Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Traduccion - Propia - ISO 223012012
Traduccion - Propia - ISO 223012012
CONTINUIDAD DE NEGOCIO.
SISTEMAS DE GESTIÓN DE
CONTINUIDAD DE NEGOCIO.
REQUISITOS.
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.
AC-GA-I-F-01-01 1
V1 – Agosto 2017
INTRODUCCIÓN
Diferentes eventos e incidentes golpean a diario a todas las organizaciones en todos los
rincones del mundo afectando de manera significativa las operaciones de sus negocios.
Esta norma define los requisitos para la implementación y operación de un SGCN, aplica el
ciclo Deming (PHVA), lo cual exige que todos estos elementos sean considerados para
alcanzar este objetivo.
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.
AC-GA-I-F-01-01 2
V1 – Agosto 2017
REQUISITOS PARA EL SISTEMA DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO
SEGURIDAD DE LA SOCIEDAD - ISO 22301:2012
0. INTRODUCCIÓN
1. ALCANCE
2. REFERENCIAS NORMATIVAS
3. TÉRMINOS Y DEFINICIONES
4. CONTEXTO DE LA COMPAÑÍA
4.1. ENTENDIMIENTO DE LA COMPAÑÍA Y SU CONTEXTO
4.2. ENTENDER LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES
INTERESADAS.
4.3. DETERMINACIÓN DEL ALCANCE DEL SGCN
4.4. SGCN.
5. LIDERAZGO.
5.1. GENERAL.
5.2. COMPROMISO DE LA DIRECCIÓN.
5.3. POLÍTICA DEL SGCN
5.4. ROLES, RESPONSABILIDADES Y AUTORIDAD ORGANIZACIONAL
6. PLANEACIÓN
6.1. ASPECTOS PARA DIRECCIONAR LOS RIESGOS Y OPORTUNIDADES.
6.2. OBJETIVOS DE CONTINUIDAD DEL NEGOCIO Y PLANES PARA LOGRARLOS.
7. RECURSOS
7.1. GENERAL.
7.2. COMPETENCIA
7.3. CONCIENTIZACIÓN
7.4. COMUNICACIÓN
7.5. DOCUMENTACIÓN DE LA INFORMACIÓN
8. OPERACIÓN
8.1. PLANIFICACIÓN Y CONTROL.
8.2. ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA) Y VALORACIÓN DE RIESGOS
(RA)
8.3. ESTRATEGIA DE CONTINUIDAD DEL NEGOCIO
8.4. ESTABLECER E IMPLEMENTAR LOS PROCEDIMIENTOS DE CONTINUIDAD
DEL NEGOCIO.
9. EVALUACIÓN DE DESEMPEÑO
9.1. MONITOREO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
9.2. AUDITORÍA INTERNA
9.3. REVISIÓN GERENCIAL
10. MEJORAMIENTO
10.1. NO CONFORMIDADES Y ACCIONES CORRECTIVAS
10.2. MEJORAMIENTO CONTINUO
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.
AC-GA-I-F-01-01 3
V1 – Agosto 2017
0. INTRODUCCIÓN
0.1. GENERAL:
El estándar define los requisitos para crear y gestionar un SGCN (Sistema de
Gestión de Continuidad de Negocio):
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.
AC-GA-I-F-01-01 4
V1 – Agosto 2017
Planear Establecer política de continuidad del negocio, objetivos,
controles, procesos y procedimientos relevantes para
proveer continuidad del negocio en orden para entregar
resultados que estén alineados con los objetivos de la
Compañía.
AC-GA-I-F-01-01 5
V1 – Agosto 2017
SEGURIDAD DE LA SOCIEDAD – REQUISITOS PARA EL SISTEMA DE
ADMINISTRACION DE CONTINUIDAD DE NEGOCIO.
1. Alcance
Este estándar especifica los requerimientos para planear, establecer, implementar, operar,
monitorear, revisar, mantener y mejorar el SGCN, orientado a la protección y reducción de
la probabilidad de ocurrencia, preparación, respuesta y recuperación en caso de una
interrupción que pueda afectar la Compañía
2. Referencias Normativas
No hay Referencias Normativas a este estándar
3. Términos y Definiciones
Los siguientes son términos y definiciones aplicables a este estándar:
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.
AC-GA-I-F-01-01 6
V1 – Agosto 2017
3.16 Eficacia: Extender cuales de las actividades planeadas son realizadas y que
resultados se logran.
3.17 Evento: Ocurrencia o cambio de un conjunto particular de circunstancias.
3.18 Ejercicio: Proceso de entrenamiento para evaluar, practicar e implementar
mejoras en una Compañía.
3.19 Incidente: Situación que puede ser o podría dar lugar a una interrupción,
pérdidas, emergencias o crisis.
3.20 Infraestructura: Sistemas, equipos y servicios necesarios para la operación de
una Compañía.
3.21 Partes Interesadas: Personas u organizaciones que pueden resultar afectadas
o afectar a ellos mismos o a un tercero por alguna decisión respecto a una
actividad.
3.22 Auditoría Interna: Auditoría conducida por o en nombre de la misma Compañía
para revisar la administración del SGCN la cual debe formar parte de la Compañía
y auto declaración de conformidad.
3.23 Invocación: Acto de declaración para que en la continuidad del negocio de la
Compañía sea necesario poner en práctica un desarrollo continuo de productos
y/o servicios claves para la misma Compañía.
3.24 Sistema de Administración: Conjunto de elementos interrelacionados que
interactúan para el establecimiento de políticas y objetivos, y que los procesos
cumplan o logren dichos objetivos.
3.25 Interrupción Máxima Aceptable de (MAO): Tiempo que podría tomar para que los
efectos adversos que se puedan dar como resultado de no proveer un
producto/servicio o desarrollar una actividad, pueda llegar a ser inaceptable.
3.26 Máximo período de interrupción tolerable (MTPD): Ver MAO
3.27 Medición: Proceso para determinar un valor.
3.28 Mínimo objetivo de continuidad del negocio (MBCO): Nivel mínimo aceptable de
servicios y/o productos para que la Compañía alcance los objetivos del negocio
durante la interrupción.
3.29 Monitoreo: Determinación del estado de un sistema, un proceso o una actividad.
3.30 Acuerdos de ayuda mutua: Entendimiento entre dos o más entidades para hacer
o brindar asistencia a los demás.
3.31 No conformidad: No cumplir con un requerimiento.
3.32 Objetivo: Resultado por alcanzar.
3.33 Compañía: Persona o grupo de personas que tiene funciones propias con
responsabilidades, autoridad, y relacionamiento para el cumplimiento de los
objetivos.
3.34 Tercerizar: Forma de establecer que una entidad externa desarrolle parte de las
funciones, procesos u operaciones de una Compañía.
3.35 Desempeño: Resultado de la medida.
3.36 Evaluación de desempeño: Proceso para determinar los resultados de la
medición.
3.37 Personal: gente trabajando para y bajo el control de una Compañía.
3.38 Política: Intenciones y dirección de una Compañía expresada formalmente por la
dirección.
3.39 Procedimiento: Vía específica para llevar una actividad o un proceso.
3.40 Proceso: Conjunto de actividades interrelacionadas en las que se transforman
entradas en salidas.
3.41 Productos y Servicios: Beneficio que provee una Compañía para sus clientes,
proveedores y partes interesadas.
3.42 Actividades priorizadas: Actividades que deben ser priorizadas siguiente a un
incidente con el fin de mitigar los impactos.
3.43 Registro: Conjunto de resultados logrados o evidencia de actividades
desarrolladas.
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.
AC-GA-I-F-01-01 7
V1 – Agosto 2017
3.44 RPO (Punto Objetivo de Recuperación): Punto en el cual la información utilizada
por una actividad debe ser restaurada para poner en funcionamiento o habilitar
dicha actividad.
3.45 RTO (Recovery Time Objetive): Periodo de tiempo que sigue al incidente y en el
cual:
i. El producto o servicio debe ser restaurado, o
ii. La actividad debe ser restaurada, o
iii. Los recursos deben estar recuperados.
3.46 Requerimiento: necesidad o expectativa que fijada, generalmente implica
obligatoriedad.
3.47 Recursos: Todos los activos, personas, habilidades, información, tecnología,
premisas, proveedores, que una Compañía tiene disponibles para su uso, cuando
lo necesitó, alineado con la operación y el cumplimiento de los objetivos.
3.48 Riesgo: Efecto de la incertidumbre sobre los objetivos.
3.49 Apetito de Riesgo: Monto de riesgo que una Compañía acepta o retiene.
3.50 Evaluación de Riesgo: Cubrimiento de los procesos de identificación, análisis y
evaluación de riesgos.
3.51 Administración de Riesgos: Actividades coordinadas para direccionar y controlar
una Compañía con relación a los riesgos.
3.52 Prueba: Procedimiento para evaluar el SGCN.
3.53 Dirección: Persona o grupo de personas quienes dirigen y controlan una
Compañía desde su alto nivel.
3.54 Verificación: Confirmación a través de la provisión de evidencia.
3.55 Ambiente de Trabajo: Conjunto de condiciones bajo las que se desarrolla una
labor.
4. CONTEXTO DE LA COMPAÑÍA
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.
AC-GA-I-F-01-01 8
V1 – Agosto 2017
4.2.1. General
Cuando se establezca el SGCN la Compañía DEBE determinar:
a) Las partes interesadas que son relevantes en el SGCN
b) Los requerimientos de las partes interesadas.
4.3.1. General
La Compañía DEBE determinar la aplicabilidad del SGCN y establecer el
alcance. Cuando determine el alcance la Compañía DEBE considerar
• Los elementos internos y externos del punto 4.1 y
• Los requerimientos del 4.2.
4.4. SGCN.
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.
AC-GA-I-F-01-01 9
V1 – Agosto 2017
La Compañía DEBE establecer, implementar, operar, monitorear, mantener y
continuamente mejorar el SGCN incluyendo los procesos necesarios en sus
interacciones, en concordancia con los requerimientos de este estándar.
5. LIDERAZGO.
5.1. GENERAL.
Las personas de la dirección y en general los roles relevantes en la Compañía DEBEN
demostrar liderazgo con respecto al SGCN.
La dirección DEBE asegurar que las responsabilidades y autoridad para los roles ha
sido asignada y comunicada en la Compañía para:
• Definir el criterio para aceptar los riesgos y definir el nivel aceptable del riesgo.
• Participar en las pruebas y ejercicios del plan.
• Asegurar que se realicen las auditorías internas del SGCN.
• Conducir las revisiones de la dirección para el SGCN.
• Demostrar su compromiso con la mejora continua.
AC-GA-I-F-01-01 10
V1 – Agosto 2017
• Estar disponible como documento del SGCN.
• Ser comunicado a la Compañía.
• Estar disponible para las partes interesadas de forma apropiada.
• Ser revisada continuamente, con idoneidad a intervalos definidos y cuando se
presenten cambios significativos dentro de la compañía.
La dirección DEBE asegurar que las responsabilidades y autoridad para los roles ha
sido asignada y comunicada en la Compañía.
6. PLANEACIÓN
Cuando se planee el SGCN, la compañía DEBE considerar los elementos del numeral
4.1. y los requerimientos del 4.2. y determinar los riesgos y oportunidades que son
necesarios para direccionar hacia:
a) Asegurar que el SGCN puede lograr los objetivos trazados.
b) Prevenir o reducir efectos indeseados.
c) Lograr la mejora continua.
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.
AC-GA-I-F-01-01 11
V1 – Agosto 2017
7. RECURSOS
7.1. GENERAL.
7.2. COMPETENCIA
La Compañía DEBE:
a) Determinar la necesidad de la competencia de las personas que trabajarían para
controlar los aspectos que afecten su desempeño.
b) Asegurar que esas personas son competentes basados en la educación
apropiada, entrenamiento y experiencia.
c) Donde sea aplicable, tomar las acciones para adquirir las competencias
necesarias y evaluar los resultados de las acciones tomadas.
d) Retener la documentación apropiada como evidencia de la competencia.
7.3. CONCIENTIZACIÓN
7.4. COMUNICACIÓN
AC-GA-I-F-01-01 12
V1 – Agosto 2017
7.5.1. General
La Compañía DEBE incluir en el SGCN:
a) Información documentada requerida por el estándar
b) Información documentada determinada por la Compañía cuan sea
necesario para los resultados del SGCN.
7.5.2. Crear y actualizar
La Compañía DEBE asegurar apropiadamente que:
• Se identifiquen y describan (Títulos, fechas, autor o número de referencia)
• Los formatos (lenguajes, versiones de software, graficas, etc.) y los medios
(Papel, formato electrónico, etc.) sean revisados y aprobados de forma
adecuada e idónea.
7.5.3. Control de Documentos
La Compañía DEBE controlar y asegurar que la documentación requerida por el
SGCN, y cumpla con:
a) Está disponible y de forma adecuada para su utilización, donde y cuando
sea necesario.
b) Está protegida de forma adecuada.
8. OPERACIÓN
8.2.1. General
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.
AC-GA-I-F-01-01 13
V1 – Agosto 2017
La compañía DEBE establecer, implementar y mantener documentado de
manera formal un proceso para el BIA y el análisis de riesgos que:
a) Establezca el contexto de la evaluación, definición de criterios y evaluación
de los impactos potenciales de incidentes.
b) Tenga en cuenta aspectos legales y otros requerimientos a los cuales la
Compañía debe suscribirse.
c) Incluya análisis sistemáticos, priorización de tratamientos y sus costos
asociados.
d) Defina las salidas requeridas del BIA y la evaluación de riesgos.
e) Especifique los requerimientos de la información para mantenerse vigente
y preserve la confidencialidad.
8.2.2. BIA
La compañía DEBE establecer, implementar y mantener documentado de
manera formal un proceso para determinar la prioridad en la continuidad,
recuperación, objetivos y metas.
El BIA debe incluir:
a) Identificación de actividades que soportan la provisión de productos y
servicios.
b) Evaluar los impactos sobre el tiempo de no contar con estas actividades.
c) Determinar los tiempos y prioridades para reanudar las actividades en un
nivel mínimo aceptable tomando en consideración que los impactos de
no reanudarlos podría llegar a ser no aceptables.
d) Identificar las dependencias y los recursos que soportan estas
actividades, incluyendo los proveedores, socios, terceros y otras partes
interesadas.
La Compañía DEBE:
a) Identificar los riesgos de interrupción de actividades prioritarias de la
compañía y procesos, sistemas, información, gente, activos, terceros y otros
recursos que lo soporten.
b) Análisis de riesgos sistemáticos.
c) Evaluar los riesgos que generarían la interrupción y que necesitan
tratamiento.
d) Identificar tratamientos alineado con los objetivos de la continuidad de
negocio y en concordancia con el apetito del riesgo en la compañía.
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.
AC-GA-I-F-01-01 14
V1 – Agosto 2017
La determinación de la estrategia DEBE incluir priorización aprobada para la
recuperación de las actividades en los marcos de tiempo definidos.
8.4.1. General
La Compañía DEBE establecer, implementar y mantener los procedimientos de
continuidad de negocio para gestionar un incidente y continuar las actividades
basadas en los objetivos de recuperación identificados en el BIA
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.
AC-GA-I-F-01-01 15
V1 – Agosto 2017
8.4.2. Estructura de Respuesta a Incidentes
La Compañía DEBE establecer, documentar e implementar procedimientos y
administrar la estructura de respuesta a incidentes utilizando personal con la
responsabilidad, autoridad y competencia para manejar un incidente.
AC-GA-I-F-01-01 16
V1 – Agosto 2017
El plan de continuidad DEBE contener en conjunto:
a) Roles y responsabilidades definidos durante y después de un incidente.
b) Proceso para activar la respuesta.
c) Detalles para establecer las consecuencias de la interrupción, teniendo en
cuenta:
1) El bienestar de la gente
2) Las opciones estratégicas tácticas y operativas de la respuesta, y
3) Prevención de pérdida o indisponibilidad de actividades priorizadas
d) Detalles sobre cómo y bajo qué circunstancias la Compañía se comunicará a
los empleados, familia y las partes interesadas y los contactos de emergencia.
e) Como la Compañía continuará o recuperará sus actividades prioritarias en los
tiempos definidos.
f) Detalles de la respuesta de la Compañía de los medios de comunicación a
causa de los incidentes, siguiendo:
1) Una estrategia de comunicación.
2) Canal preferente con los medios de comunicación.
3) Guion para dar declaraciones de la situación a los medios.
4) Vocero adecuado
g) Un proceso para retirarse cuando el incidente termine.
8.4.5. Recuperación
La Compañía DEBE tener procedimientos documentados para restaurar y
retornar las actividades del negocio desde las medidas temporales adoptadas
hasta los requerimientos normales después del incidente.
9. EVALUACIÓN DE DESEMPEÑO
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.
AC-GA-I-F-01-01 17
V1 – Agosto 2017
9.1. MONITOREO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
9.1.1. General
La Compañía DEBE determinar
a) Que se monitorea y mide.
b) Los métodos para monitorear, medir, analizar y evaluar para el
aseguramiento de los resultados.
c) Cuándo el monitoreo y la medición requieren ser desarrollados.
d) Cuándo los resultados del monitoreo y medición DEBEN ser analizados y
evaluados.
• Tomar las acciones que considere en caso que ocurra una no conformidad
o tendencia a esta, y
• Retener la evidencia documentada de los resultados del monitoreo.
AC-GA-I-F-01-01 18
V1 – Agosto 2017
a) Es conforme a
1) Los propios requerimientos de la Compañía hacia el SGCN
2) Los requerimientos del estándar.
b) Está efectivamente implementado y mantenido.
La Compañía DEBE:
• Planear, establecer, implementar y mantener programas de auditoría que incluyan
frecuencia, métodos, responsabilidades, requerimientos de planeación y reportes.
El programa de auditoría DEBE tomar en consideración la importancia de los
procesos concernientes a auditorías previas.
• Definir los criterios y alcance de auditoría.
• Seleccionar los auditores para asegurar la objetividad e imparcialidad del proceso
de auditoría.
• Asegurar que los resultados de las auditorías serán reportados a la dirección.
• Guardar documentación que brinde evidencia de los resultados de los programas
de auditoría.
La dirección del área auditada DEBE asegurar que cualquier corrección necesaria
derivada de la auditoría genere la acción correctiva o detectiva a que haya lugar sin
demoras injustificadas, eliminando las causas que la generaron. Las actividades de
monitoreo DEBEN incluir las validaciones de acciones y el informe de resultados de
verificación.
AC-GA-I-F-01-01 19
V1 – Agosto 2017
• Resultado de las pruebas.
• Riesgos o hallazgos no direccionados de manera adecuada en análisis de riesgos
previos.
• Cualquier cambio que pueda afectar el SGCN.
• Política adecuada.
• Recomendaciones para mejorar.
• Lecciones aprendidas en gestión de incidentes.
• Buenas prácticas y guía de emergencias.
10. MEJORAMIENTO
AC-GA-I-F-01-01 20
V1 – Agosto 2017
e) Revisando los resultados de cualquier acción tomada.
f) Haciendo cambios al SGCN, si es necesario.
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.
AC-GA-I-F-01-01 21
V1 – Agosto 2017