Resolução CEGOV/INSS nº 34 de 13 de Novembro de 2023

o escopo e as regras básicas de Gestão de Continuidade de Negócios (GCN) do INSS, de forma a estabelecer direcionamentos a partir dessas orientações, considerando as necessidades específicas e os aspectos legais e regulamentares que a Autarquia está sujeita; e

a atuação do INSS na ocorrência de incidentes que possam causar interrupção de suas atividades, de forma a proteger servidores, colaboradores ou demais agentes públicos e assegurar o funcionamento dos seus processos críticos em níveis aceitáveis, preservando a viabilidade e resiliência no cumprimento de sua missão precípua.

consiste no conjunto de instrumentos de governança e de gestão que estabeleçam políticas e objetivos de continuidade de negócios alinhados com os objetivos do INSS, que operacionalize e monitore processos, capacidades e estruturas de resposta para garantir a continuidade dos negócios geridos pela Autarquia através da melhoria contínua baseada na medição qualitativa e/ou quantitativa; e

compreende, entre outros, política, papéis, responsabilidades, processos de gestão, avaliação de riscos, planos e informações documentadas que suportam o controle operacional e permitam a avaliação de desempenho.

GCN - processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem, e que fornece uma estrutura para que se desenvolva uma resiliência organizacional capaz de responder efetivamente, bem como salvaguardar os interesses das partes interessadas, a reputação e a marca da organização, e suas atividades de valor agregado;

Planos de:

Programa de Gestão da Continuidade de Negócios (PGCN) - é uma estrutura organizacional mais ampla que suporta a GCN e inclui políticas, procedimentos e processos documentados, para garantir que as atividades da GCN sejam conduzidas de maneira sistemática e coordenada, bem como aborda questões como estratégia, planejamento, implementação, teste e manutenção da GCN, e envolve uma abordagem abrangente de toda a organização;

crise - é o momento em que ocorre qualquer evento que compromete o funcionamento natural da organização;

contingência - é o instante em que são alocados recursos para responder aos eventos de falha e garantir a continuidade das operações;

interrupção - é um evento, seja previsto ou não, que cause um desvio negativo, imprevisto na entrega e execução de produtos ou serviços da organização, de acordo com seus objetivos;

interrupção severa - qualquer evento que torne uma instalação de negócios indisponível ou que atinja de forma significativa o corpo funcional, e, dessa forma, interfira com a capacidade da organização de oferecer serviços essenciais;

atividade crítica - é aquela que deve ser executada de forma a garantir a consecução dos produtos e serviços fundamentais do órgão ou entidade, de tal forma que permita atingir os seus objetivos mais importantes e sensíveis ao tempo; e

incidente - é um evento que tenha causado algum dano, colocado em risco algum ativo de informação crítico ou interrompido a execução de alguma atividade crítica.

adequação à missão, ao porte e ao perfil de atuação do INSS;

manutenção da atualização e aperfeiçoamento dos componentes da GCN; e

resiliência aos impactos das crises, mantendo o foco na execução dos processos críticos e na continuidade das atividades.

assegurar:

mitigar as ameaças ou limitar os danos que essas ameaças podem causar.

de Serviços de Tecnologia: o INSS deve possuir estrutura responsável pela Gestão de Incidentes, Gestão de Crise, Gestão de Problemas e Gestão de Data Center, monitorando, identificando e buscando a solução para os problemas e/ou falhas no ambiente de Tecnologia da Informação - TI que possam provocar a instabilidade e/ou indisponibilidade dos Serviços Críticos de TI;

nas Agências da Previdência Social: a gestão dos Pontos de Atendimento do INSS deve ter como objetivo principal garantir a continuidade do atendimento e disponibilidade dos serviços aos seus clientes, independentemente da origem do evento crítico que causou a interrupção; e

dos Negócios (Administração Central): a atuação da GCN se restringe aos processos de negócios centralizados na Administração Central considerados críticos e que, se forem interrompidos, geram relevante impacto para a Instituição e na continuidade dos serviços prestados aos usuários dos serviços prestados pelo INSS, com exposição aos riscos relativos à imagem, integridade, conformidade e operacionais.

estabelecer estratégias para assegurar a continuidade das atividades do INSS e minimizar perdas decorrentes da interrupção dos processos críticos;

considerar:

conferir as condições de recuperação em situações de interrupção da capacidade do INSS em continuar suas atividades;

adotar medidas que visam proteger os ativos de informação do INSS, visando garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações;

observar as questões relativas à saúde e ao bem-estar dos servidores, agentes públicos e demais colaboradores, através de medidas rápidas, visando a preservação da integridade física e psicológica dos profissionais;

avaliar os riscos associados aos cenários de crise e seus impactos sobre o negócio;

realizar exercícios, testes e revisões periódicas dos componentes da GCN; e

desenvolver, bem como fortalecer a cultura de gestão de crises e de continuidade de negócios.

Comitê Estratégico de Governança - CEGOV;

Presidente;

Auditoria-Geral;

Diretorias;

Superintendências Regionais;

Gerências-Executivas; e

Agências da Previdência Social.

coordenar a implantação e a operação do SGCN-INSS;

patrocinar a implementação da Política de GCN em toda a organização;

definir os recursos necessários para a implementação e manutenção da GCN na organização; e

definir e monitorar os indicadores de desempenho relacionados à GCN, a fim de garantir que a organização esteja preparada para enfrentar qualquer evento disruptivo.

coordenar e monitorar a implementação da GCN em toda a organização:

definir e atualizar as estratégias de implantação do SGCN-INSS, considerando os contextos externo e interno;

coordenar a:

implementar e manter a GCN em toda a organização;

promover ações para que as avaliações de riscos sejam realizadas regularmente e que os planos de ação apropriados sejam implementados para mitigar os riscos identificados;

adotar mecanismos para que as políticas e procedimentos relacionados à GCN sejam atualizados regularmente e em conformidade com as normas e regulamentações aplicáveis;

desenvolver ações para que todos os servidores, gestores e colaboradores do INSS estejam cientes de suas responsabilidades em relação à GCN e que sejam treinados regularmente para lidar com eventos disruptivos; e

aprovar Comitê de Crise quando houver necessidade apresentada pela (s) área (s) de negócio.

aprovar planos relacionados à GCN;

adotar as providências cabíveis sempre que houver incidente sob sua gestão;

responder às solicitações e recomendações acerca de incidentes;

promover a resolubilidade de maneira tempestiva no atendimento das demandas de gestão de continuidade;

fornecer informações necessárias para a elaboração e planejamento da GCN no INSS;

gerenciar os eventos inerentes às suas atividades (identificar, avaliar e tratar); e

definir, bem como acompanhar os planos estabelecidos a partir da Política de GCN.

os meios de publicação dos documentos derivados do PCN;

os participantes da gerência do PCN, incluindo representantes de áreas de negócio e o coordenador do PCN;

os processos críticos ao negócio e seus responsáveis;

os grupos responsáveis pela criação, acompanhamento, revisão, avaliação, evolução, frequência e execução de testes e treinamento dos PCN;

a frequência da capacitação das pessoas comprometidas com a execução do PCN; e

a identificação e concordância de todas as responsabilidades e procedimentos do PCN para garantir sua eficácia.

coordenar a:

fornecer orientação e suporte aos gestores de riscos em toda a organização.

avaliar periodicamente os riscos e vulnerabilidades que possam afetar a continuidade das atividades do INSS;

gerenciar o PCN em suas unidades, garantindo que esteja atualizado e eficaz;

desenvolver e manter relacionamentos com outras organizações e autoridades relevantes para a GCN;

coordenar dentro da unidade, tempestivamente, o fornecimento das informações e o acesso às bases de dados solicitados pela Diretoria e Superintendência Regional nas suas áreas de competência para elaboração de análises, e relatórios de Gestão de Risco; e

assegurar o registro tempestivo de eventos de risco, bem como coordenar, dentro da unidade, as ações para gerenciá-los e mitigá-los.