Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNE-EN ISO 22301 2015pdf
UNE-EN ISO 22301 2015pdf
española
Enero 2015
Especificaciones
stcruité .w>eiita/e. $ys1i.111es de nw1tage11Jent de la continuité cl'actit•iti. fxigotces (ISO 11JOJ :2012).
CORRESPO'\DE'iCL\ fata nonna es la versión oficial, en español, de la Norma Europea EN ISO 22301:201 4,
que a su vez adopta la Norma Internacional ISO 2230 1:20 12.
.\'iTECEDE'iTES Esta norma ha sido e laborada por el comité técnico AEN/CTN 196 Protecció11 y
seguridad de Jos ciudadanos cuya St"C.retaria desempeña AENOR.
Editada e impresa por AE'.NOJ{ LAS OBSERVACtONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:
Ocpósito legal: ~1 185$:20 15
Asociación Española de
AE NOR Normalización yCenlficaclón
l4 Pig1na.c;
Versión en español
Sodttal stturity. B1uintss r-ontiauity SiC'urili sodital~ Sys1t mc:s dt Sithtrbtif und S<-hutx dts (;tmti111~•tMns.
ma11.agtmtot systt ms.. Rtquirtmrnts. mao<11gtmrnt dt la M ntinuitt d 'attivitt. Businus Continuity ~l.anagtmtnt Systtm.
(ISO 22301:2012) E.xigtntts. Anfordtrungtn.
(ISO 2230 1:2012) (ISO 223-01 :2012)
Los miembros de CEN están sometidos al Reglamento Interior de CEN/CENELEC que. define las condiciones dentro de
las cuales debe adoptarse, sin modificación. la norma e uropea como norma nacional. Las corre-spondie.ntcs listas
actualiz.ada'i y las refcrcncia'i bibliográficas relativas a estas normas nacionales pueden obtene.rse en el Centro de
Gestión de CEN, o a través de sus miembros.
Esta nonna e uropea existe e n tres versiones oficiaJes (alemán, francés e inglés). Una versión en otrd lengua realizada
bajo la responsabilidad de un miembro de CEN en su idioma nacional, y notificada al Centro de Gestión, tiene el mismo
rango que aquéllas.
Los miembros de CEN son los organismos naciona les de nonnaJización de los países s iguientes: Alemania. A ntigua
Re pública Yugoslava de Macedonia, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia,
España, E.'ilonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Ll!tonia, Lituania, Lu.xemburgo, Malta,
Noruega, Países Bajos. Polonia, Portugal, Reino U nido, República Checa, Rumanía, Suecia, S uiza y Turquía.
CEN
COMITÉ EU ROPEO DE NORMA LIZACIÓN
Europc-á11 Commitlee for Standardization
Comité Européen de NornlaJisation
Europaisches Komitee für Nonnung
CENTRO DE GESTIÓN: Aveour Marnix, 17-1000 Bruxellrs
Prólogo
El texto de la Norma ISO 22301:20 12 del Comité Técnico ISOffC 223 Seguridad de los ciudadanos, de
la Organización Internacional de Normal ización (ISO), ha sido adoptado c-0mo Norma
EN ISO 22301:2014 por el Comité Tecnico CENffC 391 Protección y seguridad de los ciudadanos, cuy•
Secretaria descmpc-ña NEN.
Esta norma europea de.be recibir el rango de norma nacional mediante la publicac-ión de un texto idéntico
a ella o mediante. ra.tific.ación antes de finales de ene.ro de 20 15, y toda."'\ las nonnas nacionales
técnicamente divergentes deben anularse antes de finales de enero de 20 15.
Se llama la atención sobre Ja posibilidad de que algWlOs de los elementos de este documento C$tén sujetos
a derechos de patente. CEN y/o CENELEC no es(son) responsable(s) de la identificación de dichos
derechos de. patente.
De acuerdo con el Reglamento Interior de CEN/CENELEC, están obligados a adoptar esta norma europea
los organismos de normalización de los siguicnte.s paises: Alemania, Antigua Re pública Yugoslava de
Macedonia, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España,
Estonia. Finlandia, Francia, Grecia, Hungría. lrlanda, Islandia, halia, Letonia. Lituania, Luxemburgo,
Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumania, Suecia, Suiza
y Turquía.
Declaración
El te;o.~o de la Norma ISO 2230 1:2012 ha sido aprobado por CEN como Norma EN ISO 2230 1:2014 sin
ninguna modificación.
AENOR -5- ISO 22301 :20 14
Índice
P rólogo ...••.............•.........•.....••••...............••....•........•...............••....•...•....•.........•.....••....•........•....•....•.....••.. 6
O I ntroducción ~.................................................................................................................................................... . 7
0.1 Grnrralidades ......................................................................................................................... 7
0.2 El modelo "Planificar·Hacer.\' erificar·Actuar" (Pff\' A) .................................................. 7
0.3 ComponentH del modelo PDC1-\ en esta norma internacional ........................................... 9
5 Lidrrazgo ........................................................................•...................................................... 18
5.1 Lidrrazgo y compromiso ...................................................................................................... 18
5.2 Compromiso de la dirección .................................................................................................................. 19
5.3 Política ................................................................................................................................... 20
5.4 Funciones, responsabilidades y autoridad en la organiz.ación .......................................... 20
6 Pla.nificac.ión ............................................................................................................................................... 20
6.1 Acciones para cubrir riesgos y oportunidades ................................................................... 20
6.2 Objetivos de continuidad del negocio y planes para conseguirlos .................................... 21
7 Apoyo ..................................................................................................................................... 21
7.1 Rrcursos ................................................................................................................................ 21
7.2 Competencia .......................................................................................................................... 21
7.3 Concienciación ............................................................................... ..................................................................... 22
7.4 Comunicación ................................................................................. ..................................................................... 22
7.5 Información documrntada ................................................................................................... 22
8 Oprración .............................................................................................................................. 23
8.1 Planificación y control operacional ....................................................................................................... 23
8.2 A nálisis de impacto t o el negocio y apreciación del riesgo ............................................... 24
8.3 Estratrgia dr continuidad dtl nrgocio ................................................................................ 25
8.4 Establecimie.n to e implantación de procedimientos de continuidad del negocio ............. 26
8.5 Prurbas y r nsayos ................................................................................................................. 28
10 Mrjora ................................................................................................................................... 32
10.1 No conformidad y acción corrr·c tora .................................................................................................. 32
10.2 Mrjora continua .................................................................................................................... 33
Bibliografia............................................................................................................................................. 34
ISO 22301 :20 14 -6- AENOR
Prólogo
Las nonnas internacionales se. redactan de acuerdo con la'i regla'i establecidas en la Parte 2 de la..s
Directivas ISO/I EC.
La tarea principal de los comités técnicos es preparar norm"dS internacionales. Los proyectos de normas
internacionales adoptados por los comités técnicos se envían a los organismos miembros para votación.
La publicación como norma internacional requiere la aprobación por al menos el 75% de los organismos
miembros que e.m iten voto.
Se llama la a tención sobre la posibilidad de que algunos de Jos e lementos de este documento puedan estar
sujetos a derechos de patente. lSO no asume. la re.sponsabilidad por la identificación de cualquiera o todos
los derechos de patente.
La Norma ISO 2230 1 fue preparada por el Comité TCcnico ISOrrC 223 S.-guridad de los ciudadanos.
Esta versión corregida de la Norma ISO 2230 1:2012 incorpora Ja., siguientes correcciones:
- primera lista e-n c-1apartado 6.1 C'ambia de una lista numerada a una no numerada~
O Introducción
0.1 Generalidades
Esta norma internacional especifica los requisitos relativos aJ establcc-imiento y la gestión de un Sistema de Gestión de
la Continuidad del Negocio (SGCN) eficaz.
la implantación y la aplicación de controles y medidas para gestionar la capacidad global de la organización para
hacer frente a incidentes disruptivos~
Un SGCN, como cualquier otro sistema de gestión, tiene los siguientes componentes fundamentales:
a) una política;
l ) la política;
2) la planificación,
3) la implantación y la operación,
4) la cvaluac.ión del rendimiento,
6) la me1ora,
La continuidad del negocio contribuye a c.onstituir una sociedad oon más resilicncia. En el proceso de recuperación,
puede ser necesario impl icar en la organización a la comunidad en s u conjunto y al impacto del entorno ambiental y por
tanto a otra-; organizacionc-s.
Esto asegura un gr.:.do de coherencia con otra'i normas relativas a sistemas de gestión, tales como la..s Normas lSO 9001
Sistemas de gestión de la calidad, ISO 1400 l Sistemas de gestión ambiental, ISO/IEC 2700 l Sistemas de gestión de la
seguridad de la i11fonnació11, ISO/IEC 20000-1 Tecnologia de la i11formació11. Gestión del servicia e ISO 28000
Especificación para Jos siste1nas de gestión de la seguridad para Ja cadena de suministro, lo que permite un apoyo
coherente y una implantación y un fUncionamiento integrados con los sistemas de gestión a'ioOciados.
ISO 22301 :20 14 -8- AENOR
La figura l muestra cómo un SGCN toma como entradas a las partes interesadas. los requisitos de la gestión de la
c.o ntinuidad y. a través de las acciones y los procesos necesarios. produce resultados de la continuidad (es decir,
c.o ntinuidad del negocio gestionada) que cumplen esos requisitos.
Establecer
(Planificar)
Partes Partes
interesadas interesadas
Mantenimiento Implantar
y mejora y operar
(Actuar) (Hacer)
Requisitos de Continuidad
la continuidad del negocio
del negocio Supervisión gestionada
y revisión
(Verificar)
Pla nificar Establecer la política de continuidad del negocio. los objetivos, las metas. los controles, los
(Establecer) procesos y Jos procedimientos necesarios para mejorar la continuidad del negocio con el fi n
de obtener resultados acordes con las políticas y objetivos generales de la organización.
Hacrr Implantar y operar la política, los c,o ntroles. los procesos y los procedimientos de
( Implantar y operar) continuidad de.) negocio.
Vt rificar Supervisar y revisar el rendimiento según los objetivos y la política de continuidad del
(Supervisar y revisar) negocio~ informar de los resultados a la dirección de la organización para su revisión. y
detenninar y autorizar las medidas para su corre.cción y mejora.
Actuar Mantener y mejorar el SGCN mediante la aplicación de medidas corrt"Ctoras, basadas en los
(Mantener y mejor.ir) resultados de la revisión por la dirección de la organización. y reevaluando el alcance del
SGCN y la política y los objetivos de continuidad del negocio.
AENOR -9- ISO 22301 :20 14
El capítuJo 4 es una parte del término Planificar. Introduce los requisitos necesarios para establet-cr e l contexto del
SGCN tal como se aplica a la organización. así como la"i necesidades, requisitos y alcance.
El capítulo 5 es una parte del término Planificar. Resume los requisitos específicos de la función de la alta dirección
en el SGCN, y la manera en que ésta comunica sus expectativas a la organización me.d iante la de.c laración de Ja
política.
El capítulo 6 C$ una parte del término Planificar. Describe los requisitos relativos al establecimiento de los objetivos
estratégicos y de los principios: de guía para e l SGCN en su conjunto. El contenido del capítulo 6 no consiste en e.s ta·
blec.e r soluciones para el tratamiento de los riesgos observados de la a preciación del riesgo. ni del análisis de
impacto en el negocio (BIA) derivado de los obje.t i\'<>S de recuperación.
NO'fA Los ~u is:itos relativos al anáh.c;1s de impacto ea el negocto y al proceso de cvaluac.00 dd nesgo se detallan en d e.apítuk> 8.
El capítulo 7 es una parte del ténnino Planificar. Apoya las operaciones del SGCN relativa• a la determinación de
las competencia(\ y al establecimiento de comunicacionc.s con las parte.s interesadas sobre una base recurrente/por
necesidad, a la vez que se documenta, controla.. mantiene y conserva la documentación requerida.
El capitulo 8 es una parte de-1 término Hacer. Define los requisitos relativos a la continuidad del negocio, determina
la manera de tratar y desarrollar los procedimientos para gestionar un incide-nte djsruptivo.
El capítulo 9 es una parte del ténnino Verificar. Resume los requisitos necesarios para medir el rendimiento de la
gestión de la continuidad del negocio, la conformidad del SGCN con esta norma internacional y con las expectativas
de la dirección.. y busca retornos de infbrmación relativa a las expectativas desde la direccic>n.
El capítulo 1O es una parte del término Actuar. Identifica y actúa sobre las no confonnidades del SGCN por me.d io
de acciones correctoras.
Los requisitos especificados en esta nonna internacional son genéricos y están previstos para ser de aplicación a todas
la'i organizaciones.• o partes de ell~ t.-on independencia del tipo. tamaño y naturaleza de la organización. La amplitud
de la apl icación de estos requisitos depende del entorno de operación de la organización y de la complejidad de ésta.
Esta nonna internacional no pretende establecer una estructura uniforme para un sistema de gestión de la continuidad
del negocio (SGCN), sino que una organización diseñe un SGCN que sea apropiado a sus necesidades y que cumpla los
requisitos de S\L'i partes in te.resadas. 8.1as necesidades se modelan según requisitos legales, re.g uladorc.s. organizacio ·
nales e industriales, los productos y servicios, los procesos utilizado~ el tamaño y estructura de la organización.. y los
requisitos de las partes interesadas.
Esta norma internacional es a pl icable a todos los tipos y tamaños de organizaciones que deseen:
Esta norma internacional se puede utilizar para evaluar la capacidad de una organización para c umplir sus propias
necesidades y obligaciones de continuidad.
3 Términos y definiciones
Para los fines de t.."Ste documento. se aplican los té rm inos y definiciones siguientes:
3.1 actividad:
Proceso o conjunto de procesos reaJizados por una organización (o e n su nombre) que producen a dan apoyo a uno o
varios productos y scr\'icios.
EJE1'.1PLO En tales procesos se incluye la contabílid3d, los centros de llamada~ la lecnologia de la información (TI). la
fabricación,. la d1stribuc.1611.
3.2 auditoría:
Proceso sistemático. indepe.ndiente y documentado pard obtener pruebas de auditoria y evaluarlas objetivamente para
determinar la amplitud con que se cumplen los criterios de dicha auditoría.
NO'J'A 1 Una auditoria pocdc ser interna (de primera parte) o externa (de segunda o tercera pMc). )'puede Stt combinada (si se asocian dos o más
disc4plinas).
NO'J'A 2 Los términos •prueba de audiloria· y ·critcrtos de auditcwia• se dctinen en la Nonna LSO 190 11.
NOTA Normalmente, este plan cubre los recursos, los scn•1c10S y lac; act1vtdadcs que se rcqu>eren para asegurar la conainuKtad de la~ funciones
criticas del negocio.
J . 9 competencia:
Capacidad para aplicar los c.o nocimicntos y la destreza para conseguir los resultados previstos.
3.1 0 conformidad:
Cumplimiento de un requisito.
3.12 corrección:
Acción dirigida a eliminar una no conformidad detectada
NOTA En d ca'io de ocros resultados no dC5C8bles, es necesario emprender alguna acciOO para minimimr o elim inar las causas y p:tra reducir el
impacto o cv1tnr su repetición. ·ralcs occiones quedan fuera del concepto de "acción correctora." en el sentido de c.'il:a definición.
3.14 documento:
lnformac.ión y su medio de soporte.
NOTA 1 E.I sopone puede ser papel, un disco informático n1~ico, dec1rónico u óptico, una folografia o una configuración de n:ferencaa, o una
combmación de estos sopones.
NO'J'A 2 Un conjunlo de documentos. por ejemplo, csp«iflcacioncs y rcgisuos, nonnatmcnte se denomina ·documentación".
NOf A 1 La información documentnda puede estar en cualquier formato y sobre cualquier soport~ y proc.C'der de cualquier fuente.
ISO 22301:20 14 - 12 - AENOR
J . 16 r licacia:
Nivel de rc.alización de las actividades planificada-¡ y de obtención de los resultados pre.v istos.
3.1 7 sucrso:
Ocurrencia o cambio de un conjunto particular de circunstancias.
NOiA 1 Un suceso pocdc tener a una o vnnas ocurrcnc1.:is., y se puede deber a vanas causas.
NO'l'A 4 lJn suceso sin consccuencitts uunbién se poed(" menc1mar como un "casi problema", "incidente", "impac.to pró.'C.imo" o "aviso".
J . 18 prueba:
Proceso para. adiestrar, evaluar, practicar. y mejorar e.I re ndimiento de una organización.
NOiA 1 Las pruebas se pueden utdizar para la \'ahdactón de política"• planes. proccd1m1entos., ronnaetón, cqulpos y acuerdos entre M"~im:umes;
cbrificación y formación dd personal en funciones y responsabilidades; mejora de la coordinación entre organi:t.aeiones y de las
comunicaciones; dcnuficadón de dcsr:quilibnos entre recursos; mejora de renchmicntos indi\'iduales e identiítcación de oportunidades de
1nejora; y una oportunidad cootrolada para practicar improvisaciones.
NOiA 2 Un ensayo es un bpo de prueba unK11 y particular, que incluye una cxpcctntJva de no tallo o de fal lo dentro dd o de los objccivos de la
prueba planificada.
NOiA Puede tratar.se- de un inch\'lduo o de un grupo q ue ricnc un interés en alguna decisión o acll\'idad de una organimción.
NO'fA En muchos CllSGS., p:irucularmente en organl1llC1ones pequeñas, Ja mdepc:ndcncaa se puede demosuar por la ausencia de rt:Sponsab1..hdad
respecto a la actt\'1cbd que se está auditando.
AENOR - 13 - ISO 22301 :20 14
J.23 acti\'ación:
Acto de declarar q ue las disposiciones sobre continuidad del negocio de. la organización se debe poner e-n marcha con
objeto de continuar sumin istrando los productos y servicios principales.
NO'l'A 1 lJn sistema de gcs1jón puede estar mf'ocOOo 11 una sola di.o;ciphna o a \ arinsdiscíplinas.
1
NO'T'A 2 Los elementos del slSlema incluyen la csrruc1ura de la organización, las funciones y las rcsponsabilida:lcs, la planificación, la operación, etc.
NO'fA 3 El campo de aphcac.ión de un sistema. de gcsaión puede incluir la totalidad de la organu::ac1ón, func.1oncs especifica.e; e 1dent1ficadas de la
organización, secciones especificas e idcn11fíeadac; de la organiz.nción, o 00;1. o varias fwiciones de un grupo de org:mi7.acioncs.
3.27 mrdición:
Proceso para determinar un valor.
3.29 supen•i"ióo:
De.terminación del e.~tado de un sistema. de un proceso o de una actividad .
N01A Para dctc:münar d estado, puede ser nec-cssrio \ eritk ar, supervisar u observar de forma cri1jca.
1
3.31 no conformidad:
No cumplimiento de un requisito.
3.32 objetivo:
Resultado a obtener.
NOTA 2 Loo objctj\"OS pueden estar rclac-ionados con disciplinas diferentes (tales como financieras, de seguridad e higiene, y meta.o; m cd~
ambientales) y se pueden aplic-ar a ni\'t'lcs ditCrentes (tales como de estrategia, amplitud de la organización, proyecto, producto y proceso).
N01A 3 Un objetivo se puede expresar de otras maneras, por ejemplo. como un resultado previsto, una finalidad, un c.nteOO operacional, como un
objetivo de protecctón y seguridad de los ciudadanos, o ma:hante el empleo de otra.<> palabras de similar s1gnific3do (por ejemplo, objcll\'O,
meta, finalidOO).
NOiA 4 fui d contc:.'\:tO de bis nonn.::as sobre sistema.o; de gestión de la protección y segundad de los ciudadanos, los obJCllVOS de la protección y
segundad de los C'Íudadanos los cstnblecc la organu:ación, cobercntnnente con su politica de protoccUm y seguridad de los eiucbdanos,
para obtenet resuhados cspecificos.
J ..JJ organización:
Persona o grupo de personas que tiene su propia estructura funcional con respon..o;abilidades, autoridad y relaciones pard
conseguir sus objetivos.
NO'J'A 1 El conccpo de orsanización induyc, sin limitlnie a ello, las nociones de trabajador independiente., compañia, oorporación. firma. sociedad,
autoridad, asocioción, organi7.aeión caritatn•a o institución, o uno p:utc o combinación de la<> anteriores. tnnto sí CS1iln inc-orporadas o no, o
si soo pilblica.<> o privnd:ls.
NO'fA 2 Para orsan1zac1ones que tengnn v1U1a<> unidades de funct00am1cnto, una sola urudad de fundonamtcnto se puede del'inu como una
orga:nizac.ión.
N01A Una orgs.nización externa queda fuera dd alcance del sistema de gestión, auncp.k' la (unctón o el proceso extemalizado cstCn dentro de dicho
alcance.
3-.35 rtndimirnto:
Resultado mensurable.
NO'fA 2 El rend1mJCnto puede estar relacionado cm la g_estión de act1vKlades, los procesos, los productos (incluidos los serv1c1os). los sistemas, o
las OrgatllZilC'ioocs.
J.37 personal:
Personas que trabajan para la organización y bajo el control de ésta.
NOT A El concepto de ·personar incluye, aunque sin limitarse a, empleados, personal a t»empo plfC-iaJ y personal interim.
3.38 política:
Intenciones y orientaciones de una organización tal como son expresadas tOrmaJmente por la alta dirección.
J.39 prorrdimiento:
Manera especificada de realizar una actividad o un proceso.
J ..40 procrso:
Conjunto de actividades interrelacionadas o interactivas que tnmsfOrman la'i cntrada'i en rc.sultados.
NO'fA Los tCnninos que comUruncntc se ubhzan JlOm describir actividadC"S dentro de este grupo son: cribeo, esencial, v1tnl, urgente y principal.
3.43 rtgjstro:
Declardción de resultados conseguidos o la evidencia de las actividades rcaJizadas.
NO'l'A Para productos, servicios y ac1jvidadcs, d objetivo de tiempo de rttupcmción debe ser- inferior al tiempo que se ncccsitaria paro que los
impacto.<> dcsfu.,·omblc:s que resultarian de la fu lta de enll"t'ga dt' un producto o scn•icio, o de la no rcabzación de una activadad, sc con\•icnan
en inncepcables.
3.46 rtquisito:
Necesidad o expectativa que se declara, generalmente implicita u obligatoria.
NOTA 1 "C'.eneralmentc unplic1ta• s1gn1fic.a que t'S una pcict1ca habitual o comUn para la organización y las partes interesad~ que. la n«es.idad o
C.'(pectativa bajo con:sideraci6n sea jmplicita
NOTA 2 Un requ1s1to cspccifJCSdo es un requisito que se declara, por ejemplo c:n la mformac1ón documc.ntOOa.
J.47 rtcursos:
Todos los bienes, personal, perfiles profesionales.. información, tecnologia (incluyendo maquinaria y equipos). locales,
suministros e infonnación (electrónica o no). que una organización ha de tener disponibles para su utilizac.ión. cuando
se necesite, con objeto de funcionar y cumplir su objetivo.
3.48 ritsgo:
Efecto de la inccrtidun1brc sobre la con'iecución de los objetivos.
N01A 2 Los objetivos pueden tener aspectos difermtes (tales como financiero.<>, seguridad c hjgicnc:, mc:ta<> mcdjoambientalc:s) y se pueden aplicar
a niveles diferentes (tales oomo estra1Cg.i~ amplitud de la orgaru.z.ación, de proyecto, de produc-to y de proceso). Un objetivo se puede:
exprt'Sat de otras maneras, por ejemplo, como Wl resultado previsto, una finalidad, un critmo operacional, como un objc:t.ivo de
continuidad del negpcio o mediante el empleo de otras pllabras de significado similar (por ejemplo, tínaJidad, objetivo, o mc:ta).
NOfA 3 Con frecuencia. d riesso se caracteriza 1nediante l'C'ferencia a suCt"SOS potenciales (apanado 3.5.1.3 de la N«ma ISO Guia 73), )' a sus
consecuencias (apartado 3.6.1.3 de la Norma ISO úuia 73), o ama combinación de mnbos.
NOfA 4 Con trccuencaa, d riesgo se: C.'(prCS.:1. en términos de una combinación de tas consccuenc1as de Wl suceso (incluyendo los cambios en la.<>
cireunstnncia.<>) y de la probabilidsd de ocurrencia a..ociada (apartado 3.6.1. I de la Norma ISO Guia 73).
ISO 22301:20 14 - 16 - AENOR
N01A 5 La incertidumbre C'S d estado. induso parcial, de deficiencia de infonnación rclatñ'a a la comprensión o BI conoc1mien10 de un suce.o;o, de
sus consecuencb.'i., o de la probab1hdad de ocurrencia.
N01A6 En el oonte.~to de los nonn.ns sobre sistemas de gestión de Ja continuidad del negocio, los objcti\"OS de continuidad del ncr;ocio los
establece la orgrunzac1ón, coherentemente con la poUt.ic.a de contmujd:td dcl negocio, con objeto de conseguir resultados cspccificos.
Cwndo se aplica el término •riesgo y componentes de: gcsoón dd riesgo", sc dcbcria rc(crir a los objetivos de la organizac.00 que
incluym, aunque no se limitan a los objctÍ\'OS d-c continuKlad del negocio, como sc especifica en d apartado 6.2.
J..52 rnsayos:
Procedimiento de evaluación~ un medio para determinar la presencia. la calidad, o Ja veracidad de alguna cosa.
NO'l'A 1 La a.Ita dirección tiene b fucultad de delegar su autoridad y de proporcionar rccursos en d seno de ta organización.
NOTA 2 S1 el alcance: del sistema de: gc:saión solo cubre pane de una organu:actón, entonces la alta d1n:cción se refiere a aquello.e; que dirigen y
controlan esa JXlllc de la organización.
3.54 verificación:
Confirmación, mediante la disposición de pruebas., de que se han c umpl ido los requisitos especificados.
NOTA Las condiciones incluyen f'actom> tis.icos., sociales, psicológicos y mc:dioambientaks. tales como la temperatura., los csquanos de rcconoc1-
mtento, la crgonomia y la composición a1mosférica
Estos asuntos se deben tener e n c uenta a l establecer, implantar y mantener el SGCN de la organización.
a) las actividade.s de la organización. sus funciones, StL'i servicios. StL'i productos, sus asociaciones, las cadenas de
abastecimiento, s us relaciones con las partes interesada-;;, y e l impacto potencial debido a un incidente disruptivo~
b) los vínculos entre Ja política de continuidad del negocio y los objetivos de la organización, así como otras políticas,
incluyendo Ja estrategia global de gestión del riesgo; y
l) expresar claramente SlL') objetivos, incluyendo los relativos a la continuidad del negocio;
2) definir los factores internos y externos que gc-ncrJJl la incertidumbre que. engendra el riesgo~
b) los requisitos de csta'i partes int·e rcsadas (es decir. sus ne.c e.s idades y expectativas que estén declarcldas, general·
mente impl ícitas u obligatorias).
La organización debe asegurar que estos requisitos legales, reglamentarios y de otros tipos aplicables. a los que la
organ ización está sometida. se tienen en c uenta al establecer. implantar y mantener su SG·CN.
La organización debe documentar s u info rmación y mantenerla actualizada . Los nuevos requisitos legales, rcglamen·
taria'\ y de otros t ipos. o sus modificaciones. se dcbe.n comunicar a los e-mpleados y a otras partes intc.rcsadas que se
vean afectados.
ISO 22301 :20 14 - 18 - AENOR
4.3 Determinación del campo de aplicación del sistema de gestión de la continuidad del
negocio
4.3.1 Grnrralidades
Par• dctenninar el campo de aplicación del SGCN, la organización debe determinar los límites y la aplicabilidad de
dicho si~Lcma.
La organización de.be:
b) defin ir Jos requisitos del SGCN, considerando Ja misión de la organización. sus metas, sus obligaciones internas y
e.xtemas (incluida<; las re.lativas a la<; partes interesadas). y las responsabilidades legales y reglamentarias;
e) identificar los productos y los servicios. y toda-. la-; act ividades relacionadas dentro del campo de aplicación del
SGCN;
d) tener en cuenta-; las ncce.sidades y los intereses de las partes intert..>sadas, talc.s como los clientes. los inversores, los
acc.ionistas. la cadena de abastt"Cimie.n to, la'i sugerencias y necesidades, expe.ctativas e intereses (cuando corres·
ponda) tanto publicas como de la comunidad; y
e) definir el campo de aplicación del SGCN en términos y en fünción del tamaño, la naturnleza y la complejidad de la
organización.
AJ definir e l e.ampo de aplicación, la organización debe documentar y explicar las conc lusiones; ninguna de tales
conclusiones debe afectar a la capacidad y rcspon.~bilidad de la organización para proporcionar continuidad al negocio
y a las operaciones para satisfacer los requisitos del SGCN, de.terminados por el anál isis de impacto en el negocio o por
la apreciación del riesgo. y los requisitos legales u obligatorios aplicables.
5 Liderazgo
a~egurando que se establee.e n políticas y objetivos pard el sistema de gestión de la continuidad del negocio, y de que
son compatibles con la dirección estratégica de la organización;
a.-i;egurando la integración de. los re.q uisitos del sistema de gestión de. la continuidad del negocio en los procesos de.
negocio de la organización;
asegurdndo que están disponibles los recursos necesarios para e l sistema de ge.s tión de la continuidad del negocio ~
haciendo saber Ja importancia de ooa gestión eficaz de la continuidad del negocio y de su confOrmidad con los
requisitos del SGCN;
apoyando a otros gestores importantes para que demu~1rcn el liderazgo y el compromiso que aplican en sus á re.as
de responsabilidad.
NO'fA 1 En c"1a norma 1ntemac1onal, la referencia al 1Cmuno "negocto" se debe tomar en su senudo mli.<> amplio paro s1gn1ficar aqudl:ts act1\ 1cbdcs
1
La alta dirección debe proporcionar las pruebas de su compromiso en el c~1ablecimicnto, la implantación, la operación,
la supervisión, la revisión. el mantenimiento, y la mejora de.J SGCN:
estableciendo las funciones, la' responsabilidades, y la' competencia< para la gestión de la continuidad del negocio; y
designando a una o varias persona'i como responsables del SGCN con la autoridad y las compctcncia'i apropiadas
para aswnir la responsabilidad de la implantación y mantenimiento del SGCN.
La alta dirección de.be garantizar que las responsabilidade.s y la autoridad para las funciones principales se asignan y se
comunican dentro de la organización:
definiendo los criterios de aceptación de ric.s gos y los niveles de riesgos aceptables;
5.3 Política
La alta dirección debe establece.r una política de continuidad del negocio que:
sc.r revisada a intervalos de tiempo definidos y cuando se produzc-an cambios significativos, a fin de demostrar su
continua idoneidad.
La organización de.be conservar la información documentada relativa a la política de continuidad del negocio.
a) garantizar que el sistema de ge.!\Lión es t.-onfOnne con los requisitos de. e.s ta norma internacional; y
6 Planificación
b) Ja manera de:
1) integrar e implantar las acciones en sus procesos del SGCN (véase 8. 1),
2) evaluar Ja eficaeia de e'1as acciones (véase 9. 1).
AENOR - 2 1- ISO 22301 :20 14
b) tener en cuenta el nivel mínimo de productos y servicios que es aceptable para que la organización con.'iiga sus
objetivos~
e) ser mensurables;
La organización de.be conservar la información documentada sobre los objetivos de continuidad del negocio.
Para conseguir sus objetivos de continuidad del negocio, la organización debe determinar:
qué hará;
7 Apoyo
7.1 Re.cursos
La organización debe determinar y proporcionar los recursos necesarios para el establecimiento. la implantación. el
mantenimiento y la mejora continua del SGCN.
7.2 Competencia
La organiz.ación de.be
a) determinar las competencias necesarias de las personas que trabajan bajo su control. y que afee.ta a s u rendimiento;
b) gardJltizar que esta."i personas son competentes sobre la base de una formación inicial. una fbnnación profCsionaJ y
Wla exlJeriencia apropiada.."i;
c) cuando sea aplicable, aplicar la-; acciones necesarias para la adquisición de Ja competencia necesari~ y evaluar la
eficacia de las acciones tomadas; y
NO'J'A Las acciones aplicables pueden incluir, por ejemplo. 13 pr0\'1sión de roonaclón profes.iona~ el mcuadramienlo, o b rea:signac1ón de trabajo
de Ja.; personas ac1ualmcntc empleOOas, o d rcclutamimto o contratación de: personas competente.o;.
ISO 22301:20 14 - 22 - AENOR
7.3 Concienciación
Lao; personas que trabajan bajo e l control de la organización deben estar concienciadas de:
b) su contribución a la eficacia del SGCN, incluyendo los efl-ctos positivos de una mejord del rendimiento de la
continuidad del negocio;
7.4 Comunicación
La organización dc.bcdetc.ntlinar las necesidades de comunicaciones interna'i: y externas relativa-; al SGCN, incluyendo:
la comunicación interna entre lao; partes interesadas y los empleados dentro de la organii:ación~
la comunicación externa con los c,Jiente.s, las entidades asociadas, la comunidad local, y otras partes interesadas,
incluidos los medios de comunicación;
poner en funcionamie.nto y ensayar las capacidades de comunicación prevista.~ para ser utilizada..~ durante la
interrupción de la~ comunicacionc.s normales.
N01A En el ap:utido 8.4.3 se- especifican otro.e; requisitos rdatr\'O.S a 13 comunicación en m;pucsta a un incidente.
la informaci<'>n documentada que la organización ha determinado que es nect.>sa.ria para conseguir la eficacia del SGCN.
AENOR - 23 - ISO 22301 :20 14
N01A La amplitud de la información documentada de un SC.rCN puede \ ariar de una organización a oun, debido a:
1
Para controlar la información documentada, la organiz.ación debe realiz.ar las siguientes actividade~ según sea aplicable:
retc.ncic>n y disposición;
recuperación y utiliz.ación;
preservación de la legibilidad (es dcc.ir. que esté suficientemente c lara para que se pueda leer); y
La información documentada de origen ex1emo considerada por la organización corno necesaria para la planificación y
operación del SGCN, se debe identificar, según proceda, y controlar.
8 Operación
e) manteniendo la infonnación documentada con la amplitud necesaria para tener la seguridad de que los procesos se
realizan según lo planificado.
La organización debe controlar las modificaciones previstas y revisar las consecuc-ncia'i de modificaciones imprevistas,
aplicando las acciones necesarias parJ mitigar los efectos adversos, si fuese necesario.
a) establezca el contexto de la apreciación, defina los criterios y evalúe el potc.ncial impacto de un incidente disruptivo;
b) tenga en cuenta los requisitos legales y de otros tipos que suscribe la organización;
c) incluya el análisis sistemático, e.s tablezca prioridade-S de Jos tratamie-ntos de riesgos. y SlL.'i costes asociados;
d) defina el resultado requerido del análisis de impacto en e l negocio y de la apreciación del riesgo~ y
NO'fA E:x1sttn diversos mCtodos de tmlilisis de: lmpacto ro d ncg.ocio y de apíC'CÍac1ón del riesgo, que detemunarñn el orden en que estos se
real izaran.
c) el c~Lablecimiento de plazos prioritarios para la reanudación de c.sta.s actividades a un nivel mínimo especificado que
sea aceptable, teniendo en consideración el tiempo durante e l c ual los impactos por la no reanudación pasarían a ser
inaceptables~ y
d) la identificación de las dependencias y de los recursos de apoyo de estas actividades. inc luidos proveedores. socios
externos, y otrds partes inlere.sadao;; relevantes.
NOiA Este proceso sr: podri:i rcahzar de acuetdo con la Nonna ISO 3 1000.
AENOR - 25 - ISO 22301 :20 14
La organización debe:
a) identificar los riesgos de interrupción de la"i actividades prioritarias de la organización. así como de los procesos,
sistemas, información, pcrsona'i, bienes, socios externos. y otros recursos que las apoyan;
d) identificar los tratamientos aplicados a los objetivos de continuidad del negocio y conformes con la apete ncia de.
riesgo de la organización.
NOTA La organización debe ser consciente de que cktemunadas obligaciones fimncicrns o gubcmamen1alcs ra¡uicrcn la comunicación de estos
riesg.Ol'> a diversos ni\'des de detalle. Adcmá." dc:nas necesidades socia les tambiCn pueden justificar el comparur esta información a un ni\'d
de detaUe apropiado.
La determinación y la selección de la C!-.1rategia se deben basar en los resultados dc.l anáJ isis de impacto en e l negocio y
de la apreciación del riesgo.
La organización debe detenninar una estrategia apropiada de continuidad de.J negocio para:
La detcnninación de la estrategia debe incluir la aprobación de los plazos de tiempo prioritarios para Ja reanudación de
las actividades.
La organización debe realizar evaluaciones de-la capacidad de continuidad del negocio que tienen los proveedores.
a) personas;
b) infOrmacioncs y datos;
f) tran.'iportes;
g) finanzas; y
h) socios y proveedores.
ISO 22301 :20 14 - 26 - AENOR
La o rganiz.ación debe seleccionar e implantar tratamientos del riesgo que sean apropiados de acuerdo con su apetencia
de riesgo.
La organización debe documentar procedimientos ( incluidas la'i disposiciones necesarias) pard asegurar la continuidad
de la<i actividades y la gestión de un incidente. disruptivo.
b) ser específico en cuanto a la.'i medidas inmediatas que se han de tomar dur.mte una interrupción;
e) sc.r flexible para rcsponde.r a la<i amenazas imprevistaS y al cambio de las condiciones internas y extema.'i;
d) oonce.ntrarse sobre e l impacto de los sucesos que potencialmente pudiesen interrumpir la-; opera.c iones;
t) ser eficaces e.n la minimización de las consecuencias mediante la implantación de estrategias de mitigación apropiadas.
a) identificar los umbrales de impacto que justifiquen e l inicio de una respuesta fonnal;
e) tener recursos disponibles para apoyar a los procc.s os y procedimientos en la ge.stión de un incidente disruptivo. a fin
de minimizar el impacto; y
f) comunicar con las partes interesadas y las a utoridade.s. así como con los medios de comunicación.
AENOR - 27 - ISO 22301 :20 14
Considerando la seguridad de las personas como prioridad principal y consultando a las partc.s interesadas más impor·
tantcs, la organización debe decidir sí realiza o no comunicación externa sobre s us riesgos e impactos sígnificativos, y
docwnentar su decisión. Si la decisión es realiz.ar la comunicación. entonces la organización debe establecer e implantar
procedimientos para esta comunicación c.x tema, así como para la'i alertao;; y avisos, incluyendo a los medios de
comunicación si fuese proceden te.
a) dc.tectar un incidente~
e) la comunicación interna dentro de la organi7..ación, y para la re.c epción, documentación y re.spuesta a la'\ comunica·
cioncs de las partes interesadas;
d) la recepción, documentación y rcspuc~ia a cualquier si~iema nacional o regional de avisos de riesgos, o medio
equivalente;
g) registrar la información vital sobre el incidente , las acciones tomadas y las decisiones adoptadas, y, cuando se apli·
cable, también se debe considerM e implantar lo siguiente:
alertar a las partes interesadas que puedan ser impactadas por un incidente disruptivo real o inminente,
a) funciones y responsabilidades de.finidas para las personas y equipos que tienen a utoridad durante y después de un
incidente~
c) detalles para gestionar las consecuencias inmediatas de un incidente disruptivo dado, teniendo en c uenta:
d) los detalles relativos a la manera y las circunstancias en que la organización comunicará con los empleados y sus
familiares, con la"i partc.s interesadas esenciales y con los servicios de emergencia~
e) la manera en que la organización continuará o recuperará sus actividades prioritarias dentro de periodos de tiempo
predeterminados~
f) los detalles de la re.spuesta de la organización a los medios de comunicación después de un incidente. (nc luycndo:
4) un portavoz apropiado,
los objetivos~
8.4. S Recuperación
La organización de.be disponer de procedimientos documentados para restablecer y recuperar las actividade.s del
negocio, a partir de las medida~ temporales adoptada~ para apoyar los requisitos habituales del negocio después de un
incidente.
b) se basen e n escenarios apropiados que estén bien planificados con me.tas y objetivos clarame.ntc definidos;
c) se. acumulen a lo largo del tiempo~ validando el conjunto de sus disposiciones de continuidad del negocio, impli·
t"ando a la~ partes interesadas importantes~
AENOR - 29 - ISO 22301 :20 14
e) generen informes formalizados posteriores a las prueba'\ q ue contengan los resuJtados~ las recomendaciones y las
acciones para implantar las mejoras~
b) los métodos para s upervisar. medir, analizar y evaluar, según sea aplicable, para aoe;cgurar resultados válidos;
La organización de.be conservar la información documentada apropiada como evidencia de los resultados.
actuar, cuando sea necesario, para remediar las tendcncia'i o resultados adversos antes de que se produzca una no
oonformidad; y
la supervisión de la amplitud con que se cumplen la política, los objetivos y las metas de continuidad del negocio de
la organización;
el rendimiento de los procesos, de los procedimientos y de las funcione.s que protegen sus actividades prioritarias~
la supervisión del cumpl imiento de esta norma internacional y de los objetivos de cont:inukdad del negocio;
el registro de los datos y re.sultados de las supervisiones y mediciones para fucilitar posteriores acciones correctoras.
NO'fA En el ft'ndim1cnto ui..;uftc1cntc se puede mduir Ja.¡ no conrormidadcs, los casi accidentes, las fu.Isas alamlas, y los 1nc1dentes reales.
ISO 22301 :20 14 - 30 - AENOR
b) Estas evaluaciones se deben realizar por medio de revisiones periódicas, pruebas, ensayos. informes posteriores a los
incidentes y evaluaciones del rendimiento. Los cambios importantes q ue se produzcan se deben reflejar oportu·
name-nte en los procedimientos.
e) La organización debe evaluar periódicamente la conf<>rmidad con los requisitos legales y reglamentarios, con las
mejores prácticas industriales, asi como con su propia política y con Sll'i objetivos de continuidad del negocio.
d) La organiz.ación debe realizar evaluaciones a intervalos de tiempo planificados y cuando se produzcan cambios
significativos.
Cuando ocurra un incidente disruptivo que implique la activación de Sll'i procedimientos de continuidad del negocio, la
organización debe realizar una revisión po!-."lcrior al incidente y proceder al registro de los resultados.
a) es conforme con
La organización debe:
planificar, establecer, implantar y mantener programa(s) de auditoría, que incluya(n) la frcruencia, los metodos, las
responsabilidades, la planificación de requisitos y la realización de informes. Los programa'\ de auditoria deben
tener en c uenta la importancia de los procesos implicados y los resultados de las auditorías precedentes~
seleccionar a los auditores y realizar la~ auditorías de manera que se a"iegurc la objetividad y Ja imparcialidad del
proceso de auditoría~
conservar la información documentada como prueba de la implantación del programa de auditoria y de los
resultados de ésta'\.
El programa de a uditoria, incluyendo su calendario, se debe basar en los resultados de las apreciaciones de riesgo de la..~
actividadl"S de la organización, y en los resultados de las auditorias precedentes. Los procedimientos de auditoria deben
cubrir el can1po de aplicación, la frecuencia, las metodologías y compete.o cias, asi como la'i responsabilidades y
requisitos para la reaJiz.ación de las auditoría<> y para la redacción de los informes de los resultados.
El responsable de la gestión del área que se esté auditando de-be garantizar que se realizan todas las c,orrccciones y
acciones correctords necesarias, sin demoras indebidas, para eliminar las no c.onformidades detectadas y sus cau."iaS. Las
actividades de seguimiento deben incluir la verificación de la'i acciones tomada-; y la elaboración de informes de los
resultados de la verificac.i ón.
AENOR - 3 1- ISO 22301 :20 14
b) las modificaciones en los asuntos internos y externos que son importantes pard el si!l.icma de gestión de la c-0ntinui ·
dad del negocio;
e) la información sobre e l rc.ndimic.nto de la continuidad del negocio. incluyendo las tendencias en:
l) las no conformidades y c-n las acc.ioncs correctoras,
los resultados de a uditorías y de re\'isioncs del SGCN, incluidos los de provc.edores y socios cuando sea a propiado;
las técnicas.• los productos o procedimientos. que se podrian utilizar e n la organización para mejorar el rendimiento y
la eficacia del SGCN;
los riesgos o los asuntos no cubiertos adecuadamente en alglllla apreciación de ric.sgos anterior;
los cambios que pudiesen afectar al SGCN. tanto internos como externos al campo de aplicación de éste~
la idoneidad de la política;
Los resultados de la revisión de la dirección deben incluir la~ decisiones relativas a las oportunidade.s de mejora
continua y la posible necesidad de cambios en el SGCN. e incluyen lo siguic.nte:
e) la actualización de la apreciación del riesgo, el análisis de impacto en el negocio, los planes de continuidad del
negocio y los procedimientos asociados~
d) la modificación de procedimientos y controles para responder a sucesos internos o externos que puedan imp.ac.tar en
el SGCN, incluyendo Jos cambios a:
La organización debe conservar la información documentada como prueba de. los resultados de las revisionc.s de la
dirección..
La organización debe:
JO Mejora
a) identificar Ja no conformidad;
c) evaluar la necesidad de aplicar alguna acción para eliminar la'i causas de la no conformidad, con objeto de que ésta
no se repita u ocurra e-n otra parte:
1) revisando Ja no conformidad,
4) evaluando la necesidad de aplicar una acción correctora para asegurar que las no conformidades no se repitan u
ocurran en otra parte,
f) realizar cambios e n e l sistema de gestión de Ja cont inuidad del negocio, si fuesen necesarios.
Lao; acciones correctoras deben ser apropiada'\ a los efectos de las no confo rmidades encontradas.
NOTA La organimción pue<k utili:tJtI los proceso.e; del SGCN, tab como d de liderazgo. de planificación o de evaluación dd rendimiento, para
conscsuir la mejora
ISO 22301 :20 14 - 34 - AENOR
Bibliografía
[2] ISO 14001. Enviro11111e11tal n1a11agen1e111 .ryste111s. Requiren1ents 111ith guida11ce for use.
l6J 150/PAS 22399, Societa/ security. Guideline for incident pre¡)(Jrednes.s and operational continuity 111anage111e111.
[7] ISO/I EC 24762, /11forn1atio11 tec/1110/ogy. Security techniques. Guidelines for lnfon11atio11 and co111n1u11ications
technolog)' di.wster recot-'f!ry serrices.
[9) ISO/I EC 27031, lnforn1ation 1ech110/ogy. Securiry techniques. Guidelines for i11for111atio11 and con1nu111icatio11
technology readiness for business co111inuity.
[ 13) BS 25999· I , Business cominuity managemem. Code ofpractice. British S1a11dards /11stilutio11 (BSI).
[ 1SJ SI 24001 , Security a11d co111inuity n1a11agen1e11t systenzs. Require111e11ts and guidance for ILte. S1a11dm·ds
/11stit11tio11 o/ Israel.
[16) NFPA 1600, Standard on disaster/e111erge11cy 111anage1ne111 a11d business continuiry progran1s. National Fire
Protection As.'<Ociation (USA).
(17] Business Couti1111ity Plan Drafling Guideline, Ministry of&onomy, Trade and lndustry (Japan), 2005.
[18] Bttsine.u Cominuity Gttide/ine. Central Disastcr Management Council, Cabinet Oflice, Govcrnmcnt of Ja pan, 2005.
[19] ANSI/ASIS SPC. I, Orga11i~alional Re.tilience: Securíty. Preparedness. and Co11ti1111ity Managemem Systems.
Requiren1ents lVilh Guidance for Use.
(21 J ANSI/ASIS/BSI BCM..O1, Bu.sine.u Comiuttity Managemem Systems: Req11ireme111s wítlt Guidance for U.te.
AENOR Asociación Española de
Normalización y Certificación