Iram-Iso 22317 Ts

ESPECIFICACIÓN IRAM-ISO
TÉCNICA TS 22317
22317 Primera edición
2019-09-02
2019
Seguridad de la sociedad - Sistemas de

gestión de la continuidad del negocio
Guía para análisis del impacto en el
negocio
[ISO/TS 22317:2015, (IDT )]
Societal security - Business continuity management systems

Guidelines for business impact analysis
Referencia Numérica:
IRAM-ISO TS 22317:2019
* DOCUMENTO PROTEGIDO POR EL DERECHO DE PROPIEDAD INTELECTUAL
IRAM 2019-09-02
No está permitida la reproducción de ninguna de las partes de esta publicación por
cualquier medio, incluyendo fotocopiado y microfilmación, sin permiso escrito del IRAM.
E s pec ific ac ió n Téc nic a IRA M-IS O TS 22317: 2 01 9
Prefacio
El Instituto Argentino de Normalización y Certificación (IRAM) es una
asociación civil sin fines de lucro cuyas finalidades específicas, en
su carácter de Organismo Argentino de Normalización, son
establecer normas técnicas, sin limitaciones en los ámbitos que
abarquen, además de propender al conocimiento y la aplicación de
la normalización como base de la calidad, promoviendo las
actividades de certificación de productos y de sistemas de la calidad
en las empresas para brindar seguridad al consumidor.
IRAM es el representante de Argentina en la International

Organization for Standardization (ISO), en la Comisión
Panamericana de Normas Técnicas (COPANT) y en la Asociación
MERCOSUR de Normalización (AMN).
Esta especificación técnica es el fruto del consenso técnico entre

los diversos sectores involucrados, los que a través de sus
representantes han intervenido en los Organismos de Estudio de
Normas correspondientes.
Una especificación técnica es un documento publicado por ISO o

IEC para los que existe la posibilidad de un futuro acuerdo sobre
una norma internacional, pero en la actualidad:
a) no se ha obtenido el soporte necesario para aprobarlo como

norma internacional;
b) hay dudas sobre el consenso logrado;
c) el tema está todavía en desarrollo técnico;
d) hay otra razón que impide la inmediata publicación como

norma internacional.
Este documento es una adopción idéntica de la Especificación

Técnica (Technical Specification) ISO/TS 22317:2015, Societal
security - Business continuity management systems - Guidelines
for business impact analisys.
Sólo se ha realizado el cambio editorial siguiente:
Se agregó un anexo informativo donde se indica el organismo de

estudio.
Licenciado por IRAM a Estudio IMUA

Orden: 0g3ZHpON del 01/07/2020 - Licencia monousuario. Prohibido su copiado y uso en redes. 3
E s pec ific ac ió n Téc nic a IRA M -IS O TS 22317: 2 01 9
Prefacio ISO
ISO (Organización Internacional de Normalización) e IEC

(Comisión Electrotécnica Internacional) forman el sistema
especializado para la normalización mundial. Los organismos
nacionales miembros de ISO e IEC participan en el desarrollo de
las Normas Internacionales por medio de comités técnicos
establecidos por la organización respectiva, para atender campos
particulares de la actividad técnica.
Los comités técnicos de ISO e IEC colaboran en campos de

interés mutuo. Otras organizaciones internacionales, públicas y
privadas, en coordinación con ISO e IEC, también participan en el
trabajo.
En el campo de la evaluación de la conformidad, el Comité de ISO

para la evaluación de la conformidad (CASCO) es responsable del
desarrollo de Normas y Guías Internacionales.
Las normas internacionales se redactan de acuerdo con las reglas

establecidas en la Parte 2 de las Directivas ISO/IEC.
Los Proyectos de Normas Internacionales se envían a los

organismos miembros para su votación. La publicación como
Norma Internacional requiere la aprobación por al menos el 75%
de los organismos miembros que emiten voto.
En otras circunstancias, particularmente cuando existe una

demanda urgente del mercado, un comité técnico puede decidir
publicar otros tipos de documentos normativos:
 una especificación disponible al público ISO (ISO/IEC PAS)

(Publicly Available Specification) representa el acuerdo entre
los expertos de un grupo de trabajo de ISO y su publicación se
acepta si se aprueba por más del 50% de los miembros del
comité técnico que emiten voto;
 una especificación técnica ISO (ISO/IEC TS) (Technical

Specification) representa el acuerdo entre los miembros del
comité técnico y su publicación se acepta si se aprueba por
2/3 de los miembros del comité técnico que emiten voto.
Una ISO/PAS o una ISO/TS se revisa a los tres años para decidir
si será confirmada por otros tres años, revisada para convertirse
en una norma internacional, o anulada. Si la ISO/PAS o la ISO/TS
se confirma, será objeto de una nueva revisión tras tres años,

4 Orden: 0g3ZHpON del 01/07/2020 - Licencia monousuario. Prohibido su copiado y uso en redes.
momento en el que se debe decidir si se transformará en una

norma internacional o se anulará.
Se llama la atención sobre la posibilidad de que algunos de los

elementos de este documento puedan estar sujetos a derechos
de patente. ISO no asume la responsabilidad por la identificación
de cualquiera o todos los derechos de patente.
La Especificación Técnica ISO/TS 22317 ha sido preparada por el

Comité de ISO/TC 292 Seguridad y resiliencia.

Índice
Página
0 INTRODUCCIÓN...........................................................................................................7
1 OBJETO Y CAMPO DE APLICACIÓN .........................................................................9
2 DOCUMENTOS NORMATIVOS PARA CONSULTA ...................................................9
3 TÉRMINOS Y DEFINICIONES ...................................................................................10
4 PRERREQUISITOS ....................................................................................................10
5 REALIZACIÓN DEL ANÁLISIS DE IMPACTO EN EL NEGOCIO .............................13
6 SEGUIMIENTO Y REVISIÓN DEL PROCESO DE AIN .............................................25
Anexo A (Informativo) Análisis del impacto en el negocio dentro de un sistema

de gestión de la continuidad del negocio ISO 22301 ....................................26
Anexo B (Informativo) Mapeo terminológico del análisis del impacto en el

negocio ............................................................................................................27
Anexo C (Informativo) Métodos de recolección de información del análisis del

impacto en el negocio .....................................................................................28
Anexo D (Informativo) Otros usos del proceso de análisis del impacto en el

negocio ............................................................................................................35
Bibliografía .......................................................................................................................39
Anexo E - IRAM (Informativo) Integrantes del organismo de estudio ............................40

Seguridad de la sociedad - Sistemas de gestión de la

continuidad del negocio
Guía para análisis del impacto en el negocio
0 INTRODUCCIÓN
Esta Especificación Técnica provee una guía detallada para establecer, implementar, y mantener un
proceso de análisis del impacto en el negocio (AIN) coherente con los requisitos de la ISO 22301. Esta
Especificación Técnica es aplicable al proceso de desarrollo de cualquier AIN, ya sea parte de un
sistema de gestión de la continuidad del negocio (SGCN) o un programa de continuidad del negocio
(programa de CN). En adelante, programa de continuidad del negocio (CN) significa tanto un SGCN
como un programa de CN.
La figura 1 demuestra la relación del proceso de AIN y del programa de CN como un todo. Se
recomienda que la organización complete un ciclo del proceso de AIN antes de seleccionar las
estrategias de continuidad del negocio.
Figura 1 - Elementos de la gestión de continuidad del negocio (Fuente ISO 22313)
El proceso de AIN analiza las consecuencias de un incidente disruptivo en la organización. El resultado

es un informe y justificación de los requisitos para la continuidad del negocio.
El proceso de AIN consiste en una cantidad de AIN individuales, cada uno focalizado en un sub-conjunto
de alcances del programa de CN. El proceso de AIN prioriza los productos y servicios, y continúa
priorizando los procesos y las actividades que cubren el alcance completo del programa de CN. Luego de

un período de tiempo determinado por la organización, se repiten los AIN individuales para asegurar que
los requisitos de la CN permanecen en curso.
NOTA. En esta Especificación Técnica los requisitos para la continuidad del negocio tienen el mismo significado que las
prioridades de continuidad y de recuperación, objetivos, y metas (ISO 22301:2012, 8.2.2).
Esta Especificación Técnica tiene los propósitos siguientes:
1) proveer una base para entender, desarrollar, implementar, revisar, mantener y mejorar continua-
mente un proceso efectivo de AIN dentro de una organización;
2) proveer una guía para planificar, conducir e informar sobre un AIN;
3) asistir a la organización en la conducción de un AIN en un modo coherente para reflejar las mejores
prácticas;
4) posibilitar una coordinación apropiada entre el proceso de AIN y el programa global de CN.
Los resultados del proceso de AIN incluyen los siguientes:
a) aprobar o modificar el alcance del programa de CN de la organización;
b) identificar los requisitos (obligaciones) legales, reglamentarias y contractuales y sus efectos en los
requisitos de la CN;
c) evaluar los impactos en la organización a lo largo del tiempo, los que sirven como justificación
para los requisitos de la CN (tiempo y capacidad);
d) identificar y confirmar los requisitos de distribución del producto/servicio que siguen a un incidente
disruptivo, los que luego fijan las priorizaciones de tiempos para las actividades y recursos;
e) identificar y establecer las relaciones entre productos/servicios, procesos, actividades, y recursos;
f) determinar los recursos necesarios para desempeñar la priorización de actividades (por ejemplo,
instalaciones; personas; equipamiento; información, comunicación y activos tecnológicos; abaste-
cimiento; y financiamiento);
g) comprender la relación con otras actividades, cadenas de suministro, socios, y otras partes intere-
sadas;
h) determinar la manera necesaria de actualización de la información.
NOTA. Para los propósitos de esta Especificación Técnica, las cadenas de suministro producen abastecimiento de mercade-
rías, trabajos y servicios mencionados como “proveedores” en el resto de este documento.
El siguiente diagrama despliega el proceso de AIN, junto con los prerrequisitos y su relación con la
identificación de estrategias. Los apartados referenciados en el diagrama son subsecciones de esta
Especificación Técnica.

Proceso de análisis del impacto en el negocio
Prerrequi s i tos :
Contexto y a l ca nce Pri ori zación de
Rol es productos y
Compromi s o s ervi cios
Recurs os (Apa rta do 5.3)
(Ca pi tul o 4)
Obtención de la
Luego del AIN a probación del Pri ori zación del
- Sel ección de Requisitos de continuidad
AIN por pa rte de proces o
l a es tra tegi a del negoci o
l a a lta dirección Pl a nificación y ges tión (Apa rta do 5.6)
de conti nui - (Apa rta do 5.7) del proyecto
da d del (Apa rtado 5.2)
negoci o
(Apa rta do 5.8)
Aná l isis y Pri ori zación de l a

cons olidación a ctivi dad
(Apa rta do 5.6) (Apa rta do 5.5)
Figura 2 - Proceso de análisis del impacto en el negocio
1 OBJETO Y CAMPO DE APLICACIÓN
Esta Especificación Técnica provee una guía para establecer, implementar y mantener en una
organización un proceso de AIN formal y documentado. Esta especificación no prescribe un proceso
uniforme para efectuar un AIN, pero ayudará a la organización a diseñar un proceso de AIN que sea
apropiado a sus necesidades.
Es aplicable a todas las organizaciones independientemente del tipo, tamaño y naturaleza, sea en los
sectores privado, público o en organizaciones sin fines de lucro. Esta guía se puede adaptar a las
necesidades, objetivos, recursos y restricciones de la organización.
Está prevista para ser usada por los responsables del proceso de AIN.
2 DOCUMENTOS NORMATIVOS PARA CONSULTA
Todo documento normativo que se menciona a continuación es indispensable para la aplicación de este
documento.
Cuando en el listado se mencionan documentos normativos en los que se indica el año de publicación,
significa que se debe aplicar dicha edición. En caso contrario, se debe aplicar la edición vigente,
incluyendo todas sus modificaciones.
ISO 22300 - Seguridad de la sociedad - Terminología.

3 TÉRMINOS Y DEFINICIONES
Para el propósito de este documento, aplican los términos y definiciones de la ISO 22300.
NOTA. Todos los términos y definiciones contenidos en la ISO 22300 están disponibles en la base de datos en línea de ISO
(ISO OBP): www.iso.org/obp.
4 PRERREQUISITOS
4.1 Generalidades
Como se menciona en la Introducción, esta Especificación Técnica es coherente con la ISO 22301, pero
se puede utilizar para desarrollar, implementar, evaluar, mantener y mejorar continuamente el proceso de
AIN, abordando otras normas y requisitos reglamentarios. Sea como parte de un sistema de gestión para
la continuidad del negocio (SGCN) o como un programa de CN, se recomienda que la organización
considere una cantidad de prerrequisitos antes de iniciar un proceso de AIN. El capítulo 4 resume estos
prerrequisitos, muchos de los cuales son de la ISO 22301.
Se recomienda que antes de iniciar el proceso de AIN la organización realice una cantidad de pasos
dentro del programa de CN, que incluye lo siguiente:
1) definir el contexto y el alcance (4.2);
2) definir y comunicar los roles y las responsabilidades (4.3);
3) obtener un compromiso de liderazgo (4.4);
4) asignar los recursos adecuados (4.5).
NOTA. Para información adicional, ver en el Anexo A la correlación con cada paso de la ISO 22301.
4.2 Contexto y alcance del programa de CN
4.2.1 Contexto del programa de CN
Los resultados de un proceso de AIN exitoso dependen de que la organización entienda lo siguiente:
1) el ambiente externo en el que opera para lograr el propósito de suministrar sus productos y servi-
cios a los clientes;
2) el ambiente operativo interno, incluyendo los procesos, las actividades, y los recursos, como así
también el potencial impacto causado por la disrupción del suministro de productos y servicios; y
3) las leyes y reglamentaciones que rigen el proceso de AIN y cómo se desempeña.

NOTA. En las organizaciones que operan dentro de un ambiente no comercial, el “cliente” puede ser el público o una autori-
dad de control, como el gobierno.
4.2.2 Alcance del programa de CN
Antes de determinar el alcance del proceso de AIN, se recomienda que la organización defina y
documente el alcance del programa de CN con relación a sus productos y servicios.

El proceso de AIN puede ayudar a la organización a revisar el alcance del programa de CN.
Siguiendo la definición de alcance del programa de CN, la organización puede determinar el alcance
del proceso de AIN el cual podría ser conducido como un solo AIN que cubra todo el alcance del
programa de CN; o ser realizado en una cantidad de etapas que, a través del tiempo, cubra todo el
alcance del proceso de CN.
NOTA. Si la organización elige llevar a cabo el proceso de AIN en etapas, se recomienda que primero determine la priorización
de todos los productos y servicios (ver 5.2) y luego continúe con los AIN individuales remanentes.
4.3 Roles del programa de CN
4.3.1 Roles y responsabilidades del programa de CN
Previamente a llevar a cabo el proceso de AIN, se recomienda que la alta dirección asegure que las
responsabilidades y autoridades para los roles pertinentes sean asignados y comunicados dentro de
la organización.
4.3.2 Roles y competencias específicas para el proceso de AIN
Siguiendo la asignación de los roles del programa de CN, se recomienda que la alta dirección provea
los recursos necesarios para llevar a cabo el proceso de AIN, el cual puede incluir la asignación de los
roles siguientes:
1) la persona que garantiza el proceso de AIN;
2) el comité de seguimiento del AIN;
3) la persona que lidera el proceso de AIN;
4) la persona que gestiona el proyecto de AIN (gerente de proyecto);
5) los dueños del proceso;
6) los gerentes de actividades.
Se recomienda que la persona que garantiza el proceso de AIN:
a) sea un ejecutivo que representa a la alta dirección;
b) sea respetado dentro de la organización por otros miembros de la alta dirección;
c) tenga una amplia perspectiva de la organización;
d) tenga la autoridad para comprometer a la organización a la acción; y
e) tome decisiones finales acerca del proceso de AIN.
Se recomienda que el comité de seguimiento del AIN:
‒ represente a la alta dirección,
‒ provea consejo y guía continua en la conducción del proceso de AIN,
‒ acuerde los métodos y resultados;

‒ tome decisiones teniendo en cuenta los requisitos de la continuidad del negocio, y
‒ asista a la persona que lidera el proceso de AIN y al gerente de proyecto para determinar las compe-
tencias requeridas de los roles y responsabilidades y la toma de conciencia para el proceso específico
de AIN, el conocimiento, la capacidad, las habilidades y la experiencia necesarias para cumplirlas.
Se recomienda que la persona que lidera el proceso de AIN:
‒ tenga conocimiento de la organización, en particular de sus productos, servicios, procesos y activi-

dades, y
‒ tenga experiencia en conducir un proceso de AIN.
Se recomienda que la persona que gestiona el proyecto de AIN:
‒ planifique y gestione el proceso de AIN,
‒ conozca las tareas de planificación del proyecto, y,
‒ esté familiarizado con el proceso de AIN.
Se recomienda que los dueños de los procesos tengan un conocimiento relativamente detallado del
proceso que representan para ayudar al líder del proyecto a identificar expertos en la materia, unidades
organizacionales e impactos a través del tiempo.
Se recomienda que los gerentes de actividades:
‒ tengan un exhaustivo conocimiento de la actividad a la cual representan, incluyendo todos los re-
cursos que permiten operar a la actividad, y
‒ sean conscientes de los procesos y recursos alternativos que podrían estar disponibles en el caso
de pérdida de los recursos primarios.
NOTA. En organizaciones pequeñas, estos roles pueden combinarse.
Se recomienda que la organización asegure la competencia de las personas que lideran o participan
del proceso de AIN. Se recomienda que las competencias incluyan las habilidades y aptitudes
relacionadas con lo siguiente:
‒ planificación del proyecto/programa y gestión;
‒ recolección de información;
‒ análisis;
‒ comunicación y colaboración efectiva;
‒ compatibilización de los objetivos organizacionales con los requisitos de la continuidad del negocio
y los recursos necesarios;
‒ aplicación de los conceptos del AIN al contexto específico de la organización;
‒ conocimiento de la organización, sus productos y servicios, procesos, actividades y recursos.

4.4 Compromiso con el programa de CN
El compromiso de la alta dirección en el proceso de AIN es necesario para asegurar la efectiva

participación. Para obtener este apoyo, se recomienda que la organización considere la comunicación
de los valores del proceso de AIN que incluye lo siguiente:
1) asegurar que se seleccionen las estrategias apropiadas y de costos más efectivos determinando
los requisitos de la continuidad del negocio;
2) proveer a la gerencia evidencia de que los requisitos de la continuidad del negocio están alineados
con los objetivos organizacionales;
3) asegurar que la organización logre sus requisitos legales, contractuales y del cliente durante un
incidente disruptivo;
4) identificar los enlaces entre productos y servicios y procesos, actividades, y recursos;
5) proveer una visión general de la organización que pueda utilizarse para mejorar su eficiencia o
explorar nuevas oportunidades (ver Anexo D).
4.5 Recursos para el programa de CN
Se recomienda que la organización provea los recursos suficientes para el proceso de AIN para lo
siguiente:
1) lograr su política de CN y sus objetivos;
2) realizar una adecuada provisión de personas y recursos relacionados con las personas, incluyendo
el tiempo para completar los roles y responsabilidades específicos para el proceso de AIN, y su
entrenamiento y toma de conciencia;
3) alcanzar los cambiantes requisitos de la organización;
4) proveer los recursos para la operación en curso y la mejora continua del proceso de CN, como así
también para el proceso de AIN.
5 REALIZACIÓN DEL ANÁLISIS DE IMPACTO EN EL NEGOCIO
5.1 Generalidades
El proceso de AIN prioriza varios componentes organizacionales de tal manera que la entrega del
producto y servicio pueda resumirse en un marco predeterminado de tiempo que sigue al incidente
disruptivo para la satisfacción de las partes interesadas. Para el propósito de esta Especificación
Técnica y coherente con la ISO 22301, los productos y servicios se desarrollan por procesos que están
compuestos por actividades.
Primero, los productos y servicios se priorizan; esto establece los parámetros de tiempo y de nivel de
servicio para el proceso de priorización. Si lo requiere la complejidad de la organización, los procesos
pueden separarse en sus actividades constitutivas para la priorización.
Los resultados convenientes, adecuados y efectivos de las subsiguientes fases del programa de CN
dependen de la exactitud del proceso de AIN. Se recomienda que cada AIN se realice en forma
coherente, cuidadosa, y completa.

La figura 3 muestra de que manera varios elementos del proceso de AIN se relacionan entre sí. El
diagrama ilustra que puede haber superposición entre los tiempos de las fases constituyentes del proceso.
ALTA DIRECCIÓN
Priorización de productos y
servicios
(Apartado 5.3)
Luego del AIN -
Obtención de la
DUEÑOS DEL PROCESO Selección de la
Análisis y aprobación del
Priorización del proceso estrategia de
consolidación AIN por parte de
(Apartado 5.4) continuidad del
(Apartado 5.6) la alta dirección
negocio
(Apartado 5.7)
(Apartado 5.8)
GESTORES DE LA ACTIVIDAD
Priorización de la actividad
(Recursos e interdependencia)
(Apartado 5.5)
Planificación y gestión del proyecto
Tiempo
Figura 3 - Relaciones en el análisis del impacto en el negocio
Los resultados exitosos del proceso de AIN pueden depender de lo siguiente:
1) identificar clientes y otras partes interesadas, y anticipar sus reacciones a un incidente disruptivo;
2) comprometer a todas las partes interesadas pertinentes con un mandato apropiado;
3) desarrollar habilidades y competencias apropiadas dentro de la organización o proyecto para con-

ducir el análisis y presentar los resultados;
4) recolectar información generalmente completa y exacta (alguna información podría no estar dis-
ponible, no ser exhaustiva, ser confidencial o estar retenida, de esta manera identificar áreas para
trabajo futuro);
5) asegurar que aquellos que contribuyen en el proceso de recolectar información para el AIN tengan
suficiente conocimiento y autoridad para hablar en nombre de la organización, proceso, o actividad;
6) asegurar que los representantes de la gerencia tengan suficiente autoridad para aprobar los resul-
tados del AIN.
5.2 Planificación y gestión del proyecto
5.2.1 Generalidades
Aunque el AIN es un proceso, las organizaciones pueden utilizar métodos de gestión de proyectos para
una fase del proceso de AIN. Como el proceso de AIN es potencialmente complejo, el usar métodos de
gestión de proyectos permite a las organizaciones coordinar recursos y períodos de tiempo.

Las tareas de planificación del proyecto pueden incluir las siguientes:
1) decidir sobre el alcance de esta fase del proceso de AIN;
2) comunicar las expectativas de los participantes del proceso de AIN;
3) identificar la persona que garantizan el proceso de AIN y la participación de la alta dirección;
4) establecer los roles y responsabilidades específicas para el proceso de AIN (incluyendo las com-
petencias);
5) establecer el plan del proyecto;
6) asignar recursos para el proceso de AIN;
7) lograr la aceptación del enfoque y del plan del proyecto;
8) establecer o tercerizar las habilidades necesarias para alcanzar los objetivos del proceso de AIN.
Las tareas de gestión del proyecto pueden incluir las siguientes:
a) implementar el proceso de AIN (ver de 5.2 hasta 5.6);
b) realizar el seguimiento de la implementación del proceso de AIN (ver 5.6);
c) desarrollar informes periódicos del estado, tomando nota de las expectativas del desempeño y reco-
mendaciones para mejorar el desempeño, en línea con las expectativas de la alta dirección (ver 5.2);
d) efectuar modificaciones en el enfoque y el alcance del proceso de AIN para alcanzar las expecta-
tivas de la alta dirección y requisitos externos (reglamentarios, estatutarios, del cliente, contrac -
tuales) (ver capítulo 6);
e) recolectar y revisar las lecciones aprendidas (ver capítulo 6);
f) realizar recomendaciones relacionadas con mejoras del proceso de AIN para una futura imple-
mentación (ver capítulo 6).
5.2.2 Consideraciones iniciales del AIN
Se recomienda que la organización que lleva a cabo por primera vez un AIN planifique un tiempo
adicional para:
1) identificar los productos y servicios;
2) concientizar y asegurar la educación;
3) identificar los representantes de la alta dirección para garantizar el proceso de AIN y/o el comité
de seguimiento del AIN;
4) determinar las categorías de impactos y los criterios;
5) determinar la importancia del negocio de la organización/ambiente político;
6) identificar la estructura de la organización hasta un apropiado nivel de detalle;
7) identificar y seleccionar las fuentes de información correctas para recolectar la información;

8) documentar el flujo de trabajo para un nivel de proceso y actividad; y
9) completar la recolección de la información a través de la revisión de documentos, entrevistas,

talleres de trabajo y cuestionarios.
Durante el AIN inicial, la organización puede utilizar los resultados del AIN para priorizar las
subsiguientes fases de la continuidad del negocio, incluyendo la selección de la estrategia.
5.3 Priorización de productos y servicios
5.3.1 Generalidades
Como primer paso en el proceso de AIN, se recomienda que la alta dirección acuerde sobre la prioridad
de los productos y servicios subsecuentes a un incidente disruptivo, que pueda amenazar el logro de
sus objetivos.
Es responsabilidad de la alta dirección elaborar estas decisiones porque ellos:
1) establecen los objetivos de la organización;
2) tienen la última responsabilidad para asegurar la continuidad de la organización y el logro de sus

objetivos;
3) tienen la más amplia visión de toda la organización desde la cual fijar prioridades;
4) pueden elegir no cumplir contratos y otras obligaciones al establecer prioridades en circunstancias

excepcionales; y
5) son conscientes de los futuros cambios planificados y otros factores que podrían afectar los requi-
sitos de continuidad del negocio.
Si la organización tiene demasiados productos y servicios para identificar individualmente, la

organización puede agrupar juntos los productos y servicios cuando tienen prioridades similares. A la
inversa, puede ser necesario para la organización identificar los clientes que, a pesar de compartir los
mismos productos y servicios, tienen diferentes expectativas en cuanto a los tiempos de entrega, o sus
valores son diferentes para la organización.
Para cada grupo de productos y servicios, se recomienda que la organización entienda los impactos
que puedan resultar de un incidente disruptivo, a través de:
a) identificar las expectativas del cliente, las obligaciones, y las penalidades asociadas con la falta
de cumplimiento; y
b) tener en cuenta las consideraciones de otras partes interesadas en el análisis de los impactos.
Otras partes interesadas y sus reacciones a un incidente disruptivo pueden incluir lo siguiente:
i) las organizaciones aliadas de negocios: su buena voluntad de continuar cooperando;
ii) los medios de comunicación y sociedad: el valor de la marca y opinión púbica;
iii) los potenciales clientes: la pérdida actual o futura de participación en el mercado;
iv) los accionistas: el efecto en el precio actual de la acción y en la inversión futura;

v) los competidores: quien podría intentar tomar ventaja de la situación;
vi) los empleados: la retención;
vii) los organismos reglamentarios y de gobierno: las penalidades y los cambios de reglas.
La organización puede utilizar los ejemplos de la Tabla 1 para entender los impactos de un incidente
disruptivo en ella a lo largo del tiempo:
Tabla 1 - Ejemplos de niveles de categorías de impacto de productos y servicios
Categorías de impacto Ejemplos de impactos

Financiero Pérdidas financieras debidas a multas, penalidades, pérdida de ganancias,
o disminución de la participación en el mercado
Reputación Opinión negativa o daño a la marca
Legal y reglamentario Responsabilidad de litigio y retiro de licencia comercial
Contractual Pérdida de contratos y obligaciones entre organizaciones
Objetivos del negocio Incumplimiento de los objetivos o desaprovechamiento de las oportunidades
Los impactos casi siempre se incrementan a lo largo del tiempo. Sin embargo, los impactos pueden no
incrementarse en la misma proporción. Como ejemplo, los impactos financieros pueden incrementarse
rápidamente, como las penalidades contractuales en que se incurre, o como la pérdida de clientes, y
el daño a la reputación puede ocurrir repentinamente en un punto durante el incidente disruptivo. Ver
figura 4 con un ejemplo de cómo diferentes categorías de impacto se incrementan a lo largo del tiempo.
Figura 4 - Impacto en una organización de un incidente disruptivo a lo largo del tiempo

Para cada grupo de productos y servicios, se recomienda que la alta dirección decida y documente lo
siguiente:
1) el tiempo luego del cual una falta continua de entrega se transforme en inaceptable para la orga-
nización porque los impactos mencionados precedentemente amenazan su supervivencia o hacen
que los objetivos sean inalcanzables (ver anexo B para términos relacionados);
2) la razón por la cual este período de tiempo se ha identificado con referencia al crecimiento de los
impactos a lo largo del tiempo.
Basada en el ejemplo del marco de tiempo de la figura 4, la organización puede establecer una meta
de tiempo para reasumir la entrega de productos y servicios a niveles mínimos especificados (ver
Anexo B para términos relacionados).
5.3.2 Entradas
La alta dirección, al establecer los requisitos para la continuidad del negocio para los productos y
servicios, puede considerar la información siguiente:
1) la misión actual de la organización, objetivos y dirección estratégica;
2) el alcance del programa de CN actual;
3) el análisis de prioridad de los productos y servicios de la revisión previa por la dirección;
4) el listado de los requisitos legales y reglamentarios a los cuales se hallan sujetos la organización
o los productos y servicios específicos (del mismo modo que el análisis de las consecuencias de
incumplir cada requisito);
5) los requisitos contractuales, incluyendo penalidades por incumplimiento de la entrega;
6) el análisis de los impactos de reputación, financieros y otros por incumplimiento de la entrega;
7) los informes recientes post-incidentes que describen los impactos asociados con el incidente dis-
ruptivo.
5.3.3 Resultados
Se recomienda que los resultados del proceso de priorización de los productos y servicios sean:
1) endosar o modificar el alcance del programa de CN de la organización;
2) identificar los requisitos legales, reglamentarios y contractuales (obligaciones);
3) evaluar los impactos a lo largo del tiempo relacionados con un incumplimiento de la entrega de
productos y servicios, que sirven como justificación de los requisitos de la continuidad del negocio;
4) confirmar los requisitos de entrega de productos y servicios (que podrían incluir el tiempo, la cali-
dad, cantidad, niveles de servicio y especificaciones de capacidades) que siguen a un incidente
disruptivo que luego establecen las prioridades para las actividades y los recursos;
5) identificar los procesos (de entrega de los productos y servicios);

6) nominar el personal líder para asistir en la identificación de los procesos de entrega de productos
y servicios; y
7) documentar un listado de productos y servicios priorizados (agrupados por marco de tiempo o cliente).
La organización puede retener documentación que describa las decisiones elaboradas durante el
proceso de priorización de productos y servicios.
5.4 Priorización de procesos
5.4.1 Generalidades
Un proceso es una serie de actividades interrelacionadas e interactuantes que transforman entradas

en resultados (ISO 22300). La prioridad de un proceso está determinada por la prioridad de los
productos y servicios que constituyen sus resultados.
Dependiendo de su complejidad, la organización puede elegir omitir la priorización del proceso y pasar
directamente a la priorización de la actividad. Si la organización elige desarrollar la priorización de
procesos, se recomienda que la organización determine las actividades para llevar a cabo esos procesos.
5.4.2 Entradas
La información requerida para la priorización de procesos incluye lo siguiente:
1) el alcance del AIN;
2) los requisitos de entrega de los productos y servicios (que podrían incluir el tiempo, la calidad,
cantidad, niveles de servicio y especificaciones de capacidades);
3) los procesos, productos y servicios que entrega;
4) los impactos a lo largo del tiempo de un incumplimiento en la entrega de productos y servicios;
5) los requisitos legales, reglamentarios y contractuales (obligaciones).
5.4.3 Resultados
Se recomienda que los resultados de priorización de procesos sean los siguientes:
1) identificar la relación entre productos y servicios, procesos, y actividades;
2) identificar la dependencia con otros procesos del negocio;
3) evaluar los impactos a lo largo del tiempo de una falla de proceso (para confirmar los impactos de
disrupción del proceso se pueden utilizar las categorías de impacto de la tabla 1);
4) prioridades de los procesos;
5) analizar la interdependencia de los procesos que entregan productos y servicios a los clientes;
6) analizar la interdependencia de las actividades que entregan los procesos;
7) documentar el listado de los procesos prioritarios que entregan productos y servicios;
8) documentar el listado inicial de las actividades que entregan los procesos.

5.5 Priorización de actividades
5.5.1 Generalidades
Una actividad es un conjunto de una o más tareas con un resultado definido. La prioridad de la actividad
está determinada por la prioridad de los procesos de los que forma parte.
Se recomienda que la organización efectúe una priorización del nivel de las actividades para
comprender y apreciar los recursos necesarios para operar cada actividad que sigue a un incidente
disruptivo, y confirmar el impacto potencial asociado con el incidente disruptivo.
Se recomienda que las organizaciones efectúen una priorización del nivel de las actividades para
comprender exhaustivamente los recursos requeridos en el día a día, que le posibilite identificar los
recursos necesarios en cantidad y tiempo para la recuperación, y ayudar a confirmar las conclusiones
desarrolladas de los impactos relacionados a nivel del proceso. La información relacionada con los
recursos incluye lo siguiente:
1) el personal, las habilidades, los roles;
2) las instalaciones;
3) el equipamiento;
4) los registros;
5) el financiamiento;
6) las tecnologías de la información y de la comunicación (incluyendo aplicaciones, datos, telefonía,

y redes);
7) los suministros, las cadenas de suministros y los aliados de negocio;
8) la dependencia con otros procesos y actividades;
9) las herramientas especiales, los repuestos y los consumibles;
10) las limitaciones de recursos impuestas por la logística o las reglamentaciones.
Además de los impactos ya considerados en la tabla 1, la organización puede considerar la evaluación

del impacto operacional, como demoras debido al retorno de la carga de trabajo o retrabajos manuales
o impactos a actividades interrelacionadas.
5.5.2 Entradas
Las entradas requeridas para llevar a cabo la priorización de las actividades incluyen lo siguiente:
1) el alcance de este AIN;
2) las prioridades de procesos;
3) el organigrama;
4) las actividades constituyentes de procesos.

5.5.3 Recopilación de información
La organización necesita recolectar la siguiente información para efectuar el AIN del nivel de actividad,
incluyendo el detalle de la actividad, los requisitos de recursos, y las interdependencias.
5.5.3.1 Detalle de la actividad
La organización, durante la priorización de las actividades, puede recolectar los detalles siguientes:
1) los procesos que esta actividad apoya;
2) los métodos operacionales de la actividad;
3) la duración o el tiempo muerto de esta actividad;
4) las fluctuaciones de la demanda o los períodos de pico operativo;
5) los factores que no han sido descubiertos aún que podrían afectar la determinación de los requi-
sitos de la continuidad del negocio (ejemplo: atrasos o requisitos legales y reglamentarios de esta
actividad).
5.5.3.2 Requisitos de recursos
La información de recursos a ser recolectada durante la priorización de la actividad puede incluir lo

siguiente:
1) el personal y los contratistas (incluyendo mínimos niveles de aceptación para los servicios reque-
ridos, y el conocimiento, las habilidades o las calificaciones requeridas);
2) los requisitos del lugar de trabajo;
3) las aplicaciones y comunicaciones tecnológicas (tomando nota de requisitos especiales);
4) los registros (por ejemplo: electrónicos o en papel);
5) el equipamiento (por ejemplo: las tecnologías de información y comunicación (TIC), el equipa-

miento de oficina, el equipamiento de producción);
6) los componentes y las materias primas.
5.5.3.3 Interdependencias
La información interdependiente que se requiere recolectar durante el proceso de priorización de una

actividad incluye lo siguiente:
1) la confianza en otras actividades internas y recursos, o las cadenas de suministros;
2) la confianza en otras actividades internas en los resultados de esta actividad.
Para las especificaciones de los requisitos de las tecnologías de información y comunicación, puede
recolectarse la información adicional siguiente:
1) el nombre del activo tecnologías de información y comunicación, la ubicación, y la configuración

(por ejemplo: memoria, capacidad, velocidad del procesador y espacio en el disco);
2) las dependencias en otros activos de TIC;

3) los perfiles de usuarios finales y características de uso;
4) los requisitos únicos legales o reglamentarios en relación con el uso del activo de TIC.
5.5.4 Resultados
Se recomienda que los resultados de la priorización de actividades sean los siguientes:
1) la confirmación de los impactos a lo largo del tiempo, que sirven como justificación de los requisitos
para la continuidad del negocio (tiempo y capacidad);
2) las necesidades de recursos para efectuar cada actividad priorizada (incluyendo instalaciones,
personal, equipamiento, activos de TIC, suministros, finanzas e información);
3) cómo actualizar las necesidades de información (ver Anexo B para términos relacionados);
4) la dependencia con otras actividades, cadenas de suministro, aliados de negocio, y otras partes
interesadas;
5) el análisis de dependencia en los recursos necesarios para entregar cada actividad;
6) el listado documentado de actividades y sus marcos de tiempo priorizados que apoyan los procesos;
7) el listado documentado de recursos y sus marcos de tiempo priorizados que posibilitan las actividades.
5.6 Análisis y consolidación
5.6.1 Generalidades
Al mismo tiempo que ocurre el análisis durante todo el proceso de AIN, se recomienda que la organización
efectúe un análisis final (o consolidación de los análisis). Esto involucra la revisión de los resultados de la
priorización, y extraer las conclusiones que conducen a los requisitos de la continuidad del negocio.
Se recomienda que la organización elija los enfoques analíticos cuantitativo y/o cualitativo apropiados,
los que pueden estar influenciados por el tipo, tamaño, o naturaleza de la organización, así como las
restricciones de recursos y habilidades. Los enfoques seleccionados también van a depender del tipo
de información recolectada.
Independientemente del enfoque, se recomienda que la organización se cuestione y verifique la

información para asegurar que es:
1) correcta: exacta y confiable;
2) creíble: entendible y razonable;
3) coherente: clara y repetible;
4) actual: actualizada y disponible a tiempo; y
5) completa: exhaustiva.
5.6.2 Entradas
Se recomienda que la organización obtenga información validada y aprobada, recolectada desde todos
los niveles del proceso de AIN para poder efectuar el análisis.

5.6.3 Métodos
Para analizar la información recolectada, la organización puede utilizar una combinación de técnicas
cuantitativas y cualitativas. La tabla 2 contiene ejemplos de técnicas analíticas.
Tabla 2 - Técnicas analíticas para el AIN
Técnicas analíticas cuantitativas Técnicas analíticas cualitativas

Sentido común y controles cruzados
Test de estrés
Análisis de interdependencia Evaluación de las revisiones y las recomendaciones
post-incidente
Enfoques de análisis financiero
Proveedor-Entrada-Proceso-Resultado-Cliente (sigla en
inglés SIPOC)
Diagramas de espina de pescado (Ishikawa)
5.6.4 Resultados
Los resultados de la aplicación de técnicas de análisis y de consolidación de la información son los

siguientes:
1) la confirmación de los impactos a lo largo del tiempo;
2) la revisión y confirmación de las dependencias y requisitos de recursos;
3) la consolidación de los requisitos de recursos (por ejemplo: a través de procesos, estructuras or-
ganizacionales, o ubicaciones);
4) la revisión y confirmación de la interdependencia de los procesos y las actividades y su relación

con la entrega de productos y servicios que sirven como entrada para la selección de la estrategia
de la continuidad del negocio. Obtener de la alta dirección la aprobación de los resultados del AIN.
5.7 Obtención de la aprobación del AIN por parte de la alta dirección
5.7.1 Generalidades
Se recomienda que la organización obtenga la aprobación de los resultados por parte de la alta
dirección, incluyendo los productos y servicios, el proceso, la actividad, y la priorización del recurso
siguiendo uno o más AIN individuales.
Se recomienda que la organización compile los resultados del AIN para asegurar que la información
recolectada pueda mantenerse y actualizarse de forma periódica antes de buscar la aprobación de la
alta dirección. La presentación de los resultados del AIN puede estar en una variedad de medios y
puede contener diferentes niveles de detalle, dependiendo de la audiencia.
Se recomienda que, para su revisión y corrección (de ser necesaria) y aprobación antes de continuar con
los próximos pasos, la organización provea a la alta dirección los resultados claves del AIN siguientes:
1) la priorización del producto y servicio (si cambia de la determinación original);
2) la priorización del proceso; y

3) la priorización de la actividad (incluyendo recursos e interdependencia).
NOTA. La organización puede elegir recibir esta aprobación durante la revisión por la dirección (ver Anexo A).
5.7.2 Entradas
Se recomienda que la persona responsable del proceso de AIN utilice los resultados de 5.2 al 5.6 como
entradas en la aprobación por la alta dirección.
5.7.3 Métodos
Se recomienda que en el resumen del informe del AIN la organización incluya, como mínimo, los temas
siguientes:
1) una consideración general del proceso de AIN, incluyendo los objetivos y el alcance;
2) los impactos que influencian la asignación de los requisitos de la continuidad del negocio (ver 5.3.1);
3) los marcos de tiempo recomendados priorizados para productos y servicios, procesos, actividades,
y recursos;
4) las conclusiones y los próximos pasos.
La organización puede desarrollar materiales para ser presentados a la alta dirección, siguiendo la
elaboración del resumen del informe del AIN, a través de los métodos siguientes:
a) resumiendo información para la alta dirección realizando reuniones con cada uno de los miembros
de la alta dirección o una reunión grupal con la alta dirección;
b) extrayendo y proveyendo el resumen ejecutivo, que destaca los hallazgos claves y las conclusiones,
y
c) facilitando reuniones con cada uno de los miembros de la alta dirección para revisar el informe
resumido en detalle.
5.7.4 Resultados
Se recomienda que la aprobación de los resultados del AIN por la alta dirección este documentada de
acuerdo con las prácticas de gestión de la documentación establecidas. Luego, los resultados del AIN
pueden pasarse al proceso de selección de la estrategia de continuidad del negocio.
5.8 Luego del AIN - Selección de la estrategia de continuidad del negocio
Luego de la finalización del AIN, se recomienda que la organización continúe con la selección de la
estrategia de continuidad del negocio. Los requisitos de la continuidad del negocio aprobados facilitan a la
organización determinar y seleccionar las estrategias para la continuidad del negocio apropiadas para
posibilitar una efectiva respuesta y recuperación del incidente disruptivo. Los ejemplos incluyen lo siguiente:
1) el arreglo de lugares de trabajo alternativos;
2) el arreglo de cadenas de suministros alternativas;
3) las opciones de recuperación de tecnologías de la información y de la comunicación;
4) las fuentes alternativas de provisión de personal;

5) las fuentes alternativas de equipamiento;
6) las soluciones y los procedimientos alternativos.
El AIN también puede conducir a la reconsideración de cómo la organización entrega sus productos y
servicios (ver Anexo D).
6 SEGUIMIENTO Y REVISIÓN DEL PROCESO DE AIN
Se recomienda que la organización revise el desempeño del proceso de AIN periódicamente

(generalmente en forma anual) o como parte del cambio organizacional que puede afectar la exactitud
de los requisitos de continuidad del negocio.
La alta dirección puede publicar un plan anual estratégico, o revisión que confirme o revise los objetivos
estratégicos de la organización. Un cambio en los objetivos estratégicos de la organización puede ser:
1) reflejado en la política de continuidad del negocio por un cambio en el alcance del programa de
CN por incorporación o retiro de ciertos productos y servicios, o
2) un cambio en las prioridades de productos y servicios, el cual podría iniciar una revisión de cada
AIN a los niveles de procesos y de actividades.
Una revisión de los diferentes componentes del proceso de AIN se puede originar en las considera-
ciones siguientes:
a) la revisión anual;
b) el cambio en la dirección estratégica;
c) el cambio del producto o servicio;
d) el cambio reglamentario;
e) el cambio de cliente y/o contractual;
f) el cambio operacional, incluyendo nuevo/cambio de aplicación/tecnología de la información y de la

comunicación, cadenas de abastecimiento (interna/tercerizada), y recursos de sitios/instalaciones;
g) el cambio estructural;
h) el seguimiento de un ejercicio de continuidad del negocio;
i) el seguimiento de un incidente disruptivo.
En áreas en las cuales la organización ha cambiado poco desde el último AIN, en vez de llevar a cabo
una revisión completa, lo apropiado puede ser controlar y confirmar los resultados.

Anexo A
(Informativo)
Análisis del impacto en el negocio dentro de un sistema de gestión de la

continuidad del negocio ISO 22301
Tabla A.1 - Análisis del impacto en el negocio dentro de un sistema de gestión de la

continuidad del negocio ISO 22301
ISO/TS 22317 ISO 22301
Introducción 0.3 Componentes de PHVA en esta Norma Interna-

cional
4.2 Contexto y alcance del programa de CN 4 Contexto de la organización
4.3 Roles del programa de CN 5.4 Roles organizacionales, responsabilidades y au-
toridad
7.2 Competencia
4.4 Compromiso con el programa de CN 5 Compromiso
4.5 Recursos del programa de CN 7.1 Recursos
5 Realización del análisis del impacto en el 8.2 Análisis del impacto en el negocio y evaluación
negocio del riesgo
5.8 Próximo paso - Selección de la estrategia 8.3 Estrategia de CN
de CN

Anexo B
(Informativo)
Mapeo terminológico del análisis del impacto en el negocio
B.1 Mapeo terminológico del análisis del impacto en el negocio
En esta Especificación Técnica no se usan algunos de los términos de la ISO 22301. Sin embargo,
estos términos son comunes con respecto al desempeño del proceso de AIN.
Tabla B.1 - Mapeo terminológico del análisis del impacto en el negocio
ISO/TS 22317
Número Término Definición
referencias
Corte Máximo Acepta-

Tiempo para impactos adversos, que puede resultar de la
ble (CMA) o Período
1 falta de provisión del producto o servicio, o de la realiza- 5.3.1
de Disrupción Máximo
ción de una actividad que la torne inaceptable.
Tolerable (PDMT)
Nivel mínimo de servicios o productos que es aceptable

para la organización a fin de que cumpla con sus objeti-
Objetivo Mínimo de vos de negocio durante una disrupción.
2 Continuidad del Nego- 5.3.1
cio (OMCN) NOTA. Esto no debe confundirse con los objetivos del AIN de la
ISO 22301:2012, 6.2 que se refiere a los objetivos del programa
de AIN.
Objetivo de tiempo que sigue a un incidente para:
El reinicio de la entrega del producto o servicio, o
El reinicio de la actividad, o
Objetivo de Tiempo
3 de Recuperación La recuperación de los recursos 5.3.1
(OTR)
NOTA. Para productos, servicios y actividades, el objetivo de re-
cuperación de tiempo debe ser menor que el tiempo que tomarían
los impactos adversos que resultarían de la falta de provisión del
producto/servicio o de la realización de una actividad que fueran
inaceptables.
Objetivo de Punto de
Punto a partir del cual debe restituirse la información
Recuperación (OPR)
4 usada por la actividad para permitir la reanudación de la 5.5.4
o Pérdida de Datos
actividad.
Máxima (PDM)

Anexo C
(Informativo)
Métodos de recolección de información del análisis del impacto en el negocio
C.1 Métodos de recolección de información del análisis del impacto en el negocio
Este anexo resume los métodos comunes para recolectar la información necesaria para obtener
conclusiones del AIN. Sin importar cómo se recolecta la información, se recomienda hacerlo de manera
coherente para que la información pueda compararse en toda la organización.
Se recomienda que la organización considere los factores que pueden influenciar la selección del
método o de los métodos, siguientes:
1) la información necesaria: ¿la información requerida es para realizar un análisis cuantificable o

discreto (diferenciado), o subjetivo?;
2) la experiencia previa en la realización de la AIN: ¿es la primera vez que se realiza el AIN?;
3) la necesidad de concientizar a los participantes del programa de AIN sobre la continuidad del
negocio: ¿las partes interesadas comprenden el concepto de continuidad del negocio y sus resul-
tados?;
4) la complejidad del negocio: ¿qué tan complejas son las actividades dentro del alcance del proc eso
de AIN?;
5) la competencia del participante en el proceso de AIN: ¿cuáles son las habilidades y experiencia
acerca de la continuidad del negocio de los que implementan el proceso de AIN?;
6) disponibilidad de participación del proceso de AIN y ubicación geográfica: ¿cuál es la ubicación

física y las limitaciones de tiempo de los que representan las actividades?
Generalmente los cinco métodos de recopilación de la información del AIN son:
a) la revisión de la documentación;
b) la entrevista;
c) la encuesta o cuestionario;
d) el taller; y
e) el ejercicio basado en un escenario (se aconseja precaución ya que los diferentes escenarios
pueden dar como resultado diferentes magnitudes de impacto).
Los métodos para asegurar una información coherente, sin importar el método de recolección de la
información, son los siguientes:
i) proveer entrenamiento a los que dirigen o participan;
ii) identificar los requisitos de la información;

iii) proveer supervisión o aseguramiento de la calidad de los resultados;
iv) realizar un método de recolección de información de prueba antes de implementarlo a gran escala.
C.2 Revisión de la documentación
Se recomienda que, como paso esencial para la preparación de las entrevistas, el desarrollo de las
preguntas de la encuesta y eventualmente la realización de los trabajos relacionados con los análisis,
la organización revise la documentación siguiente:
1) los documentos sobre estrategia;
2) el material de comercialización;
3) los informes anuales;
4) los parámetros de desempeño del negocio;
5) los procedimientos operativos normalizados que describen la ejecución de la tarea día a día;
6) las listas de equipos e información y tecnología de comunicaciones;
7) las pólizas de seguro;
8) los informes post-incidentes;
9) los materiales de entrenamiento;
10) la información antes del AIN;
11) la documentación del proceso;
12) los organigramas;
13) los roles y responsabilidades;
14) los acuerdos de nivel de servicio relacionado con el cliente;
15) los requisitos contractuales.
C.3 Entrevista
Las organizaciones pueden realizar entrevistas para posibilitar la discusión sobre las operaciones día
a día, los recursos necesarios, las obligaciones y los posibles impactos de un incidente disruptivo que
pueda afectar la capacidad de la actividad de entregar procesos, productos o servicios.
A pesar de que existen muchas maneras de estructurar una entrevista, se tienen que incluir los tópicos
siguientes:
1) el panorama del proceso de AIN, objetivos, resultados esperados y relación del proceso de AIN
con el proceso de planificación de la continuidad del negocio remanente;
2) las expectativas de los participantes del AIN;
3) la relación de las actividades con los procesos;

4) la discusión sobre las actividades;
5) los pasos siguientes, incluyendo la revisión del resumen de la entrevista, los comentarios y las
correcciones y la aprobación.
La discusión puede cubrir los tópicos siguientes:
a) el panorama de la actividad y la relación entre los productos, los servicios y los procesos, con
especial énfasis en las tareas clave y los cronogramas necesarios para realizar la actividad com-
pleta o las tareas subordinadas (incluyendo las fluctuaciones en la demanda o períodos pico de
operaciones);
b) la dependencia de recursos y requisitos (ver 5.5.1), incluyendo las soluciones existentes y por
cuanto tiempo permanecen viables;
c) el impacto conocido asociado al proceso de inactividad (ver 5.3.1);
d) las obligaciones conocidas de actividades específicas.
Las buenas prácticas de la entrevista incluyen lo siguiente:
i) la preparación adecuada; que generalmente incluye una agenda con instrucciones para el
participante de la entrevista que la prepara;
ii) la investigación sobre la actividad para informar las preguntas de la entrevista;
iii) la repetición de la información clave para asegurarse de que se oiga con exactitud;
iv) el resumen de la entrevista, pedido de retroalimentación y obtención de la aprobación.
C.4 Encuesta o cuestionario
Las organizaciones pueden usar encuestas o cuestionarios para recolectar efectivamente la informa-
ción discreta, la información importante con una cantidad finita de posibilidades o la información que
puede cuantificarse. Las organizaciones pueden elegir presentar encuestas como:
1) documentos impresos;
2) documentos electrónicos; o
3) servicios de encuesta en línea.
Es importante que las preguntas sean claras en su contenido y expresión lingüística y se recomienda
proveer un contacto para resolver las preguntas que pueda tener el entrevistado.
Se recomienda que una encuesta común contenga lo siguiente:
a) la validación de los impactos asociados con un incidente disruptivo, incluyendo cómo cambia el
impacto con el paso del tiempo;
b) la identificación de las obligaciones legales, reglamentarias o contractuales adicionales específi-

cas de la actividad;

c) la identificación de la dependencia entre los recursos y los requisitos, así como el tiempo límite de
recuperación luego de un incidente disruptivo.
C.5 Talleres
Los talleres con representantes de diferentes actividades y procesos se pueden usar para recolectar
información similar para entrevistas, pero también pueden desarrollar y compartir resultados con el
grupo para:
1) producir adicionalmente más información completa y
2) resolver concurrentemente, posibles expectativas irreales.
C.6 Ejercicio sobre la base de escenarios
Usar un ejercicio sobre la base de escenarios posibilita a los participantes decidir sobre la prioridad de
productos y servicios, procesos o actividades dentro del contexto del incidente disruptivo simulado. A
nivel de la alta dirección, el ejercicio puede ser suficiente desafío de que la tolerancia de los clientes
ha llegado a un punto de inflexión de modo que los impactos deben identificarse y evaluarse y se tienen
que tomar decisiones difíciles sobre las prioridades. A nivel de proceso y actividad, un ejercicio puede
explorar la logística, los tiempos y dependencias con otras actividades y cadenas de suministro.
Para un ejercicio de la alta dirección, los escenarios deben mantenerse simples para que los partici-
pantes se concentren en las prioridades, impulsados por la información aportada relacionada con las
presiones externas tales como los reclamos de los clientes y la presión de los medios. Se tienen que
debatir los plazos para las prioridades en lugar de seguir un calendario de incidentes estricto.
Para un ejercicio de nivel de proceso o actividad, se recomienda que los objetivos se enfoquen en
identificar los recursos requeridos para los requisitos de recuperación y el orden, la factibilidad y el
tiempo máximo disponible para la recuperación a fin de lograr la recuperación requerida de entrega del
producto o servicio.
Los resultados de un ejercicio pueden incluir los siguientes:
1) identificación de los impactos que resultarían de la disrupción de la entrega de un producto y ser-

vicio y el tiempo cuando tales impactos se volvieran inaceptables;
2) priorización de las actividades de entrega del producto y servicio, procesos y actividades;
3) recursos requeridos para apoyar una actividad incluyendo los suministros;
4) interdependencia de la actividad con otras actividades.
Estos resultados pueden ser tan amplios como una serie de entrevistas estructuradas pero la
participación de los participantes y el aparente realismo de la situación pueden dar resultados más
confiables. Este método también es útil cuando el tiempo disponible con los participantes es lim itado.
NOTA. Cuando se realiza una recolección de información basada en escenarios, hay que asegurarse de concentrarse en el
impacto del escenario, como opuesto a la causa del escenario.
Desde la tabla C.1 hasta la C.5 se proporciona información adicional referida a las ventajas,
desventajas, oportunidades y consejos correspondientes a cada uno de los enfoques para recolectar
esa información.

Tabla C.1 - Revisión de la documentación
Ventajas Desventajas
Pensamiento potencialmente detallado y Gran consumo de tiempo
completo
Falta de explicación y contexto
Existe ya evidencia/no se requiere esfuerzo
Puede estar desactualizada o ser incorrecta
adicional o comunicaciones verbales
La información necesaria podría ser difícil de
Disminuye esfuerzos previos/promociona la
localizar debido al volumen
cooperación
Facilita el acceso
Oportunidades Consejos
La información puede provenir de muchas Empareja la reunión para asegurarse la
fuentes comprensión del contexto
Puede posibilitar la compilación de borradores Lectura de la documentación disponible en
de preguntas para cuestionarios o encuestas preparación de las entrevistas y talleres
Puede confirmar la información por otro método
Tabla C.2 - Entrevistas
Involucra a la persona y promueve la Gran consumo de tiempo
concientización
Necesidad de preparación
El entrevistador obtiene conocimiento de la
Puede usar más tiempo del personal
gente y las funciones
Aún necesita de un cuestionario en borrador
Descubre impactos reales (conatos)
Respuesta personal
Aborda la ideas y los temores personales
Falta de coherencia si hay más de un
entrevistador
Utilización de participantes experimentados Estructura formalizada de la entrevista
Donde se requiere evaluación de la calidad Entrevista en el lugar
Utiliza la concientización cuando se requiere Tratar de entrevistar en el contexto de las
entregas del negocio, no en el de las
pretensiones del proceso
Darse tiempo para explica el propósito del
proceso de AIN

Tabla C.3 - Talleres
Perspectiva transversal del proceso Dificultad para el calendario
Intercambio de ideas Dificultad para abordar el disenso y las
políticas internas en un grupo
Muestra el compromiso de la organización
Facilita las aptitudes requeridas
Menores distracciones
Mucha preparación
Mayor profesionalismo
Cuando se requieren rápidos resultados Venderlo a la gerencia sobre la base del ahorro
de los costos
Alto nivel de compromiso organizacional
Prepararlo bien - se tiene una sola oportunidad!
También se puede usar para obtener
conciencia sobre la continuidad del negocio Mantener el foco en los impactos, no en las
causas
Tabla C.4 - Ejercicio basado en escenarios
Fuerza la decisión sobre calendarios y Requiere una importante preparación
prioridades
Puede disminuir el alcance de la discusión al
Provee un contexto reconocible para una escenario disponible (dejando de lado otro
estrategia de comprensión para opciones y recurso de pérdidas y amenazas)
decisiones (incluyendo soluciones manuales y
procedimientos alternativos)
Pueden aparecer decisiones más realistas
También se puede usar para despertar Hacer realista el escenario y el ejercicio para
conciencia sobre la continuidad del negocio estimular la aceptación y la participación
Se pueden desarrollar o realizar planes
adicionales

Tabla C.5 - Cuestionarios/Encuestas
Fácil de analizar Fatiga del cuestionario
Más fácil para da una respuesta normalizada Interpretación de las preguntas
Produce evidencia en copia impresa Necesidad de evaluación transversal
Puede ser automatizada Posibilidad de error en las preguntas que
anulen los resultados
Programa informático disponible para entrada
remota Falta de participación
Pérdida de temas sensibles
Pérdida de temas importantes debido a las
respuestas complejas
En un programa de CN u organización Base de datos u hoja de cálculo para los
maduros gráficos
Cuando la información puede ser numérica o Mantener estrictamente los requisitos de
clasificada información
Como seguimiento Información verificada
Si la cantidad de personas que responden es Mezclar con entrevistas
grande
Ubicaciones alejadas

Anexo D
(Informativo)
Otros usos del proceso de análisis del impacto en el negocio
D.1 La compilación de información útil para el desarrollo del plan y la respuesta a incidentes
Los contenidos del proceso de AIN descriptos en esta Especificación Técnica comprenden solamente
la información requerida para seleccionar las estrategias apropiadas de continuidad del negocio para
cumplir los requisitos de continuidad del negocio.
Llevar a cabo un AIN por alguno de los métodos descriptos puede ser una oportunidad de recolectar
información adicional que puede ser útil para desarrollar planes o en respuesta a un incidente disrup-
tivo, como la siguiente:
A nivel de la alta dirección:
1) la dirección estratégica planificada de la organización, tal como fusiones, relocalizaciones o adqui-

siciones que pueden afectar la estrategia de continuidad del negocio en el futuro y que serían
consideradas cuando se seleccionan las estrategias actuales;
2) la exploración de la estrategia de continuidad del negocio tal como cooperación con otras organi-
zaciones (que pueden ser competidoras) para proveer ayuda mutua.
A nivel de proceso:
3) las oportunidades de aceptación de servicio para entregar elementos o todo el proceso tempora-
riamente o tercerizar elementos o todo el proceso permanentemente luego de un incidente
disruptivo.
A nivel de actividad:
4) la documentación de soluciones por la falta de recursos y sus limitaciones de calidad, necesidad

de recursos extra y por cuanto tiempo las soluciones son efectivas;
5) la disponibilidad de suministros iniciales alternativos;
6) las características del personal.
Las características del personal incluyen lo siguiente:
7) la competencia de los miembros del personal (en roles actuales y anteriores);
8) los detalles de contacto;
9) su ubicación original, ubicación del domicilio y tipo de transporte hacia el trabajo;
10) la habilidad de trabajar desde el domicilio (incluyendo la capacidad de la red, equipamiento y ubi-
cación del escritorio);
11) los registros y su ubicación.

D.2 Aumento de la eficacia de la organización
El panorama de la operación de la organización que emerge del proceso de AIN puede posibilitar a los
participantes del proceso a identificar los cambios que pueden mejorar su eficacia. Estos cambios
pueden no aparecer hasta que la organización explora su red de interdependencias.
Una mayor comprensión de los tiempos imprescindibles de entrega del producto y servicio puede
mejorar la programación y priorización cuando los recursos son limitados temporariamente.
Conocer los tiempos imprescindibles de varias partes del proceso de fabricación puede mejorar la
optimización del stock de materias primas y repuestos.
Comprender la interdependencia de las actividades puede sugerir cambios en la estructura gerencial.
D.3 Explorar opciones alternativas de planificación estratégica
El proceso de AIN descripto en esta Especificación Técnica determina los requisitos de la continuidad
del negocio de una organización como son actualmente. Sin embargo, la organización también puede
aplicar el proceso de AIN a una o más situaciones futuras para comprender las implicancias de la
continuidad del negocio de los cambios planificados.
Esta aplicación del proceso de AIN puede ser útil si la organización está planificando cambios significativos
tales como los siguientes:
1) el reordenamiento del lugar de trabajo: un lugar nuevo, cerramiento del lugar o consolidación;
2) el cambio de recursos: aumento o disminución de personal;
3) el cambio de tecnología: automatización o equipamiento de comunicación e informática;
4) el cambio de producto o servicio: nuevos contratos o cambio de los términos del negocio.
La aplicación de un proceso de AIN dirigido al futuro puede explorar varias opciones para comprender
el impacto en el negocio de cada cambio ya que puede haber diferencias significativas dentro de las
cuales la disrupción de productos, servicios, procesos o actividades permanecen aceptables. Esas
conclusiones se pueden usar como aporte para el proceso de toma de decisión. Por ejemplo:
a) un servicio de “call center” prestado desde dos lugares puede proveer un servicio aceptable, si no
degradado, comparado con la inactividad potencial si se usa un único lugar y se vuelve no opera-
cional;
b) el impacto de una pérdida luego de un cambio propuesto, es inaceptable, por lo tanto la organiza-
ción abandona el cambio propuesto;
c) el espacio liberado por la recolocación puede considerarse como un potencial espacio recuperado
más que disponible;
d) un cambio en la cantidad de personal puede afectar el tiempo de recuperación de una actividad;
e) nueva información y tecnologías de la información pueden tener diferentes calendarios de recupe-

ración y algunos pueden ser posibles dentro del tiempo disponible, por lo tanto deberían
establecerse como parte del proceso de selección;

f) debería verificarse que los niveles de servicio y las obligaciones contractuales para la recuperación
son alcanzables antes del acuerdo.
Asistir con una estrategia de toma de decisión a más largo plazo.
El método para evaluar los impactos a lo largo del tiempo puede aplicar al nivel de estrategia a una
cantidad de decisiones estratégicas aparte de los requisitos de recuperación.
Muchos cambios en las operaciones de la organización se producen por factores externos tales como
los siguientes:
a) la reglamentación pendiente;
b) los cambios en el entorno del negocio;
c) la degradación del entorno físico del negocio;
d) los cambios en la opinión pública.
La organización no necesita responder inmediatamente a esos cambios, pero la alta dirección puede
evaluar los impactos crecientes a lo largo del tiempo para llegar a una decisión cuando, prácticamente
la reputación o los impactos financieros por no haber respondido a las circunstancias cambiantes se
tornen inaceptables. Entonces se pueden considerar en la planificación estratégica.
D.4 Proyecto de AIN
El AIN como se describe en esta Especificación Técnica asume que las fechas de entrega del producto
y servicio pueden posponerse al punto de que sean aceptables para las partes interesadas. A veces,
el producto es un proyecto sin fecha de entrega flexible y la cancelación puede ser no aceptable. La
organización puede aplicar el proceso de AIN para determinar si la fecha de entrega del proyecto puede
cambiarse, pero solamente por un período en el cual las consecuencias de una mayor demora sean
inaceptables.
En este caso, los esfuerzos de priorización del nivel de proceso y actividad pueden realizarse a la
inversa. Para hacerlo, la organización puede usar el tiempo de cada actividad marcha atrás desde la
fecha establecida para determinar en qué punto de cada actividad necesita comenzarse para lograr la
fecha límite y opcionalmente evaluar cuales actividades pueden omitirse o escalarse para entregar el
proyecto dentro de la especificación mínima aceptable.
Esto es la planificación convencional del proyecto y del análisis del camino crítico, pero con la
conducción del AIN de las fechas de vencimiento e información sobre la duración del tiempo de
contingencia a ser incorporado al plan del proyecto. Mientras el proyecto progresa puede hacerse el
seguimiento y el control de esta contingencia de tiempo mediante actividades descendientes que no
se hallan en la especificación mínima.
Mientras este enfoque no garantice la entrega a tiempo de los proyectos, no asegura la compresión de
los impactos de las demoras por parte de la alta dirección. Ellos pueden elegir identificar cuales
proyectos se hallan dentro del alcance de este enfoque y si el personal de la continuidad del negocio
tendría que involucrarse.
D.5 Análisis del AIN como análisis de riesgo
Algunas normas de gestión de riesgo usan el término “análisis del impacto en el negocio”.

Sin embargo es posible identificar el impacto de amenazas identificadas, esto se usa poco en
determinadas estrategias de continuidad del negocio que se pretende sean útiles para responder a
ambos incidentes disruptivos, los identificados y los inesperados. Los requis itos de la continuidad del
negocio solamente definidos por amenazas identificadas pueden no ser abarcativos.
En este método, la medición del impacto por una sola variable desconoce el parámetro esencial de
tiempo. El impacto de un incidente disruptivo sobre la reputación y las finanzas de una organización
casi siempre aumenta con el tiempo, posiblemente sin importancia inmediatamente después del
incidente disruptivo la amenaza sobrevive tiempo después. Un solo valor para el impacto no puede
describir esta variación.
El impacto de un incidente disruptivo en una organización aparece cada vez más estrechamente
relacionado con la velocidad y efectividad del retorno a la provisión de productos y servicios a los
clientes que con la naturaleza de la amenaza que causa el incidente disruptivo. Realmente, algunas
organizaciones han aumentado su reputación por su respuesta a un incidente disruptivo.
El enfoque usado dentro de esta Especificación Técnica asume que la organización debería prepararse
para cualquier incidente disruptivo. Por lo tanto, la identificación de las amenazas y un intento de
evaluar su probabilidad, como lo describen las normas basadas en riesgo, es inapropiada como
método para determinar los requisitos de recuperación.

Bibliografía
[1] ISO 22300, Societal security - Terminology
[2] ISO 22301:2012, Societal security - Business continuity management systems - Requirements
[3] ISO 22313, Societal security - Business continuity management systems - Guidance

Anexo E - IRAM
(Informativo)
Integrantes del organismo de estudio
El estudio de esta norma ha estado a cargo del organismo respectivo, integrado en la forma siguiente:
Subcomité Respuesta a emergencias y gestión de seguridad
Integrante Representa a:
Ing. Alejandro AGOSTINELLI YPF S.A.

Ing. Mariana ARCERI NUCLEOELECTRICA ARGENTINA S.A.
Ing. Jorge AVILA ORGANISMO REGULADOR DE LA SEGURIDAD DE
PRESAS (ORSEP)
Lic. Ariel BARCALA CONSEJO DE FEDERACIONES DE BOMBEROS
VOLUNTARIOS DE LA REPÚBLICA ARGENTINA
Prof. Julio BARDI UNIVERSIDAD DEL SALVADOR
Lic. Guillermo BARISONE SERVICIO NACIONAL DE MANEJO DEL FUEGO -
MINISTERIO DE AMBIENTE Y DESARROLLO
SUSTENTABLE
Lic. Anabel CALVO UNIVERSIDAD DE BUENOS AIRES
Ing. Néstor CAVA INSTITUTO UNIVERSITARIO DE LA POLICÍA
FEDERAL ARGENTINA
Arq. Martin CLOSA INTERNATIONAL ASSOCIATION OF EMERGENCY
MANAGERS ( IAEM)
Lic. Virginia COHEN BOMBEROS DE LA CIUDAD AUTÓNOMA DE
BUENOS AIRES
Ing. Darío DE LA ROSA CONSEJO PROFESIONAL DE INGENIERIA
MECANICA Y ELECTRICISTA (COPIME)
Ing. Roberto FLORES INVITADO ESPECIAL
Ing. Rafael GALEANO ASOCIACIÓN LATINOAMERICANA DE
FERROCARRILES (ALAF)
Ing. Eduardo GRANDA LABORATORIO GADOR
Lic. Jorge GUTIERREZ METROVIAS/BOMBEROS VOLUNTARIOS DE
QUILMES
Ten. Leonardo LIBERDI BOMBEROS DE LA CIUDAD AUTÓNOMA DE
BUENOS AIRES
Sr. Lucas MOLINAS BOMBEROS POLICÍA FEDERAL ARGENTINA
Lic. Omar MONTAÑA FEDERACION ECONÓMICA DE SAN JUAN
Lic. Valeria PERALTA MINISTERIO DEL INTERIOR
Lic. Patricia PEREZ SECRETARÍA DE PROTECCIÓN CIVIL Y ABORDAJE
INTEGRAL DE EMERGENCIAS Y CATÁSTROFES
Sr. Héctor RAGO MINISTERIO DEL INTERIOR Y TRANSPORTE
SUBSECRETARÍA DE DESARROLLO Y FOMENTO
PROVINCIAL
Lic. Pablo RAGO DIRECCIÓN GENERAL DE DEFENSA CIVIL DE LA
CIUDAD AUTÓNOMA DE BUENOS AIRES
Lic. Víctor RAMIREZ ADMINSTRACION FEDERAL DE INGRESOS
PÚBLICOS (AFIP)

Integrante Representa a:
Lic. Irma RIVAS SERVCIO GEOLÓGICO MINERO ARGENTINO

(SEGEMAR)
Lic. Ramón SANCHEZ INVITADO ESPECIAL
Arq. Carlos SILVA MINISTERIO DEL INTERIOR Y TRANSPORTE
UNIDAD EJECUTORA CENTRAL - GESTIÓN DE
RIESGOS
Ing. Mario PAONESSA IRAM


Orden: 0g3ZHpON del 01/07/2020 - Licencia monousuario. Prohibido su copiado y uso en redes.

ICS 03.100.01
* CNA 00.00
* Corresponde a la Clasificación Nacional de Abastecimiento asignada por el Servicio Nacional de Catalogación del Ministerio de Defensa.

Iram-Iso 22317 Ts

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iram-Iso 22317 Ts

Cargado por

Copyright:

Formatos disponibles

ESPECIFICACIÓN IRAM-ISO

Seguridad de la sociedad - Sistemas de

[ISO/TS 22317:2015, (IDT )]

Societal security - Business continuity management systems

IRAM es el representante de Argentina en la International

Esta especificación técnica es el fruto del consenso técnico entre

Una especificación técnica es un documento publicado por ISO o

a) no se ha obtenido el soporte necesario para aprobarlo como

b) hay dudas sobre el consenso logrado;

c) el tema está todavía en desarrollo técnico;

d) hay otra razón que impide la inmediata publicación como

Este documento es una adopción idéntica de la Especificación

Sólo se ha realizado el cambio editorial siguiente:

Se agregó un anexo informativo donde se indica el organismo de

Licenciado por IRAM a Estudio IMUA

ISO (Organización Internacional de Normalización) e IEC

Los comités técnicos de ISO e IEC colaboran en campos de

En el campo de la evaluación de la conformidad, el Comité de ISO

Las normas internacionales se redactan de acuerdo con las reglas

Los Proyectos de Normas Internacionales se envían a los

En otras circunstancias, particularmente cuando existe una

 una especificación disponible al público ISO (ISO/IEC PAS)

 una especificación técnica ISO (ISO/IEC TS) (Technical

Licenciado por IRAM a Estudio IMUA

momento en el que se debe decidir si se transformará en una

Se llama la atención sobre la posibilidad de que algunos de los

La Especificación Técnica ISO/TS 22317 ha sido preparada por el

Licenciado por IRAM a Estudio IMUA

1 OBJETO Y CAMPO DE APLICACIÓN .........................................................................9

2 DOCUMENTOS NORMATIVOS PARA CONSULTA ...................................................9

3 TÉRMINOS Y DEFINICIONES ...................................................................................10

5 REALIZACIÓN DEL ANÁLISIS DE IMPACTO EN EL NEGOCIO .............................13

6 SEGUIMIENTO Y REVISIÓN DEL PROCESO DE AIN .............................................25

Anexo A (Informativo) Análisis del impacto en el negocio dentro de un sistema

Anexo B (Informativo) Mapeo terminológico del análisis del impacto en el

Anexo C (Informativo) Métodos de recolección de información del análisis del

Anexo D (Informativo) Otros usos del proceso de análisis del impacto en el

Anexo E - IRAM (Informativo) Integrantes del organismo de estudio ............................40

Licenciado por IRAM a Estudio IMUA

Seguridad de la sociedad - Sistemas de gestión de la

Figura 1 - Elementos de la gestión de continuidad del negocio (Fuente ISO 22313)

El proceso de AIN analiza las consecuencias de un incidente disruptivo en la organización. El resultado

Licenciado por IRAM a Estudio IMUA

Esta Especificación Técnica tiene los propósitos siguientes:

2) proveer una guía para planificar, conducir e informar sobre un AIN;

Los resultados del proceso de AIN incluyen los siguientes:

a) aprobar o modificar el alcance del programa de CN de la organización;

e) identificar y establecer las relaciones entre productos/servicios, procesos, actividades, y recursos;

h) determinar la manera necesaria de actualización de la información.

Licenciado por IRAM a Estudio IMUA

Proceso de análisis del impacto en el negocio

Aná l isis y Pri ori zación de l a

Figura 2 - Proceso de análisis del impacto en el negocio

1 OBJETO Y CAMPO DE APLICACIÓN

2 DOCUMENTOS NORMATIVOS PARA CONSULTA

ISO 22300 - Seguridad de la sociedad - Terminología.

Licenciado por IRAM a Estudio IMUA

1) definir el contexto y el alcance (4.2);

2) definir y comunicar los roles y las responsabilidades (4.3);

3) obtener un compromiso de liderazgo (4.4);

4) asignar los recursos adecuados (4.5).

4.2 Contexto y alcance del programa de CN

4.2.1 Contexto del programa de CN

3) las leyes y reglamentaciones que rigen el proceso de AIN y cómo se desempeña.