementação e manutenção de seu SGCN.
2.3. 4.3 Determinando o escopo do sistema de gestão de continuidade de negócios
2.3.1. Propósito
2.3.1.1. Consiste em decidir qual parte da organização implementar a continuidade de negócio
2.3.2. Boas práticas
2.3.2.1. Considerar os requisitos das partes interessadas
2.3.3. Requisitos importantes
2.3.3.1. Ao estabelecer um escopo a organização deve:
2.3.3.1.1. Estabelecer as partes da organização a serem incluídas no SGCN
2.3.3.1.2. Estabelecer requisitos do SGCN
2.3.3.1.3. Identificar produtos, serviços e todas as atividades relacionadas ao escopo do SGCN
2.3.3.1.4. Levar em consideração as necessidades e interesses das partes interessadas
3. Liderança
3.1. 5.1 Liderança e comprometimento
3.1.1. Propósito
3.1.1.1. Exigir que alta direção demonstre liderança em relação ao SGCN
3.1.2. Conceitos-chave
3.1.2.1. Alta direção
3.1.2.1.1. Pessoa ou grupo de pessoas que dirige e controla uma organização em seu nível mais alto
3.1.2.1.2. Define a política de continuidade de negócios
3.1.2.1.3. Garante que os objetivos do SGCN sejam estabelecidos
3.1.2.1.4. Nomeia um ou mais colaboradores aptos a serem responsáveis pelo SGCN
3.1.3. Requisitos importantes
3.1.3.1. Os membros da Alta Direção e demais gestores com papéis relevantes dentro da organização devem demonstrar liderança em relação ao SGCN.
3.2. 5.2 Comprometimento da direção
3.2.1. Propósito
3.2.1.1. Trata-se de um detalhamento de requisitos da cláusula 5.1
3.2.2. Requisitos importantes
3.2.2.1. A Alta Direção deve demonstrar liderança e comprometimento referente ao SGCN por garantir que os recursos necessários para o SGCN estejam disponíveis.
3.3. 5.3 Política
3.3.1. Propósito
3.3.1.1. Na política a alta direção define o que ela quer alcançar com a continuidade de negócios.
3.3.1.2. Criar um documento que os executivos considerem fácil de entender e com o qual eles estarão habilitados a controlar tudo o que acontece dentro do SGCN
3.3.1.2.1. Eles não vão saber detalhes de como fazer a análise de riscos ou análise impacto nos negócios, mas eles precisam saber quem é responsável pelo SGCN e o que esperar dele.
3.3.2. Conceitos-chave
3.3.2.1. Política
3.3.2.1.1. Contém intenções e direções de uma organização expressadas formalmente pela sua alta direção
3.3.2.2. Conteúdo típico de uma política de continuidade de negócios
3.3.2.2.1. Escopo do SGCN
3.3.2.2.2. Responsabilidades pelas partes chave do SGCN
3.3.2.2.3. Como os objetivos de continuidade serão medidos
3.3.3. Requisitos importantes
3.3.3.1. A Alta Direção deve definir uma política de continuidade de negócios que:
3.3.3.1.1. esteja alinhada com o proposito da organização
3.3.3.1.2. forneça uma estrutura que estabeleça os objetivos de continuidade de negócios
3.4. 5.4 Papéis, responsabilidades e autoridades organizacionais
3.4.1. Propósito
3.4.1.1. Estabelecer a responsabilidade da alta direção na atribuição de papéis no SGCN
3.4.2. Conceitos-chave
3.4.2.1. Gerente de continuidade de negócios
3.4.2.1.1. Responsável pelas operações diárias da GCN
3.4.3. Requisitos importantes
3.4.3.1. A Alta Direção deve garantir que papéis, responsabilidades e autoridades relevantes sejam atribuídos e comunicados dentro da organização.
4. Planejamento e Suporte
4.1. 6 Planejamento
4.1.1. 6.1 Ações para direcionar riscos e oportunidades
4.1.1.1. Propósito
4.1.1.1.1. Considerar uma metodologia de gestão de riscos como parte do planejamento do SGCN
4.1.1.2. Requisitos importantes
4.1.1.2.1. A organização deve determinar os riscos e oportunidades que devem ser avaliados para prevenir, ou reduzir, consequências indesejadas.
4.1.2. 6.2 Objetivos de continuidade de negócios e planos para alcançá-los
4.1.2.1. Propósito
4.1.2.1.1. Estabelecer objetivos a serem alcançados com o SGCN
4.1.2.2. Tipos de objetivos que podem ser definidos
4.1.2.2.1. Objetivos estratégicos
4.1.2.2.2. Objetivos táticos
4.1.2.3. Boa prática
4.1.2.3.1. Os objetivos podem ser listados dentro da política de continuidade de negócio
4.1.2.4. Requisitos importantes
4.1.2.4.1. A Alta Direção deve assegurar que os objetivos de continuidade de negócios sejam estabelecidos e comunicados para funções e níveis relevantes dentro da organização.
4.2. 7 Suporte
4.2.1. 7.1 Recursos
4.2.1.1. Propósito
4.2.1.1.1. Deixar claro a necessidade de recursos para implementar e manter o SGCN
4.2.1.2. Boas práticas
4.2.1.2.1. É importante ter orçamento disponível para alocar os recursos necessários para o SGCN.
4.2.1.3. Requisitos importantes
4.2.1.3.1. A organização deve determinar e prover os recursos necessários para o estabelecimento, implementação, manutenção e melhoria contínua do SGCN.
4.2.2. 7.2 Competência
4.2.2.1. Propósito
4.2.2.1.1. As pessoas precisam estar preparadas para atuar nas diversas atividades do SGCN
4.2.2.2. Requisitos importantes
4.2.2.2.1. A organização deve determinar as competências necessárias das pessoas que trabalham sob seu controle que afetem seu desempenho.
4.2.3. 7.3 Conscientização
4.2.3.1. Propósito
4.2.3.1.1. Explicar para as pessoas porque a continuidade de negócio é importante, orientar o que fazer se um incidente ocorrer
4.2.3.2. Requisitos importantes
4.2.3.2.1. Pessoas que realizam trabalho sob o controle da organização devem estar conscientizadas:
4.2.4. 7.4 Comunicação
4.2.4.1. Propósito
4.2.4.1.1. Esta cláusula pode ser atendida criando um plano de gerenciamento de crises e comunicação
4.2.4.2. Requisitos importantes
4.2.4.2.1. A organização deve determinar as necessidades de comunicações internas e externas relevantes para o SGCN, inclusive: a) o que será comunicado; b) quando comunicar; c) para quem comunicar;
4.2.5. 7.5 Informação documentada
4.2.5.1. Propósito
4.2.5.1.1. É recomendado criar procedimentos para o formato dos documentos, quem vai aprová-los, quando eles serão publicados, quem precisa revisá-los, etc.
4.2.5.2. Conceitos-chave
4.2.5.2.1. Informação documentada
4.2.5.2.2. Documento
4.2.5.2.3. Registro
4.2.5.3. Boas práticas
4.2.5.3.1. Pode ser aproveitado procedimentos já existentes de outros sistemas de gestão.
4.2.5.4. Requisitos importantes
4.2.5.4.1. Informações documentadas requeridas pelo SGCN e por esta Norma devem ser controladas^.
5. Operação
5.1. 8.1 Planejamento e controle operacional
5.1.1. Propósito
5.1.1.1. A organização deve planejar, implementar e controlar os processos necessários para atender aos requisitos e para implementar as ações determinadas em 6.1,
5.1.2. Requisitos importantes
5.1.2.1. A organização deve monitorar mudanças planejadas e avaliar as consequências de mudanças inesperadas, tomando medidas para mitigar os efeitos adversos, quando necessário.
5.2. 8.2.2 Análise de impacto nos negócios (BIA)
5.2.1. Propósito
5.2.1.1. Determinar o Maximum Acceptable Outage/Recovery Time Objective, Perda Máxima de Dados/Recovery Point Objective, recursos requeridos e outras informações importantes para ajudar a determinar a estratégia de continuidade para cada atividade de negócio
5.2.2. Conceitos-chave
5.2.2.1. BIA
5.2.2.1.1. É o processo de analisar as atividades e os efeitos que uma interrupção de negócio pode ter sobre elas
5.2.2.2. Tempo objetivado de recuperação (RTO)
5.2.2.2.1. Em inglês, RTO – Recovery Time Objective
5.2.2.2.2. É o período de tempo após um incidente em que: — o produto ou serviço deve ser retomado, ou — a atividade deve ser retomada, ou — os recursos devem ser recuperados
5.2.2.3. Ponto objetivado de recuperação (RPO)
5.2.2.3.1. Em inglês, RPO – Recovery Point Objective
5.2.2.3.2. É o ponto em que a informação usada por uma atividade deve ser restaurada para permitir a operação da atividade na retomada
5.2.2.3.3. Também pode ser referido como "perda máxima de dados".
5.2.2.4. Interrupção máxima aceitável (MAO)
5.2.2.4.1. Em inglês, MAO – Maximum Acceptable Outage
5.2.2.4.2. É o tempo para que os impactos adversos que possam surgir como resultado de não fornecer um produto /serviço, ou realizar uma atividade, tornem-se inaceitáveis
5.2.2.5. Período máximo de interrupção tolerável (MTPD)
5.2.2.5.1. Em inglês, MTPD – Maximum Tolerable Period of Disruption
5.2.2.5.2. É tempo necessário para que os impactos adversos tornem-se inaceitáveis, que pode surgir como resultado de não fornecer um produto/serviço ou realizar uma atividade.
5.2.2.5.3. Muitas bibliográficas consideram o MTPD sinônimo de MAO
5.2.2.6. Objetivo mínimo de continuidade de negócios (OMCN)
5.2.2.6.1. Refere-se ao níveis mínimos aceitáveis de serviços e/ou produtos para a organização alcançar seus objetivos de negócios durante uma interrupção
5.2.3. Estratégias comuns
5.2.3.1. Recuperar atividades existentes
5.2.3.1.1. A atividade será recuperada em outro local
5.2.3.2. Transferir as operações para outra atividade interna
5.2.3.2.1. Por exemplo, transferir atividades para outra filial da organização
5.2.3.3. Terceirizar as operações
5.2.3.3.1. Repassar as atividades para um parceiro em caso de interrupção
5.2.3.4. Cessar temporariamente a atividade
5.2.3.4.1. É válido se a atividade não for importante ou se MAO for muito grande
5.2.4. Boas práticas
5.2.4.1. Considerar como entradas no processo de BIA a metodologia e uma lista de atividades de continuidade de negócios
5.2.5. Requisitos importantes
5.2.5.1. A análise de impacto nos negócios deve:
5.2.5.1.1. Identificar as atividades que suportam o fornecimento de produtos e serviços
5.2.5.1.2. Avaliar os impactos, ao longo do tempo, de não realizar estas atividades
5.2.5.1.3. Fixar prazos de forma priorizada para a retomada destas atividades
5.2.5.1.4. Identificar dependências e recursos que suportam estas atividades
5.3. 8.2.3 Processo de avaliação de riscos
5.3.1. Propósito
5.3.1.1. Descobrir tudo que poderia interromper as operações da organização.
5.3.2. Conceitos-chave
5.3.2.1. Risco
5.3.2.1.1. É muitas vezes caracterizado pela referência aos eventos potenciais e consequências
5.3.2.1.2. Na GCN são considerados os riscos de interrupção nas atividades de negócio
5.3.2.2. Apetite a risco
5.3.2.2.1. Quantidade e tipo de risco que a organização está disposta a buscar ou manter
5.3.2.3. Processo de avaliação de riscos
5.3.2.3.1. processo global de identificação de riscos, análise de riscos e avaliação de riscos
5.3.3. Requisitos importantes
5.3.3.1. A organização deve identificar riscos de interrupção das atividades prioritárias da organização, bem como os processos, sistemas, informações, pessoas, bens, parceiros terceirizados e outros recursos que os suportam.
5.3.3.2. A organização deve identificar os tratamentos alinhados com os objetivos de continuidade de negócios e de acordo com o apetite de risco da organização.
5.4. 8.3 Estratégia de continuidade de negócios
5.4.1. Propósito
5.4.1.1. Reduzir a probabilidade de um incidente acontecer para aqueles riscos que são inaceitáveis
5.4.2. Conceitos-chave
5.4.2.1. Opções de estratégia
5.4.2.1.1. Reduzir o risco
5.4.2.1.2. Evitar o risco
5.4.2.1.3. Compartilhar o risco
5.4.2.1.4. Reter o risco
5.4.3. Boas práticas
5.4.3.1. Ao determinar a estratégia de continuidade de negócios, os resultados de uma BIA e avaliação de riscos são considerados
5.4.3.2. O seguro não é uma opção preferida como estratégia porque não abrange danos relacionados a marca e reputação.
5.4.4. Requisitos importantes
5.4.4.1. A definição e seleção da estratégia deve ser baseada nos resultados da análise de impacto nos negócios e no processo de avaliação de riscos.
5.5. 8.4 Estabelecendo e implementando procedimentos de continuidade de negócios
5.5.1. Propósito
5.5.1.1. Escrever os diversos planos de continuidade
5.5.2. Conceitos-chave
5.5.2.1. Procedimento
5.5.2.1.1. É maneira específica de conduzir uma atividade ou um processo
5.5.2.1.2. Aqui no contexto desta cláusula, refere-se aos planos
5.5.2.2. Plano de continuidade de negócio
5.5.2.2.1. procedimentos documentados que orientam as organizações a responder, recuperar, retomar e restaurar, após a interrupção, para um nível predefinido de operação
5.5.2.2.2. Documento (ou conjunto de documentos) que descreve como recuperar as operações em caso de um incidente
5.5.2.3. Componentes de um plano de continuidade de negócios
5.5.2.3.1. Plano de continuidade de negócio
5.5.2.3.2. Plano de gerenciamento de crise e comunicação
5.5.2.3.3. Plano de resposta a incidente
5.5.2.3.4. Plano de recuperação de desastre (PRD)
5.5.2.3.5. Plano de recuperação
5.5.2.3.6. Plano de restauração
5.5.3. Requisitos importantes
5.5.3.1. A organização deve estabelecer procedimentos documentados para responder a incidentes de interrupção, e como irá continuar ou recuperar suas atividades dentro de um prazo predefinido.
5.5.3.2. Planos de continuidade devem definir
5.5.3.2.1. Propósito e escopo
5.5.3.2.2. Objetivos
5.5.3.2.3. Critérios e procedimentos para sua ativação
5.5.3.2.4. Papéis, responsabilidades e autoridades
5.5.3.2.5. Requisitos e procedimentos de comunicação
5.5.3.2.6. Interdependências internas, externas e suas interações
5.5.3.2.7. Recursos necessários
5.5.3.2.8. Fluxo de informações e processos documentados.
5.6. 8.5 Exercitando e testando
5.6.1. Propósito
5.6.1.1. Simular situações reais a fim de descobrir o que não funciona nos planos
5.6.2. Conceitos-chave
5.6.2.1. Exercício
5.6.2.1.1. É o processo de treino para avaliar, praticar e melhorar o desempenho em uma organização.
5.6.2.1.2. Administrar o programa de exercícios faz parte da Manutenção da Continuidade de Negócios
5.6.2.2. Teste
5.6.2.2.1. Procedimento para avaliação; maneira de determinar a presença, qualidade, ou veracidade de algo
5.6.3. Requisitos importantes
5.6.3.1. A organização deve possuir e testar os procedimentos de continuidade de negócios, para garantir que estes são compatíveis com os seus objetivos de continuidade.
6. Avaliação e Melhoria Contínua
6.1. 9 Avaliação de desempenho
6.1.1. 9.1 Monitoramento, medição, análise e avaliação
6.1.1.1. Propósito
6.1.1.1.1. Parte desta cláusula inclui
6.1.1.2. Conceitos-chave
6.1.1.2.1. Avaliação de desempenho
6.1.1.3. Requisitos importantes
6.1.1.3.1. A organização deve avaliar o desempenho e a eficácia do SGCN.
6.1.1.3.2. A organização deve conduzir avaliações de seus procedimentos e capacidades de continuidade dos negócios de forma a assegurar sua contínua aptidão, adequação e eficácia;
6.1.1.3.3. Mudanças significativas na organização decorrentes devem ser refletidas no(s) procedimento(s) em tempo hábil;
6.1.1.3.4. Quando um incidente que cause interrupção e resulte na ativação dos seus procedimentos de continuidade dos negócios ocorre, a organização deve realizar uma análise crítica pós-incidente e registrar os resultados.
6.1.2. 9.2 Auditoria interna
6.1.2.1. Propósito
6.1.2.1.1. As auditorias internas podem ajudar a descobrir problemas (não conformidades)
6.1.2.2. Conceitos-chave
6.1.2.2.1. Auditoria interna
6.1.2.3. Requisitos importantes
6.1.2.3.1. A organização deve conduzir auditorias internas em intervalos planejados para prover informações sobre se o sistema de gestão de continuidade dos negócios
6.1.3. 9.3 Analise crítica pela direção
6.1.3.1. Propósito
6.1.3.1.1. A alta direção precisa participar ativamente das decisões que tem maior impacto no SGCN
6.1.3.1.2. Fornece à alta direção a oportunidade de adequação contínua do SGCN
6.1.3.2. Requisitos importantes
6.1.3.2.1. A Alta Direção deve analisar criticamente o SGCN da organização, em intervalos planejados, para garantir sua contínua aptidão, adequação e eficácia.
6.1.3.2.2. A análise crítica da gestão deve levar em consideração:
6.2. 10 Melhoria contínua
6.2.1. 10.1 Não conformidade e ações corretivas
6.2.1.1. Propósito
6.2.1.1.1. Estabelecer um jeito sistemático para lidar com não conformidades
6.2.1.2. Conceitos-chave
6.2.1.2.1. Não conformidade
6.2.1.2.2. Ação corretiva
6.2.1.3. Requisitos importantes
6.2.1.3.1. Quando ocorrer uma não conformidade, a organização deve: a) identificar a não conformidade, b) reagir a não conformidade, e, quando aplicável: 1) tomar ações para contenção e correção, 2) lidar com as consequências.
6.2.2. 10.2 Melhoria contínua
6.2.2.1. Propósito
6.2.2.1.1. Melhorar continuamente eficácia do SGCN
6.2.2.2. Requisitos importantes
6.2.2.2.1. A organização deve melhorar continuamente a pertinência, adequação e eficácia do SGCN.