ESPECIFICACIÓN ISO/TS

TÉCNICA 22317

Primera edición
2015-09-15

Seguridad social — Sistemas de

Gestión de Continuidad de
Negocios — Directrices para el
análisis del impacto de negocios
Sécurité sociétale — Systèmes de management de la continuité en
affaires — Lignes directrices pour l’analyse d’impact en affaires

Reference number
ISO/TS 22317:2015(E)

Este documento forma parte de la biblioteca de CONCEPTA CONSULTING E.I.R.L.

adquirido el 15/06/2016
© ISO 2015

adquirido el 15/06/2016
 ISO/TS 22317:2015(E)

Contenido Página

Prefacio ..........................................................................................................................................................................................................................................v
Introducción................................................................................................................................................................................................................................vi
1 Alcance............................................................................................................................................................................................................................... 1
2 Referencias Normativas ................................................................................................................................................................................... 1
3 Términos y definiciones ................................................................................................................................................................................... 1
4 Requisitos Previos ....................................................................................................................................................................................., ........... 1
4.1 Generalidades.............................................................................................................................................................................................. 1
4.2 Contexto y alcance del programa BC....................................................................................................................................... 2
4.2.1 Contexto del programa BC........................................................................................................................................... 2
4.2.2 Ámbito de aplicación del programa BC............................................................................................................ 2
4.3 Funciones del programa BC ......................................................................................................................................................... 2
4.3.1 Funciones y responsabilidades del programa BC ................................................................................ 2
4.3.2 Procesos específicos, funciones y competencias BIA ......................................................................... 2
4.4 Compromiso del programa BC.................................................................................................................................................... 4
4.5 Recursos del programa BC ........................................................................................................................................................... 4

5 Realización del análisis de impacto en el negocio ..................................................................................................................... 4

5.1 Generalidades.............................................................................................................................................................................................. 4
5.2 Planificación del Proyecto y gestión .................................................................................................................................... 5
5.2.1 Generalidades.........................................................................................................................................................................5
5.2.2 Consideraciones iniciales BIA..................................................................................................................................6
5.3 Priorización del product y servicio……................................................................................................................................. 6
5.3.1 Panorama………...................................................................................................................................................................... 6
5.3.2 E n t r a d a s ........................................................................................................................................................................... 8
5.3.3 Resultados.................................................................................................................................................................................9
5.4 Proceso de priorización....................................................................................................................................................................... 9
5.4.1 Generalidades ....................................................................................................................................................................... 9
5.4.2 Entradas..................................................................................................................................................................................... 9
5.4.3 Resultados ............................................................................................................................................................................... 9
5.5 Priorización de actividad…...............................................................................................................................................................10
5.5.1 Panorama..................................................................................................................................................................................10
5.5.2 Entradas....................................................................................................................................................................................10
5.5.3 R e c o p i l a c i ó n d e i n f o r m a c i ó n ..............................................................................................,,11
5.5.4 Resultados ........................................................................................................................................................................... ... 12
5.6 Análisis y consolidación……........................................................................................................................................................... ..12
5.6.1 P a n o r a m a .................................................................................................................................................................... ….12
5.6.2 Entradas...................................................................................................................................................................................... 12
5.6.3 Métodos.................................................................................................................................................................................. ,, 12
5.6.4 Resultados............................................................................................................................................................................. ,,13
5.7 Obtención de la aprobación de la Alta Dirección de los resultados BIA....................................... ….13
5.7.1 Generalidades...................................................................................................................................................................... 13
5.7.2 Entradas.................................................................................................................................................................................. 13
5.7.3 Métodos ................................................................................................................................................................................ …13
5.7.4 Resultados............................................................................................................................................................................,,14
5.8 Después de la BIA — Selección de la estrategia de continuidad de negocio -................................,,14

6 Seguimiento y revision de procesos BIA................................................................................................................................... 14

Anexo A (informativo) Análisis de impacto en el negocio dentro del ISO 22301 Sistema de gestión de la continuidad...____16
Anexo B (informativo) Mapeo de la terminología del análisis del impacto del negocio_________________________________________17
Anexo C (informativo) Métodos de recolección de información del análisis del impacto del negocio ________________________ 8
Anexo D (informativo) Otros usos para el proceso de análisis de impacto en el negocio._______________________________________24

adquirido el 15/06/2016
ISO/TS 22317:2015(E)

Bibliografía.................................................................................................................................................................................... 27

adquirido el 15/06/2016
Prefacio

La ISO (Organización Internacional de Normalización) es una federación mundial de organismos

nacionales de normalización (organismos miembros de ISO). El trabajo de preparación de las normas
internacionales normalmente se realiza a través de los comités técnicos de ISO. Cada organismo
miembro interesado en una materia para la cual se ha establecido un comité técnico, tiene el derecho a
estar representado en dicho comité. Las organizaciones internacionales, gubernamentales y no
gubernamentales, en coordinación con ISO, también participan en el trabajo. ISO colabora
estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de
normalización electrotécnica.

Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior
mantenimiento se describen en las Directivas ISO / IEC, Parte 1. En particular, deben tenerse en cuenta
los diferentes criterios de aprobación necesarios para los diferentes tipos de documentos ISO. Este
documento fue elaborado de acuerdo con las normas editoriales de las Directivas ISO / IEC, Parte 2 (ver
w w w.iso.org/directives).

Se llama la atención a la posibilidad de que algunos de los elementos de este documento puedan estar
sujetos a derecho de patente. ISO no se hace responsable de la identificación de cualquiera o todos los
derechos de patente. Los detalles de cualquier derecho de patente identificados durante el desarrollo
del documento estarán en la introducción y / o en la lista ISO de las declaraciones de patentes recibidas
(ver w w w.iso.org/patents).

Cualquier nombre comercial utilizado en el presente documento se da información para la comodidad

de los usuarios y no hace constituye un aval.

Para obtener una explicación sobre el significado de los términos y expresiones específicas ISO
relacionadas con la evaluación de la conformidad, así como información sobre el cumplimiento de ISO
de los principios de la OMC en los Obstáculos Técnicos al Comercio (OTC) véase la siguiente URL:
Prólogo - Información complementaria

El comité responsable de este documento es el ISO / TC 292, seguridad y capacidad de recuperación.

adquirido el 15/06/2016
Introducción

Esta especificación técnica proporciona una guía detallada para establecer, implementar y mantener un
proceso de análisis de impacto en el negocio (BIA), en consonancia con los requisitos de la norma ISO 22301.
Esta especificación técnica es aplicable a la realización de cualquier proceso de BIA, si parte de un sistema
de gestión de la continuidad del negocio (BCMS) o un programa de continuidad de negocio (programa BC).
En lo sucesivo, el programa de BC significa o bien BCMS o programa BC.

Figura 1 toma nota de la relación del proceso BIA al programa de BC como un todo. La organización debe
completar un ciclo del proceso BIA antes de escoger las estrategias de continuidad de negocio.

FIGURA1- Elementos de la gestión de la continuidad del negocio (Fuente: ISO 22313)

El proceso BIA analiza las consecuencias de un incidente perjudicial sobre la organización. El resultado es
una declaración y justificación de los requisitos de continuidad de negocio.

El proceso BIA se compone de un número de sesgo individual, cada uno centrado de un sub-conjunto del
alcance del programa BC. El proceso BIA da prioridad a los productos y servicios, y continúa con los procesos
y actividades que en conjunto cubren todo el alcance del programa BC priorizar. Después de un período de
tiempo determinado por la organización, los sesgos individuos se repiten para asegurarse de que los
requisitos de BC siguen siendo actuales.

NOTA En esta Especificación Técnica, el requisito de continuidad de negocio tiene el mismo significado que
de continuidad y recuperación prioridades, objetivos y metas (ISO 22301: 2012, 8.2.2).

Los efectos de esta Especificación Técnica son los siguientes:

- Proporcionar una base para la comprensión, desarrollar, implementar, revisar, mantener y

la mejora continua de un proceso BIA efectiva dentro de una organización;

- Proporcionar una guía para la planificación, realización y presentación de informes en un BIA;

- Ayudar a la organización con la realización de un BIA de una manera consistente que refleje buenas
prácticas;

- Permitir una adecuada coordinación entre el proceso y el programa BIA BC general.

adquirido el 15/06/2016
Los resultados del proceso de BIA incluyen los siguientes:

- Aprobación o modificación del alcance del programa de la organización BC;

- Identificación de los requisitos legales, reglamentarios y contractuales (obligaciones) y su efecto sobre los
requisitos de continuidad de negocio;

- Evaluación de los impactos en la organización a través del tiempo, que sirve como la justificación de los
requisitos de continuidad de negocio (tiempo y de capacidad);

- La identificación y confirmación de los requisitos de entrega de producto / servicio después de un incidente

perturbador, que a su vez establece los plazos de prioridad para las actividades y los recursos;

- La identificación y establecimiento de las relaciones entre los productos / servicios, procesos, actividades
y recursos;

- Determinación de los recursos necesarios para realizar las actividades priorizadas (por ejemplo,
instalaciones; personas; equipo; los activos de información, comunicación y tecnología; suministros; y
financiación);

- Comprensión de las dependencias en otras actividades, cadenas de suministro, socios y otras partes
interesadas;

- Determinación de cómo hasta la fecha la información tiene que ser.

NOTA: Para los efectos de esta Especificación Técnica, las cadenas de suministro producen las entregas de
bienes, obras y servicios, los cuales se conocen como «entregas» a lo largo del resto de este documento.

El siguiente diagrama muestra el proceso de BIA, junto con los requisitos previos y su relación con la
identificación de la estrategia. Las cláusulas que se hace referencia en el diagrama son subsecciones de esta
Especificación Técnica.

Figure 2 — Proceso del Análisis del Impacto

de Negocios

ESPECIFICACIÓN TÉCNICA

adquirido el 15/06/2016
Seguridad social — Sistemas de Gestión de Continuidad de Negocios — Directrices para el análisis
del impacto de negocios (BIA)

1 Alcance

Esta especificación técnica proporciona una guía para una organización para establecer, implementar y
mantener un proceso de análisis formal y documentado impacto en el negocio (BIA). Esta especificación
técnica no prescribe un procedimiento uniforme para la realización de un BIA, pero ayudará a una
organización para diseñar un proceso de BIA que se adecue a sus necesidades.

Esta especificación técnica es aplicable a todas las organizaciones, independientemente del tipo, tamaño y
naturaleza, ya sea en el sector privado, público o sin fines de lucro. La guía se puede adaptar a las
necesidades, los objetivos, los recursos y las limitaciones de la organización.

Está diseñado para ser utilizado por los responsables del proceso de BIA.

2 Referencias normativas

Los siguientes documentos, en su totalidad o en parte, se hace referencia a normativamente en este

documento y son indispensables para su aplicación. Para las referencias con fecha, sólo se aplica la
edición citada. Para referencias fechadas, la última edición del documento de referencia (incluyendo
cualquier modificación).

ISO 22300, seguridad societal - Terminología

3 Términos y definiciones
A los efectos de este documento, los términos y definiciones de la norma ISO 22300 se aplican.

NOTA Todos los términos y definiciones que figuran en la norma ISO 22300 están disponibles en la
Plataforma de Navegación ISO línea: www.iso.org/obp.

4 Requisitos previos

4.1 Generalidades

Como se ha señalado en la introducción, esta Especificación Técnica es consistente con la norma ISO
22301, pero que podría ser utilizado para desarrollar, implementar, revisar, mantener y mejorar
continuamente un proceso BIA frente a otras normas o requisitos reglamentarios. Si parte de un
programa BC o BCMS, la organización debería considerar una serie de requisitos previos antes de
comenzar el proceso de BIA. Cláusula 4 resume estos requisitos previos, muchos de los cuales son
de la norma ISO 22301.

La organización debe tomar una serie de medidas dentro del programa BC antes de comenzar el
proceso BIA, que incluyen los siguientes:

- Definir el contexto y el alcance (4.2);

- Definir y comunicar las funciones y responsabilidades (4.3);

- Obtener un compromiso de liderazgo (4.4);

- Asignar recursos suficientes (4,5).

NOTA Para obtener información adicional, véase el Anexo A para una asignación de cada paso de la
norma ISO 22301.

4.2 Contexto y alcance del programa BC

4.2.1 Contexto del programa BC

Los resultados positivos del proceso BIA dependen de la organización y la comprensión de lo siguiente:
adquirido el 15/06/2016
- El ambiente externo en el que opera de manera que pueda lograr su propósito mediante la entrega de sus
productos y servicios a los clientes;

- El entorno operativo interno, incluyen todos los procesos, las actividades y los recursos, así como la potencial
impacto causado por la interrupción de la entrega de productos y servicios; y

- Leyes y reglamentos que ordenan el proceso BIA y la forma en que se lleva a cabo.

NOTA: En las organizaciones que operan en un entorno no comercial, el "cliente" puede ser público o una
autoridad de supervisión, tales como el gobierno.

4.2.2 Ámbito de aplicación del programa de BC

Antes de determinar el alcance del proceso BIA, la organización debe definir y documentar el alcance de el
programa BC en términos de sus productos y servicios.

El proceso BIA puede ayudar a la organización para revisar el alcance del programa BC. Siguiendo la definición
del alcance del programa antes de Cristo, la organización puede determinar el alcance del proceso BIA que
puede llevarse a cabo como un solo BIA para cubrir todo el alcance del programa BC; o llevado a cabo en una
serie de fases que, con el tiempo, cubre todo el alcance del programa BC.

NOTA Si la organización opta por realizar el proceso de BIA en fases, se debe determinar primero la
priorización de todos los productos y servicios (véase 5.2) y luego continuar con el sesgo individuo restante.

4.3 Funciones del programa BC

4.3.1 Funciones y responsabilidades del programa BC

Antes de realizar el proceso de BIA, la alta dirección debe asegurarse de que las responsabilidades y
autoridades para las funciones pertinentes se asignan y son comunicadas dentro de la organización.

4.3.2 Procesos específicos, funciones y competencias BIA

Después de la asignación de funciones del programa BC, la alta dirección debe proporcionar los recursos
necesarios para llevar a cabo el proceso de BIA, que puede incluir nombra las siguientes funciones:
- La persona que los patrocinadores del proceso de BIA;
- BIA comité de dirección;
- La persona que dirige el proceso BIA;
- La persona que administra el proyecto BIA (director del proyecto);
- propietarios de los procesos;
- Responsables de las actividades.
La persona que es patrocinador del proceso de BIA debe:
- Ser un ejecutivo que representa la alta dirección,
- Ser respetada dentro de la organización por otros miembros de la alta dirección,
- Tener una perspectiva de toda la organización,
- Tener la autoridad para comprometer a la organización a la acción, y
- Tomar las decisiones finales sobre el proceso de BIA.
El comité directive BIA debe:
- Representar a la alta dirección,
- Proporcionar asesoramiento y orientación permanente en la conducción del proceso de BIA,
- Ponerse de acuerdo sobre los métodos y resultados,
- Tomar decisiones con respecto a los requisitos de continuidad de negocio, y
adquirido el 15/06/2016
- Ayudar a la persona a conducir el proceso y al gerente del proyecto BIA en la determinación de las competencias
necesarias para las funciones de BIA; para procesos específicos y responsabilidades y la conciencia, el
conocimiento, la comprensión, las habilidades y la experiencia necesaria para cumplir con ellas.
La persona que dirige el proceso BIA debe
- Tener una comprensión de la organización, en particular los productos, servicios, procesos y actividades,

- Contar con experiencia en la realización de un proceso BIA. La persona que administra el proyecto BIA debe
planificar y gestionar el proceso de BIA,
- Tener una comprensión de las tareas de planificación de proyectos, y
- Estar familiarizado con el proceso de BIA.

Los responsables del proceso deben tener un conocimiento relativamente detallado del proceso se representan
con el fin de ayudar al gestor del proyecto en la experta identifiación del objeto, unidades organizativas, y los
impactos de tiempo de inactividad.
Los gerentes de actividad deben:

- Tener conocimiento muy detallado de la actividad en la que se representan, incluyendo todos los recursos que
permiten la actividad de operar, y

- Estar al tanto de los procesos y los recursos alternativos que podrían estar disponibles en caso de una pérdida
de recursos primarios.

NOTA: En las organizaciones más pequeñas, estas funciones se pueden combinar.

La organización debe asegurar la competencia de las personas que conducen o que participan en el proceso de
BIA. Competencias deben incluir habilidades y capacidades relacionadas con lo siguiente:
- Proyecto / planificación y gestión de los programas;
- recopilación de información;
- Análisis;
- La comunicación y la colaboración efectiva;

- Traducción de los objetivos de la organización a los requisitos de continuidad de negocio y las necesidades de
recursos;

- La aplicación de los conceptos de la BIA en el contexto de la organización específica;

- El conocimiento de la organización, sus productos y servicios, procesos, actividades y recursos.

4.4 Compromiso del programa BC

El compromiso de la dirección con el proceso BIA es necesaria para garantizar la participación efectiva. Para obtener este soporte,
la organización puede considerar comunicar el valor BIA, proceso "que incluye lo siguiente:

- Garantizar las adecuadas y más rentables estrategias. Se seleccionan mediante la determinación de los requisitos de continuidad
de negocio correctas;

- Medios de prueba para la gestión de requisitos que continuit laborales. Se alinean con los objetivos de la organización;

- Garantizar la organización cumple con sus requisitos legales y contractuales, los clientes durante una
incidente perturbador;

- Determinación de los vínculos entre los productos y servicios y procesos, actividades y recursos;

- Proporcionar una visión general de la organización que se puede utilizar para mejorar su eficiencia o explorar nuevos
oportunidades (véase el anexo D).
adquirido el 15/06/2016
4.5 Recursos del programa BC
La organización debe proporcionar recursos para el proceso de BIA que son suficientes para lo siguiente:

- Alcanzar su política y objetivos de BC;

- Tomar las medidas adecuadas para la gente y los recursos relacionados con las personas, incluyendo el
tiempo para cumplir con BIA, funciones específicas de procesos y responsabilidades, y la formación y
sensibilización;

- Satisfacer las necesidades cambiantes de la organización;

- Proporcionar un funcionamiento continuo y la mejora continua del programa BC, así como el proceso BIA.

5 Realización del análisis de impacto en el negocio

5.1 Generalidades

El proceso BIA da prioridad a los distintos componentes de la organización de manera que el producto
y el servicio de entrega se puede resumir en un período de tiempo predeterminado después de un
incidente perjudicial para la satisfacción de las partes interesadas. A los efectos de esta
“Especificación Técnica” y de conformidad con la norma ISO 22301, los productos y servicios son
creados por los procesos que se componen de actividades.

Los productos y servicios son priorizados en primer lugar; esto establece los parámetros de tiempo y
nivel de servicio para priorización del proceso. Si es requerido por la complejidad de la organización,
los procesos se pueden separar en sus actividades constitutivas de prioridad.

Los resultados adecuados, suficientes y eficaces de las fases siguientes del programa dependen de la
precisión del proceso de BIA. Cada BIA debe ser completado constantemente, cuidado y detenimiento.

Figura 3 muestra cómo los diferentes elementos del proceso de BIA se relacionan entre sí. El diagrama
ilustra que puede haber solapamiento entre el tiempo de estas fases co nstituyentes del proceso.

Relaciones del análisis del impacto de

negocios

ALTA DIRECCIÓN:
Priorización del producto y del
servicio
(Cláusula 5.3)

Obtención de Después de BIA-

Análisis y la aprobación Selección de
RESPONSABLES DEL PROCESO: Consolidación de la Alta Estrategias de la
Priorización del proceso (Cláusula 5.6) Dirección de Continuidad de
(Cláusula 5.4) los resultados Negocios
BIA (Cláusula 5.8)
(Cláusula 5.7)
RESPONSABLE DE ACTIVIDADES:
Priorización de actividad
(Resources e interdependencias)
(Cláusula 5.5)

Gestión y Planificación de proyectos (5.2)

Figure 3 — Relaciones del análisis del impacto de

negocios

Los resultados positivos del proceso BIA pueden

adquirido eldepender
15/06/2016 de lo siguiente:
 - La identificación de los clientes y otras partes interesadas, y anticipar sus reacciones a un incidente
perturbador;

- La participación de todas las partes interesadas pertinentes con un mandato apropiado;

- El desarrollo de habilidades y competencias adecuadas dentro de la organización o proyecto para llevar

a cabo el análisis y presentación de los resultados;

- La recopilación de información general, completa y exacta (alguna información puede estar disponible,
mal entendido, confidencial o retenido, identificando así las áreas que requieren mayor trabajo);

- Garantizar que aquellos que contribuyen al proceso de recopilación de información BIA tienen suficiente
conocimiento y autoridad para hablar en nombre de la organización, proceso o actividad;

- Representantes de la dirección, lo que garantiza tienen suficiente autoridad para aprobar los resultados
del BIA.

5.2 Planificación del Proyecto y Gestión

5.2.1 Generalidades

Aunque BIA es un proceso, las organizaciones pueden utilizar métodos de gestión de proyectos para una
fase del proceso de BIA. A medida que el proceso de BIA es potencialmente compleja, utilizando los métodos
de gestión de proyectos permite a las organizaciones para coordinar los recursos y los plazos.

Tareas de planificación de proyectos pueden incluir los siguientes:

- Decidir el alcance de esta fase del proceso de BIA;

- Comunicar a las expectativas de los participantes del proceso BIA;

- La identificación de la persona que los patrocinadores del proceso de BIA y la participación de la alta
dirección;

- Establecimiento de las funciones BIA para procesos específicos y responsabilidades (incluyendo

competencias);

- El establecimiento del plan del proyecto;

- La asignación de recursos para el proyecto BIA;

- Obtener la aceptación del enfoque y plan de proyecto;

- Establecer o abastecimiento de las habilidades necesarias para cumplir con los objetivos del proceso BIA.
tareas de gestión de proyectos pueden incluir los siguientes:

- La aplicación del proceso BIA (ver 5.2 a 5.6);

- Seguimiento de la aplicación del proceso de BIA (ver a través 5.6);

- El desarrollo de informes periódicos sobre el estado, tomando nota de las expectativas de rendimiento y
recomendaciones para mejorar el rendimiento en línea con las expectativas de alta dirección (véase 5.2);

- La realización de modificaciones del enfoque basado en procesos BIA y alcance para satisfacer las
expectativas de alta dirección y externa (normativo, legal, atención al cliente, por contrata) requisitos (véase
el capítulo 6);

- Recopilación y revisión de las lecciones aprendidas (véase el capítulo 6);

adquirido el 15/06/2016
- Hacer recomendaciones relativas a la mejora de procesos BIA para la implementación futura (ver Cláusula
6).

5.2.2 Consideraciones iniciales BIA

Una organización de emprender un BIA, por primera vez debe planear tiempo adicional para

- Identificar los productos y servicios,

- Crear conciencia y garantizar la educación,

- Identificar a un representante de la dirección superior para patrocinar el proceso BIA y / o comité

de dirección BIA,

- Determinar las categorías y criterios de impacto,

- Determinar la importancia del entorno empresarial / política de la organización,

- Identificar la estructura de la organización a un nivel apropiado de detalle,

- Identificar y seleccionar las fuentes de información adecuadas para la recopilación de inf ormación,

- Documento de trabajo f bajo a un nivel de proceso y actividad, y

- Recopilación de información completa a través de la revisión de documentos, entrevistas, talleres

y cuestionarios.

Durante la BIA inicial, la organización podrá utilizar los resultados de la BIA para dar prioridad a las
fases posteriores de continuidad de negocio, incluyendo la selección de estrategias.

5.3 Priorización del producto y servicio

5.3.1 Panorama

Como primer paso en el proceso de BIA, la alta dirección debería ponerse de acuerdo sobre la prioridad de
los productos y servicios después de un incidente perturbador que puede poner en peligro la consecución
de sus objetivos.

Es responsabilidad de la alta dirección para tomar estas decisiones porque:

- Establece los objetivos de la organización,

- Tiene la responsabilidad de asegurar la continuidad de la organización y el cumplimiento

de sus objetivos,

- Tener la visión más amplia de toda la organización desde la que evaluar las prioridades,

- Puede optar por ignorar las obligaciones contractuales y otros en el establecimiento de prioridades en
circunstancias excepcionales, y

- Son conscientes de los cambios futuros previstos y otros factores que puedan afectar a la continuidad del
negocio

Requisitos:

Si una organización tiene demasiados productos y servicios para identificar de forma individual, la
organización podrá agrupar los productos adquirido
y servicios cuando tienen prioridades similares. Por el contrario,
el 15/06/2016
puede ser necesario para la organización identificar a los clientes que, a pesar de compartir los mismos
productos y servicios, tienen distintas expectativas plazo de entrega, o su valor para la organización es
diferente.

Para cada grupo de productos y servicios, la organización debe entender los impactos que puedan resultar de
un incidente perturbador por:

- La identificación de las expectativas del cliente y obligaciones, y las sanciones asociadas con haberlas
conocido.

- Teniendo en cuenta los puntos de vista de otras partes interesadas en la evaluación de impactos.

Otras partes interesadas y su reacción a un incidente perturbador pueden incluir los siguientes:

- Las organizaciones asociadas: su disposición a seguir cooperando;

- Los medios de comunicación y la sociedad: el valor de marca y la opinión pública;

- Los clientes potenciales: pérdida de cuota de mercado actual y futuro;

- Accionistas: efecto sobre el precio de la acción actual y futura inversión;

- Competidores: ¿quién puede intentar aprovecharse de la situación;

- Retención de personal;

- Reguladores y del gobierno: sanciones y cambios en las reglas.

La organización puede usar los ejemplos de Tabla 1 para entender los impactos de un incidente perturbador
en la organización a través del tiempo:

Table 1 — Product and service level impact category examples

Categorías de impacto Ejemplos de impacto

Financiero Pérdidas financieras debido a multas, sanciones, pérdida de beneficios o

disminuyen la cuota de Mercado
Reputación Opinión negativa o daños a la marca

Legal y regulatorio Responsabilidades litigiosas y retirao de la licencia para el comercio

Contractual Incumplimiento de contratos y obligaciones entre las organizaciones

Objetivos de negocios Si no se cumplan los objetivos fijados o tomar ventaja de las oportunidades

Los impactos casi siempre aumentan con el tiempo. Sin embargo, los impactos no pueden aumentar en la
misma proporción. Por ejemplo, los impactos financieros pueden aumentar repentinamente como se
incurre en penas convencionales o como los clientes se pierden, y el daño a la reputación puede ocurrir
repentinamente en un punto durante el incidente perturbador. Ver Figura 4 para un ejemplo de cómo las
diferentes categorías de impacto aumenta con el tiempo.
adquirido el 15/06/2016
 Impacto de un incidente perturbador en una organización a
través del tiempo
Impacto acumulativo

Posible punto en el tiempo en el que la organización

decide que los impactos serían inaceptables

Sanciones contractuales

Pérdidas financieras
Multas reglamentarias

Reputación

Minutos Horas Día Días Semana Semanas

Hora

Figura 4 - Impacto de un incidente perturbador en una organización a través del tiempo

Para cada grupo de productos y servicios, la alta dirección debe decidir y documentar lo siguiente:

- Tiempo tras el cual la falta de entrega de ellos se convierte en inaceptable para la organización debido a los
impactos mencionados anteriormente amenazan su supervivencia o hacen sus objetivos ya no alcanzable (véase
el anexo B para términos relacionados) continuaron;
- Razón (s) por qué este período de tiempo se ha identificado con referencia a los crecientes impactos en el tiempo.
La organización podrá, basándose en el ejemplo plazo en la figura 4, establecer un tiempo objetivo para reanudar
entrega de productos y servicios en los niveles mínimos especificados (véase el anexo B para términos
relacionados).

5.3.2 Entradas

La alta dirección puede considerar la siguiente información en el establecimiento de los requisitos de continuidad de negocio
para los productos y servicios:

- Actual misión de la organización, objetivos y dirección estratégica;

- El alcance del programa actual BC;

- Evaluación de los productos y servicios prioridades de un comentario anterior la alta dirección;

- Lista de los requisitos legales yreglamentarios que la organizacióno de los productos yservicios específicos estánsujetos (asícomo
una evaluación de las consecuencias del incumplimiento de cada requisito);

- Requisitos contractuales, incluidas las sanciones por la falta de entrega;

- Evaluación de la reputación, financieros, u otros impactos de la falta de entrega;

— los últimos informes posteriores a los incidentes que describen el impacto asociado con el
incidente perturbador.
adquirido el 15/06/2016
 5.3.3 Resultados

Los resultados del proceso de priorización de productos y servicios deben ser

- Aprobación o modificación del alcance del programa de la organización BC,

- Identificación de los requisitos legales, reglamentarios y contractuales (obligaciones),

- Evaluación de los efectos en el tiempo en que se refiere a una falta de entrega de productos o
servicios, que sirve como la justificación de los requisitos de continuidad de negocio,

- Confirmación de los requisitos del producto y servicio de entrega (que puede incluir el tiempo,
calidad, cantidad, niveles de servicio y especificaciones de capacidad) después de un in cidente
perturbador que a continuación, establece las prioridades para las actividades y los recursos,

- Identificación de los procesos (que entregan los productos y servicios),

-Nombramiento de personal de plomo para ayudar a identificar qué procesos entregar productos y
servicios, y

- La documentación de una lista de productos y servicios priorizados (agrupados por calendario o

cliente).
La organización puede conservar la documentación que describe las decisiones tomadas durante el
producto y proceso de priorización de servicios.

5.4 Proceso de priorización

5.4.1 General

Un proceso es un conjunto de actividades mutuamente relacionadas o que interactúan, las cuales

transforman entradas en salidas (ISO 22300). Su prioridad se determina por la prioridad de los productos
y servicios que son su salida.

Dependiendo de su complejidad, la organización puede optar por omitir el establecimiento de prioridades

de procesos y proceder directamente a la actividad de priorización. Si la organización decide realizar una
priorización de procesos, la organización debe determinar las actividades que componen esos procesos

5.4.2 Entradas

La información necesaria para el establecimiento de prioridades proceso incluye lo siguiente:

- El alcance del BIA;

- Requisitos del producto y servicio de entrega (que puede incluir el tiempo, la calidad, la cantidad,
los niveles de servicio, y las especificaciones de capacidad);

- Los procesos y los productos y servicios que ofrecen;

- impactos en el tiempo de una falta de entrega de productos y servicios;

- Los requisitos legales, reglamentarios y contractuales (obligaciones).

5.4.3 Resultados
Los resultados del proceso de establecimiento de prioridades deben ser las siguientes:
adquirido el 15/06/2016
- Identificación de la relación entre el producto y los servicios, procesos y actividades;
- Identificación de las dependencias en otros procesos de negocio;

- Evaluación de los efectos en el tiempo de un fallo de proceso (las categorías de impacto en Tabla 1 se podría
utilizar para confirmar los efectos de la interrupción de procesos);

- Las prioridades de los procesos;

- Análisis de la interdependencia de los procesos que ofrecen productos y servicios a los clientes;

- Análisis de la interdependencia de las actividades que ofrecen los procesos;

- Lista de los procesos priorizados que ofrecen productos y servicios documentada; y

- Lista documentada inicial de las actividades que ofrecen los procesos.

5.5 Priorización de actividad

5.5.1 Panorama

Una actividad es un conjunto de una o más tareas con una salida definida. La prioridad de la actividad se
determina por la prioridad de los procesos de la que forma parte.

La organización debe llevar a cabo el establecimiento de prioridades nivel de actividad para entender los
recursos necesarios para operar cada actividad después de un incidente perturbador, y para confirmar el
impacto potencial asociado con un incidente perturbador.

Las organizaciones deben realizar la priorización nivel de actividad para obtener una comprensión
detallada de las necesidades de recursos del día a día, lo que permite a la organización identificar la cantidad
y el momento de los recursos necesarios para la recuperación y para ayudar a confirmar las conclusiones
relacionadas con el impacto desarrollados a nivel de proceso. Información relacionada con recursos incluye
lo siguiente:

- Personas / habilidades / funciones;

- instalaciones;
- Equipos;
- registros;
- La financiación;
- Tecnologías de la información y la comunicación (incluidas las aplicaciones, datos, telefonía y redes);
- suministros, cadenas de suministro, y los asociados;
- Dependencia respecto de otros procesos y actividades;
- herramientas especiales, repuestos y consumibles;
- limitaciones impuestas a los recursos por parte de la logística o regulaciones.
Además de los impactos ya valorado en Tabla 1, la organización puede considerar la evaluación de impacto
operativo, tales como retrasos debidos a la acumulación de carga de trabajo o soluciones manuales o
impactos en actividades relacionadas entre sí.

5.5.2 Entradas
Los insumos necesarios para llevar a cabo la actividad de priorización incluyen los siguientes:

- Alcance de esta BIA;

- prioridades de los procesos;
- organigrama;
- Las actividades de los procesos constituyentes.

5.5.3 Recolección de la información adquirido el 15/06/2016

La organización necesita para obtener la siguiente información para llevar a cabo la BIA nivel de actividad,
incluyendo detalle de la actividad, las necesidades de recursos, y las interdependencias.
5.5.3.1 Detalle de actividad
La organización puede recopilar los siguientes datos durante la actividad de priorización:
- Los procesos que apoya esta actividad;
- Los métodos operativos de la actividad;
- La duración o tiempo de entrega de esta actividad;
- Fluctuaciones de la demanda o periodos de funcionamiento de pico;

- Factores no se ha detectado que podrían afectar a la determinación de los requisitos de continuidad de

negocio (por ejemplo, retrasos o los requisitos legales y reglamentarios de esta actividad).

5.5.3.2 Recursos necesarios

La información sobre los recursos que deben recogerse durante una priorización de la actividad pueden
incluir los siguientes:

- Personal y contratistas (incluido el nivel mínimo aceptable para el servicio requerido, y el conocimiento,
habilidades o cualificaciones requeridas);

- Requisitos de los lugares de trabajo;

- Aplicaciones informáticas y de comunicaciones (teniendo en cuenta los requisitos especiales);

- Registros (por ejemplo, electrónicos o en papel);

- Equipos (por ejemplo, información y tecnología de las comunicaciones (TIC), equipo de oficina, equipos de
fabricación);

- Componentes y materias primas.

5.5.3.3 Las interdependencias

La información interdependencia necesaria para recoger durante una priorización de actividades incluye
el seguimiento:

- La dependencia de otras actividades y recursos internos, o las cadenas de suministro;

- La dependencia de otras actividades internas sobre los resultados de esta actividad.

Para la especificación de los requisitos de las TIC, la siguiente información adicional puede ser recogida:

- Nombre de la propiedad de las TIC, la ubicación y configuración (por ejemplo, la memoria, y capacit,
velocidad del procesador y espacio en disco);
- Dependencias de otros activos TIC;
- Perfiles de usuario final y las características de uso;
- Requisitos legales o reglamentarias únicas con respecto al uso del activo TIC.

5.5.4 Resultados

Los resultados de la actividad de prioridades deben ser las siguientes:

- Confirmación de los impactos en el tiempo, que sirve como justificación de los requisitos de
continuidad de negocio (Tiempo y capacidad);

adquirido el 15/06/2016
- Las necesidades de recursos para llevar a cabo cada actividad priorizada (incluidas las instalaciones,
personas, equipos TIC activos, materiales de construcción, finanzas y la información);

- ¿Cómo se actualiza la información ha de ser (véase el anexo B para términos relacionados);

- Dependencias en otras actividades, cadenas de suministro, socios y otras partes interesadas;

- Análisis de las dependencias de los recursos necesarios para realizar cada actividad;

- Lista documentada de las actividades y sus plazos priorizados que apoyan los procesos;

- Lista documentada de los recursos y sus plazos priorizados que permiten actividad es

5.6 Análisis y consolidación

5.6.1 Panorama

Si bien el análisis se produce durante todo el proceso de BIA, la organización debe realizar un
análisis final (o consolidación de los análisis). Esto implica revisar los resultados de la
priorización y sacar conclusiones que conducen a los requisitos de continuidad de negocio.

La organización debe elegir el enfoque adecuado cuantitativa y / o cualitativa analítica (es), que
puede ser inf luenced por el tipo, tamaño o naturaleza de la organización, así c omo las limitaciones
de recursos y habilidades. El enfoque (es) seleccionado también dependerá del tipo de
información recogida.

Independientemente del enfoque, la organización debe cuestionar y comprobar la información

para asegurarse de que es

- Correcta: preciso y fiable,

- Creíble: creíble y razonable,
- Consistente: clara y repetible,
- Actual: arriba-hasta la fecha y está disponible de manera oportuna, y
- Completa: amplia.

5.6.2 Entradas

La organización deberá obtener validado y aprobado la información obtenida de todos los niveles del
proceso de BIA con el fin de realizar el análisis.

5.6.3 Métodos
La organización puede utilizar una combinación de técnicas cuantitativas y cualitativas para analizar
la información recogida. La Tabla 2 contiene ejemplos de técnicas analíticas.

Tabla 2 - técnicas de análisis BIA

Técnicas Analíticas Cuantitativas Técnica Analíticas Cualitativas

Análisis de la interdependencia
Enfoques de análisis financiero
El sentido común y controles cruzados
Las pruebas de estrés
Revisión de los comentarios posteriores a los
incidentes y las recomendaciones del proveedor-
entrada-salida-Proceso-clientes Fishbone
diagramas (SIPOC) (Ishikawa)
adquirido el 15/06/2016
 5.6.4 Resultados
Los resultados de la aplicación de técnicas de análisis y consolidación de la información son los
siguientes:

- Confirmación de los impactos en el tiempo;

- Revisión y confirmación de las dependencias y las necesidades de recursos;

- Consolidación de las necesidades de recursos (por ejemplo, a través de procesos, estructuras

organizativas, o lugares);

- Revisión y confirmación de las interdependencias de los procesos y actividades, y su relación con

la entrega de productos y servicios, que sirven como entrada de selección de la estrategia de
continuidad de negocio.

5.7 Obtención de la aprobación de la Alta Direcci ón de los resultados BIA

5.7.1 Generalidades
La organización debería solicitar la aprobación de gestión de los resultados, incluidos los
productos y servicios,
Proceso, actividad, y la priorización de recursos siguiendo uno o más BIA individual.

La organización debe establecer los resultados BIA para asegurar la información recopilada puede
ser mantenido y actualizado de manera periódica antes de buscar apoyo del personal directivo. La
presentación de los resultados BIA puede estar en una variedad de medios y puede contener
diferentes niveles de detalle en función de la audiencia.

La organización debe proporcionar los siguientes resultados clave BIA a la alta dirección para su
revisión, modificación (si es necesario), y la aprobación antes de pasar a los siguientes pasos:

- Productos y priorización de los servicios (si cambió de determinación original);

- Priorización proceso; y

- Priorización pctivity (incluidos los recursos e interdependencias).

NOTA La organización puede optar por recibir este reconocimiento durante una revisión por la
dirección (véase el anexo A).

5.7.2 Entradas

A persona responsable del proceso BIA deben usar los resultados de 5.2 a la 5.6 En cuanto
elementos de entrada en la parte superior respaldo gestión.

5.7.3 Métodos
La organización debe incluir al menos los siguientes temas en el informe de síntesis BIA:

- Una descripción general del proceso de BIA, incluyendo objetivos y alcance;

- Impactos INF luencing la asignación de los requisitos de continuidad de negocios (véase 5.3.1);

- Recomendada plazos priorizadas para los productos y servicios, procesos, actividades y recursos;

- Conclusiones y próximos pasos.

La organización puede desarrollar materiales que se presentará a la alta dirección tras la finalización del
informe de síntesis BIA, mediante la realización de los siguientes métodos:
adquirido el 15/06/2016
- Resumen de la información a la alta dirección, facilitando de uno-a-uno reuniones con los miembros de la
alta dirección o facilitar una reunión de grupo con la alta dirección;

- Extraer y proporcionar el resumen ejecutivo, que pone de relieve los resultados y conclusiones clave; y

- Facilitar el uno-a-uno reuniones con la alta dirección para revisar el informe resumido en detalle.

5.7.4 Resultados

El respaldo de los resultados BIA por la alta dirección debería documentarse de acuerdo con las
prácticas de gestión de documentos establecidos. Los resultados BIA continuación, se pueden pasar
al proceso de selección de la estrategia de continuidad de negocio.

5.8 Después de la BIA — Selección de la estrategia de continuidad de negocio

Tras la finalización de la BIA, la organización debe seguir a la selección de la estrategia de continuidad de

negocio. Los requisitos de continuidad de negocio aprobados permiten a la organización para determinar y
seleccionar las estrategias de continuidad de negocio apropiados para permitir una respuesta eficaz y la
recuperación de un incidente perturbador. Los ejemplos incluyen los siguientes:

- Arreglos alternativos del lugar de trabajo;

- Disposiciones de la cadena de suministro alternativos;

- Opciones de recuperación de las TIC;

- Fuentes alternativas de la gente;

- Fuentes alternativas de equipos;

- Soluciones y procedimientos alternativos.

El BIA también puede conducir a una reconsideración de cómo la organización ofrece sus productos y
servicios (Véase el anexo D).

6 Seguimiento y revisión de procesos BIA

Organización debería revisar y realizar el proceso BIA de forma periódica (normalmente cada año) o
como parte de un cambio organizativo que puede afectar a la exactitud de los requisitos de continuidad
de negocio.

La alta dirección puede publicar un plan estratégico anual u opinión que confirma o una modif icación de
los objetivos estratégicos de la organización. Un cambio en los objetivos estratégicos de la organización
puede ser

- Referencia seleccionada en la política de continuidad de negocio por un cambio en el alcance del

programa BC, mediante la adición o eliminación de ciertos productos y servicios.

- Un cambio en las prioridades de los productos y servicios que puedan iniciar una revisión de cada BIA a
nivel de procesos y actividades.

Una revisión de los diferentes componentes del proceso de BIA puede ser desencadenada por las
siguientes consideraciones:

- revisión anual;

- Cambio de dirección estratégica;

- Cambio de producto o servicio;

- Modificación de la normativa;

- Cliente y / o el cambio contractual; adquirido el 15/06/2016

- Cambios operativos, incluyendo el nuevo / cambio application / TIC, cadena de suministro (internalización
/ externalización), y los recursos del sitio / instalaciones;

- cambio estructural;

- Tras un ejercicio de continuidad del negocio;

- Después de un incidente perturbador.

En áreas de la organización que han cambiado poco desde la última BIA, puede ser apropiado para verificar
y confirmar los resultados anteriores en lugar de llevar a cabo una revisión completa.

Anexo A
(Informativo)

Análisis de impacto en el negocio dentro de un sistema de gestión de

La continuidad de negocio ISO 22301

Table A.1 — Análisis de impacto en el negocio dentro de un sistema de gestión de la

continuidad de negocio ISO 22301

ISO/TS 22317 ISO 22301

Introducción 0.3 Componentes de PDCA en el Standard

Internacional
4.2 Contexto y alcance del programa BC 4 Contexo de la organización

4.3 Funciones del programa BC 5.4 Funciones organizacionales,

responsibilidades y autoridades
7.2 Competencia
4.4 Compromiso del programa BC 5 Compromiso

4.5 Recursos del programa BC 7.1 Recursos

5 Realización del análisis de impacto en el negocio

8.2 Análisis de impacto en el negocio y evaluación
de riesgos
5.8 Próximo paso — Selección de la estrategia de 8.3 Estrategia de continuidad de negocio
continuidad de negocio

adquirido el 15/06/2016
 Anexo B
(Informativo)

Mapeo de la terminología del análisis del impacto del negocio

B.1 Mapeo de la terminología del análisis del impacto del negocio
Algunos de estos términos ISO 22301 no se utilizan en esta Especificación Técnica. Sin embargo, estos
términos son comunes con respecto al rendimiento del proceso de BIA.

Table B.1 — Mapeo de la terminología del análisis del impacto del negocio

Número Términos Definición ISO/TS

22317
Interrupción referencias
máxima admisible El tiempo que le tomaría a los impactos adversos
1 (MAP) o período que puedan surgir como consecuencia de no 5.3.1
máximo tolerable proporcionar un producto / servicio o la
de interrupción realización de una actividad, para convertirse en
(DPMT o DPMT) inaceptable.
Nivel mínimo de servicios y / o productos
que sea aceptable para la organización para
Mínimo de lograr sus objetivos de negocio durante una
2 Continuidad del interrupción. 5.3.1
Negocio Objetivo
(MBCO)
Nota: Esto no se debe confundir con los
objetivos de BC en la norma ISO 22301:
2012, 6.2, que se refiere a los objetivos del
programa BC
Tiempo objetivo después de un incidente para:
Producto o la reanudación de prestación de
servicios, o la reanudación de actividades, o la
recuperación de recursos.
3 Tiempo Objetivo de 5.3.1
Recuperación NOTA Para obtener productos, servicios y
(RTO) actividades, el objetivo de tiempo de
recuperación debe ser menor que el tiempo que
le tomaría a los impactos adversos que podrían
surgir como consecuencia de no proporcionar un
producto / servicio o la realización de una
Objetivo de Punto de Punto en que la información utilizada por una
Recuperación (RPO) o actividad
actividad para
debellegar a ser inaceptable.
ser restaurado para permitir la
4 5.5.4
la pérdida máxima de actividad de operar en la reanudación.
datos (MDL)

adquirido el 15/06/2016
 Anexo C
(Informativo)

Métodos de recolección de información del análisis del impacto del negocio

C.1 Métodos de recolección de información del análisis del impacto del negocio

Este anexo resume los métodos comunes para recopilar la información necesaria para llegar a
conclusiones BIA. No importa cómo se recopila la información, que debe recogerse de una manera
coherente, de modo que la información pueda ser comparada a través de la organización.

La organización debería considerar los siguientes factores que pueden influenciar en la selección de
métodos:

- La información necesaria: ¿Es la información necesaria para realizar el análisis cuantificable /

discreta o subjetiva;

- La experiencia previa con la realización de un BIA: ¿Es la primera BIA realizada?

- La necesidad de crear conciencia de la continuidad del negocio con los participantes del programa
BC: ¿Es la continuidad del negocio un concepto entendido y se conocen sus resultados entre las partes
interesadas?

C.2 Revisión de documentación

La organización debe revisar la siguiente documentación como un paso esencial en la preparación para las
entrevistas, el desarrollo de preguntas de la encuesta, y, finalmente, la realización de trabajos relacionados
con el análisis del tipo:

- los documentos de estrategia;

- elementos de marketing;

- informes anuales;

- los parámetros de rendimiento del negocio;

- procedimientos operativos estándar que describen la ejecución de tareas del día a día;

- equipos y tecnología de la información y comunicación (TIC) listas;

- pólizas de seguro;
adquirido el 15/06/2016
- informes posteriores a los incidentes;

- materiales de entrenamiento;

- BIA información previa;

- La documentación del proceso;

- organigramas;

- funciones y responsabilidades;

- acuerdos de nivel de servicio relacionados con el cliente;

- requisitos contractuales.

C.3 Entrevista

Las organizaciones pueden realizar entrevistas para permitir la discusión respecto a las operaciones del
día a día, las necesidades de recursos, obligaciones y posibles impactos en caso de un incidente
perturbador fuera a afectar la capacidad de la actividad para entregar los procesos y los productos o
servicios.

Aunque existen muchas maneras de estructurar una entrevista, los temas deben incluir lo siguiente:

- Información general del proceso de BIA, objetivos, resultados esperados, y la relación del proceso BIA al
proceso de planificación de continuidad de negocio restante;

- BIA participantes expectativas;

- La relación de las actividades en los procesos;

- Discusión de actividad;

- Los próximos pasos, incluyendo una revisión de la entrevista de resumen, comentarios y correcciones,
y su aprobación. La discusión actividad puede abarcar los siguientes aspectos:

- Resumen de actividad y relación con los productos y servicios y procesos, con énfasis en las tareas clave
y los plazos necesarios para realizar la actividad en su conjunto o las tareas subordinadas (incluyendo
luctuations f de la demanda o periodos de funcionamiento de pico);

- Dependencias y los requisitos (véase 5.5.1) de recursos, incluyendo soluciones existentes y cuánto
tiempo permanecen viables;

- Impacto conocido asociado con el tiempo de inactividad del proceso (ver 5.3.1);

- Conocida obligaciones específicas de la actividad.

Entrevista buena práctica incluye lo siguiente:

- Preparar adecuadamente, que a menudo incluye un programa con instrucciones para el participante
entrevista en la preparación para la entrevista;

- La investigación sobre la actividad con el fin de informar a preguntas de la entrevista;

- Repetir información clave para asegurarse de que se supo con exactitud;

- Documento de resumen de una entrevista, les piden su opinión, y obtener la aprobación.

adquirido el 15/06/2016
C.4 Encuesta/Cuestionario

Las organizaciones pueden utilizar encuestas o cuestionarios para recoger eficazmente la información
discreta, es decir, información con un número finito de posibilidades o información que pueda ser
cuantificada. Las organizaciones pueden optar por entregar los siguientes reconocimientos:

- documentos impresos,

- Los documentos electrónicos, o

- Servicio de encuestas en línea.

Es importante que las preguntas sean claras en su intención y lenguaje, y un contacto debe ser
proporcionada para resolver las cuestiones que el entrevistado pueda tener.

El contenido de la encuesta común puede incluir lo siguiente:

- Validación de los impactos asociados con un incidente perturbador, incluyendo cómo el impacto
Cambios en el tiempo;

- Identificación de las obligaciones legales, reglamentarias o contractuales adicionales específicos para la

actividad;

- Identificación de las dependencias y las necesidades de recursos, así como la línea de tiempo de
recuperación después de un incidente perturbador.

C.5 Talleres

Talleres con participantes en representación de diferentes actividades o procesos pueden ser utilizados para recoger
información similar a las entrevistas pero además pueden desarrollar y compartir los resultados con el grupo con el fin
de:

- Produccióm adicional, la información más completa

- Determinación de la competencia, posiblemente expectativas poco realistas.

C.6 Ejercicios basados en escenarios

El uso de un ejercicio basado en escenarios permite a los participantes para decidir sobre la prioridad de los
productos y servicios, procesos y / o actividades en el contexto de un incidente perturbador simulado. A nivel
de gestión superior, el ejercicio debe ser lo suficientemente desafiante que la tolerancia de los clientes se estira
al punto de ruptura por lo que los impactos pueden ser identificados y evaluados y decisiones difíciles sobre
las prioridades se pueden hacer. A nivel de procesos y actividades, un ejercicio puede explorar la logística, el
calendario y las dependencias de otras actividades y cadenas de suministro.

Para un ejercicio de alta dirección, los escenarios deben ser simples para que los participantes se concentran
en las prioridades impulsadas por la información inyecta en relación a las presiones externas, tales como las
quejas de los clientes y los medios de presión. Le debe dar tiempo para las prioridades a ser debatidas en lugar
de seguir una estricta cronología incidente.

Para un ejercicio de proceso o el nivel de actividad de los objetivos deben centrarse en la identificación de los
recursos necesarios para los requisitos de recuperación y el orden, la viabilidad y el tiempo máximo disponible
para la recuperación de lograr la recuperación necesaria de producto y servicio de entrega.

Los resultados de un ejercicio pueden incluir los siguientes:

adquirido el 15/06/2016
- Identificación de los impactos que se derivarían de una interrupción de productos y prestación de servicios
y la hora en que tales impactos serían inaceptables;

- Priorización de los productos y la prestación de servicios, procesos y / o actividades;

- los recursos necesarios para apoyar una actividad que incluye suministros;

- interdependencias de la actividad en otras actividades.

Estos resultados pueden no dar resultados que son tan completas como una serie de entrevistas estructuradas
pero el compromiso de los participantes y el realismo aparente de la situación puede dar resultados más
fiables. Este método también es útil cuando el tiempo disponible con los participantes es limitado.

NOTA: Al realizar la recolección de información basada en el escenario, asegúrese de concentrarse en el

impacto del escenario, en contraposición a causa del escenario.

Tablas C.1 a C.5 dan información adicional con respecto a las ventajas, desventajas, oportunidades y
extremidades con respecto a cada uno de estos enfoques de recopilación de información.

Tabla C.1 — Revisión de documentación

Ventajas Desventajas
A través del pensamiento se detalla potenciamente Pérdida de tiempo
La evidencia ya existe y no require adicionales La falta de explicación y contexto
comunicaciones verbales o esfuerzo. Podría estar fuera de fecha o incorrecta
Aprovecha los esfuerzos anteriores/promueve la
cooperación. La información necesaria podría ser difícil de
localziar debido al volumen
Fácil de acceder
Oportunidades Consejos
La información pede provenir de muchas fuentes.
Ir a la par con la reunion para asegurar la
Puede habilitar la recopilación de proyectos de comprensión del texto.
cuestionarios/preguntas de entrevista. Leer la documentación disponible en la
Puede confirmer la información de otro método preparación para entrevistar y talleres.

Tabla C.2 — Entrevistas

Ventajas Desventajas
Implica el personal y crea conciencia Pérdida de tiempo

Ganancias entrevistador conocimiento de las Necesidad de preparar

personas y funciones
Descubre los impactos reales (cuasiaccidentes) Puede utilizar más personas a tiempo el proyecto
de
Dirección de puntos de vista personales y cuestionario, todavía necesita respuesta personal
miedos
Oportunidades Carece de consistencia si hay más de un
Consejos
entrevistador

adquirido el 15/06/2016
El uso de participantes de alto nivel Formular estructura de la entrevista
Entrevista en la localización
Se requiere una evaluación cualitativa Trate de entrevistar en el contexto de los entregables
Use donde la conciencia es un requisito de negocios no
objetivos del proceso
Tómese el tiempo para explicar el propósito del
proceso de BIA

Tabla C.3 — Talleres

Ventajas Desventajas
Perspectiva de procesos cruzados Difícil de calendario
Reunión creativa Difícil de tratar con la disidencia interna y la
Muestra el compromiso de la organización política en una grupo
Menos distracciones Las habilidades de facilitación requiere
Más profesional Un montón de preparación

Oportunidades Consejos
Cuando los resultados rápida necesarios Vender a la dirección sobre la base de ahorro de
Alto nivel de compromiso con la organización costes
También puede utilizarse para aumentar la Preparar bien - sólo tiene una oportunidad!
conciencia de los negocios Continuidad Mantener la concentración sobre los efectos, y las
causas

Table C.4 — Ejercicios basados en escenarios

Ventajas Desventajas
Toma fuerzas en escalas de tiempo y prioridades Una importante preparación necesaria

Proporciona un contexto para la comprensión fácil Podría limitar el alcance de la discusión de

identificarse opciones de estrategia y decisiones escenario a la mano (Dejando de lado otras
(incluyendo soluciones manuales y pérdidas de recursos o amenazas)
procedimientos alternativos)
Decisiones más realistas pueden
Oportunidades
surgir Consejos
También puede utilizarse para aumentar la Hacer el escenario y ejercer la realidad para
conciencia de lA continuidad de negocios. fomentar
la aceptación y participación
Los planes pueden ser desarrolladas o ejercieron
además

Tabla C.5 — Cuestionarios/Encuestas

Ventajas Desventajas

adquirido el 15/06/2016
 Interpretación cuestionario de preguntas fatiga
Fácil de analizar Necesidad de verificación cruzada
Posibilidad de error en las preguntas que anulan
Más fácil de estandarizar la respuesta genera
pruebas 'en papel' se puede automatizar los resultados
La falta de participación
Software disponible para la entrada remota
Temas suaves

Temas principales a través de la respuesta, no

Oportunidades desafiante
Consejos
En un programa de BC, la organización madura Base de datos u hoja de cálculo para los gráficos
cuando la información puede ser numérica o Mantener apretada requisitos de información
clasificado como seguimiento, si el número de los verificar la información
encuestados son altos Mezclar con entrevistas
Lugares remotos
Anexo D
(informativo)

Otros usos para el proceso de análisis de impacto en el negocio

D.1 La recogida de información útil para el desarrollo del plan y respuesta a incidentes

El contenido del proceso BIA descritos en esta Especificación Técnica comprenden únicamente la información
necesaria para seleccionar las estrategias de continuidad de negocio adecuadas para cumplir con los requisitos de
continuidad de negocio.

La realización de un BIA través de cualquiera de los métodos descritos puede ser una oportunidad para recoger la
siguiente información que será útil en el desarrollo de planes o para responder a un incidente perturbador.

A nivel de la alta dirección:

- La dirección estratégica planificada de la organización, tales como fusiones, adquisiciones o de reubicación que
puedan afectar a la estrategia de continuidad del negocio en el futuro y deben ser tomadas en cuenta al seleccionar
las estrategias actuales;

- El análisis de las oportunidades de estrategia de continuidad de negocio, tales como la cooperación con otras
organizaciones (que pueden ser competidores) para proporcionar ayuda mutua.

A nivel de proceso:

- La oportunidad de comprar en un servicio para entregar elementos o todo el proceso de forma temporal, o
subcontratar elementos o la totalidad de un proceso permanente después de un incidente perturbador.

En el nivel de la actividad:

- La documentación de soluciones para la falta de recursos y de sus limitaciones de calidad, las necesidades de
recursos adicionales, y por cuánto tiempo son eficaces;

- La viabilidad de los suministros alternativos de abastecimiento;

- características del personal.

Características de personal incluyen los siguientes:

adquirido el 15/06/2016
- Habilidades de los miembros individuales del personal (en funciones actuales y pasados);

- Detalles de contacto;

- Su localización primaria de trabajo, ubicación de inicio, y el modo de transporte para trabajar;

- Posibilidad de trabajar desde el hogar (incluyendo la capacidad de red, equipos, y la ubicación de escritorio);

- registros y su ubicación.

D.2 El aumento de la eficiencia de la organización

La visión general del funcionamiento de una organización que surge del proceso BIA puede permitir a los
participantes en el proceso de identificar los cambios que pueden mejorar su eficiencia. Estos cambios pueden no
haber sido evidente hasta que la organización explora su red de interdependencias.

Una mejor comprensión de los imperativos de tiempo de entrega de productos y servicios podría mejorar la
programación y asignación de prioridades cuando los recursos son limitados temporalmente.

El conocimiento de los imperativos de tiempo de varias partes de un proceso de fabricación podría mejorar
la optimización de los stocks de materias primas o piezas de repuesto.

La comprensión de las interdependencias de las actividades puede sugerir cambios en la estructura de

administración.

D.3 Para explorar opciones alternativas de planificación estratégica

El proceso BIA se describe en esta Especificación Técnica determina los requisitos de continuidad de
negocio de una organización, ya que son en la actualidad. Sin embargo, la organización también puede
aplicar el proceso BIA a una o más situaciones futuras con el fin de comprender las implicaciones de
continuidad de negocio de los cambios previstos.

Esta aplicación del proceso BIA puede ser útil si la organización está planeando cambios significativos tales
como los siguientes:

- Reordenación del espacio de trabajo: un nuevo sitio, el cierre del sitio o consolidación;

- Cambio en los recursos: aumento o disminución del personal;

- Cambio en la tecnología: la automatización o hardware TIC;

- Cambio de producto o servicio: los nuevos contratos o cambio en términos de negocio.

La aplicación de un proceso BIA futuro de aspecto podría explorar varias opciones para entender el impacto
en el negocio de cada cambio ya que puede haber diferencias significativas dentro de los cuales la
interrupción de productos, servicios, procesos o actividades sigue siendo aceptable. Estas conclusiones
pueden ser utilizados como insumo en el proceso de toma de decisiones. Por ejemplo:

- Un servicio de centro de llamadas entregado a partir de dos sitios puede proporcionar una, si no están
degradados, servicio aceptable en comparación con el tiempo de inactividad potencial si un único sitio fue
utilizado y se convirtió en no operativa;

- El impacto de una pérdida tras el cambio propuesto es inaceptable, por lo que la organización abandona el
cambio propuesto;

- Espacio liberado por la reubicación puede ser considerado como el espacio potencial de recuperación en
lugar de eliminarse;

- Un cambio en el número de empleados puede afectar el tiempo necesario para recuperar una actividad;
adquirido el 15/06/2016
- Las nuevas tecnologías de la información y la comunicación pueden tener diferentes plazos de
recuperación y algunos pueden ser factibles dentro del tiempo disponible por lo que este debe determinarse
como parte del proceso de selección;

- Se debe verificar que los niveles de servicio y las obligaciones contractuales de recuperación son
alcanzables antes de acuerdo.

D.4 Para reforzar la estrategia de más largo plazo la toma de decisiones

El método de evaluación de los impactos en el tiempo podría aplicarse a nivel estratégico a varias estrategias
las decisiones distintas de los requisitos de recuperación.

Muchos cambios a largo plazo en las operaciones de la organización son impulsados por factores externos
tales como los siguientes:

- A la espera de la regulación;

- Cambia el entorno empresarial;

- La degradación del medio ambiente físico;

- cambios en la opinión pública.

La organización no tiene que responder de inmediato a estos cambios, pero la Alta dirección puede evaluar los
impactos crecientes en el tiempo para llegar a una decisión en cuanto a cuando, más o menos, el impacto de la
reputación o financiera a las circunstancias cambiantes sean inaceptables. Esto puede entonces ser una
consideración en la planificación estratégica.

D.5 Proyecto BIA

El BIA como se describe en esta Especificación Técnica asume que las fechas de entrega de productos y servicios
pueden ser pospuestas a un punto que es sólo aceptable para las partes interesadas. A veces, el producto es un
proyecto sin fecha de entrega f lexibilidad y cancelación puede ser inaceptable. La organización puede aplicar el
proceso de BIA para determinar si la fecha de entrega del proyecto se puede cambiar, pero sólo por un tiempo
determinado ya que las consecuencias de la demora serían inaceptables.

En este caso, los esfuerzos de priorización de proceso y el nivel de actividad se pueden realizar a la inversa. Para
ello, la organización puede usar el tiempo empleado por cada actividad para trabajar hacia atrás a partir de la fecha
establecida para determinar en qué momento se debe iniciar cada actividad para alcanzar la fecha límite, y,
opcionalmente, para evaluar las actividades que pueden omitirse o escalados para entregar el proyecto a la
especificación mínima aceptable. Se trata de la planificación del proyecto convencional y análisis de la ruta crítica,
pero con la BIA conducir las fechas de vencimiento e informar a la duración del tiempo de contingencia que se
inserta en el plan del proyecto. A medida que avanza el proyecto este tiempo de contingencia se puede supervisar
y deslizamiento controlado por dejar caer las actividades que no están en la especificación mínima.

Si bien este enfoque no garantiza la entrega a tiempo de los proyectos, que se asegura la comprensión de alta
dirección de los impactos de los retrasos. Pueden optar por identificar qué proyectos están dentro del alcance de
este enfoque y si el personal de la continuidad del negocio debe estar involucrado.

D.6 de negocios como un análisis de riesgos

Algunas normas de gestión de riesgos utilizan el término "análisis de impacto en el negocio".

Aunque es posible identificar el impacto de las amenazas identificadas, esto es de uso limitado en la determinación
de las estrategias de continuidad de negocio que se pretende que sea útil para responder a los incidentes
perturbadores identificados e inesperados. Los requisitos de continuidad de negocio definida solamente por las
amenazas identificadas pueden estar incompleta.

adquirido el 15/06/2016
En este método, la medición de impacto por una sola variable ignora el parámetro esencial de tiempo. El impacto
de un incidente perturbador en la reputación y las finanzas de una organización casi siempre aumenta con el
tiempo, posiblemente siendo insignificante inmediatamente después del incidente perturbador de ser la
supervivencia amenaza en algún momento posterior. Un valor único de impacto no se puede describir esta
variación.

El impacto de un incidente perturbador en una organización parece estar más estrechamente relacionada con la
velocidad y la eficacia de la vuelta a la provisión de productos y servicios a los clientes que la naturaleza de la
amenaza que causó el incidente perturbador. De hecho, algunas organizaciones han permitido mejorar su imagen
por su respuesta a un incidente perturbador.

El enfoque utilizado en esta Especificación Técnica asume que la organización debe estar preparada para cualquier
incidente perturbador. Por lo tanto, la identificación de amenazas y un intento de evaluar su probabilidad, tal como
se describe en las normas basadas en el riesgo, es apropiado como un método para determinar los requisitos de
recuperación.

adquirido el 15/06/2016
 Bibliografía

[1] ISO 22300, seguridad societal - Terminología

[2] ISO 22301: 2012, la seguridad social - sistemas de gestión de la continuidad del negocio - Requisitos
[3] ISO 22313, seguridad societal - sistemas de gestión de continuidad de negocio - Orientación

adquirido el 15/06/2016