-
ERRADO.
A 15999 trata da continuidade do negócio. Continuidade é usado em momentos crítico de desastre.
-
Leoh sua resposta não foi muito convincente:
Copiando um email do Rogério Araújo:
" O meu entendimento, ao ler a questão, foi:
Parte I: "A norma NBR ISO/IEC 15999 destina-se a orientar as empresas no
que fazer a partir do momento em que acontecer algum incidente...":
Essa parte, tudo bem. Podemos aceitar a orientação como certa.
Parte II: "... oferecendo respostas às ameaças sofridas e seus impactos nas
operações do negócio":
Essa parte está errada pelo fato que a norma não oferece respostas às
ameaças sofridas e seus impactos nas operações do negócio.
Se lermos parte à parte, podemos entender que o "oferecendo" se refere à
norma e não sobre o possível GCN feito a partir da orientação da norma."
Fonte: http://br.groups.yahoo.com/group/timasters/message/62883
-
Preliminarmente, não há uma norma 15999, e sim 15999-1 e 15999-2 Escopo 15999-2: Especifica requisitos para EIOMAMM o SGCN documentado dentro do contexto dos riscos de negócios de toda a organização. Pode certificar.
Escopo 15999-1: Fornece uma base para que se possa entender, desenvolver e implementar a continuidde de negócios em uma organização além de obter confiança nos negócios da organização com clientes e outras organizações. Permite também que se avalie a capacidade de GCN da organização de maneira consistente e reconhecida.
Notem que ambas possuem um escopo de gestão, estratégico e não operacional.
Segundo a norma, o GCN possui um ciclo de vida com as seguintes fases:
5. Gestão do programa de GCN
6. Entendendo a organização
7. Determinando a estratégia de continuidade de negócios
8. Desenvolvendo e implementando uma resposta de GCN
9. Testando, mantendo e analisando criticamente os preparativos de GCN
10. Incluindo a GCN na cultura da organização
A norma NBR ISO/IEC 15999: 1.destina-se a orientar as empresas no que fazer a partir do momento em que acontecer algum incidente
Errado: Não há em nenhuma das normas a intenção de orientar o que fazer quando da ocorrência de incidente.
Para isso seriam necessários controles e metodologias que fogem ao escopo destas normas. Há tão-só o objetivo de se gerir a continuidade do negócio e o estabelecimento de planos subsidiários. A norma se quer prescreve como fazer um plano, muito menos orienta sobre procedimentos contra incidentes.
2. oferece respostas às ameaças sofridas e seus impactos nas operações do negócio. Errado: A seção 8 está relacionada ao desenvolvimento e implementação de planos apropriados e dos preparativos realizados, de forma a garantir a continuidade das atividades críticas e o gerenciamento de incidentes. Nessa seção, há orientações sobre a definição de uma estrutura de resposta a incidentes (8.2), mas não elenca procedimentos para responder a ameaças e seus impactos.
-
concordo com o amigo da primeira resposta. A norma é para evitar catastrofes e responder a incidentes que possam paralizar a organização. A questão é ruim em não especificar o tipo de incidente.
-
Encontrei o seguinte na ISO-15999 Parte 1
3.3 GCN relaçao com a gestao de riscos
A GCN é complementar a uma estrutura de gestão de riscos que busca entender os riscos às operações e negócios e suas conseqüências.
A gestão de riscos visa administrar o risco relacionado aos produtos e serviços fundamentais que uma organização fornece. A entrega desses produtos e serviços pode ser interrompida por uma grande variedade de incidentes, e muitos dos quais são de difícil previsão ou análise das causas.
Com foco no impacto da interrupção, a GCN identifica os produtos e serviços dos quais a organização depende para sobreviver e é capaz de identificar o que é necessário para que a organização continue cumprindo suas obrigações. Por meio da GCN, uma organização pode reconhecer o que precisa ser realizado antes da ocorrência de um incidente, de forma a proteger suas pessoas, instalações, tecnologia, informações, cadeia de fornecimento, partes interessadas e reputação. Reconhecendo isso, a organização pode então ter uma visão realista das respostas necessárias quando e se ocorrer uma interrupção, de modo que ela pode ter con?ança de que conseguirá administrar eventuais conseqüências sem atrasos inaceitáveis na entrega de seus produtos e serviços.
Uma organização que tenha tomado as medidas apropriadas de GCN pode ser capaz de aproveitar oportunidades de alto risco.
-
Acho que o erro está no termo "oferendo respostas às ameaças sofridas", uma vez que resposta a ameaça está relacionado à gestão de riscos. A norma 15999 tratada da continuidade do negócio após incidentes, logo não trata ameaça e sim impactos.
-
A resposta do colega thiago é justamente o que pensei.
-
"A norma NBR ISO/IEC 15999 destina-se a orientar as empresas no que fazer a partir do momento em que acontecer algum incidente, (...)": Errado! O objetivo principal da norma é instruir a empresa a identificar as suas atividades críticas cujo comprometimento poderiam interferir na continuidade de negócio. Além disso, orienta na criação de um Plano de Continuidade de Negócio, este plano sim teria orientações do que fazer após acontecer algum incidente.
"(...) oferecendo respostas às ameaças sofridas e seus impactos nas operações do negócio.": Não contém as respostas, há orientações sobre a definição de uma estrutura de resposta a incidentes.
-
A norma 15999 fornece apenas orientação estratégica de planejamento para a continuidade do negócio, não entra em detalhes do que deve ser feito e muito menos de como deve ser feito o tratamento de incidentes e riscos.