A norma ABNT NBR 15999-1 recomenda que seja estabelecida uma política de continuidade de negócios que seja apropriada ao tamanho, cultura e complexidade da organização. Ela pode incluir:
•Informações gerais sobre a organização, como sua localização, missão, etc.;
•O objetivo e o escopo da política, incluindo suas limitações e exceções;
•Os principais requisitos da política, incluindo os requisitos legais e contratuais com os quais o programa de continuidade de negócios deveria estar em conformidade;
•A metodologia a ser usada e a abordagem da organização para gestão de seus riscos;
•As atividades de preparação que a organização deverá executar para a implantação do programa;
•Os principais papéis e responsabilidades, incluindo os principais patrocinadores executivos do programa;
•Os recursos que serão alocados para a implementação do programa;
•Qualquer lei, padrão ou outros documentos de referência que a política pode referenciar;
•Orientações gerais que garantem que a cultura da continuidade de negócios seja disseminada por toda a organização.
Os objetivos da política podem expressar as preocupações da organização com riscos que podem interromper seus serviços e a sua intenção de implementar proativamente um programa de gestão de continuidade, visando à proteção geral de seus recursos humanos, marca, reputação, linhas de negócio e interesses das partes interessadas em geral. O escopo da política pode declarar, por exemplo, que a organização estará tão preparada quanto possível para lidar com alguns desastres que podem ocorrer (falta de energia, terremotos, inundações, falhas em equipamentos críticos ou indisponibilidade de suprimentos). Idealmente, o escopo da política também lista suas limitações e exclusões, especificando o que não será coberto pelo programa de continuidade de negócios, incluindo, por exemplo, desastres que não podem ser previstos de forma razoável.
A política também deve definir a pessoa ou o grupo de pessoas responsável pela implementação do programa de continuidade de negócios. Essa pessoa ou grupo deve ter a autoridade e as competências necessárias para a implementação e a manutenção do sistema. Como mudanças organizacionais na estrutura de TI, equipe, processos, instalações, tecnologias, fornecedores a outros podem ter impacto nos planos já estabelecidos – que, nesse caso, irão requerer revisões e atualizações – é importante que o programa seja integrado ao processo atual de gestão de mudanças da organização.
A política também pode fazer referência aos critérios para aceitação de riscos analisados no contexto da continuidade de negócios, assim como determinar como os processos internos de auditoria do programa deverão ser conduzidos. Em relação aos patrocinadores do programa, é recomendado que a política seja assinada pelo próprio CEO ou por alguém que ocupe algum outro cargo de alto nível. É essencial que a alta direção demonstre o seu comprometimento com o programa.
Uma vez preparada e aprovada pela alta direção, a política deve ser comunicada a todas as partes interessadas internas e externas, que por sua vez devem atestar que leram e compreenderam a política. A política deve ser revisada e atualizada periodicamente ou sempre que houver alterações relevantes.
O módulo de Conhecimento pode ser usado para cadastrar esta política como um documento de referência e publicá-lo. Uma vez publicado, pessoas e grupos devem ser incluídos na audiência do documento, que estará disponível na seção Documentos do módulo Meu Espaço. Observe que quaisquer arquivos anexados à política também poderão ser vistos pela audiência. Para mais detalhes sobre como publicar documentos de referência e especificar uma audiência para eles, veja o Capítulo 8: Conhecimento -> Conhecimento de compliance -> Documentos de referência.