Iso 22313

norma UNE-EN ISO 22313
española
Enero 2015
TÍTULO Protección y seguridad de los ciudadanos
Sistema de Gestión de la Continuidad del Negocio
Directrices
(ISO 22313:2012)
Societal security. Business continuity management systems. Guidance (ISO 22313:2012).
Sécurité sociétale. Systèmes de management de la continuité d'activité. Lignes directrices (ISO 22313:2012).
CORRESPONDENCIA Esta norma es la versión oficial, en español, de la Norma Europea EN ISO 22313:2014,
que a su vez adopta la Norma Internacional ISO 22313:2012.
OBSERVACIONES Esta norma anula y sustituye a la Norma UNE-ISO 22313:2013.
ANTECEDENTES Esta norma ha sido elaborada por el comité técnico AEN/CTN 196 Protección y
seguridad de los ciudadanos cuya Secretaría desempeña AENOR.
Editada e impresa por AENOR LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:
Depósito legal: M 1859:2015
62 Páginas
 AENOR 2015 Génova, 6 info@aenor.es Tel.: 902 102 201

Reproducción prohibida 28004 MADRID-España www.aenor.es Fax: 913 104 032
Este documento forma parte de la biblioteca del NULLAM CONSULTING SAC.,

adquirido el 21/09/2015
S

NORMA EUROPEA
EUROPEAN STANDARD EN ISO 22313
NORME EUROPÉENNE
EUROPÄISCHE NORM Noviembre 2014
ICS 03.100.01
Versión en español
Protección y seguridad de los ciudadanos

Sistema de Gestión de la Continuidad del Negocio
Directrices
(ISO 22313:2012)
Societal security. Business continuity Sécurité sociétale. Systèmes de Sicherheit und Schutz des Gemeinwesens.
management systems. Guidance. management de la continuité d'activité. Aufrechterhaltung der Betriebsfähigkeit.
(ISO 22313:2012) Lignes directrices. Leitlinie.
(ISO 22313:2012) (ISO 22313:2012)
Esta norma europea ha sido aprobada por CEN el 2014-10-18.
Los miembros de CEN están sometidos al Reglamento Interior de CEN/CENELEC que define las condiciones dentro de
las cuales debe adoptarse, sin modificación, la norma europea como norma nacional. Las correspondientes listas
actualizadas y las referencias bibliográficas relativas a estas normas nacionales pueden obtenerse en el Centro de
Gestión de CEN, o a través de sus miembros.
Esta norma europea existe en tres versiones oficiales (alemán, francés e inglés). Una versión en otra lengua realizada
bajo la responsabilidad de un miembro de CEN en su idioma nacional, y notificada al Centro de Gestión, tiene el mismo
rango que aquéllas.
Los miembros de CEN son los organismos nacionales de normalización de los países siguientes: Alemania, Antigua
República Yugoslava de Macedonia, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia,
España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta,
Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumanía, Suecia, Suiza y Turquía.
CEN
COMITÉ EUROPEO DE NORMALIZACIÓN
European Committee for Standardization
Comité Européen de Normalisation
Europäisches Komitee für Normung
CENTRO DE GESTIÓN: Avenue Marnix, 17-1000 Bruxelles
 2014 CEN. Derechos de reproducción reservados a los Miembros de CEN.

EN ISO 22313:2014 -4-
Prólogo
El texto de la Norma ISO 22313:2012 del Comité Técnico ISO/TC 223 Seguridad de los ciudadanos, de
la Organización Internacional de Normalización (ISO), ha sido adoptado como Norma
EN ISO 22313:2014 por el Comité Técnico CEN/TC 391 Protección y seguridad de los ciudadanos, cuya
Secretaría desempeña NEN.
Esta norma europea debe recibir el rango de norma nacional mediante la publicación de un texto idéntico
a ella o mediante ratificación antes de finales de mayo de 2015, y todas las normas nacionales
técnicamente divergentes deben anularse antes de finales de mayo de 2015.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento estén sujetos
a derechos de patente. CEN y/o CENELEC no es(son) responsable(s) de la identificación de dichos
derechos de patente.
De acuerdo con el Reglamento Interior de CEN/CENELEC, están obligados a adoptar esta norma europea
los organismos de normalización de los siguientes países: Alemania, Antigua República Yugoslava de
Macedonia, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España,
Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo,
Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumanía, Suecia, Suiza
y Turquía.
Declaración
El texto de la Norma ISO 22313:2012 ha sido aprobado por CEN como Norma EN ISO 22313:2014 sin
ninguna modificación.

-5- ISO 22313:2014
Índice
Prólogo...................................................................................................................................................... 6
0 Introducción ............................................................................................................................ 7
1 Objeto y campo de aplicación .............................................................................................. 12
2 Normas para consulta .......................................................................................................... 13
3 Términos y definiciones........................................................................................................ 13
4 Contexto de la organización................................................................................................. 13
4.1 Entendimiento de la organización y su contexto ................................................................ 13
4.2 Entendimiento de las necesidades y expectativas de las partes interesadas .................... 14
4.3 Determinación del campo de aplicación del sistema de gestión ........................................ 16
4.4 Sistema de gestión de la continuidad del negocio ............................................................... 16
5 Liderazgo ............................................................................................................................... 17
5.1 Liderazgo y compromiso ...................................................................................................... 17
5.2 Compromiso de la dirección ................................................................................................ 17
5.3 Política ................................................................................................................................... 17
5.4 Funciones, responsabilidades y autoridad de las organizaciones ..................................... 18
6 Planificación .......................................................................................................................... 19
6.1 Acciones para cubrir riesgos y oportunidades ................................................................... 19
6.2 Objetivos de la continuidad del negocio y planes para conseguirlos ................................ 19
7 Apoyo ..................................................................................................................................... 20
7.1 Recursos ................................................................................................................................ 20
7.2 Competencia .......................................................................................................................... 21
7.3 Concienciación ...................................................................................................................... 23
7.4 Comunicación ....................................................................................................................... 24
7.5 Información documentada ................................................................................................... 25
8 Operación .............................................................................................................................. 27
8.1 Planificación y control operacional ..................................................................................... 27
8.2 Análisis de impacto en el negocio y valoración del riesgo ................................................. 31
8.3 Estrategia de continuidad del negocio ................................................................................ 34
8.4 Establecimiento e implantación de procedimientos de continuidad del negocio ............. 42
8.5 Pruebas y ensayos ................................................................................................................. 53
9 Evaluación del rendimiento ................................................................................................. 56

9.1 Supervisión, medición, análisis y evaluación ...................................................................... 56
9.2 Auditoría interna .................................................................................................................. 58
9.3 Revisión de la gestión ........................................................................................................... 59
10 Mejora ................................................................................................................................... 60
10.1 No conformidad y acción correctora ................................................................................... 60
10.2 Mejora continua.................................................................................................................... 61
Bibliografía............................................................................................................................................. 62

ISO 22313:2014 -6-
Prólogo
ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales

de normalización (organismos miembros de ISO). El trabajo de preparación de las normas internacionales
normalmente se realiza a través de los comités técnicos de ISO. Cada organismo miembro interesado en
una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en
dicho comité. Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también
participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC)
en todas las materias de normalización electrotécnica.
Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las
Directivas ISO/IEC.
La tarea principal de los comités técnicos es preparar normas internacionales. Los proyectos de normas
internacionales adoptados por los comités técnicos se envían a los organismos miembros para votación.
La publicación como norma internacional requiere la aprobación por al menos el 75% de los organismos
miembros que emiten voto.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar
sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera o todos
los derechos de patente.
La Norma ISO 22313 fue preparada por el Comité Técnico ISO/TC 223, Seguridad de los ciudadanos.
Con fines de investigación, invitamos a los usuarios de la Norma ISO 22313:2012 a compartir sus
impresiones y sus prioridades para los cambios en futuras ediciones del documento. A
continuación encontrará un enlace a la encuesta online:
http://www.surveymonkey.com/s/22313

-7- ISO 22313:2014
0 Introducción
Generalidades
Esta norma internacional proporciona directrices, cuando sea adecuado, sobre los requisitos especificados en la Norma
ISO 22301:2012, así como recomendaciones ("debería") y autorizaciones ("puede") con respecto a tales directrices. Esta
norma internacional no tiene la intención de proporcionar directrices generales sobre todos los aspectos de la
continuidad del negocio.
Esta norma internacional incluye los mismos encabezamientos que la Norma ISO 22301, pero no repite los requisitos de
los sistemas de gestión de la continuidad del negocio y sus términos y definiciones asociados. Las organizaciones que
deseen estar informadas sobre tales requisitos deben consultar las Normas ISO 22301 e ISO 22300.
Para facilitar aclaraciones y explicaciones adicionales de los puntos clave, esta norma internacional incluye un deter-
minado número de figuras. Todas esas figuras únicamente tienen fines ilustrativos y el texto asociado tiene su pre-
cedente en el cuerpo de esta norma internacional.
Un sistema de gestión de la continuidad del negocio (SGCN) subraya la importancia de:
– el entendimiento de las necesidades de la organización y de la necesidad de establecer la política y los objetivos de

la continuidad del negocio;
– la implantación y la aplicación de controles y medidas para gestionar la capacidad global de la organización para
hacer frente a incidentes disruptivos;
– la supervisión y revisión del rendimiento y la eficacia del SGCN; y
– la mejora continua basada en mediciones objetivas.
Un SGCN, como cualquier otro sistema de gestión, tiene los siguientes componentes fundamentales:
a) una política;
b) personas con responsabilidades definidas;
c) procesos de gestión asociados a:

1) la política,
2) la planificación,
3) la implantación y la operación,
4) la evaluación del rendimiento,
5) la revisión por la dirección, y
6) la mejora,
d) un conjunto de documentos que proporcionan pruebas auditables; y
e) todos los procesos de SGCN relevantes para la organización.
Normalmente, la continuidad del negocio es un asunto específico de una organización, sin embargo, su implantación
puede tener implicaciones de gran alcance sobre la comunidad en su conjunto y sobre otras terceras partes. Es probable
que una organización tenga organizaciones externas de las que dependa y habrá otras organizaciones que dependan de
ella. Por ello, una continuidad del negocio efectiva contribuye a una sociedad más elástica.

ISO 22313:2014 -8-
El ciclo "Planificar-Hacer-Verificar-Actuar" (PDCA)
Esta norma internacional aplica el ciclo "Planificar-Hacer-Verificar-Actuar" [conocido por sus siglas en inglés PDCA
(Plan-Do-Chech-Act)] para planificar, establecer, implantar, operar, monitorizar, revisar, mantener y mejorar
continuamente la eficacia del SGCN de una organización.
La figura 1 muestra cómo el SGCN toma los requisitos de las partes interesadas como entradas para la gestión de la
continuidad del negocio (GCN) y, a través de las acciones y los procesos necesarios, produce resultados para la
continuidad del negocio (es decir, continuidad del negocio gestionada) que cumplen esos requisitos.
Figura 1 – Modelo PDCA aplicado a procesos de SGCN
Tabla 1 – Explicación del modelo PDCA
Planificar Establecer la política de continuidad del negocio, los objetivos, los controles, los procesos y
(Establecer) los procedimientos necesarios para mejorar la continuidad del negocio con el fin de obtener
resultados acordes con las políticas y objetivos generales de la organización.
Hacer Implantar y operar la política, los controles, los procesos y los procedimientos de
(Implantar y operar) continuidad del negocio.
Verificar Supervisar y revisar el rendimiento según los objetivos y la política de continuidad del
(Supervisar y revisar) negocio, informar de los resultados a la dirección de la organización para su revisión, y
determinar y autorizar las medidas para su corrección y mejora.
Actuar Mantener y mejorar el SGCN mediante la aplicación de medidas correctoras, basadas en los
(Mantener y mejorar) resultados de la revisión por la dirección de la organización, y reevaluando el alcance del
SGCN y la política y los objetivos de continuidad del negocio.

-9- ISO 22313:2014
Componentes del modelo PDCA en esta norma internacional
Existe una relación directa entre el contenido de la figura 1 y los capítulos de esta norma internacional.
Tabla 2 – Relación entre el modelo PDCA y los capítulos 4 a 10
Componente PDCA Capítulo donde se trata el componente PDCA

Planificar Capítulo 4 (Contexto de la organización): Establece lo que la organización tiene que
(Establecer) hacer a fin de asegurar que el SGCN cumple sus requisitos, teniendo en cuenta todos los
factores externos e internos aplicables, incluyendo:
– las necesidades y expectativas de las partes interesadas;
– sus obligaciones legales y reglamentarias;
– el campo de aplicación requerido del SGCN.
Capítulo 5 (Liderazgo): Establece el papel esencial de la dirección en términos de
demostración de compromiso, definición de la política, y asignación de funciones,
responsabilidades y autoridad.
Capítulo 6 (Planificación): Describe las acciones que se requieren para establecer
objetivos estratégicos y dirigir los principios del SGCN como un todo. Establece el
contexto para el análisis de impacto en el negocio y la valoración del riesgo (8.2), así como
la estrategia de la continuidad del negocio (8.3).
Capítulo 7 (Apoyo): Identifica los elementos esenciales que se necesitan para apoyo del
SGCN, esto es: recursos, competencia, concienciación, comunicación e información
documentada.
Hacer Capítulo 8 (Operación): Identifica los elementos para la gestión de la continuidad del
(Implantar y operar) negocio (GCN) que se necesitan para conseguir la continuidad del negocio.
Verificar Capítulo 9 (Evaluación del rendimiento): Proporciona las bases para la mejora del SGCN
(Supervisar y revisar) a través de la medición y evaluación de su rendimiento.
Actuar Capítulo 10 (Mejora): Cubre las acciones correctoras necesarias para dirigir las no
(Mantener y mejorar) conformidades identificadas mediante la evaluación del rendimiento.
Continuidad del negocio
La continuidad del negocio es la capacidad de la organización para continuar suministrando productos o servicios a
niveles predefinidos aceptables después de un incidente disruptivo. La gestión de la continuidad del negocio (GCN) es
el proceso que permite la continuidad del negocio, que prepara una organización para tratar incidentes disruptivos que,
en caso contrario, podrían impedir la consecución de sus objetivos.
La colocación de la gestión de la continuidad del negocio (GCN) en el seno del marco y de las disciplinas de un sistema
de gestión crea un sistema de gestión de la continuidad del negocio (SGCN) que permite que la GCN será controlada,
evaluada y mejorada de forma continua.
En esta norma internacional, la palabra negocio se utiliza como un térmico muy amplio para las operaciones y servicios
realizados por una organización en busca de sus objetivos, metas o misiones. También es igualmente aplicable a
organizaciones grandes, medianas y pequeñas que operan en los sectores industriales, comerciales, públicos, y
altruistas.

ISO 22313:2014 - 10 -
Cualquier incidente, grande o pequeño, natural, accidental o provocado, tiene la posibilidad de causar interrupciones
importantes en las operaciones de la organización y en su capacidad de suministrar productos y servicios. Sin embargo,
la implantación de la continuidad del negocio antes de que se produzca un incidente disruptivo, permitirá a la
organización, en vez de esperar a que esto suceda, continuar las operaciones antes de que se alcancen niveles de
impacto inaceptables.
La GCN implica:
a) tener claro los productos y servicios esenciales de la organización y las actividades que los proporcionan;
b) conocer las prioridades por reanudación de las actividades y los recursos que requieren;
c) tener un conocimiento claro de las amenazas contra estas actividades, incluyendo sus dependencias, y sabiendo los
impactos de no reanudarlas;
d) tener disposiciones probadas y de confianza in situ para reanudar estas actividades después de un incidente
disruptivo; y
e) tener la seguridad de que estas disposiciones se revisan y actualizan de manera rutinaria para que sean eficaces en
todas las circunstancias.
La continuidad del negocio puede ser eficaz tratando tanto incidentes disruptivos (por ejemplo, explosiones) como
graduales (por ejemplo, pandemia gripal).
Las actividades se interrumpen a causa de una amplia variedad de incidentes, muchos de los cuales son difíciles de
predecir o de analizar. Centrándose en el impacto de la interrupción antes que en la causa, la continuidad del negocio
identifica aquellas actividades de las cuales depende la organización para su supervivencia, y que le permiten
determinar lo que requiere para continuar cumpliendo sus obligaciones. A través de la continuidad del negocio, una
organización puede reconocer lo que necesita hacer para proteger sus recursos (por ejemplo, personas, edificios,
tecnología e información), su cadena de abastecimiento, sus partes interesadas y su reputación, antes de que se produzca
un incidente disruptivo. Con este reconocimiento, la organización puede tener una visión realista sobre las respuestas
que probablemente se necesiten cuando se produzca una interrupción, para que se pueda tener la seguridad de gestionar
las consecuencias y de evitar impactos inaceptables.
Una organización con una continuidad del negocio apropiada también puede tener la ventaja de disponer de
oportunidades que, en caso contrario, se podría juzgar como un riesgo demasiado elevado.
La finalidad de los diagramas siguientes (figuras 2 y 3) es ilustrar conceptualmente cómo la continuidad del negocio
puede ser eficaz para mitigar impactos en determinadas situaciones. No se tienen en cuenta plazos de tiempo
particulares, debido a la distancia relativa entre las etapas representadas en ambos diagramas.

- 11 - ISO 22313:2014
Figura 2 – Ilustración de la eficacia de la continuidad del negocio para interrupciones imprevistas

ISO 22313:2014 - 12 -
Figura 3 – Ilustración de la eficacia de la continuidad del negocio para interrupciones graduales

(por ejemplo, pandemia próxima)
1 Objeto y campo de aplicación

Esta norma internacional para sistemas de gestión de la continuidad del negocia proporciona directrices basadas en
buenas experiencias internacionales, para la planificación, establecimiento, implantación, operación, supervisión,
revisión, mantenimiento y mejora continua de un sistema de gestión documentado que permite a las organizaciones
prepararse para, responder a, y recuperarse de incidentes disruptivos cuando estos se producen.
Esta norma internacional no pretende establecer una estructura uniforme para un SGCN, sino que una organización
diseñe un SGCN que sea apropiado a sus necesidades y que cumpla los requisitos de sus partes interesadas. Estas
necesidades se modelan de acuerdo con requisitos legales, reglamentarios, organizacionales e industriales, con los
productos y los servicios, con los procesos empleados, con el entorno ambiental en que opera, con el tamaño y la
estructura de la organización, y con los requisitos de sus partes interesadas.
Esta norma internacional es genérica y aplicable a todos los tamaños y tipos de organizaciones, incluidas organizaciones
grandes, medianas y pequeñas que operen en sectores industriales, comerciales, públicos y altruistas, que deseen:
a) establecer, implantar, mantener y mejorar un SGCN;
b) asegurar la conformidad con la política de continuidad del negocio de la organización; y
c) hacer una autodeterminación y una autodeclaración de conformidad con esta norma internacional.

- 13 - ISO 22313:2014
Esta norma internacional no se puede utilizar para evaluar la capacidad de una organización para cumplir sus propias
necesidades de continuidad del negocio, ni las necesidades legales o reglamentarias de cualquier cliente. Las
organizaciones que deseen hacer esto, pueden utilizar los requisitos de la Norma ISO 22301 para demostrar la
conformidad o buscar la certificación de su SGCN por un organismo acreditado de certificación por tercera parte.
2 Normas para consulta

Las normas que a continuación se indican son indispensables para la aplicación de esta norma. Para las referencias con
fecha, sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición de la norma (incluyendo
cualquier modificación de ésta).
ISO 22300, Protección y seguridad de los ciudadanos. Terminología.
ISO 22301, Protección y seguridad de los ciudadanos. Sistema de Gestión de la Continuidad del Negocio.
Especificaciones.
3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones incluidos en las Normas ISO 22300 e ISO 22301.
4 Contexto de la organización
4.1 Entendimiento de la organización y su contexto

Esta sección trata sobre el entendimiento del contexto de la organización en relación con el establecimiento y gestión
del SGCN. El establecimiento y la gestión del SGCN lo cubre el apartado 8.1.
La organización debería evaluar y entender los factores internos y externos que son relevantes para su finalidad y sus
operaciones. Esta información se debería tener en cuenta al establecer, implantar, mantener y mejorar el SGCN de la
organización, y al asignar prioridades.
La evaluación del contexto externo de la organización debería incluir, cuando corresponda, los siguientes factores:
– el entorno político, legal y reglamentario si es de nivel internacional, nacional, regional o local;
– el entorno social y cultural, financiero, tecnológico, económico, natural y competitivo, si es de nivel internacional,
nacional, regional o local;
– los compromisos y relaciones de la cadena de abastecimiento;
– la consideración de estudios internos sobre los riesgos, teniendo en cuenta otros sistemas de gestión de la informa-
ción aplicables, y más generalmente, cualquier información procedente del entendimiento de la gestión;
– impulsores y tendencias esenciales que tengan impacto sobre los objetivos y el funcionamiento de la organización; y
– relaciones con, y percepciones y valores de, partes interesadas externas a la organización.
La evaluación del contexto interno de la organización debería incluir, cuando corresponda, los siguientes factores:
– productos y servicios, actividades, recursos, cadenas de abastecimiento y relaciones con las partes interesadas;
– las facilidades, entendidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo, personas, proce-
sos, sistemas y tecnologías);

ISO 22313:2014 - 14 -
– sistemas de información, flujos de información, y procesos de toma de decisiones (tanto formales como informales);
– partes interesadas dentro de la organización;
– políticas y objetivos, y las estrategias aplicadas para conseguirlos;
– oportunidades futuras y prioridades del negocio;
– percepciones, valores y cultura;
– normas y modelos de referencia adoptados por la organización;
– estructuras (por ejemplo, gobierno, funciones y responsabilidades).
4.2 Entendimiento de las necesidades y expectativas de las partes interesadas

4.2.1 Generalidades
Al establecer su SGCN, la organización debería garantizar que se toman en consideración las necesidades y requisitos
de las partes interesadas.
La organización debería identificar todas las partes interesadas que son de importancia para su SGCN y, en base a sus
necesidades y expectativas, determinar sus requisitos. Es importante identificar no solo los requisitos obligatorios y
declarados, sino también cualquier otro requisito implicado.
NOTA La organización necesita estar enterada de todas aquellas partes que tienen un interés en la organización, tales como los medios de
comunicación, el público cercano, los competidores y demás.
Al planificar e implantar el SGCN, no solo es importante identificar las acciones que sean apropiadas con respecto a las
partes interesadas, sino también diferenciar entre categorías diferentes. Por ejemplo, aunque después de un incidente
disruptivo puede ser adecuado comunicar con todas las partes interesadas, puede no serlo comunicar con todas las
partes interesadas cuando se estable y gestiona una GCN (8.1.1).

- 15 - ISO 22313:2014
Figura 4 – Ejemplos de partes interesadas a considerar en sectores públicos y privados
4.2.2 Requisitos legales y reglamentarios

Todos los sistemas de gestión deberían funcionar dentro del marco de entornos legales y reglamentarios en los que
opera la organización. Por tanto, la organización debería identificar e incluir en su SGCN todos los requisitos legales y
reglamentarios importantes y aplicables a los que se suscribe, así como las necesidades de las partes interesadas.
La información relativa a estos requisitos se debería documentar y mantener actualizada. Los requisitos nuevos o las
variaciones a los requisitos legales, reglamentarios y de otros tipos se deberían comunicar a los empleados y a las demás
partes interesadas.
Al establecer, implantar y mantener el SGCN, la organización debería tener en cuenta y documentar los requisitos lega-
les aplicables, otros requisitos a los que esté suscrita, y las necesidades de las partes interesadas.
La organización debería garantizar que su SGCN opera dentro, y en apoyo, de sus obligaciones legales y de los
requisitos relevantes de las partes interesadas.
La organización debería revisar los requisitos legales y reglamentarios en vigor y los pendientes en sus localizaciones,
lo cual puede incluir:
a) respuesta a incidentes: incluyendo la gestión de emergencias y la legislación sobre salud, seguridad y bienestar;
b) continuidad: que puede especificar el campo de aplicación del programa o la amplitud o la velocidad de respuesta;
c) riesgo: requisitos que definen el campo de aplicación o los métodos de un programa de gestión de riesgos; y
d) peligros: requisitos de operación relativos a materiales peligrosos almacenados en una localización.
NOTA Las organizaciones que operan en múltiples localizaciones, con frecuencia tienen que satisfacer los requisitos de jurisdicciones diferentes.

ISO 22313:2014 - 16 -
4.3 Determinación del campo de aplicación del sistema de gestión

4.3.1 Generalidades
La organización debería determinar el campo de aplicación del SGCN y asegurarse de que se puede comunicar de
manera adecuada a las partes interesadas. Es importante que los límites y la aplicabilidad del SGCN sean claramente
aparentes y que el campo de aplicación tenga en cuenta los resultados identificados en los apartados 4.1 y 4.2.
El campo de aplicación determina los productos y servicios, las localizaciones, las funciones, los procesos y las
actividades a los que se aplica el SGCN. Persigue que todas las dependencias han de estar en el campo de aplicación,
aunque no estén explícitamente identificadas en la declaración del campo de aplicación. Por ejemplo, si la "remune-
ración de empleado" está especificada en el campo de aplicación, entonces, por defecto la disponibilidad de fondos, la
aprobación de la gestión y las instrucciones para la institución financiera para realizar los pagos también deberían estar
incluidas dentro del campo de aplicación.
La organización debería documentar con claridad el campo de aplicación y el contexto del SGCN.
4.3.2 Campo de aplicación del SGCN

La organización debería, de una manera adecuada y en términos apropiados al tamaño, la naturaleza, y la complejidad
de la organización, definir y documentar el campo de aplicación del SGCN.
El campo de aplicación debería:
a) identificar las partes de la organización incluidas en el SGCN;
b) establecer los requisitos del SGCN de la organización teniendo en cuenta su misión, metas, responsabilidades
legales y obligaciones internas y externas;
c) identificar los productos y servicios de la organización de una manera que permita que todas las actividades,
recursos y cadenas de abastecimiento estén identificadas; y
d) tener en cuenta las necesidades e intereses de las partes interesadas.
El campo de aplicación también puede:
– incluir una indicación de la escala de incidentes que cubre el SGCN y la apetencia de riesgos de la organización; y
– identificar cómo el SGCN establece la estrategia general de gestión de riesgos de la organización (si existe).
Cuando una parte de una organización quede excluida del campo de aplicación de su SGCN, la organización debería
documentar y explicar la exclusión.
La finalidad de definir el campo de aplicación es asegurar la cobertura de todas las actividades, localizaciones y
proveedores principales (8.2.1, figura 6).
4.4 Sistema de gestión de la continuidad del negocio

Es una referencia normativa a la Norma ISO 22301:2012 que especifica los requisitos para un SGCN. No se propor-
cionan directrices.

- 17 - ISO 22313:2014
5 Liderazgo
5.1 Liderazgo y compromiso

Todos los niveles de dirección aplicables de la organización deberían demostrar su compromiso y liderazgo en la
implantación de la política y los objetivos de la continuidad del negocio. La demostración se puede conseguir aplicando
motivaciones, obligaciones y autorizaciones.
5.2 Compromiso de la dirección

La alta dirección debería demostrar su compromiso con el SGCN.
La alta dirección debería proporcionar evidencias de su compromiso con el desarrollo e implantación del SGCN, y la
mejora continua de su efectividad, mediante:
a) el cumplimiento de los requisitos legales aplicables y de otros requisitos que la organización suscribe (4.2.2);
b) la integración de los procesos del SGCN en los procedimientos de mantenimiento y de revisión establecidos en la
organización;
c) el establecimiento de políticas y objetivos de continuidad del negocio en línea con los objetivos, obligaciones y
dirección estratégica de la organización (5.3);
d) la designación de una o varias personas con la autoridad y competencias apropiadas para ser responsables del SGCN
y responsables de su funcionamiento eficaz (5.4);
e) asegurando que se establecen las funciones, responsabilidades y competencias del SGCN (5.4);
f) asegurando la disponibilidad de recursos suficientes, incluyendo niveles apropiados de provisión de fondos (7.1);
g) la comunicación a la organización de la importancia de cumplir la política y los objetivos de continuidad del negocio (7.4);
h) la participación activa en las pruebas y ensayos (8.5);
i) asegurando que se realizan auditorías internas del SGCN (9.2);
j) la realización de revisiones de gestión efectivas del SGCN (9.3); y
k) dirigiendo y apoyando la mejora del SGCN (capítulo 10).
El compromiso de la dirección también se puede demostrar mediante:
– la implicación operacional a través de grupos de dirección;
– la inclusión de la continuidad del negocio en las reuniones de dirección como un asunto permanente.
5.3 Política
La alta dirección debería definir la política de continuidad del negocio en términos de objetivos de la organización y de
sus obligaciones, y asegurarse de que:
– es apropiada para la finalidad de la organización (en función de su tamaño, naturaleza, y complejidad y en orden a
reflejar su cultura, dependencias y entorno de funcionamiento);
– proporciona un marco para establecer el objetivo;

ISO 22313:2014 - 18 -
– incluye compromisos claros con respecto a requisitos aplicables, incluidas las obligaciones legales y reglamentarias
y la mejora continua del SGCN;
– es comunicada y entendida dentro de la organización;
– es complementaria a otras políticas aplicables; y
– está disponible para las partes interesadas aprobadas por la dirección.
Se deberían aplicar disposiciones adecuadas para aprobar la política, retener la información documentada sobre ésta, y
revisarla periódicamente (por ejemplo, anualmente), y cuando se produzcan cambios significativos en factores internos
o externos (por ejemplo, cambio en la alta dirección o introducción de nueva legislación). La idoneidad de tales
disposiciones dependerá del tamaño, complejidad, naturaleza y amplitud de la organización.
La política también debería:
– proporcionar dirección sobre el campo de aplicación y los límites de la continuidad del negocio de la organización,
incluidas las limitaciones y exclusiones;
– identificar toda la autoridad y las delegaciones requeridas, incluyendo la persona o personas responsables del SGCN
de la organización;
– establecer los criterios del tipo y escala de incidentes a cubrir; y
– incluir referencias a normas, directrices, reglamentos o políticas que el SGCN debería considerar o satisfacer.
La política de continuidad del negocio puede contener lo siguiente:
– términos esenciales;
– compromiso de provisión de fondos;
– referencias a otras políticas relacionadas;
– un requisito para implantar la continuidad del negocio;
– un requisito para probar y mantener la continuidad del negocio.
5.4 Funciones, responsabilidades y autoridad de las organizaciones

La alta dirección debería asegurar la asignación y comunicación de responsabilidades y autoridad dentro del SGCN.
Un miembro de la alta dirección debería tener la responsabilidad general del SGCN.
La alta dirección de la organización debería designar a uno o varios representantes de dirección específicos que, con
independencia de otras responsabilidades, deberían tener funciones, responsabilidades y autoridad definidas para:
– asegurar que el SGCN se establece, implanta y mantiene de acuerdo con la política de continuidad del negocio;
– informar a la alta dirección del rendimiento del SGCN para su revisión y en base a la realización de mejoras;
– promover la concienciación de la continuidad del negocio en toda la organización; y
– garantizar la efectividad de los procedimientos desarrollados para dar respuesta a los incidentes, pero no necesa-
riamente en su implantación durante un incidente.

- 19 - ISO 22313:2014
El representante de la dirección puede:
– ser reconocido como el "director de la continuidad del negocio";
– mantener otras responsabilidades dentro de la organización; y
– residir en muchas áreas de una organización dependiendo del tamaño, escala y complejidad de ésta.
Los representantes de cada función o localización de la organización pueden estar identificados para asistir a la implan-
tación del SGCN. Sus funciones, responsabilidades y autoridad se deberían integrar en las descripciones de puesto de
trabajo, que se pueden reforzar incluyéndolas en la política de valoración, gratificación y reconocimiento de la
organización.
La alta dirección puede designar otros organismos, por ejemplo, un comité de dirección, para inspeccionar la implan-
tación y la supervisión progresiva del SGCN.
Todas las funciones, responsabilidades y autoridad para el SGCN deberían estar definidas y documentadas, y se deben
someter a auditoría.
6 Planificación
6.1 Acciones para cubrir riesgos y oportunidades

La organización debería determinar cuántos factores identificados en el apartado 4.1 y requisitos del apartado 4.2 se
cubrirán.
Esto debería implicar la necesidad de un plan de acción para:
– prevenir resultados no previstos;
– aprovechar los beneficios de algunas oportunidades para mejorar el SGCN.
Si es necesario, también debería:
– integrar e implantar estas acciones en el proceso del SGCN (8.1); y
– garantizar que la información documentada estará disponible para ser evaluada si las acciones han sido eficaces (7.5).
6.2 Objetivos de la continuidad del negocio y planes para conseguirlos

Se debería redactar un plan para establecer y gestionar la GCN (como se establece en el capítulo 8) que debería
identificar las responsabilidades y los objetivos apropiado y realistas para completar las tareas. El plan se debería basar
en la continuidad de los objetivos que se han fijado y comunicado a los niveles y funciones apropiados dentro de la
organización. El progreso del plan se debería supervisar y documentar.
Este plan se debería someter a revisión, y puede ser necesario actualizarlo regularmente a medida que evoluciona el
SGCN.
A continuación se indican ejemplos de objetivos de la continuidad del negocio que, en determinadas circunstancias,
pueden cumplir los requisitos especificados en la Norma ISO 22301:
– "establecer un SGCN que sea coherente con la Norma ISO 22313, por fecha";
– "conseguir la certificación con respecto a la Norma ISO 22301:2012, por fecha";

ISO 22313:2014 - 20 -
– "por fecha, tendremos la continuidad del negocio in situ que satisfaga nuestras obligaciones con los clientes
esenciales"; y
– "tener el GCN in situ que proteja a los productos y servicios esenciales por fecha".
7 Apoyo
7.1 Recursos
7.1.1 Generalidades
La organización debería determinar y proporcionar los recursos necesarios para el SGCN que:
a) alcanzará su política y objetivos de continuidad del negocio;
b) cumplirá los cambios de objetivos de la organización;
c) permitirá la comunicación efectiva sobre asuntos del sistema de gestión de la continuidad del negocio, externa e
internamente; y
d) proporcionará el funcionamiento progresivo y la mejora continua del sistema de gestión de la continuidad del
negocio.
Esto se debería proporcionar de una manera eficiente y oportuna.
7.1.2 Recursos para el SGCN

Cuando se identifiquen los recursos requeridos por el SGCN, la organización debería preparar la adecuada provisión de:
a) personal y recursos relacionados con el personal, incluyendo:
1) el tiempo necesario para cumplir las funciones y las responsabilidades del SGCN,
2) formación, educación, concienciación y prueba,
3) dirección del personal del SGCN,
b) instalaciones, incluyendo las ubicaciones y la infraestructura para el trabajo;
c) tecnología de la información y de las comunicaciones (ICT), incluidas las aplicaciones que soportan una gestión del
programa eficaz y eficiente;
d) gestión y control de todos los impresos de información documentada;
e) comunicación con las partes interesadas (véase la figura 4); y
f) finanzas y provisión de fondos.
Los recursos y su asignación se deberían revisar periódicamente con objeto de garantizar su idoneidad. Puede ser
apropiado que la alta dirección se implique en esta revisión.
7.1.3 Personal para respuesta a incidentes

La organización debería designar personal para dar respuesta a incidentes, dándoles la necesaria responsabilidad,
autoridad y competencia para gestionar un incidente.

- 21 - ISO 22313:2014
El personal para respuesta a incidentes debería constituir un grupo que sea responsable de gestionar cualquier incidente
disruptivo que impacte o que tenga el potencial de impactar significativamente en la organización.
El personal se puede asignar a equipos de acuerdo con la competencia demostrada al tratar aspectos diferentes de
respuesta a incidentes, por ejemplo:
– gestión de incidentes/gestión estratégica (8.4.4.3.1);
– comunicaciones (8.4.4.3.2);
– seguridad y bienestar (8.4.4.3.3);
– salvamento y seguridad (8.4.4.3.4);
– reanudación de actividades (8.4.4.3.5);
– recuperación de la ICT (8.4.4.3.6).
Todo el personal que esté incluido en estos grupos debería tener sus responsabilidades y su autoridad claramente defi-
nidas, para ser aplicadas antes, durante y después de un incidente.
7.2 Competencia
La organización debería establecer un sistema adecuado y eficaz para gestionar la competencia de las personas que
contratan trabajos de SGCN bajo su control.
La dirección debería determinar las competencias que se requieren para todas las funciones del SGCN, así como las
responsabilidades y la concienciación, el conocimiento, el entendimiento, los perfiles y la experiencia que se necesitan
para satisfacerlas. Todas las personas con funciones asignadas dentro de la organización deberían demostrar la compe-
tencia requerida y que están dotados de formación, educación, desarrollo y otros apoyos para desempeñarlas. Esto
puede ser tratado con un programa de desarrollo de competencias, que puede incluir:
– evaluación de competencias para la o las funciones a desempeñar;
– creación de un programa de desarrollo personal que identifique la formación, la educación, el desarrollo y otros
apoyos necesarios para conseguir competencias;
– provisión de formación y capacitación que incluya la selección de métodos y materiales adecuados;
– compartir conocimientos;
– compartir trabajos;
– contratación de personas competentes;
– formación de los grupos de trabajo;
– documentación y supervisión de la formación recibida;
– evaluación de la formación recibida con respecto a las necesidades y requisitos de formación definida a fin de
verificar la conformidad con los requisitos de formación del SGCN; y
– mejora del programa de desarrollo a medida que se necesite.
La organización debería disponer de un proceso para identificar y proporcionar los requisitos de formación continua del
negocio de todos los participantes y evaluar la eficacia de su suministro.

ISO 22313:2014 - 22 -
Los tipos de formación que pueden ser apropiados para funciones específicas son los siguientes:
a) Establecimiento y dirección del SGCN:
1) establecer y dirigir el SGCN,
2) realizar un análisis de impactos en el negocio,
3) valoración del riesgo,
4) perfiles de comunicaciones,
5) desarrollo e implantación de la documentación de la continuidad del negocio,
6) poner en marcha un programa de pruebas,
b) respuesta a incidentes y recuperación del negocio:
1) evaluación del incidente,
2) dirección de la evacuación y refugio in situ, incluyendo los procesos de presentación para recuento de em-
pleados,
3) disposición de lugares de trabajo alternativos, y
4) tratamiento de las consultas de los medios de comunicación.
Los niveles de respuesta y la competencia en toda la organización se deberían desarrollar mediante una formación
práctica, que incluya la participación activa en pruebas.
Los equipos de respuesta y recuperación deberían recibir educación y formación sobre sus responsabilidades y obliga-
ciones, que incluyan interacciones con los primeros en responder y con otras partes interesadas. Los equipos deberían
recibir formación a intervalos regulares (al menos anualmente), y se deberían formar nuevos miembros cuando reúnan
la estructura de respuesta. Estos equipos también deberían recibir formación sobre prevención de incidentes que puedan
llegar a convertirse en crisis.
Los cambios en el entorno y en las operaciones del negocio afectan al enfoque y a la manera en que las actividades de la
continuidad del negocio están planificadas, diseñadas e implantadas. La organización puede demostrar concienciación
de las tendencias de la GCN mediante, por ejemplo, participación activa en actividades de GCN en la industria, que
pueden incluir:
– miembros de un grupo de interés industrial;
– miembros de comité de organización de conferencias;
– llevar a cabo presentaciones en conferencias y seminarios; y
– asistencia a conferencias de GCN locales o globales.
La demostración de la participación activa puede ser en una o más de las siguientes maneras:
– miembro de comité de organización de conferencias y seminarios; y
– presentación de papel en conferencias y seminarios.

- 23 - ISO 22313:2014
La competencia se puede reforzar mediante cualquiera de las acciones siguientes:
– integración de los objetivos y logros del SGCN en el proceso de gratificación y reconocimiento de la organización;
– integración de los objetivos y logros del SGCN en el rendimiento de la organización y en el proceso de evaluación;
– integración de las funciones, responsabilidades y autoridad dentro de las descripciones de trabajo de la organización
y del conjunto de perfiles; y
– participación activa de los usuarios del negocio y de la alta dirección en los ejercicios de repetición, pruebas y
ensayos.
La organización debería establecer programas de formación y de concienciación para todos los empleados reales que se
pueden ver afectados por un incidente disruptivo, y requerir que los contratistas trabajen en su nombre para demostrar
que la(s) persona(s) que trabajan bajo su control tienen el requisito de competencia para el SGCN y las funciones de
respuesta que ellos realizarán.
7.3 Concienciación
Las personas que trabajan bajo el control de la organización deberían tener la apropiada concienciación del SGCN.
En tales personas se puede incluir el personal de dirección, los contratistas, y los proveedores. Ellos deberían conocer la
política de continuidad del negocio y:
– sus funciones y responsabilidad con respecto a la prevención, detección, mitigación, autoprotección, evacuación,
respuesta, continuidad y recuperación de incidentes;
– la importancia de la conformidad con la política y los procedimientos de continuidad del negocio;
– las implicaciones de los cambios en el funcionamiento de la organización;
– su contribución a la eficacia del SGCN, incluyendo los beneficios del rendimiento mejorado de la GCN; y
– sus funciones y responsabilidades en la consecución de la conformidad con sus requisitos.
La organización debería crear, promocionar e implantar una cultura dentro de la organización que:
– llegue a ser parte de los valores esenciales de la organización y de la dirección; y
– hacer que las partes interesadas se enteren de la política de continuidad del negocio, y de sus funciones en procedi-
mientos asociados.
Una organización que tenga una cultura positiva de continuidad del negocio:
– desarrollará la continuidad del negocio de manera más eficaz;
– infundirá confianza en sus partes interesadas (especialmente el personal y los clientes) en su capacidad para tratar
los incidentes disruptivos;
– aumentará su resiliencia en el tiempo asegurando que las implicaciones de la continuidad del negocio se tienen en
consideración en decisiones a todos los niveles; y
– minimizará la probabilidad y el impacto de interrupciones.

ISO 22313:2014 - 24 -
El desarrollo de una cultura de continuidad del negocio (CN) es apoyado por:
– la implicación de todo el personal de la organización;
– el liderazgo dispersado por la organización;
– la asignación de responsabilidades;
– la medición basada en indicadores de rendimiento;
– la integración de la continuidad del negocio en las prácticas normales de la dirección;
– el crecimiento de la concienciación;
– la formación de perfiles de conocimientos; y
– ejercitando planes de continuidad del negocio.
Un programa de concienciación puede incluir:
– un proceso de consultas con el personal en toda la organización respecto al establecimiento y dirección de la GCN;
– la discusión de la continuidad del negocio en los boletines informativos, reuniones de trabajo, programas de
introducción o periódicos o revistas (incluida la orientación para nuevos empleados);
– la inclusión de la continuidad del negocio en las páginas web aplicables;
– la inclusión de la GCN como un tópico en las reuniones de trabajo del personal y del equipo de dirección;
– la publicación selectiva de informes posteriores a los incidentes;
– reuniones de la alta dirección;
– visitas a localizaciones alternativas designadas (por ejemplo, lugar de recuperación); y
– reuniones con proveedores y distribuidores principales sobre las disposiciones de continuidad del negocio de la
organización.
7.4 Comunicación
Cuando se establece y gestiona el SGCN, la organización debería disponer de procedimientos efectivos de consulta y
comunicación para el intercambio de información con las partes interesadas.
Estos procedimientos deberían incluir todo lo siguiente:
a) comunicación interna entre las partes interesadas, incluidos los empleados dentro de la organización;
b) comunicación externa con los clientes, los proveedores, la comunidad local, y otras partes interesadas;
c) recepción, documentación, y respuesta a las comunicaciones procedentes de todas las partes interesadas;
d) adaptación e integración de un sistema nacional o local de alerta de amenazas o equivalente en la planificación y uso
operacional, donde y cuando sea apropiado;
e) asegurar la disponibilidad de los medios de comunicación durante un incidente disruptivo;

- 25 - ISO 22313:2014
f) asegurar la capacidad de la organización para comunicar con las autoridades externas y cuando sea apropiado,
asegurar que otras organizaciones y personal pueden comunicarse entre sí; y
g) hacer funcionar y ensayar los medios de comunicación previstos para ser utilizados durante la interrupción de las
comunicaciones normales.
La organización puede invitar a otros recursos externos que pueden estar implicados en la respuesta, tales como
bomberos, policía, sanidad pública y vendedores por tercera parte, para revisar con las partes correspondientes de
dirección sus procedimientos de continuidad del negocio.
La organización puede incluir referencias a su SGCN y disposiciones de continuidad del negocio en los boletines
informativos y en las reuniones de trabajo de los clientes.
La organización debería proporcionar comunicaciones externas efectivas como parte de su programa de concienciación
(7.3) y después de un incidente (8.4).
7.5 Información documentada

7.5.1 Generalidades
La información documentada proporciona la evidencia de la conformidad con los requisitos y del funcionamiento
efectivo de un sistema de gestión.
El término "procedimiento" significa un método especificado para llevar a cabo una actividad o un proceso. Un
"procedimiento documentado" significa que el procedimiento se debería establecer y mantener por cualquier medio.
Un solo documento puede cubrir los requisitos de uno o más procedimientos documentados, y un requisito de un
procedimiento documentado puede estar cubierto por más de un documento.
La información documentada requerida por esta norma internacional incluye:

– el contexto de la organización (4.1);
– los requisitos legales, reguladores y de otros tipo y la evidencia de que se cumplen (4.2.2);
– el campo de aplicación del SGCN y todas las exclusiones (4.3.2);
– la política de continuidad del negocio (5.3);
– los objetivos de la continuidad del negocio (6.2);
– la competencia (7.2);
– el proceso de valoración del riesgo y de análisis del impacto en el negocio (8.2);
– la estrategia de la continuidad del negocio (8.3), incluyendo las opciones de estrategia consideradas;
– los procedimientos de continuidad, de gestión del incidente y de recuperación (8.4);
– los informes de las pruebas (8.5);
– la supervisión del SGCN (9.1);
– las auditorías internas (9.2);
– las revisiones de la dirección (9.3);
– las no conformidades y las acciones correctoras (10.1).

ISO 22313:2014 - 26 -
Además, para garantizar la eficacia del SGCN se puede requerir la información documentada que cubra a la siguiente
información:
– contratos y niveles de servicio del cliente;
– resultados de los análisis de impacto en el negocio;
– resultados de las valoraciones del riesgo;
– determinación y selección de las estrategias de continuidad del negocio;
– resumen de la respuesta al incidente;
– programa de concienciación;
– comunicaciones del SGCN y del incidente con el personal de dirección y con las partes interesadas, tales como
boletines informativos, notas y avisos de reuniones;
– programas de formación para la organización y para las personas;
– programación de pruebas;
– contratos y acuerdos del nivel de servicio con los proveedores;
– procedimientos de notificación y de respuesta con los contratistas y proveedores;
– evidencias de inspecciones, mantenimiento y calibraciones;
– informes de incidentes y de aciertos próximos;
– minutos de reunión pera revisión del SGCN.
7.5.2 Creación y actualización

Con objeto de satisfacer los requisitos de creación y actualización de la información documentada:
– toda información documentada debería incluir su identificación y descripción (por ejemplo, título, nombre, fecha,
autor, número, referencia de revisión, etc.);
– se deberían especificar los formatos aceptables (por ejemplo, idioma, versión de software, gráficos), y el medio (por
ejemplo, papel, electrónico) para la captación y presentación de la información documentada debería estar
claramente estipulado;
– toda la información documentada se debería revisar y aprobar en cuanto a su idoneidad.
La captación y presentación debería incluir el formato a utilizar (por ejemplo, idioma, versión de software, gráficos) y el
medio de soporte a utilizar (por ejemplo, papel, documento electrónico).
La amplitud de la información documentada para el SGCN puede variar entre organizaciones debido a los factores
siguientes:
– el tamaño de la organización, sus productos y servicios, y el tipo de actividades que realiza;
– la complejidad de las actividades y sus interacciones; y
– la competencia de las personas.

- 27 - ISO 22313:2014
7.5.3 Control de la información documentada

Toda la información documentada requerida se debería controlar.
La finalidad del control de la documentación es garantizar que las organizaciones crean, mantienen y protegen los
documentos de una manera que sea apropiada y suficiente para implantar y operar el SGCN. El enfoque principal
debería ser sobre esta finalidad más que sobre el establecimiento de un sistema complejo de control de documentos.
Como ejemplo de protección se incluye el impedir que los documentos puedan ser puestos en peligro, modificados sin
la correspondiente autorización y anulados accidentalmente.
Existen varios niveles y combinaciones de acceso que se pueden conceder, por ejemplo, solo ver, ver y cambiar, y ver
con restricciones.
Se debería establecer un procedimiento documentado para definir los controles que se necesitan para:
a) distribuir información documentada;
b) proporcionar acceso a información documentada (el acceso incluye, por ejemplo, los permisos y la autoridad para
ver o cambiar dicha información);
c) aprobar documentos en función de su idoneidad antes de editarlos;
d) revisar y actualizar a medida que sea necesario y volver a aprobar documentos;
e) garantizar que se identifican los cambios y el estado real de revisión de los documentos;
f) garantizar que las versiones correspondientes de los documentos aplicables se encuentran disponibles en los puntos
de utilización;
g) garantizar que los documentos permanecen legible y fácilmente identificables;
h) garantizar que los documentos de origen externo considerados por la organización como necesarios para la
planificación y operación del SGCN se identifican y que se controla su distribución;
i) impedir el uso imprevisto de documentos obsoletos e identificarlos adecuadamente si se conservan para cualquier
finalidad;
j) establecer parámetros de archivado y retención de documentos; y
k) garantizar la protección y la no revelación de la información confidencial.
Las organizaciones deben garantizar la integridad de la información documentada manteniéndola inviolable guardada
de manera segura, solo accesible a personas autorizadas, y protegida contra daños, deterioro o pérdida.
La organización debería cumplir en su totalidad la legislación y los reglamentos relativos a la retención de información
documentada, y establecer, implantar y mantener los procesos requeridos para conseguir la conformidad.
8 Operación
8.1 Planificación y control operacional

La organización debería determinar, planificar, implantar y controlar las acciones necesarias para cumplir su política y
objetivos de continuidad del negocio y satisfacer las necesidades y requisitos aplicables.

ISO 22313:2014 - 28 -
Estas acciones se pueden combinar para crear un programa que asegure que la continuidad del negocio de la organi-
zación se gestiona adecuadamente y que se mantiene su efectividad.
La organización debería establecer mecanismos de control dentro del programa que incluyan:
a) decidir la forma en que estas acciones se deberían determinar, planificar, implantar y controlar, por ejemplo,
estableciendo un plan de implantación y acordando una metodología adecuada para implantar la GCN;
b) la garantía de que los controles sobre estas acciones se implantan de acuerdo con las decisiones definidas, por
ejemplo, estableciendo hitos de progreso del proyecto y especificando los suministrables requeridos; y
c) el mantener la información documentada para demostrar que el proceso se ha realizado según lo planificado.
La organización debería garantizar que los cambios planificados se controlan, los cambios no intencionados se revisan,
y que se toman las acciones apropiadas.
8.1.1 Elementos de la GCN

La GCN comprende los elementos siguientes, que ilustra la figura 5.
Figura 5 – Elementos de la gestión de la continuidad del negocio (GCN)
Estos elementos y los apartados donde están cubiertos en esta norma internacional, son los siguientes:
a) Planificación y control operacional (8.1)
La planificación y el control operacional efectivos constituyen el corazón de la gestión de la continuidad del

negocio. Su dirección debe recaer sobre una persona responsable nombrada por la alta dirección.

- 29 - ISO 22313:2014
b) Análisis de impacto en el negocio y valoración del riesgo (8.2)
El alcance del acuerdo y del entendimiento de las prioridades y requisitos para la continuidad del negocio se
consigue a través del análisis de impacto en el negocio (BIA) y la valoración del riesgo (RA). El BIA permite a la
organización priorizar para su reanudación, las actividades que apoyan a sus productos y servicios. La valoración del
riesgo promueve el entendimiento de los riesgos para las actividades prioritarias y sus dependencias, y las
consecuencias potenciales de un incidente disruptivo. Este entendimiento permite a la organización seleccionar
estrategias apropiadas de continuidad del negocio.
c) Estrategia de continuidad del negocio (8.3)
La identificación y evaluación de una gama de opciones de estrategia de continuidad del negocio permite a la
organización elegir métodos apropiados de prevenir la interrupción de sus actividades prioritarias y hacer frente a las
interrupciones que se produzcan. Las estrategias seleccionadas de continuidad del negocio facilitarán la reanudación
de las actividades a un nivel de operación aceptable y dentro de los tiempos acordados.
NOTA Las estrategias elegidas han de tener en cuenta cualquier tratamiento del riesgo que ya esté implantado en la organización (8.3.3).
d) Establecimiento e implantación de procedimientos de continuidad del negocio (8.4)
La implantación de disposiciones de continuidad del negocio da como resultado la creación de una estructura de
respuesta a incidentes (8.4.2), los medios para detectar y responder a un incidente (8.4.3), planes de continuidad del
negocio (apartado 8.4.4) y procedimientos para volver al 'negocio normal' (8.4.5).
e) Pruebas y ensayos (8.5)
Las pruebas y los ensayos proporcionan a la organización la oportunidad de:
– promover la concienciación del personal y el desarrollo de la competencia,
– asegurarse de que la continuidad del negocio y los procedimientos de continuidad del negocio son completos,
actuales y apropiados, y
– identificar oportunidades para mejorar la continuidad del negocio.
8.1.2 Gestión del entorno de la GCN

La gestión efectiva del entorno de la GCN incluye:
a) asegurar la aplicabilidad continua del campo de aplicación, los funciones y las responsabilidades de la continuidad
del negocio;
b) promover e implantar la continuidad en toda la organización y en otras partes interesadas, cuando sea aplicable;
c) gestionar los costes asociados con la continuidad del negocio;
d) establecer y supervisar el régimen de gestión de cambios y el régimen de gestión de sucesión dentro del sistema de
gestión de continuidad del negocio;
e) disponer y proporcionar formación y concienciación al personal apropiado; y
f) mantener la documentación del programa de acuerdo con el tamaño y complejidad de la organización.
Cada componente de las disposiciones de una organización, incluida la documentación, se debería revisar, probar y
actualizar con regularidad. Estas disposiciones también se deberían revisar y actualizar siempre que se produzca un
cambio significativo en el entorno operacional, la estructura, las localizaciones, el personal, los procesos o la tecnología
de la organización, o cuando una prueba o incidente resalte deficiencias.

ISO 22313:2014 - 30 -
La organización puede adoptar un método reconocido de gestión del proyecto para garantizar que el programa de GCN
se gestiona eficazmente.
8.1.3 Mantenimiento de la continuidad del negocio

El mantenimiento efectivo de la continuidad del negocio incluye:
a) mantener actualizada la GCN a través de buenas prácticas;
b) administrar el programa de pruebas;
c) coordinar la revisión y actualización regular de la continuidad del negocio, incluyendo la revisión o remodelación
del análisis del impacto en el negocio (BIA) y las valoraciones del riesgo; y
d) asegurar el mantenimiento de los procedimientos de continuidad del negocio apropiado a las necesidades de los
equipos de respuesta.
8.1.4 Medición de la eficacia

La medición de la eficacia necesita cubrir lo siguiente:
a) la supervisión del rendimiento de la continuidad del negocio; y
b) la supervisión y revisión de de las disposiciones de continuidad del negocio de las actividades de origen externo y
las capacidades de GCN de los proveedores.
Como ejemplos de las medidas que se pueden utilizar para medir la eficacia, se tiene que:
– las actividades y los recursos sean recuperables dentro de los objetivos de tiempo de recuperación especificados y
que la información tengan la vigencia requerida (objetivo de punto de recuperación);
– la acomodación y el equipo requerido se encuentre disponible en localizaciones alternativas para permitir la

recuperación y reanudación de actividades;
– se hayan demostrado las competencias requeridas para reanudar las actividades prioritarias dentro del objetivo de
tiempo de recuperación especificado; y
– se hayan demostrado las competencias requeridas para responder a, y gestionar incidentes.
8.1.5 Resultados
Los resultados indicativos de una GCN eficaz pueden incluir lo siguiente:
a) se habilita una capacidad de gestión de incidentes que proporciona una respuesta eficaz;
b) el entendimiento de la organización y su relación con otras organizaciones, con organismos reguladores o departa-
mentos gubernamentales, con autoridades locales y con los servicios de emergencia se desarrolla, documenta y
entiende adecuadamente;
c) las pruebas realizadas con regularidad aseguran que el personal esté capacitado para responder eficazmente a un
incidente o interrupción;
d) los requisitos de las partes interesadas se entienden y se pueden cumplir;
e) en el caso de una interrupción, el personal recibe el apoyo y las comunicaciones adecuadas;
f) se protege la reputación de la organización;

- 31 - ISO 22313:2014
g) la organización continúa cumpliendo sus obligaciones legales y reglamentarias; y
h) durante un incidente se mantienen los controles financieros.
8.2 Análisis de impacto en el negocio y valoración del riesgo

8.2.1 Generalidades
La organización debería establecer, implantar y mantener un proceso formal y documentado para análisis de impacto en
el negocio (BIA) y de valoración del riesgo. El entendimiento que obtiene la organización del BIA y de la valoración
del riesgo proporciona las bases para una continuidad del negocio eficaz.
Una organización consigue su objetivo suministrando sus productos y servicios a los clientes. Por ello, es importante
entender con claridad el impacto adverso en el tiempo que la interrupción de estos productos y servicios (y de sus
actividades asociadas) tendría sobre los objetivos y el funcionamiento de la organización. También es importante
entender las interrelaciones y los requisitos de recursos de las actividades que apoyan a los productos y servicios, así
como las amenazas sobre estos.
Figura 6 – Entendimiento de la organización
A través del entendimiento, la organización puede asegurar que su continuidad del negocio se alinea con su objetivo,
deberes legales y obligaciones hacia sus partes interesadas. El entendimiento se consigue a través de los procesos de
análisis de impacto en el negocio y de valoración del riesgo. Estos procesos proporcionan la información que la
organización necesita para determinar y seleccionar estrategias de continuidad del negocio (8.3.1).

ISO 22313:2014 - 32 -
El BIA y la valoración del riesgo permitirían a la organización identificar medidas que:
a) limiten el impacto en la organización debido a una interrupción;
b) acortar el periodo de interrupción; y
c) reducir la probabilidad de una interrupción.
El contexto, los criterios de evaluación y el formato del resultado del BIA y de la valoración del riesgo se deberían
acordar con antelación. La información recopilada se debería revisar con regularidad, sobre todo en periodos de
cambios.
8.2.2 Análisis de impacto en el negocio

La organización debería establecer un proceso de evaluación formal para determinar las prioridades y los objetivos de la
continuidad y la recuperación.
La finalidad del BIA es:
– obtener un conocimiento de los productos y servicios esenciales de la organización y de las actividades que propor-
cionan;
– determinar prioridades y plazos para la reanudación de actividades;
– identificar la probabilidad de que se requieran recursos esenciales para la continuidad y la recuperación; y
– identificar dependencias (tanto internas como externas).
El análisis de impactos en el negocio debería incluir:
a) la identificación de las actividades que apoyan el suministro de los productos y servicios esenciales de la
organización ("esenciales" significa los incluidos en el campo de aplicación del SGCN);
b) evaluar los impactos potenciales en el tiempo de las interrupciones resultantes de sucesos no específicos y no
controlados sobre estas actividades. Cuando se evalúan los impactos, la organización debería cubrir los impactos
relativos a sus metas y objetivos de negocio y a sus partes interesadas. Estos pueden incluir:
1) efectos adversos sobre el personal o el bienestar público,
2) consecuencias del incumplimiento de deberes legales o requisitos reglamentarios,
3) daños en la reputación,
4) viabilidad financiera reducida,
5) deterioro de la calidad del producto o servicio, y
6) daño medioambiental.
NOTA 1 La interrupción de las actividades puede causar que el suministro de los productos y servicios se vea interrumpido indirectamente. Por
ejemplo, la pérdida de la capacidad para pagar a los proveedores puede dañar la reputación de la organización y hacer que los
proveedores rechacen suministrar mercancías, lo que impide la fabricación de los productos o la entrega de los servicios.
NOTA 2 Normalmente, las actividades tienen variaciones diariamente, y pueden ser cíclicas por naturaleza. Con frecuencia existen variaciones
estacionales y mayores niveles de actividad asociadas a fechas límites semanales, mensuales o anuales, o a fechas de suministro de
proyecto.

- 33 - ISO 22313:2014
c) estimando la amplitud de los impactos asociados con la interrupción de las actividades de la organización para llegar
a ser inaceptables;
NOTA 3 El tiempo para que los impactos lleguen a ser inaceptables puede variar entre segundos y varios meses, dependiendo de la naturaleza
de la actividad. Las actividades que son sensibles al tiempo necesitarían estar especificadas con un mayor grado de precisión, por
ejemplo, hasta el minuto o hasta la hora. Para actividades menos sensibles al tiempo sería aceptable una precisión menor.
NOTA 4 El tiempo necesario para que el impacto llegue a ser inaceptable se puede citar como el 'periodo máximo tolerable de interrupción',
'periodo máximo tolerable' o 'indisponibilidad máxima aceptable'. El nivel mínimo de producto o servicio que es aceptable para la
organización se puede expresar como el objetivo de continuidad del negocio mínima (MBCO).
d) en base a la evaluación de los impactos potenciales y teniendo en cuenta otros factores relevantes, establecer perio-
dos de tiempo priorizados para reanudar estas actividades, a un nivel aceptable mínimo especificado;
e) identificar dependencias entre actividades; y
f) identificar cada dependencia de actividad en cuanto a recursos de apoyo, incluidos proveedores y otras partes
interesadas importantes.
El periodo de tiempo priorizado para reanudar una actividad se puede citar como Objetivo de Tiempo de Recuperación
(OTR). El OTR puede tener en cuenta dependencias de actividades interrelacionadas y el tiempo dentro del cual los
impactos de no reanudación de la actividad serían inaceptables [consúltese el punto c) anterior].
NOTA 5 A partir de este punto, en esta norma internacional se utilizará el término 'objetivo de tiempo de recuperación' o su abreviatura "OTR" en
vez de "periodo de tiempo priorizado".
El resultado del análisis de impacto en el negocio se debería documentar, e incluir la información de:
– productos, servicios y actividades;
– prioridades de recuperación;
– dependencias significativas y recursos de apoyo.
La información para el análisis de impacto en el negocio puede proceder de:
– entrevistas;
– cuestionarios;
– reuniones de trabajo;
– otras fuentes internas y externas.
8.2.3 Valoración del riesgo

La organización debería establecer un proceso formal de valoración del riesgo que identifique, analice y evalúe de
forma sistemática el riesgo de interrupción de las actividades prioritarias y de los procesos de la organización, de los
sistemas, la información, las personas, los bienes, los proveedores y otros recursos que las apoyan.
La valoración del riesgo proporciona un proceso estructurado para analizar los riesgos en términos de consecuencias y
de probabilidad de que ocurran, antes de decidir un tratamiento adicional que se puede requerir. Este proceso
estructurado trata de contestar a algunas cuestiones fundamentales:
a) ¿qué puede ocurrir y por qué (identificación del riesgo)?;
b) ¿cuáles podrían ser las consecuencias?;

ISO 22313:2014 - 34 -
c) ¿cuál es la probabilidad de que ocurran?; y
d) ¿existe alguna cosa que pueda mitigar las consecuencias o de reducir la probabilidad?.
El proceso necesita tener en consideración las obligaciones financieras, gubernamentales y sociales.
La organización debería comprender las amenazas a, y las vulnerabilidades de, los recursos requeridos por las
actividades de la organización, y en particular aquellas:
– requeridas por una actividad con una prioridad alta; o
– con un margen de tiempo de sustitución significativo.
La organización debería seleccionar un método apropiado para identificar, analizar y evaluar los riesgos que pudiesen
provocar interrupciones. La Norma ISO 31000 estable los principios de la gestión de riesgos y las directrices asociadas.
Los elementos típicos que se deberían incluir en el contexto de esta norma internacional son los siguientes:
– identificación de riesgos: Identificar los riesgos de interrupción de las actividades prioritarias y de los procesos de
la organización, de los sistemas, la información, las personas, los bienes, los proveedores y otros recursos que las
apoyan. Estos riesgos pueden proceder de:
– amenazas específicas, que se pueden describir como sucesos o acciones que, en el mismo punto, podrían
interrumpir actividades y recursos (por ejemplo, amenazas tales como incendios, inundaciones, fallos de energía,
pérdidas de personal, absentismo laboral, virus informáticos y fallos del hardware), y
– incidentes disruptivos, que se pueden producir por vulnerabilidades dentro de los recursos (por ejemplo, puntos
únicos de fallo, inadecuaciones en la protección contra incendios, pérdida de resiliencia eléctrica, niveles de
formación inadecuados del personal, y poca seguridad en la tecnología de la información y en la resiliencia),
– evaluación de riesgos: Evaluar las interrupciones debidas a riesgos que requieren tratamiento. Esto se debería
centrar sobre los recursos requeridos por actividades con prioridad alta o con un margen de tiempo de sustitución
significativo; y
– identificación de tratamientos: Identificar los tratamientos que pueden proporcionar objetivos de continuidad del
negocio y que están de acuerdo con la apetencia de riesgo de la organización (4.1).
NOTA Si la organización u organismos externos han llevado a cabo cualquier otro análisis de riesgos, éste podría proporcionar información útil de
importancia para la valoración del riesgo.
Las necesidades sociales o las obligaciones reglamentarias pueden requerir que la organización comparta algunos
resultados de la valoración del riesgo con alguna parte interesada.
8.3 Estrategia de continuidad del negocio

8.3.1 Determinación y selección
8.3.1.1 Generalidades
La determinación de la estrategia de continuidad del negocio trata de identificar las acciones necesarias para cubrir los
hallazgos procedentes del BIA y de la valoración del riesgo, y de una manera que cumpla los objetivos de continuidad
del negocio de la organización. Es probable que tal acción sea necesaria antes, durante y después de un incidente
disruptivo y, por ejemplo, puede incluir:
– división de una línea de producción entre dos localizaciones;
– instalación de un generador de energía; o

- 35 - ISO 22313:2014
– reducción del impacto global de un incidente disruptivo a través de disposiciones de continuidad del negocio que
acorten el periodo de interrupción y reduzcan su intensidad hasta niveles aceptables.
La determinación y selección de la estrategia de continuidad del negocio se debería basar en los resultados del análisis
de impacto en el negocio y en la valoración del riesgo (8.2).
La organización debería determinar opciones de estrategia apropiadas para:
– proteger las actividades prioritarias;
– estabilizar, continuar, reanudar y recuperar actividades prioritarias;
– mitigar, responder a, y gestionar los impactos.
La organización debería disponer in situ de un mecanismo para revisar y aprobar las soluciones recomendadas.
8.3.1.2 Protección de actividades prioritarias

La protección de las actividades prioritarias puede estar dirigida a:
– reducir el riesgo de la actividad;
– transferir la actividad a una tercera parte (permaneciendo la responsabilidad dentro de la organización); y
– cesar o cambiar la actividad si hay disponibles alternativas viables.
Las opciones para proteger actividades prioritarias se deberían seleccionar de acuerdo con:
– las vulnerabilidades percibidas de la actividad;
– el coste de las medidas comparado con los beneficios estimados;
– (opcionalmente) la urgencia de la actividad, dado que habrá menos tiempo para resolver el asunto; y
– la viabilidad general y la idoneidad de la opción.
Cuando la organización estima que una amenaza es 'extremadamente improbable' o que el coste de proteger una
actividad prioritaria es prohibitivamente costoso, se puede elegir aceptar el riesgo y volver a evaluarlo como parte de su
evaluación continua del rendimiento del SGCN (capítulo 10).
8.3.1.3 Estabilización, continuación, reanudación y recuperación de actividades prioritarias

La estabilización, continuación, reanudación y recuperación de actividades prioritarias también debería cubrir a sus
dependencias y recursos de apoyo.
Las opciones de estrategia de continuidad del negocio pueden incluir:
a) reubicación de la actividad: La transferencia de alguna o de todas las actividades, internamente a otra parte de la
organización, o externamente a una tercera parte, bien independientemente o bien a través de un acuerdo de ayuda
mutua o reciproca;
b) reubicación o redistribución de recursos: Los recursos, incluido el personal, se transfieren a otra ubicación o
actividad dentro de la organización, o externamente a una tercera parte;
c) procesos alternos y capacidad adicional: Establecer procesos alternos o crear capacidad de redundancia/adicional
en los procesos y/o en el inventario;

ISO 22313:2014 - 36 -
d) sustitución de recursos y perfiles: Mejora de las capacidades de personal, incluyendo personal multi-perfil o
esencial o mediante la creación de acceso a una capacidad de personal adicional a través de fuentes externas. Los
recursos de sustitución son proporcionados por una tercera parte o desde existencias mantenidas remotamente por la
organización o estableciendo acuerdos de ayuda mutua con organizaciones externas y partes interesadas esenciales
para proporcionar acceso temporal a capacidad adicional; y
e) soluciones alternativas temporales: Algunas actividades pueden adoptar una forma de trabajo diferente que
proporcione resultados aceptables para un tiempo limitado. Es probable que las alternativas temporales consuman
más tiempo y/o trabajo intensivo (por ejemplo, una operación manual en oposición a un sistema automatizado). Por
estas razones, las soluciones alternativas generalmente solo son adecuadas para periodos de tiempo cortos, o aplazan
un retorno al negocio normal;
f) cuando se consideren ubicaciones donde reanudar una actividad, las opciones de continuidad del negocio deberían
incluir el o los lugares dañados/afectados y lugares alternativos no dañados.
Para asegurar que las actividades se pueden reanudar dentro de sus objetivos de tiempo de recuperación, estos objetivos
también se pueden establecer para sus dependencias y recursos de apoyo. El establecimiento de estos objetivos de
tiempo de recuperación puede necesitar que se tenga en cuenta:
– la posibilidad de proporcionar un servicio mínimo durante un periodo temporal hasta el punto en que se requiera la
reanudación completa;
– soluciones alternativas (tal como procesos manuales) que pueden diferir la necesidad de reanudar la dependencia de
recursos de apoyo;
– acumulación de trabajo y tiempo que se necesita para recuperar datos perdidos; y
– la complejidad y la envergadura de los requisitos de recuperación o la necesidad de equipo especializado con un

margen de tiempo largo.
La organización debería evaluar todas las opciones de estrategia para determinar si estas medidas, por sí mismas,
introducen nuevos riesgos.
Con frecuencia, las opciones de estrategia de continuidad del negocio para la estabilización, continuación, reanudación
o recuperación de una actividad prioritaria pueden ser prohibitivamente costosas. Cuando la organización estime que
éste es el caso, debería seleccionar estrategias alternativas que sean aceptables y cumplan los objetivos de continuidad
del negocio, o tratar los productos y servicios afectados como exclusiones del campo de aplicación del SGCN, de
acuerdo con el apartado 4.3.2.
8.3.1.4 Mitigación, respuesta a, y gestión de impactos

Las opciones para mitigar el impacto y la duración de un incidente pueden incluir:
a) seguro: La contratación de un seguro puede proporcionar alguna recompensa financiera por algunas pérdidas, pero
no cubrirá todos los costes (por ejemplo, sucesos no asegurados, la marca comercial, reputación, valor de las partes
interesadas, distribución de mercado y consecuencias humanas). Un convenio financiero único no protegerá total-
mente las expectativas de la organización ni satisfará a las partes interesadas;
b) restauración de bienes: Contratación de servicios auxiliares de compañías que están especializadas en la limpieza y
o reparación de bienes después de sufrir daños; y
c) gestión de la reputación: Desarrollo de una capacidad eficaz de comunicación y de alarma (8.4.3) y estable-
cimiento de procedimientos eficaces de comunicaciones (8.4.4.3.2).

- 37 - ISO 22313:2014
8.3.1.5 Continuidad de negocio de los proveedores

La organización debería asegurar que se evalúa la continuidad de negocio de los proveedores. La organización puede
desear concentrar sus esfuerzos sobre los proveedores cuyos fallos en el suministro podrían interrumpir más rápida-
mente las actividades prioritarias. Las técnicas pueden incluir:
– especificación de requisitos en ofertas y contratos;
– auditorias periódicas de los planes del proveedor;
– pruebas comunes de continuidad del negocio.
8.3.2 Establecimiento de requisitos de los recursos
La organización debería determinar los requisitos de los recursos a implantar para seleccionar opciones de estrategia.
La organización debería establecer:
a) equipos de personas apropiados o, para organizaciones más pequeñas, individuos con autoridad suficiente para
vigilar la preparación, la respuesta y la recuperación ante incidentes;
b) las capacidades y procedimientos logísticos para localizar, adquirir, almacenar, distribuir, mantener, ensayar y
justificar servicios, personal, recursos, materiales, e instalaciones producidas o donadas para apoyar al SGCN;
c) procedimientos financieros, logísticos y administrativos para apoyar las disposiciones de continuidad del negocio
antes, durante y después de un incidente. Estos procedimientos deberían:
1) asegurar que se pueden controlar las decisiones fiscales, y
2) estar de acuerdo con niveles de autoridad, gobierno, y principios de contabilidad establecidos,
d) gestión de recursos: objetivos sobre tiempos de respuesta, personal, equipo, formación, instalaciones, provisión de
fondos, seguros, control de responsabilidad, conocimiento experto, materiales y márgenes de tiempo, y para cada
uno de estos objetivos será necesario disponer de recursos de la organización y de los proveedores; y
e) procedimientos para asistencia, comunicaciones, alianzas estratégicas, y ayuda mutua, a las partes interesadas.
8.3.2.2 Personas
La organización debería identificar las medidas apropiadas para mantener y ampliar la disponibilidad de perfiles y
conocimientos fundamentales del personal en el caso de que el incidente de lugar a la reducción de disponibilidad de
personal. Estas medidas deberían incluir a empleados, contratistas y a otras partes interesadas que posean una amplia
variedad de perfiles y conocimientos especializados. Las técnicas para proteger o mejorar estos perfiles pueden incluir:
– lista de reserva de especialistas expertos y plan de convocatoria de éstos;
– formación de personal y contratistas en múltiples perfiles profesionales;
– separación de perfiles esenciales para reducir el impacto de que un incidente obligue a la separación física de
personal con perfiles esenciales en más de una ubicación;
– utilización de terceras partes;
– planificación de sucesiones; y
– documentación de los procesos y otras formas de retener y gestionar los conocimientos.

ISO 22313:2014 - 38 -
Los procedimientos para la reubicación de personal después de un incidente, pueden necesitar tener en cuenta:
– el transporte del personal a otra ubicación;
– las necesidades de personal en el sitio alternativo, tales como:
– acomodación,
– instalaciones de servicio de comida y bebida,
– compromisos personales y familiares, y
– formación sobre equipos diferentes,
– problemas planteados por el trabajo en casa.
Las funciones especializadas pueden incluir:
– seguridad;
– logísticas de transporte; y
– asistencia social y emergencias.
8.3.2.3 Información y datos

La información vital para el funcionamiento de la organización debería estar protegida y recuperable de acuerdo con
márgenes de tiempo identificados en el BIA. El almacenamiento y la recuperación de datos deberían estar de acuerdo
con la legislación aplicable.
NOTA 1 Las Normas ISO/IEC 27031 e ISO/IEC 27002 contienen directrices adicionales para garantizar la vigencia de los datos electrónicos, y
proporcionan directrices para garantizar la confidencialidad, integridad y disponibilidad continua de los datos.
Cualquier información requerida para permitir la respuesta y recuperación por parte de la organización debería tener la
apropiada:
– confidencialidad: por ejemplo, si la actividad se traslada a otra ubicación;
– integridad: la información es fidedigna y se puede aceptar;
– disponibilidad: la información está disponible tan rápidamente como la actividad la requiera. La información
solicitada durante una respuesta se puede necesitar inmediatamente, mientras que otros datos pueden no ser
necesarios hasta algún tiempo después del incidente; y
– vigencia: la información, hasta la fecha en que es requerida, permite el funcionamiento de la actividad, aunque
puede ser necesario volver a crear los datos perdidos a causa del incidente.
En todos los casos, la información requerida por una actividad debería estar totalmente vigente. Esta vigencia puede
estar referida como objetivo del punto de recuperación (RPO). Cuando se copien datos, se pueden utilizar varios
métodos, incluidas copias de seguridad de soportes electrónicos o de cintas, microfichas, fotocopias y creación de
copias dobles en el momento de la generación.
Las estrategias de información se deberían documentar para la recuperación de información que aún no se ha copiado o
volcado a un lugar seguro.

- 39 - ISO 22313:2014
Las estrategias de información se deberían ampliar para incluir:
– formatos físicos (copia impresa); y
– formatos virtuales (electrónicos), etc.
NOTA 2 Si la información copiada se almacena muy cerca del original, el incidente disruptivo podría comprometer su integridad o impedir el
acceso a ella. Sin embargo, una distancia grande puede impedir que esté disponible cuando se necesite. Sería apropiado tener evidencia
escrita de cómo se han resuelto estos intereses conflictivos.
La información citada en esta sección puede incluir:
– información de contacto;
– el suministrador, las partes interesadas y detalles de las partes interesadas;
– documentos legales (por ejemplo, contratos, pólizas de seguros, escrituras de propiedad); y
– otros documentos de servicios (por ejemplo, contratos y acuerdos del nivel de servicio).
8.3.2.4 Edificios, entorno de trabajo y servicios generales asociados

Las estrategias de centro de trabajo pueden variar significativamente y se podría disponer de una gama de alternativas
diferentes. Cada tipo de incidente o amenaza podría requerir la implantación de opciones de centros de trabajo
diferentes o múltiples. Las estrategias correctas se determinarán en parte por el tamaño, sector y extensión de las
actividades de la organización, por las partes interesadas y por lo localización geográfica. Por ejemplo, las autoridades
públicas necesitarán mantener un servicio cara al público en sus ámbitos de actuación, aunque algunas organizaciones
podrían operar desde un país o continente diferente.
La organización debería diseñar una estrategia para reducir el impacto de la no disponibilidad de sus centros de trabajo
habituales. Esto puede incluir una o más de las opciones siguientes:
a) locales alternativos (ubicaciones) de la propia organización, incluyendo el desplazamiento de otras actividades;
b) locales alternativos proporcionados por otras organizaciones (con independencia de que existan o no acuerdos
recíprocos);
c) centros de control de emergencia;
d) locales alternativos proporcionados por terceras partes especializadas;
e) trabajar en remoto desde casa o desde otros emplazamientos;
f) otros locales adecuados que se hayan acordado; y
g) utilización de personal alternativo en un lugar establecido.
Los locales alternativos se deberían seleccionar cuidadosamente teniendo en cuenta una zona geográfica que pueda estar
afectada por el mismo incidente. Un incidente tal como un desastre natural puede causar daño en zonas muy amplias y
afectar a servicios esenciales tales como electricidad, gas, agua y comunicaciones. Si se estima que se puede presentar
un riesgo de este tipo, los locales alternativos deberían estar distantes de la zona que pueda verse afectada.
Si el personal se ha de trasladar a locales alternativos, estos locales han de estar suficientemente cerca para que el
personal sea complaciente y pueda desplazarse hasta allí, teniendo en cuenta las posibles dificultades causadas por el
incidente. Sin embargo, los locales alternativos no deben estar tan cerca como para que exista la probabilidad de verse
afectados por el mismo incidente.

ISO 22313:2014 - 40 -
La utilización de locales alternativos con fines de continuidad debe estar apoyada por una declaración clara de si los
recursos requeridos en los locales alternativos son de uso exclusivo de la organización. Si los locales alternativos se
comparten con otras organizaciones, se debe desarrollar y documentar un plan para mitigar la no disponibilidad de estos
locales.
En algunas situaciones (por ejemplo, una línea de fabricación o un centro de llamadas), puede ser adecuado trasladar la
carga de trabajo en vez de trasladar al personal. Esto puede requerir disponer de la capacidad de repuesto en el lugar
alternativo o de personal adicional (bien en horas extraordinarias o por contratación de personal) y de otros recursos.
8.3.2.5 Instalaciones, equipos y consumibles

La organización debería identificar y mantener un inventario de los suministros esenciales que dan apoyo a sus
actividades prioritarias.
Algunas instalaciones y máquinas pueden ser difíciles de adquirir, ser muy costosas (necesitan un largo periodo de
tiempo para la autorización) o tener un largo tiempo de entrega. Las soluciones para proporcionar tales recursos
necesitan tener en cuenta estas condiciones. Los cambios en las prácticas del negocio, tal como el control de existencias
o la gestión del edificio, pueden proporcionar soluciones.
Las técnicas para proporcionar estos suministros pueden incluir:
– almacenaje de suministros adicionales en otro lugar;
– disposiciones con terceros para la entrega de mercancías a corto plazo;
– desvío de entregas de última hora a otros lugares;
– retención de los materiales en los almacenes o en los puntos de embarque;
– traslado de operaciones de ensamblaje a un lugar alternativo que disponga de suministros;
– identificación de suministros alternativos/sustitutos; y
– identificación de instalaciones y equipos, y planificación de múltiples opciones por fases.
Cuando las actividades dependan de suministros especializados, la organización debería identificar los suministros
esenciales y las fuentes únicas de suministro. Las estrategias para gestionar la continuidad del suministro pueden
incluir:
– aumentar el número de proveedores;
– estimular o solicitar de los proveedores que tengan continuidad del negocio;
– acuerdos contractuales y/o de nivel de servicio con los proveedores principales; y
– la identificación de proveedores alternativos capacitados.
Cuando las actividades se cambien de lugar, se debería verificar que los proveedores pueden proporcionar sus productos
o servicios de manera efectiva en los lugares alternativos.
8.3.2.6 Sistemas de tecnología de la información y de las comunicaciones (TIC)

En muchas organizaciones, las actividades no se pueden realizar sin sistemas de TIC y necesitan que se instalen estos
sistemas antes de reanudar tales actividades. Cuando sea posible y práctico, la organización puede implantar
operaciones manuales mientras instala sus servicios de TIC.

- 41 - ISO 22313:2014
Las opciones tecnológicas dependerán de la naturaleza de la tecnología empleada y de sus relaciones con las activi-
dades, pero normalmente será una combinación de lo siguiente:
– la provisión realizada dentro de la organización;
– los servicios proporcionados a la organización por una tercera parte; y
– los servicios externos a los que está suscrita la organización.
Las técnicas para proporcionar los sistemas de TIC requeridos por las actividades prioritarias pueden incluir:
– repartiéndolas geográficamente, por ejemplo, manteniendo la misma tecnología en lugares diferentes que no puedan
verse afectados por el mismo incidente;
– conservando los equipos más viejos como elementos de sustitución de emergencia; y
– teniendo contratado equipos o servicios de recuperación.
Debido a la complejidad de las tecnologías que los soportan, los sistemas de TIC frecuentemente necesitan disposi-
ciones complejas para asegurar que se pueden recuperar de una manera oportuna. Por ello, se debería tener en conside-
ración lo siguiente:
– establecer objetivos de tiempo de recuperación (RTO) para los sistemas de TIC que permitan reanudar las
actividades prioritarias dentro de sus RTO;
– prestar particular atención a la ubicación de los lugares donde se sitúa la tecnología y a las distancias entre ellos;
– distribuir la tecnología entre un determinado número de lugares separados;
– proporcionar instalaciones adecuadas para un número superior de usuarios con acceso remoto;
– establecer lugares sin plantilla de personal (oscuros) así como lugares con plantilla de personal;
– mejorar la conectividad de las telecomunicaciones y aumentar niveles de vías redundantes;
– proporcionar una técnica de 'cambio en caso de fallo' automática en vez de necesitar intervención manual para
redireccionar la provisión de la TIC;
– acomodación a la obsolescencia de la TIC; y
– proporcionar conectividad adicional y enlaces externos a terceras partes.
Si se adopta una técnica de 'cambio en caso de fallo' de un lugar a otro, puede ser necesario considerar la distancia de
recorrido de la red entre los dos lugares. Si la distancia entre los lugares es muy grande, esto podría retardar la respuesta
del sistema y dejar ineficaces a los sistemas de TIC.
Si una organización establece sus sistemas de TIC en más de un lugar, puede ser la oportunidad de implantar una
'estrategia de TIC mutua' con la cual cada lugar se dimensiona para acomodar la capacidad de TIC combinada de más
de un lugar.
Si una organización utiliza tecnologías especializadas o diseñadas de encargo con márgenes de tiempo amplios, puede
ser necesario tener en consideración el aumento de la protección de su TIC haciendo previsiones especiales de repuesto
o de renovación.
NOTA En las Normas ISO/IEC 27031, ISO/IEC 27002 e ISO/IEC 20000 (ambas partes) se pueden encontrar directrices adicionales sobre conti-
nuidad de sistemas de TIC.

ISO 22313:2014 - 42 -
8.3.2.7 Transporte
Después de un incidente, puede ser necesario proporcionar medios de transporte para:
– llevar al personal a casa si sus medios de transporte normales no están disponibles;
– situar al personal en lugares de trabajo alternativos; y
– recursos necesarios en lugares diferentes.
La organización debería determinar con antelación opciones para proporcionar los medios de transporte alternativos que
se pueden requerir después de un incidente disruptivo. Estas opciones pueden incluir:
– identificar los posibles escenarios de interrupciones logísticas que pueden ser causadas directamente por un
incidente o por situaciones inusuales;
– garantizar medios logísticos alternativos, así como rutas, teniendo en cuenta las condiciones del tráfico, los medios
de transporte, y otras redes logísticas; y
– establecer acuerdos con empresas de transporte.
8.3.2.8 Finanzas
La organización debería determinar opciones para garantizar que los fondos necesarios están disponibles durante y
después de un incidente disruptivo. Esto puede incluir:
– disposición de fondos para compras de emergencia, tales como, alimentos, acomodación, instalaciones, consumibles
y transporte;
– reembolso de gastos de personal;
– inversiones importantes en, por ejemplo, alquiler o adquisición de edificios y equipos.
Para la protección contra abusos o para facilitar reclamaciones de seguros, puede ser necesario demostrar que se reali-
zan controles financieros eficaces para, por ejemplo, proporcionar el registro formal de gastos durante y después de un
incidente disruptivo.
8.3.2.9 Proveedores
Si un producto, servicio o actividad ha sido objeto de contratación externa, la responsabilidad de este producto, servicio
o actividad sigue recayendo en la organización. En consecuencia, la organización se debería asegurar de que sus provee-
dores principales disponen de una continuidad efectiva. Un método de hacer esto es obtener pruebas de la viabilidad de
los planes de continuidad de los proveedores principales y de sus programas de pruebas y de mantenimiento. Véase el
apartado 8.3.1.5.
8.3.3 Protección y mitigación

Para identificar los riesgos que requieren tratamiento, y en línea con su aptitud para el riesgo, la organización debería
considerar las maneras de reducir la probabilidad, acortando el periodo y limitando los impactos debidos a la
interrupción.
8.4 Establecimiento e implantación de procedimientos de continuidad del negocio

8.4.1 Generalidades
La organización debería establecer y documentar procedimientos que proporcionen un control global de la respuesta a
un incidente disruptivo y la reanudación de las actividades dentro de sus objetivos de tiempo de recuperación. Los
procedimientos de continuidad del negocio deberían establecer el adecuado protocolo de comunicaciones internas y
externas, y han de ser:

- 43 - ISO 22313:2014
a) específico – con respecto a los pasos inmediatos que se han de llevar a cabo durante una interrupción;
b) flexible – de manera que se pueda utilizar para dar respuesta a escenarios de amenazas imprevistas y al cambio de
las condiciones internas y externas;
c) enfocado – deberían estar claramente relacionados con el impacto de sucesos que pudieran interrumpir operaciones,
y estar desarrollados en base a suposiciones y a un análisis de interdependencias; y
d) eficaz – en términos de minimización de las consecuencias de los incidentes mediante la implantación de estrategias
de mitigación adecuadas.
8.4.2 Estructura de la respuesta a incidentes

La organización debería establecer procedimientos y una estructura de gestión que le permita estar preparada para,
mitigar, y responder con eficacia a incidentes disruptivos:
La estructura de respuesta debería:
– identificar los umbrales de impacto que justifiquen el inicio de una respuesta formal;
– evaluar la naturaleza y amplitud de un incidente disruptivo del impacto potencial;
– establecer medidas para proporcionar bienestar a los afectados;
– iniciar una respuesta apropiada a un incidente disruptivo;
– disponer de procesos y procedimientos para la activación, operación, coordinación y comunicación de la respuesta;
– disponer de recursos para apoyar los procesos y procedimientos necesarios para gestionar un incidente disruptivo; y
– establecer comunicación con las partes interesadas, incluyendo en particular a autoridades y medios de comunicación.
La estructura de respuesta debería ser simple y capaz de ser activada rápidamente. Cuando se determine la estructura, se
debería tener en consideración lo siguiente:
– disponer de personal competente disponible para establecer las ramificaciones del incidente y evaluar el impacto o
potencial impacto del incidente y los plazos;
– la capacidad para movilizar equipos para controlar y contener el incidente, y para iniciar la respuesta adecuada; y
– la inclusión de recursos apropiados, que pueden incluir personal, contratistas, equipos y finanzas.
Organizaciones más grandes o complejas pueden utilizar un procedimiento escalonado para respuesta al incidente, y
pueden establecer equipos diferentes para focalizar una respuesta al incidente, gestionar incidentes, comunicaciones,
bienestar y la reanudación del negocio. En organizaciones más pequeñas, todos los aspectos de respuesta al incidente
pueden ser manejados por un equipo, pero la responsabilidad nunca debería ser de una sola persona.
Cada equipo debería tener procedimientos para dirigir sus acciones e incluir personal con la responsabilidad, autoridad
y competencia necesarias. La competencia individual y del equipo se puede demostrar a base de formación y pruebas.
8.4.3 Avisos y comunicaciones
La organización debería establecer, implantar y mantener procedimientos para avisos y comunicaciones. Estos proce-
dimientos deberían incluir:

ISO 22313:2014 - 44 -
a) la detección de incidentes y el alertar al personal de respuesta;
b) la continuación de la supervisión de un incidente;
c) la comunicación interna entre los diversos niveles y funciones dentro de la organización;
d) las comunicaciones externas con las partes interesadas;
e) la recepción, documentación y respuesta a las comunicaciones de otras partes interesadas;
f) la recepción, documentación y respuesta a cualquier sistema o medio equivalente nacional o regional de aviso de
incidentes;
g) el alertar a las partes interesadas potencialmente impactadas por un incidente disruptivo actual o inminente;
h) asegurar la disponibilidad de medios de comunicación durante un incidente disruptivo;
i) facilitar la comunicación estructurada con los servicios de emergencia;
j) asegurar la interoperabilidad de los múltiples servicios de emergencia y del personal;
k) registrar la información vital acerca del incidente, las acciones tomadas y las decisiones adoptadas; y
l) las operaciones de una instalación de comunicaciones.
Una organización puede necesitar decidir si mantiene o no comunicación, y hasta qué punto, con las partes interesadas
externas en cuanto a sus procedimientos de aviso y de comunicación. Cuando se toma esta decisión, la primera
consideración debería ser la seguridad de la vida. La decisión y las razones acerca de la misma se deberían documentar.
Por ejemplo, una organización que realice actividades que pudiesen ser una amenaza para la seguridad del vecindario
cercano puede asegurarse de que se comunica a los vecinos los peligros potenciales. Esto puede significar que los
vecinos necesitan conocer cómo se comunican las alarmas y cómo deben responder.
La organización debería disponer de procedimientos y medios eficaces para comunicar con rapidez las alarmas, las
alertas y las comunicaciones externas. Para las partes interesadas con necesidades específicas se pueden requerir
disposiciones especiales, por ejemplo, para personas mayores y personas con discapacidades. El sistema de avisos y de
comunicaciones se debería probar regularmente. Para directrices sobre las pruebas, consúltese el apartado 8.5.
8.4.3.2 Procedimientos de comunicación de incidentes

Es necesario establecer procedimientos que, con anterioridad a un incidente, permitan:
– la recepción, documentación y la respuesta a cualquier sistema o medio equivalente nacional o regional de aviso de
riesgos. Estos pueden reflejar amenazas que sean comunes al lugar, tal como avisos de tsunamis, terremotos o
huracanes; y
– el alertar a las partes interesadas potencialmente impactadas por un incidente disruptivo actual o inminente, cuando
la organización tiene la responsabilidad moral o legal de avisar.
Una vez que el incidente se produce, la organización debería desarrollar procedimientos que aseguren:
– que el incidente se supervisa continuamente, mediante observación local o supervisión remota, y que cualquier
evolución del mismo se comunica a los equipos de respuesta adecuados;
– la comunicación estructurada con los equipos de emergencia;

- 45 - ISO 22313:2014
– la interoperabilidad de los múltiples servicios de emergencia y del personal cuando ésta sea la responsabilidad de la
organización;
– que se facilita la comunicación entre los diversos equipos de respuesta y la organización;
– la comunicación regular con el personal y con otras personas a quienes existe la obligación de cuidar, tales como
visitantes y contratistas; esto puede ser necesario inicialmente en un punto de evacuación, en casa o en localiza-
ciones alternativas; y
– el registro de la información vital sobre el incidente, las acciones realizadas y las decisiones tomadas, por personas
encargados de hacerlo o por una persona designada en cada equipo.
También se necesitan procedimientos para facilitar la comunicación efectiva en los dos sentidos entre las partes
interesadas, tales como clientes y medios de comunicación.
La organización debería mantener comunicaciones con estas partes hasta el retorno a las operaciones normales del
negocio cuando una comunicación indique que el final del incidente puede ser apropiado.
8.4.3.3 Instalaciones de comunicación de incidentes

Estos procedimientos pueden ser facilitados mediante el empleo de una instalación de comunicaciones ad hoc o
dedicada. Esta instalación debería estar situada suficientemente lejos del lugar efectado para que su funcionamiento no
se vea impedido por el incidente, y puede estar en el mismo lugar donde existan otras instalaciones de respuesta a
incidentes.
El equipo de comunicaciones disponible debería reconocer que el incidente puede haber afectado al rendimiento de las
comunicaciones normales, para que se pueda disponer de una variedad de alternativas, tales como:
– sistemas de megafonía o de cobertura pública;
– teléfonos móviles; y
– radioteléfonos móviles.
8.4.4 Planes de continuidad del negocio
La organización debería establecer procedimientos documentados que le permitan responder a un incidente y tratar
adecuadamente la recuperación y reanudación de sus actividades.
Estos procedimientos deberían cubrir todos los aspectos de la respuesta a un incidente con especial atención a los temas
de seguridad de la vida, y cubrir los requisitos de todos aquellos que utilizarán tales procedimientos. Para determinar los
requisitos, puede ser beneficioso:
– implicar en el desarrollo de los procedimientos a todos los que han de utilizarlos;
– utilizar la información de los resultados procedentes de las pruebas, y las lecciones aprendidas de incidentes
disruptivos.
Los calendarios y los niveles de rendimiento se deberían basar en la información recopilada durante el análisis de
impacto en el negocio (8.2.2) y en la estrategia de continuidad del negocio seleccionada (8.3.1).
Dentro de cada plan se debería identificar con claridad la información siguiente:
– la finalidad y el campo de aplicación;

ISO 22313:2014 - 46 -
– los objetivos y las medidas de éxito en términos de actividades prioritarias;
– los criterios y los procedimientos de activación;
– los procedimientos de implantación;
– las funciones, responsabilidades y autoridades;
– los requisitos y los procedimientos de comunicación;
– las interdependencias e interacciones internas y externas;
– los requisitos de recursos; y
– el flujo de información y los procesos de documentación.
Cuando se trata un incidente disruptivo, puede ser necesario tener en consideración un determinado número de
acciones. Estas acciones se deberían incluir en procedimientos documentados (8.4.4.2 y 8.4.4.3), e incluyen:
a) responder a y evaluar el incidente:
1) ¿Qué pasó y cómo ocurrió?
2) ¿Qué partes de la organización y qué partes interesadas han sido o podían haber sido afectadas?
3) ¿Cuál es la duración prevista del incidente y cuáles sus impactos?
4) ¿Se puede gestionar el incidente con disposiciones de gestión rutinarias?
b) evaluar el análisis del incidente en función de los criterios de activación para cada uno de los procedimientos;
c) declarar un incidente y activar los procedimientos cuando se cumplan los criterios de activación;
d) estabilizar, continuar, reanudar y recuperar las actividades;
e) establecer y poner en funcionamiento la localización de análisis del incidente;
f) priorizar los asuntos y actividades a realizar al gestionar el incidente y sus impactos;
g) controlar y coordinar todos los procedimientos activados;
h) activar o establecer lugares alternativos para la restauración de la Tecnología de la Información (TI) o de otra
capacidad de infraestructura y para la operación temporal de las actividades de la organización;
i) supervisar el incidente a medida que éste va progresando;
j) revisar y adaptar los planes en respuesta al cambio de las circunstancias;
k) retirar los planes y volver a la gestión rutinaria a medida que se vuelve a establecer la capacidad viable;
l) realizar un cuestionario e identificar las oportunidades de aprender;
m) asegurar un buen gobierno y cotejo así como la seguridad de la documentación generada durante la gestión y
recuperación del accidente.

- 47 - ISO 22313:2014
Para conseguir la reanudación en tiempo del suministro de productos y servicios de la organización, los procedimientos
documentados la reanudación de cada actividad deberían:
– cumplir el objetivo de tiempo de recuperación de la actividad que apoya al producto o servicio; y
– ser suficientemente fiables.
Esto se puede conseguir mediante:
– la posesión o control de los medios y recursos para ordenar el procedimiento;
– contratos, acuerdos o niveles de servicio con terceras partes.
Para garantizar que la operación de los procedimientos no se ve afectada por la misma interrupción, la organización
puede tomar precauciones, por ejemplo, separando el personal y la tecnología de la información y la comunicación
(TIC) en múltiples lugares. Sin embargo, no es posible la separación total para todas las escalas y tipos de incidentes, y
esta limitación se debería identificar y acordar con la alta dirección. Esta limitación se podría expresar en términos de
distancia, personal mínimo o severidad, y se puede determinar por la respuesta de las autoridades civiles a un incidente
severo y/o extenso.
8.4.4.2 Contenido de los planes de continuidad del negocio

Un plan de continuidad del negocio puede ser un procedimiento documentado sencillo o múltiples procedimientos que
abarquen todos los requisitos y que cubran el campo de aplicación del SGCN.
La finalidad, el campo de aplicación y los objetivos de cada procedimiento documentado se deberían definir y dar a cono-
cer a todos aquellos que participan en el efecto. Cualquier relación con otros procedimientos documentados o documentos
requeridos y aplicables debería estar claramente referenciada, y descrito el método de obtener y acceder a los mismos.
Dentro de los planes de continuidad del negocio, los temas siguientes deberían estar claramente identificados (véase
también 8.4.4.3):
a) funciones y responsabilidades;
1) las funciones, las responsabilidades y la autoridad definidas de las personas y equipos que utilizarán el plan de
continuidad del negocio. Si este plan incluye más de un procedimiento documentado, se deberían identificar las
funciones, las responsabilidades y la autoridad para cada procedimiento,
2) las directrices y los criterios relativos a quien tiene la autoridad para activar los procedimiento y bajo qué
circunstancias - esto puede seguir etapas progresivas definidas,
b) activación y desactivación:
1) un proceso para activar la respuesta de la organización a un incidente disruptivo y dentro de cada procedimiento
documentado, sus criterios y procedimientos de activación. Puede ser importante considerar si esto está dentro o
fuera de las horas normales de trabajo,
2) un proceso para desactivar los equipos una vez que el incidente ha pasado, y
3) reuniones y lugares de reunión para cumplir con alternativas adecuadas,
c) gestión del incidente:
1) gestión de las consecuencias inmediatas de un incidente disruptivo dado en cuanto a resultados de asuntos de
bienestar de las personas afectadas (incluidos los miembros del equipo), las opciones para responder a la
interrupción (estas se pueden describir como opciones estratégicas, tácticas y operacionales) y la prevención o
pérdida adicional o indisponibilidad de actividades prioritarias,

ISO 22313:2014 - 48 -
2) dentro de cada procedimiento documentado debería haber:

i) procedimientos de implantación que identifiquen las acciones y tareas que es necesario realizar, en
particular con respecto a cómo la organización continuará o recuperará sus actividades prioritarias dentro
de plazos de tiempo determinados,
ii) requisitos de recursos (8.3.2) aplicables al procedimiento documentado, y
iii) los medios para registrar la información esencial acerca del incidente, de las acciones realizadas y de las
decisiones tomadas,
d) la información de contacto dentro de cada procedimiento documentado:

1) detalles para el contacto de los miembros del equipo y de otras personas con funciones y responsabilidades –
cuando se aplique la legislación local sobre protección de datos, los detalles de contacto se deberían mantener de
acuerdo con dicha legislación, y
2) detalles para el contacto y la movilización de todas las agencias, los organismos y los recursos aplicables que se
pudieran necesitar,
e) comunicaciones (8.4.3):
1) detalles que cubran cómo y bajo qué circunstancias la organización establecerá comunicación con los empleados
y sus familiares, con las partes interesadas esenciales y con los contactos de emergencia,
2) detalles de la respuesta de los medios de comunicación de la organización después de un incidente, incluyendo
su estrategia de comunicación, su interfaz preferida con los medios, sus directrices o patrones para declaraciones
en medios de redacción, así como la identificación de los portavoces autorizados.
8.4.4.3 Tipos de procedimientos específicos
8.4.4.3.1 Procedimientos de gestión de incidentes/gestión estratégica

El objetivo de la gestión de incidentes es asegurar que la respuesta de la organización a un incidente disruptivo sea
eficaz a un nivel estratégico.
Los procedimientos deberían incluir las bases para gestionar todos los asuntos posibles de cara a la organización durante
un incidente, incluyendo los relativos a las partes interesadas.
La organización debería identificar una ubicación, un local o un espacio desde el cual se gestionen los incidentes. Una
vez establecida, esta ubicación debería ser el punto focal de la respuesta de la organización. Se debería designar un
punto de reunión alternativo en una ubicación diferente para el caso en que no sea posible el acceso a la ubicación
principal. Cada ubicación debería tener acceso a recursos apropiados mediante los cuales el equipo de gestión de
incidentes pueda iniciar sin demora y con eficacia las actividades de gestión de los incidentes.
La ubicación puede ser tan simple como una habitación de hotel, o la vivienda de un miembro del personal. También
puede ser tan compleja como un 'centro de mando' con ordenadores personales, sistemas de videoconferencia y
múltiples teléfonos. Inicialmente, podría ser necesario mantener una reunión virtual o fuera del lugar, por ejemplo, vía
telefónica, teleconferencia o videoconferencia, para que las decisiones esenciales se puedan tomar rápidamente.
La ubicación elegida debería ser adecuada para la finalidad en cuestión y puede incluir:
– espacio para el número de personas necesarias;
– medios principales y secundarios eficaces de comunicación; y
– medios para acceder a y compartir la información, incluyendo la supervisión de los medios nuevos.
Otros equipos de respuesta pueden necesitar medios similares.

- 49 - ISO 22313:2014
8.4.4.3.2 Procedimientos para comunicaciones

Los procedimientos para las comunicaciones se pueden incluir en los procedimientos de respuesta de la gestión de
incidentes o pueden estar separados para su utilización por un equipo independiente, según sea adecuado.
Existe la necesidad de gestionar y coordinar activamente las muchas comunicaciones que se emitirán y recibirán
durante un incidente. Este procedimiento debería contener:
a) los detalles de cómo y bajo qué circunstancias la organización establecerá comunicación con los empleados y sus
familiares, con los contactos de emergencia y con otras partes interesadas;
b) los detalles de la respuesta de los medios de comunicación de la organización después de un incidente, incluyendo:
1) la estrategia de las comunicaciones del incidente,
2) la interfaz preferida con los medios de comunicación,
3) sus directrices o patrones para la redacción de las declaraciones a los medios de comunicación,
4) un número adecuado de portavoces competentes, formados y autorizados para dar información a los medios de
comunicación.
La información preparada puede ser especialmente útil en las primeras etapas de un incidente. Permite que una organi-
zación proporcione detalles acerca de la organización y de su negocio mientras aún se están estableciendo los detalles
del incidente.
Puede ser apropiado para:
– establecer una competencia adecuada para apoyar la unión con los medios de comunicación, o con otros grupos de
partes interesadas;
– establecer un número apropiado de personas formadas y competentes para responder a las consultas telefónicas de la
prensa;
– utilizar todos los canales de comunicación abiertos a la organización, incluidos los medios sociales; y
– preparar el material de referencia acerca de la organización y de sus operaciones (esta información de debería
acordar previamente a su divulgación).
También puede ser necesario tener en consideración a los grupos de presión o de acción comunitaria que colectivamente
tienen poder o influencia sobre la organización.
Se debería incluir un proceso para identificar y priorizar las comunicaciones con otras partes interesadas esenciales.
También puede ser necesario desarrollar un procedimiento independiente para la gestión de las partes interesadas, que
proporcione criterios para establecer prioridades y hacer provisiones para asignar personas a cada parte interesada o
grupo de partes interesadas.
8.4.4.3.3 Procedimientos para la seguridad y el bienestar

Las organizaciones tienen la responsabilidad directa de proteger el bienestar de los empleados, contratistas, visitantes y
clientes cuando un incidente supone un riesgo directo para la vida, el sustento y el bienestar. Será necesario prestar
especial atención a todos los grupos que presenten discapacidades u otras necesidades específicas (por ejemplo, mujeres
embarazadas, personas con discapacidad temporal a causa de lesiones). El planificar con antelación el cumplimiento de
estos requisitos puede reducir riesgos y tranquilizar a los afectados. Los impactos a largo plazo de los incidentes no se
pueden subestimar. El desarrollo de estrategias apropiadas en apoyo del bienestar humano puede promover
directamente la recuperación física y emocional dentro de la organización, y estas recuperaciones deberían tener en
cuenta las consideraciones sociales y culturales correspondientes.

ISO 22313:2014 - 50 -
Los elementos de respuesta sobre bienestar que se deberían incluir son:
– evacuación del lugar (incluido el 'refugio in situ' interno) y puntos de reunión;
– la movilización de equipos de seguridad, de primeras ayudas, y de evacuación; y
– localización y recuento de las personas que estaban en el lugar o en sus inmediaciones.
También se puede incluir lo siguiente:
– servicios de traslado;
– ayuda de transporte incluyendo las direcciones requeridas;
– conexiones designadas e información de contacto para servicios de emergencia, agencias apropiadas, y primeros
organismos de emergencia;
– localización de trabajadores o contratistas que se encuentren desplazados;
– gestión de líneas telefónicas de ayuda; y
– servicios de rehabilitación y de orientación (física y emocional).
La organización puede reservar medios para proporcionar servicios de entrevistas y asesoramiento al personal afectado
por el incidente, así como proporcionar apoyo a largo plazo. Estos servicios pueden estar externalizados o se pueden
facilitar como una ampliación de los programas existentes de salud ocupacional y de ayuda a los empleados.
La organización debería designar a personas con niveles de autoridad apropiados para servir de enlace con los servicios
de emergencia, cuando sea necesario. Los servicios de emergencia desempeñan una función primordial en la protección
de la vida y en el alivio al sufrimiento durante las emergencias. Por ello, la temprana conexión, la planificación previa y
la coordinación de incidentes en tiempo real entre la organización y sus servicios de primera respuesta y los servicios de
emergencia puede mejorar la eficacia de la respuesta ante un incidente.
Todos los recursos requeridos deberían estar identificados específicamente. Estos recursos deberían estar disponible de
forma inmediata, y tener la capacidad de realizar su función prevista. La restricción en el empleo de recursos se debería
tener en consideración, y la aplicación de un recurso no debería incurrir en una responsabilidad superior que pudiese
hacer fallar el empleo del recurso. El coste del recurso no debería pesar más que el beneficio que proporciona.
Los recursos que se pueden necesitar para dar respuesta al bienestar incluyen, aunque no se limitan a, lo siguiente:
– las ubicaciones, las cantidades, la accesibilidad, la operabilidad, y el mantenimiento de los equipos (por ejemplo, equipos
para servicios pesados, protección, transporte, supervisión, descontaminación, respuesta, y protección personal);
– suministros (por ejemplo, material médico, de higiene personal, consumibles, administrativo, hielo);
– fuentes de energía (por ejemplo, electricidad, combustible);
– producción de energía de emergencia (generadores);
– sistemas de comunicaciones;
– alimentos y agua;
– información técnica;
– ropa y refugio;

- 51 - ISO 22313:2014
– personal especializado (por ejemplo, médicos, religiosos, organizaciones de voluntarios, personal de gestión de
desastres/emergencias, trabajadores de servicios públicos, de servicios funerarios, y contratistas privados);
– grupos de voluntarios especializados (por ejemplo, radioaficionados, organizaciones de carácter religioso, agencias
caritativas);
– apoyo de voluntarios, de comunidad, y de respuesta a emergencias; y
– agencias internacionales externas, nacionales, provinciales, tribales, territoriales, y locales.
8.4.4.3.4 Procedimientos de salvamento y de seguridad

La organización puede preparar procedimientos documentados que cubran el salvamento y la seguridad. Estos pueden
incluir directrices sobre:
– prioridades de salvamento de instalaciones, equipos e información documentada; y
– la seguridad de los edificios una vez ocupados por los servicios de emergencia;
– con anterioridad a un incidente, la organización puede nombrar contratistas especializados en salvamento. El

salvamento eficaz de instalaciones, equipos e información documentada puede limitar los impactos y permitir una
vuelta más rápida a la normalidad del trabajo.
8.4.4.3.5 Procedimientos para la reanudación de las actividades

Cada procedimiento debería especificar:
– las actividades prioritarias a reanudar;
– los plazos en los que se han de reanudar;
– los niveles de recuperación necesarios para cada actividad prioritaria; y
– las situaciones en que se puede utilizar el procedimiento.
Cada procedimiento debería detallar cuando corresponda, los recursos que se requieren en diferentes momentos de
tiempo para conseguir los objetivos. Esto puede incluir:
– números de recursos;
– perfiles profesionales y cualificaciones;
– equipo técnico;
– medios de telecomunicaciones; y
– disponibilidad de recursos contratados, acordada mediante ayuda mutua, o la probabilidad de que tales recursos
estén disponibles.
En el caso de que la pérdida de un servicio o recurso amenace a la reanudación de las actividades, se debería definir una
escala de acciones. Estas acciones pueden incluir:
– la movilización de recursos externos y de terceras partes;
– la comunicación de las acciones de recuperación; y
– los procedimientos para implantar soluciones alternativas manuales, recuperación del sistema, procesos alternativos, etc.

ISO 22313:2014 - 52 -
Los requisitos de recursos se deberían documentar, y pueden incluir:
– registros vitales (soportes impresos y electrónicos);
– manuales de funcionamiento y de procedimientos;
– planes y procedimientos para la recuperación técnica de tecnologías de la información (TI);
– localización de instalaciones de almacenaje externas que utilice la organización;
– localizaciones alternativas;
– autoridad/delegaciones para el pago de gastos de emergencia;
– una relación del personal con la experiencia necesaria para las unidades operativas;
– documentación de la infraestructura y de las aplicaciones de TI;
– fuente de apoyo de las telecomunicaciones;
– fuentes de equipos de oficina y especializados; y
– contactos con los servicios generales (agua, energía, etc.).
8.4.4.3.6 Recuperación de sistemas de tecnología de la información y las comunicaciones (TIC)

Los procedimientos para la reanudación de actividades deberían identificar los sistemas de TIC en que se apoyan y la
referencia a los procedimientos de continuidad de la TIC que existen.
Los procedimientos de continuidad de la TIC, si existen, deberían cubrir como mínimo:
– la activación de la respuesta de la TCI requerida y la recuperación y despliegue del personal de TCI;
– el acceso a los datos de reserva y la adquisición de una provisión de servicio alternativa; y
– la restauración de los datos, servicios de información y comunicaciones y apoyo;
– el calendario de disponibilidad y los requisitos de capacidad establecidos en los procedimientos de continuidad del
negocio permiten actividades para cumplir sus objetivos de tiempo de recuperación.
NOTA En la Norma ISO 27031 se pueden encontrar directrices adicionales.
8.4.5 Recuperación
La organización debería tener procedimientos documentados para regenerar y restituir operaciones de negocio a partir
de medidas temporales adoptadas para apoyar los requisitos normales del negocio después de un incidente. Estos
procedimientos deberían cubrir los requisitos de auditoría y los requisitos de gobierno corporativo aplicables.
La finalidad de la recuperación es restablecer las actividades del negocio para apoyar los requisitos normales del
negocio después de un incidente disruptivo. La vuelta a la normalidad se puede conseguir:
– reparando los daños resultantes del incidente;
– emigrando las operaciones desde edificios temporales llevándolas de nuevo a la ubicación principal del negocio una
vez restaurada; o
– trasladándolas a una nueva ubicación.

- 53 - ISO 22313:2014
Será necesario tomar la decisión de cómo mejor 'volver a la normalidad' en función de la severidad de los daños
causados por el incidente, y estimar cuanto tiempo se tardaría en establecer las instalaciones necesarias.
Los procedimientos documentados deberían proporcionar una evaluación detallada de la situación y su impacto, y la
determinación de de las tareas y pasos que se necesitan para la recuperación. Durante la recuperación, la organización
puede necesitar:
a) establecer recursos e infraestructura de recuperación;
b) operar en instalaciones de recuperación;
c) restaurar las instalaciones dañadas;
d) asegurar adquisiciones y fondos de emergencia;
e) equipo de salvamento en las instalaciones dañadas;
f) realizar reclamaciones contra las políticas de seguros existentes;
g) obtener mano de obra adicional para apoyar en el esfuerzo de recuperación;
h) seleccionar opciones para las restauraciones y la vuelta a la normalidad;
i) trasladar las operaciones a instalaciones de recuperación;
j) recuperar información documentada perdida;
k) comunicar con las partes interesadas aplicables a frecuencias apropiadas;
l) normalizar las operaciones en las instalaciones restauradas;
m) realizar un revisión posterior a la recuperación; y
n) realizar las diligencias necesarias en cuanto a los requisitos de auditoría y de gobierno corporativo.
Los procedimientos documentados para la recuperación deberían incluir la provisión para la reanudación de todas las
actividades y no solo las identificadas como actividades prioritarias. Esto reconoce que las actividades con una
prioridad más baja se tienen que reanudar en el mismo punto en tiempo, y tener requisitos de recursos (8.3.2).
8.5 Pruebas y ensayos

8.5.1 Generalidades
Las disposiciones y los procedimientos de continuidad del negocio de una organización no se pueden considerar fiables
hasta que se hayan probado y siempre y cuando se mantengan actualizados. La realización de pruebas es esencial para
garantizar que las estrategias, las políticas, los planes y los procedimientos que se han establecido son adecuados y
cumplen los objetivos de continuidad del negocio. Las pruebas son esenciales para desarrollar el trabajo en equipo, la
competencia, la confianza, y los conocimientos, y se deberían incluir aquellas que se pueden requerir para la utilización
de los procedimientos.
8.5.2 Programa de pruebas

Aunque aparentemente un procedimiento pueda estar bien diseñado e ideado, una serie de pruebas robustas y realistas
identificarán las áreas que necesitan ser mejoradas.
Un programa de pruebas debería ser coherente con el alcance de los procedimientos de continuidad del negocio, y darle
la debida consideración a toda la legislación y reglamentación aplicables.

ISO 22313:2014 - 54 -
El programa de pruebas se debería diseñar de manera que, en un periodo de tiempo determinado, demuestre la
confianza objetiva de que, cuando se requiera, las disposiciones y los procedimientos de continuidad del negocio
funcionarán como estaba previsto. El programa debería:
a) probar los sistemas técnicos, logísticos, administrativos, de procedimiento, y otros sistemas operativos de los proce-
dimientos;
b) ejercitar a todas las personas con responsabilidades dentro de estos procedimientos;
c) probar las disposiciones y la infraestructura de continuidad del negocio (incluyendo, por ejemplo, las ubicaciones de
gestión de incidentes y las áreas de trabajo); y
d) validar la tecnología y la recuperación de las telecomunicaciones, incluyendo la disponibilidad y reubicación del

personal.
La envergadura y complejidad de las pruebas deberían ser apropiadas a los objetivos de continuidad del negocio de la
organización.
Debería existir un programa planificado de pruebas, donde la frecuencia de éstas debería depender de las necesidades de
la organización, del entorno ambiental en que ésta funciona y de los requisitos de las partes interesadas. No obstante, la
puesta en práctica del programa debería ser flexible, teniendo en cuenta los cambios dentro de la organización y los
resultados de las pruebas anteriores. Un cambio importante en la organización puede disparar la programación de una
prueba para examinar las disposiciones revisadas.
El programa de pruebas debería considerar las funciones de todas las partes, incluidos los proveedores esenciales de
terceras partes, suministradores y otros agentes que podrían participar en actividades de recuperación. Una organización
puede incluir a tales partes en sus pruebas y puede participar en las pruebas que éstas organizan.
El alcance y el detalle de las pruebas se deberían afianzar a medida que lo hace el programa en base a la experiencia, los
recursos y las posibilidades de la organización. En las fases iniciales, las pruebas y los ensayos se pueden limitar al
empleo de listas de verificación, sondeos y pruebas de concienciación. A medida que el programa se vaya afianzando,
se puede ampliar para incluir ejercicios de la parte superior de la tabla y simulación en directo a escala natural.
8.5.3 Prueba de los planes de continuidad del negocio

Las pruebas son actividades diseñadas para examinar la capacidad de la organización para responder, recuperarse y
continuar realizando con eficacia las funciones de negocio asignadas cuando se enfrente con escenarios disruptivos
específicos. La organización debería utilizar las pruebas y los resultados documentados de éstas para garantizar la
eficacia y la disponibilidad de sus planes de continuidad del negocio.
Cada prueba y ensayo debería tener sus metas y objetivos claramente definidos, y estar basada en un escenario que sea
apropiado para cumplirlos.
Las pruebas pueden:
– anticipar un resultado predeterminado, por ejemplo, planificado y contemplado con antelación; y
– permitir a la organización desarrollar soluciones innovadoras.
Las pruebas deberían ser realistas, cuidadosamente planificadas y acordadas con las partes aplicables, de manera que
exista un riesgo mínimo de interrupción de los procesos de negocio y de que se produzca un incidente como
consecuencia de la prueba. Esto se puede conseguir realizando la prueba dentro de un entorno controlado y aislado a
condición de que no se ponga en peligro la integridad de los objetivos que se están ensayando.
La organización debería designar escenarios para las pruebas que satisfagan los objetivos de éstas, y se pueden utilizar
amenazas que estén identificadas en la evaluación del riesgo, u otros sucesos apropiados.

- 55 - ISO 22313:2014
La eficacia de algunos aspectos de la continuidad del negocio requerirá que personas particulares o aquellos que ocupan
posiciones específicas, tengan conocimientos, perfiles profesionales y entendimientos particulares. Estas personas debe-
rían estar in situ antes de la prueba permitiendo a los participantes aplicarlos en escenarios y simulaciones aplicables.
Las pruebas se deberían diseñar y realizar de manera que proporcionen uno o varios de los resultados siguientes:
a) la verificación de que se pueden conseguir los objetivos de tiempo de recuperación (8.3.1);
b) la confianza de que la información requerida por las actividades está adecuadamente actualizada (8.3.2.3);
c) un mejor entendimiento de la dependencia respecto a la continuidad del negocio de los proveedores, y de otras
partes interesadas;
d) una mejor concienciación del contexto de la organización y de sus prioridades;
e) un mejor entendimiento del contenido y de la utilización de los procedimientos de continuidad del negocio;
f) una mayor confianza en la respuesta a los incidentes;
g) una oportunidad para mejorar las capacidades;
h) una evaluación de la utilidad y de la aplicabilidad de las estrategias de continuidad del negocio;
i) una evaluación de la idoneidad de las capacidades desarrolladas y de las ubicaciones de recursos;
j) la identificación de los requisitos no documentados previamente y de las prácticas empleadas en la gestión de un

incidente o una interrupción;
k) una oportunidad para identificar inexactitudes en los procedimientos escritos de continuidad del negocio y en la
implantación de estos;
l) la seguridad de que los procedimientos de continuidad del negocio se pueden implantar cuando se necesite;
m) una mayor confianza de las partes interesadas respecto al grado de preparación de la organización; y
n) un medio de satisfacer los requisitos reguladores, contractuales o de gobierno de la organización.
Las pruebas pueden tener una variedad de formatos diferentes. La decisión sobre la idoneidad del tipo de prueba
dependerá del contexto de la GCN, de los objetivos de la prueba, de la disponibilidad presupuestaria y de participación,
y de la tolerancia de la organización a la interrupción operacional causada por el mantenimiento de la prueba.
Los tipos principales de pruebas se describen en la Norma ISO 22398 [Societal security – Guidelines for exercises and
testing (Protección y seguridad de los ciudadanos – Directrices para pruebas y ensayos)].
Como parte de la prueba, se debería programar una revisión con todos los participantes para discutir los temas y las
lecciones aprendidas. Esta información se debería documentar y actualizar a medida que los procedimientos lo
requieran.
Después de la prueba, la organización debería realizar un informe y un análisis donde se evalúe el logro de las metas y
objetivos de la prueba. También se debería redactar un informe posterior a la prueba que contenga las recomendaciones
y el calendario para su implantación.
Las enseñanzas obtenidas de las pruebas y de los incidentes reales experimentados, se deberían volver a examinar
durante pruebas futuras. Las pruebas que demuestren serias deficiencias o inseguridades en los procedimientos, se
deberían volver a realizar después de que se hayan terminado las acciones correctoras.

ISO 22313:2014 - 56 -
Los beneficios de las pruebas y de los ensayos son:
– validación de la planificación del alcance, de las suposiciones y de las estrategias;
– garantía del correcto funcionamiento de las instalaciones técnicas y de los recursos;
– garantía de la capacidad de las instalaciones alternativas;
– aumento de la eficacia y reducciones de los tiempos necesarios para completar los procesos (por ejemplo, utilizando
enseñanzas repetidas para acortar los tiempos de respuesta;
– mejora de la concienciación de las partes interesadas; y
– fomento de la competencia y de la concienciación de los participantes.
9 Evaluación del rendimiento
9.1 Supervisión, medición, análisis y evaluación

9.1.1 Generalidades
Los procedimientos para evaluar el rendimiento y la eficacia del SGCN deberían incluir el establecimiento de métricas
de rendimiento; la evaluación de la protección de las actividades prioritarias; la confirmación del cumplimiento de los
requisitos; el examen de las evidencias históricas; y el empleo de información documentada para facilitar las posteriores
acciones correctoras. Los procedimientos también deberían hacer referencia a la política y a los objetivos de la
continuidad del negocio.
Los procedimientos para supervisar el rendimiento deberían incluir lo siguiente:
a) establecimiento de métricas de rendimiento que incluyan mediciones cualitativas y cuantitativas que sean apropiadas
a las necesidades de la organización;
b) supervisión de la amplitud con que se cumplen la política y los objetivos de la continuidad del negocio;
c) identificación de cuando se debería realizar la supervisión y la medición;
d) evaluación del rendimiento de los procesos, procedimientos y funciones que protegen a las actividades prioritarias;
e) medidas proactivas del rendimiento que supervisen la conformidad con el SGCN con respecto a la legislación aplicable;
f) medidas reactivas del rendimiento para supervisar fallos, incidentes, no conformidades (incluyendo desaciertos
cercanos y alarmas falsas) y otras evidencias históricas de rendimiento deficiente del SGCN; y
g) registro de datos y resultados de la supervisión y medición, suficientes para facilitar un posterior análisis de las
acciones correctoras.
Los procedimientos deberían proporcionar mediante medición sistemática, la supervisión y evaluación de la continuidad
del negocio de la organización sobre una base regular. Se debería desarrollar un conjunto de indicadores de rendimiento
para medir tanto el sistema de gestión como sus resultados. Las mediciones pueden ser cuantitativas o cualitativas. Los
indicadores de rendimiento pueden ser indicadores de gestión, operacionales o económicos. Los indicadores deberías
proporcionar información útil para identificar sucesos y áreas que requieran corrección o mejora.
El SGCN debería proporcionar datos de supervisión y de medición para identificar patrones y obtener información
relativa a su rendimiento. Estos datos se deberían utilizar para asegurar que se consiguen la política y los objetivos de la
organización, así como para identificar acciones correctoras y áreas de mejora.

- 57 - ISO 22313:2014
La organización debería poder demostrar que ha identificado, evaluado y cumplido los requisitos legales y cualquier
otro requisito al que se haya comprometido.
Los registros de todas las evaluaciones periódicas y sus resultados se deberían conservar.
La organización debería analizar y, a intervalos planificados, evaluar los resultados de las supervisiones y de las
mediciones.
9.1.2 Evaluación de los procedimientos de continuidad del negocio

La organización debería realizar evaluaciones de sus procedimientos de continuidad del negocio, a fin de asegurar que
continúan siendo convenientes, adecuados y eficaces.
Las evaluaciones deberían cubrir la posible necesidad de cambios en la política, los objetivos, las estrategias, y otros
elementos del SGCN, a la luz de hechos tales como resultados de las pruebas, revisiones posteriores a incidentes,
cambio de circunstancias y el compromiso de mejora continua.
Las evaluaciones pueden tener la forma de auditorías internas o externas, o de autoevaluaciones. La frecuencia y
duración de las revisiones pueden estar influenciadas por leyes y reglamentos, dependiendo del tamaño, la naturaleza y
el estado legal de la organización. También podrían estar influenciadas por los requisitos de partes interesadas.
Una evaluación de los procedimientos de continuidad del negocio de la organización debería verificar que:
a) todos los productos y servicios esenciales y sus actividades y recursos de apoyo se han identificado e incluido en la
estrategia de continuidad del negocio de la organización;
b) la política de continuidad del negocio de la organización, las estrategias, el marco de trabajo y los procedimientos de
continuidad del negocio reflejan con precisión sus prioridades y requisitos (los objetivos de la organización);
c) la competencia de las personas y la continuidad del negocio de la organización son eficaces y adecuados a los
objetivos, y permitirán la gestión, mando, control y coordinación de las respuestas de la organización a un incidente
disruptivo;
d) las soluciones de continuidad del negocio de la organización son eficaces, están actualizadas y adecuadas a los
objetivos y apropiadas al nivel de riesgo al que se enfrenta la organización;
e) los programas de mantenimiento y de pruebas de la continuidad del negocio de la organización se han implantado
eficazmente;
f) las estrategias y procedimientos de continuidad del negocio incorporan las mejoras identificadas durante los
incidentes y las pruebas y en el programa de mantenimiento;
g) la organización tiene un programa continuo para la formación sobre continuidad del negocio y para la concien-
ciación;
h) los procedimientos de continuidad del negocio se han comunicado eficazmente al personal, y que éste ha entendido
sus funciones y responsabilidades; y
i) los procesos de control de cambios están instalados y funcionan eficazmente.
Se debería establecer un programa de mantenimiento claramente definido y documentado. Este programa debería:
– garantizar que todos los cambios (internos o externos) que impacten en la organización se revisan con respecto a la
GCN;
– identificar cualquier nuevo producto o servicio y sus actividades dependientes que se tenga que incluir en el SGCN;

ISO 22313:2014 - 58 -
– garantizar que la continuidad del negocio de la organización continua siendo eficaz, adecuada a los objetivos y que
está actualizada; y
– permitir que los programas de pruebas existentes se puedan modificar cuando haya un cambio significativo en
cualquiera de las estrategias de continuidad del negocio o en los procesos asociados al negocio.
NOTA Para la organización, un método eficaz de evaluar el impacto de los cambios principales en el negocio consiste en revisar el análisis de
impacto en el negocio (8.2.2) en la primera oportunidad y, en base a los resultados, hacer cambios en otros elementos de la GCN.
Los resultados del proceso de mantenimiento deberían incluir:
– la evidencia documentada de la gestión proactiva y de gobierno de la GCN de la organización;
– la verificación de que las personas esenciales que han de implantar la estrategia y los procedimientos de la
continuidad del negocio están formados profesionalmente y son competentes;
– la verificación de la planificación operacional y del control de la GCN;
– la evidencia de que la organización ha evaluado la conformidad de sus procedimientos de continuidad del negocio; y
– la evidencia de que los cambios importantes en la estructura de la organización, en los productos y servicios, y en las
actividades, se han reflejado oportunamente en los procedimientos de continuidad del negocio de la organización.
En el caso de un incidente que interrumpa las actividades prioritarias de la organización o que requiera una respuesta al
mismo, se debería realizar una revisión posterior al incidente. Esta revisión puede incluir:
– la identificación de la naturaleza y la causa del incidente;
– la evaluación de la idoneidad de la respuesta de la organización;
– la evaluación de la eficacia de la organización para cumplir sus objetivos de tiempo de recuperación;
– la evaluación de la idoneidad de las disposiciones de continuidad del negocio en la preparación de sus empleados
para los incidentes;
– la identificación de las mejoras a introducir en las disposiciones de continuidad del negocio;
– la comparación de los impactos reales con los considerados durante el análisis de impacto en el negocio (8.2.2);
– la obtención de información sobre resultados de las partes interesadas y de aquellos que han participado en la
respuesta.
En el contexto de la mejora continua, la organización puede adquirir conocimiento de nuevas prácticas y tecnologías
sobre la GCN, incluyendo nuevas herramientas y técnicas. Tales prácticas y tecnologías se deberían evaluar para
establecer sus potenciales beneficios para la organización.
La información documentada relativa a todas las evaluaciones periódicas y a sus resultados se debería conservar como
evidencia de las mismas.
9.2 Auditoría interna

La organización debería realizar auditorías internas a intervalos de tiempo programados para poder garantizar que el
SGCN es conforme con sus propios requisitos y con los requisitos de esta norma internacional.

- 59 - ISO 22313:2014
Es esencial realizar auditorías internas del SGCN para garantizar que este sistema está consiguiendo sus objetivos de
acuerdo con sus disposiciones programadas, y que ha sido correctamente implantado y mantenido, y para identificar las
oportunidades de mejora. Las auditorías internas del SGCN se deberían realizar a intervalos de tiempo programados,
para determinar y proporcionar a la alta dirección información sobre la conveniencia y eficacia del SGCN, así como
para proporcionar una base para establecer objetivos para la mejora continua del rendimiento del SGCN.
La organización debería establecer un programa de auditorías (véase la Norma ISO 19011) para dirigir la planificación
y realización de auditorías, e identificar las auditorías necesarias para cumplir los objetivos del programa. Dicho
programa se debería basar en la naturaleza de las actividades de la organización, en términos de su gestión del riesgo y
del análisis de impactos, en los resultados de auditorías anteriores, y en otros factores relevantes.
Un programa de auditorías internas se debería basar en el alcance total del SGCN, sin embargo, no es necesario que
cada auditoría cubra al sistema completo de una vez. Las auditorías se pueden dividir en partes más pequeñas, de
manera que el programa de auditorías asegure que todas las unidades, funciones, actividades y elementos del sistema
organizacional y todo el campo de aplicación del SGCN se auditen dentro del periodo de tiempo establecido por la
organización.
Los resultados de una auditoría interna del SGCN se pueden proporcionar bajo la forma de un informe, y utilizar para
corregir o impedir no conformidades específicas, y constituyen la entrada para realizar la revisión de la gestión.
Las auditorías internas del SGCN pueden ser realizadas por personal de la propia organización o por personas externas
seleccionadas por la organización y que trabajen en nombre de ésta. En cualquiera de ambos casos, las personas que
realicen las auditorías deberían ser competentes y estar en una posición de imparcialidad y de objetividad. En
organizaciones pequeñas, el auditor puede ser una persona independiente que esté exenta de responsabilidad con la
actividad que esté auditando.
9.3 Revisión de la gestión

La alta dirección debería revisar el SGCN de la organización a intervalos de tiempo programados, para garantizar que
continúa siendo conveniente, adecuado y eficaz, incluyendo el funcionamiento eficaz de sus procedimientos de
continuidad y sus capacidades.
La revisión de la gestión debería incluir la valoración de:
– el estado de las actividades en las revisiones anteriores;
– el rendimiento del sistema de gestión, incluidas las tendencias aparentes de las no conformidades y las acciones
correctoras, los resultados de las supervisiones y de las mediciones, y las conclusiones de las auditorías;
– los cambios en la organización y en su contexto (4.1) que podrían impactar en el sistema de gestión; y
– las oportunidades de mejora continua.
La revisión de la gestión proporciona a la alta dirección la oportunidad de evaluar si el sistema de gestión sigue siendo
conveniente, adecuado y eficaz. La revisión de la gestión debería cubrir el campo de aplicación del SGCN, aunque no
es necesario revisar todos los elementos de una vez, y el proceso de revisión puede tener lugar durante un periodo de
tiempo determinado.
La revisión de la implantación y de los resultados del SGCN por la alta dirección se debería programar y evaluar
regularmente. Aunque la revisión continua del sistema es aconsejable, la revisión formal se debería estructurar,
documentar adecuadamente y programar sobre una base adecuada. Las personas que estén implicadas en la
implantación del SGCN y en la asignación de sus recursos, se deberían implicar en la revisión de la gestión.
Además de las revisiones del sistema de gestión programadas regularmente, los factores siguientes pueden obligar a una
revisión, y aunque esto no ocurra, se deberían examinar una vez en una revisión de las programadas:

ISO 22313:2014 - 60 -
a) tendencias del sector/de la industria: Las iniciativas importantes del sector/de la industria deberían requerir una
revisión del SGCN. Las tendencias generales y las mejores prácticas en el sector/la industria y en las técnicas de pla-
nificación de la continuidad del negocio/operacional, se pueden utilizar para fines de comparación de rendimientos;
b) requisitos reguladores: Los requisitos reglamentarios nuevos pueden requerir una revisión del SGCN; y
c) experiencia en incidentes: Después de la respuesta a un incidente disruptivo se debería realizar una revisión, tanto
si se ha activado o no el procedimiento de respuesta. Si se ha activado, la revisión debería tener en cuenta el historial
de procedimientos de respuesta, cómo ha funcionado, por qué razón se ha activado, etc. Si el procedimiento de
respuesta no se activó, la revisión debería examinar por qué se hizo así y si la decisión fue o no apropiada.
Una revisión de la gestión debería dar como resultado mejoras en la eficacia y en el rendimiento del SGCN, y puede dar
lugar a los cambios siguientes:
– variaciones en su campo de aplicación;
– mejoras de su eficacia;
– actualización de los procedimientos de continuidad del negocio; y
– cambios en los controles y en la forma de medir las eficacias de estos.
La organización debería conservar información documentada como evidencia de los resultados de las revisiones de la
gestión, y además debería:
– comunicar los resultados de la revisión de la gestión a las partes interesadas aplicables; y
– tomar las acciones apropiada con respecto a estos resultados.
10 Mejora
10.1 No conformidad y acción correctora

La organización debería identificar las no conformidades, y aplicar las acciones necesarias para controlarlas, conte-
nerlas y corregirlas, hacer frente a sus consecuencias y evaluar la necesidad de aplicar alguna acción para eliminar sus
causas.
La organización debería establecer procedimientos eficaces para garantizar que la no cumplimentación de un requisito,
el método de planificación y las debilidades asociadas con el SGCN, se identifican y comunican oportunamente para
impedir una posterior ocurrencia de la situación, así como que se identifican y cubren las causas principales. Los
procedimientos deberían permitir la detección continua, el análisis y la eliminación de las causas reales y potenciales de
las no conformidades.
Las no conformidades se deberían identificar y tratar oportunamente y se deberían aplicar las acciones correctoras para
tratarlas. La acción correctora puede partir de una declaración de no conformidad bien definida que muestre claramente
el problema y su entendimiento.
Cuando se identifica cualquier no conformidad, se debería llevar a cabo una investigación sobre su causa principal y
desarrollar un plan de acción correctora para atajar inmediatamente el problema. El plan de acción se debería diseñar de
manera que se mitiguen las consecuencias y se identifiquen los cambios a realizar para corregir la situación, restablecer
las operaciones normales y eliminar las causas, a fin de impedir que el problema se repita. La naturaleza y duración de
las acciones deberían ser apropiadas al tamaño y a la naturaleza de la no conformidad y de sus potenciales conse-
cuencias.

- 61 - ISO 22313:2014
Un problema potencial se puede identificar salvo que no exista una no conformidad real. Los problemas potenciales se
pueden extrapolar a partir de acciones correctoras de no conformidades reales, identificadas durante el proceso de
auditoría interna del SGCN o del análisis de tendencias y sucesos de la industria. La identificación de las no
conformidades potenciales también puede formar parte de las responsabilidades rutinarias de las personas enteradas de
la importancia de notificar y comunicar problemas reales o potenciales.
El establecer procedimientos para tratar las no conformidades reales y potenciales y para aplicar las acciones
correctoras sobre una base de continuidad ayuda a asegurar la fiabilidad y la eficacia del SGCN. Los procedimientos
deberían definir las responsabilidades, la autoridad y los pasos a dar para planificar y aplicar la acción correctora. La
alta dirección debería garantizar que se implantan las acciones correctoras y que se lleva a cabo un seguimiento
sistemático para evaluar la eficacia de las mismas.
10.2 Mejora continua

La organización debería mejorar continuamente la eficacia del SGCN.
La mejora continua funciona a todos los niveles dentro del ciclo PDCA y debería ser dirigida por la política y los
objetivos de continuidad del negocio, los resultados de las auditorías, los análisis de sucesos supervisados, las acciones
correctoras y la revisión de la gestión.
Los cambios resultantes de las acciones correctoras se deberían reflejar en la documentación del SGCN.
La mejora continua requiere un proceso que identifique correctamente los problemas y las no conformidades y que las
fije. Este proceso debería identificar la naturaleza del problema y el entorno dentro del cual se produce, e incluso los
cambios en el entorno para asegurar que el problema no vuelve a ocurrir. Cada paso se debería crear y mejorar sobre el
paso anterior, de manera que la mejora cubra más aspectos que los que presentaba el problema original identificado, y
tenga un efecto más amplio y más enérgico sobre la organización.
La implantación de acciones correctoras se debería validar como eficaz. Cada acción debería tener una fecha estimada
de terminación. Después de esa fecha, la organización debería asegurar que la acción prescrita se realizó y que fue
eficaz. Si la revisión revela que la acción no tuvo el éxito esperado, se debería establecer una nueva fecha para la
acción.
El proceso de mejora continua debería seguir el mismo proceso básico utilizado para las acciones correctoras, e incluir
lo siguiente:
– identificar lo que hay que cubrir y la condición presente (no conformidad);
– identificar el proceso y los controles presentes (causa principal); y
– determinar los cambios a implantar (acción correctora).
Las acciones correctoras cubren las deficiencias en el SGCN y aseguran que éste funciona según lo previsto, a la vez
que las mejoras continuas aportan al SGCM un nivel superior de eficacia y efectividad.

ISO 22313:2014 - 62 -
Bibliografía
[1] ISO 19011:2011, Guidelines for auditing management systems.
[2] ISO 20000 (todas las partes), Information technology. Service management.
[3] ISO 223981), Societal security. Guidelines for exercises.
[4] ISO/PAS 22399:2007, Societal security. Guideline for incident preparedness and operational continuity
management.
[5] ISO 27002:2005, Information technology. Security techniques. Code of practice for information security
management.
[6] ISO 27031:2011, Information technology. Security techniques. Guidelines for information and communication
technology readiness for business continuity.
[7] ISO 31000:2009, Risk management. Principles and guidelines.
[8] BSI 25999-1:2006, Business continuity management. Code of practice.
[9] BSI 25999-2:2007, Business continuity management. Specification.
[10] HB 221:2004, Business continuity management, Standards Australia/Standards New Zealand, ISBN 0-7337-6250-6.
[11] SI 24001:2007, Security and continuity management systems. Requirements and guidance for use, Standards
Institution of Israel.
[12] NFPA. 1600:2007, Standard on disaster/emergency management and business continuity programs, National
Fire Protection Association (USA).
[13] Business Continuity Plan Drafting Guideline. Ministry of Economy, Trade and Industry, Japan, 2005.
[14] Business Continuity Guideline, Central Disaster Management Council, Cabinet Office, Government of Japan, 2005.
[15] ANSI/ASIS SPC.1:2009, Organizational Resilience: Security, Preparedness, and Continuity Managements
Systems. Requirements with Guidance for Use.
[16] ANSI/ASIS/BSI BCM.01:2010, Business Continuity Management Systems: Requirements with Guidance for
Use.
[17] SS 540:2008, Singapore Standard for Business Continuity Management.
1) Pendiente de publicación.

Génova, 6 info@aenor.es Tel.: 902 102 201
28004 MADRID-España www.aenor.es Fax: 913 104 032


Iso 22313

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso 22313

Cargado por

Copyright:

Formatos disponibles

norma UNE-EN ISO 22313

TÍTULO Protección y seguridad de los ciudadanos

Sistema de Gestión de la Continuidad del Negocio

Societal security. Business continuity management systems. Guidance (ISO 22313:2012).

OBSERVACIONES Esta norma anula y sustituye a la Norma UNE-ISO 22313:2013.

 AENOR 2015 Génova, 6 info@aenor.es Tel.: 902 102 201

Este documento forma parte de la biblioteca del NULLAM CONSULTING SAC.,

Este documento forma parte de la biblioteca del NULLAM CONSULTING SAC.,

Protección y seguridad de los ciudadanos

Esta norma europea ha sido aprobada por CEN el 2014-10-18.

 2014 CEN. Derechos de reproducción reservados a los Miembros de CEN.

Este documento forma parte de la biblioteca del NULLAM CONSULTING SAC.,

Este documento forma parte de la biblioteca del NULLAM CONSULTING SAC.,

1 Objeto y campo de aplicación .............................................................................................. 12

2 Normas para consulta .......................................................................................................... 13

9 Evaluación del rendimiento ................................................................................................. 56

Este documento forma parte de la biblioteca del NULLAM CONSULTING SAC.,

ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales

Este documento forma parte de la biblioteca del NULLAM CONSULTING SAC.,

Un sistema de gestión de la continuidad del negocio (SGCN) subraya la importancia de:

– el entendimiento de las necesidades de la organización y de la necesidad de establecer la política y los objetivos de

– la supervisión y revisión del rendimiento y la eficacia del SGCN; y

– la mejora continua basada en mediciones objetivas.

b) personas con responsabilidades definidas;

c) procesos de gestión asociados a:

d) un conjunto de documentos que proporcionan pruebas auditables; y

e) todos los procesos de SGCN relevantes para la organización.

Este documento forma parte de la biblioteca del NULLAM CONSULTING SAC.,

El ciclo "Planificar-Hacer-Verificar-Actuar" (PDCA)

Figura 1 – Modelo PDCA aplicado a procesos de SGCN

Tabla 1 – Explicación del modelo PDCA

Este documento forma parte de la biblioteca del NULLAM CONSULTING SAC.,

Componentes del modelo PDCA en esta norma internacional

Tabla 2 – Relación entre el modelo PDCA y los capítulos 4 a 10

Componente PDCA Capítulo donde se trata el componente PDCA

Continuidad del negocio

Este documento forma parte de la biblioteca del NULLAM CONSULTING SAC.,

Este documento forma parte de la biblioteca del NULLAM CONSULTING SAC.,

Figura 2 – Ilustración de la eficacia de la continuidad del negocio para interrupciones imprevistas

Este documento forma parte de la biblioteca del NULLAM CONSULTING SAC.,

Figura 3 – Ilustración de la eficacia de la continuidad del negocio para interrupciones graduales

1 Objeto y campo de aplicación

a) establecer, implantar, mantener y mejorar un SGCN;

b) asegurar la conformidad con la política de continuidad del negocio de la organización; y

Este documento forma parte de la biblioteca del NULLAM CONSULTING SAC.,

2 Normas para consulta

ISO 22300, Protección y seguridad de los ciudadanos. Terminología.

4.1 Entendimiento de la organización y su contexto

– el entorno político, legal y reglamentario si es de nivel internacional, nacional, regional o local;

– los compromisos y relaciones de la cadena de abastecimiento;

– relaciones con, y percepciones y valores de, partes interesadas externas a la organización.

Este documento forma parte de la biblioteca del NULLAM CONSULTING SAC.,

– partes interesadas dentro de la organización;

– políticas y objetivos, y las estrategias aplicadas para conseguirlos;

– oportunidades futuras y prioridades del negocio;

– percepciones, valores y cultura;

– normas y modelos de referencia adoptados por la organización;

– estructuras (por ejemplo, gobierno, funciones y responsabilidades).

4.2 Entendimiento de las necesidades y expectativas de las partes interesadas

Este documento forma parte de la biblioteca del NULLAM CONSULTING SAC.,

Figura 4 – Ejemplos de partes interesadas a considerar en sectores públicos y privados

4.2.2 Requisitos legales y reglamentarios

Este documento forma parte de la biblioteca del NULLAM CONSULTING SAC.,