SEGURANÇA INFORMÁTICA E DAS COMUNICACÇÕES - Ficha …

INSTITUTO SUPERIOR DE TRANSPORTES E COMUNICAÇÕES

1 eVieira: SICO - 2021

SEGURANÇA INFORMÁTICA E DAS COMUNICACÇÕES

- Ficha de Apoio -

CAPÍTULO 4. PLANO DE CONTINUIDADE DO NEGÓCIO E DE RECUPERAÇÃO DO DESASTRE

1. Continuidade do Negócio

2. Guia do Plano de Negócios

3. Compreender o Negócio

4. Avaliar os Riscos /Perigos

5. Desenvolver a Resposta

6. Estabelecer a Cultura de Continuidade

7. Treino e Manutenção do Plano

1. Continuidade de Negócio

Continuidade do negócio é um processo que pode ser aplicado a qualquer organização, pequena

ou grande. Isso ajuda a gerir os riscos que poderiam ameaçar a sobrevivência de uma

organização.

O desenvolvimento de um plano de continuidade do negócio ajuda a garantir que, no caso de

uma emergência, a organização ou organização possa continuar a operar, pelo menos até um

nível mínimo acordado.

Permite que proprietários, gestores e funcionários identifiquem os riscos que interfeririam com

a continuação normal da actividade de uma organização. Por conseguinte, permite a gestão

eficaz desses riscos, para garantir que um nível mínimo aceitável de serviço possa ser alcançado.

É necessário planear a gestão do risco, pois isso ajuda a manter uma organização viável, mesmo

nos momentos mais difíceis. Não pode ter sucesso sem compromisso, comunicação e

cooperação. O Plano de Continuidade de Negócios não vai funcionar sem o envolvimento e a

contribuição do pessoal em todas as áreas de negócio. Todos devem estar atentos ao conteúdo

do plano e seus próprios papéis e responsabilidades dentro dele.

A organização pode estar a trabalhar dentro da sua capacidade, por isso pode parecer excessivo

preparar e manter um plano para o inesperado, porém considere o que aconteceria se hoje, a



organização perde o seu fornecimento de energia eléctrica, pessoal ou acesso às suas instalações

por um período de tempo.

O processo é um ciclo contínuo de avaliação de risco e redução de risco. O plano é simplesmente

o registro escrito do processo que está a ser aplicado ao negócio.

O diagrama a seguir demonstra como a Continuidade do Negócio deve funcionar em uma

organização:

2. Guia do Plano de Negócio

Modelo do plano de negócios.

Compreender o negócio Avaliar os riscos

Desenvolver a Resposta Estabelecer a Cultura de Continuidade

Formação

A página inicial do Plano e as páginas introdutórias devem conter as seguintes informações:



No Guia do Plano de Negocio, a página inicial e as páginas introdutórias devem conter algumas

informações.

Capa

O logotipo da organização, o número da versão, o nome, data em que o plano foi actualizado

pela última vez.

Distribuição

Indicar quem recebeu uma cópia do plano, quantas cópias e onde eles estão localizados (isso irá

garantir saber quem e quantas cópias serão necessárias).

Propriedade/Dono

Identificar quem dentro da organização e dono do Plano e quem é o responsável por actualizar e

distribuir o mesmo.

Referências

Listar outros planos, legislação, política ou orientação que pode ser relevante para o Plano de

Continuidade de Negócios, por exemplo, Plano de Evacuação de Incêndio.

Propósitos e objectivos

Um objectivo genérico e um conjunto de objectivos que devem ser incluídos, estes podem ser

alterados conforme e quando apropriado.

3. Compriender o Negócio

Para desenvolver um Plano de Continuidade de Negócios, é preciso ter uma compreensão

completa da organização. Isso envolve conhecer as principais funções do negócio para que se

possa gerir a continuação dos principais processos e saídas de negócios efectivamente. Em

primeiro lugar, deve-se entender exactamente quais os seus resultados e processos são os mais

críticos, identificando as áreas onde deve-se concentrar os esforços. Este processo é conhecido

como Análise de Impacto Organizacional.



Um modelo de Análise de impacto do negócio é mostrado no Anexo A e as informações relativas

a cada função-chave podem ser encontradas abaixo:

Função chave

É preciso identificar quais são as principais funções/actividades dentro do seu negócio sem o qual

ele deixaria de operar?

É necessário completar uma Análise de Impacto Organizacional para cada uma das

Funções/Equipas de Chave.

Efeito no serviço:

Deve-se considerar a importância da função sobre a sobrevivência do negócio. Deve identificar

os fluxos de trabalho mais importantes e críticos. Concentrar o pessoal disponível e os recursos

na manutenção desses serviços críticos e determinar os prazos necessários para restabelecer

essas funções. É essencial que as prioridades sejam definidas.

Para cada uma das linhas de tempo, identificar qual será o efeito da perda da função-chave.

Por exemplo, a interrupção da função pode afectar no seguinte:

Primeiras 24 horas

Falta de estoque tem impacto nas actividades; e

Falta de espaço de armazenamento.

24 - 48 horas

Corte nas horas de fabricação devido à falta de estoque; e

Reputação da organização danificada.

Até uma semana

Implicações financeiras dos prazos perdidos; e

Precisa terceirizar o trabalho para manter a quota de mercado.



Até 2 semanas

Perda de clientes para concorrentes; e

Redução temporária ou permanente do pessoal.

Recurso necessário para recuperação:

Esta secção visa identificar os recursos e quando exigir. Deve-se considerar os efeitos de perda

de função/serviço.

Número de pessoas/re-atribuição de funções:

Pode-se não precisar que todos os funcionários estejam presentes em uma dada tarefa/função

imediatamente após uma emergência.

Para cada linha de tempo, detalhe-se a quantidade de funcionários que devera existir.

Deslocalização:

As funções individuais podem ser realizadas por funcionários em qualquer outro lugar? Por

exemplo, trabalhar em casa, em outro local dentro da organização, ajuda mútua com outra

organização, etc.

Recursos necessários:

Para cada linha de tempo, deve-se listar os recursos prováveis necessários para ajudar na

recuperação, por exemplo:

Computadores (hardware/software);

Veículos;

Máquinas;

Equipamento de comunicação (telefones fixos/celulares);

Edifícios alternativos; e

Pessoal. Dados necessários: Listar os dados que são essenciais para a entrega do serviço/função-chave, por exemplo:

Detalhes de contacto do cliente;

Detalhes do contacto do fornecedor;



Contactos de manutenção/manutenção e contracto números;

Detalhes do seguro; e

Trabalho em progresso.

A análise de impacto do negócio completada irá ajudá-lo a priorizar a função ou o serviço que

precisa para restabelecer primeiro durante uma emergência.

A análise de Impacto Organizacional pode então ser usada para criar uma Lista de Prioridades

de Função Crítica, um modelo para o qual é mostrado no Anexo B.

4. Avaliar os Riscos/Perigos

Esta secção indica e identifica quais são os riscos/riscos podem afectar a organização. Também identificará

quais processos são mais críticos para os objectivos gerais do negócio e em que ordem de prioridade eles

devem ser recuperados. Ao avaliar seus riscos/riscos, que poderá priorizar o que se pode fazer para reduzir

o risco/perigo.

Existem muitos riscos que podem prejudicar a organização, estes incluem:

Inundações;

Falha de TI/perda de dados;

Incêndio ou explosão;

Acidente de transporte;

Clima extremo;

Perda de instalações;

Perda/falha no equipamento;

Problemas de pessoal/pagamento;

Falha nas medidas de continuidade do negócio dentro da organização contratada para fornecer sua

organização.



Os riscos listados afectarão as organizações e as funções-chave dentro deles em graus variados. Cada um

é diferente, com seu próprio conjunto de desafios de continuidade de negócios.

A Tabela de Análise de Risco/Perigo relaciona os riscos/perigos percebidos para o seu negócio, o impacto,

qualquer mitigação no local e a pontuação da Matriz de Riscos/Perigos.

Risco/Impacto de Perigo:

Listar a interrupção física que pode ser causada;

Listar as implicações financeiras desta interrupção; e

Listar as pessoas afectadas pela interrupção (funcionários, clientes, parceiros, entre outros).

Por exemplo: inundações

Perda de acesso e utilitários (electricidade, telefones, entre outros.);

Dano de água para equipamentos e estoque;

Custo dos danos e/ou multas por poluição;

Funcionários trabalhando no piso térreo; e

Clientes e fornecedores.

Controles no local:

Listar o que ACTUALMENTE faz-se que previne ou reduz a probabilidade e/u o impacto do risco/perigo em

seu negócio:


Monitorar avisos de inundações emitidos pela Agência de Meio Ambiente; e

Seguro para cobrir danos aos equipamentos e locais.

Outros controles possíveis:

Listar as acções ADICIONAIS que podem ser tomadas para prevenir ou reduzir a probabilidade ou o impacto

do risco/perigo em seu negócio:




Deslocar as instalações para um terreno mais alto; e

Sacos de areia armazenados prontos para uso.

O Índice de Matriz de Risco/Perigo é determinado à partir da Tabela de Matriz de Risco/Perigo que identifica

a pontuação e a prioridade de riscos, determinando o impacto que os riscos têm no seu negócio.

Por exemplo:

Probabilidade: ter as instalações de trabalho localizadas em uma planície inundável conhecida, é possível

a probabilidade de inundações nas instalações.

IMPACTO: o impacto da inundação de suas instalações seria significativo para catastróficos.

O Índice de risco é, portanto, impacto para este cenário seria: Muito alto.

Quando concluída, a tabela Matriz de risco mostrará quais são os riscos mais altos para a organização.

Poderá então tomar uma decisão informada quanto a aceitar, monitorar ou tratar os riscos:



Aceitar - Decide que está feliz em "viver com" o risco/perigo;

Monitor - Não está feliz, mas "planeia e vive com o risco, pois o custo para implementar qualquer estratégia

de risco / redução de risco pode superar os benefícios. No entanto, continuou avaliações frequentes são

realizadas para verificar se o risco / perigo não aumenta.

Treat - Tratar o risco/perigo, ou seja, colocar as medidas necessárias para reduzir o impacto ou a

probabilidade porque o risco é muito bom para o negócio.

Não é possível proteger contra todos os riscos, é por isso que é necessário um plano.

Ao longo de todo o processo de decisão sobre a estratégia de continuidade, é importante que a comunicação

e a consulta tenham lugar com todas as partes interessadas, parceiros e partes interessadas.

5. Desenvolver a Resposta

É importante concentrar o planeamento de continuidade de negócios no efeito e não na causa de um

incidente ou evento. Embora a lista de causas que possam potencialmente ameaçar a continuidade do

negócio é infinita, é um pouco mais fácil listar um pequeno número de efeitos prováveis que pode enfrentar

e é isso que precisa planear. O esforço de planeamento deve, portanto, concentrar-se em como lidar com

esses diferentes níveis de efeito, particularmente o pior cenário (se tiver planos robustos para o pior caso,

deve ser capaz de lidar com o resto).

A gama de efeitos que deve estar planeada e incluir a maioria, se não todos itens a seguir:

Negar o acesso a um edifício ou edifícios;

Negar o acesso a uma parte do edifício;

Prevenção de pessoal (crítico) de começar a trabalhar (perda de transporte infra-estrutura ou lesão);

Negar o uso de equipamentos críticos;

Negar o uso de sistemas críticos; e

Negar o acesso a dados críticos.



Ao decidir qual a melhor forma de elaborar o Plano de Continuidade de Negócios, é preciso ter em conta a

forma como ele se encaixa com outras questões de gestão relacionadas e o quadro de planeamento

existente.

O Plano de Continuidade de Negócios não precisa ser um documento excessivamente longo, mas precisa

cobrir algumas áreas importantes:

Uma declaração que explica a necessidade de gestão e planeamento de continuidade de negócios eficazes.

Uma declaração indicando onde as responsabilidades são responsáveis pela gestão efectiva da continuidade do negócio e pelo planeamento associado.

Explique como a continuidade do negócio se vincula a outras actividades de planeamento de gestão.

Estado onde as prioridades de Continuidade de Negócios se sentam, mostrando:

O que funciona, se for o caso, como uma organização precisa fazer em apoio a resultados e processos críticos de negócios identificados?

O nível mínimo de recursos e a identificação desses recursos, necessários para

cumprir os níveis mínimos de desempenho, por exemplo, mão-de-obra, infra-estrutura/edifícios e sistemas?

Quais são os planos de contingência que existem em relação a sistemas

corporativos e de TI e de comunicação críticos e se eles são adequados?

Quais são os riscos/riscos de Continuidade de Negócio evidentes existem localmente e quais são as medidas de redução de risco ou mitigação, se houver, estão a ser tomadas?

Assegurar que empreiteiros /fornecedores externos tenham planos de continuidade

de negócios sólidos para garantir a continuidade do serviço?

O que as actividades de comunicação e conscientização da Continuidade do Negócio são planeadas dentro do negócio, incluindo testes e exercícios do Plano de Continuidade do Negócio ou elementos dele?

Com que frequência o Plano de Continuidade do Negócio e as estratégias devem

ser revistas?



Como o Plano de Continuidade do Negócio se encaixa com outros planos de gestão e onde cabe responsabilidades específicas?

Como os funcionários com responsabilidades de Continuidade de Negócios

cooperam com outros no local e onde as responsabilidades estão no tratamento de um evento de emergência?

Tendo determinado o Índice de Matriz de Risco/Perigo usando a Tabela de Matriz de Risco/Perigo, é preciso

desenvolver uma lista genérica de acções que possam ser apropriadas quando ocorre uma emergência. A

lista de verificação mostrada no Anexo C foi projectada para se adaptar ao seu negócio. Esta lista de

verificação pode ser usada durante uma emergência para garantir que nenhuma tarefa importante seja

esquecida.

Manter um registro das acções tomadas:

É essencial manter um registo das acções tomadas e as decisões tomadas. Cada entrada deve ser

cronometrada. Esta informação será vital se você tiver que corroborar as acções ou decisões que você fez,

em um tribunal de justiça.

Uma cópia em branco de um exemplo de uma folha de registo está localizada no final do Modelo do Plano

para uso durante uma emergência.

Liaise com os Serviços de Emergência:

Se os Serviços de Emergência estiverem envolvidos no incidente é necessário nomear alguém da

organização para actuar como um oficial de ligação. Esta pessoa precisa passar informações entre a

emergência. Resposta de serviços e sua Resposta e Recuperação Equipe.

Avaliação do dano:

Deve ser mais o mais rápido possível, e somente se for seguro fazê-lo, deve ser feita uma avaliação quanto

à extensão dos danos causados pela emergência.

Considerar e documentar o seguinte:

Lesão para funcionários, empreiteiros, público;

Danos à construção;

Danos à planta/equipamento/veículos;



Dano ao estoque; e

Dano à reputação.

Identificar funções interrompidas:

Documento sobre quais são as funções ou áreas que foram interrompidas e a extensão da

interrupção.

Convide sua equipe de recuperação de negócios:

É necessária pré-identificar de quem (juntamente com um alternativo, se o seu negócio é grande o

suficiente), dentro da sua organização, formará o tempo que irá gerenciar. A resposta e recuperação da

emergência.

Se a emergência for tal que precisa chamar a equipe, deve ser feito o mais rápido possível.

Uma ajuda - Uma folha de contacto adicional na parte de trás do plano pode ser usado para identificar a

Resposta e a Equipe de Recuperação e suas tarefas/funções.

Fornecer informações para a equipe

É essencial manter a equipe informada sobre a emergência e acções de resposta a serem tomadas. O

pessoal pode estar preocupado com:

Colegas que podem estar feridos;

O que se espera deles hoje?

Será que eles deveriam trabalhar amanhã?

Seu pagamento será afetado?

Quais são as suas perspectivas de segurança no trabalho?



Considere oferecer um número de linha de ajuda para a equipe ligar ou, dependendo da escala e tipo de

emergência, tenha um anúncio, e-mail, intranet e avisos na Recepção/cantina, rádio local ou telefone para

todos funcionários. Lembre-se de fornecer informações rapidamente, que ajudará a parar com os rumores!

Decidir um curso de acção:

Decidir o que precisa fazer e produzir um Plano de acção. Use a Lista de prioridades das funções principais

e analisar o impacto do negócio para ajudá-lo.

Comunicar decisões ao pessoal e às organizações parceiras:

A comunicação é vital, deixe informado o pessoal e os parceiros de negócios em relação ao se decidiu fazer.

Fornecer informações públicas para manter a reputação e o negócio:

Nomear um membro da equipe para actuar como “mídia” representante. Esta pessoa deve ser formada em

como lidar com a ”mídia” e ter autoridade para responder as perguntas sobre a emergência e os negócios

em geral.

O representante de ”mídia” deve trabalhar em colaboração com a ”mídia” de serviços de emergência Oficial,

se possível.

Uma declaração de retenção pode ser pré-preparada para o negócio, então só precisa "preencher os

espaços em branco" na época. Um exemplo de declaração de retenção pode ser encontrado no modelo do

plano.

Organizar um relato e revisão do Plano de Continuidade de Negócios:

Após qualquer emergência significativa, é importante realizar um esclarecimento para estabelecer se alguma

melhoria foi identificada e alterar seu Plano de Continuidade de Negócios de acordo. Compartilhar as licções

identificadas para todos os interessados.

A próxima secção do Plano deve ser a lista de contatos principais que mostra o nome, marcação chave,

números de função e contato (fixo e móvel) para os principais actores da equipe de resposta da organização



durante uma emergência. Também pode ser útil ter um número de contacto para cada membro do pessoal

da organização.

Além disso, deve haver listas de contactos relevantes para o negócio, conforme mostrado nos Anexos G, H

e I, abrangendo os principais fornecedores, usuários de serviços e contactos importantes.

De acordo com a Lei de Proteção de Dados, é preciso garantir que tenha permissão para armazenar

informações pessoais, como números de contacto em casa da sua equipe.

A secção final do plano é uma folha de log para usar durante uma emergência. Um exemplo de uma folha

de registro pode ser encontrado no anexo E.

6. Estabelecer a Cultura de Continuidade

As organizações com funcionários que apreciam a importância da continuidade do negócio são mais

propensas a fazer observações e decisões do dia-a-dia que aumentam a resiliência dos processos e

sistemas de negócios. Isso, obviamente, tem um impacto positivo na organização.

Envolva pessoal no desenvolvimento e seus planos. Muitas vezes podem ser uma fonte de informações

relevantes e boas ideias. Após uma emergência, sua cooperação e entusiasmo serão inestimáveis. Se eles

ajudaram na construção do plano, eles são mais propensos a querer fazer parte da implementação.

Aqui estão algumas coisas que você poderia fazer para aumentar a conscientização sobre os planos e os

arranjos locais:

Todos devem ter acesso ao Plano de Continuidade de Negócios. Se necessário, deve ter-se duas versões:

uma versão com todos os dados pessoais sensíveis para aqueles que precisam desse nível de detalhe e

uma versão abreviada para o resto de seus funcionários;

Socializar o plano com a equipe regularmente para que eles saibam o que pode ser esperado, se ocorrer

uma emergência e entender o que eles mesmos precisam fazer;



Informe as funções críticas das funções do status de continuidade de negócios. Se eles não sabem, eles

podem não estar lá quando você precisar deles.

Informar o pessoal não crítico do status de continuidade de seus negócios. Observar também a moral -

enfatizar que não-crítico não significa menos importante. Se alguns dos funcionários críticos são vítimas da

emergência e não conseguem cumprir seu papel dentro do Plano de Continuidade do Negócio, dependerá

do resto para avançar para preencher as lacunas - eles têm, portanto, a mesma importância.

Incluir a continuidade do negócio como um tópico em certos encontros das equipas;

Actualizar o material de indução pessoal para incluir arranjos de continuidade de negócios;

Considerar e produzir um pequeno cartão de informações, talvez de tamanho de um cartão de

crédito, para que todos os funcionários possam transportar detalhando os números básicos de

emergência e outras informações relevantes sobre a continuidade do negócio;

Considerar produzir uma exibição estática e posicioná-la regularmente na construção de entradas

ou outras áreas compartilhadas, lembrando o pessoal de arranjos de continuidade de negócios e

prováveis respostas de recuperação; e

Divulgar todas as sessões de treino que se tenha a equipe interessada. Existem publicações

internas que podem ser usadas para anunciar suas principais atividades de continuidade de

negócios?

7. Treino e manutenção do Plano

É importante que, uma vez que o plano esteja escrito, deve-se testar os procedimentos que foram colocados

no lugar. Não importa o quão bem concebido e pensado seja o seu plano, um exercício de treino robusto e

realista poderá identificar áreas de melhoria. Por outro lado, um exercício complementar impecável é mais

provável que indique uma falha na formação e exercício, na medida em que não é realista ou desafiador o

suficiente, do que confirmar a adequação do seu plano.



Antes que um plano possa ser testado, o pessoal precisará estar familiarizado com o conteúdo do plano e

seu papel na resposta e recuperação. Isso pode ser feito no formato de leitura do plano em conjunto e

discutir como aplicá-lo a um cenário de ficção.

Quando se está confiante de que a equipe compreende o plano, deve-se testar o plano actuando em um

cenário realista e provável. Isso pode ser pré-planeado e funcionado no programa da organização.

A realização de exercícios de treinamento só é útil se houver métodos para identificar quaisquer fraquezas

ou, para exemplos de boas práticas ou práticas de trabalho gerais, em outros lugares que não estão incluídos

no plano para serem devolvidos no plano. Após o treinamento, um relatório de exercícios deve ser

completado para cada actividade, com acções identificadas e individual/equipes encarregadas de

implementar as acções.

Além dos exercícios de treinamento agendados, deve-se estar pronto para rever o Plano de Continuidade

de Negócios sempre que a organização sofrer uma mudança significativa, por exemplo:

A instalação de um novo sistema de TI;

A mudança para um novo edifício ou site, ou

A incorporação de activos, prédios ou equipamentos adicionais.

Qualquer um desses eventos provavelmente irá criar alterações ao plano, ou todo o plano fica descartado.

O Plano de Continuidade do Negócio é um processo intenso e contínuo e é a preocupação e a

responsabilidade de todos melhorar a resiliência dos negócios. Qualquer plano de continuidade do negócio

deve ser revisto e testado regularmente para garantir que ele permaneça actualizado e eficaz. Ele deve ser

considerado uma ferramenta essencial para permitir que a organização continue a prosperar.



Inserir

Corporativo

Logotipo

Inserir nome da organização

Plano de Continuidade de Negócios



Encontro: _________________ Versão: _______________

Índice

Sujeito Capa Índice Página de alteração Introdução Lista de distribuição Proprietário do documento Referências e documentos relacionados Objetivo deste plano Objetivos Plano de continuidade de negócios Anexo A - Análise de impacto do negócio Anexo B - Lista de Prioridades de Função Crítica Anexo C - Tabela de Análise de Riscos/Perigos Anexo D - Lista de verificação de resposta de emergência Anexo E - Folha de registro Anexo F - Lista de contatos da equipe de resposta e recuperação Anexo G - Gestão de Continuidade de Negócios Lista de Contatos Essencial Anexo H - Lista de contatos do pessoal Anexo I - Exemplo de uma declaração de retenção

Página



Página de alteração

Número da alteração

Inserido por Data Inserida Número da alteração

Inserido por Data Inserida

Introdução

Faça uma rápida introdução ao Plano de Continuidade de Negócios, por que foi desenvolvido e o

que você espera e de sua equipe. Dedique uma página inteira a esta seção para dar mais impacto

e colocar sua assinatura nesta seção do plano.

Lista de distribuição

Nome Localização Número de cópia

001 002 003 004 005 etc.



Proprietário do documento

Caso tenha alteração sugerida neste plano, notifique:

JB Bloggs - R & D Branch - Extensão 2478

Referências e documentos relacionados 1. Título do documento. 2. Etc 3. Etc Objetivo deste plano Para preparar esta organização para lidar com os efeitos de uma emergência, entre outros. Objectivos

Para definir e priorizar as funções críticas da organização;

Para analisar os riscos de emergência para o negócio;

Para detalhar a resposta a uma emergência;

Identificar contatos importantes durante uma emergência;

Entre outros. Plano de continuidade de negócios Este é o texto principal do seu plano sobre como mitigar qualquer emergência que ocorra com a sua organização. Nela, você define como você como organização e quem dentro da organização fará isso. As ferramentas que você usou (por exemplo, análise de impacto de negócios, lista de prioridade de função crítica, etc.) para produzir o plano devem ser inseridas como Anexos ao documento principal.



Este plano deve ser abrangente o suficiente para cobrir todas as eventualidades que você destacou em suas investigações e observadas em seus anexos. O plano deve ter sua assinatura no final, antes dos anexos.

Anexo A Análise de impacto comercial

Função crítica: Efeito no serviço:

Tempo Efeito no serviço

Primeiras 24 horas

* * *

24 - 48 horas

* * *

Até 1 semana

* * *

Até 2 semanas

* * *

Requisito de Recursos para Recuperação:

Tempo Número de funcionários

Mudança? Recursos necessários

Data necessária

Primeiras 24

horas

* * *

* * *

24 - 48 horas

* * *

* * *

Até 1 semana

* * *

* * *

Até 2 semanas

* * *

* * *



Anexo B

Lista de Prioridades de Função Crítica

Prioridade Função crítica 1 2 3 4 5 6 7 8 9 10 etc



Anexo C Tabela de Análise de Riscos / Perigos Usando a tabela de análise de risco Pontuação Risk/Hazzard Matrix VH = Muito alto H = Alto M = Médio eu = Baixo

Perigo Impacto Mitigação no lugar

Mitigação Possível

(incluindo opções de ajuda

mútua)

Matriz de risco Ponto

Perda de TI

* * * * *

* * * * *

* * * * *

Acesso ao prédio

* * * * *

* * * * *

* * * * *

Perda de utilidade

* * * * *

* * * * *

* * * * *

Perda de Fornecedor

* * * * *

* * * * *

* * * * *

Perda de pessoal

* * * * *

* * * * *

* * * * *

Perda de telecomunicacções

* * * * *

* * * * *

* * * * *



Anexo D Lista de verificação de resposta de emergência Para uso durante uma emergência * Iniciar um registro de acções tomadas:

* Avalie as necessidades dos usuários do serviço/paciente e os perigos/problemas imediatos a serem abordados, incluindo necessidades médicas, necessidades de cuidados, transporte, entre outros.

* Liaise com serviços de emergência:

* Verifique se todos são contabilizados usando listas de contatos do pessoal e listas de pacientes

* Identificar qualquer dano:

* Verificar a lista de distribuição de medicamentos para os horários e medicamentos críticos necessários e garantir a manutenção do cronograma

* Identificar funções interrompidas:

* Ligue os decisores da sua organização juntos (sua equipe de resposta)

* Fornecer informacções ao pessoal:

* Decidir no curso da acção:

* Comunicar decisões a funcionários e parceiros de negócios:

* Fornecer informacções públicas para manter reputação e negócios:

* Organizar um esclarecimento:

* Rever o Plano de Gestão de Continuidade de Negócios:



Anexo E Registro de decisões tomadas

TEMPO (24

horas)

A

PARTIR DE

PARA

EVENTO

MEDIDA TOMADA

AÇÃO POR

(NOME)

ASSINATURA

TEMPO (24

horas)



Anexo F

Lista de contactos da equipe de resposta e recuperação

Nome Compromisso Número do escritório

Número de celular

Endereço

Anexo G

Continuidade do Negócio Fornecedores principais Lista de contatos

Serviço Provedor de serviço

Contato Nome

Número do escritório

Móvel Número



Anexo H Detalhes do contato do usuário do serviço

Nome (e endereço, se

aplicável)

Condições saudáveis

Alergias Descendente e detalhes de

contato

Número

Definir os detalhes do usuário do serviço dentro de um plano de continuidade do negócio pode

não ser a maneira mais eficaz de garantir que os detalhes estarão disponíveis durante um

incidente devido à alta mudança e alteração da imagem. Se for esse o caso, é importante

proteger o armazenamento desses detalhes para garantir que eles estejam acessíveis durante

um incidente. Considere como você poderia aceder os dados do paciente em tempo hábil, se

houvesse perda de acesso a um edifício, um sistema de registros eletrônicos, um sistema de

backup de papel ou uma perda de todas as três opções. Esta seção deve ser usada para posicionar

onde os dados do paciente são armazenados e as fontes alternativas para garantir que os dados

sejam resilientes.

Anexo I Detalhes de contato principais (Inclua aqui os detalhes de contato das autoridades locais que você precisa, NHS, médicos, PCT, organizações de serviços públicos, entre outros.)

Nome Organização Número e número

alternativo

Endereço Informacções adicionais (números de referência do cliente, entre outros.)



Anexo J Lista de contatos do pessoal

Nome Número de casa Número de celular Endereço

Anexo K

Exemplo de uma declaração de retenção 1. (Nome da Organização) é uma organização (pequena média/grande) (independente /familiar) que emprega ________ pessoal que presta serviços de atendimento para pessoas X. 2. É com (arrependimento) que (Explicação sobre o incidente ocorreu). Ou, 2. Hoje em (Hora), (Explicação sobre o ocorrido). Ou, 2. Estamos em contato com o (famílias /clientes/contratados/fornecedores, entre outros. para garantir tranquilizá-los (dependendo da natureza do incidente). 3. A organização tem uma linha de ajuda que é (número de telefone). 4. Quando mais informações estiverem disponíveis, informaremos a todos (colocar em que meios de comunicação).



Uma vez que a declaração tenha sido aprovada, não se sinta atraída para responder as perguntas no local. Indique que você deve retornar à organização para ajudar a implementar qualquer plano em andamento, questionários diretos para a linha de atendimento. Tenha um documento pré-preparado de uma página que indique exatamente o que sua organização faz, para a imprensa/mídia tirar. Isso irá concentrar todos os relatórios que publiquem, ou ar sobre sua organização com base em factualmente e não sobre a suposição.

Anexo L Arranjos de auxílio mútuo Identifique aqui os detalhes de qualquer acordo de ajuda mútua formal ou informal que tenha sido implementado dentro da sua organização (por exemplo, entre duas casas próximas) ou com outra organização.

O auxílio mútuo será

fornecido

O que não será coberto

Por quem

Escala de tempo para

provisão

Detalhes de contato

e endereço

Arranjos de compensação financeira

SEGURANÇA INFORMÁTICA E DAS COMUNICACÇÕES - Ficha …

Documents

Transcript of SEGURANÇA INFORMÁTICA E DAS COMUNICACÇÕES - Ficha …