LIDERAZGO DEL SISTEMA DE GESTION DE CONTINUIDA

5.2.1. Politica de Continuidad del Negocio:

CI TALSA establece formalmente la presente política al ser consciente que existen amenazas que pueden interrumpir nu
naturales) y afectar la prestación de los servicios contratados. Por ello, asumimos que debemos estar preparados y que p
que nos permite recuperar la normalidad de las operaciones en los tiempos previstos, evitando o minimizando el impacto

En concreto estamos comprometidos a:

• Que la dirección de cada negocio garantice el establecimiento de un comité de continuidad de negocio, en cada ámbito g
• Que la organización y gestión de la crisis cuente con la activa participación de la dirección de áreas soporte y sus equipo
integrado en el sistema 3P y que facilite la revisión anual por la Dirección de la eficacia del PCN (acrónimo de Plan de Co
• Tener medidas de emergencia que protejan a nuestros empleados en caso de que se presente una contingencia en una
• Realizar el análisis de impacto en el negocio y, sobre esa base, establecer tiempos de recuperación en el PCN y realizar
• Contar con un PCN documentado que incluya los responsables y protocolos previstos a realizar para recuperar la norma
• Garantizar que los responsables de los planes de acción del PCN, sus colaboradores inmediatos y los afectados conoce
• Aplicar nuestro enfoque de mejora continua para lograr que el PCN sea eficaz y permita cumplir los requisitos contractua
5.2.2. Comunicación de la Politica de Continuidad del Negocio:

La empresa (), establece las formas o medios de comunicación satisfactoria con todas las áreas y centros de trabajo de l
formatos, sanciones, circulares, llamados de atención y comunicados) a todos los empleados y recibir llamados de mejora
Memorandos, Carteleras informativas, Llamados de atención verbal y escrita, Página de internet, Folletos y cartas
Reuniones, Circulares, Certificaciones

5.3. Roles, Responsabilidades y Autoridades del Sistema de Gestion:

La identificación y asignación de los roles y responsabilidades asociados al SGCN es clave para alcanzar los objetivos de
detallan a continuacion:

ROL FUNCIONES Y RESPONSABILIDADES

-  Aprobar la Política de Continuidad.
-  Aprobar los objetivos de continuidad.
-  Aprobar el Plan de Continuidad.
-  Aprobar las Estrategias de Continuidad.
Dirección -  Aprobar el presupuesto y los recursos necesarios

-  Aprobar la estructura organizativa del SGCN.

-  Efectuar una revisión periódica del SGCN.

-  Aprobar las revisiones realizadas.
-  Definir las expectativas del proyecto.
-  Financiar el proyecto.
-  Asignar el presupuesto.
-  Recibir los resultados del proyecto.

Patrocinador del SGCN -  Tomar decisiones en relación a la financiación, cronograma

-  Alinear el proyecto con los objetivos de la Organiza

-  Intervenir en la resolución de conflictos.

-  Revisar periódicamente el estado del proyecto.

-  Establecer los objetivos, políticas y factores críticos de

-  Identificar las responsabilidades necesarias.

-  Definir y recomendar la estructura y gestión del proy

-  Liderar el equipo para desarrollar el plan del proyec

Coordinador del SGCN

 Coordinador del SGCN -  Desarrollar el plan y determinar el presupuesto neces

-  Organizar, coordinar y administrar cada fase del proy

-  Presentar el proyecto a la Dirección y partes implica

-   Controlar el proceso a través de métodos de control efectivos y g

-  Reportar de forma periódica el estado del proyect

-  Proponer los objetivos de recuperación.

-  Dirigir y liderar todas las actividades del PCN.

-  Declarar la contingencia ante el escenario de interrupció n del lugar de

Responsable de Continuidad
Gestor de Continuidad
- Tomar decisiones que tengan que ver con cambios importantes en el alca
Comité del SGCN
Comité de Gestion de Crisis
decisiones tomadas por el Comité de Crisis.
-  Liderar las reuniones del Comité de Crisis.
- Advertir sobre nuevos riesgos que afectan la continuidad de la operación
que ponen al descubierto debilidades del plan de contin
-  Coordinar la ejecución de las pruebas del PCN.
-  Asegurar la gestión y operación del SGCN de la Organ
-  Asegurar la divulgación de la Política de Continuid
-  Generar el Plan de Continuidad y actualizarlo cuando se produ
-  Planificar y dirigir las pruebas definidas en el Plan de P
- Asegurar la supervivencia de los procesos críticos tras una catástrof
-  Velar porque se siga y respete la metodología del pro
-   Monitorizar, analizar y evaluar la efectividad del proceso de la gestión
servicio.
-  Apoyar las auditorías del SGCN.
-   Crear, implementar y mantener Planes de Formación y Concienciaci
Negocio.
-   Ayudar a las distintas unidades de negocio en la adaptación del P
-   Desarrollar, mantener, coordinar, operar y evaluar Planes de Divulgac
crisis.
-  Prestar un apoyo visible por parte de la Dirección al Plan de Contin
-  Controlar desde la perspectiva gerencial, el buen desarrollo del proyect
parámetros establecidos en el plan de proyecto y los compromisos
esquema de contratación.
-  Facilitar los recursos necesarios para el desarrollo y mantenimiento del
Negocio.
-  Aprobar los cambios del Plan de Continuidad de Neg
-  Activar el PCN en cualquiera de los escenarios de contingencia o de
establecidos.
- Coordinar la respuesta ante los incidencias graves o catastróficas dete
considerarlo necesario, el traslado de las operaciones a las ubicacione
garantizando la reanudación de las mismas en el marco temporal es
-  Asegurar que se cuenta con los recursos económicos necesarios para
gastos extraordinarios en los que sea necesario incurrir durante el esta
desastre y autorizar la ejecución de los mismos.

Aprobar los mensajes que serán enviados a la opinión publica, accionistas

la situación de la organización tras la contingencia o el de
EMA DE GESTION DE CONTINUIDAD DEL NEGOCIO - REQUISITO Nº 5 DE LA ISO 22301:2019

ten amenazas que pueden interrumpir nuestras operaciones (tales como fallos de infraestructura, huelgas, accidentes, pandemias, atentados y catást
s que debemos estar preparados y que podemos demostrar a las partes interesadas que, ante una incidencia o escenario de crisis tenemos el corresp
stos, evitando o minimizando el impacto que pudiera causar al Cliente la interrupción en la prestación del servicio.

continuidad de negocio, en cada ámbito geográfico, y responsabilidades de coordinación y de apoyo necesarias para la gestión eficaz de escenarios d
a dirección de áreas soporte y sus equipos y, en particular, con el departamento de Calidad y Procesos, en la gestión del sistema de continuidad de ne
icacia del PCN (acrónimo de Plan de Continuidad de Negocio).
que se presente una contingencia en una sede.
pos de recuperación en el PCN y realizar análisis de riesgos para identificar y abordar acciones que los minimicen.
evistos a realizar para recuperar la normalidad de las operaciones en los tiempos planificados.
dores inmediatos y los afectados conocen dichos planes y realizan los oportunos simulacros.
permita cumplir los requisitos contractuales y expectativas de nuestros clientes.

todas las áreas y centros de trabajo de la organizacion, la cual hace posible divulgar la gestión interna (Políticas, Lineamientos, estrategias, procedim
s empleados y recibir llamados de mejora continua para la empresa, mediante: Correo Electrónico (Email) Pagina Web, WhatsApp, Red telefónica
a, Página de internet, Folletos y cartas, Buzón PQRS (preguntas, quejas, reclamos y sugerencias), Encuestas, Comunicación Directa, Inform

n:
N es clave para alcanzar los objetivos del proyecto. Para el SGCN, los roles identificados se

CIONES Y RESPONSABILIDADES
Aprobar la Política de Continuidad.
probar los objetivos de continuidad.
Aprobar el Plan de Continuidad.
robar las Estrategias de Continuidad.

el presupuesto y los recursos necesarios.

ar la estructura organizativa del SGCN.

tuar una revisión periódica del SGCN.

Aprobar las revisiones realizadas.
efinir las expectativas del proyecto.
-  Financiar el proyecto.
-  Asignar el presupuesto.
Recibir los resultados del proyecto.

n relación a la financiación, cronograma y resultados.

proyecto con los objetivos de la Organización

ervenir en la resolución de conflictos.

r periódicamente el estado del proyecto.

s objetivos, políticas y factores críticos de éxito.

ficar las responsabilidades necesarias.

omendar la estructura y gestión del proyecto.

equipo para desarrollar el plan del proyecto.

el plan y determinar el presupuesto necesario.

oordinar y administrar cada fase del proyecto.

el proyecto a la Dirección y partes implicadas.

avés de métodos de control efectivos y gestión de cambio.

de forma periódica el estado del proyecto.

oponer los objetivos de recuperación.

y liderar todas las actividades del PCN.

el escenario de interrupció n del lugar de trabajo, con base en las

ones tomadas por el Comité de Crisis.

rar las reuniones del Comité de Crisis.

que afectan la continuidad de la operación normal de la entidad y
escubierto debilidades del plan de continuidad.
nar la ejecución de las pruebas del PCN.
stión y operación del SGCN de la Organización.
la divulgación de la Política de Continuidad.
ontinuidad y actualizarlo cuando se produzcan cambios.
gir las pruebas definidas en el Plan de Pruebas.
de los procesos críticos tras una catástrofe o fallo muy grave.
se siga y respete la metodología del proyecto.
ar la efectividad del proceso de la gestión de la continuidad del
servicio.
Apoyar las auditorías del SGCN.
ner Planes de Formación y Concienciación en Continuidad de
Negocio.
dades de negocio en la adaptación del Plan de Continuidad.
inar, operar y evaluar Planes de Divulgación y Coordinación de
crisis.
or parte de la Dirección al Plan de Continuidad de Negocio.
a gerencial, el buen desarrollo del proyecto y que cumpla con los
en el plan de proyecto y los compromisos entre las partes.
ue ver con cambios importantes en el alcance del proyecto y en el
esquema de contratación.
os para el desarrollo y mantenimiento del Plan de Continuidad de
Negocio.
cambios del Plan de Continuidad de Negocio.
a de los escenarios de contingencia o de desastre previamente
establecidos.
os incidencias graves o catastróficas determinando, en caso de
slado de las operaciones a las ubicaciones de contingencia, y
n de las mismas en el marco temporal establecido para ello.
os recursos económicos necesarios para afrontar las partidas de
que sea necesario incurrir durante el estado de contingencia o
e y autorizar la ejecución de los mismos.

nviados a la opinión publica, accionistas y proveedores acerca de

organización tras la contingencia o el desastre.
pandemias, atentados y catástrofes
io de crisis tenemos el correspondiente plan

gestión eficaz de escenarios de crisis.

el sistema de continuidad de negocio,

mientos, estrategias, procedimientos,

b, WhatsApp, Red telefónica, Fax,
Comunicación Directa, Informe escrito,
 PLANEACION DEL SISTEMA DE G

6.2. Elaboracion de los Objetivos de Contuinuidad del Negocio:

Directrices de Política de Continuidad del Negocio

Capacitacion de Brigadistas

Establecer estrategias para reducir tiempos de recuperacion.

Proteccion y seguridad de las personas y bienes de la empresa

Desarrollo e implementacion del PCN

Responsabilidades de coordinacion

6.3. Relacion de Directrices de la Politica y Objetivos de Contuinuidad del Negocio con Planes:
Objetivo del SGCN
Mantener el nivel idóneo de preparación de nuestros empleados
frente a incidentes
Cumplir los estándares de plazos o tiempos de recuperación
establecidos en el PCN
Dar prioridad a la protección de la integridad de las personas y
bienes de la empresa ante cualquier contingencia o escenario de
crisis de continuidad de negocio
Lograr un PCN efectivo que minimice la improvisación en la toma de
decisiones ante las contingencias, sobre la base de la experiencia,
consideradas como más “probables” que puedan ocurrir a una
actividad de negocio de CI TALSA
Lograr un liderazgo y una organización efectiva para responder ante
una situación de crisis

0
 PLANEACION DEL SISTEMA DE GESTION DE CONTINUIDAD DEL NEGOCIO - REQUISITO Nº 6 DE L

Negocio:
Objetivo del SGCN

Mantener el nivel idóneo de preparación de nuestros empleados frente

a incidentes
Cumplir los estándares de plazos o tiempos de recuperación establecidos
en el PCN

Dar prioridad a la protección de la integridad de las personas y bienes de

la empresa ante cualquier contingencia o escenario de crisis de
continuidad de negocio

Lograr un PCN efectivo que minimice la improvisación en la toma de

decisiones ante las contingencias, sobre la base de la experiencia,
consideradas como más “probables” que puedan ocurrir a una actividad
de negocio de CI TALSA
Lograr un liderazgo y una organización efectiva para responder ante una
situación de crisis

de Contuinuidad del Negocio con Planes:

Meta (%)

85

70

60

75

90
DE CONTINUIDAD DEL NEGOCIO - REQUISITO Nº 6 DE LA ISO 22301:2019

Indicadores de SGCN Planes / Documentos Relacionados

Programas de concienciación y formación Formación y plan de sensibilización.

Desarrollo y aplicación de planes de continuidad del negocio
Estructura de respuesta a incidentes.
y documentos relacionados  

Programas de concienciación y formación Formación y plan de sensibilización.

Desarrollo de estrategias de continuidad   Planes de continuidad del negocio.

Respuesta y gestión de las emergencias   Estructura de respuesta a incidentes.

0 0

0 0

0 0

0 0

0 0
Responsable Indicadores de Gestion

Inicio y gestión de proyectos

Análisis y gestión del riesgo

Análisis de impacto en el negocio

Desarrollo de estrategias de continuidad  

Respuesta y gestión de las emergencias  

Desarrollo y aplicación de planes de continuidad del

negocio y documentos relacionados  

Programas de concienciación y formación

Mantenimiento y práctica de los planes de
continuidad del negocio y otras actividades
relacionadas

Relaciones públicas y comunicación de las crisis

Coordinación con las autoridades 

Recuperación de datos
Recuperación de servidores

Recuperación de la red de datos

Recuperación del equipo de voz   

Activación de sitios de respaldo calientes

0
 Planes Relacionados

Proposito, alcance y usuarios

Lista de requisitos legales, normativos y

de otra índole.

Política de la continuidad del negocio.

Evidencia de competencias del personal.

Registros de comunicación.

Objetivos de la continuidad del negocio.

Análisis del impacto en el negocio.

Estructura de respuesta a incidentes.

Planes de continuidad del negocio.

Evaluación de riesgos, incluido un perfil

del riesgo.
Procedimientos de recuperación,
medidas temporales para devolver al
negocio a la situación inicial.
Resultados de acciones preventivas.

Resultados de supervisión y medición.

Procedimientos para responder a

incidentes disruptivos.

Resultados de la revisión de la dirección.

Resultados de la auditoría interna.

Resultados de acciones correctivas.
Procedimiento para el control de la
información documentada.
Los contratos y acuerdos de nivel de
servicio con los proveedores y la
externalización de los socios.
Formación y plan de sensibilización.
Escenarios de incidentes.
Planes de ejercicio y de pruebas.
La mitigación del riesgo.
Informes post-ejercicio.
Los métodos de seguimiento, medición,
análisis y evaluación.

Procedimiento para la auditoría interna.

Plan de mantenimiento SGCN.

Programa de auditoría interna.

Procedimiento para la acción correctiva.

0
Los registros y documentos mínimos
reclamados por el estándar
internacional ISO-22301 son:

Alcance del SGCN.

Lista de requisitos legales, normativos y de

otra índole.

Política de la continuidad del negocio.

Evidencia de competencias del personal.

Registros de comunicación.

Objetivos de la continuidad del negocio.

Análisis del impacto en el negocio.

Estructura de respuesta a incidentes.

Planes de continuidad del negocio.

Evaluación de riesgos, incluido un perfil del

riesgo.

Procedimientos de recuperación, medidas

temporales para devolver al negocio a la
situación inicial.

Resultados de acciones preventivas.

Resultados de supervisión y medición.

Procedimientos para responder a incidentes

disruptivos.

Resultados de la revisión de la dirección.

 Resultados de la auditoría interna.

Resultados de acciones correctivas.

Aquellos documentos que no son

obligatorios pero sí que tienen un uno
frecuente son:

Procedimiento para el control de la

información documentada.
Los contratos y acuerdos de nivel de servicio
con los proveedores y la externalización de los
socios.

Formación y plan de sensibilización.

Escenarios de incidentes.

Planes de ejercicio y de pruebas.

La mitigación del riesgo.

Informes post-ejercicio.

Los métodos de seguimiento, medición,

análisis y evaluación.

Procedimiento para la auditoría interna.

Plan de mantenimiento SGCN.

Programa de auditoría interna.

Procedimiento para la acción correctiva.

Veamos a continuación, las partes esenciales a tener en cuenta a la hora de estructurar el Plan de Continuidad de Negocio de acuerdo a

1.- Propósito, alcance y usuarios: debe quedar claro el objetivo por el

que contamos con este Plan de Continuidad de Negocio, las áreas a las
que afecta y las personas que deben conocerlo.

2.- Documentos de referencia: detallar los documentos a los que este

Plan está vinculado como son la Política de Continuidad de Negocio, el
Análisis del impacto sobre el negocio, y la Estrategia de Continuidad de
Negocio, entre otros.

3.- Condiciones: debemos definir una serie de requisitos para asegurar

la eficacia del plan.

4.- Roles y responsabilidades: determinar las personas encargadas de

gestionar los incidentes que pudieran alterar la Continuidad del
Negocio.
5.- Contactos claves: identificación de los datos de contacto de las
personas que están implicadas en la puesta en marcha del Plan de
Continuidad de Negocio.
6.- Planificación de activación: determinar aquellos casos en los que
activar el citado plan así como el método a emplear para ponerlo en
marcha. Igualmente debemos detallar las condicionas bajo las que es
posible desactivarlo.
7.- Comunicación: definimos la manera de proceder para comunicar el
incidente entre los diferentes equipos así como hacia las otras partes
interesadas.
8.- Respuesta ante el incidente: aquí especificamos cómo debe ser la
primera reacción ante el incidente, con el objetivo de minimizar los
daños.

9.- Sitios físicos y transporte: definir los sitios físicos y los alternativos,
detallar dónde se encuentran los puntos de concentración, así como la
manera de llegar desde los sitios primarios hasta los alternativos.

10.- Orden de recuperación de las actividades: aquí se elabora un

listado de todo el conjunto de actividades a realizar para la
recuperación con especificación del tiempo de recuperación objetivo.

11.- Planes de recuperación para las actividades: detalle paso a paso

de las acciones a realizar y las responsabilidades asumir en las tareas
de recuperación tanto de la mano de obra, de las infraestructuras, el
software, así como de la propia información y procesos. Además,
especificaremos la relación con otras actividades y partes interesadas.
 LISTA DE VERIFICACION CUMPLIMIENTO DEL SISTEMA DE
GESTION DE CONTINUIDAD DE NEGOCIO

La organización es la responsable de al menos un Plan de gestión de

incidentes y un Plan de Continuidad de Negocio y que la habilita para
gestionar cualquier posible incidente o crisis que afecte a la continuidad
en cualquier parte del negocio e independientemente de la causa.

La organización opera bajo la organización de uno o varios equipos

como responsables de gestionar todos los posibles incidentes que
afectan a la continuidad.

Cada equipo incluye a Responsable de Procesos que son responsables

y que poseen la autoridad y conocimiento para responder de forma
efectiva a cualquier incidente.

Cada miembro del equipo tiene al menos un sustituto con similar nivel
de autoridad y formación.

Cada equipo dispone de autoridad y recursos para ser siempre

movilizado a tiempo y proporcionar una respuesta puntual adecuada.

Cada equipo sabe operar todas las herramientas e información

necesarias para gestionar un incidente.

Todos los integrantes del equipo han recibido formación adecuada para
operar en una situación de crisis o parecidas.

Cada plan define un proceso de invocación y escalado que permite su

activación rápida o inmediata.

Cada plan contiene instrucciones inequívocas para la invocación

independientemente del tipo de incidentes y condiciones.

Cada plan identifica con claridad aquellas personas que tienen autoridad
para invocarlo.

Cada plan contiene tareas y listas para obstaculizar las consecuencias

inmediatas por un trastorno en el negocio.

Cada plan contiene una declaración clara e inequívoca de su propósito y

alcance.

Cada plan explica los protocolos y mecanismos para comunicaciones de

emergencia y avisos.
Cada plan exige que la información de contacto de familiares y de
emergencia de todo el personal esté actualizada y disponible para su
rápida utilización.
Cada plan identifica las personas que después de un accidente se
encargarán de responsabilidades relacionadas con la salud y bienestar
del personal y de forma efectiva.
Cada plan define y comunica las funciones, responsabilidades y grados
de autoridad de todos los participantes.
Cada plan contiene y establece un marco de acción claro para el control
aceptable de cualquier incidente.

Cada plan describe con claridad cómo elegir, adaptar y poner en marcha
las estrategias para optimizar la recuperación después de un incidente.

Cada plan contiene explicaciones claras de prioridades que reflejen

variaciones estacionales, periódicas y diarias.

Cada plan identifica con claridad los niveles de recuperación que deben
lograrse y en relación a los Objetivos de Tiempos de Recuperación.

Cada plan describe con claridad los medios para coordinar todos los
equipos y entidades involucradas en la recuperación.
Cada plan contiene tareas, procedimientos y listas de verificación que
inician y cumplen de forma aceptable con las estrategias.
Cada plan contiene un inventario actualizado de los recursos necesarios
en el tiempo para desarrollar las estrategias.
Cada plan contiene registros o formularios para reseñar la información
del incidente.
Cada plan contiene tareas y listas de verificación para la restauración de
las operaciones después de un incidente.
Cada plan contiene tareas que permiten un análisis efectivo de la
situación y una evaluación de los daños.
Cada plan contiene tareas que aseguran la continuidad de cada acuerdo
de subcontratación.
Cada plan ofrece indicaciones fiables acerca del tiempo para completar
cada paso bajo condiciones de trastorno.

Cada plan incluye el contacto y los detalles para movilizar a todos los
proveedores y clientes clave.

Los planes de la organización prevén de forma específica la gestión

rápida de la comunicación con todos los proveedores y clientes clave
antes, durante y después de un incidente.
Cada plan identifica al personal con el grado de autoridad adecuado
para servir de enlace con los servicios de emergencia.
Cada plan ofrece la base para un sistema efectivo de gestión de la
información en momentos de crisis.
Cada plan especifica los medios y la frecuencia con la que se debe
ofrecer la información en comunicados de prensa, correo electrónico,
Internet, entre otros posibles.
Cada plan identifica a los portavoces formados que están autorizados a
enviar información a los medios de comunicación.
Cada plan identifica un lugar preferido de enlace con los medios de
comunicación u otras partes interesadas.
Cada plan identifica cómo hacer seguimiento de la respuesta de los
medios de comunicación.
Los planes contienen un comunicado tipo para enviar a los medios de
comunicación.

Los planes contienen directrices para crear conciencia a través de los

medios de comunicación.

Cada plan identifica una ubicación preferida desde la que se gestionará

el incidente.

Cada plan identifica una ubicación alternativa en caso de que no se

pueda acceder a la ubicación preferida para la gestión de incidente.
Cada ubicación de gestión de incidentes dispone del acceso a los
recursos necesarios para poner en marcha el plan de incidentes.
Cada ubicación de gestión de incidentes dispone de medios de
comunicación efectivos, tanto principales como alternativos
Cada ubicación de gestión de incidentes dispone de instalaciones para
acceder y compartir información, incluido el seguimiento de los medios
de comunicación.

Cada plan es conciso y asimilado por todos sus usuarios.

Cada plan es práctico, está orientado a la acción y excluye toda la
información que no será exigida durante un incidente.
Cada plan es rápidamente accesible para todos sus posibles usuarios.
Cada plan se considera completo desde el punto de recuperación hasta
el reinicio de las operaciones normales.
Cada plan se considera completo y documenta todos los componentes
requeridos para poner en marcha de forma fiable cada una de las
estrategias.
Cada plan identifica su principal responsable.
Cada plan cuenta con el apoyo de la alta dirección e incluye un
responsable concreto directo.

Cada plan identifica a aquellos responsables de su revisión,

mantenimiento y difusión autorizada.

Cada plan cuenta con un presupuesto adecuado para su desarrollo y

mantenimiento.
Cada plan cumple con todas las obligaciones legales y estatutarias.
Cada plan describe con claridad su relación con todos los demás planes
o documentos relevantes.

Cada plan y su documentación asociada están actualizados y reflejan

las necesidades de la organización.

Cada plan está sujeto a un control sistemático de su versión y

distribución.
Cada plan está ratificado por la alta dirección.
 INDICADORES DE CONTINUIDAD DE NEGOCIO

Inicio y gestión de proyectos

Proceso de gestión del programa en la propia empresa

Equipo cualificado que gestiona el programa

Políticas y procedimientos aprobados.

Análisis y gestión del riesgo

Proceso de gestión del riesgo.

Análisis periódicos del riesgo.

Procesos de tratamiento del riesgo implantados.

Análisis de impacto en el negocio

Identificación de las principales relaciones y dependencias

con las organizaciones internas y externas.

Identificación de las consecuencias financieras de un

incidente destructivo

Identificación de los objetivos de tiempo de recuperación

(RTO) y de punto de recuperación (RPO) de las funciones
críticas.

Desarrollo de estrategias de continuidad  

Lista de estrategias potenciales definidas.

Proceso para proyectar a las estrategias los problemas de la

recuperación basados en el impacto en el negocio.

Proceso para determinar la eficacia de las estrategias.

 Respuesta y gestión de las emergencias  

Plan de respuesta y gestión en caso de incidente.

Vinculación del plan de mensajería instantánea al plan de

continuidad de negocio.

Formar a los miembros del equipo de mensajería instantánea

para las actividades de respuesta.

Desarrollo y aplicación de planes de continuidad del

negocio y documentos relacionados  
Proceso de desarrollo de un plan de continuidad del negocio
en la empresa.
Vinculación con los planes de mensajería instantánea,
estrategias, análisis de impacto en el negocio, etc.
Procedimientos operativos definidos para el plan de
continuidad del negocio.
Programas de concienciación y formación

Programa de concienciación y formación en la empresa.

Calendario de difusión del programa de información.

Calendario de formación sobre la continuidad del negocio y
otras acciones relacionadas

Mantenimiento y práctica de los planes de continuidad

del negocio y otras actividades relacionadas

Programa de prácticas en la empresa con un calendario de

ejercicios.

Evaluación de los ejercicios y recomendaciones.

Políticas de mantenimiento y calendario de actualizaciones.

Relaciones públicas y comunicación de las crisis

Lista de detallada de todos los contactos críticos internos y

externos.
Políticas y procedimientos para las relaciones con los medios
de comunicación.
Procedimiento de alerta rápida para empleados, proveedores
y otras partes interesadas.
Coordinación con las autoridades 

Lista de contactos de los representantes principales de la

policía, bomberos, servicios de rescate, hospitales y centro
coordinador de emergencias.
Calendario de reuniones con los voluntarios de protección
civil y primeros auxilios.
Revisión periódica de los planes de continuidad del negocio,
recuperación ante desastres y de emergencias a cargo de
los servicios de protección civil.
 Recuperación de datos
Copias de seguridad actuales en el plazo de una hora desde
la última actualización.

Tiempo de recuperación de archivos de datos críticos: una

hora.

Recogida diaria de las copias de seguridad en cinta antes de

las 6:00 pm.
Recuperación de servidores
Plazo para la restauración y reinicio de los servidores: una
hora desde la interrupción del servicio.
Plazo para sustituir físicamente los servidores en los
bastidores designados: 30 minutos.

Número máximo de errores durante el reinicio inferior a dos.

Recuperación de la red de datos

Plazo para recuperar, restaurar y reconfigurar los routers:
una hora desde la interrupción del servicio.
Tiempo necesario para probar y validar el rendimiento de la
red antes de empezar a transmitir datos en tiempo real: una
hora desde la interrupción del servicio.
Tiempo máximo necesario para sustituir físicamente los
dispositivos de red dañados: cuatro horas.
Recuperación del equipo de voz   
Tiempo necesario para reiniciar el sistema de voz: una hora
desde la interrupción del servicio.
Plazo máximo para la llegada de los servicios de la empresa
a las instalaciones: cuatro horas desde la llamada al servicio
de asistencia.
Tiempo necesario para sincronizar los circuitos con el
conmutador: cuatro horas.
Activación de sitios de respaldo calientes
Tiempo necesario para confirmar la aprobación desde el sitio
de respaldo caliente para la recuperación de espacio: una
hora desde que se inicia el contacto.
Tiempo necesario para reiniciar los sistemas críticos en el
sitio de respaldo caliente: una hora desde la interrupción del
servicio.
Tiempo necesario para reubicar al personal en el sitio de
respaldo caliente: cuatro horas desde que se comunicó la
interrupción