=>. =~ ARCIAM nance of Uriated ESTANDAR INTERNACIONAL 180 22301:2019 pecs Ar nf Hangers Traduecién no oficial - Uso académico Segunda ecicion Uso excusivo para procesos de formacion por IMS Giobal SAS / OHT Global Mexico SAPI de CV /IMS Global Bras S.L ‘SISTEMAS DE GESTION DE CONTINUIDAD DE NEGOCIO REQUISITOS TABLA DE CONTENIDO PREFACIO 1 INTRODUCCION 1 1 ALCANCE 4a 2 REFERENCIAS NORMATIVAS 4 3. TERMINOS Y DEFINICIONES 4 4 CONTEXTO DE LA ORGANIZACION a 4.4. Comprensién dela organizacion y su contexto 8 42. Comprensién de las necesidades y expectativas de las partes interesacas a 43 Determinacion del alcance del sistema de gestion de la cntinuidad del negocio 9, 44 Sistema de gestén dela continuided del negocio 9 5 LIDERAZGO 9 5.4. Liderazgo y compromiso 3 52 Poliica 10) 53. Roles, responsabiidades y utordades 19, 8 PLANIFICACION 10 6.4. Acciones para abordarriesgos y oportunidades 10 5.2. Odjetves de continuidad del negocio y planificacién para lograros ul 683. Planficacién de cambios en o sistema de gestin de la contiuidad del negocio 1h 7 SOPORTE rt 74. Recursos FT 72 Competencia at 73. Condiencia ut 74. Comunicacion 12, 75 Informacion documentada 2 8B OPERACION a 8.4 Planificacin y contol operativo 13) 8.2. Andlsis de impacto al negocio y evaluacion de ress 13 8.3. Estrategias y solucones de contnuided del negocio 4 84. Planes y procedimientos de continuided del negocio ua 8.5. Programa de ejericios y pruebas 16 86 Eveluacién de la documentacion y las capacidades de continuided del negocio 7 9 EVALUACION DEL DESEMPENO ” 8.1. Seguimiento, medicibn, ands y evaluacion 7 9.2. Auditoraintoma 7 9.3. Revision por a direcion 18 10 MEJORA 18 410.1 No conformidad y accion corrective 18 10.2 Mejora continua 19 BIBLIOGRAFIA 20 150 22301:2019 Traducci6n no oficial de uso académico- info@arciam.org. [AUERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS Prohibigas copia reprosucrén no atorieds, parcial total osu aerscién en genePREFACIO SO ('a Organizacién Intemacional de Normalizacién) es una federacién mundial de organismos nacionales de normalizacién (organismos miembros de ISO). El rabajo de preparacion de Normas Intemacionales se lleva a cabo nocmalmente através de los comités téicos de ISO. Cada organismo miemirointeresado en un tema para el que se haya establecido un comitétécnico tiene derecho a estar representado en ese com. Las organizacionesintemacionales, gubernamentales y no gubemamentales, en coordinacién con ISO, también particgan en ese trabajo. ISO colabora estrechamente con la Comisién Electrotécnica Intemacional (EC) en todos los asuntos de normalizacién electrotécnica Los pracedimientos utlizados para desarrollar este documento y los previstos para su posterior mantenimiento se deseriben en las Directvas ISO / IEC, Parte 1. En paticular, deben tenerse en cuenta los diferentes erterios de aprobacién necesarios para los diferentes tos de documentos ISO. Este documento fue redactado de acuerdo con las reglas exitoriales de las Drectvas 180 /IEC, Parte 2 (ver wun iso.oraldirectves) Sellama la atencién sobre a posibildad que algunos elementos en este documento puedan estar sujtos a derechos de'patente. SO no serd responsable de identiicar alguno o todos los derechos de patente. Los detalles de cualquier derecho dejpatente identficado durante el desarrollo de! documento estarén en la Introduccién y/o en la lista ISO de deciaraciones de patentes recibidas (ver vw iso.oraloatents) Cualquier nombre comercial uiizado en este documento’ informacin proporcionada para la conveniencia de los uBuarios y ‘no consttuye un respaldo, Para obtener una explicacin de la natufaleza voluntaia de las normas, el significado de os terminos y expresiones espectfcos de ISO relacionados con la evaluacion de la conformidad, asi como informacion sobre la adhesin de ISO a los princigios dela COrganizacién Mundial del Comercio (OMC) en Onstéculos Técnicos al Comercio (OTC), consulte wiv. .is0.0rg / ($0 J foreword himl Este documento fue preparado por el Comité Técnico ISO/TC 292, Seguridad y resiiencia Esta segunda edicin anula y susttuye la primera edicion (ISO 22301:2012), que ha sido revisada téoricamente, Los principales cambios respecto @ la edcién anterior son los siguientes: - Se han aplicado los requis de ISO para las normas de! sistema de gestién, que an evoluconado desde 2012; ~ se han aciarado ls requsios, sin afiadr nuevos requisites; los requisitos de continuidad del negocio espectcos dela disipin estén ahora casi en su totalidad dentro de la Cléusula 8 ~ La cldusula 8 se ha reestructurado para proporionar una comprension mas clara de los reousitos clave; - Se han macificado varios términos de contiuidad empresarial especifios de la discipina para mejorar la claridad y feat el Pensamiento actual, Cualguier comentario 0 pregunta sobre este documento debe diigise al organismo nacional de normalizacin del usuato. Puede encontrar una ista completa de estos organisms en www.iso.orgimembers html. INTRODUCCION 0.1 General Este documento especifca la estructura y los requisitos para implementar y mantener un sistema de gestiin de contnuldad del negocio (BCMS) que desarrolle la continuidad del negocio de acuerdo con la cantidad y el tipo de impacto que la organizacién puede aceptar 0 no después de una interrupcion Los resultados de mantener un BCMS estén determinados por los requisites legales, regiamentarios, organizativos ly de la industia de a organizacén, os productos y servicios proporcionados, los procesos emmpleados, el amar y la estructura de la organizacion y los requsitos de sus partes interesadas, 1 150 22301:2019 Traduccién no oficial de uso académico - info@arciam.org [AUERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS Prohibigas copia reprosucrén no autorieds, parcial total osu aterscén en geneUn BCMS enfatza la importancia de: ~ Comprender las necesidades dela organizacién y la necesidad de establecer pollticas y objetivos de continuidad del negocio; ~ Operar y mantener procesos, capacidades y estuctures de respuesta para garantizar que la organizacion sobrevivird a las interrupciones; ~ Reallzar seguimientoy revision del rendimiento y la efcacia del BCMS; ~ La mejora continua basada en medidas cualitativas y cuantitaivas, Un BCMS, como cualquier otro sistema de gestién,incuye os siguientes componentes: 2) Una politica; b} Personas competentes con responsabilidades definidas;, ) Procesos de gestién relacionados con: 1)Poiitca 2) Pianiicacion; 3) Implementacion y operacion; 4) Evaluacién del desemperio, 5) Revision porla direccion; 6) Mejora continua, 6) informacion documentada que respaide el contol opera y que permita la evaluacion del desempato, 0.2 Benefcios de un sistema de gestion de la continuidad empresarial E! propésito de un BCMS es preparar,proporcnar y mantener contole y capacidades para administar a capacidad geal de una erganizacién para continuar operando durant las interrupciones. Para lograr eto a organizacin podté a} Desde una perspectiva empresara: 1) Apayar sus objetives estratéocos; 2) Crear una ventaja competi; 3) Proteger y mejorar su reputacién y credible: 4) Contrbuira la resitencia organizacionat Desde una perspectvafnanciera 4) Reducir a exposicion legal y fancier 2) Reducir los costos directos e indirects de las interupciones; ) Desde la perspectiva de las partes interesadas: 1} Protege a vida, la propiedad y el medio ambiente: 2) Considerar las expectativas de as partes interesadas; 3) Brinder confinza en la capacidad dela orgarizacién para tener éxito; 1) Desde una perspectiva de procesosintemos: +) Mejrar su capacidad para seguir siendo eficaz durante as interupciones; 2} Demostar un control proactivo de los riesgos de manera eficazy ecient; 3) Abordar las vulnerebldades operativa. 0.3 ciclo Planificar-Hacer-Verificar-Actuar (PDCA) Este documento aplica el ciclo Planficar(establecer, Hacer (implementa y opera), Verficar (monitorear y revisar)'y Actbar (mantener y mejorar) para implementar, mantener y mejorar continuamente la eicacia del BCMS de una organizacin. Esto ‘segura un grado de coherencia con otras normas de sistemas de gestion, tales como ISO 9001, ISO 14001, ISOVIEC 20000-1, ISOIIEC 27001 e ISO 28000, lo que respalda la implementacién y el funcionamiento coherentes e integrados oon los sistemas de gestion relacionadas. De acuerdo con el ciclo PHVA, las cléusulas 4 a 10 cubren los siguientes componentes: « La clausula 4 introduce los requsitos necesarios para establecer el contexto del BCMS aplicable a la organizacién, asi como las necesidades, requisites y aloance. = La clausula 5 resume los requisites especificos del rol de la alta direction envel BCMS y cbnid el lidérézgo artéula sus ‘expeciativas a la organizacién através de una dectaracién de politica, ~ La cdusula 6 desctibe los requisites para estabiecerobjetvos estratéaicos y rincpios rectores para el BCMS en su conjunto. 2 150 22301:2019 Traduccién no oficial de uso académico - info@arciam.org [AUERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS. Prohibigas eoia reprosucrén no atorieds, parcial total osu aerscén en gene- La cléusula 7 respalda las operaciones del BCMS relacionadas con el establecimiento de la competencia y la comunicacion de forma recurtente o segin sea necesario con las partes iteresadas, mientras se documenta, controla, mantiene y reliene la informacién documentada requerida - La cliusula 8 define las necesidades de continuidad del negocio, determina cémo abordaras y desarrola procedimientos para ‘gestionar a organizacién durante una interrupcion ~ La cléusula 9 resume los requisitos necesarios para medir el desemperio de la continidad del negocio, la conformidad del BBCMIS con este documento y para realizar la revision por la direccin, ~ La Cidusula 10 identifica y actua sobre la no conformidad del BCMS y la mejora continua através de acciones correctivas. 0.5 Contenido de este documento Este documento cumple con los requisites de la ISO para lo esténdiares del sistema de gestion, Estos requisits incluyen una estructura de ato nivel, un texto basico idéntico y términos comunes con definicones basicas, disefados para benefga a los Usuarios que implementan maitiples esténdares de sistemas de gestion |SO. Este documento no incluye requisits especiticos de otros sistemas de gestén, aunque sus elementos pueden alinearseointegrarse con los de otros sistemas de gestién. Este documento contene requstos que puede utlizar una organizacién para impleméntar un BCMS y evalua a confomidad, Una organizacién que desee demostrar conformidad con este documento puede hacerio mediante - La formulacin de una autodeterminacién y una autodédlaracién; 0 = La confirnacin de su conformidad por parte dela pares interesadas en la organizacién como los clientes; 0 - La confirmacion de su autodecaracion por una parte extema ala organizacén; 0 + La certficacién/registo de su BCMS por una rganizacién extema, Las citusulas 1 a 3 de este documento estabiecen el alcance, las referencias norativas y los términos y defniiones que se aplican al uso de este documento. Las clausulas 4 a 10 contienen los requsitos que se utiizarén para evaluar la corformidad con este documento. En este documento, se utiizan las siguientes formas verbales 2) “debera indica un requisito; ) “deberia” indica una recomendaein; ) "puede" indica un permiso; 4) "puede" indica una postilidad o capacidad, La informacién marcada como "NOTA" es una guia para comprender o aclarar a Teouisito asociado. Las “Notas delentada* uizadas en la Clgusula 3 proporcionan informacion adiional que complementa los datos terminokigioas y pueden contener clisposiiones relacionadas con el uso de un témino. 3 150 22301:2019 Traduccién no oficial de uso académico - info@arciam.org [AUERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS Prohibigas coi © reprosucrén no atorieds, parcial total osu aterscén en geneSISTEMA DE GESTION DE CONTINUIDAD DE NEGOCIO 1 ALCANCE Este documento especifica los requisites para implementar, mantener y mejorar un sistema de gestion para protegerse, reducir la probabilidad de que ocuran, prepararse, responder y recuperarse de las interrupciones cuando surjan Los requsitos especiticados en este documento son genéricos y estén destinados a ser apicables a todas las organizaciones, 0 partes de las mismas, independientemente del tipo, tamaio ynaluraleza de la rganizaciin. El alcance de la aplicacion de estos requisites depende del entorno operative y la complejidad de la organizacion, Este documento es aplicabe a todos los tipos y tama de organizaciones que: ‘},Busquen implementa, mantener y mejorar un BCNS; »)_Tratan de asegurar la conformidad con la politica de continuidad del negocio establecida, ) Tengan la necesidad de poder continuar enttegendo productos servicios a una capacidad predefida aceptablé durante una inerrupcén; 1) Buscan mejorar su resiiencia meciante a apicaciin efectiva del BCMS. Este documento se puede utiizar para evaluar la capacidad de una organizacién para satistacer sus propias necesidades y obligaciones de continuidad de negocio, 2 REFERENCIAS NORMATIVAS Los siguientes documentos se mencionan en el texto de fal manera que parte o todo su contenido consttuye requistosie ste documento, Para es referencias con fecha, sblo se apical edicién cada. Para referencias sin fecha, se apical itima edicion del documento de referencia (inclidas las enmiendas). 180 22800, Seguridad y resiiencia «Vocabulario : ‘TERMINOS Y DEFINICIONES Para los propésitos de este documento, se apican los terminos y defnciones dados én ISO 22300 y los siguientes. 180 e IEC mantienen bases de datos terminol6gicas para su uso en normalzacién en las siguientes dreciones: - Plataforma de navegacién ISO Online: disponible en httpi/wwwriso.orgobp - IEC Elecropedia: disponible en htp:www.electropedia.org! NOTA Los términos y defniciones dados a continuacion reemplazan a los dados en ISO 22300: 2018 3.4 Actividad Conjunto de una 0 mas tareas con una salda defrida [FUENTE: ISO 22300: 2018, 3.1, mocificado - La definicén ha sido reemplazaday el ejemplo ha sido eiminado | 3.2 Auditoria Proceso (328) sistemalicn, Independiente y documenta para obtener evidencia de autora y evaluala objevamente para determinar en qué medida Se cumplen ls crterios de autora. Nota 1 a la entrada: Una auditoria puede ser una auditoria intema (primera parte). una auditoria exterma (Segunda @ tercera pate) y puede ser una eucitora combinada(combinando dos o ms disiplnas) Nota 2 a la entrada: La propia organizacion (3.21) realiza una auditoria interna 0 tina parte externa en su nombre. Nota 3 ala entrada: “Evdenca de auditory “rterios de autor’ se define en ISO 19011 Nota 4 a la entrada: Los elementos fundamentales de una auditoria incluyenla’ determinacion de la conformidad (317) de un objeto de acuerdo con un procedmientolevado a cabo por personal que noes responsable del objeto auitaco 4 150 22301:2019 Traduccién no oficial de uso académico-info@arciam org ‘UERIGAN REGISTER OF CERTIFICATED NSPETOS, AUDITORS AND MANAGERS Pres cpa roduc no riz arl oa or aan en eralNota 5 ala entrada: Una aucitora interna puede ser para revision por la cireccin y otros propésitosintemos y puede constr la base gata la declaracién de conformidad de una orgenizacon. La independencia se puede demostar po la ausencia de responsabilidad por la actividad (3.1) ue se aut. Las audoras extemas incuyen auditorias de segunda ytercera pate. Las audtorias de segunda parte son realzadas por partes que tienen un inlerés en la organizacién, como clientes, 0 por otras Personas en su nombre. Las aucitorias de tereros son realzadas por organizaciones de aucitoria extemas e indepenientes, ‘como las que proporcionan cetficacion/ registro de conformidad agencias gubemamentales. Noa 6 a la entrada: Este consuye uno de los érminos comunes y defniciones basicas de la estructura de ato nivel pare las ‘norma del sistema de gestion ISO. La defnicién orignal se ha modifcado aftadiendo las notas 4 y 5 a la entrada, 3.3 Continuidad del negocio Capecidad de una orgenizacién (3.21) para continua la entrega de productos y servicios (3.27) dentro de marcos dé lempo aceptables segtn la capacidad predefinica durante una interrupcin (310) [FUENTE: ISO 22300: 2018, 3.24, modfcado - La defncion ha sido reemplazada 3.4 Plan de negocios continuo Informacién documentada (3.11) que guia a una organizacin (3.21) para résponder @ una interupcién (8.10) y réanudar, recuperary restaurarlaentrega de productos y servicios (3.27) sein sus objtivos de contnuidad del negocio (3.3) (3.20) [FUENTE: ISO 22300: 2018, 3.27, modfcado - La defnicion ha sido reemplazada y la Nota 1 ala entrada ha sco eimiada 3.5 Analisis de Impacto al Negocio Proceso (3.26) de anlisis del impacto (3.13) a lo largo del tiempo de una interrupcién (310) en la organizacin (3.24) Nota tala entrada: resultado es una declaracion y una justiicacion de los requistos de continuidad del negocio (2.3)(3.28). [FUENTE: ISO 22300: 2018, 3.29, modfcado - Se reemplaz la defnicin y se agregé la Nota 1 ala entrada, | 3.6 Competencia Capacidad para apicar conocimientos y habilidades para lograr los resultados previstos Noa 1a la entrada: Este consituye uno de los trminos comunes y defniciones basicas de la estructura de ato nvel para las ‘normas del sistema de gestion ISO. 3,7 Conformidad cumplimiento de un requsto (3.28) Nota 1 a la entrada: Este consttuye uno de os témminos comunes y defiiciones basicas dela estructura de ato rivelpara as rormas del sistema de gestion ISO. 3.8 Mejora continua Actividad recurent (3.1) para mejorar el desempero (3.23) Nota ala entrada: Este constluye uno de ls trminos comunes y defriciones basicas de a estructura de ato nivel par las roxas de sistema de gestion ISO. 3.9 Accién correctiva AAccin para eliminar la (s) causa (s} de una no conformidad (3.19) y para prevenila recurrencia Nota 1 ala entrada: Este consituye uno de los términos comunes y definicones basicas de la estructura de ato rivel para las ‘ormas del sistema de gestion ISO. 3.10 Ruptura Incidents (3.14), ya sea anticipado 0 no antcipado, que causa una desviacién negativa no planifcada del productos y servicios (3.27) de acuerdo con ls objetivos (3.21) de una organizacion (3:20) [FUENTE: ISO 22300: 2018, 70, modtficado - La defnicion ha sido reempiazada.] ntrega espérada de 3.11 Informacién documentada informacién que une organizacin (221) debe contoary mantener y el medio ene que est contnida Nota 1 a entrada: La infomacin documentada puede estar en cualquier formato y medio, y de cualquerfuent Nota 2a la entrada: La informacién documentada puede refers a: Ei sistema de gestion (3.16), inclidos los procesos relacionados (3.26) = Infornacién creada para que la organizacin funcione (documentacin) = Evidencia dels resultados obtenidos (estos). Nota 3a la entrada: Este constuye uno de los trminos comunes y defnicionés basicas dela estrictura We até nivel para las roxas de sisterna de gestion ISO. 5 150 22301:2019 Traducciénno oficial de uso académico-info@arciam org ‘AMERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS, Prokibis 2 cons orerosuein ro autores, rao oa, ateracn en gene3.42 Eficacia Medida en que se realizan as actividades planiicadas (3.1) y se logran los resultados planiicados Nota 1 ala entrada: Este consituye uno de ls términos comunes y definiciones basicas de la estructura de ato nivel para las ormas del sistema de gestion ISO. 3.13 Impacto Resultado de una interrupcién (3.10) que afectaa los objetvos (3.20) [FUENTE: ISO 22300: 2018, 3.107, modiicado- La defnicién ha sido reemplazada,] 3.14 Incidente evento que puede ser, 0 podria conducir a, una interupcién (3.10), pérdida; emergencia o crisis [FUENTE: ISO 22300: 2018, 3.111, modiicado- La defnicion ha sido teemplazada | 3.15 Part iteresada (trmino preferido) | Accionista(término admitdo) Persona u organizacién (3.21) que puede afectar, verse afeciada © peribise a si misma como afectada por una détisién o actividad (3.1) EJEMPLO: Clientes, propitarios, personal, proveedores, banqueros,reguladores, sindlcaos, socos o sociedad que, pueden incur competidoreso grupos de presion opuestos. Nota 1 @la entrada: un tomador de decsiones puede ser una parte interesada, Nota 2 la entrada: Las comunidades afectadas y las poblaciones locales se considefan parts interesadas. Nota 3 a la entrada: Este constuye uno de los érminos comunes y defniciones basicas dla estructura de ato nvel paralas roxas del sistema de gestion ISO. La defnicén orignal se modi agregando un ejemplo y as Noas 1 y 2a la entrada 3.46 Sistema de gest Conjunto de elementos interelacionados o que interactien de una organizacén (3.21) para establecer potcas| (3.24) y bjtivos (3.20) y procesos (3.26) para lograre50s objativas Nota 1 la entrada: Un sistema de gestion puede abordar una sola dsciplina o varias disciptinas. Nota 2a la entrada: Los elementos del sistema inciuyen la estructura de la organizacién, roles y responsablidades, plafiicacion y operacin. Nota 3 a la entrada: El alcance de un sistema de gestion puede incur la ttalidad de la xganizacién, funciones especial © identticadas de la orgenizaciin, setciones especficase identficadas de la organizacién, o una o mas funciones en un grupéide corganizaciones, Nota 4 a a entrada: Este constiuye uno de los téminos comunes y definicones basioas dela estructura de alto nivel pare jas ‘normas del sistera de gestion ISO. 3.17 Medicién Proceso (3.26) para determinar un valor Nota 1 a la entrada: Este consttuye uno de os términos comunes y defiicones basicas dela estructura de alto rivel para las ‘normas del sistema de gestion ISO. 3.18 Supervisién Determinar el estado de un sistema, un proceso (3:26) o una actividad (3.1) Nota 1 alla entrada: Pera determinar el estado, puede ser necesaro vericr, supersaru obsenarcicamente Nota 2a la entrada: Este consituye uno de los trminas comunes y defricones basicas de a estructura de alto nivel para las rormas de sistema de gestién ISO. 3.19 No conformidad Incumplmiento de un requisito (328) Nota 1 ala entradar Este consituye uno de ls términos comunes y definiciones basicas de la estructura de ato nivel para las ‘normas del sistema de gestion ISO. 3.20 Objetivo Resultado a aleanzar Nota 1 a la entrada: un objetivo puede ser estratégico, tictico u operaiv, Nota 2 a la entrada: Los objetivos pueden relacionarse con diferentes aistipinas (tales como metas fnandleras, delsalud y seguridad y ambientales) y pueden aplicarse a diferentes niveles (como estratégico, en toda la organizacién, proyecto, producto y proceso (3.2) 6 150 22301:2019 Traduccién no oficial de uso académico- info@arciam.org [AUERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS Prohibgas eoia reprosucrén no atorieds, parcial total osu aeracén en generNota 3 ala entrada: Un objetivo se puede expresar de otras formas, p. Ej como un resuitado previsto, un propésit, un crterio ‘operativ, como un objetivo de continuidad del negocio (3.3), 0 mediante e uso de otras palabras con un significado similar (por ejemplo, objetivo, meta o meta) Nota 4 ala entrada: En el contexto de lo sistemas de gestion de Ia continuidad del negocio (3.16), los objetvas de cortinuidad del negocio os establece la organizacién (321), de conformidad con la politica de continuidad del negocio (3:24, pata lograr resultados especioos. Nota § a la entrada: Este constuye uno de los términos comunes y defniciones bésicas dela estructura de ato nivel pare las roma del sistema de gestion ISO. 3.21 Organizacion Persona 0 grupo de personas que tiene funciones propias con responisabildadés, autoidedes y relaciones para lograr sus bjetvos (3.20) Nota 1a la entrada: El concepto de organizacénincuye, pro no $6 lila a, comerciante individual, compat, corpracin, firma, empresa, atoridad, sociedad, cardad 0 insttucon, o parte 0 combinacién de las mismas, ya sea incorporada ono, pile oprivado. Nota 2a i entrada: Para organizaciones con mas de una unidad opealiva una Sola unidad operatva puede defnirse como Una organizacien. Nota 3 ala entrada: Este consttuye uno de fos trminos comunes y dfniones basicas de la estructura de alto nivel para las rnormas de sistema de gestén ISO. La defiricién orginal se ha modiicado eqregando la Nota 2 ala entrada, 3.22 Subcontratar Arreglo ene que una organizacién externa (3.21) realiza pate dela funcino proceso de una orgarizacién (3.26) Nota 1 a la entrada: Una organizacién exter esta fuera del alcance del sistema de gestion (3.16), aunque la funcién o profeso subconiratado esté dentro del alcance. Nota 2 ala entrada: Este consituye uno de los términas comunes y definiciones basicas de la estructura de alto nivel par as ‘normas del sistema de gestion ISO. 3.23 Desempeiio Resultado medible Nota 1a la entrada: El desempefio puede telaconarse con hallazgos cuanttatvos 0 cuabtatvos. Nota 2 ala entrada: El desempero puede relacionarse con la gestion de actividades (3.1), procesas (3.26), products litciidos los servicios), sistemas u organizaciones (3.21). Nota 3a la entrada: Este consttuye uno de los témminos comunes y definiciones basicas de la estructura de ato nivel para Jas ‘normas del sistera de gestion ISO. 3.24 Politica Intencianes y direccién de una organizacién (3.21), expresadas formalmente por su alta dreccion (3:31) Nota 1 a la entrada: Este consituye uno de los terminos comunes y defiiiones basicas de la estructura de alto nivel para las rnormas del sisterna de gestion ISO. 3.25 Actividad priorizada Actividad (3.1) ala. que se le da urgencia para evitarimpactos inaceplables (3.13) en et negocio durante una interupcion(3.10) [FUENTE: ISO 22300: 2018, 3.176, modiicado -L defnicién ha sido reemplazada y a Nota 1 @ la entrada ha sido elminada 3.26 Proceso Conjunto de actvidades intertetacionadas 0 que intractian (3.1) que transforman entradas en salidas Nota 1 ala entrada: Este consituye uno de los trminos comunes y defricones basicas de la estructura de ato nivel para las rnormas del sistema de gestion ISO. 3.27 Producto y servicio producto o resultado proporcionado por una orgarizacién (3.21) alas partesinteresadas (3.15) EJEMPLO: Articulos manufacturados, seguro de automévi,enfermeria comuritaia, [FUENTE: ISO 22300: 2018, 3.181, modifcado - El término “producto y servicio" ha reémplazado producto 0 senitio" y la defincién ha sido reemplazada ] 7 150 22301:2019 Traduccién no oficial de uso académico- info@arciam.org [AUERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS Prohibigas coia reprosucrén no autorieds, parcial total, osu aterscén en gene3.28 Requisito Necesidad o expectatva que se deciara, generalmente implcita u obligatoria Nota 1 a la entrada: “Generalmente impliio” significa que es costumbre 0 préctica comin para la organizacién (3:21) y las partes interesadas (3,16) que la necesidad o expectatva bajo consideracion ests implica, Nota 2a la entrada: Un requisite especticado es uno que se establece, p. E, en informacion documentada (3.11). Nota 3 ala entrada: Este consituye uno de ls términas comunes y definciones basicas de la estructura de alto nivel para las ‘ormas del sistema de gestion ISO. 3.29 Recurso Todos los actvos (inluyendo planta y equipo), personas, hablidades, tecnologia instalaciones y suministros e informacion (ya ea electrénica 0 no) que una organizacion (3.21) debe tener disponible para usar, cyando sea necesaro, para operar y.cumplir con sus objetivo (3,20) [FUENTE: ISO 22300: 2018, 3.193, modiicado - La defnicién ha sido feemplazada } 330 Riesgo Efecto de ia inoertidumbre sobre los abjetvos (3.20) Nota {ala entrada: Un efecto es una desviacin de lo esperado: posvo.a negativo Nota 2a la entrada: Inertidumbre es el estado, incluso parcial, de defcienca de informacion relacionada con, comptension 0 conocimiento de un evento, su consecuencia o probabildad. Nota 3 ala entrada: El riesgo se caracteriza a menudo por referencia a posibles “eventos® (como se define en la Guia $0 78) y “consecuencias” (como se define en la Guia |SO 78), una combinacén de estos. Nota 4 a la entrada: El riesgo @ menudo se exoresa en términos de una combinacién de las consecuencias de un evento (incluids ios cambios en las circunstancias) y la probablidad asociada (como se define en la Guia ISO 73) de que ocura Nota 5 a la entrada: Este consttuye uno de los témminos comunes y defiriciones basicas dela estructura de ato nivel para fas rnormas del sistema de gestién ISO. La defiicén ha sido modifceda para agregar "sobre objetves" para ser consistente con 180 31000. 3.31 Alta gerencia Persona o grupo de personas que drge y controla una organizacién (3.21) al mas alto nivel Nota 1 a la entrada: La alta ireccion tiene el poder de delegarautordad y proporcionar recursos (3.28) en la organizacién. Nota 2 la entrada: Si el alcance del sistema de gesién (3.16) cubre solo una parte de una organizacién, entonces la ata cireccién se refiere a aquelos que diigen y contolan esa parte dela orgaizacion. Nota 3a la entrada: Este constiuye uno de los téminos comunes y definiciones basicas de la estructura de ato nivel para Jas ‘normas del sistera de gestion ISO. 4 CONTEXTO DE LA ORGANIZACION 44 Comprensin de la organizacién y su contexto La organizacion debe determinar los asuntos extemos e intemos que sean relevantes para su propésito y que afécten su capacitad para logar los resultados prevists de su BCMS, NOTA Estos problemas estardn influenciados por los objetvos generales de la organizacién, sus productos y servicios y la cantidad y tio de riesgo que puede o no tomar. 42 Comprensién de las necesidades y expectativas de las partes interesadas 42.4 General Al establecer su BCMS, la organizacion debe determiner a) Las partes interesadas que sean relevantes para el BMS; ) Los requisitos relevantes de estas partes inleresadas, 8 150 22301:2019 Traducci6n no oficial de uso académico- info@arciam.org. [AUERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS. Prohibigas copia reprosuctén no atorieds, parcial total osu aeracén en gene42.2 Requisitos legals y reglamentarios Laorganizacion debe: ®) Implementar y mantener un proceso para idenificar, tener acceso y evaluar los requisits legals y reglamentaros ajicables ‘elacionados con a continuidad de sus productos y servicios, actividades y recursos; b)_Asegurarse de que estos requisites legales, reglamentarios y de otto tipo apicables se tengan en cuenta al implementar y mantener su BCMS; ©) Documentar esta informacién y mantenerla actualizada 43 Determinacién del alcance del sistema de gestién de la continuldad del negocio 43.4 General Laorganizacién debe determina os limites y la aplicabilded del BCMS para establecer su elcance AAldeterminar este alcance, la organizacion debe considera: 2) Las cuestiones externas einternas mencionadas en 4.1; ) Los requisitos mencionados en 4.2; ) Sumisién, metas oblgaciones intemas y extemas, El alcance debe estar disponible como informacion documentada 4.3.2 Alcance del sistema de gestién de la continuidad del negocio La organizacion debe: a} Establocer las partes de la organizacién que se inauran en el BCMS, teniendo en cuenta su (s) ubicacién (es){tamaho, naturaleza y complejdad: ) Identficar los productos y servicios que se inclirén en el BCMS. A defnir ol alcance, la organizacién debe documentary explica las excusiones. No afecatén la capacidad y responsabilidad de la organizacion para proporcionar continuidad de negocio, segin lo determinado por el andliis de impacto al negocio la evaluacién de lesgos y os requisites legals o rglamentais aplicables. 44 Sistema de gestién de la continuidad del negocio La organizacién debe establecer,implementar, mantener y mejorar continuamente un BCMS, inlidos ls procesos néGesarios y Su inleracciones, de acuerdo on los requisios de este documento, 5 LIDERAZGO 54 Liderazgo y compromiso Laatta ireccion debe demostrar iderazgo y compromiso con respecto al BCMS al: a] Asegurar que la politica de continidad del negocio y los objetivos de continuidad del negocio se establezcan,y sean compatibles oon la dreccin estratégica de la organizacion; )Asegurrla ntegracién de os requisites del ECMS en los procesos de negocio dela organizacién; )_Asegurar que los recursos necesarios para el BCMS estén disponibles 1) Comunicar la importancia dela continuidad de! negocio eficaz y de cumpli con I requsitos de! BCMS: €},Garantzar que el BCMS loge os resultados previstos; f)Dirig apoyara las personas para contrbuiralaeficacia del BCMS; 4g}, Promover la mejora continua; Fh). Apoyar otros roles gerencioles relevantes para demastrarIderazgo y compromis6en io referdo a su tea de responsabilidad 9 150 22301:2019 Traduccién no oficial de uso académico- info@arciam.org [AUERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS Prohibigas copia reprosucrén no atorieds, parcial total osu ateracién en geneNOTA La referencia a “negocios” en este documento se puede interpretar de manera amplia como aquellas actividades que son undamentales para los propdsits de la existencia de la organizacion, 52 Politica 5.2.1 Establecimiento de la politica de continuidad del negocio Laalta dteccion debe establecer una politica de continuidad del negocio que: 2} Sea apropiada para el propésito dela organizacién; } Proporcione un marco para establecerobjetivos de continuidad del negocio; C) Incluya el compromiso de satisfacer los requsitos apicables; 4) Incluya un compromiso con la mejora continua del BCMS. 5.2.2 Comunicar la politica de continuidad del negocio LLapolitica de continuided del negocio deber: 2} Estar disponible com informacion documentada; b} Comunicarse dentro dela organizacén; <) Estar disponible para las pares interesadas, segin oofesponda. 53 Roles, responsabilidades y autoridades La alta direccién debe asegurar que las responsabildades y autoridades para los roles relevantes se asignen y se comuniien Centro de a organizacion Lalla dreccién debe asignar la responsabilidad y autoridad par: 2} Asegurarse de que el BCMS curpla con los requis de este documento; ») formar sobre el desempeio del BCMS ala ata cireocien 6 PLANIFICACION 61 Acciones para abordarriesgos y oportunidades 6.4.1 Determinacién de riesgos y oportunidades A planificar el BCMS, la orgenizacion debe considerar los problemas mencionados en 4.1 os requisites mencionados.en 42 y determinar los resgos y oportunidades que deben abordarse para 2) Garantzar que el BCMS puede lograr los resultados prevstos; ) Preveniro reducir efectos no deseados; ) Lograr una mejora continua, 6.1.2 Abordar los riesgos y las oportunidades Laorganizacion debe planifi 2) Acciones para abordar estos riesgos y oportunidades; b) Cémo: 4) integrare implementa las acciones en sus procesos BCMS (ver 8.1} 2) evalvar la eficacia de estas acciones (ver 9.1). NOTA Los resgos y las oportunidades se relacionan con la efcacia del sistema dé gestion. Los résgos reacionad con la interupcin del negocio se tretan en 8 2. 10 150 22301:2019 Traducci6n no oficial de uso académico- info@arciam.org [AUERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS Prohibigas copia reprosucrén no atorieds, parcial total osu aeracién en gener62 Objetivos de continuidad del negocio y planificacién para lograrlos, 6.21 Establecimiento de objetivos de conti 1 del negocio La organizacin debe establecercbjetivos de continudad del negocio en las funciones y nveles relevant. Los abetvos de continuidad del negocio deberén: 8} Ser coherentes con la potca de contnuidad del negocio; ) Ser medibes (ses facile); ©) Tener en cuenta ls requsitos apicables (ver 4.4 y 42) 0} Ser monitoreados: } Ser comunicados; f} Actualzarse segin coresponda, La organizacién debe conservarinformacién documentada sobre los obetvos de contnuidad del negocio, 63 Planificaci6n de cambios en el sistema de gestién de la continuidad del negocio Cuando la organizacién determina la necesidad de cambios en_el BCMS, inclidos los identificados en la Cléusulal 10, Jos cambios deben levarse a cato de manera planfcada, La organizacién debe considerar: 2] El propésito de los cambios y sus posbles consecuenclas, ) Laintegridad del BCMS; c) La cisponibilidad de recursos 4} La asignacién o reasignacion de responsabiidades y autoridades, 7 SOPORTE TA Recursos La organizacién debe determinar y proporcionar Ios recursos necesarios parael establecimiento, implementacion, ‘mantenimiento y mejora continua del BCMS. 72 Competencia La organizacién debe: 2) Detetminar la competencia necesaria de la (8) persona (s) que realizan el trabajo bajo su control que afecta su desemgefio en la continuidad del negocio, b)_Asegurarse de que estas personas sean compelentes sobre la base de una educacion, formacién o experiencia adetuades; ©) Cuando corresponda, tomar acciones para adquirr competencia necesaria y evaluar la efcaca de as acciones tomadasi 4) Conservar la informacion documentada adecuada como prueba de competencia, NOTA Las acciones apicables pueden incur, por ejemplo, la provision de capacitacién, la tuoria ola reasignacién de personas ‘actualmente empleadas; ola contratacién o conratacién de personas competentes 73° Conci ia Las personas que realicen trabajos bajo el control dela organizacion debeérén conocet 2) La politica de continuidad del negocio; ') Su contribucién ala eficacia del BCMS, incluidos los beneficios de un mejor desemipefo en la continuldad del negocio, )_Las implicaciones de no cumplir con los requsitos del BCMS, 8} Su pio y epee rie, cry dnp debe hiorunnes 150 22301:2019 Traduccién no oficial de uso académico- info@arciam.org "AVERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS. Prohibigas cos reprosucrén no atorieds, parcial total osu aeracén en gene74 Comunicacién La organizacién debe determinar las comunicaciones interas y externas relevantes para el BCMS, incluyendo: 8} Sobre lo que comunicard } Cuando comunicarse; ) Con quién comunicarse 0} Como comunicarse: «} Quién se comunicaré 75 Informacién documentada 7.54 General EIBCMS dea organizacién debe incur: 2} Informacién documentada requerida por este documento; Informacion documentada determinada por la organizacion como necesaria para ia eficacia del BCMS, NOTA El alcance de la informacion documentada para un BCMS puede difei de una organizacion a otra debido a: el tamatio dela organizaciény su tipo de actividades, process, productos y servicios, y recursos; «la compiejdad de los procesos y sus interacciones; - la competencia de las personas. 7.5.2 Creaci6n y actualizacion A crear actualzainformacién documenta, la orgeizalén debe asegurarse de que sea apropiado 2) Idenificacién y descrincion (or ejemplo, tuo, fecha, autor onimero de referencia) ©) Format (por efempo, idioma, version de sofware, grfcos)y medios (or elemplo, papel, electrénico); 6) Revisin yaprobacin de idoneidad y adecuacin. 7.5.3 Control de la informacién documentada 7.53.1 Lainformacin documentada requerida por el BCMS y por este documento debe controlarse para gaantizar 2} Que est disponible y es adecuada pare su uso, donde y ano se neveste; ) Que esié adecuadamente protesida (por ejemplo, contalapédida de conidenciadad,utoindebdo o périda de interidad), 7.5.3.2 Para el control de la informacion documentada, la organizacion debe abordar las siguientes actividades, segin ccorresponda: 2] dstribucin, acceso, recuperaiény uso; ] almacenamiento conservacion,incluidala conservacién de a legilidad ©) contol de cambios (par ejemplo, contol de versiones} 4) retencin y disposcin, La informacion documentada de orgen extemo que la orgenizacion determine como necesaria para la planficacién y operacion del BCMS deberd identiicarse, segin corresponda, y contolarse, NOTA El acceso puede implicar una decision con respect al pemmiso para versololainformacién documentada, 0 el peso y la autoridad para very cambiar la informacion documentada, 2 150 22301:2019 Traduccién no oficial de uso académico- info@arciam.org [AUERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS Prohibigas cos reprosucrén no atorieds, parcial total osu aerscén en gene8 OPERACION 8.1 Planificacién y control operative La organizacién debe planificar, implementary controlar los procesos necesaros para curl los requisites y para implementar las acciones determinadas en 6.1, mediante: a} El establecimiento de crterios para los procesos; La implementacién de controles en ls pracesos de acuerdo con los citerios, )_El mantenimiento de la informacién dacumentada en la medida necesaria para tener confianza en que los procesdg se han llevado a cabo segin lo planeado. Le organizacion debe controlar los cambios panificados y revsar las consecuentias de los cambios ro deseados, Yomando medidas para mitgar cualquier efecto advers, segin sea nevesaro La organizacion debe asegurarse de que los procesos subcontralados y la Cadena de suministo estén contrlados, 82 Analisis de impacto al negocio y evaluacién de riesgos 8.2.1 General Lacorganizacion debe: a) Implementar y mantener procesos sisteméticos para analizarel impacto al negocio y evaluar lo riesgos de interrupcién; ) Revisar el andlsis de impacto al negcio y la evaluacion de riesgos.@ intervaios planificados y cuando haya cambios significativos dentro de la orgarizacin o el contexto en el que opera, NOTA La organizacién determina el orden en el que srealizan el anaisis de impacto al negocio ylaevauacién de resgos. 8.22 Analisis de impacto al negocio La organizacién debe utiizar el proceso para analiza los impactos del negocio para determinar las prioridades y los requisilos de continuidad de! negocio El proceso deberd: 2} Defini ls pos de impacto y los orteros elevantes para el cntexto de la organizecin; ) dentficar las actividades que apoyan la provision de producto y sencios; ©). Utlizar los tips y citerios de impacto para evaliar ls impacto a l argo del tempo rebuitantes dela interrupcién ce eas actividades; 1) Identficar el marco de tiempa dentro del cual impacto de no reanudar actividades serianinaceptables para la orgerizacion: NOTA 1 Este perodo de empo puede denominarse "periodo maximo tolerable de nterrupcion (MTPO)* «6 Establecer marcos de tiampo pririzados dentro del tempo identficado en d) para reanudar las actividades interrumpidas una capacidad minima aceptable especiicada NOTA 2 Este plazo puede denominarse "objetivo de tiempo de recuperacién (RTO) 1) Uslizar este andlisis para identiicar actividades priorizadas; 4} Determinar qué recursos se necesitan para apoya las actividades prioicadas; 1) Determinar las dependencias,incluyendo socis y proveedores,y as interdependencias de las acvidades prorizad8s 8.2.3 Evaluacién de riesgos La organizacion debe implementar y mantener un proceso de evaluacion de riesgos. NOTA: El proceso de evaluacién de riesgos se aborda en ISO 31000 La organizacion debe: 8} Identifca os riesgos de interupcién de as acividedes priorizadas dela organizaciin y de sus recursos requeridos; ) Analizar y evaluar los riesgosidentticados; ©) Determinar qué riesgos requieren tratamiento. 13 150 22301:2019 Traduccién no oficial de uso académico- info@arciam.org [AUERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS Prohibigas copia reprosuctén no atorieds, parcial total osu aeracén en geneNOTA Los riesgos en esta subcléusula se relacionan con la interrupcién de las actividades de negocio. Los riesgos y ‘oportunidades relacionados con la eficacia del sistema de gestin se tran en 6.1 83 —_Estrategias y soluciones de continuidad del negocio 8.3.1 General CCon base en los resultados del andlisis de impacto al negocio y la evaluacién de riesgos, la organizacion debe identiicar y seleccionar estrategias de continuidad de negocio que cansideren opciones antes, durante y después de la inlerrupcién. Las estrategias de continuidad del negocio estardn compuestas por una © ms soluciones, 8.3.2 Identificacion de estrategias y soluciones Laidentiicacion se basaré en la medida en que las estrateoias y soluciones: 2} Cumplilos requisites para continua yrecuperar las actividades priorzadas en plazosidentifcados y capacidad acordaday ). Proteger las actividades pririzadas de la orgaizacion ¢) Reducirla probabldad de interupciones; 4} Acotar el periodo de nterupcin e} Limitar el impacto dela interupcin en los productos y servicios de la rganizactn; f}Asegutr la cspontbildad de recursos adecuados. 8.3.3 Seleccién de estrategias y soluciones La seleccién se basaré en la medida en que las estrategias y soluciones: 2) Cumplir los requsitos para continuary recuperar la actividades pririzadas en plazos identiicados y la capacidad acordada;, } Considerar la cantidad y el ipo de riesgo que la rganizacion puede asumir 0 no; 1) Considerar los costos y beneficios asociados, 8.3.4 Requisitos de recursos La organizacién debe determinar los requsilas de recursos para implementar las soluciones de continidad del nego seleccionadas. Los tipos de recursos consideradosinclirén, pero no se limitaran a a) Personas: ) Informacion y datos; ©) Infraestructurafisica como eaifcios, lugares de trabajo u olras instalaciones y servicios piblicos asociados; 4) Equipos y consumibles; 2) Sistemas de tecnologia dela informacion y las comunicaciones (TIC); f}_ Transporte y logistca; 9g) Finanzas; F) Socios y proveedores. 8.3.5 Implementacién de soluciones La organizacién debe implementar y mantener las soluciones de continudad del negocio seleccionadas para quelpuédan actvarse cuando sea necesaro. 84 Planes y procedimientos de continuidad del negocio 8.4.1 General La orgarizaciGn debe implementa y mantener una estructur de respuesta que permita advertencia y comunicacién oportunas 2 las partes interesadas relevantes. Debera proporcionar planes y procedimientos para gestionar la organizacién durante una interrupcin, Los planes y procedimientos se uilizaran cuando sea necesatio para actvar soluciones de continuidad del negocio. NOTA Existen diferentes tipos de procedimientas que comprenden los planes de continuidad del negocio, 4 150 22301:2019 Traducci6n no oficial de uso académico- info@arciam.org [AUERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS Prohibigas copia reprosuctén no atorieds, parcial total osu aeracén en geneLa organizacién debe identticar y documentar los planes y provedimientos de continuidad del negocio basados en el resultado de las estrategias y soluciones seleccionadas, Los procedimientos deberén: a) Ser especificos con respecto a los pasos inmediatos que se deben tomar durante una interrupcion; ) Ser flexibles para responder a las cambiantes condiciones intemas y externas de una interrupci6n; c) Centrarse en el impacto de los incidentes que potencialmente conducen a interrupciones; 6) Ser eicaces para minimizar el impacto mediante Ia implementacn de solucionesadecuadas; e) Asignar roles y responsabilidades para las tareas dentro de ellos. 8.4.2 Estructura de respuesta 8.4.2.1 La organizacién debe implementar y mantener una estructura, identticendo uno © més equipos responsables \de responder alas interrupciones, 8.4.22 Los roles y responsabilidades de cada equipo y las elaciones entre los equipos deben estar claramente establecidos, 8.4.2.3 Colectvamente, los equipos serén competentes para a) Evaluar la naturaleza y el alcance de una interuncéy su impacto potencial )_Evaluar el impact frente a umbreles predefnidos que jtficane|nicio de una respuesta formal; ©). Actvar una respuesta apropiada de contnuidad del negocio: 4) Planificr las acciones que deben emprenderse; @)Establecerpricdades(ublzando la seguridad humana como prime priosidad); f}_ Monitorear lo efectos de a interrupcin yla respuesta de la organizacon 9) Activar las soluciones de continuidad del negocio; 1) Comunicarse con las partes interesadas pertinentes, las autoridades y los medios de comunicacion 8.4.24 Para cada equipo habra a) Personal identifcado y suplentes con la responsabilidad, autoridad y competencia necesarias para desempefiar st func designada; } Procedimientos documentados para guiar sus acciones (ver 8.4.4), incuidos aquellos para la actvacién, operation, coordinacén y comunicacién de la respuesta 8.4.3 Advertencla y comunicacién 8.4.3.1 La organizacién debe documentar y mantener procedimientos para: 2} Comunicarse intema y extemamente con la partes interesadas patnentes, incuido qué, cuando, con quiény cémo, NOTA La orgeizacin puede documentary mantener procedimentos sobre cdmo y Bao qué ceunstancia la orgahizaéén 8 comunica con fs empleacs y sus contactos de emergencia ) Recibir, documentary responder a las comunicaciones de las partes interesadas,incluido cualquier sistema deyaviso de riesgos nacional o regional o equivalent; ©) Asegurarla dsponiblidad de los medio de comunicacion durante una iterupcion; 6) Facitar la comunicacin estucturada con los senicios de emergencia; €}Poroporcionar detalles de la respuesta de os mecios de comunicacon dela oranizacion después de un incident, Incuida una estategia de comunicacon 4) Registrar los deta dea interrupcibn, las aciones tomadas y las decisiones tomadas. 8.4.3.2 Cuando corresponda, también se debe considerare implementar lo siguiente! a) Alrtar a las pares interesadas potencialmente afectadas por una intemupcion rea inminente, )_Asegurar una adecuada coordinacion y comunicaciin entre maples organizaciones de respuesta, Los pracedimientos de adveriencia y comunicacién se deben aplcar como parte del programa de ejercicios de la organizacon escrito en 85 15 150 22301:2019 Traduccién no oficial de uso académico - info@arciam.org [AUERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS Prohibigas copia reprosuctén no atorieds, parcial total osu aterscén en gene8.4.4 Planes de continuidad del negocio 8.4.4.1 La organizacién debe documentar y mantener planes y procedimientos de continuidad del negocio. Los planes de continuidad del negocio deben proporconar orintacion e informacion para ayudar alos equipos 2 responder a ua intupcion y ayudar ala organizaion con la respuesta y la recuperacién, 8.4.4.2 En conjunto, os planes de continidad del negocio deben contener: 8} Detalles de las acciones que las equiposllevardn a cabo para 1} Dontinuar 0 recuperar actividades privizadas dentro de marcos de tempo predeterminados; 2) Monitoear el impacto de la interrupcin y la respuesta de la organizacion a el: »b) Referencia alos umbrales predefnidos y al proceso para acivarla respuesta; ©) Procedimientos para permitirla entrega de products y servicios a la capacidad acordada 6} Detales para gesinar las consecuenciasinmeciatas de unainterupcinteniendo debidamente en cuenta: 1) Elbienestar de las personas; 2) La prevencién de nuevas pérdidas oindisponiblidad de actividades priorizadas: 3) El impact sobre el medio ambiente 8.4.43 Cada plan debe incur: a) El propbsito,alcance y objetvos; ) Los roles y responsabiliades del equipo que implementa el plan; )_Acciones para implementar las soluciones; 1) Informacion de apoyo necesaria para activa ncuides los citeros de activacién), operar, coordnar y comunic del equipo; @) Interdependencias internas y extemas; A} Los requisitos de recursos; 9} Los requisitos de informacion; 1) Un proceso de retirada, Cade plan se podré utlizar y estara disponible en el momento y lugar en que se requiera 8.4.5 Recuperacién La organizacion debe tener procesos documenlados para restaurar y devolver las actividades de negocio de las| medidas temporales adoptadas durante y después de una interrupcion. 85 Programa de ejercicios y pruebas La organizacién debe implementar y mantener un programa de ejerccios y pruebas para vaidar con el tiempo la efcacia de Sus estrategias y soluciones de continuidad del negocio. Lorganizacion debe realizar eercicis y pruebas que: €)_ Sean coherentes con sus objetivos de continuidad de! negocio; ')Basados en escenarios apropiados que estén bien planficados con metas y objetivos ciaramente defnidos; ©) Desarrollen el trabajo en equipo, la competencia, la confianza y el conocimiento para aquelos que tienen réles "que \desemperiar en relacion con ls interupciones; 4) En conjunto, alo largo del tiempo, vaiden sus estrategias y soluciones de continuidad del negocio; } Produzcan informes posteriores al ejercicio formalizados que contengan resultados, recomendaciones y acciofes para implementar mejores; f]_Se revisen en el contexto de la promocién de la mejora continua; g) Se realicen a intervalas planificados y cuando hay cambios signifcatives dentralde la organizacion o el contéxto 6h el que opera. La organizacién debe actuar sobre los resultados de su ejercicio y prueba fara implementar cambios y mejores, 16 150 22301:2019 Traduccién no oficial de uso académico- info@arciam.org [AUERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS Prohibigas cos reprosuctén no autorieds, parcial total osu aeracén en gene86 —_Evaluacién de la documentacién y las capacidades de continuidad del negocio La organizacién debe: D Evaluar la idoneidad, adecuacién y efcacia de su andlsis de impacto al negocio, evaluaciin de riesgos, estiategias, soluciones, planes y procedimiertos; Realzar evaluaciones a través de revsiones, andlisis,ejercicios, pruebas, informes posteriores a incidente y evaluaciones de desempeto; ©) Realize evaluaciones de las capacidades de continuidad del negocio de los socios y proveedoresrelevantes: <}Evaluar el cumplimiento de los requsts legales y reglamentaros aplcabes, las mejores praccas de la industia y la conformicad con su propia poltca y objtivas de continuidad del negocio; ‘Actualizar la dacurentacion y ls procedimientos de manera oportuna, Q Estas evaluaciones se realizarn a intervals planificados, luego de un incidente o acivacion y ante cambios significatvos. 9 _EVALUACION DEL DESEMPENO 9.4 Seguimiento, medicién, andlsis y evaluacién La organizacién debe determinar 18}, Qué se necesita monitorear y medi, )_ Los métods de seguimiento, mecicion, ands y evaluacon, segin corresponda, para asegurar resultados valdos, ©) undo y quién debe realizar e sequimiento y la medi; 0} Cuando y quien debe analzary evaluar los resultados del seguimiento y la medi. La organizacién debe conservar a informacion documentada apropiada como evidencia de los resultados. La organizacién debe evaluar el desempero del BCMS y la eficacia del BCMS. 92 Auditoria interna 9.2.1 General La organizacién debe realizar auditorias intemas a intervals planficados para proporcionariformacign sobre si el BCMS: a) Se ajustaa 1) Los propios requisito de la organizacién para su BCMS; 2) Los requsitos de este documento; ) Se implementa y mantiane de manera efectiva, 9.2.2 Programa (s) de auditoria, Laorganizacion debe: 2] Planificar, establecer,implementar y mantener un programa 0 programas de auditoria que incuyan la frecuencalilos étodos, las responsabiidades, os requisites de planifcacin yl presentacin de informs, que deberén tener en cuenta la importncia de ls procesos en cuestin y los resuitados de las auditorias anteriores; Defi ls cterios de autora y el alcance de cada auditoia; ©) Seleccionar auditors y realizar auditors para asegurar la objetivdad y la imparcilidad de! proceso de auditora; 6} Asegurarse de que los resuitados de las auctorias se informen als geretes relevantes; e}Retener informacion documentada como evidencia de [a implementacién deliprograma 0 programas de audtela los resultados de la audtoria; f}Asegurarse de que se tomen las acciones corretivas necesarias sin demora indebide para elminar les no conformidades detectadas y sus causas; 6) Asegurarse de que las aociones de audtoria de seguimiento inluyan la verfcadn de las aciones tomadas yl informe de los esutados dela vericacon v7 150 22301:2019 Treducci6n no oficial de uso académico-info@arciam.org ‘NIERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS Prohibia su coni reprosvecén no autoritda, arial otal osu aercin en genera93 Revisién por a direccién 9.3.1 General Lala direcién debe revisar el BCMS de fa organizacién a intervals planificados, para asegurarsu conveniencia, adécuacién y eficacia continua. 9.3.2 Entrada de la revisién por la direcci6n Larevision por la direccion debe incur la consideracion de: El estado de las acciones de las revisiones por la direccin anteriores: }_ Cambios en asuntos externas e internas que son relevantes para el BCMS; ©) Informacion sobre e! desemperio del BCNS, inclidas ls tendencias en 4) No conformidades y acciones correctvas; 2), Seguimiento y medcién de los resultados de a evaluacién; 3) Resultados dela aucitoria 6} Comentarios de as parts interesadas; €} La necesidad de cambios en el BCMS, includ la politica y los objatwos; f}_ Procedimientos y recursos que podrianullizarse en la xganizacion para mejorar el desempefioylaefcacia del BCS 4}, Informacién del aniisis de impacto al negocio y evaluacién de resgos, fh) Resultado de la evaluacion dela documentacion y las eapacidades de contnuidad del negocio (ver 8.6); i) Riesgos o problemas que no se abordan adecuedamente en ninguna evaluacién de resgos anterior |). Lecciones aprendidasy acciones derivadas de cuasi accidents e inerupciones; ) Oportunidades de mejora continua 9.3.3 Resultados de la revision por la direccién 9.3.3. Los resuitados de la revision por la direccién deben incluir decisiones- relacionadas con oportunidades de’ mélora continua y cualquier necesidad de cambios en e! BCMS para mejorar su eficiencia y eicaca, incluyendo lo siguiente: a) Variaciones del alcance del BCMS; } Actuaizacién del andisis de impacto al negocio, evaluacién de riesgos, estrategias y soliciones de continuidad de negotio y planes de continuidad de negocio: ©), Modificacién de procedimientos y contoles para responder a problemas internos 0 extemnos que puedan afectar el BCMS, 0} Como se medira la eficaca de los controles, 9.3.32 La organizacién debe retener informacion documentada como evidencia de los resultados de las revisiones por la direccién. Deberd €) Comunicar los resuitados de la revsién por la direccién alas partes interesadas pertnentes; ) Tomar las medidas adecuadas en retacion con esos resultados. 10 MEJORA 1041 No conformidad y accién corectiva 101.1 La organizacion debe determinar oportunidades de mejora e implementar las acciones necesarias para ldgrar los resultados previstos de su BCMS. 18 150 22301:2019 Traduccién no oficial de uso académico- info@arciam.org [AUERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS Prohibigas copia reprosucrén no atorieds, parcial total osu aterscén en gene10.1.2 Cuando ocure una no conformidad, la organizacion debe: 2} Reaccionar ante la no conformidad y, seg coresponda: 1) Tomar medidas para conta ycortegito; 2) Lidar con las consecuencias; 1} Evaluar a necesidad de acién para elimina la s) causa (s) de la no conformidad, fn de que nose repita ni ocura en oro lugar, mediante: 1) Larevisién de a no conforidad, 2) Ladeterminacién de las causas de la no conformidad; 3} i determinar si existen no conformidades similares o si pueden ocurirpotencialmente; 6) lmplementar cualquier acciénnecesaria; 6) Revisar la eficacia de cualquier accion corectivatomadat €} Realizar cambios en ol BCMS, ses necesaro Las acciones correctvas deben ser apropiadas alos efectos de las no conformidades encontradas. 10.1.3 La organizacién debe retenerinformacién documentada como evidencia de a) La naturaleza de las no conformidades y cualquier aocién posterior tomada; b) Los resultados de cualouieraccién coectva 10.2 Mejora continua La organizacién debe mejorar continuamente la idoneidad, adecuacién y eficacia del BCMS, basdndose en medidas cualitatvas y cuantitativa, La organizacién debe considerar ls resutados del anil y la evaluacién, y os resuitados de la revisién por la diecdién, para determinar si hay necesidades u oportunidades, relacionadas con el negocio o con el CMS, que se abordaran como parte de la mejor continua NOTA La organizacin puede utilizar ls procesos del BCMS, coma liderazgo,planificacién y evaluacién del desempetfo, ara lograr a mejor, 19 150 22301:2019 Traduccién no oficial de uso académico- info@arciam.org [AUERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS Prohibigas copia reprosucrén no atorieds, parti total osu aterscén en geneBIBLIOGRAFIA {1]_1$0 9001, Quality management systems — Requirements [2] 180 14001, Environmental management systems — Requirements with guidance for use [3]. ISO 19011, Guidelines for auditing management systems [4] ISONECITS 17021-6, Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 6: Competence requirements for acing and certification of business continuity management systems {5]_ ISO/IEC 20000-t, information technology — Service management — Pat 1: Service management system requirements (6) 10 22313, Societal security — Business coninuty management systems — Guidance [7]. 180 22816, Security and resilience — Organizational silence — Principles and attributes {8]_ISOITS 22317, Societal security — Business continuity management systems — Guidelines for business impact ‘enaysis (BA) (9]_ISOITS 22818, Societal security — Business continuity management sjstemss — Guidelines for supply chain continuty [10] ISO/TS 22330, Securty and resiience — Business continuity management systems — Guidelines for people abpects of business continuity [11] ISO/TS 22331, Security and resiience — Business continuity management systems — Guidelines for business continuity strategy [12] ISO/IEC 27001, Information technology — Security techniques — information” security management systems |— Requirements [13] ISO/IEC 27034, Information technology — Secutty techniques — Guidelines for information and communication tebhndl6gy readiness for business contiruity {14] ISO 28000, Specticaton for security management systems for he supply chain [15] ISO 31000, Risk management — Guidelines [16] IEC 31010, Risk management — Risk assessment techniques [17] ISO Guide 73, Risk management — Vocabulary 20 150 22301:2019 Traduccién no oficial de uso académico- info@arciam.org [AUERICAN REGISTER OF CERTIFICATED INSPECTOS, AUDITORS AND MANAGERS. Prohibigas copia reprosucrén no atorieds, parcial total osu aerscén en gene