NORMA TECNICA NTP-ISO 22301 PERUANA 2020 Direcciin de Normalizacion - INACAL Calle Las Camelias 817, San tsidro (Lima 27) Lima, Pert Seguridad y resiliencia. Sistemas de gestidn de continuidad del negocio. Requisitos ‘Security and resilience, Business continuity management systers, Requirements (EQV. 180 22901:2019 Security and resitence - Business continuity management systems - Requirements} 2020-04-02 LEdicién Precio basad en 40 paginas ESTA NORMA ES RECOMENDABLE Deseripuaees: Seguridad, resiliencia, organizacidn, gestion de Ia empresa, sistemas de gestion © 180 2019 -@INACAL 2020iso2019 ‘Todos. los derechos son reservadas. A menas que se especifique fo contrari, ninguna parte de esta publicacién podré ser reprosucida © utilizada por cualquier medio, eleetrinico 0 mecinico, incluyenda fotocopia 0 publicéndoia en el Internet o intranet, sin permiso por escrito del INACAL, (nico representante La 150 en teritoria peruano. @INACAL 2020 ‘Todos fos derechos son reservades. A menos que se especifique lo contrari, ninguna parte de esta publicacién pod ser reproducica © uiizada por cualquier medio, electronica o mecinice, incluyenda fotocopia 6 publicindolo en el internet o intranet, sin permiso por escrito del INACAL. INACAL Calle Las Camelias 617, San Isidro ‘Lime - Pend Tel: +51 1640-8820 bh woe inacal gob ge i © 150.2019 - © INACAL 2020 - Todas Ins derechos son reservados41 42 421 422 43 431 43.2 44 es 52 5.2.1 5.22 53 61 611 612 62 621 6.22 63 inDIce pagina INDICE ii PROLOGO iv PROLOGO (150) v INTRODUCCION Objeto y campo de aplicacién Referencias normativas Términos y definiciones Contexto de fa organizacion ‘Comprender la organizacién y su contexto Comprencier las necesidades y expectativas de las partes interesacias ‘Generalidades Requisitos legales y requlatorios Determinar el alcance del sistema de gestion de continuidad del negocio Generalidades Alcance del sistema de gesti6n de la continuidad del negocio Sistema de gestiOn de continuidad del negocio Liderazgo Liderazgo y compromiso Politica, Establecer la politica de continuidad del negocio Comunicaci6n de la politica de continuidad del negocio Roles, responsabilidades y autoridades Planificacién ‘Acciones para abordar riesgos y oportunidades Determinacién de riesgos y oportunidades ‘Abordar riesgos y oportunidades ‘Objetivos de continuidad del negocio y planificacién para aleanzarlos Establecer objetivos de continuidad del negocio Determinacién de los objetivos de continuidad del negocio Planificacion de cambios en el sistema de gestion de continuidad del negocio 2 12 12 12 12 13 13 13 13 u i 4 ub 6 15 16 16 16 16 16 sd v 18 18 © 190 2019. © INACAL 2020 - Todos bos derechos son reservados9.21 9.22 93 921 932 933 10 10.1 10.2 Soporte Recursos ‘Competencia Toma de conciencia Comunicacion Informacion documentada Generalidades Creando y actualizando Control de la informacién documentada isis de impacto en el negacia y evaluacion de riesgos Generalidades Analisis de impacto en el negocio Evaluacién de riesgos Estrategias y soluciones de continuidad del negocio ‘Generalidades: Identificacion de estrategias y soluciones Selecci6n de estrategias y' soluciones Requisitos de recursos Implementacién de soluciones Planes y procedimientos de continuidad del negocio Generalidades Estructura de respuesta ‘Advertencia y comunicacion Planes de continuidad del negocio Recuperacién Programa de ejercicios Evaluacion de la documentacién y las capacidades de continuidad del negocio Evaluacin de desempehio Monitcreo, medicién, analisis y evaluacién Auditorfa interna Generalidacies Programa(s) de auditoria Revisién por la gerencia Generalidadles Insumos para la revisiin por la gerencia Resultados de la revisién por la direccién Mejora No conformidades y acciones correctivas Mejora continua BIBLIOGRAFIA 19 19 19 ig 20 20 21 a SRR HREREREEE & © 1S0 2019. © INACAL 2020 - Todos tos derechos son reservadosPROLOGO A RESENA HISTORICA, Al I Instituto Nacional de Calidad - INACAL. a través de la Direccidn de Normalizacién es la autoridad competente que aprueba las Normas Técnicas Peruanas a nivel nacional. Es miembro de la Organizacién Internacional de Normalizacién (ISQ) y la Comisién Electrotécnica Internacional (IEC), en representacién del pals. A2 La presente Norma Técnica Peruana ha sido elaborada por iniciativa de la Direccidn de Normalizacién del Instituto Nacional de Calidad -INACAL, con base en el Acapite A.1 del articulo 19 del Reglamento de Elaboracién y Aprobacién de Normas ‘Técnicas Peruanas, Gulas y Textos Afines a las Actividades de Normalizacién, mediante el ‘Sistema 1 o de Adopcidn, durante el mes de marzo de 2020, utilizando como antecedente a la norma ISO 22301:2019 Security and resilience - Business continuity management systems - Requirements. A3 La presente Norma Técnica Peruana presenta cambios editoriales referidos principalmente a terminologia empleada propia del idioma espaol y ha sido estructurada de acuerdo a las Guias Peruanas GP 001:2016 y GP 002:2016. v © 180.2019 - © INACAL 2020 - Todas los derechos son reservadosPROLOGO (180) La 1SO (Organizacién Internacional de Normalizacién) es una federacién mundial de ‘organismos nacionales de normalizacién (organismos miembros de 1S). El trabajo de preparacién de Normas Internacionales se leva a cabo normalmente a través de comités técnicos de 1SO. Cada organismo miembro interesado en una materia para la cual se ha ‘establecido un comité tecnico, tiene el derecho a estar representada en dicho comité. Las organizaciones internacionales, gubernamentales y no gubernamentales, en coordinacién con ISO, también participan en el trabajo. 1SO colabora estrechamente con la Comisién Electrotécnica Internacional (IEC) en todas las materias de normalizacién electrotécnica. Los procedimientos utilizados para desarrallar este documento y los destinades a su Posterior mantenimiento se describen en la norma ISO/IEC Directivas, Parte 1. En particular, debe tenerse en cuenta los diferentes criterios de aprobacién necesarias para los diferentes tipos de documentos ISO. Este documento fue elaborado de acuerdo con las normas editoriales de la IEC Directivas ISO/, parte 2 (véase ww.iso.org/directives). Se llama la atencion a la posibilidad de que algunos de los elementos de este documento puede ser objeto de derechos de patente, ISO no se hace responsable de la identificacién de cualquiera o todos los derechos de patente. Los detalles de cualquier derechode patente identificados durante el desarrollo del documento estaranen ta introduccién y/o en la lista 1SO de las declaraciones de patentes recibidas (véase www. iso.orq/patents). ‘Cualquier nombre comercial utilizado en el presente documento se da informacién para la comodidad de los usuarios y no constituye un endoso. Para una explicacion de la naturaleza voluntaria de las normas, el significado de los ‘térmings y expresiones especificas ISO relacionados con la evaluacion de la conformidad, asi como informacién acerca de la adherencia de [SO de los principios de la Organizacién Mundial del Comercio (OMC) en los obstaculos técnicos al comercio (OTC) véase ‘www.iso.org/iso/foreword.htm! . Este documento fue preparaddo por el Comité Técnico ISO/TC 292, Seguridad y resiliencia. ¥ (© ISO 2019 - © INACAL 2020 - Todas los derechos son reservadosEsta segunda edicidn cancela y reemplaza la primera edicién (ISO 22301:2012), que ha sido revisada técnicamente. Los principales. cambios en comparacién con la edicion anterior son los siguientes: - se han aplicado los requisites de ISO para estandares de sistemas de gestidn, que han evolucionado desde 2012; = los requisitos se han clarificado, no se han agregado requisitos nuevos; — los requisitos especificos de ta disciplina de continuidad det negocio estan ahora casi por completo dentro del capitulo 8; = el capitulo 8 se ha reestructurado para proporcionar una comprensién mas clara de los requisitos clave; y = Se han modificado varios términos especificos de la disciplina de ‘continuidad del negocio para mejorar la claridad y reflejar el pensamiento actual. Cualquier comentario 0 consulta sobre este documenta deberia dirigirse al organismo nacional de normalizacién del usuario. Puede encontrar una lista completa de estos ‘organismos en www. iso. orqmembers. htm! vi © 1S0 2019 - © INACAL 2020 - Todos los derechos son reservadosINTRODUCCION OL Generalidades En este documento se especifican la estructura y los requisitos para la implementacion y el mantenimiento de un sistema de gestién de continuidad del negocio (SGCN) que desarrolle una continuidad del negocio adlecuada a la cantidad y el tipo de impacto que la organizacién pueda 0 no aceptar tras una disrupcién. Los resultados del mantenimiento de un SGCN estan conformados por los requisitos legales, reglamentarios, organizativos y de la industria de la organizacion, los productos y Servicios proporcionatios, los procesos empleados, el tamafio y la estructura de la organizacién y los requisitos de sus partes interesadas. Un SGCN enfatiza la importancia de: = enlenider las necesidades de la arganizacién y la necesidad por establecer politicas y objetivos de continuidad del negocio; = operar y mantener procesos, capacidades y estructuras de respuesta para garantizar que la organizaciOn sobreviva a las disrupciones; = supervisar y examinar el desempefio y la eficacla del SGCN; y + lamejora continua basada en medidas cualitativas y cuantitativas. Un SGCN, como cualquier otro sistema de gestion, incluye los siguientes companentes: a) —_una politica; b) personas competentes con responsabilidades definidas; 9 Procesos de gestiGn relacionados con: 1) lapolitica; 2) la planificacién; 3) la implementacién y operacién; vil © 180 2019 - © INACAL 2020 - Todos los derechos son reservados4 5) 8) %) 02 evaluaci6n del desempefio; revisi6n por la gerencia; mejora continua; y informacién documentada que apoye el control operacional y permita la evaluacion del desempefio. Beneficios de un sistema de gestién de la continuidad del negocio El propésito de un SGCN es preparar, proporcionar y mantener controles y capacidades para gestionar la capacidad general de una organizacién para seguir funcionando durante las disrupciones. Para lograr esto, la organizacion esta: a » 2) 9 4 %) iy 2) 9 » 2 3) a) y desde una perspectiva empresarial: apoyando sus objetivos estratégicos; creando ventaja competitiva; protegiendo y mejorando su reputacion y credibilidad; contribuyendo a la resistencia de la organizacion; desde una perspectiva financiera: reduciendo la exposicion juridica y financiera; reduciendio los costos directos e indirectos de las disrupciones; desde la perspectiva de las partes interesadas: protegiendo la vida, la propiedad y el medio ambiente; considerando las expectativas de las partes interesadas; proporcianando confianza en la capacidad de la organizacidn para tener éxito; desde la perspectiva de los procesos internos: mejorando su capacidad para sequir siendo eficaz durante las disrupciones; vill © 180 2019-© INACAL 2020 - Todos los derechos son reservados2) demostrando un control proactive de Ins riesgos de manera eficaz y eficiente; y 3) abordando las vulnerabilidades operacionales. 03 Ciclo Planificar-Hacer-Verificar-Actuar (PHVA) Este documento aplica el ciclo Planificar (establecer), Hacer (y operar), Verificar (controlar y revisar) y Actuar (mantener y mejorar) (PHVA) para, mantener y mejorar continuamente la efectividad del SGCN de una organizacién. Esto garantiza un grado de coherencia con otras normas de sistemas de gestién, como la §S0 9001, la ISO 14001, la\SO/IEC 20000-1, laISOMEC 27001 y la 10 28000, apoyando asi la aplicacién y el funcionamiento coherentes e integrados con los sistemas de gestion relacionados, De conformidad con el ciclo del PHVA, los capitulos 4 a 10 abarcan los siguientes companentes. - El capitulo 4 introduce los requisitos necesarios para establecer el contexto del SGCN aplicable a la organizacidn, asi como las necesidades, los requisitos y el alcance, ~ Enel capitulo 5 se resumen los requisitos especificos del rol de la alta direccién en ei SGCN, y la forma en que el liderazgo articula sus expectativas en la organizacion mediante una declaracin de politica. ~ El capitulo 6 describe los requisitos para establecer fos objetivos estratégicos y los principios rectores para el SGCN en su conjunto, ~ El capitulo 7 apoya las operaciones del SGCN relacionadas con el establecimiento de la competencia y comunicacién de forma recurrente o segiin sea necesario con las partes interesadas, a la vez que se documenta, controla, mantiene y conserva la informacién documentada requerida, ~ El capitulo 8 define las necesidades de continuidad del negocio, determina como abordarlas y desarrolla procedimientos para gestionar la organizacién durante una disrupcién. En el capitule 9 se resumen los requisitos necesarios para medir el rendimiento de la continuidad del negocio, la conformidad del SGCN con este documento y la conduccidn de una revision por la gerencia. bx 180 2019- © INACAL 2020 - Todos los derechos son reservados+ El capitulo 10 identifica y acta sobre ta no conformidad y ta mejora continua del SGCN mediante la adapeién de medidas correetivas O4 Contenido del presente documento El presente documento se ajusta a los requisitos de la ISO en materia de normas de ssistemias de gestién, Estos requisitos incluyen una estructura de alto nivel, un texto basico idéntico y términos comunes con definiciones basicas, disefiados para beneficiar a los ‘usuarios que implementan miltiples normas de sistemas de gestidn de la ISO. El presente documento no incluye los requisites especificos de otros sistemas de gestidn, aunque sus elementos pueden alinearse o integrarse con los de otros sistemas de gestidn, Este documento contiene requisitos que pueden ser utilizados por una organizacién para implementar un SGCN y evaluar su conformidad. Una organizacién que desee demostrar ‘su conformidad con este documento puede hacerlo mediante: haciendo una autodeterminacion y una autodeclaracion; o ~ buscando la eanfirmacién de su conformidad por las partes que tienen un interés en la arganizacién, como sus clientes; 0 = buscando la confirmacién de su autadeclaraci6n por una parte externa a la organizacion; 0 = buscande Ia certificacién/registra de su SGCN por una organizacién extern. Los capitulos 1 a 3 del presente documento establecen el alcance, las referencias normativas y los terminos y definiciones que se aplican al utilizar del presente documento. Los capitulos 4 @ 10 contienen los requisitos que se ulilizarén para evaluar la conformidad con el presente documento. En este documento se utilizan las siguientes formas verbales: a) “debe” indica un requisito; b) “deberia" indica una recomendacién; x © 180 2019 - © INACAL 2020 - Totios tos derechos son reservados¢) “podria” indica un permiso; y 4) “puede” indica una posibitidad o una capacidad La informacion marcada como "NOTA" sirve de orientacién para emender o clarificar el requisito asociado, Las “notas a la entrada” utilizadas en el capitulo 3 proporcionan informacién adicional que complementa los datos terminoldgicos y pueden contener disposiciones relativas al uso de un término. ---0000000-~ xi © 1SO 2019 - © INACAL 2020 - Todas Ins derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA ide 40 Seguridad y resiliencia. Sistemas de gestién de continuidad del negocio. Requisitos 1 Objeto y campo de aplicacion Esta Norma Técnica Peruana especifica los requisitos para implementar, mantener y mejorar lun sistema de gestion para proteger, reducir la probabilidad de ocurrencia, prepararse para, responder ay recuperarse de disrupciones cuando estos surjan. Los requisites especificados en este documento son genéricos y estan destinadas a ser aplicables a todas las organizaciones, o partes de estas, independientemente del tipo, tamafio y Naturaleza de la organizacion. La extensidn de aplicacién de estos requisitos depende del ‘entorno operativo y la complejidad de la organizacién, Esta Norma Técnica Peruana ¢s aplicable a todos los tipos y tamafios de organizaciones que: a) implemnenten, mantengan y mejoren un SGCN; b) —_busquen garantizar la conformidad con fa politica de continuidad del negocio establecida; e necesiten ser capaces de continuar entregando productos y servicios a una capacidad aceptable previamente detinida durante una disrupeidn; y d) busquen mejorar su resiliencia a través de la aplicacién efectiva del SGCN. Esta Norma Técnica Peruana se puede utilizar para evaluar la capacidad de una organizacién para satisfacer sus propias necesidades y obligaciones de continuidad del negocio. '© 150 2019 -© INACAL 2020 - Torios los derechos son reservadosNORMA TECNICA, NTP-ISO 22301 PERUANA 2de40 2 Referencias normativas Los siguientes documentos, en parte en su totalidad, se referencian narmativamente en este documento y son indispensables para su aplicacién. Para referencias fechadas solo se aplica la edicin citada. Para referencias no fechadas se aplica la in mas reciente del documento referenciado (ineluida cualquier enmienda). 180 22300 Seguridad y resiliencia — Vocabulario 3 ‘Términos y definiciones Para propésitos de este documento, se aplican los siguientes términos y definiciones y los mencionados en la norma |SO 22300. ISO e IEC mantienen bases de datos terminoldgicas para su uso en la normalizacién en las siguientes direcciones: + Plataforma de navegacién en linea ISO: disponible en https:/Awww.iso.org/obp ~ IEC Electropedia: disponible en hitp: /twww.electropedia.org/ NOTA: Los téemines y definiciones que figuran a.continuscidn sustituyen a los que figuran én la norma 180 22300. 31 actividad conjunte de una o mas tareas con una salida definida [FUENTE: ISO 22300, 3.1 modificada- La definicién ha sido reemplazada y et ejemplo ha sido eliminado.] © 1S0 2019 - © INACAL 2020 - Todos los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 3de 40: 32 auditoria proceso (véase subcapitulo 3.26) sistematico, independiente y documentado para obtener evidencia de auditoria y evaluarla objetivamente para determinar en qué medida se cumplen los criterios de auditoria ‘Noia 1 ala entra: Una auitoria puede ser una suitoria interna (primera parte) o una auditoria extema (segunda parte 0 tercers parte), y puede ser une autitoria combinada (que combina dos o més, slisciplinas) (Noia2 ala entrada: La oryanizacsn (véasesubcapitulo 3:22) o una parteextemaen sunambre canducen tuna auditorfa interna, Nota 3 a ta entrada: “Evidencia de auditoria” y “criterios de auditoria” se definen en la norma 190 19011. (Nota 4 a la entrada: Los etementas fundamentales de una auditoria incluyen la determinacién de ta ‘conformidad (véase subcapitulo 3.7) de un objeto de acuerdo con un procadimdento tevado a cabo por el personal que no es responsable por el objeto auditade. ‘Nota 5 ala entrada: Una auditorla intema puede ser para revisién de la adminisiraciény otros propdsites inwemos y puede formar la base para la declaracién de conformidad de una organizaci6n. La Independencia puede ser demosirads mediante (a libertad de responsabilidad dé la actividad (vésse sulicapitulo 3.2) que'se audit, Las auditorias externas incluyen auditorias de segunda y de tercera parte ‘Las auditorias de segunda parte son realizadas por partes interesadas en la organiizaciOn, como clientes, ‘0 por otras personas en su nombre. Las auditaries de tercera parte son realizadas por organizaciones de ‘aldtoria externas ¢ independiente, corto las qUe proporckonan certificacion/registro-ce conformed © entidades gubemsmentales Nota 6 a la entrada: Esto constituye uno de los términos comunes y definiciones ceniales de ta estructura de alto nivel para ss normas de sistomas. de gestion ISO. La definicidn original se ha, odiicago agregande las Notas 4 y5.a la entaada, 3.3 continuidad del negocio capacidad de una organizacién (véase subcapitulo 3.21) para continuar la entrega de productos y servicios (véase subcapitulo 3.27) dentro de plazos aceptables a una capacidad predefinida durante una disrupci6n (véase subcapitulo 3.10) [FUENTE: ISO 22300:2018, 3.24, modificado - La definicién ha sido reemplazada] © 1S0 2019 © INACAL 2020 - Todos los derechos s0n reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 4de 40: 34 plan de cantinuidad del negocio informacién documentada (véase subcapitulo 3.11) que guia a una organizacién (véase subeapitulo 3.21) para responder a una disrupcién (véase subcapitulo 3.10) y reanuder, ‘recuperar y restaurar la entrega de productos y servicios (véase subcapitulo 3.27) de acuerdo: ‘con sus objetivos (véase subcapitulo 3.20) de continuidad del negocio (véase subcapitulo. 33) [FUENTE: ISO 22300:2018, 3.27, modi Nota 1 a la entrada ha sido eliminada.) ado - La definicién ha sido reemplazada y la 35 andlisis de impacto en el negocio proceso (véase subeapitule 3.26) de analizar el impacto (véase subcapitulo 3,13) sobre el periodo de tiempo de una disrupeién (véase subcapftulo 3,10) en la organizacin (véase subeapitulo 3.21) Nota 1 a la entrada: El resultado es una declaracl6n y justificacién de los requisites (vtase subcapitulo 3.28) de continuidad del negocio (véase subcapitulo3.3) [FUENTE: 1S0 22300:2016, 3.29, modificado - La definicién ha sido reemplazada y se ha agregado la Nota 1 a la entrada.) 36 competencia capacidad de aplicar conocimientos y habilidades para lograr los resultados previstos ‘Nota 1 a la entrada: Esto constituye uno de los términas comunes y definiciones centrales de la estructura de alto nivel para las normas de sistemas de gestion ISO. ar conformicad cumplimiente de un requisito (véase subcapitulo 3,28) Nota 1 a la enirada: Esto consiituye uno de los términas comunes y definiciones oeirales de la estructura de ako nivel para las normas de sistemas de gestin [SO | ISO 2019 - © INACAL 2020 - Todos los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA Sde4o 38 mejora continua actividad (véase subcapitulo 3.1) recurrente para mejorar el desempefio (véase subcapitulo 3.23) Nota 1. a la entrada: Esto constituye uno de los términos comunes y definiciones centrales. de 1a estructura de alto nivel para las normas de sistemas de gestidn ISO. a9 accion correctiva ‘Accién para eliminar la (8) causa (8) de una no conformidad (wéase subcapftulo 3.19) y para prevenir su recurrencia Nota 1 a la entrada: Esto constituye uno de los términos comunes y definiciones centrales: de 1a estructura de alto nivel para las normas de sistemas de gestidn ISO. 3.10 disrupcion incidente (véase subcapitulo 3.14), ya sea anticipadoo no, que causa una desviacidn negativa no planificada de la entrega esperada de productos y servicios (véase subcapitulo 3.27) de acuerdo con los objetivas (wéase subcap/tula 3.20) de una organizacin (véase subcapitulo 321) [FUENTE: ISO 22300:2018, 3.70, modificado - La definicidn ha sido reemplazada.) 3.1L informacién documentada informacin requerida para ser controlada y mantenida por una organizacion (véase subcapitulo 3.21) y el medio en el que esta contenida. Nola 1 ala entrada: La informacion documentada puede estar en cualquier formato y medio, ¥ provenir ce cualquier fuente, Nota 2 a ls entrada: La informacién documentada puede referise + ef sistema de gestién (véase subcapitula 3.16), incluidos los procesns (vase subcapitulo 3.26) relacionados ; (1S 2019 - © INACAL 2020 Todos los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 6 de 40 ~ informacién creada para que la nrganizacién opere (docurnentacia); y + levidencla de resultados aleanzadios (registras). Nola 3 a Ia entrada: Esto constituye uno de los wiminos comunes y definiciones centrales de ta estructura de alto nivel para las normas de sistemas-de gestién 1S0. 312 eficacia extension en que se realizar las actividades (véase subcapitule 3.1) planificadas yse aleanzan los resultados planificados Nota 1 a fa entrada: Esto constituye uno de los términas comunes y definiciones cenirales de la estructura de alto nivel para las normas de sistemas de gestién ISO. 313 impacto resultado de una disrupcién (véase subcapitulo 3.10) que afecta los objetivos (véase subcapitulo 3.20) [FUENTE: ISO 22300:2018, 3.107, modificado - La definicién ha sido reemplazada]. 314 incidente evento que puede ser o podria provocar una disrupcidn (véase subcapitulo 3.10), pérdida, ‘emergencia o crisis (FUENTE: ISO 22300:2018, 3.111, modificado - La definicidn ha sido reemplazada.] 315 parte interesada (término preferido) socio (termine admitido) persona u organizacién (véase subcapitulo 3.21) que puede afectar, verse afectada o ppercibirse asi misma como afectada por una decisién 0 actividad (véase subcapitulo 3.1) EJEMPLO: Clientes, propietarios, personal, proveedores, benqueros, reguladores, sindicatos, socios 0 sociedad ‘que pueden inclu competidores 0 grupas opositores de presi. © 10 2019 - © INACAL 2020 - Todos los derechas son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA Tde 40 ‘Nota 1 ala entrada: Lin tomador 08 decisiones puede ser una parte interésada. ota 2 a la entrada: Las comunidades impactadas y las poblactones locales se consideran partes i ‘Nola 2 a la entrada: Esto constituye une de los términos comunes y definiciones centrales de ta estructura de alto nivel para las normas de sistemas de gestién ISO. La definicidn original se ha ‘modificado agregando un ejemplo y las Notas 1 y 2 ala entrada. 316 sistema de gestion conjunto de elementos de una organizacién (véase subcapitulo 3.21) interrelacionadas o que interactuan para establecer politicas (véase subeapitulo 3.24) y objetivas (véase subcapitulo 3.20) y procesos (véase subcapltulo 3.26) para alcanzar esos objetivos ‘Nota 1 a la entrada: Un sistema de gestién nuede abordar una sola disciplina o varias disciplinas. ‘Nota 2a la entrada: Los elementos del sister incluyen la estructura, roles y respansabilidades, planificacion y operacidn de la organizacién, ‘Nota 3. la entrada: El alcance de un sistema de gestidn puede inclu la totalidad de fa arganizacién, funciones especiticas e identificadas de fa organizacién, secciones especificas identificadss de la ‘organization, o una mas funckanes en un grupo de arganizacianes, Nowa 4 a la entrada: Esto constituye uno de los términos comunes y definicianes centales de la estructura de alto nivel para fas normas de sistemas de gestion ISO. 37 medicion proceso (véase subcapitulo:3.26) para determinar un valor Nota 1 a la entrada: Esto constituye une de los términos comunes y definiciones centrales de ta estructura de alto nivel para las normas de sistemas de gestidn ISO. 3.18 seguimiento determinar el estado de un sistema, un proceso (véase subcapitulo 3.26) o una actividad (wease subcapitulo 3.1) © 150 2019 - © INACAL 2020 - Torios los derechos son reservadosNORMA TECNICA, NTP-ISO 22301 PERUANA 8 de 40 Nota 1 a la entrada: Para determinar el estado, puede ser necesario verificar, supervisar u observat criticamente Nota 2 a la entrada: Esto constituye uno de los términos comunes y definiciones centrales de ta estructura de alte nivel para las normas de sistemas de gestin ISO. 3.19 no conformidad ‘no cumplimiento de un req (véase subeapitulo 3.28) Nota 1 a la entrada: Esto constituye uno de los términos comunes y definiciones centrales de la estructura de alto nivel para las normas de sistemas de gestién ISO. 3.20 objetivo resultado a ser alcanzada Nota 2a la entrada: Un objetivo puede ser extrelégico, ictico w operative, Nota 2 a la entrada: Los objetivos pueden relacionarse con diferentes discilinas (tales como metas financieras, de salud y seguridad y ambiental) y pueden aplicarse a diferentes niveles (como a nivel ‘estratégico, de toda la organizaciOn, proyecto, producto y praceso (véase subcapliuio 3:26). Nota 3 a la entrada: Un objetivo puede expresarse de otras maneras, por ejemplo, como un resultado previsto, un propésito, un criterio operativo, como un objetive de continuidad del negocio (véase subcapitulo 3.2), 0 mediante el uso de otras palabras can un significado similar (por ejemplo, objetivo, eta a propesito), Nota 4a ta entrada: En ef cantexto de los sistemas de gestién (vase subeapitulo 3.16) ce comtinuidad del negocio, la organizacién (véase subeapitulo 3.21) establee los abjetivos de continuidad del negocio, de acuerdo con la politica (wEsse subcapitule 3.24) de continuidad del negocia, para lagrér resultados especifioas. Nota S a la entrada: Esto constituye uno de los terminos comunes y definiciones centrales de 1a estructura de alto nivel para las normas de sistemas de gest ISO. 321 organizacion persona 0 grupo de personas que tiene sus propias funciones con responsabilidades, autoridad y relaciones para lograr sus objetives (vease subcapitula 3.20) @1SO 2019 «© INACAL 2020 - Tados:los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA Sde40 Not 2. a 1a entrada: 1 concepto de organizaciéin incluye, pra no se limita a, comerciante unico, empresa, corporacién, firma, auteridad, sociedad, organizacidn benéfica o insttucién, a parte 0 combinarin de estos, ya sea ineorparada o no, piblica oprivada. Nota 2 a 1 entrada: Para orpanizaciones con més oe una unidad operative, una sola unidad operative puede definirse como una organizacién. Nota 3 a ta entrada: Esto canstinyye uno de los términas comunes y definicianes certrales de fa estructura de alto nivel para las normas do sistemas de gestion ISO. La definicién original se na radificado agregando la Nota 2 la entrada, 3.22 subcontratar (outsource), verbo hacer un arraglo dende una erganizaciGn (véase subcapitulo 3.21) externa realiza parte de ta funcidn o proceso (Véase subcapitulo 3.26) de una organizacién Nota 2 a la entrada: Una organizacién externa esth fuere del alcance det sistema de gestion (véase subcapitulo 3.16), aunque la funcidn o proceso subcontratada esté dentro del alcance Nota 2 a fa entrada: Esto constinyye uno de los términos comunes y definiciones centrales de ta estructura de alto nivel para las normas de sistemas de gestidn ISO. 323 desempefio resultado medible Nota a la enwada: El desempetie puede relackanarse oon hallazges euantiatives@ cualitativos. Nota 2 a la entrada: El desempefio puede relacionarse con actividades (véase subcapitulo 3.1) de gestiGn, procesos (vlase subcanitulo 3.26). productos (incluidcs servicios), sistemas u organizaciones (véase subeapitula 3.22), Nota 3 a fa entrada: Esto constituye uno de los términos comunes y definiciones centrales de ta estructura de alto nivel para las nosmas de sistemas de gestion 1S0. 324 politica intenciones y direccién de una organizacin (véase subcapitulo 3.21), expresada formalmente por su alta direcci6n (véase subcapitulo 3:31) (© 180 2019 - © INACAL 2020 - Todos los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 10 de 40 Nota 1 a la entrada: Esto constituye uno de las términos comunes y definicianes centales de ta ‘stractura de alto nivel para las normas do sistemas. ci gestion ISO, 3.25 actividad priorizada actividad (véase subcapitulo 3.1) a la que se le asigna un nivel de urgencia para evitar impactos (véase subcapitulo 3.13) inaceptables en el negocio durante una disrupcion (véase subcapitule 3,10) (FUENTE: ISO 22300:2018, 3.176, modificado - La definicién ha sido reemplazada y la Nota 1. la entrada ha sido eliminada.) 3.26 proceso ‘conjunto de actividades (véase subcapitulo 3.1) interrelacionadas 0 que interactlian que ‘transforman las entradas en salidas Nota 1 a la entrada: Esto constituye uno de los témminos comunes y definiciones centrales de: 13 estructura de alto nivel pata las norms de sistemas.de gestion ISO. 3.27 producto y servicio salida o resultado proporcionado por una organizacin (wéase subcapitulo 3.21) a las partes. interesadas (véase subcapitulo 3.15) EJEMPLO: Articulos manufacturados, segueos de automoviles, enfermeria comunitaris. [FUENTE: 1SO 22300:2018, 3.181, modificado - El término “producto y servicio" ha reemplazado “producto 0 servicio” y la definicidn ha sido reemplazada.) 3.28 Fequisito necesidad 0 expectativa establecida, generalmente implicita u obligatoria '@ ISO 2019 -© INACAL 2020 - Toros los derechos son reservadosNORMA TECNICA. NTP-ISO 22301 PERUANA Aide 40 Nota 1a la entrada: “Generalmente implicita” significa que es costumbre o prictica comin para Ia organizecién (véase subeapitulo 3.21) y las partes interesadas (véase subcapitula 3.15) que la necesidad ‘-expectativalbajo consideracién esa ianplicita, Noia 2 a la entrada: Un requisita especificade es uno documentada (véase subcapiulo 3.11), @ se estublece, por ejemplo, en informaciin Nota 2 a la entrada: sto constiuye uno de los términas comunes y definiciones centales de la estructura de alta nivel para las normas de sistemas de gestin ISO. 3.29 recurso todos Ios actives (incluyenco planta y equipamienta), personas, habilidades, tecnologia, instalaciones y suministros e informacién (ya sea electronica 0 no) que una organizacién (véase subcapitulo 3.21) tiene que tener disponible para.usar, cuando necesite, para operar y cumplir con su objetivo (véase subcapitule 3.20) [FUENTE: ISO 22300:2018, 3.193, modificado - La definicién ha sido reemplazada) 330 riesgo efecto de la incertidumbre sobre los objetivos (véase subcapitulo 3.20) Nota 2 a laventraca; Un efecto ¢s una desviaciOn de la esperado: pasitivo-o negativo, Nota 2 a la entrada: La incertidumbre es el estada, incluso parcial, de deficiencta de informacién ‘elacionada con, entendimiento © conocimiento de un evento, su consecuencia o probabitidad. Nota 3 a ta entrada: El riesgo a menudo se caracteriza por la referencia a potenciales “eventos (como se define en la Gula 180 73) y “cansecvencias” (coma se define en la Gufa ISO 73), 0 una combinaciGn Oe estos. "Nota 4a la entrada: El riesgo a menudo se expresa en términas de una combinacién de Las consecuenias de un evento (ineluyendo cambios.en las circunstancias)y la probabilidad de acurrencia asociada (caro se define en la Guia ISO 73). Nota § a la entrada: Esto constituye uno de los términas comunes y definiciones centrales de la estructura dealto nivel para las normas de sistemas de gestin ISO. La definiciGn a sia modificada para agregar “sobre los objetives" para ser consistente con ls norma 150 31000. (© 10 2019 -@ INACAL 2020 - Tados los derechos son reservadosNORMA TECNICA, NTP-ISO 22301 PERUANA i2de 40 331 alta direccién persona o grupo de personas que dirige y controla una organizacién (véase subcapitulo 3.21) al mas alto nivel Nota La la entrada: La alta direccién tiene el poder de delegar autoridad y proporcionar recursos (véase suibcapitulo 3.29) dentro de la onganizacién, Nota 2 a fa entrada: si el alcance del sistema de gestién (véase subcapitulo 3.16) cube solo una parte de una organizacin, entonoes Io alts dreccitn se refite a equellos que drigen y controlan esa parte de 1a organizacisn. Nota 3 4 In entrada: Esto constituye uno de los tgeminos comunes y definiciones centales de ta estructura de alta ritvel para las normas de sistemas de gestin ISO. 4 Contexto de la organizacién 4. Comprensidn de la organizaciin y su contexto La organizacién debe determinar las cuestiones externas ¢ internas que sean relevantes para Su propésita y que afecten su capacidad para lograr los resultados previstos de su SGCN. NOTA: Estas curstiones estan influenciadas por los objetives generales de ta organizocion, sus Productos y servicios la cantidad y tipo de riesgo que pusde ono asi. 42 Entender las necesidades y expectativas de las partes interesadas 421 Generalidades Alestablecer su SGCN, la organizacién debe determinar: a) _las partes interesadas que son relevantes para el SGCN: y b) los requisitos relevantes de estas partes interesacias. ©1SO 2019 - © INACAL 2020 - Todas los Werechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 13 de 40 422 Requisitos legales y regulatorios La organizacién debe: a) implementar y mantener un proceso para identificar, tener acceso a, y evaluar {os requisitas legales y requlatorios aplicables relacionados con la continuidad de sus productos y servicios, actividadesy recursos; b) garantizar que estos requisitos legales, requlatorios y de otro tipo se tomen en cuenta al implementar y mantener su SGCN; c) documentar esta informacion y mantenerla actualizada. 43 Determinar él alcance del sistema de gestién de continuidad del negocio 43.1 ‘Generalidades La organizacién debe determinar los limites y la aplicabilidad del SGCN para establecer su alcance, Al determinar este alcance, la organizacién debe considerar: a) las Cuestiones externas e internas mencionadas en el subcapitulo 4.1; b) los requisitos mencionados en el subcapftulo 4.2: y ©) _sumisién, abjetivas y obligaciones intemas y externas. El alcance debe estar disponible como informacién documentada, 432 Alcance del sistema de gestion de continuidad del negocio La organizacién debe: a) establecer las partes de fa organizacion que se incluiran en el SGCN, tomando en cuenta su localizacién(es), tamafio, naturaleza y complejidad: y ISO 2019 - © INACAL 2020 - Todas los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 4de 40 b) identificar productos y servicios a ser incluidos en el SGCN. Al definir el alcance, la organizacion debe documentary explicar las exclusiones. Estas no deben afectar la capacidad y la responsabilidad de la organizacion de proporcionar ‘continuidad del negocio, segiin lo determinado por el andlisis de impacto en el negocio 0 la evaluacian de riesgos ¥y 10s requisitos legales 0 regulatorios aplicables. 44 ‘Sistema de gestién de continuidad del negocio La organizacion debe establecer, implementar, mantener y mejorar continuamente un SGCN, incluidos los procesos necesarios y sus interacciones, de acuerdo con los requisitos de este documento. 5 Liderazgo 61 Liderazgo y compromiso Laalta direccién debe demostrar liderazgo y compromiso con respecta al SGCN al: a) garantizar que la politica y los objetivos de continuidad del negocio estén establecidos y sean compatibles con la direccion estratégica de la organizacién; b) ——_garantizar fa integracién de los requisites del SGCN en las procesos de negocio de la organizacién; ©) _garantizar que los recursos necesarios para el SGCN estén disponibles; 4) comunicar la importancia de una efectiva continuidad del negocio y la ‘conforme con los requisitos del SGCN; e) garantizar que el SGCN logre los resultados previstos; 1) dirigit y apoyar a las personas para que contribuyan a la efectividad del ‘SGCN, (© 180 2019 - © INACAL 2020 - Toulos los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 15de 40 9) promoiver la mejora continua; y hn) —apoyar otros roles gerenciales relevantes para demostrar su liderazgo y ‘compromiso en lo que respecta a sus areas de responsabilidad. NOTA; La referencia. a “negocio” en este documento puede interpretarse ce manera amplia para referirse a aquellas actividades que son fundamentales para los propdsitos de la existencia de la organizacdn, 52 Politica S21 Establecer la politica de continuidad del negocio La alta direccién debe establecer una politica de continuidad del negocio que: a) ‘sea apropiada para el propésito de la organizacién; b) —_proporcione un marco de referencia para establecer objetives de continuidad del negocio: ©) _incluya un compromiso para satisfacer tos requisites aplicables; 4) —_incluya un compromisa de mejora continua det SGCN. $22 ‘Comunicacién de la politica de continuidad del negocio La politica de continuidad del negocio debe: ay estar disponible como informacién documentada; 5) ser €omunivada dentro de la organizacién; y ©} _estar disponible para las partes interesadas, segin corresponda. (© 1S 2019 - © INACAL 2020 - Todos los derechos s0n reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 16de40 53 Roles, responsabilidades y autoridad La alta direccién debe garantizar que las responsabilidades y autoridad para los roles Televantes se asignen y comuniquen dentra de la organizacion. La alta direccién debe asignar la responsabilidad y la autoridad para: a) asegurar que el SGCN sea conforme con los requisites de este documento; y b) informar sobre el desempefio del SGCN a la alta direccién. 6 Planificacién 61 Acciones para abordar riesgos y oportunidades 611 Determinacién de riesgos y oportunidades Al planiticar el SGCN, la organizaciéin debe considerar las cuestiones referidas en el subcapitulo 4.1 y los requisitos mencionados en el subcapitulo-4.2 y determinar las riesgos y ‘oportunidades que necesitan abordarse para: a) _garantizar que el SGCN pueda lagrar su(s) resultatto(s) deseado(s); b) prevenir o reducir los efectos no deseados; y °) lograr la mejora continua, 6.12 Abordar riesgos y oportunidades La organizacién debe planificar: a) —_acciones para abordar estos riesgos y oportunidades, © 1SO 2019 - G INACAL 2020 - Todos los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA i7 de 40 bo) como: 1) integrar ¢ implementar las acciones en los procesos del SGCN (véase subcapitulo 8.1); 2) —_evaluar la eficacia de estas acciones (véase subcapitulo 9.1) NOTA: Los riesgos y las oportunidades se retacionan con laeficacia Gel sistemia de gestion. Los riesqos relacionados can cisrupciones del negocio se abordan en el subscanitulo 8.2. 62 621 ‘Objetivos de continuidad del negocio y planificacién para alcanzarlos Estableciendo los objetivos de continuidad del negocio La organizacién debe establecer objetivos de continuidad del negocio en funciones y niveles relevantes. Los objetivos de continuidad del negocio deben: a) b) ° 4) e) f ser coherentes con la politica de continuidad del negocio; ser medibles (si es posible); tomar en cuenta los requisitos aplicables (véase subcapitulos 4.1 y 4.2); ser sujetos de seguimiento, ‘ser comunicados; y estar actualizados segiin corresponda, La organizacién debe retener informacion documentada sobre los objetivos de continuidad del negocio. (© 1S0 2019 «© INACAL 2020 - Tados-1os derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 18de 40 622 Determine de los objetivos de continuidad del negocio Al planificar céma lograr sus objetivos de continuidad del negocio, la organizacién debe determinar: a) lo que se hara: b) ‘qué recursos se requeriran; ¢) quién sera responsable; d) cuando se completara; y e) corto se evaluaran los resultados. 63 Planificando los cambios en el sistema de gestiém de continuidad del negocio ‘Cuando la organizacién determina la necesidad de cambios en el SGCN, incluidos los identificados en el capitulo 10, los cambios se deben llevar a cabo de manera planificada, La organizacidn debe considerar: a) el propdsita de los cambios y sus consecuencias potenciales; b) la integridad del SGCN; ©) —_ladisponibilidad de recursos; y d) la asignacién o reasignacién de responsabilidades y autoridad, © 1S 2019 © INACAL 2020 Todos los derechos son reservadosNORMA TECNICA. NTP-ISO 22301 PERUANA 19.de 40 7 Soporte Ta Recursos La orgenizacién debe determinar y proporcionar los recursos necesarios para el establecimiento, implementacin, mantenimiento y mejora continua del SGCN. 72 Competencia La organizacién debe: a) determinar la competencia necesaria de la(s) persona(s) que realiza(n) el trabajo bajo su cantrol que afecta su desemperio de continuidad del negocio, b) —_asegurar que-estas personas sean competentes sobre la base de una educacién, capacitacin o experiencia aproptadas; ©) —_cuanda corresponda, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de las acciones tomades; y d) retener informacion documentada spropiada como evidencia de la competencia. NOTA: Las accianes aplicables pueden incluir, pr ejemplo, la provisidn de entrenamienta, 1a twtoia.o |i reasignacion de personas: actualmente emplesdes; 0 el reclutamiento 0 conwatecion de personas Carnpetentes. 73 Toma de conciencia Las personas que trabajen bajo el control de la organizacién deben tener conciencia de: a) _lapolitica de continuidad del negocio; ») uyendo los beneficios de un mejor desempetio de la continuidad del negocio; (190 2019 - © INACAL 2020 - Todos los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 20 de 40 ©) _lasimplicaciones de no cumplir con los requisites del SGCN; y d) —_supropiorol y responsabilidades antes, durante y después de las disrupeiones. 14 ‘Comunicacién La organizacién debe determinar las comunicaciones internas y externas relevantes para el ‘SGCN, que incluyen: a) lo que se comunicara; b) cuando comunicarlo; ¢) a quién comunicarlo; a) cémo comunicarlo; y e) ——_quién lo comunicara. 75 Informacién documentada 751 Generalidades El SGCN de la organizacién debe incl a) informacién documentada requerida por este documento; y b) —_informacién documentada determinada como necesaria por la organizacin para la eficacia del SGCN. NOTA: El alcance de la informacién docummentada para un SGCN puede diterir de una organizacion a otra debido a + el tamaho de Ia organizacin y su tipo de actividades, pracesos, productos y servicios, y reoursos; (© 1SQ 2019 - © INACAL 2020 » Todos los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA| 21 de 40 = Incomplejidad de los procesos y sus interacciones: y = Tacompetencia de las personas, 75.2 ‘Creando y actualizando Al crear y actualizar la informacign documentada, la organizacién debe garantizar lo apropiado para: a) su identificaci6n y descripcion (por ejemplo, un titulo, fecha, autor 9 nimero de referencia); b) —_el formato (por ejemplo, lenguaje, version de software, graticos) y medios (por ejemplo, papel, electronico); y °) la revisién y aprobaci6n de idoneidad y adecuacién. 753 ‘Control de la informacidn documentada 75.3.1 La informacién documentada requerida por el SGCN y por este documento debe ser controlade para garantizar que: a) ‘esta disponible y es adecuada para su uso, donde y cuando sea necesaria, y b) est. adecuadamente protegida (por ejemplo, contra ta pérdida de confidencialidad, uso indebido o pérdida de integridad) 7532 Para el control de la informacién documentada, la organizacién debe abordar las siguientes actividades, segiin sea aplicable: a) distribucién, acceso, recuperacién y uso; b) almacenamiente y preservacién, incluida la preservacién de la legibilidad; ©) control de cambios (por ejemplo, control de versiones); y (© 150 2019 - © INACAL 2020 - Todos les dereches son reservadosNORMA TECNICA, NTP-ISO 22301 PERUANA 22 de 40 d) retencién y disposicién. La informacion documentada de origen externa qué la organizacion determine que es necesaria para la planificacién y operacién del SGCN debe ser identificada, segin sea apropiada, y controlada, NOTA: El acceso pueds implicar una decision con respecto al permiso para ver solo la informacion documentada, a el permisoy la autoridad para ver y cambiar la informacion documentada, 8 Operacién 81 Planificacién y control operacional La organizacién debe cumplir con los requist 61: anificar, implementar y controlar los procesos necesarios para y para implementar las acciones determinadas en el subcapitulo a) _establociend criterias para los procesos; b) —_implementando el control de fos procesos de acuerdo con los eriterios; y ©) manteniendo la informacién documentada en la extensién necesaria para tener la confianza de que los procesos se han levado a cabo segin lo planeado. La organizacién debe controlar los cambios planificadas y revisar las consecuencias de los cambios no intencionados, tomando acciones para mitigar los efectos adversos, segiin sea necesario. La organizacién debe garantizar que los procesns subeontratados y la cadena de suministro estén controlados. (©1S0 2019 - © INACAL 2020 - Todos los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 23.de 40 a2 Anilisis de impacto en el negocio y evaluacian de riesgos 824 Generalidades La organizacién debe: a) _implementar y mantener procesos sistemtioos para analizar el impacto en el negocio y evaluar los riesgos de disrupcion; y b) —_revisar el analisis de impacto en el negocio y la valoracion de riesgos a intervalos planificados y cuando haya cambi ‘organizacién o el contexto en el que opera significativos dentro de la NOTA: La organizacién determina el orden en que se conducen el andlisis de impacto en el negocia y la waloracién de riesgos. 8.2.2 Anilisis de impacto en el negocio La organizacién debe utilizar el proceso para analizar los impactos en el negocio para determinar las prioridades y requisitos de continuidad del negocio. El proceso debe: a) 4) 9 ) definir los tipas de impacto y los criterios relevantes para el contexta de la ‘organizacién; identificar las actividades que apoyan la pravisién de productos y servi utilizar los tipos y criterios de impacto para evaluar los impactos a lo largo del tiempo como resultado de la disrupeién de estas actividades; identificar el marco de tiempo dentro del cual los impactos de no reanudar las actividades serian inaceptables para la organizacién; NOTA 1: Este plazo puede denominarse “periods méstima de disrupcién tolerable (MTPD. por sus siglas en inglés)". © 180 2019 -© INACAL 2020 - Todos los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 24 de 40 e) _establecer marcos de tiempo priorizados dentro del tiempo identificado en d) para reanudar las actividades interrumpidas a una capacidad minima aceptable especificada; NOTA 2: Este marco de tiempo puede denaminarse” tiempo objetivo de recuperacion (RTO. por sus siglas en inglés)" f) utilizar este analisis para identificar actividades priorizadas; 9) determinar cuales recursos son necesarios para apayar actividades priorizadas; y h) determinar las dependencias, incluidos los socios y proveedores, y las interdependencias de las actividades priorizadas. 8.23 Evaluacién de riesgos La organizacién debe y mantener un proceso de evaluacién de riesgos, NOTA; El proveso para la evaluacién de riesqas se aborda en la norma ISO 31000, La organizacidn debe: a) _identificar los riesgos de disrupcién para las actividades priorizadas de ta organizaci6n y de sus recursos requeridos; b) analizar y evaluar los riesgos idemtificados; y ¢) determinar cudles riesgos requieren tratamiento. NOTA: Los riesgos en este subcapitulo se relacionan con la disrupcion de las actividades del negacio, Los rigsgos y aportunidades relacionados con la efectividad del sistema de gestiGn se aboidan en el sulbcapitula 6.2. © 180-2019 - © INACAL 2020 - Todos los derechos san reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 25 de40 a3 Estrategias y soluciones de continuidad del negocio 8.31 Generalidades. ‘Con base en los resultados del andlisis de impacto en el negocio y la evaluacian de riesgos, la organizaciGn debe identificar y seleccionar estrategias de continuidad del negocio que consideren opciones para antes, durante y después de la disrupci6n. Las estrategias de ccontinuidad del negocio se deben conformar a partir de una o mas soluciones. 8.32 Identificacién de estrategias y soluciones La identificacién debe estar basada en la extensidn en que las estrategias y soluciones: a) —_cumplan con los requisitos para continuar y recuperar actividades priorizadas: dentro de los plazos de tempo identificados y la capacidad acordada; b) —_protejan las actividades priorizadas de la organizacién; ¢) —_reduzcan ta probabilidad de disrupcién; d) acorten el periodo de disrupcidn; e) limiten el impacto de la disrupcién sobre los productos y servicios de la organizacién; y f} __praparcionen ta disponibilidad de recursos adecuados. 833 Seleccidn de estrategias y soluciones La seleccién debe estar basada en la extensidn en que las estrategias y soluciones: a cumplan con los requisitos para continuar y recuperar las actividades Priorizadas dentro de los plazos de tiempo identificados y la capacidad acordada; '@ ISO 2019 - © INACAL 2020 - Todos los derechos s0n reservadosNORMA TECNICA, NTP-ISO 22301 PERUANA b) ) 8.34 26 de 40 consideren la cantidad y el tipo de riesgo que la organizacién puede o no asumir; ¥ consideren los castos y beneficios asociados. Requisitos de recursos La organizacién debe determiner los requisitos de recursos para implementar las soluciones de continuidad del negocio séleccionadas. Los tipos de recursos considerados deben incluir, pero no estar limitados a: a) b) °) 9) ®) 4 9) hy 835 personas; informacién y datos; infraestructura fisica como edificios, lugares de wabajo u otras instalaciones yse asociados; equipamienta y consumibles; sistemas de tecnologia de la informacién y la comunicacidn (TIC); transporte y logistica; finanzas; y socios y proveedores. Implementacién de soluciones La organizacién debe implementar y mantener las soluciones de continuidad del negocio seleccionadas para que puedan ser activadas cuando sea necesario, (© 1S 2019 - © INACAL 2020 - Todos los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 84 B41 27 de 40 Planes y procedimientos de continuidad del negacio Generalidades La organizacién debe implementar y mantener una estructura de respuesta que permita una advertencia (alerta) oportuna y comunicacién a las partes interesadas relevantes. Esto debe proporcionar planes y procedimientos para gestionar a la organizacion durante una disrupci6n. Los planes y procedimientos deben ser utitizados cuando se requiera para activar ‘soluciones de continuidad del negocio. NOTA: Existen diferentes tines de procedimientos que comprenden planes de continuidad del negocio. La organizacién debe identificar y decumentar los planes y procedimientos de continuidad del negocio basados en salida de las estrategias y soluciones seleccionadas. Los procedimientos deben: a) —_serespecificos con respecto a los pasos inmediatas a ser tomados durante una disrupcién; b) ser flexibles para responder a las condiciones cambiantes internas y externas de una disrupcin; ¢) centrarse en el impacto de los incidentes que potencialmente conducen a una disrupcion; ¢) ser eficaces para minimizar el impacto mediante la implementacian de soluciones apropiadas; y e) asignar rales y responsabilidades para las tareas dentro de ellos. B42 Estructura de respuesta 8421 La organizacién debe implementar y mantener una estructura, identificando ‘uno. mas equipos responsables por responder a las disrupciones. "© ISO 2019 - © INACAL 2020 - Todos los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA B422 28 de 40 Los roles y responsabilidades de cada equipa y las relaciones entre los equipos deben ser claramente establecidas. 8.4.23 b) 9) a) ®) 9) 4) 8424 a) ) 84.3 843.1 Colectivamente, los equipos deben ser competentes para: evaluar la naturaleza y fa extensidn de una disrupcin y su potencial impacto; evaluar el impacto contra umbrales predefinidos que justifican el inicio de una respuesta formal; activar una respuesta adecuada de continuidad del neg: planificar acciones que nesesitan ser Nlevadas a cabo, establecer prioridades (considerando como primera prioridad salvaguardar la vida); Monitorear los efectos de la disrupcion y la respuesta de la organizacion; activar las soluciones de continuidad del negocio; y comunicarse con las partes interesatlas relevantes, la autoridad y los medias. Para cada equipo debe existir: personal identificado y sus suplentes con la responsabilidad, autoridad y competencia necesarios para desempefar su rol designado, y procedimientos documentados para guiar sus acciones (wéase subcapitulo 8.4.4), incluyenda los de activacion, operacién, coordinacion y comunicacion de la respuesta. Advertencia y comunicacion La organizacién debe documentar y mantener procedimientos para: '© 150 2019 -© INACAL 2020 - Toudos los derechos son reservadosNORMA TECNICA, NTP-ISO 22301 PERUANA 29 de 40 a) comunicarse interna y externamente con las partes interesadas relevantes, incluyendo qué, cuando, con quign y cmo comunicarse; NOTA: La organizacion puede documentar y mantener procedimientos sobre como y bajo qué circunstancias, 1a organization se comunica con los empleadas y sus comactos de emvergencia o) recibir, documentary responder a las comunicaciones de las partes interesadas, incluido cualquier sistema de asesoramiento de riesgos nacional o regional 0 equivalente; Q garantizar la disponibilidad de los medios de comunicacion durante una disrupcidn, 4) —facilitar ta comunicacion estructurada con el equipo de respuesta de emergencias; ©) —_proporcionar detalles de la respuesta de los medios de comunicacién de la organizacién después de un incidente, incluyendo una estrategia de comunicaciones; y f registrar los detalles de la disrupcidn, las acciones tomadas y las decisiones hechas. 84.3.2 ‘Cuando sea aplicable, también se debe cansiderar e implementar lo siguiente: a) _alertar a las partes interesadas potencialmente afectadas por una disrupci real o inminente; y b) ——_asegurar una coordinacién y comunieacién apropiadas entre las moltiples organizaciones que responden, Los procedimientes de advertencia y comunicacién deben ser ejercidos como parte del programa de ejercicios de la organizaciOn descrito en el subcapitulo 8.5. (©1S0 2019 - © INACAL 2020 - Todos Ins derechos son reservadosNORMA TECNICA NTP-+4SO 22301 PERUANA 30 de 40 844 Planes de continuidad del negocio La organizacién debe documentar y mantener los planes y procedimientos de tinuidad del negocio. Los planes de continuidad del negocio deben proporcionar orientaci6n e informacién para ayudar a los equipos a responder a una disrupcidn y para ayudar a la organizacion con respuesta y recuperacion_ 844.2 Colectivaments, los planes de continuidad del negocio deben contener: a) —_ detalles de las acciones que tamaran fos equipos para: 1) continuaro recuperar les actividades priorizadas dentro de periodos de tiempo predeterminados; 2) monitorear ef impacto de la disrupcidn y la respuesta de la organizacin a esta; b) referencia de umbral(es) predefinido(s) y al proceso para activar la respuesta, °) procedimientos para habilitar ta entrega de productos y servicios en la eapacidad acerdada; d) detalles para gestionar las conseouencias inmediatas de una disrupcién ‘eniendo debidamente en cuenta 1) el bienestar de las personas; 2) laprevencién de futuras pérdidas o falta de disponibilidad de las actividades priorizadas; y 3) el impacto en el medio ambiente, 8443 ‘Cada plan debe incluir: a) el propésito, alcance y objetivos; b) los roles y responsabilidades del equipo que implementara el plan; 150 2019 - © INACAL 2020 - Todos-los derechos son reservadosNORMA TECNICA. NTP-ISO 22301 PERUANA Bide 40 ©) —_acciones para implementar las soluciones; d) —_informacién de apoyo necesaria para activar (incluidos los © activacidn), operar, coordinar y comunicar las acciones del equipo; e) interdependencias internas y externas; f) los requisitos de recursos; 9) los requisitos de presentacién de informes; y h) —_un proceso para suspender operaciones. Cada plan debe ser utilizable y estar disponible en el momento y lugar en el que sea requerido, 845 Recuperacion La organizacién debe tener procesos documentados para recuperar y restaurar las actividades del negacio de las medidas temporales adoptadas durante y después de una distupcién, 85 Programa de ejercicios La organizacién debe implementar y mantener un programa de ejercicios y pruebas para validar la efectividad de sus estrategias y soluciones de continuidad del negocio. La organizacién debe conducir ejercicios y pruebas que: a) son consistertes con sus objetivos de continuidad del negocio; b) —_se-basan en escenarios apropiados que estan bien planificados con metas y ‘objetivos claramente definidos; ¢) desarrollen el trabajo en equipo, la competencia, confianza y el conocimiento para aquellos que tienen roles que desempefiar en relacién con las disrupciones; © 150 2019 -© INACAL 2020 - Todos-los derechos son reservadosNORMA TECNICA, NTP-ISO 22301 PERUANA 9) Dy a 32 de 40 en conjunto, a lo largo del tiempo, validen sus estrategias y soluciones de continuidad del negocio; Produzcan informes formales posteriores al ejercicio que contengan resultados, recomendaciones y acciones para implementar mejoras; se revisen en el contexto de la promocién de la mejora continua; y se realicen a intervalos planificados y cuando hay cambios significativos dentro de la organizacién o el contexto'en el que opera. La organizacién debe actuar sobre los resultados de su ejercicio y prueba para implementar cambios y majoras, B86 negocio Evaluacién de la documentacin y las capacidades de continuidad del La organizacién debe: a) b) Y 4) e) evaluar |a idoneidad, adecuacién y efectividad de su andlisis de impacto en el negocio, evaluacién de riesgos, estrategias, soluciones, planes y procedimientos; emprender evaluaciones a través de revisiones, andliss, ejercicias, pruebas, informes posteriores al incidente y evaluaciones de desempefio, conducir evaluaciones de las capacidades de continuidad del negocio de socios y proveedores relevantes; evaluar el cumplimiento de los requisitos legales y regulatorios aplicables, las mejores practicas de la industria, y la conformidad con su propia politica y objetives de continuidad del negocio; y actualizar la documentacidn y los procedimientos de manera oportuna, Estas evaluaciones se deben ser conducidas en intervalos planificados, después de un incidente o activacion, y cuando se producen cambios significativos. © 180 2019 - © INACAL 2020 - Todos los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 33.de 40 9 Evaluacién de desempefio Be: Monitoreo, medicién, analisis y evaluacion La organizacién debe determinar: a) ‘que necesita ser monitoreado y medida; b) ——_fos_métodas de monitoreo, medicién, analisis y evaluacian, segiin sea aplicable, para garantizar la validez de los resultados; 9 ‘cuando y quién debe realizar el monitoreo y la medician; y a ‘cuando y por quign se deben analizar y evaluar los resultados del monitoreo y la medicin, La organizacién debe retener informacion documentada apropiada como evidencia de los resultados. La organizacién debe evaluar el desempetio y la efectividad del SGCN. 92 Auditoria interna 924 ‘Generalidades La organizacién debe conducir auditorlas internas a intervalos planificados para proporcionar infarmacidn sobre si el SGCN: a) es conforme con: 1) los requisitos propios de la organizacién para su SGCN, 2) los requisitos de este documento: b) se implementa y mantiene de manera efectiva. © 150 2019 -@ INACAL 2020 - Todos los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 922 34.de 40 Programa(s) de auditoria La organizacién debe: a) ) Q 4d) 8) 9) 93 931 planificar, establecer, implementar y mantener un programa(s) de auditoria que incluya la frecuencia, fos métodos, responsabilidades, requisites de planificacién ¢ informes, que deben tomar en consideracion la importancia de los procesos en cuestién y los resultados de auditorias previas; defini los criterias de auditorfa y el alcance de cada auditoria, seleccionar auditores y conducir auditorias para garantizar la objetividad y la imparcialidad del proceso de auditoria; garantizar que fos resultados de las auditorias se informan a los gerentes. relevantes; retener informacion documentada como evidencia de la implementacién del programa(s) de auditoria y los resultados de la auditoria; garantizar que cualquier accidn correctiva necesaria es tomada sin demora indebida para eliminar las no conformidades detactadas y sus causas; y garantizar que las acciones de seguimienta de auditoria incluyan la verificacion de las acciones tomadas y el informe de resultados de la ‘verificacion, Revisién por la gerencia Generalidades La alta direccidn debe revisar el SGCN de la organizaci6n, a intervalos planificados, para. garantizar su continua idoneidad, adecuacién y efectividad. ‘© 1S 2019 - © INACAL 2020 - Todos los derechos son reservadosNORMA TECNICA, NTP-ISO 22301 PERUANA 93.2 35.de40 Insumos para la revisién por la gerencia La revisién por la gerencia debe considerar: b) °) 4) 8) ky el estado de las acciones de revisiones por la gerencia previas; cambios en las cuestiones extemas ¢ internas que son relevantes para el SGCN; informacién sobre el desempefio del SGCN, incluyendo las tendencias en: no conformidades y acciones correctivas; resultados de evaluacién del seguimiento y medicién; resultados de la auditoria; retroalimentacién de las partes interesadas; la necesidad de cambios en el SGCN, inctuyendo la politica y los objetivos; procedimientes y recursos que podrian usarse en la organizacién para mejorar el desempefio y efectividad del SGCN; informacién del andlisis de impacto en el negocio y evaluacian de riesgos; resultado de la evaluacién de la documentacién y capacidades de continuidad del negocio (véase subcapitulo 8.6); riesgos 0 cuestiones no ahordades adecuadamente en cualquier evaluacién de fiesgos previa; lecciones aprendidas y acciones derivadas de cuasi-accidentes y disrupciones; ¥ ‘oportunidades para la mejora continua, © 1S0 2019 - © INACAL 2020 - Todos los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 36.de40 933 ‘Resultados de la revisién por la direccién 933.1 Los resultados de la revision por la direccién deben incluir decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambios en el SGCN para mejorar su eficiencia y eficacia, incluyendo lo siguiente: a) variaciones en el aleance del SGCN; b) actualizacién del andlisis de impacto en el negocio, evaluacidn de riesgos, estrategias de continuidad del negocio y soluciones y planes de continuidad del negocio; ¢) modificacién de procedimientos y controles para responder a cuestiones internas 0 externas que pueden afectar el SGCN; y d) cémo se medira la efectividad de los controles. 9.33.2 Laorganizacion debe retener informacion documentada como evidenciade los resultados de la revisién pro la gerencia. Esto debe: a) comunicar los resultados dé la revision por la gerencia a las partes interesadas. relevantes; y b) tomar las acciones apropiadas en relacidn con esos resultados 10 Mejora 10.1 INO conformidades y acciones correctivas 10.11 La organizacién debe determinar oportunidades de mejora.e implementar las ‘aeciones necesarias para lograr los resultados previstos de su SGCN. 10.1.2 ‘Cuando ocurre una no conformidad, la organizacién debe: '@ ISO 2019 - © INACAL 2020 - Todos los derechos son reservadosNORMA TECNICA NTP-+SO 22301 PERUANA 37 de 40 a) —_reaccionar ante la no conformidad y, segin sea aplicable: 1) tomar accién para controlarla y carregirla; 2) lidiar con las consecuencias; b) evaluar la necesidad de actuar para eliminar |a(s) causa(s) de la no conformidad, a fin de que esta no sea recurrente u ocurra en otro lugar, mediante: 1) _revisién de fa no conformidad; 2) determinar las causas de la no conformidad; 3) determinar si existen no conformidades similares, 0 si pueden ocurrir potencialmente; ¢) implementar cualquier accién necesaria, d) —_revisar la efectivicad de cualquier accidn correctiva tomada: y 8 hacer cambios en el SGCN, si es necesario. Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas. 10.13 La organizaciGn debe setener informacion documentada como evidencia de: a) —_—_lanaturalezade las no conformidades y cualquier acciGn subsecuente tomada; ¥ b) los resultados de cualquier accién correctiva. 10.2 Mejora continua La organizacién debe mejorar continuamente la idoneidad, adecuacién y efectividad del SGCN, con base en medidas cualitativas y cuantitativas. (@1SO 2019 + INACAL 2020 - Tods-lns derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA 38 de 40 La organizacion debe considerar los resultados del andilisis y la evaluacidn, y los resultados de la revision por ta gerencia, para determinar si hay necesidades u oportunidades, relacionadas con el negocio, 0 con el SGCN, que deben ser abordadas como parte de la mejora continua. NOTA: La orgenizacién puede utilizar los proctsos del SGCN, como liderazgo, planificacion y- evaluaciin desempetio, para lograr la mejora. (© 150 2019 - @ INACAL 2020 - Toulos Ios dereches son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA ‘39 de 40 (i (2) (3) (4) (5 (6) (9) [10] fia] [12] (13) BIBLIOGRAFIA 180 9001, Quality management systems — Requirements 1S 14001, Environmental management systems — Requirements with guidance for use 1SO 19011, Guidelines for auditing management systems ISOMECITS 17021-6, Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 6: Competence requirements for auditing and certification of business continuity management systems ISO/IEC 20000-1, Information technology — Service management — Part 1: Service management system requirements ISO 22313, Societal security — Business continuity management systems — Guidance 1SO 22316, Security and resilience — Organizational resilience — Principles and attributes ISO/TS 22317, Societal security — Business continuity management systems Guidelines for business impact analysis (BIA) ISO/TS 22318, Societal security — Business continuity management systems — Guidelines for supply chain continuity ISO/TS 22330, Security and resilience — Business continuity management systems — Guidelines for people aspects of business continuity ISO/TS 22331, Security and resilience — Business continuity management systems — Guidelines for business continuity strategy ISOMEC 27001, Information technology — Security techniques — Information security management systems — Requirements ISOMEC 27031, Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity 180 2019 © INACAL 2020 - Todos los derechos son reservadosNORMA TECNICA NTP-ISO 22301 PERUANA. 40de 40 [14] 180 28000, Specification for security management systems for the supply chain [15] 1SO 31000, Risk management — Guidelines [16] IEC 31010, Risk management — Risk assessment techniques [17] 1SO Guide 73, Risk management — Vocabulary (© IS 2019 -© INACAL 2020 - Toudos los derechos son reservados