Está en la página 1de 23

Cláusula por cláusula

explicación de ISO 22301

PAPEL BLANCO

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 1
Tabla de contenido

Resumen ejecutivo................................................ .................................................. .................................................. 3

0. Introducción ............................................... .................................................. .................................................. ........ 4

1. Proceso y enfoque de proceso .............................................. .................................................. .......................... 5

2. Impacto del enfoque de proceso ............................................... .................................................. ................................. 6

3. El ciclo Planificar-Hacer-Verificar-Actuar ......................................... .................................................. ................................. 7

4. Contexto de la organización .............................................. .................................................. .............................. 9

5. Liderazgo................................................. .................................................. .................................................. .. 10

6. Planificación................................................. .................................................. .................................................. ...... 12

7. Apoyo................................................. .................................................. .................................................. ....... 13

8. Operación ................................................. .................................................. .................................................. ... 15

9. Evaluación del desempeño................................................ .................................................. ................................ 19

10. Mejora ................................................. .................................................. ............................................... 21


Conclusión................................................. .................................................. .................................................. ........... 22

Muestra de plantillas de documentación o kits de herramientas ............................................ .................................................. ....... 22

Referencias ................................................. .................................................. .................................................. .......... 22

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 2
Resumen ejecutivo

Sobrevivir a una interrupción del negocio es cuestión de estar bien preparado. Este documento técnico está diseñado para
ayudar a la alta dirección y a los empleados de las organizaciones que decidieron lograr la preparación necesaria mediante
el establecimiento y mantenimiento de un Sistema de Gestión de Continuidad del Negocio (BCMS) basado en ISO 22301:
2012.

En este documento, encontrará cada cláusula de ISO 22301, desde las secciones 4 a la 10, explicadas para facilitar la
comprensión de la norma. Las cláusulas se presentan en el mismo orden y con los mismos números de cláusula que
en la norma ISO 22301: 2012. Además, encontrará enlaces a materiales de aprendizaje complementarios, como
artículos y otros documentos técnicos.

Tenga en cuenta: este documento técnico no sustituye a ISO 22301; para obtener el estándar, visite el sitio web de
ISO: http://www.iso.org

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 3
0. Introducción

Los sistemas de continuidad del negocio a menudo son considerados por las organizaciones como simples listas de
verificación e instrucciones de trabajo que deben usarse solo en situaciones improbables, lejos de la forma en que hacen
sus negocios habituales. Al apegarse a estas creencias, las organizaciones se impiden construir adecuadamente un BCMS
(Business Continuity Management System) y alcanzar su máximo potencial, ya sea en el desempeño operativo y financiero,
o en la reputación de marketing.

Afortunadamente, existen muchos marcos en el mercado que pueden ayudar a las organizaciones a manejar
esta situación, entre ellos ISO 22301: 2012.

Independientemente o integrado con otro sistema de gestión, como ISO 9001 (Calidad),
ISO 27001 (seguridad de información), ISO 14001 (Medio ambiente), o OHSAS 18001 (Salud y seguridad operativa), la
norma ISO 22301: 2012 proporciona orientación y dirección sobre cómo una organización, independientemente de
su tamaño e industria, debe gestionar, mitigar y recuperarse de incidentes disruptivos cuando surjan, lo que puede
traer muchos beneficios no solo para la propia organización, pero también para clientes, proveedores y otras partes
interesadas.

Pero, para quienes no estén familiarizados con las normas ISO o los conceptos de continuidad empresarial, ISO 22301 puede resultar

confuso, por lo que desarrollamos este documento técnico para ayudarlo a adentrarse en este mundo.

Las secciones 1 a 3 cubrirán los conceptos de procesos, un enfoque de proceso y el ciclo PDCA aplicable a las
normas de gestión ISO, así como las definiciones más importantes que un principiante en la continuidad del
negocio debe conocer.

El contenido principal de este white paper seguirá el mismo orden y numeración de las secciones requeridas para
certificar un BCMS según ISO 22301: 2012:

4. Contexto de la organización

5. Liderazgo

6. Planificación

7. Apoyo

8. Operación

9. Evaluación del desempeño

10. Mejora

Además de toda esta información explicativa, encontrará tanto a lo largo como al final de este documento técnico,
referencias a otros materiales de aprendizaje.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 4
1. Proceso y enfoque por procesos

1.1 Términos y definiciones

Proceso: un grupo de actividades repetibles e interrelacionadas que se realizan para transformar una serie de entradas en
salidas definidas.

Enfoque basado en procesos: la gestión de un grupo de procesos en conjunto como un sistema, donde se
identifican las interrelaciones entre procesos y se tratan las salidas de un proceso anterior como las entradas
del siguiente. Este enfoque ayuda a garantizar que los resultados de cada proceso individual agreguen valor
comercial y contribuyan a lograr los resultados finales deseados.

Entradas: un grupo de elementos que se requieren para realizar un proceso, por ejemplo: empleados,
materia prima, equipos, información, etc. La entrada de un proceso puede ser la salida de uno anterior.

Salidas: los resultados de un proceso. Pueden ser deseados (por ejemplo, producto y / o servicio) o no deseados (por ejemplo,

desperdicio o contaminación). La salida de un proceso puede ser el resultado final deseado o la entrada de un proceso posterior.

Continuidad del negocio: la capacidad de entregar productos y servicios previamente acordados incluso en
situaciones extremadamente negativas (por ejemplo, durante o después de un desastre natural o falla masiva del
proceso). Cabe señalar que la entrega puede ser a partes internas o externas (por ejemplo, entre procesos o al
cliente final).

Gestión de la continuidad del negocio: un proceso de gestión que cubre la identificación de situaciones que
pueden tener un alto impacto negativo en las operaciones comerciales y la implementación de capacidades para
responder adecuadamente a ellas y proteger los intereses de la empresa y otras partes interesadas relevantes (por
ejemplo, clientes, empleados, etc. .).

Análisis de impacto empresarial (BIA): un proceso que ayuda a identificar los efectos que una situación disruptiva puede tener en

las actividades comerciales.

Plan de negocios continuo: un conjunto de procedimientos e instrucciones para guiar a una organización durante y después de un

evento de interrupción, para acelerar la respuesta inmediata, la recuperación y la reanudación de las condiciones operativas

mínimas y el restablecimiento de las operaciones normales.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 5
2. Impacto del enfoque basado en procesos

El cumplimiento de la norma ISO 22301: 2012 es obligatorio para la certificación, pero el cumplimiento por sí solo no
garantiza la capacidad de una organización para responder y sobrevivir a un incidente perturbador. El uso del enfoque
basado en procesos es útil para crear un vínculo entre requisitos, políticas, objetivos, desempeño y acciones. Como
podemos ver en el siguiente diagrama, un enfoque de procesos es una buena manera de organizar y administrar las
actividades de continuidad del negocio para crear valor para una organización y otras partes interesadas.

Por lo tanto, al adoptar un enfoque de proceso para la continuidad del negocio, una organización puede tener una mejor
visión de cómo cada paso contribuye a los objetivos principales de soportar y superar un incidente disruptivo, lo que le
permite identificar rápidamente los puntos problemáticos en la realización del proceso.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 6
3. El ciclo Planificar-Hacer-Verificar-Actuar

Debido a que cualquier negocio es un ser vivo, cambia y evoluciona debido a influencias internas y externas, es necesario
que el Sistema de Gestión de Continuidad del Negocio (BCMS) también sea capaz de ajustarse a sí mismo (por ejemplo, sus
objetivos y procedimientos) para seguir los cambios del negocio y permanecer relevante y útil. La norma ISO 22301: 2012
asegura que esta condición se logra mediante la adopción de un ciclo "Planificar-Hacer-Verificar-Actuar" (PDCA) en su
marco, que se puede describir de la siguiente manera:

Plan: el establecimiento de políticas, objetivos, metas, controles, procesos y procedimientos relacionados con la
continuidad del negocio, que apoyan la entrega de resultados alineados con el negocio principal de la organización.

Hacer: la implementación y operación de los procesos planificados.

Cheque: el seguimiento, medición, evaluación y revisión de los resultados frente a la política y los objetivos de
continuidad del negocio, para que se puedan determinar y autorizar acciones correctivas y / o de mejora.

Actuar: la realización de acciones autorizadas para asegurar que el BCMS entregue sus resultados y se mejore.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 7
Cabe señalar que el ciclo PDCA es una metodología de sistema de gestión reconocida a nivel mundial que se utiliza
en varios sistemas de gestión empresarial, pero su uso es obligatorio y altamente beneficioso dentro de la norma
ISO 22301: 2012.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 8
4. Contexto de la organización

4.1 Comprensión de la organización y su contexto

Esta cláusula requiere que la organización determine todas las cuestiones internas y externas que puedan ser relevantes
para sus propósitos comerciales y para el logro de los objetivos del BCMS en sí. Esto incluye todos los elementos que
afectan o pueden verse afectados por posibles incidentes perturbadores.

4.2 Comprensión de las necesidades y expectativas de las partes


interesadas

El estándar requiere que la organización evalúe quiénes son las partes interesadas en términos de su BCMS, cuáles pueden
ser sus necesidades y expectativas, qué requisitos legales y reglamentarios son aplicables y, en consecuencia, si alguno de
estos debe convertirse en obligaciones de cumplimiento. Los requisitos legales y reglamentarios deben documentarse,
mantenerse actualizados y comunicarse a todas las partes interesadas.

Sugerencia: para obtener más información sobre este tema, consulte el artículo Cómo identificar a las partes interesadas
según ISO 27001 e ISO 22301.

4.3 Determinación del alcance del sistema de gestión de la


continuidad del negocio

El alcance y los límites del BCMS deben ser examinados y definidos considerando los asuntos internos y
externos, las partes interesadas, sus necesidades y expectativas, así como las obligaciones de cumplimiento
legal y regulatorio.

Las consideraciones adicionales requeridas para el alcance del BCMS son: productos, servicios y tamaño, naturaleza y complejidad

de la organización. El alcance y las exclusiones justificadas deben mantenerse como "información documentada".

4.4 Sistema de gestión de la continuidad del negocio

El estándar indica que un BCMS debe establecerse y operarse y, mediante el uso de procesos
interactivos, debe controlarse y mejorarse continuamente.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 9
5. Liderazgo

5.1 Liderazgo y compromiso

La alta gerencia y los gerentes de línea con roles relevantes en la organización deben demostrar un esfuerzo genuino para

involucrar a las personas para que respalden el BCMS.

Para obtener más información sobre este tema, consulte el artículo Funciones y responsabilidades de la alta
dirección en ISO 27001 e ISO 22301.

5.2 Compromiso de la dirección

Esta cláusula proporciona muchos ejemplos de compromiso de la alta dirección con niveles mejorados de
liderazgo, participación y cooperación en la operación del BCMS, al garantizar aspectos como:

  la política de continuidad del negocio y los objetivos alineados entre sí y con las políticas
estratégicas y la dirección general del negocio

  integración de las actividades de continuidad del negocio con otros sistemas comerciales, cuando corresponda

  provisión de recursos para que el BCMS pueda funcionar de manera eficiente

  definición de las responsabilidades de continuidad del negocio para las personas dentro del BCMS, y su apoyo,

capacitación y orientación correctos para completar sus tareas de manera efectiva

  Comunicación pertinente, adecuada y oportuna con las partes interesadas internas y


externas.

  apoyo del BCMS durante todo su ciclo de vida, considerando un enfoque PCDA

5.3 Política

La alta dirección tiene la responsabilidad de establecer una política de continuidad del negocio, que esté alineada
con el propósito de la organización, proporcione un marco para establecer los objetivos de continuidad del negocio,
incluido el compromiso de cumplir con los requisitos aplicables y, con el BCMS, la mejora continua y sus resultados.
La política de continuidad del negocio debe mantenerse como información documentada,

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 10
comunicarse dentro de la organización, estar disponible para todas las partes interesadas y ser revisado
periódicamente, o cuando ocurran cambios significativos en el contexto organizacional.

Para obtener más información sobre este tema, consulte el artículo El propósito de la política de continuidad del negocio de
acuerdo con ISO 22301.

5.4 Funciones, responsabilidades y autoridades organizativas

La norma establece que es responsabilidad de la alta dirección garantizar que los roles, responsabilidades y
autoridades se deleguen y comuniquen de manera eficaz. También se asignará la responsabilidad de
garantizar que el BCMS cumpla con los términos de la norma ISO 22301: 2012 en sí, y que el desempeño del
BCMS se pueda informar con precisión a la alta dirección.

Para obtener más información sobre este tema, consulte el artículo El desafiante papel del gerente de BCM ISO
22301.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 11
6. Planificación

6.1 Acciones para abordar riesgos y oportunidades

Antes de la norma ISO 22301, la referencia más utilizada para los sistemas de gestión de la continuidad del negocio
era BS 25999-2. De hecho, ISO 22301 se basó principalmente en BS 25999-2, y esta cláusula 6.1 busca reemplazar la
“acción preventiva” establecida en BS 25999-2. La organización debe planificar acciones para manejar los riesgos y
oportunidades relevantes para el contexto de la organización (sección 4.1) y las necesidades y expectativas de las
partes interesadas (sección 4.2), como una forma de asegurar que el BCMS pueda lograr los resultados y resultados
previstos. prevenir o mitigar consecuencias no deseadas y mejorar continuamente.

Para obtener más información sobre este tema, consulte el artículo ISO 22301 frente a BS 25999-2: una infografía.

6.2 Objetivos de continuidad del negocio y planes para lograrlos

Los objetivos de continuidad del negocio deben establecerse y comunicarse a niveles e intervalos apropiados,
habiendo considerado la alineación con la política de continuidad del negocio, los niveles mínimos de entrega de
productos y servicios y las obligaciones de cumplimiento.

Deben pensarse en términos de lo que se debe hacer, cuándo debe hacerlo, qué recursos se
requieren para lograrlos, quién es responsable de los objetivos y cómo se medirán y evaluarán los
resultados para asegurar los objetivos. se están logrando y pueden actualizarse cuando las
circunstancias lo requieran.

Una vez más, es obligatorio que la información documentada se mantenga describiendo los objetivos de continuidad del negocio.

Para obtener más ayuda con los objetivos de continuidad del negocio y cómo planificarlos y alcanzarlos, consulte el artículo.
Establecer los objetivos de continuidad del negocio en ISO 22301.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 12
7. Apoyo

7.1 Recursos

No es ningún misterio aquí, el estándar establece que los recursos requeridos por el BCMS para lograr los objetivos
establecidos y mostrar una mejora continua deben estar disponibles por la organización.

7.2 Competencia

La competencia de las personas responsables del BCMS que trabajan bajo el control de la organización debe cumplir
con los términos de la norma ISO 22301: 2012, para garantizar que sean capaces y tengan confianza. La
competencia puede demostrarse mediante la experiencia, la formación y / o la educación con respecto a las tareas
asumidas. Cuando la competencia no es suficiente, se debe identificar e impartir la capacitación, así como medir
para asegurar que se logró el nivel de competencia requerido. Este es también otro aspecto del estándar que debe
mantenerse como información documentada para el BCMS.

Para obtener más ayuda con la capacitación en continuidad empresarial, consulte el artículo Cómo realizar formación y
sensibilización para ISO 27001 e ISO 22301.

7.3 Conciencia

La conciencia está estrechamente relacionada con la competencia en el estándar. Las personas que trabajan bajo el
control de la organización deben conocer la política de continuidad del negocio y su contenido, qué significa su
desempeño personal para el BCMS y sus objetivos, cuáles pueden ser las implicaciones de las no conformidades
para el BCMS y qué roles deben desempeñar durante incidentes disruptivos.

7.4 Comunicación

Los procesos para la comunicación interna y externa deben establecerse y registrarse como
información documentada dentro del BCMS. Los elementos clave que deben decidirse, llevarse a
cabo y registrarse son lo que debe comunicarse, cuándo debe hacerse y quién debe recibir la
comunicación.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 13
Los procesos de comunicación internos y externos deben considerar la participación de todas las partes
interesadas relevantes, la disponibilidad de recursos de comunicación durante eventos disruptivos y la
operación y prueba de esos recursos de comunicación destinados a ser utilizados solo durante incidentes
disruptivos que impactan los canales de comunicación normales.

7.5 Información documentada

7.5.1 General

La “información documentada”, que verá mencionada varias veces durante este informe técnico, ahora
cubre los conceptos de “documentos” y “registros” vistos en la revisión anterior de la norma ISO 22301.

Este cambio está diseñado para facilitar la gestión de documentos y registros requeridos por la norma, así
como aquellos que se consideran críticos para el BCMS y su funcionamiento. También debe tenerse en cuenta
que la cantidad y cobertura de información documentada que requiere una organización será diferente,
según su tamaño, sector operativo y complejidad de procesos y sus interrelaciones.

7.5.2 Creación y actualización

El estándar requiere que la información documentada creada o actualizada en el alcance del BCMS se identifique y describa

adecuadamente, considerando también la presentación de su contenido y los medios utilizados. Toda la información documentada

debe someterse a los procedimientos de revisión y aprobación adecuados para garantizar que sea adecuada para su propósito.

7.5.3 Control de la información documentada

El estándar establece que la información documentada requerida por el BCMS, ya sea de origen interno o externo,
debe estar disponible y ser apta para su uso donde y cuando sea necesario, y razonablemente protegida contra
daños o pérdida de integridad e identidad.

Para un control adecuado de la información documentada, la organización debe considerar para ellos la provisión de
procesos relacionados con la distribución, retención, acceso, uso, recuperación, preservación y almacenamiento,
control y disposición.

También debe tenerse en cuenta que deben existir controles para evitar el uso involuntario de información
obsoleta.

Para obtener más información sobre este tema, consulte el artículo. Documentos obligatorios requeridos por ISO 22301.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 14
8.Operación

8.1 Planificación y control operativo

Para garantizar que los riesgos y las oportunidades se traten adecuadamente (cláusula 6.1), y que se cumplan los
requisitos de la norma, un BCMS debe definir criterios claros para planificar, implementar y controlar sus procesos,
así como cualquier proceso subcontratado relevante, implementar de manera efectiva esos controles. y conservar la
información documentada que se considere necesaria para brindar confianza en que los procesos se están
ejecutando y logrando sus resultados según lo planeado.

Al estar enfocado en mantener la entrega de productos y servicios, el BCMS también debe considerar en su planificación y
control el seguimiento de los cambios planificados, y el análisis de impacto de cambios inesperados, para poder tomar
acciones para mitigar los efectos adversos en caso de ser necesario.

8.2 Análisis de impacto empresarial y evaluación de riesgos

8.2.1 General

El estándar requiere que los impactos adversos a los productos, servicios y operaciones de la organización deben ser
analizados y tratados sistemáticamente, considerando criterios para definir posibles eventos disruptivos, requisitos
comerciales, legales y de otro tipo que la organización debe cumplir, los principales riesgos a ser tratados y
estrategias. para ser seguido.

Debido a que la información resultante revela las vulnerabilidades potenciales de la organización e impulsa las principales
decisiones sobre la asignación de recursos, la organización también debe definir controles para evitar su divulgación no
autorizada y garantizar que se mantenga actualizada.

8.2.2 Análisis de impacto empresarial

El estándar reconoce que los recursos de las organizaciones no son infinitos y que juegan un papel aún más crítico
durante eventos disruptivos, por lo que requiere que su BCMS tenga medios, guardados como información
documentada, para identificar sistemáticamente las prioridades de continuidad y recuperación y definir objetivos y
metas. debe lograrse, en términos de rendimiento mínimo aceptable y tiempo para lograrlo.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 15
Estas prioridades, objetivos y metas deben identificarse considerando cómo las actividades, los recursos y las
dependencias que respaldan la entrega de los productos y servicios de la organización se ven afectados por posibles
eventos disruptivos.

Para obtener más información sobre este tema, consulte el artículo. Cómo implementar el análisis de impacto empresarial (BIA) de

acuerdo con ISO 22301.

8.2.3 Evaluación de riesgos

Para ayudar a respaldar un análisis de impacto comercial, el BCMS de una organización debe tener establecido, como información

documentada, un proceso de evaluación de riesgos para identificar, analizar, evaluar y tratar los riesgos que pueden conducir a

situaciones disruptivas. Los criterios de evaluación y tratamiento de riesgos deben considerar los objetivos de continuidad del

negocio y el apetito por el riesgo de la organización.

Para obtener más información sobre este tema, consulte el artículo. Evaluación de riesgos frente a análisis de impacto empresarial.

8.3 Estrategia de continuidad del negocio

8.3.1 Determinación y selección

La forma general en que una organización describe su estrategia de continuidad del negocio debe considerar los resultados
del análisis de continuidad del negocio y cubrir la protección, estabilización, continuidad, reanudación y recuperación de las
actividades prioritarias, y la mitigación, respuesta y gestión de los impactos resultantes de un evento disruptivo. Durante las
actividades de selección y definición de la estrategia de continuidad del negocio, también se deben considerar las
interdependencias y los recursos de soporte.

Para obtener más información sobre este tema, consulte el artículo. ¿Puede la estrategia de continuidad empresarial ahorrar su dinero?

8.3.2 Establecimiento de requisitos de recursos

Para respaldar las estrategias de continuidad del negocio, la organización debe definir los recursos necesarios, como
personas, información y datos, edificios e instalaciones, equipos y recursos consumibles, transporte, proveedores y
socios.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. dieciséis
8.3.3 Protección y mitigación

Teniendo en cuenta su apetito por el riesgo, la organización debe considerar controles de protección y mitigación para minimizar las

probabilidades de interrupción, la duración de la interrupción y el impacto de las interrupciones en los productos y servicios.

8.4 Establecer e implementar procedimientos de continuidad del negocio

8.4.1 General

Para garantizar la continuidad de las actividades y la gestión de incidentes de acuerdo con los objetivos de recuperación

identificados durante el análisis de impacto empresarial, una organización debe establecer, implementar, mantener y documentar

procedimientos de continuidad empresarial.

Los procedimientos deben cubrir la comunicación externa e interna y las medidas específicas que se tomarán durante una

interrupción, con especial atención a los impactos de la interrupción. También deben ser lo suficientemente flexibles para manejar

amenazas imprevistas y cambios en asuntos internos y externos.

Para obtener más información sobre este tema, consulte el artículo. Procedimientos de activación del plan de continuidad empresarial.

8.4.2 Estructura de respuesta a incidentes

Para responder eficazmente a una interrupción, ISO 22301: 2012 requiere que una organización cuente con procedimientos
y personas, con la autoridad y competencia adecuadas, para gestionar los incidentes, considerando la identificación del
incidente, la naturaleza del impacto y la evaluación de la extensión, y la activación de la respuesta de continuidad adecuada.
incluidas las comunicaciones con las partes interesadas pertinentes.

Los procesos y procedimientos deben estar documentados y los recursos para respaldarlos deben estar disponibles.

Para obtener más información sobre este tema, consulte el artículo. Incidentes en ISO 22301 vs. ISO 27001 vs. ISO 20000 vs.
ISO 28003.

8.4.3 Advertencias y comunicación

Además de los procedimientos para manejar incidentes (cláusula 8.4.2), el BCMS de una organización debe contar con
procedimientos para detectar incidentes reales y potenciales y gestionar la comunicación con las partes interesadas,
internas y externas, incluidos los sistemas de alerta de riesgos.

Los procedimientos deben definirse de tal manera que puedan proporcionar alertas oportunas a las partes interesadas afectadas

por un evento perturbador, real o inminente, garantizar la disponibilidad de la comunicación durante la interrupción.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 17
eventos y facilitar la comunicación con los equipos de emergencia. Todas las personas relacionadas con estos procedimientos

deben ejercitarse regularmente en

Se debe almacenar información relativa a incidentes, acciones y decisiones.

8.4.4 Plan de continuidad del negocio

En esta cláusula, la norma establece que la organización debe planificar la toma de acciones para responder a incidentes
disruptivos, garantizar la continuidad y recuperación de las operaciones dentro de los objetivos y metas definidos, y cumplir
con los requisitos adicionales de quienes la utilizarán.

El plan de continuidad del negocio es un elemento clave para garantizar la continuidad del negocio, y se deben cubrir una
serie de elementos, como roles, responsabilidades y autoridades que se realizarán durante y después de un incidente, un
proceso para activar la estructura de respuesta y el incidente, actividades para gestionar los impactos inmediatos, el flujo de
comunicación con las partes interesadas y las actividades de continuidad y recuperación.

Para obtener más información sobre este tema, consulte el artículo. Plan de continuidad del negocio: cómo
estructurarlo según ISO 22301.

8.4.5 Recuperación

Sobrevivir a un evento perturbador es solo la mitad de la historia. ISO 22301: 2012 también requiere que un BCMS tenga, como

procedimientos documentados, las actividades necesarias para restaurar y devolver las actividades comerciales de las condiciones

temporales, definidas como el logro de los niveles mínimos de desempeño acordados para una situación de "negocios como

siempre", operando en condiciones normales. condiciones.

8.5 Ejercicio y prueba

Los procedimientos de continuidad del negocio deben ejercerse y probarse de manera sistemática y periódica para garantizar que sean

adecuados para el propósito, estén actualizados y sean compatibles con los objetivos de continuidad.

Todos los ejercicios y pruebas planificados deben estar alineados con el alcance y los objetivos del BCMS, considerando los
posibles escenarios, la información que se debe registrar para proporcionar datos para el ejercicio y la revisión crítica de
pruebas, para que se pueda determinar la precisión de las acciones planificadas y las interacciones entre las partes
interesadas. evaluados, así como la capacidad de los planes para lograr sus objetivos definidos, aumentando la confianza en
la efectividad de la planificación o colaborando para la mejora continua mediante la corrección de vulnerabilidades o
implementación de mejoras.

Para obtener más información sobre este tema, consulte el artículo. Cómo realizar ejercicios y pruebas de continuidad del
negocio de acuerdo con ISO 22301.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 18
9. Evaluación del desempeño

9.1 Seguimiento, medición, análisis y evaluación

9.1.1 General
La organización no solo tiene que establecer y evaluar métricas de desempeño con respecto a la efectividad y
eficiencia de los procesos, procedimientos y funciones que protegen sus actividades más críticas, sino que
también debe considerar métricas para el desempeño del BCMS, en cuanto al cumplimiento de la norma,
acciones preventivas en respuesta a tendencias adversas y el grado en que se están logrando la política, los
objetivos y las metas de continuidad del negocio.

Los métodos establecidos deben tener consideraciones sobre lo que se necesita monitorear y medir, cómo garantizar la
precisión de los resultados y los períodos para realizar el monitoreo, la medición, el análisis y la evaluación de los datos y
resultados del BCMS. También debe tenerse en cuenta que los resultados de desempeño deben conservarse
adecuadamente como evidencia de cumplimiento y como una fuente para facilitar las acciones correctivas posteriores.

9.1.2 Evaluación de los procedimientos de continuidad del negocio

El estándar reconoce la importancia de las evaluaciones periódicas planificadas de los procedimientos de continuidad del
negocio, a través de ejercicios, pruebas y revisiones posteriores al incidente, para garantizar que sean continuamente
efectivos, actualizados y adecuados para manejar el nivel de riesgo que enfrentan todos los productos y servicios
identificados. Los procedimientos también deben ser revisados con respecto al cumplimiento de los requisitos legales y
regulatorios, así como su alineación con la política y los objetivos de continuidad del negocio, no solo en intervalos
planificados, sino después de cambios significativos, para que se puedan realizar los ajustes oportunos.

9.2 Auditoría interna

Las auditorías internas deben realizarse a intervalos planificados, considerando la relevancia de los procesos y los
resultados de auditorías previas, para asegurar el cumplimiento de los requisitos de la norma y los requisitos
definidos por la propia organización.

Los auditores deben ser independientes y no tener ningún conflicto de intereses sobre el tema de la auditoría, reportar los

resultados de la auditoría a la norma nos recuerda, y debe tenerse en cuenta que las no conformidades deben presentarse a los

gerentes responsables, quienes deben asegurarse de que se necesiten las medidas correctivas. se implementan de manera

oportuna. El auditor también debe verificar la efectividad de las acciones correctivas tomadas.

Para obtener más información sobre este tema, consulte el artículo. Cómo hacer una lista de verificación de auditoría interna para

ISO 27001 / ISO 22301.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 19
9.3 Revisión por la dirección

La revisión por la dirección existe para que el BCMS pueda mantenerse continuamente adecuado, adecuado y eficaz para
respaldar la continuidad del negocio.

Debe realizarse a intervalos planificados, a nivel estratégico y de alta dirección, cubriendo los aspectos
requeridos de una vez o por partes, de la forma más adecuada a las necesidades del negocio.

El estado de las acciones definidas en revisiones anteriores, los factores internos y externos importantes que pueden
afectar el BCMS, el desempeño de la continuidad del negocio y las oportunidades de mejora deben ser revisados
por la alta dirección, de modo que se puedan implementar los ajustes relevantes y las oportunidades de mejora.

La revisión por la dirección es la función más relevante para la continuidad de un BCMS, debido a la
participación directa de la alta dirección, y todos los detalles y datos de la revisión por la dirección deben
documentarse y registrarse para garantizar que el BCMS pueda seguir los requisitos específicos y estratégicos
generales. dirección de la organización allí detallada.

Sugerencia: para obtener más detalles sobre este tema, consulte el artículo ¿Por qué es importante la revisión por la dirección para

ISO 27001 e ISO 22301?.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 20
10. Mejora

10.1 No conformidad y acción correctiva

Los resultados de las revisiones por la dirección, las auditorías internas y la evaluación del cumplimiento y el desempeño
deben utilizarse para formar la base de las no conformidades y las acciones correctivas. Una vez identificada, una no
conformidad o acción correctiva debe desencadenar, si se considera relevante, respuestas adecuadas y sistemáticas para
mitigar sus consecuencias y eliminar las causas raíz, mediante la actualización de procesos y procedimientos, para evitar
que se repita.

La efectividad de las acciones tomadas debe ser evaluada y documentada junto con la información reportada
originalmente sobre la no conformidad / acción correctiva y los resultados logrados.

Para obtener más detalles sobre este tema, consulte el artículo. Uso práctico de acciones correctivas para ISO
27001 e ISO 22301.

10.2 Mejora continua


La mejora continua es un aspecto clave del BCMS, para lograr y mantener la idoneidad, adecuación y eficacia
del esfuerzo de continuidad del negocio en relación con los objetivos de la organización.

Para obtener más detalles sobre este tema, consulte el artículo. La bendición de la mejora continua en
ISO 22301.

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 21
Conclusión

ISO 22301: 2012 proporciona a las organizaciones orientación para gestionar, mitigar y recuperarse de incidentes
disruptivos con el objetivo final de la supervivencia empresarial, pero entregar todas las cláusulas del estándar y
comprenderlas verdaderamente puede beneficiar a su organización de muchas maneras. La acreditación y el
cumplimiento pueden traer beneficios financieros, de motivación y de reputación a su organización, brindando a los
clientes que tienen una mayor confianza en que puede entregar productos y servicios con los niveles de desempeño
acordados, junto con mejoras en su cadena de suministro. Todos estos elementos están estrechamente
relacionados con la capacidad de su organización para brindar satisfacción a sus clientes y cumplir con las
expectativas y deseos de sus partes interesadas, al tiempo que protege la capacidad de la organización para hacer
negocios a largo plazo. Teniendo todo esto en cuenta,

Muestra de plantillas de documentación o kits de

herramientas

Puede descargar una vista previa gratuita de nuestro Kit de herramientas de documentación ISO 22301 / BS 25999,
que le permitirá ver ejemplos del kit de herramientas disponible para ayudarlo a implementar ISO 22301: 2012 sin la
asistencia y el costo de consultoría externa.

Referencias

27001 Academia

Organización Internacional de Normalización

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 22
Advisera Expert Solutions Ltd Correo electrónico: support@advisera.com

para consultoría de negocios y comercio electrónico Teléfono: +1 (646) 759 9933

Zavizanska 12, 10000 Zagreb Número gratuito (EE. UU. Y Canadá): 1-888-553-2256
Croacia, Unión Europea Número gratuito (Reino Unido): 0800808 5485
Fax: +385 1556 0711

Copyright © 2016 Advisera Expert Solutions Ltd. Todos los derechos reservados. 23

También podría gustarte