Institui a Política de Gestão de Continuidade de Negócios do INSS.
O COMITÊ ESTRATÉGICO DE GOVERNANÇA DO INSTITUTO NACIONAL DO SEGURO SOCIAL - CEGOV/INSS, no uso das atribuições que lhe confere a Portaria nº 3.213/PRES/INSS, de 10 de dezembro de 2019, e considerando o disposto no Decreto nº 9.203, de 22 de novembro de 2017, na Instrução Normativa Conjunta do Ministério do Planejamento, Orçamento e Gestão - MPOG e da Controladoria-Geral da União - CGU nº 1, de 10 de maio de 2016, bem como o contido no Processo Administrativo nº 35014.299360/2022-06, resolve:
Art. 1º Instituir a Política de Gestão de Continuidade de Negócios do INSS - Política de GCN, nos termos desta Resolução.
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 2º A finalidade da Política de GCN é definir:
I - o escopo e as regras básicas de Gestão de Continuidade de Negócios (GCN) do INSS, de forma a estabelecer direcionamentos a partir dessas orientações, considerando as necessidades específicas e os aspectos legais e regulamentares que a Autarquia está sujeita; e
II - a atuação do INSS na ocorrência de incidentes que possam causar interrupção de suas atividades, de forma a proteger servidores, colaboradores ou demais agentes públicos e assegurar o funcionamento dos seus processos críticos em níveis aceitáveis, preservando a viabilidade e resiliência no cumprimento de sua missão precípua.
Art. 3º O Sistema de Gestão de Continuidade de Negócios do INSS (SGCN-INSS):
I - consiste no conjunto de instrumentos de governança e de gestão que estabeleçam políticas e objetivos de continuidade de negócios alinhados com os objetivos do INSS, que operacionalize e monitore processos, capacidades e estruturas de resposta para garantir a continuidade dos negócios geridos pela Autarquia através da melhoria contínua baseada na medição qualitativa e/ou quantitativa; e
II - compreende, entre outros, política, papéis, responsabilidades, processos de gestão, avaliação de riscos, planos e informações documentadas que suportam o controle operacional e permitam a avaliação de desempenho.
Art. 4º A Política de GCN integra o SGCN-INSS.
Art. 5º Para os efeitos desta Resolução, entende-se por:
I - GCN - processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem, e que fornece uma estrutura para que se desenvolva uma resiliência organizacional capaz de responder efetivamente, bem como salvaguardar os interesses das partes interessadas, a reputação e a marca da organização, e suas atividades de valor agregado;
II - Planos de:
a) Continuidade de Negócios (PCN) - documentação dos procedimentos e informações necessárias para que os órgãos ou entidades mantenham seus ativos de informação críticos e a continuidade de suas atividades críticas em local alternativo num nível previamente definido, em casos de incidentes ou desastres;
b) Administração de Crise - documento disponibilizado para a alta gestão que objetiva dar mais controle para a organização em caso de uma situação de crise, contendo informações como listas de contatos e relação de atividades das equipes envolvidas;
c) Continuidade Operacionais (PCO) - determinam quais atividades e tarefas são executadas, em qual ordem e por quem, com a finalidade de otimizar a recuperação; e
d) Gerenciamento de Incidentes - plano de ação claramente definido e documentado, para ser usado quando ocorrer um incidente que basicamente cubra as principais pessoas, recursos, serviços e outras ações que sejam necessárias para implementar o processo de gerenciamento de incidentes;
III - Programa de Gestão da Continuidade de Negócios (PGCN) - é uma estrutura organizacional mais ampla que suporta a GCN e inclui políticas, procedimentos e processos documentados, para garantir que as atividades da GCN sejam conduzidas de maneira sistemática e coordenada, bem como aborda questões como estratégia, planejamento, implementação, teste e manutenção da GCN, e envolve uma abordagem abrangente de toda a organização;
IV - crise - é o momento em que ocorre qualquer evento que compromete o funcionamento natural da organização;
V - contingência - é o instante em que são alocados recursos para responder aos eventos de falha e garantir a continuidade das operações;
VI - interrupção - é um evento, seja previsto ou não, que cause um desvio negativo, imprevisto na entrega e execução de produtos ou serviços da organização, de acordo com seus objetivos;
VII - interrupção severa - qualquer evento que torne uma instalação de negócios indisponível ou que atinja de forma significativa o corpo funcional, e, dessa forma, interfira com a capacidade da organização de oferecer serviços essenciais;
VIII - atividade crítica - é aquela que deve ser executada de forma a garantir a consecução dos produtos e serviços fundamentais do órgão ou entidade, de tal forma que permita atingir os seus objetivos mais importantes e sensíveis ao tempo; e
IX - incidente - é um evento que tenha causado algum dano, colocado em risco algum ativo de informação crítico ou interrompido a execução de alguma atividade crítica.
CAPÍTULO II
DOS PRINCÍPIOS E OBJETIVOS
Art. 6º São princípios norteadores da Política de GCN a:
I - adequação à missão, ao porte e ao perfil de atuação do INSS;
II - manutenção da atualização e aperfeiçoamento dos componentes da GCN; e
III - resiliência aos impactos das crises, mantendo o foco na execução dos processos críticos e na continuidade das atividades.
Art. 7º O objetivo do INSS com a GCN é coordenar a recuperação de processos de negócios sensíveis ao tempo em que ocorra uma interrupção severa na execução desses processos, e garantir o funcionamento da Instituição a níveis aceitáveis na ocorrência de crises que, porventura, venham a interromper suas atividades.
Parágrafo único. Nos processos identificados como críticos, na visão da continuidade dos negócios, terão, sempre que possível, suas contingências planejadas e testadas, visando reduzir o impacto dos incidentes.
Art. 8º São objetivos da GCN do INSS:
I - assegurar:
a) a segurança de servidores, usuários e demais colaboradores em casos de interrupções severas em áreas afetadas pelo evento cuja responsabilidade seja do INSS;
b) a rápida e efetiva execução das estratégias de recuperação para as funções de negócios críticas, por meio de planos e procedimentos documentados; e
c) que as funções de negócios críticas possam continuar utilizando-se de recursos contingenciais;
II - mitigar as ameaças ou limitar os danos que essas ameaças podem causar.
CAPÍTULO III
DA ABRANGÊNCIA E DIRETRIZES
Art. 9º A GCN do INSS deve ser implantada por meio de ciclos de revisão e melhoria contínua, estando a sua operacionalização descrita no Plano de Gestão de Continuidade de Negócios do INSS, que abrangerá, pelo menos, as seguintes situações de Continuidade:
I - de Serviços de Tecnologia: o INSS deve possuir estrutura responsável pela Gestão de Incidentes, Gestão de Crise, Gestão de Problemas e Gestão de Data Center, monitorando, identificando e buscando a solução para os problemas e/ou falhas no ambiente de Tecnologia da Informação - TI que possam provocar a instabilidade e/ou indisponibilidade dos Serviços Críticos de TI;
II - nas Agências da Previdência Social: a gestão dos Pontos de Atendimento do INSS deve ter como objetivo principal garantir a continuidade do atendimento e disponibilidade dos serviços aos seus clientes, independentemente da origem do evento crítico que causou a interrupção; e
III - dos Negócios (Administração Central): a atuação da GCN se restringe aos processos de negócios centralizados na Administração Central considerados críticos e que, se forem interrompidos, geram relevante impacto para a Instituição e na continuidade dos serviços prestados aos usuários dos serviços prestados pelo INSS, com exposição aos riscos relativos à imagem, integridade, conformidade e operacionais.
Art. 10. São diretrizes da Política de GCN:
I - estabelecer estratégias para assegurar a continuidade das atividades do INSS e minimizar perdas decorrentes da interrupção dos processos críticos;
II - considerar:
a) o nível mínimo dos serviços que é aceitável para o INSS permanecer em operação ou continuar suas atividades; e
b) os parâmetros aplicáveis, mensuráveis e passíveis de monitoramento e atualização, sempre que necessário;
III - conferir as condições de recuperação em situações de interrupção da capacidade do INSS em continuar suas atividades;
IV - adotar medidas que visam proteger os ativos de informação do INSS, visando garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações;
V - observar as questões relativas à saúde e ao bem-estar dos servidores, agentes públicos e demais colaboradores, através de medidas rápidas, visando a preservação da integridade física e psicológica dos profissionais;
VI - avaliar os riscos associados aos cenários de crise e seus impactos sobre o negócio;
VII - realizar exercícios, testes e revisões periódicas dos componentes da GCN; e
VIII - desenvolver, bem como fortalecer a cultura de gestão de crises e de continuidade de negócios.
CAPÍTULO IV
DA GOVERNANÇA, PAPÉIS E RESPONSABILIDADES
Art. 11. O apoio e o suporte aos diversos níveis hierárquicos do INSS, integrando as atividades de Gestão de Continuidade nos processos e atividades organizacionais, competem às seguintes instâncias responsáveis pelo SGCN-INSS:
I - Comitê Estratégico de Governança - CEGOV;
II - Presidente;
III - Auditoria-Geral;
IV - Diretorias;
V - Superintendências Regionais;
VI - Gerências-Executivas; e
VII - Agências da Previdência Social.
Art. 12. Compete ao Cegov:
I - coordenar a implantação e a operação do SGCN-INSS;
II - patrocinar a implementação da Política de GCN em toda a organização;
III - definir os recursos necessários para a implementação e manutenção da GCN na organização; e
IV - definir e monitorar os indicadores de desempenho relacionados à GCN, a fim de garantir que a organização esteja preparada para enfrentar qualquer evento disruptivo.
Art. 13. Compete à Diretoria de Governança, Planejamento e Inovação (Digov), dentre outras atribuições:
I - coordenar e monitorar a implementação da GCN em toda a organização:
II - definir e atualizar as estratégias de implantação do SGCN-INSS, considerando os contextos externo e interno;
III - coordenar a:
a) elaboração e revisão do PCN do INSS;
b) realização de treinamentos e exercícios de simulação para garantir a prontidão da organização em caso de eventos disruptivos; e
c) resposta a eventos disruptivos, bem como fomentar a continuidade das atividades críticas do INSS;
IV - implementar e manter a GCN em toda a organização;
V - promover ações para que as avaliações de riscos sejam realizadas regularmente e que os planos de ação apropriados sejam implementados para mitigar os riscos identificados;
VI - adotar mecanismos para que as políticas e procedimentos relacionados à GCN sejam atualizados regularmente e em conformidade com as normas e regulamentações aplicáveis;
VII - desenvolver ações para que todos os servidores, gestores e colaboradores do INSS estejam cientes de suas responsabilidades em relação à GCN e que sejam treinados regularmente para lidar com eventos disruptivos; e
VIII - aprovar Comitê de Crise quando houver necessidade apresentada pela (s) área (s) de negócio.
Art. 14. Compete aos órgãos e unidades, observadas suas respectivas áreas de atuação e respeitada a hierarquia funcional:
I - aprovar planos relacionados à GCN;
II - adotar as providências cabíveis sempre que houver incidente sob sua gestão;
III - responder às solicitações e recomendações acerca de incidentes;
IV - promover a resolubilidade de maneira tempestiva no atendimento das demandas de gestão de continuidade;
V - fornecer informações necessárias para a elaboração e planejamento da GCN no INSS;
VI - gerenciar os eventos inerentes às suas atividades (identificar, avaliar e tratar); e
VII - definir, bem como acompanhar os planos estabelecidos a partir da Política de GCN.
Art. 15. Para a implementação adequada do PCN, os responsáveis pela implementação deverão, sempre que possível, estabelecer:
I - os meios de publicação dos documentos derivados do PCN;
II - os participantes da gerência do PCN, incluindo representantes de áreas de negócio e o coordenador do PCN;
III - os processos críticos ao negócio e seus responsáveis;
IV - os grupos responsáveis pela criação, acompanhamento, revisão, avaliação, evolução, frequência e execução de testes e treinamento dos PCN;
V - a frequência da capacitação das pessoas comprometidas com a execução do PCN; e
VI - a identificação e concordância de todas as responsabilidades e procedimentos do PCN para garantir sua eficácia.
Art. 16. Caberá ao coordenador-setorial de gestão de riscos, em complemento às atividades de gerenciamento de risco, coordenar e orientar os gestores de riscos a elaborarem os PCN nas unidades operacionais, além de:
I - coordenar a:
a) implementação das políticas e diretrizes estabelecidas pela Digov; e
b) realização de treinamentos e exercícios de simulação para garantir a prontidão do INSS em caso de desastres ou interrupções;
II - fornecer orientação e suporte aos gestores de riscos em toda a organização.
Art. 17. Compete aos gestores de riscos nos objetos de gestão sob sua responsabilidade:
I - avaliar periodicamente os riscos e vulnerabilidades que possam afetar a continuidade das atividades do INSS;
II - gerenciar o PCN em suas unidades, garantindo que esteja atualizado e eficaz;
III - desenvolver e manter relacionamentos com outras organizações e autoridades relevantes para a GCN;
IV - coordenar dentro da unidade, tempestivamente, o fornecimento das informações e o acesso às bases de dados solicitados pela Diretoria e Superintendência Regional nas suas áreas de competência para elaboração de análises, e relatórios de Gestão de Risco; e
V - assegurar o registro tempestivo de eventos de risco, bem como coordenar, dentro da unidade, as ações para gerenciá-los e mitigá-los.
CAPÍTULO V
DAS DISPOSIÇÕES FINAIS
Art. 18. A implantação da GCN aplica-se às atividades do INSS, devendo ser adotadas as medidas cabíveis sempre que necessárias.
Art. 19. A Política de GCN do INSS aplica-se, irrestritamente, a todos os macroprocessos do INSS, sendo obrigatória a sua observância por todos os servidores, gestores e demais colaboradores do Instituto.
Art. 20. As iniciativas relacionadas à GCN existentes no INSS anteriormente à publicação desta Resolução deverão, gradualmente, ser alinhadas à Política de GCN.
Art. 21. Os casos omissos, exceções, bem como os ajustes na Política de GCN devem ser submetidos à avaliação da Digov, antes da análise e aprovação do Cegov.
Art. 22. Os casos de dúvidas na aplicação da Política de GCN serão solucionados pela Digov.
Art. 23. A não observância da Política de GCN e seus desdobramentos normativos implicará, no que couber, nas sanções previstas no Regime Disciplinar, no Código de Ética Profissional do Servidor Público Civil do Poder Executivo Federal e em demais normas internas sobre condutas.
Art. 24. Esta Resolução entra em vigor em 1º de dezembro de 2023.
Presidente
Diretor de Tecnologia da Informação
Diretora de Governança, Planejamento e Inovação
Diretor de Benefícios e Relacionamento com o Cidadão
Diretora de Orçamento, Finanças e Logística
Diretora de Gestão de PessoasSubstituta