GUÍA TÉCNICA GTC-ISO/TS

COLOMBIANA 22317

2017-10-18

SEGURIDAD DE LA SOCIEDAD.
SISTEMAS DE GESTIÓN DE LA CONTINUIDAD DE
NEGOCIO. DIRECTRICES PARA EL ANÁLISIS DE
IMPACTO EN EL NEGOCIO (BIA)

E: SOCIAL SECURITY. BUSINESS CONTINUITY

MANAGEMENT SYSTEMS. GUIDELINES FOR BUSINESS
IMPACT ANALYSIS (BIA)

CORRESPONDENCIA: esta guía es una adopción idéntica por

traducción (IDT) de la norma ISO/TS
22317:2015

DESCRIPTORES: seguridad de la sociedad; continuidad

de negocio; análisis de impacto; BIA

I.C.S.: 03.100.01; 03.100.70

Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)

Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888 - Fax (571) 2221435

Prohibida su reproducción Editada 2017-10-25

 PRÓLOGO

El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo

nacional de normalización, según el Decreto 1595 de 2015.

ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en
los mercados interno y externo.

La representación de todos los sectores involucrados en el proceso de Normalización Técnica

está garantizada por los Comités Técnicos y el período de Consulta Pública, este último
caracterizado por la participación del público en general.

La guía GTC-ISO/TS 22317 fue ratificada por el Consejo Directivo de 2017-10-18.

Esta guía está sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.

A continuación se relacionan las empresas que colaboraron en el estudio de esta guía a través
de su participación en el Comité Técnico 205 Seguridad de la sociedad y resiliencia.

ASOCIACIÓN BANCARIA Y DE GAMA CONSULTING SAS

ENTIDADES FINANCIERAS DE COLOMBIA HITACHI DATA SYSTEMS COLOMBIA
(ASOBANCARIA) SAS
BANCO AGRARIO INSTITUTO DE HIDROLOGÍA,
BANCO CAJA SOCIAL METEOROLOGÍA Y ESTUDIOS
BANCO COLPATRIA S.A. AMBIENTALES DE COLOMBIA (IDEAM)
BANCO DE LA REPÚBLICA ITEAM LTDA.
CENTRO DE INVESTIGACIÓN Y MANEJO TÉCNICO DE LA INFORMACIÓN
DESARROLLO EN TECNOLOGÍAS DE LA (THOMAS MTI)
INFORMACIÓN Y LAS COMUNICACIONES MARSH RISK CONSULTING
(CINTEL) OCCIDENTAL DE COLOMBIA LLC
CERTICÁMARA S.A. OLIMPIA MANAGEMENT S.A.
CHUBB DE COLOMBIA COMPAÑÍA DE PACIFIC EXPLORATION & PRODUCTION
SEGUROS S.A. PRICEWATERHOUSECOOPERS AG LTDA.
CONSEJO COLOMBIANO DE SEGURIDAD PROJECT ADVANCE MANAGEMENT SAS
DELL TECHNOLOGIES RESTREPO ORAMAS SAS
DEPÓSITO CENTRALIZADO DE VALORES SESCOLOMBIA SAS
(DECEVAL S.A.) SOCIETAL SECURITY SAS
EFECTIVO LTDA. WILLIS CONSULTING SAS
FONDO PARA EL FINANCIAMIENTO DEL XM S.A. ESP
SECTOR AGROPECUARIO (FINAGRO)

Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las

siguientes empresas:

ACERÍAS DE COLOMBIA (ACESCO SAS) ADMINISTRADORA COLOMBIANA DE

ACH COLOMBIA S.A. PENSIONES (COLPENSIONES)
AEROVÍAS DEL CONTINENTE IBM DE COLOMBIA & CIA. S.C.A.
AMERICANO S.A. (AVIANCA S.A.) ISOLUCIONES SAS
BANCO BBVA KORAL SOLUTIONS SAS
BANCO GNB SUDAMERIS MAMUT DE COLOMBIA SAS
BUSINESS PROCESS SERVICES SAS MATPEL DE COLOMBIA S.A.
CAJA DE COMPENSACIÓN FAMILIAR ORGANIZACIÓN TERPEL S.A.
COMFENALCO ANTIOQUIA PÉREZ Y VILLA S.A.
CONCALIDAD LTDA. PONTIFICIA UNIVERSIDAD JAVERIANA
CONSOLUCIÓN ASESORES SAS PRICEWATERHOUSECOOPERS LTDA.
CREDIBANCO PROFESIONALES EN DEPORTE
CRUZ ROJA SECCIONAL (PRODEPORT LTDA.)
CUNDINAMARCA Y BOGOTÁ RISKS & PROTECCION LTDA.
DELAWARE COLOMBIA SERFINANSA S.A.
DELIMA MARSH S.A. SERVIENTREGA S.A.
SERVICIO OCCIDENTAL DE SALUD S.A. SETELCOM LTDA.
EPS SURTIDORA DE GAS DEL CARIBE S.A.
ECOPETROL S.A. ESP
EMPRESAS PÚBLICAS DE MEDELLÍN TEAM FOODS COLOMBIA S.A.
ESP TECFIN INTERNATIONAL S.A.
ENLACE OPERATIVO S.A. THOMAS GREG & SONS DE COLOMBIA
ESCUELA COLOMBIANA DE INGENIERÍA S.A.
JULIO GARAVITO UNIVERSIDAD SANTO TOMÁS
ESTRATEGIA Y GESTIÓN LTDA. VIGCO LTDA.
FUNDICIONES Y COMPONENTES WILLIS COLOMBIA CORREDORES DE
AUTOMOTORES SAS (FUNDICOM SAS) SEGUROS S.A.
GESTIÓN & ESTRATEGIA S.A.S.

ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.

DIRECCIÓN DE NORMALIZACIÓN
GUÍA TÉCNICA COLOMBIANA GTC-ISO/TS 22317 RESUMEN

CONTENIDO

Página

INTRODUCCIÓN .................................................................................................................... i

1. OBJETO Y CAMPO DE APLICACIÓN ...................................................................... 1

2. REFERENCIAS NORMATIVAS ................................................................................. 1

3. TÉRMINOS Y DEFINICIONES ................................................................................... 1

4. PRERREQUISITOS ................................................................................................... 2

4.1 GENERALIDADES .................................................................................................... 2

4.2 CONTEXTO Y ALCANCE DEL PROGRAMA BC ...................................................... 2

4.3 ROLES DEL PROGRAMA BC ................................................................................... 3

4.4 COMPROMISO CON EL PROGRAMA BC ................................................................ 5

4.5 RECURSOS DEL PROGRAMA BC ........................................................................... 5

5. REALIZACIÓN DEL ANÁLISIS DE IMPACTO EN EL NEGOCIO ............................. 5

5.1 GENERALIDADES .................................................................................................... 5

5.2 PLANIFICACIÓN Y GESTIÓN DE PROYECTOS ...................................................... 6

5.3 PRIORIZACIÓN DE PRODUCTOS Y SERVICIOS .................................................... 8

5.4 PRIORIZACIÓN DE PROCESOS ............................................................................ 11

5.5 PRIORIZACIÓN DE LAS ACTIVIDADES ................................................................ 12

5.6 ANÁLISIS Y CONSOLIDACIÓN .............................................................................. 15

5.7 OBTENCIÓN DE RESPALDO DE LA ALTA DIRECCIÓN CON RELACIÓN

A LOS RESULTADOS BIA ...................................................................................... 16
GUÍA TÉCNICA COLOMBIANA GTC-ISO/TS 22317 RESUMEN

Página

5.8 DESPUÉS DEL BIA. SELECCIÓN DE LA ESTRATEGIA

DE CONTINUIDAD DE NEGOCIO ........................................................................... 17

6. SEGUIMIENTO Y REVISIÓN DEL PROCESO BIA ................................................ 18

BIBLIOGRAFÍA ................................................................................................................... 31

DOCUMENTO DE REFERENCIA ....................................................................................... 32

ANEXOS

ANEXO A (Informativo)
ANÁLISIS DE IMPACTO EN EL NEGOCIO EN UN SISTEMA
DE CONTINUIDAD DE NEGOCIO CON BASE EN LA NTC 5722 (ISO 22301) .................. 19

ANEXO B (Informativo)
CORRELACIÓN DE LA TERMINOLOGÍA DE ANÁLISIS DE IMPACTO
EN EL NEGOCIO ................................................................................................................ 20

ANEXO C (Informativo)
MÉTODOS DE RECOLECCIÓN DE INFORMACIÓN PARA ANÁLISIS
DE IMPACTO EN EL NEGOCIO ......................................................................................... 21

ANEXO D (Informativo)
OTROS USOS PARA EL PROCESO DE ANÁLISIS DE IMPACTO
EN EL NEGOCIO ................................................................................................................ 27

FIGURAS

Figura 1. Elementos de gestión de continuidad de negocio ............................................. i

Figura 2. Proceso de análisis de impacto en el negocio.................................................. iii

Figura 3. Relaciones en el análisis de impacto en el negocio .......................................... 6

Figura 4. Impacto en el tiempo de un incidente de interrupción

sobre una organización ..................................................................................................... 10
GUÍA TÉCNICA COLOMBIANA GTC-ISO/TS 22317 RESUMEN

Página

TABLAS

Tabla 1. Ejemplos de categoría de impacto en productos y nivel de servicios............... 9

Tabla 2. Técnicas de análisis BIA ..................................................................................... 16

GUÍA TÉCNICA COLOMBIANA GTC-ISO/TS 22317 RESUMEN

INTRODUCCIÓN

El presente documento proporciona orientación detallada para el establecimiento,

implementación y mantenimiento de un proceso de análisis de impacto en el negocio, BIA (por
su sigla en inglés), en coherencia con los requisitos de la NTC 5722 (ISO 22301). El presente
documento es aplicable al desempeño de cualquier proceso BIA, ya sea parte de un sistema de
gestión de continuidad de negocio (BCMS, por su sigla en inglés) o programa de continuidad
de negocio (programa BC, por su sigla en inglés). De aquí en adelante, programa BC hace
referencia a BCMS o a programa de BC.

La Figura 1 presenta la relación entre el proceso BIA y el programa BC en su totalidad. La

organización debería llevar a cabo un ciclo completo del proceso BIA antes de seleccionar
estrategias de continuidad de negocio.

Análisis de
impacto en el
negocio y
evaluación del
riesgo

Planificación Estrategia de
Ejercicios y
y control continuidad
pruebas
operacional del negocio

Establecer e
implementar
procedimientos de
continuidad de
negocio

Figura 1. Elementos de gestión de continuidad de negocio (Fuente: GTC-ISO 22313)

El proceso BIA analiza las consecuencias de un incidente de interrupción sobre la

organización. El resultado es una declaración y la justificación de requisitos de continuidad de
negocio.

El proceso BIA consta de varios BIA individuales, cada uno de ellos enfocado en un subgrupo
del alcance del programa BC. El proceso BIA prioriza productos y servicios, y continúa con la
priorización de procesos y actividades que en su conjunto abarcan el alcance completo del
programa BC. Después de un período de tiempo determinado por la organización, los BIA
individuales se repiten para asegurar la vigencia de los requisitos de BC.

i
GUÍA TÉCNICA COLOMBIANA GTC-ISO/TS 22317 RESUMEN

NOTA En este documento, requisitos de continuidad de negocio tiene el mismo significado que prioridades de
continuidad y recuperación, objetivos y metas (NTC 5722 (ISO 22301), 8.2.2).

Los propósitos de este documento son los siguientes:

- proporcionar una base para el entendimiento, desarrollo, implementación, revisión,

mantenimiento y mejora continua de un proceso BIA eficaz dentro de una organización;

- proporcionar orientación para la planificación y realización del BIA y la presentación de

informes sobre BIA;

- ayudar a la organización a que lleve a cabo un BIA de manera coherente que refleje
buenas prácticas;

- posibilitar la coordinación apropiada entre el proceso BIA y el programa BC global.

Los resultados del proceso BIA incluyen los siguientes:

- el respaldo o modificación del alcance del programa BC de la organización;

- la identificación de los requisitos legales, reglamentarios y contractuales (obligaciones)

y su efecto en los requisitos de continuidad de negocio;

- la evaluación de los impactos sobre la organización a lo largo del tiempo, que sirva
como justificación para los requisitos de continuidad de negocio (tiempo y capacidad);

- la identificación y la confirmación de los requisitos de entrega del producto/servicio

después de un incidente de interrupción, luego de lo cual se establecen los períodos de
tiempo priorizados para actividades y recursos;

- la identificación y el establecimiento de las relaciones entre productos/servicios,

procesos, actividades y recursos;

- la determinación de los recursos necesarios para llevar a cabo las actividades

priorizadas (por ejemplo, instalaciones, personas, equipos, información, activos de
comunicación y tecnología, y financiación);

- el entendimiento de la dependencia de otras actividades, cadenas de suministro, socios

y otras partes interesadas;

- la determinación de qué tan actualizada necesita estar la información.

NOTA Para los propósitos del presente documento, las cadenas de suministro producen insumos de bienes,
trabajos y servicios, que se denominarán "insumos" a lo largo de este documento.

El siguiente diagrama explica el proceso BIA, junto con los prerrequisitos y su relación con la
identificación de estrategias. Los numerales referenciados en el diagrama corresponden a
numerales del presente documento.

ii
GUÍA TÉCNICA COLOMBIANA GTC-ISO/TS 22317 RESUMEN

Proceso de análisis de impacto en el negocio

Prerrequisitos:

Contexto y alcance
Roles
Priorización de
Compromiso
productos y
Recursos
servicios
(numeral 4)
(numeral 5.3)

Después del BIA,

Obtener el respaldo
selección de la Planificación y
de la alta dirección Priorización
estrategia de gestión de
con relación a los de procesos
continuidad del proyectos
resultados del BIA (numeral 5.4)
negocio Requisito de (numeral 5.2)
(numeral 5.7)
(numeral 5.7) continuidad del
negocio

Análisis y Priorización
consolidación de actividades
(numeral 5.4) (numeral 5.4)

Figura 2. Proceso de análisis de impacto en el negocio

iii
GUÍA TÉCNICA COLOMBIANA GTC-ISO/TS 22317 RESUMEN

SEGURIDAD DE LA SOCIEDAD.
SISTEMAS DE GESTIÓN DE LA CONTINUIDAD DE NEGOCIO.
DIRECTRICES PARA EL ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA)

1. OBJETO Y CAMPO DE APLICACIÓN

El presente documento proporciona orientación para que una organización establezca,

implemente y mantenga un proceso de análisis de impacto en el negocio1 (BIA) formal y
documentado. El presente documento no establece un proceso uniforme para llevar a cabo un
BIA, pero ayudará a una organización a diseñar un proceso BIA que sea apropiado a sus
necesidades.

El presente documento es aplicable a todas las organizaciones, independientemente de su tipo,

tamaño y naturaleza, ya sea en el sector privado, público o sin ánimo de lucro. La orientación
se puede adaptar a las necesidades, objetivos, recursos y limitaciones de la organización.

Está prevista para uso por las personas responsables del proceso BIA.

2. REFERENCIAS NORMATIVAS

Los siguientes documentos, ya sea en parte o en su totalidad, se referencian normativamente

en este documento y son indispensables para su aplicación. Para referencias fechadas, solo se
aplica la edición citada. Para las referencias no fechadas se aplica la última edición del
documento referenciado (incluida cualquier enmienda).

ISO 22300, Societal Security. Terminology.

3. TÉRMINOS Y DEFINICIONES

Para los propósitos de este documento se aplican los términos y definiciones de la ISO 22300.

NOTA Todas las definiciones de la ISO 22300 están disponibles en la plataforma ISO Online Browsing:
www.iso.org/obp.
…

1
“Impacto en el negocio” es la forma gramaticalmente correcta. Sin embargo, el término “impacto al negocio”
también se utiliza.
1 de 32
GUÍA TÉCNICA COLOMBIANA GTC-ISO/TS 22317 RESUMEN

BIBLIOGRAFÍA

[1] ISO 22300, Societal Security. Terminology.

[2] ISO 22301:2012, Societal Security. Business Continuity Management Systems.

Requirements.

[3] ISO 22313, Societal Security. Business Continuity Management Systems. Guidance.

2
GUÍA TÉCNICA COLOMBIANA GTC-ISO/TS 22317 RESUMEN

IMPORTANTE

Este resumen no contiene toda la información necesaria para la aplicación del documento normativo original al que se
refiere la portada. ICONTEC lo creo para orientar a su cliente sobre el alcance de cada uno de sus documentos y facilitar
su consulta. Este resumen es de libre distribución y su uso es de total responsabilidad del usuario final.

El documento completo al que se refiere este resumen puede consultarse en los centros de información de ICONTEC en
Bogotá, Medellín, Barranquilla, Cali o Bucaramanga, también puede adquirirse a través de nuestra página web o en
nuestra red de oficinas (véase www.icontec.org).

El logo de ICONTEC y el documento normativo al que hace referencia este resumen están cubiertos por las leyes de
derechos reservados de autor.

Información de servicios aplicables al documento aquí referenciado la encuentra en: www.icontec.org o por medio del
contacto cliente@icontec.org

ICONTEC INTERNACIONAL