Considere a lista a seguir: 1. Um processo para ativar a re...

Alternativa correta: E

Vamos entender por que a alternativa E é a correta, assim como analisar as alternativas incorretas.

O tema da questão está centrado no Plano de Continuidade de Negócios (PCN), que é um conjunto de procedimentos documentados projetados para manter a continuidade das operações em caso de interrupção. Esse plano deve incluir várias diretrizes para garantir que a organização possa responder eficazmente a incidentes.

Alternativa E é correta porque abrange elementos essenciais que devem estar claramente identificáveis em um PCN:

• 4: Papéis e responsabilidades definidos para pessoas e equipes que usarão o plano.
• 5: Orientações e critérios sobre quem tem a autoridade de invocar os procedimentos e sob quais circunstâncias.
• 7: Gestão das consequências imediatas de um incidente de interrupção, considerando especialmente o bem-estar das pessoas afetadas.
• 8: Detalhes de contato para os membros da equipe e outras pessoas com funções e responsabilidades dentro de cada procedimento.
• 9: Como e em que circunstâncias a organização irá se comunicar com os funcionários, principais partes interessadas e contatos de emergência.

Esses elementos são fundamentais para garantir que todos saibam o que fazer, quem contatar, e como proceder em situações de crise, o que é central para a efetividade do PCN.

Agora, vamos analisar por que as outras alternativas estão incorretas:

• A - 3, 4, 5 e 7: Falta incluir elementos cruciais como os detalhes de contato (8) e as comunicações com partes interessadas (9), que são vitais para a coordenação e resposta em um incidente.
• B - 7, 8 e 9: Embora essas sejam partes importantes, esta alternativa omite as orientações e papéis (4 e 5), que são críticos para a execução do plano.
• C - 3, 6 e 8: O item 6, embora importante para a proteção de informações, não é um componente central do PCN. Além disso, essa alternativa ignora aspectos críticos como papéis, responsabilidades e comunicação em situações de crise.
• D - 3, 4, 5, 6, 7 e 9: Esta alternativa inclui o item 6, que é mais relacionado à segurança da informação do que à continuidade de negócios. O item 8, que trata de detalhes de contato, está ausente.

Espero que esta explicação tenha ajudado a esclarecer as razões por trás da escolha da alternativa E como a correta. Qualquer dúvida adicional, estou à disposição!

Questão complicada. Pede o decoreba do item abaixo da ISO 22301:

8.4.4 Planos de continuidade de negócios A organização deve estabelecer procedimentos documentados para responder a incidentes de interrupção, e como irá continuar ou recuperar suas atividades dentro de um prazo predefinido. Tais procedimentos devem atender aos requisitos de quem irá usá-lo.

Os planos de continuidade de negócios devem coletivamente conter:

a) papéis e responsabilidades definidos para pessoas e equipes com autoridade durante e após um incidente,

b) um processo para ativar a estrutura de resposta a incidentes,

c) detalhes para gerenciar os impactos imediatos de um incidente de interrupção, dando a devida atenção

1) ao bem-estar dos colaboradores,

2) às alternativas estratégicas, táticas e operacionais para responder à interrupção, e

3) à prevenção de novas perdas ou indisponibilidade de atividades prioritárias;

d) detalhes sobre como, e em que circunstâncias, a organização irá se comunicar com os funcionários e seus familiares, os principais interessados e contatos de emergência,

e) como a organização vai continuar ou recuperar suas atividades prioritárias dentro de prazos predefinidos,

f) detalhes de resposta, após incidente da organização, à mídia, incluindo

1) a estratégia de comunicação,

2) meio de comunicação preferido,

3) diretriz ou modelo para a elaboração de uma declaração para a mídia, e

4) porta-voz apropriado;

g) um processo para retorno à normalidade quando o incidente terminar.

Cada plano deve definir:

- propósito e escopo,

- objetivos,

- critérios e procedimentos para sua ativação,

- procedimentos de implementação,

- papéis, responsabilidades e autoridades,

- requisitos e procedimentos de comunicação,

- interdependências internas, externas e suas interações,

- recursos necessários, e

- fluxo de informações e processos documentados.

Gabarito alternativa E

Dá pra responder pela lógica.

3. Uma vez que o PCN é voltado a dar suporte às atividades do negócio após uma interrupção, não cabe aqui falar de regras e padrões para proteção da informação. 

Isto é definido na Política de Segurança da Informação, Política de Controle de Acesso, etc. É uma etapa anterior, de planejamento.

6. Privacidade é uma coisa totalmente diferente do assunto.

LETRA E

Estes dois assuntos são tratados pela 27002
3. Regras e padrões para proteção das informações, possibilitando manter a confidencialidade, integridade e disponibilidade.
6. A definição clara de como serão tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários e as informações institucionais.