Institui a Política de Gestão de Continuidade de Negócios do INSS.
O COMITÊ ESTRATÉGICO DE GOVERNANÇA DO INSTITUTO NACIONAL DO SEGURO SOCIAL – CEGOV/INSS, no uso das atribuições que lhe confere a Portaria nº 3.213/PRES/INSS, de 10 de dezembro de 2019, e
Considerando o disposto no Decreto nº 9.203, de 22 de novembro de 2017, na Instrução Normativa Conjunta do Ministério do Planejamento, Orçamento e Gestão – MPOG e da Controladoria-Geral da União – CGU nº 1, de 10 de maio de 2016, bem como o contido no Processo Administrativo nº 35014.299360/2022-06, resolve:
Art. 1º Instituir a Política de Gestão de Continuidade de Negócios do INSS –
Política de GCN, nos termos desta Resolução.
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 2º A finalidade da Política de GCN é definir:
I – o escopo e as regras básicas de Gestão de Continuidade de Negócios (GCN) do INSS, de forma a estabelecer direcionamentos a partir dessas orientações, considerando as necessidades específicas e os aspectos legais e regulamentares que a Autarquia está sujeita; e
II – a atuação do INSS na ocorrência de incidentes que possam causar interrupção de suas atividades, de forma a proteger servidores, colaboradores ou demais agentes públicos e assegurar o funcionamento dos seus processos críticos em níveis aceitáveis, preservando a viabilidade e resiliência no cumprimento de sua missão precípua.
Art. 3º O Sistema de Gestão de Continuidade de Negócios do INSS (SGCN-INSS):
I – consiste no conjunto de instrumentos de governança e de gestão que estabeleçam políticas e objetivos de continuidade de negócios alinhados com os objetivos do INSS, que operacionalize e monitore processos, capacidades e estruturas de resposta para garantir a continuidade dos negócios geridos pela Autarquia através da melhoria contínua baseada na medição qualitativa e/ou quantitativa; e
II – compreende, entre outros, política, papéis, responsabilidades, processos de gestão, avaliação de riscos, planos e informações documentadas que suportam o controle operacional e permitam a avaliação de desempenho.
Art. 4º A Política de GCN integra o SGCN-INSS.
Art. 5º Para os efeitos desta Resolução, entende-se por:
I – GCN – processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem, e que fornece uma estrutura para que se desenvolva uma resiliência organizacional capaz de responder efetivamente, bem como salvaguardar os interesses das partes interessadas, a reputação e a marca da organização, e suas atividades de valor agregado;
II – Planos de:
a) Continuidade de Negócios (PCN) – documentação dos procedimentos e informações necessárias para que os órgãos ou entidades mantenham seus ativos de informação críticos e a continuidade de suas atividades críticas em local alternativo num nível previamente definido, em casos de incidentes ou desastres;
b) Administração de Crise – documento disponibilizado para a alta gestão que objetiva dar mais controle para a organização em caso de uma situação de crise, contendo informações como listas de contatos e relação de atividades das equipes envolvidas;
c) Continuidade Operacionais (PCO) – determinam quais atividades e tarefas são executadas, em qual ordem e por quem, com a finalidade de otimizar a recuperação; e
d) Gerenciamento de Incidentes – plano de ação claramente definido e documentado, para ser usado quando ocorrer um incidente que basicamente cubra as principais pessoas, recursos, serviços e outras ações que sejam necessárias para implementar o processo de gerenciamento de incidentes;
III – Programa de Gestão da Continuidade de Negócios (PGCN) – é uma estrutura organizacional mais ampla que suporta a GCN e inclui políticas, procedimentos e processos documentados, para garantir que as atividades da GCN sejam conduzidas de maneira sistemática e coordenada, bem como aborda questões como estratégia, planejamento, implementação, teste e manutenção da GCN, e envolve uma abordagem abrangente de toda a organização;
IV – crise – é o momento em que ocorre qualquer evento que compromete o funcionamento natural da organização;
V – contingência – é o instante em que são alocados recursos para responder aos eventos de falha e garantir a continuidade das operações;
VI – interrupção – é um evento, seja previsto ou não, que cause um desvio negativo, imprevisto na entrega e execução de produtos ou serviços da organização, de acordo com seus objetivos;
VII – interrupção severa – qualquer evento que torne uma instalação de negócios indisponível ou que atinja de forma significativa o corpo funcional, e, dessa forma, interfira com a capacidade da organização de oferecer serviços essenciais;
VIII – atividade crítica – é aquela que deve ser executada de forma a garantir a consecução dos produtos e serviços fundamentais do órgão ou entidade, de tal forma que permita atingir os seus objetivos mais importantes e sensíveis ao tempo; e
IX – incidente – é um evento que tenha causado algum dano, colocado em risco algum ativo de informação crítico ou interrompido a execução de alguma atividade crítica.
CAPÍTULO II
DOS PRINCÍPIOS E OBJETIVOS
Art. 6º São princípios norteadores da Política de GCN a:
I – adequação à missão, ao porte e ao perfil de atuação do INSS;
II – manutenção da atualização e aperfeiçoamento dos componentes da GCN; e
III – resiliência aos impactos das crises, mantendo o foco na execução dos processos críticos e na continuidade das atividades.
Art. 7º O objetivo do INSS com a GCN é coordenar a recuperação de processos de negócios sensíveis ao tempo em que ocorra uma interrupção severa na execução desses processos, e garantir o funcionamento da Instituição a níveis aceitáveis na ocorrência de crises que, porventura, venham a interromper suas atividades.
Parágrafo único. Nos processos identificados como críticos, na visão da continuidade dos negócios, terão, sempre que possível, suas contingências planejadas e testadas, visando reduzir o impacto dos incidentes.
Art. 8º São objetivos da GCN do INSS:
I – assegurar:
a) a segurança de servidores, usuários e demais colaboradores em casos de interrupções severas em áreas afetadas pelo evento cuja responsabilidade seja do INSS;
b) a rápida e efetiva execução das estratégias de recuperação para as funções de negócios críticas, por meio de planos e procedimentos documentados; e
c) que as funções de negócios críticas possam continuar utilizando-se de recursos contingenciais;
II – mitigar as ameaças ou limitar os danos que essas ameaças podem causar.
CAPÍTULO III
DA ABRANGÊNCIA E DIRETRIZES
Art. 9º A GCN do INSS deve ser implantada por meio de ciclos de revisão e melhoria contínua, estando a sua operacionalização descrita no Plano de Gestão de Continuidade de Negócios do INSS, que abrangerá, pelo menos, as seguintes situações de Continuidade:
I – de Serviços de Tecnologia: o INSS deve possuir estrutura responsável pela Gestão de Incidentes, Gestão de Crise, Gestão de Problemas e Gestão de Data Center, monitorando, identificando e buscando a solução para os problemas e/ou falhas no ambiente de Tecnologia da Informação – TI que possam provocar a instabilidade e/ou indisponibilidade dos Serviços Críticos de TI;
II – nas Agências da Previdência Social: a gestão dos Pontos de Atendimento do INSS deve ter como objetivo principal garantir a continuidade do atendimento e disponibilidade dos serviços aos seus clientes, independentemente da origem do evento crítico que causou a interrupção; e
III – dos Negócios (Administração Central): a atuação da GCN se restringe aos processos de negócios centralizados na Administração Central considerados críticos e que, se forem interrompidos, geram relevante impacto para a Instituição e na continuidade dos serviços prestados aos usuários dos serviços prestados pelo INSS, com exposição aos riscos relativos à imagem, integridade, conformidade e operacionais.
Art. 10. São diretrizes da Política de GCN:
I – estabelecer estratégias para assegurar a continuidade das atividades do INSS e minimizar perdas decorrentes da interrupção dos processos críticos;
II – considerar:
a) o nível mínimo dos serviços que é aceitável para o INSS permanecer em operação ou continuar suas atividades; e
b) os parâmetros aplicáveis, mensuráveis e passíveis de monitoramento e atualização, sempre que necessário;
III – conferir as condições de recuperação em situações de interrupção da capacidade do INSS em continuar suas atividades;
IV – adotar medidas que visam proteger os ativos de informação do INSS, visando garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações;
V – observar as questões relativas à saúde e ao bem-estar dos servidores, agentes públicos e demais colaboradores, através de medidas rápidas, visando a preservação da integridade física e psicológica dos profissionais;
VI – avaliar os riscos associados aos cenários de crise e seus impactos sobre o negócio;
VII – realizar exercícios, testes e revisões periódicas dos componentes da GCN; e
VIII – desenvolver, bem como fortalecer a cultura de gestão de crises e de continuidade de negócios.
CAPÍTULO IV
DA GOVERNANÇA, PAPÉIS E RESPONSABILIDADES
Art. 11. O apoio e o suporte aos diversos níveis hierárquicos do INSS, integrando as atividades de Gestão de Continuidade nos processos e atividades organizacionais, competem às seguintes instâncias responsáveis pelo SGCN-INSS:
I – Comitê Estratégico de Governança – CEGOV;
II – Presidente;
III – Auditoria-Geral;
IV – Diretorias;
V – Superintendências Regionais;
VI – Gerências-Executivas; e
VII – Agências da Previdência Social.
Art. 12. Compete ao Cegov:
I – coordenar a implantação e a operação do SGCN-INSS;
II – patrocinar a implementação da Política de GCN em toda a organização;
III – definir os recursos necessários para a implementação e manutenção da GCN na organização; e
IV – definir e monitorar os indicadores de desempenho relacionados à GCN, a fim de garantir que a organização esteja preparada para enfrentar qualquer evento disruptivo.
Art. 13. Compete à Diretoria de Governança, Planejamento e Inovação (Digov), dentre outras atribuições:
I – coordenar e monitorar a implementação da GCN em toda a organização:
II – definir e atualizar as estratégias de implantação do SGCN-INSS, considerando os contextos externo e interno;
III – coordenar a:
a) elaboração e revisão do PCN do INSS;
b) realização de treinamentos e exercícios de simulação para garantir a prontidão da organização em caso de eventos disruptivos; e
c) resposta a eventos disruptivos, bem como fomentar a continuidade das atividades críticas do INSS;
IV – implementar e manter a GCN em toda a organização;
V – promover ações para que as avaliações de riscos sejam realizadas regularmente e que os planos de ação apropriados sejam implementados para mitigar os riscos identificados;
VI – adotar mecanismos para que as políticas e procedimentos relacionados à GCN sejam atualizados regularmente e em conformidade com as normas e regulamentações aplicáveis;
VII – desenvolver ações para que todos os servidores, gestores e colaboradores do INSS estejam cientes de suas responsabilidades em relação à GCN e que sejam treinados regularmente para lidar com eventos disruptivos; e
VIII – aprovar Comitê de Crise quando houver necessidade apresentada pela (s) área (s) de negócio.
Art. 14. Compete aos órgãos e unidades, observadas suas respectivas áreas de atuação e respeitada a hierarquia funcional:
I – aprovar planos relacionados à GCN;
II – adotar as providências cabíveis sempre que houver incidente sob sua gestão;
III – responder às solicitações e recomendações acerca de incidentes;
IV – promover a resolubilidade de maneira tempestiva no atendimento das demandas de gestão de continuidade;
V – fornecer informações necessárias para a elaboração e planejamento da GCN no INSS;
VI – gerenciar os eventos inerentes às suas atividades (identificar, avaliar e tratar); e
VII – definir, bem como acompanhar os planos estabelecidos a partir da Política de GCN.
Art. 15. Para a implementação adequada do PCN, os responsáveis pela implementação deverão, sempre que possível, estabelecer:
I – os meios de publicação dos documentos derivados do PCN;
II – os participantes da gerência do PCN, incluindo representantes de áreas de negócio e o coordenador do PCN;
III – os processos críticos ao negócio e seus responsáveis;
IV – os grupos responsáveis pela criação, acompanhamento, revisão, avaliação, evolução, frequência e execução de testes e treinamento dos PCN;
V – a frequência da capacitação das pessoas comprometidas com a execução do PCN; e
VI – a identificação e concordância de todas as responsabilidades e procedimentos do PCN para garantir sua eficácia.
Art. 16. Caberá ao coordenador-setorial de gestão de riscos, em complemento às atividades de gerenciamento de risco, coordenar e orientar os gestores de riscos a elaborarem os PCN nas unidades operacionais, além de:
I – coordenar a:
a) implementação das políticas e diretrizes estabelecidas pela Digov; e
b) realização de treinamentos e exercícios de simulação para garantir a prontidão do INSS em caso de desastres ou interrupções;
II – fornecer orientação e suporte aos gestores de riscos em toda a organização.
Art. 17. Compete aos gestores de riscos nos objetos de gestão sob sua responsabilidade:
I – avaliar periodicamente os riscos e vulnerabilidades que possam afetar a continuidade das atividades do INSS;
II – gerenciar o PCN em suas unidades, garantindo que esteja atualizado e eficaz;
III – desenvolver e manter relacionamentos com outras organizações e autoridades relevantes para a GCN;
IV – coordenar dentro da unidade, tempestivamente, o fornecimento das informações e o acesso às bases de dados solicitados pela Diretoria e Superintendência Regional nas suas áreas de competência para elaboração de análises, e relatórios de Gestão de Risco; e
V – assegurar o registro tempestivo de eventos de risco, bem como coordenar, dentro da unidade, as ações para gerenciá-los e mitigá-los.
CAPÍTULO V
DAS DISPOSIÇÕES FINAIS
Art. 18. A implantação da GCN aplica-se às atividades do INSS, devendo ser adotadas as medidas cabíveis sempre que necessárias.
Art. 19. A Política de GCN do INSS aplica-se, irrestritamente, a todos os macroprocessos do INSS, sendo obrigatória a sua observância por todos os servidores, gestores e demais colaboradores do Instituto.
Art. 20. As iniciativas relacionadas à GCN existentes no INSS anteriormente à publicação desta Resolução deverão, gradualmente, ser alinhadas à Política de GCN.
Art. 21. Os casos omissos, exceções, bem como os ajustes na Política de GCN devem ser submetidos à avaliação da Digov, antes da análise e aprovação do Cegov.
Art. 22. Os casos de dúvidas na aplicação da Política de GCN serão solucionados pela Digov.
Art. 23. A não observância da Política de GCN e seus desdobramentos normativos implicará, no que couber, nas sanções previstas no Regime Disciplinar, no Código de Ética Profissional do Servidor Público Civil do Poder Executivo Federal e em demais normas internas sobre condutas.
Art. 24. Esta Resolução entra em vigor em 1º de dezembro de 2023.
ALESSANDRO ANTONIO STEFANUTTO
Presidente
AILTON NUNES DE MATOS JÚNIOR
Diretor de Tecnologia da Informação
ANA CAROLINA TIETZ
Diretora de Governança, Planejamento e Inovação
ANDRÉ PAULO FÉLIX FIDELIS
Diretor de Benefícios e Relacionamento com o Cidadão
DÉBORA APARECIDA ANDRADE FLORIANO
Diretora de Orçamento, Finanças e Logística
MAISA CRISTINA MENEZES CABRAL
Diretora de Gestão de Pessoas
Substituta