Checklist of ISO 22301 Mandatory Documentation PT

10

Click here to load reader

description

checklist de documentos obrigatórios da ISO 22301

Transcript of Checklist of ISO 22301 Mandatory Documentation PT

  • Artigo: Lista de verificao dos documentos

    obrigatrios da ISO 22301

    Copyright 2014 27001Academy. Todos direitos reservados.

    ARTIGO 6 de agosto de 2014

  • Copyright 2014 27001Academy. Todos direitos reservados. 2

    1. SUMRIO EXECUTIVO

    A lista abaixo mostra o conjunto mnimo de documentos e registros requeridos pela ISO 22301:2012 (a

    norma se refere a documentos e registros como informao documentada):

    Documentos e registros Nmero da clusula na ISO 22301

    Determinado o contexto da organizao 4.1

    Procedimento para identificao de requisitos legais e regulatrios aplicveis 4.2.2

    Lista de requisitos legais, regulatrios e outros 4.2.2

    Escopo do SGCN (Sistema de Gesto de Continuidade de Negcio) e explicao das excluses 4.3

    Poltica de continuidade de negcio 5.3

    Objetivos de continuidade de negcio 6.2

    Competncias de pessoal 7.2

    Comunicao com partes interessadas 7.4

    Processos para anlise de impacto no negcio e levantamento de risco 8.2.1

    Resultados de anlises de impacto no negcio 8.2.2

    Resultados de levantamentos de riscos 8.2.3

    Procedimentos de continuidade de negcio 8.4.1

    Procedimentos de resposta a incidente 8.4.2

    Deciso se riscos e impactos devem ser comunicados externamente 8.4.2

    Comunicao com partes interessadas, incluindo sistemas nacionais ou regionais de alerta sobre riscos 8.4.3

    Registros de informaes importantes sobre incidentes e aes e decises tomadas 8.4.3

  • Copyright 2014 27001Academy. Todos direitos reservados. 3

    Procedimentos para responder a incidentes disruptivos 8.4.4

    Procedimentos para restaurar e retornar negcios operando sob medidas temporrias

    8.4.5

    Resultados de aes direcionadas a tratativa de tendncias ou resultados adversos

    9.1.1

    Dados e resultados de monitoramento e medio 9.1.1

    Resultados de anlises crticas ps incidente 9.1.2

    Resultados de auditorias internas 9.2

    Resultados de anlises crticas pela administrao 9.3

    Natureza das no conformidades e aes tomadas 10.1

    Resultados de aes corretivas 10.1

    De nenhuma forma esta uma lista definitiva de documentos e registros que podem ser usados durante a

    implementao da ISO 22301 a norma permite que quaisquer documentos sejam adicionados para

    melhorar o nvel de resilincia.

    2. Documentos no obrigatrios comumente

    utilizados

    Outros documentos frequentemente utilizados so os seguintes:

    Documentos Nmero da clusula da ISO 22301

    Implementao de plano para atingir os objetivos de continuidade do negcio

    6.2

    Plano de treinamento e conscientizao 7.2 e 7.3

    Procedimento para controle de informao documentada 7.5

    Contratos e acordos de nvel de servio (service level agreements SLAs) com fornecedores e parceiros em terceirizaes

    8.1

    Estratgia de continuidade de negcio 8.3

    Mitigao de risco 8.3.3

    Cenrios de incidente 8.5

  • Copyright 2014 27001Academy. Todos direitos reservados. 4

    Planos de exerccio e de testes 8.5

    Relatrio ps-exerccio 8.5

    Plano de manuteno do SGCN 9.1.1

    Mtodos para monitoramento, medio, anlise e avaliao 9.1.1

    Procedimento para auditoria interna 9.2

    Programa de auditoria interna 9.2

    Procedimento para ao corretiva 10.1

    3. Como estruturar documentos e registros

    Determinado o contexto da organizao (4.1)

    O contexto geralmente determinado atravs de diversos documentos, como por exemplo, procedimento

    para identificao de requisitos, poltica de continuidade de negcio, metodologia de anlise de impacto no

    negcio, metodologia de levantamento de riscos, etc.

    Em outras palavras, voc geralmente no produzir um nico documento para determinao do contexto, ao

    invs disso, voc ir documentar o contexto atravs de diversos outros documentos apropriados.

    Procedimento para identificao de requisitos legais e regulatrios aplicveis & lista de

    requisitos legais, regulatrio e outros (4.2.2)

    Este geralmente um procedimento muito curto que define quem responsvel pela conformidade: quem

    deve identificar todas as partes interessadas, quem deve seguir todas as leis, regulamentaes e outros

    requisitos de partes interessadas, quem ser o responsvel por assegurar a conformidade com os requisitos,

    como estes requisitos sero comunicados, etc.

    Este procedimento, e a lista resultante, deveria ser definido logo no incio do projeto, porque ele prover

    entradas para todo o SGCN.

    Leia mais aqui: Como identificar partes interessadas de acordo com a ISO 27001 e ISO 22301.

    Escopo do SGCN e explicao de excluses (4.3)

    Este documento tambm muito curto, e deveria ser escrito no comeo do projeto de continuidade de

    negcio. Ele deveria definir claramente para quais partes da sua organizao o SGCN ser aplicado, baseado

    na identificao de requisitos e aspiraes da organizao. Ele deveria tambm explicar a razo pela qual

    algumas partes da sua organizao foram excludas do escopo.

    Muito frequentemente, este documento integrado a poltica de continuidade de negcio.

    Poltica de continuidade de negcio e objetivos de continuidade de negcio (5.3, 6.2)

    Este o documento central a partir do qual a alta administrao deveria declarar o que eles querem atingir

    como o SGCN, e como eles iro control-lo. Muito frequentemente, a alta administrao aprovar apenas

  • Copyright 2014 27001Academy. Todos direitos reservados. 5

    este documento de alto nvel, enquanto outros documentos do SGCN so aprovados por gerente de nveis

    mais baixos.

    Este documento muito curto, e organizaes de pequeno e mdio porte geralmente unificam o escopo a ele,

    assim como os objetivos do SGCN; organizaes maiores normalmente teriam o escopo e objetivos como

    documentos separados.

    Os objetivos do SGCN no deveriam ser misturados com Tempos Objetivo de Recuperao (Recovery Time

    Objectives RTOs) objetivos de um SGCN so definidos para o SGCN como um todo, no para as

    atividades.

    Leia mais aqui: The purpose of Business continuity policy according to ISO 22301.

    Planos de treinamento e conscientizao; competncias de pessoal (7.2, 7.3)

    Estes planos so geralmente desenvolvidos anualmente, e so normalmente desenvolvidos pela pessoa

    responsvel pela continuidade do negcio em conjunto com o departamento de recursos humanos (se voc

    possui um). Registros de competncia so geralmente mantidos pelo departamento de recursos humanos

    se voc no possui tal departamento, qualquer um que normalmente mantem os registros de empregados

    deveria estar fazendo este trabalho. Basicamente, uma pasta com todos os documentos contendo estas

    informaes ser o suficiente.

    Leia mais aqui: Como realizar treinamento e conscientizao para a ISO 27001 e ISO 22301.

    Comunicao com partes interessadas (7.4)

    Tal comunicao geralmente vem em diferentes formas: email, correio, telefone, etc.

    Documentar a comunicao muito fcil voc precisa apenas manter cpias destes emails, cartas,

    documentos etc. em algum tipo de arquivo. Se comunicao foi feita atravs de telefone, uma nota deveria

    ser feita e ento arquivada de acordo com regras pr-definidas.

    Procedimento para controle de informao documentada (7.5)

    Este normalmente um procedimento isolado, de 2 ou 3 pginas. Se voc j implementou alguma outra

    norma como a ISO 9001, ISO 14001, ISO 22301 ou similar, voc pode utilizar o mesmo procedimento para

    todos estes sistemas de gesto. Algumas vezes melhor escrever este procedimento como o primeiro

    documento do projeto.

    Leia mais aqui: Gesto de documentos dentro da ISO 27001 e BS 25999-2.

    Contratos e acordos de nvel de servio (8.1)

    crucial que seus fornecedores e parceiros em terceirizao reajam de forma esperada quando um incidente

    acontece por isso que seria melhor produzir um modelo com os requisitos mnimos de continuidade de

    negcio que deveriam ser inseridos em cada um dos contratos que voc assina com eles.

    Processo para anlise de impacto no negcio e resultados (8.2.1, 8.2.2)

    Antes que voc comece a fazer sua anlise de impacto no negcio (business impact analysis BIA), voc

    precisa definir regras sobre como ela ser feita isto geralmente feito com uma metodologia de anlise de

    impacto no negcio. Tal metodologia deveria ser escrita em 4 ou 5 pginas curta o bastante para ser

    facilmente lida, mas no to curta a ponto de ser vaga.

  • Copyright 2014 27001Academy. Todos direitos reservados. 6

    A coleta de dados para tal anlisepara esta anlise feita atravs de questionrios, que podem ser uma

    simples planilha do excel, ou talvez alguma ferramenta especfica de BCM (Business Continuity

    Management).

    Os resultados do processo de BIA so documentados tanto no relatrio de impacto no negcio (para grandes

    organizaes), ou voc pode sumariz-los na estratgia de continuidade de negcio (esta a verso mais

    curta mais aplicvel para organizaes de pequeno e mdio porte).

    Leia mais aqui: Como implementar a anlise de impacto no negcio (business impact analysis BIA) de

    acordo com a ISO 22301.

    Processo para levantamento de riscos e resultados (8.2.1, 8.2.3)

    Assim como a anlise de impacto no negcio, o levantamento de riscos tambm precisa ser definido antes

    que voc inici-lo, em uma metodologia. Uma vez que a ISO 22301 no especifica os requisitos para o

    levantamento de riscos, voc pode usar a metodologia da ISO 27001 e ISO 27005, uma vez que estas normas

    provavelmente oferecem a melhor metodologia para levantamento de riscos para continuidade do negcio.

    Os resultados do levantamento de riscos deveriam ser documentos em um relatrio de levantamento de

    riscos.

    Aprenda mais aqui: Can ISO 27001 risk assessment be used for ISO 22301?

    Estratgia de continuidade de negcio (8.3)

    Esta uma ligao fundamental entre a anlise de impacto no negcio, o levantamento de riscos e os planos

    seu propsito assegurar que todos os recursos esto disponveis em caso de uma interrupo. Isto

    crucial porque sem todos os recursos, o plano de continuidade de negcio no ser factvel.

    A estratgia de continuidade de negcio geralmente um documento de alto nvel, que contm estratgias

    para cada atividade como apndices.

    Leia mais aqui: A estratgia de continuidade de negcios pode ajud-lo a economizar dinheiro?

    Mitigao de risco & plano de implementao para atingir os objetivos de continuidade de

    negcio (6.2, 8.3.3)

    A mitigao de risco normalmente documentada atravs do plano de tratamento de risco; contudo, mais

    prtico uni-la a um plano de implementao mais abrangente, que incluiria todas as atividades necessrias

    para implementar ao SGCN como um todo.

    Leia mais aqui: Risk Treatment Plan and risk treatment process Whats the difference?

    Procedimentos de continuidade de negcio (8.4.1)

    Falando de forma geral, procedimentos de continuidade de negcio incluem planos de resposta a incidente,

    planos de continuidade de negcio, planos de recuperao de desastre planos de comunicao, etc. Voc pode

    organizar tais documentos dentro de um nico plano de continuidade de negcio, o qual ter apndices para

    cada elemento mencionado.

    Veja mais detalhes neste artigo: Business continuity plan: How to structure it according to ISO 22301.

    Procedimentos de resposta a incidente & registros sobre um incidente (8.4.2, 8.4.3)

    Neste procedimento voc trata todos os riscos principais que sua organizao est enfrentando e, como

    responder inicialmente caso tais incidentes aconteam. Voc pode escrever estes procedimentos em um

  • Copyright 2014 27001Academy. Todos direitos reservados. 7

    nico documento, ou como procedimentos separados um documento para cada incidente potencial. Muito

    frequentemente, estes so escritos em um documento chamado plano de resposta a incidente; tal(is)

    documento(s) pode(m) incluir procedimentos de comunicao, etc. Em outras palavras, estes procedimentos

    podem ser bem extensos.

    Um plano de resposta a incidente deveria definir o mtodo de registrar os fatos sobre o incidente pode ser

    algo to simples quanto notas escritas a mo prximas a cada etapa do plano enquanto ele executado.

    Aprenda mais aqui: Activation procedures for business continuity plan.

    Procedimentos de comunicao (8.4.2, 8.4.3)

    Estes procedimentos devem cobrir decises tais como se os riscos e impactos devem ser comunicados

    externamente, e como comunicar com partes interessadas, particularmente com sistemas nacionais e

    regionais de alerta sobre riscos (por exemplo, alertas de tsunami). Para organizaes de pequeno e mdio

    porte, tais procedimentos sero parte do plano de resposta a incidentes, enquanto que para organizaes de

    grande porte eles sero documentos separados.

    O principal ponto aqui definir claramente quem responsvel por se comunicar com quem, especialmente

    quem est autorizado a se comunicar com a mdia e com as autoridades. Modelos podem ser desenvolvidos

    para se comunicar com a mdia, os quais ajudaro a emitir comunicados (press releases) rapidamente, se

    necessrio.

    Procedimentos para responder a incidentes disruptivos (8.4.4)

    Estes so normalmente procedimentos para recuperao de desastres (focados em como recuperar a

    infraestrutura de tecnologia da informao e comunicao), e procedimentos de recuperao de atividades

    (focados em recuperar o aspecto de negcio da organizao).

    Juntamente como plano de resposta a incidente, estes procedimentos formam a maior parte dos

    procedimentos de continuidade de negcio.

    Leia mai aqui: Recuperao em caso de desastre vs. continuidade de negcios.

    Procedimentos para restaurar e retornar o negcio operando a partir de medidas

    temporrias (8.4.5)

    Em muitos casos, estes procedimentos no sero muito detalhados, porque voc pode no saber de antemo

    que tipo de dano suas instalaes iro sofrer. Desta forma, voc pode definir brevemente de quem ser a

    responsabilidade de avaliar os danos e tomar as decises apropriadas voc pode colocar tais procedimentos

    em seu plano de continuidade de alto nvel.

    Cenrios de incidente (8.5)

    Estas so descries curtas (ou estrias) de como um certo incidente pode se desenrolar e como ele iria

    impactar as atividades da sua organizao.

    Eles deveriam ser desenvolvidos baseados nos resultados de um levantamento de riscos (eles deveriam

    refletir os principais riscos), e pode se adicionado tanto ao plano de exerccios e testes quanto a estratgia de

    continuidade de negcio.

  • Copyright 2014 27001Academy. Todos direitos reservados. 8

    Planos de exerccio e teste & relatrios ps-exerccio (8.5)

    Exerccios e testes so cruciais para a melhoria dos procedimentos de continuidade de negcio

    normalmente, voc deveria realizar execcios e teste ao menos uma vez ao ano, e eles deveriam se tornar mais

    e mais desafiadores a cada ano.

    Cada plano deveria definir os objetivos que devem ser atingidos, e os cenrios; o relatrio deve revelar at

    que ponto estes objetivos foram atingidos.

    Resultados de aes relacionadas a tratativa de tendncias ou resultados adversos (9.1.1)

    Estas aes so refletidas de duas formas: (1) Plano de tratamento de riscos (mencionado anteriormente), e

    (2) aes preventivas.

    Aes preventivas no so obrigatrias na ISO 22301, mas elas existem nas ISO 27001, ISO 9001 e outros

    sistemas de gesto portanto, se voc j possui um procedimento para aes preventivas por causa de outros

    sistemas, voc pode utiliz-lo para o seu SGCN.

    Plano de manuteno do SGCN (9.1.1)

    Uma vez que a documentao do SGCN pode ser bem extensa, e tornar-se obsoleta muito facilmente, uma

    boa prtica definir exatamente quando cada documento ser revisado. Isto pode ser feito por meio de uma

    simples tabela definindo quando cada documentos deveria ser revisado, e por quem.

    Mtodos para monitoramento, medio, anlise e avaliao (9.1.1)

    A forma mais fcil de descrever como o sistema ser medido atravs de poltica e procedimento

    normalmente, esta descrio pode ser escrita ao final de cada documento, e tal descrio define os tipos de

    KPIs (key performance indicators indicadores chave de performance) que precisam ser medidos para cada

    documento.

    Dados e resultados de monitoramento e medio (9.1.1)

    Estres so todos os relatrios, KPIs, resultados no oficiais enviados por e-mail, decises etc. todos estes

    deveriam ser mantidos por um perodo de tempo especificado.

    Resultados de revises ps-incidente (9.1.2)

    O melhor mtodo seria criar um formulrio com todos os dados necessrios de serem levados em conta aps

    um incidente ter ocorrido. Quando tal formulrio preenchido e concluses apropriadas so feitas (se o

    plano de continuidade foi realizado de forma bem sucedida ou no), ele deveria ser mantido por um perodo

    de tempo especificado.

    Procedimento de auditoria interna, programa de auditoria interna e resultados de

    auditorias internas (9.2)

    O procedimento de auditoria interna normalmente um procedimento isolado que pode ter entre 2 e 3

    pginas, e deve ser escrito antes que a auditoria interna tenha incio. Assim como o procedimento para

    controle de documentos, um processo de auditoria interna pode ser usado para qualquer sistema de gesto.

    Um programa de auditoria interna pode ser um documento simples de uma pgina descrevendo quando cada

    auditoria ir ocorrer, e quem ir realiz-la.

    Os resultados das auditoria internas so documentados atravs do relatrio de auditoria interna tal

    relatrio deveria cobrir todas as no conformidades, assim como as obervaes.

  • Copyright 2014 27001Academy. Todos direitos reservados. 9

    Leia mais aqui: Como fazer uma Lista de Verificao para Auditoria Interna da ISO 27001 / ISO 22301.

    Resultados da anlise crtica pela administrao (9.3)

    Estes registos normalmente esto na forma de minutas de reunio Elas devem incluir todos os materiais

    que foram includos na reunio da administrao, assim como todas as decises que foram tomadas. As

    minutas podem estar em formulrio de papel ou digital.

    Leia mais aqui: Por que a anlise crtica pela direo importante para a ISO 27001 e ISO 22301?

    No conformidades e aes corretivas (10.1)

    Geralmente, isto coberto pelo procedimento para aes corretivas se voc j possui certificao em ISO

    27001, ISO 9001 ou utra norma de gesto, ento voc pode utilizar o procedimento existente para este

    propsito.

    Geralmente, tal procedimento no possui mais do que 2 ou 3 pginas. Este procedimento pode ser escrito ao

    final do projeto de implantao, embora seja melhor ser escrito mais cedo, de forma que os empregados

    possam ter tempo de se acostumar a ele.

    Resultados de aes corretivas so tradicionalmente includos em formulrios de ao corretiva (corrective

    action forms CARs). Contudo, muito melhor incluir tais registros em alguma aplicao que j esteja em

    uso na organizao para suportar as atividades de Help Desk por que aes corretivas so nada mais nada

    menos do que listas de coisas a fazer com definies claras de responsabilidades, tarefas e prazos.

    Leia mais aqui: Uso prtico das aes corretivas para a ISO 27001 e ISO 22301.

    4. Amostra de modelos de documentos

    Aqui voc pode baixar uma prvia gratuita de Kit de documentao premium da ISO 27001 e ISO 22301 nesta prvia gratuita voc ser capaz de ver a tabela de contedo de cada plano, polticas e procedimentos, assim como algumas poucas sees de cada documento.

  • Copyright 2014 27001Academy. Todos direitos reservados. 10

    EPPS Services Ltd.

    para negcios eletrnicos e consultoria de negcio

    UI. Vladimira Nazora 59, 10000 Zagreb

    Crocia, Unio Europia

    Email: [email protected]

    Fone: +385 1 48 34 120

    Fone (para cliente nos E.U.A.): +1 (646) 797 2744

    Fax: +385 1 556 0711

    Copyright 2014 27001Academy. Todos direitos reservados.