Une-En Iso 22313

Norma Española
UNE-EN ISO 22313

Enero 2015
Versión corregida, Junio 2019
Protección y seguridad de los ciudadanos

Sistema de Gestión de la Continuidad del Negocio
Directrices
(ISO 22313:2012)
Esta norma ha sido elaborada por el comité técnico

CTN 196 Protección y seguridad de los ciudadanos, cuya
secretaría desempeña UNE.
Asociación Española
de Normalización
Génova, 6 - 28004 Madrid
915 294 900
info@une.org
www.une.org
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313

Directrices
(ISO 22313:2012)
Societal security. Business continuity management systems. Guidance (ISO 22313:2012).
Sécurité sociétale. Systèmes de management de la continuité d'activité. Lignes directrices

(ISO 22313:2012).
Esta norma es la versión oficial, en español, de la Norma Europea EN ISO 22313:2014, que
a su vez adopta la Norma Internacional ISO 22313:2012.
Esta norma anula y sustituye a la Norma UNE-ISO 22313:2013.
Esta versión corregida de la Norma UNE-EN ISO 22313:2015 incorpora las siguientes correcciones:
Se sustituye el último guion del apartado 7.5.1 por "– acta de reunión para revisión del SGCN."
Las observaciones a este documento han de dirigirse a:
Asociación Española de Normalización

Génova, 6
28004 MADRID-España
Tel.: 915 294 900
info@une.org
www.une.org
Depósito legal: M 23219:2019
 UNE 2019
Prohibida la reproducción sin el consentimiento de UNE.
Todos los derechos de propiedad intelectual de la presente norma son titularidad de UNE.
NORMA EUROPEA
EUROPEAN STANDARD
EN ISO 22313
NORME EUROPÉENNE
EUROPÄISCHE NORM Noviembre 2014
ICS 03.100.01
Versión en español

Directrices
(ISO 22313:2012)
Societal security. Business continuity Sécurité sociétale. Systèmes de Sicherheit und Schutz des
management systems. Guidance management de la continuité d'activité. Gemeinwesens. Aufrechterhaltung der
(ISO 22313:2012). Lignes directrices (ISO 22313:2012). Betriebsfähigkeit. Leitlinie
(ISO 22313:2012).
Esta norma europea ha sido aprobada por CEN el 2014-10-18.
Los miembros de CEN están sometidos al Reglamento Interior de CEN/CENELEC que define las
condiciones dentro de las cuales debe adoptarse, sin modificación, la norma europea como norma
nacional. Las correspondientes listas actualizadas y las referencias bibliográficas relativas a estas
normas nacionales pueden obtenerse en el Centro de Gestión de CEN/CENELEC, o a través de sus
miembros.
Esta norma europea existe en tres versiones oficiales (alemán, francés e inglés). Una versión en otra
lengua realizada bajo la responsabilidad de un miembro de CEN en su idioma nacional, y notificada al
Centro de Gestión de CEN/CENELEC, tiene el mismo rango que aquéllas.
Los miembros de CEN son los organismos nacionales de normalización de los países siguientes:
Alemania, Antigua República Yugoslava de Macedonia, Austria, Bélgica, Bulgaria, Chipre, Croacia,
Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia,
Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido,
República Checa, Rumanía, Suecia, Suiza y Turquía.
COMITÉ EUROPEO DE NORMALIZACIÓN

European Committee for Standardization
Comité Européen de Normalisation
Europäisches Komitee für Normung
CENTRO DE GESTIÓN: Rue de la Science, 23, B-1040 Brussels, Belgium
 2014 CEN. Derechos de reproducción reservados a los Miembros de CEN.
UNE-EN ISO 22313:2015 -4-
Índice
Prólogo europeo .................................................................................................................................6
Declaración ...........................................................................................................................................6
Prólogo ...................................................................................................................................................7
0 Introducción ........................................................................................................................8
1 Objeto y campo de aplicación..................................................................................... 13
2 Normas para consulta ................................................................................................... 14
3 Términos y definiciones............................................................................................... 14
4 Contexto de la organización ....................................................................................... 14

4.1 Entendimiento de la organización y su contexto ................................................ 14
4.2 Entendimiento de las necesidades y expectativas de las partes
interesadas ....................................................................................................................... 15
4.3 Determinación del campo de aplicación del sistema de gestión ................... 17
4.4 Sistema de gestión de la continuidad del negocio .............................................. 18
5 Liderazgo ........................................................................................................................... 18
5.1 Liderazgo y compromiso.............................................................................................. 18
5.2 Compromiso de la dirección ....................................................................................... 18
5.3 Política ................................................................................................................................ 19
5.4 Funciones, responsabilidades y autoridad de las organizaciones ............... 20
6 Planificación ..................................................................................................................... 21
6.1 Acciones para cubrir riesgos y oportunidades .................................................... 21
6.2 Objetivos de la continuidad del negocio y planes para conseguirlos .......... 21
7 Apoyo .................................................................................................................................. 22
7.1 Recursos............................................................................................................................. 22
7.2 Competencia ..................................................................................................................... 23
7.3 Concienciación................................................................................................................. 25
7.4 Comunicación .................................................................................................................. 27
7.5 Información documentada.......................................................................................... 27
8 Operación .......................................................................................................................... 30
8.1 Planificación y control operacional ......................................................................... 30
8.2 Análisis de impacto en el negocio y valoración del riesgo .............................. 34
8.3 Estrategia de continuidad del negocio.................................................................... 38
8.4 Establecimiento e implantación de procedimientos de continuidad
del negocio ........................................................................................................................ 48
8.5 Pruebas y ensayos .......................................................................................................... 60
9 Evaluación del rendimiento ....................................................................................... 63

9.1 Supervisión, medición, análisis y evaluación ....................................................... 63
9.2 Auditoría interna ............................................................................................................ 66
9.3 Revisión de la gestión ................................................................................................... 67
-5- UNE-EN ISO 22313:2015
10 Mejora ................................................................................................................................. 68
10.1 No conformidad y acción correctora ....................................................................... 68
10.2 Mejora continua .............................................................................................................. 69
Bibliografía ........................................................................................................................................ 71
UNE-EN ISO 22313:2015 -6-
Prólogo europeo
El texto de la Norma ISO 22313:2012 del Comité Técnico ISO/TC 223 Seguridad de los ciudadanos, de la
Organización Internacional de Normalización (ISO), ha sido adoptado como Norma EN ISO 22313:2014
por el Comité Técnico CEN/TC 391 Protección y seguridad de los ciudadanos, cuya Secretaría desempeña
NEN.
Esta norma europea debe recibir el rango de norma nacional mediante la publicación de un texto
idéntico a ella o mediante ratificación antes de finales de mayo de 2015, y todas las normas nacionales
técnicamente divergentes deben anularse antes de finales de mayo de 2015.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento estén
sujetos a derechos de patente. CEN y/o CENELEC no es(son) responsable(s) de la identificación de
dichos derechos de patente.
De acuerdo con el Reglamento Interior de CEN/CENELEC, están obligados a adoptar esta norma europea
los organismos de normalización de los siguientes países: Alemania, Antigua República Yugoslava de
Macedonia, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España,
Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo,
Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumanía, Suecia, Suiza y
Turquía.
Declaración
El texto de la Norma ISO ISO 22313:2012 ha sido aprobado por CEN como Norma EN ISO 22313:2014
sin ninguna modificación.
-7- UNE-EN ISO 22313:2015
Prólogo
ISO (Organización Internacional de Normalización) es una federación mundial de organismos

nacionales de normalización (organismos miembros de ISO). El trabajo de preparación de las normas
internacionales normalmente se realiza a través de los comités técnicos de ISO. Cada organismo
miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho
de estar representado en dicho comité. Las organizaciones internacionales, públicas y privadas, en
coordinación con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión
Electrotécnica Internacional (IEC) en todas las materias de normalización electrotécnica.
Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las
Directivas ISO/IEC.
La tarea principal de los comités técnicos es preparar normas internacionales. Los proyectos de normas
internacionales adoptados por los comités técnicos se envían a los organismos miembros para votación.
La publicación como norma internacional requiere la aprobación por al menos el 75% de los organismos
miembros que emiten voto.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera
o todos los derechos de patente.
La Norma ISO 22313 fue preparada por el Comité Técnico ISO/TC 223, Seguridad de los ciudadanos.
Con fines de investigación, invitamos a los usuarios de la Norma ISO 22313:2012 a compartir sus
impresiones y sus prioridades para los cambios en futuras ediciones del documento. A continuación
encontrará un enlace a la encuesta online:
http://www.surveymonkey.com/s/22313
UNE-EN ISO 22313:2015 -8-
0 Introducción
Generalidades
Esta norma internacional proporciona directrices, cuando sea adecuado, sobre los requisitos especifi-
cados en la Norma ISO 22301:2012, así como recomendaciones ("debería") y autorizaciones ("puede")
con respecto a tales directrices. Esta norma internacional no tiene la intención de proporcionar
directrices generales sobre todos los aspectos de la continuidad del negocio.
Esta norma internacional incluye los mismos encabezamientos que la Norma ISO 22301, pero no repite
los requisitos de los sistemas de gestión de la continuidad del negocio y sus términos y definiciones
asociados. Las organizaciones que deseen estar informadas sobre tales requisitos deben consultar las
Normas ISO 22301 e ISO 22300.
Para facilitar aclaraciones y explicaciones adicionales de los puntos clave, esta norma internacional
incluye un determinado número de figuras. Todas esas figuras únicamente tienen fines ilustrativos y el
texto asociado tiene su precedente en el cuerpo de esta norma internacional.
Un sistema de gestión de la continuidad del negocio (SGCN) subraya la importancia de:
– el entendimiento de las necesidades de la organización y de la necesidad de establecer la política y

los objetivos de la continuidad del negocio;
– la implantación y la aplicación de controles y medidas para gestionar la capacidad global de la

organización para hacer frente a incidentes disruptivos;
– la supervisión y revisión del rendimiento y la eficacia del SGCN; y
– la mejora continua basada en mediciones objetivas.
Un SGCN, como cualquier otro sistema de gestión, tiene los siguientes componentes fundamentales:
a) una política;
b) personas con responsabilidades definidas;
c) procesos de gestión asociados a:
1) la política,
2) la planificación,
3) la implantación y la operación,
4) la evaluación del rendimiento,
5) la revisión por la dirección, y
6) la mejora,
-9- UNE-EN ISO 22313:2015
d) un conjunto de documentos que proporcionan pruebas auditables; y
e) todos los procesos de SGCN relevantes para la organización.
Normalmente, la continuidad del negocio es un asunto específico de una organización, sin embargo, su
implantación puede tener implicaciones de gran alcance sobre la comunidad en su conjunto y sobre
otras terceras partes. Es probable que una organización tenga organizaciones externas de las que
dependa y habrá otras organizaciones que dependan de ella. Por ello, una continuidad del negocio
efectiva contribuye a una sociedad más elástica.
El ciclo "Planificar-Hacer-Verificar-Actuar" (PDCA)
Esta norma internacional aplica el ciclo "Planificar-Hacer-Verificar-Actuar" [conocido por sus siglas en
inglés PDCA (Plan-Do-Chech-Act)] para planificar, establecer, implantar, operar, monitorizar, revisar,
mantener y mejorar continuamente la eficacia del SGCN de una organización.
La figura 1 muestra cómo el SGCN toma los requisitos de las partes interesadas como entradas para la
gestión de la continuidad del negocio (GCN) y, a través de las acciones y los procesos necesarios, produce
resultados para la continuidad del negocio (es decir, continuidad del negocio gestionada) que cumplen
esos requisitos.
Figura 1 – Modelo PDCA aplicado a procesos de SGCN
UNE-EN ISO 22313:2015 - 10 -
Tabla 1 – Explicación del modelo PDCA
Planificar Establecer la política de continuidad del negocio, los objetivos, los controles, los procesos
(Establecer) y los procedimientos necesarios para mejorar la continuidad del negocio con el fin de
obtener resultados acordes con las políticas y objetivos generales de la organización.
Hacer Implantar y operar la política, los controles, los procesos y los procedimientos de
(Implantar y operar) continuidad del negocio.
Verificar Supervisar y revisar el rendimiento según los objetivos y la política de continuidad del
(Supervisar y revisar) negocio, informar de los resultados a la dirección de la organización para su revisión, y
determinar y autorizar las medidas para su corrección y mejora.
Actuar Mantener y mejorar el SGCN mediante la aplicación de medidas correctoras, basadas en
(Mantener y mejorar) los resultados de la revisión por la dirección de la organización, y reevaluando el alcance
del SGCN y la política y los objetivos de continuidad del negocio.
Componentes del modelo PDCA en esta norma internacional
Existe una relación directa entre el contenido de la figura 1 y los capítulos de esta norma internacional.
Tabla 2 – Relación entre el modelo PDCA y los capítulos 4 a 10
Componente PDCA Capítulo donde se trata el componente PDCA

Planificar Capítulo 4 (Contexto de la organización): Establece lo que la organización tiene que
(Establecer) hacer a fin de asegurar que el SGCN cumple sus requisitos, teniendo en cuenta todos los
factores externos e internos aplicables, incluyendo:
– las necesidades y expectativas de las partes interesadas;
– sus obligaciones legales y reglamentarias;
– el campo de aplicación requerido del SGCN.
Capítulo 5 (Liderazgo): Establece el papel esencial de la dirección en términos de
demostración de compromiso, definición de la política, y asignación de funciones,
responsabilidades y autoridad.
Capítulo 6 (Planificación): Describe las acciones que se requieren para establecer
objetivos estratégicos y dirigir los principios del SGCN como un todo. Establece el
contexto para el análisis de impacto en el negocio y la valoración del riesgo (8.2), así
como la estrategia de la continuidad del negocio (8.3).
Capítulo 7 (Apoyo): Identifica los elementos esenciales que se necesitan para apoyo del
SGCN, esto es: recursos, competencia, concienciación, comunicación e información
documentada.
Hacer Capítulo 8 (Operación): Identifica los elementos para la gestión de la continuidad del
(Implantar y operar) negocio (GCN) que se necesitan para conseguir la continuidad del negocio.
Verificar Capítulo 9 (Evaluación del rendimiento): Proporciona las bases para la mejora del
(Supervisar y revisar) SGCN a través de la medición y evaluación de su rendimiento.
Actuar Capítulo 10 (Mejora): Cubre las acciones correctoras necesarias para dirigir las no
(Mantener y mejorar) conformidades identificadas mediante la evaluación del rendimiento.
- 11 - UNE-EN ISO 22313:2015
Continuidad del negocio
La continuidad del negocio es la capacidad de la organización para continuar suministrando productos

o servicios a niveles predefinidos aceptables después de un incidente disruptivo. La gestión de la
continuidad del negocio (GCN) es el proceso que permite la continuidad del negocio, que prepara una
organización para tratar incidentes disruptivos que, en caso contrario, podrían impedir la consecución
de sus objetivos.
La colocación de la gestión de la continuidad del negocio (GCN) en el seno del marco y de las disciplinas
de un sistema de gestión crea un sistema de gestión de la continuidad del negocio (SGCN) que permite
que la GCN será controlada, evaluada y mejorada de forma continua.
En esta norma internacional, la palabra negocio se utiliza como un térmico muy amplio para las
operaciones y servicios realizados por una organización en busca de sus objetivos, metas o misiones.
También es igualmente aplicable a organizaciones grandes, medianas y pequeñas que operan en los
sectores industriales, comerciales, públicos, y altruistas.
Cualquier incidente, grande o pequeño, natural, accidental o provocado, tiene la posibilidad de causar
interrupciones importantes en las operaciones de la organización y en su capacidad de suministrar
productos y servicios. Sin embargo, la implantación de la continuidad del negocio antes de que se
produzca un incidente disruptivo, permitirá a la organización, en vez de esperar a que esto suceda,
continuar las operaciones antes de que se alcancen niveles de impacto inaceptables.
La GCN implica:
a) tener claro los productos y servicios esenciales de la organización y las actividades que los
proporcionan;
b) conocer las prioridades por reanudación de las actividades y los recursos que requieren;
c) tener un conocimiento claro de las amenazas contra estas actividades, incluyendo sus dependen-
cias, y sabiendo los impactos de no reanudarlas;
d) tener disposiciones probadas y de confianza in situ para reanudar estas actividades después de un
incidente disruptivo; y
e) tener la seguridad de que estas disposiciones se revisan y actualizan de manera rutinaria para que
sean eficaces en todas las circunstancias.
La continuidad del negocio puede ser eficaz tratando tanto incidentes disruptivos (por ejemplo, explo-
siones) como graduales (por ejemplo, pandemia gripal).
Las actividades se interrumpen a causa de una amplia variedad de incidentes, muchos de los cuales son
difíciles de predecir o de analizar. Centrándose en el impacto de la interrupción antes que en la causa, la
continuidad del negocio identifica aquellas actividades de las cuales depende la organización para su
supervivencia, y que le permiten determinar lo que requiere para continuar cumpliendo sus obliga-
ciones. A través de la continuidad del negocio, una organización puede reconocer lo que necesita hacer
para proteger sus recursos (por ejemplo, personas, edificios, tecnología e información), su cadena de
abastecimiento, sus partes interesadas y su reputación, antes de que se produzca un incidente disrup-
tivo. Con este reconocimiento, la organización puede tener una visión realista sobre las respuestas que
probablemente se necesiten cuando se produzca una interrupción, para que se pueda tener la seguridad
de gestionar las consecuencias y de evitar impactos inaceptables.
UNE-EN ISO 22313:2015 - 12 -
Una organización con una continuidad del negocio apropiada también puede tener la ventaja de
disponer de oportunidades que, en caso contrario, se podría juzgar como un riesgo demasiado elevado.
La finalidad de los diagramas siguientes (figuras 2 y 3) es ilustrar conceptualmente cómo la continuidad

del negocio puede ser eficaz para mitigar impactos en determinadas situaciones. No se tienen en cuenta
plazos de tiempo particulares, debido a la distancia relativa entre las etapas representadas en ambos
diagramas.
Figura 2 – Ilustración de la eficacia de la continuidad del negocio

para interrupciones imprevistas
- 13 - UNE-EN ISO 22313:2015
Figura 3 – Ilustración de la eficacia de la continuidad del negocio para interrupciones

graduales (por ejemplo, pandemia próxima)
1 Objeto y campo de aplicación

Esta norma internacional para sistemas de gestión de la continuidad del negocia proporciona directrices
basadas en buenas experiencias internacionales, para la planificación, establecimiento, implantación,
operación, supervisión, revisión, mantenimiento y mejora continua de un sistema de gestión documen-
tado que permite a las organizaciones prepararse para, responder a, y recuperarse de incidentes disrup-
tivos cuando estos se producen.
Esta norma internacional no pretende establecer una estructura uniforme para un SGCN, sino que una
organización diseñe un SGCN que sea apropiado a sus necesidades y que cumpla los requisitos de sus
partes interesadas. Estas necesidades se modelan de acuerdo con requisitos legales, reglamentarios,
organizacionales e industriales, con los productos y los servicios, con los procesos empleados, con el
entorno ambiental en que opera, con el tamaño y la estructura de la organización, y con los requisitos
de sus partes interesadas.
Esta norma internacional es genérica y aplicable a todos los tamaños y tipos de organizaciones, incluidas
organizaciones grandes, medianas y pequeñas que operen en sectores industriales, comerciales,
públicos y altruistas, que deseen:
a) establecer, implantar, mantener y mejorar un SGCN;
b) asegurar la conformidad con la política de continuidad del negocio de la organización; y
UNE-EN ISO 22313:2015 - 14 -
c) hacer una autodeterminación y una autodeclaración de conformidad con esta norma internacional.
Esta norma internacional no se puede utilizar para evaluar la capacidad de una organización para
cumplir sus propias necesidades de continuidad del negocio, ni las necesidades legales o reglamentarias
de cualquier cliente. Las organizaciones que deseen hacer esto, pueden utilizar los requisitos de la
Norma ISO 22301 para demostrar la conformidad o buscar la certificación de su SGCN por un organismo
acreditado de certificación por tercera parte.
2 Normas para consulta

Las normas que a continuación se indican son indispensables para la aplicación de esta norma. Para las
referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última
edición de la norma (incluyendo cualquier modificación de ésta).
ISO 22300, Protección y seguridad de los ciudadanos. Terminología.
ISO 22301, Protección y seguridad de los ciudadanos. Sistema de Gestión de la Continuidad del Negocio.
Especificaciones.
3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones incluidos en las Normas
ISO 22300 e ISO 22301.
4 Contexto de la organización
4.1 Entendimiento de la organización y su contexto

Esta sección trata sobre el entendimiento del contexto de la organización en relación con el estable-
cimiento y gestión del SGCN. El establecimiento y la gestión del SGCN lo cubre el apartado 8.1.
La organización debería evaluar y entender los factores internos y externos que son relevantes para su
finalidad y sus operaciones. Esta información se debería tener en cuenta al establecer, implantar,
mantener y mejorar el SGCN de la organización, y al asignar prioridades.
La evaluación del contexto externo de la organización debería incluir, cuando corresponda, los siguien-
tes factores:
– el entorno político, legal y reglamentario si es de nivel internacional, nacional, regional o local;
– el entorno social y cultural, financiero, tecnológico, económico, natural y competitivo, si es de nivel

internacional, nacional, regional o local;
– los compromisos y relaciones de la cadena de abastecimiento;
– la consideración de estudios internos sobre los riesgos, teniendo en cuenta otros sistemas de gestión
de la información aplicables, y más generalmente, cualquier información procedente del entendi-
miento de la gestión;
- 15 - UNE-EN ISO 22313:2015
– impulsores y tendencias esenciales que tengan impacto sobre los objetivos y el funcionamiento de la
organización; y
– relaciones con, y percepciones y valores de, partes interesadas externas a la organización.
La evaluación del contexto interno de la organización debería incluir, cuando corresponda, los siguien-
tes factores:
– productos y servicios, actividades, recursos, cadenas de abastecimiento y relaciones con las partes
interesadas;
– las facilidades, entendidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo,
personas, procesos, sistemas y tecnologías);
– sistemas de información, flujos de información, y procesos de toma de decisiones (tanto formales

como informales);
– partes interesadas dentro de la organización;
– políticas y objetivos, y las estrategias aplicadas para conseguirlos;
– oportunidades futuras y prioridades del negocio;
– percepciones, valores y cultura;
– normas y modelos de referencia adoptados por la organización;
– estructuras (por ejemplo, gobierno, funciones y responsabilidades).
4.2 Entendimiento de las necesidades y expectativas de las partes interesadas
4.2.1 Generalidades
Al establecer su SGCN, la organización debería garantizar que se toman en consideración las necesidades
y requisitos de las partes interesadas.
La organización debería identificar todas las partes interesadas que son de importancia para su SGCN y,
en base a sus necesidades y expectativas, determinar sus requisitos. Es importante identificar no solo
los requisitos obligatorios y declarados, sino también cualquier otro requisito implicado.
NOTA La organización necesita estar enterada de todas aquellas partes que tienen un interés en la organización, tales como
los medios de comunicación, el público cercano, los competidores y demás.
Al planificar e implantar el SGCN, no solo es importante identificar las acciones que sean apropiadas con
respecto a las partes interesadas, sino también diferenciar entre categorías diferentes. Por ejemplo,
aunque después de un incidente disruptivo puede ser adecuado comunicar con todas las partes intere-
sadas, puede no serlo comunicar con todas las partes interesadas cuando se estable y gestiona una GCN
(8.1.1).
UNE-EN ISO 22313:2015 - 16 -
Figura 4 – Ejemplos de partes interesadas a considerar en sectores públicos y privados
4.2.2 Requisitos legales y reglamentarios

Todos los sistemas de gestión deberían funcionar dentro del marco de entornos legales y reglamentarios
en los que opera la organización. Por tanto, la organización debería identificar e incluir en su SGCN todos
los requisitos legales y reglamentarios importantes y aplicables a los que se suscribe, así como las nece-
sidades de las partes interesadas.
La información relativa a estos requisitos se debería documentar y mantener actualizada. Los requisitos
nuevos o las variaciones a los requisitos legales, reglamentarios y de otros tipos se deberían comunicar
a los empleados y a las demás partes interesadas.
Al establecer, implantar y mantener el SGCN, la organización debería tener en cuenta y documentar los
requisitos legales aplicables, otros requisitos a los que esté suscrita, y las necesidades de las partes
interesadas.
La organización debería garantizar que su SGCN opera dentro, y en apoyo, de sus obligaciones legales y
de los requisitos relevantes de las partes interesadas.
La organización debería revisar los requisitos legales y reglamentarios en vigor y los pendientes en sus
localizaciones, lo cual puede incluir:
a) respuesta a incidentes: incluyendo la gestión de emergencias y la legislación sobre salud, seguridad

y bienestar;
- 17 - UNE-EN ISO 22313:2015
b) continuidad: que puede especificar el campo de aplicación del programa o la amplitud o la velocidad
de respuesta;
c) riesgo: requisitos que definen el campo de aplicación o los métodos de un programa de gestión de
riesgos; y
d) peligros: requisitos de operación relativos a materiales peligrosos almacenados en una localización.
NOTA Las organizaciones que operan en múltiples localizaciones, con frecuencia tienen que satisfacer los requisitos de juris-
dicciones diferentes.
4.3 Determinación del campo de aplicación del sistema de gestión
4.3.1 Generalidades
La organización debería determinar el campo de aplicación del SGCN y asegurarse de que se puede
comunicar de manera adecuada a las partes interesadas. Es importante que los límites y la aplicabilidad
del SGCN sean claramente aparentes y que el campo de aplicación tenga en cuenta los resultados identi-
ficados en los apartados 4.1 y 4.2.
El campo de aplicación determina los productos y servicios, las localizaciones, las funciones, los
procesos y las actividades a los que se aplica el SGCN. Persigue que todas las dependencias han de estar
en el campo de aplicación, aunque no estén explícitamente identificadas en la declaración del campo de
aplicación. Por ejemplo, si la "remuneración de empleado" está especificada en el campo de aplicación,
entonces, por defecto la disponibilidad de fondos, la aprobación de la gestión y las instrucciones para la
institución financiera para realizar los pagos también deberían estar incluidas dentro del campo de
aplicación.
La organización debería documentar con claridad el campo de aplicación y el contexto del SGCN.
4.3.2 Campo de aplicación del SGCN

La organización debería, de una manera adecuada y en términos apropiados al tamaño, la naturaleza, y
la complejidad de la organización, definir y documentar el campo de aplicación del SGCN.
El campo de aplicación debería:
a) identificar las partes de la organización incluidas en el SGCN;
b) establecer los requisitos del SGCN de la organización teniendo en cuenta su misión, metas, respon-
sabilidades legales y obligaciones internas y externas;
c) identificar los productos y servicios de la organización de una manera que permita que todas las
actividades, recursos y cadenas de abastecimiento estén identificadas; y
d) tener en cuenta las necesidades e intereses de las partes interesadas.
El campo de aplicación también puede:
– incluir una indicación de la escala de incidentes que cubre el SGCN y la apetencia de riesgos de la
organización; y
UNE-EN ISO 22313:2015 - 18 -
– identificar cómo el SGCN establece la estrategia general de gestión de riesgos de la organización (si
existe).
Cuando una parte de una organización quede excluida del campo de aplicación de su SGCN, la organi-
zación debería documentar y explicar la exclusión.
La finalidad de definir el campo de aplicación es asegurar la cobertura de todas las actividades, localiza-
ciones y proveedores principales (8.2.1, figura 6).
4.4 Sistema de gestión de la continuidad del negocio

Es una referencia normativa a la Norma ISO 22301:2012 que especifica los requisitos para un SGCN. No
se proporcionan directrices.
5 Liderazgo
5.1 Liderazgo y compromiso

Todos los niveles de dirección aplicables de la organización deberían demostrar su compromiso y
liderazgo en la implantación de la política y los objetivos de la continuidad del negocio. La demostración
se puede conseguir aplicando motivaciones, obligaciones y autorizaciones.
5.2 Compromiso de la dirección

La alta dirección debería demostrar su compromiso con el SGCN.
La alta dirección debería proporcionar evidencias de su compromiso con el desarrollo e implantación

del SGCN, y la mejora continua de su efectividad, mediante:
a) el cumplimiento de los requisitos legales aplicables y de otros requisitos que la organización

suscribe (4.2.2);
b) la integración de los procesos del SGCN en los procedimientos de mantenimiento y de revisión

establecidos en la organización;
c) el establecimiento de políticas y objetivos de continuidad del negocio en línea con los objetivos,
obligaciones y dirección estratégica de la organización (5.3);
d) la designación de una o varias personas con la autoridad y competencias apropiadas para ser
responsables del SGCN y responsables de su funcionamiento eficaz (5.4);
e) asegurando que se establecen las funciones, responsabilidades y competencias del SGCN (5.4);
f) asegurando la disponibilidad de recursos suficientes, incluyendo niveles apropiados de provisión

de fondos (7.1);
g) la comunicación a la organización de la importancia de cumplir la política y los objetivos de

continuidad del negocio (7.4);
h) la participación activa en las pruebas y ensayos (8.5);
- 19 - UNE-EN ISO 22313:2015
i) asegurando que se realizan auditorías internas del SGCN (9.2);
j) la realización de revisiones de gestión efectivas del SGCN (9.3); y
k) dirigiendo y apoyando la mejora del SGCN (capítulo 10).
El compromiso de la dirección también se puede demostrar mediante:
– la implicación operacional a través de grupos de dirección;
– la inclusión de la continuidad del negocio en las reuniones de dirección como un asunto permanente.
5.3 Política
La alta dirección debería definir la política de continuidad del negocio en términos de objetivos de la
organización y de sus obligaciones, y asegurarse de que:
– es apropiada para la finalidad de la organización (en función de su tamaño, naturaleza, y complejidad

y en orden a reflejar su cultura, dependencias y entorno de funcionamiento);
– proporciona un marco para establecer el objetivo;
– incluye compromisos claros con respecto a requisitos aplicables, incluidas las obligaciones legales y
reglamentarias y la mejora continua del SGCN;
– es comunicada y entendida dentro de la organización;
– es complementaria a otras políticas aplicables; y
– está disponible para las partes interesadas aprobadas por la dirección.
Se deberían aplicar disposiciones adecuadas para aprobar la política, retener la información documen-
tada sobre ésta, y revisarla periódicamente (por ejemplo, anualmente), y cuando se produzcan cambios
significativos en factores internos o externos (por ejemplo, cambio en la alta dirección o introducción
de nueva legislación). La idoneidad de tales disposiciones dependerá del tamaño, complejidad, natura-
leza y amplitud de la organización.
La política también debería:
– proporcionar dirección sobre el campo de aplicación y los límites de la continuidad del negocio de la
organización, incluidas las limitaciones y exclusiones;
– identificar toda la autoridad y las delegaciones requeridas, incluyendo la persona o personas respon-
sables del SGCN de la organización;
– establecer los criterios del tipo y escala de incidentes a cubrir; y
– incluir referencias a normas, directrices, reglamentos o políticas que el SGCN debería considerar o
satisfacer.
UNE-EN ISO 22313:2015 - 20 -
La política de continuidad del negocio puede contener lo siguiente:
– términos esenciales;
– compromiso de provisión de fondos;
– referencias a otras políticas relacionadas;
– un requisito para implantar la continuidad del negocio;
– un requisito para probar y mantener la continuidad del negocio.
5.4 Funciones, responsabilidades y autoridad de las organizaciones

La alta dirección debería asegurar la asignación y comunicación de responsabilidades y autoridad den-
tro del SGCN.
Un miembro de la alta dirección debería tener la responsabilidad general del SGCN.
La alta dirección de la organización debería designar a uno o varios representantes de dirección especí-
ficos que, con independencia de otras responsabilidades, deberían tener funciones, responsabilidades y
autoridad definidas para:
– asegurar que el SGCN se establece, implanta y mantiene de acuerdo con la política de continuidad del
negocio;
– informar a la alta dirección del rendimiento del SGCN para su revisión y en base a la realización de
mejoras;
– promover la concienciación de la continuidad del negocio en toda la organización; y
– garantizar la efectividad de los procedimientos desarrollados para dar respuesta a los incidentes,
pero no necesariamente en su implantación durante un incidente.
El representante de la dirección puede:
– ser reconocido como el "director de la continuidad del negocio";
– mantener otras responsabilidades dentro de la organización; y
– residir en muchas áreas de una organización dependiendo del tamaño, escala y complejidad de ésta.
Los representantes de cada función o localización de la organización pueden estar identificados para
asistir a la implantación del SGCN. Sus funciones, responsabilidades y autoridad se deberían integrar en
las descripciones de puesto de trabajo, que se pueden reforzar incluyéndolas en la política de valoración,
gratificación y reconocimiento de la organización.
La alta dirección puede designar otros organismos, por ejemplo, un comité de dirección, para inspeccio-
nar la implantación y la supervisión progresiva del SGCN.
- 21 - UNE-EN ISO 22313:2015
Todas las funciones, responsabilidades y autoridad para el SGCN deberían estar definidas y documen-
tadas, y se deben someter a auditoría.
6 Planificación
6.1 Acciones para cubrir riesgos y oportunidades

La organización debería determinar cuántos factores identificados en el apartado 4.1 y requisitos del
apartado 4.2 se cubrirán.
Esto debería implicar la necesidad de un plan de acción para:
– prevenir resultados no previstos;
– aprovechar los beneficios de algunas oportunidades para mejorar el SGCN.
Si es necesario, también debería:
– integrar e implantar estas acciones en el proceso del SGCN (8.1); y
– garantizar que la información documentada estará disponible para ser evaluada si las acciones han
sido eficaces (7.5).
6.2 Objetivos de la continuidad del negocio y planes para conseguirlos

Se debería redactar un plan para establecer y gestionar la GCN (como se establece en el capítulo 8) que
debería identificar las responsabilidades y los objetivos apropiado y realistas para completar las tareas.
El plan se debería basar en la continuidad de los objetivos que se han fijado y comunicado a los niveles
y funciones apropiados dentro de la organización. El progreso del plan se debería supervisar y docu-
mentar.
Este plan se debería someter a revisión, y puede ser necesario actualizarlo regularmente a medida que
evoluciona el SGCN.
A continuación se indican ejemplos de objetivos de la continuidad del negocio que, en determinadas

circunstancias, pueden cumplir los requisitos especificados en la Norma ISO 22301:
– "establecer un SGCN que sea coherente con la Norma ISO 22313, por fecha";
– "conseguir la certificación con respecto a la Norma ISO 22301:2012, por fecha";
– "por fecha, tendremos la continuidad del negocio in situ que satisfaga nuestras obligaciones con los
clientes esenciales"; y
– "tener el GCN in situ que proteja a los productos y servicios esenciales por fecha".
UNE-EN ISO 22313:2015 - 22 -
7 Apoyo
7.1 Recursos
7.1.1 Generalidades
La organización debería determinar y proporcionar los recursos necesarios para el SGCN que:
a) alcanzará su política y objetivos de continuidad del negocio;
b) cumplirá los cambios de objetivos de la organización;
c) permitirá la comunicación efectiva sobre asuntos del sistema de gestión de la continuidad del nego-
cio, externa e internamente; y
d) proporcionará el funcionamiento progresivo y la mejora continua del sistema de gestión de la conti-

nuidad del negocio.
Esto se debería proporcionar de una manera eficiente y oportuna.
7.1.2 Recursos para el SGCN

Cuando se identifiquen los recursos requeridos por el SGCN, la organización debería preparar la adecua-
da provisión de:
a) personal y recursos relacionados con el personal, incluyendo:
1) el tiempo necesario para cumplir las funciones y las responsabilidades del SGCN,
2) formación, educación, concienciación y prueba,
3) dirección del personal del SGCN,
b) instalaciones, incluyendo las ubicaciones y la infraestructura para el trabajo;
c) tecnología de la información y de las comunicaciones (ICT), incluidas las aplicaciones que soportan
una gestión del programa eficaz y eficiente;
d) gestión y control de todos los impresos de información documentada;
e) comunicación con las partes interesadas (véase la figura 4); y
f) finanzas y provisión de fondos.
Los recursos y su asignación se deberían revisar periódicamente con objeto de garantizar su idoneidad.
Puede ser apropiado que la alta dirección se implique en esta revisión.
7.1.3 Personal para respuesta a incidentes

La organización debería designar personal para dar respuesta a incidentes, dándoles la necesaria res-
ponsabilidad, autoridad y competencia para gestionar un incidente.
- 23 - UNE-EN ISO 22313:2015
El personal para respuesta a incidentes debería constituir un grupo que sea responsable de gestionar
cualquier incidente disruptivo que impacte o que tenga el potencial de impactar significativamente en
la organización.
El personal se puede asignar a equipos de acuerdo con la competencia demostrada al tratar aspectos
diferentes de respuesta a incidentes, por ejemplo:
– gestión de incidentes/gestión estratégica (8.4.4.3.1);
– comunicaciones (8.4.4.3.2);
– seguridad y bienestar (8.4.4.3.3);
– salvamento y seguridad (8.4.4.3.4);
– reanudación de actividades (8.4.4.3.5);
– recuperación de la ICT (8.4.4.3.6).
Todo el personal que esté incluido en estos grupos debería tener sus responsabilidades y su autoridad
claramente definidas, para ser aplicadas antes, durante y después de un incidente.
7.2 Competencia
La organización debería establecer un sistema adecuado y eficaz para gestionar la competencia de las
personas que contratan trabajos de SGCN bajo su control.
La dirección debería determinar las competencias que se requieren para todas las funciones del SGCN,
así como las responsabilidades y la concienciación, el conocimiento, el entendimiento, los perfiles y la
experiencia que se necesitan para satisfacerlas. Todas las personas con funciones asignadas dentro de
la organización deberían demostrar la competencia requerida y que están dotados de formación,
educación, desarrollo y otros apoyos para desempeñarlas. Esto puede ser tratado con un programa de
desarrollo de competencias, que puede incluir:
– evaluación de competencias para la o las funciones a desempeñar;
– creación de un programa de desarrollo personal que identifique la formación, la educación, el desa-

rrollo y otros apoyos necesarios para conseguir competencias;
– provisión de formación y capacitación que incluya la selección de métodos y materiales adecuados;
– compartir conocimientos;
– compartir trabajos;
– contratación de personas competentes;
– formación de los grupos de trabajo;
– documentación y supervisión de la formación recibida;
UNE-EN ISO 22313:2015 - 24 -
– evaluación de la formación recibida con respecto a las necesidades y requisitos de formación definida
a fin de verificar la conformidad con los requisitos de formación del SGCN; y
– mejora del programa de desarrollo a medida que se necesite.
La organización debería disponer de un proceso para identificar y proporcionar los requisitos de forma-
ción continua del negocio de todos los participantes y evaluar la eficacia de su suministro.
Los tipos de formación que pueden ser apropiados para funciones específicas son los siguientes:
a) Establecimiento y dirección del SGCN:
1) establecer y dirigir el SGCN,
2) realizar un análisis de impactos en el negocio,
3) valoración del riesgo,
4) perfiles de comunicaciones,
5) desarrollo e implantación de la documentación de la continuidad del negocio,
6) poner en marcha un programa de pruebas,
b) respuesta a incidentes y recuperación del negocio:
1) evaluación del incidente,
2) dirección de la evacuación y refugio in situ, incluyendo los procesos de presentación para

recuento de empleados,
3) disposición de lugares de trabajo alternativos, y
4) tratamiento de las consultas de los medios de comunicación.
Los niveles de respuesta y la competencia en toda la organización se deberían desarrollar mediante una
formación práctica, que incluya la participación activa en pruebas.
Los equipos de respuesta y recuperación deberían recibir educación y formación sobre sus responsabi-
lidades y obligaciones, que incluyan interacciones con los primeros en responder y con otras partes
interesadas. Los equipos deberían recibir formación a intervalos regulares (al menos anualmente), y se
deberían formar nuevos miembros cuando reúnan la estructura de respuesta. Estos equipos también
deberían recibir formación sobre prevención de incidentes que puedan llegar a convertirse en crisis.
Los cambios en el entorno y en las operaciones del negocio afectan al enfoque y a la manera en que las
actividades de la continuidad del negocio están planificadas, diseñadas e implantadas. La organización
puede demostrar concienciación de las tendencias de la GCN mediante, por ejemplo, participación activa
en actividades de GCN en la industria, que pueden incluir:
– miembros de un grupo de interés industrial;
– miembros de comité de organización de conferencias;
- 25 - UNE-EN ISO 22313:2015
– llevar a cabo presentaciones en conferencias y seminarios; y
– asistencia a conferencias de GCN locales o globales.
La demostración de la participación activa puede ser en una o más de las siguientes maneras:
– miembro de comité de organización de conferencias y seminarios; y
– presentación de papel en conferencias y seminarios.
La competencia se puede reforzar mediante cualquiera de las acciones siguientes:
– integración de los objetivos y logros del SGCN en el proceso de gratificación y reconocimiento de la

organización;
– integración de los objetivos y logros del SGCN en el rendimiento de la organización y en el proceso

de evaluación;
– integración de las funciones, responsabilidades y autoridad dentro de las descripciones de trabajo de

la organización y del conjunto de perfiles; y
– participación activa de los usuarios del negocio y de la alta dirección en los ejercicios de repetición,
pruebas y ensayos.
La organización debería establecer programas de formación y de concienciación para todos los emplea-
dos reales que se pueden ver afectados por un incidente disruptivo, y requerir que los contratistas
trabajen en su nombre para demostrar que la(s) persona(s) que trabajan bajo su control tienen el
requisito de competencia para el SGCN y las funciones de respuesta que ellos realizarán.
7.3 Concienciación
Las personas que trabajan bajo el control de la organización deberían tener la apropiada concienciación
del SGCN.
En tales personas se puede incluir el personal de dirección, los contratistas, y los proveedores. Ellos
deberían conocer la política de continuidad del negocio y:
– sus funciones y responsabilidad con respecto a la prevención, detección, mitigación, autoprotección,

evacuación, respuesta, continuidad y recuperación de incidentes;
– la importancia de la conformidad con la política y los procedimientos de continuidad del negocio;
– las implicaciones de los cambios en el funcionamiento de la organización;
– su contribución a la eficacia del SGCN, incluyendo los beneficios del rendimiento mejorado de la GCN; y
– sus funciones y responsabilidades en la consecución de la conformidad con sus requisitos.
La organización debería crear, promocionar e implantar una cultura dentro de la organización que:
UNE-EN ISO 22313:2015 - 26 -
– llegue a ser parte de los valores esenciales de la organización y de la dirección; y
– hacer que las partes interesadas se enteren de la política de continuidad del negocio, y de sus funcio-
nes en procedimientos asociados.
Una organización que tenga una cultura positiva de continuidad del negocio:
– desarrollará la continuidad del negocio de manera más eficaz;
– infundirá confianza en sus partes interesadas (especialmente el personal y los clientes) en su capa-
cidad para tratar los incidentes disruptivos;
– aumentará su resiliencia en el tiempo asegurando que las implicaciones de la continuidad del negocio
se tienen en consideración en decisiones a todos los niveles; y
– minimizará la probabilidad y el impacto de interrupciones.
El desarrollo de una cultura de continuidad del negocio (CN) es apoyado por:
– la implicación de todo el personal de la organización;
– el liderazgo dispersado por la organización;
– la asignación de responsabilidades;
– la medición basada en indicadores de rendimiento;
– la integración de la continuidad del negocio en las prácticas normales de la dirección;
– el crecimiento de la concienciación;
– la formación de perfiles de conocimientos; y
– ejercitando planes de continuidad del negocio.
Un programa de concienciación puede incluir:
– un proceso de consultas con el personal en toda la organización respecto al establecimiento y

dirección de la GCN;
– la discusión de la continuidad del negocio en los boletines informativos, reuniones de trabajo, progra-
mas de introducción o periódicos o revistas (incluida la orientación para nuevos empleados);
– la inclusión de la continuidad del negocio en las páginas web aplicables;
– la inclusión de la GCN como un tópico en las reuniones de trabajo del personal y del equipo de
dirección;
– la publicación selectiva de informes posteriores a los incidentes;
– reuniones de la alta dirección;
- 27 - UNE-EN ISO 22313:2015
– visitas a localizaciones alternativas designadas (por ejemplo, lugar de recuperación); y
– reuniones con proveedores y distribuidores principales sobre las disposiciones de continuidad del
negocio de la organización.
7.4 Comunicación
Cuando se establece y gestiona el SGCN, la organización debería disponer de procedimientos efectivos
de consulta y comunicación para el intercambio de información con las partes interesadas.
Estos procedimientos deberían incluir todo lo siguiente:
a) comunicación interna entre las partes interesadas, incluidos los empleados dentro de la organi-
zación;
b) comunicación externa con los clientes, los proveedores, la comunidad local, y otras partes intere-
sadas;
c) recepción, documentación, y respuesta a las comunicaciones procedentes de todas las partes inte-
resadas;
d) adaptación e integración de un sistema nacional o local de alerta de amenazas o equivalente en la

planificación y uso operacional, donde y cuando sea apropiado;
e) asegurar la disponibilidad de los medios de comunicación durante un incidente disruptivo;
f) asegurar la capacidad de la organización para comunicar con las autoridades externas y cuando sea
apropiado, asegurar que otras organizaciones y personal pueden comunicarse entre sí; y
g) hacer funcionar y ensayar los medios de comunicación previstos para ser utilizados durante la
interrupción de las comunicaciones normales.
La organización puede invitar a otros recursos externos que pueden estar implicados en la respuesta,
tales como bomberos, policía, sanidad pública y vendedores por tercera parte, para revisar con las
partes correspondientes de dirección sus procedimientos de continuidad del negocio.
La organización puede incluir referencias a su SGCN y disposiciones de continuidad del negocio en los
boletines informativos y en las reuniones de trabajo de los clientes.
La organización debería proporcionar comunicaciones externas efectivas como parte de su programa

de concienciación (7.3) y después de un incidente (8.4).
7.5 Información documentada
7.5.1 Generalidades
La información documentada proporciona la evidencia de la conformidad con los requisitos y del
funcionamiento efectivo de un sistema de gestión.
UNE-EN ISO 22313:2015 - 28 -
El término "procedimiento" significa un método especificado para llevar a cabo una actividad o un pro-
ceso. Un "procedimiento documentado" significa que el procedimiento se debería establecer y mantener
por cualquier medio.
Un solo documento puede cubrir los requisitos de uno o más procedimientos documentados, y un requi-
sito de un procedimiento documentado puede estar cubierto por más de un documento.
La información documentada requerida por esta norma internacional incluye:
– el contexto de la organización (4.1);
– los requisitos legales, reguladores y de otros tipo y la evidencia de que se cumplen (4.2.2);
– el campo de aplicación del SGCN y todas las exclusiones (4.3.2);
– la política de continuidad del negocio (5.3);
– los objetivos de la continuidad del negocio (6.2);
– la competencia (7.2);
– el proceso de valoración del riesgo y de análisis del impacto en el negocio (8.2);
– la estrategia de la continuidad del negocio (8.3), incluyendo las opciones de estrategia consideradas;
– los procedimientos de continuidad, de gestión del incidente y de recuperación (8.4);
– los informes de las pruebas (8.5);
– la supervisión del SGCN (9.1);
– las auditorías internas (9.2);
– las revisiones de la dirección (9.3);
– las no conformidades y las acciones correctoras (10.1).
Además, para garantizar la eficacia del SGCN se puede requerir la información documentada que cubra
a la siguiente información:
– contratos y niveles de servicio del cliente;
– resultados de los análisis de impacto en el negocio;
– resultados de las valoraciones del riesgo;
– determinación y selección de las estrategias de continuidad del negocio;
– resumen de la respuesta al incidente;
– programa de concienciación;
- 29 - UNE-EN ISO 22313:2015
– comunicaciones del SGCN y del incidente con el personal de dirección y con las partes interesadas,
tales como boletines informativos, notas y avisos de reuniones;
– programas de formación para la organización y para las personas;
– programación de pruebas;
– contratos y acuerdos del nivel de servicio con los proveedores;
– procedimientos de notificación y de respuesta con los contratistas y proveedores;
– evidencias de inspecciones, mantenimiento y calibraciones;
– informes de incidentes y de aciertos próximos;
– acta de reunión para revisión del SGCN.
7.5.2 Creación y actualización

Con objeto de satisfacer los requisitos de creación y actualización de la información documentada:
– toda información documentada debería incluir su identificación y descripción (por ejemplo, título,
nombre, fecha, autor, número, referencia de revisión, etc.);
– se deberían especificar los formatos aceptables (por ejemplo, idioma, versión de software, gráficos),
y el medio (por ejemplo, papel, electrónico) para la captación y presentación de la información
documentada debería estar claramente estipulado;
– toda la información documentada se debería revisar y aprobar en cuanto a su idoneidad.
La captación y presentación debería incluir el formato a utilizar (por ejemplo, idioma, versión de
software, gráficos) y el medio de soporte a utilizar (por ejemplo, papel, documento electrónico).
La amplitud de la información documentada para el SGCN puede variar entre organizaciones debido a
los factores siguientes:
– el tamaño de la organización, sus productos y servicios, y el tipo de actividades que realiza;
– la complejidad de las actividades y sus interacciones; y
– la competencia de las personas.
7.5.3 Control de la información documentada

Toda la información documentada requerida se debería controlar.
La finalidad del control de la documentación es garantizar que las organizaciones crean, mantienen y
protegen los documentos de una manera que sea apropiada y suficiente para implantar y operar el SGCN.
El enfoque principal debería ser sobre esta finalidad más que sobre el establecimiento de un sistema
complejo de control de documentos.
UNE-EN ISO 22313:2015 - 30 -
Como ejemplo de protección se incluye el impedir que los documentos puedan ser puestos en peligro,
modificados sin la correspondiente autorización y anulados accidentalmente.
Existen varios niveles y combinaciones de acceso que se pueden conceder, por ejemplo, solo ver, ver y
cambiar, y ver con restricciones.
Se debería establecer un procedimiento documentado para definir los controles que se necesitan para:
a) distribuir información documentada;
b) proporcionar acceso a información documentada (el acceso incluye, por ejemplo, los permisos y la
autoridad para ver o cambiar dicha información);
c) aprobar documentos en función de su idoneidad antes de editarlos;
d) revisar y actualizar a medida que sea necesario y volver a aprobar documentos;
e) garantizar que se identifican los cambios y el estado real de revisión de los documentos;
f) garantizar que las versiones correspondientes de los documentos aplicables se encuentran disponi-
bles en los puntos de utilización;
g) garantizar que los documentos permanecen legible y fácilmente identificables;
h) garantizar que los documentos de origen externo considerados por la organización como necesa-
rios para la planificación y operación del SGCN se identifican y que se controla su distribución;
i) impedir el uso imprevisto de documentos obsoletos e identificarlos adecuadamente si se conservan

para cualquier finalidad;
j) establecer parámetros de archivado y retención de documentos; y
k) garantizar la protección y la no revelación de la información confidencial.
Las organizaciones deben garantizar la integridad de la información documentada manteniéndola invio-

lable guardada de manera segura, solo accesible a personas autorizadas, y protegida contra daños, dete-
rioro o pérdida.
La organización debería cumplir en su totalidad la legislación y los reglamentos relativos a la retención

de información documentada, y establecer, implantar y mantener los procesos requeridos para conse-
guir la conformidad.
8 Operación
8.1 Planificación y control operacional

La organización debería determinar, planificar, implantar y controlar las acciones necesarias para cum-
plir su política y objetivos de continuidad del negocio y satisfacer las necesidades y requisitos aplicables.
- 31 - UNE-EN ISO 22313:2015
Estas acciones se pueden combinar para crear un programa que asegure que la continuidad del negocio
de la organización se gestiona adecuadamente y que se mantiene su efectividad.
La organización debería establecer mecanismos de control dentro del programa que incluyan:
a) decidir la forma en que estas acciones se deberían determinar, planificar, implantar y controlar, por
ejemplo, estableciendo un plan de implantación y acordando una metodología adecuada para
implantar la GCN;
b) la garantía de que los controles sobre estas acciones se implantan de acuerdo con las decisiones
definidas, por ejemplo, estableciendo hitos de progreso del proyecto y especificando los suminis-
trables requeridos; y
c) el mantener la información documentada para demostrar que el proceso se ha realizado según lo

planificado.
La organización debería garantizar que los cambios planificados se controlan, los cambios no intencio-
nados se revisan, y que se toman las acciones apropiadas.
8.1.1 Elementos de la GCN

La GCN comprende los elementos siguientes, que ilustra la figura 5.
Figura 5 – Elementos de la gestión de la continuidad del negocio (GCN)
Estos elementos y los apartados donde están cubiertos en esta norma internacional, son los siguientes:
a) Planificación y control operacional (8.1)
La planificación y el control operacional efectivos constituyen el corazón de la gestión de la

continuidad del negocio. Su dirección debe recaer sobre una persona responsable nombrada por la
alta dirección.
UNE-EN ISO 22313:2015 - 32 -
b) Análisis de impacto en el negocio y valoración del riesgo (8.2)
El alcance del acuerdo y del entendimiento de las prioridades y requisitos para la continuidad del
negocio se consigue a través del análisis de impacto en el negocio (BIA) y la valoración del riesgo
(RA). El BIA permite a la organización priorizar para su reanudación, las actividades que apoyan a
sus productos y servicios. La valoración del riesgo promueve el entendimiento de los riesgos para
las actividades prioritarias y sus dependencias, y las consecuencias potenciales de un incidente
disruptivo. Este entendimiento permite a la organización seleccionar estrategias apropiadas de
continuidad del negocio.
c) Estrategia de continuidad del negocio (8.3)
La identificación y evaluación de una gama de opciones de estrategia de continuidad del negocio

permite a la organización elegir métodos apropiados de prevenir la interrupción de sus actividades
prioritarias y hacer frente a las interrupciones que se produzcan. Las estrategias seleccionadas de
continuidad del negocio facilitarán la reanudación de las actividades a un nivel de operación
aceptable y dentro de los tiempos acordados.
NOTA Las estrategias elegidas han de tener en cuenta cualquier tratamiento del riesgo que ya esté implantado en la
organización (8.3.3).
d) Establecimiento e implantación de procedimientos de continuidad del negocio (8.4)
La implantación de disposiciones de continuidad del negocio da como resultado la creación de una

estructura de respuesta a incidentes (8.4.2), los medios para detectar y responder a un incidente
(8.4.3), planes de continuidad del negocio (apartado 8.4.4) y procedimientos para volver al 'negocio
normal' (8.4.5).
e) Pruebas y ensayos (8.5)
Las pruebas y los ensayos proporcionan a la organización la oportunidad de:
– promover la concienciación del personal y el desarrollo de la competencia,
– asegurarse de que la continuidad del negocio y los procedimientos de continuidad del negocio
son completos, actuales y apropiados, y
– identificar oportunidades para mejorar la continuidad del negocio.
8.1.2 Gestión del entorno de la GCN

La gestión efectiva del entorno de la GCN incluye:
a) asegurar la aplicabilidad continua del campo de aplicación, los funciones y las responsabilidades de
la continuidad del negocio;
b) promover e implantar la continuidad en toda la organización y en otras partes interesadas, cuando

sea aplicable;
c) gestionar los costes asociados con la continuidad del negocio;
- 33 - UNE-EN ISO 22313:2015
d) establecer y supervisar el régimen de gestión de cambios y el régimen de gestión de sucesión dentro

del sistema de gestión de continuidad del negocio;
e) disponer y proporcionar formación y concienciación al personal apropiado; y
f) mantener la documentación del programa de acuerdo con el tamaño y complejidad de la organi-

zación.
Cada componente de las disposiciones de una organización, incluida la documentación, se debería

revisar, probar y actualizar con regularidad. Estas disposiciones también se deberían revisar y actualizar
siempre que se produzca un cambio significativo en el entorno operacional, la estructura, las localiza-
ciones, el personal, los procesos o la tecnología de la organización, o cuando una prueba o incidente
resalte deficiencias.
La organización puede adoptar un método reconocido de gestión del proyecto para garantizar que el
programa de GCN se gestiona eficazmente.
8.1.3 Mantenimiento de la continuidad del negocio

El mantenimiento efectivo de la continuidad del negocio incluye:
a) mantener actualizada la GCN a través de buenas prácticas;
b) administrar el programa de pruebas;
c) coordinar la revisión y actualización regular de la continuidad del negocio, incluyendo la revisión o

remodelación del análisis del impacto en el negocio (BIA) y las valoraciones del riesgo; y
d) asegurar el mantenimiento de los procedimientos de continuidad del negocio apropiado a las nece-
sidades de los equipos de respuesta.
8.1.4 Medición de la eficacia

La medición de la eficacia necesita cubrir lo siguiente:
a) la supervisión del rendimiento de la continuidad del negocio; y
b) la supervisión y revisión de las disposiciones de continuidad del negocio de las actividades de

origen externo y las capacidades de GCN de los proveedores.
Como ejemplos de las medidas que se pueden utilizar para medir la eficacia, se tiene que:
– las actividades y los recursos sean recuperables dentro de los objetivos de tiempo de recuperación
especificados y que la información tengan la vigencia requerida (objetivo de punto de recuperación);
– la acomodación y el equipo requerido se encuentre disponible en localizaciones alternativas para

permitir la recuperación y reanudación de actividades;
– se hayan demostrado las competencias requeridas para reanudar las actividades prioritarias dentro
del objetivo de tiempo de recuperación especificado; y
– se hayan demostrado las competencias requeridas para responder a, y gestionar incidentes.
UNE-EN ISO 22313:2015 - 34 -
8.1.5 Resultados
Los resultados indicativos de una GCN eficaz pueden incluir lo siguiente:
a) se habilita una capacidad de gestión de incidentes que proporciona una respuesta eficaz;
b) el entendimiento de la organización y su relación con otras organizaciones, con organismos regula-

dores o departamentos gubernamentales, con autoridades locales y con los servicios de emergencia
se desarrolla, documenta y entiende adecuadamente;
c) las pruebas realizadas con regularidad aseguran que el personal esté capacitado para responder
eficazmente a un incidente o interrupción;
d) los requisitos de las partes interesadas se entienden y se pueden cumplir;
e) en el caso de una interrupción, el personal recibe el apoyo y las comunicaciones adecuadas;
f) se protege la reputación de la organización;
g) la organización continúa cumpliendo sus obligaciones legales y reglamentarias; y
h) durante un incidente se mantienen los controles financieros.
8.2 Análisis de impacto en el negocio y valoración del riesgo
8.2.1 Generalidades
La organización debería establecer, implantar y mantener un proceso formal y documentado para
análisis de impacto en el negocio (BIA) y de valoración del riesgo. El entendimiento que obtiene la orga-
nización del BIA y de la valoración del riesgo proporciona las bases para una continuidad del negocio
eficaz.
Una organización consigue su objetivo suministrando sus productos y servicios a los clientes. Por ello,
es importante entender con claridad el impacto adverso en el tiempo que la interrupción de estos
productos y servicios (y de sus actividades asociadas) tendría sobre los objetivos y el funcionamiento
de la organización. También es importante entender las interrelaciones y los requisitos de recursos de
las actividades que apoyan a los productos y servicios, así como las amenazas sobre estos.
- 35 - UNE-EN ISO 22313:2015
Figura 6 – Entendimiento de la organización
A través del entendimiento, la organización puede asegurar que su continuidad del negocio se alinea
con su objetivo, deberes legales y obligaciones hacia sus partes interesadas. El entendimiento se consi-
gue a través de los procesos de análisis de impacto en el negocio y de valoración del riesgo. Estos proce-
sos proporcionan la información que la organización necesita para determinar y seleccionar estrategias
de continuidad del negocio (8.3.1).
El BIA y la valoración del riesgo permitirían a la organización identificar medidas que:
a) limiten el impacto en la organización debido a una interrupción;
b) acortar el periodo de interrupción; y
c) reducir la probabilidad de una interrupción.
El contexto, los criterios de evaluación y el formato del resultado del BIA y de la valoración del riesgo se
deberían acordar con antelación. La información recopilada se debería revisar con regularidad, sobre
todo en periodos de cambios.
8.2.2 Análisis de impacto en el negocio

La organización debería establecer un proceso de evaluación formal para determinar las prioridades y
los objetivos de la continuidad y la recuperación.
UNE-EN ISO 22313:2015 - 36 -
La finalidad del BIA es:
– obtener un conocimiento de los productos y servicios esenciales de la organización y de las activi-

dades que proporcionan;
– determinar prioridades y plazos para la reanudación de actividades;
– identificar la probabilidad de que se requieran recursos esenciales para la continuidad y la recu-

peración; y
– identificar dependencias (tanto internas como externas).
El análisis de impactos en el negocio debería incluir:
a) la identificación de las actividades que apoyan el suministro de los productos y servicios esenciales
de la organización ("esenciales" significa los incluidos en el campo de aplicación del SGCN);
b) evaluar los impactos potenciales en el tiempo de las interrupciones resultantes de sucesos no espe-
cíficos y no controlados sobre estas actividades. Cuando se evalúan los impactos, la organización
debería cubrir los impactos relativos a sus metas y objetivos de negocio y a sus partes interesadas.
Estos pueden incluir:
1) efectos adversos sobre el personal o el bienestar público,
2) consecuencias del incumplimiento de deberes legales o requisitos reglamentarios,
3) daños en la reputación,
4) viabilidad financiera reducida,
5) deterioro de la calidad del producto o servicio, y
6) daño medioambiental.
NOTA 1 La interrupción de las actividades puede causar que el suministro de los productos y servicios se vea
interrumpido indirectamente. Por ejemplo, la pérdida de la capacidad para pagar a los proveedores puede dañar
la reputación de la organización y hacer que los proveedores rechacen suministrar mercancías, lo que impide la
fabricación de los productos o la entrega de los servicios.
NOTA 2 Normalmente, las actividades tienen variaciones diariamente, y pueden ser cíclicas por naturaleza. Con
frecuencia existen variaciones estacionales y mayores niveles de actividad asociadas a fechas límites semanales,
mensuales o anuales, o a fechas de suministro de proyecto.
c) estimando la amplitud de los impactos asociados con la interrupción de las actividades de la organi-
zación para llegar a ser inaceptables;
NOTA 3 El tiempo para que los impactos lleguen a ser inaceptables puede variar entre segundos y varios meses,
dependiendo de la naturaleza de la actividad. Las actividades que son sensibles al tiempo necesitarían estar
especificadas con un mayor grado de precisión, por ejemplo, hasta el minuto o hasta la hora. Para actividades
menos sensibles al tiempo sería aceptable una precisión menor.
NOTA 4 El tiempo necesario para que el impacto llegue a ser inaceptable se puede citar como el 'periodo máximo
tolerable de interrupción', 'periodo máximo tolerable' o 'indisponibilidad máxima aceptable'. El nivel mínimo
de producto o servicio que es aceptable para la organización se puede expresar como el objetivo de continuidad
del negocio mínima (MBCO).
- 37 - UNE-EN ISO 22313:2015
d) en base a la evaluación de los impactos potenciales y teniendo en cuenta otros factores relevantes,
establecer periodos de tiempo priorizados para reanudar estas actividades, a un nivel aceptable
mínimo especificado;
e) identificar dependencias entre actividades; y
f) identificar cada dependencia de actividad en cuanto a recursos de apoyo, incluidos proveedores y

otras partes interesadas importantes.
El periodo de tiempo priorizado para reanudar una actividad se puede citar como Objetivo de Tiempo
de Recuperación (OTR). El OTR puede tener en cuenta dependencias de actividades interrelacionadas y
el tiempo dentro del cual los impactos de no reanudación de la actividad serían inaceptables [consúltese
el punto c) anterior].
NOTA 5 A partir de este punto, en esta norma internacional se utilizará el término 'objetivo de tiempo de recuperación' o su
abreviatura "OTR" en vez de "periodo de tiempo priorizado".
El resultado del análisis de impacto en el negocio se debería documentar, e incluir la información de:
– productos, servicios y actividades;
– prioridades de recuperación;
– dependencias significativas y recursos de apoyo.
La información para el análisis de impacto en el negocio puede proceder de:
– entrevistas;
– cuestionarios;
– reuniones de trabajo;
– otras fuentes internas y externas.
8.2.3 Valoración del riesgo

La organización debería establecer un proceso formal de valoración del riesgo que identifique, analice
y evalúe de forma sistemática el riesgo de interrupción de las actividades prioritarias y de los procesos
de la organización, de los sistemas, la información, las personas, los bienes, los proveedores y otros
recursos que las apoyan.
La valoración del riesgo proporciona un proceso estructurado para analizar los riesgos en términos de
consecuencias y de probabilidad de que ocurran, antes de decidir un tratamiento adicional que se puede
requerir. Este proceso estructurado trata de contestar a algunas cuestiones fundamentales:
a) ¿qué puede ocurrir y por qué (identificación del riesgo)?;
b) ¿cuáles podrían ser las consecuencias?;
c) ¿cuál es la probabilidad de que ocurran?; y
d) ¿existe alguna cosa que pueda mitigar las consecuencias o de reducir la probabilidad?.
UNE-EN ISO 22313:2015 - 38 -
El proceso necesita tener en consideración las obligaciones financieras, gubernamentales y sociales.
La organización debería comprender las amenazas a, y las vulnerabilidades de, los recursos requeridos
por las actividades de la organización, y en particular aquellas:
– requeridas por una actividad con una prioridad alta; o
– con un margen de tiempo de sustitución significativo.
La organización debería seleccionar un método apropiado para identificar, analizar y evaluar los riesgos
que pudiesen provocar interrupciones. La Norma ISO 31000 estable los principios de la gestión de ries-
gos y las directrices asociadas. Los elementos típicos que se deberían incluir en el contexto de esta nor-
ma internacional son los siguientes:
– identificación de riesgos: Identificar los riesgos de interrupción de las actividades prioritarias y de

los procesos de la organización, de los sistemas, la información, las personas, los bienes, los provee-
dores y otros recursos que las apoyan. Estos riesgos pueden proceder de:
– amenazas específicas, que se pueden describir como sucesos o acciones que, en el mismo punto,
podrían interrumpir actividades y recursos (por ejemplo, amenazas tales como incendios, inun-
daciones, fallos de energía, pérdidas de personal, absentismo laboral, virus informáticos y fallos
del hardware), y
– incidentes disruptivos, que se pueden producir por vulnerabilidades dentro de los recursos (por
ejemplo, puntos únicos de fallo, inadecuaciones en la protección contra incendios, pérdida de resi-
liencia eléctrica, niveles de formación inadecuados del personal, y poca seguridad en la tecnología
de la información y en la resiliencia),
– evaluación de riesgos: Evaluar las interrupciones debidas a riesgos que requieren tratamiento. Esto
se debería centrar sobre los recursos requeridos por actividades con prioridad alta o con un margen
de tiempo de sustitución significativo; y
– identificación de tratamientos: Identificar los tratamientos que pueden proporcionar objetivos de

continuidad del negocio y que están de acuerdo con la apetencia de riesgo de la organización (4.1).
NOTA Si la organización u organismos externos han llevado a cabo cualquier otro análisis de riesgos, éste podría proporcionar
información útil de importancia para la valoración del riesgo.
Las necesidades sociales o las obligaciones reglamentarias pueden requerir que la organización
comparta algunos resultados de la valoración del riesgo con alguna parte interesada.
8.3 Estrategia de continuidad del negocio
8.3.1 Determinación y selección
8.3.1.1 Generalidades
La determinación de la estrategia de continuidad del negocio trata de identificar las acciones necesarias
para cubrir los hallazgos procedentes del BIA y de la valoración del riesgo, y de una manera que cumpla
los objetivos de continuidad del negocio de la organización. Es probable que tal acción sea necesaria
antes, durante y después de un incidente disruptivo y, por ejemplo, puede incluir:
- 39 - UNE-EN ISO 22313:2015
– división de una línea de producción entre dos localizaciones;
– instalación de un generador de energía; o
– reducción del impacto global de un incidente disruptivo a través de disposiciones de continuidad del
negocio que acorten el periodo de interrupción y reduzcan su intensidad hasta niveles aceptables.
La determinación y selección de la estrategia de continuidad del negocio se debería basar en los resul-
tados del análisis de impacto en el negocio y en la valoración del riesgo (8.2).
La organización debería determinar opciones de estrategia apropiadas para:
– proteger las actividades prioritarias;
– estabilizar, continuar, reanudar y recuperar actividades prioritarias;
– mitigar, responder a, y gestionar los impactos.
La organización debería disponer in situ de un mecanismo para revisar y aprobar las soluciones reco-
mendadas.
8.3.1.2 Protección de actividades prioritarias

La protección de las actividades prioritarias puede estar dirigida a:
– reducir el riesgo de la actividad;
– transferir la actividad a una tercera parte (permaneciendo la responsabilidad dentro de la organi-

zación); y
– cesar o cambiar la actividad si hay disponibles alternativas viables.
Las opciones para proteger actividades prioritarias se deberían seleccionar de acuerdo con:
– las vulnerabilidades percibidas de la actividad;
– el coste de las medidas comparado con los beneficios estimados;
– (opcionalmente) la urgencia de la actividad, dado que habrá menos tiempo para resolver el asunto; y
– la viabilidad general y la idoneidad de la opción.
Cuando la organización estima que una amenaza es 'extremadamente improbable' o que el coste de
proteger una actividad prioritaria es prohibitivamente costoso, se puede elegir aceptar el riesgo y volver
a evaluarlo como parte de su evaluación continua del rendimiento del SGCN (capítulo 10).
8.3.1.3 Estabilización, continuación, reanudación y recuperación de actividades prioritarias

La estabilización, continuación, reanudación y recuperación de actividades prioritarias también debería
cubrir a sus dependencias y recursos de apoyo.
UNE-EN ISO 22313:2015 - 40 -
Las opciones de estrategia de continuidad del negocio pueden incluir:
a) reubicación de la actividad: La transferencia de alguna o de todas las actividades, internamente a

otra parte de la organización, o externamente a una tercera parte, bien independientemente o bien
a través de un acuerdo de ayuda mutua o reciproca;
b) reubicación o redistribución de recursos: Los recursos, incluido el personal, se transfieren a otra

ubicación o actividad dentro de la organización, o externamente a una tercera parte;
c) procesos alternos y capacidad adicional: Establecer procesos alternos o crear capacidad de

redundancia/adicional en los procesos y/o en el inventario;
d) sustitución de recursos y perfiles: Mejora de las capacidades de personal, incluyendo personal

multi-perfil o esencial o mediante la creación de acceso a una capacidad de personal adicional a
través de fuentes externas. Los recursos de sustitución son proporcionados por una tercera parte o
desde existencias mantenidas remotamente por la organización o estableciendo acuerdos de ayuda
mutua con organizaciones externas y partes interesadas esenciales para proporcionar acceso
temporal a capacidad adicional; y
e) soluciones alternativas temporales: Algunas actividades pueden adoptar una forma de trabajo
diferente que proporcione resultados aceptables para un tiempo limitado. Es probable que las
alternativas temporales consuman más tiempo y/o trabajo intensivo (por ejemplo, una operación
manual en oposición a un sistema automatizado). Por estas razones, las soluciones alternativas
generalmente solo son adecuadas para periodos de tiempo cortos, o aplazan un retorno al negocio
normal;
f) cuando se consideren ubicaciones donde reanudar una actividad, las opciones de continuidad del
negocio deberían incluir el o los lugares dañados/afectados y lugares alternativos no dañados.
Para asegurar que las actividades se pueden reanudar dentro de sus objetivos de tiempo de recupera-
ción, estos objetivos también se pueden establecer para sus dependencias y recursos de apoyo. El esta-
blecimiento de estos objetivos de tiempo de recuperación puede necesitar que se tenga en cuenta:
– la posibilidad de proporcionar un servicio mínimo durante un periodo temporal hasta el punto en

que se requiera la reanudación completa;
– soluciones alternativas (tal como procesos manuales) que pueden diferir la necesidad de reanudar
la dependencia de recursos de apoyo;
– acumulación de trabajo y tiempo que se necesita para recuperar datos perdidos; y
– la complejidad y la envergadura de los requisitos de recuperación o la necesidad de equipo

especializado con un margen de tiempo largo.
La organización debería evaluar todas las opciones de estrategia para determinar si estas medidas, por
sí mismas, introducen nuevos riesgos.
Con frecuencia, las opciones de estrategia de continuidad del negocio para la estabilización, continua-
ción, reanudación o recuperación de una actividad prioritaria pueden ser prohibitivamente costosas.
Cuando la organización estime que éste es el caso, debería seleccionar estrategias alternativas que sean
aceptables y cumplan los objetivos de continuidad del negocio, o tratar los productos y servicios
afectados como exclusiones del campo de aplicación del SGCN, de acuerdo con el apartado 4.3.2.
- 41 - UNE-EN ISO 22313:2015
8.3.1.4 Mitigación, respuesta a, y gestión de impactos

Las opciones para mitigar el impacto y la duración de un incidente pueden incluir:
a) seguro: La contratación de un seguro puede proporcionar alguna recompensa financiera por

algunas pérdidas, pero no cubrirá todos los costes (por ejemplo, sucesos no asegurados, la marca
comercial, reputación, valor de las partes interesadas, distribución de mercado y consecuencias
humanas). Un convenio financiero único no protegerá totalmente las expectativas de la organi-
zación ni satisfará a las partes interesadas;
b) restauración de bienes: Contratación de servicios auxiliares de compañías que están especiali-

zadas en la limpieza y o reparación de bienes después de sufrir daños; y
c) gestión de la reputación: Desarrollo de una capacidad eficaz de comunicación y de alarma (8.4.3)

y establecimiento de procedimientos eficaces de comunicaciones (8.4.4.3.2).
8.3.1.5 Continuidad de negocio de los proveedores

La organización debería asegurar que se evalúa la continuidad de negocio de los proveedores. La
organización puede desear concentrar sus esfuerzos sobre los proveedores cuyos fallos en el suministro
podrían interrumpir más rápidamente las actividades prioritarias. Las técnicas pueden incluir:
– especificación de requisitos en ofertas y contratos;
– auditorias periódicas de los planes del proveedor;
– pruebas comunes de continuidad del negocio.
8.3.2 Establecimiento de requisitos de los recursos
La organización debería determinar los requisitos de los recursos a implantar para seleccionar opciones
de estrategia.
La organización debería establecer:
a) equipos de personas apropiados o, para organizaciones más pequeñas, individuos con autoridad
suficiente para vigilar la preparación, la respuesta y la recuperación ante incidentes;
b) las capacidades y procedimientos logísticos para localizar, adquirir, almacenar, distribuir, mante-
ner, ensayar y justificar servicios, personal, recursos, materiales, e instalaciones producidas o
donadas para apoyar al SGCN;
c) procedimientos financieros, logísticos y administrativos para apoyar las disposiciones de conti-

nuidad del negocio antes, durante y después de un incidente. Estos procedimientos deberían:
1) asegurar que se pueden controlar las decisiones fiscales, y
2) estar de acuerdo con niveles de autoridad, gobierno, y principios de contabilidad establecidos,
UNE-EN ISO 22313:2015 - 42 -
d) gestión de recursos: objetivos sobre tiempos de respuesta, personal, equipo, formación, instala-
ciones, provisión de fondos, seguros, control de responsabilidad, conocimiento experto, materiales
y márgenes de tiempo, y para cada uno de estos objetivos será necesario disponer de recursos de
la organización y de los proveedores; y
e) procedimientos para asistencia, comunicaciones, alianzas estratégicas, y ayuda mutua, a las partes
interesadas.
8.3.2.2 Personas
La organización debería identificar las medidas apropiadas para mantener y ampliar la disponibilidad
de perfiles y conocimientos fundamentales del personal en el caso de que el incidente de lugar a la
reducción de disponibilidad de personal. Estas medidas deberían incluir a empleados, contratistas y a
otras partes interesadas que posean una amplia variedad de perfiles y conocimientos especializados.
Las técnicas para proteger o mejorar estos perfiles pueden incluir:
– lista de reserva de especialistas expertos y plan de convocatoria de éstos;
– formación de personal y contratistas en múltiples perfiles profesionales;
– separación de perfiles esenciales para reducir el impacto de que un incidente obligue a la separación
física de personal con perfiles esenciales en más de una ubicación;
– utilización de terceras partes;
– planificación de sucesiones; y
– documentación de los procesos y otras formas de retener y gestionar los conocimientos.
Los procedimientos para la reubicación de personal después de un incidente, pueden necesitar tener en
cuenta:
– el transporte del personal a otra ubicación;
– las necesidades de personal en el sitio alternativo, tales como:
– acomodación,
– instalaciones de servicio de comida y bebida,
– compromisos personales y familiares, y
– formación sobre equipos diferentes,
– problemas planteados por el trabajo en casa.
Las funciones especializadas pueden incluir:
– seguridad;
– logísticas de transporte; y
– asistencia social y emergencias.
- 43 - UNE-EN ISO 22313:2015
8.3.2.3 Información y datos

La información vital para el funcionamiento de la organización debería estar protegida y recuperable de
acuerdo con márgenes de tiempo identificados en el BIA. El almacenamiento y la recuperación de datos
deberían estar de acuerdo con la legislación aplicable.
NOTA 1 Las Normas ISO/IEC 27031 e ISO/IEC 27002 contienen directrices adicionales para garantizar la vigencia de los datos
electrónicos, y proporcionan directrices para garantizar la confidencialidad, integridad y disponibilidad continua de
los datos.
Cualquier información requerida para permitir la respuesta y recuperación por parte de la organización
debería tener la apropiada:
– confidencialidad: por ejemplo, si la actividad se traslada a otra ubicación;
– integridad: la información es fidedigna y se puede aceptar;
– disponibilidad: la información está disponible tan rápidamente como la actividad la requiera. La

información solicitada durante una respuesta se puede necesitar inmediatamente, mientras que
otros datos pueden no ser necesarios hasta algún tiempo después del incidente; y
– vigencia: la información, hasta la fecha en que es requerida, permite el funcionamiento de la

actividad, aunque puede ser necesario volver a crear los datos perdidos a causa del incidente.
En todos los casos, la información requerida por una actividad debería estar totalmente vigente. Esta
vigencia puede estar referida como objetivo del punto de recuperación (RPO). Cuando se copien datos,
se pueden utilizar varios métodos, incluidas copias de seguridad de soportes electrónicos o de cintas,
microfichas, fotocopias y creación de copias dobles en el momento de la generación.
Las estrategias de información se deberían documentar para la recuperación de información que aún
no se ha copiado o volcado a un lugar seguro.
Las estrategias de información se deberían ampliar para incluir:
– formatos físicos (copia impresa); y
– formatos virtuales (electrónicos), etc.
NOTA 2 Si la información copiada se almacena muy cerca del original, el incidente disruptivo podría comprometer su
integridad o impedir el acceso a ella. Sin embargo, una distancia grande puede impedir que esté disponible cuando se
necesite. Sería apropiado tener evidencia escrita de cómo se han resuelto estos intereses conflictivos.
La información citada en esta sección puede incluir:
– información de contacto;
– el suministrador, las partes interesadas y detalles de las partes interesadas;
– documentos legales (por ejemplo, contratos, pólizas de seguros, escrituras de propiedad); y
– otros documentos de servicios (por ejemplo, contratos y acuerdos del nivel de servicio).
UNE-EN ISO 22313:2015 - 44 -
8.3.2.4 Edificios, entorno de trabajo y servicios generales asociados

Las estrategias de centro de trabajo pueden variar significativamente y se podría disponer de una gama
de alternativas diferentes. Cada tipo de incidente o amenaza podría requerir la implantación de opciones
de centros de trabajo diferentes o múltiples. Las estrategias correctas se determinarán en parte por el
tamaño, sector y extensión de las actividades de la organización, por las partes interesadas y por lo
localización geográfica. Por ejemplo, las autoridades públicas necesitarán mantener un servicio cara al
público en sus ámbitos de actuación, aunque algunas organizaciones podrían operar desde un país o
continente diferente.
La organización debería diseñar una estrategia para reducir el impacto de la no disponibilidad de sus
centros de trabajo habituales. Esto puede incluir una o más de las opciones siguientes:
a) locales alternativos (ubicaciones) de la propia organización, incluyendo el desplazamiento de otras

actividades;
b) locales alternativos proporcionados por otras organizaciones (con independencia de que existan o
no acuerdos recíprocos);
c) centros de control de emergencia;
d) locales alternativos proporcionados por terceras partes especializadas;
e) trabajar en remoto desde casa o desde otros emplazamientos;
f) otros locales adecuados que se hayan acordado; y
g) utilización de personal alternativo en un lugar establecido.
Los locales alternativos se deberían seleccionar cuidadosamente teniendo en cuenta una zona geo-
gráfica que pueda estar afectada por el mismo incidente. Un incidente tal como un desastre natural
puede causar daño en zonas muy amplias y afectar a servicios esenciales tales como electricidad, gas,
agua y comunicaciones. Si se estima que se puede presentar un riesgo de este tipo, los locales alterna-
tivos deberían estar distantes de la zona que pueda verse afectada.
Si el personal se ha de trasladar a locales alternativos, estos locales han de estar suficientemente cerca
para que el personal sea complaciente y pueda desplazarse hasta allí, teniendo en cuenta las posibles
dificultades causadas por el incidente. Sin embargo, los locales alternativos no deben estar tan cerca
como para que exista la probabilidad de verse afectados por el mismo incidente.
La utilización de locales alternativos con fines de continuidad debe estar apoyada por una declaración
clara de si los recursos requeridos en los locales alternativos son de uso exclusivo de la organización. Si
los locales alternativos se comparten con otras organizaciones, se debe desarrollar y documentar un
plan para mitigar la no disponibilidad de estos locales.
En algunas situaciones (por ejemplo, una línea de fabricación o un centro de llamadas), puede ser
adecuado trasladar la carga de trabajo en vez de trasladar al personal. Esto puede requerir disponer de
la capacidad de repuesto en el lugar alternativo o de personal adicional (bien en horas extraordinarias
o por contratación de personal) y de otros recursos.
- 45 - UNE-EN ISO 22313:2015
8.3.2.5 Instalaciones, equipos y consumibles

La organización debería identificar y mantener un inventario de los suministros esenciales que dan
apoyo a sus actividades prioritarias.
Algunas instalaciones y máquinas pueden ser difíciles de adquirir, ser muy costosas (necesitan un largo
periodo de tiempo para la autorización) o tener un largo tiempo de entrega. Las soluciones para
proporcionar tales recursos necesitan tener en cuenta estas condiciones. Los cambios en las prácticas
del negocio, tal como el control de existencias o la gestión del edificio, pueden proporcionar soluciones.
Las técnicas para proporcionar estos suministros pueden incluir:
– almacenaje de suministros adicionales en otro lugar;
– disposiciones con terceros para la entrega de mercancías a corto plazo;
– desvío de entregas de última hora a otros lugares;
– retención de los materiales en los almacenes o en los puntos de embarque;
– traslado de operaciones de ensamblaje a un lugar alternativo que disponga de suministros;
– identificación de suministros alternativos/sustitutos; y
– identificación de instalaciones y equipos, y planificación de múltiples opciones por fases.
Cuando las actividades dependan de suministros especializados, la organización debería identificar los
suministros esenciales y las fuentes únicas de suministro. Las estrategias para gestionar la continuidad
del suministro pueden incluir:
– aumentar el número de proveedores;
– estimular o solicitar de los proveedores que tengan continuidad del negocio;
– acuerdos contractuales y/o de nivel de servicio con los proveedores principales; y
– la identificación de proveedores alternativos capacitados.
Cuando las actividades se cambien de lugar, se debería verificar que los proveedores pueden propor-
cionar sus productos o servicios de manera efectiva en los lugares alternativos.
8.3.2.6 Sistemas de tecnología de la información y de las comunicaciones (TIC)

En muchas organizaciones, las actividades no se pueden realizar sin sistemas de TIC y necesitan que se
instalen estos sistemas antes de reanudar tales actividades. Cuando sea posible y práctico, la organi-
zación puede implantar operaciones manuales mientras instala sus servicios de TIC.
Las opciones tecnológicas dependerán de la naturaleza de la tecnología empleada y de sus relaciones

con las actividades, pero normalmente será una combinación de lo siguiente:
– la provisión realizada dentro de la organización;
UNE-EN ISO 22313:2015 - 46 -
– los servicios proporcionados a la organización por una tercera parte; y
– los servicios externos a los que está suscrita la organización.
Las técnicas para proporcionar los sistemas de TIC requeridos por las actividades prioritarias pueden
incluir:
– repartiéndolas geográficamente, por ejemplo, manteniendo la misma tecnología en lugares diferen-

tes que no puedan verse afectados por el mismo incidente;
– conservando los equipos más viejos como elementos de sustitución de emergencia; y
– teniendo contratado equipos o servicios de recuperación.
Debido a la complejidad de las tecnologías que los soportan, los sistemas de TIC frecuentemente necesi-
tan disposiciones complejas para asegurar que se pueden recuperar de una manera oportuna. Por ello,
se debería tener en consideración lo siguiente:
– establecer objetivos de tiempo de recuperación (RTO) para los sistemas de TIC que permitan
reanudar las actividades prioritarias dentro de sus RTO;
– prestar particular atención a la ubicación de los lugares donde se sitúa la tecnología y a las distancias
entre ellos;
– distribuir la tecnología entre un determinado número de lugares separados;
– proporcionar instalaciones adecuadas para un número superior de usuarios con acceso remoto;
– establecer lugares sin plantilla de personal (oscuros) así como lugares con plantilla de personal;
– mejorar la conectividad de las telecomunicaciones y aumentar niveles de vías redundantes;
– proporcionar una técnica de 'cambio en caso de fallo' automática en vez de necesitar intervención
manual para redireccionar la provisión de la TIC;
– acomodación a la obsolescencia de la TIC; y
– proporcionar conectividad adicional y enlaces externos a terceras partes.
Si se adopta una técnica de 'cambio en caso de fallo' de un lugar a otro, puede ser necesario considerar
la distancia de recorrido de la red entre los dos lugares. Si la distancia entre los lugares es muy grande,
esto podría retardar la respuesta del sistema y dejar ineficaces a los sistemas de TIC.
Si una organización establece sus sistemas de TIC en más de un lugar, puede ser la oportunidad de im-
plantar una 'estrategia de TIC mutua' con la cual cada lugar se dimensiona para acomodar la capacidad
de TIC combinada de más de un lugar.
Si una organización utiliza tecnologías especializadas o diseñadas de encargo con márgenes de tiempo
amplios, puede ser necesario tener en consideración el aumento de la protección de su TIC haciendo
previsiones especiales de repuesto o de renovación.
NOTA En las Normas ISO/IEC 27031, ISO/IEC 27002 e ISO/IEC 20000 (ambas partes) se pueden encontrar directrices adicio-
nales sobre continuidad de sistemas de TIC.
- 47 - UNE-EN ISO 22313:2015
8.3.2.7 Transporte
Después de un incidente, puede ser necesario proporcionar medios de transporte para:
– llevar al personal a casa si sus medios de transporte normales no están disponibles;
– situar al personal en lugares de trabajo alternativos; y
– recursos necesarios en lugares diferentes.
La organización debería determinar con antelación opciones para proporcionar los medios de
transporte alternativos que se pueden requerir después de un incidente disruptivo. Estas opciones
pueden incluir:
– identificar los posibles escenarios de interrupciones logísticas que pueden ser causadas directa-
mente por un incidente o por situaciones inusuales;
– garantizar medios logísticos alternativos, así como rutas, teniendo en cuenta las condiciones del
tráfico, los medios de transporte, y otras redes logísticas; y
– establecer acuerdos con empresas de transporte.
8.3.2.8 Finanzas
La organización debería determinar opciones para garantizar que los fondos necesarios están disponi-
bles durante y después de un incidente disruptivo. Esto puede incluir:
– disposición de fondos para compras de emergencia, tales como, alimentos, acomodación, instala-
ciones, consumibles y transporte;
– reembolso de gastos de personal;
– inversiones importantes en, por ejemplo, alquiler o adquisición de edificios y equipos.
Para la protección contra abusos o para facilitar reclamaciones de seguros, puede ser necesario
demostrar que se realizan controles financieros eficaces para, por ejemplo, proporcionar el registro
formal de gastos durante y después de un incidente disruptivo.
8.3.2.9 Proveedores
Si un producto, servicio o actividad ha sido objeto de contratación externa, la responsabilidad de este
producto, servicio o actividad sigue recayendo en la organización. En consecuencia, la organización se
debería asegurar de que sus proveedores principales disponen de una continuidad efectiva. Un método
de hacer esto es obtener pruebas de la viabilidad de los planes de continuidad de los proveedores
principales y de sus programas de pruebas y de mantenimiento. Véase el apartado 8.3.1.5.
8.3.3 Protección y mitigación

Para identificar los riesgos que requieren tratamiento, y en línea con su aptitud para el riesgo, la organi-
zación debería considerar las maneras de reducir la probabilidad, acortando el periodo y limitando los
impactos debidos a la interrupción.
UNE-EN ISO 22313:2015 - 48 -
8.4 Establecimiento e implantación de procedimientos de continuidad del negocio
8.4.1 Generalidades
La organización debería establecer y documentar procedimientos que proporcionen un control global
de la respuesta a un incidente disruptivo y la reanudación de las actividades dentro de sus objetivos de
tiempo de recuperación. Los procedimientos de continuidad del negocio deberían establecer el
adecuado protocolo de comunicaciones internas y externas, y han de ser:
a) específico – con respecto a los pasos inmediatos que se han de llevar a cabo durante una inte-
rrupción;
b) flexible – de manera que se pueda utilizar para dar respuesta a escenarios de amenazas imprevistas
y al cambio de las condiciones internas y externas;
c) enfocado – deberían estar claramente relacionados con el impacto de sucesos que pudieran inte-
rrumpir operaciones, y estar desarrollados en base a suposiciones y a un análisis de interdepen-
dencias; y
d) eficaz – en términos de minimización de las consecuencias de los incidentes mediante la implan-

tación de estrategias de mitigación adecuadas.
8.4.2 Estructura de la respuesta a incidentes

La organización debería establecer procedimientos y una estructura de gestión que le permita estar
preparada para, mitigar, y responder con eficacia a incidentes disruptivos:
La estructura de respuesta debería:
– identificar los umbrales de impacto que justifiquen el inicio de una respuesta formal;
– evaluar la naturaleza y amplitud de un incidente disruptivo del impacto potencial;
– establecer medidas para proporcionar bienestar a los afectados;
– iniciar una respuesta apropiada a un incidente disruptivo;
– disponer de procesos y procedimientos para la activación, operación, coordinación y comunicación

de la respuesta;
– disponer de recursos para apoyar los procesos y procedimientos necesarios para gestionar un
incidente disruptivo; y
– establecer comunicación con las partes interesadas, incluyendo en particular a autoridades y medios
de comunicación.
La estructura de respuesta debería ser simple y capaz de ser activada rápidamente. Cuando se determine
la estructura, se debería tener en consideración lo siguiente:
– disponer de personal competente disponible para establecer las ramificaciones del incidente y
evaluar el impacto o potencial impacto del incidente y los plazos;
- 49 - UNE-EN ISO 22313:2015
– la capacidad para movilizar equipos para controlar y contener el incidente, y para iniciar la respuesta
adecuada; y
– la inclusión de recursos apropiados, que pueden incluir personal, contratistas, equipos y finanzas.
Organizaciones más grandes o complejas pueden utilizar un procedimiento escalonado para respuesta
al incidente, y pueden establecer equipos diferentes para focalizar una respuesta al incidente, gestionar
incidentes, comunicaciones, bienestar y la reanudación del negocio. En organizaciones más pequeñas,
todos los aspectos de respuesta al incidente pueden ser manejados por un equipo, pero la responsa-
bilidad nunca debería ser de una sola persona.
Cada equipo debería tener procedimientos para dirigir sus acciones e incluir personal con la
responsabilidad, autoridad y competencia necesarias. La competencia individual y del equipo se puede
demostrar a base de formación y pruebas.
8.4.3 Avisos y comunicaciones
La organización debería establecer, implantar y mantener procedimientos para avisos y comunica-
ciones. Estos procedimientos deberían incluir:
a) la detección de incidentes y el alertar al personal de respuesta;
b) la continuación de la supervisión de un incidente;
c) la comunicación interna entre los diversos niveles y funciones dentro de la organización;
d) las comunicaciones externas con las partes interesadas;
e) la recepción, documentación y respuesta a las comunicaciones de otras partes interesadas;
f) la recepción, documentación y respuesta a cualquier sistema o medio equivalente nacional o

regional de aviso de incidentes;
g) el alertar a las partes interesadas potencialmente impactadas por un incidente disruptivo actual o
inminente;
h) asegurar la disponibilidad de medios de comunicación durante un incidente disruptivo;
i) facilitar la comunicación estructurada con los servicios de emergencia;
j) asegurar la interoperabilidad de los múltiples servicios de emergencia y del personal;
k) registrar la información vital acerca del incidente, las acciones tomadas y las decisiones adoptadas; y
l) las operaciones de una instalación de comunicaciones.
Una organización puede necesitar decidir si mantiene o no comunicación, y hasta qué punto, con las
partes interesadas externas en cuanto a sus procedimientos de aviso y de comunicación. Cuando se toma
esta decisión, la primera consideración debería ser la seguridad de la vida. La decisión y las razones
acerca de la misma se deberían documentar.
UNE-EN ISO 22313:2015 - 50 -
Por ejemplo, una organización que realice actividades que pudiesen ser una amenaza para la seguridad
del vecindario cercano puede asegurarse de que se comunica a los vecinos los peligros potenciales. Esto
puede significar que los vecinos necesitan conocer cómo se comunican las alarmas y cómo deben
responder.
La organización debería disponer de procedimientos y medios eficaces para comunicar con rapidez las
alarmas, las alertas y las comunicaciones externas. Para las partes interesadas con necesidades
específicas se pueden requerir disposiciones especiales, por ejemplo, para personas mayores y personas
con discapacidades. El sistema de avisos y de comunicaciones se debería probar regularmente. Para
directrices sobre las pruebas, consúltese el apartado 8.5.
8.4.3.2 Procedimientos de comunicación de incidentes

Es necesario establecer procedimientos que, con anterioridad a un incidente, permitan:
– la recepción, documentación y la respuesta a cualquier sistema o medio equivalente nacional o

regional de aviso de riesgos. Estos pueden reflejar amenazas que sean comunes al lugar, tal como
avisos de tsunamis, terremotos o huracanes; y
– el alertar a las partes interesadas potencialmente impactadas por un incidente disruptivo actual o
inminente, cuando la organización tiene la responsabilidad moral o legal de avisar.
Una vez que el incidente se produce, la organización debería desarrollar procedimientos que aseguren:
– que el incidente se supervisa continuamente, mediante observación local o supervisión remota, y que
cualquier evolución del mismo se comunica a los equipos de respuesta adecuados;
– la comunicación estructurada con los equipos de emergencia;
– la interoperabilidad de los múltiples servicios de emergencia y del personal cuando ésta sea la
responsabilidad de la organización;
– que se facilita la comunicación entre los diversos equipos de respuesta y la organización;
– la comunicación regular con el personal y con otras personas a quienes existe la obligación de cuidar,
tales como visitantes y contratistas; esto puede ser necesario inicialmente en un punto de evacuación,
en casa o en localizaciones alternativas; y
– el registro de la información vital sobre el incidente, las acciones realizadas y las decisiones tomadas,
por personas encargados de hacerlo o por una persona designada en cada equipo.
También se necesitan procedimientos para facilitar la comunicación efectiva en los dos sentidos entre
las partes interesadas, tales como clientes y medios de comunicación.
La organización debería mantener comunicaciones con estas partes hasta el retorno a las operaciones
normales del negocio cuando una comunicación indique que el final del incidente puede ser apropiado.
8.4.3.3 Instalaciones de comunicación de incidentes

Estos procedimientos pueden ser facilitados mediante el empleo de una instalación de comunicaciones
ad hoc o dedicada. Esta instalación debería estar situada suficientemente lejos del lugar efectado para
que su funcionamiento no se vea impedido por el incidente, y puede estar en el mismo lugar donde
existan otras instalaciones de respuesta a incidentes.
- 51 - UNE-EN ISO 22313:2015
El equipo de comunicaciones disponible debería reconocer que el incidente puede haber afectado al
rendimiento de las comunicaciones normales, para que se pueda disponer de una variedad de alterna-
tivas, tales como:
– sistemas de megafonía o de cobertura pública;
– teléfonos móviles; y
– radioteléfonos móviles.
8.4.4 Planes de continuidad del negocio
La organización debería establecer procedimientos documentados que le permitan responder a un
incidente y tratar adecuadamente la recuperación y reanudación de sus actividades.
Estos procedimientos deberían cubrir todos los aspectos de la respuesta a un incidente con especial
atención a los temas de seguridad de la vida, y cubrir los requisitos de todos aquellos que utilizarán tales
procedimientos. Para determinar los requisitos, puede ser beneficioso:
– implicar en el desarrollo de los procedimientos a todos los que han de utilizarlos;
– utilizar la información de los resultados procedentes de las pruebas, y las lecciones aprendidas de
incidentes disruptivos.
Los calendarios y los niveles de rendimiento se deberían basar en la información recopilada durante el
análisis de impacto en el negocio (8.2.2) y en la estrategia de continuidad del negocio seleccionada
(8.3.1).
Dentro de cada plan se debería identificar con claridad la información siguiente:
– la finalidad y el campo de aplicación;
– los objetivos y las medidas de éxito en términos de actividades prioritarias;
– los criterios y los procedimientos de activación;
– los procedimientos de implantación;
– las funciones, responsabilidades y autoridades;
– los requisitos y los procedimientos de comunicación;
– las interdependencias e interacciones internas y externas;
– los requisitos de recursos; y
– el flujo de información y los procesos de documentación.
UNE-EN ISO 22313:2015 - 52 -
Cuando se trata un incidente disruptivo, puede ser necesario tener en consideración un determinado
número de acciones. Estas acciones se deberían incluir en procedimientos documentados (8.4.4.2 y
8.4.4.3), e incluyen:
a) responder a y evaluar el incidente:
1) ¿Qué pasó y cómo ocurrió?
2) ¿Qué partes de la organización y qué partes interesadas han sido o podían haber sido
afectadas?
3) ¿Cuál es la duración prevista del incidente y cuáles sus impactos?
4) ¿Se puede gestionar el incidente con disposiciones de gestión rutinarias?
b) evaluar el análisis del incidente en función de los criterios de activación para cada uno de los
procedimientos;
c) declarar un incidente y activar los procedimientos cuando se cumplan los criterios de activación;
d) estabilizar, continuar, reanudar y recuperar las actividades;
e) establecer y poner en funcionamiento la localización de análisis del incidente;
f) priorizar los asuntos y actividades a realizar al gestionar el incidente y sus impactos;
g) controlar y coordinar todos los procedimientos activados;
h) activar o establecer lugares alternativos para la restauración de la Tecnología de la Información

(TI) o de otra capacidad de infraestructura y para la operación temporal de las actividades de la
organización;
i) supervisar el incidente a medida que éste va progresando;
j) revisar y adaptar los planes en respuesta al cambio de las circunstancias;
k) retirar los planes y volver a la gestión rutinaria a medida que se vuelve a establecer la capacidad
viable;
l) realizar un cuestionario e identificar las oportunidades de aprender;
m) asegurar un buen gobierno y cotejo así como la seguridad de la documentación generada durante
la gestión y recuperación del accidente.
Para conseguir la reanudación en tiempo del suministro de productos y servicios de la organización, los
procedimientos documentados la reanudación de cada actividad deberían:
– cumplir el objetivo de tiempo de recuperación de la actividad que apoya al producto o servicio; y
– ser suficientemente fiables.
- 53 - UNE-EN ISO 22313:2015
Esto se puede conseguir mediante:
– la posesión o control de los medios y recursos para ordenar el procedimiento;
– contratos, acuerdos o niveles de servicio con terceras partes.
Para garantizar que la operación de los procedimientos no se ve afectada por la misma interrupción, la
organización puede tomar precauciones, por ejemplo, separando el personal y la tecnología de la
información y la comunicación (TIC) en múltiples lugares. Sin embargo, no es posible la separación total
para todas las escalas y tipos de incidentes, y esta limitación se debería identificar y acordar con la alta
dirección. Esta limitación se podría expresar en términos de distancia, personal mínimo o severidad, y
se puede determinar por la respuesta de las autoridades civiles a un incidente severo y/o extenso.
8.4.4.2 Contenido de los planes de continuidad del negocio

Un plan de continuidad del negocio puede ser un procedimiento documentado sencillo o múltiples
procedimientos que abarquen todos los requisitos y que cubran el campo de aplicación del SGCN.
La finalidad, el campo de aplicación y los objetivos de cada procedimiento documentado se deberían

definir y dar a conocer a todos aquellos que participan en el efecto. Cualquier relación con otros procedi-
mientos documentados o documentos requeridos y aplicables debería estar claramente referenciada, y
descrito el método de obtener y acceder a los mismos.
Dentro de los planes de continuidad del negocio, los temas siguientes deberían estar claramente identi-
ficados (véase también 8.4.4.3):
a) funciones y responsabilidades;
1) las funciones, las responsabilidades y la autoridad definidas de las personas y equipos que
utilizarán el plan de continuidad del negocio. Si este plan incluye más de un procedimiento
documentado, se deberían identificar las funciones, las responsabilidades y la autoridad para
cada procedimiento,
2) las directrices y los criterios relativos a quien tiene la autoridad para activar los procedimiento
y bajo qué circunstancias - esto puede seguir etapas progresivas definidas,
b) activación y desactivación:
1) un proceso para activar la respuesta de la organización a un incidente disruptivo y dentro de

cada procedimiento documentado, sus criterios y procedimientos de activación. Puede ser
importante considerar si esto está dentro o fuera de las horas normales de trabajo,
2) un proceso para desactivar los equipos una vez que el incidente ha pasado, y
3) reuniones y lugares de reunión para cumplir con alternativas adecuadas,
c) gestión del incidente:
1) gestión de las consecuencias inmediatas de un incidente disruptivo dado en cuanto a resulta-

dos de asuntos de bienestar de las personas afectadas (incluidos los miembros del equipo), las
opciones para responder a la interrupción (estas se pueden describir como opciones estraté-
gicas, tácticas y operacionales) y la prevención o pérdida adicional o indisponibilidad de
actividades prioritarias,
UNE-EN ISO 22313:2015 - 54 -
2) dentro de cada procedimiento documentado debería haber:
i) procedimientos de implantación que identifiquen las acciones y tareas que es necesario

realizar, en particular con respecto a cómo la organización continuará o recuperará sus
actividades prioritarias dentro de plazos de tiempo determinados,
ii) requisitos de recursos (8.3.2) aplicables al procedimiento documentado, y
iii) los medios para registrar la información esencial acerca del incidente, de las acciones
realizadas y de las decisiones tomadas,
d) la información de contacto dentro de cada procedimiento documentado:
1) detalles para el contacto de los miembros del equipo y de otras personas con funciones y res-
ponsabilidades – cuando se aplique la legislación local sobre protección de datos, los detalles
de contacto se deberían mantener de acuerdo con dicha legislación, y
2) detalles para el contacto y la movilización de todas las agencias, los organismos y los recursos
aplicables que se pudieran necesitar,
e) comunicaciones (8.4.3):
1) detalles que cubran cómo y bajo qué circunstancias la organización establecerá comunicación
con los empleados y sus familiares, con las partes interesadas esenciales y con los contactos de
emergencia,
2) detalles de la respuesta de los medios de comunicación de la organización después de un

incidente, incluyendo su estrategia de comunicación, su interfaz preferida con los medios, sus
directrices o patrones para declaraciones en medios de redacción, así como la identificación de
los portavoces autorizados.
8.4.4.3 Tipos de procedimientos específicos
8.4.4.3.1 Procedimientos de gestión de incidentes/gestión estratégica

El objetivo de la gestión de incidentes es asegurar que la respuesta de la organización a un incidente
disruptivo sea eficaz a un nivel estratégico.
Los procedimientos deberían incluir las bases para gestionar todos los asuntos posibles de cara a la
organización durante un incidente, incluyendo los relativos a las partes interesadas.
La organización debería identificar una ubicación, un local o un espacio desde el cual se gestionen los
incidentes. Una vez establecida, esta ubicación debería ser el punto focal de la respuesta de la organi-
zación. Se debería designar un punto de reunión alternativo en una ubicación diferente para el caso en
que no sea posible el acceso a la ubicación principal. Cada ubicación debería tener acceso a recursos
apropiados mediante los cuales el equipo de gestión de incidentes pueda iniciar sin demora y con
eficacia las actividades de gestión de los incidentes.
La ubicación puede ser tan simple como una habitación de hotel, o la vivienda de un miembro del perso-
nal. También puede ser tan compleja como un 'centro de mando' con ordenadores personales, sistemas
de videoconferencia y múltiples teléfonos. Inicialmente, podría ser necesario mantener una reunión
virtual o fuera del lugar, por ejemplo, vía telefónica, teleconferencia o videoconferencia, para que las
decisiones esenciales se puedan tomar rápidamente.
- 55 - UNE-EN ISO 22313:2015
La ubicación elegida debería ser adecuada para la finalidad en cuestión y puede incluir:
– espacio para el número de personas necesarias;
– medios principales y secundarios eficaces de comunicación; y
– medios para acceder a y compartir la información, incluyendo la supervisión de los medios nuevos.
Otros equipos de respuesta pueden necesitar medios similares.
8.4.4.3.2 Procedimientos para comunicaciones

Los procedimientos para las comunicaciones se pueden incluir en los procedimientos de respuesta de
la gestión de incidentes o pueden estar separados para su utilización por un equipo independiente,
según sea adecuado.
Existe la necesidad de gestionar y coordinar activamente las muchas comunicaciones que se emitirán y
recibirán durante un incidente. Este procedimiento debería contener:
a) los detalles de cómo y bajo qué circunstancias la organización establecerá comunicación con los
empleados y sus familiares, con los contactos de emergencia y con otras partes interesadas;
b) los detalles de la respuesta de los medios de comunicación de la organización después de un inci-

dente, incluyendo:
1) la estrategia de las comunicaciones del incidente,
2) la interfaz preferida con los medios de comunicación,
3) sus directrices o patrones para la redacción de las declaraciones a los medios de comunicación,
4) un número adecuado de portavoces competentes, formados y autorizados para dar informa-

ción a los medios de comunicación.
La información preparada puede ser especialmente útil en las primeras etapas de un incidente. Permite
que una organización proporcione detalles acerca de la organización y de su negocio mientras aún se
están estableciendo los detalles del incidente.
Puede ser apropiado para:
– establecer una competencia adecuada para apoyar la unión con los medios de comunicación, o con
otros grupos de partes interesadas;
– establecer un número apropiado de personas formadas y competentes para responder a las consultas
telefónicas de la prensa;
– utilizar todos los canales de comunicación abiertos a la organización, incluidos los medios sociales; y
– preparar el material de referencia acerca de la organización y de sus operaciones (esta información

de debería acordar previamente a su divulgación).
UNE-EN ISO 22313:2015 - 56 -
También puede ser necesario tener en consideración a los grupos de presión o de acción comunitaria
que colectivamente tienen poder o influencia sobre la organización.
Se debería incluir un proceso para identificar y priorizar las comunicaciones con otras partes intere-
sadas esenciales. También puede ser necesario desarrollar un procedimiento independiente para la
gestión de las partes interesadas, que proporcione criterios para establecer prioridades y hacer
provisiones para asignar personas a cada parte interesada o grupo de partes interesadas.
8.4.4.3.3 Procedimientos para la seguridad y el bienestar

Las organizaciones tienen la responsabilidad directa de proteger el bienestar de los empleados, contra-
tistas, visitantes y clientes cuando un incidente supone un riesgo directo para la vida, el sustento y el
bienestar. Será necesario prestar especial atención a todos los grupos que presenten discapacidades u
otras necesidades específicas (por ejemplo, mujeres embarazadas, personas con discapacidad temporal
a causa de lesiones). El planificar con antelación el cumplimiento de estos requisitos puede reducir ries-
gos y tranquilizar a los afectados. Los impactos a largo plazo de los incidentes no se pueden subestimar.
El desarrollo de estrategias apropiadas en apoyo del bienestar humano puede promover directamente
la recuperación física y emocional dentro de la organización, y estas recuperaciones deberían tener en
cuenta las consideraciones sociales y culturales correspondientes.
Los elementos de respuesta sobre bienestar que se deberían incluir son:
– evacuación del lugar (incluido el 'refugio in situ' interno) y puntos de reunión;
– la movilización de equipos de seguridad, de primeras ayudas, y de evacuación; y
– localización y recuento de las personas que estaban en el lugar o en sus inmediaciones.
También se puede incluir lo siguiente:
– servicios de traslado;
– ayuda de transporte incluyendo las direcciones requeridas;
– conexiones designadas e información de contacto para servicios de emergencia, agencias apropiadas,

y primeros organismos de emergencia;
– localización de trabajadores o contratistas que se encuentren desplazados;
– gestión de líneas telefónicas de ayuda; y
– servicios de rehabilitación y de orientación (física y emocional).
La organización puede reservar medios para proporcionar servicios de entrevistas y asesoramiento al

personal afectado por el incidente, así como proporcionar apoyo a largo plazo. Estos servicios pueden
estar externalizados o se pueden facilitar como una ampliación de los programas existentes de salud
ocupacional y de ayuda a los empleados.
- 57 - UNE-EN ISO 22313:2015
La organización debería designar a personas con niveles de autoridad apropiados para servir de enlace
con los servicios de emergencia, cuando sea necesario. Los servicios de emergencia desempeñan una
función primordial en la protección de la vida y en el alivio al sufrimiento durante las emergencias. Por
ello, la temprana conexión, la planificación previa y la coordinación de incidentes en tiempo real entre
la organización y sus servicios de primera respuesta y los servicios de emergencia puede mejorar la
eficacia de la respuesta ante un incidente.
Todos los recursos requeridos deberían estar identificados específicamente. Estos recursos deberían
estar disponible de forma inmediata, y tener la capacidad de realizar su función prevista. La restricción
en el empleo de recursos se debería tener en consideración, y la aplicación de un recurso no debería
incurrir en una responsabilidad superior que pudiese hacer fallar el empleo del recurso. El coste del
recurso no debería pesar más que el beneficio que proporciona.
Los recursos que se pueden necesitar para dar respuesta al bienestar incluyen, aunque no se limitan a,
lo siguiente:
– las ubicaciones, las cantidades, la accesibilidad, la operabilidad, y el mantenimiento de los equipos

(por ejemplo, equipos para servicios pesados, protección, transporte, supervisión, descontami-
nación, respuesta, y protección personal);
– suministros (por ejemplo, material médico, de higiene personal, consumibles, administrativo, hielo);
– fuentes de energía (por ejemplo, electricidad, combustible);
– producción de energía de emergencia (generadores);
– sistemas de comunicaciones;
– alimentos y agua;
– información técnica;
– ropa y refugio;
– personal especializado (por ejemplo, médicos, religiosos, organizaciones de voluntarios, personal de

gestión de desastres/emergencias, trabajadores de servicios públicos, de servicios funerarios, y
contratistas privados);
– grupos de voluntarios especializados (por ejemplo, radioaficionados, organizaciones de carácter

religioso, agencias caritativas);
– apoyo de voluntarios, de comunidad, y de respuesta a emergencias; y
– agencias internacionales externas, nacionales, provinciales, tribales, territoriales, y locales.
8.4.4.3.4 Procedimientos de salvamento y de seguridad

La organización puede preparar procedimientos documentados que cubran el salvamento y la
seguridad. Estos pueden incluir directrices sobre:
– prioridades de salvamento de instalaciones, equipos e información documentada; y
UNE-EN ISO 22313:2015 - 58 -
– la seguridad de los edificios una vez ocupados por los servicios de emergencia;
– con anterioridad a un incidente, la organización puede nombrar contratistas especializados en salva-

mento. El salvamento eficaz de instalaciones, equipos e información documentada puede limitar los
impactos y permitir una vuelta más rápida a la normalidad del trabajo.
8.4.4.3.5 Procedimientos para la reanudación de las actividades

Cada procedimiento debería especificar:
– las actividades prioritarias a reanudar;
– los plazos en los que se han de reanudar;
– los niveles de recuperación necesarios para cada actividad prioritaria; y
– las situaciones en que se puede utilizar el procedimiento.
Cada procedimiento debería detallar cuando corresponda, los recursos que se requieren en diferentes
momentos de tiempo para conseguir los objetivos. Esto puede incluir:
– números de recursos;
– perfiles profesionales y cualificaciones;
– equipo técnico;
– medios de telecomunicaciones; y
– disponibilidad de recursos contratados, acordada mediante ayuda mutua, o la probabilidad de que

tales recursos estén disponibles.
En el caso de que la pérdida de un servicio o recurso amenace a la reanudación de las actividades, se

debería definir una escala de acciones. Estas acciones pueden incluir:
– la movilización de recursos externos y de terceras partes;
– la comunicación de las acciones de recuperación; y
– los procedimientos para implantar soluciones alternativas manuales, recuperación del sistema, pro-
cesos alternativos, etc.
Los requisitos de recursos se deberían documentar, y pueden incluir:
– registros vitales (soportes impresos y electrónicos);
– manuales de funcionamiento y de procedimientos;
– planes y procedimientos para la recuperación técnica de tecnologías de la información (TI);
– localización de instalaciones de almacenaje externas que utilice la organización;
- 59 - UNE-EN ISO 22313:2015
– localizaciones alternativas;
– autoridad/delegaciones para el pago de gastos de emergencia;
– una relación del personal con la experiencia necesaria para las unidades operativas;
– documentación de la infraestructura y de las aplicaciones de TI;
– fuente de apoyo de las telecomunicaciones;
– fuentes de equipos de oficina y especializados; y
– contactos con los servicios generales (agua, energía, etc.).
8.4.4.3.6 Recuperación de sistemas de tecnología de la información y las comunicaciones (TIC)

Los procedimientos para la reanudación de actividades deberían identificar los sistemas de TIC en que
se apoyan y la referencia a los procedimientos de continuidad de la TIC que existen.
Los procedimientos de continuidad de la TIC, si existen, deberían cubrir como mínimo:
– la activación de la respuesta de la TCI requerida y la recuperación y despliegue del personal de TCI;
– el acceso a los datos de reserva y la adquisición de una provisión de servicio alternativa; y
– la restauración de los datos, servicios de información y comunicaciones y apoyo;
– el calendario de disponibilidad y los requisitos de capacidad establecidos en los procedimientos de

continuidad del negocio permiten actividades para cumplir sus objetivos de tiempo de recuperación.
NOTA En la Norma ISO 27031 se pueden encontrar directrices adicionales.
8.4.5 Recuperación
La organización debería tener procedimientos documentados para regenerar y restituir operaciones de
negocio a partir de medidas temporales adoptadas para apoyar los requisitos normales del negocio
después de un incidente. Estos procedimientos deberían cubrir los requisitos de auditoría y los requi-
sitos de gobierno corporativo aplicables.
La finalidad de la recuperación es restablecer las actividades del negocio para apoyar los requisitos
normales del negocio después de un incidente disruptivo. La vuelta a la normalidad se puede conseguir:
– reparando los daños resultantes del incidente;
– emigrando las operaciones desde edificios temporales llevándolas de nuevo a la ubicación principal
del negocio una vez restaurada; o
– trasladándolas a una nueva ubicación.
Será necesario tomar la decisión de cómo mejor 'volver a la normalidad' en función de la severidad de
los daños causados por el incidente, y estimar cuanto tiempo se tardaría en establecer las instalaciones
necesarias.
UNE-EN ISO 22313:2015 - 60 -
Los procedimientos documentados deberían proporcionar una evaluación detallada de la situación y su

impacto, y la determinación de las tareas y pasos que se necesitan para la recuperación. Durante la
recuperación, la organización puede necesitar:
a) establecer recursos e infraestructura de recuperación;
b) operar en instalaciones de recuperación;
c) restaurar las instalaciones dañadas;
d) asegurar adquisiciones y fondos de emergencia;
e) equipo de salvamento en las instalaciones dañadas;
f) realizar reclamaciones contra las políticas de seguros existentes;
g) obtener mano de obra adicional para apoyar en el esfuerzo de recuperación;
h) seleccionar opciones para las restauraciones y la vuelta a la normalidad;
i) trasladar las operaciones a instalaciones de recuperación;
j) recuperar información documentada perdida;
k) comunicar con las partes interesadas aplicables a frecuencias apropiadas;
l) normalizar las operaciones en las instalaciones restauradas;
m) realizar un revisión posterior a la recuperación; y
n) realizar las diligencias necesarias en cuanto a los requisitos de auditoría y de gobierno corporativo.
Los procedimientos documentados para la recuperación deberían incluir la provisión para la reanu-
dación de todas las actividades y no solo las identificadas como actividades prioritarias. Esto reconoce
que las actividades con una prioridad más baja se tienen que reanudar en el mismo punto en tiempo, y
tener requisitos de recursos (8.3.2).
8.5 Pruebas y ensayos
8.5.1 Generalidades
Las disposiciones y los procedimientos de continuidad del negocio de una organización no se pueden
considerar fiables hasta que se hayan probado y siempre y cuando se mantengan actualizados. La reali-
zación de pruebas es esencial para garantizar que las estrategias, las políticas, los planes y los procedi-
mientos que se han establecido son adecuados y cumplen los objetivos de continuidad del negocio. Las
pruebas son esenciales para desarrollar el trabajo en equipo, la competencia, la confianza, y los conoci-
mientos, y se deberían incluir aquellas que se pueden requerir para la utilización de los procedimientos.
8.5.2 Programa de pruebas

Aunque aparentemente un procedimiento pueda estar bien diseñado e ideado, una serie de pruebas
robustas y realistas identificarán las áreas que necesitan ser mejoradas.
- 61 - UNE-EN ISO 22313:2015
Un programa de pruebas debería ser coherente con el alcance de los procedimientos de continuidad del
negocio, y darle la debida consideración a toda la legislación y reglamentación aplicables.
El programa de pruebas se debería diseñar de manera que, en un periodo de tiempo determinado,

demuestre la confianza objetiva de que, cuando se requiera, las disposiciones y los procedimientos de
continuidad del negocio funcionarán como estaba previsto. El programa debería:
a) probar los sistemas técnicos, logísticos, administrativos, de procedimiento, y otros sistemas

operativos de los procedimientos;
b) ejercitar a todas las personas con responsabilidades dentro de estos procedimientos;
c) probar las disposiciones y la infraestructura de continuidad del negocio (incluyendo, por ejemplo,
las ubicaciones de gestión de incidentes y las áreas de trabajo); y
d) validar la tecnología y la recuperación de las telecomunicaciones, incluyendo la disponibilidad y

reubicación del personal.
La envergadura y complejidad de las pruebas deberían ser apropiadas a los objetivos de continuidad del
negocio de la organización.
Debería existir un programa planificado de pruebas, donde la frecuencia de éstas debería depender de
las necesidades de la organización, del entorno ambiental en que ésta funciona y de los requisitos de las
partes interesadas. No obstante, la puesta en práctica del programa debería ser flexible, teniendo en
cuenta los cambios dentro de la organización y los resultados de las pruebas anteriores. Un cambio
importante en la organización puede disparar la programación de una prueba para examinar las dispo-
siciones revisadas.
El programa de pruebas debería considerar las funciones de todas las partes, incluidos los proveedores
esenciales de terceras partes, suministradores y otros agentes que podrían participar en actividades de
recuperación. Una organización puede incluir a tales partes en sus pruebas y puede participar en las
pruebas que éstas organizan.
El alcance y el detalle de las pruebas se deberían afianzar a medida que lo hace el programa en base a la
experiencia, los recursos y las posibilidades de la organización. En las fases iniciales, las pruebas y los
ensayos se pueden limitar al empleo de listas de verificación, sondeos y pruebas de concienciación. A
medida que el programa se vaya afianzando, se puede ampliar para incluir ejercicios de la parte superior
de la tabla y simulación en directo a escala natural.
8.5.3 Prueba de los planes de continuidad del negocio

Las pruebas son actividades diseñadas para examinar la capacidad de la organización para responder,
recuperarse y continuar realizando con eficacia las funciones de negocio asignadas cuando se enfrente
con escenarios disruptivos específicos. La organización debería utilizar las pruebas y los resultados
documentados de éstas para garantizar la eficacia y la disponibilidad de sus planes de continuidad del
negocio.
Cada prueba y ensayo debería tener sus metas y objetivos claramente definidos, y estar basada en un
escenario que sea apropiado para cumplirlos.
UNE-EN ISO 22313:2015 - 62 -
Las pruebas pueden:
– anticipar un resultado predeterminado, por ejemplo, planificado y contemplado con antelación; y
– permitir a la organización desarrollar soluciones innovadoras.
Las pruebas deberían ser realistas, cuidadosamente planificadas y acordadas con las partes aplicables,
de manera que exista un riesgo mínimo de interrupción de los procesos de negocio y de que se produzca
un incidente como consecuencia de la prueba. Esto se puede conseguir realizando la prueba dentro de
un entorno controlado y aislado a condición de que no se ponga en peligro la integridad de los objetivos
que se están ensayando.
La organización debería designar escenarios para las pruebas que satisfagan los objetivos de éstas, y se
pueden utilizar amenazas que estén identificadas en la evaluación del riesgo, u otros sucesos apropiados.
La eficacia de algunos aspectos de la continuidad del negocio requerirá que personas particulares o
aquellos que ocupan posiciones específicas, tengan conocimientos, perfiles profesionales y entendi-
mientos particulares. Estas personas deberían estar in situ antes de la prueba permitiendo a los partici-
pantes aplicarlos en escenarios y simulaciones aplicables.
Las pruebas se deberían diseñar y realizar de manera que proporcionen uno o varios de los resultados
siguientes:
a) la verificación de que se pueden conseguir los objetivos de tiempo de recuperación (8.3.1);
b) la confianza de que la información requerida por las actividades está adecuadamente actualizada
(8.3.2.3);
c) un mejor entendimiento de la dependencia respecto a la continuidad del negocio de los proveedo-

res, y de otras partes interesadas;
d) una mejor concienciación del contexto de la organización y de sus prioridades;
e) un mejor entendimiento del contenido y de la utilización de los procedimientos de continuidad del

negocio;
f) una mayor confianza en la respuesta a los incidentes;
g) una oportunidad para mejorar las capacidades;
h) una evaluación de la utilidad y de la aplicabilidad de las estrategias de continuidad del negocio;
i) una evaluación de la idoneidad de las capacidades desarrolladas y de las ubicaciones de recursos;
j) la identificación de los requisitos no documentados previamente y de las prácticas empleadas en la

gestión de un incidente o una interrupción;
k) una oportunidad para identificar inexactitudes en los procedimientos escritos de continuidad del
negocio y en la implantación de estos;
l) la seguridad de que los procedimientos de continuidad del negocio se pueden implantar cuando se
necesite;
- 63 - UNE-EN ISO 22313:2015
m) una mayor confianza de las partes interesadas respecto al grado de preparación de la organización; y
n) un medio de satisfacer los requisitos reguladores, contractuales o de gobierno de la organización.
Las pruebas pueden tener una variedad de formatos diferentes. La decisión sobre la idoneidad del tipo
de prueba dependerá del contexto de la GCN, de los objetivos de la prueba, de la disponibilidad presu-
puestaria y de participación, y de la tolerancia de la organización a la interrupción operacional causada
por el mantenimiento de la prueba.
Los tipos principales de pruebas se describen en la Norma ISO 22398 [Societal security – Guidelines for
exercises and testing (Protección y seguridad de los ciudadanos – Directrices para pruebas y ensayos)].
Como parte de la prueba, se debería programar una revisión con todos los participantes para discutir
los temas y las lecciones aprendidas. Esta información se debería documentar y actualizar a medida que
los procedimientos lo requieran.
Después de la prueba, la organización debería realizar un informe y un análisis donde se evalúe el logro
de las metas y objetivos de la prueba. También se debería redactar un informe posterior a la prueba que
contenga las recomendaciones y el calendario para su implantación.
Las enseñanzas obtenidas de las pruebas y de los incidentes reales experimentados, se deberían volver
a examinar durante pruebas futuras. Las pruebas que demuestren serias deficiencias o inseguridades
en los procedimientos, se deberían volver a realizar después de que se hayan terminado las acciones
correctoras.
Los beneficios de las pruebas y de los ensayos son:
– validación de la planificación del alcance, de las suposiciones y de las estrategias;
– garantía del correcto funcionamiento de las instalaciones técnicas y de los recursos;
– garantía de la capacidad de las instalaciones alternativas;
– aumento de la eficacia y reducciones de los tiempos necesarios para completar los procesos (por
ejemplo, utilizando enseñanzas repetidas para acortar los tiempos de respuesta;
– mejora de la concienciación de las partes interesadas; y
– fomento de la competencia y de la concienciación de los participantes.
9 Evaluación del rendimiento
9.1 Supervisión, medición, análisis y evaluación
9.1.1 Generalidades
Los procedimientos para evaluar el rendimiento y la eficacia del SGCN deberían incluir el estableci-
miento de métricas de rendimiento; la evaluación de la protección de las actividades prioritarias; la
confirmación del cumplimiento de los requisitos; el examen de las evidencias históricas; y el empleo de
información documentada para facilitar las posteriores acciones correctoras. Los procedimientos
también deberían hacer referencia a la política y a los objetivos de la continuidad del negocio.
UNE-EN ISO 22313:2015 - 64 -
Los procedimientos para supervisar el rendimiento deberían incluir lo siguiente:
a) establecimiento de métricas de rendimiento que incluyan mediciones cualitativas y cuantitativas

que sean apropiadas a las necesidades de la organización;
b) supervisión de la amplitud con que se cumplen la política y los objetivos de la continuidad del
negocio;
c) identificación de cuando se debería realizar la supervisión y la medición;
d) evaluación del rendimiento de los procesos, procedimientos y funciones que protegen a las
actividades prioritarias;
e) medidas proactivas del rendimiento que supervisen la conformidad con el SGCN con respecto a la
legislación aplicable;
f) medidas reactivas del rendimiento para supervisar fallos, incidentes, no conformidades (incluyen-
do desaciertos cercanos y alarmas falsas) y otras evidencias históricas de rendimiento deficiente
del SGCN; y
g) registro de datos y resultados de la supervisión y medición, suficientes para facilitar un posterior

análisis de las acciones correctoras.
Los procedimientos deberían proporcionar mediante medición sistemática, la supervisión y evaluación

de la continuidad del negocio de la organización sobre una base regular. Se debería desarrollar un
conjunto de indicadores de rendimiento para medir tanto el sistema de gestión como sus resultados. Las
mediciones pueden ser cuantitativas o cualitativas. Los indicadores de rendimiento pueden ser indica-
dores de gestión, operacionales o económicos. Los indicadores deberías proporcionar información útil
para identificar sucesos y áreas que requieran corrección o mejora.
El SGCN debería proporcionar datos de supervisión y de medición para identificar patrones y obtener
información relativa a su rendimiento. Estos datos se deberían utilizar para asegurar que se consiguen
la política y los objetivos de la organización, así como para identificar acciones correctoras y áreas de
mejora.
La organización debería poder demostrar que ha identificado, evaluado y cumplido los requisitos legales
y cualquier otro requisito al que se haya comprometido.
Los registros de todas las evaluaciones periódicas y sus resultados se deberían conservar.
La organización debería analizar y, a intervalos planificados, evaluar los resultados de las supervisiones
y de las mediciones.
9.1.2 Evaluación de los procedimientos de continuidad del negocio

La organización debería realizar evaluaciones de sus procedimientos de continuidad del negocio, a fin
de asegurar que continúan siendo convenientes, adecuados y eficaces.
Las evaluaciones deberían cubrir la posible necesidad de cambios en la política, los objetivos, las estra-
tegias, y otros elementos del SGCN, a la luz de hechos tales como resultados de las pruebas, revisiones
posteriores a incidentes, cambio de circunstancias y el compromiso de mejora continua.
- 65 - UNE-EN ISO 22313:2015
Las evaluaciones pueden tener la forma de auditorías internas o externas, o de autoevaluaciones. La

frecuencia y duración de las revisiones pueden estar influenciadas por leyes y reglamentos, dependien-
do del tamaño, la naturaleza y el estado legal de la organización. También podrían estar influenciadas
por los requisitos de partes interesadas.
Una evaluación de los procedimientos de continuidad del negocio de la organización debería verificar
que:
a) todos los productos y servicios esenciales y sus actividades y recursos de apoyo se han identificado
e incluido en la estrategia de continuidad del negocio de la organización;
b) la política de continuidad del negocio de la organización, las estrategias, el marco de trabajo y los
procedimientos de continuidad del negocio reflejan con precisión sus prioridades y requisitos (los
objetivos de la organización);
c) la competencia de las personas y la continuidad del negocio de la organización son eficaces y

adecuados a los objetivos, y permitirán la gestión, mando, control y coordinación de las respuestas
de la organización a un incidente disruptivo;
d) las soluciones de continuidad del negocio de la organización son eficaces, están actualizadas y
adecuadas a los objetivos y apropiadas al nivel de riesgo al que se enfrenta la organización;
e) los programas de mantenimiento y de pruebas de la continuidad del negocio de la organización se

han implantado eficazmente;
f) las estrategias y procedimientos de continuidad del negocio incorporan las mejoras identificadas
durante los incidentes y las pruebas y en el programa de mantenimiento;
g) la organización tiene un programa continuo para la formación sobre continuidad del negocio y para
la concienciación;
h) los procedimientos de continuidad del negocio se han comunicado eficazmente al personal, y que
éste ha entendido sus funciones y responsabilidades; y
i) los procesos de control de cambios están instalados y funcionan eficazmente.
Se debería establecer un programa de mantenimiento claramente definido y documentado. Este

programa debería:
– garantizar que todos los cambios (internos o externos) que impacten en la organización se revisan
con respecto a la GCN;
– identificar cualquier nuevo producto o servicio y sus actividades dependientes que se tenga que
incluir en el SGCN;
– garantizar que la continuidad del negocio de la organización continua siendo eficaz, adecuada a los
objetivos y que está actualizada; y
– permitir que los programas de pruebas existentes se puedan modificar cuando haya un cambio
significativo en cualquiera de las estrategias de continuidad del negocio o en los procesos asociados
al negocio.
UNE-EN ISO 22313:2015 - 66 -
NOTA Para la organización, un método eficaz de evaluar el impacto de los cambios principales en el negocio consiste en revisar
el análisis de impacto en el negocio (8.2.2) en la primera oportunidad y, en base a los resultados, hacer cambios en otros
elementos de la GCN.
Los resultados del proceso de mantenimiento deberían incluir:
– la evidencia documentada de la gestión proactiva y de gobierno de la GCN de la organización;
– la verificación de que las personas esenciales que han de implantar la estrategia y los procedimientos
de la continuidad del negocio están formados profesionalmente y son competentes;
– la verificación de la planificación operacional y del control de la GCN;
– la evidencia de que la organización ha evaluado la conformidad de sus procedimientos de continui-

dad del negocio; y
– la evidencia de que los cambios importantes en la estructura de la organización, en los productos y

servicios, y en las actividades, se han reflejado oportunamente en los procedimientos de continuidad
del negocio de la organización.
En el caso de un incidente que interrumpa las actividades prioritarias de la organización o que requiera
una respuesta al mismo, se debería realizar una revisión posterior al incidente. Esta revisión puede
incluir:
– la identificación de la naturaleza y la causa del incidente;

– la evaluación de la idoneidad de la respuesta de la organización;
– la evaluación de la eficacia de la organización para cumplir sus objetivos de tiempo de recuperación;
– la evaluación de la idoneidad de las disposiciones de continuidad del negocio en la preparación de

sus empleados para los incidentes;
– la identificación de las mejoras a introducir en las disposiciones de continuidad del negocio;
– la comparación de los impactos reales con los considerados durante el análisis de impacto en el
negocio (8.2.2);
– la obtención de información sobre resultados de las partes interesadas y de aquellos que han partici-
pado en la respuesta.
En el contexto de la mejora continua, la organización puede adquirir conocimiento de nuevas prácticas

y tecnologías sobre la GCN, incluyendo nuevas herramientas y técnicas. Tales prácticas y tecnologías se
deberían evaluar para establecer sus potenciales beneficios para la organización.
La información documentada relativa a todas las evaluaciones periódicas y a sus resultados se debería
conservar como evidencia de las mismas.
9.2 Auditoría interna

La organización debería realizar auditorías internas a intervalos de tiempo programados para poder
garantizar que el SGCN es conforme con sus propios requisitos y con los requisitos de esta norma inter-
nacional.
- 67 - UNE-EN ISO 22313:2015
Es esencial realizar auditorías internas del SGCN para garantizar que este sistema está consiguiendo sus
objetivos de acuerdo con sus disposiciones programadas, y que ha sido correctamente implantado y
mantenido, y para identificar las oportunidades de mejora. Las auditorías internas del SGCN se deberían
realizar a intervalos de tiempo programados, para determinar y proporcionar a la alta dirección
información sobre la conveniencia y eficacia del SGCN, así como para proporcionar una base para
establecer objetivos para la mejora continua del rendimiento del SGCN.
La organización debería establecer un programa de auditorías (véase la Norma ISO 19011) para dirigir
la planificación y realización de auditorías, e identificar las auditorías necesarias para cumplir los objeti-
vos del programa. Dicho programa se debería basar en la naturaleza de las actividades de la organiza-
ción, en términos de su gestión del riesgo y del análisis de impactos, en los resultados de auditorías
anteriores, y en otros factores relevantes.
Un programa de auditorías internas se debería basar en el alcance total del SGCN, sin embargo, no es
necesario que cada auditoría cubra al sistema completo de una vez. Las auditorías se pueden dividir en
partes más pequeñas, de manera que el programa de auditorías asegure que todas las unidades,
funciones, actividades y elementos del sistema organizacional y todo el campo de aplicación del SGCN
se auditen dentro del periodo de tiempo establecido por la organización.
Los resultados de una auditoría interna del SGCN se pueden proporcionar bajo la forma de un informe,
y utilizar para corregir o impedir no conformidades específicas, y constituyen la entrada para realizar
la revisión de la gestión.
Las auditorías internas del SGCN pueden ser realizadas por personal de la propia organización o por
personas externas seleccionadas por la organización y que trabajen en nombre de ésta. En cualquiera
de ambos casos, las personas que realicen las auditorías deberían ser competentes y estar en una
posición de imparcialidad y de objetividad. En organizaciones pequeñas, el auditor puede ser una
persona independiente que esté exenta de responsabilidad con la actividad que esté auditando.
9.3 Revisión de la gestión

La alta dirección debería revisar el SGCN de la organización a intervalos de tiempo programados, para
garantizar que continúa siendo conveniente, adecuado y eficaz, incluyendo el funcionamiento eficaz de
sus procedimientos de continuidad y sus capacidades.
La revisión de la gestión debería incluir la valoración de:
– el estado de las actividades en las revisiones anteriores;
– el rendimiento del sistema de gestión, incluidas las tendencias aparentes de las no conformidades y
las acciones correctoras, los resultados de las supervisiones y de las mediciones, y las conclusiones
de las auditorías;
– los cambios en la organización y en su contexto (4.1) que podrían impactar en el sistema de gestión; y
– las oportunidades de mejora continua.
La revisión de la gestión proporciona a la alta dirección la oportunidad de evaluar si el sistema de gestión

sigue siendo conveniente, adecuado y eficaz. La revisión de la gestión debería cubrir el campo de
aplicación del SGCN, aunque no es necesario revisar todos los elementos de una vez, y el proceso de
revisión puede tener lugar durante un periodo de tiempo determinado.
UNE-EN ISO 22313:2015 - 68 -
La revisión de la implantación y de los resultados del SGCN por la alta dirección se debería programar y
evaluar regularmente. Aunque la revisión continua del sistema es aconsejable, la revisión formal se
debería estructurar, documentar adecuadamente y programar sobre una base adecuada. Las personas
que estén implicadas en la implantación del SGCN y en la asignación de sus recursos, se deberían
implicar en la revisión de la gestión.
Además de las revisiones del sistema de gestión programadas regularmente, los factores siguientes
pueden obligar a una revisión, y aunque esto no ocurra, se deberían examinar una vez en una revisión
de las programadas:
a) tendencias del sector/de la industria: Las iniciativas importantes del sector/de la industria
deberían requerir una revisión del SGCN. Las tendencias generales y las mejores prácticas en el
sector/la industria y en las técnicas de planificación de la continuidad del negocio/operacional, se
pueden utilizar para fines de comparación de rendimientos;
b) requisitos reguladores: Los requisitos reglamentarios nuevos pueden requerir una revisión del
SGCN; y
c) experiencia en incidentes: Después de la respuesta a un incidente disruptivo se debería realizar

una revisión, tanto si se ha activado o no el procedimiento de respuesta. Si se ha activado, la revisión
debería tener en cuenta el historial de procedimientos de respuesta, cómo ha funcionado, por qué
razón se ha activado, etc. Si el procedimiento de respuesta no se activó, la revisión debería examinar
por qué se hizo así y si la decisión fue o no apropiada.
Una revisión de la gestión debería dar como resultado mejoras en la eficacia y en el rendimiento del
SGCN, y puede dar lugar a los cambios siguientes:
– variaciones en su campo de aplicación;
– mejoras de su eficacia;
– actualización de los procedimientos de continuidad del negocio; y
– cambios en los controles y en la forma de medir las eficacias de estos.
La organización debería conservar información documentada como evidencia de los resultados de las
revisiones de la gestión, y además debería:
– comunicar los resultados de la revisión de la gestión a las partes interesadas aplicables; y
– tomar las acciones apropiada con respecto a estos resultados.
10 Mejora
10.1 No conformidad y acción correctora

La organización debería identificar las no conformidades, y aplicar las acciones necesarias para contro-
larlas, contenerlas y corregirlas, hacer frente a sus consecuencias y evaluar la necesidad de aplicar
alguna acción para eliminar sus causas.
- 69 - UNE-EN ISO 22313:2015
La organización debería establecer procedimientos eficaces para garantizar que la no cumplimentación

de un requisito, el método de planificación y las debilidades asociadas con el SGCN, se identifican y
comunican oportunamente para impedir una posterior ocurrencia de la situación, así como que se
identifican y cubren las causas principales. Los procedimientos deberían permitir la detección continua,
el análisis y la eliminación de las causas reales y potenciales de las no conformidades.
Las no conformidades se deberían identificar y tratar oportunamente y se deberían aplicar las acciones
correctoras para tratarlas. La acción correctora puede partir de una declaración de no conformidad bien
definida que muestre claramente el problema y su entendimiento.
Cuando se identifica cualquier no conformidad, se debería llevar a cabo una investigación sobre su causa
principal y desarrollar un plan de acción correctora para atajar inmediatamente el problema. El plan de
acción se debería diseñar de manera que se mitiguen las consecuencias y se identifiquen los cambios a
realizar para corregir la situación, restablecer las operaciones normales y eliminar las causas, a fin de
impedir que el problema se repita. La naturaleza y duración de las acciones deberían ser apropiadas al
tamaño y a la naturaleza de la no conformidad y de sus potenciales consecuencias.
Un problema potencial se puede identificar salvo que no exista una no conformidad real. Los problemas
potenciales se pueden extrapolar a partir de acciones correctoras de no conformidades reales, identifi-
cadas durante el proceso de auditoría interna del SGCN o del análisis de tendencias y sucesos de la
industria. La identificación de las no conformidades potenciales también puede formar parte de las
responsabilidades rutinarias de las personas enteradas de la importancia de notificar y comunicar
problemas reales o potenciales.
El establecer procedimientos para tratar las no conformidades reales y potenciales y para aplicar las
acciones correctoras sobre una base de continuidad ayuda a asegurar la fiabilidad y la eficacia del SGCN.
Los procedimientos deberían definir las responsabilidades, la autoridad y los pasos a dar para planificar
y aplicar la acción correctora. La alta dirección debería garantizar que se implantan las acciones
correctoras y que se lleva a cabo un seguimiento sistemático para evaluar la eficacia de las mismas.
10.2 Mejora continua

La organización debería mejorar continuamente la eficacia del SGCN.
La mejora continua funciona a todos los niveles dentro del ciclo PDCA y debería ser dirigida por la
política y los objetivos de continuidad del negocio, los resultados de las auditorías, los análisis de sucesos
supervisados, las acciones correctoras y la revisión de la gestión.
Los cambios resultantes de las acciones correctoras se deberían reflejar en la documentación del SGCN.
La mejora continua requiere un proceso que identifique correctamente los problemas y las no
conformidades y que las fije. Este proceso debería identificar la naturaleza del problema y el entorno
dentro del cual se produce, e incluso los cambios en el entorno para asegurar que el problema no vuelve
a ocurrir. Cada paso se debería crear y mejorar sobre el paso anterior, de manera que la mejora cubra
más aspectos que los que presentaba el problema original identificado, y tenga un efecto más amplio y
más enérgico sobre la organización.
La implantación de acciones correctoras se debería validar como eficaz. Cada acción debería tener una
fecha estimada de terminación. Después de esa fecha, la organización debería asegurar que la acción
prescrita se realizó y que fue eficaz. Si la revisión revela que la acción no tuvo el éxito esperado, se
debería establecer una nueva fecha para la acción.
UNE-EN ISO 22313:2015 - 70 -
El proceso de mejora continua debería seguir el mismo proceso básico utilizado para las acciones
correctoras, e incluir lo siguiente:
– identificar lo que hay que cubrir y la condición presente (no conformidad);
– identificar el proceso y los controles presentes (causa principal); y
– determinar los cambios a implantar (acción correctora).
Las acciones correctoras cubren las deficiencias en el SGCN y aseguran que éste funciona según lo
previsto, a la vez que las mejoras continuas aportan al SGCM un nivel superior de eficacia y efectividad.
- 71 - UNE-EN ISO 22313:2015
Bibliografía
[1] ISO 19011:2011, Guidelines for auditing management systems.
[2] ISO 20000 (todas las partes), Information technology. Service management.
[3] ISO 223981), Societal security. Guidelines for exercises.
[4] ISO/PAS 22399:2007, Societal security. Guideline for incident preparedness and operational
continuity management.
[5] ISO 27002:2005, Information technology. Security techniques. Code of practice for information
security management.
[6] ISO 27031:2011, Information technology. Security techniques. Guidelines for information and
communication technology readiness for business continuity.
[7] ISO 31000:2009, Risk management. Principles and guidelines.
[8] BSI 25999-1:2006, Business continuity management. Code of practice.
[9] BSI 25999-2:2007, Business continuity management. Specification.
[10] HB 221:2004, Business continuity management, Standards Australia/Standards New Zealand,

ISBN 0-7337-6250-6.
[11] SI 24001:2007, Security and continuity management systems. Requirements and guidance for use,
Standards Institution of Israel.
[12] NFPA. 1600:2007, Standard on disaster/emergency management and business continuity

programs, National Fire Protection Association (USA).
[13] Business Continuity Plan Drafting Guideline. Ministry of Economy, Trade and Industry, Japan, 2005.
[14] Business Continuity Guideline, Central Disaster Management Council, Cabinet Office, Government
of Japan, 2005.
[15] ANSI/ASIS SPC.1:2009, Organizational Resilience: Security, Preparedness, and Continuity

Managements Systems. Requirements with Guidance for Use.
[16] ANSI/ASIS/BSI BCM.01:2010, Business Continuity Management Systems: Requirements with

Guidance for Use.
[17] SS 540:2008, Singapore Standard for Business Continuity Management.
1) Pendiente de publicación.
Para información relacionada con el desarrollo de las normas contacte con:
Asociación Española de Normalización
Génova, 6
28004 MADRID-España
Tel.: 915 294 900
info@une.org
www.une.org
Para información relacionada con la venta y distribución de las normas contacte con:
AENOR INTERNACIONAL S.A.U.
Tel.: 914 326 000
normas@aenor.com
www.aenor.com
organismo de normalización español en:

Une-En Iso 22313 - 2015

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Une-En Iso 22313 - 2015

Cargado por

Copyright:

Formatos disponibles

Norma Española

Protección y seguridad de los ciudadanos

Esta norma ha sido elaborada por el comité técnico

Protección y seguridad de los ciudadanos

Societal security. Business continuity management systems. Guidance (ISO 22313:2012).

Sécurité sociétale. Systèmes de management de la continuité d'activité. Lignes directrices

Esta norma anula y sustituye a la Norma UNE-ISO 22313:2013.

Las observaciones a este documento han de dirigirse a:

Asociación Española de Normalización

Protección y seguridad de los ciudadanos

Esta norma europea ha sido aprobada por CEN el 2014-10-18.

COMITÉ EUROPEO DE NORMALIZACIÓN

 2014 CEN. Derechos de reproducción reservados a los Miembros de CEN.

Prólogo europeo .................................................................................................................................6

1 Objeto y campo de aplicación..................................................................................... 13

2 Normas para consulta ................................................................................................... 14

4 Contexto de la organización ....................................................................................... 14

9 Evaluación del rendimiento ....................................................................................... 63

ISO (Organización Internacional de Normalización) es una federación mundial de organismos

Un sistema de gestión de la continuidad del negocio (SGCN) subraya la importancia de:

– el entendimiento de las necesidades de la organización y de la necesidad de establecer la política y

– la implantación y la aplicación de controles y medidas para gestionar la capacidad global de la

– la supervisión y revisión del rendimiento y la eficacia del SGCN; y

– la mejora continua basada en mediciones objetivas.

b) personas con responsabilidades definidas;

c) procesos de gestión asociados a:

4) la evaluación del rendimiento,

5) la revisión por la dirección, y

d) un conjunto de documentos que proporcionan pruebas auditables; y

e) todos los procesos de SGCN relevantes para la organización.

El ciclo "Planificar-Hacer-Verificar-Actuar" (PDCA)

Figura 1 – Modelo PDCA aplicado a procesos de SGCN

Tabla 1 – Explicación del modelo PDCA

Componentes del modelo PDCA en esta norma internacional

Tabla 2 – Relación entre el modelo PDCA y los capítulos 4 a 10

Componente PDCA Capítulo donde se trata el componente PDCA

Continuidad del negocio

La continuidad del negocio es la capacidad de la organización para continuar suministrando productos

La finalidad de los diagramas siguientes (figuras 2 y 3) es ilustrar conceptualmente cómo la continuidad

Figura 2 – Ilustración de la eficacia de la continuidad del negocio

Figura 3 – Ilustración de la eficacia de la continuidad del negocio para interrupciones

1 Objeto y campo de aplicación

a) establecer, implantar, mantener y mejorar un SGCN;

b) asegurar la conformidad con la política de continuidad del negocio de la organización; y

2 Normas para consulta

ISO 22300, Protección y seguridad de los ciudadanos. Terminología.

4.1 Entendimiento de la organización y su contexto

– el entorno político, legal y reglamentario si es de nivel internacional, nacional, regional o local;

– el entorno social y cultural, financiero, tecnológico, económico, natural y competitivo, si es de nivel

– los compromisos y relaciones de la cadena de abastecimiento;

– relaciones con, y percepciones y valores de, partes interesadas externas a la organización.

– sistemas de información, flujos de información, y procesos de toma de decisiones (tanto formales

– partes interesadas dentro de la organización;

– políticas y objetivos, y las estrategias aplicadas para conseguirlos;

– oportunidades futuras y prioridades del negocio;

– percepciones, valores y cultura;

– normas y modelos de referencia adoptados por la organización;

– estructuras (por ejemplo, gobierno, funciones y responsabilidades).

4.2 Entendimiento de las necesidades y expectativas de las partes interesadas

Figura 4 – Ejemplos de partes interesadas a considerar en sectores públicos y privados

4.2.2 Requisitos legales y reglamentarios

a) respuesta a incidentes: incluyendo la gestión de emergencias y la legislación sobre salud, seguridad