ISO 22301: guia prático de continuidade de negócio

Como preparar a organização, estruturar evidência e desenvolver competências.

⏱️ Leitura estimada: 8 minutos

O que é a ISO 22301 e a quem se aplica?

A ISO 22301 especifica os requisitos para estabelecer, implementar, manter e melhorar um Sistema de Gestão da Continuidade de Negócio (SGCN). Pode ser aplicada por organizações de qualquer dimensão ou sector que precisem de assegurar a entrega de produtos e serviços prioritários durante uma disrupção.

A norma é voluntária enquanto referencial de sistema de gestão e de certificação. Ainda assim, requisitos legais, sectoriais ou contratuais podem exigir capacidades específicas de continuidade, recuperação e demonstração de evidência. A certificação é uma forma de demonstrar conformidade com a norma, mas não substitui obrigações aplicáveis à organização.

Referencial considerado neste artigo

A edição publicada é a ISO 22301:2019, complementada pela Emenda 1:2024. A emenda reforça a necessidade de a organização determinar se as alterações climáticas são uma questão relevante para o SGCN e considerar requisitos relacionados das partes interessadas.

A ISO 22301 segue a estrutura harmonizada das normas ISO de sistemas de gestão, o que facilita a articulação com referenciais de requisitos como a ISO/IEC 27001. A ISO 31000 pode apoiar a gestão e a avaliação do risco, mas é uma norma de orientação e não um referencial certificável de requisitos para um sistema de gestão.

Porque se destaca no contexto do risco e compliance

A relevância da continuidade de negócio não depende apenas da intenção de obter uma certificação. Resulta também do aumento das dependências operacionais, da concentração em fornecedores críticos e da necessidade de demonstrar preparação perante clientes, reguladores e outras partes interessadas.

Factor Impacto prático
Dependência tecnológica e operacional Serviços cloud, sistemas únicos, equipas distribuídas e fornecedores especializados podem propagar uma interrupção e afectar produtos ou serviços prioritários.
Exigência de clientes e da cadeia de fornecimento Processos de contratação, due diligence e avaliação de fornecedores podem solicitar planos, objectivos de recuperação, resultados de exercícios e acções de melhoria.
Pressão regulatória e sectorial Requisitos de resiliência operacional podem levar organizações abrangidas a reforçar controlos, evidência e cláusulas contratuais aplicáveis aos seus prestadores.

Os conceitos técnicos que sustentam o sistema

Antes de escolher soluções ou produzir documentação, a organização deve distinguir a Análise de Impacto no Negócio dos parâmetros temporais, níveis mínimos de operação e requisitos de recuperação que dela podem resultar.

BIA — Análise de Impacto no Negócio: processo de análise que identifica actividades prioritárias, dependências e recursos necessários, avaliando como os impactos de uma interrupção evoluem ao longo do tempo.

MTPD — Maximum Tolerable Period of Disruption: período após o qual os impactos de não realizar uma actividade ou não disponibilizar um produto ou serviço se tornam inaceitáveis para a organização.

RTO — Recovery Time Objective: objectivo temporal para retomar uma actividade, produto ou serviço a uma capacidade previamente definida. Deve ser estabelecido dentro do período em que os impactos continuam toleráveis.

MBCO — Minimum Business Continuity Objective: nível mínimo de produtos ou serviços que a organização considera aceitável durante uma disrupção. Explicita a capacidade mínima que deve estar disponível no RTO.

RPO — Recovery Point Objective: ponto no tempo até ao qual os dados e a informação devem ser recuperados para permitir a retoma, quando este parâmetro é aplicável.

A BIA não é um valor; o MBCO traduz um nível mínimo de operação; e o RPO não se aplica da mesma forma a todas as actividades. Em conjunto, os resultados da BIA, os limites de tolerância e os objectivos de recuperação ajudam a definir capacidades, soluções e níveis de investimento proporcionais à criticidade.

Exemplo ilustrativo

Se os impactos de uma interrupção de um serviço se tornarem inaceitáveis após 24 horas, a organização pode definir um RTO de 8 horas, um MBCO que assegure os serviços prioritários a 50% da capacidade habitual e, quando exista dependência de dados, um RPO de 1 hora. Os valores e níveis devem resultar da análise do contexto e não de uma regra universal.

Os cinco passos para preparar a organização

1. Definir o âmbito do SGCN

Clarificar o propósito, os limites e a aplicabilidade do sistema: produtos e serviços abrangidos, actividades, localizações, tecnologias, interfaces internas, processos externalizados e fornecedores críticos. Exclusões e fronteiras devem ser justificadas e coerentes com as dependências reais. Na análise do contexto, a organização deve ainda determinar se as alterações climáticas constituem uma questão relevante para o SGCN.

2. Executar a BIA e a avaliação de risco

A BIA identifica actividades prioritárias, impactos ao longo do tempo, recursos e dependências, apoiando a definição do MTPD, do RTO, do MBCO e, quando aplicável, do RPO. Em paralelo, a avaliação de risco identifica cenários de disrupção, vulnerabilidades e controlos — por exemplo, falha tecnológica, indisponibilidade de instalações, ausência de pessoas-chave ou ruptura de fornecimento.

Os dois processos complementam-se: a BIA determina o que precisa de ser recuperado e em que prioridade; a avaliação de risco ajuda a compreender o que pode causar a interrupção e como reduzir a exposição.

3. Definir estratégias, soluções e planos

Com base nos resultados anteriores, a organização selecciona soluções para pessoas, instalações, tecnologia, informação, fornecedores, logística e serviços essenciais. Depois, documenta os planos e procedimentos necessários para responder, continuar, recuperar e regressar a uma operação estável.

Componente habitual Finalidade principal Quando é utilizado
Plano de Continuidade de Negócio (BCP) Coordenar a continuidade e a retoma de actividades, produtos e serviços prioritários. Quando a disrupção ultrapassa os critérios de activação definidos.
Procedimentos de resposta a incidentes Controlar a resposta imediata, proteger pessoas e activos, avaliar o evento e comunicar. A partir da detecção, notificação ou escalamento do incidente.
Plano de Recuperação de Desastre (DRP) Recuperar infra-estrutura, dados e serviços tecnológicos necessários ao negócio. Quando é activada a recuperação de componentes TIC.

Estas designações são comuns e úteis para organizar responsabilidades. Contudo, a ISO 22301 não impõe três documentos autónomos com estes nomes. A arquitectura documental deve ser adequada ao âmbito, à complexidade e às dependências da organização.

4. Testar através de exercícios

A organização deve implementar e manter um programa de exercícios a intervalos planeados e sempre que alterações significativas o justifiquem. Podem ser utilizados exercícios de mesa, simulações funcionais, testes parciais ou exercícios completos, de acordo com os riscos e os objectivos definidos.

Cada exercício deve deixar um registo rastreável dos objectivos, cenário, participantes, critérios de avaliação, resultados, lacunas, responsáveis e prazos das acções de melhoria. Não existe uma frequência universal aplicável a todas as organizações: a periodicidade deve reflectir criticidade, mudança, risco e resultados anteriores.

5. Estruturar informação documentada e evidência

Depois de testar estratégias, planos e responsabilidades, a organização deve consolidar a informação documentada e a evidência produzida. Numa auditoria, essa evidência pode incluir o âmbito, a política e os objectivos; resultados da BIA e da avaliação de risco; MTPD, RTO, MBCO e RPO quando aplicável; estratégias e planos aprovados; critérios de activação e comunicação; competências e formação; exercícios e respectivos resultados; auditorias internas; revisão pela gestão; e tratamento de não conformidades e acções correctivas.

O conjunto exacto depende do âmbito e da aplicabilidade dos requisitos. Ter um documento não é suficiente: a organização deve conseguir demonstrar que o processo funciona e produz resultados consistentes.

Está a preparar a implementação de um SGCN?

A formação ISO 22301 Lead Implementer ajuda a transformar requisitos em âmbito, BIA, objectivos de recuperação, soluções, planos, evidência e melhoria contínua.

Ver ISO 22301 Lead Implementer

O que a organização deve conseguir demonstrar em auditoria

  • âmbito, contexto, partes interessadas e critérios de aplicabilidade definidos, incluindo a determinação da relevância das alterações climáticas;
  • política, objectivos, responsabilidades, recursos e mecanismos de governação do SGCN;
  • resultados da BIA e da avaliação de risco, com actividades prioritárias, dependências, MTPD, RTO, MBCO e, quando aplicável, RPO devidamente justificados;
  • estratégias, soluções, planos e procedimentos coerentes, com critérios de activação, comunicação e escalamento;
  • competência, formação e sensibilização das pessoas com responsabilidades relevantes;
  • programa de exercícios executado a intervalos planeados, com resultados, lições identificadas e acções de melhoria;
  • monitorização, auditoria interna, revisão pela gestão, não conformidades e acções correctivas que evidenciem melhoria contínua.

O auditor utiliza amostragem e procura evidência de implementação e eficácia, não apenas a existência formal de documentos. A profundidade da análise varia com o âmbito, a dimensão, a complexidade e os riscos da organização.

Como a Behaviour pode apoiar

A Behaviour disponibiliza percursos que articulam continuidade do negócio, gestão do risco, resiliência, auditoria e preparação tecnológica. A escolha deve considerar o papel do participante, a maturidade do SGCN e o resultado pretendido. Para comparar áreas e níveis, consulte o Catálogo de Áreas de Formação.

Continuidade do negócio — sensibilização e fundamentos: os percursos ISO 22301 Employee Readiness, ISO 22301 Essentials e ISO 22301 Foundation criam uma linguagem comum e uma base progressiva para colaboradores, equipas e profissionais.

Implementação e auditoria do SGCN: o ISO 22301 Lead Implementer prepara a implementação, manutenção e melhoria do sistema; o ISO 22301 Lead Auditor desenvolve competências para planear, conduzir e avaliar auditorias.

Especialização em continuidade do negócio: a oferta inclui Gestão de Riscos em Continuidade do Negócio, ICT Readiness Lead Manager, BC Exercise Program Lead Manager, BC Crisis Lead Manager, BC Lead Business Impact Analyst, BC Strategist and Planning Lead Manager e BC Supply Chain Continuity Lead Manager. Ver área de Continuidade do Negócio.

Gestão do risco e resiliência: os cursos ISO 31000 Essentials, Integrated Risk & Resilience Lead Manager (ISO 31000 / ISO 27005), ISO 27005 Risk Methodologies e Curso Preparação Exame CRISC® reforçam a identificação, avaliação, tratamento e integração do risco com a continuidade. Ver área de Gestão do Risco.

Competências complementares: o catálogo inclui ainda percursos de Auditoria, Segurança da Informação, Gestão de Serviços de TI, Cibersegurança e Forense e Governação TI e Corporativa, relevantes quando a continuidade depende de controlos, tecnologia e decisão integrada.

Diagnóstico, readiness e apoio técnico: quando a necessidade ultrapassa a formação, a Behaviour pode apoiar através de advisory e auditoria interna/readiness assessment, com foco em prioridades, lacunas e evidência.

Conclusão

A ISO 22301 gera valor quando se traduz em capacidade demonstrável: prioridades conhecidas, limites de tolerância e níveis mínimos de operação definidos, objectivos de recuperação realistas, soluções proporcionais, planos executáveis, pessoas preparadas e evidência de exercícios e melhoria. Tratar a continuidade apenas como documentação deixa lacunas que tendem a surgir demasiado tarde — durante uma auditoria ou perante uma interrupção real.

Se a sua organização precisa de estruturar ou reforçar o SGCN, o próximo passo deve começar por um diagnóstico claro do âmbito, das dependências, das competências e da evidência já disponível.

Referenciais normativos e fontes oficiais

ISO 22301:2019 — Security and resilience — Business continuity management systems — Requirements.

ISO 22301:2019/Amd 1:2024 — emenda relativa à consideração das alterações climáticas.

ISO 22313:2020 — orientações para aplicação dos requisitos da ISO 22301.

ISO/TS 22317:2021 — orientações para a Análise de Impacto no Negócio.

ISO/TS 22332:2021 — orientações para desenvolver e manter planos e procedimentos de continuidade.

ISO 22398:2013 — boas práticas para planear, conduzir e melhorar exercícios.

ISO 31000:2018 — princípios e orientações para gestão do risco.

ISO 19011:2026 — orientações para auditoria de sistemas de gestão.

Perguntas frequentes sobre ISO 22301 e continuidade de negócio

Qual é a diferença entre um Plano de Continuidade de Negócio e um Plano de Recuperação de Desastre?
O Plano de Continuidade de Negócio orienta a continuidade e a retoma das actividades, produtos e serviços prioritários. O Plano de Recuperação de Desastre concentra-se na recuperação da infra-estrutura, dos dados e dos serviços tecnológicos. São componentes complementares; a necessidade de um DRP autónomo e a forma de articulação entre documentos dependem do âmbito e da dependência tecnológica da organização.
Qual é a diferença entre BIA e risco?
A BIA analisa os impactos de uma interrupção ao longo do tempo, identifica actividades prioritárias e apoia a definição do MTPD, do RTO, do MBCO e, quando aplicável, do RPO. A avaliação de risco identifica os cenários que podem provocar a interrupção, analisa a probabilidade e as consequências e orienta as medidas de tratamento. Em termos simples, a BIA pergunta que impacto terá a interrupção e até quando é tolerável; a avaliação de risco pergunta o que pode provocar a interrupção e como reduzir a exposição.
Qual é a diferença entre o ISO 22301 Lead Implementer e o Lead Auditor?
O Lead Implementer prepara profissionais para apoiar o desenho, a implementação, a operação e a melhoria de um SGCN. O Lead Auditor desenvolve competências para planear e conduzir auditorias de primeira, segunda ou terceira parte, de acordo com a função e a competência do profissional. A conclusão da formação não confere, por si só, autoridade para emitir uma certificação de terceira parte.

Quer preparar ou reforçar o SGCN da sua organização?

Desenvolva competências de implementação com o ISO 22301 Lead Implementer ou fale com a equipa Behaviour sobre formação, advisory e auditoria interna.

Ver ISO 22301 Lead Implementer
Falar com a equipa Behaviour

Quer aprofundar este tema?

Explore as áreas de formação Behaviour mais relacionadas com continuidade, risco, resiliência e auditoria.

Ver Continuidade do Negócio
Ver Gestão do Risco
Ver Auditoria
Ver Catálogo de Formação

Data: 14 de julho de 2026
Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.