NORMA ISO 22301:2012

CONTINUIDAD DE NEGOCIO.
SISTEMAS DE GESTIÓN DE
CONTINUIDAD DE NEGOCIO.
REQUISITOS.

Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 1
V1 – Agosto 2017
 INTRODUCCIÓN

Diferentes eventos e incidentes golpean a diario a todas las organizaciones en todos los
rincones del mundo afectando de manera significativa las operaciones de sus negocios.

Incidentes de origen natural como terremotos, huracanes, deslizamientos, erupciones

volcánicas y de origen humano como huelgas, pandemias, incendios, explosiones, hackers
informáticos, son comunes en el panorama económico y empresarial. Esto ha generado la
necesidad de evaluar las amenazas y vulnerabilidades de todas las organizaciones para
adelantarse a la posible materialización de los riesgos que impacten algunos o todos los
componentes de afectación para la prestación de los servicios contratados y los impactos de
orden económico, reputacional y productivo para determinar la criticidad de esos productos o
servicios que se entregan a los clientes y definir estrategias operativas y tecnológicas que
permitan operar a niveles mínimos que sea posible sobrevivir a esos incidentes.

Esta norma define los requisitos para la implementación y operación de un SGCN, aplica el
ciclo Deming (PHVA), lo cual exige que todos estos elementos sean considerados para
alcanzar este objetivo.

El proceso de implementación inicia con la identificación de todos los elementos internos y

externos con los que se relaciona la organización, continúa con la realización de los dos
análisis claves: El Análisis de Impacto al Negocio (BIA) y el análisis de Riesgos de Continuidad
(RA) como elementos fundamentales para la definición e implementación de estrategias de
recuperación, continúa con la definición de planes de respuesta y recuperación, que deberán
asegurar que las estrategias son viables y operativas, exigen su evaluación y auditoría y como
consecuencia su proceso mejora continua. Así pues, todos loos componentes de la norma
juegan un papel preponderante en el SGCN.

Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 2
V1 – Agosto 2017
 REQUISITOS PARA EL SISTEMA DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO
SEGURIDAD DE LA SOCIEDAD - ISO 22301:2012

0. INTRODUCCIÓN
1. ALCANCE
2. REFERENCIAS NORMATIVAS
3. TÉRMINOS Y DEFINICIONES
4. CONTEXTO DE LA COMPAÑÍA
4.1. ENTENDIMIENTO DE LA COMPAÑÍA Y SU CONTEXTO
4.2. ENTENDER LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES
INTERESADAS.
4.3. DETERMINACIÓN DEL ALCANCE DEL SGCN
4.4. SGCN.
5. LIDERAZGO.
5.1. GENERAL.
5.2. COMPROMISO DE LA DIRECCIÓN.
5.3. POLÍTICA DEL SGCN
5.4. ROLES, RESPONSABILIDADES Y AUTORIDAD ORGANIZACIONAL
6. PLANEACIÓN
6.1. ASPECTOS PARA DIRECCIONAR LOS RIESGOS Y OPORTUNIDADES.
6.2. OBJETIVOS DE CONTINUIDAD DEL NEGOCIO Y PLANES PARA LOGRARLOS.
7. RECURSOS
7.1. GENERAL.
7.2. COMPETENCIA
7.3. CONCIENTIZACIÓN
7.4. COMUNICACIÓN
7.5. DOCUMENTACIÓN DE LA INFORMACIÓN
8. OPERACIÓN
8.1. PLANIFICACIÓN Y CONTROL.
8.2. ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA) Y VALORACIÓN DE RIESGOS
(RA)
8.3. ESTRATEGIA DE CONTINUIDAD DEL NEGOCIO
8.4. ESTABLECER E IMPLEMENTAR LOS PROCEDIMIENTOS DE CONTINUIDAD
DEL NEGOCIO.
9. EVALUACIÓN DE DESEMPEÑO
9.1. MONITOREO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
9.2. AUDITORÍA INTERNA
9.3. REVISIÓN GERENCIAL
10. MEJORAMIENTO
10.1. NO CONFORMIDADES Y ACCIONES CORRECTIVAS
10.2. MEJORAMIENTO CONTINUO

Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 3
V1 – Agosto 2017
0. INTRODUCCIÓN

0.1. GENERAL:
El estándar define los requisitos para crear y gestionar un SGCN (Sistema de
Gestión de Continuidad de Negocio):

El SGCN hace énfasis en:

- Entender las necesidades de la Compañía y la necesidad de establecer la
política y los objetivos del SGCN.
- Implementar y operar controles y medidas para gestionar la capacidad general
de una compañía para responder a incidentes operacionales.
- Monitorear y revisar los resultados del SGCN y
- Establecer su mejora continua basada en mediciones y revisiones objetivas.

Componentes del SGCN:

a) Política;
b) Personal con responsabilidades definidas;
c) Administración de procesos relacionados con:
1) Política,
2) Planificación,
3) Implementación y Operación,
4) Evaluación de desempeño,
5) Análisis de administración y
6) Mejoramiento continuo
d) Documentación que provea evidencias auditables y
e) Cualquier proceso de administración de continuidad de negocio relevante
para la Compañía.

La Continuidad del Negocio genera una sociedad con mayor resiliencia. La

comunidad y el impacto del ambiente organizacional en la compañía y en otras
compañías, podrían estar involucrados en el proceso de recuperación.

0.2. Modelo PHVA

Este estándar aplica el ciclo PHVA para planear, establecer, implementar, operar,
monitorear, revisar, mantener y mejorar la efectividad de un SGCN en la Compañía.

FIGURA 1 – PHVA del SGCN

Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 4
V1 – Agosto 2017
 Planear Establecer política de continuidad del negocio, objetivos,
controles, procesos y procedimientos relevantes para
proveer continuidad del negocio en orden para entregar
resultados que estén alineados con los objetivos de la
Compañía.

Hacer Implementar y operar la política de continuidad del negocio,

controles, procesos y procedimientos.

Verificar Monitorear y revisar el desempeño de la política y objetivos,

reporte de los resultados de la revisión de la gerencia, y
determinar y autorizar acciones para la remediación y
mejora.

Actuar Mantener y mejorar el SGCN tomando las acciones

correctivas correspondientes, basado en los resultados de la
revisión realizada y revisión del alcance del SGCN, políticas
y objetivos de continuidad del negocio.

0.3. Componentes del PHVA en el estándar.

Desde la cláusula 4 hasta la 10 se cubre todo el PHVA de la siguiente manera:
• Cláusula 4 es componente para el planear. Introduce los requerimientos
necesarios para establecer el contexto del SGCN como su aplicación a la
Compañía, sus necesidades, requerimientos y alcance.
• Cláusula 5 es otro componente para planear. Resume los requerimientos
específicos para el rol de la alta dirección en el SGCN, y como se articula el
liderazgo con las expectativas de la Compañía a través del establecimiento de
la política.
• Cláusula 6 es otro componente para planear. Describe los requerimientos, así
como incluye el establecimiento de los objetivos y guías del SGCN como un
todo para la Compañía. El contenido de la cláusula 6 difiere de establecer
tratamientos de riesgo derivado de la evaluación de riesgos, así como los
objetivos de recuperación derivados del BIA.
• Cláusula 7 es el último componente de la planeación; soporta la operación del
SGCN y allí se establecen las competencias y comunicación con las partes
interesadas, control, mantenimiento y conservación de la documentación
requerida en el SGCN.
Nota: los requisitos para el análisis de impacto al negocio y el proceso de
valoración de riesgo son detallados en el numeral 8.
• Cláusula 8, es el componente del Hacer. Define los requerimientos de
continuidad del negocio, determina como se direccionan y desarrollan los
procedimientos para manejar un incidente que interrumpa la operación.
• Cláusula 9, es el componente del Revisar. Resume los requerimientos
necesarios para medir la administración de la continuidad del negocio,
desempeño, cumplimiento del SGCN con el estándar internacional y las
expectativas de la gerencia, así como la retroalimentación de las expectativas
a la dirección.
• Cláusula 10 es el componente del Actuar, consiste en identificar y actuar sobre
el SGCN a través de los planes de acción correctiva derivados de las no
conformidades.
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 5
V1 – Agosto 2017
 SEGURIDAD DE LA SOCIEDAD – REQUISITOS PARA EL SISTEMA DE
ADMINISTRACION DE CONTINUIDAD DE NEGOCIO.

1. Alcance
Este estándar especifica los requerimientos para planear, establecer, implementar, operar,
monitorear, revisar, mantener y mejorar el SGCN, orientado a la protección y reducción de
la probabilidad de ocurrencia, preparación, respuesta y recuperación en caso de una
interrupción que pueda afectar la Compañía

El SGCN es aplicable a organizaciones de cualquier tipo o de cualquier tamaño

2. Referencias Normativas
No hay Referencias Normativas a este estándar

3. Términos y Definiciones
Los siguientes son términos y definiciones aplicables a este estándar:

3.1 Actividad: Acción o conjunto de acciones emprendido por la Compañía que

desarrollan o soportan uno o más productos y servicios.
3.2 Auditoría: Proceso sistemático, independiente y documentado para obtener
evidencias de la auditoria y evaluarlas de manera objetiva a fin de determinar la
extensión en que se cumplen los criterios de auditoría.
3.3 Continuidad del negocio: capacidad de la Compañía para continuar desarrollando
y entregando los productos o servicios en un nivel aceptable predefinido, luego de
un incidente.
3.4 Administración de la continuidad del negocio. Proceso holístico gerencial que
identifica las amenazas potenciales en la Compañía y el impacto de dichas
amenazas en las operaciones si se llegasen a presentar. Su objetivo es mejorar la
resiliencia para establecer la capacidad de la empresa para construir la capacidad
de una respuesta efectiva a la salvaguarda de los intereses de las partes
involucradas, reputación, marca y actividades para crear valor.
3.5 SGCN: Parte de la gestión general para el establecimiento, implementación,
operación, monitoreo, revisión, mantenimiento y mejora de la continuidad del
negocio.
3.6 Plan de continuidad del negocio: Procedimiento documentado que guía a la
Compañía para responder, recuperar y restaurar a un nivel predefinido los niveles
de la operación de la compañía tras una interrupción de la operación.
3.7 Programa de continuidad del negocio: Gestión continua y procesos de gobierno
corporativo soportados por la dirección y utilizando recursos de forma apropiada
para implementar y mantener la gestión de la continuidad del negocio.
3.8 Análisis de Impacto en el Negocio (BIA): Proceso de análisis de actividades y
efecto que en un negocio podría tener sobre ellas la interrupción de procesos.
3.9 Competencia: Habilidad para aplicar conocimiento y las habilidades para lograr
resultados.
3.10 Conformidad: Cumplimiento de un requerimiento.
3.11 Mejora Continua: Actividades recurrentes para desarrollar la mejora.
3.12 Corrección: Acción para eliminar una no conformidad detectada.
3.13 Acción Correctiva: Acción para eliminar la causa de una no conformidad y
prevenir la recurrencia.
3.14 Documento: Información y su medio de soporte.
3.15 Información Documentada: Información requerida para ser controlada y
mantenerla por una Compañía y el medio el cual la contiene.

Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 6
V1 – Agosto 2017
 3.16 Eficacia: Extender cuales de las actividades planeadas son realizadas y que
resultados se logran.
3.17 Evento: Ocurrencia o cambio de un conjunto particular de circunstancias.
3.18 Ejercicio: Proceso de entrenamiento para evaluar, practicar e implementar
mejoras en una Compañía.
3.19 Incidente: Situación que puede ser o podría dar lugar a una interrupción,
pérdidas, emergencias o crisis.
3.20 Infraestructura: Sistemas, equipos y servicios necesarios para la operación de
una Compañía.
3.21 Partes Interesadas: Personas u organizaciones que pueden resultar afectadas
o afectar a ellos mismos o a un tercero por alguna decisión respecto a una
actividad.
3.22 Auditoría Interna: Auditoría conducida por o en nombre de la misma Compañía
para revisar la administración del SGCN la cual debe formar parte de la Compañía
y auto declaración de conformidad.
3.23 Invocación: Acto de declaración para que en la continuidad del negocio de la
Compañía sea necesario poner en práctica un desarrollo continuo de productos
y/o servicios claves para la misma Compañía.
3.24 Sistema de Administración: Conjunto de elementos interrelacionados que
interactúan para el establecimiento de políticas y objetivos, y que los procesos
cumplan o logren dichos objetivos.
3.25 Interrupción Máxima Aceptable de (MAO): Tiempo que podría tomar para que los
efectos adversos que se puedan dar como resultado de no proveer un
producto/servicio o desarrollar una actividad, pueda llegar a ser inaceptable.
3.26 Máximo período de interrupción tolerable (MTPD): Ver MAO
3.27 Medición: Proceso para determinar un valor.
3.28 Mínimo objetivo de continuidad del negocio (MBCO): Nivel mínimo aceptable de
servicios y/o productos para que la Compañía alcance los objetivos del negocio
durante la interrupción.
3.29 Monitoreo: Determinación del estado de un sistema, un proceso o una actividad.
3.30 Acuerdos de ayuda mutua: Entendimiento entre dos o más entidades para hacer
o brindar asistencia a los demás.
3.31 No conformidad: No cumplir con un requerimiento.
3.32 Objetivo: Resultado por alcanzar.
3.33 Compañía: Persona o grupo de personas que tiene funciones propias con
responsabilidades, autoridad, y relacionamiento para el cumplimiento de los
objetivos.
3.34 Tercerizar: Forma de establecer que una entidad externa desarrolle parte de las
funciones, procesos u operaciones de una Compañía.
3.35 Desempeño: Resultado de la medida.
3.36 Evaluación de desempeño: Proceso para determinar los resultados de la
medición.
3.37 Personal: gente trabajando para y bajo el control de una Compañía.
3.38 Política: Intenciones y dirección de una Compañía expresada formalmente por la
dirección.
3.39 Procedimiento: Vía específica para llevar una actividad o un proceso.
3.40 Proceso: Conjunto de actividades interrelacionadas en las que se transforman
entradas en salidas.
3.41 Productos y Servicios: Beneficio que provee una Compañía para sus clientes,
proveedores y partes interesadas.
3.42 Actividades priorizadas: Actividades que deben ser priorizadas siguiente a un
incidente con el fin de mitigar los impactos.
3.43 Registro: Conjunto de resultados logrados o evidencia de actividades
desarrolladas.
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 7
V1 – Agosto 2017
 3.44 RPO (Punto Objetivo de Recuperación): Punto en el cual la información utilizada
por una actividad debe ser restaurada para poner en funcionamiento o habilitar
dicha actividad.
3.45 RTO (Recovery Time Objetive): Periodo de tiempo que sigue al incidente y en el
cual:
i. El producto o servicio debe ser restaurado, o
ii. La actividad debe ser restaurada, o
iii. Los recursos deben estar recuperados.
3.46 Requerimiento: necesidad o expectativa que fijada, generalmente implica
obligatoriedad.
3.47 Recursos: Todos los activos, personas, habilidades, información, tecnología,
premisas, proveedores, que una Compañía tiene disponibles para su uso, cuando
lo necesitó, alineado con la operación y el cumplimiento de los objetivos.
3.48 Riesgo: Efecto de la incertidumbre sobre los objetivos.
3.49 Apetito de Riesgo: Monto de riesgo que una Compañía acepta o retiene.
3.50 Evaluación de Riesgo: Cubrimiento de los procesos de identificación, análisis y
evaluación de riesgos.
3.51 Administración de Riesgos: Actividades coordinadas para direccionar y controlar
una Compañía con relación a los riesgos.
3.52 Prueba: Procedimiento para evaluar el SGCN.
3.53 Dirección: Persona o grupo de personas quienes dirigen y controlan una
Compañía desde su alto nivel.
3.54 Verificación: Confirmación a través de la provisión de evidencia.
3.55 Ambiente de Trabajo: Conjunto de condiciones bajo las que se desarrolla una
labor.

4. CONTEXTO DE LA COMPAÑÍA

4.1. ENTENDIMIENTO DE LA COMPAÑÍA Y SU CONTEXTO

La Compañía DEBE determinar los elementos internos y externos que puedan ser
relevantes en el propósito y que afecten su posibilidad de cumplir con los resultados
de su SGCN. Estos elementos son tenidos en cuenta cuando se establezca,
implemente y mantenga el SGCN.

La Compañía DEBE documentar e identificar los siguientes aspectos:

a) Los procesos, funciones, servicios, productos, sociedades, cadena de valor,
relacionamiento con partes interesadas y el impacto potencial en caso de un
incidente.
b) Relación entre la política del SGCN y los objetivos de la Compañía, otras
políticas, incluyendo la estrategia de administración de riesgos.
c) El apetito de riesgo de la Compañía.

Establecimiento el contexto, la Compañía DEBE:

1) Articular sus objetivos, incluyendo lo concerniente a la continuidad del
negocio.
2) Definir los factores externos e internos que crea la incertidumbre que da la
exposición al riesgo.
3) Definir los criterios de riesgo teniendo en cuenta el apetito del riesgo.
4) Definir el propósito del SGCN.

4.2. ENTENDER LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES

INTERESADAS.

Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 8
V1 – Agosto 2017
 4.2.1. General
Cuando se establezca el SGCN la Compañía DEBE determinar:
a) Las partes interesadas que son relevantes en el SGCN
b) Los requerimientos de las partes interesadas.

4.2.2. Requerimientos Legales y Regulatorios

La Compañía DEBE establecer, implementar y mantener un procedimiento para
identificar, tener acceso y evaluar los requerimientos de ley y reglamentarios
cuando sean aplicables y estén relacionados con la continuidad de la operación,
los productos y servicios y tenga interés relevante de las partes interesadas.

La Compañía DEBE asegurarse que todos los requerimientos aplicables de ley,

regulatorios o de la Compañía sean tenidos en cuenta al establecer, implementar
y mantener el SGCN.

La Compañía DEBE documentar esta información, actualizarla cada vez que

haya cambios. Estos cambios deben ser notificados a los empleados afectados
y demás partes interesadas.

4.3. DETERMINACIÓN DEL ALCANCE DEL SGCN

4.3.1. General
La Compañía DEBE determinar la aplicabilidad del SGCN y establecer el
alcance. Cuando determine el alcance la Compañía DEBE considerar
• Los elementos internos y externos del punto 4.1 y
• Los requerimientos del 4.2.

El alcance DEBE estar disponible como parte de la información documentada

4.3.2. Determinación del alcance del SGCN

La Compañía DEBE:
a) Establecer las partes de la Compañía que serán incluidas en el SGCN.
b) Establecer los requerimientos del SGCN, considerando la misión de la
compañía, objetivos, obligaciones internas y externas (Incluidas las partes
interesadas) y las responsabilidades de ley y regulatorias.
c) Identificar los productos y servicios y todos los aspectos relacionados en el
alcance del SGCN.
d) Tomar en cuenta los intereses y necesidades de las partes interesadas tales
como clientes, proveedores, inversionistas, la comunidad y el público en
general que manifiesta las necesidades e intereses.
e) Definir el alcance del SGCN en términos del tamaño, naturaleza y complejidad
de la compañía.

Cuando se establezca el alcance, la compañía debe documentar y explicar las

exclusiones, cualquiera de estas no debe afectar la capacidad de la compañía y
sus responsabilidades de garantizar la continuidad del negocio y los requisitos del
SGCN, según los resultados del Análisis de Impacto al Negocio, valoración del
riesgo y los requisitos de ley y normativos aplicables.

4.4. SGCN.

Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 9
V1 – Agosto 2017
 La Compañía DEBE establecer, implementar, operar, monitorear, mantener y
continuamente mejorar el SGCN incluyendo los procesos necesarios en sus
interacciones, en concordancia con los requerimientos de este estándar.

5. LIDERAZGO.

5.1. GENERAL.
Las personas de la dirección y en general los roles relevantes en la Compañía DEBEN
demostrar liderazgo con respecto al SGCN.

5.2. COMPROMISO DE LA DIRECCIÓN.

La dirección DEBE demostrar liderazgo y compromiso con respecto al SGCN para:

• Asegurar que las políticas y objetivos se establecen para el SGCN y son
compatibles con la estrategia de la Compañía.
• Asegurar la integración del SGCN y sus requerimientos con los procesos de
negocio.
• Asegurar la disponibilidad de los recursos necesarios para del SGCN.
• Comunicar la importancia de la administración por resultados del SGCN y
conformidad con sus requerimientos.
• Asegurar que el SGCN logra los resultados previstos.
• Dirigir y soportar las personas que contribuyen a los resultados del SGCN.
• Promover la mejora continua.
• Soportar otros roles de dirección para demostrar su liderazgo y compromiso, así
como aplicarlo a todas las áreas de la Compañía.

La dirección DEBE proveer evidencia de su compromiso para establecer,

implementar, operar, monitorear, revisar, mantener y mejorar el SGCN para:
• Establecer una política de continuidad.
• Asegurar que los objetivos del SGCN y de los planes están establecidos.
• Establecer roles, responsabilidades y competencias para el SGCN
• Empoderar a una o más personas que sean responsables del SGCN con autoridad
y competencias para implementar y mantener el SGCN.
Nota: Las personas empoderadas no tiene una función exclusiva en el SGCN.

La dirección DEBE asegurar que las responsabilidades y autoridad para los roles ha
sido asignada y comunicada en la Compañía para:
• Definir el criterio para aceptar los riesgos y definir el nivel aceptable del riesgo.
• Participar en las pruebas y ejercicios del plan.
• Asegurar que se realicen las auditorías internas del SGCN.
• Conducir las revisiones de la dirección para el SGCN.
• Demostrar su compromiso con la mejora continua.

5.3. POLÍTICA DEL SGCN

La dirección DEBE establecer una política de continuidad del negocio que se

comunique y que:
a) Esté alineada al propósito de la Compañía.
b) Provea un marco de referencia para la definición de los objetivos del SGCN.
c) Incluya el compromiso para satisfacer los requerimientos aplicables.
d) Incluya el compromiso para la mejora continua del SGCN.

La política del SGCN DEBE:

Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 10
V1 – Agosto 2017
 • Estar disponible como documento del SGCN.
• Ser comunicado a la Compañía.
• Estar disponible para las partes interesadas de forma apropiada.
• Ser revisada continuamente, con idoneidad a intervalos definidos y cuando se
presenten cambios significativos dentro de la compañía.

5.4. ROLES, RESPONSABILIDADES Y AUTORIDAD ORGANIZACIONAL

La dirección DEBE asegurar que las responsabilidades y autoridad para los roles ha
sido asignada y comunicada en la Compañía.

La dirección DEBE asignar las responsabilidades para:

• Asegurar que el SGCN es conforme con este estándar.
• Reportar el desempeño del SGCN a la dirección.

6. PLANEACIÓN

6.1. ASPECTOS PARA DIRECCIONAR LOS RIESGOS Y OPORTUNIDADES.

Cuando se planee el SGCN, la compañía DEBE considerar los elementos del numeral
4.1. y los requerimientos del 4.2. y determinar los riesgos y oportunidades que son
necesarios para direccionar hacia:
a) Asegurar que el SGCN puede lograr los objetivos trazados.
b) Prevenir o reducir efectos indeseados.
c) Lograr la mejora continua.

La Compañía DEBE planear

a) Acciones para direccionar estos riesgos y oportunidades.

b) Como:
• Integrar e implementar las acciones en el proceso del SGCN. (ver 8.1)
• Evaluar los resultados de esas acciones.

6.2. OBJETIVOS DE CONTINUIDAD DEL NEGOCIO Y PLANES PARA LOGRARLOS.

La dirección DEBE asegurar que los objetivos de la continuidad de negocio están

establecidos y comunicados por funciones relevantes y niveles en la Compañía. Los
objetivos de la continuidad del negocio DEBEN:
a) Ser consistente con la política de continuidad
b) Tomar en cuenta el nivel mínimo de productos y servicios que son aceptables en
la Compañía para cumplir los objetivos.
c) Ser medible.
d) Tener en cuenta los requerimientos aplicables
e) Ser monitoreado y actualizado de forma apropiada.

La administración DEBE conservar documentos sobre los objetivos de la continuidad.

Para lograr los objetivos, DEBE determinar:
• Quién será responsable.
• Qué se hará.
• Qué recursos serán requeridos.
• Cuando será completado.
• Como se evaluará el resultado.

Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 11
V1 – Agosto 2017
7. RECURSOS

7.1. GENERAL.

La Compañía DEBE determinar y proveer los recursos necesarios para el

establecimiento, implementación, mantenimiento y mejora continua del SGCN

7.2. COMPETENCIA

La Compañía DEBE:
a) Determinar la necesidad de la competencia de las personas que trabajarían para
controlar los aspectos que afecten su desempeño.
b) Asegurar que esas personas son competentes basados en la educación
apropiada, entrenamiento y experiencia.
c) Donde sea aplicable, tomar las acciones para adquirir las competencias
necesarias y evaluar los resultados de las acciones tomadas.
d) Retener la documentación apropiada como evidencia de la competencia.

7.3. CONCIENTIZACIÓN

El personal que tome acciones de la compañía DEBE ser consiente de:

a) La política de continuidad de negocio.
b) Su contribución a los resultados del SGCN, incluyendo los beneficios de mejorar
el desempeño del SGCN.
c) Las implicaciones de las no conformidades con los requerimientos del SGCN.
d) Su propio rol durante los incidentes o interrupciones.

7.4. COMUNICACIÓN

La compañía DEBE determinar la necesidad para comunicar a nivel interno y externo

lo relevante para el SGCN. Incluye:
a) Qué se comunicará
b) Cuando se comunicará
c) Con quién se comunicará

La dirección DEBE establecer, implementar y mantener procedimientos para:

• La comunicación entre las partes interesadas y los empleados.
• La comunicación con los clientes socios, proveedores, comunidad y otras partes
interesadas que incluyen a los medios de comunicación.
• Recibir, documentar y responder a las partes interesadas.
• Adaptar e integrar un sistema de consulta de amenazas nacionales o regionales.
• Asegurar la disponibilidad de los medios de comunicaciones durante un incidente.
• Facilitar la estructura de comunicación con las autoridades pertinentes y asegurar
la interoperabilidad de las respuestas a la Compañía y del personal.
• Operar y probar la capacidad de comunicar durante la interrupción.

Nota: Otros requisitos para comunicación los encuentra en el 8.4.3

7.5. DOCUMENTACIÓN DE LA INFORMACIÓN

Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 12
V1 – Agosto 2017
 7.5.1. General
La Compañía DEBE incluir en el SGCN:
a) Información documentada requerida por el estándar
b) Información documentada determinada por la Compañía cuan sea
necesario para los resultados del SGCN.
7.5.2. Crear y actualizar
La Compañía DEBE asegurar apropiadamente que:
• Se identifiquen y describan (Títulos, fechas, autor o número de referencia)
• Los formatos (lenguajes, versiones de software, graficas, etc.) y los medios
(Papel, formato electrónico, etc.) sean revisados y aprobados de forma
adecuada e idónea.
7.5.3. Control de Documentos
La Compañía DEBE controlar y asegurar que la documentación requerida por el
SGCN, y cumpla con:
a) Está disponible y de forma adecuada para su utilización, donde y cuando
sea necesario.
b) Está protegida de forma adecuada.

Para el control de documentos la Compañía DEBE direccionar las siguientes

actividades cuando sea aplicable:
• Distribución, acceso y recuperación para su uso.
• Almacenar y preservar.
• Control de cambios.
• Retención y disposición final.
• Prevención de uso de los documentos obsoletos.

La información de origen externo necesaria para la planificación y operación

del SGCN se DEBE identificar y según sea adecuado controlarla.

Al determinar el control de los documentos, la compañía DEBE asegurar la

protección adecuada.

8. OPERACIÓN

8.1. PLANIFICACIÓN Y CONTROL.

La compañía DEBE planear, implementar y controlar los procesos necesarios para

satisfacer los requerimientos, implementar las acciones determinadas en 6.1 para:
a) Establecer el criterio para los procesos.
b) Implementar controles para los procesos en concordancia con los criterios
c) Mantener la documentación para evidenciar que los procesos se han ejecutado
de acuerdo con lo establecido.

La Compañía DEBE controlar los cambios y revisar las consecuencias de cambios no

previstos, tomando las acciones que mitigan los efectos adversos, cuando sea
necesario.

La Compañía DEBE asegurar que los procesos tercerizados están controlados.

8.2. ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA) Y VALORACIÓN DE RIESGOS

8.2.1. General
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 13
V1 – Agosto 2017
 La compañía DEBE establecer, implementar y mantener documentado de
manera formal un proceso para el BIA y el análisis de riesgos que:
a) Establezca el contexto de la evaluación, definición de criterios y evaluación
de los impactos potenciales de incidentes.
b) Tenga en cuenta aspectos legales y otros requerimientos a los cuales la
Compañía debe suscribirse.
c) Incluya análisis sistemáticos, priorización de tratamientos y sus costos
asociados.
d) Defina las salidas requeridas del BIA y la evaluación de riesgos.
e) Especifique los requerimientos de la información para mantenerse vigente
y preserve la confidencialidad.

8.2.2. BIA
La compañía DEBE establecer, implementar y mantener documentado de
manera formal un proceso para determinar la prioridad en la continuidad,
recuperación, objetivos y metas.
El BIA debe incluir:
a) Identificación de actividades que soportan la provisión de productos y
servicios.
b) Evaluar los impactos sobre el tiempo de no contar con estas actividades.
c) Determinar los tiempos y prioridades para reanudar las actividades en un
nivel mínimo aceptable tomando en consideración que los impactos de
no reanudarlos podría llegar a ser no aceptables.
d) Identificar las dependencias y los recursos que soportan estas
actividades, incluyendo los proveedores, socios, terceros y otras partes
interesadas.

8.2.3. Valoración de Riesgos:

La Compañía DEBE establecer, implementar y mantener un documento formal
de los procesos de evaluación de riesgos que identifica sistemáticamente, analiza
y evalúa los riesgos de la interrupción por incidentes en la Compañía.

La Compañía DEBE:
a) Identificar los riesgos de interrupción de actividades prioritarias de la
compañía y procesos, sistemas, información, gente, activos, terceros y otros
recursos que lo soporten.
b) Análisis de riesgos sistemáticos.
c) Evaluar los riesgos que generarían la interrupción y que necesitan
tratamiento.
d) Identificar tratamientos alineado con los objetivos de la continuidad de
negocio y en concordancia con el apetito del riesgo en la compañía.

8.3. ESTRATEGIA DE CONTINUIDAD DEL NEGOCIO

8.3.1. Determinación y Selección

Determinación y selección de la estrategia DEBE estar basado en las salidas del
BIA y del RA.

La Compañía DEBE determinar una estrategia de continuidad para:

a) Proteger las actividades prioritarias.
b) Establecer, continuar, recuperar las actividades prioritarias y sus recursos y
sus dependencias.
c) Mitigar y responder a los impactos.

Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 14
V1 – Agosto 2017
 La determinación de la estrategia DEBE incluir priorización aprobada para la
recuperación de las actividades en los marcos de tiempo definidos.

La Compañía DEBE conducir evaluaciones de la capacidad de los terceros para

la Continuidad del negocio.

8.3.2. Establecer los recursos requeridos

La compañía debe determinar los recursos requeridos para implementar las
estrategias seleccionadas. Los tipos de recursos consideran, pero no se limitan
a:
a) Gente.
b) Datos e información.
c) Edificios, ambiente de trabajo y servicios asociados.
d) Facilidades, equipos y consumibles.
e) Sistemas de Información y TI.
f) Transporte.
g) Finanzas.
h) Socios y proveedores.

8.3.3. Protección y Mitigación

Para identificar el tratamiento de los riesgos, la Compañía DEBE considerar
medidas proactivas que:
a) Reduzcan la probabilidad de la interrupción
b) Disminuya los períodos de interrupción
c) Limite el impacto de la interrupción sobre los productos y servicios
claves.

La Compañía DEBE seleccionar e implementar el tratamiento de riesgo

apropiado en concordancia con el apetito del riesgo.

8.4. ESTABLECER E IMPLEMENTAR LOS PROCEDIMIENTOS DE CONTINUIDAD

DEL NEGOCIO.

8.4.1. General
La Compañía DEBE establecer, implementar y mantener los procedimientos de
continuidad de negocio para gestionar un incidente y continuar las actividades
basadas en los objetivos de recuperación identificados en el BIA

La Compañía DEBE documentar los procedimientos para asegurar la continuidad

de actividades y gestión de los incidentes.

Los procedimientos DEBEN

a) Establecer un protocolo interno y externo apropiado.
b) Ser específico para establecer los pasos inmediatos que son tenidos en cuenta
durante la interrupción.
c) Ser flexible para responder o anticipar las amenazas y cambios en las
condiciones internas y externas.
d) Focalizarlo en el impacto de los eventos que podría interrumpir las
operaciones.
e) Estar desarrollado basados sobre supuestos establecidos y un análisis de
interdependencias
f) Dar resultados en minimizar las consecuencias a través de la implementación
de estrategias de mitigación adecuadas.

Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 15
V1 – Agosto 2017
 8.4.2. Estructura de Respuesta a Incidentes
La Compañía DEBE establecer, documentar e implementar procedimientos y
administrar la estructura de respuesta a incidentes utilizando personal con la
responsabilidad, autoridad y competencia para manejar un incidente.

Esta estructura DEBE:

a) Identificar los umbrales del impacto que justifican la iniciación de respuestas

formales.
b) Evaluar la naturaleza y extensión de un incidente y su potencial impacto.
c) Activar una respuesta apropiada para responder a la continuidad del negocio.
d) Tener procedimientos y procesos para activación, operación coordinación y
comunicación de las respuestas.
e) Tener recursos disponibles para soportar los procesos y procedimientos para
manejar un incidente para minimizar el impacto.
f) Comunicar con las partes interesadas incluidas las autoridades y medios de
comunicación.

La compañía DEBE decidir, conservando la vida humana como prioridad y en

consulta con las partes interesadas, si se comunica externamente la información
de sus riesgos e impactos y documentar su decisión. Si se decide comunicar la
compañía DEBE definir e implementar procedimientos para la comunicación
externa, alertas y aviso, que incluyan los medios de comunicación según sea
adecuado.

8.4.3. Advertencias y comunicación

La Compañía DEBE establecer, implementar y mantener procedimientos para:
a) Detectar un incidente.
b) Monitorear regularmente los incidentes.
c) Comunicación interna entre la Compañía y recibir, documentar y responder a
las partes interesadas.
d) Recibir, documentar y responder a cualquier sistema de riesgo nacional o
regional.
e) Asegurando disponibilidad de los medios de comunicación en el momento de
un incidente.
f) Facilitar la estructura de comunicación con el sistema de emergencias.
g) Registrar la información vital sobre los incidentes, acciones y decisiones y se
DEBE considerar e implementar donde aplica:
• Alertar a las partes interesadas potencialmente impactadas por un
incidente real o potencial.
• Asegurar la interoperabilidad de múltiples compañías y al personal.
• Facilitar las operaciones de comunicación.

Los procedimientos de comunicación DEBEN ser probados regularmente.

8.4.4. Planes de Continuidad del negocio

La Compañía DEBE establecer procedimientos documentados para responder a
una interrupción y como se continuará o recuperará las actividades en un tiempo
determinado. Cada procedimiento DEBE direccionar los requerimientos de
quienes los utilizan.
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 16
V1 – Agosto 2017
 El plan de continuidad DEBE contener en conjunto:
a) Roles y responsabilidades definidos durante y después de un incidente.
b) Proceso para activar la respuesta.
c) Detalles para establecer las consecuencias de la interrupción, teniendo en
cuenta:
1) El bienestar de la gente
2) Las opciones estratégicas tácticas y operativas de la respuesta, y
3) Prevención de pérdida o indisponibilidad de actividades priorizadas
d) Detalles sobre cómo y bajo qué circunstancias la Compañía se comunicará a
los empleados, familia y las partes interesadas y los contactos de emergencia.
e) Como la Compañía continuará o recuperará sus actividades prioritarias en los
tiempos definidos.
f) Detalles de la respuesta de la Compañía de los medios de comunicación a
causa de los incidentes, siguiendo:
1) Una estrategia de comunicación.
2) Canal preferente con los medios de comunicación.
3) Guion para dar declaraciones de la situación a los medios.
4) Vocero adecuado
g) Un proceso para retirarse cuando el incidente termine.

Cada plan DEBE establecer:

- Propósito y alcance
- Objetivo
- Criterios y actividades de activación
- Procedimientos de instalación
- Roles, responsabilidades y autoridades
- Requerimientos de comunicación
- Interdependencias e interacciones
- Recursos
- Flujo de información y gestión de documentación

8.4.5. Recuperación
La Compañía DEBE tener procedimientos documentados para restaurar y
retornar las actividades del negocio desde las medidas temporales adoptadas
hasta los requerimientos normales después del incidente.

8.4.6. Ejercicios y Pruebas

La Compañía DEBE ejercitar y probar sus procedimientos de continuidad de
negocio para asegurar que los planes son consistentes con los objetivos del
negocio. Se DEBEN realizar las pruebas que:
a) Sean consistentes con el alcance y objetivos del SGCN
b) Estén basados en escenarios apropiados que son bien planeados con
claridad definida y objetivos definidos.
c) Tengan en cuenta la validación del tiempo y el conjunto de preparativos para
el plan de continuidad involucrando a las partes interesadas.
d) Minimicen la interrupción de las operaciones.
e) Produzcan reportes o informes formales después de cada ejercicio, que
incluya recomendaciones y acciones para mejorar el plan.
f) Sean revisados con el propósito de propender a la mejora continua.
g) Se realicen en intervalos planeados y cuando haya cambios significativos en
la Compañía o el ambiente en el cual opera.

9. EVALUACIÓN DE DESEMPEÑO
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 17
V1 – Agosto 2017
 9.1. MONITOREO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

9.1.1. General
La Compañía DEBE determinar
a) Que se monitorea y mide.
b) Los métodos para monitorear, medir, analizar y evaluar para el
aseguramiento de los resultados.
c) Cuándo el monitoreo y la medición requieren ser desarrollados.
d) Cuándo los resultados del monitoreo y medición DEBEN ser analizados y
evaluados.

La compañía DEBE mantener documentos que soporten los resultados.

La compañía DEBE evaluar el desempeño del SGCN y sus resultados.

Adicionalmente la Compañía debe:

• Tomar las acciones que considere en caso que ocurra una no conformidad
o tendencia a esta, y
• Retener la evidencia documentada de los resultados del monitoreo.

Los procedimientos para monitorear el desempeño DEBEN proveer:

• Implementación de métricas adecuadas a la Compañía.
• Monitoreo del cumplimiento de los objetivos, de la política y metas de
continuidad.
• Desempeño de los procesos, procedimientos y funciones que priorizan las
actividades de protección.
• Monitoreo del cumplimiento con este estándar y los objetivos de
continuidad.
• Monitoreo de las deficiencias históricas del desarrollo del SGCN.
• Registro de datos y resultados del monitoreo para facilitar las acciones
correctivas.

9.1.2. Evaluación de los procedimientos de continuidad.

a) La Compañía DEBE conducir evaluación de sus procedimientos de
continuidad del negocio, procedimientos y capacidad para asegurar su
sostenibilidad y resultados.
b) Esas evaluaciones DEBEN ser realizadas de forma periódica, después de
incidentes o cualquier evaluación. Los cambios significativos deben ser
reflejados en los procedimientos manejados en el SGCN.
c) La Compañía DEBE evaluar el cumplimiento de los aspectos legales y
requerimientos regulatorios, mejores prácticas de la industria.
d) La Compañía DEBE realizar evaluación a intervalos planificados cuando
un cambio importante ocurre.

Cuando un incidente ocurre y se activa el plan, se debe realizar una revisión

posterior al incidente y registrar los resultados correspondientes.

9.2. AUDITORÍA INTERNA

La Compañía DEBE conducir auditorías a intervalos planificados para proveer

información si el SGCN:
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 18
V1 – Agosto 2017
 a) Es conforme a
1) Los propios requerimientos de la Compañía hacia el SGCN
2) Los requerimientos del estándar.
b) Está efectivamente implementado y mantenido.

La Compañía DEBE:
• Planear, establecer, implementar y mantener programas de auditoría que incluyan
frecuencia, métodos, responsabilidades, requerimientos de planeación y reportes.
El programa de auditoría DEBE tomar en consideración la importancia de los
procesos concernientes a auditorías previas.
• Definir los criterios y alcance de auditoría.
• Seleccionar los auditores para asegurar la objetividad e imparcialidad del proceso
de auditoría.
• Asegurar que los resultados de las auditorías serán reportados a la dirección.
• Guardar documentación que brinde evidencia de los resultados de los programas
de auditoría.

El programa de auditoría, DEBE fundamentarse en los resultados de la valoración de

riesgos y de auditorías anteriores. Los procedimientos de auditoría DEBEN incluir el
alcance, frecuencia, metodologías y competencias, así como las responsabilidades y
requisitos para ejecución de auditorías y reporte de resultados

La dirección del área auditada DEBE asegurar que cualquier corrección necesaria
derivada de la auditoría genere la acción correctiva o detectiva a que haya lugar sin
demoras injustificadas, eliminando las causas que la generaron. Las actividades de
monitoreo DEBEN incluir las validaciones de acciones y el informe de resultados de
verificación.

9.3. REVISIÓN GERENCIAL.

La dirección DEBE revisar el SGCN de la Compañía a intervalos planificados para

asegurar la sostenibilidad y resultados.

La revisión DEBE incluir consideraciones de:

a) El estado de las acciones de revisiones previas.

b) Cambios de elementos internos o externos de la Compañía que sean
relevantes para el SGCN.
c) Información del desempeño del SGCN, incluidas tendencias en:
• No conformidades y acciones correctivas.
• Monitoreo y resultado de evaluaciones de las métricas y
• Resultados de la auditoría.
d) Oportunidades para el mejoramiento continuo.

Las revisiones por la dirección DEBE considerar el desempeño de la Compañía

incluyendo:
• Seguimiento a las revisiones gerenciales previas.
• Necesidad de cambios del SGCN.
• Oportunidades de Mejora.
• Resultados de las auditorías del SGCN.
• Técnicas, productos o procedimientos que se usen en la Compañía para
desarrollar efectivamente el SGCN.
• Estatus de las acciones correctivas.
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 19
V1 – Agosto 2017
 • Resultado de las pruebas.
• Riesgos o hallazgos no direccionados de manera adecuada en análisis de riesgos
previos.
• Cualquier cambio que pueda afectar el SGCN.
• Política adecuada.
• Recomendaciones para mejorar.
• Lecciones aprendidas en gestión de incidentes.
• Buenas prácticas y guía de emergencias.

Las salidas de la revisión de la Dirección DEBEN incluir decisiones relativas a la

mejora continua y de las posibles necesidades para cambiar el SGCN que incluye:
a) Cambios del alcance del SGCN.
b) Mejora de los resultados del SGCN.
c) Actualización del análisis de riesgo, BIA, planes de continuidad y en general
cualquier procedimiento relacionado.
d) Modificación de procedimientos y controles para responder a eventos que pueden
impactar el SGCN, incluyendo cambios en:
1) Requerimientos de negocio y operaciones.
2) Reducción de los riesgos y requerimientos de seguridad.
3) Condiciones operacionales y procesos.
4) Requerimientos legales y regulatorias.
5) Obligaciones contractuales.
6) Niveles de riesgo y criterios de aceptación de riesgos.
7) Recursos necesarios.
8) Requerimientos presupuestales.
e) Como se miden los resultados de los controles.

La Compañía DEBE retener documentación como evidencia del resultado de las

revisiones y DEBE:
• Comunicar los resultados de la revisión de la dirección a las partes interesadas y
• Tomar acciones apropiadas con lo relacionado a estos resultados.

10. MEJORAMIENTO

10.1. NO CONFORMIDADES Y ACCIONES CORRECTIVAS

Cuando una no conformidad ocurre, la Compañía DEBE:

a) Identificar la no conformidad.
b) Reaccionar a la no conformidad y cuando sea aplicable
1) Tomar la acción, control o corrección respectiva.
2) Hacer frente a las consecuencias.
c) Evaluar la necesidad de eliminar las causas de la no conformidad, en orden a
que no se vuelva recurrente.
1) Revisando la no conformidad.
2) Determinando las causas de la no conformidad.
3) Determinando si una no conformidad similar existe, o potencialmente
puede ocurrir.
4) Evaluando la necesidad de la acción correctiva para asegurar que la
no conformidad no vuelve a ocurrir.
5) Determinando e implementando la acción correctiva necesaria.
6) Revisando los resultados de cualquier acción correctiva tomada.
7) Haciendo cambios al SGCN si llegase a ser necesario.
d) Implementando cualquier acción necesaria.
Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 20
V1 – Agosto 2017
 e) Revisando los resultados de cualquier acción tomada.
f) Haciendo cambios al SGCN, si es necesario.

Las acciones correctivas DEBEN ser apropiadas a los efectos de las no

conformidades encontradas.

La Compañía DEBE retener la documentación como evidencia de:

• La naturaleza de la no conformidad y cualquier evento subsecuente.
• Los resultados de cualquier acción correctiva.

10.2. MEJORAMIENTO CONTINUO

La Compañía DEBE mejorar continuamente la sostenibilidad, la adecuación y

resultados del SGCN.

Este documento es una traducción propia de SGS Academy Colombia con fines académicos
No pretende superar al estándar original.

AC-GA-I-F-01-01 21
V1 – Agosto 2017