Buscar

356801706-ISO-22301-Portugues-pdf

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 3, do total de 37 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 6, do total de 37 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 9, do total de 37 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Prévia do material em texto

ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 
 
Segurança da sociedade — Sistema de gestão de continuidade de 
negócios – Requisitos 
APRESENTAÇÃO 
1) Este Projeto de Norma da Comissão de Estudo Especial de Gestão de Riscos 
(ABNT/CEE-63), na reunião de: 
 
14.03.2013 
 
2) Este Projeto de Norma é previsto para cancelar e substituir a ABNT NBR 15999-2:2010, 
quando aprovado, sendo que nesse ínterim a referida norma continua em vigor 
3) Previsto para ser equivalente à ISO 22301:2013; 
4) Não tem valor normativo; 
5) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta 
informação em seus comentários, com documentação comprobatória; 
6) Este Projeto de Norma será diagramado conforme as regras de editoração da ABNT 
quando de sua publicação como Norma Brasileira. 
7) Tomaram parte na elaboração deste Projeto: 
Participante Representante 
ABNT/GPR Carolina Martins de Oliveira 
Mozart Silva Filho 
ACCENTURE Rodrigo de Barros Nabholz 
AUTÔNOMO Geraldo Rocha 
Lúcia Lobel 
DELOITTE José Pela Neto 
FGV Sergio L. Hoeflich 
FIBRIA Dorlange Figueiredo Costa 
GLOBALSTAND Elie Borges 
INMETRO Maria Luiza Costa Martins 
Mayard S. Solotar 
MODULO Alberto Bastos 
Gustavo Minarelli 
Marcelo Ramos 
OI TELEMAR Fabiano Castello 
 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 2/2 
 
P. RANDALL Marcello D’Avila 
PETROBRAS André Horácio C. Santos 
Nelson Marçal Blanco 
Tiago Amaro 
PMI/FGV José Angelo Santos do Valle 
QSP Francesco De Cicco 
SABESP Ana Maria Ribeiro 
RELIAPLUS CONSULTING Salvador Simões Filho 
RISK AT RISK Paulo A. Baraldi 
TV GLOBO Vinicius Brasileiro 
UNB Edgard Costa 
USP Rodrigo Barros 
VALE Debora Mairink 
Rodrigo da Silva Peixoto 
 
 
 
 
 
 
 
 
 
 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 1/35 
 
Segurança da sociedade — Sistema de gestão de continuidade de negócios 
– Requisitos 
Societal security – Business continuity management systems - Requirements 
Prefácio 
A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas 
Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos 
de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais (ABNT/CEE), são 
elaboradas por Comissões de Estudo (CE), formadas por representantes dos setores envolvidos, delas 
fazendo parte: produtores, consumidores e neutros (universidades, laboratórios e outros). 
Os documentos Técnicos ABNT são elaborados conforme as regras das Diretivas ABNT, Parte 2. 
O Escopo desta Norma Brasileira em inglês é o seguinte: 
Scope 
This Standard for business continuity management specifies requirements to plan, establish, implement, 
operate, monitor, review, maintain and continually improve a documented management system to 
protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive 
incidents when they arise. 
The requirements specified in this Standard are generic and intended to be applicable to all 
organizations, or parts thereof, regardless of type, size and nature of the organization. The extent of 
application of these requirements depends on the organization’s operating environment and complexity. 
It is not the intent of this Standard to imply uniformity in the structure of a Business Continuity 
Management System (BCMS), but for an organization to design a BCMS that is appropriate to its needs 
and that meets its interested parties’ requirements. These needs are shaped by legal, regulatory, 
organizational and industry requirements, the products and services, the processes employed, the size 
and structure of the organization, and the requirements of its interested parties. 
This Standard is applicable to all types and sizes of organizations that wish to 
a) establish, implement, maintain and improve a BCMS, 
b) ensure conformity with stated business continuity policy, 
c) demonstrate conformity to others, 
d) seek certification/registration of its BCMS by an accredited third party certification body, or 
e) make a self-determination and self-declaration of conformity with this Standard. 
This Standard can be used to assess an organization’s ability to meet its own continuity needs and 
obligations 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 2/35 
 
0 Introdução 
0.1 Geral 
Esta Norma especifica requisitos para estabelecer e gerenciar um eficaz Sistema de Gestão de 
Continuidade de Negócios (SGCN). 
Um SGCN reforça a importância de: 
⎯ entender as necessidades da organização e a imprescindibilidade de estabelecimento de política e 
objetivos para a gestão de continuidade de negócios; 
⎯ implementar e operar controles e medidas para a gestão da capacidade geral da organização para 
gerenciar incidentes de interrupção; 
⎯ monitorar e analisar criticamente o desempenho e a eficácia do SGCN; e 
⎯ melhorar continuamente com base na medição objetiva. 
O SGCN, assim como outros sistemas de gestão, possui os seguintes componentes chave: 
a) uma política; 
b) pessoas com responsabilidades definidas; 
c) processos de gestão relativos a: 
1) política, 
2) planejamento, 
3) implementação e operação, 
4) avaliação de desempenho; 
5) análise crítica pela Direção e 
6) melhorias; 
d) documentação fornecendo evidências auditáveis; e 
e) quaisquer processos de gestão da continuidade de negócios pertinentes à organização. 
A continuidade de negócios contribui para uma sociedade mais resiliente. É possível que seja 
necessário envolver no processo de recuperação a comunidade em geral, assim como outras 
organizações em função do impacto no ambiente organizacional. 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 3/35 
0.2 O modelo “Plan-Do-Check-Act” (PDCA) 
Esta Norma adota o modelo “Plan-Do-Check-Act” para planejar, estabelecer, implementar, operar, 
monitorar, analisar criticamente, manter e melhorar continuamente a eficácia do SGCN de uma 
organização. 
Isto garante um grau de consistência com outras normas de sistemas de gestão, tais como 
ABNT NBR ISO 9001:2000 (Sistemas de gestão da qualidade) e ABNT NBR ISO 14001:2004 
(Sistemas de gestão ambiental), ABNT NBR ISO/IEC 27001:2005 (Sistemas de gestão de segurança 
da informação), ABNT NBR ISO/IEC 20000-2 (Gestão de Serviços de TI), e ABNT NBR ISO 28000, 
(Especificação para sistemas de gestão de segurança para a cadeia logística), suportando assim, a 
implementação consistente e integrada e a operação com sistemas de gestão relacionados. 
A Figura 1 ilustra como um SGCN considera como entradas as partes interessadas e os requisitos de 
continuidade de negócios e, por meio de ações necessárias e processos, produz resultados de 
continuidade (por exemplo, continuidade de negócios gerenciada) que atendem aqueles requisitos. 
 
Figura 1 — Modelo PDCA aplicado aos processos do SGCN 
 
 
 
 
 
javascript:__doPostBack('ctl00$cphPagina$gvNorma$ctl02$cmdTitulo','')
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 4/35 
 
Tabela 1 — Explicação do modelo PDCA 
Plan 
(Estabelecer) 
Estabelecer uma política de continuidade de negócios, objetivos, 
metas, controles, processos e procedimentos pertinentes para a 
melhoria da continuidade de negócios de forma a ter resultados 
alinhados com os objetivos e políticas gerais d a organização. 
Do 
(Implementar e operar) 
Implementar e operar a política de continuidade de negócios, 
controles, processos e procedimentos. 
Check 
(Monitorar e analisar criticamente) 
Monitorar e analisar criticamente o desempenho em relação aos 
objetivos e política de continuidade de negócios, reportar os 
resultados para a direção para análise crítica, e definir e autorizar 
ações de melhorias e correções.Act 
(Manter e melhorar) 
Manter e melhorar o SGCN tomando ações corretivas e 
preventivas, baseadas nos resultados da análise crítica pela 
Direção e reavaliando o escopo do SGCN e as políticas e objetivos 
de continuidade de negócios. 
0.3 Componentes do PDCA nesta Norma 
0.3 Components of PDCA in this International Standard 
No modelo “Plan (Planejar)-Do (Fazer) –Check (Checar)-Act (Agir)” exibido na Tabela 1, as Seções de 4 
a 10 desta Norma envolvem os seguintes componentes: 
⎯ A Seção 4 é um componente do “Planejar”. Introduz os requisitos necessários para estabelecer o 
contexto do SGCN, como se aplica na organização, bem como suas necessidades, requisitos e 
escopo. 
⎯ A Seção 5 é um componente do “Planejar”. Resume os requisitos específicos para o papel da Alta 
Direção no SGCN, e como a liderança deve articular suas expectativas para a organização por meio 
de uma declaração de política. 
⎯ A Seção 6 é um componente do “Planejar”. Descreve os requisitos para a aplicação de objetivos 
estratégicos e princípios direcionadores para o SGCN como um todo. O conteúdo desta Seção 6 
difere do estabelecimento de oportunidades para o tratamento de riscos decorrentes do processo 
de avaliação de risco, bem como os objetivos de recuperação derivados da análise de impacto nos 
negócios (BIA). 
NOTA Os requisitos dos processos de análise de impacto nos negócios e de avaliação de riscos estão 
detalhados na Seção 8. 
⎯ A Seção 7 é um componente do “Planejar”. Suporta a operação do SGCN, atribuindo competências 
e comunicação de forma recorrente/conforme necessária com as partes interessadas, bem como 
documentando, controlando, mantendo e retendo as documentações necessárias. 
⎯ A Seção 8 é um componente do “Fazer”. Define requisitos para a continuidade de negócios, 
determinando como abordá-los e como desenvolver procedimentos para gerenciar um incidente de 
interrupção. 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 5/35 
 
⎯ A Seção 9 é um componente do “Checar”. Esta resume os requisitos necessários para medir o 
desempenho da gestão de continuidade de negócios, a conformidade do SCGN com esta Norma e 
com as expectativas da Direção e busca o feedback dos gestores, com relação às expectativas. 
⎯ A Seção 10 é um componente do “Agir”. Este identifica e atua em aspectos do SGCN que não estão 
em conformidade, através de ações corretivas. 
1 Escopo 
Esta Norma de gestão da continuidade de negócios especifica os requisitos para planejar, estabelecer, 
implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente um sistema de 
gestão documentado para proteger-se, reduzir a possibilidade de ocorrência, preparar-se, responder a e 
recuperar-se de incidentes de interrupção quando estes ocorrerem. 
Os requisitos especificados nesta Norma são genéricos e planejados para serem aplicados em todas as 
organizações ou parte delas, independentemente do tipo, tamanho e natureza do negócio. A 
abrangência da aplicação desses requisitos depende do ambiente operacional e complexidade da 
organização. 
Esta Norma não tem a intenção de impor uniformidade da estrutura de um Sistema de Gestão de 
Continuidade de Negócios (SGCN), mas para que uma organização projete um SGCN adequado às 
suas necessidades e que satisfaça os requisitos das partes interessadas. Estas necessidades são 
moldadas por requisitos legais, regulatórios, de negócios e dos clientes, pelos produtos e serviços, os 
processos utilizados, o tamanho e a estrutura da organização e pelos requisitos das partes 
interessadas. 
Esta Norma é aplicável a todos os tipos e tamanhos de organização que desejam: 
a) estabelecer, implementar, manter e melhorar um SGCN, 
b) assegurar conformidade com a política de continuidade de negócios estabelecida, 
c) demonstrar conformidade para outros, 
d) buscar certificação/registro de seu SGCN por meio de um organismo de certificação de terceira 
parte acreditado, ou , 
e) fazer uma auto-determinação e uma auto-declaração de conformidade com esta Norma. 
Esta Norma pode ser usada para avaliar a capacidade de uma organização em atender suas próprias 
necessidades e obrigações de continuidade. 
2 Referências normativas 
Os documentos relacionados a seguir são indispensáveis à aplicação deste documento. Para 
referências datadas, aplicam-se somente as edições citadas. Para referências não datadas, aplicam-se 
as edições mais recentes do referido documento (incluindo emendas). 
Não existem referências normativas. 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 6/35 
 
3 Termos e definições 
Para os efeitos deste documento, aplicam-se os seguintes termos e definições. 
3.1 
atividade 
processo ou conjunto de processos executados por uma organização (ou em seu nome) que produzam 
ou suportem um ou mais produtos ou serviços 
EXEMPLO Tais processos incluem contas, call center, TI, manufatura, distribuição. 
3.2 
auditoria 
processo sistemático, documentado e independente para obter evidências de auditoria e avaliá-las 
objetivamente para determinar a extensão na qual os critérios de auditoria são atendidos 
NOTA 1 Uma auditoria pode ser interna (primeira parte) ou externa (segunda parte ou terceira parte), e pode 
ser uma auditoria combinada (combinação de duas ou mais disciplinas). 
NOTA 2 "A evidência de auditoria" e "critérios de auditoria" são definidos na ABNT NBR ISO 19011. 
3.3 
continuidade de negócios 
capacidade da organização em continuar a entrega de produtos ou serviços em um nível aceitável 
previamente definido após incidentes de interrupção 
[FONTE: ISO 22300] 
3.4 
gestão de continuidade de negócios 
processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis 
impactos nas operações de negócio caso estas ameaças se concretizem. Este processo fornece uma 
estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder 
eficazmente e salvaguardar os interesses das partes interessadas, a reputação e a marca da 
organização e suas atividades de valor agregado 
3.5 
sistema de gestão de continuidade de negócios 
SGCN 
parte do sistema global de gestão que estabelece, implementa, opera, monitora, analisa criticamente, 
mantém e melhora a continuidade de negócios 
NOTA O sistema de gestão inclui estruturas organizacionais, políticas, atividades de planejamento, 
responsabilidades, procedimentos, processos e recursos. 
3.6 
plano de continuidade de negócios 
procedimentos documentados que orientam as organizações a responder, recuperar, retomar e 
restaurar a um nível pré-definido de operação após a interrupção 
NOTA Normalmente isto abrange recursos, serviços e atividades necessárias para assegurar a continuidade 
de funções críticas de negócios. 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 7/35 
 
3.7 
programa de continuidade de negócios 
processo contínuo de gestão e governança suportado pela Alta Direção que recebe apropriadamente os 
recursos para implementar e manter a gestão de continuidade de negócios 
3.8 
análise de impacto nos negócios (BIA – Business Impact Analysis) 
processo de analisar as atividades e os efeitos que uma interrupção de negócio pode ter sobre elas 
[FONTE: ISO 22300] 
3.9 
competência 
habilidade de aplicar conhecimentos e técnicas para atingir os resultados esperados 
3.10 
conformidade 
cumprimento de um requisito 
[FONTE: ISO 22300] 
3.11 
melhoria contínua 
atividade recorrente para melhorar o desempenho 
[FONTE: ISO 22300] 
3.12 
correção 
ação para eliminar uma não conformidade detectada 
[FONTE: ISO 22300] 
3.13 
ação corretiva 
ação para eliminar a causa de uma não conformidade e para prevenir a recorrência 
NOTA No caso de outros resultados indesejáveis, é necessário agir para minimizar ou eliminar as causas e 
para reduzir o impacto ou prevenir a reincidência. Taisações estão fora do conceito de "ação corretiva", no sentido 
desta definição. 
[FONTE: ISO 22300] 
3.14 
documento 
informação e seu meio de suporte 
NOTA 1 Os meios podem ser papel, disco magnético, eletrônico ou óptico de computador, fotografia ou amostra 
mestre, ou uma combinação destes. 
NOTA 2 Um conjunto de documentos, por exemplo especificações e registros, é frequentemente chamado de 
"documentação". 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 8/35 
 
3.15 
informação documentada 
informação que deve ser controlada e mantida por uma organização e o meio em que está contida 
NOTA 1 Informação documentada pode estar em qualquer formato e em qualquer mídia de qualquer tipo. 
NOTA 2 Informação documentada pode se referir a 
⎯ o sistema de gestão, incluindo processos relacionados; 
⎯ informação criada para que a organização funcione (documentação); 
⎯ evidência de resultados atingidos (registros). 
3.16 
eficácia 
extensão para quais atividades planejadas são realizadas e resultados planejados atingidos 
[FONTE: ISO 22300] 
3.17 
evento 
ocorrência ou mudança em um conjunto específico de circunstâncias 
NOTA 1 Um evento pode consistir em uma ou mais ocorrências e pode ter várias causas. 
NOTA 2 Um evento pode consistir em alguma coisa não acontecer. 
NOTA 3 Um evento pode algumas vezes ser referido como um “incidente” ou um “acidente”. 
NOTA 4 Um evento sem consequências pode também se referir a “quase acidente”, “incidente”, “quase 
colisão” ou por um triz”. 
[FONTE: ABNT ISO/IEC Guia 73] 
3.18 
exercicio 
processo de treino para avaliar, praticar e melhorar o desempenho em uma organização 
NOTA 1 Os exercícios podem ser usados para: validar políticas, planos, procedimentos, treinamento, 
equipamentos e acordos entre organizações; esclarecimento e treinamento de pessoal em funções e 
responsabilidades, melhoria da coordenação e comunicação entre organizações, identificação de lacunas de 
recursos, melhoria do desempenho individual e; identificação de oportunidades de melhoria e o controle de 
oportunidades para a prática de improvisação. 
NOTA 2 Um teste é um tipo único e particular de exercício, que incorpora uma expectativa de aprovação ou 
reprovação em relação aos objetivos planejados do exercício. 
 
[FONTE: ISO 22300] 
3.19 
incidente 
situação que pode representar ou levar à interrupção de negócios, perdas, emergências ou crises 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 9/35 
 
[FONTE: ISO 22300] 
3.20 
infraestrutura 
sistema de instalações, equipamentos e serviços necessários para a operação de uma organização 
3.21 
partes interessadas 
stakeholder 
pessoa ou organização que pode afetar, ser afetado ou que entendem ser afetados por uma decisão ou 
atividade 
NOTA O termo refere-se a um indivíduo ou grupo que possui interesse em qualquer decisão ou atividade de 
uma organização. 
3.22 
auditoria interna 
auditoria realizada por, ou em nome, da própria organização para análise crítica pela Direção e outros 
fins internos, e que pode formar a base para autodeclararão de conformidade de uma organização 
NOTA Em muitos casos, particularmente em pequenas organizações, a independência pode ser demonstrada 
pela não responsabilidade pela atividade a ser auditada. 
3.23 
invocação 
ato de declarar que os arranjos para continuidade de negócios de uma organização precisam ser 
colocados em prática, a fim de continuar a entrega de produtos ou serviços essenciais. 
3.24 
sistema de gestão 
conjunto de elementos inter-relacionados ou interativos de uma organização para estabelecer políticas e 
objetivos, bem como processos para atingir esses objetivos 
NOTA 1 Um sistema de gestão pode abordar uma única disciplina ou várias disciplinas. 
NOTA 2 Os elementos do sistema incluem a estrutura da organização, papéis e responsabilidades, 
planejamento, operação, etc. 
NOTA 3 O escopo de um sistema de gestão pode incluir a totalidade da organização, funções específicas e 
identificadas da organização, seções específicas e identificadas da organização, ou uma ou mais funções através 
de um grupo de organizações. 
3.25 
interrupção máxima aceitável 
MAO - Maximum Acceptable Outage 
tempo para que os impactos adversos que possam surgir como resultado de não fornecer um produto / 
serviço, ou realizar uma atividade, tornem-se inaceitáveis 
3.26 
período máximo de interrupção tolerável 
MTPD - Maximum Tolerable Period of Disruption 
tempo necessário para que os impactos adversos tornem-se inaceitáveis, que pode surgir como 
resultado de não fornecer um produto/serviço ou realizar uma atividade. 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 10/35 
 
NOTA Ver também interrupção máxima aceitável. 
3.27 
medição 
processo para determinar um valor 
3.28 
objetivo mínimo de continuidade de negócios 
OMCN 
níveis mínimos aceitáveis de serviços e/ou produtos para a organização alcançar seus objetivos de 
negócios durante uma interrupção 
3.29 
monitoramento 
determinação do status de um sistema, de um processo ou de uma atividade 
NOTA Para determinar o status pode haver a necessidade de checar, supervisionar ou observar 
criticamente. 
3.30 
acordo de ajuda mútua 
pré-disposição de entendimento entre duas ou mais entidades para prestação de assistência mútua 
[FONTE: ISO 22300] 
3.31 
não conformidade 
não cumprimento de um requisito 
[FONTE: ISO 22300] 
3.32 
objetivo 
resultado a ser atingido 
NOTA 1 Um objetivo pode ser estratégico, tático ou operacional. 
NOTA 2 Os objetivos podem ser relacionados a diferentes disciplinas (tais como financeiro, saúde e segurança, 
e as metas ambientais) e podem ser aplicados em diferentes níveis (como estratégico, a organização como um 
todo, projeto, produto e processo). 
NOTA 3 Um objetivo pode ser expresso por outros meios, por exemplo, como um resultado esperado, um 
propósito, um critério operacional, como um objetivo de segurança social ou pelo uso de outras palavras com 
significado similar (por exemplo, objetivo, meta, ou alvo). 
NOTA 4 No contexto de sistema de gestão de padrões de segurança da sociedade, os objetivos de segurança 
da sociedade são definidos pela organização, de acordo com a política de segurança social, para alcançar 
resultados específicos. 
 
 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 11/35 
 
3.33 
organização 
pessoas ou grupo de pessoas que têm suas funções com responsabilidades, autoridades e 
relacionamentos para alcançar os objetivos. 
NOTA 1 O conceito de organização inclui, mas não se limita a, empresário individual, companhia, corporação, 
firma, empresa, autoridade, parceria, instituição de caridade ou outra instituição, ou parte ou combinação destas, 
com responsabilidade limitada ou não, pública ou privada. 
NOTA 2 Para as organizações com mais de uma unidade operacional, uma única unidade operacional pode ser 
definida como uma organização. 
3.34 
terceirizar (verbo) 
fazer um acordo onde uma organização externa executa parte da função ou processo de uma 
organização 
NOTA Uma organização externa está fora do escopo do sistema de gestão, embora a função terceirizada ou 
processo esteja dentro do escopo de aplicação. 
3.35 desempenho 
resultado mensurável 
NOTA 1 O desempenho pode dizer respeito a resultados quantitativos ou qualitativos. 
NOTA 2 Desempenho pode se relacionar com a gestão das atividades, processos, produtos (incluindo serviços), 
sistemas ou organizações. 
3.36 
avaliação de desempenho 
processo para determinar resultados mensuráveis 
3.37 
pessoal 
pessoas trabalhando para ou sob o controle da organização 
NOTA O conceito de pessoal inclui, mas não se limita a empregados, pessoal em tempo parcial, e pessoal 
temporário. 
3.38 
política 
intenções e direções de uma organização expressadas formalmente pela sua alta gestão3.39 
procedimento 
maneira específica de conduzir uma atividade ou um processo 
3.40 
processo 
grupo de atividades relacionadas ou interativas que transformam entradas em saídas 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 12/35 
 
3.41 
produtos e serviços 
resultados benéficos que uma organização fornece a seus clientes e partes interessadas, como bens 
manufaturados, seguros automobilísticos, conformidade com regulamentações e benefícios 
comunitários 
3.42 
atividades prioritárias 
atividades que devem ser priorizadas após um incidente para mitigar os impactos 
NOTA Termos de uso comum para descrever as atividades dentro deste grupo incluem: crítico, essencial, 
vital, urgente e fundamental. 
[FONTE: ISO 22300] 
3.43 
registro 
declaração de resultados atingidos ou evidência de atividades realizadas 
3.44 
ponto objetivado de recuperação 
RPO - Recovery Point Objective 
ponto em que a informação usada por uma atividade deve ser restaurada para permitir a operação da 
atividade na retomada 
NOTA Também pode ser referido como "perda máxima de dados". 
3.45 
tempo objetivado de recuperação 
RTO - Recovery Time Objective 
período de tempo após um incidente em que 
⎯ o produto ou serviço deve ser retomado, ou 
⎯ a atividade deve ser retomada, ou 
⎯ os recursos devem ser recuperados (NBR 2 3.45) 
NOTA Para os produtos, serviços e atividades, o tempo objetivado de recuperação deve ser menor do que o 
tempo em que os impactos negativos que surgirão como resultado de não fornecer um produto/serviço ou realizar 
uma atividade se torne inaceitável. 
3.46 
requisitos 
necessidade ou expectativa que é determinada, geralmente implícita ou obrigatória 
NOTA 1 "Geralmente implícita" significa que é uma prática habitual ou comum para a organização e as partes 
interessadas pela qual a necessidade ou expectativa sob consideração está implícita. 
NOTA 2 Um requisito especificado é aquele que é determinado, por exemplo, na informação documentada. 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 13/35 
 
3.47 
recursos 
todos os ativos, pessoas, competências, informação, tecnologia (incluindo instalações e equipamentos), 
locais, suprimentos e informação (eletrônica ou não) que uma organização deve ter disponíveis para 
uso, quando necessário, a fim de operar e atingir seus objetivos. 
3.48 
risco 
efeito da incerteza nos objetivos 
NOTA 1 Um efeito é um desvio do que é esperado – positivo ou negativo 
NOTA 2 Os objetivos podem ter diferentes aspectos (como metas financeiras, saúde e segurança, e ambientais) 
e podem ser aplicados em diferentes níveis (tais como estratégico, em toda a organização, projeto, produto e 
processo). Um objetivo pode ser expresso por outros meios, por exemplo, como um resultado esperado, um 
propósito, um critério operacional, como objetivo da continuidade do negócio, ou pelo uso de outras palavras com 
significado similar (por exemplo, objetivo, meta, ou alvo). 
NOTA 3 Risco é muitas vezes caracterizado pela referência aos eventos potenciais (ABNT ISO Guia 73, 3.5.1.3) 
e consequências (ABNT ISO Guia 73, 3.6.1.3) ou uma combinação destes. 
NOTA 4 Risco é frequentemente expressado em termos de uma combinação das consequências de um evento 
(incluindo mudanças nas circunstâncias) e a probabilidade (Guia 73, 3.6.1.1) de ocorrência associada. 
NOTA 5 Incerteza é o estado, ainda que (mesmo) parcial, da deficiência de informação relacionada ao 
entendimento ou conhecimento de um evento, sua consequência ou probabilidade. 
NOTA 6 No contexto de padrões de gestão de continuidade de negócios, os objetivos de continuidade de 
negócios são definidos pela organização, de acordo com a política de continuidade de negócios, para alcançar 
resultados específicos. Ao aplicar o termo risco e componentes de gerenciamento de risco, este deve ser 
relacionado com os objetivos da organização, que incluem, mas não estão limitados aos objetivos de continuidade 
de negócios, conforme especificado em 6.2. 
[FONTE: ABNT ISO/IEC Guia 73] 
3.49 
apetite a risco 
quantidade e tipo de risco que a organização está disposta a buscar ou manter 
3.50 
processo de avaliação de riscos (risk assessment) 
processo global de identificação de riscos, análise de riscos e avaliação de riscos 
NOTA BRASILEIRA Para os efeitos deste documento o termo risk assessment foi traduzido como “processo de 
avaliação de riscos” para evitar conflito com o termo risk evaluation que foi traduzido na ABNT NBR ISO 31000 
como “avaliação de riscos”. 
[FONTE: ABNT ISO Guia 73] 
3.51 
gestão de riscos 
atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos 
 [FONTE: ABNT ISO Guia 73] 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 14/35 
 
3.52 teste 
procedimento para avaliação; maneira de determinar a presença, qualidade, ou veracidade de algo 
NOTA 1 Teste pode se referir a um “experimento”. 
NOTA 2 Teste é frequentemente aplicado para suportar planos. 
[FONTE: ISO 22300] 
3.53 
Alta Direção 
pessoa ou grupo de pessoas que dirige e controla uma organização em seu nível mais alto 
NOTA 1 A Alta Direção tem o poder de delegar autoridade e fornecer recursos dentro da organização. 
NOTA 2 Se o escopo do sistema de gestão abrange apenas parte de uma organização, então Alta Direção se 
refere àqueles que dirigem e controlam parte da organização. 
3.54 
verificação 
confirmação, através de evidência, que os requisitos especificados foram cumpridos 
3.55 
ambiente de trabalho 
conjunto de condições sob as quais o trabalho é realizado 
NOTA Condições incluem fatores físicos, sociais, psicológicos e ambientais (tais como temperatura, sistemas de 
reconhecimento, ergonomia e composição atmosférica). 
[FONTE: ISO 22300] 
4 Contexto da organização 
4.1 Entendendo a organização e seu contexto 
A organização deve determinar as questões internas e externas que são relevantes para seus 
propósitos de atuação e que afetem sua capacidade em alcançar os resultados determinados em seu 
SGCN. 
Estas questões devem ser levadas em consideração quando do estabelecimento, implementação e 
manutenção do SGCN da organização. 
A organização deve identificar e documentar o seguinte: 
a) as atividades, funções, serviços, produtos e parcerias da organização, bem como cadeias de 
suprimentos, relacionamento com partes interessadas e o impacto potencial relacionado a um 
incidente de interrupção; 
b) relacionamento entre a política de continuidade de negócios e outras políticas e objetivos da 
organização, incluindo a sua estratégia geral de gestão de riscos; 
c) o apetite a riscos da organização. 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 15/35 
 
No estabelecimento do contexto, a organização deve: 
1) determinar seus objetivos, incluindo aqueles relacionados com a continuidade dos negócios, 
2) definir os fatores externos e internos que criam as incertezas que dão origem ao risco, 
3) estabelecer os critérios de risco, levando em conta o apetite a riscos, e 
4) definir o propósito do SGCN. 
4.2 Entendendo as necessidades e expectativas das partes interessadas 
4.2.1 Geral 
No momento de estabelecer o SGCN, a organização deve determinar: 
a) as partes interessadas que são relevantes para o SGCN, e 
b) os requisitos das partes interessadas (por exemplo, as suas necessidades e expectativas definidas, 
geralmente implícitas ou obrigatórias). 
4.2.2 Requisitos legais e regulatórios 
A organização deve estabelecer, implementar e manter procedimentos para identificar, ter acesso e 
avaliar os requisitos legais e regulatórios aplicáveis ao seu mercado de atuação, alinhados com a 
continuidade de suas operações, produtos e serviços, bem como os interesses das partes interessadas 
relevantes. 
A organização deve assegurar que estes requisitos legais, regulatóriose outros requisitos que a 
organização esteja sujeita são levados em consideração no estabelecimento, implementação e 
manutenção de seu SGCN. 
A organização deve documentar estas informações e mantê-las atualizadas. Novidades ou variações 
nos requisitos legais, regulatórios e outros requisitos devem ser comunicadas aos empregados 
envolvidos e às outras partes interessadas 
4.3 Determinando o escopo do sistema de gestão de continuidade de negócios 
4.3.1 Geral 
A organização deve determinar os limites e aplicabilidade do SGCN para estabelecer seu escopo. 
Ao definir o escopo, a organização deve considerar: 
⎯ as questões internas e externas citadas em 4.1, e 
⎯ os requisitos citados em 4.2. 
O escopo deve estar disponível como informação documentada. 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 16/35 
 
4.3.2 Escopo do SGCN 
A organização deve: 
a) estabelecer as partes da organização a serem incluídas no SGCN, 
b) estabelecer requisitos do SGCN, considerando a missão da organização, objetivos, obrigações 
internas e externas (incluindo aquelas com as partes interessadas), bem como responsabilidades 
legais e regulatórias, 
c) identificar produtos, serviços e todas as atividades relacionadas com o escopo do SGCN, 
d) levar em consideração as necessidades e interesses das partes interessadas, tais como clientes, 
investidores, acionistas, cadeia de suprimentos, expectativas e interesses públicos e/ou da 
comunidade (quando apropriados), e 
e) definir o escopo do SGCN apropriados ao tamanho, natureza e complexidade da organização. 
Ao definir o escopo, a organização deve documentar e justificar exceções; qualquer exceção não pode 
afetar a capacidade e responsabilidade da organização em prover a continuidade de negócios e 
operações contempladas nos requisitos do SGCN, como determinadas pela análise de impacto nos 
negócios ou no processo de avaliação de riscos e nos requisitos legais e regulatórios aplicáveis. 
4.4 Sistema de gerenciamento de continuidade dos negócios 
A organização deve determinar, implementar, manter e atualizar continuamente o SGCN, incluindo os 
processos necessários e suas interações de acordo com os requisitos desta Norma. 
5 Liderança 
5.1 Liderança e comprometimento 
Os membros da Alta Direção e demais gestores com papéis relevantes dentro da organização devem 
demonstrar liderança em relação ao SGCN. 
EXEMPLO Esta liderança e comprometimento podem ser demonstrados pela motivação e capacitação de pessoas em 
contribuir com a eficácia do SGCN. 
5.2 Comprometimento da Direção 
A Alta Direção deve demonstrar liderança e comprometimento referente ao SGCN por 
⎯ garantir que políticas e objetivos são estabelecidos para o sistema de gestão de continuidade de 
negócios e que são compatíveis com as diretrizes estratégicas da organização, 
⎯ garantir a integração entre os requisitos do sistema de gestão de continuidade de negócios e os 
processos de negócio da organização, 
⎯ garantir que os recursos necessários para o SGCN estão disponíveis, 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 17/35 
 
⎯ comunicar a importância de uma gestão de continuidade de negócios eficaz e alinhada com os 
requisitos do SGCN, 
⎯ garantia que o SGCN atinja os resultados esperados, 
⎯ direcionamento e suporte à colaboradores que contribuem para a eficácia do SGCN, 
⎯ promoção para a melhoria contínua, e 
⎯ apoio a demais gestores com papel relevante para demonstrar sua liderança e comprometimento 
aplicados às suas áreas de responsabilidades 
NOTA 1 A referência a “negócio” nesta Norma pretende que seja interpretada de forma ampla, significando 
aquelas atividades que são essenciais para a existência da organização. 
A Alta Direção deve prover evidências de seu comprometimento para o estabelecimento, 
implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGCN da 
organização, por meio da 
⎯ definição de uma política de continuidade de negócios, 
⎯ garantia que os objetivos e planos do SGCN estejam estabelecidos, 
⎯ implantação de papéis, responsabilidades e competências para o gerenciamento da continuidade 
de negócios, e 
⎯ nomeação de um ou mais colaboradores aptos a serem responsáveis pelo SGCN, com autoridades 
e competências apropriadas para a implantação e manutenção do ciclo. 
NOTA 2 Estas pessoas podem realizar outras atividades dentro da organização. 
A Alta Direção deve assegurar que as responsabilidades e papéis relevantes sejam atribuídos e 
comunicados dentro da organização por 
⎯ definição de critérios e níveis de aceitação de riscos, 
⎯ envolvimento ativo em exercícios e testes, 
⎯ garantia que auditorias internas para o SGCN sejam realizadas, 
⎯ realização de análises críticas da gestão do SGCN, e 
⎯ demonstração do comprometimento com a melhoria contínua. 
5.3 Política 
A Alta Direção deve definir uma política de continuidade de negócios que 
a) esteja alinhada com o proposito da organização, 
b) fornece uma estrutura para estabelecer os objetivos de continuidade de negócios, 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 18/35 
 
c) inclua o compromisso de atender aos requisitos aplicáveis, 
d) inclua o compromisso da melhoria contínua do SGCN. 
A política do SGCN deve 
⎯ estar disponível como informação documentada, 
⎯ ser comunicada a toda organização, 
⎯ estar disponível para as partes interessadas, se apropriado, 
⎯ ser analisada criticamente em períodos definidos ou sempre que mudanças significativas 
ocorrerem, para garantir sua adequação à organização 
A organização deve manter informações documentadas sobre a política de continuidade de negócios. 
5.4 Papéis, responsabilidades e autoridades organizacionais 
A Alta Direção deve garantir que papéis, responsabilidades e autoridades relevantes sejam atribuídos e 
comunicados dentro da organização. 
Os gestores devem assegurar a responsabilidade e autoridade através da 
a) garantia que o sistema de gestão está em conformidade com os requisitos desta Norma, e 
b) garantia de relatórios de desempenho do SGCN à Alta Direção. 
6 Planejamento 
6.1 Ações para direcionar riscos e oportunidades 
Ao planejar o SGCN, a organização deve considerar as questões citadas em 4.1 e os requisitos 
mencionados em 4.2, além de determinar os riscos e oportunidades que devem ser avaliados para: 
⎯ Garantir que o sistema de gerenciamento consiga atingir os resultados esperados, 
⎯ prevenir, ou reduzir, consequências indesejadas, 
⎯ alcançar a melhoria continua, 
A organização deve planejar: 
a) ações para endereçar riscos e oportunidades, 
b) como 
1) implantar ações e integrá-las nos processos de SGCN (ver 8.1), 
2) avaliar a eficácia destas ações (ver 9.1). 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 19/35 
 
6.2 Objetivos de continuidade de negócios e planos para alcançá-los 
A Alta Direção deve assegurar que os objetivos de continuidade de negócios sejam estabelecidos e 
comunicados para funções e níveis relevantes dentro da organização. 
Os objetivos de continuidade de negócios devem 
a) estar alinhados com a política de continuidade de negócios, 
b) considerar o nível mínimo de produtos e serviços que é aceitável para a organização alcançar seus 
objetivos, 
c) ser mensuráveis, 
d) considerar requisitos aplicáveis, e 
e) ser monitorados e atualizados sempre que necessário. 
A organização deve manter documentadas as informações sobre os objetivos de continuidade de 
negócios. 
Para alcançar seus objetivos de continuidade de negócios, a organização deve determinar 
⎯ quem serão os responsáveis, 
⎯ o que deverá ser executado, 
⎯ quais serão os recursos necessários, 
⎯ quando a execução será concluída, e 
⎯ como os resultados serão avaliados. 
7 Suporte 
7.1 Recursos 
A organização deve determinar e prover os recursos necessáriospara o estabelecimento, 
implementação, manutenção e melhoria contínua do SGCN. 
7.2 Competência 
A organização deve 
a) determinar as competências necessárias das pessoas trabalhando sob seu controle que afete seu 
desempenho; 
b) garantir que essas pessoas sejam competentes com relação a educação apropriada, treinamento e 
experiência; 
c) quando necessário, agir para adquirir a competência necessária, e avaliar a eficácia das ações; e 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 20/35 
 
d) reter informações documentadas de forma apropriada como evidência da competência. 
NOTA Ações aplicáveis podem incluir, por exemplo: a provisão do treinamento, mentores, ou a mudança dos 
atuais empregados; ou a contratação de pessoal competente 
7.3 Conscientização 
Pessoas que realizam trabalho sob o controle da organização devem estar conscientizadas 
a) da política de continuidade de negócios; 
b) da sua contribuição para a eficácia do SGCN, incluindo os benefícios do melhor desempenho da 
gestão de continuidade de negócios; 
c) das implicações da não conformidade com os requisitos do SGCN; e 
d) do seu próprio papel durante incidentes que causem interrupção. 
7.4 Comunicação 
A organização deve determinar as necessidades de comunicações internas e externas relevantes para 
o SGCN inclusive 
a) o que será comunicado; 
b) quando comunicar; 
c) para quem comunicar; 
A organização deve estabelecer, implementar, e manter procedimento(s) para 
 
⎯ comunicação interna entre os grupos interessados e empregados da organização; 
⎯ comunicação externa com clientes, entidades parceiras, comunidade local, e outros grupos 
interessados, inclusive a mídia; 
⎯ recebimento, documentação, e resposta à comunicação dos grupos interessados; 
⎯ adaptação e integração um sistema de assessoria à ameaças nacionais ou regionais, ou 
equivalente, no planejamento ou operação, se apropriado; 
⎯ garantia de disponibilidade dos meios de comunicação durante o incidente gerador de interrupção; 
⎯ facilitação da estrutura de comunicação com as autoridades apropriadas para garantir 
interoperabilidade de múltiplas organizações e pessoal, quando apropriado; e 
⎯ operação e teste das capacidades de comunicação destinados a serem utilizados durante a 
interrupção dos meios normais de comunicação. 
NOTA Outros requisitos para comunicação em resposta a um incidente estão especificados em 8.4.3. 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 21/35 
 
7.5 Informação documentada 
7.5.1 Geral 
O SGCN da organização deve incluir 
 
⎯ informações documentadas requirida por esta norma; e 
⎯ informações documentadas determinadas pela organização que sejam necessárias para a eficácia 
do SGCN 
NOTA A extensão de informações documentadas para um SGCN pode ser diferente de uma 
organização para outra devido: 
⎯ ao tamanho da organização e seus tipos de atividade, processos, produtos e serviços; 
⎯ a complexidade dos processos e suas interações; e 
⎯ a competência de pessoal. 
7.5.2 Criando e atualizando 
Quando criar ou atualizar informações documentadas, a organização deve garantir apropriados(as) 
a) identificação e descrição (por exemplo: um título, data, autor e número de referência); 
b) formato (por exemplo: linguagem, versão de software, gráficos) e mídia (por exemplo: papel, 
eletrônico), e análise crítica e aprovação para adequação. 
7.5.3 Controle de informações documentadas 
Informações documentadas requeridas pelo SGCN e por esta norma devem ser controlados para 
garantir 
a) que esteja disponível e utilizável, quando e onde for necessário; 
b) que esteja protegido adequadamente (por exemplo: de perda de confidencialidade, uso impróprio, 
ou perda de integridade). 
Para fazer o controle de informações documentadas, a organização deve endereçar as seguintes 
atividades, onde aplicável 
⎯ distribuição, acesso, recuperação e uso; 
⎯ armazenamento e preservação, incluindo preservação de legibilidade; 
⎯ controle de mudanças (ex: controle de versão); 
⎯ retenção e disposição; 
⎯ recuperação e uso; 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 22/35 
 
⎯ preservação de legibilidade (por exemplo: escrita legível); 
⎯ prevenção de uso não intencional de informações obsoletas. 
Informações de origem externa documentadas determinadas necessárias pela organização para o 
planejamento e operação do SGCN devem ser identificadas, se apropriado, e controladas. 
Quando estabelecendo controle de informações documentadas, a organização deve garantir que haja 
proteção adequada para informações documentadas (por exemplo: proteção contra comprometimento, 
modificação não autorizada ou deleção). 
 
NOTA Acesso implica uma decisão sobre a permissão para visualizar informações documentadas, ou permissão 
e autoridade para visualizar informações documentadas, etc. 
8 Operação 
8.1 Planejamento e controle operacional 
A organização deve planejar, implementar e controlar os processos necessários para atender requisitos 
e para implementar as ações determinadas em 6.1, por 
a) estabelecer critérios para os processos, 
b) implementar um controle para os processos em acordo com os critérios definidos, e 
c) manter a documentação de informações na extensão necessária para ter a confiança de que os 
processos tem sido conduzidos de acordo com o planejado. 
A organização deve monitorar mudanças planejadas e avaliar as consequências de mudanças 
inesperadas, tomando medidas para mitigar os efeitos adversos, quando necessário. 
A organização deve garantir que processos terceirizados são controlados. 
8.2 Análise de impacto nos negócios e processo de avaliação de riscos 
8.2.1 Geral 
A organização deve definir, implementar e manter um processo formal e documentado para a análise de 
impacto nos negócios e no processo de avaliação de riscos que 
a) estabeleça o contexto da avaliação, definindo critérios e avaliando o impacto potencial de uma 
interrupção; 
b) considere requisitos legais dentre outros nos quais a organização deva atender; 
c) determine uma análise sistemática, com priorização de tratamento dos riscos e seus respectivos 
custos; 
d) defina a estratégia necessária a partir da análise de impacto nos negócios e no processo de 
avaliação de riscos, e 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 23/35 
 
e) especifique os critérios para que estas informações sejam confidenciais e mantenham-se 
atualizadas. 
NOTA Existem diversas metodologias para análise de impacto nos negócios e para o processo de avaliação 
de riscos, que determinarão a ordem em que estes serão realizados. 
8.2.2 Análise de impacto nos negócios 
A organização deve estabelecer, implementar e manter um processo de avaliação formal e 
documentado para determinar prioridades de continuidade e recuperação, com objetivos e metas. Este 
processo deve incluir a avalição dos impactos de interrupção que suportam os produtos e serviços da 
organização. 
A análise de impacto nos negócios deve incluir: 
a) identificar as atividades que suportam o fornecimento de produtos e serviços; 
b) avaliar os impactos ao longo do tempo de não realizar estas atividades; 
c) fixar prazos de forma priorizada para a retomada destas atividades, em um nível mínimo de 
execução tolerável, levando em consideração o tempo em que os impactos desta interrupção torne-
se inaceitável; e 
d) identificar dependências e recursos que suportam estas atividades, incluindo fornecedores, terceiros 
e demais partes interessadas relevantes. 
8.2.3 Processo de avaliação de riscos 
A organização deve estabelecer, implementar e manter um processo documentado para avaliação de 
riscos que sistematicamente identifique, analise, avalie os riscos de uma interrupção à organização. 
NOTA Este processo pode ser realizado em conformidade com a norma ABNT NBR ISO 31000.A organização deve 
a) identificar riscos de interrupção das atividades prioritárias da organização, bem como os processos, 
sistemas, informações, pessoas, bens, parceiros terceiros, e outros recursos que os suportam, 
b) analisar sistematicamente o risco, 
c) avaliar quais riscos de interrupção podem ser tratados, e 
d) identificar os tratamentos alinhados com os objetivos de continuidade de negócios, e de acordo com 
o apetite de risco da organização. 
NOTA A organização deve estar ciente de que certas determinações governamentais ou financeiras exigem a 
comunicação dos riscos em diferentes níveis de detalhe. Além disso, certas necessidades sociais podem também 
requerer estas informações em um nível específico de detalhes. 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 24/35 
 
8.3 Estratégia de continuidade de negócios 
8.3.1 Definindo e selecionando 
A definição e seleção da estratégia deve ser baseada nos resultados da análise de impacto nos 
negócios e no processo de avaliação de riscos. 
A organização deve determinar uma estratégia de continuidade adequada para 
a) proteger atividades prioritárias, 
b) estabilizar, continuar, retomar e recuperar atividades priorizadas, bem como suas dependências e 
recursos de apoio, e 
c) mitigar, responder e gerenciar impactos. 
A definição da estratégia deve incluir a aprovação da priorização dos tempos para a retomada das 
atividades. 
A organização deve realizar avaliações da capacidade de continuidade de negócios dos fornecedores. 
8.3.2 Determinação dos recursos necessários 
A organização deve determinar os recursos necessários para implementar as estratégias definidas. Os 
tipos de recursos considerados podem, porém não precisam estar limitados a 
a) pessoas, 
b) informações e dados, 
c) prédios, ambiente de trabalho e instalações associadas, 
d) instalações, equipamentos e recursos consumíveis, 
e) sistemas de informação e telecomunicações (ICT); 
f) transporte, 
g) finanças, e 
h) fornecedores e parceiros. 
8.3.3 Proteção e mitigação 
Para riscos identificados que necessitam de tratamento, a organização deve considerar medidas 
pró-ativas que 
a) reduzam a probabilidade de interrupção, 
b) diminuam o período de interrupção, e 
c) limitem o impacto da interrupção sobre os principais produtos e serviços da organização. 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 25/35 
 
A organização deve escolher e implementar tratamentos adequados aos riscos, alinhados ao seu 
apetite de riscos. 
8.4 Estabelecendo e implementando procedimentos de continuidade de negócios 
8.4.1 Geral 
A organização deve estabelecer, implementar e manter procedimentos de continuidade de negócios 
para gerenciar interrupções e continuar suas atividades, com base em objetivos de recuperação 
identificados na analise de impacto dos negócios 
A organização deve documentar procedimentos (incluindo acordos necessários) para assegurar a 
continuidade das atividades e gerenciamento do incidente. 
Os procedimentos devem 
a) estabelecer protocolos apropriados de comunicação interna e externa, 
b) ser específicos sobre as medidas imediatas que devem ser tomadas durante uma interrupção, 
c) ser flexíveis para responder à ameaças imprevistas e às mudanças de condições internas e 
externas, 
d) focar no impacto de eventos que podem interromper as operações, 
e) ser desenvolvidos com base em premissas declaradas e interdependências analisadas, e 
f) ser eficazes para minimizar as consequências, através da implementação de estratégias de 
mitigação apropriadas. 
8.4.2 Estrutura de resposta a incidentes 
A organização deve estabelecer, documentar e implementar procedimentos, bem como possuir uma 
estrutura de gestão para responder à uma interrupção, utilizando pessoal com a autoridade, 
responsabilidade e competência necessária para gerenciar um incidente. 
a) identificar ponto inicial de impacto que justifique o início da resposta formal, 
b) avaliar a natureza, a extensão e o impacto potencial de um incidente, 
c) acionar a resposta de continuidade de negócios adequada, 
d) ter processos e procedimentos para a ativação, operação, coordenação e comunicação da 
resposta, 
e) ter recursos disponíveis para apoiar os processos e procedimentos para a gestão de um incidente, a 
fim de minimizar o impacto, e 
f) comunicar com as partes interessadas e as autoridades, bem como os meios de comunicação. 
A organização deve decidir, considerando a segurança de vida como a primeira prioridade e em 
consulta com as partes interessadas relevantes, em comunicar externamente de acordo com seus 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 26/35 
 
riscos e impactos, e documentar a sua decisão. Se a decisão é a de comunicar, em seguida, a 
organização deve estabelecer e implementar procedimentos para comunicação externa, alertas e 
avisos, incluindo os meios de comunicação apropriados. 
8.4.3 Aviso e comunicação 
A organização deve estabelecer, implementar e manter procedimentos para 
a) detectar um incidente, 
b) monitorar regularmente a possibilidade de um incidente, 
c) fazer a comunicação interna dentro da organização, bem como receber, documentar e responder a 
comunicações das partes interessadas, 
d) receber, documentar e responder a qualquer sistema de aviso de riscos regional, nacional ou 
equivalente, 
e) garantir a disponibilidade dos meios de comunicação durante um incidente, 
f) facilitar a comunicação estruturada com equipes de emergência, 
g) armazenar informações vitais sobre o incidente, ações e decisões tomadas, assim como os itens a 
seguir devem ser considerados e implementados quando aplicável: 
⎯ alertar as partes interessadas potencialmente impactadas por um incidente de interrupção real ou 
iminente, 
⎯ assegurar a interoperabilidade de múltiplas organizações e pessoal; 
⎯ operar uma instalação de comunicações. 
Os procedimentos de comunicação e alerta deve ser regularmente exercitados. 
8.4.4 Planos de continuidade de negócios 
A organização deve estabelecer procedimentos documentados para responder à incidentes de 
interrupção, e como irá continuar ou recuperar suas atividades dentro de um prazo pré definido. Tais 
procedimentos devem atender aos requisitos de quem irá usá-lo. 
Os planos de continuidade de negócios devem coletivamente conter 
a) papéis e responsabilidades definidos para pessoas e equipes com autoridade durante e após um 
incidente, 
b) um processo para ativar a estrutura de resposta à incidentes, 
c) detalhes para gerenciar os impactos imediatos de um incidente de interrupção, dando a devida 
atenção a 
1) bem-estar dos colaboradores, 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 27/35 
 
2) alternativas estratégicas, táticas e operacionais para responder à interrupção, e 
3) prevenção de novas perdas ou indisponibilidade de atividades prioritárias; 
d) detalhes sobre como e em que circunstâncias a organização irá se comunicar com os funcionários 
e seus familiares, os principais interessados e contatos de emergência, 
e) como a organização vai continuar ou recuperar suas atividades prioritárias dentro de prazos pré 
definidos, 
f) detalhes de resposta após incidente da organização à mídia, incluindo 
1) a estratégia de comunicação, 
2) meio de comunicação preferido, 
3) diretriz ou modelo para a elaboração de uma declaração para a mídia, e 
4) porta voz apropriado; 
g) um processo para retorno à normalidade quando o incidente terminar. 
Cada plano deve definir 
⎯ propósito e escopo, 
⎯ objetivos, 
⎯ critérios e procedimentos para sua ativação, 
⎯ procedimentos de implementação, 
⎯ papéis, responsabilidades e autoridades, 
⎯ requisitos e procedimentos de comunicação, 
⎯ interdependências internas, externas e suas interações, 
⎯ recursos necessários, e 
⎯ fluxo de informaçõese processos documentados. 
8.4.5 Recuperação 
A organização deve possuir procedimentos documentados para restaurar e retornar as atividades de 
negócios das medidas temporárias adotadas, e atender aos requisitos de negócios normais após um 
incidente. 
8.5 Exercitando e testando 
A organização deve possuir e testar os procedimentos de continuidade de negócios, para garantir que 
estes são compatíveis com os seus objetivos de continuidade. 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 28/35 
 
A organização deve conduzir exercícios e testes que 
a) são consistentes com o escopo e os objetivos do SGCN, 
b) são baseados em cenários apropriados, são bem planejados e possuem escopo e objetivos 
claramente definidos, 
c) avaliar em conjunto ao longo do tempo o conteúdo do acordos de continuidade de negócios, 
envolvendo partes interessadas relevantes, 
d) minimizar o risco de interrupção das operações, 
e) após o exercício, produzir relatórios formalizados que contemplem os resultados, recomendações e 
ações para implementar melhorias, 
f) são analisados criticamente com o propósito de promover a melhoria contínua, e 
g) são conduzidos em intervalos planejados ou quando há mudanças significativas dentro da 
organização ou para o ambiente em que opera. 
9 Avaliação de desempenho 
9.1 Monitoramento, medição, análise e avaliação 
9.1.1 Geral 
A organização deve determinar 
a) o que precisa ser monitorado e medido; 
b) os métodos para monitoramento, medição, análise e avaliação, conforme o caso, para assegurar 
resultados válidos; 
c) quando o monitoramento e a medição devem ser realizados, e 
d) quando os resultados do monitoramento e da medição devem ser analisados e avaliados. 
A organização deve manter uma documentação apropriada como evidência dos resultados. 
A organização deve avaliar o desempenho e a eficácia do SGCN. 
Adicionalmente a organização deve 
⎯ agir quando necessário para endereçar tendências adversas ou resultados antes que uma não 
conformidade ocorra, e 
⎯ manter informações relevantes como evidência dos resultados. 
Os procedimentos para monitoração do desempenho devem prever 
⎯ a configuração de métricas de desempenho apropriadas às necessidades da organização; 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 29/35 
 
⎯ monitoração da medida em que a política de continuidade dos negócios da organização, objetivos e 
metas sejam atingidas; 
⎯ desempenho dos processos, procedimentos e funções que protegem suas atividades priorizadas, 
⎯ monitoração da conformidade com esta Norma e os objetivos de continuidade dos negócios; 
⎯ monitoração das evidências históricas de desempenho deficitário no SGCN, e 
⎯ armazenamento de dados e resultados da monitoração e medição para facilitar ações corretivas 
subsequentes. 
NOTA desempenho deficitário pode incluir não conformidade, quase acidentes, alarmes falsos, e incidentes de 
fato. 
9.1.2 Avaliação dos procedimentos de continuidade dos negócios 
a) A organização deve conduzir avaliações de seus procedimentos e capacidades de continuidade dos 
negócios de forma a assegurar sua contínua aptidão, adequação e eficácia; 
b) Essas avaliações devem ser realizadas através de análises críticas periódicas, exercícios, testas, 
relatórios pós-incidente e avaliações de desempenho. Mudanças significativas decorrentes devem ser 
refletidas no(s) procedimento(s) em tempo hábil; 
c) A organização deve avaliar periodicamente a conformidade com requisitos legais e regulatórios, com 
as melhores práticas de sua indústria e com seus objetivos e política(s) de continuidade dos negócios; e 
d) A organização deve conduzir avaliações em intervalos planejados e quando mudanças significantes 
ocorrerem. 
Quando um incidente que cause interrupção e resulte na ativação dos seus procedimentos de 
continuidade dos negócios ocorre, a organização deve realizar uma análise crítica pós-incidente e 
registrar os resultados. 
9.2 Auditoria interna 
A organização deve conduzir auditorias internas em intervalos planejados para prover informações 
sobre se o sistema de gestão de continuidade dos negócios 
a) está em conformidade 
1) com os requisitos próprios da organização para SGCN; 
2) com os requisitos desta Norma, e 
b) está implementado e mantido eficazmente. 
A organização deve 
⎯ planejar, estabelecer, implementar e manter (um) programa de auditoria, inclusive frequência, 
métodos, responsabilidades, requisitos de planejamento e relatórios. O programa de auditoria deve 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 30/35 
 
levar em consideração a importância dos processos relevantes e os resultados das auditorias 
anteriores; 
⎯ definir o critério de auditoria e o escopo para cada auditoria; 
⎯ selecionar auditores e conduzir auditorias para assegurar objetividade e imparcialidade do processo 
de auditoria; 
⎯ assegurar que os resultados das auditorias sejam reportados para a gerência relevante, e 
⎯ manter informações documentadas como evidência da implementação do programa de auditoria e 
os resultados das auditorias. 
O programa de auditoria, incluindo qualquer cronograma, deve ser baseado nos resultados das 
atividades do processo de avaliação de risco da organização, e os no resultado de auditorias anteriores. 
Os procedimentos de auditoria devem cobrir o escopo, frequência, metodologias e competências, bem 
como as responsabilidades e requisitos para a realização de auditorias e comunicação dos resultados. 
A gerência responsável pela área sendo auditada deve garantir que quaisquer correções necessárias e 
ações corretivas sejam realizadas sem demora indevida para eliminar as não conformidades detectadas 
e suas causas. 
As atividades de acompanhamento devem incluir a verificação das ações realizadas e a comunicação 
dos resultados da verificação. 
9.3 Analise crítica pela Direção 
A Alta Direção deve analisar criticamente o SGCN da organização, em intervalos planejados, para 
garantir sua contínua aptidão, adequação e eficácia. 
A análise crítica da gestão deve levar em consideração 
a) o status das ações de análises críticas pelas Direções da gestão anteriores; 
b) as mudanças em questões internas e externas que são relevantes para o sistema de gestão de 
continuidade dos negócios; 
c) informação do desempenho da continuidade dos negócios, inclusive tendências em 
1) não conformidades e ações corretivas; 
2) resultados da avaliação de monitoração e medição e, 
3) resultados de auditoria; 
d) oportunidades de melhoria contínua. 
As análises críticas pela Direção devem considerar o desempenho da organização, inclusive 
⎯ ações de acompanhamento de análises críticas pelas Direções anteriores; 
⎯ a necessidade de mudanças do SGCN, inclusive a política e objetivos; 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 31/35 
 
⎯ oportunidades de melhoria; 
⎯ resultados das auditorias e análises críticas do SGCN, incluindo aquelas de fornecedores chave e 
parceiros, quando apropriado; 
⎯ técnicas, produtos ou procedimento, que podem ser usados na organização para melhorar o 
desempenho e a eficácia do SGCN; 
⎯ status de ações corretivas; 
⎯ resultados de exercícios e testes; 
⎯ riscos ou questões não endereçadas adequadamente em nenhum processo de avaliação de riscos 
anterior; 
⎯ quaisquer mudanças que possam afetar o SGCN, tanto interna quanto externa ao escopo do 
SGCN; 
⎯ adequação da política; 
⎯ recomendações de melhoria; 
⎯ lições aprendidas e ações decorrentes de incidentes que cause interrupção, e 
⎯ boas práticas e orientações emergentes. 
As saídas da análise crítica pela Direção devem incluir decisões relacionadas a oportunidades de 
melhoria contínua e a possível necessidade de mudanças do SGCN, e incluem os seguintes: 
a) variações do escopo do SGCN; 
b) melhoria da eficácia do SGCN;c) atualização do processo de avaliação de riscos, análise de impacto nos negócios, plano de 
continuidade dos negócios e processos relacionados; 
d) modificação de procedimento e controles para responder eventos externos ou internos que possam 
impactar no SGCN, inclusive mudanças em 
1) requisitos operacionais e de negócio; 
2) requisitos de redução de risco e segurança; 
3) condições operacionais e processos; 
4) requisitos legais e regulatórios; 
5) obrigações contratuais; 
6) níveis de risco e/ou critério de aceitação de riscos; 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 32/35 
 
7) necessidades de recurso; 
8) requisitos de orçamento e financiamento; e 
e) como a eficácia dos controles é medida. 
A organização deve manter informações documentadas como evidência dos resultados das análises 
críticas pela Direção. 
A organização deve 
⎯ comunicar os resultados da análise crítica pela Direção para as partes interessadas, e 
⎯ realizar ações apropriadas para os resultados. 
10 Melhoria 
10.1 Não conformidade e ações corretivas 
Quando ocorrer uma não conformidade, a organização deve 
a) identificar a não conformidade, 
b) reagir a não conformidade, e, quando aplicável, 
1) tomar ações para contenção e correção, e 
2) lidar com as consequências. 
c) avaliar a necessidade para a eliminação das causas de não conformidades, de modo que não 
ocorra em outro lugar, através da 
1) análise crítica da não conformidade, 
2) determinação das causas da não conformidade, e 
3) determinação se existe uma não conformidade similar, ou que potencialmente possa ocorrer, 
4) avaliação da necessidade de ações corretivas das não conformidades de modo que elas não 
aconteçam novamente ou em outro lugar 
5) determinação e implantação de ações corretivas necessárias 
6) análise crítica da eficácia de qualquer ação corretiva tomada. 
7) mudanças no SGCN, se necessário. 
d) implantação de qualquer ação necessária, 
e) análise crítica da eficácia de qualquer ação corretiva tomada, 
f) mudanças no SGCN, se necessário. 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 33/35 
 
Ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas. 
A organização deve guardar documentações para evidências da 
⎯ natureza das não conformidades e qualquer ações decorrentes, e 
⎯ dos resultados de qualquer ação corretiva. 
10.2 Melhoria contínua 
A organização deve melhorar continuamente a pertinência, adequação e eficácia do SGCN. 
NOTA A organização pode utilizar dos processos do SGCN, tais como liderança, planejamento e avaliação de 
desempenho, para alcançar o aprimoramento. 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 34/35 
 
Bibliografia 
[1] ABNT NBR ISO 9001, Sistema de gestão de qualidade — Requisitos 
[2] ABNT NBR ISO 14001, Sistema de gestão ambiental — Requisitos com guia para uso 
[3] ABNT NBR ISO 19011, Diretrizes para auditoria de sistema de gestão 
[4] ISO/IEC 20000-1, Tecnologia da informação — Gestão de serviços 
Parte 1: Requisitos do sistema de gestão de serviços 
[5] ISO 22300, Societal security -- Terminology 
[6] ISO/PAS 22399, Societal security - Guideline for incident preparedness and operational continuity 
management 
[7] ISO/IEC 24762, Tecnologia da informação — Técnicas de segurança — Diretrizes para os serviços 
de recuperação após um desastre na tecnologia da informação e comunicação 
[8] ABNT NBR ISO/IEC 27001, Tecnologia da informação - Técnicas de segurança - Sistemas de 
gestão de segurança da informação – Requisitos 
[9] ISO/IEC 27031, Information technology — Security techniques — Guidelines for information and 
communication technology readiness for business continuity 
[10] ABNT NBR ISO 31000, Gestão de riscos — Princípios e diretrizes 
[11] ABNT NBR ISO/IEC 31010, Gestão de riscos — Técnicas para o processo de avaliação de riscos 
[12] ABNT ISO Guia 73, Gestão de riscos — Vocabulário 
[13] BS 25999-1, Business continuity management — Code of practice, British Standards Institution 
(BSI) 
[14] BS 25999-2, Business continuity management — Specification, British Standards Institution (BSI) 
[15] SI 24001, Security and continuity management systems — Requirements and guidance for use, 
Standards Institution of Israel 
[16] NFPA 1600, Standard on disaster/emergency management and business continuity programs, 
National Fire Protection Association (USA) 
[17] Business Continuity Plan Drafting Guideline, Ministry of Economy, Trade and Industry (Japan), 2005 
[18] Business Continuity Guideline, Central Disaster Management Council, Cabinet Office, Government 
of Japan, 2005 
 
ABNT/CEE-68 
PROJETO 63:000.02-001 (ISO 22301) 
MARÇO 2013 
 
NÃO TEM VALOR NORMATIVO 35/35 
 
[19] ANSI/ASIS SPC.1, Organizational Resilience: Security, Preparedness, and Continuity Management 
Systems – Requirements with Guidance for Use 
[20] SS 540 : 2008, Singapore Standard for Business Continuity Management 
[21] ANSI/ASIS/BSI BCM.01, Business Continuity Management Systems: Requirements with Guidance 
for Use 
 
	Segurança da sociedade — Sistema de gestão de continuidade de negócios – Requisitos
	OI TELEMAR
	Fabiano Castello
	Segurança da sociedade — Sistema de gestão de continuidade de negócios – Requisitos
	Societal security – Business continuity management systems - Requirements
	0.1 Geral
	0.2 O modelo “Plan-Do-Check-Act” (PDCA)
	0.3 Componentes do PDCA nesta Norma
	1 Escopo
	2 Referências normativas
	3 Termos e definições
	4 Contexto da organização
	4.1 Entendendo a organização e seu contexto
	4.2 Entendendo as necessidades e expectativas das partes interessadas
	4.2.1 Geral
	4.2.2 Requisitos legais e regulatórios
	4.3 Determinando o escopo do sistema de gestão de continuidade de negócios
	4.3.1 Geral
	4.3.2 Escopo do SGCN
	4.4 Sistema de gerenciamento de continuidade dos negócios
	5 Liderança
	5.1 Liderança e comprometimento
	5.2 Comprometimento da Direção 
	5.3 Política
	5.4 Papéis, responsabilidades e autoridades organizacionais
	6 Planejamento
	6.1 Ações para direcionar riscos e oportunidades
	6.2 Objetivos de continuidade de negócios e planos para alcançá-los
	7 Suporte
	7.1 Recursos
	7.2 Competência
	7.4 Comunicação
	7.5 Informação documentada
	7.5.1 Geral
	7.5.2 Criando e atualizando
	7.5.3 Controle de informações documentadas
	8 Operação
	8.1 Planejamento e controle operacional
	8.2 Análise de impacto nos negócios e processo de avaliação de riscos
	8.2.1 Geral
	8.2.2 Análise de impacto nos negócios
	8.2.3 Processo de avaliação de riscos
	8.3 Estratégia de continuidade de negócios
	8.3.1 Definindo e selecionando
	8.3.2 Determinação dos recursos necessários
	8.3.3 Proteção e mitigação
	8.4 Estabelecendo e implementando procedimentos de continuidade de negócios
	8.4.1 Geral
	8.4.2 Estrutura de resposta a incidentes
	8.4.3 Aviso e comunicação
	8.4.4 Planos de continuidade de negócios
	8.4.5 Recuperação
	8.5 Exercitando e testando
	9 Avaliação de desempenho
	9.1 Monitoramento, medição, análise e avaliação
	9.1.1 Geral
	9.1.2 Avaliação dos procedimentos de continuidade dos negócios
	9.2 Auditoria interna
	9.3 Analise crítica pela Direção
	10 Melhoria
	10.1 Não conformidade e ações corretivas
	10.2 Melhoria contínua

Outros materiais