Professional Documents
Culture Documents
TÉCNICA 22317
Primera edición
2015-09-15
Reference number
ISO/TS 22317:2015(E)
adquirido el 15/06/2016
ISO/TS 22317:2015(E)
Contenido Página
Prefacio ..........................................................................................................................................................................................................................................v
Introducción................................................................................................................................................................................................................................vi
1 Alcance............................................................................................................................................................................................................................... 1
2 Referencias Normativas ................................................................................................................................................................................... 1
3 Términos y definiciones ................................................................................................................................................................................... 1
4 Requisitos Previos ....................................................................................................................................................................................., ........... 1
4.1 Generalidades.............................................................................................................................................................................................. 1
4.2 Contexto y alcance del programa BC....................................................................................................................................... 2
4.2.1 Contexto del programa BC........................................................................................................................................... 2
4.2.2 Ámbito de aplicación del programa BC............................................................................................................ 2
4.3 Funciones del programa BC ......................................................................................................................................................... 2
4.3.1 Funciones y responsabilidades del programa BC ................................................................................ 2
4.3.2 Procesos específicos, funciones y competencias BIA ......................................................................... 2
4.4 Compromiso del programa BC.................................................................................................................................................... 4
4.5 Recursos del programa BC ........................................................................................................................................................... 4
adquirido el 15/06/2016
ISO/TS 22317:2015(E)
Bibliografía.................................................................................................................................................................................... 27
adquirido el 15/06/2016
Prefacio
Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior
mantenimiento se describen en las Directivas ISO / IEC, Parte 1. En particular, deben tenerse en cuenta
los diferentes criterios de aprobación necesarios para los diferentes tipos de documentos ISO. Este
documento fue elaborado de acuerdo con las normas editoriales de las Directivas ISO / IEC, Parte 2 (ver
w w w.iso.org/directives).
Se llama la atención a la posibilidad de que algunos de los elementos de este documento puedan estar
sujetos a derecho de patente. ISO no se hace responsable de la identificación de cualquiera o todos los
derechos de patente. Los detalles de cualquier derecho de patente identificados durante el desarrollo
del documento estarán en la introducción y / o en la lista ISO de las declaraciones de patentes recibidas
(ver w w w.iso.org/patents).
Para obtener una explicación sobre el significado de los términos y expresiones específicas ISO
relacionadas con la evaluación de la conformidad, así como información sobre el cumplimiento de ISO
de los principios de la OMC en los Obstáculos Técnicos al Comercio (OTC) véase la siguiente URL:
Prólogo - Información complementaria
adquirido el 15/06/2016
Introducción
Esta especificación técnica proporciona una guía detallada para establecer, implementar y mantener un
proceso de análisis de impacto en el negocio (BIA), en consonancia con los requisitos de la norma ISO 22301.
Esta especificación técnica es aplicable a la realización de cualquier proceso de BIA, si parte de un sistema
de gestión de la continuidad del negocio (BCMS) o un programa de continuidad de negocio (programa BC).
En lo sucesivo, el programa de BC significa o bien BCMS o programa BC.
Figura 1 toma nota de la relación del proceso BIA al programa de BC como un todo. La organización debe
completar un ciclo del proceso BIA antes de escoger las estrategias de continuidad de negocio.
El proceso BIA analiza las consecuencias de un incidente perjudicial sobre la organización. El resultado es
una declaración y justificación de los requisitos de continuidad de negocio.
El proceso BIA se compone de un número de sesgo individual, cada uno centrado de un sub-conjunto del
alcance del programa BC. El proceso BIA da prioridad a los productos y servicios, y continúa con los procesos
y actividades que en conjunto cubren todo el alcance del programa BC priorizar. Después de un período de
tiempo determinado por la organización, los sesgos individuos se repiten para asegurarse de que los
requisitos de BC siguen siendo actuales.
NOTA En esta Especificación Técnica, el requisito de continuidad de negocio tiene el mismo significado que
de continuidad y recuperación prioridades, objetivos y metas (ISO 22301: 2012, 8.2.2).
- Ayudar a la organización con la realización de un BIA de una manera consistente que refleje buenas
prácticas;
- Identificación de los requisitos legales, reglamentarios y contractuales (obligaciones) y su efecto sobre los
requisitos de continuidad de negocio;
- Evaluación de los impactos en la organización a través del tiempo, que sirve como la justificación de los
requisitos de continuidad de negocio (tiempo y de capacidad);
- La identificación y establecimiento de las relaciones entre los productos / servicios, procesos, actividades
y recursos;
- Determinación de los recursos necesarios para realizar las actividades priorizadas (por ejemplo,
instalaciones; personas; equipo; los activos de información, comunicación y tecnología; suministros; y
financiación);
- Comprensión de las dependencias en otras actividades, cadenas de suministro, socios y otras partes
interesadas;
NOTA: Para los efectos de esta Especificación Técnica, las cadenas de suministro producen las entregas de
bienes, obras y servicios, los cuales se conocen como «entregas» a lo largo del resto de este documento.
El siguiente diagrama muestra el proceso de BIA, junto con los requisitos previos y su relación con la
identificación de la estrategia. Las cláusulas que se hace referencia en el diagrama son subsecciones de esta
Especificación Técnica.
ESPECIFICACIÓN TÉCNICA
adquirido el 15/06/2016
Seguridad social — Sistemas de Gestión de Continuidad de Negocios — Directrices para el análisis
del impacto de negocios (BIA)
1 Alcance
Esta especificación técnica proporciona una guía para una organización para establecer, implementar y
mantener un proceso de análisis formal y documentado impacto en el negocio (BIA). Esta especificación
técnica no prescribe un procedimiento uniforme para la realización de un BIA, pero ayudará a una
organización para diseñar un proceso de BIA que se adecue a sus necesidades.
Esta especificación técnica es aplicable a todas las organizaciones, independientemente del tipo, tamaño y
naturaleza, ya sea en el sector privado, público o sin fines de lucro. La guía se puede adaptar a las
necesidades, los objetivos, los recursos y las limitaciones de la organización.
Está diseñado para ser utilizado por los responsables del proceso de BIA.
2 Referencias normativas
3 Términos y definiciones
A los efectos de este documento, los términos y definiciones de la norma ISO 22300 se aplican.
NOTA Todos los términos y definiciones que figuran en la norma ISO 22300 están disponibles en la
Plataforma de Navegación ISO línea: www.iso.org/obp.
4 Requisitos previos
4.1 Generalidades
Como se ha señalado en la introducción, esta Especificación Técnica es consistente con la norma ISO
22301, pero que podría ser utilizado para desarrollar, implementar, revisar, mantener y mejorar
continuamente un proceso BIA frente a otras normas o requisitos reglamentarios. Si parte de un
programa BC o BCMS, la organización debería considerar una serie de requisitos previos antes de
comenzar el proceso de BIA. Cláusula 4 resume estos requisitos previos, muchos de los cuales son
de la norma ISO 22301.
La organización debe tomar una serie de medidas dentro del programa BC antes de comenzar el
proceso BIA, que incluyen los siguientes:
NOTA Para obtener información adicional, véase el Anexo A para una asignación de cada paso de la
norma ISO 22301.
Los resultados positivos del proceso BIA dependen de la organización y la comprensión de lo siguiente:
adquirido el 15/06/2016
- El ambiente externo en el que opera de manera que pueda lograr su propósito mediante la entrega de sus
productos y servicios a los clientes;
- El entorno operativo interno, incluyen todos los procesos, las actividades y los recursos, así como la potencial
impacto causado por la interrupción de la entrega de productos y servicios; y
- Leyes y reglamentos que ordenan el proceso BIA y la forma en que se lleva a cabo.
NOTA: En las organizaciones que operan en un entorno no comercial, el "cliente" puede ser público o una
autoridad de supervisión, tales como el gobierno.
Antes de determinar el alcance del proceso BIA, la organización debe definir y documentar el alcance de el
programa BC en términos de sus productos y servicios.
El proceso BIA puede ayudar a la organización para revisar el alcance del programa BC. Siguiendo la definición
del alcance del programa antes de Cristo, la organización puede determinar el alcance del proceso BIA que
puede llevarse a cabo como un solo BIA para cubrir todo el alcance del programa BC; o llevado a cabo en una
serie de fases que, con el tiempo, cubre todo el alcance del programa BC.
NOTA Si la organización opta por realizar el proceso de BIA en fases, se debe determinar primero la
priorización de todos los productos y servicios (véase 5.2) y luego continuar con el sesgo individuo restante.
Antes de realizar el proceso de BIA, la alta dirección debe asegurarse de que las responsabilidades y
autoridades para las funciones pertinentes se asignan y son comunicadas dentro de la organización.
Después de la asignación de funciones del programa BC, la alta dirección debe proporcionar los recursos
necesarios para llevar a cabo el proceso de BIA, que puede incluir nombra las siguientes funciones:
- La persona que los patrocinadores del proceso de BIA;
- BIA comité de dirección;
- La persona que dirige el proceso BIA;
- La persona que administra el proyecto BIA (director del proyecto);
- propietarios de los procesos;
- Responsables de las actividades.
La persona que es patrocinador del proceso de BIA debe:
- Ser un ejecutivo que representa la alta dirección,
- Ser respetada dentro de la organización por otros miembros de la alta dirección,
- Tener una perspectiva de toda la organización,
- Tener la autoridad para comprometer a la organización a la acción, y
- Tomar las decisiones finales sobre el proceso de BIA.
El comité directive BIA debe:
- Representar a la alta dirección,
- Proporcionar asesoramiento y orientación permanente en la conducción del proceso de BIA,
- Ponerse de acuerdo sobre los métodos y resultados,
- Tomar decisiones con respecto a los requisitos de continuidad de negocio, y
adquirido el 15/06/2016
- Ayudar a la persona a conducir el proceso y al gerente del proyecto BIA en la determinación de las competencias
necesarias para las funciones de BIA; para procesos específicos y responsabilidades y la conciencia, el
conocimiento, la comprensión, las habilidades y la experiencia necesaria para cumplir con ellas.
La persona que dirige el proceso BIA debe
- Tener una comprensión de la organización, en particular los productos, servicios, procesos y actividades,
- Contar con experiencia en la realización de un proceso BIA. La persona que administra el proyecto BIA debe
planificar y gestionar el proceso de BIA,
- Tener una comprensión de las tareas de planificación de proyectos, y
- Estar familiarizado con el proceso de BIA.
Los responsables del proceso deben tener un conocimiento relativamente detallado del proceso se representan
con el fin de ayudar al gestor del proyecto en la experta identifiación del objeto, unidades organizativas, y los
impactos de tiempo de inactividad.
Los gerentes de actividad deben:
- Tener conocimiento muy detallado de la actividad en la que se representan, incluyendo todos los recursos que
permiten la actividad de operar, y
- Estar al tanto de los procesos y los recursos alternativos que podrían estar disponibles en caso de una pérdida
de recursos primarios.
La organización debe asegurar la competencia de las personas que conducen o que participan en el proceso de
BIA. Competencias deben incluir habilidades y capacidades relacionadas con lo siguiente:
- Proyecto / planificación y gestión de los programas;
- recopilación de información;
- Análisis;
- La comunicación y la colaboración efectiva;
- Traducción de los objetivos de la organización a los requisitos de continuidad de negocio y las necesidades de
recursos;
El compromiso de la dirección con el proceso BIA es necesaria para garantizar la participación efectiva. Para obtener este soporte,
la organización puede considerar comunicar el valor BIA, proceso "que incluye lo siguiente:
- Garantizar las adecuadas y más rentables estrategias. Se seleccionan mediante la determinación de los requisitos de continuidad
de negocio correctas;
- Medios de prueba para la gestión de requisitos que continuit laborales. Se alinean con los objetivos de la organización;
- Garantizar la organización cumple con sus requisitos legales y contractuales, los clientes durante una
incidente perturbador;
- Determinación de los vínculos entre los productos y servicios y procesos, actividades y recursos;
- Proporcionar una visión general de la organización que se puede utilizar para mejorar su eficiencia o explorar nuevos
oportunidades (véase el anexo D).
adquirido el 15/06/2016
4.5 Recursos del programa BC
La organización debe proporcionar recursos para el proceso de BIA que son suficientes para lo siguiente:
- Tomar las medidas adecuadas para la gente y los recursos relacionados con las personas, incluyendo el
tiempo para cumplir con BIA, funciones específicas de procesos y responsabilidades, y la formación y
sensibilización;
- Proporcionar un funcionamiento continuo y la mejora continua del programa BC, así como el proceso BIA.
5.1 Generalidades
El proceso BIA da prioridad a los distintos componentes de la organización de manera que el producto
y el servicio de entrega se puede resumir en un período de tiempo predeterminado después de un
incidente perjudicial para la satisfacción de las partes interesadas. A los efectos de esta
“Especificación Técnica” y de conformidad con la norma ISO 22301, los productos y servicios son
creados por los procesos que se componen de actividades.
Los productos y servicios son priorizados en primer lugar; esto establece los parámetros de tiempo y
nivel de servicio para priorización del proceso. Si es requerido por la complejidad de la organización,
los procesos se pueden separar en sus actividades constitutivas de prioridad.
Los resultados adecuados, suficientes y eficaces de las fases siguientes del programa dependen de la
precisión del proceso de BIA. Cada BIA debe ser completado constantemente, cuidado y detenimiento.
Figura 3 muestra cómo los diferentes elementos del proceso de BIA se relacionan entre sí. El diagrama
ilustra que puede haber solapamiento entre el tiempo de estas fases co nstituyentes del proceso.
ALTA DIRECCIÓN:
Priorización del producto y del
servicio
(Cláusula 5.3)
- La recopilación de información general, completa y exacta (alguna información puede estar disponible,
mal entendido, confidencial o retenido, identificando así las áreas que requieren mayor trabajo);
- Garantizar que aquellos que contribuyen al proceso de recopilación de información BIA tienen suficiente
conocimiento y autoridad para hablar en nombre de la organización, proceso o actividad;
- Representantes de la dirección, lo que garantiza tienen suficiente autoridad para aprobar los resultados
del BIA.
5.2.1 Generalidades
Aunque BIA es un proceso, las organizaciones pueden utilizar métodos de gestión de proyectos para una
fase del proceso de BIA. A medida que el proceso de BIA es potencialmente compleja, utilizando los métodos
de gestión de proyectos permite a las organizaciones para coordinar los recursos y los plazos.
- La identificación de la persona que los patrocinadores del proceso de BIA y la participación de la alta
dirección;
- Establecer o abastecimiento de las habilidades necesarias para cumplir con los objetivos del proceso BIA.
tareas de gestión de proyectos pueden incluir los siguientes:
- El desarrollo de informes periódicos sobre el estado, tomando nota de las expectativas de rendimiento y
recomendaciones para mejorar el rendimiento en línea con las expectativas de alta dirección (véase 5.2);
- La realización de modificaciones del enfoque basado en procesos BIA y alcance para satisfacer las
expectativas de alta dirección y externa (normativo, legal, atención al cliente, por contrata) requisitos (véase
el capítulo 6);
Una organización de emprender un BIA, por primera vez debe planear tiempo adicional para
- Identificar y seleccionar las fuentes de información adecuadas para la recopilación de inf ormación,
Durante la BIA inicial, la organización podrá utilizar los resultados de la BIA para dar prioridad a las
fases posteriores de continuidad de negocio, incluyendo la selección de estrategias.
5.3.1 Panorama
Como primer paso en el proceso de BIA, la alta dirección debería ponerse de acuerdo sobre la prioridad de
los productos y servicios después de un incidente perturbador que puede poner en peligro la consecución
de sus objetivos.
- Tener la visión más amplia de toda la organización desde la que evaluar las prioridades,
- Puede optar por ignorar las obligaciones contractuales y otros en el establecimiento de prioridades en
circunstancias excepcionales, y
- Son conscientes de los cambios futuros previstos y otros factores que puedan afectar a la continuidad del
negocio
Requisitos:
Si una organización tiene demasiados productos y servicios para identificar de forma individual, la
organización podrá agrupar los productos adquirido
y servicios cuando tienen prioridades similares. Por el contrario,
el 15/06/2016
puede ser necesario para la organización identificar a los clientes que, a pesar de compartir los mismos
productos y servicios, tienen distintas expectativas plazo de entrega, o su valor para la organización es
diferente.
Para cada grupo de productos y servicios, la organización debe entender los impactos que puedan resultar de
un incidente perturbador por:
- La identificación de las expectativas del cliente y obligaciones, y las sanciones asociadas con haberlas
conocido.
- Teniendo en cuenta los puntos de vista de otras partes interesadas en la evaluación de impactos.
Otras partes interesadas y su reacción a un incidente perturbador pueden incluir los siguientes:
- Retención de personal;
La organización puede usar los ejemplos de Tabla 1 para entender los impactos de un incidente perturbador
en la organización a través del tiempo:
Objetivos de negocios Si no se cumplan los objetivos fijados o tomar ventaja de las oportunidades
Los impactos casi siempre aumentan con el tiempo. Sin embargo, los impactos no pueden aumentar en la
misma proporción. Por ejemplo, los impactos financieros pueden aumentar repentinamente como se
incurre en penas convencionales o como los clientes se pierden, y el daño a la reputación puede ocurrir
repentinamente en un punto durante el incidente perturbador. Ver Figura 4 para un ejemplo de cómo las
diferentes categorías de impacto aumenta con el tiempo.
adquirido el 15/06/2016
Impacto de un incidente perturbador en una organización a
través del tiempo
Impacto acumulativo
Sanciones contractuales
Pérdidas financieras
Multas reglamentarias
Reputación
Para cada grupo de productos y servicios, la alta dirección debe decidir y documentar lo siguiente:
- Tiempo tras el cual la falta de entrega de ellos se convierte en inaceptable para la organización debido a los
impactos mencionados anteriormente amenazan su supervivencia o hacen sus objetivos ya no alcanzable (véase
el anexo B para términos relacionados) continuaron;
- Razón (s) por qué este período de tiempo se ha identificado con referencia a los crecientes impactos en el tiempo.
La organización podrá, basándose en el ejemplo plazo en la figura 4, establecer un tiempo objetivo para reanudar
entrega de productos y servicios en los niveles mínimos especificados (véase el anexo B para términos
relacionados).
5.3.2 Entradas
La alta dirección puede considerar la siguiente información en el establecimiento de los requisitos de continuidad de negocio
para los productos y servicios:
- Lista de los requisitos legales yreglamentarios que la organizacióno de los productos yservicios específicos estánsujetos (asícomo
una evaluación de las consecuencias del incumplimiento de cada requisito);
— los últimos informes posteriores a los incidentes que describen el impacto asociado con el
incidente perturbador.
adquirido el 15/06/2016
5.3.3 Resultados
- Evaluación de los efectos en el tiempo en que se refiere a una falta de entrega de productos o
servicios, que sirve como la justificación de los requisitos de continuidad de negocio,
- Confirmación de los requisitos del producto y servicio de entrega (que puede incluir el tiempo,
calidad, cantidad, niveles de servicio y especificaciones de capacidad) después de un in cidente
perturbador que a continuación, establece las prioridades para las actividades y los recursos,
-Nombramiento de personal de plomo para ayudar a identificar qué procesos entregar productos y
servicios, y
5.4.1 General
5.4.2 Entradas
- Requisitos del producto y servicio de entrega (que puede incluir el tiempo, la calidad, la cantidad,
los niveles de servicio, y las especificaciones de capacidad);
5.4.3 Resultados
Los resultados del proceso de establecimiento de prioridades deben ser las siguientes:
adquirido el 15/06/2016
- Identificación de la relación entre el producto y los servicios, procesos y actividades;
- Identificación de las dependencias en otros procesos de negocio;
- Evaluación de los efectos en el tiempo de un fallo de proceso (las categorías de impacto en Tabla 1 se podría
utilizar para confirmar los efectos de la interrupción de procesos);
- Análisis de la interdependencia de los procesos que ofrecen productos y servicios a los clientes;
5.5.1 Panorama
Una actividad es un conjunto de una o más tareas con una salida definida. La prioridad de la actividad se
determina por la prioridad de los procesos de la que forma parte.
La organización debe llevar a cabo el establecimiento de prioridades nivel de actividad para entender los
recursos necesarios para operar cada actividad después de un incidente perturbador, y para confirmar el
impacto potencial asociado con un incidente perturbador.
Las organizaciones deben realizar la priorización nivel de actividad para obtener una comprensión
detallada de las necesidades de recursos del día a día, lo que permite a la organización identificar la cantidad
y el momento de los recursos necesarios para la recuperación y para ayudar a confirmar las conclusiones
relacionadas con el impacto desarrollados a nivel de proceso. Información relacionada con recursos incluye
lo siguiente:
5.5.2 Entradas
Los insumos necesarios para llevar a cabo la actividad de priorización incluyen los siguientes:
La información sobre los recursos que deben recogerse durante una priorización de la actividad pueden
incluir los siguientes:
- Personal y contratistas (incluido el nivel mínimo aceptable para el servicio requerido, y el conocimiento,
habilidades o cualificaciones requeridas);
- Equipos (por ejemplo, información y tecnología de las comunicaciones (TIC), equipo de oficina, equipos de
fabricación);
La información interdependencia necesaria para recoger durante una priorización de actividades incluye
el seguimiento:
Para la especificación de los requisitos de las TIC, la siguiente información adicional puede ser recogida:
- Nombre de la propiedad de las TIC, la ubicación y configuración (por ejemplo, la memoria, y capacit,
velocidad del procesador y espacio en disco);
- Dependencias de otros activos TIC;
- Perfiles de usuario final y las características de uso;
- Requisitos legales o reglamentarias únicas con respecto al uso del activo TIC.
5.5.4 Resultados
- Confirmación de los impactos en el tiempo, que sirve como justificación de los requisitos de
continuidad de negocio (Tiempo y capacidad);
adquirido el 15/06/2016
- Las necesidades de recursos para llevar a cabo cada actividad priorizada (incluidas las instalaciones,
personas, equipos TIC activos, materiales de construcción, finanzas y la información);
- Análisis de las dependencias de los recursos necesarios para realizar cada actividad;
- Lista documentada de las actividades y sus plazos priorizados que apoyan los procesos;
- Lista documentada de los recursos y sus plazos priorizados que permiten actividad es
5.6.1 Panorama
Si bien el análisis se produce durante todo el proceso de BIA, la organización debe realizar un
análisis final (o consolidación de los análisis). Esto implica revisar los resultados de la
priorización y sacar conclusiones que conducen a los requisitos de continuidad de negocio.
La organización debe elegir el enfoque adecuado cuantitativa y / o cualitativa analítica (es), que
puede ser inf luenced por el tipo, tamaño o naturaleza de la organización, así c omo las limitaciones
de recursos y habilidades. El enfoque (es) seleccionado también dependerá del tipo de
información recogida.
5.6.2 Entradas
La organización deberá obtener validado y aprobado la información obtenida de todos los niveles del
proceso de BIA con el fin de realizar el análisis.
5.6.3 Métodos
La organización puede utilizar una combinación de técnicas cuantitativas y cualitativas para analizar
la información recogida. La Tabla 2 contiene ejemplos de técnicas analíticas.
5.7.1 Generalidades
La organización debería solicitar la aprobación de gestión de los resultados, incluidos los
productos y servicios,
Proceso, actividad, y la priorización de recursos siguiendo uno o más BIA individual.
La organización debe establecer los resultados BIA para asegurar la información recopilada puede
ser mantenido y actualizado de manera periódica antes de buscar apoyo del personal directivo. La
presentación de los resultados BIA puede estar en una variedad de medios y puede contener
diferentes niveles de detalle en función de la audiencia.
La organización debe proporcionar los siguientes resultados clave BIA a la alta dirección para su
revisión, modificación (si es necesario), y la aprobación antes de pasar a los siguientes pasos:
- Priorización proceso; y
NOTA La organización puede optar por recibir este reconocimiento durante una revisión por la
dirección (véase el anexo A).
5.7.2 Entradas
A persona responsable del proceso BIA deben usar los resultados de 5.2 a la 5.6 En cuanto
elementos de entrada en la parte superior respaldo gestión.
5.7.3 Métodos
La organización debe incluir al menos los siguientes temas en el informe de síntesis BIA:
- Impactos INF luencing la asignación de los requisitos de continuidad de negocios (véase 5.3.1);
- Recomendada plazos priorizadas para los productos y servicios, procesos, actividades y recursos;
La organización puede desarrollar materiales que se presentará a la alta dirección tras la finalización del
informe de síntesis BIA, mediante la realización de los siguientes métodos:
adquirido el 15/06/2016
- Resumen de la información a la alta dirección, facilitando de uno-a-uno reuniones con los miembros de la
alta dirección o facilitar una reunión de grupo con la alta dirección;
- Extraer y proporcionar el resumen ejecutivo, que pone de relieve los resultados y conclusiones clave; y
- Facilitar el uno-a-uno reuniones con la alta dirección para revisar el informe resumido en detalle.
5.7.4 Resultados
El respaldo de los resultados BIA por la alta dirección debería documentarse de acuerdo con las
prácticas de gestión de documentos establecidos. Los resultados BIA continuación, se pueden pasar
al proceso de selección de la estrategia de continuidad de negocio.
El BIA también puede conducir a una reconsideración de cómo la organización ofrece sus productos y
servicios (Véase el anexo D).
La alta dirección puede publicar un plan estratégico anual u opinión que confirma o una modif icación de
los objetivos estratégicos de la organización. Un cambio en los objetivos estratégicos de la organización
puede ser
- Un cambio en las prioridades de los productos y servicios que puedan iniciar una revisión de cada BIA a
nivel de procesos y actividades.
Una revisión de los diferentes componentes del proceso de BIA puede ser desencadenada por las
siguientes consideraciones:
- revisión anual;
- Modificación de la normativa;
- cambio estructural;
En áreas de la organización que han cambiado poco desde la última BIA, puede ser apropiado para verificar
y confirmar los resultados anteriores en lugar de llevar a cabo una revisión completa.
Anexo A
(Informativo)
adquirido el 15/06/2016
Anexo B
(Informativo)
Table B.1 — Mapeo de la terminología del análisis del impacto del negocio
adquirido el 15/06/2016
Anexo C
(Informativo)
C.1 Métodos de recolección de información del análisis del impacto del negocio
Este anexo resume los métodos comunes para recopilar la información necesaria para llegar a
conclusiones BIA. No importa cómo se recopila la información, que debe recogerse de una manera
coherente, de modo que la información pueda ser comparada a través de la organización.
La organización debería considerar los siguientes factores que pueden influenciar en la selección de
métodos:
- La necesidad de crear conciencia de la continuidad del negocio con los participantes del programa
BC: ¿Es la continuidad del negocio un concepto entendido y se conocen sus resultados entre las partes
interesadas?
La organización debe revisar la siguiente documentación como un paso esencial en la preparación para las
entrevistas, el desarrollo de preguntas de la encuesta, y, finalmente, la realización de trabajos relacionados
con el análisis del tipo:
- elementos de marketing;
- informes anuales;
- procedimientos operativos estándar que describen la ejecución de tareas del día a día;
- pólizas de seguro;
adquirido el 15/06/2016
- informes posteriores a los incidentes;
- materiales de entrenamiento;
- organigramas;
- funciones y responsabilidades;
- requisitos contractuales.
C.3 Entrevista
Las organizaciones pueden realizar entrevistas para permitir la discusión respecto a las operaciones del
día a día, las necesidades de recursos, obligaciones y posibles impactos en caso de un incidente
perturbador fuera a afectar la capacidad de la actividad para entregar los procesos y los productos o
servicios.
Aunque existen muchas maneras de estructurar una entrevista, los temas deben incluir lo siguiente:
- Información general del proceso de BIA, objetivos, resultados esperados, y la relación del proceso BIA al
proceso de planificación de continuidad de negocio restante;
- Discusión de actividad;
- Los próximos pasos, incluyendo una revisión de la entrevista de resumen, comentarios y correcciones,
y su aprobación. La discusión actividad puede abarcar los siguientes aspectos:
- Resumen de actividad y relación con los productos y servicios y procesos, con énfasis en las tareas clave
y los plazos necesarios para realizar la actividad en su conjunto o las tareas subordinadas (incluyendo
luctuations f de la demanda o periodos de funcionamiento de pico);
- Dependencias y los requisitos (véase 5.5.1) de recursos, incluyendo soluciones existentes y cuánto
tiempo permanecen viables;
- Impacto conocido asociado con el tiempo de inactividad del proceso (ver 5.3.1);
- Preparar adecuadamente, que a menudo incluye un programa con instrucciones para el participante
entrevista en la preparación para la entrevista;
adquirido el 15/06/2016
C.4 Encuesta/Cuestionario
Las organizaciones pueden utilizar encuestas o cuestionarios para recoger eficazmente la información
discreta, es decir, información con un número finito de posibilidades o información que pueda ser
cuantificada. Las organizaciones pueden optar por entregar los siguientes reconocimientos:
- documentos impresos,
Es importante que las preguntas sean claras en su intención y lenguaje, y un contacto debe ser
proporcionada para resolver las cuestiones que el entrevistado pueda tener.
- Validación de los impactos asociados con un incidente perturbador, incluyendo cómo el impacto
Cambios en el tiempo;
- Identificación de las dependencias y las necesidades de recursos, así como la línea de tiempo de
recuperación después de un incidente perturbador.
C.5 Talleres
Talleres con participantes en representación de diferentes actividades o procesos pueden ser utilizados para recoger
información similar a las entrevistas pero además pueden desarrollar y compartir los resultados con el grupo con el fin
de:
El uso de un ejercicio basado en escenarios permite a los participantes para decidir sobre la prioridad de los
productos y servicios, procesos y / o actividades en el contexto de un incidente perturbador simulado. A nivel
de gestión superior, el ejercicio debe ser lo suficientemente desafiante que la tolerancia de los clientes se estira
al punto de ruptura por lo que los impactos pueden ser identificados y evaluados y decisiones difíciles sobre
las prioridades se pueden hacer. A nivel de procesos y actividades, un ejercicio puede explorar la logística, el
calendario y las dependencias de otras actividades y cadenas de suministro.
Para un ejercicio de alta dirección, los escenarios deben ser simples para que los participantes se concentran
en las prioridades impulsadas por la información inyecta en relación a las presiones externas, tales como las
quejas de los clientes y los medios de presión. Le debe dar tiempo para las prioridades a ser debatidas en lugar
de seguir una estricta cronología incidente.
Para un ejercicio de proceso o el nivel de actividad de los objetivos deben centrarse en la identificación de los
recursos necesarios para los requisitos de recuperación y el orden, la viabilidad y el tiempo máximo disponible
para la recuperación de lograr la recuperación necesaria de producto y servicio de entrega.
adquirido el 15/06/2016
- Identificación de los impactos que se derivarían de una interrupción de productos y prestación de servicios
y la hora en que tales impactos serían inaceptables;
- los recursos necesarios para apoyar una actividad que incluye suministros;
Estos resultados pueden no dar resultados que son tan completas como una serie de entrevistas estructuradas
pero el compromiso de los participantes y el realismo aparente de la situación puede dar resultados más
fiables. Este método también es útil cuando el tiempo disponible con los participantes es limitado.
Tablas C.1 a C.5 dan información adicional con respecto a las ventajas, desventajas, oportunidades y
extremidades con respecto a cada uno de estos enfoques de recopilación de información.
Ventajas Desventajas
A través del pensamiento se detalla potenciamente Pérdida de tiempo
La evidencia ya existe y no require adicionales La falta de explicación y contexto
comunicaciones verbales o esfuerzo. Podría estar fuera de fecha o incorrecta
Aprovecha los esfuerzos anteriores/promueve la
cooperación. La información necesaria podría ser difícil de
localziar debido al volumen
Fácil de acceder
Oportunidades Consejos
La información pede provenir de muchas fuentes.
Ir a la par con la reunion para asegurar la
Puede habilitar la recopilación de proyectos de comprensión del texto.
cuestionarios/preguntas de entrevista. Leer la documentación disponible en la
Puede confirmer la información de otro método preparación para entrevistar y talleres.
Ventajas Desventajas
Implica el personal y crea conciencia Pérdida de tiempo
adquirido el 15/06/2016
El uso de participantes de alto nivel Formular estructura de la entrevista
Entrevista en la localización
Se requiere una evaluación cualitativa Trate de entrevistar en el contexto de los entregables
Use donde la conciencia es un requisito de negocios no
objetivos del proceso
Tómese el tiempo para explicar el propósito del
proceso de BIA
Ventajas Desventajas
Perspectiva de procesos cruzados Difícil de calendario
Reunión creativa Difícil de tratar con la disidencia interna y la
Muestra el compromiso de la organización política en una grupo
Menos distracciones Las habilidades de facilitación requiere
Más profesional Un montón de preparación
Oportunidades Consejos
Cuando los resultados rápida necesarios Vender a la dirección sobre la base de ahorro de
Alto nivel de compromiso con la organización costes
También puede utilizarse para aumentar la Preparar bien - sólo tiene una oportunidad!
conciencia de los negocios Continuidad Mantener la concentración sobre los efectos, y las
causas
Ventajas Desventajas
Toma fuerzas en escalas de tiempo y prioridades Una importante preparación necesaria
adquirido el 15/06/2016
Interpretación cuestionario de preguntas fatiga
Fácil de analizar Necesidad de verificación cruzada
Posibilidad de error en las preguntas que anulan
Más fácil de estandarizar la respuesta genera
pruebas 'en papel' se puede automatizar los resultados
La falta de participación
Software disponible para la entrada remota
Temas suaves
D.1 La recogida de información útil para el desarrollo del plan y respuesta a incidentes
El contenido del proceso BIA descritos en esta Especificación Técnica comprenden únicamente la información
necesaria para seleccionar las estrategias de continuidad de negocio adecuadas para cumplir con los requisitos de
continuidad de negocio.
La realización de un BIA través de cualquiera de los métodos descritos puede ser una oportunidad para recoger la
siguiente información que será útil en el desarrollo de planes o para responder a un incidente perturbador.
- La dirección estratégica planificada de la organización, tales como fusiones, adquisiciones o de reubicación que
puedan afectar a la estrategia de continuidad del negocio en el futuro y deben ser tomadas en cuenta al seleccionar
las estrategias actuales;
- El análisis de las oportunidades de estrategia de continuidad de negocio, tales como la cooperación con otras
organizaciones (que pueden ser competidores) para proporcionar ayuda mutua.
A nivel de proceso:
- La oportunidad de comprar en un servicio para entregar elementos o todo el proceso de forma temporal, o
subcontratar elementos o la totalidad de un proceso permanente después de un incidente perturbador.
En el nivel de la actividad:
- La documentación de soluciones para la falta de recursos y de sus limitaciones de calidad, las necesidades de
recursos adicionales, y por cuánto tiempo son eficaces;
adquirido el 15/06/2016
- Habilidades de los miembros individuales del personal (en funciones actuales y pasados);
- Detalles de contacto;
- Posibilidad de trabajar desde el hogar (incluyendo la capacidad de red, equipos, y la ubicación de escritorio);
- registros y su ubicación.
La visión general del funcionamiento de una organización que surge del proceso BIA puede permitir a los
participantes en el proceso de identificar los cambios que pueden mejorar su eficiencia. Estos cambios pueden no
haber sido evidente hasta que la organización explora su red de interdependencias.
Una mejor comprensión de los imperativos de tiempo de entrega de productos y servicios podría mejorar la
programación y asignación de prioridades cuando los recursos son limitados temporalmente.
El conocimiento de los imperativos de tiempo de varias partes de un proceso de fabricación podría mejorar
la optimización de los stocks de materias primas o piezas de repuesto.
El proceso BIA se describe en esta Especificación Técnica determina los requisitos de continuidad de
negocio de una organización, ya que son en la actualidad. Sin embargo, la organización también puede
aplicar el proceso BIA a una o más situaciones futuras con el fin de comprender las implicaciones de
continuidad de negocio de los cambios previstos.
Esta aplicación del proceso BIA puede ser útil si la organización está planeando cambios significativos tales
como los siguientes:
- Reordenación del espacio de trabajo: un nuevo sitio, el cierre del sitio o consolidación;
La aplicación de un proceso BIA futuro de aspecto podría explorar varias opciones para entender el impacto
en el negocio de cada cambio ya que puede haber diferencias significativas dentro de los cuales la
interrupción de productos, servicios, procesos o actividades sigue siendo aceptable. Estas conclusiones
pueden ser utilizados como insumo en el proceso de toma de decisiones. Por ejemplo:
- Un servicio de centro de llamadas entregado a partir de dos sitios puede proporcionar una, si no están
degradados, servicio aceptable en comparación con el tiempo de inactividad potencial si un único sitio fue
utilizado y se convirtió en no operativa;
- El impacto de una pérdida tras el cambio propuesto es inaceptable, por lo que la organización abandona el
cambio propuesto;
- Espacio liberado por la reubicación puede ser considerado como el espacio potencial de recuperación en
lugar de eliminarse;
- Un cambio en el número de empleados puede afectar el tiempo necesario para recuperar una actividad;
adquirido el 15/06/2016
- Las nuevas tecnologías de la información y la comunicación pueden tener diferentes plazos de
recuperación y algunos pueden ser factibles dentro del tiempo disponible por lo que este debe determinarse
como parte del proceso de selección;
- Se debe verificar que los niveles de servicio y las obligaciones contractuales de recuperación son
alcanzables antes de acuerdo.
El método de evaluación de los impactos en el tiempo podría aplicarse a nivel estratégico a varias estrategias
las decisiones distintas de los requisitos de recuperación.
Muchos cambios a largo plazo en las operaciones de la organización son impulsados por factores externos
tales como los siguientes:
- A la espera de la regulación;
La organización no tiene que responder de inmediato a estos cambios, pero la Alta dirección puede evaluar los
impactos crecientes en el tiempo para llegar a una decisión en cuanto a cuando, más o menos, el impacto de la
reputación o financiera a las circunstancias cambiantes sean inaceptables. Esto puede entonces ser una
consideración en la planificación estratégica.
El BIA como se describe en esta Especificación Técnica asume que las fechas de entrega de productos y servicios
pueden ser pospuestas a un punto que es sólo aceptable para las partes interesadas. A veces, el producto es un
proyecto sin fecha de entrega f lexibilidad y cancelación puede ser inaceptable. La organización puede aplicar el
proceso de BIA para determinar si la fecha de entrega del proyecto se puede cambiar, pero sólo por un tiempo
determinado ya que las consecuencias de la demora serían inaceptables.
En este caso, los esfuerzos de priorización de proceso y el nivel de actividad se pueden realizar a la inversa. Para
ello, la organización puede usar el tiempo empleado por cada actividad para trabajar hacia atrás a partir de la fecha
establecida para determinar en qué momento se debe iniciar cada actividad para alcanzar la fecha límite, y,
opcionalmente, para evaluar las actividades que pueden omitirse o escalados para entregar el proyecto a la
especificación mínima aceptable. Se trata de la planificación del proyecto convencional y análisis de la ruta crítica,
pero con la BIA conducir las fechas de vencimiento e informar a la duración del tiempo de contingencia que se
inserta en el plan del proyecto. A medida que avanza el proyecto este tiempo de contingencia se puede supervisar
y deslizamiento controlado por dejar caer las actividades que no están en la especificación mínima.
Si bien este enfoque no garantiza la entrega a tiempo de los proyectos, que se asegura la comprensión de alta
dirección de los impactos de los retrasos. Pueden optar por identificar qué proyectos están dentro del alcance de
este enfoque y si el personal de la continuidad del negocio debe estar involucrado.
Aunque es posible identificar el impacto de las amenazas identificadas, esto es de uso limitado en la determinación
de las estrategias de continuidad de negocio que se pretende que sea útil para responder a los incidentes
perturbadores identificados e inesperados. Los requisitos de continuidad de negocio definida solamente por las
amenazas identificadas pueden estar incompleta.
adquirido el 15/06/2016
En este método, la medición de impacto por una sola variable ignora el parámetro esencial de tiempo. El impacto
de un incidente perturbador en la reputación y las finanzas de una organización casi siempre aumenta con el
tiempo, posiblemente siendo insignificante inmediatamente después del incidente perturbador de ser la
supervivencia amenaza en algún momento posterior. Un valor único de impacto no se puede describir esta
variación.
El impacto de un incidente perturbador en una organización parece estar más estrechamente relacionada con la
velocidad y la eficacia de la vuelta a la provisión de productos y servicios a los clientes que la naturaleza de la
amenaza que causó el incidente perturbador. De hecho, algunas organizaciones han permitido mejorar su imagen
por su respuesta a un incidente perturbador.
El enfoque utilizado en esta Especificación Técnica asume que la organización debe estar preparada para cualquier
incidente perturbador. Por lo tanto, la identificación de amenazas y un intento de evaluar su probabilidad, tal como
se describe en las normas basadas en el riesgo, es apropiado como un método para determinar los requisitos de
recuperación.
adquirido el 15/06/2016
Bibliografía
adquirido el 15/06/2016