Sua empresa está preparada para as diversas ameaças como ataques cibernéticos, desastres climáticos, falhas no ambiente de TI e outros eventos que podem interromper a continuidade da organização? Para apoiar as organizações a se prepararem para estas ameaças e garantir a segurança e resiliência organizacional, foi desenvolvida a norma internacional ISO 22301 - Segurança e resiliência - Sistema de gestão de continuidade de negócios - Requisitos.

No Brasil, publicada como ABNT NBR ISO 22301:2020, a norma brasileira é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à versão internacional. Especifica uma estrutura e requisitos para a implementação e manutenção de um Sistema de Gestão de Continuidade de Negócios (SGCN), para identificar e tratar os riscos disruptivos de uma organização, garantindo que seus processos e sistemas críticos continuem operando e que esteja preparada para reagir e responder de forma rápida e eficaz as eventuais interrupções inesperadas nos negócios.

“Aumentar a resiliência deve ser um foco importante para as organizações, principalmente à luz da experiência do COVID-19”

James Crask

Coordenador do ISO/TC 292,

Comitê Internacional da ISO para segurança e resiliência.

Aplicável a todos os tipos de organizações, independentemente do tamanho, setor ou natureza do negócio, a ISO 22301 estabelece requisitos que podem ser utilizados por uma organização para implementar um SGCN e para avaliar ou demonstrar a sua conformidade. A norma pode também ser utilizada por clientes, partes interessadas, órgãos reguladores e de certificação, para avaliar a capacidade de uma organização, produtos e serviços fornecidos, no atendimento aos requisitos legais ou regulatórios de continuidade de negócios.

Publicada em 2019, a norma atual cancelou e substituiu a versão anterior de 2013, que foi tecnicamente revisada. Além de clarificar melhor os requisitos e termos específicos da disciplina de continuidade de negócios, as principais alterações em comparação com a edição

passada foram a reorganização do documento e alinhamento com a estrutura das outras normas de sistema de gestão da ISO.

Seguindo o padrão de outras normas de gestão, a ISO 22301 adota o ciclo PDCA (“Plan-Do-Check-Act”) e requer que o SGCN possua uma política, pessoal competente com responsabilidades definidas, processos de gestão e documentações que apoiem o controle operacional e avaliação de desempenho.

Os requisitos do SGCN estão distribuídos no documento entre as Seções 4 a 10, e abrangem os seguintes componentes:

• Requisitos para estabelecer o contexto do SGCN, como se aplica na organização, bem como as suas necessidades, requisitos e escopo.
• Requisitos específicos para o papel da Alta Direção e como a liderança articula as suas expectativas para a organização por meio de uma declaração de política.
• Requisitos para o planejamento e aplicação de objetivos estratégicos e princípios direcionadores para o SGCN como um todo.
• Apoio as operações do SGCN relacionados ao estabelecimento de competências e comunicação, conforme a necessidade das partes interessadas, enquanto documenta, controla, mantém e retém as informações documentadas requeridas.
• Levantamento de necessidades para a continuidade de negócios, determinando como abordá-los e como desenvolver procedimentos para gerenciar a organização durante uma disrupção.
• Requisitos para medir o desempenho da gestão de continuidade de negócios, a conformidade com a ISO 22301 e a condução da análise crítica pela direção.
• Identificação de aspectos que não estejam em conformidade e melhoria contínua por meio de ações corretivas.

Como benefícios de implementar e manter um SGCN, a norma destaca ganhos nas perspectivas do negócio, financeira, partes interessadas e processos internos.