Documentos y registros requeridos en ISO 22301

Los documentos y registros requeridos en ISO 22301 para los Sistemas de Gesti�n de
Continudad (SGCN) son:

1.- Contexto de la organizaci�n: registro de los procedimientos para la

identificaci�n de requisitos, la pol�tica de continuidad, la metodolog�a para el
an�lisis del impacto empresarial y evaluaci�n de riesgos.

2.- Procedimientos para indentificar los requisitos y disposiciones legales: el

registro de estos procedimientos debe hacerse al comienzo de la implementaci�n del
SGCN, dado que define sus bases.

4.- Alcance del Sistema de Gesti�n de la Continuidad de Negocio: redactado al

comienzo del proyecto de continuidad de negocio. Debe reflejar las partes de la
organizaci�n a las que ser� de aplicaci�n el SGCN y explicar las razones por las
que no se aplica al resto.

5.- Pol�tica y objetivos de continuidad de negocio: la Alta Direcci�n debe plasmar

qu� busca con la implementaci�n del SGCN y c�mo lo controlar�. Este documento puede
combinarse con el de Alcance. Los objetivos a incluir deben referirse al SGCN en su
conjunto y no a las actividades.

6. Comunicaci�n con las partes interesadas: ya sea en forma de correos

electr�nicos, regulares, tel�fono o cualquier otra forma. Debe crearse copias y ser
almacenada en archivos.

7.- Plan de formaci�n y competencias del personal: se elaboran anualmente y los

expedientes de las competencias ser�n mantenidos por el departamento de recursos
humanos.

8.- Proceso para analizar el impacto organizacional y sus resultados: debe ser
previamente definido y ser f�cilmente legible. Comienza por la recolecci�n de
datos, para proceder luego al an�lisis del impacto empresarial o bien recogerse de
manera resumida en la estrategia de continuidad de negocio.

9.- Proceso de evaluaci�n de riesgos y sus resultados: debe especificarse con

anticipaci�n. Se puede usar de gu�a ISO 27001 o ISO 27005. Los resultados obtenidos
de las evaluaci�n de riesgos deben documentarse en un informe.

10.- Procedimientos de continuidad de negocio: planes de respuesta a incidentes,

recuperaci�n de negocio, de desastres, planes de comunicaci�n, etc.

11.- Procedimientos de respuesta a incidentes: deben abordar los riesgos

principales a los que se expone la organizaci�n y c�mo proceder ante ellos.

12.- Procedimientos de comunicaci�n: para determinar si comunicar externamente los

riesgos e impactos y c�mo comunicarse con las partes interesadas. En estos
documentos se debe definir el responsable de comunicaci�n, especialmente con medios
p�blicos y autoridades.

13.- Procedimientos para responder a incidentes perturbadores: los procedimientos

de recuperaci�n de desastres y de actividades son, junto con el plan de respuesta a
incidentes, la mayor parte de los procedimientos de continuidad de negocio.

16.- Procedimientos para restaurar el negocio de la medidas temporales aplicadas:

dado que es dif�cil conocer por adelantado los da�os que permanecer�n en la
organizaci�n, estos procedimientos ser�n poco detallados, indicando el responsable
de evaluar el da�o y tomar las decisiones.
17.- Escenario de incidentes: en base a la evaluaci�n de riesgos se describe c�mo
pueden producirse los incidentes y c�mo impactar�an en la actividad de la
organizaci�n.

18.- Planes de pruebas y reportes posterior al ejercicio: cada plan debe definir
los objetivos a cumplir y los escenarios. Los informes obtenidos tras las pruebas
deben indicar el grado de cumplimiento de los objetivos.

19.- Registro de los resultados de las acciones contra las adversidades: se puede
registrar de dos formas, bien mediante el plan de tratamiento de riesgos o bien
mediante acciones preventivas.

20.- Plan de mantenimiento del SGCN: en �l se debe definir cu�ndo realizar la

revisi�n de la documentaci�n y la persona encargada de ello.

21.- M�todos de control, medici�n, an�lisis y evaluaci�n: la manera m�s f�cil de

describir c�mo realizar la medici�n del sistema es mediante la pol�tica y
procedimientos, indicando los indicadores a emplear.

22.- Datos y resultados del seguimiento y medici�n efectuados: todos los informes,
resultados de indicadores y decisiones deben mantenerse durante un determinado
periodo.

23.- Resultados de la revisi�n posterior a la incidencia: disponer de un formulario

para la recolecci�n de los datos necesarios tras un incidente para poder realizar
las conclusiones oportunas, las cu�les deben mantenerse durante un tiempo
determinado.

24.- Procedimiento, programa y resultados de la auditor�a interna: el procedimiento

debe ser realizado antes de iniciar el proyecto. El programa debe definir cu�ndo y
qui�n realizar� cada auditor�a interna. Los resultados deben documentarse mediante
informes con las observaciones y no conformidades.

25.- Resultados de la revisi�n de la gesti�n: se registran mediante actas de

reuniones, d�nde se anotan las decisiones tomadas.

26.- No conformidades y acciones correctivas: se debe registrar las tareas a

realizar, responsabilidades y plazos.