Como usar a ISO 22301 para implementar a continuidade de negócio na ISO 27001

how to Um dos maiores mistérios na implementação da ISO 27001 é a seção A.17 do Anexo A, que trata da gestão da continuidade do negócio. Como a continuidade do negócio se relaciona à segurança da informação, e por que ela é incluída na ISO 27001? Infelizmente, a ISO 27001 não prove muitos detalhes quando se trata de continuidade de negócio.

Para aumentar a confusão, a ISO 27001 fala sobre “aspectos de segurança da informação na gestão da continuidade de negócio” – o que isto significa? Basicamente, isto quer dizer que uma organização deveria possibilitar que sua segurança da informação continuasse a operar após um incidente; contudo, uma vez que a segurança da informação por si só (sem os principais processos de negócio e de TI) não faz sentido, organizações tipicamente planejam sua continuidade de negócio para todas as operações importantes tanto de negócio quanto de TI).

Como a ISO 27001 e ISO 22301 são similares?

Primeiro de tudo, segurança da informação e continuidade de negócio tem uma coisa muito importante em comum: ambas protegem a disponibilidade da informação – é por isso que a ISO 27001 precisou incluir controles de continuidade de negócio em seus Anexo A.

A ISO 22301 é a norma internacional líder em continuidade de negócio (tenha uma visão geral aqui: O que é a ISO 22301?), e como todas a normas de gestão ISO, é baseada no ciclo PDCA (Plan-Do-Check-Act). Isto significa que ela tem praticamente os mesmos elementos da ISO 27001 e de outras normas ISO: controle de documento, auditoria interna, ações corretivas, análise crítica pela administração, treinamento & conscientização, etc.

Assim, se você já implementou todos estes elementos para a ISO 27001, então você já está totalmente em conformidade com a ISO 22301 quando se trata de gerir o sistema. Existem também alguns outros elementos da ISO 27001 que são totalmente compatíveis com a ISO 22301 – e.g., a gestão de riscos – veja este artigo para detalhes: Can ISO 27001 risk assessment be used for ISO 22301?

Onde elas são diferentes

A ISO 27001 é bem pobre quando se trata de documentação de continuidade de negócio – é basicamente o suficiente para escrever um Plano de recuperação de desastre para cobrir o controle A.17.1.2 (que requer a implementação de procedimentos de continuidade) e controle A.17.2.1 (que requer a disponibilidade da TI, i.e., a redundância). Veja também: Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013).

Por outro lado, como seria de se esperar, a ISO 22301 requer o desenvolvimento de mais documentos, muitos deles para estes elementos essenciais da continuidade de negócio:

Então, o que isto significa na prática? Embora a ISO 27001 permita a você implementar a continuidade de negócio com apenas um documento; na realidade, se você quer preparar sua organização de forma apropriada, você precisará de mais. E a ISO 22301 dá a você este know-how.

Como usar a ISO 22301 para a ISO 27001

Em minha opinião, a melhor forma de usar este know-how da ISO 22301 é implementá-la como um sub-projeto da ISO 27001 – isto significa que você deveria implementar sua ISO 27001 como planejou, e quando atingir a seção A.17 você deveria implementar os elementos essenciais de continuidade de negócio da ISSO 22301 acima mencionados.

Em efeito, uma vez que todos os outros elementos da ISO 22301 são os mesmos da ISO 27001, você implementará ambas as normas ao mesmo tempo. E, o melhor de tudo – este esforço adicional é apenas 10% do esforço total de implementação da ISO 27001.

Assim, é verdade que você pode atingir a conformidade com a seção A.17 da ISO 27001 escrevendo apenas um único documento – o Plano de recuperação de desastre. Contudo, a ISO 22301 permite a você fazer muito mais – preparar a sua organização para realmente continuar todas as suas operações cruciais se um desastre real acontecer. Vale a pena os 10% de esforço adicional?

Verifique este webinar gratuito ISO 27001 & ISO 22301: Why is it better to implement them together? que explicará as similaridades destas duas normas em mais detalhes.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Tag: #ISO 27001