Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOU 07/10/2024 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024100700148
148
Nº 194, segunda-feira, 7 de outubro de 2024
ISSN 1677-7042
Seção 1
IV - Ambiente Primário: são considerados os ambientes produtivos originais,
dos quais derivam-se os ambientes de continuidade de negócios como forma de
aumentar sua resiliência frente a crises;
V - Confidencialidade: propriedade de que a informação não seja revelada à
pessoa física, sistema, órgão ou entidade não autorizados e credenciados;
VI - Continuidade de Negócios: capacidade que uma organização tem de
continuar a entrega de produtos ou serviços em níveis aceitáveis pré-definidos após um
incidente de interrupção;
VII - Crise: condição instável envolvendo uma mudança abrupta ou significativa
iminente que requer atenção e ação urgentes para proteger a vida, os ativos, a
propriedade ou o meio ambiente;
VIII - Crise Corporativa: situação anormal, instável e complexa que representa
uma ameaça aos objetivos estratégicos, à reputação, ao funcionamento ou à própria
existência de uma organização;
IX - Gestão de Crise Corporativa: coordenação geral de resposta de uma
organização a uma crise corporativa, de maneira eficaz e oportuna, com o objetivo de
evitar ou minimizar danos às pessoas, sociedade, lucratividade, reputação e capacidade
de operação da organização;
X - Disponibilidade: propriedade de que a informação esteja acessível e
utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou
entidade;
XI - Disrupção: interrupção do curso normal de um processo de negócio,
serviço ou entrega de produto;
XII - Gestão de Continuidade de Negócios: processo abrangente de gestão que
identifica ameaças potenciais para uma organização e os possíveis impactos nas
operações de negócio caso estas ameaças se concretizem. Este processo fornece uma
estrutura para que se desenvolva uma resiliência organizacional que seja capaz de
responder eficazmente e salvaguardar os interesses das partes interessadas, a reputação
e a marca da organização e suas atividades de valor agregado;
XIII - Gestão de Riscos: atividades coordenadas para direcionar e controlar os
riscos da organização;
XIV - Incidente: situação que pode representar ou levar à interrupção de
negócios, perdas, emergências ou crises;
XV - Integridade: propriedade de que a informação não foi modificada,
inclusive quanto à origem e ao destino, ou destruída;
XVI - Processo: encadeamento sequencial de atividades que são realizadas
progressivamente para a transformação de entradas (insumos) em saídas (produtos ou
serviços), agregando valor e resultando em um produto ou serviço desejável pelo
cliente;
XVII - Processos de Negócio: sequência das atividades prevendo a produção de
um resultado que atenda ao cliente do processo e só existe se gerar algum benefício para
a empresa. Basicamente só existe processo de negócio quando ele gera valor, direta ou
indiretamente, ao cliente sejam eles formalizados ou não;
XVIII - Produtos e Serviços: resultados produzidos e entregues a seus clientes
e partes interessadas em conformidade com regulamentações e benefícios comunitários
além de ser um meio de fornecer valor a clientes, facilitando a obtenção de resultados
que eles desejam; e
XIX - Resiliência: capacidade de uma organização de resistir após uma
disrupção e voltar rapidamente ao estado normal.
CAPÍTULO II
PRINCÍPIOS
Art. 6º A Política de Gestão de Continuidade de Negócios (PGCN) da ANTT
deve ser norteada pelos seguintes princípios:
I - minimização de efeitos e danos causados por uma disrupção, promovendo
a disponibilidade dos serviços prestados à sociedade;
II - preservação da integridade física das pessoas;
III - proteção de dados pessoais e críticos ao negócio;
IV - preservação da segurança e privacidade das informações;
V - priorização da recuperação tempestiva daquilo que for crítico ao
negócio;
VI - observância aos princípios e valores da boa governança para preservação
da reputação da Agência e de seus servidores;
VII - proteção dos ativos da Agência;
VIII - proteção dos ativos concedidos e reversíveis;
IX - garantia da disponibilidade dos serviços prestados à sociedade; e
X - incorporação da cultura de continuidade de negócios nos processos e
serviços da Agência.
CAPÍTULO III
D I R E T R I Z ES
Seção I
Diretrizes Gerais
Art. 7º São diretrizes da Política de Gestão de Continuidade de Negócios
(PGCN) da ANTT:
I - mobilização de todos os recursos necessários para gerenciar crises,
recuperar as operações e proporcionar um nível de funcionamento suficiente após uma
disrupção, levando em consideração suas atividades e processos críticos;
II - alinhamento à Gestão de Riscos, observando sempre que necessário os
normativos relacionados ao tema, dentre os quais se destacam, a Política de Gestão de
Riscos, os limites de tolerância ao risco formalmente definidos e o Guia de Gestão de
Riscos Operacionais;
III - disponibilização de normativos subordinados e planos relacionados,
incluindo recursos humanos devidamente capacitados;
IV - identificação e planejamento das ações necessárias para manutenção dos
processos considerados críticos;
V - submissão dos processos à Análise de Impacto nos Negócios (Business
Impact Analysis), a partir da Cadeia de Valor e da Arquitetura de Processos da ANTT,
contendo:
a) identificação das atividades que suportam as operações e o fornecimento
de serviços;
b) avaliação dos impactos de não realização das atividades ao longo do
tempo;
c) fixação dos prazos de forma priorizada para a retomada das atividades, em
um nível mínimo de execução tolerável, levando em consideração o tempo em que os
impactos da interrupção se tornem inaceitáveis; e
d) identificação de dependências e recursos (sistemas de informação, recursos
humanos e infraestruturas) que suportam as atividades, incluindo fornecedores, terceiros
e demais partes interessadas relevantes.
Art. 8º Com base nos resultados do Business Impact Analisys, o Comitê de
Governança deve elencar os processos críticos para a continuidade das operações da
Agência.
Art. 9º A partir das análises de impacto realizadas, devem ser definidas as
estratégias de continuidade e recuperação dos processos críticos.
Parágrafo único. As estratégias definidas devem levar em consideração a
continuidade e recuperação de recursos humanos, instalações, serviços de tecnologia,
fluxos de informação, e controles de segurança da informação e privacidade.
Art. 10. Para definição das estratégias de continuidade de negócio, os
seguintes aspectos devem ser considerados:
I - possíveis linhas de ação que devem ser realizadas antes, durante e depois
de um evento de descontinuidade, as quais podem incluir propostas de soluções; e
II - a análise de viabilidade e
estimativa dos custos, bem como o
detalhamento da implementação, os quais devem ser definidas com apoio das áreas
responsáveis pelos processos relacionados.
Art. 11. Para a operacionalização
das estratégias definidas, para a
continuidade dos processos e atividades críticas, devem ser elaborados planos contendo
os procedimentos e informações necessárias.
Art. 12. Os planos de Política de Continuidade de Negócios da ANTT serão
divididos em:
I - Plano de Continuidade dos Processos; e
II - Plano de Continuidade de TI.
§ 1º Os planos deverão ser desenvolvidos para a Agência como um todo,
contemplando todos os processos definidos como críticos.
§ 2º O Plano de Continuidade dos Processos deverá conter procedimentos de
contingência, gerenciamento de crises, recuperação de desastres, incluindo controles de
segurança da informação e privacidade, e fluxo de comunicação.
§ 3º O Plano de Continuidade de TI deve estar alinhado ao Plano de
Continuidade de Processos e deverá conter procedimentos visando à continuidade e
recuperação de sistemas de TI, segurança da informação e privacidade, e processos de
gestão de informações.
Art. 13. Os planos de Continuidade de Negócios deverão conter no mínimo:
I - objetivo e escopo;
II - atividades e pessoas necessárias para execução;
III - procedimentos de gerenciamento
de crises, procedimentos de
contingência e recuperação de desastre, e procedimentos de comunicação;
IV - recursos necessários;
V - papéis e responsabilidades; e
VI - procedimentos de teste e treinamentos.
Art. 14. Os planos de Continuidade de Negócios devem ser exercitados e
testados periodicamente, bem como ter os resultados documentados de forma a garantir
a sua aderência e aprimoramento contínuo.
Art. 15. A documentação dos planos de Continuidade de Negócios deve ficar
disponível em locais de fácil acesso a todos os colaboradores envolvidos na Gestão de
Continuidade de Negócios (GCN).
Art. 16. Os planos de Continuidade de Negócios devem ser submetidos à
apreciação do Comitê de Governança ou de outro colegiado que venha a substituí-lo.
Seção II
Recursos
Art. 17. Deve ser instituído um programa de capacitação e conscientização em
continuidade do negócio e procedimentos de resposta à incidentes de continuidade.
§ 1º O programa de capacitação e conscientização em continuidade do
negócio deverá abranger todo pessoal que realiza a execução dos processos considerados
críticos, incluindo terceiros relacionados às atividades críticas.
§ 2º O programa de capacitação e conscientização em continuidade do
negócio deverá abordar os conteúdos e formatos adequados para cada função exercida,
assim como sua divulgação nos diversos canais de comunicação disponíveis, de modo que
todos saibam como agir nas situações de disrupção.
§ 3º A coordenação do programa de capacitação e conscientização em
continuidade do negócio deve ser realizada pela unidade organizacional responsável pela
gestão de pessoas.
Art. 18. O programa de capacitação e conscientização em continuidade de
negócio deve estar alinhado às boas práticas e procedimentos de capacitação da área de
gestão de pessoas.
CAPÍTULO IV
R ES P O N S A B I L I DA D ES
Seção I
Unidades Responsáveis
Art. 19. As instâncias e unidades organizacionais abaixo elencadas são
responsáveis, sem prejuízo das competências previstas na Resolução nº 5.976, de 7 de
abril de 2022, pelo exercício das seguintes atribuições:
§ 1º À Diretoria-Colegiada compete:
I - aprovar as diretrizes que norteiam a Política de Gestão de Continuidade de
Negócios (PGCN);
II - aprovar a Política de Gestão de Continuidade de Negócios (PGCN);
III - supervisionar a Gestão de Continuidade de Negócios; e
IV - instalar o Gabinete de Crises em situações que afetem a continuidade de
processos críticos da ANTT.
§ 2º Ao Diretor-Geral compete:
I - determinar a implementação e promover a Gestão de Continuidade de
Negócios; e
II - prover os recursos necessários para estabelecer, implementar, operar e
manter a Gestão de Continuidade de Negócios.
§ 3º Aos titulares de unidades organizacionais ou representante formalmente
designado compete:
I - implementar, avaliar e aprovar as Business Impact Analisys (BIA) realizadas
para os processos definidos como críticos no âmbito de sua unidade organizacional;
II - elaborar e aprovar os Planos de Continuidade de Negócios (PCN) dos
Processos Críticos no âmbito de sua unidade organizacional;
III - elaborar, avaliar e aprovar as estratégias de continuidade e os planos
propostos, considerando a relação custo-benefício, e decidir sobre sua implementação, no
âmbito de sua unidade organizacional; e
IV - informar ao Escritório de Processos Organizacionais todas as análises,
planos e demais documentos aprovados no âmbito de sua unidade organizacional.
§ 4º Ao Comitê de Governança compete:
I - tomar conhecimento dos Planos de Continuidade de Negócios (PCN) após
aprovados pelo titular da unidade organizacional responsável pelo processo de
negócio;
II - aprovar elaborações e revisões de normativos e documentos afetos ao
tema, como instrumentos normativos de processos e manuais; e
III - definir os processos críticos para a continuidade dos negócios da ANTT.
§ 5º Ao Escritório de Processos Organizacionais compete:
I - propor ao Comitê de Governança, sempre que necessário, diretrizes e
ações em relação à Gestão de Continuidade de Negócios;
II - consolidar e comunicar todas as análises, planos e demais documentos
aprovados pelo Comitê de Governança, mantendo as partes interessadas frequentemente
atualizadas;
III - apoiar o Comitê de Governança, sempre que demandado, em relação a
aspectos técnicos da Gestão de Continuidade de Negócios; e
IV - apoiar os titulares das unidades organizacionais ou representantes
formalmente designados em relação a aspectos técnicos da Gestão de Continuidade de
Negócios.
Seção II
Unidades Executoras
Art. 20. As instâncias e unidades organizacionais abaixo elencadas, são
responsáveis, sem prejuízo das competências previstas na Resolução nº 5.976, de 7 de
abril de 2022, pelo exercício das seguintes atribuições, quanto à execução da Gestão de
Continuidade de Negócios (GCN):
§ 1º Aos titulares de unidades organizacionais responsáveis pelos Processos de
Negócio Críticos suportados pelos Planos de Continuidade compete:
I - elaborar, quando julgar necessário com o apoio do Escritório de Processos
Organizacionais, os planos de continuidade referentes aos processos sob sua
responsabilidade;
II - colaborar com as ações de continuidade de negócio, fornecendo as
informações pertinentes solicitadas e participando das iniciativas propostas pelo Comitê
de Governança;
III - administrar as ações previstas nos planos quando da interrupção de
atividades;
IV - executar os treinamentos e testes dos Planos de Continuidade de
Negócios;
V - incorporar a Gestão de Continuidade de Negócios nas atividades de rotina
de sua área; e
VI - desenvolver o relatório de testes, sempre que os planos forem
testados.
§ 2º Aos titulares de unidades organizacionais responsáveis pelos Processos de
Negócios afetados pelos Planos de Continuidade compete:

Fechar