NORMA TCNICA COLOMBIANA

NTC 5722
2009-11-18

GESTIN DE LA CONTINUIDAD DEL NEGOCIO. REQUISITOS

E:

BUSSINESS CONTINUITY MANAGEMENT. SPECIFICATION

CORRESPONDENCIA:

esta norma es una adopcin idntica (IDT) por traduccin de la norma BSI 25999-2:2007. sistema de gestin; continuidad; negocio; riesgos; crisis; impacto del negocio.

DESCRIPTORES:

I.C.S.: 03.100.01
Editada por el Instituto Colombiano de Normas Tcnicas y Certificacin (ICONTEC) Apartado 14237 Bogot, D.C. - Tel. (571) 6078888 - Fax (571) 2221435

Prohibida su reproduccin

Editada 2009-11-25

PRLOGO

El Instituto Colombiano de Normas Tcnicas y Certificacin, ICONTEC, es el organismo nacional de normalizacin, segn el Decreto 2269 de 1993. ICONTEC es una entidad de carcter privado, sin nimo de lucro, cuya Misin es fundamental para brindar soporte y desarrollo al productor y proteccin al consumidor. Colabora con el sector gubernamental y apoya al sector privado del pas, para lograr ventajas competitivas en los mercados interno y externo. La representacin de todos los sectores involucrados en el proceso de Normalizacin Tcnica est garantizada por los Comits Tcnicos y el perodo de Consulta Pblica, este ltimo caracterizado por la participacin del pblico en general. La NTC 5722 fue ratificada por el Consejo Directivo de 2009-11-18. Esta norma est sujeta a ser actualizada permanentemente con el objeto de que responda en todo momento a las necesidades y exigencias actuales. A continuacin se relacionan las empresas que colaboraron en el estudio de esta norma a travs de su participacin en el Comit Tcnico 205 Continuidad del negocio. AON BANCO DE LA REPBLICA BANCOLOMBIA BOMBEROS VOLUNTARIOS ENVIGADO CARLOS JULIO DAZ CETASDI COMFENALCO ANTIOQUIA COMPAA GALLETAS NOEL CRMS CHUBB DECEVAL S.A. DELIMA MARSH S.A. DELOITTE

EMC2
EMPAQUETADURAS Y EMPAQUES EMPRESAS PBLICAS DE MEDELLN. INTEK S.A. INTERGRUPO ITEAM CONSULTING OFDA-IRA SERVICIO NACIONAL DE CHOCOLATES SILVIO GIRALDO & ASOCIADOS SMART IT SOLUTIONS WILLIS S.A.

Adems de las anteriores, en Consulta Pblica el Proyecto se puso a consideracin de las siguientes empresas: ABN AMRO SECURITIES COLOMBIA S.A. COMISIONISTA DE BOLSA ACCION SOCIEDAD FIDUCIARIA S.A. AEROVAS DEL CONTINENTE AMERICANO S.A. -AVIANCA S.A.ALIANZA FIDUCIARIA S.A. ALMACENES XITO. ASOCIACIN BANCARIA DE COLOMBIA ASOBANCARIA ASOCIACION COMISIONISTA DE BOLSA. ASOLCOLFLORES AVANTEL. BANCO AV VILLAS BANCO BILBAO VIZCAYA ARGENTARIA BBVA COLOMBIABANCO CAFETERO S.A. -BANCAFBANCO COLPATRIA RED MULTIBANCA COLPATRIA S.A. BANCO DAVIVIENDA S.A. BANCO DE BOGOT.

BANCO DE COMERCIO EXTERIOR DE COLOMBIA S.A. -BANCOLDEXBANCO DE LA REPUBLICA. BANCO DE OCCIDENTE. BANCOLOMBIA BOLSA DE VALORES DE COLOMBIA. BOLSA NACIONAL AGROPECUARIA. CAMARA DE COMERCIO COLOMBO AMERICANA CAMARA DE COMPENSACIN DE DIVIAS DE COLOMBIA S.A. CHAIN VARGAS CITIBANK COLOMBIA. CLUB EL NOGAL COLFONDOS S.A. COMPAIA DE SEGUROS BOLIVAR S.A. CORPORACIN FINANCIERA COLOMBIANA -CORFICOLOMBIANACORPORACIN METROLOGA Y CALIDAD CRUZ ROJA SECCIONAL CUNDINAMARCA Y BOGOT DELIMA MARSH DEPOSITO CENTRALIZADO DE VALORES DE COLOMBIA -DECEVALDIRECCIN DE PLANEACION Y ATENCIN DE EMERGENCIAS -DPAEECOPETROL EMPRESAS PUBLICAS DE MEDELLN -EEPPMENFOQUES INTEGRALES ESCUELA COLOMBIANA DE INGENIERIA FUNDACIN PANAMERICANA PARA EL DESARROLLO -FUPAD-

FUNDACIN PANAMERICANA PARA EL DESARROLLO -FUPAD- WASHINTONG U.S.A. GESVALORES S.A. GIMNASIO LA FONTANA HEWLETT PACKARD HOLCIM DE COLOMBIA IBM INSURANCE SOLUTIONS INTER. IGEN JEQ SOLUCIONES EFECTIVAS KPMG MERCK S.A. MINISTERIO DE HACIENDA NESTLE NEWNET S.A NOVARTIS OCCIDENTAL DE COLOMBIA OCENSA OPTYSYS S.A. PORVERNIR PRAXO LTDA. PROFESIONAL INDEPENDIENTE DIEGO DELGADO PROFESIONAL INDEPENDIENTE JUAN CARLOS LOBO PROFESIONAL INDEPENDIENTE SONIA MOYANO PROPILCO SUMA VALORES S.A., COMISIONISTA DE BOLSA SUPERINTENDECIA FINANCIERA SURTIGAS S.A. E.S.P. UNIVERSIDAD NACIONAL

ICONTEC cuenta con un Centro de Informacin que pone a disposicin de los interesados normas internacionales, regionales y nacionales y otros documentos relacionados. DIRECCIN DE NORMALIZACIN

NORMA TCNICA COLOMBIANA

NTC 5722

CONTENIDO

Pgina

0. 0.1 0.2

INTRODUCCIN ..........................................................................................................1 GENERALIDADES.......................................................................................................1 EL CICLO PLANIFICAR-HACER-VERIFICAR-ACTUAR (PHVA) ..............................2

1.

ALCANCE ....................................................................................................................3

2.

TRMINOS Y DEFINICIONES .....................................................................................4

3.

PLANIFICACIN DEL SISTEMA DE GESTIN DE CONTINUIDAD DEL NEGOCIO.............................................................................................................8 GENERALIDADES.......................................................................................................8 ESTABLECIMIENTO Y GESTIN DEL PROPSITO ................................................8 IMPLEMENTACIN DEL SGCN EN LA CULTURA DE LA ORGANIZACIN.........10 DOCUMENTACIN Y REGISTRO DEL SGCN .........................................................10

3.1 3.2 3.3 3.4

4. 4.1 4.2 4.3 4.4

IMPLEMENTACIN Y OPERACIN DEL SGCN .....................................................12 ENTENDER LA ORGANIZACIN .............................................................................12 DETERMINACIN DE LA ESTRATEGIA DE CONTINUIDAD DEL NEGOCIO .......13 DESARROLLO E IMPLEMENTACIN DE UNA RESPUESTA DEL SGCN ............13 PRUEBAS, MANTENIMIENTO Y REVISIN DE LAS DISPOSICIONES DEL SGCN..........................................................................................................................16

5. 5.1 5.2

SUPERVISIN Y REVISIN DEL SGCN ..................................................................17 AUDITORA INTERNA ...............................................................................................17 REVISIN DEL SSGCN POR LA DIRECCIN .........................................................18

NORMA TCNICA COLOMBIANA

NTC 5722

Pgina

6. 6.1 6.2

MANTENIMIENTO Y MEJORA DEL SGCN ..............................................................19 ACCIONES PREVENTIVAS Y CORRECTIVAS ........................................................19 MEJORA CONTINUA.................................................................................................20

BIBLIOGRAFA......................................................................................................................23

ANEXO A (Informativo) CORRESPONDENCIA CON LAS NORMAS BS EN ISO 9001:200, BS EN 14001:2004, BS ISO/IEC 27001:2005 .......................................................................21

FIGURAS Figura 1. Ciclo PHNA aplicado a los procesos de SGCN ...................................................2 Figura 2. Ciclo de vida de la gestin de la continuidad del negocio .................................3

NORMA TCNICA COLOMBIANA

NTC 5722

GESTIN DE LA CONTINUIDAD DEL NEGOCIO. REQUISITOS

0. 0.1

INTRODUCCIN GENERALIDADES

Esta Norma Tcnica Colombiana especifica los requisitos para preparar y manejar un Sistema eficaz de Gestin de Continuidad del Negocio (SGCN, su sigla en espaol). sta, hace nfasis en la importancia de: a) comprender las necesidades de la continuidad del negocio y la necesidad de establecer la poltica y los objetivos para la continuidad del negocio; implementar y ejecutar controles y medidas para manejar los riesgos generales de la continuidad del negocio de una organizacin. supervisar y revisar el desempeo y la efectividad del SGCN; y la mejora continua con base en la medicin de objetivos.

b)

c) d)

Un SGCN, como cualquier otro sistema de gestin, tiene los siguientes componentes clave: a) b) c) una poltica; personas con responsabilidades definidas; procesos de gestin relacionados con: 1) 2) 3) 4) 5) la poltica; la planificacin la implementacin y ejecucin la evaluacin del desempeo; la revisin por la gerencia; y 1 de 24

NORMA TCNICA COLOMBIANA

6) d) e) la mejora;

NTC 5722

una documentacin que proporcione evidencia auditable; y procesos de aspectos especficos que se relacionen con la continuidad del negocio, como por ejemplo, el anlisis de impacto al negocio (BIA, su sigla en ingls) y el desarrollo del plan de continuidad del negocio.

0.2

EL CICLO PLANIFICAR-HACER-VERIFICAR-ACTUAR (PHVA)

La norma utiliza el ciclo Planificar-hacer-verificar-actuar (PHVA, su sigla en espaol) para establecer, implementar, ejecutar, supervisar, ejercer, mantener y mejorar la efectividad del SGCN de una organizacin. Esto asegura un grado de consistencia con otras normas de sistemas de gestin, como la norma NTC-EN-ISO 9001:2008 (Sistemas de Gestin de Calidad), la NTC-ISO 14001:2004 (Sistemas de Gestin Medioambiental) y la NTC-ISO/IEC 27001:2006 (Sistemas de Gestin de Seguridad de la Informacin), dando as soporte a la implementacin y operacin consistente e integrada con los sistemas de gestin relacionados (vase el Anexo A). En la Figura 1 se ilustra la manera como un SGCN toma como insumos los requisitos y expectativas de las partes interesadas con respecto a la continuidad del negocio y, a travs de las acciones y procesos necesarios, produce los resultados de continuidad del negocio (es decir, la continuidad del negocio gestionada) que satisface esos requisitos y expectativas.

Mejora continua del sistema de gestin de la continuidad del negocio

Partes interesadas

Establecen

Partes interesadas

Mantienen y mejoran

Implementan y ejecutan

Requisitos y expectativas de la continuidad del negocio

Supervisan y revisan

Continuidad del negocio gestionada

Figura 1.Ciclo PHVA aplicado a los procesos de SGCN

NORMA TCNICA COLOMBIANA

NTC 5722

Planificar Hacer Verificar

Establecer la poltica de continuidad del negocio, las metas, objetivos, controles, procesos y procedimientos pertinentes a la gestin del riesgo y la mejora de la continuidad del negocio para entregar resultados acordes con las polticas y objetivos generales de una organizacin. Implementar y ejecutar la poltica, los controles, procesos y procedimientos de la continuidad del negocio. Supervisar y revisar el desempeo frente a los objetivos y la poltica de continuidad del negocio, reportar los resultados a la gerencia para su revisin, y determinar y autorizar las acciones destinadas a remediar y mejorar. Mantener y mejorar el SGCN tomando acciones preventivas y correctivas, con base en los resultados de la revisin por la gerencia y reconsiderando el alcance del SGCN y la poltica y objetivos de la continuidad de negocio.

Actuar

Un enfoque ampliamente aceptado que incorpora el ciclo PHVA dentro de cada actividad est recomendado en la GTC 176 y se resume en la Figura 2. Este proceso reiterativo asegura que la continuidad del negocio est establecida y continuamente gestionada en una organizacin (para conocer una explicacin de cada elemento del ciclo de gestin de continuidad del negocio, vase la Gua Tcnica Colombiana GTC 176).

GCN en la cultura o del rga niz in c ac a nt ion pla a m

Comprender la organizacin

Mejora continua del sistema de gestin de la continuidad del negocio

l
Partes interesadas Establecen Partes interesadas

Ejercer, mantener y revisar

Gestin del programa GCN

Determinar la estrategia del GCN Mantienen y mejoran Implementan y ejecutan

Desarrollar e implementar una respuesta de GCN

Requisitos y expectativas de la continuidad del negocio

Supervisan y revisan

Continuidad del negocio gestionada

Elciclo de vida de la contimuidad del negocio representa el funcionamiento continuo del programa de continuidad del negocio dentro de la organizacin

El ciclo PHVA es el medio de asegurar que la continuidad del negocio est siendo gestionada y mejorada eficazmente. El ciclo PHVA se aplica a todas las partes del ciclo de vida del GCN.

Figura 2.Ciclo de vida de la gestin de la continuidad del negocio

1.

ALCANCE

Esta Norma tcnica Colombiana especifica los requisitos para planificar, establecer, implementar, operar, supervisar, revisar, ejercer, mantener y mejorar un Sistema de Gestin de Continuidad del Negocio (SGCN, su sigla en Espaol, BCMS, su sigla en ingles), documentado dentro del contexto de la gestin de los riesgos generales del negocio de una organizacin. Los requisitos especificados en esta norma son genricos y estn destinados a ser aplicables a todas las organizaciones (o a una parte de ellas), independientemente del tipo, tamao y naturaleza de la organizacin. La extensin de la implementacin de estos requisitos depende del entorno y la complejidad en que sta opera.

NORMA TCNICA COLOMBIANA

NTC 5722

Esta norma no pretende dar uniformidad a la estructura de un SGCN, sino que una organizacin disee un SGCN que sea apropiado a sus necesidades y que cumpla con los requerimientos de las partes interesadas. Estas necesidades estn conformadas por los requisitos regulatorios, del cliente y del negocio, los productos y servicios, los procesos empleados, el tamao y estructura de la organizacin y los requerimientos de sus partes interesadas. Esta norma tcnica Colombiana puede ser utilizada por las partes internas y externas, incluidos los organismos de certificacin, a fin de evaluar la capacidad de una organizacin para cumplir con sus necesidades en cuanto a la continuidad del negocio, as como las necesidades de cualquier cliente, o las legales o regulatorias. El cumplimiento de esta Norma tcnica Colombiana no exime a las organizaciones del cumplimiento frente a las obligaciones legales.

2.

TRMINOS Y DEFINICIONES

Para los propsitos de esta norma tcnica Colombiana se aplican las siguientes definiciones y algunas de las incluidas en la GTC 176. 2.1 Actividad. Proceso o conjunto de procesos emprendidos por una organizacin (o por una entidad en su nombre) que producen o dan soporte a uno o ms productos o servicios.
NOTA Ejemplos de dichos procesos incluyen rea financiera, soporte a clientes, sistemas de informacin produccin y distribucin.

2.2 Auditora. Proceso sistemtico, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditora.
NOTA 1 Las auditorias internas, denominadas en algunos casos como auditorias de primera parte, se realizan por o en nombre de, la propia organizacin, para la revisin por la direccin y con otros fines internos, y pueden constituir la base para una autodeclaracin de conformidad de una organizacin. En muchos casos particularmente en organizaciones pequeas, la independencia puede demostrarse al estar libre el auditor de responsabilidades en la actividad que se audita.

[NTC ISO 19011:2002] 2.3 Continuidad del negocio. Capacidad estratgica, tctica y operativa de la organizacin para planificar y responder ante incidentes e interrupciones del negocio para continuar las operaciones de negocio en un nivel aceptable predefinido 2.4 Gestin de continuidad del negocio (SGCN). Proceso holstico y sistemtico de la organizacin por medio del cual se identifican impactos potenciales que pueden amenazar la continuidad del negocio y provee un marco de referencia para establecer y desarrollar estrategias pro-activas, construir respuestas eficaces y eficientes con la flexibilidad y la capacidad necesarias para salvaguardar los intereses de las diferentes partes interesadas, (Stakeholders), la gobernabilidad, la reputacin, la imagen y las actividades de creacin de valor de una organizacin.
NOTA La gestin de la continuidad del negocio involucra la gestin de la recuperacin o continuacin de las actividades del negocio en caso de una interrupcin del mismo, y la gestin del programa general a travs de entrenamiento, ejercicios, pruebas y revisiones, para asegurar que el plan (o los planes) de continuidad del negocio se mantengan vigentes y actualizados.

NORMA TCNICA COLOMBIANA

NTC 5722

2.5 Ciclo de vida de la gestin de continuidad del negocio. La serie de actividades de la continuidad del negocio, que en conjunto cubren todos los aspectos y fases del programa de gestin de continuidad del negocio.
NOTA El ciclo de vida de la gestin de continuidad del negocio se ilustra en la Figura 2.

2.6 Personal de la gestin de continuidad del negocio. Son las personas que tienen asignados roles y responsabilidades en el SGCN. 2.7 Programa de gestin de continuidad del negocio. Proceso continuo de gestin y gobierno apoyado por la alta direccin y con la apropiada asignacin de recursos para que se tomen las medidas necesarias para identificar el impacto de las prdidas potenciales, mantener estrategias y planes de recuperacin viables, as como la continuidad de los productos y servicios a travs del entrenamiento, el ejercicio, pruebas, mantenimiento y revisin. 2.8 Respuesta al Incidente. Elemento del SGCN relacionado con el desarrollo e implementacin de los planes y las disposiciones apropiados para la continuidad de las actividades esenciales as como de la gestin del incidente. 2.9 Sistema de gestin de la continuidad del negocio (SGCN). La parte del sistema de gestin general que establece, implementa, opera, supervisa, revisa, mantiene y mejora la continuidad del negocio.
NOTA El sistema de gestin incluye estructura organizacional, polticas, actividades de planificacin, responsabilidades, procedimientos, procesos y recursos.

2.10 Plan de continuidad del negocio (BCP::). Conjunto documentado de procedimientos e informacin que se desarrolla, compila y mantiene disponible para usar en un incidente a fin de permitir a una organizacin continuar ejerciendo sus actividades crticas a un nivel predefinido aceptable. 2.11 Estrategia de continuidad del negocio. Planteamiento estratgico adoptado por una organizacin para asegurar su recuperacin y continuidad ante un evento, o incidente de interrupcin del negocio. 2.12 Anlisis de impacto al negocio (BIA::). Proceso de anlisis del impacto que una interrupcin causa sobre las funciones del negocio. 2.13 Consecuencia. Resultado de un incidente el cual tendr un impacto en los objetivos de una organizacin.
NOTA 1 NOTA 2 Puede haber una gama de consecuencias de un incidente. Una consecuencia puede ser cierta o incierta y puede tener impacto positivo o negativo en los objetivos.

2.14 Anlisis de costo-beneficio. Tcnica financiera que mide el costo de implementar una determinada solucin y lo compara con el beneficio entregado por esa solucin.
NOTA El beneficio puede definirse en trminos financieros, de reputacin, de prestacin de servicios, regulatorios u otros apropiados a la organizacin.

2.15 Actividades crticas. Las actividades que tienen que realizarse para entregar los productos y servicios esenciales que permiten a una organizacin cumplir con sus objetivos ms importantes y sensibles al tiempo.

NORMA TCNICA COLOMBIANA

NTC 5722

2.16 Interrupcin. Evento, ya sea previsto (por ejemplo, una huelga laboral o un huracn) o imprevisto (por ejemplo, un apagn elctrico o un terremoto) que causa una desviacin negativa no planificada con respecto a la entrega esperada de productos o servicios de acuerdo con los objetivos de la organizacin. 2.17 Prueba. Actividad en la que se ensaya el plan (o los planes) de continuidad del negocio en parte o en su totalidad para asegurar que el plan (o los planes) contienen la informacin apropiada y producen el resultado deseado cuando se pone en efecto.
NOTA Una prueba puede involucrar el uso de los procedimientos de continuidad del negocio, pero su principal finalidad es simular un incidente de continuidad del negocio, anunciado o no anunciado, en el que los participantes desempean un rol para evaluar qu problemas pueden surgir, antes de una activacin real.

2.18 Ganancia. Consecuencia positiva 2.19 Impacto. La consecuencia evaluada de un resultado particular 2.20 Incidente. Situacin que podra ser o llevar a una interrupcin, prdida, emergencia o crisis del negocio 2.21 Plan de gestin del incidente (IMP). Plan de accin claramente definido y documentado para usar en el momento de ocurrencia de un incidente, y que comnmente cubre el personal, los recursos, servicios y acciones importantes que se necesitan para implementar el proceso de gestin del incidente 2.23 Activacin. Acto de declarar que el plan de continuidad del negocio de una organizacin necesita ponerse en ejecucin para continuar la entrega de sus principales productos o servicios 2.24 Probabilidad. Posibilidad de que algo ocurra, ya sea definido, medido o estimado objetiva o subjetivamente, o en trminos de descriptores generales (como raro, improbable, probable, casi cierto), frecuencias o probabilidades matemticas.
NOTA 1 La probabilidad puede expresarse cualitativa o cuantitativamente.

NOTA 2 La palabra probabilidad puede usarse como traduccin de Likelihood en algunos idiomas diferentes al ingls que no tienen ningn equivalente directo. Debido a que probabilidad suele interpretarse ms formalmente en ingls (Likelihood) como un trmino matemtico, dicho trmino se emplea a lo largo de esta norma con la intencin de que se le d la misma interpretacin amplia que a probabilidad.

2.25 Prdida. Consecuencia negativa 2.26 Sistema de gestin. Sistema para establecer la poltica y los objetivos y para lograr dichos objetivos
NOTA Un sistema de gestin de una organizacin podra incluir diferentes sistemas de gestin, tales como un sistema de gestin de calidad, un sistema de gestin financiera o un sistema de gestin ambiental.

[NTC ISO 9000:2005] 2.27 Perodo tolerable mximo de interrupcin. Duracin despus de la cual la viabilidad de una organizacin estar irrevocablemente amenazada si no puede reasumirse la entrega de productos y servicios 2.28 No conformidad. Falta de cumplimiento de un requisito 6

NORMA TCNICA COLOMBIANA

NTC 5722

[NTC ISO 9000:2008, 3.6.2; NTC ISO 14001:2004, 3.15] 2.29 Organizacin. Conjunto de personas e instalaciones con una disposicin de responsabilidades, autoridades y relaciones.
EJEMPLO Compaa, corporacin, firma, empresa, institucin, unipersonal, asociacin o parte de una combinacin de las anteriores. NOTA 1 NOTA 2 Dicha disposicin es generalmente ordenada Una organizacin puede ser pblica o privada. institucin de beneficencia,empresa

[NTC-ISO 9000:2008] 2.30 Proceso. Conjunto de actividades que estn interrelacionadas o que interactan, las cuales transforman elementos de entrada en resultados
NOTA 1 Los elementos de entrada de un proceso son generalmente resultados de otros procesos.

NOTA 2 Los procesos de una organizacin son generalmente planificados y puestos en prctica bajo condiciones controladas para aportar valor. NOTA 3 Un proceso en el cual la conformidad del producto resultante no pueda ser fcil o econmicamente verificada, se denomina habitualmente proceso especial.

[NTC-ISO 9000:2008] 2.31 Productos y servicios. Resultados beneficiosos proporcionados por una organizacin a sus clientes, destinatarios y accionistas; por ejemplo, artculos manufacturados, seguro del automvil, cumplimiento de regulaciones y servicio comunitario. 2.32 Tiempo objetivo de recuperacin. El tiempo establecido para reanudar la entrega de productos, servicios o actividades despus de ocurrir un incidente.
NOTA El tiempo objetivo de recuperacin tiene que ser menor que el perodo tolerable mximo de interrupcin.

2.34 Recursos. La totalidad de activos, personas, habilidades, informacin, tecnologa (incluyendo planta y equipo), premisas, y suministros e informacin (ya sea electrnica o no) que una organizacin debe tener disponible para uso, cuando se necesite, para operar y cumplir con sus objetivos 2.35 Riesgo. Efecto de la incertidumbre en el logro de los objetivos.
NOTA 1 NOTA 2 En esta norma el concepto de riesgo se limita, a los riesgos de interrupcin del negocio. Efecto es la desviacin de lo esperado negativo o positivo.

NOTA 3 Los objetivos pueden tener diferentes aspectos (como financieros, de salud y seguridad, y metas ambientales) y pueden aplicarse en diferentes niveles (como estratgicos, organizacionales, de proyectos, productos y procesos) NOTA 4 El riesgo a menudo se caracteriza por hacer referencia a eventos potenciales y sus consecuencias o una combinacin de estas. NOTA 5 El riesgo se expresa a menudo en trminos de una combinacin de las consecuencias de un evento (incluidos los cambios en las circunstancias) y es asociada a la probabilidad de que ocurra. NOTA 6 La incertidumbre es el estado, incluso parcial, de deficiencia de la informacin relativa a, el entendimiento o el conocimiento de un evento, su consecuencia, o su probabilidad.

NORMA TCNICA COLOMBIANA

NTC 5722

2.36 Evaluacin del riesgo. Proceso general de identificacin, anlisis y evaluacin del riesgo. 2.37 Gestin del riesgo. Desarrollo estructurado y aplicacin de cultura, poltica, procedimientos y prcticas de gestin, a las etapas de identificacin, anlisis, evaluacin y tratamiento del riesgo. 2.38 Partes interesadas. Cualquier persona u organizacin que puede afectar o ser afectada, o percibirse a si misma como afectada por una decisin o actividad de la organizacin.
NOTA Una persona con autoridad para tomar decisiones puede ser una parte Interesada.

2.39 Sistema. Conjunto de elementos interrelacionados o que interactan. [NTC ISO 9000:2005] 2.40 Alta direccin. Persona o grupo de personas que dirigen y controlan una organizacin al nivel ms alto. [NTC ISO 9000:2005]
NOTA La gerencia general, sobre todo en una organizacin multinacional grande, podra no estar involucrada directamente; sin embargo, la responsabilidad de la gerencia general a travs de la cadena de mando es manifiesta. En una organizacin pequea, la gerencia general podra ser el dueo o el solo propietario.

3. 3.1

PLANIFICACIN DEL SISTEMA DE GESTIN DE CONTINUIDAD DEL NEGOCIO GENERALIDADES

La organizacin debe desarrollar, implementar, mantener y mejorar continuamente un SGCN documentado de acuerdo con lo indicado en los numerales 3.2 al 3.4. 3.2 ESTABLECIMIENTO Y GESTIN DEL SGCN

PROPSITO Definir los lmites del SGCN, y asegurar que los objetivos estn claramente definidos, sean entendidos y comunicados, que se demuestre el compromiso de la alta direccin con la GCN, que se asignen recursos y que las personas con responsabilidades con respecto a la SGCN sean competentes para desempear sus funciones. 3.2.1 Alcance y objetivos del SGCN

3.2.1.1 La organizacin debe definir el alcance del SGCN y establecer los objetivos de continuidad del negocio, con la debida consideracin a: a) b) c) d) e) los requisitos para la continuidad del negocio; los objetivos y obligaciones organizacionales; el nivel aceptable de riesgo; los deberes estatutarios, regulatorios y contractuales; y los intereses de sus partes interesadas 8

NORMA TCNICA COLOMBIANA

NTC 5722

3.2.1.2 La organizacin debe identificar los principales productos y servicios dentro del alcance del SGCN 3.2.2 Poltica del SGCN

3.2.2.1 La alta direccin debe establecer y demostrar el compromiso con una poltica de gestin de continuidad del negocio. 3.2.2.2 La poltica debe incluir o har referencia a: a) b) los objetivos de continuidad de negocio de la organizacin; y el alcance de la continuidad del negocio, incluyendo las limitaciones y exclusiones.

3.2.2.3 La poltica debe ser: a) b) aprobada por la alta direccin; y comunicada a todas las personas que trabajan para la organizacin o en nombre de ella; y revisada a intervalos planificados y cuando ocurran cambios significativos Provisin de recursos

c) 3.2.3

3.2.3.1 La organizacin debe determinar y proporcionar los recursos necesarios para establecer, implementar, operar y mantener el SGCN. 3.2.3.2 Las funciones, roles, responsabilidades, competencias y autoridades del SGCN deben ser definidas y documentadas. 3.2.3.3 La alta direccin debe: a) designar o nombrar una persona de rango, experiencia y autoridad apropiada que se responsabilice de la poltica y la implementacin del SGCN y; designar una o ms personas que, independientemente responsabilidades, implementen y mantengan el SGCN. Competencia del personal del SGCN de las dems

b)

3.2.4

La organizacin debe asegurarse de que todo el personal al que se asignen las responsabilidades de continuidad del negocio sea competente: a) b) determinando las competencias necesarias para dicho personal; efectuando anlisis de necesidades de formacin y entrenamiento para el personal al que se asignen roles, funciones y responsabilidades del SGCN; proporcionar formacin y entrenamiento; asegurndose de que se ha logrado la competencia necesaria; y

c) d)

NORMA TCNICA COLOMBIANA

e)

NTC 5722

manteniendo registros acerca de educacin, entrenamiento, habilidades, experiencia y calificaciones. IMPLEMENTACION DEL SGCN EN LA CULTURA DE LA ORGANIZACIN

3.3

PROPSITO Asegurarse de que la organizacin implementa la continuidad del negocio en sus actividades y procesos de gestin, independientemente de su tamao o del sector en el que opera. Para asegurarse de que el SGCN se vuelva parte de su cultura y de la gestin, la organizacin debe: a) aumentar, reforzar y mantener el nivel de conciencia y compromiso a travs de un programa continuo de educacin e informacin del SGCN para todos en la organizacin y establecer un proceso para evaluar la eficacia de la generacin de conciencia y compromiso sobre el SGCN; y comunicar a toda la organizacin la importancia de: 1) 2) 3) c) el cumplimiento con los objetivos de la gestin de continuidad del negocio; el cumplimiento a la poltica de continuidad del negocio; y la mejora continua; y

b)

asegurar que toda la organizacin sea consciente de la manera en que contribuyen al logro de los objetivos de continuidad del negocio DOCUMENTACIN Y REGISTROS DEL SGCN

3.4

PROPSITO Proporcionar evidencia clara del funcionamiento eficaz del SGCN y de la implementacin del SGCN de la organizacin. 3.4.1 Generalidades

3.4.1.1 La organizacin debe documentar los siguientes aspectos del SGCN: a) b) c) d) el alcance y objetivos del SGCN y los procedimientos (vase el numeral 3.2.1); la poltica del SGCN (vase el numeral 3.2.2); la provisin de recursos (vase el numeral 3.2.3); la competencia del personal del SGCN y los registros de formacin y entrenamiento asociados (vase el numeral 3.2.4); el anlisis de impacto al negocio (vase el numeral 4.1.1); la evaluacin del riesgo (vase el numeral 4.1.2); la estrategia de continuidad del negocio (vase el numeral 4.2); 10

e) f) g)

NORMA TCNICA COLOMBIANA

h) i)

NTC 5722

la estructura de la respuesta al incidente (vase el numeral 4.3.2); los planes de continuidad del negocio y los planes de gestin del incidente (vase el numeral 4.3.3); la prueba del SGCN (vase el numeral 4.4.2); el mantenimiento y revisin de las disposiciones del SGCN (vase el numeral 4.4.3); la auditora interna (vase el numeral 5.1); la revisin por la direccin del SGCN (vase el numeral 5.2); las acciones preventivas y correctivas (vase el numeral 6.1); y la mejora continua (vase el numeral 6.2).

j) k) l) m) n) o)

3.4.1.2 Se debe establecer, mantener y controlar los registros para proporcionar evidencia del funcionamiento eficaz del SGCN. 3.4.1.3 Se debe establecer procedimientos documentados para identificar los controles sobre la documentacin y registros del SGCN. 3.4.2 Control de registros del SGCN

Se debe establecer controles sobre los registros del SGCN para: a) b) 3.4.3 asegurarse de que permanezcan legibles, fcilmente identificables y recuperables; y permitir su identificacin, almacenamiento, proteccin y recuperacin. Control de la documentacin del SGCN

Se debe establecer controles sobre la documentacin del SGCN para asegurar que: a) b) c) d) los documentos sean aceptados en su adecuacin antes de emitirlos; los documentos se revisen y actualicen como se requiere y se reaprueben; se identifiquen los cambios y el estado de la revisin actual de documentos; las versiones vigentes de los documentos aplicables estn disponibles en los sitios de uso; se identifiquen los documentos de origen externo y se controle su distribucin; y prevenir el uso de documentos obsoletos y que dichos documentos se identifiquen adecuadamente si se retienen para cualquier propsito.

e) f)

11

NORMA TCNICA COLOMBIANA

4. 4.1

NTC 5722

IMPLEMENTACIN Y OPERACIN DEL SGCN ENTENDIENDO LA ORGANIZACIN

PROPSITO Permitir a la organizacin identificar las actividades crticas y los recursos necesarios para apoyar sus principales productos y servicios, entender las amenazas a que estn expuestos y escoger los tratamientos apropiados del riesgo. 4.1.1 Anlisis de impacto al negocio

4.1.1.1 Debe existir un mtodo definido, documentado y apropiado para determinar el impacto de toda interrupcin de las actividades que dan soporte a los principales productos y servicios de la organizacin (vase el numeral 3.2.1). 4.1.1.2 La organizacin debe: a) b) identificar las actividades que dan soporte a sus principales productos y servicios; identificar los impactos resultantes de la interrupcin sobre estas actividades, as como su variacin en el tiempo; establecer el perodo mximo tolerable de interrupcin para cada actividad identificando: 1) el mximo periodo de tiempo despus del inicio de una interrupcin dentro del cual debe reanudarse cada actividad; el nivel mnimo en que debe desempearse cada actividad al reanudarse; Perodo de tiempo dentro de la cual deben reanudarse los niveles normales de funcionamiento;

c)

2) 3)

d)

categorizar sus actividades segn su prioridad para recuperar e identificar sus actividades crticas; identificar todos los procesos pertinentes a las actividades crticas, incluyendo aquellas realizadas por terceros . para los terceros de quienes dependen las actividades crticas, determinar qu componentes del SGCN han sido implementados para los productos y servicios que ellos proporcionan; establecer el tiempo objetivo de recuperacin para reanudar las actividades crticas dentro de su perodo mximo tolerable de interrupcin; y estimar los recursos que cada actividad crtica requerir para reanudar sus funciones. Evaluacin del riesgo

e)

f)

g)

h) 4.1.2

4.1.2.1 Debe existir un mtodo de anlisis de riesgo definido, documentado y apropiado que permita a la organizacin entender las amenazas y vulnerabilidades de sus actividades crticas y recursos de soporte incluyendo los proporcionados por los proveedores y subcontratistas. 12

NORMA TCNICA COLOMBIANA

NTC 5722

4.1.2.2 La organizacin debe entender el impacto que podra producirse si una amenaza identificada se convirtiera en un incidente y causara una interrupcin del negocio. 4.1.3 Seleccin de opciones

4.1.3.1 Para cada una de sus actividades crticas, la organizacin debe identificar los tratamientos de riesgo disponibles que: a) b) c) reduzcan la probabilidad de una interrupcin; diminuyan el perodo de interrupcin; y limiten el impacto de una interrupcin en los principales productos y servicios de la organizacin.

4.1.3.2 La organizacin debe escoger e implementar los tratamientos del riesgo apropiados para cada actividad crtica de acuerdo con su nivel de aceptacin del riesgo. 4.2 DETERMINACIN DE LA ESTRATEGIA DE CONTINUIDAD DEL NEGOCIO

PROPSITO Identificar las disposiciones del SGCN que permitirn a la organizacin recuperar sus actividades crticas dentro de su tiempo objetivo de recuperacin. La organizacin debe: a) definir una estructura de respuesta al incidente adecuada, predefinida y documentada que permita una respuesta eficaz y la recuperacin ante las interrupciones; determinar cmo se recuperar cada actividad crtica dentro de su tiempo objetivo de recuperacin y las disposiciones del GCN, basado en los resultados del BIA, incluyendo los recursos requeridos para reasumir las funciones y los productos y servicios proporcionados por los proveedores y subcontratistas. determinar cmo gestionar las relaciones con sus principales partes interesadas y externos involucrados en la recuperacin. DESARROLLO E IMPLEMENTACIN DE UNA RESPUESTA DEL SGCN

b)

c)

4.3

PROPSITO Habilitar la organizacin para desarrollar e implementar los planes apropiados y disposiciones del SGCN para manejar cualquier incidente y continuar sus actividades crticas. 4.3.1 Generalidades

La organizacin debe emplear los resultados que se mencionan en el numeral 4.2 para desarrollar e implementar los planes y disposiciones apropiados para asegurar la continuidad de las actividades crticas y la gestin de un incidente.

13

NORMA TCNICA COLOMBIANA

4.3.2

NTC 5722

Estructura de la respuesta al incidente

4.3.2.1 La organizacin debe designar el personal de respuesta al incidente con la responsabilidad, autoridad y competencia necesarias para gestionar un incidente. 4.3.2.2 La estructura de la respuesta al incidente debe disponer de personal para: a) b) c) confirmar la naturaleza y magnitud de un incidente; dar inicio a la respuesta al incidente; tener planes, procesos y procedimientos para la activacin, operacin, coordinacin y comunicacin de la respuesta al incidente; Contar con los recursos disponibles para apoyar los planes, procesos y procedimientos para manejar un incidente; y comunicar a las partes interesadas. Planes de continuidad del negocio y planes de gestin del incidente

d)

e) 4.3.3

4.3.3.1 La organizacin debe contar con planes documentados que detallen cmo la organizacin gestionar un incidente y cmo recuperar o mantendr sus actividades a un nivel predeterminado en caso de que ocurra una interrupcin. 4.3.3.2 Cada plan debe: a) b) c) tener un propsito y un alcance definidos; ser accesible a quienes van a usarlo y ser entendido por ellos; tener propietarios identificados, nombrado(s), para que sean responsables de su revisin, actualizacin y aprobacin; y estar alineado con las planes de contingencia externos pertinentes a la organizacin.

d)

4.3.3.3 Los planes deben contener en conjunto: a) b) c) lneas de comunicaciones identificadas; informacin sobre las tareas principales y de referencia; roles y responsabilidades definidos para las personas y equipos que tienen autoridad durante un incidente y luego del mismo; pautas y criterios considerando cules individuos tienen autoridad para activar cada plan y bajo qu circunstancias; un mtodo por el cual activa cada plan; lugares de reunin con alternativas, contacto actualizado y detalles de la movilizacin para todas la agencias, organizaciones y recursos pertinentes que puedan ser necesarios para dar soporte a la respuesta; 14

d)

e) f)

NORMA TCNICA COLOMBIANA

g) h)

NTC 5722

un proceso de retorno a la normalidad una vez que el incidente ha sido solucionado; una referencia de datos de contacto esenciales para todas las principales partes interesadas; los detalles para gestionar las consecuencias inmediatas de una interrupcin del negocio considerando: 1) 2) 3) el bienestar de las personas; las opciones estratgicas y operacionales para responder a la interrupcin; y la prevencin de prdidas posteriores o la no disponibilidad de las actividades crticas;

i)

j)

los detalles para gestionar un incidente, incluyendo: 1) 2) la provisin para la gestin de problemas durante un incidente; y los procesos para permitir la continuidad y la recuperacin de las actividades crticas;

k)

los detalles sobre cmo y bajo qu circunstancias la organizacin se comunicar con los empleados y sus parientes, las principales partes interesadas y los contactos de emergencia; Los detalles de la respuesta de la organizacin ante los medios de comunicacin luego de un incidente, incluyendo: 1) 2) 3) La estrategia de comunicaciones del incidente; Canales de comunicacin preferidos con los medios; El guin o plantilla para la redaccin de una declaracin para los medios de comunicacin; y los voceros apropiados;

l)

4) m)

un mtodo para registrar la informacin principal sobre el incidente, las acciones emprendidas y las decisiones tomadas; los detalles de las acciones y tareas que deben realizarse; los detalles de los recursos que se requieren para la continuidad del negocio y la recuperacin del negocio en diferentes momentos; y objetivos priorizados en trminos de las actividades crticas que se va a recuperar, las escalas de tiempo en que se van a recuperar y los niveles de recuperacin necesarios para cada actividad crtica.

n) o)

p)

15

NORMA TCNICA COLOMBIANA

4.4

NTC 5722

PRUEBAS, MANTENIMIENTO Y REVISIN DE LAS DISPOSICIONES DEL SGCN

PROPSITO Verificar la efectividad continua de las disposiciones del SGCN y proporcionar luego de un incidente un mayor aseguramiento de que las actividades crticas se recuperarn como se requiere. 4.4.1 Generalidades

La organizacin debe asegurarse que las disposiciones de su SGCN estn validadas por el ejercicio y la revisin, y que se mantengan actualizadas. 4.4.2 Pruebas del SGCN

4.4.2.1 La organizacin debe probar sus planes y acciones de SGCN para asegurarse de que cumplen con los requisitos del negocio. 4.4.2.2 La organizacin debe: a) b) desarrollar pruebas que sean consistentes con el alcance del SGCN; tener un programa aprobado por la gerencia general para asegurarse de que las pruebas se lleven a cabo a intervalos planificados y cuando ocurran cambios significativos; realizar un rango de diferentes pruebas que en conjunto validen la totalidad de sus disposiciones de continuidad del negocio; planear pruebas de forma que se minimice el riesgo de que ocurra un incidente como consecuencia directa de la prueba; definir los propsitos y objetivos de cada prueba; efectuar una revisin posterior a cada prueba que evale el logro de los propsitos y objetivos del ejercicio; y producir un informe escrito del prueba, su resultado y retroalimentacin, incluyendo las medidas que deben tomarse. Mantenimiento y revisin de las disposiciones del SGCN

c)

d)

e) f)

g)

4.4.3

4.4.3.1 La organizacin debe, a intervalos definidos, revisar las disposiciones de su SGCN para asegurar su continua conveniencia, adecuacin y efectividad. 4.4.3.2 La organizacin debe asegurarse de que su capacidad e idoneidad de continuidad del negocio se revise a intervalos planificados y cuando ocurran cambios significativos, para asegurar su continua conveniencia, adecuacin y efectividad. 4.4.3.3 La revisin de las disposiciones del SGCN debe llevarse a cabo peridicamente a travs de autoevaluacin o de auditora.

16

NORMA TCNICA COLOMBIANA

NTC 5722

4.4.3.4 En caso de que ocurra un incidente como resultado de la activacin del BCP o del IMP (PMI), debe llevarse a cabo una revisin posterior al incidente para: a) b) c) identificar la naturaleza y la causa del incidente; evaluar la pertinencia de la respuesta de la direccin; evaluar la efectividad de la organizacin en el cumplimiento de sus tiempos objetivo de recuperacin; evaluar la pertinencia de las disposiciones del SGCN en la preparacin de los empleados para dar respuesta al incidente; e identificar las mejoras que deben hacerse a las disposiciones del SGCN.

d)

e)

5.

SUPERVISIN Y REVISIN DEL SGCN

PROPSITO Asegurar que la direccin supervise y revise la efectividad y eficacia del SGCN, revise la idoneidad de la poltica de continuidad del negocio, objetivos y alcance, y determine y autorice las acciones para remediar y mejorar. 5.1 AUDITORA INTERNA

NOTA La auditora interna del SGCN es distinta de la autoevaluacin o de las disposiciones de auditora del SGCN especificadas en el numeral 4.4.3.3 (vase tambin la Nota a el numeral 2.22).

5.1.1 La organizacin debe asegurarse de que se realicen auditoras internas del SGCN a intervalos planificados para: a) determinar si el SGCN: 1) se ajusta a las disposiciones planificadas para el SGCN, incluyendo los requisitos de esta norma SGCN; y se ha implementado y mantenido apropiadamente; y es eficaz en el cumplimiento de la poltica y objetivos del SGCN de la organizacin; y

2) 3)

b)

proporcionar informacin sobre los resultados de las auditoras a la direccin.

5.1.2 Cualquier programa o programas de auditora se planificarn, establecern, realizarn y mantendrn por la organizacin teniendo en cuenta el BIA, la evaluacin de riesgo, las medidas de control y mitigacin y los resultados de auditoras anteriores. 5.1.3 Se establecern, implementarn y mantendrn procedimiento(s) de auditora que orienten: a) las responsabilidades, competencias y requisitos para planificar y efectuar las auditoras, reportar los resultados y retener los registros asociados; y la determinacin del criterio, alcance, frecuencia y mtodos de la auditora. 17

b)

NORMA TCNICA COLOMBIANA

NTC 5722

5.1.4 La seleccin de auditores y el manejo de las auditoras deber asegurar la objetividad y la imparcialidad del proceso de auditora. 5.2 5.2.1 REVISIN DEL SGCN POR LA DIRECCIN Generalidades

5.2.1.1 La direccin debe revisar el SGCN de la organizacin a intervalos planificados y cuando ocurran cambios significativos para asegurar su continua conveniencia, adecuacin y efectividad. 5.2.1.2 Esta revisin debe evaluar las oportunidades para la mejora y la necesidad de cambios al SGCN, incluyendo la poltica de gestin de continuidad del negocio y los objetivos de la gestin de continuidad del negocio. 5.2.1.3 Los resultados de las revisiones deben documentarse claramente y deben mantenerse los registros correspondientes. 5.2.2 Entradas para la revisin

Las entradas para una revisin por la gerencia deben incluir informacin sobre: a) los resultados de las auditoras y revisiones del SGCN, incluyendo donde corresponda a los principales proveedores y subcontratistas; la retroalimentacin independientes; de las partes interesadas, incluyendo observaciones

b)

c)

las tcnicas, productos o procedimientos que podran usarse en la organizacin para mejorar el desempeo y la efectividad del SGCN; el estado de las acciones preventivas y correctivas; el nivel de riesgo residual y del riesgo aceptable; las vulnerabilidades o amenazas no manejadas adecuadamente en la anterior evaluacin del riesgo; las acciones de seguimiento de las anteriores revisiones por la direccin; cualquier cambio interno o externo que pudiera afectar el SGCN; las recomendaciones para la mejora; los resultados de las pruebas; las buenas prcticas y nuevas guas; las lecciones de los incidentes; y los resultados del programa de educacin, entrenamiento y concientizacin.

d) e) f)

g) h) i) j) k) l) m)

18

NORMA TCNICA COLOMBIANA

5.2.3 Resultado de la revisin

NTC 5722

El resultado de la revisin por la direccin debe incluir cualquier decisin y acciones relacionadas con: a) b) c) la variacin del alcance del SGCN; la mejora de la efectividad del SGCN; la modificacin de la estrategia y los procedimientos del SGCN, segn sea necesario, para responder a los eventos internos o externos que pudieran impactar en el SGCN, incluyendo cambios a: 1) 2) 3) 4) 5) d) e) los requisitos del negocio; los requisitos de resiliencia; los procesos del negocio que afectan los requisitos del negocio existentes; los requisitos estatutarios, regulatorios y contractuales; y los niveles de riesgo y/o niveles de aceptacin de riesgo;

las necesidades de recursos; y los requisitos de financiacin y presupuesto.

6.

MANTENIMIENTO Y MEJORA DEL SGCN

PROPSITO Mantener y mejorar la efectividad y la eficacia del SGCN emprendiendo acciones preventivas y correctivas, segn se determine a partir de la revisin por la gerencia. 6.1 6.1.1 ACCIONES PREVENTIVAS Y CORRECTIVAS Generalidades

6.1.1.1 La organizacin deber mejorar el SGCN a travs de la aplicacin de acciones preventivas y correctivas. 6.1.1.2 Cualquier accin preventiva o correctiva que se emprenda debe ser apropiada a la magnitud de los problemas y estar alineada con la poltica y los objetivos de continuidad del negocio. 6.1.1.3 Los cambios que surjan de las acciones preventivas y correctivas se reflejarn en la documentacin del SGCN. 6.1.2 Accin preventiva

La organizacin debe emprender acciones para protegerse contra no conformidades potenciales a fin de prevenir que ocurran. Las acciones preventivas que se tomen deben ser 19

NORMA TCNICA COLOMBIANA

NTC 5722

apropiadas al impacto de los problemas potenciales. El procedimiento documentado para la accin preventiva debe definir los requisitos para: a) b) c) d) e) identificar las no conformidades potenciales y sus causas; determinar e implementar la accin preventiva necesaria; registrar los resultados de la accin emprendida; revisar la accin preventiva emprendida; identificar los riesgos que han cambiado y asegurar que la atencin se centre en los riesgos que hayan cambiado significativamente; asegurar que todos los interesados estn informados de la posible no conformidad y de la accin preventiva aplicada; y la prioridad de los procesos preventivos basados en los resultados de la evaluacin de riesgo y en el BIA. Accin correctiva

f)

g)

6.1.3

La organizacin debe emprender acciones para eliminar la causa de las no conformidades asociados con la implementacin y operacin del SGCN para prevenir que se repitan. Los procedimientos documentados para la accin correctiva deben definir los requisitos para: a) b) c) identificar cualquier no conformidad; determinar las causas de las no conformidades; evaluar la necesidad de que las acciones aseguren que no se repitan las no conformidades; determinar e implementar la accin correctiva necesaria; registrar los resultados de las acciones emprendidas; y revisar la accin correctiva aplicada. MEJORA CONTINUA

d) e) f) 6.2

La organizacin debe mejorar continuamente la efectividad del SGCN a travs de la revisin de la poltica y los objetivos de continuidad del negocio, los resultados de la auditora, el anlisis de los eventos supervisados, las acciones preventivas y correctivas y la revisin por la direccin.

20

NORMA TCNICA COLOMBIANA

NTC 5722
ANEXO A (Informativo)

CORRESPONDENCIA CON LAS NORMAS NTC-ISO 9001:2008, NTC-ISO 14001:2004, NTC ISO/IEC 27001:2006 La Tabla A.1 muestra la correspondencia entre las normas NTC ISO 9001:2008, NTC-ISO 14001:2004, NTC ISO/IEC 27001:2006 y est Norma Tcnica Colombiana.
Tabla A.1. Correspondencia a est Norma Tcnica Colombiana con otras normas de sistemas de gestin NTC-ISO/IEC 27001:2006 0 Introduccin 0.1 Generalidades 0.2 Enfoque del proceso 0.3 Compatibilidad con otros sistemas de gestin 1 Alcance 1.1 Generalidades 1.2 Aplicacin 2 Referencias normativas 2 Trminos y definiciones 3 Planificacin del SGCN 3.1 Generalidades 3.2 Establecimiento y gestin del SGCN 4 Implementacin y operacin del SGCN 4.1 Comprensin de la organizacin 4.2 Determinacin de la estrategia de continuidad del negocio 4.3 Desarrollo e implementacin de una respuesta del SGCN 4.4 Ejercicio, mantenimiento y revisin de las disposiciones del SGCN 3.4 Documentacin y registros del SGCN 3.4.1 Generalidades 3.4.2 Control de documentacin del SGCN 3.4.3 Control de registros del SGCN 3 Trminos y definiciones NTC-ISO 9001:2008 0 Introduccin 0.1 Generalidades 0.2 Enfoque del proceso 0.3 Relacin con ISO 9004 0.4 Compatibilidad con otros sistemas de gestin 1 Alcance 1.1 Generalidades 1.2 Aplicacin 2 Referencia normativa 3 Trminos y definiciones NTC ISO 14001: 2004

Norma Tcnica Colombiana

Introduccin

Introduccin

1 Alcance

1 Alcance 2 Referencias normativas 3 Trminos y definiciones 4 Requisitos de EMS 4.1 Requisitos generales 4.4 Implementacin y operacin

4 Requisitos del ISMS 4.1 Requisitos generales 4.2 Establecimiento y gestin del ISMS 4.2.1 Establecer el ISMS 4.2.2 Implementar y operar el ISMS 4.2.3 Mantener y mejorar el ISMS 4.3 Requisitos de documentacin 4.3.1 Generalidades 4.3.2 Control de documentos 4.3.3 Control de registros

4 Requisitos de QMS 4.1 Requisitos generales

4.2 Requisitos de documentacin 4.2.1 Generalidades 4.2.2 Manual de calidad 4.2.3 Control de documentos 4.2.4 Control de registros

4.5.1 Supervisin y medicin 4.5.2 No conformidad y accin correctiva y preventiva 4.4.5 Control de documentacin 4.5.3 Registros

21

NORMA TCNICA COLOMBIANA

NTC 5722

Tabla A.1. (Continuacin) Correspondencia al est Norma Tcnica Colombiana con otras normas de sistemas de gestin Proyecto de norma de continuidad del negocio NTC-ISO 27001:2005 NTC-ISO 9001:2000 5 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Enfoque en el cliente 5.3 Poltica de la calidad 5.4 Planificacin 5.5 Responsabilidad, autoridad y comunicacin 6 Gestin de los recursos 6.1 Provisin de recursos 6.2 Recursos humanos 6.2.2 Competencia, conocimiento y entrenamiento 6.3 Infraestructura 6.4 Ambiente de trabajo 5.6 Revisin por la gerencia 5.6.1 Generalidades 5.6.2 Entrada para revisin 5.6.3 Resultado de la revisin 8.2.2 Auditoras internas NTC ISO 14001: 2004

5 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia

4.2 Poltica ambiental 4.3 Planificacin

5.2 Gestin de los recursos 5.2.1 Provisin de recursos 5.2.2 Entrenamiento, conocimiento y competencia 5 Supervisin y revisin del SGCN 5.2 Revisin del SGCN por la gerencia 5.2.1 Generalidades 5.2.2 Entrada para revisin 5.3 Resultado de la revisin 5.1 Auditora interna 6 Mantenimiento y mejora del SGCN 6.1 Acciones preventivas y correctivas 6.2 Mejora continua 6.1.3 Accin correctiva 6.1.2 Accin preventiva

4.2.2 Entrenamiento, conocimiento y competencia

6 Revisin del ISMS por la gerencia 6.1 Generalidades 6.2 Entrada para revisin 6.3 Resultado de la revisin 6.4 Auditoras internas del ISMS

4.6 Revisin por la gerencia 4.5.4 Auditora del SME

7 Mejora del ISMS 7.1 Mejora continua 7.2 Accin correctiva 7.3 Accin preventiva

8 Mejora 8.5.1 Mejora continua 8.5.2 Acciones correctivas 5.5.3 Procesos preventivos

4.5.2 No conformidad y acciones correctiva y preventiva

Anexo A Correspondencia con BS EN ISO 9001:2000, BS ENISO 14001:2004, BS ISO/IEC 27001:2005

Anexo A Objetivos del control y controles Anexo B Pauta del uso de la norma Anexo C Correspondencia entre las diferentes normas de sistemas de gestin

Anexo A Conexiones entre ISO 14001:1996 e ISO 9001:2000

Anexo A Pauta del uso de la especificacin Anexo B Conexiones entre ISO 14001:2004 e ISO 9001:2000

22

NORMA TCNICA COLOMBIANA

NTC 5722
BIBLIOGRAFA

PUBLICACIONES DE NORMAS

GTC 16, Sistema de Gestin de Continuidad del Negocio. NTC-ISO 9000:2005, Sistemas de gestin de Calidad. Fundamentos y Vocabulario NTC-ISO 9001:2008, Sistemas de gestin de Calidad. Requisitos NTC-ISO 14001:2004, Sistemas de Gestin Ambiental. Requisitos con Orientacin Para su Uso. NTC-ISO/IEC 20000-1:2008, Tecnologa de la Informacin. Gestin del servicio. Parte 1: Especificacin. NTC-ISO/IEC 20000-2:2005, Tecnologa de la Informacin. Gestin del servicio parte 2: Cdigo De Practica. NTC-ISO/IEC 27001:2006, Tecnologa de la Informacin. Tcnicas de Seguridad. Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos. BS ISO/IEC 17799:2005, Information Technology. Security Techniques. Code of Practice for Information Security Management. BS ISO/IEC TR 13335-3:1998, Guidelines for the Management of IT Security. Part 3. Techniques for the Management of IT Security. BS ISO/IEC TR 13335-4:2000, Guidelines for the Management of IT Security. Part 4: Selection of Safeguards. ISO/IEC Guide 62:1996, General Requirements for Bodies Operating Assessment and Certification/Registration of Quality Systems. ISO Guide 73:2002, Risk Management Vocabulary. Guidelines for Use in Standards.

OTRAS PUBLICACIONES [1] OECD. OECD Guidelines for the Security of Information Systems and Networks. Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org

23

NORMA TCNICA COLOMBIANA

DOCUMENTO DE REFERENCIA

NTC 5722

BRITISH STANDARDS. Business Continuity Management Part 2: Specification. United Kingdom, 2007, 23 p. (BS 25999-2)

24