Política de Continuidade de Negócio e Recuperação de Desastres

A Política de Continuidade de Negócio e Recuperação de Desastres estabelece os controlos, processos e responsabilidades obrigatórios para sustentar ou recuperar as operações críticas de negócio e os serviços de TIC da organização durante e após incidentes disruptivos. Fornece um quadro estruturado para proteger a vida, assegurar a estabilidade operacional, cumprir compromissos legais e com clientes e salvaguardar a reputação da organização, incorporando resiliência através de planeamento proativo e capacidades de recuperação validadas. Esta política aplica-se a todas as unidades organizacionais, sistemas de informação, processos de negócio, pessoal e serviços de terceiros considerados críticos ou essenciais com base nos resultados de uma Análise de Impacto no Negócio (BIA). O âmbito é abrangente, cobrindo perturbações naturais e provocadas pelo homem, tais como ciberataques, falhas de infraestrutura, indisponibilidades de centros de dados, pandemias e interrupções de serviços de fornecedores. Define as expectativas fundamentais para o planeamento, testes contínuos e melhoria contínua dos Planos de Continuidade de Negócio (BCPs) e Planos de Recuperação de Desastres (DRPs), assegurando o cumprimento de obrigações regulamentares, contratuais e de normas da indústria. Os principais objetivos da política incluem garantir a continuidade das operações de negócio através de procedimentos predefinidos e testados, minimizar potenciais impactos operacionais, reputacionais e legais e assegurar a recuperação atempada dentro de objetivos de tempo e ponto de recuperação definidos (RTOs e RPOs). Atribui responsabilização clara em toda a empresa: a alta direção, os responsáveis de continuidade de negócio e de recuperação de desastres de TI, chefes de departamento, diretores de segurança da informação e a equipa de resposta a crises têm papéis definidos para estratégia, planeamento, execução e comunicação. A política impõe o estabelecimento de um Sistema de Gestão de Continuidade de Negócio (BCMS) unificado, em conformidade com os requisitos da ISO 22301 e da ISO/IEC 27001. Exige uma BIA anual para todas as unidades críticas, desenvolvimento e aprovação de BCPs/DRPs e a manutenção de documentação precisa, fluxos de escalonamento e listas de contactos. Os planos devem incluir soluções manuais alternativas, ativação de local alternativo, comunicação de crise e estratégias de contingência da cadeia de abastecimento. Testes regulares, incluindo avaliações anuais de resiliência, exercícios tabletop e failovers simulados, são obrigatórios para rever eficácia, dependências e postura de prontidão. A política também aborda a integração do planeamento de continuidade com segurança e resposta a incidentes, assegurando que não há compromissos nos controlos de segurança da informação durante a recuperação. São definidos gestão de exceções, avaliação do risco e protocolos de escalonamento, enquanto a monitorização contínua da conformidade e medidas disciplinares para incumprimento asseguram a aplicação da política. Esta política está estritamente alinhada com normas globais e quadros regulamentares líderes, apoiando a devida diligência em resiliência operacional e auditabilidade para obrigações legais ou contratuais.