Obrigações de controlo de fornecedor externo Resiliência
Designação do controlo 1.Governação de resiliência e Descrição do controlo O fornecedor tem de estabelecer uma governação eficaz para manter as capacidades de resiliência e relativamente a todos os processos e serviços principais, suficiente para minimizar a perturbação de incidentes significativos. O fornecedor disponibilizará ao respetivo pessoal formação e/ou sensibilização sobre resiliência adequada aos respetivos cargos. Porque é importante O tem um requisito comercial (e orientado para o risco) de evitar e/ou conseguir recuperar atempadamente de significativas perturbações do processo, ou seja, ser adequadamente resiliente. O tem de ser assegurado, e estar apto a assegurar aos seus intervenientes, de que existem em curso governação e medidas adequadas que visam evitar, sempre que possível, significativas perturbações do processo que impliquem que as atividades do saiam fora da respetiva apetência pelo risco e, se essas perturbações ocorrerem, lidar com as mesmas de uma maneira pré-acordada ou aprovada que minimize os respetivos impactos (sejam sobre o cliente, financeiros ou sobre a reputação). 2. Identificar atividades que exijam resiliência ou O fornecedor tem de estabelecer necessidades de resiliência ou para processos e serviços fundamentais incluindo, entre outros, objetivos de tempo de (Recovery Time Objectives - RTO), objetivos de ponto de (Recovery Point Objectives - RPO) e níveis de operação revistos (Revised Operating Levels - ROL) (conforme definido abaixo) em conformidade com a categoria de resiliência aplicável designada pelo. (Consultar abaixo a Matriz de sensibilidade de resiliência) O fornecedor tem de ser inequívoco relativamente às necessidades de recursos dos respetivos processos e serviços em períodos de perturbação significativa. O fornecedor e o têm de ter um entendimento comum sobre os requisitos de resiliência e. 3. Definir planos de resiliência ou O fornecedor tem de estabelecer planos de que garantam uma disponibilidade atempada de recursos (incluindo pessoas, instalações, fornecedores, aplicações de TI e infraestrutura) necessários para operar os respetivos processos e serviços fundamentais em situações de perturbação significativa. O fornecedor tem de rever anualmente os planos de e em períodos de mudanças significativas, e partilhar um resumo dos planos com o. O fornecedor tem de ser inequívoco relativamente aos planos de no que se refere aos respetivos processos e serviços em períodos de perturbação significativa. O fornecedor e o têm de ter um entendimento comum sobre os planos de resiliência e.
Designação do controlo 4. Identificar e colmatar lacunas em termos de capacidades de resiliência ou 5. Gerir incidentes com eficácia Descrição do controlo O fornecedor tem de testar e validar todas as disposições relativas a resiliência ou definidas nos planos, e corrigir imediatamente quaisquer deficiências identificadas. O fornecedor tem de garantir periodicamente que as necessidades de recursos (incluindo pessoas, instalações, fornecedores, aplicações de TI e infraestrutura) dos respetivos processos e serviços estarão disponíveis quando necessário, no intuito de garantir a aplicação da sua estratégia de resiliência. O fornecedor, por acordo mútuo, pode ter a participação do na validação dos planos do fornecedor e poderá ter de participar periodicamente na validação dos planos do. O fornecedor e o chegarão a acordo quanto à extensão dos testes e validação em conformidade com a importância do serviço, com uma frequência não inferior à especificada na tabela de sensibilidade de resiliência abaixo. Todas as disposições dos planos de resiliência e têm de possuir um relatório de validação atual. O fornecedor tem de partilhar com o um resumo desses relatórios de validação, imediatamente após os testes. O fornecedor tem de registar cada ponto de falha identificado nos testes e desenvolver e assumir a responsabilidade por um plano de correção documentado, partilhado e acordado com todas as partes dependentes envolvidas, e gerido até à conclusão com patrocínio, recursos, financiamento e compromisso ao nível da direção executiva, garantindo a conclusão num período acordado. O fornecedor tem de estabelecer procedimentos que proporcionem um tratamento, uma gestão e uma revisão eficazes e consistentes de eventos significativos (p. ex., eventos que apresentem potencial de impacto significativo em operações normais) que: dêem resposta a eventuais problemas de risco de conduta (por exemplo, relacionados com conformidade regulamentar, ou com impacto em clientes ou mercados) que resultem de perturbação do processo; Porque é importante Todas as disposições referentes a resiliência ou definidas nos planos têm de ser testadas e validadas para identificar e prevenir falhas de serviço inaceitáveis. Para que os serviços sejam adequadamente resilientes, cada processo ou serviço tem de ter capacidade para continuar a operar sem ser afetado ou recuperar completamente de uma perturbação (independentemente do evento de risco) dentro dos prazos definidos, ou o fornecedor tem de ter capacidade para mudar para um meio alternativo para realização do processo ou serviço garantindo padrões equivalentes (dentro de prazos definidos). Também é importante a retenção de evidências recolhidas durante o teste de validação, pois podem ser necessárias para auditoria ou análise regulamentar. O fornecedor tem de ser inequívoco quanto aos respetivos procedimentos para lidar e gerir os respetivos serviços em períodos de eventos significativos ou situações de crise. O fornecedor e o têm de ter um entendimento comum dos compromissos entre unidades de negócios e procedimentos de encaminhamento operacional em casos de eventos significativos e situações de crise. incluam um acordo inequívoco sobre compromissos entre unidades
Designação do controlo Descrição do controlo de negócios e procedimentos de encaminhamento operacional, incluindo o e entidades intermediárias no processo, e a invocação de procedimentos de gestão de crises; e Porque é importante garantam o posterior registo e participação do incidente. O fornecedor tem de estabelecer procedimentos que proporcionem um tratamento e uma gestão consistentes e eficazes de situações de crise (no caso de ter ocorrido um impacto significativo ou no caso de não ter sido possível evitá-lo) que: garantam a inclusão de executivos sénior de todas as áreas afetadas visando a formação de uma equipa de liderança de crises, ou seja, uma equipa com os níveis de autoridade necessários para dirigir todas as atividades necessárias e lidar de forma decisiva com a crise em causa; e incluam o compromisso de realizar exercícios regulares e periódicos de invocação e operação de gestão de crises, incluindo etapas de briefing e "ilações tiradas" adequados de modo a possibilitar a melhoria do processo. 6. Comunicação do estado de resiliência ou O fornecedor tem de manter a capacidade para coordenar a produção de relatos periódicos sobre o estado de resiliência ou global do serviço, para entrega ao e à direção executiva. O relato tem de incluir uma comparação entre a capacidade de resiliência real e os requisitos de resiliência e exigidos e estado do programa de correção. A comunicação disponibiliza uma análise dos níveis de resiliência exigidos comparativamente aos reais, juntamente com os progressos das ações corretivas. A comunicação tem de refletir mudanças na capacidade desejada e na real (com tendências). Tabela de sensibilidade de resiliência Os requisitos mínimos de resiliência, e validação do são definidos pela categoria de resiliência (0-3) atribuída pelo ao fornecedor. Uma categoria de resiliência mais elevada (ou seja, um número mais baixo) exigirá um padrão de resiliência ou mais elevado de acordo com a importância do serviço. O fornecedor e o têm de estabelecer o objetivo de tempo de (Recovery Time Objective - RTO), o objetivo de ponto de (Recovery Point Objective - RPO) e os
requisitos de validação para o serviço definidos na categoria de resiliência (Categoria 0) mais crítica, e que, no mínimo, cumpram os requisitos descritos na tabela seguinte. O nível de operação revisto (Revised Operating Level - ROL) tem de ser acordado entre o e o fornecedor. Categoria de resiliência 0 1 2 3 RTO até 5 minutos Até 4 horas Até 12 horas Até 24 horas RPO até 5 minutos Até 30 minutos Até 30 minutos Até 24 horas ROL Frequência de teste/validaç ão A acordar pelo fornecedor e o A acordar pelo fornecedor e o A acordar pelo fornecedor e o A acordar pelo fornecedor e o 12 meses 12 meses 12 meses 12 meses Definições Recovery Point Objective (objetivo de ponto de ) Recovery Time Objective (objetivo de tempo de significa a situação almejada em termos de disponibilidade de dados no início do processo de. Trata-se da medida da perda de dados máxima que é tolerável numa situação de. significa a duração almejada entre uma falha ou interrupção inesperada e o retomar das operações aos níveis de serviço acordados.
) Revised Operating Level (nível de operação revisto) significa os níveis de recurso mínimos necessários para suster as operações de negócios aos níveis de serviço acordados.