Está en la página 1de 38

NORMA NCh-ISO 22301

CHILENA
Primera edición
2013.03.27

Seguridad de la sociedad - Sistemas de


gestión de la continuidad del negocio -
Requisitos

Societal security - Business continuity management systems -


Requirements

Número de referencia
NCh-ISO 22301:2013

© INN 2013
NCh-ISO 22301:2013 NORMA CHILENA

DOCUMENTO PROTEGIDO POR COPYRIGHT


© INN 2013

Derechos de autor:

La presente Norma Chilena se encuentra protegida por derechos de autor o copyright, por lo cual, no puede ser reproducida o utilizada
en cualquier forma o por cualquier medio, electrónico o mecánico, sin permiso escrito del INN. La publicación en Internet se encuentra
prohibida y penada por la ley.

Se deja expresa constancia que en caso de adquirir algún documento en formato impreso, éste no puede ser copiado (fotocopia, digitalización o
similares) en cualquier forma. Bajo ninguna circunstancia puede ser revendida. Asimismo, y sin perjuicio de lo indicado en el párrafo anterior, los
documentos adquiridos en formato .pdf, tiene autorizada sólo una impresión por archivo, para uso personal del Cliente. El Cliente ha comprado una
sola licencia de usuario para guardar este archivo en su computador personal. El uso compartido de estos archivos está prohibido, sea que se
materialice a través de envíos o transferencias por correo electrónico, copia en CD, publicación en Intranet o Internet y similares.

Si tiene alguna dificultad en relación con las condiciones antes citadas, o si usted tiene alguna pregunta con respecto a los derechos de autor, por
favor contacte la siguiente dirección:

Instituto Nacional de Normalización - INN


Matías Cousiño 64, piso 6 • Santiago de Chile
Tel. + 56 2 445 88 00
Fax + 56 2 441 04 29
Correo Electrónico info@inn.cl
Sitio Web www.inn.cl
Publicado en Chile
NORMA CHILENA NCh-ISO 22301:2013

Contenido
Página

Preámbulo ....................................................................................................... iii


0 Introducción .......................................................................................................................................1
0.1 Generalidades ....................................................................................................................................1
0.2 El modelo Planificar-Hacer-Verificar-Actuar (PHVA) .....................................................................2
0.3 Componentes del PHVA en esta norma..........................................................................................3
1 Alcance y campo de aplicación .......................................................................................................4
2 Referencias normativas ....................................................................................................................4
3 Términos y definiciones ...................................................................................................................4
4 Contexto de la organización ..........................................................................................................13
4.1 Entendiendo a la organización y su contexto ..............................................................................13
4.2 Entendiendo las necesidades y expectativas de las partes interesadas ..................................13
4.3 Determinación del alcance del Sistema de Gestión de la Continuidad del Negocio ...............14
4.4 Sistema de Gestión de la Continuidad del Negocio ....................................................................14
5 Liderazgo .........................................................................................................................................14
5.1 Liderazgo y compromiso ................................................................................................................14
5.2 Compromiso de la dirección ..........................................................................................................15
5.3 Política ..............................................................................................................................................16
5.4 Funciones, responsabilidades y autoridades organizacionales ................................................16
6 Planificación ....................................................................................................................................16
6.1 Acciones para abordar los riesgos y las oportunidades ............................................................16
6.2 Objetivos de la continuidad del negocio y forma de alcanzarlos ..............................................17
7 Apoyo ...............................................................................................................................................17
7.1 Recursos ..........................................................................................................................................17
7.2 Competencia ....................................................................................................................................17
7.3 Toma de conciencia ........................................................................................................................18
7.4 Comunicación..................................................................................................................................18
7.5 Información documentada .............................................................................................................18
8 Funcionamiento...............................................................................................................................19
8.1 Planificación y control operacional...............................................................................................19
8.2 Análisis de impacto en el negocio y evaluación del riesgo........................................................20
8.3 Estrategia de la continuidad del negocio .....................................................................................21
8.4 Determinación e implementación de procedimientos de continuidad del negocio .................22
8.5 Examinar y ejercitar ........................................................................................................................25
9 Evaluación de desempeño .............................................................................................................25
9.1 Monitoreo, medición, análisis y evaluación .................................................................................25
9.2 Auditoría interna..............................................................................................................................26
9.3 Revisión por la dirección................................................................................................................27
10 Mejoramiento ...................................................................................................................................29
10.1 No conformidades y acciones correctivas ...................................................................................29
10.2 Mejoramiento continuo ...................................................................................................................29
Anexos
Anexo A (informativo) Bibliografía ............................................................................................................ 30
Anexo B (informativo) Justificación de los cambios editoriales............................................................ 32

© INN 2013 - Todos los derechos reservados i


NCh-ISO 22301:2013 NORMA CHILENA

Seguridad de la sociedad - Sistemas de gestión de la


continuidad del negocio - Requisitos

Preámbulo
El Instituto Nacional de Normalización, INN, es el organismo que tiene a su cargo el estudio y preparación de
las normas técnicas a nivel nacional. Es miembro de la INTERNATIONAL ORGANIZATION FOR
STANDARDIZATION (ISO) y de la COMISION PANAMERICANA DE NORMAS TECNICAS (COPANT),
representando a Chile ante esos organismos.

Esta norma se estudió a través del Comité Técnico Seguridad de la sociedad, para proporcionar requisitos de
implementación de un sistema de gestión de la continuidad del negocio, estableciendo medidas para manejar
incidentes que generan interrupciones y determinar la forma de continuar o recuperar las actividades del
negocio dentro de un plazo predeterminado.

Esta norma es idéntica a la versión en inglés de la Norma Internacional ISO 22301:2012 Societal security -
Business continuity management systems - Requirements.

La Nota Explicativa incluida en un recuadro en Anexo A Bibliografía, es un cambio editorial que se incluye con el
propósito de informar la correspondencia con Norma Chilena de las Normas Internacionales citadas en esta de
norma.

Para los propósitos de esta norma, se han realizado los cambios editoriales que se indican y justifican
en Anexo B.

Los Anexos A y B no forman parte de la norma, se insertan sólo a título informativo.

Si bien se ha tomado todo el cuidado razonable en la preparación y revisión de los documentos normativos
producto de la presente comercialización, INN no garantiza que el contenido del documento es actualizado o
exacto o que el documento será adecuado para los fines esperados por el Cliente.

En la medida permitida por la legislación aplicable, el INN no es responsable de ningún daño directo,
indirecto, punitivo, incidental, especial, consecuencial o cualquier daño que surja o esté conectado con el uso
o el uso indebido de este documento.

Esta norma ha sido aprobada por el Consejo del Instituto Nacional de Normalización, en sesión efectuada
el 27 de marzo de 2013.

ii © INN 2013 - Todos los derechos reservados


NORMA CHILENA NCh-ISO 22301:2013

Seguridad de la sociedad - Sistemas de gestión de la


continuidad del negocio - Requisitos

0 Introducción

0.1 Generalidades

Esta norma especifica requisitos para la preparación y gestión efectiva de un Sistema de Gestión de la
Continuidad del Negocio (SGCN).

Un SGCN enfatiza la importancia de:

‐ Entender las necesidades de la organización y el requisito de establecer las políticas y objetivos de la


gestión de continuidad del negocio,

‐ Implementar y operar controles y medidas para gestionar en toda la organización la capacidad de


manejar los incidentes que interrumpan,

‐ Monitorear y revisar el desempeño y eficacia del SGCN, y

‐ Mejorar continuamente en base a la medición de los objetivos.

Un SGCN, así como cualquier otro sistema de gestión, posee los componentes claves siguientes:

a) una política;

b) personas con responsabilidades definidas;

c) gestión de procesos relativos a:

1) política,

2) planificación,

3) implementación y operación,

4) evaluación del desempeño,

5) revisión de la gestión, y

6) mejoramiento;

d) documentación que provea evidencia auditable; y

e) cualquier proceso de gestión de continuidad del negocio relevante para la organización.

La continuidad del negocio contribuye a una sociedad más resiliente. Puede que sea necesario involucrar en
la recuperación de procesos a toda la comunidad, así como el impacto en el ambiente organizacional y por
ende, en otras organizaciones.

© INN 2013 - Todos los derechos reservados 1


NCh-ISO 22301:2013 NORMA CHILENA

0.2 El modelo Planificar-Hacer-Verificar-Actuar (PHVA)

Esta norma aplica el modelo Planificar-Hacer-Verificar-Actuar (PHVA) para planificar, establecer,


implementar, operar, monitorear, revisar, mantener y mejorar continuamente la eficacia de un SGCN de la
organización.

Esto asegura un grado de consistencia con otras normas de sistema de gestión, tales como ISO 9001
Sistema de gestión de la calidad, ISO 14001 Sistema de gestión ambiental, ISO/IEC 27001 Sistema de
gestión de seguridad de la información, ISO/IEC 20000-1 Tecnología de la información - Gestión del servicio
e ISO 28000 Especificación para los sistemas de gestión de seguridad para la cadena de proveedores; de
este modo apoya consistente e integradamente la implementación y operación con los sistemas de gestión
relacionados.

La Figura 1 muestra como un SGCN considera como entradas a las partes interesadas, requisitos para la
continuidad de la gestión y, a través de las acciones y procesos necesarios, produce continuidad de los
resultados (por ejemplo, gestión de la continuidad del negocio), que cumplen estos requisitos.

Mejoramiento continuo del Sistema de Gestión


de la Continuidad del Negocio (SGCN)

Partes Establecer Partes


Interesadas (Planificar) Interesadas
Requisitos Gestión de la
para la continuidad
continuidad del negocio
del negocio
Mantener y Implementar
mejorar y operar
(Actuar) (Hacer)

Monitorear
y revisar
(Verificar)

Figura 1 - Modelo PHVA aplicado a los procesos SGCN

2 © INN 2013 - Todos los derechos reservados


NORMA CHILENA NCh-ISO 22301:2013

Tabla 1 - Explicación del modelo PHVA

Planificar Establecer políticas de continuidad de negocios, objetivos, metas, controles, procesos y


(Establecer) procedimientos relevantes para mejorar la continuidad del negocio a fin de entregar
resultados que estén alineados con las políticas y objetivos globales de la organización.
Hacer Implementar y operar la política de continuidad del negocio, controles, procesos y
(Implementar y operar) procedimientos.
Verificar Monitorear y revisar el desempeño contra la política y objetivos de continuidad del
(Monitorear y revisar) negocio, informar los resultados a la dirección para su revisión, y para determinar y
autorizar acciones para la remediación y mejoramiento.
Actuar Mantener y mejorar el SGCN tomando acciones correctivas, basado en los resultados de
(Mantener y mejorar) revisión por la dirección y reevaluando el alcance del SGCN y de la política y objetivos de
la continuidad del negocio.

0.3 Componentes del PHVA en esta norma

El modelo Planificar-Hacer-Verificar-Actuar que se muestra en Tabla 1 se aborda desde cláusula 4 hasta


cláusula 10 de esta norma, con los componentes siguientes.

‐ Cláusula 4 es un componente de la Planificación. Introduce los requisitos necesarios para establecer el


contexto del SGCN, como se aplica en la organización, así como las necesidades, requisitos y alcance.

‐ Cláusula 5 es un componente de la Planificación. Resume los requisitos específicos para el rol de la alta
dirección en el SGCN y de cómo el liderazgo articula sus expectativas con la organización mediante la
declaración de una política.

‐ Cláusula 6 es un componente de la Planificación. Describe los requisitos respecto al establecimiento de


los objetivos estratégicos y orienta los principios del SGCN como un todo. El contenido de cláusula 6
difiere de establecer oportunidades de tratamiento del riesgo derivado de la evaluación del riesgo, así
como el análisis de impacto en el negocio (BIA)1) derivado de los objetivos de recuperación.

NOTA Los requisitos del análisis de impacto en el negocio y del proceso de evaluación del riesgo se detallan
en cláusula 8.

‐ Cláusula 7 es un componente de la Planificación. Es apoyo para las operaciones del SGCN en lo que se
refiere al establecimiento de la competencia y la comunicación en forma recurrente / según sea necesaria
con las partes interesadas, mientras se documenta, controla, mantiene y conserva la documentación
requerida.

‐ Cláusula 8 es un componente del Hacer. En él se definen los requisitos de continuidad de negocio,


determina la forma de abordarlos y desarrolla los procedimientos para gestionar un incidente que
interrumpa.

‐ Cláusula 9 es un componente de la Verificación. En él se resumen los requisitos necesarios para medir el


desempeño de la gestión de la continuidad del negocio, el cumplimiento del SGCN con esta norma y las
expectativas de la dirección, y solicita la opinión de la dirección respecto de las expectativas.

‐ Cláusula 10 es un componente del Actuar. Se identifica y actúa sobre la no conformidad del SGCN a
través de la acción correctiva.

1) En inglés: Business Impact Analysis.

© INN 2013 - Todos los derechos reservados 3


NCh-ISO 22301:2013 NORMA CHILENA

1 Alcance y campo de aplicación


Esta norma para la gestión de la continuidad de negocio especifica los requisitos para planificar, establecer,
implementar, operar, monitorear, revisar, mantener y mejorar continuamente un sistema de gestión
documentado para proteger, reducir la probabilidad de ocurrencia, prepararse, responder y recuperarse de
incidentes que interrumpan, cuando éstos ocurren.

Los requisitos especificados en esta norma son genéricos y tienen el propósito de que sean aplicables a
todas las organizaciones o a partes de las mismas, sin importar su tipo, tamaño y naturaleza. El grado de
aplicación de estos requisitos depende del ambiente operativo y de la complejidad de la organización.

No es el propósito de esta norma proporcionar uniformidad a la estructura del Sistema de Gestión de la


Continuidad del Negocio (SGCN), pero una organización que diseña un SGCN, lo debería hacer apropiado
para sus necesidades y cumplir con los requisitos de sus partes interesadas. Estas necesidades están
determinadas por los requisitos legales, regulatorios, organizacionales y de la industria, los productos y
servicios, los procesos empleados, el tamaño y estructura de la organización, y las necesidades de sus
partes interesadas.

Esta norma puede ser aplicada a todo tipo y tamaño de organizaciones que deseen:

a) establecer, implementar, mantener y mejorar un SGCN,

b) asegurar la conformidad con la política de la continuidad del negocio,

c) demostrar conformidad a otros,

d) buscar certificación / registro de su SGCN por un organismo externo de certificación, o

e) realizar una autodeterminación y autodeclaración de conformidad con esta norma.

Esta norma se puede utilizar para evaluar la capacidad de una organización para cumplir con sus propias
necesidades y obligaciones.

2 Referencias normativas
No se citan documentos de referencia. Esta cláusula se incluye con el fin de mantener una numeración de las
cláusulas idénticas con otras Normas Chilenas.

3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones siguientes.

3.1
actividad
proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o apoya uno
o más productos y servicios

EJEMPLO Tales procesos incluyen contabilidad, centro de llamado, tecnología de la información, fabricación,
distribución.

4 © INN 2013 - Todos los derechos reservados


NORMA CHILENA NCh-ISO 22301:2013

3.2
auditoría
proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de
manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría

NOTA 1 Una auditoría puede ser interna (auditoría de primera parte) o externa (auditoría de segunda o tercera parte),
y puede ser combinada (combinación de dos o más disciplinas).

NOTA 2 En ISO 19011 se definen los términos “evidencia de la auditoría" y "criterios de auditoría".

3.3
continuidad del negocio
capacidad de la organización para continuar entregando productos o servicios a niveles aceptables
predefinidos tras un incidente que interrumpa

[Fuente: ISO 22300]

3.4
gestión de la continuidad del negocio
proceso integral de gestión que identifica las amenazas potenciales y sus impactos en las operaciones del negocio,
las cuales de llevarse a cabo, determinan cómo éstas podrían afectar a una organización, y además, proporcionan
un marco para construir la resiliencia organizacional que sea capaz de dar una respuesta eficaz para salvaguardar
los intereses de sus partes interesadas claves, reputación, marca y las actividades que crean valor

3.5
sistema de gestión de la continuidad del negocio
SGCN
parte del sistema general de gestión que establece, implementa, opera, monitorea, revisa, mantiene y mejora
la continuidad del negocio

NOTA El sistema de gestión incluye la estructura organizacional, políticas, actividades de planificación,


responsabilidades, procedimientos, procesos y recursos.

3.6
planificación de la continuidad del negocio
procedimientos documentados que debido a una interrupción, orientan a las organizaciones a responder,
recuperar, reanudar y restaurar a un nivel predefinido de funcionamiento

NOTA Normalmente esto incluye recursos, servicios y actividades necesarias para garantizar la continuidad de las
funciones críticas del negocio.

3.7
programa de continuidad del negocio
proceso continuo de gestión y gobernanza, que para esta norma se define como el sistema por el cual se
toman e implementan decisiones con el fin de lograr objetivos, con apoyo de la alta dirección y con los
recursos adecuados para implementar y mantener la gestión de continuidad del negocio

3.8
análisis de impacto en el negocio
proceso de análisis de las actividades y el efecto que podría tener una interrupción del negocio en dichas
actividades

[Fuente: ISO 22300]

© INN 2013 - Todos los derechos reservados 5


NCh-ISO 22301:2013 NORMA CHILENA

3.9
competencia
aptitud demostrada para aplicar conocimientos y habilidades con el objetivo de obtener los resultados
previstos

3.10
conformidad
cumplimiento de un requisito

[Fuente: ISO 22300]

3.11
mejoramiento continuo
actividad recurrente para aumentar el desempeño

[Fuente: ISO 22300]

3.12
corrección
acción tomada para eliminar una no conformidad detectada

[Fuente: ISO 22300]

3.13
acción correctiva
acción tomada para eliminar la causa de una no conformidad y para prevenir que se vuelva a producir

NOTA Cuando hay resultados indeseables, es necesaria la acción para reducir al mínimo o eliminar las causas y
para reducir el impacto o prevenir que vuelva a suceder. En el sentido de esta definición, tales acciones están
comprendidas en el concepto de “acción correctiva”.

[Fuente ISO 22300]

3.14
documento
información y su medio de soporte

NOTA 1 El medio de soporte puede ser papel, magnético, CD electrónico u óptico, fotografía o muestra maestra, o
una combinación de los mismos.

NOTA 2 Con frecuencia se llama "documentación" a un conjunto de documentos, por ejemplo especificaciones y
registros.

3.15
información documentada
información requerida por una organización que debe ser controlada, mantenida, y contenida en un medio

NOTA 1 La información documentada puede estar en cualquier formato y en cualquier medio de cualquier fuente.

NOTA 2 La información documentada se puede referir a:

- el sistema de gestión, incluyendo los procesos relacionados;

- la información creada para que la organización funcione (documentación);

- la evidencia de los resultados obtenidos (registros).

6 © INN 2013 - Todos los derechos reservados


NORMA CHILENA NCh-ISO 22301:2013

3.16
eficacia
grado en que se realizan las actividades planificadas y se alcanzan los resultados planificados

[Fuente: ISO 22300]

3.17
evento
ocurrencia o cambio de un conjunto particular de circunstancias

NOTA 1 Un evento puede ser único o repetirse, y puede tener varias causas.

NOTA 2 Un evento puede consistir en algo que no llega a suceder.

NOTA 3 Algunas veces, un evento se puede calificar como un “incidente” o un “accidente”.

NOTA 4 Un evento sin consecuencias también se puede calificar como “cuasi accidente”, o “incidente”.

[Fuente: ISO Guía 73]

3.18
ejercicio
proceso para entrenar, evaluar, practicar y mejorar el desempeño en una organización

NOTA 1 Los ejercicios se pueden utilizar para: validación de políticas, planificaciones, procedimientos, capacitación,
equipamiento y acuerdos inter-organizacionales, que explican y capacitan al personal en funciones y responsabilidades,
mejoran la coordinación y comunicación entre las organizaciones, identifican brechas en los recursos, mejoran el desempeño
individual, e identifican oportunidades para la mejora, y la oportunidad controlada para practicar la improvisación.

NOTA 2 Una prueba es un tipo de ejercicio único y particular, que incorpora en la meta u objetivo del ejercicio a
realizar, la expectativa de un elemento de aprobación o rechazo.

[Fuente: ISO 22300]

3.19
incidente
situación que podría ser, o podría dar lugar a, una interrupción, pérdida, emergencia o crisis

[Fuente: ISO 22300]

3.20
infraestructura
sistema de instalaciones, equipos y servicios necesarios para el funcionamiento de una organización

3.21
parte interesada
individuo u organización que puede afectar, ser afectado por, o se perciben a sí mismos afectados, por una
decisión o actividad

NOTA Puede ser un individuo o grupo que tiene interés en cualquier decisión o actividad de una organización.

3.22
auditoría interna
auditoría llevada a cabo por, o en nombre de, la propia organización para la revisión por la dirección y otros
fines internos, y que podrían servir de base para una autodeclaración de conformidad de la organización

NOTA En muchos casos, particularmente en organizaciones pequeñas, la independencia se puede demostrar


mediante la independencia de responsabilidad de la actividad auditada.

© INN 2013 - Todos los derechos reservados 7


NCh-ISO 22301:2013 NORMA CHILENA

3.23
invocación
acto de declaración que la organización necesita realizar, mediante un acuerdo de continuidad del negocio, el
cual es puesto en práctica con el fin de continuar la entrega de productos o servicios claves

3.24
sistema de gestión
conjunto de elementos de una organización, interrelacionados o que interactúan entre ellos, que ayudan a
establecer políticas y objetivos, así como los procesos para alcanzar dichos objetivos

NOTA 1 Un sistema de gestión puede abordar una o varias disciplinas.

NOTA 2 Los elementos del sistema incluyen, entre otros, la estructura, funciones y responsabilidades, planificación, y
funcionamiento de la organización.

NOTA 3 El alcance de un sistema de gestión puede incluir a toda la organización, a funciones o secciones de la
organización que sean específicas e identificadas, o a una o más funciones en un grupo de organizaciones.

3.25
interrupción máxima admisible
MAO2)
tiempo que podría llegar a ser inaceptable, en el cual habría impactos adversos como consecuencia de no
proporcionar un producto/servicio o llevar a cabo una actividad

NOTA Ver también el período máximo tolerable de interrupción.

3.26
período máximo tolerable de interrupción
MTPD3)
tiempo que podría llegar a ser inaceptable, en el cual habría impactos adversos como consecuencia de no
proporcionar un producto/servicio o llevar a cabo una actividad

NOTA Ver también interrupción máxima admisible.

3.27
medición
proceso para determinar un valor

3.28
objetivo mínimo de la continuidad del negocio
MBCO4)
nivel mínimo de servicios y/o productos que es aceptable para que la organización logre sus objetivos de
negocio durante una interrupción

3.29
monitoreo
determinación del estado de un sistema, proceso o actividad

NOTA Para determinar el estado, puede ser necesario verificar, supervisar u observar críticamente.

2) En inglés: Maximun Acceptable Outage.

3) En inglés: Maximum Tolerable Period of Disruption.

4) En inglés: Minimum Business Continuity Objective.

8 © INN 2013 - Todos los derechos reservados


NORMA CHILENA NCh-ISO 22301:2013

3.30
acuerdo de ayuda mutua
entendimiento predispuesto entre dos o más entidades para prestar ayuda a los demás

[Fuente: ISO 22300]

3.31
no conformidad
incumplimiento de un requisito

[Fuente: ISO 22300]

3.32
objetivo
resultado que se pretende obtener

NOTA 1 Un objetivo puede ser estratégico, táctico u operativo.

NOTA 2 Los objetivos pueden tener diferentes alcances (tales como financieros, de salud y seguridad, y ambientales)
y se pueden aplicar a diferentes niveles (tales como estratégico, una organización completa, un proyecto, un producto y
un proceso).

NOTA 3 Un objetivo se puede expresar de otras formas, por ejemplo, como un resultado deseado, un propósito, un
criterio operacional, como objetivos de la seguridad de la sociedad o por el uso de otras palabras de significado similar
(por ejemplo, objetivo, meta o destino).

NOTA 4 En el contexto de las normas de sistemas de gestión de seguridad de la sociedad, los objetivos de la
seguridad de la sociedad que se establecen por la organización, son consistentes con la política de la seguridad de la
sociedad, con objeto de alcanzar los resultados específicos.

3.33
organización
persona o conjunto de personas con una disposición de responsabilidades, autoridades y relaciones para
alcanzar sus objetivos

NOTA 1 El concepto de organización incluye, pero no está limitado, al micro empresario, compañía, corporación,
firma, empresa, autoridad, asociación, institución o institución benéfica, o parte o combinación de éstas, integrada o no,
pública o privada.

NOTA 2 Para organizaciones con más de una unidad de operación, una única unidad operativa puede ser definida
como una organización.

3.34
externalizar (verbo)
realizar un acuerdo con una organización externa que realiza parte de una función o proceso de la
organización

NOTA El alcance del sistema de gestión no incluye a una organización externa, pero si la función o proceso
subcontratado.

3.35
desempeño
resultado medible

NOTA 1 El desempeño se puede referir a los hallazgos, ya sean cuantitativos o cualitativos.

NOTA 2 El desempeño se puede relacionar con la gestión de las actividades, procesos, productos (incluidos los
servicios), sistemas u organizaciones.

© INN 2013 - Todos los derechos reservados 9


NCh-ISO 22301:2013 NORMA CHILENA

3.36
evaluación del desempeño
proceso de determinación de resultados medibles

3.37
personal
personas que trabajan para, y bajo el control de, la organización

NOTA El concepto de personal incluye, pero no está limitado a, los empleados, personal a tiempo parcial, y al
personal de agencias.

3.38
política
intenciones y orientaciones expresadas formalmente por la alta dirección de una organización

3.39
procedimiento
especificación para llevar a cabo una actividad o proceso

3.40
proceso
conjunto de actividades mutuamente relacionadas o que interactúan entre ellas, las cuales transforman
elementos de entrada en resultados

3.41
productos y servicios
resultados beneficiosos proporcionados por una organización a sus clientes, beneficiarios y partes
interesadas, por ejemplo, artículos fabricados, seguros de auto y enfermería comunitaria

3.42
actividades priorizadas
actividades a las que se debe dar prioridad a raíz de un incidente, con el fin de mitigar los impactos

NOTA Para describir las actividades dentro de este grupo, los términos de uso común son: crítico, esencial, vital,
urgente y fundamental.

[Fuente: ISO 22300]

3.43
registro
documento que presenta resultados obtenidos o proporciona evidencia de actividades desempeñadas

3.44
objetivo de punto de recuperación
RPO5)
punto en que la información utilizada por una actividad se debe restaurar para que permita que la actividad se
reanude

NOTA También se puede referir como “pérdida máxima de datos”.

5) En inglés: Recovery Point Objective.

10 © INN 2013 - Todos los derechos reservados


NORMA CHILENA NCh-ISO 22301:2013

3.45
objetivo del tiempo de recuperación
RTO6)
período de tiempo después de un incidente en el que

- el producto o servicio se debe reanudar, o

- la actividad se debe reanudar, o

- los recursos se deben recuperar

NOTA Para productos, servicios y actividades, el objetivo del tiempo de recuperación debe ser menor que el tiempo
que podría llegar a ser inaceptable, en el cual habría impactos adversos como consecuencia de no proporcionar un
producto/servicio o llevar a cabo una actividad.

3.46
requisito
necesidad o expectativa establecida, generalmente implícita u obligatoria

NOTA 1 “Generalmente implícita” significa que se trata de una práctica habitual o común para la organización y las
partes interesadas en que la necesidad o expectativa en consideración está implícita.

NOTA 2 Un requisito especificado es el que se establece, por ejemplo, en la información documentada.

3.47
recursos
todos los activos, recursos humanos, habilidades, información, tecnología (incluye plantas y equipos),
predios, y proveedores e información (ya sea o no electrónica), que una organización tiene que tener
disponible para su uso, cuando sea necesario, con el fin de operar y cumplir con su objetivo

3.48
riesgo
efecto de la incertidumbre sobre los objetivos

NOTA 1 Un efecto es una desviación, positiva y/o negativa, respecto a lo previsto.

NOTA 2 Los objetivos pueden tener diferentes alcances (tales como financieros, de salud y seguridad, o ambientales)
y se pueden aplicar a diferentes niveles (tales como estratégico, una organización completa, un proyecto, un producto y
un proceso). Un objetivo se puede expresar de otra forma, por ejemplo, como un resultado deseado, un propósito, un
criterio operacional, como un objetivo de continuidad del negocio o por el uso de otras palabras de significado similar (por
ejemplo, objeto, meta o destino).

NOTA 3 Con frecuencia, el riesgo se caracteriza por hacer referencia a los potenciales eventos (ver ISO Guía 73,
3.5.1.3) y consecuencias (ver ISO Guía 73, 3.6.1.3), o a una combinación de estos.

NOTA 4 Con frecuencia, el riesgo se expresa en términos de combinación de las consecuencias de un evento
(incluyendo los cambios en las circunstancias) y de su probabilidad (ver ISO Guía 73, 3.6.1.1) asociada de ocurrencia.

NOTA 5 La incertidumbre es el estado, aunque sea parcial, de la deficiencia en la información relativa a la


comprensión o al conocimiento de un evento, de sus consecuencias o de su probabilidad.

NOTA 6 En el contexto de las normas de SGCN y con el objeto de alcanzar resultados específicos, la política es
consistente con los objetivos de la continuidad del negocio que se establecen por la organización. Cuando se utilizan los
términos riesgo y componentes de la gestión del riesgo, se deberían relacionar con los objetivos de la organización que
incluyen, pero no se limitan a, los objetivos de continuidad del negocio tal como se especifica en 6.2.

[Fuente: ISO Guía 73]

6) En inglés: Recovery Time Objective.

© INN 2013 - Todos los derechos reservados 11


NCh-ISO 22301:2013 NORMA CHILENA

3.49
perfil de riesgo
cantidad y tipo de riesgo que una organización está dispuesta a aplicar o conservar

3.50
evaluación del riesgo
proceso global que comprende la identificación del riesgo, el análisis del riesgo y la valoración del riesgo

[Fuente: ISO Guía 73]

3.51
gestión del riesgo
actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo

[Fuente: Guía ISO 73]

3.52
examen
procedimiento para la evaluación; un medio para determinar la presencia, calidad o veracidad de algo

NOTA 1 El examen se puede referir a un “juicio”.

NOTA 2 A menudo, el examen se aplica para apoyar los planes.

[Fuente: ISO 22300]

3.53
alta dirección
persona o grupo de personas que dirige y controla al más alto nivel una organización

NOTA 1 La alta dirección tiene la facultad de delegar autoridad y proporcionar recursos dentro de la organización.

NOTA 2 Si el alcance del sistema de gestión cubre sólo una parte de una organización, entonces la alta dirección se
refiere a aquellas personas que dirigen y controlan esa parte de la organización.

3.54
verificación
confirmación mediante la aportación de evidencia, de que se han cumplido los requisitos especificados

3.55
ambiente de trabajo
conjunto de condiciones bajo las cuales se realiza el trabajo

NOTA Las condiciones incluyen factores físicos, sociales, psicológicos y ambientales (tales como temperatura,
esquemas de reconocimiento, ergonomía y composición atmosférica).

[Fuente: ISO 22300]

12 © INN 2013 - Todos los derechos reservados


NORMA CHILENA NCh-ISO 22301:2013

4 Contexto de la organización

4.1 Entendiendo a la organización y su contexto

La organización debe determinar asuntos externos e internos que sean relevantes para su propósito y que
afecten su aptitud para alcanzar los resultados deseados de su SGCN.

Estos asuntos se deben tener en cuenta al establecer, implementar y mantener el SGCN de la organización.

La organización debe identificar y documentar lo siguiente:

a) las actividades, funciones, servicios, productos, asociaciones, cadenas de suministro, relaciones con las
partes interesadas y el impacto potencial relacionado con un incidente que interrumpa;

b) los vínculos entre la política de continuidad del negocio y los objetivos de la organización y otras
políticas, incluyendo la estrategia de gestión global del riesgo; y

c) el perfil de riesgo de la organización.

Al establecer el contexto, la organización debe:

1) articular sus objetivos, incluyendo los relativos a la continuidad del negocio,

2) definir los factores externos e internos que crean incertidumbre que da lugar al riesgo,

3) establecer criterios de riesgo, teniendo en cuenta el perfil de riesgo, y

4) definir el propósito del SGCN.

4.2 Entendiendo las necesidades y expectativas de las partes interesadas

4.2.1 Generalidades

Al establecer el SGCN, la organización debe determinar:

a) las partes interesadas que sean relevantes para el SGCN, y

b) los requisitos de estas partes interesadas (es decir, sus necesidades y expectativas, si están
establecidas, generalmente implícitas u obligatorias).

4.2.2 Requisitos legales y reglamentarios

La organización debe establecer, implementar y mantener procedimientos para identificar, acceder y evaluar
los requisitos legales y reglamentarios que la organización subscriba con la continuidad de sus operaciones,
productos y servicios, así como con los intereses de las partes interesadas pertinentes.

La organización se debe asegurar de que estos requisitos legales, reglamentarios u otros aplicables a los
cuales la organización subscriba, sean tomados en consideración al establecer, implementar y mantener su
SGCN.

La organización debe documentar esta información y mantenerla al día. Se debe comunicar a los empleados
involucrados y otras partes interesadas, los nuevos requisitos legales, reglamentarios u otros, o sus
modificaciones.

© INN 2013 - Todos los derechos reservados 13


NCh-ISO 22301:2013 NORMA CHILENA

4.3 Determinación del alcance del Sistema de Gestión de la Continuidad del Negocio

4.3.1 Generalidades

La organización debe determinar los límites y aplicabilidad del SGCN para establecer su alcance.

Al determinar este alcance, la organización debe considerar:

- los temas externos e internos mencionados en 4.1, y

- los requisitos mencionados en 4.2.

El alcance debe estar disponible así como toda la información debe estar documentada.

4.3.2 Alcance del SGCN

La organización debe:

a) establecer las partes de la organización que serán incluidas en el SGCN,

b) establecer los requisitos del SGCN, teniendo en cuenta la misión, objetivos, obligaciones internas y
externas de la organización (incluyendo aquellas relacionados con las partes interesadas), y las
responsabilidades legales y reglamentarias,

c) identificar los productos y servicios, y todas las actividades conexas dentro del alcance del SGCN,

d) tener en cuenta las necesidades e intereses de las partes interesadas, tales como clientes,
inversionistas, accionistas, cadena de suministro, intereses y necesidades del público y/o de la
comunidad, y las expectativas e intereses (según corresponda), y

e) definir el alcance del SGCN en forma apropiada y en términos de la naturaleza, tamaño y complejidad de
la organización.

Al definir el alcance, la organización debe documentar y explicar las exclusiones; tales exclusiones no deben
afectar la aptitud y responsabilidad de la organización de asegurar la continuidad del negocio y que el
funcionamiento cumpla los requisitos del SGCN, según lo ha determinado el análisis de impacto en el
negocio o la evaluación del riesgo y los requisitos reglamentarios o legales aplicables.

4.4 Sistema de Gestión de la Continuidad del Negocio

La organización debe establecer, implementar, mantener y mejorar continuamente un SGCN, incluyendo los
procesos necesarios y sus interacciones en conformidad con los requisitos de esta norma.

5 Liderazgo

5.1 Liderazgo y compromiso

Las personas de la alta dirección y de otras funciones de gestión relevantes de la organización, deben
demostrar su liderazgo con respecto al SGCN.

EJEMPLO Este liderazgo y compromiso se puede demostrar mediante la motivación y el empoderamiento de las
personas para contribuir a la eficacia del SGCN.

14 © INN 2013 - Todos los derechos reservados


NORMA CHILENA NCh-ISO 22301:2013

5.2 Compromiso de la dirección

La alta dirección debe demostrar su liderazgo y compromiso con el SGCN:

- garantizando que las políticas y objetivos del sistema de gestión de la continuidad del negocio son
compatibles con la dirección estratégica de la organización,

- integrando los requisitos del sistema de gestión de la continuidad del negocio en los procesos de
negocios de la organización,

- garantizando la provisión de los recursos necesarios para el SGCN,

- comunicando la importancia de la gestión efectiva de la continuidad del negocio y que se ajusta a los
requisitos del sistema de gestión de la continuidad del negocio,

- garantizando que el SGCN alcanza sus resultados esperados,

- orientando y apoyando a las personas para contribuir a la eficacia del SGCN,

- fomentando el mejoramiento continuo, y

- apoyando otras funciones de gestión pertinentes para demostrar su liderazgo y compromiso que se
aplican a sus áreas de responsabilidad.

NOTA 1 En esta norma, cuando se hace la referencia a “negocios” se debe interpretar en su sentido amplio, de modo
de considerar a aquellas actividades que son fundamentales para los fines de la existencia de la organización.

La alta dirección debe proporcionar evidencia de su compromiso con el establecimiento, implementación, funcionamiento,
monitoreo, revisión, mantenimiento y mejora del SGCN:

- estableciendo una política de continuidad del negocio,

- garantizando el establecimiento de los objetivos y planes del SGCN,

- determinando funciones, responsabilidades y competencias para la gestión de la continuidad del negocio, y

- designando una o más personas para que sean responsables del SGCN, con autoridad y competencias apropiadas,
obligadas a rendir cuentas de la implementación y mantenimiento del SGCN.

NOTA 2 Estas personas pueden ocupar otras responsabilidades dentro de la organización.

La alta dirección se debe asegurar de que las responsabilidades y autoridades para las funciones relevantes han sido
asignadas y comunicadas dentro de la organización:

- definiendo criterios de aceptación del riesgo y los niveles aceptables del riesgo,

- involucrándose activamente en ejercicios y exámenes,

- garantizando que se llevan a cabo las auditorías internas del SGCN,

- llevando a cabo la revisión de la gestión del SGCN, y

- demostrando su compromiso con el mejoramiento continuo.

© INN 2013 - Todos los derechos reservados 15


NCh-ISO 22301:2013 NORMA CHILENA

5.3 Política
La alta dirección debe establecer una política de continuidad del negocio que:

a) sea adecuada al propósito de la organización,

b) proporcione un marco de trabajo para establecer los objetivos de continuidad del negocio,

c) incluya un compromiso para cumplir con los requisitos aplicables,

d) incluya un compromiso para el mejoramiento continuo del SGCN.

La política del SGCN debe:

- estar disponible como información documentada,

- ser comunicada dentro de la organización,

- estar a disposición de las partes interesadas, según proceda,

- sea revisada para su continua adecuación a intervalos definidos y cuando se produzcan cambios
significativos.

La organización debe conservar la información documentada de la política de continuidad del negocio.

5.4 Funciones, responsabilidades y autoridades organizacionales


La alta dirección se debe asegurar de que las responsabilidades y autoridades para las funciones relevantes
están asignadas y comunicadas dentro de la organización.

La alta dirección debe asignar la responsabilidad y autoridad para:

a) garantizar que el sistema de gestión cumple con los requisitos de esta norma, y

b) informar sobre el desempeño del SGCN a la alta dirección.

6 Planificación

6.1 Acciones para abordar los riesgos y las oportunidades


Al planificar el SGCN, la organización debe considerar los temas mencionados en 4.1 y los requisitos
mencionados en 4.2, y determinar los riesgos y oportunidades que necesitan ser abordados para:

- garantizar que el sistema de gestión puede alcanzar sus resultados previstos,

- evitar, o reducir los efectos no deseados,

- obtener el mejoramiento continuo.

La organización debe planificar:

a) las acciones para abordar estos riesgos y oportunidades,

b) la forma de:

1) integrar e implementar las acciones en sus procesos del SGCN (ver 8.1),

2) evaluar la eficacia de estas acciones (ver 9.1).

16 © INN 2013 - Todos los derechos reservados


NORMA CHILENA NCh-ISO 22301:2013

6.2 Objetivos de la continuidad del negocio y forma de alcanzarlos


La alta dirección se debe asegurar de que los objetivos de la continuidad del negocio se establecen y
comunican a las funciones y niveles pertinentes dentro de la organización.

Los objetivos de la continuidad del negocio deben:

a) ser consistentes con la política de continuidad del negocio,

b) tomar en cuenta el nivel mínimo de productos y servicios que es aceptable para que la organización
alcance sus objetivos,

c) ser medibles,

d) tomar en cuenta los requisitos aplicables, y

e) ser monitoreados y actualizados, según sea apropiado.

La organización debe conservar la información documentada de los objetivos de continuidad del negocio.

Para lograr sus objetivos de continuidad del negocio, la organización debe determinar:

- quién será responsable,

- qué se realizará,

- qué recursos se necesitarán,

- cuándo serán alcanzados, y

- cómo se evaluarán los resultados.

7 Apoyo

7.1 Recursos

La organización debe determinar y proporcionar los recursos necesarios para el establecimiento,


implementación, mantenimiento y mejoramiento continuo del SGCN.

7.2 Competencia

La organización debe:

a) determinar la competencia necesaria de las personas que están realizando el trabajo asignado que
afecta a su desempeño,

b) asegurarse de que estas personas sean competentes tomando en consideración la educación, formación
y experiencia,

c) tomar acciones, cuando sea aplicable, para adquirir la competencia necesaria, y evaluar la eficacia de
las acciones tomadas, y

d) retener la información documentada apropiada como evidencia de la competencia.

NOTA Como ejemplo, las acciones aplicables pueden incluir la oferta de formación, la tutoría, o la reasignación de
los trabajadores actuales, o la empleabilidad o contratación de personas competentes.

© INN 2013 - Todos los derechos reservados 17


NCh-ISO 22301:2013 NORMA CHILENA

7.3 Toma de conciencia


Las personas que realizan trabajos para la organización deben ser conscientes de:
a) la política de continuidad del negocio,
b) su contribución a la eficacia del SGCN, incluyendo los beneficios de mejorar el desempeño de la gestión
de la continuidad del negocio,
c) las consecuencias de que no cumplan con los requisitos del SGCN, y
d) su propio rol durante los incidentes que interrumpan.

7.4 Comunicación
La organización debe determinar la necesidad de las comunicaciones internas y externas relevantes a ser
incluidas por el SGCN:

a) lo que se comunicará,

b) cuándo comunicar,

c) a quién comunicar.

La organización debe establecer, implementar y mantener procedimientos para:

- la comunicación interna entre las partes interesadas y los empleados dentro de la organización,

- la comunicación externa con los clientes, entidades asociadas, comunidad local y otras partes
interesadas, incluidos los medios de comunicación,

- recibir, documentar y responder a las comunicaciones de las partes interesadas,

- adaptar e integrar un sistema consultivo de amenaza regional o nacional, o equivalente, en la


planificación y el uso operacional, si procediese,

- garantizar la disponibilidad de los medios de comunicación durante un incidente que interrumpa,

- si fuese pertinente, facilitar la comunicación estructurada con las autoridades pertinentes, garantizando la
interoperabilidad de diversas organizaciones y personal que respondan, y

- el funcionamiento y examen de capacidades de comunicación destinadas a ser utilizadas durante la


interrupción de las comunicaciones normales.

NOTA Los requisitos adicionales para la comunicación en respuesta a un incidente se especifican en 8.4.3.

7.5 Información documentada


7.5.1 Generalidades

El SGCN de la organización debe incluir:

- información documentada especificada por esta norma, e

- información documentada determinada por la organización, necesaria para la eficacia del SGCN.

NOTA El alcance de la información documentada para un SGCN puede diferir de una organización a otra debido a:

- el tamaño de la organización y su tipo de actividades, procesos, productos y servicios,

- la complejidad de los procesos y sus interacciones, y

- la competencia de las personas.

18 © INN 2013 - Todos los derechos reservados


NORMA CHILENA NCh-ISO 22301:2013

7.5.2 Elaboración y actualización

La organización al elaborar y actualizar la información documentada, debe garantizar en forma adecuada:

a) la identificación y descripción (por ejemplo, título, fecha, autor o número de referencia),

b) el formato (por ejemplo, idioma, versión del software, gráficos) y los medios (por ejemplo, papel, digital),
y la revisión y aprobación de la idoneidad y conveniencia.

7.5.3 Control de la información documentada

De acuerdo a lo requerido por el SGCN y por esta norma, la información documentada se debe controlar para
garantizar que:

a) esté disponible y es adecuada para el uso, donde y cuando sea necesaria,

b) esté protegida en forma adecuada (por ejemplo, de la pérdida de confidencialidad, uso indebido o
pérdida de la integridad).

Para el control de la información documentada, la organización debe abordar las actividades siguientes,
según corresponda

- distribución, acceso, recuperación y uso,

- almacenamiento y conservación, incluyendo la preservación de la legibilidad,

- control de cambios (por ejemplo, control de versión),

- retención y disposición,

- recuperación y uso,

- conservación de la legibilidad (es decir, lo suficientemente clara para leer), y

- prevención del uso no intencionado de la información obsoleta.

La organización debe determinar, identificar y controlar, según sea apropiado, la información documentada
de origen externo que es necesaria para la planificación y operación del SGCN.

Al establecer el control de la información documentada, la organización se debe asegurar de que hay una
protección adecuada para ésta (por ejemplo, protección frente a posibles riesgos, modificación o eliminación
no autorizada).

NOTA El acceso implica una decisión sobre el permiso para ver la información documentada, o el permiso y la
autoridad para ver y cambiar la información documentada, etc.

8 Funcionamiento

8.1 Planificación y control operacional


La organización debe planificar, ejecutar y controlar los procesos necesarios para cumplir los requisitos, e
implementar las acciones determinadas en 6.1, mediante:

a) el establecimiento de criterios para los procesos,

b) la implementación del control de los procesos de acuerdo con los criterios, y

c) el mantenimiento de la información documentada en la medida necesaria para tener confianza en que los
procesos se han llevado a cabo de acuerdo a lo previsto.

© INN 2013 - Todos los derechos reservados 19


NCh-ISO 22301:2013 NORMA CHILENA

La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios
imprevistos, asumiendo acciones para mitigar los efectos adversos, según fuese necesario.

La organización se debe asegurar de que controla los procesos externalizados.

8.2 Análisis de impacto en el negocio y evaluación del riesgo

8.2.1 Generalidades

La organización debe establecer, implementar y mantener un proceso formal y documentado para el análisis
de impacto en el negocio y evaluación del riesgo que:

a) establezca el contexto de la evaluación, definiendo criterios y evaluando el impacto potencial de un


incidente que interrumpa,

b) tome en cuenta los requisitos legales u otros que la organización suscriba,

c) incluya un análisis sistemático, priorización de tratamiento del riesgo y sus costos relacionados,

d) defina el resultado requerido del análisis de impacto en el negocio y evaluación del riesgo, y

e) especifique los requisitos para mantener esta información actualizada y confidencial.

NOTA Existen diversas metodologías para el análisis del impacto y evaluación del riesgo del negocio que
determinará el orden en que éstas se llevarán a cabo.

8.2.2 Análisis de impacto en el negocio

La organización debe establecer, implementar y mantener un proceso de evaluación formal y documentado


para determinar las prioridades de continuidad y recuperación, objetivos y metas. Este proceso debe incluir la
evaluación de los impactos de las actividades que interrumpan el apoyo a los productos y servicios de la
organización.

El análisis de impacto en el negocio debe incluir lo siguiente:

a) identificación de las actividades que apoyan la prestación de productos y servicios;

b) evaluación de los impactos del tiempo en el cual no se lleven a cabo estas actividades;

c) establecimiento de plazos priorizados para la reanudación de estas actividades a un nivel mínimo


aceptable, teniendo en cuenta el tiempo en el que los efectos de la no reanudación de ellos sería
inaceptable, y

d) identificación de las dependencias y recursos de apoyo para estas actividades, incluyendo proveedores,
socios externos y otras partes interesadas pertinentes.

8.2.3 Evaluación del riesgo

La organización debe establecer, implementar y mantener un proceso documentado formal de evaluación del
riesgo, que sistemáticamente identifique, analice y valore el riesgo de incidentes que interrumpan en la
organización.

NOTA Este proceso se puede hacer de acuerdo con ISO 31000.

20 © INN 2013 - Todos los derechos reservados


NORMA CHILENA NCh-ISO 22301:2013

La organización debe:

a) identificar los riesgos de la interrupción de sistemas, información, personas, activos, socios externos y
otros recursos que apoyan las actividades y procesos prioritarios de la organización,

b) analizar sistemáticamente el riesgo,

c) evaluar los riesgos relacionados con la interrupción que requieran tratamiento, y

d) identificar tratamientos acordes con los objetivos de continuidad del negocio y de acuerdo con el perfil
del riesgo de la organización.

NOTA La organización debe estar consciente de que ciertas obligaciones financieras o gubernamentales requieren
la comunicación de estos riesgos en diferentes niveles de detalle. Además, ciertas necesidades de la sociedad también
pueden garantizar el intercambio de esta información con un nivel apropiado de detalle.

8.3 Estrategia de la continuidad del negocio

8.3.1 Determinación y selección

La determinación y selección se deben basar en los resultados de los análisis de impacto en el negocio y
evaluación del riesgo.

La organización debe determinar una estrategia apropiada de continuidad del negocio para:

a) proteger las actividades priorizadas,

b) estabilizar, continuar, reanudar y recuperar las actividades priorizadas y sus dependencias y recursos de
apoyo, y

c) mitigar, responder y gestionar los impactos.

La determinación de la estrategia debe incluir la aprobación de plazos priorizados para la reanudación de las
actividades.

La organización debe llevar a cabo evaluaciones de las capacidades de continuidad del negocio de los
proveedores.

8.3.2 Determinación de los requisitos de los recursos

La organización debe determinar los requisitos de los recursos para implementar las estrategias
seleccionadas. Los tipos de recursos deben incluir, pero no limitarse, a:

a) personas,

b) información y datos,

c) edificios, ambiente de trabajo y servicios asociados,

d) instalaciones, equipos y material fungible,

e) sistemas de tecnología de la información y comunicación (TIC),

f) transporte,

g) financiamiento, y

h) socios y proveedores.

© INN 2013 - Todos los derechos reservados 21


NCh-ISO 22301:2013 NORMA CHILENA

8.3.3 Protección y mitigación

Para los riesgos identificados que requieran tratamiento, la organización debe considerar medidas proactivas
que:

a) reduzcan la probabilidad de interrupción,

b) acorten el período de interrupción, y

c) limiten el impacto de la interrupción de los productos y servicios claves de la organización.

La organización debe elegir e implementar los tratamientos adecuados de riesgo de acuerdo con su perfil de
riesgo.

8.4 Determinación e implementación de procedimientos de continuidad del negocio

8.4.1 Generalidades

La organización debe establecer, implementar y mantener procedimientos de continuidad del negocio para
gestionar un incidente que interrumpa y continuar con sus actividades en función de los objetivos de
recuperación identificados en el análisis de impacto en el negocio.

La organización debe documentar los procedimientos (incluyendo los acuerdos necesarios) para garantizar la
continuidad de las actividades y la gestión de un incidente que interrumpa.

Los procedimientos deben:

a) establecer un protocolo interno y externo de comunicaciones adecuado,

b) ser específicos en cuanto a las medidas inmediatas que se deben tomar durante una interrupción,

c) ser flexibles para responder a las amenazas y cambios inesperados de las condiciones internas y
externas,

d) enfocarse en el impacto de los eventos que podrían afectar las operaciones,

e) desarrollarse en base a los supuestos establecidos y a un análisis de las interdependencias, y

f) ser efectivos en la reducción de las consecuencias a través de la implementación de estrategias


apropiadas de mitigación.

8.4.2 Estructura de la respuesta a incidentes

La organización debe establecer, documentar e implementar los procedimientos y una estructura de gestión
para responder a incidentes que interrumpan utilizando personal con la responsabilidad, autoridad y
competencia necesaria para gestionarlos.

La estructura de la respuesta debe:

a) identificar los umbrales de impacto que justifiquen el inicio de la respuesta formal,

b) evaluar la naturaleza y alcance de un incidente que interrumpa y su impacto potencial,

c) activar una respuesta adecuada de la continuidad del negocio,

22 © INN 2013 - Todos los derechos reservados


NORMA CHILENA NCh-ISO 22301:2013

d) tener procesos y procedimientos para la activación, funcionamiento, coordinación y la comunicación de la


respuesta,

e) disponer de recursos para apoyar los procesos y procedimientos para minimizar el impacto en la gestión
de un incidente que interrumpa, y

f) comunicar a las partes interesadas y autoridades, así como a los medios de comunicación.

La organización debe decidir, considerando la seguridad de la vida humana como primera prioridad y en
consulta con las partes interesadas, si comunica externamente o no, acerca de sus riesgos e impactos
significativos y documentar su decisión. Si la decisión es comunicar, entonces la organización debe
establecer e implementar procedimientos para realizar esta comunicación, alertas y avisos externos,
incluyendo los medios de comunicación, según corresponda.

8.4.3 Advertencia y comunicación

La organización debe establecer, implementar y mantener procedimientos para:

a) detectar un incidente,

b) monitoreo periódico de un incidente,

c) comunicar internamente en la organización y recibir, documentar y responder a las comunicaciones de


las partes interesadas,

d) recibir, documentar y responder a cualquier sistema consultivo de amenaza regional o nacional, o


equivalente,

e) asegurar la disponibilidad de los medios de comunicación durante un incidente que interrumpa,

f) facilitar la comunicación estructurada con los servicios de emergencia,

g) registrar la información esencial sobre el incidente, las medidas adoptadas y las decisiones tomadas,
donde se debe considerar e implementar lo siguiente, según sea aplicable:

- alertar a las partes interesadas potencialmente impactadas por un incidente que interrumpa real o
inminente;

- asegurar la interoperabilidad de las respuestas de las múltiples organizaciones y personal;

- funcionamiento de una instalación de comunicaciones.

Los procedimientos de comunicación y de alerta se deben ejercitar regularmente.

8.4.4 Planes de continuidad del negocio

La organización debe establecer procedimientos documentados para responder a un incidente que


interrumpa y determinar la forma de continuar o recuperar sus actividades dentro de un plazo
predeterminado. Tales procedimientos deben abordar los requisitos de quienes los van a usar.

Los planes de continuidad del negocio deben contener colectivamente:

a) funciones y responsabilidades definidos para las personas y equipos que tienen autoridad durante y
después de un incidente,

b) un proceso para la activación de la respuesta,

© INN 2013 - Todos los derechos reservados 23


NCh-ISO 22301:2013 NORMA CHILENA

c) los datos para gestionar las consecuencias inmediatas de un incidente que interrumpa teniendo
debidamente en cuenta:

1) el bienestar de los individuos,

2) las opciones estratégicas, tácticas y operativas para responder a la interrupción, y

3) prevención de una mayor pérdida o falta de disponibilidad de las actividades priorizadas.

d) detalles sobre cómo y bajo qué circunstancias la organización se comunicará con los empleados y sus
familiares, las partes interesadas y contactos de emergencia claves,

e) la forma como la organización se mantenga o recupere sus actividades priorizadas en plazos


predeterminados,

f) detalles de la respuesta de los medios de comunicación a raíz de un incidente, incluyendo:

1) una estrategia de comunicación,

2) la interfaz preferida con los medios de comunicación,

3) una guía o modelo para la redacción de una declaración para los medios de comunicación, y

4) portavoces apropiados.

g) un procedimiento para cuando cese el incidente.

Cada plan debe definir:

- propósito y alcance,

- objetivos,

- criterios y procedimientos de activación,

- procedimientos de implementación,

- funciones, responsabilidades y autoridades,

- requisitos y procedimientos de comunicación,

- interdependencias e interacciones internas y externas,

- requisitos de los recursos, y

- flujo de información y procesos de documentación.

8.4.5 Recuperación

La organización debe tener procedimientos documentados para restaurar y volver a las actividades normales
del negocio, mediante la adopción de medidas temporales que apoyen los requisitos normales del negocio
después de un incidente.

24 © INN 2013 - Todos los derechos reservados


NORMA CHILENA NCh-ISO 22301:2013

8.5 Examinar y ejercitar

La organización debe examinar y ejercitar sus procedimientos de continuidad del negocio para asegurar que
sean consistentes con sus objetivos de continuidad del negocio.

La organización debe conducir exámenes y ejercicios que:

a) sean consistentes con el alcance y los objetivos del SGCN,

b) se basen en escenarios adecuados que hayan sido bien planificados, con objetivos y metas claramente
definidos,

c) tomados en conjunto, prueben la totalidad de los acuerdos de continuidad del negocio, involucrando a las
partes interesadas pertinentes,

d) reduzcan al mínimo el riesgo de interrupción de las operaciones,

e) produzcan informes formales después del ejercicio, los cuales deben contener resultados,
recomendaciones y acciones para implementar mejoras,

f) sean revisados en el contexto de la promoción del mejoramiento continuo, y

g) sean llevados a cabo a intervalos planificados y cuando se produzcan cambios significativos en la


organización o el entorno en el que opera.

9 Evaluación de desempeño

9.1 Monitoreo, medición, análisis y evaluación

9.1.1 Generalidades

La organización debe determinar:

a) qué debe ser controlado y medido,

b) los métodos de monitoreo, medición, análisis y evaluación, según sea aplicable, para garantizar la
validez de los resultados,

c) cuándo se deben llevar a cabo el monitoreo y medición, y

d) cuando se deben analizar y evaluar los resultados del monitoreo y medición.

La organización debe conservar la información adecuada en forma documentada como evidencia de los
resultados.

La organización debe evaluar el desempeño y eficacia del SGCN.

Además, la organización debe:

- tomar medidas, y cuando sea necesario, abordar tendencias o resultados adversos antes de que se
produzca una no conformidad, y

- conservar información pertinente en forma documentada como evidencia de los resultados.

© INN 2013 - Todos los derechos reservados 25


NCh-ISO 22301:2013 NORMA CHILENA

Los procedimientos para el monitoreo del desempeño se deben establecer mediante el:

- establecimiento de parámetros de desempeño adecuados a las necesidades de la organización,

- monitoreo del grado de cumplimiento de la política, objetivos y metas para la continuidad del negocio de
la organización,

- desempeño de los procesos, procedimientos y funciones que protegen sus actividades priorizadas,

- monitoreo de la conformidad con esta norma y con los objetivos de la continuidad del negocio,

- monitoreo de la evidencia histórica del desempeño deficiente del SGCN, y

- registro de datos y resultados del monitoreo y medición, para facilitar las acciones correctivas tomadas.

NOTA El desempeño deficiente podría incluir la no conformidad, cuasi accidentes, falsas alarmas e incidentes
reales.

9.1.2 Evaluación de los procedimientos de continuidad del negocio

a) la organización debe llevar a cabo evaluaciones de sus procedimientos y capacidades de continuidad del
negocio con el fin de asegurar que hay una continuidad en idoneidad, adecuación y eficacia;

b) estas evaluaciones se deben llevar a cabo en forma periódica mediante revisiones, ejercicio, examen,
informes post-incidente y evaluaciones de desempeño. Los cambios significativos que surjan se deben
reflejar en los procedimientos de una manera oportuna;

c) la organización debe evaluar periódicamente el cumplimiento de los requisitos legales y reglamentarios


aplicables, las mejores prácticas de la industria, y conformidad con su propia política y objetivos de
continuidad del negocio; y

d) la organización debe llevar a cabo evaluaciones a intervalos planificados y cuando se produzcan


cambios significativos.

Cuando se produce un incidente que interrumpa y da lugar a la activación de los procedimientos de


continuidad del negocio, la organización debe realizar una revisión posterior al incidente y registrar los
resultados.

9.2 Auditoría interna


La organización debe llevar a cabo auditorías internas a intervalos planificados para proporcionar información
sobre si el Sistema de Gestión de la Continuidad del Negocio está:

a) en conformidad con

1) los requisitos propios de la organización para su SGCN,

2) los requisitos de esta norma, y

b) efectivamente implementado y mantenido.

La organización debe:

- planificar, establecer, implementar y mantener programa (s) de auditoría, incluyendo la frecuencia,


métodos, responsabilidades, requisitos de planificación y presentación de informes. Los programas de
auditoría deben tener en consideración la importancia de los procesos y de los resultados de auditorías
anteriores,

- definir los criterios de auditoría y el alcance de cada auditoría,

26 © INN 2013 - Todos los derechos reservados


NORMA CHILENA NCh-ISO 22301:2013

- seleccionar los auditores y realizar auditorías para garantizar la objetividad e imparcialidad del proceso
de auditoría,

- garantizar que los resultados de las auditorías son informados a la dirección pertinente, y

- conservar información documentada como evidencia de la implementación del programa de auditoría y


de los resultados de ésta.

El programa de auditoría, incluyendo su planificación, se debe basar en los resultados de la evaluación del
riesgo de las actividades de la organización, así como en los resultados de auditorías previas. Los
procedimientos de auditoría deben cubrir el alcance, frecuencia, metodologías y competencias, así como las
responsabilidades y requisitos para la realización de auditorías e información de resultados.

La dirección responsable del área que esté siendo auditada, debe garantizar que abordarán sin demora
injustificada, todas las correcciones y acciones correctivas necesarias para eliminar las no conformidades
detectadas y sus causas. Las actividades de seguimiento deben incluir la verificación de las acciones
tomadas y el informe de resultados de la verificación.

9.3 Revisión por la dirección

La alta dirección debe revisar el SGCN de la organización a intervalos planificados, para asegurarse de su
conveniencia, adecuación y eficacia.

La revisión por la dirección debe incluir la consideración de:

a) el estado de las acciones de las revisiones previas por la dirección,

b) los cambios en los asuntos externos e internos que sean relevantes para el sistema de gestión de la
continuidad del negocio,

c) la información sobre el desempeño de continuidad del negocio, incluyendo las tendencias en:

1) no conformidades y acciones correctivas,

2) resultados de la evaluación de medición y monitoreo, y

3) resultados de la auditoría,

d) las oportunidades para el mejoramiento continuo.

Las revisiones por la dirección deben considerar el desempeño de la organización, incluyendo:

- acciones de seguimiento de revisiones previas por la dirección,

- necesidad de cambios en el SGCN, incluyendo la política y los objetivos,

- oportunidades de mejoramiento,

- resultados de las auditorías y revisiones del SGCN, incluyendo a los proveedores y socios claves, según
sea apropiado,

- técnicas, productos o procedimientos, que podrían ser utilizados en la organización para mejorar el
desempeño y eficacia del SGCN,

- estado de las acciones correctivas,

© INN 2013 - Todos los derechos reservados 27


NCh-ISO 22301:2013 NORMA CHILENA

- resultados del ejercicio y las pruebas,

- riesgos o asuntos no abordados adecuadamente en cualquier evaluación del riesgo anterior,

- cualquier cambio que pudiera afectar al SGCN, ya sean internos o externos al alcance del SGCN,

- adecuación de la política,

- recomendaciones para el mejoramiento,

- lecciones aprendidas y acciones derivadas de incidentes que interrumpan, y

- guías y buenas prácticas emergentes.

Los resultados de la revisión por la dirección deben incluir decisiones relacionadas con las oportunidades de
mejoramiento continuo y la posible necesidad de cambios en el SGCN, y además incluir lo siguiente:

a) variaciones en el alcance del SGCN;

b) mejoramiento de la eficacia del SGCN;

c) actualización de la evaluación del riesgo, análisis de impacto en el negocio, planes de continuidad del
negocio y procedimientos relacionados;

d) modificación de los procedimientos y controles para responder a eventos internos o externos que pueden
afectar al SGCN, incluyendo cambios en:

1) requisitos operacionales y del negocio,

2) reducción del riesgo y requisitos de seguridad,

3) procesos y condiciones operacionales,

4) requisitos legales y reglamentarios,

5) obligaciones contractuales,

6) niveles de riesgo y/o criterios para la aceptación del riesgo,

7) necesidades de recursos,

8) requisitos de financiamiento y presupuesto; y

e) cómo se mide la eficacia de los controles.

La organización debe conservar información documentada como evidencia de los resultados de las
revisiones por la dirección.

La organización debe:

- comunicar los resultados de la revisión por la dirección a las partes interesadas pertinentes, y

- tomar las medidas oportunas en relación con esos resultados.

28 © INN 2013 - Todos los derechos reservados


NORMA CHILENA NCh-ISO 22301:2013

10 Mejoramiento

10.1 No conformidades y acciones correctivas

Cuando se produce no conformidad, la organización debe:

a) identificar la no conformidad,

b) reaccionar ante la no conformidad y, según sea aplicable,

1) tomar medidas para controlarla y corregirla, y

2) hacer frente a las consecuencias.

c) evaluar la necesidad de actuar para eliminar las causas de la no conformidad, a fin de que no vuelva a
ocurrir o que ocurra en otro lugar, mediante:

1) la revisión de las no conformidades,

2) la determinación de las causas de la no conformidad, y

3) la determinación de la existencia de no conformidades similares, o que podrían ocurrir


potencialmente,

4) la evaluación de la necesidad de acciones correctivas para asegurar que las no conformidades no


vuelvan a ocurrir o que ocurran en otro lugar,

5) la determinación e implementación de las acciones correctivas necesarias,

6) la revisión de la eficacia de las acciones correctivas tomadas, y

7) haciendo cambios al SGCN, si fuese necesario.

d) poner en práctica cualquier acción necesaria,

e) revisar la eficacia de las acciones correctivas tomadas,

f) realizar cambios en el sistema de gestión de la continuidad del negocio, si fuese necesario.

Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas.

La organización debe conservar información documentada como evidencia de:

- la naturaleza de las no conformidades y de cualquier acción tomada posteriormente, y

- los resultados de cualquier acción correctiva.

10.2 Mejoramiento continuo

La organización debe mejorar continuamente la idoneidad, adecuación o eficacia del SGCN.

NOTA Para lograr el mejoramiento, la organización puede utilizar los procesos del SGCN, tales como la evaluación
de liderazgo, planificación y ejecución.

© INN 2013 - Todos los derechos reservados 29


NCh-ISO 22301:2013 NORMA CHILENA

Anexo A
(informativo)

Bibliografía

[1] ISO 9001 Quality management systems - Requirements.

[2] ISO 14001 Environmental management systems - Requirements with guidance for use.

[3] ISO 19011 Guidelines for auditing management systems.

[4] ISO/IEC 20000-1 Information Technology - Service Management.

[5] ISO 22300 Societal security - Terminology.

[6] ISO/PAS 22399 Societal security - Guideline for incident preparedness and operational
continuity management.

[7] ISO/IEC 24762 Information technology - Security techniques - Guidelines for Information
and communications technology disaster recovery services.

[8] ISO/IEC 27001 Information Security Management Systems.

[9] ISO/IEC 27031 Information technology - Security techniques - Guidelines for information
and communication technology readiness for business continuity.

[10] ISO 31000 Risk Management - Principles and Guidelines.

[11] ISO/IEC 31010 Risk management - Risk assessment techniques.

[12] ISO Guide 73 Risk management - Vocabulary.

[13] BS 25999-1 Business continuity management - Code of practice, British Standards


Institution (BSI).

[14] BS 25999-2 Business continuity management - Specification, British Standards


Institution (BSI).

[15] SI 24001 Security and continuity management systems - Requirements and guidance
for use, Standards Institution of Israel.

[16] NFPA 1600 Standard on disaster/emergency management and business continuity


programs, National Fire Protection Association (USA).

[17] Business Continuity Plan Drafting Guideline, Ministry of Economy, Trade and Industry (Japan), 2005.

[18] Business Continuity Guideline, Central Disaster Management Council, Cabinet Office, Government of
Japan, 2005.

30 © INN 2013 - Todos los derechos reservados


NORMA CHILENA NCh-ISO 22301:2013

[19] ANSI/ASIS SPC.1 Organizational Resilience: Security, Preparedness, and Continuity


Management Systems - Requirements with Guidance for Use.

[20] SS 540:2008 Singapore Standard for Business Continuity Management.

[21] ANSI/ASIS/BSI BCM.01 Business Continuity Management Systems: Requirements with Guidance
for Use.

NOTA EXPLICATIVA NACIONAL

La equivalencia de las Normas Internacionales señaladas anteriormente con Norma Chilena, y su grado de
correspondencia es el siguiente:

Norma Internacional Norma nacional Grado de correspondencia

ISO 9001 NCh-ISO 9001:2009 La Norma Chilena NCh-ISO 9001:2009 es una


adopción idéntica de la versión en español de la
Norma Internacional ISO 9001:2008.
ISO 14001 NCh-ISO 14001:2005 La Norma Chilena NCh-ISO 14001:2005 es una
adopción idéntica de la versión en español de la
Norma Internacional ISO 14001:2004.
ISO 19011 NCh-ISO 19011:2012 La Norma Chilena NCh-ISO 19011:2012 es una
adopción idéntica de la versión en inglés de la
Norma Internacional ISO 19011:2011.
ISO/IEC 20000-1 NCh-ISO 20000/1:2013 La Norma Chilena NCh-ISO 20000/1:2013 es
una adopción idéntica de la versión en inglés de
la Norma Internacional ISO/IEC 20001:2011.
ISO 22300 NCh-ISO 22300:2013 La Norma Chilena NCh-ISO 22300:2013 es una
adopción idéntica de la versión en inglés de la
Norma Internacional ISO 22300:2012.
ISO/PAS 22399 No hay -
ISO/IEC 24762 No hay -
ISO/IEC 27001 NCh-ISO 27001:2009 La Norma Chilena NCh-ISO 27001:2009 es una
adopción idéntica de la versión en inglés de la
Norma Internacional ISO/IEC 27001:2005.
ISO/IEC 27031 No hay -
ISO 31000 NCh-ISO 31000:2012 La Norma Chilena NCh-ISO 31000:2012 es
una adopción idéntica de la versión en inglés
de la Norma Internacional ISO 31000:2009.
ISO/IEC 31010 NCh-ISO 31010:2013 La Norma Chilena NCh-ISO 31010:2013 es una
adopción idéntica de la versión en inglés de la
Norma Internacional ISO/IEC 31010:2009.
ISO Guide 73 NCh-ISO Guía 73:2012 La Norma Chilena NCh-ISO Guía 73:2012 es
una adopción idéntica de la versión en inglés
de la Norma Internacional ISO Guide 73:2009.

© INN 2013 - Todos los derechos reservados 31


Licenciado por el INN para OFICINA NACIONAL DE EMERGENCIA - ONEMI
R.U.T.: 60.509.001-K - Creado: 2015-06-18
Licencia sólo 1 usuario. Copia y uso en red PROHIBIDOS

NCh-ISO 22301:2013 NORMA CHILENA

Anexo B
(informativo)

Justificación de los cambios editoriales

Tabla B.1 - Cambios editoriales

Cláusula/subcláusula Cambios editoriales Justificación

1 Se reemplaza "esta Norma La norma es de alcance nacional.


Internacional" por "esta norma".
1 Se reemplaza "Alcance" por "Alcance De acuerdo a estructura de NCh2.
y campo de aplicación".
Anexo A Se reemplaza "Bibliografía" por De acuerdo a estructura de NCh2.
"Anexo A (informativo) Bibliografía".
Anexo A Se agrega nota explicativa nacional Para detallar la equivalencia y el grado de
correspondencia de las Normas
Internacionales con las Normas Chilenas.

32 © INN 2013 - Todos los derechos reservados


Licenciado por el INN para OFICINA NACIONAL DE EMERGENCIA - ONEMI
R.U.T.: 60.509.001-K - Creado: 2015-06-18
Licencia sólo 1 usuario. Copia y uso en red PROHIBIDOS
Licenciado por el INN para OFICINA NACIONAL DE EMERGENCIA - ONEMI
R.U.T.: 60.509.001-K - Creado: 2015-06-18
Licencia sólo 1 usuario. Copia y uso en red PROHIBIDOS

NCh-ISO 22301:2013 NORMA CHILENA

ICS 03.100.01

© INN 2013 - Todos los derechos reservados