Professional Documents
Culture Documents
Iso 22301 Castellano
Iso 22301 Castellano
Negocio – Requisitos
ISO 22301:2012
ISO/FDIS 22301
Contenido
Pág.
Introducción………………………………………………………..………….………..…………
Introducción………………………………………………………..………….………..………… 4
0.1 General………………………………………………………………………….….……
General………………………………………………………………………….….…… 4 4
0.2 El Ciclo Plan –
Plan – Do
Do –
– Check
Check –
– Act
Act……………………………….…………………….
……………………………….……………………. 4
4
1 Alcance……………………………….……………………..……………………………
Alcance……………………………….……………………..…………………………… 6
2 Referencias normativas……………………………….…………….…………...…….
normativas ……………………………….…………….…………...……. 6
6
3 Términos y definiciones……………………………….…………….…………...…….
definiciones……………………………….…………….…………...……. 6
6
4 Requerimientos Generales……………………………….………………...…………..
Generales ……………………………….………………...…………..11 11
4.1 Entendiendo la organización y su contexto……………………
contexto……………………... ...………….………
………….……… 11
4.2 Necesidades y requerimientos……………………
requerimientos ……………………... ...………….……….……………
………….……….…………… 11
4.3 Gestión del sistema y alcance……………………
alcance ……………………... ...………….……………………..
………….…………………….. 11
5 Liderazgo……………………
Liderazgo……………………... ...………….…………………………………………...…
………….…………………………………………...… 11
5.1 General……………………
General……………………... ...………….……………………………
………….……………………………... ...………….……
………….……..
.. 11
5.2 Compromiso gerencial……………………
gerencial……………………... ...………….………………………………
………….……………………………… 12 12
5.3 Política……………………
Política……………………... ...………….…………………………………………………
………….…………………………………………………12 12
5.4 Roles organizacionales, responsabilidades y autoridades……………………….
autoridades ………………………. 12
6 Planeamiento……………………
Planeamiento……………………... ...………….…………………………………….…...
………….…………………………………….…... 13
6.1 Objetivos y planes para alcanzarlos……………………
alcanzarlos ……………………... ...…………..……………
…………..……………...
... 13
6.2 Acciones para atender aspectos e inquietudes……………………
inquietudes ……………………...
...………….…
………….….... 13
7 Apoyo……………………
Apoyo……………………... ...………….………………………………….………………
………….………………………………….……………… 14
7.1 Recursos……………………
Recursos……………………... ...………….………………………………………………
………….……………………………………………… 14
7.2 Competencia……………………
Competencia……………………... ...………….………………………………………….
………….…………………………………………. 14
7.3 Toma de conciencia……………………
conciencia……………………... ...………….………………………………….
………….…………………………………. 14
7.4 Comunicación……………………………………………………………………………
Comunicación…………………………………………………………………………… 14
7.4.1 Comunicación externa……………………
externa ……………………... ...………….……………………………….
………….………………………………. 14
7.4.2 Comunicación interna……………………
interna……………………... ...………….………………………………..
………….……………………………….. 14
7.5 información documentada……………………
documentada……………………... ...………….………...…………...……
………….………...…………...…… 14
7.5.1 General……………………
General……………………... ...………….……………..……………………...….………
………….……………..……………………...….……… 14
7.5.2 Creación y actualización……………………
actualización ……………………... ...………….…………………………….
………….……………………………. 15
7.5.3 Control de información documentada……………………
documentada ……………………... ...………….……………...
………….……………...15
15
8 Operación……………………
Operación……………………... ...………….…………………………………………..…
………….…………………………………………..… 16
8.1 General……………………
General……………………... ...………….………………............................................. 16
………….………………............................................. 16
8.2 Planeación operacional y control……………………
control ……………………... ...………….………..…………
………….………..………… 16 16
8.3 Preparación……………………
Preparación……………………... ...………….………………………………………...…
………….………………………………………...… 16
8.4 Planeación……………………
Planeación……………………... ...………….…………..………………………………..
………….…………..……………………………….. 17 17
8.4.1 Compromiso gerencial……………………
gerencial……………………... ...………….……………………………….
………….……………………………….17 17
8.4.2 Desarrollo de política……………………
política ……………………... ...………….………………………………...
………….………………………………... 18
8.4.3 Business impact analysis y evaluación del riesgo……………………
riesgo ……………………... ...…………..
………….. 18
8.4.4 Opciones para continuidad del negocio……………………
negocio ……………………... ...………….…………...
………….…………... 20
8.5 Desempeño……………………
Desempeño……………………... ...………….…………………………………...………
………….…………………………………...……… 21
8.5.1 Desarrollo e implementación de una respuesta a continuidad del negocio……..
negocio …….. 21
8.5.2 Estructura de respuesta……………………
respuesta……………………... ...………….……………………………..
………….…………………………….. 21
8.5.3 Alerta y comunicación……………………
comunicación ……………………... ...………….……………………………….
………….………………………………. 22 22
8.5.4 Respuesta……………………
Respuesta ……………………... ...………….…………………………………………….
………….……………………………………………. 22 22
8.5.5 Planes de continuidad del negocio……………………
negocio……………………... ...………….………………..
………….……………….. 23
8.5.6 Procedimiento requerimiento de respuesta……………………
respuesta ……………………... ...………….………
………….……….. 23
2
ISO/FDIS 22301
Contenido
Pág.
Introducción………………………………………………………..………….………..…………
Introducción………………………………………………………..………….………..………… 4
0.1 General………………………………………………………………………….….……
General………………………………………………………………………….….…… 4 4
0.2 El Ciclo Plan –
Plan – Do
Do –
– Check
Check –
– Act
Act……………………………….…………………….
……………………………….……………………. 4
4
1 Alcance……………………………….……………………..……………………………
Alcance……………………………….……………………..…………………………… 6
2 Referencias normativas……………………………….…………….…………...…….
normativas ……………………………….…………….…………...……. 6
6
3 Términos y definiciones……………………………….…………….…………...…….
definiciones……………………………….…………….…………...……. 6
6
4 Requerimientos Generales……………………………….………………...…………..
Generales ……………………………….………………...…………..11 11
4.1 Entendiendo la organización y su contexto……………………
contexto……………………... ...………….………
………….……… 11
4.2 Necesidades y requerimientos……………………
requerimientos ……………………... ...………….……….……………
………….……….…………… 11
4.3 Gestión del sistema y alcance……………………
alcance ……………………... ...………….……………………..
………….…………………….. 11
5 Liderazgo……………………
Liderazgo……………………... ...………….…………………………………………...…
………….…………………………………………...… 11
5.1 General……………………
General……………………... ...………….……………………………
………….……………………………... ...………….……
………….……..
.. 11
5.2 Compromiso gerencial……………………
gerencial……………………... ...………….………………………………
………….……………………………… 12 12
5.3 Política……………………
Política……………………... ...………….…………………………………………………
………….…………………………………………………12 12
5.4 Roles organizacionales, responsabilidades y autoridades……………………….
autoridades ………………………. 12
6 Planeamiento……………………
Planeamiento……………………... ...………….…………………………………….…...
………….…………………………………….…... 13
6.1 Objetivos y planes para alcanzarlos……………………
alcanzarlos ……………………... ...…………..……………
…………..……………...
... 13
6.2 Acciones para atender aspectos e inquietudes……………………
inquietudes ……………………...
...………….…
………….….... 13
7 Apoyo……………………
Apoyo……………………... ...………….………………………………….………………
………….………………………………….……………… 14
7.1 Recursos……………………
Recursos……………………... ...………….………………………………………………
………….……………………………………………… 14
7.2 Competencia……………………
Competencia……………………... ...………….………………………………………….
………….…………………………………………. 14
7.3 Toma de conciencia……………………
conciencia……………………... ...………….………………………………….
………….…………………………………. 14
7.4 Comunicación……………………………………………………………………………
Comunicación…………………………………………………………………………… 14
7.4.1 Comunicación externa……………………
externa ……………………... ...………….……………………………….
………….………………………………. 14
7.4.2 Comunicación interna……………………
interna……………………... ...………….………………………………..
………….……………………………….. 14
7.5 información documentada……………………
documentada……………………... ...………….………...…………...……
………….………...…………...…… 14
7.5.1 General……………………
General……………………... ...………….……………..……………………...….………
………….……………..……………………...….……… 14
7.5.2 Creación y actualización……………………
actualización ……………………... ...………….…………………………….
………….……………………………. 15
7.5.3 Control de información documentada……………………
documentada ……………………... ...………….……………...
………….……………...15
15
8 Operación……………………
Operación……………………... ...………….…………………………………………..…
………….…………………………………………..… 16
8.1 General……………………
General……………………... ...………….………………............................................. 16
………….………………............................................. 16
8.2 Planeación operacional y control……………………
control ……………………... ...………….………..…………
………….………..………… 16 16
8.3 Preparación……………………
Preparación……………………... ...………….………………………………………...…
………….………………………………………...… 16
8.4 Planeación……………………
Planeación……………………... ...………….…………..………………………………..
………….…………..……………………………….. 17 17
8.4.1 Compromiso gerencial……………………
gerencial……………………... ...………….……………………………….
………….……………………………….17 17
8.4.2 Desarrollo de política……………………
política ……………………... ...………….………………………………...
………….………………………………... 18
8.4.3 Business impact analysis y evaluación del riesgo……………………
riesgo ……………………... ...…………..
………….. 18
8.4.4 Opciones para continuidad del negocio……………………
negocio ……………………... ...………….…………...
………….…………... 20
8.5 Desempeño……………………
Desempeño……………………... ...………….…………………………………...………
………….…………………………………...……… 21
8.5.1 Desarrollo e implementación de una respuesta a continuidad del negocio……..
negocio …….. 21
8.5.2 Estructura de respuesta……………………
respuesta……………………... ...………….……………………………..
………….…………………………….. 21
8.5.3 Alerta y comunicación……………………
comunicación ……………………... ...………….……………………………….
………….………………………………. 22 22
8.5.4 Respuesta……………………
Respuesta ……………………... ...………….…………………………………………….
………….……………………………………………. 22 22
8.5.5 Planes de continuidad del negocio……………………
negocio……………………... ...………….………………..
………….……………….. 23
8.5.6 Procedimiento requerimiento de respuesta……………………
respuesta ……………………... ...………….………
………….……….. 23
2
ISO/FDIS 22301
9 Evaluación de desempeño……………………
desempeño……………………... ...………….………………………….
………….…………………………. 27
27
9.1 Monitoreo y medición……………………
medición ……………………... ...………….………………………………..
………….……………………………….. 27
27
9.2 Auditoría interna……………………
interna……………………... ...………….……………………………………...
………….……………………………………... 27
9.3 Revisión gerencial……………………
gerencial ……………………... ...………….……………………………………
………….…………………………………… 28
10 Mejoramiento……………………
Mejoramiento……………………... ...………….…………………………………………
………….………………………………………… 29 29
10.1 No conformidad y acción correctiva……………………
correctiva ……………………......………….……………….
………….………………. 29
10.2 Mejoramiento continuado……………………
continuado ……………………... ...………….…………………………..
………….………………………….. 29
Referencias bibliográficas……………………
bibliográficas ……………………...
...………….…………………………………….
………….……………………………………. 30
3
ISO/FDIS 22301
Introducción
General
Este estándar internacional especifica requerimientos para establecer y gestionar un efectivo sistema
de gestión de Continuidad del Negocio (SGCN).
e) Una política
1) Políticas
2) Planeación
3) Implementación y operación
4) Evaluación de desempeño
5) Gestión de revisiones
6) Mejoramiento
Esto asegura un grado de consistencia con otros sistemas de gestión de estándares tales como: ISO
9001:2008, ISO 14001:2004, ISO 27001:2005 e ISO 20000-1:2011. (Ver anexo A)
4
ISO/FDIS 22301
La figura Nº 1 ilustra como un SGCN tomó requerimientos de insumos de “partes interesadas” para la
gestión de continuidad y a través de las necesarias acciones y procesos, produce resultados de
continuidad que satisfacen los requerimientos.
Establecimiento
Plan Partes
Partes Interesadas
Interesadas
Mantener, Implementación
Mejorar y Operación
Requerimientos Actuar Do
para Gestión de la
Preparación y Preparación y
Gestión de la Continuidad
Continuidad
Monitoreo y
Revisión
Check
5
ISO/FDIS 22301
1 Alcance
Este estándar internacional para la continuidad del negocio específica requerimientos para planear,
establecer, implementar, operar, monitorear, revisar, mantener y continuamente mejorar un sistema
de gestión de continuidad documentada, para prepararse para, responder y recuperarse de
interrupciones.
Los requerimientos especificados en este estándar internacional son genéricos y tienen la intención
de ser aplicables a todo tipo de organizaciones, al margen de su tipo, tamaño y naturaleza de la
organización. El grado de extensión de la aplicación de estos requerimientos depende de la
complejidad y del ambiente operativo de la organización.
Este estándar internacional es aplicable a todo tipo y tamaño de organización que desea:
El estándar internacional puede usarse para evaluar la habilidad organizacional en alcanzar sus
propias obligaciones de continuidad.
2 Referencias Normativas
Las siguientes referencias documentadas son indispensables para la aplicación de este documento.
3 Términos y definiciones
Para el propósito de este documento, los términos y definiciones del ISO / IEC Lineamiento 73:2009 y
los que vienen a continuación aplican
6
ISO/FDIS 22301
3.1
Auditoría
Proceso para obtener evidencia y evaluarla objetivamente para determinar el grado en que
requerimientos específicos han sido alcanzados.
3.2
Gestión de Continuidad del Negocio
Proceso de gestión que provee un marco conceptual para crear una salvaguarda a los objetivos de la
organización incluyendo sus obligaciones.
3.3
Business Impact Analysis
Proceso de análisis de funciones organizacionales y el efecto de una interrupción en ellas.
3.4
Competencia
Habilidad demostrada en aplicar conocimiento y destrezas para alcanzar resultados predeterminados.
3.5
Conformidad
Cumplir con un requerimiento.
3.6
Mejora continua
Actividad para mejora del desempeño.
3.7
Corrección
Acción para eliminar una no conformidad detectada.
3.8
Acción correctiva
Acción para eliminar la causa de una no conformidad u otra situación no deseada y prevenir su
recurrencia.
3.9
Documento
Información y su medio de soporte.
NOTA 1, El medio puede ser papel, medio magnético, electrónico o disco óptico, fotográfico o una
combinación.
3.10
Efectividad
Grado en el cual actividades son realizadas y resultados planeados alcanzados.
3.11
Eficiencia
Relación entre resultados alcanzados y los recursos usados.
3.12
Evento
Ocurrencia o cambio de un conjunto de circunstancias.
NOTA 1, Un evento puede ser una o más ocurrencias y tener varias causas.
3.13
Ejercicio
Instrumento para entrenar, evaluar, practicar y mejorar el desempeño y capacidades en un ambiente
controlado.
3.14
Infraestructura
Sistema de facilidades, equipos y servicios necesarios para la operación de una organización.
3.15
Parte interesada
Parte afectada con interés en el éxito de una organización o actividad.
3.16
Sistema de gestión
Conjunto de elementos interrelacionados para establecer políticas, objetivos y procesos para alcanzar
objetivos
NOTA, El sistema de gestión organizacional puede atender un campo limitado tal como calidad o
ambiente. Un sistema de gestión que mezcla más de un área referido como “Sistema integrado de
gestión”.
3.17
Monitoreado
Observación de desempeño planeado.
3.18
Acuerdo de ayuda mutua
Un acuerdo pre arreglado desarrollado entre dos partes a más entidades para dar asistencia a las
partes del acuerdo.
3.19
No conformidad
No cumplimiento con requerimientos.
3.20
Objetivo
Resultado deseado, planteado por la organización.
3.21
Control de operaciones
Proceso, práctica u otra acción que asegura resultados en la gestión.
3.22
Planeación de operaciones
Esquema especificando el enfoque, los elementos de gestión y recursos a aplicarse a la gestión de
una organización.
3.23
Organización
Persona o grupo de individuos que tienen sus propias funciones con responsabilidades, autoridades y
relaciones para alcanzar objetivos.
8
ISO/FDIS 22301
NOTA 2, Para una organización con más de una entidad operativa, una unidad puede definirse como
organización.
3.24
Desempeño
Resultado medible.
NOTA 2, Desempeño incluye no sólo el resultado del progreso contra objetivos, pero puede también
incluir el grado de implementación de un sistema de gestión.
3.25
Evaluación del desempeño
Proceso de determinar resultados medibles
3.26
Personal
Personas trabajando para o bajo el control de la organización.
Nota, el concepto de personal incluye, pero no es limitativo a empleados y personal a medio tiempo.
3.27
Política
Intenciones y dirección de una organización formalmente expresada por la alta gerencia.
3.28
Prevención
Medidas que permiten a una organización evitar posibles interrupciones.
3.29
Acción preventiva
Acción para reducir o eliminar un riesgo.
3.30
Procedimiento
Manera específica de llevar a cabo una actividad o un proceso.
3.31
Protección
Medidas que permiten a una organización evitar o limitar la posibilidad o consecuencias de una
interrupción.
3.32
Actividades priorizadas
Actividades a las cuales se les debe dar prioridad luego de la aparición de un incidente para poder
mitigar los impactos.
Nota, Términos usualmente usados son: críticas, esenciales, vitales, urgentes y claves.
3.33
Registros
Declaración de resultados alcanzados o evidencia de actividades desempeñadas.
3.34
Requerimientos
Necesidad o expectativa que está planteada, generalmente obligatoria.
3.35
Riesgo
Efecto de incertidumbre en objetivos.
9
ISO/FDIS 22301
NOTA 3, Objetivos pueden tener diferentes aspectos (financiero, salud y seguridad) y pueden
aplicarse a diferentes niveles.
3.36
Apetito al riesgo
Monto y tipo de riesgo que una organización está preparada a buscar, aceptar o tolerar.
3.37
Fuente de riesgo
Elemento solo o en combinación tiene el potencial intrínseco de generar riesgo.
Nota, Una fuente de riesgo puede ser tangible o intangible. ISO / IEC Guía 73.
3.38
Parte interesada
Persona u organización que puede afectar, ser afectada o percibirse en ser afectada por una decisión
o actividad.
3.39
Test
Ver: pruebas
3.40
Pruebas
Procedimiento para evaluar, un medio de determinar la presencia, calidad o veracidad de algo.
3.41
Alta gerencia
Persona o grupo de personas que dirige y controla una organización al más alto nivel.
3.42
Verificación
Confirmación, a través de la provisión de evidencias que especifican requerimientos que han sido
alcanzados.
3.43
Ambiente laboral
Conjunto de condiciones bajo las cuales se desempeña el trabajo.
10
ISO/FDIS 22301
4 Requerimientos generales
La organización debe determinar los factores externos e internos que son relevantes a su propósito y
que afectan su habilidad de alcanzar resultados esperados en su SGCN.
NOTA, Las organizaciones de todo tipo, tamaño y complejidad operan en circunstancias que están
sujetas a oportunidades, cambio y riesgo, consecuentemente la organización evalúa dicha
información para poder innovar, mantener y mejorar la efectividad de su sistema de gestión durante la
planeación de corto y largo plazo.
NOTA, El balance de necesidades puede ser alcanzado por la organización dando el peso a las
necesidades de las partes interesadas, por ejemplo: consumidores, propietarios, sociedad, etc.
La organización debe establecer, implementar, mantener y mejorar el SGCN en concordancia con los
requerimientos de este estándar internacional.
La organización debe definir y retener información documentada sobre el alcance del SGCN, de tal
forma que los límites y aplicabilidad del SGCN puede estar claramente comunicada a partes internas
y externas.
5 Liderazgo
5.1 General
La alta gerencia debe demostrar liderazgo con respecto al SGCN a través de:
11
ISO/FDIS 22301
- Motivar a personas para asegurar que el SGCN apoya el desempeño de la continuidad comercial
de la organización.
- Comunicando la importancia de la efectividad del SGCN y conformidad con los procesos del
SGCN;
- Desarrollando efectivas revisiones gerenciales para asegurar que el SGCN alcanza sus
resultados esperados;
5.3 Política
La alta gerencia debe establecer y comunicar una política de continuidad del negocio. La política
debe:
d) Estar implementada;
La alta dirección debe asegurarse que las responsabilidades y autoridades para los roles relevantes
son asignados y comunicados en la organización.
12
ISO/FDIS 22301
6 Planeación
La alta dirección debe asegurarse que los objetivos están establecidos para funciones relevantes y
niveles en la organización.
a) Quién es responsable;
La organización debe determinar cómo atender los aspectos e inquietudes identificadas en el punto
4.3, que pudiesen afectar su habilidad de alcanzar los resultados esperados del SGCN.
La organización debe:
b) Si es necesario:
2) Asegurar que la información estará disponible para evaluar si las acciones han sido efectivas
(ver 9.1)
13
ISO/FDIS 22301
7 Apoyo
7.1 Recursos
7.2 Competencia
La organización debe:
a) Determinar las competencias necesarias de las personas que realizan el trabajo bajo su control
que afecta el desempeño.
b) Asegurar que estas personas son competentes en la base de apropiada educación, capacitación
y experiencia.
c) Donde aplique, tomar acciones para adquirir las necesarias competencias y evaluar la efectividad
de las acciones tomadas.
Las personas realizando el trabajo bajo el control de la organización, deben estar consientes de:
- Su contribución a la efectividad del SGCN, incluyendo los beneficios de la mejora del desempeño
de la gestión de la continuidad comercial;
7.4 Comunicación
La organización debe establecer, implementar y mantener arreglos para la comunicación con partes
interesadas externas.
7.5.1 General
14
ISO/FDIS 22301
- Información documentada determinada por la organización requerida por la efectividad del SGCN.
El proceso para crear o actualizar información documentada (ver 7.5.1) debe incluir:
a) Su identificación y descripción (ej.: Título, nombre, fecha, autor, número, revisión, referencia, etc.;
NOTA 1, La captura y presentación incluye el formato que será usado o medio a utilizar.
Información documentada requerida por el SGCN y por este estándar internacional, debe ser
controlada.
Los controles por información documentada deben incluir cuando sea aplicable
a) Distribución;
b) Acceso;
c) Almacenamiento y preservación;
d) Recuperación y uso;
f) Preservación de legibilidad;
h) Retención y reposición.
15
ISO/FDIS 22301
8 Operación
8.1 General
Al margen de los capítulos previos, este capítulo sigue el enfoque unificado para un sistema de
gestión estándar sólo en 8.1. a partir de 8.2 los requerimientos específicos para continuidad de la
gestión están definidos.
c) Mantener información documentada para demostrar que las actividades y/o procesos han sido
llevados a cabo como estaban planeados.
La organización debe asegurar que los cambios planeados son controlados y que cambios no
intencionados son revisados y acciones apropiadas tomadas.
NOTA, Actividades operacionales y/o procesos, pueden incluir actividades y/o procesos que son
contratados por terceros o relacionados al suministro de bienes y servicios.
8.3 Preparación
b) Enlaces entre política de continuidad del negocio y los objetivos organizacionales y otras
políticas, incluyendo estrategias de gestión de riesgos globales;
d) Articular sus objetivos, incluyendo aquellos vinculados con continuidad del negocio.
f) Definir los factores externos e internos que crean incertidumbre que genera riesgo;
16
ISO/FDIS 22301
La organización debe definir y documentar el alcance del SGCN, considerando su contexto interno y
externo.
La organización debe:
j) Establecer los requerimientos del SGCN, considerando la organización, misión, objetivos,
obligaciones internas y externas y responsabilidades legales;
k) Identificar productos y servicios y todas las actividades relacionadas con el alcance del
SGCN;
l) Considerar las necesidades e intereses de las partes interesadas, tales como clientes,
inversionistas, accionistas, la cadena de suministros, insumos y necesidades públicas o
comunitarias, expectativas e intereses (cuando sean apropiadas);
Al definir el alcance, la organización debe documentar cualquier exclusión, en la medida que las
exclusiones no afecten la habilidad de la organización y responsabilidad de proveer continuidad en
las operaciones que cumplan con los requerimientos del SGCN, determinado por el análisis de
impacto o evaluación del riesgo y requerimientos legales o regulatorios.
8.4 Planeación
d) Asignar a una o más personas para que sean responsables por el SGCN con la autoridad y
competencias apropiadas para responder por la implementación y mantenimiento del SGCN;
La alta dirección debe asegurar que las responsabilidades y autoridades por roles relevantes son
asignados y comunicados en la organización, a través de:
17
ISO/FDIS 22301
La alta dirección debe definir la política de la gestión por la continuidad del negocio en términos de los
objetivos y obligaciones de la organización.
La política debe:
b) Comunicada a todas las personas trabajando por la organización dentro del alcance del SGCN;
8.4.3.1 General
c) Tomar en consideración requerimientos legales y otros a los cuales la organización este suscrita;
d) Incluya un análisis sistemático priorizando los controles de riesgo, tratamiento y sus costos
relacionados;
e) Definir los resultados requeridos del análisis de impacto y de la evaluación del riesgo; y
NOTA, Existen varias metodologías para el análisis de impacto y evaluación del riesgo, las cuales
determinan el orden en que ellas serán conducidas.
18
ISO/FDIS 22301
La organización debe asegurar que los requerimientos legales aplicables y otros requerimientos a los
cuales la organización se haya suscrito, se consideren en el establecimiento, implementación y en el
mantenimiento de su SGCN.
La organización debe establecer, implementar y mantener una documentación formal del proceso de
evaluación para determinar continuidad y prioridades de recuperación, objetivos y metas. Este
proceso debe incluir evaluación de impactos de actividades de interrupción que apoyan a los
productos y servicios organizacionales.
La organización debe:
19
ISO/FDIS 22301
Determinación y selección de opciones deben ser basadas en los resultados del análisis de impacto y
de la evaluación del riesgo.
La organización debe determinar los recursos requeridos para implantar las opciones seleccionadas.
Los tipos de recursos considerados deben incluir:
a) Personas;
b) Información y datos;
e) Tecnología de información;
f) Transporte;
g) Finanzas; y
h) Socios y suplidores.
Para los riesgos identificados que requieren tratamiento, la organización debe considerar medidas
proactivas que:
20
ISO/FDIS 22301
8.5 Desempeñándose
b) Ser específicos en relación a los pasos que se deben seguir durante una interrupción;
c) Ser flexibles para responder a un escenario de amenaza y cambios, tanto internos como
externos;
e) Tener recursos disponibles para apoyar los procesos y procedimientos para gestionar un evento
alterador o trabajo para minimizar el impacto; y
f) Comunicarse con las partes interesadas y autoridades, así como con los medios.
21
ISO/FDIS 22301
a) Detección de un incidente.
g) Alertando a las partes interesadas sobre el potencial de ser impactados por un incidente
alterador;
8.5.4 Respuesta
La organización debe establecer una estructura para responder a incidentes que permita al personal:
d) Tener recursos disponibles para apoyar los procesos y procedimientos para gestionar el
incidente; y
22
ISO/FDIS 22301
La organización debe establecer planes documentados que detallen como la organización maneja un
evento alterador y como se recuperará o mantendrá actividades a un nivel predeterminado basado en
objetivos de recuperación, aprobados por la dirección.
a) Propósito y alcance;
d) Procedimientos de implementación;
h) Requerimientos de recursos; y
La organización debe periódicamente ejercitar, revisar y (cuando sea necesario) revisar sus planes de
continuidad del negocio, particularmente, después de una ocurrencia de un evento alterador y su
revisión posterior asociada.
Tales procedimientos deben atender los requerimientos de aquellos que los usen, y deben incluir:
b) Asegurando que la organización tenga una capacidad mínima aceptable proporcional al alcance
de su SGCN; y
a) Roles y responsabilidades definidas para personas y equipos que tengan autoridad durante y
después de un incidente;
23
ISO/FDIS 22301
c) Detalles para manejar las inmediatas consecuencias de una alteración al negocio, en relación a:
d) Detalles sobre cómo y bajo qué circunstancias la organización se comunica con empleados y sus
familiares, grupos de interés y contactos de emergencia;
4) Representante apropiado.
8.5.8 Recuperación
La organización debe documentar procedimientos para restablecer y retornar las operaciones del
negocio de las medidas temporales adoptadas para apoyar los requerimientos del negocio después
de un incidente.
Debe haber procedimientos documentados para asegurar que las responsabilidades son ejercidas
para cumplir con auditoría y requerimientos del gobierno corporativo durante la restauración y retorno
a las operaciones normales del negocio.
b) Manejo comunicación externa entre clientes, socios, comunidad y otras partes interesadas;
24
ISO/FDIS 22301
h) Operando y probando las capacidades de comunicación para usar durante una alteración de las
comunicaciones normales.
8.6 Chequeando
La organización debe ejercitar y ensayar sus procedimientos de continuidad para asegurar que son
consistentes con los objetivos del SGCN.
b) Estar basados en escenarios que estén bien planificados con respectivos propósitos y objetivos;
b) Monitoreo para verificar hasta que puntos la política de continuidad, objetivos y metas son
alcanzadas;
d) Monitoreo de la conformidad;
e) Monitorear evidencia histórica de deficiencias en el desempeño del SGCN, falsas alarmas, fallas,
incidentes;
f) Registro de datos y resultados del monitoreo y medición suficiente para facilitar una subsecuente
investigación de acciones correctivas y preventivas.
8.7 Revisión
La alta dirección debe revisar los reportes del SGCN. Esto debe incluir:
25
ISO/FDIS 22301
b) Técnicas, productos o procedimientos que pudiesen ser usados en la organización para mejorar
el SGCN;
h) Cualquier cambio que pudiera afectar al SGCN, bien sea interno o externo al alcance del SGCN;
i) Adecuación de la política;
El resultado de las revisiones por la dirección debe incluir cualquier decisión y acciones relacionadas
a lo siguiente:
p) Modificación de procedimientos y controles que afectan a los riesgos como sea necesario,
responder a eventos internos y externos que pudiesen impactar el SGCN, incluyendo cambios a:
5) Obligaciones contractuales,
7) Necesidades de recursos,
26
ISO/FDIS 22301
Esta evaluación debe ser hecha a través de revisiones periódicas, ejercicios, ensayos y reportes de
post incidentes y evaluaciones del desempeño.
Cambios significativos en estos factores deben estar reflejados en los procedimientos en un tiempo
oportuno.
El desempeño de la organización debe ser monitoreado, medido y analizado para poder evaluar la
efectividad de su SGCN.
La organización debe determinar los controles necesarios para el monitoreo y equipos de medición en
la manera que sea aplicable para asegurar resultados válidos.
Tomar acción cuando sea necesario para atender tendencias adversas o resultados (ver 6.2).
La organización debe retener información documentada relevante como evidencia de los resultados.
La organización debe conducir auditorías internas a intervalos planeados para proveer información
para asistir en la determinación del SGCN:
a) Conformidad con:
27
ISO/FDIS 22301
La organización debe:
f) Asegurar que los resultados de las auditorías son reportadas a la gerencia responsable por el
área que se audita;
La gerencia responsable por el área siendo auditada, debe asegurar que cualquier corrección
necesaria y acciones correctivas se tomen sin ninguna demora para eliminar las no conformidades
detectadas y sus causas.
La alta gerencia debe revisar el SGCN de la organización a intervalos planificados, para asegurar su
conveniente continuidad, adecuación y efectividad.
c) Oportunidades de mejora.
La organización deberá:
28
ISO/FDIS 22301
- Retener información documentada como evidencia de los resultados de las revisiones por la
dirección.
10 Mejoramiento
La organización debe:
a) Identificar no conformidades;
La organización también debe evaluar la necesidad de acciones para eliminar las causas de no
conformidades, incluyendo:
c) Revisión de no conformidades;
e) Evaluar la necesidad de acción para asegurar que no haya recurrencia de las no conformidades;
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas.
La organización debe asegurar que cualquier cambio necesario sea hecho al SGCN.
29