MINISTÉRIO DOS TRANSPORTES
AGÊNCIA NACIONAL DE TRANSPORTES TERRESTRES
DIRETORIA COLEGIADA
INSTRUÇÃO NORMATIVA Nº 31, DE 30 DE SETEMBRO DE 2024
Disciplina sobre a Política de Gestão de Continuidade de Negócios da Agência Nacional de Transportes Terrestres - ANTT.
A Diretoria Colegiada da Agência Nacional de Transportes Terrestres - ANTT, no uso de suas atribuições, fundamentada no art. 105, inciso II, do Regimento Interno, aprovado pela Resolução nº 5.976, de 7 de abril de 2022, no Voto DG - 063, de 23 de setembro de 2024, e no que consta do processo nº 50500.156583/2024-45, resolve:
Art. 1º Aprovar a Política de Gestão de Continuidade de Negócios da Agência Nacional de Transportes Terrestres (ANTT).
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Seção I
Objetivos da Política
Art. 2º A Política de Gestão de Continuidade de Negócios (PGCN), tem por objetivos estabelecer as diretrizes relativas à continuidade de negócios, fornecer os princípios orientadores e definir competências para viabilizar a manutenção do status da resiliência organizacional.
Art. 3º Esta Instrução Normativa fornecerá as diretrizes gerais para que se desenvolvam e se mantenham ações organizacionais de continuidade de negócios para a proteção e a preservação da vida das pessoas, de ativos, dos interesses e necessidades dos cidadãos, servidores e todos aqueles que mantém relação institucional com a ANTT.
Seção II
Abrangência
Art. 4º A Política de Gestão de Continuidade de Negócios da ANTT aplica-se a:
I - diretoria, titulares de unidades organizacionais, membros de comitês, servidores efetivos, terceirizados, estagiários, jovens aprendizes e colaboradores de qualquer natureza jurídica, inclusive fornecedores contratados; e
II - todos os ambientes físicos e virtuais da ANTT, incluindo-se a sede, unidades regionais, e quaisquer outros pertencentes ao patrimônio da Agência.
Seção III
Definições
Art. 5º Para os fins desta Instrução Normativa são adotadas as seguintes definições, que poderão ser utilizadas no singular ou plural, sem prejuízo de significado aqui atribuído:
I - Análise de Impacto nos Negócios (Business Impact Analisys - BIA): visa a estimar os impactos resultantes da interrupção de serviços e de cenários de desastres que possam afetar o desempenho dos órgãos ou entidades da Administração Pública Federal, bem como as técnicas para quantificar e qualificar esses impactos, a criticidade dos processos de negócio, suas prioridades de recuperação, interdependências e os requisitos de segurança da informação e comunicações para que os objetivos de recuperação sejam atendidos nos prazos estabelecidos;
II - Ativo: meios de armazenamento, transmissão e processamento, sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso;
III - Ativos de informação: para efeito desta Instrução Normativa, é denominado como "Ativo";
IV - Ambiente Primário: são considerados os ambientes produtivos originais, dos quais derivam-se os ambientes de continuidade de negócios como forma de aumentar sua resiliência frente a crises;
V - Confidencialidade: propriedade de que a informação não seja revelada à pessoa física, sistema, órgão ou entidade não autorizados e credenciados;
VI - Continuidade de Negócios: capacidade que uma organização tem de continuar a entrega de produtos ou serviços em níveis aceitáveis pré-definidos após um incidente de interrupção;
VII - Crise: condição instável envolvendo uma mudança abrupta ou significativa iminente que requer atenção e ação urgentes para proteger a vida, os ativos, a propriedade ou o meio ambiente;
VIII - Crise Corporativa: situação anormal, instável e complexa que representa uma ameaça aos objetivos estratégicos, à reputação, ao funcionamento ou à própria existência de uma organização;
IX - Gestão de Crise Corporativa: coordenação geral de resposta de uma organização a uma crise corporativa, de maneira eficaz e oportuna, com o objetivo de evitar ou minimizar danos às pessoas, sociedade, lucratividade, reputação e capacidade de operação da organização;
X - Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade;
XI - Disrupção: interrupção do curso normal de um processo de negócio, serviço ou entrega de produto;
XII - Gestão de Continuidade de Negócios: processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio caso estas ameaças se concretizem. Este processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder eficazmente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização e suas atividades de valor agregado;
XIII - Gestão de Riscos: atividades coordenadas para direcionar e controlar os riscos da organização;
XIV - Incidente: situação que pode representar ou levar à interrupção de negócios, perdas, emergências ou crises;
XV - Integridade: propriedade de que a informação não foi modificada, inclusive quanto à origem e ao destino, ou destruída;
XVI - Processo: encadeamento sequencial de atividades que são realizadas progressivamente para a transformação de entradas (insumos) em saídas (produtos ou serviços), agregando valor e resultando em um produto ou serviço desejável pelo cliente;
XVII - Processos de Negócio: sequência das atividades prevendo a produção de um resultado que atenda ao cliente do processo e só existe se gerar algum benefício para a empresa. Basicamente só existe processo de negócio quando ele gera valor, direta ou indiretamente, ao cliente sejam eles formalizados ou não;
XVIII - Produtos e Serviços: resultados produzidos e entregues a seus clientes e partes interessadas em conformidade com regulamentações e benefícios comunitários além de ser um meio de fornecer valor a clientes, facilitando a obtenção de resultados que eles desejam; e
XIX - Resiliência: capacidade de uma organização de resistir após uma disrupção e voltar rapidamente ao estado normal.
CAPÍTULO II
PRINCÍPIOS
Art. 6º A Política de Gestão de Continuidade de Negócios (PGCN) da ANTT deve ser norteada pelos seguintes princípios:
I - minimização de efeitos e danos causados por uma disrupção, promovendo a disponibilidade dos serviços prestados à sociedade;
II - preservação da integridade física das pessoas;
III - proteção de dados pessoais e críticos ao negócio;
IV - preservação da segurança e privacidade das informações;
V - priorização da recuperação tempestiva daquilo que for crítico ao negócio;
VI - observância aos princípios e valores da boa governança para preservação da reputação da Agência e de seus servidores;
VII - proteção dos ativos da Agência;
VIII - proteção dos ativos concedidos e reversíveis;
IX - garantia da disponibilidade dos serviços prestados à sociedade; e
X - incorporação da cultura de continuidade de negócios nos processos e serviços da Agência.
CAPÍTULO III
DIRETRIZES
Seção I
Diretrizes Gerais
Art. 7º São diretrizes da Política de Gestão de Continuidade de Negócios (PGCN) da ANTT:
I - mobilização de todos os recursos necessários para gerenciar crises, recuperar as operações e proporcionar um nível de funcionamento suficiente após uma disrupção, levando em consideração suas atividades e processos críticos;
II - alinhamento à Gestão de Riscos, observando sempre que necessário os normativos relacionados ao tema, dentre os quais se destacam, a Política de Gestão de Riscos, os limites de tolerância ao risco formalmente definidos e o Guia de Gestão de Riscos Operacionais;
III - disponibilização de normativos subordinados e planos relacionados, incluindo recursos humanos devidamente capacitados;
IV - identificação e planejamento das ações necessárias para manutenção dos processos considerados críticos;
V - submissão dos processos à Análise de Impacto nos Negócios (Business Impact Analysis), a partir da Cadeia de Valor e da Arquitetura de Processos da ANTT, contendo:
a) identificação das atividades que suportam as operações e o fornecimento de serviços;
b) avaliação dos impactos de não realização das atividades ao longo do tempo;
c) fixação dos prazos de forma priorizada para a retomada das atividades, em um nível mínimo de execução tolerável, levando em consideração o tempo em que os impactos da interrupção se tornem inaceitáveis; e
d) identificação de dependências e recursos (sistemas de informação, recursos humanos e infraestruturas) que suportam as atividades, incluindo fornecedores, terceiros e demais partes interessadas relevantes.
Art. 8º Com base nos resultados do Business Impact Analisys, o Comitê de Governança deve elencar os processos críticos para a continuidade das operações da Agência.
Art. 9º A partir das análises de impacto realizadas, devem ser definidas as estratégias de continuidade e recuperação dos processos críticos.
Parágrafo único. As estratégias definidas devem levar em consideração a continuidade e recuperação de recursos humanos, instalações, serviços de tecnologia, fluxos de informação, e controles de segurança da informação e privacidade.
Art. 10. Para definição das estratégias de continuidade de negócio, os seguintes aspectos devem ser considerados:
I - possíveis linhas de ação que devem ser realizadas antes, durante e depois de um evento de descontinuidade, as quais podem incluir propostas de soluções; e
II - a análise de viabilidade e estimativa dos custos, bem como o detalhamento da implementação, os quais devem ser definidas com apoio das áreas responsáveis pelos processos relacionados.
Art. 11. Para a operacionalização das estratégias definidas, para a continuidade dos processos e atividades críticas, devem ser elaborados planos contendo os procedimentos e informações necessárias.
Art. 12. Os planos de Política de Continuidade de Negócios da ANTT serão divididos em:
I - Plano de Continuidade dos Processos; e
II - Plano de Continuidade de TI.
§ 1º Os planos deverão ser desenvolvidos para a Agência como um todo, contemplando todos os processos definidos como críticos.
§ 2º O Plano de Continuidade dos Processos deverá conter procedimentos de contingência, gerenciamento de crises, recuperação de desastres, incluindo controles de segurança da informação e privacidade, e fluxo de comunicação.
§ 3º O Plano de Continuidade de TI deve estar alinhado ao Plano de Continuidade de Processos e deverá conter procedimentos visando à continuidade e recuperação de sistemas de TI, segurança da informação e privacidade, e processos de gestão de informações.
Art. 13. Os planos de Continuidade de Negócios deverão conter no mínimo:
I - objetivo e escopo;
II - atividades e pessoas necessárias para execução;
III - procedimentos de gerenciamento de crises, procedimentos de contingência e recuperação de desastre, e procedimentos de comunicação;
IV - recursos necessários;
V - papéis e responsabilidades; e
VI - procedimentos de teste e treinamentos.
Art. 14. Os planos de Continuidade de Negócios devem ser exercitados e testados periodicamente, bem como ter os resultados documentados de forma a garantir a sua aderência e aprimoramento contínuo.
Art. 15. A documentação dos planos de Continuidade de Negócios deve ficar disponível em locais de fácil acesso a todos os colaboradores envolvidos na Gestão de Continuidade de Negócios (GCN).
Art. 16. Os planos de Continuidade de Negócios devem ser submetidos à apreciação do Comitê de Governança ou de outro colegiado que venha a substituí-lo.
Seção II
Recursos
Art. 17. Deve ser instituído um programa de capacitação e conscientização em continuidade do negócio e procedimentos de resposta à incidentes de continuidade.
§ 1º O programa de capacitação e conscientização em continuidade do negócio deverá abranger todo pessoal que realiza a execução dos processos considerados críticos, incluindo terceiros relacionados às atividades críticas.
§ 2º O programa de capacitação e conscientização em continuidade do negócio deverá abordar os conteúdos e formatos adequados para cada função exercida, assim como sua divulgação nos diversos canais de comunicação disponíveis, de modo que todos saibam como agir nas situações de disrupção.
§ 3º A coordenação do programa de capacitação e conscientização em continuidade do negócio deve ser realizada pela unidade organizacional responsável pela gestão de pessoas.
Art. 18. O programa de capacitação e conscientização em continuidade de negócio deve estar alinhado às boas práticas e procedimentos de capacitação da área de gestão de pessoas.
CAPÍTULO IV
RESPONSABILIDADES
Seção I
Unidades Responsáveis
Art. 19. As instâncias e unidades organizacionais abaixo elencadas são responsáveis, sem prejuízo das competências previstas na Resolução nº 5.976, de 7 de abril de 2022, pelo exercício das seguintes atribuições:
§ 1º À Diretoria-Colegiada compete:
I - aprovar as diretrizes que norteiam a Política de Gestão de Continuidade de Negócios (PGCN);
II - aprovar a Política de Gestão de Continuidade de Negócios (PGCN);
III - supervisionar a Gestão de Continuidade de Negócios; e
IV - instalar o Gabinete de Crises em situações que afetem a continuidade de processos críticos da ANTT.
§ 2º Ao Diretor-Geral compete:
I - determinar a implementação e promover a Gestão de Continuidade de Negócios; e
II - prover os recursos necessários para estabelecer, implementar, operar e manter a Gestão de Continuidade de Negócios.
§ 3º Aos titulares de unidades organizacionais ou representante formalmente designado compete:
I - implementar, avaliar e aprovar as Business Impact Analisys (BIA) realizadas para os processos definidos como críticos no âmbito de sua unidade organizacional;
II - elaborar e aprovar os Planos de Continuidade de Negócios (PCN) dos Processos Críticos no âmbito de sua unidade organizacional;
III - elaborar, avaliar e aprovar as estratégias de continuidade e os planos propostos, considerando a relação custo-benefício, e decidir sobre sua implementação, no âmbito de sua unidade organizacional; e
IV - informar ao Escritório de Processos Organizacionais todas as análises, planos e demais documentos aprovados no âmbito de sua unidade organizacional.
§ 4º Ao Comitê de Governança compete:
I - tomar conhecimento dos Planos de Continuidade de Negócios (PCN) após aprovados pelo titular da unidade organizacional responsável pelo processo de negócio;
II - aprovar elaborações e revisões de normativos e documentos afetos ao tema, como instrumentos normativos de processos e manuais; e
III - definir os processos críticos para a continuidade dos negócios da ANTT.
§ 5º Ao Escritório de Processos Organizacionais compete:
I - propor ao Comitê de Governança, sempre que necessário, diretrizes e ações em relação à Gestão de Continuidade de Negócios;
II - consolidar e comunicar todas as análises, planos e demais documentos aprovados pelo Comitê de Governança, mantendo as partes interessadas frequentemente atualizadas;
III - apoiar o Comitê de Governança, sempre que demandado, em relação a aspectos técnicos da Gestão de Continuidade de Negócios; e
IV - apoiar os titulares das unidades organizacionais ou representantes formalmente designados em relação a aspectos técnicos da Gestão de Continuidade de Negócios.
Seção II
Unidades Executoras
Art. 20. As instâncias e unidades organizacionais abaixo elencadas, são responsáveis, sem prejuízo das competências previstas na Resolução nº 5.976, de 7 de abril de 2022, pelo exercício das seguintes atribuições, quanto à execução da Gestão de Continuidade de Negócios (GCN):
§ 1º Aos titulares de unidades organizacionais responsáveis pelos Processos de Negócio Críticos suportados pelos Planos de Continuidade compete:
I - elaborar, quando julgar necessário com o apoio do Escritório de Processos Organizacionais, os planos de continuidade referentes aos processos sob sua responsabilidade;
II - colaborar com as ações de continuidade de negócio, fornecendo as informações pertinentes solicitadas e participando das iniciativas propostas pelo Comitê de Governança;
III - administrar as ações previstas nos planos quando da interrupção de atividades;
IV - executar os treinamentos e testes dos Planos de Continuidade de Negócios;
V - incorporar a Gestão de Continuidade de Negócios nas atividades de rotina de sua área; e
VI - desenvolver o relatório de testes, sempre que os planos forem testados.
§ 2º Aos titulares de unidades organizacionais responsáveis pelos Processos de Negócios afetados pelos Planos de Continuidade compete:
I - colaborar com as ações de continuidade de negócio, fornecendo as informações pertinentes solicitadas e participando das iniciativas propostas pelo Comitê de Governança;
II - apoiar os treinamentos e testes dos Planos de Continuidade de Negócios; e
III - incorporar a Gestão de Continuidade de Negócios (GCN) nas atividades de rotina de sua área.
§ 3º Aos demais servidores da ANTT:
I - colaborar com as ações de continuidade de negócio, fornecendo as informações pertinentes solicitadas e participando das iniciativas propostas pelo Comitê de Governança;
II - participar dos treinamentos e testes dos Planos de Continuidade de Negócios; e
III - compreender e incorporar a Gestão de Continuidade de Negócios (GCN) nas atividades de rotina de sua área.
CAPÍTULO V
DISPOSIÇÕES GERAIS
Art. 21. Os casos omissos e exceções, bem como futuros ajustes na presente Política devem ser submetidos à aprovação do Comitê de Governança.
Art. 22. Esta Instrução Normativa entra em vigor na data de sua publicação.
RAFAEL VITALE RODRIGUES
Diretor-Geral
D.O.U., 07/10/2024 - Seção 1
Carregando...