¿QUÉ ES LA ISO 22301?

Sistema de Gestión de Continuidad de Negocio

ISO 22301 es una norma internacional de gestión de continuidad de negocio. Esta ha sido
creada en respuesta a la fuerte demanda internacional que obtuvo la norma británica
original, BS 25999-2 y otras normas.

ISO 22301 identifica los fundamentos de un Sistema de Gestión de la Continuidad de

negocio, estableciendo el proceso, los principios y la terminología de gestión
de continuidad de negocio.

Proporciona una base de entendimiento, desarrollo e implantación de continuidad de

negocio dentro de la organización. Se usa para asegurar a las partes interesadas clave que
su empresa está totalmente preparada y que puede cumplir con los requisitos internos,
regulatorios y del cliente.

La norma proporciona a las organizaciones un marco que asegura que ellos pueden
continuar trabajando durante las circunstancias más difíciles e inesperadas, siempre
protegiendo a sus empleados, manteniendo su reputación y proporcionando la capacidad de
continuar trabajando y comercializando.

La norma ISO 22301 puede ser aplicada a todo tipo y tamaño de organizaciones que

quieran:
 Establecer, implantar, mantener y mejorar un SGCN.
 Demostrar conformidad con la política establecida de la continuidad de negocio de
la organización.
 Dar a las partes interesadas confianza en su conformidad y compromiso con las
buenas prácticas reconocidas internacionalmente.

Norma ISO 22301
Estructura de la norma ISO 22301
La norma ISO 22301 está organizada según la siguiente estructura:
1. Ámbito de aplicación.
2. Referencias normativas.
3. Términos y definiciones.
4. Contexto de la organización. Consiste en identificar el alcance del SGCN, teniendo
en cuenta los objetivos estratégicos de la organización, sus productos y servicios claves, su
tolerancia al riesgo, así como cualquier obligación reglamentaria.
5. Liderazgo. La alta dirección debe demostrar un compromiso continuo con
el SGCN. A través de su liderazgo y acciones, la dirección puede crear un ambiente en el
cual el personal esté completamente involucrado y el sistema de gestión pueda funcionar de
manera eficaz en sinergia con los objetivos de la organización.
6. Planificación. Se establecen objetivos estratégicos y principios para la orientación
del SGCN en su totalidad.
7. Soporte. La gestión diaria de un Sistema de Gestión de la Continuidad de
Negocio, se basa en el uso de los recursos apropiados para cada actividad. Estos recursos
incluyen personal competente, toma de conciencia y comunicación, etc. todo esto debe
estar apoyado por la documentación que sea necesaria.
8. Operación. Después de la planificación del SGCN, la organización debe ponerlo en
funcionamiento.
9. Evaluación del desempeño. La norma ISO 22301 requiere un seguimiento
permanente del sistema, así como revisiones periódicas para mejorar su operación.
10. Mejora. La organización puede mejorar continuamente la eficacia de su sistema de
gestión a través del uso de la política de continuidad de negocio, los objetivos, los
resultados de auditorías, los indicadores, las acciones correctivas y preventivas y la revisión
por la dirección.

Llámenos al +1 (646) 7599933

 Inicio
Documentación
Precios
Libros
Descargas gratuitas
Centro de Aprendizaje
Concientizacipon de la Seguridad
Capacitación

Conceptos básicos sobre ISO 22301

TABLE OF CONTENTS

 Conceptos básicos sobre ISO 22301

 Términos básicos utilizados en la norma
 Contenido de ISO 22301
 Documentación obligatoria
 Normas relacionadas

¿Qué es ISO 22301?

El nombre completo de esta norma es ISO 22301:2012 Seguridad de la sociedad – Sistemas de
gestión de la continuidad del negocio – Requisitos. Esta norma fue redactada por los principales
especialistas en el tema y proporciona el mejor marco de referencia para gestionar la continuidad
del negocio en una organización.

Relación con BS 25999-2

La ISO 22301 ha reemplazado a la 25999-2. Estas dos normas son bastante similares, pero la ISO
22301 puede ser considerada como una actualización de la BS 25999-2. Para conocer las
diferencias entre ambas, por favor, consulte la infografía ISO 22301 vs. BS 25999-2.

¿Cuáles son los beneficios de la continuidad del negocio?

Si se implementa correctamente, la gestión de la continuidad del negocio disminuirá la posibilidad

de ocurrencia de un incidente disruptivo y, en caso de producirse, la organización estará preparada
para responder en forma adecuada y, de esa forma, reducir drásticamente el daño potencial de ese
incidente.

¿Quién puede implementar esta norma?

Cualquier organización, grande o pequeña, con o sin fines de lucro, privada o pública. La norma
está concebida de tal forma que es aplicable a cualquier tamaño o tipo de organización.

¿Cómo encaja la continuidad del negocio en la gestión general?

La continuidad del negocio es parte de la gestión general del riesgo en una compañía y tiene áreas
superpuestas con la gestión de seguridad y tecnología de la información.

Nota: la gestión del riesgo es parte de la gestión corporativa general.

Términos básicos utilizados en la norma
 Sistema de gestión de la continuidad del negocio (SGCN): parte del sistema general de
gestión que se encarga de planificar, mantener y mejorar continuamente la continuidad del
negocio.
 Interrupción máxima aceptable (MAO): cantidad máxima de tiempo que puede estar
interrumpida una actividad sin incurrir en un daño inaceptable (también Período máximo
tolerable de interrupción [MTPD]).
 Objetivo de tiempo de recuperación: tiempo predeterminado que indica cuándo se debe
reanudar una actividad o se deben recuperar recursos.
 Objetivo de punto de recuperación (RPO): pérdida máxima de datos; es decir, la cantidad
mínima de datos que necesita ser restablecida.
 Objetivo mínimo para la continuidad del negocio (MBCO): nivel mínimo de servicios o
productos que necesita suministrar o producir una organización una vez que restablece sus
operaciones comerciales.

Contenido de ISO 22301

La norma incluye estas secciones:

Introducción
0.1 General
0.2 El modelo Planificación-Implementación-Verificación-Mantenimiento (PDCA)
0.3 Componentes de PDCA en esta norma internacional
1 Alcance
2 Referencias normativas
3 Términos y definiciones
4 Contexto de la organización
4.1 Conocimiento de la organización y de su contexto
4.2 Conocimiento de las necesidades y expectativas de las partes interesadas
4.3 Determinación del alcance del sistema de gestión
4.4 Sistema de gestión de la continuidad del negocio
5 Liderazgo
5.1 General
5.2 Compromiso de la dirección
5.3 Política
5.4 Funciones, responsabilidades y autoridades organizativas
6 Planificación
6.1 Acciones para tratar riesgos y oportunidades
6.2 Objetivos de la continuidad del negocio y planes para alcanzarlos
7 Apoyo
7.1 Recursos
7.2 Competencia
7.3 Concienciación
7.4 Comunicación
7.5 Información documentada
8 Funcionamiento
8.1 Planificación operativa y control
8.2 Análisis de impactos en el negocio y evaluación de riesgos
8.3 Estrategia de la continuidad del negocio
8.4 Establecimiento e implementación de procedimientos de continuidad del negocio
8.5 Prueba y verificación
9 Evaluación de desempeño
9.1 Supervisión, medición, análisis y evaluación
9.2 Auditoría interna
9.3 Revisión por parte de la dirección
10 Mejoras
10.1 No conformidades y acciones correctivas
10.2 Mejora continua
Bibliografía
Documentación obligatoria
Si una organización desea implementar esta norma, necesitará la siguiente documentación
obligatoria:

 Lista de requisitos legales, normativos y de otra índole

 Alcance del SGCN
 Política de la Continuidad del Negocio
 Objetivos de la continuidad de negocios
 Evidencia de competencias del personal
 Registros de comunicación con las partes interesadas
 Análisis del impacto en el negocio
 Evaluación de riesgos, incluido un perfil de riesgo
 Estructura de respuesta a incidentes
 Planes de continuidad del negocio
 Procedimientos de recuperación
 Resultados de acciones preventivas
 Resultados de supervisión y medición
 Resultados de la auditoría interna
  Resultados de la revisión por parte de la dirección
 Resultados de acciones correctivas
Haga clic aquí para ver una explicación detallada de cada documento obligatorio.

Normas relacionadas
Otras normas de ayuda en la implementación de la continuidad del negocio son:
 ISO/IEC 27031:2011 – Lineamientos para preparación de tecnología de la información y
comunicación para la continuidad del negocio
 PAS 200 – Gestión de crisis: orientación y buenas prácticas
 PD 25666 – Orientación para prueba y verificación de programas de continuidad y
contingencia
 PD 25111 – Orientación sobre aspectos humanos de la continuidad del negocio
 ISO/IEC 24762 – Lineamientos sobre servicios de tecnología de la información y
comunicación para recuperación de desastres
 ISO/PAS 22399 – Lineamientos sobre preparación para incidentes y gestión de continuidad
operativa
 ISO/IEC 27001 – Sistemas de gestión de seguridad de la información: requisitos
Para obtener más información sobre la implementación de ISO 22301, visite nuestra 

PROTIVITI

La continuidad del negocio nos permite identificar las estrategias necesarias para recuperar los
principales productos y servicios de una empresa ante un evento severo de interrupción. 

La existencia de un Programa de Continuidad del Negocio permite mantener planes adecuadamente

priorizados, coordinados y probados. Además, de preparar a la organización para responder a
incidentes “no pensados” que impactan severamente en los ingresos y en la imagen de la
organización.

Nuestro enfoque:

 Ayudamos a estructurar, fortalecer y desarrollar las estrategias para la resiliencia de los

procesos de negocios, las aplicaciones y la infraestructura de TI de su organización,
basándonos en los marcos regulatorios locales y de las buenas prácticas internacionales.
 Ayudamos a definir un nivel de servicio en límites aceptables que permitirán un periodo de
recuperación mínimo para restablecer progresivamente los procesos de la organización.
 Asesoramos en el desarrollo e implementación de planes y estrategias para que las
funciones esenciales y la operatividad del negocio continúen de una manera razonable,
cubriendo las expectativas de sus principales grupos de interés.
 Desarrollamos talleres que permitan a la organización incentivar un gobierno corporativo
consciente y sensibilizado en la importancia de la resiliencia.
Gestión de Continuidad de Negocio ISO 22301
Business Continuity Management Instituto
Científico de Gobierno Electrónico
Todo lo que usted necesita para:
 Identificar impactos que puedan amenazar a una organización
 Dar respuesta efectiva que proteja los intereses de los principales proveedores, clientes y
otras partes interesadas así como la reputación, la marca y las actividades generadoras de valor
 Conocer la Normativa ISO22301
 Crear un Sistema de Gestión y Mejora Contínua
Programa del curso:
Módulo 1
Módulo 2
Módulo 3
 La Continuidad de Negocio
 Semejanzas y Diferencias entre BS 25999-2 e ISO 22301
 Normativa ISO 22301
 Normativa BS 25999
CURSO: GESTIÓN DE LA CONTINUIDAD DE NEGOCIOS.- COLOMBIA

Título: Gestión de la continuidad de negocio 

 Modalidad: Remota
 Duración: 45 horas
 Sitio de realización: Microsoft Teams
 Horarios: Martes y jueves 6:00 a 9:00 p.m.
Sábado 8:00 a.m. a 11:00 a.m. | Sesión presencial: junio de 7:00 a.m. a 11:00 a.m

Presentación:
Los riesgos a que están expuestas las organizaciones son diversos y sorprendentes, retan a los
directivos a revisar y reforzar continuamente sus estrategias, tácticas y operaciones. La capacidad
de respuesta y recuperación de las organizaciones frente a potenciales incidentes originados por la
naturaleza o el mercado, que impactan las actividades críticas y generan interrupción del proceso
productivo, exige resiliencia para responder eficaz y eficientemente y recuperarse pronta y
satisfactoriamente, evitando o reduciendo efectos adversos tanto financieros como reputacionales.

Es indispensable adoptar un modelo de continuidad de negocio que refuerce las actividades de

dirección y control de los procesos de la organización, con el propósito de protegerla y lograr el
éxito sostenible.

La norma ISO 22301 refleja la evolución del Sistema en Gestión de Continuidad de Negocio
(SGCN / BCMS), integra mejores prácticas de gestión del riesgo y brinda elementos fundamentales
para implementar en los procesos, estructura organizacional y recursos de la organización de
manera completa y transversal.

El 43 % de las compañías que experimentan un desastre significativo no pueden recuperarse, el 29

% termina sus operaciones en los dos años siguientes y más del 50 % ha experimentado una crisis
alguna vez.

Las anteriores cifras, tomadas de los estudios realizados por la prestigiosa firma americana de
consultoría Gartner Inc. muestran la importancia y pertinencia de que las organizaciones
implementen, mantengan y mejoren el sistema de gestión de continuidad de negocio para tener la
capacidad de continuar con la entrega de productos o servicios a los niveles predefinidos aceptables
después de un incidente que interrumpe o detiene la producción de bienes y servicios.

La continuidad del negocio es temática de singular importancia, abordada por los directivos de las
compañías que pretenden ante los desafíos actuales asegurar la supervivencia y la sostenibilidad de
sus negocios.

Ante este panorama, es indispensable proveer a los presentes y futuros líderes organizacionales las
herramientas conceptuales y prácticas para gestionar los riesgos a los que están expuestos. Para
afrontar este desafío ineludible se estructura un curso que potencia a los estudiantes para la
planificación, desarrollo, evaluación y mejora del Sistema de Gestión de Continuidad de Negocio,
tomando como referencia normas internacionales y las mejores prácticas de gestión.

Beneficios:
1. Programa de formación que integra la gestión de riesgos y continuidad de negocio BCM:
interrelación de los principios y marco conceptual de la gestión de riesgos y continuidad de negocio,
ISO 31000 e ISO 22301.
2. Formación con enfoque práctico: talleres que brindan escenarios preparatorios para afrontar la
realidad en las organizaciones.

¿Por qué tomar el programa de la escuela colombiana de ingeniería julio garavito?

La Escuela, consciente de su misión de transformación social y la necesidad de hacer una oferta
académica diferencial, decidió incorporar en el contenido temático de este curso un espacio
complementario a los conocimientos técnicos para promover en sus estudiantes habilidades sociales
y de comunicación conocidas como “habilidades blandas” (soft skills), para habilitar profesionales
con capacidad para afrontar los desafíos y consolidar la agilidad organizacional requerida por el
sector productivo.

Objetivos:
1. Conocer las metodologías y mejores prácticas de continuidad de negocio existentes.
2. Implementar los procesos de continuidad de negocio en las organizaciones de forma integrada
con la gestión de riesgos.
3. Integrar la continuidad de negocio con las demás funciones de la organización y con las partes
interesadas.
4. Apoyar a la organización en la identificación de las necesidades y las acciones de recuperación
de sus procesos y actividades críticas.
5. Entender y reconocer la importancia que tiene para la organización realizar eficazmente la
evaluación de riesgos de interrupción y la determinación del impacto que generan en el negocio las
interrupciones en los procesos críticos.
6. Identificar los aspectos críticos y pertinentes para definir escenarios y estrategias de continuidad
requeridas por los procesos de negocio dirigidos a implementar planes de continuidad.
7. Reconocer las metodologías para el desarrollo, pruebas y mantenimiento de los planes de
continuidad.
8. Establecer los mecanismos para medición y mejoramiento del desempeño de la función de
continuidad en la organización.
9. Promover y desarrollar la capacidad de interacción humana de los estudiantes para generar la
sinergia necesaria de modo que la continuidad de negocio sea un compromiso fundamentado en la
convicción, la toma de conciencia y un arquetipo cultural clave en el éxito sostenible en las
organizaciones.

Perfil del Aspirante:

El curso está dirigido a profesionales, auditores, directivos y consultores que tienen responsabilidad
y autoridad en el establecimiento, implementación, mantenimiento y mejora de la función de
continuidad de negocio de las organizaciones.
 Metodología:
El curso se imparte mediante metodología interactiva y pragmática, que promueve la integración de
la información y los conocimientos con el desarrollo de habilidades por medio de estudio de casos,
conferencias magistrales y talleres.

Certificación

La Escuela certificará a quienes participen activa y cumplidamente como mínimo en el 90 % de las

sesiones programadas.
Contenido Temático:

Módulo I. Fundamentos de continuidad de negocio 

 Terminología y conceptos de continuidad de negocio.

 Contexto de continuidad de negocio.
 Evaluación del riesgo.
 Trabajo en equipo y toma de conciencia (4 horas).

 Módulo II. Implementación y desempeño de continuidad de negocio 

 Análisis de impacto en el negocio (BIA).

 Estrategias de continuidad de negocio.
 Gestión de incidentes.
 Plan de continuidad de negocio.
 Pruebas y ejercicios.
 Desempeño de la continuidad de negocio.
 Atención de crisis en las organizaciones (6 horas).

Conceptos de Continuidad de Negocio

 

Continuidad de Negocio es un conjunto de medidas que adopta una empresa para garantizar que su
operación no se vea afectada, de una forma substancial, por eventos que están fuera de su control.
Existe una amplia gama de dichos eventos llamados contingencias, desde una simple caída de
sistema, hasta un incendio, una inundación o una pandemia.
 
En esta web sólo nos ocupamos de las herramientas que aportan la continuidad de operación de los
Sistemas Informáticos y la terminología que se relaciona con ellas. Estas herramientas son
meramente un instrumento al servicio de la Continuidad de Negocio, concepto que incluye además,
normas, estándares, políticas y procedimientos. En su conjunto es una mentalidad empresarial, un
método que conduce a la garantía de la continuidad de la empresa.
 El tiempo tolerable de inactividad tiende a cero
Muchos interpretan el aumento de demanda de soluciones de Continuidad de Negocios,
Recuperación de Desastres y Alta Disponibilidad de sistemas como consecuencia directa del ataque
terrorista contra las Torres Gemelas. Creo que es más justo decir que dicho ataque, o sus
consecuencias, ha puesto a la gente y a las empresas a pensar seriamente en lo que puede significar
para una empresa que las circunstancias le impidan operar normalmente durante un período de
tiempo.

Lo que ocurre es que el tiempo tolerable de inactividad se está acortando continuamente, debido al
constante aumento de la intensidad de los procesos de negocio, su globalización y necesidad de
cooperación en tiempo real entre múltiples unidades internas y externas. También, cada vez mayor
número de transacciones se realiza sin soporte en papel, lo cual hace prácticamente imposible su
recuperación en caso de que llegue a perderse el soporte informático.

 La Continuidad de Negocios, Recuperación de Desastres y Alta Disponibilidad de Sistemas

Para hablar de Alta Disponibilidad conviene relacionar este concepto con algunos otros. La
Continuidad de Negocios engloba todo lo relacionado con los esfuerzos de las empresas de operar
armónicamente en cualquier circunstancia; por tanto, los otros dos conceptos, Recuperación de
Desastres y Alta Disponibilidad de sistemas, son categorías incluidas en la anterior.

La Recuperación de Desastres significa superar las contingencias que puedan producirse,

independientemente de su origen. Un plan de recuperación tiene por objetivo proporcionar a la
empresa los medios alternos para realizar sus funciones normales, cuando los medios habituales no
están disponibles debido a una contingencia. Abarca por tanto mucho más que los sistemas
informáticos; se necesitan también otros elementos como archivos, puestos de trabajo, teléfonos,
faxes y muchos otros elementos.

La Alta Disponibilidad puede cubrir, dentro de un plan de recuperación, una parte muy substancial:
la de los Sistemas de Información Electrónica. Pero la Alta Disponibilidad de sistemas cubre
también algo muy importante que no está relacionado con planes de recuperación: los paros de
sistemas que no son causados por contingencias, sino por la propia dinámica de los sistemas, que
suelen llamarse “paros planificados”. Entre ellos contamos los causados por copias de seguridad,
mantenimientos o cambios de versión de sistemas operativos o del software aplicativo.

Por tanto, la Alta Disponibilidad cumple dos funciones muy importantes:

 
 Simplifica de una manera absolutamente decisiva el plan de recuperación, porque
previene la necesidad de recuperación, permitiendo que los sistemas permanezcan disponibles
a pesar del fallo o desastre que se haya producido.
 Permite el funcionamiento continuado de los sistemas de información en condiciones
normales, evitando los paros planificados.
 
Y cabe resaltar, en este punto, la importancia clave de lo anterior, porque los planes de recuperación
son complejos, costosos y difíciles de probar, mientras que los paros planificados son mucho o
muchísimo más frecuentes que los desastres o fallos de ordenadores. Pero lo peor es que la empresa
tolera estos paros cada vez peor.

De aquí se deduce que no hay que pensar en situaciones demasiado dramáticas para llegar a la
conclusión de que su empresa puede necesitar una solución de Continuidad de Negocios.
 
Soluciones Informáticas de Continuidad de Negocio

Una solución la entendemos como el conjunto de una herramienta y los servicios requeridos para su
puesta en marcha y mantenimiento. En otra sección de esta web hablamos de las distintas
modalidades de backup (copia de seguridad) y explicamos cómo han ido evolucionando, debido a
las necesidades de las empresas. Estas necesidades han ocasionado que muchas empresas, en vez de
almacenar el backup en cintas u otros medios “offline”, tengan que mantener la copia en un
servidor: Backup Server. El disponer de un servidor especial para almacenar el backup hace
posibles soluciones más avanzadas:
 
 Backup OnLine
 Alta Disponibilidad y Recuperación de Desastres
 Protección Continuada de Datos

The ISO 27001 & ISo 22301 BLOGs

ISO 22301 vs. BS 25999-2 – Infografía

Dejan Kosutic | mayo 22, 2012
Hace muy poco se publicó una nueva norma sobre continuidad del negocio (ISO 22301), por
lo que he decidido realizar una comparación entre ésta y la vieja BS 25999-2.

BS 2599—
ISO 22301 VS BS 25999-2
La Norma ISO 22301 puede ser considerada como una “actualización” de la BS 25999-2 y
se estima que se transformará en uno de los principales marcos de referencia a nivel
mundial sobre continuidad del negocio.

DIFERENCIAS

DATOS BÁSICOS:
ISO 22301 IBS 25999-2
 Nombre Completo ISO 22301-2012 Seguridad de IBS 25999-2
la Sociedad-sistemas de Gestión de la
Gestión de la Continuidad del Continuidad del Negocio-
Negocio-Requisitos Parte 2 :
Especificaciones

Publicado por International Organization for British Standards

Standardization Institution

Fecha de Publicación 15 Marzo del 2012 20 Noviembre del 2007

Cantidad de páginas 24 28

Reconocida Aceptada mundialmente por Solo en el Reino Unido,

Oficialmente institutos de normas pero implementada
nacionales en 163 países mundialmente

Período de Transición
En noviembre de 2012
Mayo 2012 se dejará sin efecto la BS 25999-2 Mayo 2014

Certificación: B” 25999-2 o 22301 Certificación: sólo ISO 22301

De mayo a noviembre de 2012: Después de noviembre de 2012:
Las empresas se pueden certificar tanto solamente será posible
con las BS 25999-2 como con la ISO 22301 la certificación con ISO 22301

Período de “ actualización”
De mayo de 2912 a mayo de 2914:
todas las organizaciones que actualmente
tienen certificado BS 25999-2 deberán “actualizarse” al ISO 22301
 Las Normas a través del Tiempo
Historia de normas y marcos de referencia sobre continuidad del negocio y recuperación

1995 2002 2007 2008 2011

NPPAn1500 Lineamientos BS 25999-2 ISO…24762 PAS 200
De buenas ISO/PAS 22399 BS 25777 ISO/EC 22301
Prácticas de BCI

---- ---- ---- ---- ---- ----

1997 2003 2006 2010 2012

Prácticas PAS 56 BS 25999-1 Norma ASS/BSI ISO 22301
Profesionales gestión
De DRII de continuidad
Del Negocio
Nuevos Términos en ISO 22302

Incidente disruptivo
Un evento que interrumpe las actividades del negocio

Información documentada
Información que necesita ser controlada y presentada por una organización, también el
medio que la contiene
Interrupción máxima aceptable (MAO por sus siglas en inglés)
En tiempo que tardarían los impactos adversos que pudieran surgir por no proporcionar un
producto o servicio o por no realizar una actividad, en convertirse en inaceptables.
Objetivo mínimo para la continuidad del negocio (MBCO, por sus siglas en inglés)
Nivel mínimo de servicios y/o productos aceptables para que la organización cumpla sus
objetivos comerciales durante una interrupción.

Pérdida máxima de datos

El punto al cual debe ser restablecida la información utilizada por una actividad para
permitir que dicha actividad funcione correctamente una vez restablecida, también se la
conoce como Objetivo de punto de recuperación
Corrección
Una acción para eliminar una no conformidad detectada.
Semejanzas y Diferencias

0 Sin cambios 00 Cambios 000 Cambios

o cambios mínimos moderados importantes

Aspectos más Importantes Puntos en Puntos en Cambio

ISO 22302 BS 5999-2
Conocimiento de la organización 4.1 000
Conocimiento de las necesidades y 4.2. 000
expectativas de las partes interesadas
Determinación del alcance 4.3 3.2.1 00
Compromiso de la dirección 5.2 000
Política de la continuidad del negocio 5.3. 3.2.2
Objetivos de la continuidad del negocio 6.2 3.2.1.1. 00
Competencias 7.2 3.2.4.. 0
Concientización 7.3 3.3. 0
Sistema de comunicación y aviso 7.4, 8.4.2 8.4.3 4.3.3.3 000
Información documentada 7.5 3.4. 00
Análisis del impacto en el negocio 8.2.1, 8.2.2 4.1.1. 0
Evaluación de riesgos 8.2.1, 8.2.3 4.1.2 00
Estrategia de la continuidad del negocio 8.3.1 4..2. 0
Requisitos de recursos 8.3.2 4.3.2.2., 4.3.3.3 0
Tratamiento del riesgo (protección y 8.3.3. 4..1.3 0
mitigación)
Estructura de respuesta a incidentes 8.4.2 4..3.2 0
Planes de continuidad y recuperación del 8.4.4., 8.4.5 4.3.3.
negocio
Prueba y recuperación 8.5 4.4.2 0
Supervisión, medición, análisis y 9.1 4.4.3 000
evaluación
Auditoría interna 9.2 5.1 0
Revisión por parte de la dirección 9.3 5.2 0
No conformidades y acciones correctivas 10.1 6.1.3 00
Acción preventiva 6.1.9.1.1. 6.1.2 00

CICLO PDCA
Los elementos de continuidad del negocio en ISO 22301 se describen mejor a través del ciclo Planificación-
Implementación-Verificación-Mantenimiento (PDCA)
CONCLUSIÓN
ISO 22301 no es tan diferente de la BS 25999-2 en la mayoría de los aspectos más importantes de la
continuidad del negocio como el análisis del impacto, la estrategia o la planificación. Los principales cambios
se encuentran en la parte de gestión de la norma ISI 22301, pone más énfasis en la comprensión de los
requisitos, el establecimiento de los objetivos y en la medición del desempeño.
Por lo tanto será aceptada más fácilmente por la alta gerencia, que al mismo tiempo contribuirá con la
aceptación más generalizada de esta norma, como ISO 27001, ISO 90001º ISO 14001