Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Asociación Española
de Normalización
Génova, 6 - 28004 Madrid
915 294 900
info@une.org
www.une.org
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313
Esta norma es la versión oficial, en español, de la Norma Europea EN ISO 22313:2014, que
a su vez adopta la Norma Internacional ISO 22313:2012.
Esta versión corregida de la Norma UNE-EN ISO 22313:2015 incorpora las siguientes correcciones:
Se sustituye el último guion del apartado 7.5.1 por "– acta de reunión para revisión del SGCN."
UNE 2019
Prohibida la reproducción sin el consentimiento de UNE.
Todos los derechos de propiedad intelectual de la presente norma son titularidad de UNE.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
NORMA EUROPEA
EUROPEAN STANDARD
EN ISO 22313
NORME EUROPÉENNE
EUROPÄISCHE NORM Noviembre 2014
ICS 03.100.01
Versión en español
Los miembros de CEN están sometidos al Reglamento Interior de CEN/CENELEC que define las
condiciones dentro de las cuales debe adoptarse, sin modificación, la norma europea como norma
nacional. Las correspondientes listas actualizadas y las referencias bibliográficas relativas a estas
normas nacionales pueden obtenerse en el Centro de Gestión de CEN/CENELEC, o a través de sus
miembros.
Esta norma europea existe en tres versiones oficiales (alemán, francés e inglés). Una versión en otra
lengua realizada bajo la responsabilidad de un miembro de CEN en su idioma nacional, y notificada al
Centro de Gestión de CEN/CENELEC, tiene el mismo rango que aquéllas.
Los miembros de CEN son los organismos nacionales de normalización de los países siguientes:
Alemania, Antigua República Yugoslava de Macedonia, Austria, Bélgica, Bulgaria, Chipre, Croacia,
Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia,
Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido,
República Checa, Rumanía, Suecia, Suiza y Turquía.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 -4-
Índice
Declaración ...........................................................................................................................................6
Prólogo ...................................................................................................................................................7
0 Introducción ........................................................................................................................8
3 Términos y definiciones............................................................................................... 14
5 Liderazgo ........................................................................................................................... 18
5.1 Liderazgo y compromiso.............................................................................................. 18
5.2 Compromiso de la dirección ....................................................................................... 18
5.3 Política ................................................................................................................................ 19
5.4 Funciones, responsabilidades y autoridad de las organizaciones ............... 20
6 Planificación ..................................................................................................................... 21
6.1 Acciones para cubrir riesgos y oportunidades .................................................... 21
6.2 Objetivos de la continuidad del negocio y planes para conseguirlos .......... 21
7 Apoyo .................................................................................................................................. 22
7.1 Recursos............................................................................................................................. 22
7.2 Competencia ..................................................................................................................... 23
7.3 Concienciación................................................................................................................. 25
7.4 Comunicación .................................................................................................................. 27
7.5 Información documentada.......................................................................................... 27
8 Operación .......................................................................................................................... 30
8.1 Planificación y control operacional ......................................................................... 30
8.2 Análisis de impacto en el negocio y valoración del riesgo .............................. 34
8.3 Estrategia de continuidad del negocio.................................................................... 38
8.4 Establecimiento e implantación de procedimientos de continuidad
del negocio ........................................................................................................................ 48
8.5 Pruebas y ensayos .......................................................................................................... 60
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
-5- UNE-EN ISO 22313:2015
10 Mejora ................................................................................................................................. 68
10.1 No conformidad y acción correctora ....................................................................... 68
10.2 Mejora continua .............................................................................................................. 69
Bibliografía ........................................................................................................................................ 71
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 -6-
Prólogo europeo
El texto de la Norma ISO 22313:2012 del Comité Técnico ISO/TC 223 Seguridad de los ciudadanos, de la
Organización Internacional de Normalización (ISO), ha sido adoptado como Norma EN ISO 22313:2014
por el Comité Técnico CEN/TC 391 Protección y seguridad de los ciudadanos, cuya Secretaría desempeña
NEN.
Esta norma europea debe recibir el rango de norma nacional mediante la publicación de un texto
idéntico a ella o mediante ratificación antes de finales de mayo de 2015, y todas las normas nacionales
técnicamente divergentes deben anularse antes de finales de mayo de 2015.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento estén
sujetos a derechos de patente. CEN y/o CENELEC no es(son) responsable(s) de la identificación de
dichos derechos de patente.
De acuerdo con el Reglamento Interior de CEN/CENELEC, están obligados a adoptar esta norma europea
los organismos de normalización de los siguientes países: Alemania, Antigua República Yugoslava de
Macedonia, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España,
Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo,
Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumanía, Suecia, Suiza y
Turquía.
Declaración
El texto de la Norma ISO ISO 22313:2012 ha sido aprobado por CEN como Norma EN ISO 22313:2014
sin ninguna modificación.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
-7- UNE-EN ISO 22313:2015
Prólogo
Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las
Directivas ISO/IEC.
La tarea principal de los comités técnicos es preparar normas internacionales. Los proyectos de normas
internacionales adoptados por los comités técnicos se envían a los organismos miembros para votación.
La publicación como norma internacional requiere la aprobación por al menos el 75% de los organismos
miembros que emiten voto.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera
o todos los derechos de patente.
La Norma ISO 22313 fue preparada por el Comité Técnico ISO/TC 223, Seguridad de los ciudadanos.
Con fines de investigación, invitamos a los usuarios de la Norma ISO 22313:2012 a compartir sus
impresiones y sus prioridades para los cambios en futuras ediciones del documento. A continuación
encontrará un enlace a la encuesta online:
http://www.surveymonkey.com/s/22313
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 -8-
0 Introducción
Generalidades
Esta norma internacional proporciona directrices, cuando sea adecuado, sobre los requisitos especifi-
cados en la Norma ISO 22301:2012, así como recomendaciones ("debería") y autorizaciones ("puede")
con respecto a tales directrices. Esta norma internacional no tiene la intención de proporcionar
directrices generales sobre todos los aspectos de la continuidad del negocio.
Esta norma internacional incluye los mismos encabezamientos que la Norma ISO 22301, pero no repite
los requisitos de los sistemas de gestión de la continuidad del negocio y sus términos y definiciones
asociados. Las organizaciones que deseen estar informadas sobre tales requisitos deben consultar las
Normas ISO 22301 e ISO 22300.
Para facilitar aclaraciones y explicaciones adicionales de los puntos clave, esta norma internacional
incluye un determinado número de figuras. Todas esas figuras únicamente tienen fines ilustrativos y el
texto asociado tiene su precedente en el cuerpo de esta norma internacional.
Un SGCN, como cualquier otro sistema de gestión, tiene los siguientes componentes fundamentales:
a) una política;
1) la política,
2) la planificación,
3) la implantación y la operación,
6) la mejora,
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
-9- UNE-EN ISO 22313:2015
Normalmente, la continuidad del negocio es un asunto específico de una organización, sin embargo, su
implantación puede tener implicaciones de gran alcance sobre la comunidad en su conjunto y sobre
otras terceras partes. Es probable que una organización tenga organizaciones externas de las que
dependa y habrá otras organizaciones que dependan de ella. Por ello, una continuidad del negocio
efectiva contribuye a una sociedad más elástica.
Esta norma internacional aplica el ciclo "Planificar-Hacer-Verificar-Actuar" [conocido por sus siglas en
inglés PDCA (Plan-Do-Chech-Act)] para planificar, establecer, implantar, operar, monitorizar, revisar,
mantener y mejorar continuamente la eficacia del SGCN de una organización.
La figura 1 muestra cómo el SGCN toma los requisitos de las partes interesadas como entradas para la
gestión de la continuidad del negocio (GCN) y, a través de las acciones y los procesos necesarios, produce
resultados para la continuidad del negocio (es decir, continuidad del negocio gestionada) que cumplen
esos requisitos.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 10 -
Planificar Establecer la política de continuidad del negocio, los objetivos, los controles, los procesos
(Establecer) y los procedimientos necesarios para mejorar la continuidad del negocio con el fin de
obtener resultados acordes con las políticas y objetivos generales de la organización.
Hacer Implantar y operar la política, los controles, los procesos y los procedimientos de
(Implantar y operar) continuidad del negocio.
Verificar Supervisar y revisar el rendimiento según los objetivos y la política de continuidad del
(Supervisar y revisar) negocio, informar de los resultados a la dirección de la organización para su revisión, y
determinar y autorizar las medidas para su corrección y mejora.
Actuar Mantener y mejorar el SGCN mediante la aplicación de medidas correctoras, basadas en
(Mantener y mejorar) los resultados de la revisión por la dirección de la organización, y reevaluando el alcance
del SGCN y la política y los objetivos de continuidad del negocio.
Existe una relación directa entre el contenido de la figura 1 y los capítulos de esta norma internacional.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 11 - UNE-EN ISO 22313:2015
La colocación de la gestión de la continuidad del negocio (GCN) en el seno del marco y de las disciplinas
de un sistema de gestión crea un sistema de gestión de la continuidad del negocio (SGCN) que permite
que la GCN será controlada, evaluada y mejorada de forma continua.
En esta norma internacional, la palabra negocio se utiliza como un térmico muy amplio para las
operaciones y servicios realizados por una organización en busca de sus objetivos, metas o misiones.
También es igualmente aplicable a organizaciones grandes, medianas y pequeñas que operan en los
sectores industriales, comerciales, públicos, y altruistas.
Cualquier incidente, grande o pequeño, natural, accidental o provocado, tiene la posibilidad de causar
interrupciones importantes en las operaciones de la organización y en su capacidad de suministrar
productos y servicios. Sin embargo, la implantación de la continuidad del negocio antes de que se
produzca un incidente disruptivo, permitirá a la organización, en vez de esperar a que esto suceda,
continuar las operaciones antes de que se alcancen niveles de impacto inaceptables.
La GCN implica:
a) tener claro los productos y servicios esenciales de la organización y las actividades que los
proporcionan;
b) conocer las prioridades por reanudación de las actividades y los recursos que requieren;
c) tener un conocimiento claro de las amenazas contra estas actividades, incluyendo sus dependen-
cias, y sabiendo los impactos de no reanudarlas;
d) tener disposiciones probadas y de confianza in situ para reanudar estas actividades después de un
incidente disruptivo; y
e) tener la seguridad de que estas disposiciones se revisan y actualizan de manera rutinaria para que
sean eficaces en todas las circunstancias.
La continuidad del negocio puede ser eficaz tratando tanto incidentes disruptivos (por ejemplo, explo-
siones) como graduales (por ejemplo, pandemia gripal).
Las actividades se interrumpen a causa de una amplia variedad de incidentes, muchos de los cuales son
difíciles de predecir o de analizar. Centrándose en el impacto de la interrupción antes que en la causa, la
continuidad del negocio identifica aquellas actividades de las cuales depende la organización para su
supervivencia, y que le permiten determinar lo que requiere para continuar cumpliendo sus obliga-
ciones. A través de la continuidad del negocio, una organización puede reconocer lo que necesita hacer
para proteger sus recursos (por ejemplo, personas, edificios, tecnología e información), su cadena de
abastecimiento, sus partes interesadas y su reputación, antes de que se produzca un incidente disrup-
tivo. Con este reconocimiento, la organización puede tener una visión realista sobre las respuestas que
probablemente se necesiten cuando se produzca una interrupción, para que se pueda tener la seguridad
de gestionar las consecuencias y de evitar impactos inaceptables.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 12 -
Una organización con una continuidad del negocio apropiada también puede tener la ventaja de
disponer de oportunidades que, en caso contrario, se podría juzgar como un riesgo demasiado elevado.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 13 - UNE-EN ISO 22313:2015
Esta norma internacional no pretende establecer una estructura uniforme para un SGCN, sino que una
organización diseñe un SGCN que sea apropiado a sus necesidades y que cumpla los requisitos de sus
partes interesadas. Estas necesidades se modelan de acuerdo con requisitos legales, reglamentarios,
organizacionales e industriales, con los productos y los servicios, con los procesos empleados, con el
entorno ambiental en que opera, con el tamaño y la estructura de la organización, y con los requisitos
de sus partes interesadas.
Esta norma internacional es genérica y aplicable a todos los tamaños y tipos de organizaciones, incluidas
organizaciones grandes, medianas y pequeñas que operen en sectores industriales, comerciales,
públicos y altruistas, que deseen:
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 14 -
c) hacer una autodeterminación y una autodeclaración de conformidad con esta norma internacional.
Esta norma internacional no se puede utilizar para evaluar la capacidad de una organización para
cumplir sus propias necesidades de continuidad del negocio, ni las necesidades legales o reglamentarias
de cualquier cliente. Las organizaciones que deseen hacer esto, pueden utilizar los requisitos de la
Norma ISO 22301 para demostrar la conformidad o buscar la certificación de su SGCN por un organismo
acreditado de certificación por tercera parte.
ISO 22301, Protección y seguridad de los ciudadanos. Sistema de Gestión de la Continuidad del Negocio.
Especificaciones.
3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones incluidos en las Normas
ISO 22300 e ISO 22301.
4 Contexto de la organización
La organización debería evaluar y entender los factores internos y externos que son relevantes para su
finalidad y sus operaciones. Esta información se debería tener en cuenta al establecer, implantar,
mantener y mejorar el SGCN de la organización, y al asignar prioridades.
La evaluación del contexto externo de la organización debería incluir, cuando corresponda, los siguien-
tes factores:
– la consideración de estudios internos sobre los riesgos, teniendo en cuenta otros sistemas de gestión
de la información aplicables, y más generalmente, cualquier información procedente del entendi-
miento de la gestión;
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 15 - UNE-EN ISO 22313:2015
– impulsores y tendencias esenciales que tengan impacto sobre los objetivos y el funcionamiento de la
organización; y
La evaluación del contexto interno de la organización debería incluir, cuando corresponda, los siguien-
tes factores:
– productos y servicios, actividades, recursos, cadenas de abastecimiento y relaciones con las partes
interesadas;
– las facilidades, entendidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo,
personas, procesos, sistemas y tecnologías);
4.2.1 Generalidades
Al establecer su SGCN, la organización debería garantizar que se toman en consideración las necesidades
y requisitos de las partes interesadas.
La organización debería identificar todas las partes interesadas que son de importancia para su SGCN y,
en base a sus necesidades y expectativas, determinar sus requisitos. Es importante identificar no solo
los requisitos obligatorios y declarados, sino también cualquier otro requisito implicado.
NOTA La organización necesita estar enterada de todas aquellas partes que tienen un interés en la organización, tales como
los medios de comunicación, el público cercano, los competidores y demás.
Al planificar e implantar el SGCN, no solo es importante identificar las acciones que sean apropiadas con
respecto a las partes interesadas, sino también diferenciar entre categorías diferentes. Por ejemplo,
aunque después de un incidente disruptivo puede ser adecuado comunicar con todas las partes intere-
sadas, puede no serlo comunicar con todas las partes interesadas cuando se estable y gestiona una GCN
(8.1.1).
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 16 -
La información relativa a estos requisitos se debería documentar y mantener actualizada. Los requisitos
nuevos o las variaciones a los requisitos legales, reglamentarios y de otros tipos se deberían comunicar
a los empleados y a las demás partes interesadas.
Al establecer, implantar y mantener el SGCN, la organización debería tener en cuenta y documentar los
requisitos legales aplicables, otros requisitos a los que esté suscrita, y las necesidades de las partes
interesadas.
La organización debería garantizar que su SGCN opera dentro, y en apoyo, de sus obligaciones legales y
de los requisitos relevantes de las partes interesadas.
La organización debería revisar los requisitos legales y reglamentarios en vigor y los pendientes en sus
localizaciones, lo cual puede incluir:
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 17 - UNE-EN ISO 22313:2015
b) continuidad: que puede especificar el campo de aplicación del programa o la amplitud o la velocidad
de respuesta;
c) riesgo: requisitos que definen el campo de aplicación o los métodos de un programa de gestión de
riesgos; y
NOTA Las organizaciones que operan en múltiples localizaciones, con frecuencia tienen que satisfacer los requisitos de juris-
dicciones diferentes.
4.3.1 Generalidades
La organización debería determinar el campo de aplicación del SGCN y asegurarse de que se puede
comunicar de manera adecuada a las partes interesadas. Es importante que los límites y la aplicabilidad
del SGCN sean claramente aparentes y que el campo de aplicación tenga en cuenta los resultados identi-
ficados en los apartados 4.1 y 4.2.
El campo de aplicación determina los productos y servicios, las localizaciones, las funciones, los
procesos y las actividades a los que se aplica el SGCN. Persigue que todas las dependencias han de estar
en el campo de aplicación, aunque no estén explícitamente identificadas en la declaración del campo de
aplicación. Por ejemplo, si la "remuneración de empleado" está especificada en el campo de aplicación,
entonces, por defecto la disponibilidad de fondos, la aprobación de la gestión y las instrucciones para la
institución financiera para realizar los pagos también deberían estar incluidas dentro del campo de
aplicación.
La organización debería documentar con claridad el campo de aplicación y el contexto del SGCN.
b) establecer los requisitos del SGCN de la organización teniendo en cuenta su misión, metas, respon-
sabilidades legales y obligaciones internas y externas;
c) identificar los productos y servicios de la organización de una manera que permita que todas las
actividades, recursos y cadenas de abastecimiento estén identificadas; y
– incluir una indicación de la escala de incidentes que cubre el SGCN y la apetencia de riesgos de la
organización; y
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 18 -
– identificar cómo el SGCN establece la estrategia general de gestión de riesgos de la organización (si
existe).
Cuando una parte de una organización quede excluida del campo de aplicación de su SGCN, la organi-
zación debería documentar y explicar la exclusión.
La finalidad de definir el campo de aplicación es asegurar la cobertura de todas las actividades, localiza-
ciones y proveedores principales (8.2.1, figura 6).
5 Liderazgo
c) el establecimiento de políticas y objetivos de continuidad del negocio en línea con los objetivos,
obligaciones y dirección estratégica de la organización (5.3);
d) la designación de una o varias personas con la autoridad y competencias apropiadas para ser
responsables del SGCN y responsables de su funcionamiento eficaz (5.4);
e) asegurando que se establecen las funciones, responsabilidades y competencias del SGCN (5.4);
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 19 - UNE-EN ISO 22313:2015
– la inclusión de la continuidad del negocio en las reuniones de dirección como un asunto permanente.
5.3 Política
La alta dirección debería definir la política de continuidad del negocio en términos de objetivos de la
organización y de sus obligaciones, y asegurarse de que:
– incluye compromisos claros con respecto a requisitos aplicables, incluidas las obligaciones legales y
reglamentarias y la mejora continua del SGCN;
Se deberían aplicar disposiciones adecuadas para aprobar la política, retener la información documen-
tada sobre ésta, y revisarla periódicamente (por ejemplo, anualmente), y cuando se produzcan cambios
significativos en factores internos o externos (por ejemplo, cambio en la alta dirección o introducción
de nueva legislación). La idoneidad de tales disposiciones dependerá del tamaño, complejidad, natura-
leza y amplitud de la organización.
– proporcionar dirección sobre el campo de aplicación y los límites de la continuidad del negocio de la
organización, incluidas las limitaciones y exclusiones;
– identificar toda la autoridad y las delegaciones requeridas, incluyendo la persona o personas respon-
sables del SGCN de la organización;
– incluir referencias a normas, directrices, reglamentos o políticas que el SGCN debería considerar o
satisfacer.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 20 -
– términos esenciales;
La alta dirección de la organización debería designar a uno o varios representantes de dirección especí-
ficos que, con independencia de otras responsabilidades, deberían tener funciones, responsabilidades y
autoridad definidas para:
– asegurar que el SGCN se establece, implanta y mantiene de acuerdo con la política de continuidad del
negocio;
– informar a la alta dirección del rendimiento del SGCN para su revisión y en base a la realización de
mejoras;
– garantizar la efectividad de los procedimientos desarrollados para dar respuesta a los incidentes,
pero no necesariamente en su implantación durante un incidente.
– residir en muchas áreas de una organización dependiendo del tamaño, escala y complejidad de ésta.
Los representantes de cada función o localización de la organización pueden estar identificados para
asistir a la implantación del SGCN. Sus funciones, responsabilidades y autoridad se deberían integrar en
las descripciones de puesto de trabajo, que se pueden reforzar incluyéndolas en la política de valoración,
gratificación y reconocimiento de la organización.
La alta dirección puede designar otros organismos, por ejemplo, un comité de dirección, para inspeccio-
nar la implantación y la supervisión progresiva del SGCN.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 21 - UNE-EN ISO 22313:2015
Todas las funciones, responsabilidades y autoridad para el SGCN deberían estar definidas y documen-
tadas, y se deben someter a auditoría.
6 Planificación
– garantizar que la información documentada estará disponible para ser evaluada si las acciones han
sido eficaces (7.5).
Este plan se debería someter a revisión, y puede ser necesario actualizarlo regularmente a medida que
evoluciona el SGCN.
– "establecer un SGCN que sea coherente con la Norma ISO 22313, por fecha";
– "por fecha, tendremos la continuidad del negocio in situ que satisfaga nuestras obligaciones con los
clientes esenciales"; y
– "tener el GCN in situ que proteja a los productos y servicios esenciales por fecha".
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 22 -
7 Apoyo
7.1 Recursos
7.1.1 Generalidades
La organización debería determinar y proporcionar los recursos necesarios para el SGCN que:
c) permitirá la comunicación efectiva sobre asuntos del sistema de gestión de la continuidad del nego-
cio, externa e internamente; y
1) el tiempo necesario para cumplir las funciones y las responsabilidades del SGCN,
c) tecnología de la información y de las comunicaciones (ICT), incluidas las aplicaciones que soportan
una gestión del programa eficaz y eficiente;
Los recursos y su asignación se deberían revisar periódicamente con objeto de garantizar su idoneidad.
Puede ser apropiado que la alta dirección se implique en esta revisión.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 23 - UNE-EN ISO 22313:2015
El personal para respuesta a incidentes debería constituir un grupo que sea responsable de gestionar
cualquier incidente disruptivo que impacte o que tenga el potencial de impactar significativamente en
la organización.
El personal se puede asignar a equipos de acuerdo con la competencia demostrada al tratar aspectos
diferentes de respuesta a incidentes, por ejemplo:
– comunicaciones (8.4.4.3.2);
Todo el personal que esté incluido en estos grupos debería tener sus responsabilidades y su autoridad
claramente definidas, para ser aplicadas antes, durante y después de un incidente.
7.2 Competencia
La organización debería establecer un sistema adecuado y eficaz para gestionar la competencia de las
personas que contratan trabajos de SGCN bajo su control.
La dirección debería determinar las competencias que se requieren para todas las funciones del SGCN,
así como las responsabilidades y la concienciación, el conocimiento, el entendimiento, los perfiles y la
experiencia que se necesitan para satisfacerlas. Todas las personas con funciones asignadas dentro de
la organización deberían demostrar la competencia requerida y que están dotados de formación,
educación, desarrollo y otros apoyos para desempeñarlas. Esto puede ser tratado con un programa de
desarrollo de competencias, que puede incluir:
– compartir conocimientos;
– compartir trabajos;
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 24 -
– evaluación de la formación recibida con respecto a las necesidades y requisitos de formación definida
a fin de verificar la conformidad con los requisitos de formación del SGCN; y
La organización debería disponer de un proceso para identificar y proporcionar los requisitos de forma-
ción continua del negocio de todos los participantes y evaluar la eficacia de su suministro.
Los tipos de formación que pueden ser apropiados para funciones específicas son los siguientes:
4) perfiles de comunicaciones,
Los niveles de respuesta y la competencia en toda la organización se deberían desarrollar mediante una
formación práctica, que incluya la participación activa en pruebas.
Los equipos de respuesta y recuperación deberían recibir educación y formación sobre sus responsabi-
lidades y obligaciones, que incluyan interacciones con los primeros en responder y con otras partes
interesadas. Los equipos deberían recibir formación a intervalos regulares (al menos anualmente), y se
deberían formar nuevos miembros cuando reúnan la estructura de respuesta. Estos equipos también
deberían recibir formación sobre prevención de incidentes que puedan llegar a convertirse en crisis.
Los cambios en el entorno y en las operaciones del negocio afectan al enfoque y a la manera en que las
actividades de la continuidad del negocio están planificadas, diseñadas e implantadas. La organización
puede demostrar concienciación de las tendencias de la GCN mediante, por ejemplo, participación activa
en actividades de GCN en la industria, que pueden incluir:
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 25 - UNE-EN ISO 22313:2015
La demostración de la participación activa puede ser en una o más de las siguientes maneras:
– participación activa de los usuarios del negocio y de la alta dirección en los ejercicios de repetición,
pruebas y ensayos.
La organización debería establecer programas de formación y de concienciación para todos los emplea-
dos reales que se pueden ver afectados por un incidente disruptivo, y requerir que los contratistas
trabajen en su nombre para demostrar que la(s) persona(s) que trabajan bajo su control tienen el
requisito de competencia para el SGCN y las funciones de respuesta que ellos realizarán.
7.3 Concienciación
Las personas que trabajan bajo el control de la organización deberían tener la apropiada concienciación
del SGCN.
En tales personas se puede incluir el personal de dirección, los contratistas, y los proveedores. Ellos
deberían conocer la política de continuidad del negocio y:
– su contribución a la eficacia del SGCN, incluyendo los beneficios del rendimiento mejorado de la GCN; y
La organización debería crear, promocionar e implantar una cultura dentro de la organización que:
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 26 -
– hacer que las partes interesadas se enteren de la política de continuidad del negocio, y de sus funcio-
nes en procedimientos asociados.
Una organización que tenga una cultura positiva de continuidad del negocio:
– infundirá confianza en sus partes interesadas (especialmente el personal y los clientes) en su capa-
cidad para tratar los incidentes disruptivos;
– aumentará su resiliencia en el tiempo asegurando que las implicaciones de la continuidad del negocio
se tienen en consideración en decisiones a todos los niveles; y
– la asignación de responsabilidades;
– el crecimiento de la concienciación;
– la discusión de la continuidad del negocio en los boletines informativos, reuniones de trabajo, progra-
mas de introducción o periódicos o revistas (incluida la orientación para nuevos empleados);
– la inclusión de la GCN como un tópico en las reuniones de trabajo del personal y del equipo de
dirección;
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 27 - UNE-EN ISO 22313:2015
– reuniones con proveedores y distribuidores principales sobre las disposiciones de continuidad del
negocio de la organización.
7.4 Comunicación
Cuando se establece y gestiona el SGCN, la organización debería disponer de procedimientos efectivos
de consulta y comunicación para el intercambio de información con las partes interesadas.
a) comunicación interna entre las partes interesadas, incluidos los empleados dentro de la organi-
zación;
b) comunicación externa con los clientes, los proveedores, la comunidad local, y otras partes intere-
sadas;
c) recepción, documentación, y respuesta a las comunicaciones procedentes de todas las partes inte-
resadas;
f) asegurar la capacidad de la organización para comunicar con las autoridades externas y cuando sea
apropiado, asegurar que otras organizaciones y personal pueden comunicarse entre sí; y
g) hacer funcionar y ensayar los medios de comunicación previstos para ser utilizados durante la
interrupción de las comunicaciones normales.
La organización puede invitar a otros recursos externos que pueden estar implicados en la respuesta,
tales como bomberos, policía, sanidad pública y vendedores por tercera parte, para revisar con las
partes correspondientes de dirección sus procedimientos de continuidad del negocio.
La organización puede incluir referencias a su SGCN y disposiciones de continuidad del negocio en los
boletines informativos y en las reuniones de trabajo de los clientes.
7.5.1 Generalidades
La información documentada proporciona la evidencia de la conformidad con los requisitos y del
funcionamiento efectivo de un sistema de gestión.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 28 -
El término "procedimiento" significa un método especificado para llevar a cabo una actividad o un pro-
ceso. Un "procedimiento documentado" significa que el procedimiento se debería establecer y mantener
por cualquier medio.
Un solo documento puede cubrir los requisitos de uno o más procedimientos documentados, y un requi-
sito de un procedimiento documentado puede estar cubierto por más de un documento.
– los requisitos legales, reguladores y de otros tipo y la evidencia de que se cumplen (4.2.2);
– la competencia (7.2);
– la estrategia de la continuidad del negocio (8.3), incluyendo las opciones de estrategia consideradas;
Además, para garantizar la eficacia del SGCN se puede requerir la información documentada que cubra
a la siguiente información:
– programa de concienciación;
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 29 - UNE-EN ISO 22313:2015
– comunicaciones del SGCN y del incidente con el personal de dirección y con las partes interesadas,
tales como boletines informativos, notas y avisos de reuniones;
– programación de pruebas;
– toda información documentada debería incluir su identificación y descripción (por ejemplo, título,
nombre, fecha, autor, número, referencia de revisión, etc.);
– se deberían especificar los formatos aceptables (por ejemplo, idioma, versión de software, gráficos),
y el medio (por ejemplo, papel, electrónico) para la captación y presentación de la información
documentada debería estar claramente estipulado;
La captación y presentación debería incluir el formato a utilizar (por ejemplo, idioma, versión de
software, gráficos) y el medio de soporte a utilizar (por ejemplo, papel, documento electrónico).
La amplitud de la información documentada para el SGCN puede variar entre organizaciones debido a
los factores siguientes:
La finalidad del control de la documentación es garantizar que las organizaciones crean, mantienen y
protegen los documentos de una manera que sea apropiada y suficiente para implantar y operar el SGCN.
El enfoque principal debería ser sobre esta finalidad más que sobre el establecimiento de un sistema
complejo de control de documentos.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 30 -
Como ejemplo de protección se incluye el impedir que los documentos puedan ser puestos en peligro,
modificados sin la correspondiente autorización y anulados accidentalmente.
Existen varios niveles y combinaciones de acceso que se pueden conceder, por ejemplo, solo ver, ver y
cambiar, y ver con restricciones.
Se debería establecer un procedimiento documentado para definir los controles que se necesitan para:
b) proporcionar acceso a información documentada (el acceso incluye, por ejemplo, los permisos y la
autoridad para ver o cambiar dicha información);
e) garantizar que se identifican los cambios y el estado real de revisión de los documentos;
f) garantizar que las versiones correspondientes de los documentos aplicables se encuentran disponi-
bles en los puntos de utilización;
h) garantizar que los documentos de origen externo considerados por la organización como necesa-
rios para la planificación y operación del SGCN se identifican y que se controla su distribución;
8 Operación
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 31 - UNE-EN ISO 22313:2015
Estas acciones se pueden combinar para crear un programa que asegure que la continuidad del negocio
de la organización se gestiona adecuadamente y que se mantiene su efectividad.
La organización debería establecer mecanismos de control dentro del programa que incluyan:
a) decidir la forma en que estas acciones se deberían determinar, planificar, implantar y controlar, por
ejemplo, estableciendo un plan de implantación y acordando una metodología adecuada para
implantar la GCN;
b) la garantía de que los controles sobre estas acciones se implantan de acuerdo con las decisiones
definidas, por ejemplo, estableciendo hitos de progreso del proyecto y especificando los suminis-
trables requeridos; y
La organización debería garantizar que los cambios planificados se controlan, los cambios no intencio-
nados se revisan, y que se toman las acciones apropiadas.
Estos elementos y los apartados donde están cubiertos en esta norma internacional, son los siguientes:
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 32 -
El alcance del acuerdo y del entendimiento de las prioridades y requisitos para la continuidad del
negocio se consigue a través del análisis de impacto en el negocio (BIA) y la valoración del riesgo
(RA). El BIA permite a la organización priorizar para su reanudación, las actividades que apoyan a
sus productos y servicios. La valoración del riesgo promueve el entendimiento de los riesgos para
las actividades prioritarias y sus dependencias, y las consecuencias potenciales de un incidente
disruptivo. Este entendimiento permite a la organización seleccionar estrategias apropiadas de
continuidad del negocio.
NOTA Las estrategias elegidas han de tener en cuenta cualquier tratamiento del riesgo que ya esté implantado en la
organización (8.3.3).
– asegurarse de que la continuidad del negocio y los procedimientos de continuidad del negocio
son completos, actuales y apropiados, y
a) asegurar la aplicabilidad continua del campo de aplicación, los funciones y las responsabilidades de
la continuidad del negocio;
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 33 - UNE-EN ISO 22313:2015
La organización puede adoptar un método reconocido de gestión del proyecto para garantizar que el
programa de GCN se gestiona eficazmente.
d) asegurar el mantenimiento de los procedimientos de continuidad del negocio apropiado a las nece-
sidades de los equipos de respuesta.
Como ejemplos de las medidas que se pueden utilizar para medir la eficacia, se tiene que:
– las actividades y los recursos sean recuperables dentro de los objetivos de tiempo de recuperación
especificados y que la información tengan la vigencia requerida (objetivo de punto de recuperación);
– se hayan demostrado las competencias requeridas para reanudar las actividades prioritarias dentro
del objetivo de tiempo de recuperación especificado; y
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 34 -
8.1.5 Resultados
Los resultados indicativos de una GCN eficaz pueden incluir lo siguiente:
a) se habilita una capacidad de gestión de incidentes que proporciona una respuesta eficaz;
c) las pruebas realizadas con regularidad aseguran que el personal esté capacitado para responder
eficazmente a un incidente o interrupción;
8.2.1 Generalidades
La organización debería establecer, implantar y mantener un proceso formal y documentado para
análisis de impacto en el negocio (BIA) y de valoración del riesgo. El entendimiento que obtiene la orga-
nización del BIA y de la valoración del riesgo proporciona las bases para una continuidad del negocio
eficaz.
Una organización consigue su objetivo suministrando sus productos y servicios a los clientes. Por ello,
es importante entender con claridad el impacto adverso en el tiempo que la interrupción de estos
productos y servicios (y de sus actividades asociadas) tendría sobre los objetivos y el funcionamiento
de la organización. También es importante entender las interrelaciones y los requisitos de recursos de
las actividades que apoyan a los productos y servicios, así como las amenazas sobre estos.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 35 - UNE-EN ISO 22313:2015
A través del entendimiento, la organización puede asegurar que su continuidad del negocio se alinea
con su objetivo, deberes legales y obligaciones hacia sus partes interesadas. El entendimiento se consi-
gue a través de los procesos de análisis de impacto en el negocio y de valoración del riesgo. Estos proce-
sos proporcionan la información que la organización necesita para determinar y seleccionar estrategias
de continuidad del negocio (8.3.1).
El contexto, los criterios de evaluación y el formato del resultado del BIA y de la valoración del riesgo se
deberían acordar con antelación. La información recopilada se debería revisar con regularidad, sobre
todo en periodos de cambios.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 36 -
a) la identificación de las actividades que apoyan el suministro de los productos y servicios esenciales
de la organización ("esenciales" significa los incluidos en el campo de aplicación del SGCN);
b) evaluar los impactos potenciales en el tiempo de las interrupciones resultantes de sucesos no espe-
cíficos y no controlados sobre estas actividades. Cuando se evalúan los impactos, la organización
debería cubrir los impactos relativos a sus metas y objetivos de negocio y a sus partes interesadas.
Estos pueden incluir:
3) daños en la reputación,
6) daño medioambiental.
NOTA 1 La interrupción de las actividades puede causar que el suministro de los productos y servicios se vea
interrumpido indirectamente. Por ejemplo, la pérdida de la capacidad para pagar a los proveedores puede dañar
la reputación de la organización y hacer que los proveedores rechacen suministrar mercancías, lo que impide la
fabricación de los productos o la entrega de los servicios.
NOTA 2 Normalmente, las actividades tienen variaciones diariamente, y pueden ser cíclicas por naturaleza. Con
frecuencia existen variaciones estacionales y mayores niveles de actividad asociadas a fechas límites semanales,
mensuales o anuales, o a fechas de suministro de proyecto.
c) estimando la amplitud de los impactos asociados con la interrupción de las actividades de la organi-
zación para llegar a ser inaceptables;
NOTA 3 El tiempo para que los impactos lleguen a ser inaceptables puede variar entre segundos y varios meses,
dependiendo de la naturaleza de la actividad. Las actividades que son sensibles al tiempo necesitarían estar
especificadas con un mayor grado de precisión, por ejemplo, hasta el minuto o hasta la hora. Para actividades
menos sensibles al tiempo sería aceptable una precisión menor.
NOTA 4 El tiempo necesario para que el impacto llegue a ser inaceptable se puede citar como el 'periodo máximo
tolerable de interrupción', 'periodo máximo tolerable' o 'indisponibilidad máxima aceptable'. El nivel mínimo
de producto o servicio que es aceptable para la organización se puede expresar como el objetivo de continuidad
del negocio mínima (MBCO).
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 37 - UNE-EN ISO 22313:2015
d) en base a la evaluación de los impactos potenciales y teniendo en cuenta otros factores relevantes,
establecer periodos de tiempo priorizados para reanudar estas actividades, a un nivel aceptable
mínimo especificado;
El periodo de tiempo priorizado para reanudar una actividad se puede citar como Objetivo de Tiempo
de Recuperación (OTR). El OTR puede tener en cuenta dependencias de actividades interrelacionadas y
el tiempo dentro del cual los impactos de no reanudación de la actividad serían inaceptables [consúltese
el punto c) anterior].
NOTA 5 A partir de este punto, en esta norma internacional se utilizará el término 'objetivo de tiempo de recuperación' o su
abreviatura "OTR" en vez de "periodo de tiempo priorizado".
El resultado del análisis de impacto en el negocio se debería documentar, e incluir la información de:
– prioridades de recuperación;
– entrevistas;
– cuestionarios;
– reuniones de trabajo;
La valoración del riesgo proporciona un proceso estructurado para analizar los riesgos en términos de
consecuencias y de probabilidad de que ocurran, antes de decidir un tratamiento adicional que se puede
requerir. Este proceso estructurado trata de contestar a algunas cuestiones fundamentales:
d) ¿existe alguna cosa que pueda mitigar las consecuencias o de reducir la probabilidad?.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 38 -
La organización debería comprender las amenazas a, y las vulnerabilidades de, los recursos requeridos
por las actividades de la organización, y en particular aquellas:
La organización debería seleccionar un método apropiado para identificar, analizar y evaluar los riesgos
que pudiesen provocar interrupciones. La Norma ISO 31000 estable los principios de la gestión de ries-
gos y las directrices asociadas. Los elementos típicos que se deberían incluir en el contexto de esta nor-
ma internacional son los siguientes:
– amenazas específicas, que se pueden describir como sucesos o acciones que, en el mismo punto,
podrían interrumpir actividades y recursos (por ejemplo, amenazas tales como incendios, inun-
daciones, fallos de energía, pérdidas de personal, absentismo laboral, virus informáticos y fallos
del hardware), y
– incidentes disruptivos, que se pueden producir por vulnerabilidades dentro de los recursos (por
ejemplo, puntos únicos de fallo, inadecuaciones en la protección contra incendios, pérdida de resi-
liencia eléctrica, niveles de formación inadecuados del personal, y poca seguridad en la tecnología
de la información y en la resiliencia),
– evaluación de riesgos: Evaluar las interrupciones debidas a riesgos que requieren tratamiento. Esto
se debería centrar sobre los recursos requeridos por actividades con prioridad alta o con un margen
de tiempo de sustitución significativo; y
NOTA Si la organización u organismos externos han llevado a cabo cualquier otro análisis de riesgos, éste podría proporcionar
información útil de importancia para la valoración del riesgo.
Las necesidades sociales o las obligaciones reglamentarias pueden requerir que la organización
comparta algunos resultados de la valoración del riesgo con alguna parte interesada.
8.3.1.1 Generalidades
La determinación de la estrategia de continuidad del negocio trata de identificar las acciones necesarias
para cubrir los hallazgos procedentes del BIA y de la valoración del riesgo, y de una manera que cumpla
los objetivos de continuidad del negocio de la organización. Es probable que tal acción sea necesaria
antes, durante y después de un incidente disruptivo y, por ejemplo, puede incluir:
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 39 - UNE-EN ISO 22313:2015
– reducción del impacto global de un incidente disruptivo a través de disposiciones de continuidad del
negocio que acorten el periodo de interrupción y reduzcan su intensidad hasta niveles aceptables.
La determinación y selección de la estrategia de continuidad del negocio se debería basar en los resul-
tados del análisis de impacto en el negocio y en la valoración del riesgo (8.2).
La organización debería disponer in situ de un mecanismo para revisar y aprobar las soluciones reco-
mendadas.
Las opciones para proteger actividades prioritarias se deberían seleccionar de acuerdo con:
– (opcionalmente) la urgencia de la actividad, dado que habrá menos tiempo para resolver el asunto; y
Cuando la organización estima que una amenaza es 'extremadamente improbable' o que el coste de
proteger una actividad prioritaria es prohibitivamente costoso, se puede elegir aceptar el riesgo y volver
a evaluarlo como parte de su evaluación continua del rendimiento del SGCN (capítulo 10).
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 40 -
e) soluciones alternativas temporales: Algunas actividades pueden adoptar una forma de trabajo
diferente que proporcione resultados aceptables para un tiempo limitado. Es probable que las
alternativas temporales consuman más tiempo y/o trabajo intensivo (por ejemplo, una operación
manual en oposición a un sistema automatizado). Por estas razones, las soluciones alternativas
generalmente solo son adecuadas para periodos de tiempo cortos, o aplazan un retorno al negocio
normal;
f) cuando se consideren ubicaciones donde reanudar una actividad, las opciones de continuidad del
negocio deberían incluir el o los lugares dañados/afectados y lugares alternativos no dañados.
Para asegurar que las actividades se pueden reanudar dentro de sus objetivos de tiempo de recupera-
ción, estos objetivos también se pueden establecer para sus dependencias y recursos de apoyo. El esta-
blecimiento de estos objetivos de tiempo de recuperación puede necesitar que se tenga en cuenta:
– soluciones alternativas (tal como procesos manuales) que pueden diferir la necesidad de reanudar
la dependencia de recursos de apoyo;
La organización debería evaluar todas las opciones de estrategia para determinar si estas medidas, por
sí mismas, introducen nuevos riesgos.
Con frecuencia, las opciones de estrategia de continuidad del negocio para la estabilización, continua-
ción, reanudación o recuperación de una actividad prioritaria pueden ser prohibitivamente costosas.
Cuando la organización estime que éste es el caso, debería seleccionar estrategias alternativas que sean
aceptables y cumplan los objetivos de continuidad del negocio, o tratar los productos y servicios
afectados como exclusiones del campo de aplicación del SGCN, de acuerdo con el apartado 4.3.2.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 41 - UNE-EN ISO 22313:2015
8.3.2.1 Generalidades
La organización debería determinar los requisitos de los recursos a implantar para seleccionar opciones
de estrategia.
a) equipos de personas apropiados o, para organizaciones más pequeñas, individuos con autoridad
suficiente para vigilar la preparación, la respuesta y la recuperación ante incidentes;
b) las capacidades y procedimientos logísticos para localizar, adquirir, almacenar, distribuir, mante-
ner, ensayar y justificar servicios, personal, recursos, materiales, e instalaciones producidas o
donadas para apoyar al SGCN;
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 42 -
d) gestión de recursos: objetivos sobre tiempos de respuesta, personal, equipo, formación, instala-
ciones, provisión de fondos, seguros, control de responsabilidad, conocimiento experto, materiales
y márgenes de tiempo, y para cada uno de estos objetivos será necesario disponer de recursos de
la organización y de los proveedores; y
e) procedimientos para asistencia, comunicaciones, alianzas estratégicas, y ayuda mutua, a las partes
interesadas.
8.3.2.2 Personas
La organización debería identificar las medidas apropiadas para mantener y ampliar la disponibilidad
de perfiles y conocimientos fundamentales del personal en el caso de que el incidente de lugar a la
reducción de disponibilidad de personal. Estas medidas deberían incluir a empleados, contratistas y a
otras partes interesadas que posean una amplia variedad de perfiles y conocimientos especializados.
Las técnicas para proteger o mejorar estos perfiles pueden incluir:
– separación de perfiles esenciales para reducir el impacto de que un incidente obligue a la separación
física de personal con perfiles esenciales en más de una ubicación;
– planificación de sucesiones; y
Los procedimientos para la reubicación de personal después de un incidente, pueden necesitar tener en
cuenta:
– acomodación,
– seguridad;
– logísticas de transporte; y
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 43 - UNE-EN ISO 22313:2015
NOTA 1 Las Normas ISO/IEC 27031 e ISO/IEC 27002 contienen directrices adicionales para garantizar la vigencia de los datos
electrónicos, y proporcionan directrices para garantizar la confidencialidad, integridad y disponibilidad continua de
los datos.
Cualquier información requerida para permitir la respuesta y recuperación por parte de la organización
debería tener la apropiada:
En todos los casos, la información requerida por una actividad debería estar totalmente vigente. Esta
vigencia puede estar referida como objetivo del punto de recuperación (RPO). Cuando se copien datos,
se pueden utilizar varios métodos, incluidas copias de seguridad de soportes electrónicos o de cintas,
microfichas, fotocopias y creación de copias dobles en el momento de la generación.
Las estrategias de información se deberían documentar para la recuperación de información que aún
no se ha copiado o volcado a un lugar seguro.
NOTA 2 Si la información copiada se almacena muy cerca del original, el incidente disruptivo podría comprometer su
integridad o impedir el acceso a ella. Sin embargo, una distancia grande puede impedir que esté disponible cuando se
necesite. Sería apropiado tener evidencia escrita de cómo se han resuelto estos intereses conflictivos.
– información de contacto;
– otros documentos de servicios (por ejemplo, contratos y acuerdos del nivel de servicio).
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 44 -
La organización debería diseñar una estrategia para reducir el impacto de la no disponibilidad de sus
centros de trabajo habituales. Esto puede incluir una o más de las opciones siguientes:
b) locales alternativos proporcionados por otras organizaciones (con independencia de que existan o
no acuerdos recíprocos);
Los locales alternativos se deberían seleccionar cuidadosamente teniendo en cuenta una zona geo-
gráfica que pueda estar afectada por el mismo incidente. Un incidente tal como un desastre natural
puede causar daño en zonas muy amplias y afectar a servicios esenciales tales como electricidad, gas,
agua y comunicaciones. Si se estima que se puede presentar un riesgo de este tipo, los locales alterna-
tivos deberían estar distantes de la zona que pueda verse afectada.
Si el personal se ha de trasladar a locales alternativos, estos locales han de estar suficientemente cerca
para que el personal sea complaciente y pueda desplazarse hasta allí, teniendo en cuenta las posibles
dificultades causadas por el incidente. Sin embargo, los locales alternativos no deben estar tan cerca
como para que exista la probabilidad de verse afectados por el mismo incidente.
La utilización de locales alternativos con fines de continuidad debe estar apoyada por una declaración
clara de si los recursos requeridos en los locales alternativos son de uso exclusivo de la organización. Si
los locales alternativos se comparten con otras organizaciones, se debe desarrollar y documentar un
plan para mitigar la no disponibilidad de estos locales.
En algunas situaciones (por ejemplo, una línea de fabricación o un centro de llamadas), puede ser
adecuado trasladar la carga de trabajo en vez de trasladar al personal. Esto puede requerir disponer de
la capacidad de repuesto en el lugar alternativo o de personal adicional (bien en horas extraordinarias
o por contratación de personal) y de otros recursos.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 45 - UNE-EN ISO 22313:2015
Algunas instalaciones y máquinas pueden ser difíciles de adquirir, ser muy costosas (necesitan un largo
periodo de tiempo para la autorización) o tener un largo tiempo de entrega. Las soluciones para
proporcionar tales recursos necesitan tener en cuenta estas condiciones. Los cambios en las prácticas
del negocio, tal como el control de existencias o la gestión del edificio, pueden proporcionar soluciones.
Cuando las actividades dependan de suministros especializados, la organización debería identificar los
suministros esenciales y las fuentes únicas de suministro. Las estrategias para gestionar la continuidad
del suministro pueden incluir:
Cuando las actividades se cambien de lugar, se debería verificar que los proveedores pueden propor-
cionar sus productos o servicios de manera efectiva en los lugares alternativos.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 46 -
Las técnicas para proporcionar los sistemas de TIC requeridos por las actividades prioritarias pueden
incluir:
Debido a la complejidad de las tecnologías que los soportan, los sistemas de TIC frecuentemente necesi-
tan disposiciones complejas para asegurar que se pueden recuperar de una manera oportuna. Por ello,
se debería tener en consideración lo siguiente:
– establecer objetivos de tiempo de recuperación (RTO) para los sistemas de TIC que permitan
reanudar las actividades prioritarias dentro de sus RTO;
– prestar particular atención a la ubicación de los lugares donde se sitúa la tecnología y a las distancias
entre ellos;
– proporcionar instalaciones adecuadas para un número superior de usuarios con acceso remoto;
– establecer lugares sin plantilla de personal (oscuros) así como lugares con plantilla de personal;
– proporcionar una técnica de 'cambio en caso de fallo' automática en vez de necesitar intervención
manual para redireccionar la provisión de la TIC;
Si se adopta una técnica de 'cambio en caso de fallo' de un lugar a otro, puede ser necesario considerar
la distancia de recorrido de la red entre los dos lugares. Si la distancia entre los lugares es muy grande,
esto podría retardar la respuesta del sistema y dejar ineficaces a los sistemas de TIC.
Si una organización establece sus sistemas de TIC en más de un lugar, puede ser la oportunidad de im-
plantar una 'estrategia de TIC mutua' con la cual cada lugar se dimensiona para acomodar la capacidad
de TIC combinada de más de un lugar.
Si una organización utiliza tecnologías especializadas o diseñadas de encargo con márgenes de tiempo
amplios, puede ser necesario tener en consideración el aumento de la protección de su TIC haciendo
previsiones especiales de repuesto o de renovación.
NOTA En las Normas ISO/IEC 27031, ISO/IEC 27002 e ISO/IEC 20000 (ambas partes) se pueden encontrar directrices adicio-
nales sobre continuidad de sistemas de TIC.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 47 - UNE-EN ISO 22313:2015
8.3.2.7 Transporte
Después de un incidente, puede ser necesario proporcionar medios de transporte para:
La organización debería determinar con antelación opciones para proporcionar los medios de
transporte alternativos que se pueden requerir después de un incidente disruptivo. Estas opciones
pueden incluir:
– identificar los posibles escenarios de interrupciones logísticas que pueden ser causadas directa-
mente por un incidente o por situaciones inusuales;
– garantizar medios logísticos alternativos, así como rutas, teniendo en cuenta las condiciones del
tráfico, los medios de transporte, y otras redes logísticas; y
8.3.2.8 Finanzas
La organización debería determinar opciones para garantizar que los fondos necesarios están disponi-
bles durante y después de un incidente disruptivo. Esto puede incluir:
– disposición de fondos para compras de emergencia, tales como, alimentos, acomodación, instala-
ciones, consumibles y transporte;
Para la protección contra abusos o para facilitar reclamaciones de seguros, puede ser necesario
demostrar que se realizan controles financieros eficaces para, por ejemplo, proporcionar el registro
formal de gastos durante y después de un incidente disruptivo.
8.3.2.9 Proveedores
Si un producto, servicio o actividad ha sido objeto de contratación externa, la responsabilidad de este
producto, servicio o actividad sigue recayendo en la organización. En consecuencia, la organización se
debería asegurar de que sus proveedores principales disponen de una continuidad efectiva. Un método
de hacer esto es obtener pruebas de la viabilidad de los planes de continuidad de los proveedores
principales y de sus programas de pruebas y de mantenimiento. Véase el apartado 8.3.1.5.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 48 -
8.4.1 Generalidades
La organización debería establecer y documentar procedimientos que proporcionen un control global
de la respuesta a un incidente disruptivo y la reanudación de las actividades dentro de sus objetivos de
tiempo de recuperación. Los procedimientos de continuidad del negocio deberían establecer el
adecuado protocolo de comunicaciones internas y externas, y han de ser:
a) específico – con respecto a los pasos inmediatos que se han de llevar a cabo durante una inte-
rrupción;
b) flexible – de manera que se pueda utilizar para dar respuesta a escenarios de amenazas imprevistas
y al cambio de las condiciones internas y externas;
c) enfocado – deberían estar claramente relacionados con el impacto de sucesos que pudieran inte-
rrumpir operaciones, y estar desarrollados en base a suposiciones y a un análisis de interdepen-
dencias; y
– identificar los umbrales de impacto que justifiquen el inicio de una respuesta formal;
– disponer de recursos para apoyar los procesos y procedimientos necesarios para gestionar un
incidente disruptivo; y
– establecer comunicación con las partes interesadas, incluyendo en particular a autoridades y medios
de comunicación.
La estructura de respuesta debería ser simple y capaz de ser activada rápidamente. Cuando se determine
la estructura, se debería tener en consideración lo siguiente:
– disponer de personal competente disponible para establecer las ramificaciones del incidente y
evaluar el impacto o potencial impacto del incidente y los plazos;
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 49 - UNE-EN ISO 22313:2015
– la capacidad para movilizar equipos para controlar y contener el incidente, y para iniciar la respuesta
adecuada; y
– la inclusión de recursos apropiados, que pueden incluir personal, contratistas, equipos y finanzas.
Organizaciones más grandes o complejas pueden utilizar un procedimiento escalonado para respuesta
al incidente, y pueden establecer equipos diferentes para focalizar una respuesta al incidente, gestionar
incidentes, comunicaciones, bienestar y la reanudación del negocio. En organizaciones más pequeñas,
todos los aspectos de respuesta al incidente pueden ser manejados por un equipo, pero la responsa-
bilidad nunca debería ser de una sola persona.
Cada equipo debería tener procedimientos para dirigir sus acciones e incluir personal con la
responsabilidad, autoridad y competencia necesarias. La competencia individual y del equipo se puede
demostrar a base de formación y pruebas.
8.4.3.1 Generalidades
La organización debería establecer, implantar y mantener procedimientos para avisos y comunica-
ciones. Estos procedimientos deberían incluir:
g) el alertar a las partes interesadas potencialmente impactadas por un incidente disruptivo actual o
inminente;
k) registrar la información vital acerca del incidente, las acciones tomadas y las decisiones adoptadas; y
Una organización puede necesitar decidir si mantiene o no comunicación, y hasta qué punto, con las
partes interesadas externas en cuanto a sus procedimientos de aviso y de comunicación. Cuando se toma
esta decisión, la primera consideración debería ser la seguridad de la vida. La decisión y las razones
acerca de la misma se deberían documentar.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 50 -
Por ejemplo, una organización que realice actividades que pudiesen ser una amenaza para la seguridad
del vecindario cercano puede asegurarse de que se comunica a los vecinos los peligros potenciales. Esto
puede significar que los vecinos necesitan conocer cómo se comunican las alarmas y cómo deben
responder.
La organización debería disponer de procedimientos y medios eficaces para comunicar con rapidez las
alarmas, las alertas y las comunicaciones externas. Para las partes interesadas con necesidades
específicas se pueden requerir disposiciones especiales, por ejemplo, para personas mayores y personas
con discapacidades. El sistema de avisos y de comunicaciones se debería probar regularmente. Para
directrices sobre las pruebas, consúltese el apartado 8.5.
– el alertar a las partes interesadas potencialmente impactadas por un incidente disruptivo actual o
inminente, cuando la organización tiene la responsabilidad moral o legal de avisar.
Una vez que el incidente se produce, la organización debería desarrollar procedimientos que aseguren:
– que el incidente se supervisa continuamente, mediante observación local o supervisión remota, y que
cualquier evolución del mismo se comunica a los equipos de respuesta adecuados;
– la interoperabilidad de los múltiples servicios de emergencia y del personal cuando ésta sea la
responsabilidad de la organización;
– la comunicación regular con el personal y con otras personas a quienes existe la obligación de cuidar,
tales como visitantes y contratistas; esto puede ser necesario inicialmente en un punto de evacuación,
en casa o en localizaciones alternativas; y
– el registro de la información vital sobre el incidente, las acciones realizadas y las decisiones tomadas,
por personas encargados de hacerlo o por una persona designada en cada equipo.
También se necesitan procedimientos para facilitar la comunicación efectiva en los dos sentidos entre
las partes interesadas, tales como clientes y medios de comunicación.
La organización debería mantener comunicaciones con estas partes hasta el retorno a las operaciones
normales del negocio cuando una comunicación indique que el final del incidente puede ser apropiado.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 51 - UNE-EN ISO 22313:2015
El equipo de comunicaciones disponible debería reconocer que el incidente puede haber afectado al
rendimiento de las comunicaciones normales, para que se pueda disponer de una variedad de alterna-
tivas, tales como:
– teléfonos móviles; y
– radioteléfonos móviles.
8.4.4.1 Generalidades
La organización debería establecer procedimientos documentados que le permitan responder a un
incidente y tratar adecuadamente la recuperación y reanudación de sus actividades.
Estos procedimientos deberían cubrir todos los aspectos de la respuesta a un incidente con especial
atención a los temas de seguridad de la vida, y cubrir los requisitos de todos aquellos que utilizarán tales
procedimientos. Para determinar los requisitos, puede ser beneficioso:
– utilizar la información de los resultados procedentes de las pruebas, y las lecciones aprendidas de
incidentes disruptivos.
Los calendarios y los niveles de rendimiento se deberían basar en la información recopilada durante el
análisis de impacto en el negocio (8.2.2) y en la estrategia de continuidad del negocio seleccionada
(8.3.1).
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 52 -
Cuando se trata un incidente disruptivo, puede ser necesario tener en consideración un determinado
número de acciones. Estas acciones se deberían incluir en procedimientos documentados (8.4.4.2 y
8.4.4.3), e incluyen:
2) ¿Qué partes de la organización y qué partes interesadas han sido o podían haber sido
afectadas?
b) evaluar el análisis del incidente en función de los criterios de activación para cada uno de los
procedimientos;
c) declarar un incidente y activar los procedimientos cuando se cumplan los criterios de activación;
k) retirar los planes y volver a la gestión rutinaria a medida que se vuelve a establecer la capacidad
viable;
m) asegurar un buen gobierno y cotejo así como la seguridad de la documentación generada durante
la gestión y recuperación del accidente.
Para conseguir la reanudación en tiempo del suministro de productos y servicios de la organización, los
procedimientos documentados la reanudación de cada actividad deberían:
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 53 - UNE-EN ISO 22313:2015
Para garantizar que la operación de los procedimientos no se ve afectada por la misma interrupción, la
organización puede tomar precauciones, por ejemplo, separando el personal y la tecnología de la
información y la comunicación (TIC) en múltiples lugares. Sin embargo, no es posible la separación total
para todas las escalas y tipos de incidentes, y esta limitación se debería identificar y acordar con la alta
dirección. Esta limitación se podría expresar en términos de distancia, personal mínimo o severidad, y
se puede determinar por la respuesta de las autoridades civiles a un incidente severo y/o extenso.
Dentro de los planes de continuidad del negocio, los temas siguientes deberían estar claramente identi-
ficados (véase también 8.4.4.3):
a) funciones y responsabilidades;
1) las funciones, las responsabilidades y la autoridad definidas de las personas y equipos que
utilizarán el plan de continuidad del negocio. Si este plan incluye más de un procedimiento
documentado, se deberían identificar las funciones, las responsabilidades y la autoridad para
cada procedimiento,
2) las directrices y los criterios relativos a quien tiene la autoridad para activar los procedimiento
y bajo qué circunstancias - esto puede seguir etapas progresivas definidas,
b) activación y desactivación:
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 54 -
1) detalles para el contacto de los miembros del equipo y de otras personas con funciones y res-
ponsabilidades – cuando se aplique la legislación local sobre protección de datos, los detalles
de contacto se deberían mantener de acuerdo con dicha legislación, y
2) detalles para el contacto y la movilización de todas las agencias, los organismos y los recursos
aplicables que se pudieran necesitar,
e) comunicaciones (8.4.3):
1) detalles que cubran cómo y bajo qué circunstancias la organización establecerá comunicación
con los empleados y sus familiares, con las partes interesadas esenciales y con los contactos de
emergencia,
Los procedimientos deberían incluir las bases para gestionar todos los asuntos posibles de cara a la
organización durante un incidente, incluyendo los relativos a las partes interesadas.
La organización debería identificar una ubicación, un local o un espacio desde el cual se gestionen los
incidentes. Una vez establecida, esta ubicación debería ser el punto focal de la respuesta de la organi-
zación. Se debería designar un punto de reunión alternativo en una ubicación diferente para el caso en
que no sea posible el acceso a la ubicación principal. Cada ubicación debería tener acceso a recursos
apropiados mediante los cuales el equipo de gestión de incidentes pueda iniciar sin demora y con
eficacia las actividades de gestión de los incidentes.
La ubicación puede ser tan simple como una habitación de hotel, o la vivienda de un miembro del perso-
nal. También puede ser tan compleja como un 'centro de mando' con ordenadores personales, sistemas
de videoconferencia y múltiples teléfonos. Inicialmente, podría ser necesario mantener una reunión
virtual o fuera del lugar, por ejemplo, vía telefónica, teleconferencia o videoconferencia, para que las
decisiones esenciales se puedan tomar rápidamente.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 55 - UNE-EN ISO 22313:2015
La ubicación elegida debería ser adecuada para la finalidad en cuestión y puede incluir:
– medios para acceder a y compartir la información, incluyendo la supervisión de los medios nuevos.
Existe la necesidad de gestionar y coordinar activamente las muchas comunicaciones que se emitirán y
recibirán durante un incidente. Este procedimiento debería contener:
a) los detalles de cómo y bajo qué circunstancias la organización establecerá comunicación con los
empleados y sus familiares, con los contactos de emergencia y con otras partes interesadas;
3) sus directrices o patrones para la redacción de las declaraciones a los medios de comunicación,
La información preparada puede ser especialmente útil en las primeras etapas de un incidente. Permite
que una organización proporcione detalles acerca de la organización y de su negocio mientras aún se
están estableciendo los detalles del incidente.
– establecer una competencia adecuada para apoyar la unión con los medios de comunicación, o con
otros grupos de partes interesadas;
– establecer un número apropiado de personas formadas y competentes para responder a las consultas
telefónicas de la prensa;
– utilizar todos los canales de comunicación abiertos a la organización, incluidos los medios sociales; y
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 56 -
También puede ser necesario tener en consideración a los grupos de presión o de acción comunitaria
que colectivamente tienen poder o influencia sobre la organización.
Se debería incluir un proceso para identificar y priorizar las comunicaciones con otras partes intere-
sadas esenciales. También puede ser necesario desarrollar un procedimiento independiente para la
gestión de las partes interesadas, que proporcione criterios para establecer prioridades y hacer
provisiones para asignar personas a cada parte interesada o grupo de partes interesadas.
– servicios de traslado;
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 57 - UNE-EN ISO 22313:2015
La organización debería designar a personas con niveles de autoridad apropiados para servir de enlace
con los servicios de emergencia, cuando sea necesario. Los servicios de emergencia desempeñan una
función primordial en la protección de la vida y en el alivio al sufrimiento durante las emergencias. Por
ello, la temprana conexión, la planificación previa y la coordinación de incidentes en tiempo real entre
la organización y sus servicios de primera respuesta y los servicios de emergencia puede mejorar la
eficacia de la respuesta ante un incidente.
Todos los recursos requeridos deberían estar identificados específicamente. Estos recursos deberían
estar disponible de forma inmediata, y tener la capacidad de realizar su función prevista. La restricción
en el empleo de recursos se debería tener en consideración, y la aplicación de un recurso no debería
incurrir en una responsabilidad superior que pudiese hacer fallar el empleo del recurso. El coste del
recurso no debería pesar más que el beneficio que proporciona.
Los recursos que se pueden necesitar para dar respuesta al bienestar incluyen, aunque no se limitan a,
lo siguiente:
– suministros (por ejemplo, material médico, de higiene personal, consumibles, administrativo, hielo);
– sistemas de comunicaciones;
– alimentos y agua;
– información técnica;
– ropa y refugio;
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 58 -
– la seguridad de los edificios una vez ocupados por los servicios de emergencia;
Cada procedimiento debería detallar cuando corresponda, los recursos que se requieren en diferentes
momentos de tiempo para conseguir los objetivos. Esto puede incluir:
– números de recursos;
– equipo técnico;
– medios de telecomunicaciones; y
– los procedimientos para implantar soluciones alternativas manuales, recuperación del sistema, pro-
cesos alternativos, etc.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 59 - UNE-EN ISO 22313:2015
– localizaciones alternativas;
– una relación del personal con la experiencia necesaria para las unidades operativas;
8.4.5 Recuperación
La organización debería tener procedimientos documentados para regenerar y restituir operaciones de
negocio a partir de medidas temporales adoptadas para apoyar los requisitos normales del negocio
después de un incidente. Estos procedimientos deberían cubrir los requisitos de auditoría y los requi-
sitos de gobierno corporativo aplicables.
La finalidad de la recuperación es restablecer las actividades del negocio para apoyar los requisitos
normales del negocio después de un incidente disruptivo. La vuelta a la normalidad se puede conseguir:
– emigrando las operaciones desde edificios temporales llevándolas de nuevo a la ubicación principal
del negocio una vez restaurada; o
Será necesario tomar la decisión de cómo mejor 'volver a la normalidad' en función de la severidad de
los daños causados por el incidente, y estimar cuanto tiempo se tardaría en establecer las instalaciones
necesarias.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 60 -
n) realizar las diligencias necesarias en cuanto a los requisitos de auditoría y de gobierno corporativo.
Los procedimientos documentados para la recuperación deberían incluir la provisión para la reanu-
dación de todas las actividades y no solo las identificadas como actividades prioritarias. Esto reconoce
que las actividades con una prioridad más baja se tienen que reanudar en el mismo punto en tiempo, y
tener requisitos de recursos (8.3.2).
8.5.1 Generalidades
Las disposiciones y los procedimientos de continuidad del negocio de una organización no se pueden
considerar fiables hasta que se hayan probado y siempre y cuando se mantengan actualizados. La reali-
zación de pruebas es esencial para garantizar que las estrategias, las políticas, los planes y los procedi-
mientos que se han establecido son adecuados y cumplen los objetivos de continuidad del negocio. Las
pruebas son esenciales para desarrollar el trabajo en equipo, la competencia, la confianza, y los conoci-
mientos, y se deberían incluir aquellas que se pueden requerir para la utilización de los procedimientos.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 61 - UNE-EN ISO 22313:2015
Un programa de pruebas debería ser coherente con el alcance de los procedimientos de continuidad del
negocio, y darle la debida consideración a toda la legislación y reglamentación aplicables.
c) probar las disposiciones y la infraestructura de continuidad del negocio (incluyendo, por ejemplo,
las ubicaciones de gestión de incidentes y las áreas de trabajo); y
La envergadura y complejidad de las pruebas deberían ser apropiadas a los objetivos de continuidad del
negocio de la organización.
Debería existir un programa planificado de pruebas, donde la frecuencia de éstas debería depender de
las necesidades de la organización, del entorno ambiental en que ésta funciona y de los requisitos de las
partes interesadas. No obstante, la puesta en práctica del programa debería ser flexible, teniendo en
cuenta los cambios dentro de la organización y los resultados de las pruebas anteriores. Un cambio
importante en la organización puede disparar la programación de una prueba para examinar las dispo-
siciones revisadas.
El programa de pruebas debería considerar las funciones de todas las partes, incluidos los proveedores
esenciales de terceras partes, suministradores y otros agentes que podrían participar en actividades de
recuperación. Una organización puede incluir a tales partes en sus pruebas y puede participar en las
pruebas que éstas organizan.
El alcance y el detalle de las pruebas se deberían afianzar a medida que lo hace el programa en base a la
experiencia, los recursos y las posibilidades de la organización. En las fases iniciales, las pruebas y los
ensayos se pueden limitar al empleo de listas de verificación, sondeos y pruebas de concienciación. A
medida que el programa se vaya afianzando, se puede ampliar para incluir ejercicios de la parte superior
de la tabla y simulación en directo a escala natural.
Cada prueba y ensayo debería tener sus metas y objetivos claramente definidos, y estar basada en un
escenario que sea apropiado para cumplirlos.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 62 -
Las pruebas deberían ser realistas, cuidadosamente planificadas y acordadas con las partes aplicables,
de manera que exista un riesgo mínimo de interrupción de los procesos de negocio y de que se produzca
un incidente como consecuencia de la prueba. Esto se puede conseguir realizando la prueba dentro de
un entorno controlado y aislado a condición de que no se ponga en peligro la integridad de los objetivos
que se están ensayando.
La organización debería designar escenarios para las pruebas que satisfagan los objetivos de éstas, y se
pueden utilizar amenazas que estén identificadas en la evaluación del riesgo, u otros sucesos apropiados.
La eficacia de algunos aspectos de la continuidad del negocio requerirá que personas particulares o
aquellos que ocupan posiciones específicas, tengan conocimientos, perfiles profesionales y entendi-
mientos particulares. Estas personas deberían estar in situ antes de la prueba permitiendo a los partici-
pantes aplicarlos en escenarios y simulaciones aplicables.
Las pruebas se deberían diseñar y realizar de manera que proporcionen uno o varios de los resultados
siguientes:
b) la confianza de que la información requerida por las actividades está adecuadamente actualizada
(8.3.2.3);
k) una oportunidad para identificar inexactitudes en los procedimientos escritos de continuidad del
negocio y en la implantación de estos;
l) la seguridad de que los procedimientos de continuidad del negocio se pueden implantar cuando se
necesite;
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 63 - UNE-EN ISO 22313:2015
m) una mayor confianza de las partes interesadas respecto al grado de preparación de la organización; y
Las pruebas pueden tener una variedad de formatos diferentes. La decisión sobre la idoneidad del tipo
de prueba dependerá del contexto de la GCN, de los objetivos de la prueba, de la disponibilidad presu-
puestaria y de participación, y de la tolerancia de la organización a la interrupción operacional causada
por el mantenimiento de la prueba.
Los tipos principales de pruebas se describen en la Norma ISO 22398 [Societal security – Guidelines for
exercises and testing (Protección y seguridad de los ciudadanos – Directrices para pruebas y ensayos)].
Como parte de la prueba, se debería programar una revisión con todos los participantes para discutir
los temas y las lecciones aprendidas. Esta información se debería documentar y actualizar a medida que
los procedimientos lo requieran.
Después de la prueba, la organización debería realizar un informe y un análisis donde se evalúe el logro
de las metas y objetivos de la prueba. También se debería redactar un informe posterior a la prueba que
contenga las recomendaciones y el calendario para su implantación.
Las enseñanzas obtenidas de las pruebas y de los incidentes reales experimentados, se deberían volver
a examinar durante pruebas futuras. Las pruebas que demuestren serias deficiencias o inseguridades
en los procedimientos, se deberían volver a realizar después de que se hayan terminado las acciones
correctoras.
– aumento de la eficacia y reducciones de los tiempos necesarios para completar los procesos (por
ejemplo, utilizando enseñanzas repetidas para acortar los tiempos de respuesta;
9.1.1 Generalidades
Los procedimientos para evaluar el rendimiento y la eficacia del SGCN deberían incluir el estableci-
miento de métricas de rendimiento; la evaluación de la protección de las actividades prioritarias; la
confirmación del cumplimiento de los requisitos; el examen de las evidencias históricas; y el empleo de
información documentada para facilitar las posteriores acciones correctoras. Los procedimientos
también deberían hacer referencia a la política y a los objetivos de la continuidad del negocio.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 64 -
b) supervisión de la amplitud con que se cumplen la política y los objetivos de la continuidad del
negocio;
d) evaluación del rendimiento de los procesos, procedimientos y funciones que protegen a las
actividades prioritarias;
e) medidas proactivas del rendimiento que supervisen la conformidad con el SGCN con respecto a la
legislación aplicable;
f) medidas reactivas del rendimiento para supervisar fallos, incidentes, no conformidades (incluyen-
do desaciertos cercanos y alarmas falsas) y otras evidencias históricas de rendimiento deficiente
del SGCN; y
El SGCN debería proporcionar datos de supervisión y de medición para identificar patrones y obtener
información relativa a su rendimiento. Estos datos se deberían utilizar para asegurar que se consiguen
la política y los objetivos de la organización, así como para identificar acciones correctoras y áreas de
mejora.
La organización debería poder demostrar que ha identificado, evaluado y cumplido los requisitos legales
y cualquier otro requisito al que se haya comprometido.
Los registros de todas las evaluaciones periódicas y sus resultados se deberían conservar.
La organización debería analizar y, a intervalos planificados, evaluar los resultados de las supervisiones
y de las mediciones.
Las evaluaciones deberían cubrir la posible necesidad de cambios en la política, los objetivos, las estra-
tegias, y otros elementos del SGCN, a la luz de hechos tales como resultados de las pruebas, revisiones
posteriores a incidentes, cambio de circunstancias y el compromiso de mejora continua.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 65 - UNE-EN ISO 22313:2015
Una evaluación de los procedimientos de continuidad del negocio de la organización debería verificar
que:
a) todos los productos y servicios esenciales y sus actividades y recursos de apoyo se han identificado
e incluido en la estrategia de continuidad del negocio de la organización;
b) la política de continuidad del negocio de la organización, las estrategias, el marco de trabajo y los
procedimientos de continuidad del negocio reflejan con precisión sus prioridades y requisitos (los
objetivos de la organización);
d) las soluciones de continuidad del negocio de la organización son eficaces, están actualizadas y
adecuadas a los objetivos y apropiadas al nivel de riesgo al que se enfrenta la organización;
f) las estrategias y procedimientos de continuidad del negocio incorporan las mejoras identificadas
durante los incidentes y las pruebas y en el programa de mantenimiento;
g) la organización tiene un programa continuo para la formación sobre continuidad del negocio y para
la concienciación;
h) los procedimientos de continuidad del negocio se han comunicado eficazmente al personal, y que
éste ha entendido sus funciones y responsabilidades; y
– garantizar que todos los cambios (internos o externos) que impacten en la organización se revisan
con respecto a la GCN;
– identificar cualquier nuevo producto o servicio y sus actividades dependientes que se tenga que
incluir en el SGCN;
– garantizar que la continuidad del negocio de la organización continua siendo eficaz, adecuada a los
objetivos y que está actualizada; y
– permitir que los programas de pruebas existentes se puedan modificar cuando haya un cambio
significativo en cualquiera de las estrategias de continuidad del negocio o en los procesos asociados
al negocio.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 66 -
NOTA Para la organización, un método eficaz de evaluar el impacto de los cambios principales en el negocio consiste en revisar
el análisis de impacto en el negocio (8.2.2) en la primera oportunidad y, en base a los resultados, hacer cambios en otros
elementos de la GCN.
– la verificación de que las personas esenciales que han de implantar la estrategia y los procedimientos
de la continuidad del negocio están formados profesionalmente y son competentes;
En el caso de un incidente que interrumpa las actividades prioritarias de la organización o que requiera
una respuesta al mismo, se debería realizar una revisión posterior al incidente. Esta revisión puede
incluir:
– la comparación de los impactos reales con los considerados durante el análisis de impacto en el
negocio (8.2.2);
– la obtención de información sobre resultados de las partes interesadas y de aquellos que han partici-
pado en la respuesta.
La información documentada relativa a todas las evaluaciones periódicas y a sus resultados se debería
conservar como evidencia de las mismas.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 67 - UNE-EN ISO 22313:2015
Es esencial realizar auditorías internas del SGCN para garantizar que este sistema está consiguiendo sus
objetivos de acuerdo con sus disposiciones programadas, y que ha sido correctamente implantado y
mantenido, y para identificar las oportunidades de mejora. Las auditorías internas del SGCN se deberían
realizar a intervalos de tiempo programados, para determinar y proporcionar a la alta dirección
información sobre la conveniencia y eficacia del SGCN, así como para proporcionar una base para
establecer objetivos para la mejora continua del rendimiento del SGCN.
La organización debería establecer un programa de auditorías (véase la Norma ISO 19011) para dirigir
la planificación y realización de auditorías, e identificar las auditorías necesarias para cumplir los objeti-
vos del programa. Dicho programa se debería basar en la naturaleza de las actividades de la organiza-
ción, en términos de su gestión del riesgo y del análisis de impactos, en los resultados de auditorías
anteriores, y en otros factores relevantes.
Un programa de auditorías internas se debería basar en el alcance total del SGCN, sin embargo, no es
necesario que cada auditoría cubra al sistema completo de una vez. Las auditorías se pueden dividir en
partes más pequeñas, de manera que el programa de auditorías asegure que todas las unidades,
funciones, actividades y elementos del sistema organizacional y todo el campo de aplicación del SGCN
se auditen dentro del periodo de tiempo establecido por la organización.
Los resultados de una auditoría interna del SGCN se pueden proporcionar bajo la forma de un informe,
y utilizar para corregir o impedir no conformidades específicas, y constituyen la entrada para realizar
la revisión de la gestión.
Las auditorías internas del SGCN pueden ser realizadas por personal de la propia organización o por
personas externas seleccionadas por la organización y que trabajen en nombre de ésta. En cualquiera
de ambos casos, las personas que realicen las auditorías deberían ser competentes y estar en una
posición de imparcialidad y de objetividad. En organizaciones pequeñas, el auditor puede ser una
persona independiente que esté exenta de responsabilidad con la actividad que esté auditando.
– el rendimiento del sistema de gestión, incluidas las tendencias aparentes de las no conformidades y
las acciones correctoras, los resultados de las supervisiones y de las mediciones, y las conclusiones
de las auditorías;
– los cambios en la organización y en su contexto (4.1) que podrían impactar en el sistema de gestión; y
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 68 -
La revisión de la implantación y de los resultados del SGCN por la alta dirección se debería programar y
evaluar regularmente. Aunque la revisión continua del sistema es aconsejable, la revisión formal se
debería estructurar, documentar adecuadamente y programar sobre una base adecuada. Las personas
que estén implicadas en la implantación del SGCN y en la asignación de sus recursos, se deberían
implicar en la revisión de la gestión.
Además de las revisiones del sistema de gestión programadas regularmente, los factores siguientes
pueden obligar a una revisión, y aunque esto no ocurra, se deberían examinar una vez en una revisión
de las programadas:
a) tendencias del sector/de la industria: Las iniciativas importantes del sector/de la industria
deberían requerir una revisión del SGCN. Las tendencias generales y las mejores prácticas en el
sector/la industria y en las técnicas de planificación de la continuidad del negocio/operacional, se
pueden utilizar para fines de comparación de rendimientos;
b) requisitos reguladores: Los requisitos reglamentarios nuevos pueden requerir una revisión del
SGCN; y
Una revisión de la gestión debería dar como resultado mejoras en la eficacia y en el rendimiento del
SGCN, y puede dar lugar a los cambios siguientes:
– mejoras de su eficacia;
La organización debería conservar información documentada como evidencia de los resultados de las
revisiones de la gestión, y además debería:
10 Mejora
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 69 - UNE-EN ISO 22313:2015
Las no conformidades se deberían identificar y tratar oportunamente y se deberían aplicar las acciones
correctoras para tratarlas. La acción correctora puede partir de una declaración de no conformidad bien
definida que muestre claramente el problema y su entendimiento.
Cuando se identifica cualquier no conformidad, se debería llevar a cabo una investigación sobre su causa
principal y desarrollar un plan de acción correctora para atajar inmediatamente el problema. El plan de
acción se debería diseñar de manera que se mitiguen las consecuencias y se identifiquen los cambios a
realizar para corregir la situación, restablecer las operaciones normales y eliminar las causas, a fin de
impedir que el problema se repita. La naturaleza y duración de las acciones deberían ser apropiadas al
tamaño y a la naturaleza de la no conformidad y de sus potenciales consecuencias.
Un problema potencial se puede identificar salvo que no exista una no conformidad real. Los problemas
potenciales se pueden extrapolar a partir de acciones correctoras de no conformidades reales, identifi-
cadas durante el proceso de auditoría interna del SGCN o del análisis de tendencias y sucesos de la
industria. La identificación de las no conformidades potenciales también puede formar parte de las
responsabilidades rutinarias de las personas enteradas de la importancia de notificar y comunicar
problemas reales o potenciales.
El establecer procedimientos para tratar las no conformidades reales y potenciales y para aplicar las
acciones correctoras sobre una base de continuidad ayuda a asegurar la fiabilidad y la eficacia del SGCN.
Los procedimientos deberían definir las responsabilidades, la autoridad y los pasos a dar para planificar
y aplicar la acción correctora. La alta dirección debería garantizar que se implantan las acciones
correctoras y que se lleva a cabo un seguimiento sistemático para evaluar la eficacia de las mismas.
La mejora continua funciona a todos los niveles dentro del ciclo PDCA y debería ser dirigida por la
política y los objetivos de continuidad del negocio, los resultados de las auditorías, los análisis de sucesos
supervisados, las acciones correctoras y la revisión de la gestión.
Los cambios resultantes de las acciones correctoras se deberían reflejar en la documentación del SGCN.
La mejora continua requiere un proceso que identifique correctamente los problemas y las no
conformidades y que las fije. Este proceso debería identificar la naturaleza del problema y el entorno
dentro del cual se produce, e incluso los cambios en el entorno para asegurar que el problema no vuelve
a ocurrir. Cada paso se debería crear y mejorar sobre el paso anterior, de manera que la mejora cubra
más aspectos que los que presentaba el problema original identificado, y tenga un efecto más amplio y
más enérgico sobre la organización.
La implantación de acciones correctoras se debería validar como eficaz. Cada acción debería tener una
fecha estimada de terminación. Después de esa fecha, la organización debería asegurar que la acción
prescrita se realizó y que fue eficaz. Si la revisión revela que la acción no tuvo el éxito esperado, se
debería establecer una nueva fecha para la acción.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 22313:2015 - 70 -
El proceso de mejora continua debería seguir el mismo proceso básico utilizado para las acciones
correctoras, e incluir lo siguiente:
Las acciones correctoras cubren las deficiencias en el SGCN y aseguran que éste funciona según lo
previsto, a la vez que las mejoras continuas aportan al SGCM un nivel superior de eficacia y efectividad.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 71 - UNE-EN ISO 22313:2015
Bibliografía
[2] ISO 20000 (todas las partes), Information technology. Service management.
[4] ISO/PAS 22399:2007, Societal security. Guideline for incident preparedness and operational
continuity management.
[5] ISO 27002:2005, Information technology. Security techniques. Code of practice for information
security management.
[6] ISO 27031:2011, Information technology. Security techniques. Guidelines for information and
communication technology readiness for business continuity.
[11] SI 24001:2007, Security and continuity management systems. Requirements and guidance for use,
Standards Institution of Israel.
[13] Business Continuity Plan Drafting Guideline. Ministry of Economy, Trade and Industry, Japan, 2005.
[14] Business Continuity Guideline, Central Disaster Management Council, Cabinet Office, Government
of Japan, 2005.
1) Pendiente de publicación.
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
Para información relacionada con el desarrollo de las normas contacte con:
Asociación Española de Normalización
Génova, 6
28004 MADRID-España
Tel.: 915 294 900
info@une.org
www.une.org
Para información relacionada con la venta y distribución de las normas contacte con:
AENOR INTERNACIONAL S.A.U.
Tel.: 914 326 000
normas@aenor.com
www.aenor.com
Este documento ha sido adquirido por UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.