Norma
17/11/2023
#153309

RESOLUÇÃO CEGOV/INSS Nº 34, DE 13 DE NOVEMBRO DE 2023

Institui a Política de Gestão de Continuidade de Negócios do INSS para garantir a resiliência e funcionamento dos processos críticos em situações de crise.

Institui a Política de Gestão de Continuidade de Negócios do INSS.

O COMITÊ ESTRATÉGICO DE GOVERNANÇA DO INSTITUTO NACIONAL DO SEGURO SOCIAL - CEGOV/INSS, no uso das atribuições que lhe confere a Portaria nº 3.213/PRES/INSS, de 10 de dezembro de 2019, e considerando o disposto no Decreto nº 9.203, de 22 de novembro de 2017, na Instrução Normativa Conjunta do Ministério do Planejamento, Orçamento e Gestão - MPOG e da Controladoria-Geral da União - CGU nº 1, de 10 de maio de 2016, bem como o contido no Processo Administrativo nº 35014.299360/2022-06, resolve:

Art. 1º Instituir a Política de Gestão de Continuidade de Negócios do INSS - Política de GCN, nos termos desta Resolução.

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Art. 2º A finalidade da Política de GCN é definir:

I - o escopo e as regras básicas de Gestão de Continuidade de Negócios (GCN) do INSS, de forma a estabelecer direcionamentos a partir dessas orientações, considerando as necessidades específicas e os aspectos legais e regulamentares que a Autarquia está sujeita; e

II - a atuação do INSS na ocorrência de incidentes que possam causar interrupção de suas atividades, de forma a proteger servidores, colaboradores ou demais agentes públicos e assegurar o funcionamento dos seus processos críticos em níveis aceitáveis, preservando a viabilidade e resiliência no cumprimento de sua missão precípua.

Art. 3º O Sistema de Gestão de Continuidade de Negócios do INSS (SGCN-INSS):

I - consiste no conjunto de instrumentos de governança e de gestão que estabeleçam políticas e objetivos de continuidade de negócios alinhados com os objetivos do INSS, que operacionalize e monitore processos, capacidades e estruturas de resposta para garantir a continuidade dos negócios geridos pela Autarquia através da melhoria contínua baseada na medição qualitativa e/ou quantitativa; e

II - compreende, entre outros, política, papéis, responsabilidades, processos de gestão, avaliação de riscos, planos e informações documentadas que suportam o controle operacional e permitam a avaliação de desempenho.

Art. 4º A Política de GCN integra o SGCN-INSS.

Art. 5º Para os efeitos desta Resolução, entende-se por:

I - GCN - processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem, e que fornece uma estrutura para que se desenvolva uma resiliência organizacional capaz de responder efetivamente, bem como salvaguardar os interesses das partes interessadas, a reputação e a marca da organização, e suas atividades de valor agregado;

II - Planos de:

a) Continuidade de Negócios (PCN) - documentação dos procedimentos e informações necessárias para que os órgãos ou entidades mantenham seus ativos de informação críticos e a continuidade de suas atividades críticas em local alternativo num nível previamente definido, em casos de incidentes ou desastres;

b) Administração de Crise - documento disponibilizado para a alta gestão que objetiva dar mais controle para a organização em caso de uma situação de crise, contendo informações como listas de contatos e relação de atividades das equipes envolvidas;

c) Continuidade Operacionais (PCO) - determinam quais atividades e tarefas são executadas, em qual ordem e por quem, com a finalidade de otimizar a recuperação; e

d) Gerenciamento de Incidentes - plano de ação claramente definido e documentado, para ser usado quando ocorrer um incidente que basicamente cubra as principais pessoas, recursos, serviços e outras ações que sejam necessárias para implementar o processo de gerenciamento de incidentes;

III - Programa de Gestão da Continuidade de Negócios (PGCN) - é uma estrutura organizacional mais ampla que suporta a GCN e inclui políticas, procedimentos e processos documentados, para garantir que as atividades da GCN sejam conduzidas de maneira sistemática e coordenada, bem como aborda questões como estratégia, planejamento, implementação, teste e manutenção da GCN, e envolve uma abordagem abrangente de toda a organização;

IV - crise - é o momento em que ocorre qualquer evento que compromete o funcionamento natural da organização;

V - contingência - é o instante em que são alocados recursos para responder aos eventos de falha e garantir a continuidade das operações;

VI - interrupção - é um evento, seja previsto ou não, que cause um desvio negativo, imprevisto na entrega e execução de produtos ou serviços da organização, de acordo com seus objetivos;

VII - interrupção severa - qualquer evento que torne uma instalação de negócios indisponível ou que atinja de forma significativa o corpo funcional, e, dessa forma, interfira com a capacidade da organização de oferecer serviços essenciais;

VIII - atividade crítica - é aquela que deve ser executada de forma a garantir a consecução dos produtos e serviços fundamentais do órgão ou entidade, de tal forma que permita atingir os seus objetivos mais importantes e sensíveis ao tempo; e

IX - incidente - é um evento que tenha causado algum dano, colocado em risco algum ativo de informação crítico ou interrompido a execução de alguma atividade crítica.

CAPÍTULO II

DOS PRINCÍPIOS E OBJETIVOS

Art. 6º São princípios norteadores da Política de GCN a:

I - adequação à missão, ao porte e ao perfil de atuação do INSS;

II - manutenção da atualização e aperfeiçoamento dos componentes da GCN; e

III - resiliência aos impactos das crises, mantendo o foco na execução dos processos críticos e na continuidade das atividades.

Art. 7º O objetivo do INSS com a GCN é coordenar a recuperação de processos de negócios sensíveis ao tempo em que ocorra uma interrupção severa na execução desses processos, e garantir o funcionamento da Instituição a níveis aceitáveis na ocorrência de crises que, porventura, venham a interromper suas atividades.

Parágrafo único. Nos processos identificados como críticos, na visão da continuidade dos negócios, terão, sempre que possível, suas contingências planejadas e testadas, visando reduzir o impacto dos incidentes.

Art. 8º São objetivos da GCN do INSS:

I - assegurar:

a) a segurança de servidores, usuários e demais colaboradores em casos de interrupções severas em áreas afetadas pelo evento cuja responsabilidade seja do INSS;

b) a rápida e efetiva execução das estratégias de recuperação para as funções de negócios críticas, por meio de planos e procedimentos documentados; e

c) que as funções de negócios críticas possam continuar utilizando-se de recursos contingenciais;

II - mitigar as ameaças ou limitar os danos que essas ameaças podem causar.

CAPÍTULO III

DA ABRANGÊNCIA E DIRETRIZES

Art. 9º A GCN do INSS deve ser implantada por meio de ciclos de revisão e melhoria contínua, estando a sua operacionalização descrita no Plano de Gestão de Continuidade de Negócios do INSS, que abrangerá, pelo menos, as seguintes situações de Continuidade:

I - de Serviços de Tecnologia: o INSS deve possuir estrutura responsável pela Gestão de Incidentes, Gestão de Crise, Gestão de Problemas e Gestão de Data Center, monitorando, identificando e buscando a solução para os problemas e/ou falhas no ambiente de Tecnologia da Informação - TI que possam provocar a instabilidade e/ou indisponibilidade dos Serviços Críticos de TI;

II - nas Agências da Previdência Social: a gestão dos Pontos de Atendimento do INSS deve ter como objetivo principal garantir a continuidade do atendimento e disponibilidade dos serviços aos seus clientes, independentemente da origem do evento crítico que causou a interrupção; e

III - dos Negócios (Administração Central): a atuação da GCN se restringe aos processos de negócios centralizados na Administração Central considerados críticos e que, se forem interrompidos, geram relevante impacto para a Instituição e na continuidade dos serviços prestados aos usuários dos serviços prestados pelo INSS, com exposição aos riscos relativos à imagem, integridade, conformidade e operacionais.

Art. 10. São diretrizes da Política de GCN:

I - estabelecer estratégias para assegurar a continuidade das atividades do INSS e minimizar perdas decorrentes da interrupção dos processos críticos;

II - considerar:

a) o nível mínimo dos serviços que é aceitável para o INSS permanecer em operação ou continuar suas atividades; e

b) os parâmetros aplicáveis, mensuráveis e passíveis de monitoramento e atualização, sempre que necessário;

III - conferir as condições de recuperação em situações de interrupção da capacidade do INSS em continuar suas atividades;

IV - adotar medidas que visam proteger os ativos de informação do INSS, visando garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações;

V - observar as questões relativas à saúde e ao bem-estar dos servidores, agentes públicos e demais colaboradores, através de medidas rápidas, visando a preservação da integridade física e psicológica dos profissionais;

VI - avaliar os riscos associados aos cenários de crise e seus impactos sobre o negócio;

VII - realizar exercícios, testes e revisões periódicas dos componentes da GCN; e

VIII - desenvolver, bem como fortalecer a cultura de gestão de crises e de continuidade de negócios.

CAPÍTULO IV

DA GOVERNANÇA, PAPÉIS E RESPONSABILIDADES

Art. 11. O apoio e o suporte aos diversos níveis hierárquicos do INSS, integrando as atividades de Gestão de Continuidade nos processos e atividades organizacionais, competem às seguintes instâncias responsáveis pelo SGCN-INSS:

I - Comitê Estratégico de Governança - CEGOV;

II - Presidente;

III - Auditoria-Geral;

IV - Diretorias;

V - Superintendências Regionais;

VI - Gerências-Executivas; e

VII - Agências da Previdência Social.

Art. 12. Compete ao Cegov:

I - coordenar a implantação e a operação do SGCN-INSS;

II - patrocinar a implementação da Política de GCN em toda a organização;

III - definir os recursos necessários para a implementação e manutenção da GCN na organização; e

IV - definir e monitorar os indicadores de desempenho relacionados à GCN, a fim de garantir que a organização esteja preparada para enfrentar qualquer evento disruptivo.

Art. 13. Compete à Diretoria de Governança, Planejamento e Inovação (Digov), dentre outras atribuições:

I - coordenar e monitorar a implementação da GCN em toda a organização:

II - definir e atualizar as estratégias de implantação do SGCN-INSS, considerando os contextos externo e interno;

III - coordenar a:

a) elaboração e revisão do PCN do INSS;

b) realização de treinamentos e exercícios de simulação para garantir a prontidão da organização em caso de eventos disruptivos; e

c) resposta a eventos disruptivos, bem como fomentar a continuidade das atividades críticas do INSS;

IV - implementar e manter a GCN em toda a organização;

V - promover ações para que as avaliações de riscos sejam realizadas regularmente e que os planos de ação apropriados sejam implementados para mitigar os riscos identificados;

VI - adotar mecanismos para que as políticas e procedimentos relacionados à GCN sejam atualizados regularmente e em conformidade com as normas e regulamentações aplicáveis;

VII - desenvolver ações para que todos os servidores, gestores e colaboradores do INSS estejam cientes de suas responsabilidades em relação à GCN e que sejam treinados regularmente para lidar com eventos disruptivos; e

VIII - aprovar Comitê de Crise quando houver necessidade apresentada pela (s) área (s) de negócio.

Art. 14. Compete aos órgãos e unidades, observadas suas respectivas áreas de atuação e respeitada a hierarquia funcional:

I - aprovar planos relacionados à GCN;

II - adotar as providências cabíveis sempre que houver incidente sob sua gestão;

III - responder às solicitações e recomendações acerca de incidentes;

IV - promover a resolubilidade de maneira tempestiva no atendimento das demandas de gestão de continuidade;

V - fornecer informações necessárias para a elaboração e planejamento da GCN no INSS;

VI - gerenciar os eventos inerentes às suas atividades (identificar, avaliar e tratar); e

VII - definir, bem como acompanhar os planos estabelecidos a partir da Política de GCN.

Art. 15. Para a implementação adequada do PCN, os responsáveis pela implementação deverão, sempre que possível, estabelecer:

I - os meios de publicação dos documentos derivados do PCN;

II - os participantes da gerência do PCN, incluindo representantes de áreas de negócio e o coordenador do PCN;

III - os processos críticos ao negócio e seus responsáveis;

IV - os grupos responsáveis pela criação, acompanhamento, revisão, avaliação, evolução, frequência e execução de testes e treinamento dos PCN;

V - a frequência da capacitação das pessoas comprometidas com a execução do PCN; e

VI - a identificação e concordância de todas as responsabilidades e procedimentos do PCN para garantir sua eficácia.

Art. 16. Caberá ao coordenador-setorial de gestão de riscos, em complemento às atividades de gerenciamento de risco, coordenar e orientar os gestores de riscos a elaborarem os PCN nas unidades operacionais, além de:

I - coordenar a:

a) implementação das políticas e diretrizes estabelecidas pela Digov; e

b) realização de treinamentos e exercícios de simulação para garantir a prontidão do INSS em caso de desastres ou interrupções;

II - fornecer orientação e suporte aos gestores de riscos em toda a organização.

Art. 17. Compete aos gestores de riscos nos objetos de gestão sob sua responsabilidade:

I - avaliar periodicamente os riscos e vulnerabilidades que possam afetar a continuidade das atividades do INSS;

II - gerenciar o PCN em suas unidades, garantindo que esteja atualizado e eficaz;

III - desenvolver e manter relacionamentos com outras organizações e autoridades relevantes para a GCN;

IV - coordenar dentro da unidade, tempestivamente, o fornecimento das informações e o acesso às bases de dados solicitados pela Diretoria e Superintendência Regional nas suas áreas de competência para elaboração de análises, e relatórios de Gestão de Risco; e

V - assegurar o registro tempestivo de eventos de risco, bem como coordenar, dentro da unidade, as ações para gerenciá-los e mitigá-los.

CAPÍTULO V

DAS DISPOSIÇÕES FINAIS

Art. 18. A implantação da GCN aplica-se às atividades do INSS, devendo ser adotadas as medidas cabíveis sempre que necessárias.

Art. 19. A Política de GCN do INSS aplica-se, irrestritamente, a todos os macroprocessos do INSS, sendo obrigatória a sua observância por todos os servidores, gestores e demais colaboradores do Instituto.

Art. 20. As iniciativas relacionadas à GCN existentes no INSS anteriormente à publicação desta Resolução deverão, gradualmente, ser alinhadas à Política de GCN.

Art. 21. Os casos omissos, exceções, bem como os ajustes na Política de GCN devem ser submetidos à avaliação da Digov, antes da análise e aprovação do Cegov.

Art. 22. Os casos de dúvidas na aplicação da Política de GCN serão solucionados pela Digov.

Art. 23. A não observância da Política de GCN e seus desdobramentos normativos implicará, no que couber, nas sanções previstas no Regime Disciplinar, no Código de Ética Profissional do Servidor Público Civil do Poder Executivo Federal e em demais normas internas sobre condutas.

Art. 24. Esta Resolução entra em vigor em 1º de dezembro de 2023.

Presidente

Diretor de Tecnologia da Informação

Diretora de Governança, Planejamento e Inovação

Diretor de Benefícios e Relacionamento com o Cidadão

Diretora de Orçamento, Finanças e Logística

Diretora de Gestão de PessoasSubstituta