SlideShare una empresa de Scribd logo
Presentación de ISO 22301: 2019
Sistema de Gestión de Continuidad
del Negocio – Requisitos
V.2020
Introducción
PANDEMIA
Introducción
¿A Qué nos enfrentamos?
• Averías de cables submarinos, con los consiguientes
problemas en las comunicaciones
• Huelgas en el transporte público, colapsando el
desplazamiento de las personas en las ciudades
• Temporal de nieve en EEUU, impidiendo los
desplazamientos terrestres a lo largo del país
• Evacuación de un hospital debido a un incendio
• Inundaciones en Argentina, causando gravísimos
daños en empresas, edificios, etc.
Introducción
• Una organización no puede dejar de funcionar ante
condiciones adversas.
• A nivel mundial, tal y como funcionan actualmente
los mercados internacionales, las organizaciones
tienen la obligación de poder asegurar que son
proveedores fiables y que son capaces de, ante
cualquier incidente o catástrofe – un incendio, una
inundación, una huelga, un sabotaje… reanudar sus
operaciones en un tiempo estimado, y continuar
ofreciendo sus productos y servicios con normalidad.
Introducción
• El Sistema de Gestión de la Continuidad del Negocio
(SGCN) se ha convertido en una exigencia para las
organizaciones que compiten el día de hoy en los
mercados globalizados.
• La tendencia mundial es que ya las organizaciones no
compitan entre sí, la competencia es entre cadenas
de suministros.
Introducción
Una cadena de suministros para mantenerse operando
no puede tener ningún eslabón débil y ninguno de
sus componentes pueden dejar de operar, ya que si
un elemento del todo dejara de funcionar se paraliza
toda la serie generando el caos.
• Cada miembro del sistema tiene que demostrar que
es un proveedor confiable.
• Esto se logra teniendo en cada organización un
SGCN que proteja a los procesos esenciales que
permiten originar los productos/servicios que
desea el cliente.
Introducción
• Lo cierto es que no es necesario que ocurran casos
tan trágicos como los mencionados para poner en
peligro la actividad de una organización.
• ¿Qué ocurriría si se estropea la computadora que
gestiona toda la contabilidad o la red de
comunicaciones deja de funcionar?
• ¿Durante cuánto tiempo es posible mantener la
actividad en caso de un incidente?
• ¿Es posible recuperarse?
• ¿En cuánto tiempo sería posible volver a la actividad
normal?
Introducción
¿Qué Causas pueden generar una interrupción de negocio?
• Desastres Naturales
• Fallas Humanas
• Fallas Técnicas
• …
¿Qué consecuencias genera esta interrupción?
• Pérdida de negocios, ingresos y clientes
• Incumplimientos y costos legales
• Costos relacionados con la interrupción
• Eventual cierre de operaciones
• …
Introducción
Razones para recuperar rápidamente la continuidad del
negocio
• Valor de la empresa
• Demandas del mercado
• Presión de los competidores
• Disposición de los reguladores
• …
¿Cómo afrontar esta situación?
La forma adecuada de gestionar la continuidad del
negocio es:
1. Identificar, analizar, evaluar, y gestionar los riesgos
a los que se enfrenta una organización,
2. Analizar el impacto del negocio (BIA)
3. Definir las estrategias de continuidad del negocio.
Para ello se debe:
1. Gestionar de forma adecuada sus riesgos.
2. Identificar los procesos críticos de la organización.
3. Ayudar a establecer las estrategias de recuperación
Todo esto permite identificar las principales amenazas a la
organización y fortalecer la capacidad de la misma.
¿Cómo afrontar esta situación?
• La ISO 22301 es un marco que le permite identificar las
posibles amenazas a la organización y fortalecer la capacidad
de respuesta y recuperación de la misma.
• Proporciona un marco formal de continuidad de negocio y
nos guiará a desarrollar un plan de continuidad de negocio
que mantendrá la organización funcionando durante y
después de la interrupción.
• Éste también minimizará el impacto de una interrupción así
se podrá reanudar el servicio lo más rápido posible
asegurando que los servicios clave y los productos son
entregados.
• Disponer de una estrategia de recuperación de desastres que
asegure la continuidad del negocio en un aspecto de
vital importancia.
¿Cómo afrontar esta situación?
• La ISO 22301 es de carácter preventivo, aunque en este caso,
no se trata de prevenir un incidente, sino de prevenir las
posibles consecuencias de un incidente y proporcionar a las
organizaciones la capacidad para recuperarse ante desastres
y todo tipo de incidentes que vulneren la seguridad.
• La Gestión de Continuidad del Negocio es un proceso holístico
que identifica las amenazas potenciales que se ciernen sobre
una organización y los impactos a las operaciones del negocio
que la materialización de tales amenazas puedan causar y
proporciona un marco de referencia para construir la
resiliencia organizacional con capacidad para dar respuesta
efectiva, protegiendo los intereses de las partes interesadas,
la reputación, la marca y las actividades creadoras de valor.
¿Cómo afrontar esta situación?
• Cada escenario de amenazas tiene una estrategia de
continuidad que se materializa a través de planes de
reanudación de operaciones que son ensayados
regularmente.
• Una empresa con un SGCN ensayado periódicamente
es muy difícil que deje de operar y no pueda
suministrar sus productos o servicios.
riesgo
Efecto de la incertidumbre sobre los objetivos
• Nota 1 a la entrada: Un efecto es una desviación respecto a
lo previsto. Puede ser positivo, negativo o ambos, y puede
abordar, crear o resultar en oportunidades y amenazas.
• Nota 2 a la entrada: Los objetivos pueden tener diferentes
aspectos y categorías, y se pueden aplicar a diferentes niveles.
• Nota 3 a la entrada: Con frecuencia, el riesgo se expresa en
términos de fuentes de riesgo (3.4), eventos (3.5) potenciales,
sus consecuencias (3.6) y sus probabilidades (3.7).
Riesgo
“Efecto de la incertidumbre”
es el estado, incluso parcial,
de deficiencia de información
relacionada con la comprensión
o conocimiento de un evento,
su consecuencia o su probabilidad
DESVIACION
DE LO ESPERADO
Término común y definición esencial para las normas de sistemas de gestión que se proporcionan en Anexo SL de Directivas
ISO/IEC
¿Cómo afrontar esta situación?
Existe entonces la necesidad de gestionar los riesgos y
operar en continuidad del negocio
ISO 22301 : 2019 no requiere evaluaciones de riesgo
según algún proceso especifico.
ISO 31000:2018 Gestión del riesgo Principios y
directrices puede ser una referencia útil para
organizaciones que desean o necesitan un enfoque
más formal del riesgo (uso no obligatorio) , ayuda a
las organizaciones a desarrollar su propia
estrategia para administrar sus riesgos.
¿Cómo afrontar esta situación?
• La norma ISO 31000:2018 (Gestión del riesgo –
Principios y Guías) proporciona en forma integral a
las organizaciones, principios bajo un marco de
proceso, destinado a gestionar cualquier tipo de
riesgo de forma sistemática, creíble, transparente
Esta norma se complementa con la ISO Guide 73:2018
Gestión del riesgo Vocabulario.
El estándar ISO 31010, proporciona técnicas
sistemáticas de apoyo
Para integrar la gestión del riesgo en
ISO 22301 : 2019, podemos seguir los
criterios de la norma ISO 31000: 2018
ISO 31000: 2018
ISO22301:2019
Objetivo de SGCN/ BCMS
Para la organización, el objetivo de SGCN/ BCMS, es ser capaz
de proporcionar respuestas a las siguientes preguntas:
• Cómo la organización continuará prestando servicios a sus
clientes?
• Cómo la organización continuará la operación?
• Cuanto tiempo una organización se puede mantener o
sobrevivir durante un desastre (sin la operación) ?
• Cómo minimiza las pérdidas y los impactos?
• Cómo se va recuperar y volver a la normalidad?
• Cómo lograr una reanudación rentable después de una
interrupción ?
• Cómo responder durante la crisis de forma eficaz ?
Evolución de la continuidad del
negocio
• Si se implementa correctamente, la gestión de la
continuidad del negocio disminuirá la posibilidad de
ocurrencia de una interrupción y, en caso de
producirse, la organización estará preparada para
responder en forma adecuada y, de esa forma,
reducir drásticamente el daño potencial de ese
incidente.
Evolución de la continuidad del
negocio
De…
• Recuperación por interrupción
• Restauración ante desastres
• De la recuperación a la resiliencia
• Ejercicio para identificar características de la
continuidad
A…
¿Cuáles son los beneficios de implementar
la gestión la continuidad del negocio?
Prepara a las organizaciones para hacer frente a las
interrupciones mas importantes y mejorar su
competitividad.
• ISO 22301 ofrece una visión clara y detallada de cómo opera
una organización, ofreciendo información valiosa que es útil
para la planificación estratégica, la gestión de riesgos, la
gestión de la cadena de suministro, la transformación
empresarial y la gestión de recursos.
• La capacidad de asegurar a los clientes, proveedores,
reguladores y otras partes interesadas que la organización
cuenta con sistemas y procesos sólidos para la continuidad del
negocio.
• Mejor desempeño del negocio y resiliencia organizacional.
• Una mejor comprensión del negocio a través del análisis de
problemas críticos y áreas de vulnerabilidad.
¿Cuáles son los beneficios de implementar
la gestión la continuidad del negocio?
• Reduce las pérdidas económicas potenciales.
• Mejora la protección de activos.
• Mejora el gobierno corporativo.
• Construye confianza en los clientes y partes
interesadas.
• Proyecta una buena imagen corporativa
• Asegura a sus socios la continuidad de su bienes y
servicios.
• Genera ventaja competitiva por su capacidad para
mantener sus despachos o servicios.
• Mantiene su capacidad para gestionar riesgos.
• Fomenta el trabajo en equipo
¿Cuáles son las ventajas para los
grupos de interés?
Los clientes (y otras partes interesadas como
proveedores o personal interno )se benefician
claramente de la implementación de esta norma en
una compañía:
• Los clientes perciben un servicio continuado y fiable,
• Los proveedores trabajan más cómodamente con la
compañía y en mejores condiciones.
• El personal interno trabaja de forma más eficaz y con
una mayor motivación debido a la comprensión de la
importancia de su contribución individual y tener
claro como actuar ante un incidente.
La serie de normas ISO 22300
• La serie de normas ISO 22300 es un conjunto de
estándares desarrollados por la Organización
Internacional de Normalización (ISO) , que
proporcionan un marco de gestión de la continuidad
del negocio alineados con los objetivos de negocio ,y
optimizando las inversiones realizadas en controles o
salvaguardas que protejan los activos.
La serie de normas ISO 22300
• La serie de normas ISO 22300 constan entre otras de:
• ISO 22300:2018 Security and resilience — Vocabulario
• ISO 22313: 2020 Protección y seguridad de los ciudadanos.
Sistema de Gestión de la Continuidad del Negocio. Directrices.
Es una guía de implementación que apoya al estándar ISO
22301.
• ISO 22301:2019 Sistemas de Gestión de la Continuidad del
negocio Norma Certificable.
• ISO 22320:2018 Gestión de emergencias. Requisitos para la
respuesta ante incidentes
etc …
La serie de normas ISO 22300
• ISO 22313 avanza a través de su revisión un paso por
detrás de ISO 22301 y se prevé su publicación a
principios de 2020.
• Los requisitos contenidos en ISO 22301 debían
acordarse antes de revisar la guía presentada en ISO
22313. Este enfoque garantiza que la orientación
disponible para los profesionales se alinee con
precisión con los requisitos establecidos en ISO
22301.
ISO 22301. ¿Cómo surge la norma?
ISO-22301 aparece como resultado de una evolución de
lineamientos, buenas prácticas y estándares de continuidad
de negocio:
• NFPA 1600, es el lineamiento más antiguo, de 1995,
estableció una serie de criterios para la gestión de
emergencias, desastres y programas de continuidad para las
empresas.
• En 1997, el Disaster Recovery Institute International (DRII)
publicó las Prácticas Profesionales para la Gestión del
Negocio.
• En 2002, aparecen las Buenas Prácticas para la Continuidad
del Negocio, publicado por el Business Continuity Institute.
ISO 22301. ¿Cómo surge la norma?
• El lineamiento PAS 56 publicado en 2003, establece el
proceso, principios y terminología de un sistema de
continuidad del negocio. Además, desarrolló una serie de
recomendaciones para la anticipación a incidentes y otras de
tipo técnicas para la evaluación.
• En 2006, es publicado el lineamiento BS 25999-1, el cual
describía el ciclo de vida de la continuidad del negocio.
• El estándar BS 25999-2 se publicó en 2007 y fue el primer
estándar internacional auditable y certificable. Su misión era
definir los requisitos para un enfoque de sistemas de gestión
para la continuidad del negocio basado en buenas prácticas.
ISO 22301. ¿Cómo surge la norma?
• También en 2007 se publicó el ISO/PAS 22399, que generó los
lineamientos genéricos para una empresa interesada en
desarrollar un sistema de gestión con criterios para el
desempeño de preparación ante la continuidad operacional y
posibles incidentes.
• En 2008 fueron publicadas ISO/IEC 24762 y BS 25777. La
primera desarrolló guías para la provisión de información y
comunicación ante la recuperación de desastres y la segunda
responde a un código de buenas prácticas sobre la gestión de
la continuidad.
ISO 22301. ¿Cómo surge la norma?
• Ya en el año 2010 se publicó el ASIS/BSI Business
Continuity Management Standard.
• Se trata de un lineamiento basado en BS 25999, y
especifica los requerimientos para un sistema de
gestión de continuidad del negocio.
• En 2011 aparece el PAS 200 Gestión de Crisis –
Lineamiento y Buena Práctica. Es un lineamiento
creado para asistir a las empresas en la toma de
pasos prácticos para mejorar su habilidad de manejar
la crisis.
ISO 22301. ¿Cómo surge la norma?
• IEC 27031, también aparece en 2011, y describe los conceptos
y principios de tecnología de información y comunicación para
preparar a una organización para la continuidad del negocio.
• El 15 Mayo de 2012 El Comité técnico TC/223 publica la
primera versión de la Norma:
ISO22301:2012 Seguridad de la sociedad: Sistemas de Gestión
de la Continuidad del negocio – Requisitos
• Adoptó el ciclo PHVA / PDCA, para la planificación,
establecimiento, implementación, operación, monitoreo,
revisión, mantenimiento y la mejora continua de su
efectividad.
• La ISO 22301 reemplazo a la 25999-2.
ISO 22301. ¿Cómo surge la norma?
2019
ISO 22301
¿Por qué se revisó la ISO 22301?
• Todas las normas ISO deben revisarse
periódicamente para reflejar la visión colectiva actual
de las buenas prácticas globales. Para garantizar que
esto suceda, ISO establece un ciclo de revisión de 5
años.
• En el caso de ISO 22301, la primera versión en 2012
presentó un enfoque estructurado sólido para
implementar y mantener un sistema de gestión para
la continuidad del negocio. Desde entonces, una
combinación de la experiencia obtenida al usar el
estándar y la forma en que ahora pensamos sobre la
continuidad del negocio impulsó la necesidad de
revisar el documento.
¿Por qué se revisó la ISO 22301?
• ISO 22301 fue revisado por el grupo de trabajo WG2
del Comité Técnico 292 de ISO sobre Seguridad y
resiliencia (ISO / TC 292).
• El proceso incluyó aportes de una amplia gama de
expertos internacionales de más de 40 países.
Además, se emitieron versiones preliminares para
comentario público, asegurando que se capturara
una amplia variedad de puntos de vista para su
consideración.
¿Por qué se revisó la ISO 22301?
• Tras un dilatado proceso de revisión técnica por
parte de los expertos de la organización internacional
de estandarización ISO , el 30 de octubre de 2019 fue
publicada la nueva edición del estándar normativo
de requisitos para Sistemas de Gestión de
Continuidad de Negocios.
ISO 22301:2019 Security and resilience – Business
continuity management systems – Requirements
Cronología y transición
• Habrá un período de transición de tres años.
• Todos los certificados en la versión 2012 perderán su
validez en el 2022.
• La nueva versión no incluye cambios estructurales
importantes, pero si una mejora relevante que
incluye más flexibilidad y menos prescripción.
• Esto facilita la transición para las organizaciones que
ya dispongan de la certificación.
¿Quién puede implementar esta
norma?
• Cualquier organización, grande o pequeña, con o sin
fines de lucro, privada o pública.
• La norma está concebida de tal forma que es
aplicable a cualquier tamaño o tipo de organización.
• De manufactura o servicio, en cualquier sector de la
industria.
Financiero, Mercado de valores , Telecomunicaciones
Manufactura , Entretenimiento, Educación
Hospitalario Retail Consultoría , etc.
10 países con más certificados en
Normas ISO 22301
1. India 1.607
2. Reino Unido 574
3. Japón 226
4. Estados Unidos 165
5. Singapur 157
6. España 120
7. Emiratos Árabes Unidos 98
8. República de Corea 88
9. Polonia 75
10. Turquía 68
informe ISO Survey 2016,
¿Cómo encaja la continuidad del
negocio en la gestión general?
• La gestión de continuidad del negocio es parte
de la gestión general del riesgo en una
organización y tiene áreas superpuestas con la
gestión de seguridad y gestión de tecnología
de la información.
¿Cómo encaja la continuidad del
negocio en la gestión general?
Gestión
General de la
organización
Relación de la norma ISO 22301 con la
ISO 27001 y la ISO /IEC 20000
• La norma ISO 27001 SG de seguridad de la
información, se encuentra muy ligada y tiene puntos
en común con otras dos normas ISO: la ISO 22301 SG
de continuidad del negocio y la ISO/IEC 20000-1, SG
de servicios (Tecnología de la Información).
• La ISO 22301 trabaja el tema de la seguridad en la
organización desde una perspectiva mucho más
general y global, tratando de asegurar la continuidad
del negocio, lo cual influye en aspectos tan diversos
como: los activos financieros, la contabilidad, los
aspectos legales y todos los factores ligados con la
producción y la operativa.
Relación de la norma ISO 22301 con la
ISO 27001 y la ISO /IEC 20000
• El estándar 22301 se centra en diversos aspectos de
la organización que van a permitir su sustentabilidad,
utilizando para ello ciertos elementos y controles que
van a evitar las consecuencias de las distintas
amenazas, así como también encontrar las causas
que motivan el problema. Un aspecto muy
importante de la norma ISO 22301, que no tiene en
cuenta la ISO 27001, son los tiempos de
recuperación, una cuestión crucial para poder
evaluar si nuestro plan de contingencia es el
adecuado para poder reanudar la actividad niveles
aceptables para la organización, una vez ha ocurrido
el incidente.
Relación de la norma ISO 22301 con la
ISO 27001 y la ISO /IEC 20000
• Otra noma relacionada es el estándar ISO/IEC 20000-
1, de Sistema de gestión de la calidad de los servicios
TI (Tecnologías de la Información):
• hosting, páginas web, e-learning, desarrollo de
software. Todo ello va ligado a la continuidad del
negocio y de los servicios de información y, en
conjunto, sirve para garantizar un servicio seguro, sin
interrupciones importantes y de calidad.
Sistema de gestión
Análisis de Riesgos
Análisis del Impacto
en el negocio BIA
ISO 22301 SG de continuidad del
negocio
Sistema de gestión
Análisis de Riesgos
Análisis del Impacto
en el negocio BIA
Planes de
contingencia
Continuidad de negocio
gestionada
Sistema de gestión
Análisis de Riesgos
Plan de tratamiento de
Riesgo
ISO 27001 S G de seguridad de la
información
Seguridad de la información
gestionada
Sistema de gestión
Procesos
Servicios
ISO/IEC 20000-1, SG de servicios TI
Servicios
Servicios
Servicios gestionados
ISO 22301 SG de continuidad del
negocio
• Una de las bases sobre la que se sustenta el SGCN es
el análisis de impactos en el negocio BIA y la
evaluación de riesgos y por lo tanto es fundamental
que éste se haya realizado con el mayor rigor posible
y que se mantenga actualizado de forma sistemática.
• Algunas de las metodologías de análisis y gestión de
riesgos más utilizadas, compatibles con un SGNC ISO
22301, son: CRAMM, EBIOS, MAGERIT, Métodos ISF
ISO 31000 : 2018
ISO 22301 SG de continuidad del
negocio
• Para analizar el impacto y gestionar los riesgos es
muy útil su clasificación en dos grandes grupos:
riesgos externos y riesgos internos.
• En el primer grupo se incluyen los riesgos de
entorno de negocio, medioambientales, de
regulación o normativa, y de pérdida imagen o
reputación.
• En el segundo grupo, los riesgos se pueden clasificar
a su vez en riesgos de tipo financieros, de
operaciones, de recursos humanos, de tecnologías
de información y comunicaciones, de gobierno
y dirección, etc.
ISO 22301 SG de continuidad del
negocio
• El proceso de análisis de impactos y evaluación de
riesgos supone identificar todos los riesgos
potenciales y realizar una evaluación del impacto que
pueden tener en la consecución de los objetivos, así
como de la probabilidad de ocurrencia.
• El resultado de este proceso, para el cual se deben
utilizar metodologías contrastadas, es el mapa de
riesgos de la organización, que se puede presentar
en forma de tablas o de gráficos, y en el que se
puede visualizar el inventario de riesgos junto con el
nivel de probabilidad y el nivel de impacto de cada
uno de ellos.
Requisitos Clave
• Liderazgo imprescindible de la alta dirección;
• La consideración del contexto como factor estratégico;
• Promover un enfoque a procesos; evaluación, gestión y
tratamiento del riesgo, como elemento clave;
• Acciones para riesgos y oportunidades, como elemento clave;
• Asegurar el cumplimiento de todos los requisitos legales y
reglamentarios, que son aplicables a la organización,
relacionados con la continuidad de sus operaciones,
productos y servicios; y establecer una periodicidad adecuada
para garantizar la actualización de los mismos;
Requisitos Clave
• Planificar la toma de acciones para abordar el cumplimiento
de los requisitos legales y otros requisitos, los riesgos y
oportunidades, considerando las mejores técnicas disponibles
• La importancia de la gestión de la continuidad del negocio
debe comunicarse dentro de la organización, la toma de
conciencia y compromiso de todas las personas es
imprescindible para que el sistema funcione;
• Proporcionar la formación necesaria para garantizar la
competencia de las personas que realizan tareas relacionadas
con la continuidad del negocio.
• Análisis del impacto en el negocio BIA, identificación de
procesos críticos; estrategias de recuperación, planes de
recuperación y realización de pruebas;
• Canales de comunicación.
Anexo SL
• ¿Qué es el Anexo SL?
• El Anexo SL es un documento publicado a finales del
2012, que está teniendo gran impacto en
organizaciones, consultores, organismos de
acreditación, auditores y redactores de normas de
Sistemas de Gestión.
Es la Estructura de Alto Nivel (HSL) publicada por ISO
en el Anexo SL la que facilita la integración entre
Normas Sistemas de Gestión de ISO.
Anexo SL
• el Anexo SL aporta coherencia y compatibilidad
entre los sistemas de gestión, y simplifica en gran
medida posibles duplicidades y confusión en el
proceso de implantación de sistemas de gestión en
base a varias normas en una misma organización.
• El Anexo SL hace que las normas tengan:
1. Una estructura común (estructura de alto nivel
HSL)
2. Parte de su texto idéntico.
3. Definiciones comunes
Anexo SL
• Todas las normas sobre sistema de gestión que se
publiquen o revisen a partir de la publicación del
Anexo SL deben de hacerlo bajo esta guía, para lograr
una estructura uniforme, un marco de sistemas de
gestión genérico, que sea más fácil de manejar y
otorgue un beneficio de negocio a aquellas empresas
que cuentan con varios sistemas de gestión
integrados. Tiene un enfoque sistémico
• Tiene el propósito de alinear las diversas normas de
sistemas de gestión…
…con capítulos idénticos, títulos y texto básico
Ventajas de Anexo SL
• Títulos y cláusulas idénticas en la estructura de
alto nivel
• Vocabulario central genérico
• Facilita integración con otros sistemas de
gestión
Cláusula principal Común
X.1 Subcláusula.
Texto idéntico común y/o texto específico de la
disciplina.
X.1.1 Sub-sub-cláusula
Texto idéntico común y/o texto específico de la
disciplina
El Anexo SL Apéndice 2, enumera 22 términos y
definiciones.
Dichos términos y definiciones constituyen una parte
integral del "texto común" para las normas de Sistemas
de Gestión.
Por ejemplo:
ISO / 9001: 2014 enumera 69 términos y definiciones.
ISO / 14001: 2014 enumera 33 términos y definiciones.
(incluyendo los 22 indicados en el anexo SL)
Anexo SL: Estructura de Alto Nivel
(HSL)
• Al basarse en la Estructura de Alto Nivel (HLS), ISO
22301:2019 Sistemas de Gestión de la Continuidad
del negocio comparte los textos centrales y los
términos y definiciones con otras normas de
sistemas de gestión ISO revisadas recientemente,
como ISO 9001:2015 e 14001:2015 27001:2013
22000:2018 55001:2014 45001:2018 50001:2018
etc. . Este marco de referencia está diseñado para
facilitar la integración de nuevos temas de gestión en
los sistemas establecidos en una organización.
Anexo SL: Estructura de Alto Nivel
(HSL)
0.Introducción
• Estas Normas Internacionales de Sistemas de Gestión
emplean el enfoque a procesos, que incorpora el
ciclo Planificar-Hacer-Verificar-Actuar (PHVA) y el
pensamiento basado en riesgos.
Anexo SL: Estructura de Alto Nivel
(HSL)
• El desarrollo de las normas ISO de Sistema de
Gestión sigue por lo tanto la Estructura de Alto Nivel
(HSL) y cuentan con una estructura de 10 capítulos.
• Los tres primeros 1 a 3 son introductorios, mientras
que los capítulos 4 a 10 incluyen los requisitos que
se especifican para establecer, implementar,
mantener y mejorar el Sistema de Gestión.
Anexo SL: Estructura de Alto Nivel
(HSL)
Anexo SL: Estructura de Alto Nivel
(HSL)
• Cláusula 1 – Alcance
El alcance es específico para cada disciplina, probablemente con
algún texto idéntico.
Definirá los resultados esperados de la norma del sistema de
gestión.
• Cláusula 2 - Referencias normativas
Cada disciplina contendrá la normativa específica aplicable.
• Cláusula 3 - Términos y definiciones
Incluye los términos básicos y las definiciones más las propias de
cada disciplina. Estos conceptos constituyen una parte
integral del texto común para las normas de sistemas de
gestión.
Anexo SL: Estructura de Alto Nivel
(HSL)
• 3.01 organización:
• Persona o grupo de personas que tienen sus propias
funciones con responsabilidades, autoridades y
relaciones para el logro de sus objetivos (3.08).
• Nota 1 al texto: El concepto de organización incluye, entre
otros, un trabajador independiente, compañía, corporación,
firma, empresa, autoridad, sociedad, organización de caridad
o institución, o una parte o combinación de éstas, ya estén
constituidas o no , públicas o privadas.
Anexo SL: Estructura de Alto Nivel
(HSL)
• 3.02 parte interesada:
• Persona u organización (3.01) que puede afectar,
verse afectada, o percibirse como afectada por una
decisión o actividad.
• NOTA a la versión en español: Los términos en inglés
“interested party” y “stakeholder” tienen una traducción
única al español como “parte interesada”.
Anexo SL: Estructura de Alto Nivel
(HSL)
• 3.03 requisito:
• Necesidad o expectativa que está establecida,
generalmente implícita u obligatoria.
• Nota 1 al texto: “Generalmente implícita" significa que es una
costumbre o práctica común en la organización y en las partes
interesadas, que la necesidad o expectativa que se considera
está implícita.
• Nota 2 al texto: Un requisito especificado es el que está
declarado, por ejemplo, en información documentada.
Anexo SL: Estructura de Alto Nivel
(HSL)
• 3.04 sistema de gestión:
• Conjunto de elementos de una organización (3.01)
interrelacionados o que interactúan para establecer
políticas (3.07), objetivos (3.08) y procesos (3.12)
para lograr estos objetivos.
• Nota 1 al texto: Un sistema de gestión puede tratar una sola disciplina o
varias disciplinas.
• Nota 2 al texto: Los elementos del sistema incluyen la estructura de la
organización, los roles y las responsabilidades, la planificación, la
operación, etc.
• Nota 3 al texto: El alcance de un sistema de gestión puede incluir la
totalidad de la organización, funciones específicas e identificadas de la
organización, secciones específicas e identificadas de la organización, o
una o más funciones dentro de un grupo de organizaciones.
Anexo SL: Estructura de Alto Nivel
(HSL)
• 3.05 alta dirección:
• Persona o grupo de personas que dirigen y controlan
una organización (3.01) al más alto nivel.
• Nota 1 al texto: La alta dirección tiene el poder para delegar
autoridad y proporcionar recursos dentro de la organización.
• Nota 2 al texto: Si el alcance del sistema de gestión (3.04)
comprende sólo una parte de una organización, entonces
“alta dirección” se refiere a quienes dirigen y controlan esa
parte de la organización.
Anexo SL: Estructura de Alto Nivel
(HSL)
• 3.06 eficacia:
• Grado en el cual se realizan las actividades
planificadas y se logran los resultados planificados.
• 3.07 política:
• Intenciones y dirección de una organización (3.01),
como las expresa formalmente su alta dirección
(3.05).
Anexo SL: Estructura de Alto Nivel
(HSL)
• 3.08 objetivo:
• Resultado a lograr.
• Nota 1 al texto: Un objetivo puede ser estratégico, táctico u operativo.
• Nota 2 al texto: Los objetivos pueden referirse a diferentes disciplinas
(como financieras, de seguridad y salud y ambientales) y se pueden aplicar
en diferentes niveles (como estratégicos, para toda la organización, para
proyectos, productos y procesos (3.12)).
• Nota 3 al texto: Un objetivo se puede expresar de otras maneras, por
ejemplo, como un resultado previsto, un propósito, un criterio operativo,
un objetivo XXX, o mediante el uso de términos con un significado similar
(por ejemplo, finalidad o meta).
• Nota 4 al texto: En el contexto de sistemas de gestión XXX, la organización
establece los objetivos XXX, en concordancia con la política XXX, para
lograr resultados específicos.
Anexo SL: Estructura de Alto Nivel
(HSL)
• 3.09 riesgo:
• Efecto de la incertidumbre.
• Nota 1 al texto: Un efecto es una desviación de lo esperado, ya sea
positivo o negativo.
• Nota 2 al texto: Incertidumbre es el estado, incluso parcial, de deficiencia
de información relacionada con la comprensión o conocimiento de un
evento, su consecuencia o su probabilidad.
• Nota 3 al texto: Con frecuencia el riesgo se caracteriza por referencia a
eventos potenciales (Guía ISO 73, 3.5.1.3) y a consecuencias potenciales
(Guía ISO 73, 3.6.1.3), o a una combinación de éstos.
• Nota 4 al texto: Con frecuencia el riesgo se expresa en términos de una
combinación de las consecuencias de un evento (incluyendo cambios en
las circunstancias) y la probabilidad (Guía ISO 73, 3.6.1.1) de que ocurra.
Anexo SL: Estructura de Alto Nivel
(HSL)
• 3.10 competencia:
• Capacidad para aplicar conocimientos y habilidades con el fin
de lograr los resultados previstos.
• 3.11 información documentada:
• Información que una organización (3.01) tiene que controlar y
mantener, y el medio en el que está contenida.
• Nota 1 al texto: La información documentada puede estar en cualquier formato y
medio, y puede provenir de cualquier fuente.
• Nota 2 al texto: La información documentada puede hacer referencia a:
– el sistema de gestión (3.04), incluidos los procesos relacionados (3.12);
– la información creada para que la organización opere (documentación),
– la evidencia de los resultados alcanzados (registros).
Anexo SL: Estructura de Alto Nivel
(HSL)
• 3.12 proceso:
• Conjunto de actividades interrelacionadas o que
interactúan, que transforma elementos de entrada
en elementos de salida.
• 3.13 desempeño:
• Resultado medible.
• Nota 1 al texto: El desempeño se puede relacionar con
hallazgos cuantitativos o cualitativos.
• Nota 2 al texto: El desempeño se puede relacionar con la
gestión de actividades, procesos (3.1.2), productos (incluidos
servicios), sistemas u organizaciones (3.01).
Anexo SL: Estructura de Alto Nivel
(HSL)
• 3.14 contratar externamente (verbo):
• Establecer un acuerdo mediante el cual una
organización (3.01) externa realiza parte de una
función o proceso (3.12) de una organización.
• Nota 1 al texto: Una organización externa está fuera del
alcance del sistema de gestión (3.04), aunque la función o
proceso contratado externamente forme parte del alcance.
Anexo SL: Estructura de Alto Nivel
(HSL)
• 3.15 seguimiento:
• Determinación del estado de un sistema, un proceso
(3.12) o una actividad.
• Nota 1 al texto: Para determinar el estado puede ser necesario verificar,
supervisar u observar en forma crítica.
• 3.16 medición:
• Proceso (3.12) para determinar un valor.
Anexo SL: Estructura de Alto Nivel
(HSL)
• 3.17 auditoría:
• Proceso (3.12) sistemático, independiente y documentado
para obtener las evidencias de auditoría y evaluarlas de
manera objetiva con el fin de determinar el grado en el que se
cumplen los criterios de auditoría.
• Nota 1 al texto: Una auditoría puede ser interna (de primera parte), o
externa (de segunda o tercera parte), y puede ser combinada
(combinando dos o más disciplinas).
• Nota 2 al texto: “Evidencia de auditoría” y “criterios de auditoría” se
definen en la Norma ISO 19011.
Anexo SL: Estructura de Alto Nivel
(HSL)
• 3.18 conformidad:
• Cumplimiento de un requisito (3.03).
• 3.19 no conformidad:
• Incumplimiento de un requisito (3.03).
• 3.20 corrección:
• Acción para eliminar una no conformidad (3.19) detectada.
• 3.21 acción correctiva:
• Acción para eliminar la causa de una no conformidad (3.19) y
prevenir que vuelva a ocurrir.
• 3.22 mejora continua:
• Actividad recurrente para mejorar el desempeño (3.13).
Anexo SL: Estructura de Alto Nivel
(HSL)
• Cláusula 4 - Contexto de la organización
La organización determinará las cuestiones que desea
resolver, planteará cuáles son los impactos que
genera y obtendrá los resultados esperados. Para ello
este capítulo habla sobre la necesidad de
comprender la organización y su contexto,
comprender las necesidades y expectativas de las
partes interesadas y determinar el ámbito de
aplicación del sistema de gestión.
Anexo SL: Estructura de Alto Nivel
(HSL)
• Cláusula 4 - Contexto de la organización
• 4.1. Comprendiendo la organización y su contexto
• 4.2 Comprendiendo las necesidades y expectativas
de las partes interesadas
• 4.3 Determinando el alcance del sistema de gestión
• 4.4 Sistema de Gestión
Anexo SL: Estructura de Alto Nivel
(HSL)
• Cláusula 5 – Liderazgo
Aparece como una reiteración de las políticas,
funciones, responsabilidades y autoridades de la
organización, y sobre todo enfatiza el rol del
liderazgo. Esta cláusula aporta relevancia a la
función y responsabilidad de la alta dirección, la
cual a partir de su publicación deberá tener mayor
nivel de participación en el sistema de gestión. Entre
sus responsabilidades figura la de comunicar a todos
los miembros de la organización la importancia del
sistema de gestión y fomentar su
participación.
Anexo SL: Estructura de Alto Nivel
(HSL)
• Cláusula 5 – Liderazgo
• 5.1 Liderazgo y compromiso
• 5.2 Política
• 5.3 Roles, responsabilidades y autoridades de
la Organización
Anexo SL: Estructura de Alto Nivel
(HSL)
• Cláusula 6 – Planificación
Este punto incluye el carácter preventivo de los
sistemas de gestión como un todo, trata los riesgos y
oportunidades que enfrenta la organización.
La planificación abordará qué, quién, cómo y cuándo,
se deberán realizar las acciones que conduzcan al
logro de los objetivos de la organización.
Proporciona más facilidad de comprensión a la acción
preventiva y correctiva.
Anexo SL: Estructura de Alto Nivel
(HSL)
• Cláusula 6 – Planificación
• 6.1 Acciones para manejar riesgos y
oportunidades
• 6.2 Objetivos y planes para lograrlos
Anexo SL: Estructura de Alto Nivel
(HSL)
• Cláusula 7 – Soporte
Habla de aspectos como recursos, competencia,
conciencia, comunicación o información
documentada, que constituyen el soporte necesario
para cumplir las metas y objetivos de la organización.
Anexo SL: Estructura de Alto Nivel
(HSL)
• Cláusula 7 – Soporte
• 7.1 Recursos
• 7.2 Competencia
• 7.3 Concientización
• 7.4 Comunicación
• 7.5 Información documentada
Información documentada
• Diseñada por la propia organización
• Clara, simple y precisa
• Codificación simple y entendible
• Actualizada
• Adecuada para la capacitación
• La información documentada puede estar en
cualquier formato o tipo de medio. (Fotografía
Papel ,Soporte Informático)
• Título y Alcance
• Tabla de Contenido
• Revisión y Aprobación
• Política y Objetivos
• Organización, responsabilidad y autoridad
• Referencias y Descripción
Información documentada
Información documentada
• Se emplea el término información documentada en sustitución de
los términos documentos y registros.
No existe más referencia a los procedimientos documentados,
manual de calidad, etc.
• Se pretende un sistema de gestión documentado y no un sistema
de documentos
Información documentada. Información que una organización tiene que
controlar y mantener, y el medio en que está contenida
Documentos Registros
Información
Documentada+ =
Información documentada
Anexo SL: Estructura de Alto Nivel
(HSL)
• Cláusula 8 – Operación
Es la cláusula en la que la organización planifica y
controla sus procesos interno y externos, los
cambios que se produzcan y las consecuencias no
deseadas de los mismos.
Es la cláusula más corta pero la que mas varia según el
Sistema de Gestión de Normas ISO de la cual se trate.
Anexo SL: Estructura de Alto Nivel
(HSL)
• Cláusula 8 – Operación
• 8.1 Planificación y control operativo
Anexo SL: Estructura de Alto Nivel
(HSL)
• Cláusula 9 - Evaluación del desempeño
Habla de seguimiento, medición, análisis y evaluación
de la eficacia del sistema de gestión mediante la
evaluación del desempeño, las auditorías internas,
el análisis, la evaluación y la revisión por parte de la
dirección.
Requiere especificar cómo y cuándo realizar
seguimiento y medición, así como realizar el análisis
y evaluación de los resultados.
Anexo SL: Estructura de Alto Nivel
(HSL)
• Cláusula 9 - Evaluación del desempeño
• 9.1 seguimiento, medición, análisis y
evaluación
• 9.2 Auditoría Interna
• 9.3 Revisión del Sistema
Anexo SL: Estructura de Alto Nivel
(HSL)
• Cláusula 10 – Mejora
Enfatiza la importancia de realizar acciones de mejora a
los procesos, productos, servicios y al sistema de
gestión.
Es necesario identificar y evaluar las no
conformidades, así como, la implementación y
evaluación de la eficacia de las acciones correctivas.
Anexo SL: Estructura de Alto Nivel
(HSL)
• Cláusula 10 – Mejora
• 10.1 No conformidad y acciones correctivas de
mejora
• 10.2 Mejora continua
Principales cambios de ISO
22301:2019
Hay 3 áreas principales de cambio:
• Terminología: términos clave de Continuidad del Negocio
modernizados para reflejar cómo los expertos de todo el
mundo ahora usan esos términos en la práctica.
• Estructura: las secciones se han reubicado, fusionado o
eliminado (debido a la repetición) para separar más
claramente los pasos necesarios para brindar la capacidad de
Continuidad del Negocio de los pasos necesarios para
implementar y mantener el sistema de gestión.
• Simplificación: la revisión ha dado como resultado un
documento que es más fácil de leer y adoptar. Para las
organizaciones que buscan la certificación, la nueva versión
requiere el cumplimiento de menos declaraciones "debe".
Principales cambios de ISO
22301:2019
• Según ha señalado ISO, así como el propio comité
técnico que ha llevado a cabo la revisión, el principal
cambio que habría que destacar, es que la propia
norma señala que no se están incluyendo requisitos
nuevos, sino que estos han sido clarificados.
• Esto permitirá que puedan ser mejor entendidos y
aplicados por las organizaciones.
• A modo de resumen, entre los principales cambios
de la norma se podrían señalar los siguientes:
Principales cambios de ISO
22301:2019
• Se han aplicado los requisitos de ISO para los
estándares del sistema de gestión, que han
evolucionado desde 2012.
• Como se indicaba anteriormente, los requisitos se
han clarificado, sin agregar nuevos requisitos;
• Nombre de la norma.
Ha pasado de «Societal security Business continuity
management systems Requirements» a «Security
and resilience Business continuity management
systems - Requirements».
Principales cambios de ISO
22301:2019
• El diagrama del modelo PDCA se eliminó, ya que los
diagramas son difíciles de estandarizar y
generalmente conducen a discusiones e
interpretaciones interminables.
• Las cláusulas 4 a 10 cubren los componentes de
PDCA, como antes.
• Los términos y definiciones se actualizaron para
incluir la plataforma de navegación en línea ISO y la
IEC Electropedia; ambas son plataformas de
información basadas en la web.
Principales cambios de ISO
22301:2019
• En la cláusula 3 "Términos y definiciones", se
modificaron, redefinieron, eliminaron y agregaron
varios términos de la disciplina de continuidad del
negocio para mejorar la claridad y reflejar el
pensamiento actual.
• Los principales cambios incluyen: La eliminación de
los términos BCM, BCP, invocación, MAO.
"Términos y definiciones" introducidos
• consecuencia
• interrupción
• emergencia
• impacto
• información
• probabilidad
• gestión
• medida
• planificación
• protección
• recuperación
introducida en lugar de
"RPO, RTO"
• resistencia
• revisión
• cadena de suministro
• entrenamiento
"Términos y definiciones"
Eliminados:
• BCM
• BCP documento
• infraestructura
• invocación
• MAO, MTPD, MBCO
• Apetito por el riesgo
• BCMS redefinido
• actividades priorizadas
cambiadas a "actividad
priorizada"
• producto o servicio
ligeramente modificado
• Ensayos reemplazado
por el término “ensayo"
Principales cambios de ISO
22301:2019
• Redefinición del termino BCMS.
• En la versión de 2012, “apetito por el riesgo” se
definió como la “cantidad y tipo de riesgo que una
organización está dispuesta a perseguir o retener”. La
versión 2019 elimina el término.
• El “apetito por el riesgo” es un tema subjetivo, lo que
importa no es el riesgo que una organización está
dispuesta a asumir, sino el nivel en el que el impacto
de no reanudar las actividades sería inaceptable para
una organización.
Principales cambios de ISO
22301:2019
• La cláusula 4 “Contexto de la organización”
recibió solo modificaciones menores.
• El equipo del proyecto intentó crear
subcláusulas introductorias al comienzo de
cada cláusula.
• Como tal, por ejemplo, la subcláusula 4.1 es
una introducción a la cláusula 4 y la
subcláusula 4.2.1 (general) es una
introducción a la subcláusula 4.2.
Principales cambios de ISO
22301:2019
• Se reducen requisitos para BCM. La nueva
versión 2019 establece la necesidad de definir
y determinar simplemente problemas
externos e internos de la empresa y su
contexto, pero sin especificar lo que esto
conlleva. No dice que elementos tener en
cuenta, ni incluye requisitos a documentar
para este proceso.
Principales cambios de ISO
22301:2019
• La cláusula 5 sobre “Liderazgo” fue simplificada.
• Fue recortada la participación de la alta dirección
(5.2).
• Aunque en la versión anterior se requería una
participación activa en el ejercicio y la prueba y todas
las etapas, la nueva versión es más pragmática y se
enfoca en lo que es realmente necesario para
mantener el sistema de gestión.
Principales cambios de ISO
22301:2019
• Se mejoró la cláusula 6 sobre planificación,
centrándose en los objetivos de continuidad del
negocio y la planificación para alcanzarlos (6.2).
• Se introdujo una nueva subcláusula sobre la
planificación de cambios en el BCMS (6.3).
• La cláusula 7 sobre Soporte fue simplificada.
Principales cambios de ISO
22301:2019
• Los requisitos específicos de la disciplina de
continuidad del negocio ahora están incluidos casi
por completo dentro de la Cláusula 8;
• La cláusula 8 se ha reestructurado para proporcionar
una comprensión más clara de los requisitos clave;
• La estructura de las subcláusulas no se modificó
mucho, se mejoraron con nuevas adiciones en el
contenido.
Principales cambios de ISO
22301:2019
• La Sección 8.2.2 sobre Análisis de impacto en el
negocio (BIA) ahora estipula que el BIA debe definir
los tipos de impacto y los criterios relevantes como
punto de partida. Si bien muchas organizaciones ya
definen tipos de impacto en su BIA, la versión 2019
lo hace obligatorio. Por ejemplo, se agregó una
referencia a ISO 22318 (continuidad de la cadena de
suministro). Se agregaron notas que hacen referencia
a los términos MTPD y RTO (ambos eliminados de la
cláusula sobre términos y definiciones).
Principales cambios de ISO
22301:2019
• En la Sección 8.3 se ha cambiado el nombre
“Estrategia de Continuidad de Negocios” a
“Estrategias y Soluciones de Continuidad de
Negocios”.
• Demuestra pragmatismo destacando la necesidad de
identificar y seleccionar estrategias y soluciones
para posibles impactos o riesgos específicos (en
8.3.2), en lugar de concentrarse en desarrollar una
gran estrategia para garantizar la continuidad.
Principales cambios de ISO
22301:2019
• La cláusula 8.4 (anteriormente denominada
"Establecer e implementar procedimientos de
continuidad de negocios") ha sido renombrada a
"Planes y procedimientos de continuidad de
negocios", enfocandose en la "Estructura de
respuesta" (8.4.2), "Advertencia y comunicación"
(8.4.3), "Planes de continuidad de negocio” (8.4.4) y
“Recuperación” (8.4.5).
• Una sub-cláusula sobre "Programa de ejercicios"
(8.5) reemplaza la sub-cláusula anteriormente
llamada "Ejercicio y prueba".
Principales cambios de ISO
22301:2019
• La cláusula 9 sobre "Evaluación del desempeño" y la
cláusula 10 "Mejora" se simplificaron, teniendo
también en cuenta los nuevos requisitos de ISO para
alinearse con todas las normas de sistema de gestión
de ISO.
Contenido de ISO 22301
Introducción
General
El modelo Planificación-Implementación-Verificación-
Mejora (PDCA)
1 Alcance
2 Referencias normativas
3 Términos y definiciones
4 Contexto de la organización
• 4.1 Comprensión de la organización y su contexto.
• 4.2 Comprender las necesidades y expectativas de las partes
interesadas.
Contenido de ISO 22301
• 4.3 Determinar el alcance del sistema de gestión de
continuidad del negocio.
• 4.4 Sistema de gestión de la continuidad del negocio.
5 Liderazgo
• 5.1 Liderazgo y compromiso.
• 5.2 Política.
• 5.3 Roles, responsabilidades y autoridades.
6 Planificación
• 6.1 Acciones para abordar riesgos y oportunidades.
• 6.2 Objetivos de continuidad del negocio y planes para
alcanzarlos.
• 6.3 Planificación de cambios en el sistema de gestión de
continuidad del negocio.
Contenido de ISO 22301
7 Apoyo
• 7.1 Recursos.
• 7.2 Competencia.
• 7.3 Conciencia.
• 7.4 Comunicación.
• 7.5 Información documentada.
Contenido de ISO 22301
Reestructuración de la cláusula 8 en ISO 22301:2019
Esta ha sido la cláusula que más cambios ha
experimentado en la nueva ISO 22301:2019,
quedando con la siguiente estructura:
8.1 Planificación y control operacional
8.2 Análisis de impacto empresarial y evaluación de
riesgos
– 8.2.1 General
– 8.2.2 Análisis de impacto empresarial
– 8.2.3 Evaluación de riesgos
Contenido de ISO 22301
8.3 Estrategias y soluciones de continuidad empresarial
– 8.3.1 General
– 8.3.2 Identificación de estrategias y soluciones.
– 8.3.3 Selección de estrategias y soluciones.
– 8.3.4 Requisitos de recursos
– 8.3.5 Implementación de soluciones
Contenido de ISO 22301
8.4 Planes y procedimientos de continuidad del negocio
– 8.4.1 General
– 8.4.2 Estructura de respuesta
– 8.4.3 Advertencia y comunicación
– 8.4.4 Planes de continuidad del negocio
– 8.4.5 Recuperación
8.5 Programa de ejercicios
8.6 Evaluación de la documentación y las capacidades
de continuidad del negocio.
Contenido de ISO 22301
9 Evaluación de desempeño
• 9.1 Supervisión, medición, análisis y evaluación
• 9.2 Auditoría interna
• 9.3 Revisión por parte de la dirección
10 Mejora
• 10.1 No conformidades y acciones correctivas
• 10.2 Mejora continua
Bibliografía
Planificación
de cambios
en el SGCN.
Informacion
documentada
Estrategias
y soluciones
de continuidad
en el negocio.
Planes y
procedimientos
de continuidad
en el negocio
Programa
de
ejercicios.
Evaluación de la
documentación
y las capacidades
de continuidad
del negocio.
ISO 22301:2019
5.Liderazgo
Contenido de ISO 22301
• 1. Alcance
• Especifica los requisitos para planificar,
establecer, implementar, operar, supervisar,
revisar mantener y mejorar continuamente un
sistema de gestión documentado para
protegerse.
Contenido de ISO 22301
1. Alcance
Este documento es aplicable a todos los tipos y tamaños de
organizaciones que busca:
a) implementar mantener y mejorar un BCMS;
b) tratar de garantizar la conformidad con la política de
continuidad comercial establecida;
c) necesita la capacidad de continuar la entrega de productos y
servicios a una capacidad predefinida aceptable durante una
interrupción;
d) buscar mejorar su resiliencia a través de la aplicación efectiva
del BCMS.
Este documento puede usarse para evaluar la capacidad de una
organización para satisfacer sus propias necesidades y
obligaciones de continuidad comercial.
Contenido de ISO 22301
• 2. Referencias normativas
ISO 22300 Seguridad y resiliencia -Vocabulario
• 3. Términos y Definiciones.
Tiene 31 Términos y Definiciones
Términos básicos
3.1 actividad
Un conjunto de una o más tareas con una salida
definida
3.3 continuidad del negocio
capacidad de una organización para continuar la
entrega de productos y servicios dentro de
plazos aceptables a una capacidad predefinida
relacionada con una interrupción
Términos básicos
3.4 plan continuidad del negocio
información documentada (3.13) que guía a una organización
(3.31) para responder a una interrupción (3.12) y reanudar,
recuperar y restaurar la entrega de productos y servicios
consistentes con sus objetivos de continuidad del negocio
3.5 Análisis de Impacto del Negocio BIA
proceso (3.40) de analizar el impacto (3.18) de una interrupción
(3.12) en la organización (3.31)
Nota 1 a la entrada: El resultado es una declaración y
justificación de los requisitos de continuidad del negocio (3.3)
Términos básicos
interrupción (3.12)
incidente , ya sea anticipado o no, que causa una
desviación negativa no planificada de la entrega
esperada de productos y servicios de acuerdo con
los objetivos de una organización
3.13 impacto
resultado de una interrupción que afecta los objetivos
3.14 incidente
evento que puede ser o podría provocar una
interrupción , pérdida, emergencia o crisis
Términos básicos
3.20 objeto
entidad única y distinta que se puede identificar
3.25 actividad priorizada
actividad a la que se da urgencia para evitar impactos
inaceptables en el negocio durante una interrupción
3.27producto o servicio
Producto o resultado proporcionado por una organización a las
partes interesadas
Ejemplo Artículos manufacturados, seguros de automóviles,
enfermería comunitaria.
Resiliencia
Definiciones:
Capacidad de absorber y adaptarse en un entorno cambiante
Capacidad de una organización para resistir los efectos de un
incidente
Latín - resilire, recuperarse, retroceder o volver a la original
Inglés (siglo 17)– resilience, calidad de las maderas para
soportar cargas severas sin romperse
Física – objetos que resisten los efectos de fuerzas externas
Química - capacidad de un metal para regresar a su estado
original
Ingeniería - medida de la capacidad de un material para resistir
el impacto, así como para absorber y liberar energía a través
de la elasticidad
Como actúa la Resiliencia en las organizaciones y en la
sociedad.
“En los últimos doce meses, 81% de directores que han
implementado Gestión de Continuidad del Negocio
están de acuerdo en que se han reducido
exitosamente sus interrupciones y el costo ha valido
la pena por los beneficios a la organización”.
Fuente: “Planning for the worst” – CMI Business Continuity Management
Survey, March 2012
El modelo Planificación Implementación-
Verificación-Mejora (PDCA)
• A continuación se muestran los pasos clave
para implantar de manera exitosa un SGCN,
siguiendo el conocido ciclo de mejora
continua (PDCA) aplicable en esta Norma
internacional ISO 22301
Establecer el BCMS
Definir el contexto del BCMS que se aplica a la organización.
Definir las necesidades, requisitos y alcance del BCMS
El papel específico de la alta dirección en el BCMS
Definición de los objetivos y los principios que rigen el BCMS
Definir el Análisis del Impacto del Negocio (BIA)
Determinación de competencias
Establecimiento de las comunicaciones
Documentación del BCMS
Implementar y Operar el BCMS
Definido los requisitos de BCMS, la forma de abordarlos por la
organización.
Desarrollo los procedimientos para administrar un incidente
perjudicial
Medir el rendimiento del BCMS
El cumplimiento con la norma del BCMS
Retroalimentación del sistema respecto a sus expectativas
Se identifica y actúa sobre las no conformidades del BCMS
a través de una acción correctiva
PLAN
DO
CHECK
ACT
Componentes de PDCA en esta Norma internacional ISO 22301
Establecer el BCMS
Definir el contexto del BCMS que se aplica a la organización.
Definir las necesidades, requisitos y alcance del BCMS
El papel específico de la alta dirección en el BCMS
Definición de los objetivos y los principios que rigen el BCMS
Definir el Análisis del Impacto del Negocio (BIA)
Determinación de competencias
Establecimiento de las comunicaciones
Documentación del BCMS
Análisis del Impacto al
Negocio:
•Evaluación de riesgos
•Tratamientos
Medir el rendimiento del BCMS
El cumplimiento con la norma del BCMS
Retroalimentación del sistema respecto a sus expectativas
Se identifica y actúa sobre las no conformidades del BCMS
a través de una acción correctiva
PLAN
DO
CHECK
ACT
Componentes de PDCA en esta Norma internacional ISO 22301
Estrategia de
continuidad
del negocio:
• Prioridades
• Recursos
• Protección y mitigación
Procedimientos
de continuidad del
negocio:
• Estructura de
respuesta a incidentes
• Advertencia y
comunicaciones
• Planes de BC
• Recuperación
Ejercicios y Pruebas:
• Metas y objetivos
• Minimizar riesgo
• Reporte y acciones
Contenido de ISO 22301
• 4 Contexto de la organización
4.1. Comprensión de la organización y su contexto
• La organización debe determinar los problemas
externos e internos que sean relevantes para su
propósito y que afecten su capacidad para lograr los
resultados previstos de su BCMS.
• NOTA: Estos problemas estarán influenciados por los objetivos
generales de la organización, sus productos y servicios y la
cantidad y tipo de riesgo que puede o no asumir.
Contenido de ISO 22301
4 Contexto de la organización
4.2. Comprensión de las necesidades y expectativas de
las partes interesadas
4.2.1 Generalidades
Al establecer el Sistema de Gestión de Continuidad de
Negocio, la empresa debe determinar:
a) Las partes interesadas que son relevantes para el
Sistema de Gestión de Continuidad de Negocio.
b) Los requisitos relevantes de estas partes
interesadas.
Contenido de ISO 22301
4 Contexto de la organización
4.2. Comprensión de las necesidades y expectativas de las
partes interesadas
4.2.2 Los requisitos legales y reglamentarios
La organización debe:
a) implementar y mantener un proceso para identificar, tener
acceso y evaluar los requisitos legales y reglamentarios
aplicables relacionados con la continuidad de sus productos y
servicios, procesos, actividades y recursos, así como los
intereses de las partes interesadas relevantes;
b) garantizar que estos requisitos legales, reglamentarios y de
otro tipo se tengan en cuenta al implementar y mantener su
BCMS;
c) documentar esta información y mantenerla actualizada.
Contenido de ISO 22301
4 Contexto de la organización
4.3. Determinación del alcance del sistema de gestión de la
continuidad del negocio
4.3.1 General
La organización debe determinar los límites y la aplicabilidad del
BCMS para establecer su alcance.
Al determinar este alcance, la organización debe considerar:
a) las cuestiones externas e internas mencionadas en 4.1;
b) los requisitos mencionados en 4.2.
c) su misión, objetivos y obligaciones externas e internas
El alcance debe estar disponible como información
documentada.
Contenido de ISO 22301
4 Contexto de la organización
4.3. Determinación del alcance del sistema de gestión
de la continuidad del negocio
4.3.2 Alcance de los Sistema de Gestión de
Continuidad de Negocio
La organización debe:
a) establecer las partes de la organización que se
incluirán en el BCMS, teniendo en cuenta su
ubicación, tamaño, naturaleza y complejidad;
b) identificar los productos y servicios que se incluirán
en el BCMS;
Contenido de ISO 22301
4 Contexto de la organización
4.3. Determinación del alcance del sistema de gestión
de la continuidad del negocio
4.3.2 Alcance de los Sistema de Gestión de
Continuidad del Negocio
Al definir el alcance, la organización debe documentar y
explicar las exclusiones. No deben afectar la
capacidad y responsabilidad de la organización para
proporcionar continuidad del Negocio, según lo
determinado por el análisis de impacto comercial o la
evaluación de riesgos y los requisitos legales o
reglamentarios aplicables.
Contenido de ISO 22301
4 Contexto de la organización
4.4. Sistema de gestión de la continuidad de negocio
La organización debe establecer, implementar,
mantener y mejorar continuamente un Sistema de
Gestión de Continuidad de Negocio, incluyendo los
procesos necesarios y sus interacciones, de
conformidad con los requisitos de la norma ISO
22301.
Contenido de ISO 22301
Contenido de ISO 22301
5 Liderazgo
5 liderazgo
5.1 Liderazgo y compromiso
La alta dirección deberá demostrar liderazgo y compromiso con
respecto al BCMS mediante:
a) asegurar que la política de continuidad del negocio y los
objetivos de continuidad del negocio estén establecidos y
sean compatibles con la dirección estratégica de la
organización;
b) asegurar la integración de los requisitos del BCMS en los
procesos de negocios de la organización;
c) asegurar que los recursos necesarios para el BCMS estén
disponibles;
Contenido de ISO 22301
5 Liderazgo
5 liderazgo
5.1 Liderazgo y compromiso
d) comunicar la importancia de la continuidad efectiva del
negocio y cumplir con los requisitos del BCMS;
e) asegurar que el BCMS logre los resultados previstos;
f) dirigir y apoyar a las personas para que contribuyan a la
efectividad del BCMS;
g) promover la mejora continua.
h) respaldar otras funciones de gestión relevantes para
demostrar su liderazgo y compromiso en lo que respecta a sus
áreas de responsabilidad
NOTA La referencia a "negocios" en este documento puede interpretarse de
manera amplia para referirse a aquellas actividades que son
fundamentales para los propósitos de la existencia de la organización.
Contenido de ISO 22301
5 Liderazgo
5.2 Política
5.2.1 establecer una política de continuidad del
negocio
La alta dirección debe establecer una política de
continuidad del negocio que:
a) es apropiado para el propósito de la organización;
b) proporciona un marco para establecer objetivos de
continuidad del negocio;
c) incluye un compromiso para satisfacer los requisitos
aplicables;
d) incluye un compromiso de mejora continua del
BCMS.
Contenido de ISO 22301
Valores
Objetivos
estrategia Objetivos
de continuidad
Del negocio
Política corporativa
Política de continuidad
Del negocio
Alineamiento
estratégico
Misión
Contenido de ISO 22301
5 Liderazgo
5.2 Política
5.2.2comunicar una política de continuidad del
negocio
La política de continuidad del negocio deberá:
a) estar disponible como información documentada;
b) ser comunicada dentro de la organización;
c) estar disponible para las partes interesadas,
según corresponda.
Contenido de ISO 22301
5 Liderazgo
5.3 Roles organizacionales, responsabilidades y
autoridades
La alta dirección debe garantizar que las
responsabilidades y autoridades para los roles
relevantes se asignen y comuniquen dentro de la
organización.
La alta dirección debe asignar la responsabilidad y la
autoridad para:
a) asegurar que el BCMS cumpla con los requisitos de
este documento;
b) informar sobre el desempeño del BCMS a la
alta dirección.
Contenido de ISO 22301
6. Planificación
6.1 Acciones para abordar riesgos y oportunidades
6.1.1 Determinar riesgos y oportunidades
Al planificar el BCMS, la organización debe considerar
los problemas mencionados en 4.1 y los requisitos
mencionados en 4.2 y determinar los riesgos y
oportunidades que deben abordarse para:
a) aseguran que el sistema de gestión puede conseguir
los resultados previstos;
b) prevenir o reducir los efectos no deseados;
c) lograr la mejora continua.
Contenido de ISO 22301
6. Planificación
6.1 Acciones para abordar riesgos y oportunidades
6.1.1 abordar estos riesgos y oportunidades
La organización debe planificar:
a) acciones para abordar estos riesgos y oportunidades,
b) cómo:
1) integrar e implementar las acciones en sus procesos
BCMS (ver 8.1),
2) evaluar la efectividad de estas acciones (ver 9.1).
NOTA los riesgos y las oportunidades en esta subcláusula se relacionan con la
efectividad del sistema de gestión. Los riesgos relacionados con la
interrupción del negocio se abordan en 8.2
Contenido de ISO 22301
6. Planificación
6.2 Objetivos de continuidad del negocio y planificación para
alcanzarlos
6.2.1 Estableciendo los objetivos de continuidad del negocio
La organización debe establecer objetivos de continuidad del
negocio en funciones y niveles relevantes
Los objetivos de continuidad del negocio deberán:
a) ser coherente con la política de continuidad del negocio;
b) ser medible (si es posible);
c) tener en cuenta los requisitos aplicables;
Contenido de ISO 22301
6. Planificación
6.2 Objetivos de continuidad del negocio y planificación para
alcanzarlos
6.2.1 Estableciendo los objetivos de continuidad del negocio
d) ser monitoreado;
e) ser comunicado;
f) se actualizará según corresponda.
La organización debe retener información documentada sobre
los objetivos de continuidad del negocio.
Contenido de ISO 22301
6. Planificación
6.2 Objetivos de continuidad del negocio y planificación para
alcanzarlos
6.2.2 Determinando los objetivos de continuidad del negocio
Al planificar cómo lograr sus objetivos de continuidad comercial,
la organización debe determinar:
a) lo que se hará;
b) qué recursos se requerirán;
c) quién será responsable;
d) cuándo se completará;
e) cómo se evaluarán los resultados.
Contenido de ISO 22301
6. Planificación
6.3 Planificación de cambios al BCMS
Cuando la organización determina la necesidad de cambios en el
BCMS, incluidos los identificados en la cláusula 10 , mejora,
los cambios se llevarán a cabo de manera planificada.
La organización debe considerar:
a) el propósito de los cambios y sus posibles consecuencias;
b) la integridad del BCMS;
c) la disponibilidad de recursos;
d) la asignación o reasignación de responsabilidades y
autoridades.
Contenido de ISO 22301
7 Apoyo
7.1. Recursos
• La organización tiene que determinar y proporcionar
todos los recursos necesarios para el
establecimiento, implementación, mantenimiento y
mejora continua del Sistema de Gestión de
Continuación de Negocio.
Contenido de ISO 22301
7 Apoyo
7.2. Competencia
La organización debe:
a) Determinar la competencia necesaria de las personas que
hace el trabajo bajo su control y que afecta a su
rendimiento.
b) Garantizar que dichas personas son competentes en la base
de la educación, la capacitación y experiencia.
c) Tomar decisiones para adquirir la competencia necesaria, y
evaluar la eficacia de las acciones llevada a cabo.
d) conservar la información adecuada y documentada como
evidencia de la competencia.
Contenido de ISO 22301
7 Apoyo
7.3. Toma de conciencia
Las personas que realizan un trabajo bajo el control de la
organización debe ser consciente de:
a) La política de continuidad de negocio.
b) La contribución a la eficacia del Sistema de Gestión de
Continuidad de Negocio, incluyendo a los beneficios de una
mejora continua del negocio según los resultados de la
gestión.
c) Las consecuencias de que no cumplan con los requisitos del
Sistema de Gestión de Continuidad de Negocio.
d) su propio rol y responsabilidades antes, durante y
después de las interrupciones.
Contenido de ISO 22301
7 Apoyo
7.4. Comunicación
La organización debe determinar todas las necesidades
de comunicación interna y externa relevante para el
Sistema de Gestión de Continuidad de Negocio
incluyendo:
a) sobre lo que comunicará;
b) cuándo comunicar;
c) con quién comunicar;
d) cómo comunicar;
e) quién comunicará.
Contenido de ISO 22301
7 Apoyo
7.5. Información documentada
7.5.1. Generalidades
El Sistema de Gestión de Continuidad de Negocio
incluirá:
• Documentar la información requerida por la norma
ISO 22301.
• La información documentada determinada por la
organización como necesaria para la efectividad del
Sistema de Gestión de Continuidad de Negocio.
Contenido de ISO 22301
7 Apoyo
7.5. Información documentada
7.5.2. Creación y actualización
Al crear y actualizar la información documentada, la
organización debe asegurarse de:
a) Identificar y describir la información documentada
b) El formato y el medio
c) Revisar y aprobar su idoneidad y adecuación
Contenido de ISO 22301
7 Apoyo
7.5. Información documentada
7.5.3. Control de la información documentada
7.5.3. 1 La información documentada requerida por el
Sistema de Gestión de Continuidad del Negocio y por
la norma, se debe controlar para garantizar:
a) Está disponible y adecuada para su uso, donde y
cuando se necesita.
b)Está protegida de forma adecuada.
Contenido de ISO 22301
7 Apoyo
7.5. Información documentada
7.5.3. Control de la información documentada
7.5.3.2 Para el control de la información documentada, la
organización debe responder a las siguientes actividades,
según sea el caso:
Distribución, acceso, recuperación y utilización.
Almacenamiento y conservación, incluyendo la preservación
de la legibilidad.
El control de cambios.
Retención y disposición
Contenido de ISO 22301
7 Apoyo
7.5. Información documentada
7.5.3. Control de la información documentada
7.5.3.2 La información documentada de origen externo
es determinada por la organización como necearía
para la planificación y el funcionamiento del Sistema
de Gestión de Continuidad de Negocio es
identificada, según proceda y se controla.
Contenido de ISO 22301
8. Operación
8.1. Planificación y control operacional
La organización debe planificar, ejecutar y controlar todos los
procesos necesarios para cumplir con los requisitos, y para
implantar las acciones determinadas en el apartado 6.1, por:
a) Establecer criterios para los procesos
b) Implementando el control de los procesos de acuerdo con los
criterios
c) Mantener la información documentada en la medida
necesaria para tener confianza en los procesos que se
encontraban previstos
La organización debe controlar los cambios planificados y
revisar las consecuencias de los cambios no deseados,
tomando acciones para mitigar los efectos adversos, según
sea necesario. La organización debe garantizar que los
procesos subcontratados y la cadena de suministro estén
controlados.
Contenido de ISO 22301
8. Operación
8.2 Análisis de impacto en el negocio y evaluación de riesgos
8.2.1 General
La organización debe
a) implementar y mantener un proceso sistemático para
analizar el impacto en el negocio y evaluar los riesgos de
interrupción
b) revisar el análisis del impacto en el negocio y evaluar los
riesgos a intervalos planificados y cuando haya cambios
significativos entre la organización y el contexto en el cual
opera.
Contenido de ISO 22301
Análisis del impacto
en el negocio
Evaluación
de riesgos
Proceso
de Identificación
Análisis
Evaluación
de riesgos
Proceso
de
Análisis
de las
funciones
del negocio
y efecto
que las
Interrupciones
pueden
tener sobre ellas
Contenido de ISO 22301
8. Operación
8.2. Negocios y evaluación de riesgos
8.2.2 Análisis de impacto en el negocio
a) define tipos de impacto y criterios relevantes para el
contexto de la organización;
b) identifica actividades que apoyan la provisión de productos y
servicios;
c) utiliza estas tipos y criterios de impacto para evaluar el
impacto como resultado de la interrupción de estas
actividades;
d) identifica el tiempo dentro del cual los impactos de no
reanudar las actividades serían inaceptables para la
organización;
Contenido de ISO 22301
8. Operación
8.2. Negocios y evaluación de riesgos
8.2.3 Evaluación de riesgos
La organización debe implementar y mantener un
proceso sistemático de evaluación de riesgos.
NOTA Este proceso puede realizarse de acuerdo con ISO
31000.
Contenido de ISO 22301
8. Operación
8.2. Negocios y evaluación de riesgos
8.2.3 Evaluación de riesgos
La organización debe:
a) identificar riesgos de interrupción para las actividades
priorizadas de la organización y para sus recursos de apoyo;
b) analizar sistemáticamente los riesgos de interrupción;
c) evaluar los riesgos de interrupción que requieren tratamiento.
NOTA Los riesgos en esta subcláusula se relacionan con la
interrupción del negocio. Los riesgos y oportunidades
relacionados con la efectividad del sistema de gestión
se abordan en 6.1.
Contenido de ISO 22301
8. Operación
8.3 Estrategias y soluciones de continuidad en el
negocio.
8.3.1 General
Basado en el Análisis de impacto en el negocio y
evaluación de riesgos la organización debe
identificar y seleccionar estrategias de continuidad
en el negocio basadas en los resultados del análisis
de impacto comercial y la evaluación de riesgos.
Las estrategias de continuidad del negocio se
compondrán de una o más soluciones.
Contenido de ISO 22301
8.3 Estrategias y soluciones de continuidad en el negocio.
8.3.2 Identificación de estrategias y soluciones.
La identificación se basará en la medida en que las estrategias y
soluciones:
a) cumplan con los requisitos para continuar y recuperar
actividades priorizadas dentro de los plazos identificados y la
capacidad acordada;
b) protejan las actividades priorizadas de la organización;
c) Reduzcan la probabilidad de interrupción;
d) acorten el período de interrupción;
e) Limiten el impacto de la interrupción en los productos y
servicios de la organización;
f) Prevean la disponibilidad de recursos adecuados.
Contenido de ISO 22301
8.3 Estrategias y soluciones de continuidad en el
negocio.
8.3.3 Selección de estrategias y soluciones.
La selección se basará en la medida en que las
estrategias y soluciones:
a) cumplan con los requisitos para continuar y
recuperar actividades priorizadas dentro de los
plazos identificados y la capacidad acordada;
b) consideran la cantidad y el tipo de riesgo que la
organización puede o no asumir;
c) consideran los costos y beneficios asociados.
Contenido de ISO 22301
8.3 Estrategias y soluciones de continuidad en el negocio.
8.3.4 Requisitos de recursos
La organización debe determinar los requisitos de recursos para
implementar las soluciones de continuidad del negocio
seleccionadas.
Los tipos de recursos considerados incluirán, pero no se
limitarán a:
a) personas;
b) información y datos;
c) infraestructura física como edificios, lugares de trabajo u otras
instalaciones y servicios asociados;
Contenido de ISO 22301
8.3 Estrategias y soluciones de continuidad en el
negocio.
8.3.4 Requisitos de recursos
d) equipos y consumibles;
e) sistemas de tecnología de la información y la
comunicación (TIC);
f) transporte y logística;
g) finanzas;
h) socios y proveedores
Contenido de ISO 22301
8.3 Estrategias y soluciones de continuidad en el
negocio.
8.3.5 Implementación de soluciones
La organización debe implementar y mantener
soluciones seleccionadas de continuidad en el
negocio para que puedan activarse cuando sea
necesario
Contenido de ISO 22301
8. Operación
8.4 Planes y procedimientos de continuidad en el negocio.
8.4.1 General
La organización debe implementar y mantener una estructura de
respuesta que permita la alerta y comunicación oportuna a las
partes interesadas relevantes. Deberá proporcionar planes y
procedimientos para administrar la organización durante
una interrupción. Los planes y procedimientos se utilizarán
cuando sea necesario para activar soluciones de continuidad
comercial.
NOTA: Existen diferentes tipos de procedimientos que comprenden planes de
continuidad del negocio.
La organización debe identificar y documentar los planes y procedimientos de
continuidad del negocio basados en el resultado de las estrategias y
soluciones seleccionadas.
Contenido de ISO 22301
8. Operación
8.4 Planes y procedimientos de continuidad en el negocio.
8.4.1 General
Los procedimientos deberán:
a) ser específico con respecto a los pasos inmediatos que se
deben tomar durante una interrupción;
b) ser flexible para responder a las condiciones cambiantes
internas y externas de una interrupción;
c) centrarse en el impacto de los incidentes que potencialmente
conducen a la interrupción;
d) ser efectivo para minimizar el impacto a través de la
implementación de soluciones apropiadas;
e) asignar roles y responsabilidades para tareas dentro de ellos.
Contenido de ISO 22301
8. Operación
8.4 Planes y procedimientos de continuidad en el
negocio.
8.4.2 Estructura de respuesta
8.4.2.1 La organización debe implementar y mantener
una estructura, identificando uno o más equipos
responsables de responder a las interrupciones.
8.4.2.2 Los roles y responsabilidades de cada equipo y
las relaciones entre los equipos deben ser
claramente establecido.
Contenido de ISO 22301
8. Operación
8.4 Planes y procedimientos de continuidad en el negocio.
8.4.2 Estructura de respuesta
8.4.2.3 Colectivamente, los equipos serán competentes para:
a) evaluar la naturaleza y el alcance de una interrupción y su impacto
potencial;
b) evaluar el impacto contra umbrales predefinidos que justifican el inicio de
una respuesta formal;
c) activar una respuesta adecuada de continuidad del negocio;
d) planificar acciones que deben llevarse a cabo;
e) establecer prioridades (utilizando la seguridad de la vida como primera
prioridad);
f) monitorear los efectos de la interrupción y la respuesta de la organización;
g) activar las soluciones de continuidad del negocio;
h) comunicarse con las partes interesadas relevantes, las autoridades y los
medios de comunicación.
Contenido de ISO 22301
8. Operación
8.4 Planes y procedimientos de continuidad en el negocio.
8.4.2 Estructura de respuesta
8.4.2.4 Para cada equipo habrá:
a) personal identificado y sus suplentes con la responsabilidad,
autoridad y competencia para desempeñar su papel
designado;
b) procedimientos documentados para guiar sus acciones (ver
8.4.4), incluidos aquellos para la activación, operación,
coordinación y comunicación de la respuesta.
Contenido de ISO 22301
8. Operación
8.4 Planes y procedimientos de continuidad en el negocio.
8.4.3 Advertencia y comunicación
8.4.3.1 La organización debe documentar y mantener
procedimientos para:
a) comunicarse interna y externamente con las partes
interesadas relevantes, incluido qué, cuándo y con a quién y
cómo comunicarse;
La organización puede documentar y mantener procedimientos
sobre cómo y bajo qué circunstancias, la organización se
comunica con los empleados y sus contactos de emergencia.
b) recibir, documentar y responder a las comunicaciones de las
partes interesadas, incluyendo cualquier sistema de
asesoramiento de riesgo nacional o regional o equivalente;
Contenido de ISO 22301
8. Operación
8.4 Planes y procedimientos de continuidad en el negocio.
8.4.3 Advertencia y comunicación
8.4.3.1 La organización debe documentar y mantener
procedimientos para:
c) asegurar la disponibilidad de los medios de comunicación
durante una interrupción;
d) facilitar la comunicación estructurada con los respondedores
de emergencia;
e) proporcionar detalles de la respuesta de los medios de la
organización después de un incidente, incluido un estrategia
de comunicaciones;
f) registrar los detalles de la interrupción, las acciones tomadas y
las decisiones tomadas.
Contenido de ISO 22301
8. Operación
8.4 Planes y procedimientos de continuidad en el negocio.
8.4.3 Advertencia y comunicación
8.4.3.2 Cuando corresponda, también se considerará e
implementará lo siguiente:
a) alertar a las partes interesadas potencialmente afectadas por
una interrupción real o inminente;
b) asegurar una coordinación y comunicación apropiadas entre
las organizaciones que responden.
Los procedimientos de advertencia y comunicación se ejercerán
como parte del programa de ejercicios de la organización
descrito en 8.5.
Contenido de ISO 22301
8. Operación
8.4 Planes y procedimientos de continuidad en el
negocio.
8.4.4 Planes de continuidad del negocio
8.4.4.1 La organización debe documentar y mantener
los planes y procedimientos de continuidad del
negocio.
Los planes de continuidad del negocio deben
proporcionar orientación e información para ayudar
a los equipos a responder a un interrupción y para
ayudar a la organización con respuesta y
recuperación.
Contenido de ISO 22301
8. Operación
8.4 Planes y procedimientos de continuidad en el negocio.
8.4.4 Planes de continuidad del negocio
8.4.4.2 Colectivamente, los planes de continuidad del negocio
deberán contener:
a) detalles de las acciones que tomarán los equipos para:
1) continuar o recuperar actividades priorizadas dentro de
marcos de tiempo predeterminados;
2) monitorear el impacto de la interrupción y la respuesta de la
organización a ella;
b) referencia a los umbrales predefinidos y al proceso para
activar la respuesta;
Contenido de ISO 22301
8. Operación
8.4 Planes y procedimientos de continuidad en el negocio.
8.4.4 Planes de continuidad del negocio
8.4.4.2 Colectivamente, los planes de continuidad del negocio
deberán contener:
c) procedimientos para permitir la entrega de productos y
servicios a la capacidad acordada;
d) detalles para gestionar las consecuencias inmediatas de una
interrupción teniendo debidamente en cuenta:
1) el bienestar de las personas;
2) la prevención de nuevas pérdidas o falta de disponibilidad de
actividades priorizadas;
3) el impacto en el medio ambiente.
Contenido de ISO 22301
8. Operación
8.4 Planes y procedimientos de continuidad en el negocio.
8.4.4 Planes de continuidad del negocio
8.4.4.3 Cada plan debe incluir:
a) el propósito, alcance y objetivos;
b) los roles y responsabilidades del equipo que implementará el
plan;
c) acciones para implementar las soluciones;
d) información de apoyo necesaria para activar (incluidos los
criterios de activación), operar, coordinar y comunicar las
acciones del equipo;
Contenido de ISO 22301
8. Operación
8.4 Planes y procedimientos de continuidad en el
negocio.
8.4.4 Planes de continuidad del negocio
8.4.4.3 Cada plan debe incluir:
e) interdependencias internas y externas;
f) los requisitos de recursos;
g) los requisitos de presentación de informes;
h) un proceso para retirarse.
Cada plan debe ser utilizable y estar disponible en el
momento y lugar en el que se requiere
Contenido de ISO 22301
8. Operación
8.4 Planes y procedimientos de continuidad en el
negocio.
8.4.5 Recuperación
• La organización debe tener procesos documentados
para restaurar y devolver las actividades comerciales
de las medidas temporales adoptadas durante y
después de una interrupción.
8. Operación
8.4 Planes y procedimientos de
continuidad en el negocio.
8. Operación
8.4 Planes y procedimientos de continuidad en el
negocio.
8. Operación
8.4 Planes y procedimientos de continuidad en el
negocio.
8. Operación
8.4 Planes y procedimientos de continuidad en el
negocio.
Contenido de ISO 22301
8. Operación
8.5 Programa de ejercicios
La organización debe implementar y mantener un
programa de ejercicio y pruebas para validar medir la
efectividad de sus estrategias y soluciones de
continuidad comercial.
La organización debe realizar ejercicios y pruebas que:
a) son consistentes con sus objetivos de continuidad
del negocio;
Contenido de ISO 22301
8. Operación
8.5 Programa de ejercicios
b) se basan en escenarios apropiados que están bien
planificados con metas y objetivos claramente
definidos;
c) desarrollar trabajo en equipo, competencia,
confianza y conocimiento para aquellos que tienen
roles que desempeñar en relación con las
interrupciones;
d) tomados en conjunto a lo largo del tiempo, validan
sus estrategias y soluciones de continuidad
comercial;
Contenido de ISO 22301
8. Operación
8.5 Programa de ejercicios
e) producir informes formales posteriores al ejercicio que
contengan resultados, recomendaciones y acciones para
implementar mejoras;
f) se revisan en el contexto de la promoción de la mejora
continua;
g) se realizan a intervalos planificados y cuando hay cambios
significativos dentro de la organización o el contexto en el que
opera.
La organización debe actuar sobre los resultados de su ejercicio y
prueba para implementar cambios y mejoras
Contenido de ISO 22301
8. Operación
8.6 Evaluación de la documentación y las capacidades
de continuidad del negocio.
La organización debe:
a) evaluar la idoneidad, adecuación y efectividad de su
análisis de impacto del negocio, evaluación de
riesgos, estrategias, soluciones, planes y
procedimientos;
b) realizar evaluaciones a través de revisiones, análisis,
ejercicios, pruebas, informes posteriores al incidente
y evaluaciones de desempeño;
Contenido de ISO 22301
8. Operación
8.6 Evaluación de la documentación y las capacidades de
continuidad del negocio.
c) realizar evaluaciones de las capacidades de continuidad del
negocio de socios y proveedores relevantes;
d) evaluar el cumplimiento de los requisitos legales y
reglamentarios aplicables, las mejores prácticas de la
industria, y conformidad con su propia política y objetivos de
continuidad comercial;
e) actualizar la documentación y los procedimientos de manera
oportuna.
Estas evaluaciones se llevarán a cabo a intervalos planificados,
después de un incidente o activación, y cuando ocurran
cambios significativos.
Contenido de ISO 22301
9 Evaluación de desempeño
9.1. La medición, análisis y evaluación
La organización debe determinar:
a) Lo que necesita ser monitoreado y medido
b) los métodos de monitoreo, medición, análisis y evaluación,
según corresponda, para garantizar resultados válidos;
c) cuándo y quién realizará el monitoreo y la medición;
d) cuándo y quién analizará y evaluará los resultados del
monitoreo y la medición.
La organización debe retener información documentada
apropiada como evidencia de los resultados.
La organización debe evaluar el desempeño del BCMS y
la efectividad del BCMS.
Contenido de ISO 22301
9 Evaluación de desempeño
9.2. La auditoría interna
9.2.1 General
La organización debe realizar auditorías internas a
intervalos planificados para proporcionar
información sobre si el BCMS:
a) se ajusta a:
1) los requisitos propios de la organización para su
BCMS;
2) los requisitos de este documento;
b) se implementa y mantiene de manera efectiva.
Contenido de ISO 22301
9 Evaluación de desempeño
9.2. La auditoría interna
9.2.2 Programas de auditoría
La organización debe:
a) planificar, establecer, implementar y mantener un programa
de auditoría que incluya la frecuencia, los métodos, las
responsabilidades, los requisitos de planificación y la
presentación de informes, que deberán tener en cuenta la
importancia de los procesos en cuestión y los resultados de
auditorías anteriores;
b) definir los criterios de auditoría y el alcance de cada auditoría;
c) seleccionar auditores y realizar auditorías para asegurar la
objetividad y la imparcialidad del proceso de auditoría;
Contenido de ISO 22301
9 Evaluación de desempeño
9.2. La auditoría interna
9.2.2 Programas de auditoría
d) garantizar que los resultados de las auditorías se comuniquen
a los gerentes relevantes;
e) retener información documentada como evidencia de la
implementación de los programas de auditoría y los
resultados de la auditoría;
f) asegurar que se tomen las medidas correctivas necesarias sin
demora para eliminar las no conformidades detectadas y sus
causas;
g) asegurar que las acciones de auditoría de seguimiento
incluyan la verificación de las acciones tomadas y el informe
de los resultados de la verificación.
Contenido de ISO 22301
9 Evaluación de desempeño
9.3. Revisión por la dirección
9.3.1. General
La alta dirección debe revisar el Sistema de Gestión de
Continuidad de Negocio de la empresa, a intervalos
planificados, para asegurarse de su conveniencia,
adecuación y eficacia.
La revisión por la dirección debe incluir la consideración
de:
Contenido de ISO 22301
9 Evaluación de desempeño
9.3. Revisión por la dirección
9.3.2. Revisión por la dirección entradas
La Revisión por la dirección debe incluir consideraciones de
a) El estado de las acciones de anteriores revisiones por la
dirección.
b) Los cambios en cuestiones externas e internas que son
relevantes para el Sistema de Gestión de Continuidad de
Negocio.
c) Información sobre el rendimiento de la continuidad del
negocio, incluyendo las tendencias en cuanto a las no
conformidades y acciones correctivas, resultados de
seguimiento y medición de evaluación, además de los
resultados de auditoría.
Contenido de ISO 22301
9 Evaluación de desempeño
9.3. Revisión por la dirección
9.3.2. Revisión por la dirección entradas
d) comentarios de las partes interesadas;
e) la necesidad de cambios en el BCMS, incluida la
política y los objetivos;
f) procedimientos y recursos que podrían usarse en la
organización para mejorar el desempeño y la
efectividad del BCMS;
g) información del análisis de impacto empresarial y
evaluación de riesgos;
Contenido de ISO 22301
9 Evaluación de desempeño
9.3. Revisión por la dirección
9.3.2. Revisión por la dirección entradas
h) salida de la evaluación de la documentación y
capacidades de continuidad del negocio (ver 8.6);
i) riesgos o problemas no abordados adecuadamente
en cualquier evaluación de riesgos previa;
j) lecciones aprendidas y acciones derivadas de casi
accidentes e interrupciones;
k) oportunidades de mejora continua
Contenido de ISO 22301
9 Evaluación de desempeño
9.3. Revisión por la dirección
9.3.3 Resultados de la Revisión por la dirección
9.3.3.1 Los resultados de la revisión por la dirección deben
incluir decisiones relacionadas con la mejora continua
oportunidades y cualquier necesidad de cambios en el BCMS
para mejorar su eficiencia y efectividad, incluyendo lo
siguiente:
a) variaciones en el alcance del BCMS;
b) actualización del análisis de impacto comercial, evaluación de
riesgos, estrategias y soluciones de continuidad comercial, y
planes de continuidad comercial;
c) modificación de procedimientos y controles para responder a
problemas internos o externos que pueden afectar el BCMS;
d) cómo se medirá la efectividad de los controles.
Contenido de ISO 22301
9 Evaluación de desempeño
9.3. Revisión por la dirección
9.3.3 Resultados de la Revisión por la dirección
9.3.3.2 La organización debe retener información
documentada como evidencia de los resultados de la
revisión por la dirección
Deberá:
a) comunicar los resultados de la Revisión por la
dirección a las partes interesadas relevantes;
b) tomar las medidas apropiadas en relación
con esos resultados.
Contenido de ISO 22301
10 mejora
10.1 No conformidad y acción correctiva
10.1.1 La organización debe determinar las
oportunidades de mejora e implementar las acciones
necesarias para lograr los resultados previstos de su
BCMS.
Contenido de ISO 22301
10 mejora
10.1 No conformidad y acción correctiva
10.1.2 Cuando ocurre una no conformidad, la organización debe:
a) reaccionar ante la no conformidad y, según corresponda:
1) tomar medidas para controlarlo y corregirlo;
2) lidiar con las consecuencias;
b) evalúe la necesidad de tomar medidas para eliminar la (s)
causa (s) de la no conformidad, a fin de que no se repita o
ocurra en otro lugar, mediante:
1) revisión de la no conformidad;
2) determinar las causas de la no conformidad;
3) determinar si existen no conformidades similares, o si pueden
ocurrir potencialmente;
Contenido de ISO 22301
10 mejora
10.1 No conformidad y acción correctiva
10.1.2 Cuando ocurre una no conformidad, la
organización debe:
c) implementar cualquier acción necesaria;
d) revisar la efectividad de cualquier acción correctiva
tomada;
e) realizar cambios en el BCMS, si es necesario.
Las acciones correctivas serán apropiadas a los efectos
de las no conformidades encontradas.
Contenido de ISO 22301
10 Mejora
10.1.3 La organización debe retener información
documentada como evidencia de:
a) la naturaleza de las no conformidades y cualquier
acción posterior tomada;
b) los resultados de cualquier acción correctiva.
Contenido de ISO 22301
10 Mejora
10.2. Mejora continua
La organización debe mejorar continuamente la idoneidad,
adecuación y efectividad del BCMS, basado en medidas
cualitativas y cuantitativas.
La organización debe considerar los resultados del análisis y la
evaluación, y los resultados de la revisión de la dirección, para
determinar si hay necesidades u oportunidades, relacionadas
con el negocio o con el BCMS, que se abordarán como parte
de la mejora continua.
NOTA La organización puede utilizar los procesos del BCMS, como liderazgo,
planificación y evaluación del desempeño, para lograr mejoras
Información Documentada
Si está considerando implementar ISO 22301, aquí hay algunos
consejos para comenzar:
• Asegúrese de contar con la aceptación de la alta dirección. Un
sistema de gestión de continuidad del negocio solo puede ser
efectivo si aquellos en puestos de toma de decisiones brindan
un apoyo genuino y lo tratan como una alta prioridad.
• Realice una evaluación de preparación para establecer dónde
se encuentra en relación con los requisitos del estándar y qué
nivel de recursos necesitará para cumplirlos.
• Realice un ejercicio de recuperación de negocios para
considerar cuidadosamente lo que haría actualmente si
hubiera una interrupción en cualquier área de su negocio.
Esto lo ayudará a tener claro qué tan capaz es su organización
para responder y cómo ISO 22301 puede ayudarlo.
implementación de la Norma ISO
22301 2019
implementación de la Norma ISO
22301 2019
• Cuando una organización desea iniciar la
implementación de ISO 22301:2019, siempre se
genera el interrogante ¿por dónde empezar?
• Será conveniente iniciar con el ¿Business Impact
Analysis?
• O con la estructura para responder a incidentes. La
manera adecuada es ir de lo general a lo particular.
implementación de la Norma ISO
22301 2019
implementación de la Norma ISO
22301 2019
• Para el inicio del proceso de implementación es
recomendable atender primero a las cláusulas
globales y luego iniciar las focales.
• Las cláusulas globales, permiten crear la plataforma
inicial en la construcción del SGCN.
• Las cláusulas focales son la parte netamente técnica
de la norma y requieren para su desarrollo de la
infraestructura que desarrollan las globales.
Certificación
• La certificación ISO 22301 no es un requisito
de la norma, pero puede ser una herramienta
útil para demostrar que su organización
cumple con sus criterios y ha adoptado las
mejores prácticas internacionales.
Ejemplos de acciones a realizar en
aplicación de esta norma
• Actualizar los dispositivos de respaldo de la información o
duplicar las comunicaciones de voz con una de sus principales
sedes.
• Contar con un centro alternativo.
• Externalizar parte de su infraestructura, especialmente la
dedicada a la venta on-line, disponiendo de un centro de
respaldo independiente.
• Contratación de seguros
• Contratación de empresas de seguridad.
• Copias de seguridad de la información.
• Mantenimiento de listas de proveedores alternativos.
• Almacenamiento de productos críticos en ubicaciones
alternativas.
• Formación sobre las rutas de evaluación y puntos de reunión
Iso 22301 sgcn bcms v 2020
Iso 22301 sgcn bcms v 2020

Más contenido relacionado

La actualidad más candente

Iso 31000
Iso 31000Iso 31000
Iso 31000
Uro Cacho
 
I la nueva norma ISO 31000 2018 y la gestion de riesgos
I  la nueva norma ISO 31000 2018 y la gestion de riesgosI  la nueva norma ISO 31000 2018 y la gestion de riesgos
I la nueva norma ISO 31000 2018 y la gestion de riesgos
Primala Sistema de Gestion
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
GLORIA VIVEROS
 
ISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOS
Juan Carlos Bajo Albarracín
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Iso 9001 2015
Iso 9001 2015Iso 9001 2015
Iso 9001 2015
Zitec Consultores
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
Leo Gomez
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
Juan Fernando Jaramillo
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
Enfoque basado en procesos
Enfoque basado en procesosEnfoque basado en procesos
Enfoque basado en procesos
xeitoandres
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 
ISO 31000 Gestión del Riesgo
ISO 31000 Gestión del RiesgoISO 31000 Gestión del Riesgo
ISO 31000 Gestión del Riesgo
Prevencionar
 
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓNAUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
Valle Magico
 
Sistema integrado de gestión
Sistema integrado de gestiónSistema integrado de gestión
Sistema integrado de gestión
SST299626
 
Norma iso 17799
Norma iso  17799Norma iso  17799
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031
Maricarmen García de Ureña
 
Introduccion a la Gestion de la Calidad
Introduccion a la Gestion de la CalidadIntroduccion a la Gestion de la Calidad
Introduccion a la Gestion de la Calidad
Omar Amed Del Carpio Rodríguez
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Interpretacion iso 14001
Interpretacion iso 14001Interpretacion iso 14001
Interpretacion iso 14001
Overallhealth En Salud
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301  Maricarmen García de UreñaAuditando un SGCN en ISO 22301  Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Maricarmen García de Ureña
 

La actualidad más candente (20)

Iso 31000
Iso 31000Iso 31000
Iso 31000
 
I la nueva norma ISO 31000 2018 y la gestion de riesgos
I  la nueva norma ISO 31000 2018 y la gestion de riesgosI  la nueva norma ISO 31000 2018 y la gestion de riesgos
I la nueva norma ISO 31000 2018 y la gestion de riesgos
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
 
ISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOS
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Iso 9001 2015
Iso 9001 2015Iso 9001 2015
Iso 9001 2015
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Enfoque basado en procesos
Enfoque basado en procesosEnfoque basado en procesos
Enfoque basado en procesos
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
ISO 31000 Gestión del Riesgo
ISO 31000 Gestión del RiesgoISO 31000 Gestión del Riesgo
ISO 31000 Gestión del Riesgo
 
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓNAUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
 
Sistema integrado de gestión
Sistema integrado de gestiónSistema integrado de gestión
Sistema integrado de gestión
 
Norma iso 17799
Norma iso  17799Norma iso  17799
Norma iso 17799
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031
 
Introduccion a la Gestion de la Calidad
Introduccion a la Gestion de la CalidadIntroduccion a la Gestion de la Calidad
Introduccion a la Gestion de la Calidad
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Interpretacion iso 14001
Interpretacion iso 14001Interpretacion iso 14001
Interpretacion iso 14001
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301  Maricarmen García de UreñaAuditando un SGCN en ISO 22301  Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
 

Similar a Iso 22301 sgcn bcms v 2020

Recuperación de Negocios y Desastres PPT
Recuperación de Negocios y Desastres PPTRecuperación de Negocios y Desastres PPT
Recuperación de Negocios y Desastres PPT
JhossepJhonnyPomaVid
 
Continuidad negocio iso-22301
Continuidad negocio iso-22301Continuidad negocio iso-22301
Continuidad negocio iso-22301
Mauricio Arenas
 
ISO 22301 - Ingertec
ISO 22301 - IngertecISO 22301 - Ingertec
ISO 22301 - Ingertec
Grupo Ingertec
 
Guía plan de continuidad y recuperación de negocio
Guía plan de continuidad y recuperación de negocioGuía plan de continuidad y recuperación de negocio
Guía plan de continuidad y recuperación de negocio
miguel911
 
Webinar EXIN "Gestión de continuidad de negocio"
Webinar EXIN  "Gestión de continuidad de negocio"Webinar EXIN  "Gestión de continuidad de negocio"
Webinar EXIN "Gestión de continuidad de negocio"
EXIN
 
Implantacion de un SGCN segun UNE 71599
Implantacion de un SGCN segun UNE 71599Implantacion de un SGCN segun UNE 71599
Implantacion de un SGCN segun UNE 71599
Jorge García Carnicero
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdf
FabianaOcchiuzzi2
 
Continuidad de Negocios - NetBe - Soluciones Tecnologicas
Continuidad de Negocios - NetBe - Soluciones TecnologicasContinuidad de Negocios - NetBe - Soluciones Tecnologicas
Continuidad de Negocios - NetBe - Soluciones Tecnologicas
netbesoluciones
 
Business Continuity Management (BCM)
Business Continuity Management (BCM)Business Continuity Management (BCM)
Business Continuity Management (BCM)
Fabián Descalzo
 
Gestión de continuidad del negocio
Gestión de continuidad del negocioGestión de continuidad del negocio
Gestión de continuidad del negocio
Protiviti Peru
 
conozca-la-importancia-de-un-plan-de-continuidad-de-negocio-para-su-pyme.pptx
conozca-la-importancia-de-un-plan-de-continuidad-de-negocio-para-su-pyme.pptxconozca-la-importancia-de-un-plan-de-continuidad-de-negocio-para-su-pyme.pptx
conozca-la-importancia-de-un-plan-de-continuidad-de-negocio-para-su-pyme.pptx
sabalero84
 
Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)
Gustavo Specht
 
Itss bc my grc 2013 v1
Itss bc my grc 2013 v1Itss bc my grc 2013 v1
Itss bc my grc 2013 v1
balejandre
 
UND12_Auditoria de Sistemas. Mi plan B.pdf
UND12_Auditoria de Sistemas. Mi plan B.pdfUND12_Auditoria de Sistemas. Mi plan B.pdf
UND12_Auditoria de Sistemas. Mi plan B.pdf
DemsshillCoutino
 
tecnicas modernas de planificacion.ppt
tecnicas modernas de planificacion.ppttecnicas modernas de planificacion.ppt
tecnicas modernas de planificacion.ppt
edwinespinoza69
 
Plan de continuidad de negocio
Plan de continuidad de negocioPlan de continuidad de negocio
Plan de continuidad de negocio
Andres Ldño
 
Continuidad Operativa
Continuidad OperativaContinuidad Operativa
Continuidad Operativa
Juan Carlos Fernández
 
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso223012.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
Maricarmen García de Ureña
 
Contenidos unidad n_2_plataforma
Contenidos unidad n_2_plataformaContenidos unidad n_2_plataforma
Contenidos unidad n_2_plataforma
David Campos
 
Mantenimiento y-seguridad-industria.1
Mantenimiento y-seguridad-industria.1Mantenimiento y-seguridad-industria.1
Mantenimiento y-seguridad-industria.1
JUAN FRANCISCO PORTILLA ALVARADO
 

Similar a Iso 22301 sgcn bcms v 2020 (20)

Recuperación de Negocios y Desastres PPT
Recuperación de Negocios y Desastres PPTRecuperación de Negocios y Desastres PPT
Recuperación de Negocios y Desastres PPT
 
Continuidad negocio iso-22301
Continuidad negocio iso-22301Continuidad negocio iso-22301
Continuidad negocio iso-22301
 
ISO 22301 - Ingertec
ISO 22301 - IngertecISO 22301 - Ingertec
ISO 22301 - Ingertec
 
Guía plan de continuidad y recuperación de negocio
Guía plan de continuidad y recuperación de negocioGuía plan de continuidad y recuperación de negocio
Guía plan de continuidad y recuperación de negocio
 
Webinar EXIN "Gestión de continuidad de negocio"
Webinar EXIN  "Gestión de continuidad de negocio"Webinar EXIN  "Gestión de continuidad de negocio"
Webinar EXIN "Gestión de continuidad de negocio"
 
Implantacion de un SGCN segun UNE 71599
Implantacion de un SGCN segun UNE 71599Implantacion de un SGCN segun UNE 71599
Implantacion de un SGCN segun UNE 71599
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdf
 
Continuidad de Negocios - NetBe - Soluciones Tecnologicas
Continuidad de Negocios - NetBe - Soluciones TecnologicasContinuidad de Negocios - NetBe - Soluciones Tecnologicas
Continuidad de Negocios - NetBe - Soluciones Tecnologicas
 
Business Continuity Management (BCM)
Business Continuity Management (BCM)Business Continuity Management (BCM)
Business Continuity Management (BCM)
 
Gestión de continuidad del negocio
Gestión de continuidad del negocioGestión de continuidad del negocio
Gestión de continuidad del negocio
 
conozca-la-importancia-de-un-plan-de-continuidad-de-negocio-para-su-pyme.pptx
conozca-la-importancia-de-un-plan-de-continuidad-de-negocio-para-su-pyme.pptxconozca-la-importancia-de-un-plan-de-continuidad-de-negocio-para-su-pyme.pptx
conozca-la-importancia-de-un-plan-de-continuidad-de-negocio-para-su-pyme.pptx
 
Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)
 
Itss bc my grc 2013 v1
Itss bc my grc 2013 v1Itss bc my grc 2013 v1
Itss bc my grc 2013 v1
 
UND12_Auditoria de Sistemas. Mi plan B.pdf
UND12_Auditoria de Sistemas. Mi plan B.pdfUND12_Auditoria de Sistemas. Mi plan B.pdf
UND12_Auditoria de Sistemas. Mi plan B.pdf
 
tecnicas modernas de planificacion.ppt
tecnicas modernas de planificacion.ppttecnicas modernas de planificacion.ppt
tecnicas modernas de planificacion.ppt
 
Plan de continuidad de negocio
Plan de continuidad de negocioPlan de continuidad de negocio
Plan de continuidad de negocio
 
Continuidad Operativa
Continuidad OperativaContinuidad Operativa
Continuidad Operativa
 
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso223012.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
 
Contenidos unidad n_2_plataforma
Contenidos unidad n_2_plataformaContenidos unidad n_2_plataforma
Contenidos unidad n_2_plataforma
 
Mantenimiento y-seguridad-industria.1
Mantenimiento y-seguridad-industria.1Mantenimiento y-seguridad-industria.1
Mantenimiento y-seguridad-industria.1
 

Más de Primala Sistema de Gestion

Iso sistema integrado de gestion v 2020
Iso  sistema integrado de gestion v 2020Iso  sistema integrado de gestion v 2020
Iso sistema integrado de gestion v 2020
Primala Sistema de Gestion
 
Reseña historica de ISO v 2020
Reseña historica de ISO v 2020Reseña historica de ISO v 2020
Reseña historica de ISO v 2020
Primala Sistema de Gestion
 
Lean manufacturing kanban v 2020
Lean manufacturing  kanban v 2020Lean manufacturing  kanban v 2020
Lean manufacturing kanban v 2020
Primala Sistema de Gestion
 
Lean manufacturing smed v 2020
Lean manufacturing smed v 2020Lean manufacturing smed v 2020
Lean manufacturing smed v 2020
Primala Sistema de Gestion
 
Lean nivelado v 2020
Lean nivelado v 2020Lean nivelado v 2020
Lean nivelado v 2020
Primala Sistema de Gestion
 
Lean jit v 2020
Lean jit v 2020Lean jit v 2020
Lean tpm v 2020
Lean  tpm v 2020Lean  tpm v 2020
Lean manufacturing celularizacion v 2020
Lean manufacturing  celularizacion v 2020Lean manufacturing  celularizacion v 2020
Lean manufacturing celularizacion v 2020
Primala Sistema de Gestion
 
Lean hk nk 2020
Lean hk nk 2020Lean hk nk 2020
Lean jidoka 2020
Lean jidoka 2020Lean jidoka 2020
Lean jidoka 2020
Primala Sistema de Gestion
 
Lean manufacturing gestion visual v 2020
Lean manufacturing gestion  visual  v 2020Lean manufacturing gestion  visual  v 2020
Lean manufacturing gestion visual v 2020
Primala Sistema de Gestion
 
Lean poka yoke v 2020
Lean poka yoke  v 2020Lean poka yoke  v 2020
Lean poka yoke v 2020
Primala Sistema de Gestion
 
La fabrica visual v 2020
La fabrica visual v 2020La fabrica visual v 2020
La fabrica visual v 2020
Primala Sistema de Gestion
 
Iso norma iso 45001 presentacion v 2020
Iso  norma iso 45001 presentacion v 2020Iso  norma iso 45001 presentacion v 2020
Iso norma iso 45001 presentacion v 2020
Primala Sistema de Gestion
 
Iso norma iso 45001 analisis v 2020
Iso norma iso 45001 analisis v 2020Iso norma iso 45001 analisis v 2020
Iso norma iso 45001 analisis v 2020
Primala Sistema de Gestion
 
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Norma iso  28000  sistema de gestion de seguridad  la cadena de suministros v...Norma iso  28000  sistema de gestion de seguridad  la cadena de suministros v...
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Primala Sistema de Gestion
 
Gestion de activos rs y ods v 2020
Gestion de activos rs y ods v 2020Gestion de activos rs y ods v 2020
Gestion de activos rs y ods v 2020
Primala Sistema de Gestion
 
Panorama sobre la gestion de activos modelos conceptuales v 2020
Panorama sobre la gestion de activos modelos conceptuales v 2020Panorama sobre la gestion de activos modelos conceptuales v 2020
Panorama sobre la gestion de activos modelos conceptuales v 2020
Primala Sistema de Gestion
 
Accion sobre los activos gestion de activos y sga v 2020
Accion sobre los activos  gestion de activos y sga v 2020Accion sobre los activos  gestion de activos y sga v 2020
Accion sobre los activos gestion de activos y sga v 2020
Primala Sistema de Gestion
 
Iso norma iso 55001 v 2020
Iso norma  iso 55001 v 2020 Iso norma  iso 55001 v 2020
Iso norma iso 55001 v 2020
Primala Sistema de Gestion
 

Más de Primala Sistema de Gestion (20)

Iso sistema integrado de gestion v 2020
Iso  sistema integrado de gestion v 2020Iso  sistema integrado de gestion v 2020
Iso sistema integrado de gestion v 2020
 
Reseña historica de ISO v 2020
Reseña historica de ISO v 2020Reseña historica de ISO v 2020
Reseña historica de ISO v 2020
 
Lean manufacturing kanban v 2020
Lean manufacturing  kanban v 2020Lean manufacturing  kanban v 2020
Lean manufacturing kanban v 2020
 
Lean manufacturing smed v 2020
Lean manufacturing smed v 2020Lean manufacturing smed v 2020
Lean manufacturing smed v 2020
 
Lean nivelado v 2020
Lean nivelado v 2020Lean nivelado v 2020
Lean nivelado v 2020
 
Lean jit v 2020
Lean jit v 2020Lean jit v 2020
Lean jit v 2020
 
Lean tpm v 2020
Lean  tpm v 2020Lean  tpm v 2020
Lean tpm v 2020
 
Lean manufacturing celularizacion v 2020
Lean manufacturing  celularizacion v 2020Lean manufacturing  celularizacion v 2020
Lean manufacturing celularizacion v 2020
 
Lean hk nk 2020
Lean hk nk 2020Lean hk nk 2020
Lean hk nk 2020
 
Lean jidoka 2020
Lean jidoka 2020Lean jidoka 2020
Lean jidoka 2020
 
Lean manufacturing gestion visual v 2020
Lean manufacturing gestion  visual  v 2020Lean manufacturing gestion  visual  v 2020
Lean manufacturing gestion visual v 2020
 
Lean poka yoke v 2020
Lean poka yoke  v 2020Lean poka yoke  v 2020
Lean poka yoke v 2020
 
La fabrica visual v 2020
La fabrica visual v 2020La fabrica visual v 2020
La fabrica visual v 2020
 
Iso norma iso 45001 presentacion v 2020
Iso  norma iso 45001 presentacion v 2020Iso  norma iso 45001 presentacion v 2020
Iso norma iso 45001 presentacion v 2020
 
Iso norma iso 45001 analisis v 2020
Iso norma iso 45001 analisis v 2020Iso norma iso 45001 analisis v 2020
Iso norma iso 45001 analisis v 2020
 
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Norma iso  28000  sistema de gestion de seguridad  la cadena de suministros v...Norma iso  28000  sistema de gestion de seguridad  la cadena de suministros v...
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
 
Gestion de activos rs y ods v 2020
Gestion de activos rs y ods v 2020Gestion de activos rs y ods v 2020
Gestion de activos rs y ods v 2020
 
Panorama sobre la gestion de activos modelos conceptuales v 2020
Panorama sobre la gestion de activos modelos conceptuales v 2020Panorama sobre la gestion de activos modelos conceptuales v 2020
Panorama sobre la gestion de activos modelos conceptuales v 2020
 
Accion sobre los activos gestion de activos y sga v 2020
Accion sobre los activos  gestion de activos y sga v 2020Accion sobre los activos  gestion de activos y sga v 2020
Accion sobre los activos gestion de activos y sga v 2020
 
Iso norma iso 55001 v 2020
Iso norma  iso 55001 v 2020 Iso norma  iso 55001 v 2020
Iso norma iso 55001 v 2020
 

Iso 22301 sgcn bcms v 2020

  • 1. Presentación de ISO 22301: 2019 Sistema de Gestión de Continuidad del Negocio – Requisitos V.2020
  • 3. Introducción ¿A Qué nos enfrentamos? • Averías de cables submarinos, con los consiguientes problemas en las comunicaciones • Huelgas en el transporte público, colapsando el desplazamiento de las personas en las ciudades • Temporal de nieve en EEUU, impidiendo los desplazamientos terrestres a lo largo del país • Evacuación de un hospital debido a un incendio • Inundaciones en Argentina, causando gravísimos daños en empresas, edificios, etc.
  • 4.
  • 5.
  • 6. Introducción • Una organización no puede dejar de funcionar ante condiciones adversas. • A nivel mundial, tal y como funcionan actualmente los mercados internacionales, las organizaciones tienen la obligación de poder asegurar que son proveedores fiables y que son capaces de, ante cualquier incidente o catástrofe – un incendio, una inundación, una huelga, un sabotaje… reanudar sus operaciones en un tiempo estimado, y continuar ofreciendo sus productos y servicios con normalidad.
  • 7. Introducción • El Sistema de Gestión de la Continuidad del Negocio (SGCN) se ha convertido en una exigencia para las organizaciones que compiten el día de hoy en los mercados globalizados. • La tendencia mundial es que ya las organizaciones no compitan entre sí, la competencia es entre cadenas de suministros.
  • 8. Introducción Una cadena de suministros para mantenerse operando no puede tener ningún eslabón débil y ninguno de sus componentes pueden dejar de operar, ya que si un elemento del todo dejara de funcionar se paraliza toda la serie generando el caos. • Cada miembro del sistema tiene que demostrar que es un proveedor confiable. • Esto se logra teniendo en cada organización un SGCN que proteja a los procesos esenciales que permiten originar los productos/servicios que desea el cliente.
  • 9. Introducción • Lo cierto es que no es necesario que ocurran casos tan trágicos como los mencionados para poner en peligro la actividad de una organización. • ¿Qué ocurriría si se estropea la computadora que gestiona toda la contabilidad o la red de comunicaciones deja de funcionar? • ¿Durante cuánto tiempo es posible mantener la actividad en caso de un incidente? • ¿Es posible recuperarse? • ¿En cuánto tiempo sería posible volver a la actividad normal?
  • 10. Introducción ¿Qué Causas pueden generar una interrupción de negocio? • Desastres Naturales • Fallas Humanas • Fallas Técnicas • … ¿Qué consecuencias genera esta interrupción? • Pérdida de negocios, ingresos y clientes • Incumplimientos y costos legales • Costos relacionados con la interrupción • Eventual cierre de operaciones • …
  • 11. Introducción Razones para recuperar rápidamente la continuidad del negocio • Valor de la empresa • Demandas del mercado • Presión de los competidores • Disposición de los reguladores • …
  • 12. ¿Cómo afrontar esta situación? La forma adecuada de gestionar la continuidad del negocio es: 1. Identificar, analizar, evaluar, y gestionar los riesgos a los que se enfrenta una organización, 2. Analizar el impacto del negocio (BIA) 3. Definir las estrategias de continuidad del negocio. Para ello se debe: 1. Gestionar de forma adecuada sus riesgos. 2. Identificar los procesos críticos de la organización. 3. Ayudar a establecer las estrategias de recuperación Todo esto permite identificar las principales amenazas a la organización y fortalecer la capacidad de la misma.
  • 13. ¿Cómo afrontar esta situación? • La ISO 22301 es un marco que le permite identificar las posibles amenazas a la organización y fortalecer la capacidad de respuesta y recuperación de la misma. • Proporciona un marco formal de continuidad de negocio y nos guiará a desarrollar un plan de continuidad de negocio que mantendrá la organización funcionando durante y después de la interrupción. • Éste también minimizará el impacto de una interrupción así se podrá reanudar el servicio lo más rápido posible asegurando que los servicios clave y los productos son entregados. • Disponer de una estrategia de recuperación de desastres que asegure la continuidad del negocio en un aspecto de vital importancia.
  • 14. ¿Cómo afrontar esta situación? • La ISO 22301 es de carácter preventivo, aunque en este caso, no se trata de prevenir un incidente, sino de prevenir las posibles consecuencias de un incidente y proporcionar a las organizaciones la capacidad para recuperarse ante desastres y todo tipo de incidentes que vulneren la seguridad. • La Gestión de Continuidad del Negocio es un proceso holístico que identifica las amenazas potenciales que se ciernen sobre una organización y los impactos a las operaciones del negocio que la materialización de tales amenazas puedan causar y proporciona un marco de referencia para construir la resiliencia organizacional con capacidad para dar respuesta efectiva, protegiendo los intereses de las partes interesadas, la reputación, la marca y las actividades creadoras de valor.
  • 15. ¿Cómo afrontar esta situación? • Cada escenario de amenazas tiene una estrategia de continuidad que se materializa a través de planes de reanudación de operaciones que son ensayados regularmente. • Una empresa con un SGCN ensayado periódicamente es muy difícil que deje de operar y no pueda suministrar sus productos o servicios.
  • 16. riesgo Efecto de la incertidumbre sobre los objetivos • Nota 1 a la entrada: Un efecto es una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas. • Nota 2 a la entrada: Los objetivos pueden tener diferentes aspectos y categorías, y se pueden aplicar a diferentes niveles. • Nota 3 a la entrada: Con frecuencia, el riesgo se expresa en términos de fuentes de riesgo (3.4), eventos (3.5) potenciales, sus consecuencias (3.6) y sus probabilidades (3.7).
  • 17. Riesgo “Efecto de la incertidumbre” es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad DESVIACION DE LO ESPERADO Término común y definición esencial para las normas de sistemas de gestión que se proporcionan en Anexo SL de Directivas ISO/IEC
  • 18. ¿Cómo afrontar esta situación? Existe entonces la necesidad de gestionar los riesgos y operar en continuidad del negocio ISO 22301 : 2019 no requiere evaluaciones de riesgo según algún proceso especifico. ISO 31000:2018 Gestión del riesgo Principios y directrices puede ser una referencia útil para organizaciones que desean o necesitan un enfoque más formal del riesgo (uso no obligatorio) , ayuda a las organizaciones a desarrollar su propia estrategia para administrar sus riesgos.
  • 19. ¿Cómo afrontar esta situación? • La norma ISO 31000:2018 (Gestión del riesgo – Principios y Guías) proporciona en forma integral a las organizaciones, principios bajo un marco de proceso, destinado a gestionar cualquier tipo de riesgo de forma sistemática, creíble, transparente Esta norma se complementa con la ISO Guide 73:2018 Gestión del riesgo Vocabulario. El estándar ISO 31010, proporciona técnicas sistemáticas de apoyo
  • 20. Para integrar la gestión del riesgo en ISO 22301 : 2019, podemos seguir los criterios de la norma ISO 31000: 2018 ISO 31000: 2018 ISO22301:2019
  • 21. Objetivo de SGCN/ BCMS Para la organización, el objetivo de SGCN/ BCMS, es ser capaz de proporcionar respuestas a las siguientes preguntas: • Cómo la organización continuará prestando servicios a sus clientes? • Cómo la organización continuará la operación? • Cuanto tiempo una organización se puede mantener o sobrevivir durante un desastre (sin la operación) ? • Cómo minimiza las pérdidas y los impactos? • Cómo se va recuperar y volver a la normalidad? • Cómo lograr una reanudación rentable después de una interrupción ? • Cómo responder durante la crisis de forma eficaz ?
  • 22. Evolución de la continuidad del negocio • Si se implementa correctamente, la gestión de la continuidad del negocio disminuirá la posibilidad de ocurrencia de una interrupción y, en caso de producirse, la organización estará preparada para responder en forma adecuada y, de esa forma, reducir drásticamente el daño potencial de ese incidente.
  • 23. Evolución de la continuidad del negocio De… • Recuperación por interrupción • Restauración ante desastres • De la recuperación a la resiliencia • Ejercicio para identificar características de la continuidad A…
  • 24. ¿Cuáles son los beneficios de implementar la gestión la continuidad del negocio? Prepara a las organizaciones para hacer frente a las interrupciones mas importantes y mejorar su competitividad. • ISO 22301 ofrece una visión clara y detallada de cómo opera una organización, ofreciendo información valiosa que es útil para la planificación estratégica, la gestión de riesgos, la gestión de la cadena de suministro, la transformación empresarial y la gestión de recursos. • La capacidad de asegurar a los clientes, proveedores, reguladores y otras partes interesadas que la organización cuenta con sistemas y procesos sólidos para la continuidad del negocio. • Mejor desempeño del negocio y resiliencia organizacional. • Una mejor comprensión del negocio a través del análisis de problemas críticos y áreas de vulnerabilidad.
  • 25. ¿Cuáles son los beneficios de implementar la gestión la continuidad del negocio? • Reduce las pérdidas económicas potenciales. • Mejora la protección de activos. • Mejora el gobierno corporativo. • Construye confianza en los clientes y partes interesadas. • Proyecta una buena imagen corporativa • Asegura a sus socios la continuidad de su bienes y servicios. • Genera ventaja competitiva por su capacidad para mantener sus despachos o servicios. • Mantiene su capacidad para gestionar riesgos. • Fomenta el trabajo en equipo
  • 26. ¿Cuáles son las ventajas para los grupos de interés? Los clientes (y otras partes interesadas como proveedores o personal interno )se benefician claramente de la implementación de esta norma en una compañía: • Los clientes perciben un servicio continuado y fiable, • Los proveedores trabajan más cómodamente con la compañía y en mejores condiciones. • El personal interno trabaja de forma más eficaz y con una mayor motivación debido a la comprensión de la importancia de su contribución individual y tener claro como actuar ante un incidente.
  • 27. La serie de normas ISO 22300 • La serie de normas ISO 22300 es un conjunto de estándares desarrollados por la Organización Internacional de Normalización (ISO) , que proporcionan un marco de gestión de la continuidad del negocio alineados con los objetivos de negocio ,y optimizando las inversiones realizadas en controles o salvaguardas que protejan los activos.
  • 28. La serie de normas ISO 22300 • La serie de normas ISO 22300 constan entre otras de: • ISO 22300:2018 Security and resilience — Vocabulario • ISO 22313: 2020 Protección y seguridad de los ciudadanos. Sistema de Gestión de la Continuidad del Negocio. Directrices. Es una guía de implementación que apoya al estándar ISO 22301. • ISO 22301:2019 Sistemas de Gestión de la Continuidad del negocio Norma Certificable. • ISO 22320:2018 Gestión de emergencias. Requisitos para la respuesta ante incidentes etc …
  • 29. La serie de normas ISO 22300 • ISO 22313 avanza a través de su revisión un paso por detrás de ISO 22301 y se prevé su publicación a principios de 2020. • Los requisitos contenidos en ISO 22301 debían acordarse antes de revisar la guía presentada en ISO 22313. Este enfoque garantiza que la orientación disponible para los profesionales se alinee con precisión con los requisitos establecidos en ISO 22301.
  • 30. ISO 22301. ¿Cómo surge la norma? ISO-22301 aparece como resultado de una evolución de lineamientos, buenas prácticas y estándares de continuidad de negocio: • NFPA 1600, es el lineamiento más antiguo, de 1995, estableció una serie de criterios para la gestión de emergencias, desastres y programas de continuidad para las empresas. • En 1997, el Disaster Recovery Institute International (DRII) publicó las Prácticas Profesionales para la Gestión del Negocio. • En 2002, aparecen las Buenas Prácticas para la Continuidad del Negocio, publicado por el Business Continuity Institute.
  • 31. ISO 22301. ¿Cómo surge la norma? • El lineamiento PAS 56 publicado en 2003, establece el proceso, principios y terminología de un sistema de continuidad del negocio. Además, desarrolló una serie de recomendaciones para la anticipación a incidentes y otras de tipo técnicas para la evaluación. • En 2006, es publicado el lineamiento BS 25999-1, el cual describía el ciclo de vida de la continuidad del negocio. • El estándar BS 25999-2 se publicó en 2007 y fue el primer estándar internacional auditable y certificable. Su misión era definir los requisitos para un enfoque de sistemas de gestión para la continuidad del negocio basado en buenas prácticas.
  • 32. ISO 22301. ¿Cómo surge la norma? • También en 2007 se publicó el ISO/PAS 22399, que generó los lineamientos genéricos para una empresa interesada en desarrollar un sistema de gestión con criterios para el desempeño de preparación ante la continuidad operacional y posibles incidentes. • En 2008 fueron publicadas ISO/IEC 24762 y BS 25777. La primera desarrolló guías para la provisión de información y comunicación ante la recuperación de desastres y la segunda responde a un código de buenas prácticas sobre la gestión de la continuidad.
  • 33. ISO 22301. ¿Cómo surge la norma? • Ya en el año 2010 se publicó el ASIS/BSI Business Continuity Management Standard. • Se trata de un lineamiento basado en BS 25999, y especifica los requerimientos para un sistema de gestión de continuidad del negocio. • En 2011 aparece el PAS 200 Gestión de Crisis – Lineamiento y Buena Práctica. Es un lineamiento creado para asistir a las empresas en la toma de pasos prácticos para mejorar su habilidad de manejar la crisis.
  • 34. ISO 22301. ¿Cómo surge la norma? • IEC 27031, también aparece en 2011, y describe los conceptos y principios de tecnología de información y comunicación para preparar a una organización para la continuidad del negocio. • El 15 Mayo de 2012 El Comité técnico TC/223 publica la primera versión de la Norma: ISO22301:2012 Seguridad de la sociedad: Sistemas de Gestión de la Continuidad del negocio – Requisitos • Adoptó el ciclo PHVA / PDCA, para la planificación, establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y la mejora continua de su efectividad. • La ISO 22301 reemplazo a la 25999-2.
  • 35. ISO 22301. ¿Cómo surge la norma? 2019 ISO 22301
  • 36. ¿Por qué se revisó la ISO 22301? • Todas las normas ISO deben revisarse periódicamente para reflejar la visión colectiva actual de las buenas prácticas globales. Para garantizar que esto suceda, ISO establece un ciclo de revisión de 5 años. • En el caso de ISO 22301, la primera versión en 2012 presentó un enfoque estructurado sólido para implementar y mantener un sistema de gestión para la continuidad del negocio. Desde entonces, una combinación de la experiencia obtenida al usar el estándar y la forma en que ahora pensamos sobre la continuidad del negocio impulsó la necesidad de revisar el documento.
  • 37. ¿Por qué se revisó la ISO 22301? • ISO 22301 fue revisado por el grupo de trabajo WG2 del Comité Técnico 292 de ISO sobre Seguridad y resiliencia (ISO / TC 292). • El proceso incluyó aportes de una amplia gama de expertos internacionales de más de 40 países. Además, se emitieron versiones preliminares para comentario público, asegurando que se capturara una amplia variedad de puntos de vista para su consideración.
  • 38.
  • 39. ¿Por qué se revisó la ISO 22301? • Tras un dilatado proceso de revisión técnica por parte de los expertos de la organización internacional de estandarización ISO , el 30 de octubre de 2019 fue publicada la nueva edición del estándar normativo de requisitos para Sistemas de Gestión de Continuidad de Negocios. ISO 22301:2019 Security and resilience – Business continuity management systems – Requirements
  • 40. Cronología y transición • Habrá un período de transición de tres años. • Todos los certificados en la versión 2012 perderán su validez en el 2022. • La nueva versión no incluye cambios estructurales importantes, pero si una mejora relevante que incluye más flexibilidad y menos prescripción. • Esto facilita la transición para las organizaciones que ya dispongan de la certificación.
  • 41. ¿Quién puede implementar esta norma? • Cualquier organización, grande o pequeña, con o sin fines de lucro, privada o pública. • La norma está concebida de tal forma que es aplicable a cualquier tamaño o tipo de organización. • De manufactura o servicio, en cualquier sector de la industria. Financiero, Mercado de valores , Telecomunicaciones Manufactura , Entretenimiento, Educación Hospitalario Retail Consultoría , etc.
  • 42. 10 países con más certificados en Normas ISO 22301 1. India 1.607 2. Reino Unido 574 3. Japón 226 4. Estados Unidos 165 5. Singapur 157 6. España 120 7. Emiratos Árabes Unidos 98 8. República de Corea 88 9. Polonia 75 10. Turquía 68 informe ISO Survey 2016,
  • 43.
  • 44.
  • 45. ¿Cómo encaja la continuidad del negocio en la gestión general? • La gestión de continuidad del negocio es parte de la gestión general del riesgo en una organización y tiene áreas superpuestas con la gestión de seguridad y gestión de tecnología de la información.
  • 46. ¿Cómo encaja la continuidad del negocio en la gestión general? Gestión General de la organización
  • 47. Relación de la norma ISO 22301 con la ISO 27001 y la ISO /IEC 20000 • La norma ISO 27001 SG de seguridad de la información, se encuentra muy ligada y tiene puntos en común con otras dos normas ISO: la ISO 22301 SG de continuidad del negocio y la ISO/IEC 20000-1, SG de servicios (Tecnología de la Información). • La ISO 22301 trabaja el tema de la seguridad en la organización desde una perspectiva mucho más general y global, tratando de asegurar la continuidad del negocio, lo cual influye en aspectos tan diversos como: los activos financieros, la contabilidad, los aspectos legales y todos los factores ligados con la producción y la operativa.
  • 48. Relación de la norma ISO 22301 con la ISO 27001 y la ISO /IEC 20000 • El estándar 22301 se centra en diversos aspectos de la organización que van a permitir su sustentabilidad, utilizando para ello ciertos elementos y controles que van a evitar las consecuencias de las distintas amenazas, así como también encontrar las causas que motivan el problema. Un aspecto muy importante de la norma ISO 22301, que no tiene en cuenta la ISO 27001, son los tiempos de recuperación, una cuestión crucial para poder evaluar si nuestro plan de contingencia es el adecuado para poder reanudar la actividad niveles aceptables para la organización, una vez ha ocurrido el incidente.
  • 49. Relación de la norma ISO 22301 con la ISO 27001 y la ISO /IEC 20000 • Otra noma relacionada es el estándar ISO/IEC 20000- 1, de Sistema de gestión de la calidad de los servicios TI (Tecnologías de la Información): • hosting, páginas web, e-learning, desarrollo de software. Todo ello va ligado a la continuidad del negocio y de los servicios de información y, en conjunto, sirve para garantizar un servicio seguro, sin interrupciones importantes y de calidad.
  • 50. Sistema de gestión Análisis de Riesgos Análisis del Impacto en el negocio BIA ISO 22301 SG de continuidad del negocio Sistema de gestión Análisis de Riesgos Análisis del Impacto en el negocio BIA Planes de contingencia Continuidad de negocio gestionada
  • 51. Sistema de gestión Análisis de Riesgos Plan de tratamiento de Riesgo ISO 27001 S G de seguridad de la información Seguridad de la información gestionada
  • 52. Sistema de gestión Procesos Servicios ISO/IEC 20000-1, SG de servicios TI Servicios Servicios Servicios gestionados
  • 53. ISO 22301 SG de continuidad del negocio • Una de las bases sobre la que se sustenta el SGCN es el análisis de impactos en el negocio BIA y la evaluación de riesgos y por lo tanto es fundamental que éste se haya realizado con el mayor rigor posible y que se mantenga actualizado de forma sistemática. • Algunas de las metodologías de análisis y gestión de riesgos más utilizadas, compatibles con un SGNC ISO 22301, son: CRAMM, EBIOS, MAGERIT, Métodos ISF ISO 31000 : 2018
  • 54. ISO 22301 SG de continuidad del negocio • Para analizar el impacto y gestionar los riesgos es muy útil su clasificación en dos grandes grupos: riesgos externos y riesgos internos. • En el primer grupo se incluyen los riesgos de entorno de negocio, medioambientales, de regulación o normativa, y de pérdida imagen o reputación. • En el segundo grupo, los riesgos se pueden clasificar a su vez en riesgos de tipo financieros, de operaciones, de recursos humanos, de tecnologías de información y comunicaciones, de gobierno y dirección, etc.
  • 55. ISO 22301 SG de continuidad del negocio • El proceso de análisis de impactos y evaluación de riesgos supone identificar todos los riesgos potenciales y realizar una evaluación del impacto que pueden tener en la consecución de los objetivos, así como de la probabilidad de ocurrencia. • El resultado de este proceso, para el cual se deben utilizar metodologías contrastadas, es el mapa de riesgos de la organización, que se puede presentar en forma de tablas o de gráficos, y en el que se puede visualizar el inventario de riesgos junto con el nivel de probabilidad y el nivel de impacto de cada uno de ellos.
  • 56. Requisitos Clave • Liderazgo imprescindible de la alta dirección; • La consideración del contexto como factor estratégico; • Promover un enfoque a procesos; evaluación, gestión y tratamiento del riesgo, como elemento clave; • Acciones para riesgos y oportunidades, como elemento clave; • Asegurar el cumplimiento de todos los requisitos legales y reglamentarios, que son aplicables a la organización, relacionados con la continuidad de sus operaciones, productos y servicios; y establecer una periodicidad adecuada para garantizar la actualización de los mismos;
  • 57. Requisitos Clave • Planificar la toma de acciones para abordar el cumplimiento de los requisitos legales y otros requisitos, los riesgos y oportunidades, considerando las mejores técnicas disponibles • La importancia de la gestión de la continuidad del negocio debe comunicarse dentro de la organización, la toma de conciencia y compromiso de todas las personas es imprescindible para que el sistema funcione; • Proporcionar la formación necesaria para garantizar la competencia de las personas que realizan tareas relacionadas con la continuidad del negocio. • Análisis del impacto en el negocio BIA, identificación de procesos críticos; estrategias de recuperación, planes de recuperación y realización de pruebas; • Canales de comunicación.
  • 58. Anexo SL • ¿Qué es el Anexo SL? • El Anexo SL es un documento publicado a finales del 2012, que está teniendo gran impacto en organizaciones, consultores, organismos de acreditación, auditores y redactores de normas de Sistemas de Gestión. Es la Estructura de Alto Nivel (HSL) publicada por ISO en el Anexo SL la que facilita la integración entre Normas Sistemas de Gestión de ISO.
  • 59. Anexo SL • el Anexo SL aporta coherencia y compatibilidad entre los sistemas de gestión, y simplifica en gran medida posibles duplicidades y confusión en el proceso de implantación de sistemas de gestión en base a varias normas en una misma organización. • El Anexo SL hace que las normas tengan: 1. Una estructura común (estructura de alto nivel HSL) 2. Parte de su texto idéntico. 3. Definiciones comunes
  • 60. Anexo SL • Todas las normas sobre sistema de gestión que se publiquen o revisen a partir de la publicación del Anexo SL deben de hacerlo bajo esta guía, para lograr una estructura uniforme, un marco de sistemas de gestión genérico, que sea más fácil de manejar y otorgue un beneficio de negocio a aquellas empresas que cuentan con varios sistemas de gestión integrados. Tiene un enfoque sistémico
  • 61. • Tiene el propósito de alinear las diversas normas de sistemas de gestión…
  • 62. …con capítulos idénticos, títulos y texto básico
  • 63.
  • 64. Ventajas de Anexo SL • Títulos y cláusulas idénticas en la estructura de alto nivel • Vocabulario central genérico • Facilita integración con otros sistemas de gestión
  • 65. Cláusula principal Común X.1 Subcláusula. Texto idéntico común y/o texto específico de la disciplina. X.1.1 Sub-sub-cláusula Texto idéntico común y/o texto específico de la disciplina
  • 66. El Anexo SL Apéndice 2, enumera 22 términos y definiciones. Dichos términos y definiciones constituyen una parte integral del "texto común" para las normas de Sistemas de Gestión. Por ejemplo: ISO / 9001: 2014 enumera 69 términos y definiciones. ISO / 14001: 2014 enumera 33 términos y definiciones. (incluyendo los 22 indicados en el anexo SL)
  • 67. Anexo SL: Estructura de Alto Nivel (HSL) • Al basarse en la Estructura de Alto Nivel (HLS), ISO 22301:2019 Sistemas de Gestión de la Continuidad del negocio comparte los textos centrales y los términos y definiciones con otras normas de sistemas de gestión ISO revisadas recientemente, como ISO 9001:2015 e 14001:2015 27001:2013 22000:2018 55001:2014 45001:2018 50001:2018 etc. . Este marco de referencia está diseñado para facilitar la integración de nuevos temas de gestión en los sistemas establecidos en una organización.
  • 68. Anexo SL: Estructura de Alto Nivel (HSL) 0.Introducción • Estas Normas Internacionales de Sistemas de Gestión emplean el enfoque a procesos, que incorpora el ciclo Planificar-Hacer-Verificar-Actuar (PHVA) y el pensamiento basado en riesgos.
  • 69. Anexo SL: Estructura de Alto Nivel (HSL) • El desarrollo de las normas ISO de Sistema de Gestión sigue por lo tanto la Estructura de Alto Nivel (HSL) y cuentan con una estructura de 10 capítulos. • Los tres primeros 1 a 3 son introductorios, mientras que los capítulos 4 a 10 incluyen los requisitos que se especifican para establecer, implementar, mantener y mejorar el Sistema de Gestión.
  • 70. Anexo SL: Estructura de Alto Nivel (HSL)
  • 71.
  • 72. Anexo SL: Estructura de Alto Nivel (HSL) • Cláusula 1 – Alcance El alcance es específico para cada disciplina, probablemente con algún texto idéntico. Definirá los resultados esperados de la norma del sistema de gestión. • Cláusula 2 - Referencias normativas Cada disciplina contendrá la normativa específica aplicable. • Cláusula 3 - Términos y definiciones Incluye los términos básicos y las definiciones más las propias de cada disciplina. Estos conceptos constituyen una parte integral del texto común para las normas de sistemas de gestión.
  • 73. Anexo SL: Estructura de Alto Nivel (HSL) • 3.01 organización: • Persona o grupo de personas que tienen sus propias funciones con responsabilidades, autoridades y relaciones para el logro de sus objetivos (3.08). • Nota 1 al texto: El concepto de organización incluye, entre otros, un trabajador independiente, compañía, corporación, firma, empresa, autoridad, sociedad, organización de caridad o institución, o una parte o combinación de éstas, ya estén constituidas o no , públicas o privadas.
  • 74. Anexo SL: Estructura de Alto Nivel (HSL) • 3.02 parte interesada: • Persona u organización (3.01) que puede afectar, verse afectada, o percibirse como afectada por una decisión o actividad. • NOTA a la versión en español: Los términos en inglés “interested party” y “stakeholder” tienen una traducción única al español como “parte interesada”.
  • 75. Anexo SL: Estructura de Alto Nivel (HSL) • 3.03 requisito: • Necesidad o expectativa que está establecida, generalmente implícita u obligatoria. • Nota 1 al texto: “Generalmente implícita" significa que es una costumbre o práctica común en la organización y en las partes interesadas, que la necesidad o expectativa que se considera está implícita. • Nota 2 al texto: Un requisito especificado es el que está declarado, por ejemplo, en información documentada.
  • 76. Anexo SL: Estructura de Alto Nivel (HSL) • 3.04 sistema de gestión: • Conjunto de elementos de una organización (3.01) interrelacionados o que interactúan para establecer políticas (3.07), objetivos (3.08) y procesos (3.12) para lograr estos objetivos. • Nota 1 al texto: Un sistema de gestión puede tratar una sola disciplina o varias disciplinas. • Nota 2 al texto: Los elementos del sistema incluyen la estructura de la organización, los roles y las responsabilidades, la planificación, la operación, etc. • Nota 3 al texto: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones específicas e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más funciones dentro de un grupo de organizaciones.
  • 77. Anexo SL: Estructura de Alto Nivel (HSL) • 3.05 alta dirección: • Persona o grupo de personas que dirigen y controlan una organización (3.01) al más alto nivel. • Nota 1 al texto: La alta dirección tiene el poder para delegar autoridad y proporcionar recursos dentro de la organización. • Nota 2 al texto: Si el alcance del sistema de gestión (3.04) comprende sólo una parte de una organización, entonces “alta dirección” se refiere a quienes dirigen y controlan esa parte de la organización.
  • 78. Anexo SL: Estructura de Alto Nivel (HSL) • 3.06 eficacia: • Grado en el cual se realizan las actividades planificadas y se logran los resultados planificados. • 3.07 política: • Intenciones y dirección de una organización (3.01), como las expresa formalmente su alta dirección (3.05).
  • 79. Anexo SL: Estructura de Alto Nivel (HSL) • 3.08 objetivo: • Resultado a lograr. • Nota 1 al texto: Un objetivo puede ser estratégico, táctico u operativo. • Nota 2 al texto: Los objetivos pueden referirse a diferentes disciplinas (como financieras, de seguridad y salud y ambientales) y se pueden aplicar en diferentes niveles (como estratégicos, para toda la organización, para proyectos, productos y procesos (3.12)). • Nota 3 al texto: Un objetivo se puede expresar de otras maneras, por ejemplo, como un resultado previsto, un propósito, un criterio operativo, un objetivo XXX, o mediante el uso de términos con un significado similar (por ejemplo, finalidad o meta). • Nota 4 al texto: En el contexto de sistemas de gestión XXX, la organización establece los objetivos XXX, en concordancia con la política XXX, para lograr resultados específicos.
  • 80. Anexo SL: Estructura de Alto Nivel (HSL) • 3.09 riesgo: • Efecto de la incertidumbre. • Nota 1 al texto: Un efecto es una desviación de lo esperado, ya sea positivo o negativo. • Nota 2 al texto: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad. • Nota 3 al texto: Con frecuencia el riesgo se caracteriza por referencia a eventos potenciales (Guía ISO 73, 3.5.1.3) y a consecuencias potenciales (Guía ISO 73, 3.6.1.3), o a una combinación de éstos. • Nota 4 al texto: Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluyendo cambios en las circunstancias) y la probabilidad (Guía ISO 73, 3.6.1.1) de que ocurra.
  • 81. Anexo SL: Estructura de Alto Nivel (HSL) • 3.10 competencia: • Capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos. • 3.11 información documentada: • Información que una organización (3.01) tiene que controlar y mantener, y el medio en el que está contenida. • Nota 1 al texto: La información documentada puede estar en cualquier formato y medio, y puede provenir de cualquier fuente. • Nota 2 al texto: La información documentada puede hacer referencia a: – el sistema de gestión (3.04), incluidos los procesos relacionados (3.12); – la información creada para que la organización opere (documentación), – la evidencia de los resultados alcanzados (registros).
  • 82. Anexo SL: Estructura de Alto Nivel (HSL) • 3.12 proceso: • Conjunto de actividades interrelacionadas o que interactúan, que transforma elementos de entrada en elementos de salida. • 3.13 desempeño: • Resultado medible. • Nota 1 al texto: El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos. • Nota 2 al texto: El desempeño se puede relacionar con la gestión de actividades, procesos (3.1.2), productos (incluidos servicios), sistemas u organizaciones (3.01).
  • 83. Anexo SL: Estructura de Alto Nivel (HSL) • 3.14 contratar externamente (verbo): • Establecer un acuerdo mediante el cual una organización (3.01) externa realiza parte de una función o proceso (3.12) de una organización. • Nota 1 al texto: Una organización externa está fuera del alcance del sistema de gestión (3.04), aunque la función o proceso contratado externamente forme parte del alcance.
  • 84. Anexo SL: Estructura de Alto Nivel (HSL) • 3.15 seguimiento: • Determinación del estado de un sistema, un proceso (3.12) o una actividad. • Nota 1 al texto: Para determinar el estado puede ser necesario verificar, supervisar u observar en forma crítica. • 3.16 medición: • Proceso (3.12) para determinar un valor.
  • 85. Anexo SL: Estructura de Alto Nivel (HSL) • 3.17 auditoría: • Proceso (3.12) sistemático, independiente y documentado para obtener las evidencias de auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en el que se cumplen los criterios de auditoría. • Nota 1 al texto: Una auditoría puede ser interna (de primera parte), o externa (de segunda o tercera parte), y puede ser combinada (combinando dos o más disciplinas). • Nota 2 al texto: “Evidencia de auditoría” y “criterios de auditoría” se definen en la Norma ISO 19011.
  • 86. Anexo SL: Estructura de Alto Nivel (HSL) • 3.18 conformidad: • Cumplimiento de un requisito (3.03). • 3.19 no conformidad: • Incumplimiento de un requisito (3.03). • 3.20 corrección: • Acción para eliminar una no conformidad (3.19) detectada. • 3.21 acción correctiva: • Acción para eliminar la causa de una no conformidad (3.19) y prevenir que vuelva a ocurrir. • 3.22 mejora continua: • Actividad recurrente para mejorar el desempeño (3.13).
  • 87. Anexo SL: Estructura de Alto Nivel (HSL) • Cláusula 4 - Contexto de la organización La organización determinará las cuestiones que desea resolver, planteará cuáles son los impactos que genera y obtendrá los resultados esperados. Para ello este capítulo habla sobre la necesidad de comprender la organización y su contexto, comprender las necesidades y expectativas de las partes interesadas y determinar el ámbito de aplicación del sistema de gestión.
  • 88. Anexo SL: Estructura de Alto Nivel (HSL) • Cláusula 4 - Contexto de la organización • 4.1. Comprendiendo la organización y su contexto • 4.2 Comprendiendo las necesidades y expectativas de las partes interesadas • 4.3 Determinando el alcance del sistema de gestión • 4.4 Sistema de Gestión
  • 89. Anexo SL: Estructura de Alto Nivel (HSL) • Cláusula 5 – Liderazgo Aparece como una reiteración de las políticas, funciones, responsabilidades y autoridades de la organización, y sobre todo enfatiza el rol del liderazgo. Esta cláusula aporta relevancia a la función y responsabilidad de la alta dirección, la cual a partir de su publicación deberá tener mayor nivel de participación en el sistema de gestión. Entre sus responsabilidades figura la de comunicar a todos los miembros de la organización la importancia del sistema de gestión y fomentar su participación.
  • 90. Anexo SL: Estructura de Alto Nivel (HSL) • Cláusula 5 – Liderazgo • 5.1 Liderazgo y compromiso • 5.2 Política • 5.3 Roles, responsabilidades y autoridades de la Organización
  • 91. Anexo SL: Estructura de Alto Nivel (HSL) • Cláusula 6 – Planificación Este punto incluye el carácter preventivo de los sistemas de gestión como un todo, trata los riesgos y oportunidades que enfrenta la organización. La planificación abordará qué, quién, cómo y cuándo, se deberán realizar las acciones que conduzcan al logro de los objetivos de la organización. Proporciona más facilidad de comprensión a la acción preventiva y correctiva.
  • 92. Anexo SL: Estructura de Alto Nivel (HSL) • Cláusula 6 – Planificación • 6.1 Acciones para manejar riesgos y oportunidades • 6.2 Objetivos y planes para lograrlos
  • 93. Anexo SL: Estructura de Alto Nivel (HSL) • Cláusula 7 – Soporte Habla de aspectos como recursos, competencia, conciencia, comunicación o información documentada, que constituyen el soporte necesario para cumplir las metas y objetivos de la organización.
  • 94. Anexo SL: Estructura de Alto Nivel (HSL) • Cláusula 7 – Soporte • 7.1 Recursos • 7.2 Competencia • 7.3 Concientización • 7.4 Comunicación • 7.5 Información documentada
  • 95. Información documentada • Diseñada por la propia organización • Clara, simple y precisa • Codificación simple y entendible • Actualizada • Adecuada para la capacitación • La información documentada puede estar en cualquier formato o tipo de medio. (Fotografía Papel ,Soporte Informático)
  • 96. • Título y Alcance • Tabla de Contenido • Revisión y Aprobación • Política y Objetivos • Organización, responsabilidad y autoridad • Referencias y Descripción Información documentada
  • 97. Información documentada • Se emplea el término información documentada en sustitución de los términos documentos y registros. No existe más referencia a los procedimientos documentados, manual de calidad, etc. • Se pretende un sistema de gestión documentado y no un sistema de documentos Información documentada. Información que una organización tiene que controlar y mantener, y el medio en que está contenida Documentos Registros Información Documentada+ =
  • 99. Anexo SL: Estructura de Alto Nivel (HSL) • Cláusula 8 – Operación Es la cláusula en la que la organización planifica y controla sus procesos interno y externos, los cambios que se produzcan y las consecuencias no deseadas de los mismos. Es la cláusula más corta pero la que mas varia según el Sistema de Gestión de Normas ISO de la cual se trate.
  • 100. Anexo SL: Estructura de Alto Nivel (HSL) • Cláusula 8 – Operación • 8.1 Planificación y control operativo
  • 101. Anexo SL: Estructura de Alto Nivel (HSL) • Cláusula 9 - Evaluación del desempeño Habla de seguimiento, medición, análisis y evaluación de la eficacia del sistema de gestión mediante la evaluación del desempeño, las auditorías internas, el análisis, la evaluación y la revisión por parte de la dirección. Requiere especificar cómo y cuándo realizar seguimiento y medición, así como realizar el análisis y evaluación de los resultados.
  • 102. Anexo SL: Estructura de Alto Nivel (HSL) • Cláusula 9 - Evaluación del desempeño • 9.1 seguimiento, medición, análisis y evaluación • 9.2 Auditoría Interna • 9.3 Revisión del Sistema
  • 103. Anexo SL: Estructura de Alto Nivel (HSL) • Cláusula 10 – Mejora Enfatiza la importancia de realizar acciones de mejora a los procesos, productos, servicios y al sistema de gestión. Es necesario identificar y evaluar las no conformidades, así como, la implementación y evaluación de la eficacia de las acciones correctivas.
  • 104. Anexo SL: Estructura de Alto Nivel (HSL) • Cláusula 10 – Mejora • 10.1 No conformidad y acciones correctivas de mejora • 10.2 Mejora continua
  • 105. Principales cambios de ISO 22301:2019 Hay 3 áreas principales de cambio: • Terminología: términos clave de Continuidad del Negocio modernizados para reflejar cómo los expertos de todo el mundo ahora usan esos términos en la práctica. • Estructura: las secciones se han reubicado, fusionado o eliminado (debido a la repetición) para separar más claramente los pasos necesarios para brindar la capacidad de Continuidad del Negocio de los pasos necesarios para implementar y mantener el sistema de gestión. • Simplificación: la revisión ha dado como resultado un documento que es más fácil de leer y adoptar. Para las organizaciones que buscan la certificación, la nueva versión requiere el cumplimiento de menos declaraciones "debe".
  • 106. Principales cambios de ISO 22301:2019 • Según ha señalado ISO, así como el propio comité técnico que ha llevado a cabo la revisión, el principal cambio que habría que destacar, es que la propia norma señala que no se están incluyendo requisitos nuevos, sino que estos han sido clarificados. • Esto permitirá que puedan ser mejor entendidos y aplicados por las organizaciones. • A modo de resumen, entre los principales cambios de la norma se podrían señalar los siguientes:
  • 107. Principales cambios de ISO 22301:2019 • Se han aplicado los requisitos de ISO para los estándares del sistema de gestión, que han evolucionado desde 2012. • Como se indicaba anteriormente, los requisitos se han clarificado, sin agregar nuevos requisitos; • Nombre de la norma. Ha pasado de «Societal security Business continuity management systems Requirements» a «Security and resilience Business continuity management systems - Requirements».
  • 108. Principales cambios de ISO 22301:2019 • El diagrama del modelo PDCA se eliminó, ya que los diagramas son difíciles de estandarizar y generalmente conducen a discusiones e interpretaciones interminables. • Las cláusulas 4 a 10 cubren los componentes de PDCA, como antes. • Los términos y definiciones se actualizaron para incluir la plataforma de navegación en línea ISO y la IEC Electropedia; ambas son plataformas de información basadas en la web.
  • 109. Principales cambios de ISO 22301:2019 • En la cláusula 3 "Términos y definiciones", se modificaron, redefinieron, eliminaron y agregaron varios términos de la disciplina de continuidad del negocio para mejorar la claridad y reflejar el pensamiento actual. • Los principales cambios incluyen: La eliminación de los términos BCM, BCP, invocación, MAO.
  • 110. "Términos y definiciones" introducidos • consecuencia • interrupción • emergencia • impacto • información • probabilidad • gestión • medida • planificación • protección • recuperación introducida en lugar de "RPO, RTO" • resistencia • revisión • cadena de suministro • entrenamiento
  • 111. "Términos y definiciones" Eliminados: • BCM • BCP documento • infraestructura • invocación • MAO, MTPD, MBCO • Apetito por el riesgo • BCMS redefinido • actividades priorizadas cambiadas a "actividad priorizada" • producto o servicio ligeramente modificado • Ensayos reemplazado por el término “ensayo"
  • 112. Principales cambios de ISO 22301:2019 • Redefinición del termino BCMS. • En la versión de 2012, “apetito por el riesgo” se definió como la “cantidad y tipo de riesgo que una organización está dispuesta a perseguir o retener”. La versión 2019 elimina el término. • El “apetito por el riesgo” es un tema subjetivo, lo que importa no es el riesgo que una organización está dispuesta a asumir, sino el nivel en el que el impacto de no reanudar las actividades sería inaceptable para una organización.
  • 113. Principales cambios de ISO 22301:2019 • La cláusula 4 “Contexto de la organización” recibió solo modificaciones menores. • El equipo del proyecto intentó crear subcláusulas introductorias al comienzo de cada cláusula. • Como tal, por ejemplo, la subcláusula 4.1 es una introducción a la cláusula 4 y la subcláusula 4.2.1 (general) es una introducción a la subcláusula 4.2.
  • 114. Principales cambios de ISO 22301:2019 • Se reducen requisitos para BCM. La nueva versión 2019 establece la necesidad de definir y determinar simplemente problemas externos e internos de la empresa y su contexto, pero sin especificar lo que esto conlleva. No dice que elementos tener en cuenta, ni incluye requisitos a documentar para este proceso.
  • 115. Principales cambios de ISO 22301:2019 • La cláusula 5 sobre “Liderazgo” fue simplificada. • Fue recortada la participación de la alta dirección (5.2). • Aunque en la versión anterior se requería una participación activa en el ejercicio y la prueba y todas las etapas, la nueva versión es más pragmática y se enfoca en lo que es realmente necesario para mantener el sistema de gestión.
  • 116. Principales cambios de ISO 22301:2019 • Se mejoró la cláusula 6 sobre planificación, centrándose en los objetivos de continuidad del negocio y la planificación para alcanzarlos (6.2). • Se introdujo una nueva subcláusula sobre la planificación de cambios en el BCMS (6.3). • La cláusula 7 sobre Soporte fue simplificada.
  • 117. Principales cambios de ISO 22301:2019 • Los requisitos específicos de la disciplina de continuidad del negocio ahora están incluidos casi por completo dentro de la Cláusula 8; • La cláusula 8 se ha reestructurado para proporcionar una comprensión más clara de los requisitos clave; • La estructura de las subcláusulas no se modificó mucho, se mejoraron con nuevas adiciones en el contenido.
  • 118. Principales cambios de ISO 22301:2019 • La Sección 8.2.2 sobre Análisis de impacto en el negocio (BIA) ahora estipula que el BIA debe definir los tipos de impacto y los criterios relevantes como punto de partida. Si bien muchas organizaciones ya definen tipos de impacto en su BIA, la versión 2019 lo hace obligatorio. Por ejemplo, se agregó una referencia a ISO 22318 (continuidad de la cadena de suministro). Se agregaron notas que hacen referencia a los términos MTPD y RTO (ambos eliminados de la cláusula sobre términos y definiciones).
  • 119. Principales cambios de ISO 22301:2019 • En la Sección 8.3 se ha cambiado el nombre “Estrategia de Continuidad de Negocios” a “Estrategias y Soluciones de Continuidad de Negocios”. • Demuestra pragmatismo destacando la necesidad de identificar y seleccionar estrategias y soluciones para posibles impactos o riesgos específicos (en 8.3.2), en lugar de concentrarse en desarrollar una gran estrategia para garantizar la continuidad.
  • 120. Principales cambios de ISO 22301:2019 • La cláusula 8.4 (anteriormente denominada "Establecer e implementar procedimientos de continuidad de negocios") ha sido renombrada a "Planes y procedimientos de continuidad de negocios", enfocandose en la "Estructura de respuesta" (8.4.2), "Advertencia y comunicación" (8.4.3), "Planes de continuidad de negocio” (8.4.4) y “Recuperación” (8.4.5). • Una sub-cláusula sobre "Programa de ejercicios" (8.5) reemplaza la sub-cláusula anteriormente llamada "Ejercicio y prueba".
  • 121. Principales cambios de ISO 22301:2019 • La cláusula 9 sobre "Evaluación del desempeño" y la cláusula 10 "Mejora" se simplificaron, teniendo también en cuenta los nuevos requisitos de ISO para alinearse con todas las normas de sistema de gestión de ISO.
  • 122. Contenido de ISO 22301 Introducción General El modelo Planificación-Implementación-Verificación- Mejora (PDCA) 1 Alcance 2 Referencias normativas 3 Términos y definiciones 4 Contexto de la organización • 4.1 Comprensión de la organización y su contexto. • 4.2 Comprender las necesidades y expectativas de las partes interesadas.
  • 123. Contenido de ISO 22301 • 4.3 Determinar el alcance del sistema de gestión de continuidad del negocio. • 4.4 Sistema de gestión de la continuidad del negocio. 5 Liderazgo • 5.1 Liderazgo y compromiso. • 5.2 Política. • 5.3 Roles, responsabilidades y autoridades. 6 Planificación • 6.1 Acciones para abordar riesgos y oportunidades. • 6.2 Objetivos de continuidad del negocio y planes para alcanzarlos. • 6.3 Planificación de cambios en el sistema de gestión de continuidad del negocio.
  • 124. Contenido de ISO 22301 7 Apoyo • 7.1 Recursos. • 7.2 Competencia. • 7.3 Conciencia. • 7.4 Comunicación. • 7.5 Información documentada.
  • 125. Contenido de ISO 22301 Reestructuración de la cláusula 8 en ISO 22301:2019 Esta ha sido la cláusula que más cambios ha experimentado en la nueva ISO 22301:2019, quedando con la siguiente estructura: 8.1 Planificación y control operacional 8.2 Análisis de impacto empresarial y evaluación de riesgos – 8.2.1 General – 8.2.2 Análisis de impacto empresarial – 8.2.3 Evaluación de riesgos
  • 126. Contenido de ISO 22301 8.3 Estrategias y soluciones de continuidad empresarial – 8.3.1 General – 8.3.2 Identificación de estrategias y soluciones. – 8.3.3 Selección de estrategias y soluciones. – 8.3.4 Requisitos de recursos – 8.3.5 Implementación de soluciones
  • 127. Contenido de ISO 22301 8.4 Planes y procedimientos de continuidad del negocio – 8.4.1 General – 8.4.2 Estructura de respuesta – 8.4.3 Advertencia y comunicación – 8.4.4 Planes de continuidad del negocio – 8.4.5 Recuperación 8.5 Programa de ejercicios 8.6 Evaluación de la documentación y las capacidades de continuidad del negocio.
  • 128. Contenido de ISO 22301 9 Evaluación de desempeño • 9.1 Supervisión, medición, análisis y evaluación • 9.2 Auditoría interna • 9.3 Revisión por parte de la dirección 10 Mejora • 10.1 No conformidades y acciones correctivas • 10.2 Mejora continua Bibliografía
  • 129. Planificación de cambios en el SGCN. Informacion documentada Estrategias y soluciones de continuidad en el negocio. Planes y procedimientos de continuidad en el negocio Programa de ejercicios. Evaluación de la documentación y las capacidades de continuidad del negocio. ISO 22301:2019 5.Liderazgo
  • 130. Contenido de ISO 22301 • 1. Alcance • Especifica los requisitos para planificar, establecer, implementar, operar, supervisar, revisar mantener y mejorar continuamente un sistema de gestión documentado para protegerse.
  • 131. Contenido de ISO 22301 1. Alcance Este documento es aplicable a todos los tipos y tamaños de organizaciones que busca: a) implementar mantener y mejorar un BCMS; b) tratar de garantizar la conformidad con la política de continuidad comercial establecida; c) necesita la capacidad de continuar la entrega de productos y servicios a una capacidad predefinida aceptable durante una interrupción; d) buscar mejorar su resiliencia a través de la aplicación efectiva del BCMS. Este documento puede usarse para evaluar la capacidad de una organización para satisfacer sus propias necesidades y obligaciones de continuidad comercial.
  • 132. Contenido de ISO 22301 • 2. Referencias normativas ISO 22300 Seguridad y resiliencia -Vocabulario • 3. Términos y Definiciones. Tiene 31 Términos y Definiciones
  • 133. Términos básicos 3.1 actividad Un conjunto de una o más tareas con una salida definida 3.3 continuidad del negocio capacidad de una organización para continuar la entrega de productos y servicios dentro de plazos aceptables a una capacidad predefinida relacionada con una interrupción
  • 134. Términos básicos 3.4 plan continuidad del negocio información documentada (3.13) que guía a una organización (3.31) para responder a una interrupción (3.12) y reanudar, recuperar y restaurar la entrega de productos y servicios consistentes con sus objetivos de continuidad del negocio 3.5 Análisis de Impacto del Negocio BIA proceso (3.40) de analizar el impacto (3.18) de una interrupción (3.12) en la organización (3.31) Nota 1 a la entrada: El resultado es una declaración y justificación de los requisitos de continuidad del negocio (3.3)
  • 135.
  • 136. Términos básicos interrupción (3.12) incidente , ya sea anticipado o no, que causa una desviación negativa no planificada de la entrega esperada de productos y servicios de acuerdo con los objetivos de una organización 3.13 impacto resultado de una interrupción que afecta los objetivos 3.14 incidente evento que puede ser o podría provocar una interrupción , pérdida, emergencia o crisis
  • 137. Términos básicos 3.20 objeto entidad única y distinta que se puede identificar 3.25 actividad priorizada actividad a la que se da urgencia para evitar impactos inaceptables en el negocio durante una interrupción 3.27producto o servicio Producto o resultado proporcionado por una organización a las partes interesadas Ejemplo Artículos manufacturados, seguros de automóviles, enfermería comunitaria.
  • 138. Resiliencia Definiciones: Capacidad de absorber y adaptarse en un entorno cambiante Capacidad de una organización para resistir los efectos de un incidente Latín - resilire, recuperarse, retroceder o volver a la original Inglés (siglo 17)– resilience, calidad de las maderas para soportar cargas severas sin romperse Física – objetos que resisten los efectos de fuerzas externas Química - capacidad de un metal para regresar a su estado original Ingeniería - medida de la capacidad de un material para resistir el impacto, así como para absorber y liberar energía a través de la elasticidad
  • 139. Como actúa la Resiliencia en las organizaciones y en la sociedad. “En los últimos doce meses, 81% de directores que han implementado Gestión de Continuidad del Negocio están de acuerdo en que se han reducido exitosamente sus interrupciones y el costo ha valido la pena por los beneficios a la organización”. Fuente: “Planning for the worst” – CMI Business Continuity Management Survey, March 2012
  • 140. El modelo Planificación Implementación- Verificación-Mejora (PDCA) • A continuación se muestran los pasos clave para implantar de manera exitosa un SGCN, siguiendo el conocido ciclo de mejora continua (PDCA) aplicable en esta Norma internacional ISO 22301
  • 141. Establecer el BCMS Definir el contexto del BCMS que se aplica a la organización. Definir las necesidades, requisitos y alcance del BCMS El papel específico de la alta dirección en el BCMS Definición de los objetivos y los principios que rigen el BCMS Definir el Análisis del Impacto del Negocio (BIA) Determinación de competencias Establecimiento de las comunicaciones Documentación del BCMS Implementar y Operar el BCMS Definido los requisitos de BCMS, la forma de abordarlos por la organización. Desarrollo los procedimientos para administrar un incidente perjudicial Medir el rendimiento del BCMS El cumplimiento con la norma del BCMS Retroalimentación del sistema respecto a sus expectativas Se identifica y actúa sobre las no conformidades del BCMS a través de una acción correctiva PLAN DO CHECK ACT Componentes de PDCA en esta Norma internacional ISO 22301
  • 142. Establecer el BCMS Definir el contexto del BCMS que se aplica a la organización. Definir las necesidades, requisitos y alcance del BCMS El papel específico de la alta dirección en el BCMS Definición de los objetivos y los principios que rigen el BCMS Definir el Análisis del Impacto del Negocio (BIA) Determinación de competencias Establecimiento de las comunicaciones Documentación del BCMS Análisis del Impacto al Negocio: •Evaluación de riesgos •Tratamientos Medir el rendimiento del BCMS El cumplimiento con la norma del BCMS Retroalimentación del sistema respecto a sus expectativas Se identifica y actúa sobre las no conformidades del BCMS a través de una acción correctiva PLAN DO CHECK ACT Componentes de PDCA en esta Norma internacional ISO 22301 Estrategia de continuidad del negocio: • Prioridades • Recursos • Protección y mitigación Procedimientos de continuidad del negocio: • Estructura de respuesta a incidentes • Advertencia y comunicaciones • Planes de BC • Recuperación Ejercicios y Pruebas: • Metas y objetivos • Minimizar riesgo • Reporte y acciones
  • 143. Contenido de ISO 22301 • 4 Contexto de la organización 4.1. Comprensión de la organización y su contexto • La organización debe determinar los problemas externos e internos que sean relevantes para su propósito y que afecten su capacidad para lograr los resultados previstos de su BCMS. • NOTA: Estos problemas estarán influenciados por los objetivos generales de la organización, sus productos y servicios y la cantidad y tipo de riesgo que puede o no asumir.
  • 144. Contenido de ISO 22301 4 Contexto de la organización 4.2. Comprensión de las necesidades y expectativas de las partes interesadas 4.2.1 Generalidades Al establecer el Sistema de Gestión de Continuidad de Negocio, la empresa debe determinar: a) Las partes interesadas que son relevantes para el Sistema de Gestión de Continuidad de Negocio. b) Los requisitos relevantes de estas partes interesadas.
  • 145. Contenido de ISO 22301 4 Contexto de la organización 4.2. Comprensión de las necesidades y expectativas de las partes interesadas 4.2.2 Los requisitos legales y reglamentarios La organización debe: a) implementar y mantener un proceso para identificar, tener acceso y evaluar los requisitos legales y reglamentarios aplicables relacionados con la continuidad de sus productos y servicios, procesos, actividades y recursos, así como los intereses de las partes interesadas relevantes; b) garantizar que estos requisitos legales, reglamentarios y de otro tipo se tengan en cuenta al implementar y mantener su BCMS; c) documentar esta información y mantenerla actualizada.
  • 146. Contenido de ISO 22301 4 Contexto de la organización 4.3. Determinación del alcance del sistema de gestión de la continuidad del negocio 4.3.1 General La organización debe determinar los límites y la aplicabilidad del BCMS para establecer su alcance. Al determinar este alcance, la organización debe considerar: a) las cuestiones externas e internas mencionadas en 4.1; b) los requisitos mencionados en 4.2. c) su misión, objetivos y obligaciones externas e internas El alcance debe estar disponible como información documentada.
  • 147. Contenido de ISO 22301 4 Contexto de la organización 4.3. Determinación del alcance del sistema de gestión de la continuidad del negocio 4.3.2 Alcance de los Sistema de Gestión de Continuidad de Negocio La organización debe: a) establecer las partes de la organización que se incluirán en el BCMS, teniendo en cuenta su ubicación, tamaño, naturaleza y complejidad; b) identificar los productos y servicios que se incluirán en el BCMS;
  • 148. Contenido de ISO 22301 4 Contexto de la organización 4.3. Determinación del alcance del sistema de gestión de la continuidad del negocio 4.3.2 Alcance de los Sistema de Gestión de Continuidad del Negocio Al definir el alcance, la organización debe documentar y explicar las exclusiones. No deben afectar la capacidad y responsabilidad de la organización para proporcionar continuidad del Negocio, según lo determinado por el análisis de impacto comercial o la evaluación de riesgos y los requisitos legales o reglamentarios aplicables.
  • 149. Contenido de ISO 22301 4 Contexto de la organización 4.4. Sistema de gestión de la continuidad de negocio La organización debe establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Continuidad de Negocio, incluyendo los procesos necesarios y sus interacciones, de conformidad con los requisitos de la norma ISO 22301.
  • 151. Contenido de ISO 22301 5 Liderazgo 5 liderazgo 5.1 Liderazgo y compromiso La alta dirección deberá demostrar liderazgo y compromiso con respecto al BCMS mediante: a) asegurar que la política de continuidad del negocio y los objetivos de continuidad del negocio estén establecidos y sean compatibles con la dirección estratégica de la organización; b) asegurar la integración de los requisitos del BCMS en los procesos de negocios de la organización; c) asegurar que los recursos necesarios para el BCMS estén disponibles;
  • 152. Contenido de ISO 22301 5 Liderazgo 5 liderazgo 5.1 Liderazgo y compromiso d) comunicar la importancia de la continuidad efectiva del negocio y cumplir con los requisitos del BCMS; e) asegurar que el BCMS logre los resultados previstos; f) dirigir y apoyar a las personas para que contribuyan a la efectividad del BCMS; g) promover la mejora continua. h) respaldar otras funciones de gestión relevantes para demostrar su liderazgo y compromiso en lo que respecta a sus áreas de responsabilidad NOTA La referencia a "negocios" en este documento puede interpretarse de manera amplia para referirse a aquellas actividades que son fundamentales para los propósitos de la existencia de la organización.
  • 153. Contenido de ISO 22301 5 Liderazgo 5.2 Política 5.2.1 establecer una política de continuidad del negocio La alta dirección debe establecer una política de continuidad del negocio que: a) es apropiado para el propósito de la organización; b) proporciona un marco para establecer objetivos de continuidad del negocio; c) incluye un compromiso para satisfacer los requisitos aplicables; d) incluye un compromiso de mejora continua del BCMS.
  • 154. Contenido de ISO 22301 Valores Objetivos estrategia Objetivos de continuidad Del negocio Política corporativa Política de continuidad Del negocio Alineamiento estratégico Misión
  • 155. Contenido de ISO 22301 5 Liderazgo 5.2 Política 5.2.2comunicar una política de continuidad del negocio La política de continuidad del negocio deberá: a) estar disponible como información documentada; b) ser comunicada dentro de la organización; c) estar disponible para las partes interesadas, según corresponda.
  • 156. Contenido de ISO 22301 5 Liderazgo 5.3 Roles organizacionales, responsabilidades y autoridades La alta dirección debe garantizar que las responsabilidades y autoridades para los roles relevantes se asignen y comuniquen dentro de la organización. La alta dirección debe asignar la responsabilidad y la autoridad para: a) asegurar que el BCMS cumpla con los requisitos de este documento; b) informar sobre el desempeño del BCMS a la alta dirección.
  • 157. Contenido de ISO 22301 6. Planificación 6.1 Acciones para abordar riesgos y oportunidades 6.1.1 Determinar riesgos y oportunidades Al planificar el BCMS, la organización debe considerar los problemas mencionados en 4.1 y los requisitos mencionados en 4.2 y determinar los riesgos y oportunidades que deben abordarse para: a) aseguran que el sistema de gestión puede conseguir los resultados previstos; b) prevenir o reducir los efectos no deseados; c) lograr la mejora continua.
  • 158. Contenido de ISO 22301 6. Planificación 6.1 Acciones para abordar riesgos y oportunidades 6.1.1 abordar estos riesgos y oportunidades La organización debe planificar: a) acciones para abordar estos riesgos y oportunidades, b) cómo: 1) integrar e implementar las acciones en sus procesos BCMS (ver 8.1), 2) evaluar la efectividad de estas acciones (ver 9.1). NOTA los riesgos y las oportunidades en esta subcláusula se relacionan con la efectividad del sistema de gestión. Los riesgos relacionados con la interrupción del negocio se abordan en 8.2
  • 159. Contenido de ISO 22301 6. Planificación 6.2 Objetivos de continuidad del negocio y planificación para alcanzarlos 6.2.1 Estableciendo los objetivos de continuidad del negocio La organización debe establecer objetivos de continuidad del negocio en funciones y niveles relevantes Los objetivos de continuidad del negocio deberán: a) ser coherente con la política de continuidad del negocio; b) ser medible (si es posible); c) tener en cuenta los requisitos aplicables;
  • 160. Contenido de ISO 22301 6. Planificación 6.2 Objetivos de continuidad del negocio y planificación para alcanzarlos 6.2.1 Estableciendo los objetivos de continuidad del negocio d) ser monitoreado; e) ser comunicado; f) se actualizará según corresponda. La organización debe retener información documentada sobre los objetivos de continuidad del negocio.
  • 161. Contenido de ISO 22301 6. Planificación 6.2 Objetivos de continuidad del negocio y planificación para alcanzarlos 6.2.2 Determinando los objetivos de continuidad del negocio Al planificar cómo lograr sus objetivos de continuidad comercial, la organización debe determinar: a) lo que se hará; b) qué recursos se requerirán; c) quién será responsable; d) cuándo se completará; e) cómo se evaluarán los resultados.
  • 162. Contenido de ISO 22301 6. Planificación 6.3 Planificación de cambios al BCMS Cuando la organización determina la necesidad de cambios en el BCMS, incluidos los identificados en la cláusula 10 , mejora, los cambios se llevarán a cabo de manera planificada. La organización debe considerar: a) el propósito de los cambios y sus posibles consecuencias; b) la integridad del BCMS; c) la disponibilidad de recursos; d) la asignación o reasignación de responsabilidades y autoridades.
  • 163. Contenido de ISO 22301 7 Apoyo 7.1. Recursos • La organización tiene que determinar y proporcionar todos los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del Sistema de Gestión de Continuación de Negocio.
  • 164. Contenido de ISO 22301 7 Apoyo 7.2. Competencia La organización debe: a) Determinar la competencia necesaria de las personas que hace el trabajo bajo su control y que afecta a su rendimiento. b) Garantizar que dichas personas son competentes en la base de la educación, la capacitación y experiencia. c) Tomar decisiones para adquirir la competencia necesaria, y evaluar la eficacia de las acciones llevada a cabo. d) conservar la información adecuada y documentada como evidencia de la competencia.
  • 165. Contenido de ISO 22301 7 Apoyo 7.3. Toma de conciencia Las personas que realizan un trabajo bajo el control de la organización debe ser consciente de: a) La política de continuidad de negocio. b) La contribución a la eficacia del Sistema de Gestión de Continuidad de Negocio, incluyendo a los beneficios de una mejora continua del negocio según los resultados de la gestión. c) Las consecuencias de que no cumplan con los requisitos del Sistema de Gestión de Continuidad de Negocio. d) su propio rol y responsabilidades antes, durante y después de las interrupciones.
  • 166. Contenido de ISO 22301 7 Apoyo 7.4. Comunicación La organización debe determinar todas las necesidades de comunicación interna y externa relevante para el Sistema de Gestión de Continuidad de Negocio incluyendo: a) sobre lo que comunicará; b) cuándo comunicar; c) con quién comunicar; d) cómo comunicar; e) quién comunicará.
  • 167. Contenido de ISO 22301 7 Apoyo 7.5. Información documentada 7.5.1. Generalidades El Sistema de Gestión de Continuidad de Negocio incluirá: • Documentar la información requerida por la norma ISO 22301. • La información documentada determinada por la organización como necesaria para la efectividad del Sistema de Gestión de Continuidad de Negocio.
  • 168. Contenido de ISO 22301 7 Apoyo 7.5. Información documentada 7.5.2. Creación y actualización Al crear y actualizar la información documentada, la organización debe asegurarse de: a) Identificar y describir la información documentada b) El formato y el medio c) Revisar y aprobar su idoneidad y adecuación
  • 169. Contenido de ISO 22301 7 Apoyo 7.5. Información documentada 7.5.3. Control de la información documentada 7.5.3. 1 La información documentada requerida por el Sistema de Gestión de Continuidad del Negocio y por la norma, se debe controlar para garantizar: a) Está disponible y adecuada para su uso, donde y cuando se necesita. b)Está protegida de forma adecuada.
  • 170. Contenido de ISO 22301 7 Apoyo 7.5. Información documentada 7.5.3. Control de la información documentada 7.5.3.2 Para el control de la información documentada, la organización debe responder a las siguientes actividades, según sea el caso: Distribución, acceso, recuperación y utilización. Almacenamiento y conservación, incluyendo la preservación de la legibilidad. El control de cambios. Retención y disposición
  • 171. Contenido de ISO 22301 7 Apoyo 7.5. Información documentada 7.5.3. Control de la información documentada 7.5.3.2 La información documentada de origen externo es determinada por la organización como necearía para la planificación y el funcionamiento del Sistema de Gestión de Continuidad de Negocio es identificada, según proceda y se controla.
  • 172. Contenido de ISO 22301 8. Operación 8.1. Planificación y control operacional La organización debe planificar, ejecutar y controlar todos los procesos necesarios para cumplir con los requisitos, y para implantar las acciones determinadas en el apartado 6.1, por: a) Establecer criterios para los procesos b) Implementando el control de los procesos de acuerdo con los criterios c) Mantener la información documentada en la medida necesaria para tener confianza en los procesos que se encontraban previstos La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no deseados, tomando acciones para mitigar los efectos adversos, según sea necesario. La organización debe garantizar que los procesos subcontratados y la cadena de suministro estén controlados.
  • 173. Contenido de ISO 22301 8. Operación 8.2 Análisis de impacto en el negocio y evaluación de riesgos 8.2.1 General La organización debe a) implementar y mantener un proceso sistemático para analizar el impacto en el negocio y evaluar los riesgos de interrupción b) revisar el análisis del impacto en el negocio y evaluar los riesgos a intervalos planificados y cuando haya cambios significativos entre la organización y el contexto en el cual opera.
  • 174. Contenido de ISO 22301 Análisis del impacto en el negocio Evaluación de riesgos Proceso de Identificación Análisis Evaluación de riesgos Proceso de Análisis de las funciones del negocio y efecto que las Interrupciones pueden tener sobre ellas
  • 175. Contenido de ISO 22301 8. Operación 8.2. Negocios y evaluación de riesgos 8.2.2 Análisis de impacto en el negocio a) define tipos de impacto y criterios relevantes para el contexto de la organización; b) identifica actividades que apoyan la provisión de productos y servicios; c) utiliza estas tipos y criterios de impacto para evaluar el impacto como resultado de la interrupción de estas actividades; d) identifica el tiempo dentro del cual los impactos de no reanudar las actividades serían inaceptables para la organización;
  • 176. Contenido de ISO 22301 8. Operación 8.2. Negocios y evaluación de riesgos 8.2.3 Evaluación de riesgos La organización debe implementar y mantener un proceso sistemático de evaluación de riesgos. NOTA Este proceso puede realizarse de acuerdo con ISO 31000.
  • 177. Contenido de ISO 22301 8. Operación 8.2. Negocios y evaluación de riesgos 8.2.3 Evaluación de riesgos La organización debe: a) identificar riesgos de interrupción para las actividades priorizadas de la organización y para sus recursos de apoyo; b) analizar sistemáticamente los riesgos de interrupción; c) evaluar los riesgos de interrupción que requieren tratamiento. NOTA Los riesgos en esta subcláusula se relacionan con la interrupción del negocio. Los riesgos y oportunidades relacionados con la efectividad del sistema de gestión se abordan en 6.1.
  • 178. Contenido de ISO 22301 8. Operación 8.3 Estrategias y soluciones de continuidad en el negocio. 8.3.1 General Basado en el Análisis de impacto en el negocio y evaluación de riesgos la organización debe identificar y seleccionar estrategias de continuidad en el negocio basadas en los resultados del análisis de impacto comercial y la evaluación de riesgos. Las estrategias de continuidad del negocio se compondrán de una o más soluciones.
  • 179. Contenido de ISO 22301 8.3 Estrategias y soluciones de continuidad en el negocio. 8.3.2 Identificación de estrategias y soluciones. La identificación se basará en la medida en que las estrategias y soluciones: a) cumplan con los requisitos para continuar y recuperar actividades priorizadas dentro de los plazos identificados y la capacidad acordada; b) protejan las actividades priorizadas de la organización; c) Reduzcan la probabilidad de interrupción; d) acorten el período de interrupción; e) Limiten el impacto de la interrupción en los productos y servicios de la organización; f) Prevean la disponibilidad de recursos adecuados.
  • 180. Contenido de ISO 22301 8.3 Estrategias y soluciones de continuidad en el negocio. 8.3.3 Selección de estrategias y soluciones. La selección se basará en la medida en que las estrategias y soluciones: a) cumplan con los requisitos para continuar y recuperar actividades priorizadas dentro de los plazos identificados y la capacidad acordada; b) consideran la cantidad y el tipo de riesgo que la organización puede o no asumir; c) consideran los costos y beneficios asociados.
  • 181. Contenido de ISO 22301 8.3 Estrategias y soluciones de continuidad en el negocio. 8.3.4 Requisitos de recursos La organización debe determinar los requisitos de recursos para implementar las soluciones de continuidad del negocio seleccionadas. Los tipos de recursos considerados incluirán, pero no se limitarán a: a) personas; b) información y datos; c) infraestructura física como edificios, lugares de trabajo u otras instalaciones y servicios asociados;
  • 182. Contenido de ISO 22301 8.3 Estrategias y soluciones de continuidad en el negocio. 8.3.4 Requisitos de recursos d) equipos y consumibles; e) sistemas de tecnología de la información y la comunicación (TIC); f) transporte y logística; g) finanzas; h) socios y proveedores
  • 183. Contenido de ISO 22301 8.3 Estrategias y soluciones de continuidad en el negocio. 8.3.5 Implementación de soluciones La organización debe implementar y mantener soluciones seleccionadas de continuidad en el negocio para que puedan activarse cuando sea necesario
  • 184. Contenido de ISO 22301 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio. 8.4.1 General La organización debe implementar y mantener una estructura de respuesta que permita la alerta y comunicación oportuna a las partes interesadas relevantes. Deberá proporcionar planes y procedimientos para administrar la organización durante una interrupción. Los planes y procedimientos se utilizarán cuando sea necesario para activar soluciones de continuidad comercial. NOTA: Existen diferentes tipos de procedimientos que comprenden planes de continuidad del negocio. La organización debe identificar y documentar los planes y procedimientos de continuidad del negocio basados en el resultado de las estrategias y soluciones seleccionadas.
  • 185. Contenido de ISO 22301 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio. 8.4.1 General Los procedimientos deberán: a) ser específico con respecto a los pasos inmediatos que se deben tomar durante una interrupción; b) ser flexible para responder a las condiciones cambiantes internas y externas de una interrupción; c) centrarse en el impacto de los incidentes que potencialmente conducen a la interrupción; d) ser efectivo para minimizar el impacto a través de la implementación de soluciones apropiadas; e) asignar roles y responsabilidades para tareas dentro de ellos.
  • 186. Contenido de ISO 22301 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio. 8.4.2 Estructura de respuesta 8.4.2.1 La organización debe implementar y mantener una estructura, identificando uno o más equipos responsables de responder a las interrupciones. 8.4.2.2 Los roles y responsabilidades de cada equipo y las relaciones entre los equipos deben ser claramente establecido.
  • 187. Contenido de ISO 22301 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio. 8.4.2 Estructura de respuesta 8.4.2.3 Colectivamente, los equipos serán competentes para: a) evaluar la naturaleza y el alcance de una interrupción y su impacto potencial; b) evaluar el impacto contra umbrales predefinidos que justifican el inicio de una respuesta formal; c) activar una respuesta adecuada de continuidad del negocio; d) planificar acciones que deben llevarse a cabo; e) establecer prioridades (utilizando la seguridad de la vida como primera prioridad); f) monitorear los efectos de la interrupción y la respuesta de la organización; g) activar las soluciones de continuidad del negocio; h) comunicarse con las partes interesadas relevantes, las autoridades y los medios de comunicación.
  • 188. Contenido de ISO 22301 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio. 8.4.2 Estructura de respuesta 8.4.2.4 Para cada equipo habrá: a) personal identificado y sus suplentes con la responsabilidad, autoridad y competencia para desempeñar su papel designado; b) procedimientos documentados para guiar sus acciones (ver 8.4.4), incluidos aquellos para la activación, operación, coordinación y comunicación de la respuesta.
  • 189. Contenido de ISO 22301 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio. 8.4.3 Advertencia y comunicación 8.4.3.1 La organización debe documentar y mantener procedimientos para: a) comunicarse interna y externamente con las partes interesadas relevantes, incluido qué, cuándo y con a quién y cómo comunicarse; La organización puede documentar y mantener procedimientos sobre cómo y bajo qué circunstancias, la organización se comunica con los empleados y sus contactos de emergencia. b) recibir, documentar y responder a las comunicaciones de las partes interesadas, incluyendo cualquier sistema de asesoramiento de riesgo nacional o regional o equivalente;
  • 190. Contenido de ISO 22301 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio. 8.4.3 Advertencia y comunicación 8.4.3.1 La organización debe documentar y mantener procedimientos para: c) asegurar la disponibilidad de los medios de comunicación durante una interrupción; d) facilitar la comunicación estructurada con los respondedores de emergencia; e) proporcionar detalles de la respuesta de los medios de la organización después de un incidente, incluido un estrategia de comunicaciones; f) registrar los detalles de la interrupción, las acciones tomadas y las decisiones tomadas.
  • 191. Contenido de ISO 22301 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio. 8.4.3 Advertencia y comunicación 8.4.3.2 Cuando corresponda, también se considerará e implementará lo siguiente: a) alertar a las partes interesadas potencialmente afectadas por una interrupción real o inminente; b) asegurar una coordinación y comunicación apropiadas entre las organizaciones que responden. Los procedimientos de advertencia y comunicación se ejercerán como parte del programa de ejercicios de la organización descrito en 8.5.
  • 192. Contenido de ISO 22301 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio. 8.4.4 Planes de continuidad del negocio 8.4.4.1 La organización debe documentar y mantener los planes y procedimientos de continuidad del negocio. Los planes de continuidad del negocio deben proporcionar orientación e información para ayudar a los equipos a responder a un interrupción y para ayudar a la organización con respuesta y recuperación.
  • 193. Contenido de ISO 22301 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio. 8.4.4 Planes de continuidad del negocio 8.4.4.2 Colectivamente, los planes de continuidad del negocio deberán contener: a) detalles de las acciones que tomarán los equipos para: 1) continuar o recuperar actividades priorizadas dentro de marcos de tiempo predeterminados; 2) monitorear el impacto de la interrupción y la respuesta de la organización a ella; b) referencia a los umbrales predefinidos y al proceso para activar la respuesta;
  • 194. Contenido de ISO 22301 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio. 8.4.4 Planes de continuidad del negocio 8.4.4.2 Colectivamente, los planes de continuidad del negocio deberán contener: c) procedimientos para permitir la entrega de productos y servicios a la capacidad acordada; d) detalles para gestionar las consecuencias inmediatas de una interrupción teniendo debidamente en cuenta: 1) el bienestar de las personas; 2) la prevención de nuevas pérdidas o falta de disponibilidad de actividades priorizadas; 3) el impacto en el medio ambiente.
  • 195. Contenido de ISO 22301 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio. 8.4.4 Planes de continuidad del negocio 8.4.4.3 Cada plan debe incluir: a) el propósito, alcance y objetivos; b) los roles y responsabilidades del equipo que implementará el plan; c) acciones para implementar las soluciones; d) información de apoyo necesaria para activar (incluidos los criterios de activación), operar, coordinar y comunicar las acciones del equipo;
  • 196. Contenido de ISO 22301 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio. 8.4.4 Planes de continuidad del negocio 8.4.4.3 Cada plan debe incluir: e) interdependencias internas y externas; f) los requisitos de recursos; g) los requisitos de presentación de informes; h) un proceso para retirarse. Cada plan debe ser utilizable y estar disponible en el momento y lugar en el que se requiere
  • 197. Contenido de ISO 22301 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio. 8.4.5 Recuperación • La organización debe tener procesos documentados para restaurar y devolver las actividades comerciales de las medidas temporales adoptadas durante y después de una interrupción.
  • 198. 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio.
  • 199. 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio.
  • 200. 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio.
  • 201. 8. Operación 8.4 Planes y procedimientos de continuidad en el negocio.
  • 202. Contenido de ISO 22301 8. Operación 8.5 Programa de ejercicios La organización debe implementar y mantener un programa de ejercicio y pruebas para validar medir la efectividad de sus estrategias y soluciones de continuidad comercial. La organización debe realizar ejercicios y pruebas que: a) son consistentes con sus objetivos de continuidad del negocio;
  • 203. Contenido de ISO 22301 8. Operación 8.5 Programa de ejercicios b) se basan en escenarios apropiados que están bien planificados con metas y objetivos claramente definidos; c) desarrollar trabajo en equipo, competencia, confianza y conocimiento para aquellos que tienen roles que desempeñar en relación con las interrupciones; d) tomados en conjunto a lo largo del tiempo, validan sus estrategias y soluciones de continuidad comercial;
  • 204. Contenido de ISO 22301 8. Operación 8.5 Programa de ejercicios e) producir informes formales posteriores al ejercicio que contengan resultados, recomendaciones y acciones para implementar mejoras; f) se revisan en el contexto de la promoción de la mejora continua; g) se realizan a intervalos planificados y cuando hay cambios significativos dentro de la organización o el contexto en el que opera. La organización debe actuar sobre los resultados de su ejercicio y prueba para implementar cambios y mejoras
  • 205. Contenido de ISO 22301 8. Operación 8.6 Evaluación de la documentación y las capacidades de continuidad del negocio. La organización debe: a) evaluar la idoneidad, adecuación y efectividad de su análisis de impacto del negocio, evaluación de riesgos, estrategias, soluciones, planes y procedimientos; b) realizar evaluaciones a través de revisiones, análisis, ejercicios, pruebas, informes posteriores al incidente y evaluaciones de desempeño;
  • 206. Contenido de ISO 22301 8. Operación 8.6 Evaluación de la documentación y las capacidades de continuidad del negocio. c) realizar evaluaciones de las capacidades de continuidad del negocio de socios y proveedores relevantes; d) evaluar el cumplimiento de los requisitos legales y reglamentarios aplicables, las mejores prácticas de la industria, y conformidad con su propia política y objetivos de continuidad comercial; e) actualizar la documentación y los procedimientos de manera oportuna. Estas evaluaciones se llevarán a cabo a intervalos planificados, después de un incidente o activación, y cuando ocurran cambios significativos.
  • 207. Contenido de ISO 22301 9 Evaluación de desempeño 9.1. La medición, análisis y evaluación La organización debe determinar: a) Lo que necesita ser monitoreado y medido b) los métodos de monitoreo, medición, análisis y evaluación, según corresponda, para garantizar resultados válidos; c) cuándo y quién realizará el monitoreo y la medición; d) cuándo y quién analizará y evaluará los resultados del monitoreo y la medición. La organización debe retener información documentada apropiada como evidencia de los resultados. La organización debe evaluar el desempeño del BCMS y la efectividad del BCMS.
  • 208. Contenido de ISO 22301 9 Evaluación de desempeño 9.2. La auditoría interna 9.2.1 General La organización debe realizar auditorías internas a intervalos planificados para proporcionar información sobre si el BCMS: a) se ajusta a: 1) los requisitos propios de la organización para su BCMS; 2) los requisitos de este documento; b) se implementa y mantiene de manera efectiva.
  • 209. Contenido de ISO 22301 9 Evaluación de desempeño 9.2. La auditoría interna 9.2.2 Programas de auditoría La organización debe: a) planificar, establecer, implementar y mantener un programa de auditoría que incluya la frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la presentación de informes, que deberán tener en cuenta la importancia de los procesos en cuestión y los resultados de auditorías anteriores; b) definir los criterios de auditoría y el alcance de cada auditoría; c) seleccionar auditores y realizar auditorías para asegurar la objetividad y la imparcialidad del proceso de auditoría;
  • 210. Contenido de ISO 22301 9 Evaluación de desempeño 9.2. La auditoría interna 9.2.2 Programas de auditoría d) garantizar que los resultados de las auditorías se comuniquen a los gerentes relevantes; e) retener información documentada como evidencia de la implementación de los programas de auditoría y los resultados de la auditoría; f) asegurar que se tomen las medidas correctivas necesarias sin demora para eliminar las no conformidades detectadas y sus causas; g) asegurar que las acciones de auditoría de seguimiento incluyan la verificación de las acciones tomadas y el informe de los resultados de la verificación.
  • 211. Contenido de ISO 22301 9 Evaluación de desempeño 9.3. Revisión por la dirección 9.3.1. General La alta dirección debe revisar el Sistema de Gestión de Continuidad de Negocio de la empresa, a intervalos planificados, para asegurarse de su conveniencia, adecuación y eficacia. La revisión por la dirección debe incluir la consideración de:
  • 212. Contenido de ISO 22301 9 Evaluación de desempeño 9.3. Revisión por la dirección 9.3.2. Revisión por la dirección entradas La Revisión por la dirección debe incluir consideraciones de a) El estado de las acciones de anteriores revisiones por la dirección. b) Los cambios en cuestiones externas e internas que son relevantes para el Sistema de Gestión de Continuidad de Negocio. c) Información sobre el rendimiento de la continuidad del negocio, incluyendo las tendencias en cuanto a las no conformidades y acciones correctivas, resultados de seguimiento y medición de evaluación, además de los resultados de auditoría.
  • 213. Contenido de ISO 22301 9 Evaluación de desempeño 9.3. Revisión por la dirección 9.3.2. Revisión por la dirección entradas d) comentarios de las partes interesadas; e) la necesidad de cambios en el BCMS, incluida la política y los objetivos; f) procedimientos y recursos que podrían usarse en la organización para mejorar el desempeño y la efectividad del BCMS; g) información del análisis de impacto empresarial y evaluación de riesgos;
  • 214. Contenido de ISO 22301 9 Evaluación de desempeño 9.3. Revisión por la dirección 9.3.2. Revisión por la dirección entradas h) salida de la evaluación de la documentación y capacidades de continuidad del negocio (ver 8.6); i) riesgos o problemas no abordados adecuadamente en cualquier evaluación de riesgos previa; j) lecciones aprendidas y acciones derivadas de casi accidentes e interrupciones; k) oportunidades de mejora continua
  • 215. Contenido de ISO 22301 9 Evaluación de desempeño 9.3. Revisión por la dirección 9.3.3 Resultados de la Revisión por la dirección 9.3.3.1 Los resultados de la revisión por la dirección deben incluir decisiones relacionadas con la mejora continua oportunidades y cualquier necesidad de cambios en el BCMS para mejorar su eficiencia y efectividad, incluyendo lo siguiente: a) variaciones en el alcance del BCMS; b) actualización del análisis de impacto comercial, evaluación de riesgos, estrategias y soluciones de continuidad comercial, y planes de continuidad comercial; c) modificación de procedimientos y controles para responder a problemas internos o externos que pueden afectar el BCMS; d) cómo se medirá la efectividad de los controles.
  • 216. Contenido de ISO 22301 9 Evaluación de desempeño 9.3. Revisión por la dirección 9.3.3 Resultados de la Revisión por la dirección 9.3.3.2 La organización debe retener información documentada como evidencia de los resultados de la revisión por la dirección Deberá: a) comunicar los resultados de la Revisión por la dirección a las partes interesadas relevantes; b) tomar las medidas apropiadas en relación con esos resultados.
  • 217. Contenido de ISO 22301 10 mejora 10.1 No conformidad y acción correctiva 10.1.1 La organización debe determinar las oportunidades de mejora e implementar las acciones necesarias para lograr los resultados previstos de su BCMS.
  • 218. Contenido de ISO 22301 10 mejora 10.1 No conformidad y acción correctiva 10.1.2 Cuando ocurre una no conformidad, la organización debe: a) reaccionar ante la no conformidad y, según corresponda: 1) tomar medidas para controlarlo y corregirlo; 2) lidiar con las consecuencias; b) evalúe la necesidad de tomar medidas para eliminar la (s) causa (s) de la no conformidad, a fin de que no se repita o ocurra en otro lugar, mediante: 1) revisión de la no conformidad; 2) determinar las causas de la no conformidad; 3) determinar si existen no conformidades similares, o si pueden ocurrir potencialmente;
  • 219. Contenido de ISO 22301 10 mejora 10.1 No conformidad y acción correctiva 10.1.2 Cuando ocurre una no conformidad, la organización debe: c) implementar cualquier acción necesaria; d) revisar la efectividad de cualquier acción correctiva tomada; e) realizar cambios en el BCMS, si es necesario. Las acciones correctivas serán apropiadas a los efectos de las no conformidades encontradas.
  • 220. Contenido de ISO 22301 10 Mejora 10.1.3 La organización debe retener información documentada como evidencia de: a) la naturaleza de las no conformidades y cualquier acción posterior tomada; b) los resultados de cualquier acción correctiva.
  • 221. Contenido de ISO 22301 10 Mejora 10.2. Mejora continua La organización debe mejorar continuamente la idoneidad, adecuación y efectividad del BCMS, basado en medidas cualitativas y cuantitativas. La organización debe considerar los resultados del análisis y la evaluación, y los resultados de la revisión de la dirección, para determinar si hay necesidades u oportunidades, relacionadas con el negocio o con el BCMS, que se abordarán como parte de la mejora continua. NOTA La organización puede utilizar los procesos del BCMS, como liderazgo, planificación y evaluación del desempeño, para lograr mejoras
  • 223. Si está considerando implementar ISO 22301, aquí hay algunos consejos para comenzar: • Asegúrese de contar con la aceptación de la alta dirección. Un sistema de gestión de continuidad del negocio solo puede ser efectivo si aquellos en puestos de toma de decisiones brindan un apoyo genuino y lo tratan como una alta prioridad. • Realice una evaluación de preparación para establecer dónde se encuentra en relación con los requisitos del estándar y qué nivel de recursos necesitará para cumplirlos. • Realice un ejercicio de recuperación de negocios para considerar cuidadosamente lo que haría actualmente si hubiera una interrupción en cualquier área de su negocio. Esto lo ayudará a tener claro qué tan capaz es su organización para responder y cómo ISO 22301 puede ayudarlo. implementación de la Norma ISO 22301 2019
  • 224. implementación de la Norma ISO 22301 2019 • Cuando una organización desea iniciar la implementación de ISO 22301:2019, siempre se genera el interrogante ¿por dónde empezar? • Será conveniente iniciar con el ¿Business Impact Analysis? • O con la estructura para responder a incidentes. La manera adecuada es ir de lo general a lo particular.
  • 225. implementación de la Norma ISO 22301 2019
  • 226. implementación de la Norma ISO 22301 2019 • Para el inicio del proceso de implementación es recomendable atender primero a las cláusulas globales y luego iniciar las focales. • Las cláusulas globales, permiten crear la plataforma inicial en la construcción del SGCN. • Las cláusulas focales son la parte netamente técnica de la norma y requieren para su desarrollo de la infraestructura que desarrollan las globales.
  • 227. Certificación • La certificación ISO 22301 no es un requisito de la norma, pero puede ser una herramienta útil para demostrar que su organización cumple con sus criterios y ha adoptado las mejores prácticas internacionales.
  • 228. Ejemplos de acciones a realizar en aplicación de esta norma • Actualizar los dispositivos de respaldo de la información o duplicar las comunicaciones de voz con una de sus principales sedes. • Contar con un centro alternativo. • Externalizar parte de su infraestructura, especialmente la dedicada a la venta on-line, disponiendo de un centro de respaldo independiente. • Contratación de seguros • Contratación de empresas de seguridad. • Copias de seguridad de la información. • Mantenimiento de listas de proveedores alternativos. • Almacenamiento de productos críticos en ubicaciones alternativas. • Formación sobre las rutas de evaluación y puntos de reunión