UNE-EN ISO 22301 2015pdf

norma UNE-EN ISO 22301
española
Enero 2015
TÍTl tO Protección y seguridad de los ci udada nos
Sistema de Gestión de la Continuidad del Negocio
Especificaciones
(ISO 2230 1:2012)
stcruité .w>eiita/e. $ys1i.111es de nw1tage11Jent de la continuité cl'actit•iti. fxigotces (ISO 11JOJ :2012).
CORRESPO'\DE'iCL\ fata nonna es la versión oficial, en español, de la Norma Europea EN ISO 22301:201 4,
que a su vez adopta la Norma Internacional ISO 2230 1:20 12.
OBSER\"ACIO'i ES Esta norma anula y sustituye a la Norma UNE-ISO 22301:20 l3.
.\'iTECEDE'iTES Esta norma ha sido e laborada por el comité técnico AEN/CTN 196 Protecció11 y
seguridad de Jos ciudadanos cuya St"C.retaria desempeña AENOR.
Editada e impresa por AE'.NOJ{ LAS OBSERVACtONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:
Ocpósito legal: ~1 185$:20 15
Asociación Española de
AE NOR Normalización yCenlficaclón
l4 Pig1na.c;
e AENOR 2015 C'.iéno'l1a,6 inf~aenor.cs Tel.: 902 102 20 1

Reproducción prohibida 2~ MAOJUD-España "''"'\'.aenor.cs Fa." 913 104 032
AENOR
NORMA EU ROPEA
EUROPEAN STANDARD EN ISO 22301
NORME EUROPÉENNE
EUROPA°ISCHE NORM Julio 2014
ICS 03. 100.0 1
Versión en español
Protección y seguridad de los ciudadanos

Sistema de ~stión de la Continuidad del Negocio
Especificac.iones
(ISO 22301:2012)
Sodttal stturity. B1uintss r-ontiauity SiC'urili sodital~ Sys1t mc:s dt Sithtrbtif und S<-hutx dts (;tmti111~•tMns.
ma11.agtmtot systt ms.. Rtquirtmrnts. mao<11gtmrnt dt la M ntinuitt d 'attivitt. Businus Continuity ~l.anagtmtnt Systtm.
(ISO 22301:2012) E.xigtntts. Anfordtrungtn.
(ISO 2230 1:2012) (ISO 223-01 :2012)
Esta norma europea ha sido aprobada por CEN e l 2014-07-1 7.
Los miembros de CEN están sometidos al Reglamento Interior de CEN/CENELEC que. define las condiciones dentro de
las cuales debe adoptarse, sin modificación. la norma e uropea como norma nacional. Las corre-spondie.ntcs listas
actualiz.ada'i y las refcrcncia'i bibliográficas relativas a estas normas nacionales pueden obtene.rse en el Centro de
Gestión de CEN, o a través de sus miembros.
Esta nonna e uropea existe e n tres versiones oficiaJes (alemán, francés e inglés). Una versión en otrd lengua realizada
bajo la responsabilidad de un miembro de CEN en su idioma nacional, y notificada al Centro de Gestión, tiene el mismo
rango que aquéllas.
Los miembros de CEN son los organismos naciona les de nonnaJización de los países s iguientes: Alemania. A ntigua
Re pública Yugoslava de Macedonia, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia,
España, E.'ilonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Ll!tonia, Lituania, Lu.xemburgo, Malta,
Noruega, Países Bajos. Polonia, Portugal, Reino U nido, República Checa, Rumanía, Suecia, S uiza y Turquía.
CEN
COMITÉ EU ROPEO DE NORMA LIZACIÓN
Europc-á11 Commitlee for Standardization
Comité Européen de NornlaJisation
Europaisches Komitee für Nonnung
CENTRO DE GESTIÓN: Aveour Marnix, 17-1000 Bruxellrs
© 20 14 CEN. Derechos de reproducción reservados a los Miembros de CEN.

EN ISO 22301 :20 14 -4- AENOR
Prólogo
El texto de la Norma ISO 22301:20 12 del Comité Técnico ISOffC 223 Seguridad de los ciudadanos, de
la Organización Internacional de Normal ización (ISO), ha sido adoptado c-0mo Norma
EN ISO 22301:2014 por el Comité Tecnico CENffC 391 Protección y seguridad de los ciudadanos, cuy•
Secretaria descmpc-ña NEN.
Esta norma europea de.be recibir el rango de norma nacional mediante la publicac-ión de un texto idéntico
a ella o mediante. ra.tific.ación antes de finales de ene.ro de 20 15, y toda."'\ las nonnas nacionales
técnicamente divergentes deben anularse antes de finales de enero de 20 15.
Se llama la atención sobre Ja posibilidad de que algWlOs de los elementos de este documento C$tén sujetos
a derechos de patente. CEN y/o CENELEC no es(son) responsable(s) de la identificación de dichos
derechos de. patente.
De acuerdo con el Reglamento Interior de CEN/CENELEC, están obligados a adoptar esta norma europea
los organismos de normalización de los siguicnte.s paises: Alemania, Antigua Re pública Yugoslava de
Macedonia, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España,
Estonia. Finlandia, Francia, Grecia, Hungría. lrlanda, Islandia, halia, Letonia. Lituania, Luxemburgo,
Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumania, Suecia, Suiza
y Turquía.
Declaración
El te;o.~o de la Norma ISO 2230 1:2012 ha sido aprobado por CEN como Norma EN ISO 2230 1:2014 sin
ninguna modificación.
AENOR -5- ISO 22301 :20 14
Índice
P rólogo ...••.............•.........•.....••••...............••....•........•...............••....•...•....•.........•.....••....•........•....•....•.....••.. 6
O I ntroducción ~.................................................................................................................................................... . 7
0.1 Grnrralidades ......................................................................................................................... 7
0.2 El modelo "Planificar·Hacer.\' erificar·Actuar" (Pff\' A) .................................................. 7
0.3 ComponentH del modelo PDC1-\ en esta norma internacional ........................................... 9
Objrto y campo dr aplicación ................................................................................................ 9
2 Normas para consulta ................................................................................................................................ 10
3 Términos y definicionts ..............................º .......................................................................................... 10
4 Contexto de la organización .................................................................................................................... 17

4.1 Entendimiento de la o rganización y de .su contexto ..º ....................................................... 17
4.2 Entendimiento de las ne·cesidades y expectativas de las partes interesadas .................... 17
4.3 Determinación del campo de aplicación dtl .sistema de gestic;n de la continuidad
drl nrgocio ............................................................................................................................. 18
4.4 Sistema de gestión de la. continuidad del negocio ............................................................... 18
5 Lidrrazgo ........................................................................•...................................................... 18
5.1 Lidrrazgo y compromiso ...................................................................................................... 18
5.2 Compromiso de la dirección .................................................................................................................. 19
5.3 Política ................................................................................................................................... 20
5.4 Funciones, responsabilidades y autoridad en la organiz.ación .......................................... 20
6 Pla.nificac.ión ............................................................................................................................................... 20
6.1 Acciones para cubrir riesgos y oportunidades ................................................................... 20
6.2 Objetivos de continuidad del negocio y planes para conseguirlos .................................... 21
7 Apoyo ..................................................................................................................................... 21
7.1 Rrcursos ................................................................................................................................ 21
7.2 Competencia .......................................................................................................................... 21
7.3 Concienciación ............................................................................... ..................................................................... 22
7.4 Comunicación ................................................................................. ..................................................................... 22
7.5 Información documrntada ................................................................................................... 22
8 Oprración .............................................................................................................................. 23
8.1 Planificación y control operacional ....................................................................................................... 23
8.2 A nálisis de impacto t o el negocio y apreciación del riesgo ............................................... 24
8.3 Estratrgia dr continuidad dtl nrgocio ................................................................................ 25
8.4 Establecimie.n to e implantación de procedimientos de continuidad del negocio ............. 26
8.5 Prurbas y r nsayos ................................................................................................................. 28
9 Evaluación del re.ndimiento .............................................................................................................. 29

9.1 Suprn•io¡;ic;n, medición, a nálisi~ y rvaluación ...................................................................... 29
9.2 A uditoria intrrna .................................................................................................................. 30
9.3 Rt\'Ísión de. la dirrccióo .............................................................................................................................. 31
10 Mrjora ................................................................................................................................... 32
10.1 No conformidad y acción corrr·c tora .................................................................................................. 32
10.2 Mrjora continua .................................................................................................................... 33
Bibliografia............................................................................................................................................. 34
ISO 22301 :20 14 -6- AENOR
Prólogo
ISO (Organización Internaciona l de Normalización) es una federación m undial de organismos nacionales

de normalización (organismos miembros de lSO). El trabajo de preparación de las nonnas internacionales
normalmente. se re-<sl iza a través de los comités técnicos de lSO. Cada organismo miembro lntercsado en
una materia para la cual se haya estabJe.c ido un comité técnico, tiene e l derecho de e-s tar representado e n
dicho comité . Las organiz.aciones internacionales., pllblic-as y privadas, en coordinación con ISO. también
participan en el trabajo. ISO colabord estrechamente con la Comisión Electrotécnica lntcmacionaJ (IEC)
c.n todas la'i materias de normalizac.i ón electrotécnica.
Las nonnas internacionales se. redactan de acuerdo con la'i regla'i establecidas en la Parte 2 de la..s
Directivas ISO/I EC.
La tarea principal de los comités técnicos es preparar norm"dS internacionales. Los proyectos de normas
internacionales adoptados por los comités técnicos se envían a los organismos miembros para votación.
La publicación como norma internacional requiere la aprobación por al menos el 75% de los organismos
miembros que e.m iten voto.
Se llama la a tención sobre la posibilidad de que algunos de Jos e lementos de este documento puedan estar
sujetos a derechos de patente. lSO no asume. la re.sponsabilidad por la identificación de cualquiera o todos
los derechos de patente.
La Norma ISO 2230 1 fue preparada por el Comité TCcnico ISOrrC 223 S.-guridad de los ciudadanos.
Esta versión corregida de la Norma ISO 2230 1:2012 incorpora Ja., siguientes correcciones:
- primera lista e-n c-1apartado 6.1 C'ambia de una lista numerada a una no numerada~
- comas añadidas al final de una lista de elementos 7.5.3 y 8.3.2;
- elementos de bibliografia [1 9] y [20] separados, que estaban juntos en el original ;
- se ha ajustado el tamaño de fuente en varios lugares.

AENOR -7- ISO 22301 :20 14
O Introducción
0.1 Generalidades
Esta norma internacional especifica los requisitos relativos aJ establcc-imiento y la gestión de un Sistema de Gestión de
la Continuidad del Negocio (SGCN) eficaz.
Un SGCN s ubraya la importancia de:
el entendimiento de la-; nccc-sidades de la organización y de la necesidad de establecer la política y los objetivos de

continuidad del negocio~
la implantación y la aplicación de controles y medidas para gestionar la capacidad global de la organización para
hacer frente a incidentes disruptivos~
la supervisión y revisión del rendimiento y la eficacia del SGCN; y
la mejora continua basada en mediciones objetivas.
Un SGCN, como cualquier otro sistema de gestión, tiene los siguientes componentes fundamentales:
a) una política;
b) personas con responsabilidades definida.' ;
e) procesos de gestión asociados a:
l ) la política;
2) la planificación,
3) la implantación y la operación,
4) la cvaluac.ión del rendimiento,
5) la revisión por la dirección, y
6) la me1ora,
d) un conjunto de documentos que proporcionan pruebas auditablcs; y
e) todos los procesos de SGCN relevantes para la organiz.ación.
La continuidad del negocio contribuye a c.onstituir una sociedad oon más resilicncia. En el proceso de recuperación,
puede ser necesario impl icar en la organización a la comunidad en s u conjunto y al impacto del entorno ambiental y por
tanto a otra-; organizacionc-s.
0.2 El modelo "Planifica r-Hacer-Verificar-Actuar" (PH VA)

Esta norma internacional aplica el modelo "Planificar· Hacer· Verificar-Actuar" l conocido por sus siglas en inglé.'i POCA
(Plan-DcrCheck· Act)] para planificar. establecer. implantar. operar. s upervisar, revisar, mantc.ner, y mejorar de manerd
continua la eficacia del SGCN de una organización_
Esto asegura un gr.:.do de coherencia con otra'i normas relativas a sistemas de gestión, tales como la..s Normas lSO 9001
Sistemas de gestión de la calidad, ISO 1400 l Sistemas de gestión ambiental, ISO/IEC 2700 l Sistemas de gestión de la
seguridad de la i11fonnació11, ISO/IEC 20000-1 Tecnologia de la i11formació11. Gestión del servicia e ISO 28000
Especificación para Jos siste1nas de gestión de la seguridad para Ja cadena de suministro, lo que permite un apoyo
coherente y una implantación y un fUncionamiento integrados con los sistemas de gestión a'ioOciados.
ISO 22301 :20 14 -8- AENOR
La figura l muestra cómo un SGCN toma como entradas a las partes interesadas. los requisitos de la gestión de la
c.o ntinuidad y. a través de las acciones y los procesos necesarios. produce resultados de la continuidad (es decir,
c.o ntinuidad del negocio gestionada) que cumplen esos requisitos.
Mejora continua del sistema de gestión

de la continuidad del negocio (SGCN)
Establecer
(Planificar)
Partes Partes
interesadas interesadas
Mantenimiento Implantar
y mejora y operar
(Actuar) (Hacer)
Requisitos de Continuidad
la continuidad del negocio
del negocio Supervisión gestionada
y revisión
(Verificar)
Figura 1 - Modrlo POCA aplicado a procrsos d e SGCN
Tabla 1 - Explicación del modelo POCA
Pla nificar Establecer la política de continuidad del negocio. los objetivos, las metas. los controles, los
(Establecer) procesos y Jos procedimientos necesarios para mejorar la continuidad del negocio con el fi n
de obtener resultados acordes con las políticas y objetivos generales de la organización.
Hacrr Implantar y operar la política, los c,o ntroles. los procesos y los procedimientos de
( Implantar y operar) continuidad de.) negocio.
Vt rificar Supervisar y revisar el rendimiento según los objetivos y la política de continuidad del
(Supervisar y revisar) negocio~ informar de los resultados a la dirección de la organización para su revisión. y
detenninar y autorizar las medidas para su corre.cción y mejora.
Actuar Mantener y mejorar el SGCN mediante la aplicación de medidas corrt"Ctoras, basadas en los
(Mantener y mejor.ir) resultados de la revisión por la dirección de la organización. y reevaluando el alcance del
SGCN y la política y los objetivos de continuidad del negocio.
AENOR -9- ISO 22301 :20 14
0.3 Componentes del modelo POCA en esta norma internacional

Como mue.str& la tabla 1, en e l modelo Planiticar.. Hacer· \'erificar·Actuar los capítulos 4 al JO de C$l3 norma interna·
cional tratan los asuntos siguientes.
El capítuJo 4 es una parte del término Planificar. Introduce los requisitos necesarios para establet-cr e l contexto del
SGCN tal como se aplica a la organización. así como la"i necesidades, requisitos y alcance.
El capítulo 5 es una parte del término Planificar. Resume los requisitos específicos de la función de la alta dirección
en el SGCN, y la manera en que ésta comunica sus expectativas a la organización me.d iante la de.c laración de Ja
política.
El capítulo 6 C$ una parte del término Planificar. Describe los requisitos relativos al establecimiento de los objetivos
estratégicos y de los principios: de guía para e l SGCN en su conjunto. El contenido del capítulo 6 no consiste en e.s ta·
blec.e r soluciones para el tratamiento de los riesgos observados de la a preciación del riesgo. ni del análisis de
impacto en el negocio (BIA) derivado de los obje.t i\'<>S de recuperación.
NO'fA Los ~u is:itos relativos al anáh.c;1s de impacto ea el negocto y al proceso de cvaluac.00 dd nesgo se detallan en d e.apítuk> 8.
El capítulo 7 es una parte del ténnino Planificar. Apoya las operaciones del SGCN relativa• a la determinación de
las competencia(\ y al establecimiento de comunicacionc.s con las parte.s interesadas sobre una base recurrente/por
necesidad, a la vez que se documenta, controla.. mantiene y conserva la documentación requerida.
El capitulo 8 es una parte de-1 término Hacer. Define los requisitos relativos a la continuidad del negocio, determina
la manera de tratar y desarrollar los procedimientos para gestionar un incide-nte djsruptivo.
El capítulo 9 es una parte del ténnino Verificar. Resume los requisitos necesarios para medir el rendimiento de la
gestión de la continuidad del negocio, la conformidad del SGCN con esta norma internacional y con las expectativas
de la dirección.. y busca retornos de infbrmación relativa a las expectativas desde la direccic>n.
El capítulo 1O es una parte del término Actuar. Identifica y actúa sobre las no confonnidades del SGCN por me.d io
de acciones correctoras.
1 Objeto y campo de aplicación

Esta norma internacional sobre la ge.s tión de la contin uidad del negocio, especifica los requisitos para la planificación,
el c.'\iablecimiento, la implantación, la operación, la supen•isión, la revisión, e l mantenimiento y la mejord continua de
un sistema de gestión docume.n tado, a fi n de que el negocio esté protegido contra incidentes disruptivos, así como
rcduc.ír la probabilidad de ocurre.ocia de éstos, estar preparado contra, responder a, y rt."Cuperarse de ellos cuando se
presentan.
Los requisitos especificados en esta nonna internacional son genéricos y están previstos para ser de aplicación a todas
la'i organizaciones.• o partes de ell~ t.-on independencia del tipo. tamaño y naturaleza de la organización. La amplitud
de la apl icación de estos requisitos depende del entorno de operación de la organización y de la complejidad de ésta.
Esta nonna internacional no pretende establecer una estructura uniforme para un sistema de gestión de la continuidad
del negocio (SGCN), sino que una organización diseñe un SGCN que sea apropiado a sus necesidades y que cumpla los
requisitos de S\L'i partes in te.resadas. 8.1as necesidades se modelan según requisitos legales, re.g uladorc.s. organizacio ·
nales e industriales, los productos y servicios, los procesos utilizado~ el tamaño y estructura de la organización.. y los
requisitos de las partes interesadas.
Esta norma internacional es a pl icable a todos los tipos y tamaños de organizaciones que deseen:
a) establecer, implantar, mantener y mejorar un SGCN;
b) a.wgurnr la c.onformidad con la política de continuidad del negocio declarada;

ISO 22301:20 14 - 10 - AENOR
e) demostrar a otros e~1a confOrrnidad;
d) obtener la cenificación/rcgistro de su SGCN por un organismo de certificación de tercera parte acreditado; y
e) realizar una autodctcnninación y autodeclaración de confonnidad con esta norma internacional.
Esta norma internacional se puede utilizar para evaluar la capacidad de una organización para c umplir sus propias
necesidades y obligaciones de continuidad.
2 Normas para consulta

Los documentos indicados a continuación, en s u totalidad o en pane, son normas para consulta indispensables para la
aplicación de este documento. Para las referencias con tCcha, sólo se aplica la edición citada. Para la'i referencias sin
fecha se aplica la ultima edición (incluyendo cualquier modificación de ésta).
No hay normas pard consulta.
3 Términos y definiciones
Para los fines de t.."Ste documento. se aplican los té rm inos y definiciones siguientes:
3.1 actividad:
Proceso o conjunto de procesos reaJizados por una organización (o e n su nombre) que producen a dan apoyo a uno o
varios productos y scr\'icios.
EJE1'.1PLO En tales procesos se incluye la contabílid3d, los centros de llamada~ la lecnologia de la información (TI). la
fabricación,. la d1stribuc.1611.
3.2 auditoría:
Proceso sistemático. indepe.ndiente y documentado pard obtener pruebas de auditoria y evaluarlas objetivamente para
determinar la amplitud con que se cumplen los criterios de dicha auditoría.
NO'J'A 1 Una auditoria pocdc ser interna (de primera parte) o externa (de segunda o tercera pMc). )'puede Stt combinada (si se asocian dos o más
disc4plinas).
NO'J'A 2 Los términos •prueba de audiloria· y ·critcrtos de auditcwia• se dctinen en la Nonna LSO 190 11.
3.3 continuidad dtl nrgocio:

Capacidad de la organización para contin uar rc--alizando Ja entrega de productos o servicios a niveles predefinidos
aceptables después de un incidente disruptivo.
[FUENT E: Norma ISO 22300)
J..4 gestión de la continuidad d t l negocio:

Proceso de gestión holistic.o que identifica amenaza~ potenciales para la organización ac;í como los impactos en las
operaciones del negocio que tales amenazas. en caso de materializarse. pueden causar. y que proporciona un marco pard
aumentar la capacidad de resistencia o resiliencia de la organización para dar una rc.s puesta eficaz que sal\'aguarde los
intereses de sus principales partes interesadas, la reputación. la marca, y las actividades de c reación de valor.
3.5 sisttma dt grstión de la continuidad dtl negocio, SGCN:

Parte del sistema de gc.s tión global que c~ttblccc. implanta, opera, supervisa, revisa, mantiene y mejora la continuidad
del negocio.
NOiA E:I SlSICma de sesbón incluye. la c!ilructum de la M<>~u:actón, 'ª" políticas. la plandieac1ón de octiv1dades, 'ª" rcsponsabdidOOes, los
prottdímientos., los procesos y los rcc-ursos.
AENOR - 11 - ISO 22301 :20 14
3.6 plan dt continuidad d tl nrgocio:

Procedimientos documentados que conducen a las organizaciones a responder, recuperar, re-anudar y restaurar e l nivel
de operación predefinido después de una interrupción.
NOTA Normalmente, este plan cubre los recursos, los scn•1c10S y lac; act1vtdadcs que se rcqu>eren para asegurar la conainuKtad de la~ funciones
criticas del negocio.
J..7 progra ma dr continuidad del negocio:

Proceso continuo de gestión y de gobierno, apoyado por la alta dirección y dotado de los recursos apropiados para
implantar y mantener la gestión de continuidad del negocio.
3.8 análisis de impacto rn el nrgocio:

Proceso de analizar las acti\•idades y el etCcto que una interrupción del negocio puede tener sobre éstas.
[FUENTE: Norma ISO 22300]
J . 9 competencia:
Capacidad para aplicar los c.o nocimicntos y la destreza para conseguir los resultados previstos.
3.1 0 conformidad:
Cumplimiento de un requisito.
3.11 mrjora continua:

Actividad repetida dirigida a mejorar el rendimiento.
3.12 corrección:
Acción dirigida a eliminar una no conformidad detectada
3.13 acción correctora:

Acción dirigida a e liminar la calL~ de una no conformidad y a impedir s u repetición.
NOTA En d ca'io de ocros resultados no dC5C8bles, es necesario emprender alguna acciOO para minimimr o elim inar las causas y p:tra reducir el
impacto o cv1tnr su repetición. ·ralcs occiones quedan fuera del concepto de "acción correctora." en el sentido de c.'il:a definición.
3.14 documento:
lnformac.ión y su medio de soporte.
NOTA 1 E.I sopone puede ser papel, un disco informático n1~ico, dec1rónico u óptico, una folografia o una configuración de n:ferencaa, o una
combmación de estos sopones.
NO'J'A 2 Un conjunlo de documentos. por ejemplo, csp«iflcacioncs y rcgisuos, nonnatmcnte se denomina ·documentación".
3.15 infor mación documentada:

Información que necesita estar controlada y mantenida por una organización, y el soporte que la contiene.
NOf A 1 La información documentnda puede estar en cualquier formato y sobre cualquier soport~ y proc.C'der de cualquier fuente.
ISO 22301:20 14 - 12 - AENOR
N01A 2 La infonnación documentada puede versar sobre:
el sistema de gestión, incluidos los pmce.c;os asociados.
1nfonn1K1ón sencrada para el functonam1ento de la organizac.ión (documentac.1ón),
la C\•idcocia de los resultados obten.Klos (rcg1sttos).
J . 16 r licacia:
Nivel de rc.alización de las actividades planificada-¡ y de obtención de los resultados pre.v istos.
3.1 7 sucrso:
Ocurrencia o cambio de un conjunto particular de circunstancias.
NOiA 1 Un suceso pocdc tener a una o vnnas ocurrcnc1.:is., y se puede deber a vanas causas.
N01A 2 Un suceso puede: consistir en algo que nunca ha ocurrido.
NOTA 3 A veces. un suceso se puede mencionar corno un "incidente" o un •accidente".
NO'l'A 4 lJn suceso sin consccuencitts uunbién se poed(" menc1mar como un "casi problema", "incidente", "impac.to pró.'C.imo" o "aviso".
[FUENTE: Guía ISO 73)
J . 18 prueba:
Proceso para. adiestrar, evaluar, practicar. y mejorar e.I re ndimiento de una organización.
NOiA 1 Las pruebas se pueden utdizar para la \'ahdactón de política"• planes. proccd1m1entos., ronnaetón, cqulpos y acuerdos entre M"~im:umes;
cbrificación y formación dd personal en funciones y responsabilidades; mejora de la coordinación entre organi:t.aeiones y de las
comunicaciones; dcnuficadón de dcsr:quilibnos entre recursos; mejora de renchmicntos indi\'iduales e identiítcación de oportunidades de
1nejora; y una oportunidad cootrolada para practicar improvisaciones.
NOiA 2 Un ensayo es un bpo de prueba unK11 y particular, que incluye una cxpcctntJva de no tallo o de fal lo dentro dd o de los objccivos de la
prueba planificada.
3.1 9 íncídr nte:

Situación que podría provocar o conducir a una interrupción. una pérdida, una emergencia o una crisis.
3~20 infrar structura:

Sistema de instaJaciones, equipos y servicios necesar io para el füncionamiento de una organización.
3.21 partr intrrrsada:

Persona u organización que puede afec..'lar, ser afectada por, o percibir que ella misma puede verse atectada por una
dcc.isión o actividad.
NOiA Puede tratar.se- de un inch\'lduo o de un grupo q ue ricnc un interés en alguna decisión o acll\'idad de una organimción.
3 ~22 auditoría intrrna:

Auditoria reaJizada por la propia organización o en s u nombre, para su revisión por la dirección y para otros fines
internos. y que podría con.!i.1:itu ir la base para una autode.c laración de conformidad de la organización.
NO'fA En muchos CllSGS., p:irucularmente en organl1llC1ones pequeñas, Ja mdepc:ndcncaa se puede demosuar por la ausencia de rt:Sponsab1..hdad
respecto a la actt\'1cbd que se está auditando.
AENOR - 13 - ISO 22301 :20 14
J.23 acti\'ación:
Acto de declarar q ue las disposiciones sobre continuidad del negocio de. la organización se debe poner e-n marcha con
objeto de continuar sumin istrando los productos y servicios principales.
3.24 sisttma dt gestic)o:

Conjunto de elementos interrelacionados o inte.ractivos de una organización que sirve para establecer políticas y
objetivos, así como los procesos para conseguir estos objetivos.
NO'l'A 1 lJn sistema de gcs1jón puede estar mf'ocOOo 11 una sola di.o;ciphna o a \ arinsdiscíplinas.
1
NO'T'A 2 Los elementos del slSlema incluyen la csrruc1ura de la organización, las funciones y las rcsponsabilida:lcs, la planificación, la operación, etc.
NO'fA 3 El campo de aphcac.ión de un sistema. de gcsaión puede incluir la totalidad de la organu::ac1ón, func.1oncs especifica.e; e 1dent1ficadas de la
organización, secciones especificas e idcn11fíeadac; de la organiz.nción, o 00;1. o varias fwiciones de un grupo de org:mi7.acioncs.
3.25 tiempo máximo acepta bit dt interrupción, T~1A l:

Tiempo necesario para que los impactos desfavorables que pudiesen surgir como con.secuencia de no suministrM un
producto/servicio o de no realizar una actividad. se transformen en inaceptables.
N01A VCasc 1ambién -plazo mli.'<imo tolerable de intc1Tupdón".
3.26 plazo má.ximo tolerablr de interr upción, PMTl:

Tie.mpo necesario para que los impactos desfavorables que pudiesen surgir como con.secuencia de no suministrM un
producto/servicio o de no realizar una actividad. se transfOrme.n e n inaceptables.
NO'fA VCa:se 1amb1én "tiempo má.'<imo tolembk de intmupc1ón".
3.27 mrdición:
Proceso para determinar un valor.
3.28 objetivo mínimo de contin uidad del negocio, 0~1CN:

Nivel minimo de sc.rvicios y/o productos que es aceptable por la organización para con..-;eguir sus objet ivos de negocio
durante una interrupción.
3.29 supen•i"ióo:
De.terminación del e.~tado de un sistema. de un proceso o de una actividad .
N01A Para dctc:münar d estado, puede ser nec-cssrio \ eritk ar, supervisar u observar de forma cri1jca.
1
3.30 acurrdo de ay uda mutua:

Acuerdo preestablecido entre dos o más entidades para pre~1arse asistencia entre sí.
3.31 no conformidad:
No cumplimiento de un requisito.
[FUENT E: Norma ISO 22300]
3.32 objetivo:
Resultado a obtener.
NOf A 1 Un ~ctivo puede ser estratégico, tac tico u opcracional.

ISO 22301 :20 14 - 14 - AENOR
NOTA 2 Loo objctj\"OS pueden estar rclac-ionados con disciplinas diferentes (tales como financieras, de seguridad e higiene, y meta.o; m cd~
ambientales) y se pueden aplic-ar a ni\'t'lcs ditCrentes (tales como de estrategia, amplitud de la organización, proyecto, producto y proceso).
N01A 3 Un objetivo se puede expresar de otras maneras, por ejemplo. como un resultado previsto, una finalidad, un c.nteOO operacional, como un
objetivo de protecctón y seguridad de los ciudadanos, o ma:hante el empleo de otra.<> palabras de similar s1gnific3do (por ejemplo, objcll\'O,
meta, finalidOO).
NOiA 4 fui d contc:.'\:tO de bis nonn.::as sobre sistema.o; de gestión de la protección y segundad de los ciudadanos, los obJCllVOS de la protección y
segundad de los C'Íudadanos los cstnblecc la organu:ación, cobercntnnente con su politica de protoccUm y seguridad de los eiucbdanos,
para obtenet resuhados cspecificos.
J ..JJ organización:
Persona o grupo de personas que tiene su propia estructura funcional con respon..o;abilidades, autoridad y relaciones pard
conseguir sus objetivos.
NO'J'A 1 El conccpo de orsanización induyc, sin limitlnie a ello, las nociones de trabajador independiente., compañia, oorporación. firma. sociedad,
autoridad, asocioción, organi7.aeión caritatn•a o institución, o uno p:utc o combinación de la<> anteriores. tnnto sí CS1iln inc-orporadas o no, o
si soo pilblica.<> o privnd:ls.
NO'fA 2 Para orsan1zac1ones que tengnn v1U1a<> unidades de funct00am1cnto, una sola urudad de fundonamtcnto se puede del'inu como una
orga:nizac.ión.
3J4 rxtrroalizar (verbo):

Establecer un acuerdo mediante el cual una organización externa realiza una parte de la función o del proc.e so de otrd
organización..
N01A Una orgs.nización externa queda fuera dd alcance del sistema de gestión, auncp.k' la (unctón o el proceso extemalizado cstCn dentro de dicho
alcance.
3-.35 rtndimirnto:
Resultado mensurable.
NO'J'A 1 El rmdimiento se pocdc expresar mediante datos cwfnath·os o cuantitati\·os.
NO'fA 2 El rend1mJCnto puede estar relacionado cm la g_estión de act1vKlades, los procesos, los productos (incluidos los serv1c1os). los sistemas, o
las OrgatllZilC'ioocs.
3..36 rvaluación del rendimiento:

Proceso para determinar resultados men.."iurables.
J.37 personal:
Personas que trabajan para la organización y bajo el control de ésta.
NOT A El concepto de ·personar incluye, aunque sin limitarse a, empleados, personal a t»empo plfC-iaJ y personal interim.
3.38 política:
Intenciones y orientaciones de una organización tal como son expresadas tOrmaJmente por la alta dirección.
J.39 prorrdimiento:
Manera especificada de realizar una actividad o un proceso.
J ..40 procrso:
Conjunto de actividades interrelacionadas o interactivas que tnmsfOrman la'i cntrada'i en rc.sultados.
J..41 productos y servicios:

Resultados beneficiosos proporcionados por una organizac.1on a SlL"i clientes, destinatarios y partes interesadas, por
ejemplo. artículos tllbricados, seguros de vehículos y servicios sanitarios.
AENOR - 15 - ISO 22301 :20 14
3.42 actil'idades prioritarias:

Actividades a la~ que se les debe dar prioridad después de un incidente a fin de mitigar los impactos.
NO'fA Los tCnninos que comUruncntc se ubhzan JlOm describir actividadC"S dentro de este grupo son: cribeo, esencial, v1tnl, urgente y principal.
[FUENT E: Nonna ISO 22300]
3.43 rtgjstro:
Declardción de resultados conseguidos o la evidencia de las actividades rcaJizadas.
3.44 punto dr recuperación dr datos, PRO:

Punto a partir del cual debe ser posible recupcrnr la infonnación utilizada por una actividad, para que ésta pueda
funcionar tras una interrupción.
NOTA También se puede designar como "pénhda máxima de datos".
3.4.S objetil•o de tiempo de recuperación, OTR:

Periodo de tie.n1po después de un incidente, dentro del cual:
se de.be reanudar un producto o servicio; o
se de.be reanudar una actividad; o
se deben recupe,rar los recursos.
NO'l'A Para productos, servicios y ac1jvidadcs, d objetivo de tiempo de rttupcmción debe ser- inferior al tiempo que se ncccsitaria paro que los
impacto.<> dcsfu.,·omblc:s que resultarian de la fu lta de enll"t'ga dt' un producto o scn•icio, o de la no rcabzación de una activadad, sc con\•icnan
en inncepcables.
3.46 rtquisito:
Necesidad o expectativa que se declara, generalmente implicita u obligatoria.
NOTA 1 "C'.eneralmentc unplic1ta• s1gn1fic.a que t'S una pcict1ca habitual o comUn para la organización y las partes interesad~ que. la n«es.idad o
C.'(pectativa bajo con:sideraci6n sea jmplicita
NOTA 2 Un requ1s1to cspccifJCSdo es un requisito que se declara, por ejemplo c:n la mformac1ón documc.ntOOa.
J.47 rtcursos:
Todos los bienes, personal, perfiles profesionales.. información, tecnologia (incluyendo maquinaria y equipos). locales,
suministros e infonnación (electrónica o no). que una organización ha de tener disponibles para su utilizac.ión. cuando
se necesite, con objeto de funcionar y cumplir su objetivo.
3.48 ritsgo:
Efecto de la inccrtidun1brc sobre la con'iecución de los objetivos.
NOTA 1 Un electo es uro d csv1ac1Ótl, positiva o negativa, con respecto a lo e.<>perado.
N01A 2 Los objetivos pueden tener aspectos difermtes (tales como financiero.<>, seguridad c hjgicnc:, mc:ta<> mcdjoambientalc:s) y se pueden aplicar
a niveles diferentes (tales oomo estra1Cg.i~ amplitud de la orgaru.z.ación, de proyecto, de produc-to y de proceso). Un objetivo se puede:
exprt'Sat de otras maneras, por ejemplo, como Wl resultado previsto, una finalidad, un critmo operacional, como un objc:t.ivo de
continuidad del negpcio o mediante el empleo de otras pllabras de significado similar (por ejemplo, tínaJidad, objetivo, o mc:ta).
NOfA 3 Con frecuencia. d riesso se caracteriza 1nediante l'C'ferencia a suCt"SOS potenciales (apanado 3.5.1.3 de la N«ma ISO Guia 73), )' a sus
consecuencias (apartado 3.6.1.3 de la Norma ISO úuia 73), o ama combinación de mnbos.
NOfA 4 Con trccuencaa, d riesgo se: C.'(prCS.:1. en términos de una combinación de tas consccuenc1as de Wl suceso (incluyendo los cambios en la.<>
cireunstnncia.<>) y de la probabilidsd de ocurrencia a..ociada (apartado 3.6.1. I de la Norma ISO Guia 73).
ISO 22301:20 14 - 16 - AENOR
N01A 5 La incertidumbre C'S d estado. induso parcial, de deficiencia de infonnación rclatñ'a a la comprensión o BI conoc1mien10 de un suce.o;o, de
sus consecuencb.'i., o de la probab1hdad de ocurrencia.
N01A6 En el oonte.~to de los nonn.ns sobre sistemas de gestión de Ja continuidad del negocio, los objcti\"OS de continuidad del ncr;ocio los
establece la orgrunzac1ón, coherentemente con la poUt.ic.a de contmujd:td dcl negocio, con objeto de conseguir resultados cspccificos.
Cwndo se aplica el término •riesgo y componentes de: gcsoón dd riesgo", sc dcbcria rc(crir a los objetivos de la organizac.00 que
incluym, aunque no se limitan a los objctÍ\'OS d-c continuKlad del negocio, como sc especifica en d apartado 6.2.
[FUENT E: Guía ISO 73)
J..49 apttrncia de riesgo:

Nivel y tipo de riesgo que una organización está preparada para acep tar.
J..50 aprrciación del riesgo:

Proceso global de identificación del riesgo. análisis dc.I riesgo. y evaluación del riesgo.
(FUENTE: Guía 1SO 73)
3.51 gestión del riesgo:

Actividades coordinadas pard dirigir y controlar una organización con respecto al riesgo.
[FUENTE: Guía ISO 73)
J..52 rnsayos:
Procedimiento de evaluación~ un medio para determinar la presencia. la calidad, o Ja veracidad de alguna cosa.
NO'fA 1 El ensayo se puede meneionurcomo una "prueba·.
NO'J'A 2 Con frccumc1a, los ensayos se aplican a planes de apoyo.
3.53 alta dirección:

Persona o grupo de personas que dirige y controla una organización a l mas aJto nivel.
NO'l'A 1 La a.Ita dirección tiene b fucultad de delegar su autoridad y de proporcionar rccursos en d seno de ta organización.
NOTA 2 S1 el alcance: del sistema de: gc:saión solo cubre pane de una organu:actón, entonces la alta d1n:cción se refiere a aquello.e; que dirigen y
controlan esa JXlllc de la organización.
3.54 verificación:
Confirmación, mediante la disposición de pruebas., de que se han c umpl ido los requisitos especificados.
3.55 r ntorno dr trabajo:

Conjunto de condiciones bajo las que se realiza el trabajo.
NOTA Las condiciones incluyen f'actom> tis.icos., sociales, psicológicos y mc:dioambientaks. tales como la temperatura., los csquanos de rcconoc1-
mtento, la crgonomia y la composición a1mosférica
[FUENT E: Norma ISO 22300]

AENOR - 17 - ISO 22301 :20 14
4 Contex to de la orga nización
4.1 Entendimiento de la organización y de su contexto

La organización debe determinar los asuntos externos e internos que son importantes para s u finalidad y que afectan a
su capacidad para t.-onseguir el o los resultados previstos en su SGCN.
Estos asuntos se deben tener e n c uenta a l establecer, implantar y mantener el SGCN de la organización.
La organización de.be identificar y documc.ntar lo siguiente:
a) las actividade.s de la organización. sus funciones, StL'i servicios. StL'i productos, sus asociaciones, las cadenas de
abastecimiento, s us relaciones con las partes interesada-;;, y e l impacto potencial debido a un incidente disruptivo~
b) los vínculos entre Ja política de continuidad del negocio y los objetivos de la organización, así como otras políticas,
incluyendo Ja estrategia global de gestión del riesgo; y
e) la apetencia de riesgo de-la organización.
AJ establecer el contexto. la organización debe:
l) expresar claramente SlL') objetivos, incluyendo los relativos a la continuidad del negocio;
2) definir los factores internos y externos que gc-ncrJJl la incertidumbre que. engendra el riesgo~
3) cstablccc-r los criterios de riesgos tenie.n do en cuenta la apetencia de riesgo; y
4) definir Ja fi nalidad del SGCN.
4.2 Entendimiento de las necesidades y ex pectativas de las partes interesadas

4.2.1 Grnrralidades
Al establecer su SGCN. Ja organización debe determinar:
a) las partes interesadas que están relacionadas con el SGCN; y
b) los requisitos de csta'i partes int·e rcsadas (es decir. sus ne.c e.s idades y expectativas que estén declarcldas, general·
mente impl ícitas u obligatorias).
4.2.2 Requisitos lrgalts y rrglamrntarios

La organización debe establec.e r, implantar y mantener procedimientos que pe.n nitan identificar. te ne.r acceso, y evaluar
los requisitos legales y reglamentarios aplicables a los que la organización está sometida relativos a la continuidad de
SlL'i operaciones, productos y servicios. así como a los intereses de las partes interesadas implicadas.
La organización debe asegurar que estos requisitos legales, reglamentarios y de otros tipos aplicables. a los que la
organ ización está sometida. se tienen en c uenta al establecer. implantar y mantener su SG·CN.
La organización debe documentar s u info rmación y mantenerla actualizada . Los nuevos requisitos legales, rcglamen·
taria'\ y de otros t ipos. o sus modificaciones. se dcbe.n comunicar a los e-mpleados y a otras partes intc.rcsadas que se
vean afectados.
ISO 22301 :20 14 - 18 - AENOR
4.3 Determinación del campo de aplicación del sistema de gestión de la continuidad del
negocio
4.3.1 Grnrralidades
Par• dctenninar el campo de aplicación del SGCN, la organización debe determinar los límites y la aplicabilidad de
dicho si~Lcma.
AJ detenninar s u campo de aplicación, la organización debe considerar:
los a-;untos cx"temos e internos citados e.n el a partado 4. 1~y
los requisitos citados e n e l apartado 4.2 .
El e.ampo de aplicación debe estar disponible bajo la fonna de infonnación documentada.
4.J.2 Ca mpo dr aplicación del SGCN
La organización de.be:
a) determinar las partes de la organización que se han de incluir en el SGCN;
b) defin ir Jos requisitos del SGCN, considerando Ja misión de la organización. sus metas, sus obligaciones internas y
e.xtemas (incluida<; las re.lativas a la<; partes interesadas). y las responsabilidades legales y reglamentarias;
e) identificar los productos y los servicios. y toda-. la-; act ividades relacionadas dentro del campo de aplicación del
SGCN;
d) tener en cuenta-; las ncce.sidades y los intereses de las partes intert..>sadas, talc.s como los clientes. los inversores, los
acc.ionistas. la cadena de abastt"Cimie.n to, la'i sugerencias y necesidades, expe.ctativas e intereses (cuando corres·
ponda) tanto publicas como de la comunidad; y
e) definir el campo de aplicación del SGCN en términos y en fünción del tamaño, la naturnleza y la complejidad de la
organización.
AJ definir e l e.ampo de aplicación, la organización debe documentar y explicar las conc lusiones; ninguna de tales
conclusiones debe afectar a la capacidad y rcspon.~bilidad de la organización para proporcionar continuidad al negocio
y a las operaciones para satisfacer los requisitos del SGCN, de.terminados por el anál isis de impacto en el negocio o por
la apreciación del riesgo. y los requisitos legales u obligatorios aplicables.
4.4 Sistema de gestión de la continuidad del negocio

La organización debe establecer, in1plantar. mantener y mejorar continuamente un SGCN. incluidos los procesos
necesarios y sus interdccionc.s, de acuerdo con los requisitos de esta norma internacional.
5 Liderazgo
5.1 Liderazgo y compromiso

El personal de la alta direcc.ión y otros gestores importante.s de la organización debe.n demostrar s u liderazgo con
respecto al SGCN.
EJEMPLO Este liderazgo y compronuso se puede demostrar por la 1nouvac.ión y el e1npuje peJsonal paro contribuir a la eficacia
del SGCN.
AENOR - 19 - ISO 22301 :20 14
5.2 Compromiso de la d irección

La alta dirección debe de.mostrar liderazgo y compromiso con respecto al SGCN:
a~egurando que se establee.e n políticas y objetivos pard el sistema de gestión de la continuidad del negocio, y de que
son compatibles con la dirección estratégica de la organización;
a.-i;egurando la integración de. los re.q uisitos del sistema de gestión de. la continuidad del negocio en los procesos de.
negocio de la organización;
asegurdndo que están disponibles los recursos necesarios para e l sistema de ge.s tión de la continuidad del negocio ~
haciendo saber Ja importancia de ooa gestión eficaz de la continuidad del negocio y de su confOrmidad con los
requisitos del SGCN;
a~egurando que el SGCN consigue sus resultados prcvi!)1os;
dirigiendo y apoyando a las personas a contribuir a la eficacia del SGCN;
promoviendo la mejora continua; y
apoyando a otros gestores importantes para que demu~1rcn el liderazgo y el compromiso que aplican en sus á re.as
de responsabilidad.
NO'fA 1 En c"1a norma 1ntemac1onal, la referencia al 1Cmuno "negocto" se debe tomar en su senudo mli.<> amplio paro s1gn1ficar aqudl:ts act1\ 1cbdcs
1
que constituyen el nUcleo principal de la existencia de b. orn~nización.
La alta dirección debe proporcionar las pruebas de su compromiso en el c~1ablecimicnto, la implantación, la operación,
la supervisión, la revisión. el mantenimiento, y la mejora de.J SGCN:
estableciendo una politica de continuidad del negocio;
asegurnndo que se establecen los objetivos y los planes del SGCN;
estableciendo las funciones, la' responsabilidades, y la' competencia< para la gestión de la continuidad del negocio; y
designando a una o varias persona'i como responsables del SGCN con la autoridad y las compctcncia'i apropiadas
para aswnir la responsabilidad de la implantación y mantenimiento del SGCN.
NO·rA 2 Estas personas pueden tener otras responsabilidades dentro de la org:.muactón.
La alta dirección de.be garantizar que las responsabilidade.s y la autoridad para las funciones principales se asignan y se
comunican dentro de la organización:
definiendo los criterios de aceptación de ric.s gos y los niveles de riesgos aceptables;
participando activamente en la-; pruebas y los ensayos~
garantizando que se realizan las auditoria-; internas del SGCN;
dirigiendo las revisiones de direcc.ión del SGCN; y
de-m ostrando su compromiso en favor de la mejora continua.

ISO 22301 :20 14 - 20 - AENOR
5.3 Política
La alta dirección debe establece.r una política de continuidad del negocio que:
a) sea apropiada a Ja finalidad de Ja organización;
b) proporcione una estructura para establcc.-er objetivos de continuidad del negocio;
e) incluya el compromiso de cumplir los requisitos aplicables;
d) incluya un compromiso de mejora continua del SGCN.
La poi ítica del SGCN debe:
estar disponible c...-omo infOrmación documentada;

se.r comunicada dentro de la organiz.ación;
estar disponible para las partes interesadas. según corre.sponda~
sc.r revisada a intervalos de tiempo definidos y cuando se produzc-an cambios significativos, a fin de demostrar su
continua idoneidad.
La organización de.be conservar la información documentada relativa a la política de continuidad del negocio.
5.4 Funciones, responsabilidade.s y autoridad en la organización

La alta dirección debe asegurarse que las responsabilidades y Ja autoridad para las funciones importantes se asignan y
comunican dentro de la organización.
La alta díreccíém debe asignar Ja responsabilidad y Ja autoridad para:
a) garantizar que el sistema de ge.!\Lión es t.-onfOnne con los requisitos de. e.s ta norma internacional; y
b) informar a Ja a lta dirección sobre el rendimiento del SGCN.
6 Planificación
6.1 Acciones para cubrir riesgos y oportunidades

AJ planific.ar s u SGCN, la organización debe con.~iderar los asuntos c-itados en el apartado 4. I . y los requisitos citados
e.n el apartado 4.2. y determinar los riesgos y las oportunidades que se ncce.s itan tratar para:
asegurnr que el sistema de gestión puede conseguir su(s) rcsultado(s) previsto(s);
impedir o reducir efectos indeseados;
conseguir una mejora continua.
La organiz.ación de.be planificar:
a) las acciones para tratar estos riesgos y oportunidades;
b) Ja manera de:
1) integrar e implantar las acciones en sus procesos del SGCN (véase 8. 1),
2) evaluar Ja eficaeia de e'1as acciones (véase 9. 1).
AENOR - 2 1- ISO 22301 :20 14
6.2 Objetivos de continuidad del negocio y planes para conseguirlos

La alta dirección debe a'iCgurdf que los objetivos de continuidad del negocio se establecen y se comunican a las
func.iones y niveles aplicables dentro de la organización.
Los objetivos de continuidad del negocio deben:
a) ser cohe.rcntcs con la política de continuidad del negocio;
b) tener en cuenta el nivel mínimo de productos y servicios que es aceptable para que la organización con.'iiga sus
objetivos~
e) ser mensurables;
d) tener e n c uenta los requisitos aplicables; y
e) estar supervisados y actual izados según s:ea apropiado.
La organización de.be conservar la información documentada sobre los objetivos de continuidad del negocio.
Para conseguir sus objetivos de continuidad del negocio, la organización debe determinar:
quién será e l responsable;
qué hará;
qué recursos serdn necesarios~
cuándo estará terminado; y
cómo se evaluarán los resultados.
7 Apoyo
7.1 Re.cursos
La organización debe determinar y proporcionar los recursos necesarios para el establecimiento. la implantación. el
mantenimiento y la mejora continua del SGCN.
7.2 Competencia
La organiz.ación de.be
a) determinar las competencias necesarias de las personas que trabajan bajo su control. y que afee.ta a s u rendimiento;
b) gardJltizar que esta."i personas son competentes sobre la base de una formación inicial. una fbnnación profCsionaJ y
Wla exlJeriencia apropiada.."i;
c) cuando sea aplicable, aplicar la-; acciones necesarias para la adquisición de Ja competencia necesari~ y evaluar la
eficacia de las acciones tomadas; y
d) conservar la información documentada apropiada que acre.d ite tales a>mpetencias.
NO'J'A Las acciones aplicables pueden incluir, por ejemplo. 13 pr0\'1sión de roonaclón profes.iona~ el mcuadramienlo, o b rea:signac1ón de trabajo
de Ja.; personas ac1ualmcntc empleOOas, o d rcclutamimto o contratación de: personas competente.o;.
ISO 22301:20 14 - 22 - AENOR
7.3 Concienciación
Lao; personas que trabajan bajo e l control de la organización deben estar concienciadas de:
a) la política de continuidad del negocio;
b) su contribución a la eficacia del SGCN, incluyendo los efl-ctos positivos de una mejord del rendimiento de la
continuidad del negocio;
c) las implicaciones de cualquier no conformidad con los requisitos del SGCN; y
d) SlL"i propias funciones durante un incidente disruptivo.
7.4 Comunicación
La organización dc.bcdetc.ntlinar las necesidades de comunicaciones interna'i: y externas relativa-; al SGCN, incluyendo:
a) sobre que ve.rsarán las comunic.aciones;
b) cuando se real izaran;
e) con quién se realizarán.
La organización debe cstable.c .c r. implantar y mantener proccdimicnto(s) para:
la comunicación interna entre lao; partes interesadas y los empleados dentro de la organii:ación~
la comunicación externa con los c,Jiente.s, las entidades asociadas, la comunidad local, y otras partes interesadas,
incluidos los medios de comunicación;
la recepción, la documentación y la respuesta a las comunicaciones proc.t-dentes de las partes interesada~;
la adaptación e integración de un sistema nacional o regional de aviso de amenazas, o de un sistema equivalente~ y

en la planificación y explotación, si es apropiado;
asegurar la disponibilidad de los medios de comunicación durante un incidente disruptivo~
facilitar la comunicación estructurada con la~ autoridades correspondientt."S y asegurar la interoperabilidad de

múltiples organismos y personas de respuesta, cuando sea a propiado; y
poner en funcionamie.nto y ensayar las capacidades de comunicación prevista.~ para ser utilizada..~ durante la
interrupción de la~ comunicacionc.s normales.
N01A En el ap:utido 8.4.3 se- especifican otro.e; requisitos rdatr\'O.S a 13 comunicación en m;pucsta a un incidente.
7.5 Información documentada

7.S. J Grnrralidades
El SGCN de la organización debe incluir.
la información documentada requerida por esta norma internacional; y
la informaci<'>n documentada que la organización ha determinado que es nect.>sa.ria para conseguir la eficacia del SGCN.
AENOR - 23 - ISO 22301 :20 14
N01A La amplitud de la información documentada de un SC.rCN puede \ ariar de una organización a oun, debido a:
1
- el tamaño de 13 or<>,Jtnizac.1ón y su tipo de act.iv1dades. procesos, productos y SC'l"\' ICtos.,

la complejidad de los procesos y de sus intcracc~ y
la compc:tcnc1a de las personas.
7.5.2 Creación y actualización

AJ crear y actualizar la información documentada. la organización debe asegurar de manera adecuada:
a) su identificación y descripción (por ejemplo, titulo, fec~ autor o nUmcro de referencia);

b) el formato (por ejemplo, lenguaje, versión de software, gráficos) y medio de soporte (por ejemplo, papel, soporte
electrónico), y revisión y aprobación en cuanto a idoneidad.
7 .5~3 Control de la informaci1')0 documentada

La infonnación documentada requerida por el SGCN y por esta norma internacional, se debe controlar para a-i;eguntr que:
a) está disponible y preparada parJ su utilización, donde y cuando se nee-esite;

b) está protegida adecuadamente. (por ejemplo, contra la pérdida de confidencialidad, uso incorrecto, o pérdida de su
integridad).
Para controlar la información documentada, la organiz.ación debe realiz.ar las siguientes actividade~ según sea aplicable:
distribución. acceso, recuperación y utilización;
almacenaje y conservación, incluyendo la preservación de la legibilidad;
control de modificaciones (por ejemplo. control de las versiones);
retc.ncic>n y disposición;
recuperación y utiliz.ación;
preservación de la legibilidad (es dcc.ir. que esté suficientemente c lara para que se pueda leer); y
prevención de-la utilización imprevista de la intOrmación obsoleta.
La información documentada de origen ex1emo considerada por la organización corno necesaria para la planificación y
operación del SGCN, se debe identificar, según proceda, y controlar.
Al establecer el control de la infOrrnación documentada, la organización debe garantizar q ue la protección de la infOr·

mación documentada es adecuada (por ejemplo. protl>cción contra compromisos. modi ficación no autorizada o su·
presión).
NO'l'A E':I acceso implica una decisión relativa a disponer de autorizociOO para consultar la inf'onnación documentada o la autorización y autoridad
para consultar y modificar la mformación documcn1ada, etc.
8 Operación
8.1 Planificación y control operacion al

La organización debe planificar, implantar y controlar los procesos necesarios para cumplir los requisitos, así como
implantar las accione.s determinadas e n e l apartado 6. 1:
a) estableciendo criterios para los procesos~
b) implantando el control de los procesos de acuerdo con los criterios; y

ISO 22301 :20 14 - 24 - AENOR
e) manteniendo la infonnación documentada con la amplitud necesaria para tener la seguridad de que los procesos se
realizan según lo planificado.
La organización debe controlar las modificaciones previstas y revisar las consecuc-ncia'i de modificaciones imprevistas,
aplicando las acciones necesarias parJ mitigar los efectos adversos, si fuese necesario.
La organización de.be garantizar que los procesos ex"temalizados se controlan.
8.2 Análisis de impacto en el negocio y apreciación del rirsgo

8.2.1 Grneralidadrs
La organización debe establecer, implantar y mante-ner un proceso formal y documl'1ltado de análisis de impacto en el
negocio y de apreciación de-1 riesgo que:
a) establezca el contexto de la apreciación, defina los criterios y evalúe el potc.ncial impacto de un incidente disruptivo;
b) tenga en cuenta los requisitos legales y de otros tipos que suscribe la organización;
c) incluya el análisis sistemático, e.s tablezca prioridade-S de Jos tratamie-ntos de riesgos. y SlL.'i costes asociados;
d) defina el resultado requerido del análisis de impacto en e l negocio y de la apreciación del riesgo~ y
e) especifique los requisitos de actualización y de confidencial idad de esta íntOnnación.
NO'fA E:x1sttn diversos mCtodos de tmlilisis de: lmpacto ro d ncg.ocio y de apíC'CÍac1ón del riesgo, que detemunarñn el orden en que estos se
real izaran.
8.2.2 Análisis de impacto ro el negocio

La organización debe e~lablcccr, implantar y mante-ne.r un proceso de evaluación fo rmal y documentado para dete.ffilinar
las prioridades de recuperación y de continuidad, los objetivos y las metas. Este proceso debe incluir la evaluación de
los impactos debidos a la interrupción de la'i actividades que apoyan a los productos y servicios de la organización.
El análisis de impacto en el negocio debe inc luir lo siguiente:
a) la identificación de la<i: actividades que apoyan el a baste.cimiento de productos y servicios~
b) la evaluación de los impactos e-n e l tiempo en que no se realizan estas actividades~
c) el c~Lablecimiento de plazos prioritarios para la reanudación de c.sta.s actividades a un nivel mínimo especificado que
sea aceptable, teniendo en consideración el tiempo durante e l c ual los impactos por la no reanudación pasarían a ser
inaceptables~ y
d) la identificación de las dependencias y de los recursos de apoyo de estas actividades. inc luidos proveedores. socios
externos, y otrds partes inlere.sadao;; relevantes.
8~2.3 Apreciación dtl riesgo

La organización debe establecer. implantar y mantener un proceso fOnnal y documentado de apreciación del riesgo que
identifique. analice, y evalúe si!\1:emáticamente e l riesgo de inc.identes disruptivos para Ja organización.
NOiA Este proceso sr: podri:i rcahzar de acuetdo con la Nonna ISO 3 1000.
AENOR - 25 - ISO 22301 :20 14
La organización debe:
a) identificar los riesgos de interrupción de la"i actividades prioritarias de la organización. así como de los procesos,
sistemas, información, pcrsona'i, bienes, socios externos. y otros recursos que las apoyan;
b) analizar los riesgos de forma sistemática~
e) evaluar Jos riesgos relacionados con interrupciones que requieren tratamiento; y
d) identificar los tratamientos aplicados a los objetivos de continuidad del negocio y conformes con la apete ncia de.
riesgo de la organización.
NOTA La organización debe ser consciente de que cktemunadas obligaciones fimncicrns o gubcmamen1alcs ra¡uicrcn la comunicación de estos
riesg.Ol'> a diversos ni\'des de detalle. Adcmá." dc:nas necesidades socia les tambiCn pueden justificar el comparur esta información a un ni\'d
de detaUe apropiado.
8.3 Estrategia de rontinuidad del negocio

8.J. I Dtterminación y seltcción
La determinación y la selección de la C!-.1rategia se deben basar en los resultados dc.l anáJ isis de impacto en e l negocio y
de la apreciación del riesgo.
La organización debe detenninar una estrategia apropiada de continuidad de.J negocio para:
a) la protección de las actividades prioritarias;
b) la estabilización, continuación, reanudación y recuperación de la'i actividades prioritaria"'i y de SlL') depcndencia'i y

recursos de apoyo; y
e) la mitigación, la respuesta a, y la gestión de los impactos.
La detcnninación de la estrategia debe incluir la aprobación de los plazos de tiempo prioritarios para Ja reanudación de
las actividades.
La organización debe realizar evaluaciones de-la capacidad de continuidad del negocio que tienen los proveedores.
8.3 ~2 Establtcimiento dt los requisitos rtlati,•os a los rerursos

Para implantar la-; estrategias seleccionadas. Ja organización de.be determinar los requisitos relativos a los recursos. Los
tipos de recursos considerados deben incluir. aunque sin limitarse a. lo siguiente:
a) personas;
b) infOrmacioncs y datos;
e) edificios, entorno de trabajo y servicios asociados;
d) instalaciones. equipos y consumibles;
e) si•iemas de tccnologia de la información y la comunicación (TCI);
f) tran.'iportes;
g) finanzas; y
h) socios y proveedores.
ISO 22301 :20 14 - 26 - AENOR
8.J.J Protrcción y mitigación

Para identificar los riesgos que requieren tratamiento. la organización debe considerar medidas proactivas que:
a) reduzcan la probabilidad de interrupción:
b) reduzcan el periodo de interrupción; y
e) limiten el impacto de la interrupción sobre los productos y servicios esenciales de la organización.
La o rganiz.ación debe seleccionar e implantar tratamientos del riesgo que sean apropiados de acuerdo con su apetencia
de riesgo.
8.4 Establecimiento e impla ntación de proced imientos de continuidad del negocio

8A. I Grnrralidades
La organización debe establecer, implantar y mantener procedimientos de continuidad del negocio que permitan
gestionar un incidente disruptivo y continuar Sll'i actividades. basados c.n los objetivos de recuperación identificados en
el análisis de impacto en el negocio.
La organización debe documentar procedimientos ( incluidas la'i disposiciones necesarias) pard asegurar la continuidad
de la<i actividades y la gestión de un incidente. disruptivo.
Los procedimientos deben:
a) establecer un protocolo de comunicaciones internas y e.xtemas adecuado;
b) ser específico en cuanto a la.'i medidas inmediatas que se han de tomar dur.mte una interrupción;
e) sc.r flexible para rcsponde.r a la<i amenazas imprevistaS y al cambio de las condiciones internas y extema.'i;
d) oonce.ntrarse sobre e l impacto de los sucesos que potencialmente pudiesen interrumpir la-; opera.c iones;
e) estar desarrollados e-n base a supuestos establecidos y a un análisis de interdependencias; y
t) ser eficaces e.n la minimización de las consecuencias mediante la implantación de estrategias de mitigación apropiadas.
8.4. 2 Estructura de la rtsput.s:ta a incidentes

La organiz.ación debe establecer. documentar. e implantar procedimientos y Wla estructura de gestión para responder a
incidentes disruptivos, utilizando personal que tenga la responsabilidad. autoridad y competencia necesaria'i para hacer
frente a un incidente.
La estructura de respuesta debe:
a) identificar los umbrales de impacto que justifiquen e l inicio de una respuesta fonnal;
b) evaluar la naturaleza y amplitud de un incidente disruptivo y de su potencial impacto;
c) activar una respuesta de continuidad del negocio adecuada;
d) disponer de procesos y procedimientos para la activación, operación, coordinacic>n. y comunicación de la respuesta~
e) tener recursos disponibles para apoyar a los procc.s os y procedimientos en la ge.stión de un incidente disruptivo. a fin
de minimizar el impacto; y
f) comunicar con las partes interesadas y las a utoridade.s. así como con los medios de comunicación.
AENOR - 27 - ISO 22301 :20 14
Considerando la seguridad de las personas como prioridad principal y consultando a las partc.s interesadas más impor·
tantcs, la organización debe decidir sí realiza o no comunicación externa sobre s us riesgos e impactos sígnificativos, y
docwnentar su decisión. Si la decisión es realiz.ar la comunicación. entonces la organización debe establecer e implantar
procedimientos para esta comunicación c.x tema, así como para la'i alertao;; y avisos, incluyendo a los medios de
comunicación si fuese proceden te.
8.4.3 A viso y comuoicacii)o
La organización debe cstable.c.c r. implantar y mantener procedimientos para:
a) dc.tectar un incidente~
b) la supervisión regular de un incidente~
e) la comunicación interna dentro de la organi7..ación, y para la re.c epción, documentación y re.spuesta a la'\ comunica·
cioncs de las partes interesadas;
d) la recepción, documentación y rcspuc~ia a cualquier si~iema nacional o regional de avisos de riesgos, o medio
equivalente;
e) garantizar la d isponibilidad de los sis.temas de comunicación durante un incidente disruptivo;
f) facilitar la comunicación estructurada con los servicios de emergencia;
g) registrar la información vital sobre el incidente , las acciones tomadas y las decisiones adoptadas, y, cuando se apli·
cable, también se debe considerM e implantar lo siguiente:
alertar a las partes interesadas que puedan ser impactadas por un incidente disruptivo real o inminente,
a'iegurar la inl'cropcrabilidad de los distintos servicios de respuesta y del personal de la organización.
el tUncionamiento de una instalación de comunicaciones.
Los procedimientos de comunicación y de aviso se de-ben probar con regularidad.
8.4.4 Planes dt continuidad dtl negocio

La organización debe e.!\1:ablece-r procedimientos documentados para responder a un incidente disruptivo y proseguir o
restablecer sus actividades en un periodo de tiempo pre.d eterminado. Tales procedimientos deben sath.-facer los requi-
sitos de aquellos que los han de utilizar.
Los planes de continuidad del negocio dcbe.n contener colectivamente:
a) funciones y responsabilidades de.finidas para las personas y equipos que tienen a utoridad durante y después de un
incidente~
b) lDl proceso para Ja activación de la respuesta~
c) detalles para gestionar las consecuencias inmediatas de un incidente disruptivo dado, teniendo en c uenta:
1) el bíenestar de las personas,
2) opcione.s estratégicas, táctica'\ y operacionales para responder a la interrupción~ y
3) la prevención de toda pérdida o indisponibilidad adicional de actividades prioritaria'\>

ISO 22301 :20 14 - 28 - AENOR
d) los detalles relativos a la manera y las circunstancias en que la organización comunicará con los empleados y sus
familiares, con la"i partc.s interesadas esenciales y con los servicios de emergencia~
e) la manera en que la organización continuará o recuperará sus actividades prioritarias dentro de periodos de tiempo
predeterminados~
f) los detalles de la re.spuesta de la organización a los medios de comunicación después de un incidente. (nc luycndo:
1) una estrategia de comunicaciones,
2) la interfaz prcfCrida con los medios de comunicación,
3) las dircctricc.s o un modelo de redacción para la declaración a los medios de comunicación, y
4) un portavoz apropiado,
g) llll proceso para finalizar cuando e-1 incidente haya tcnninado.
Cada plan debe definir:
su finalidad y campo de aplicación;
los objetivos~
los criterios y los procedimientos de activación;
los procedimientos de implantac.ión;
las funciones, responsabilidades y autoridades;
los requisitos y procedimientos de comunic-ac.ión;
las interdependencias e interacciones internas y externas~
los requisitos de recursos; y
los procesos relativos al tlujo de información y a la documentación.
8.4. S Recuperación
La organización de.be disponer de procedimientos documentados para restablecer y recuperar las actividade.s del
negocio, a partir de las medida~ temporales adoptada~ para apoyar los requisitos habituales del negocio después de un
incidente.
8.5 Pruebas y ensayos

La organización de-be somcte.r a pruebas y ensayos sus procedimientos de continuidad del negocio para garantizar q ue
son coherentes con sus objetivos de continuidad del negocio.
La organización debe realizar pruebas y ensayos que:
a) sean coherentes con e l campo de aplicación y Jos objetivos del SGCN;
b) se basen e n escenarios apropiados que estén bien planificados con me.tas y objetivos clarame.ntc definidos;
c) se. acumulen a lo largo del tiempo~ validando el conjunto de sus disposiciones de continuidad del negocio, impli·
t"ando a la~ partes interesadas importantes~
AENOR - 29 - ISO 22301 :20 14
d) minimicen e.l riesgo de interrupción de la-; ope raciones~
e) generen informes formalizados posteriores a las prueba'\ q ue contengan los resuJtados~ las recomendaciones y las
acciones para implantar las mejoras~
f) se revisen dentro del contexto de promoción de la mejora continua~ y
g) se realicen a intervalos de tiempo planificados, y cuando se produzcan modificaciones importantes en e l seno de la

organización o e n eJ e ntorno e-n que ésta funciona.
9 Eva luación del rendimiento
9.1 Supervisión, med ición, a nálisis y evaluación

9.1.1 Gr nrralidades
La organización debe detenninar:
a) las necesidades q ue se han de supervisar y medir;
b) los métodos para s upervisar. medir, analizar y evaluar, según sea aplicable, para aoe;cgurar resultados válidos;
e) cuando se debe re.alizar la supervisión y la medición~ y
d) cuando se deben anal ix.ar y evaluar los resultados de la supcrvisic>n y la medicic>n.
La organización de.be conservar la información documentada apropiada como evidencia de los resultados.
La organización debe evaluar el rendimiento del SGCN y su eficacia.
Adicionalmente, la organizacic>n debe:
actuar, cuando sea necesario, para remediar las tendcncia'i o resultados adversos antes de que se produzca una no
oonformidad; y
conservar la información documentada importante como evidencia de los resultados.
Los procedimientos para la supervisión del rendimiento deben prever:
el establecimiento de medida'i del rendimiento apropiadas a las necesidades de la organización;
la supervisión de la amplitud con que se cumplen la política, los objetivos y las metas de continuidad del negocio de
la organización;
el rendimiento de los procesos, de los procedimientos y de las funcione.s que protegen sus actividades prioritarias~
la supervisión del cumpl imiento de esta norma internacional y de los objetivos de cont:inukdad del negocio;
la supervisión de las evidencias históricas de rendimiento deficiente del SGCN~ y
el registro de los datos y re.sultados de las supervisiones y mediciones para fucilitar posteriores acciones correctoras.
NO'fA En el ft'ndim1cnto ui..;uftc1cntc se puede mduir Ja.¡ no conrormidadcs, los casi accidentes, las fu.Isas alamlas, y los 1nc1dentes reales.
ISO 22301 :20 14 - 30 - AENOR
9.1~2 Evaluación dr Jos procrdimirntos dr continuidad drl nrgoc.io

a) La organización debe realizar evaluaciones de sus proc.edimientos y capacidades de cootinuidad del negocio. con
objeto de verificar que continúan siendo idóneos, adec.uados y eficaces.
b) Estas evaluaciones se deben realizar por medio de revisiones periódicas, pruebas, ensayos. informes posteriores a los
incidentes y evaluaciones del rendimiento. Los cambios importantes q ue se produzcan se deben reflejar oportu·
name-nte en los procedimientos.
e) La organización debe evaluar periódicamente la conf<>rmidad con los requisitos legales y reglamentarios, con las
mejores prácticas industriales, asi como con su propia política y con Sll'i objetivos de continuidad del negocio.
d) La organiz.ación debe realizar evaluaciones a intervalos de tiempo planificados y cuando se produzcan cambios
significativos.
Cuando ocurra un incidente disruptivo que implique la activación de Sll'i procedimientos de continuidad del negocio, la
organización debe realizar una revisión po!-."lcrior al incidente y proceder al registro de los resultados.
9.2 Auditoria interna

La organización debe re-alizar auditorias internas a intervalos de tiempo planificados para o btener información de si el
sistema de gestic>n de la continuidad de.) negocio.
a) es conforme con
1) los requisitos propios de la organización relativos a su SGCN,
2) los requisitos de esta nonna internacional, y
b) está implantado y mantenido eficazmente.
planificar, establecer, implantar y mantener programa(s) de auditoría, que incluya(n) la frcruencia, los metodos, las
responsabilidades, la planificación de requisitos y la realización de informes. Los programa'\ de auditoria deben
tener en c uenta la importancia de los procesos implicados y los resultados de las auditorías precedentes~
definir los criterios de auditoria y la amplitud de cada auditoría;
seleccionar a los auditores y realizar la~ auditorías de manera que se a"iegurc la objetividad y Ja imparcialidad del
proceso de auditoría~
asegurar que los resultados de las auditorías se intOrman a la dirección correspondiente; y
conservar la información documentada como prueba de la implantación del programa de auditoria y de los
resultados de ésta'\.
El programa de a uditoria, incluyendo su calendario, se debe basar en los resultados de las apreciaciones de riesgo de la..~
actividadl"S de la organización, y en los resultados de las auditorias precedentes. Los procedimientos de auditoria deben
cubrir el can1po de aplicación, la frecuencia, las metodologías y compete.o cias, asi como la'i responsabilidades y
requisitos para la reaJiz.ación de las auditoría<> y para la redacción de los informes de los resultados.
El responsable de la gestión del área que se esté auditando de-be garantizar que se realizan todas las c,orrccciones y
acciones correctords necesarias, sin demoras indebidas, para eliminar las no c.onformidades detectadas y sus cau."iaS. Las
actividades de seguimiento deben incluir la verificación de la'i acciones tomada-; y la elaboración de informes de los
resultados de la verificac.i ón.
AENOR - 3 1- ISO 22301 :20 14
9.3 Re.visión de. la dirección

La alta dirc.cción debe revisar el SGCN de la organización a intervalos de tiempo planificados. para asegurarse que
continúa siendo idóneo~ adecuado y eficaz..
La revisión de la dirección de-be tener en consideración:
a) el estado de progreso de la.s acciones decididas e n las revisiones de dirl"Cción pn.:occdentes~
b) las modificaciones en los asuntos internos y externos que son importantes pard el si!l.icma de gestión de la c-0ntinui ·
dad del negocio;
e) la información sobre e l rc.ndimic.nto de la continuidad del negocio. incluyendo las tendencias en:
l) las no conformidades y c-n las acc.ioncs correctoras,
2) los resultados de la evaluación de la supervisión y medición, y
3) los resultados de a uditorías,
d) las oponunidades de mejora continua
Lao; revisiones de la dirección deben tcne.r en considerdción e l rendimiento de la organización, incluyendo:
acc.iont-s de seguimiento de la"i revisionc.s de dirección precedentes;
la necesidad de realizar cambios en el SGCN, incluyendo su politica y sus objetivos;
las oponunidades de mejora;
los resultados de a uditorías y de re\'isioncs del SGCN, incluidos los de provc.edores y socios cuando sea a propiado;
las técnicas.• los productos o procedimientos. que se podrian utilizar e n la organización para mejorar el rendimiento y
la eficacia del SGCN;
el estado de progreso de las ac.c iones correctoras;
los resultados de las prut>bas y ensayos;
los riesgos o los asuntos no cubiertos adecuadamente en alglllla apreciación de ric.sgos anterior;
los cambios que pudiesen afectar al SGCN. tanto internos como externos al campo de aplicación de éste~
la idoneidad de la política;
las recomendaciones para mejora;
la~ lt>cciones a prend idas y las acc.iont-s derivadas de incidentes disruptivos; y
las buena~ prácticas y directrices que aparecen.
Los resultados de la revisión de la dirección deben incluir la~ decisiones relativas a las oportunidade.s de mejora
continua y la posible necesidad de cambios en el SGCN. e incluyen lo siguic.nte:
a) las variaciones e n el campo de aplicación del SCiCN;
b) la mejora de la eficacia del SGCN;

ISO 22301:20 14 - 32 - AENOR
e) la actualización de la apreciación del riesgo, el análisis de impacto en el negocio, los planes de continuidad del
negocio y los procedimientos asociados~
d) la modificación de procedimientos y controles para responder a sucesos internos o externos que puedan imp.ac.tar en
el SGCN, incluyendo Jos cambios a:
l) los rc.quisitos del negocio y los re.quisitos operdcionale.~
2) los requisitos de reducción de riesgos y de seguridad,
3) las condiciones y procesos ope.racionales,
4) Jos requisitos legales y reglamentarios,
5) las obligacioocs contractuales,
6) los niveles de riesgo y/o los criterios de aceptación de riesgos,
7) las nccc.s idades de recursos,
8) los requisitos de provisión de fOndos y presupuestarios.. y
e) la manera de medir la eficacia de los controles.
La organización debe conservar la información documentada como prueba de. los resultados de las revisionc.s de la
dirección..
comunicar los resultados de la revisión de la dirección a las partes interesadas aplicables~ y
tomar la acción apropiada con relación a estos resultados.
JO Mejora
10.1 No conformidad y acción correctora

Cuando se produzca una no contOnnídad, la organix.ación debe:
a) identificar Ja no conformidad;
b) reaccionar a la no confonnidad y, según corresponda:
l) tomar acción para controlarla y corregirla, y
2) hacer frente a las con.secuencia~
c) evaluar la necesidad de aplicar alguna acción para eliminar la'i causas de la no conformidad, con objeto de que ésta
no se repita u ocurra e-n otra parte:
1) revisando Ja no conformidad,
2) detenninando las causas de Ja no conformidad, y

AE NOR - 33 - ISO 22301 :20 14
3) detenninando si existen, o se pudiesen prod ucir, no confOrmidadcs sim ilares.,
4) evaluando la necesidad de aplicar una acción correctora para asegurar que las no conformidades no se repitan u
ocurran en otra parte,
5) detenninando y aplicando la acción correctora necesaria,
6) revisando la eficacia de cualquier acción correctora apl icada, y
7) realizando cambios en el SGCN, si fuese necesario,
d) aplicar todafi la<i acciones necesarias~
e) revisar Ja eficac ia de cualquier acción corrc<..1ora tomada;
f) realizar cambios e n e l sistema de gestión de Ja cont inuidad del negocio, si fuesen necesarios.
Lao; acciones correctoras deben ser apropiada'\ a los efectos de las no confo rmidades encontradas.
La organiz.ación de.be conse.r var la información documentada como prueba de:
la naturaleza de las no confbnnidades y de las posteriores accione-S tomada'i~
los resultados de c ua lquier acción correctora.
10.2 Mej ora contin ua

La organización debe mejorar de manera continua la idone-idad, la adecuación y la eficacia del SGCN.
NOTA La organimción pue<k utili:tJtI los proceso.e; del SGCN, tab como d de liderazgo. de planificación o de evaluación dd rendimiento, para
conscsuir la mejora
ISO 22301 :20 14 - 34 - AENOR
Bibliografía
[ 1) ISO 900 1, Quality managemem systems. Requirements.
[2] ISO 14001. Enviro11111e11tal n1a11agen1e111 .ryste111s. Requiren1ents 111ith guida11ce for use.
[3) ISO 19011 , Guidelines for auditíng 111a11ageme111 systems.
(4) ISO/IEC 20000· 1, lnformation Tec/1110/ogy. Sen-ice Managemem.
[5) ISO 22300, Societa/ security. Termi110/ogy.
l6J 150/PAS 22399, Societa/ security. Guideline for incident pre¡)(Jrednes.s and operational continuity 111anage111e111.
[7] ISO/I EC 24762, /11forn1atio11 tec/1110/ogy. Security techniques. Guidelines for lnfon11atio11 and co111n1u11ications
technolog)' di.wster recot-'f!ry serrices.
[8) ISOnEC 21001, lnformation Secwity Managemem Systems.
[9) ISO/I EC 27031, lnforn1ation 1ech110/ogy. Securiry techniques. Guidelines for i11for111atio11 and con1nu111icatio11
technology readiness for business co111inuity.
[ 1O] ISO 31000, Ri.tk Managemem. Principies and Guide/ines.
[ 11 J ISO/I EC 3101 O, Risk 111a11ageme111. Risk assessment teclmiques.
[ 12] ISO/I EC Guide 73, Risk 111a11agement. Vocabulmy.
[ 13) BS 25999· I , Business cominuity managemem. Code ofpractice. British S1a11dards /11stilutio11 (BSI).
[ 14 J BS 25999·2, Business co111i1111ity managemem. Specification. Bri/ish Standards /11stítutio11 (BSI).
[ 1SJ SI 24001 , Security a11d co111inuity n1a11agen1e11t systenzs. Require111e11ts and guidance for ILte. S1a11dm·ds
/11stit11tio11 o/ Israel.
[16) NFPA 1600, Standard on disaster/e111erge11cy 111anage1ne111 a11d business continuiry progran1s. National Fire
Protection As.'<Ociation (USA).
(17] Business Couti1111ity Plan Drafling Guideline, Ministry of&onomy, Trade and lndustry (Japan), 2005.
[18] Bttsine.u Cominuity Gttide/ine. Central Disastcr Management Council, Cabinet Oflice, Govcrnmcnt of Ja pan, 2005.
[19] ANSI/ASIS SPC. I, Orga11i~alional Re.tilience: Securíty. Preparedness. and Co11ti1111ity Managemem Systems.
Requiren1ents lVilh Guidance for Use.
(20] SS 540:2008, Singapore StandardJor Business Colllilfttity Ma11age111eut.
(21 J ANSI/ASIS/BSI BCM..O1, Bu.sine.u Comiuttity Managemem Systems: Req11ireme111s wítlt Guidance for U.te.
AENOR Asociación Española de
Normalización y Certificación
Genow,6 info@aenor.es Tel.: 902 102 201

28004 MADRID-España \\'W\v.aenor.cs fax: 913 104 032

UNE-EN ISO 22301 2015pdf

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

UNE-EN ISO 22301 2015pdf

Cargado por

Copyright:

Formatos disponibles

norma UNE-EN ISO 22301

TÍTl tO Protección y seguridad de los ci udada nos

Sistema de Gestión de la Continuidad del Negocio

(ISO 2230 1:2012)

OBSER\"ACIO'i ES Esta norma anula y sustituye a la Norma UNE-ISO 22301:20 l3.

e AENOR 2015 C'.iéno'l1a,6 inf~aenor.cs Tel.: 902 102 20 1

ICS 03. 100.0 1

Protección y seguridad de los ciudadanos

Esta norma europea ha sido aprobada por CEN e l 2014-07-1 7.

© 20 14 CEN. Derechos de reproducción reservados a los Miembros de CEN.

Objrto y campo dr aplicación ................................................................................................ 9

2 Normas para consulta ................................................................................................................................ 10

3 Términos y definicionts ..............................º .......................................................................................... 10

4 Contexto de la organización .................................................................................................................... 17

9 Evaluación del re.ndimiento .............................................................................................................. 29

ISO (Organización Internaciona l de Normalización) es una federación m undial de organismos nacionales

- comas añadidas al final de una lista de elementos 7.5.3 y 8.3.2;

- elementos de bibliografia [1 9] y [20] separados, que estaban juntos en el original ;

- se ha ajustado el tamaño de fuente en varios lugares.

Un SGCN s ubraya la importancia de:

el entendimiento de la-; nccc-sidades de la organización y de la necesidad de establecer la política y los objetivos de

la supervisión y revisión del rendimiento y la eficacia del SGCN; y

la mejora continua basada en mediciones objetivas.

b) personas con responsabilidades definida.' ;

e) procesos de gestión asociados a:

5) la revisión por la dirección, y

d) un conjunto de documentos que proporcionan pruebas auditablcs; y

e) todos los procesos de SGCN relevantes para la organiz.ación.

0.2 El modelo "Planifica r-Hacer-Verificar-Actuar" (PH VA)

Mejora continua del sistema de gestión

Figura 1 - Modrlo POCA aplicado a procrsos d e SGCN

Tabla 1 - Explicación del modelo POCA

0.3 Componentes del modelo POCA en esta norma internacional

1 Objeto y campo de aplicación

a) establecer, implantar, mantener y mejorar un SGCN;

b) a.wgurnr la c.onformidad con la política de continuidad del negocio declarada;

e) demostrar a otros e~1a confOrrnidad;

d) obtener la cenificación/rcgistro de su SGCN por un organismo de certificación de tercera parte acreditado; y

e) realizar una autodctcnninación y autodeclaración de confonnidad con esta norma internacional.

2 Normas para consulta

No hay normas pard consulta.

3.3 continuidad dtl nrgocio:

[FUENT E: Norma ISO 22300)

J..4 gestión de la continuidad d t l negocio:

3.5 sisttma dt grstión de la continuidad dtl negocio, SGCN:

3.6 plan dt continuidad d tl nrgocio:

J..7 progra ma dr continuidad del negocio:

3.8 análisis de impacto rn el nrgocio:

[FUENTE: Norma ISO 22300]

[FUENTE: Norma ISO 22300]

3.11 mrjora continua:

[FUENTE: Norma ISO 22300]

[FUENTE: Norma ISO 22300]

3.13 acción correctora:

[FUENTE: Norma ISO 22300]

3.15 infor mación documentada:

N01A 2 La infonnación documentada puede versar sobre:

el sistema de gestión, incluidos los pmce.c;os asociados.

1nfonn1K1ón sencrada para el functonam1ento de la organizac.ión (documentac.1ón),

la C\•idcocia de los resultados obten.Klos (rcg1sttos).

[FUENTE: Norma ISO 22300]

N01A 2 Un suceso puede: consistir en algo que nunca ha ocurrido.

NOTA 3 A veces. un suceso se puede mencionar corno un "incidente" o un •accidente".