– Implementar gestão de continuidade de negócios
A disponibilidade de sistemas de TI é agora fundamental para o funcionamento de muitas empresas. Isso faz da Gestão de Continuidade de Negócios (GCN) uma parte vital da governança de TI (Também é exigido pela norma de segurança ISO 17799). Na verdade, ela deve ser construída desde do início, ou seja, através da concepção de sistemas críticos para que seja resiliente.
A GCN não é algo trivial de se fazer, portanto, o uso de consultoria externa pode ser interessante. Ela deve ser fortemente baseada em uma avaliação objetiva de riscos, incluindo os riscos que a organização não tenha encontrado ainda, e muito com o espectro de contingência a partir de interrupções de serviço menores para um desastre total que elimina um centro de dados em sua totalidade.
http://www.cnasi.com.br/estruturas-processos-e-mecanismos-de-governanca-de-ti/
ERRADO. Segundo a ISO 27005:2011, a análise de riscos é sub-atividade da avaliação de riscos, e conforme a ISO 15999-1, a avaliação de riscos e a avaliação de ameaças fazem parte da documentação de GCN(Gestão de continuidade de negócios). Portanto, esse levantamento DESCRITO NA QUESTÃO faz parte também da GCN.
________________________________________
Segundo a ISO 15999-1,"5.5 Documentação de GCN
Convém que os indivíduos responsáveis por manter a continuidade de negócios devam criar e manter a documentação de continuidade de negócios. Isso pode incluir os seguintes documentos:
a) Política de GCN:
-declaração do escopo de GCN
-termos de referência de GCN;
b)análise de impacto nos negócios(BIA);
c)avaliação de riscos e ameaças;
d)estratégias de GCN;
e)programa de conscientização;
f)programa de treinamento;
g)planos de gerenciamento de incidentes;
h)planos de continuidade de negócios;
i)planos de recuperação de negócios;
j)agenda de testes e relatórios;
k)contratos e acordos de nível de serviço.
"