International StandardISO22301:2012(E)

ISO 22301
Seguridad de Sociedad - Sistemas de manejo de continuidad de negocios
Requerimientos

International StandardISO22301:2012(E)
Contenidos
Prefacio
1. Introduccin
1.1General
1.2 El modelo Plan-Do-Check-Act (PDCA)
1.3Componentes de PDCA en el estndar internacional
2. Alcance
3. Referencias Normativas
4. Trminos y Definiciones
5. Contexto de la Organizacin
4.1 Comprensin de la organizacin y su contenido
4.2 Comprensin de las necesidades y expectativas de las partes
interesadas
4.3 Determinar el alcance del sistema de continuidad del negocio
4.4 Sistema de manejo de la Continuidad del Negocio
5. Liderazgo
5.1 Liderazgo y compromiso
5.2 Compromiso administrativo
5.3 Poltica
5.4 Roles, responsabilidades y autoridades organizativas
6. Planeacin
6.1 Acciones para abordar riesgos y oportunidades
6.2 Objetivos de continuidad de negocios y los planes para alcanzarlos
7. Soporte
7.1 Recursos
7.2 Competencia
7.3 Conciencia
7.4 Comunicacin
7.5 Informacin Documentada
8. Operacin
8.1 Planeacin y control operacional
8.2 Anlisis de impacto y evaluacin del riesgo del negocio
8.3 Estrategia de continuidad del negocio
8.4 Establecer e implementar procedimientos de continuidad de negocios
8.5 Ejercicios y testeo
9. Evaluacin de rendimiento
9.1 Monitoreo, medida, anlisis y evaluacin
9.2 Auditora interna
9.3 Revisin de gestin
10. Mejoras
10.1 No conformidad y acciones correctivas
10.2 Mejoras continuas
Bibliografa

International StandardISO22301:2012(E)

International StandardISO22301:2012(E)
Prefacio
ISO (la organizacin Internacional para la Estandarizacin) es una federacin
mundial de organismos nacionales de normalizacin (organismos miembros de
ISO). El trabajo de preparar los estndares internacionales es normalmente
llevado a cabo a travs de los comits tcnicos de ISO. Cada organismo
miembro interesado en algn tema para el cual un comit tcnico ha sido
establecido tiene el derecho de ser representado en ese comit.
Organizaciones internacionales, gubernamentales o no gubernamentales, en
unin a ISO, tambin forman parte del trabajo. ISO tambin colabora de cerca
con la Comisin Internacional Electrotcnica (IEC) en todos los asuntos de
estandarizacin electrotcnica.
Los Estndares Internacionales son preparados en acuerdo con las reglas dadas
en la parte dos de las directivas ISO/IEC.
La principal tarea de los comits tcnicos es preparar los estndares
internacionales. Los proyectos de estndares internacionales adoptados por los
comits tcnicos, se hacen llegar a todos los organismos miembros para la
votacin. La publicacin como un estndar internacional requiere la aprobacin
de al menos 75% de los organismos miembros votantes.
Se llama la atencin a la posibilidad que algunos de los elementos de este
documento puede ser sujeto a derechos de patentes. ISO no ser tomado como
responsable para identificar cualquier o todos esos derechos de patente.
ISO22301 fue preparado por el Comit Tcnico ISO/TC223, Seguridad de
Sociedad.

International StandardISO22301:2012(E)
1. Introduccin
1.1General
Este estndar internacional especifica requerimientos para la creacin y
manejo de un sistema de administracin de continuidad de negocios (BCMSpor sus siglas en ingls Business Continuity Management System).
Un BCMS enfatiza la importancia de:

Entender las necesidades de la organizacin y la necesidad de

establecer polticas y objetivos de manejo de continuidad de
negocios.
Implementar y operar los controles y medidas para manejar la
capacidad general de manejar incidentes disruptivos.
Monitorear y revisar el rendimiento y la efectividad del BCMS, y
Mejoras continuas basadas en mediciones objetivas.

Un BCMS, como cualquier otro sistema de administracin, tiene los siguientes

componentes claves:
a) Una poltica;
b) Personas con responsabilidades definidas;
c) Procesos administrativos relacionados a
1) Poltica,
2) Planeacin,
3) Implementacin y operacin,
4) Evaluacin del rendimiento,
5) Revisin de manejo, y
6) Mejoras
d) Documentacin que entregue evidencia auditable; y
e) Cualquier proceso relevante para la organizacin de administracin de
continuidad de negocios.
La continuidad de negocios contribuye a una sociedad ms resistente. La
mayor comunidad y el impacto del ambiente de la organizacin en la
organizacin y por ende a otras organizaciones que puedan necesitar estar
involucradas en el proceso de recuperacin.
1.2El modelo Plan-Do-Check-Act (PDCA)
Este estndar internacional aplica el modelo Planear-Hacer-Revisar-Actuar
(PDCA-por sus siglas en ingls), para poder planear, establecer, implementar,
operar, monitorear, revisar, mantener y mejorar continuamente la efectividad
del BCMS de una organizacin.
Esto asegura el grado de consistencia con los estndares de otros sistemas de
administracin, como sera ISO9001 Sistemas de manejo de calidad, ISO14001,
Sistemas de manejo ambiental, ISO/IEC27001, Sistema de manejo de seguridad

International StandardISO22301:2012(E)
de la informacin, ISO/IEC20000-1, tecnologa de la informacin-administracin
de servicios, e ISO28000, Especificacin para los sistemas de manejo de
seguridad en la cadena de suministro, as apoyando consistente e
ntegramente la implementacin y operacin con sistemas de administracin
relacionados.
La figura 1 ilustra como un BCMS toma como ingresos a las partes interesadas,
los requerimientos de administracin de continuidad y, a travs de los procesos
y acciones necesarias, produce salidas de continuidad (por ejemplo,
continuidad de negocio manejada) que cumplen con esos requerimientos.
Figura 1 Modelo PDCA aplicado a los procesos BCMS

Mejora continuo del sistema de manejo de continuidad de negocio (BCMS)

Establecer (Plan)
Partes interesadas

Partes interesadas

Requerimien-tos para la continuidad

del
Mantener
y negocio
mejorar (Act)

Implementar yContinuidad
operar (Do)de negocio manejada

Monitorear y revisar (Check)

Tabla 1 - Explicacin del modelo PDCA

Plan
(Establecer)
Do
(Implementar y
Operar)
Check
(Monitorear y
Revisar)
Act
(Mantener y Mejorar)

Establecer poltica de continuidad de negocio, objetivos,

metas, controles, procesos y procedimientos relevantes
para mejorar la continuidad del negocio con el fin de
entregar resultados que se alinean con las polticas y
objetivos generales de la organizacin.
Implementar y operar la poltica de continuidad de negocio,
controles, procesos y procedimientos.
Monitorear y revisar el rendimiento contra las polticas y
objetivos de la continuidad de negocio, reportar los
resultados a la administracin para su revisin, adems de
determinar y autorizar las acciones para mejora y reparo.
Mantener y mejorar los BCMS al tomar accin correctiva,
basado en resultados de revisin administrativa y de
revalorizacin del alcance del BCMS y las polticas y
objetivos de la continuidad del negocio.

International StandardISO22301:2012(E)

International StandardISO22301:2012(E)
1.3Componentes del PDCA en este estndar internacional
En el modelo PDCA como mostrado en la tabla 1, las clausulas 4 a la 10 de este
estndar internacional cubren los siguientes componentes:

Clusula 4 es un componente de Plan. Introduce los requerimientos

necesarios para establecer el contexto de BCMS como aplica a la
organizacin, al igual que a las necesidades, requerimientos y
alcance.
Clusula 5 es un componente de Plan. Resume los requerimientos
especficos del rol de la Alta Direccin en el BCMS, y como el
liderazgo articula las expectativas de la organizacin a travs de una
declaracin de polticas.
Clusula 6 es un componente de Plan. Describe requerimientos, ya
que se relaciona a establecer objetivos estratgicos y guiar principios
para el BCMS como un todo. El contenido de la clusula 6 difiere de
establecer el tratamiento de riesgos de las oportunidades
provenientes de la evaluacin de riesgos, al igual que los objetivos de
recuperacin derivados del anlisis de impacto del negocio (BIA).

NOTA Los requerimientos del anlisis de impacto de negocio y el proceso

de evaluacin de riesgo son detallados en la clusula 8.

Clusula 7 es del componente Plan. Apoya las operaciones de

BCMS ya que se relacionan con el establecimiento de competencias y
comunicacin en base a la necesidad/recurrencia de las partes
interesadas, mientras se documentan, controlan, mantienen y
retienen la documentacin requerida.
Clusula 8 es un componente de Do. Define los requerimientos de
la continuidad del negocio, determina como abordarlos y desarrolla
los procedimientos para manejar los incidentes disruptivos.
Clusula 9 es un componente de Check. Resume los
requerimientos necesarios para medir el rendimiento de la
administracin de la continuidad del negocio. BCMS debe estar en
conformidad con este estndar internacional y con las expectativas
de administracin, y busca retroalimentacin de la administracin
con respecto a las expectativas.
Clusula 10 es un componente de Act. Identifica y actua en la no
conformidad de BCMS a travs de accin correctiva.

International StandardISO22301:2012(E)
Seguridad de la sociedad - Sistemas de administracin de continuidad de
negocios Requerimientos
2. Alcance
Este estndar internacional para la administracin de continuidad de negocio
especifica los requerimientos para planear, establecer, implementar, operar,
monitorear, revisar, mantener y continuamente mejorar el sistema de
administracin documentado para proteger en contra, reducir la probabilidad
de ocurrencia, prepararse para, responder a, y recuperarse de un incidente
disruptivo cuando sea que estos aparezcan.
Los requerimientos especificados en este estndar internacional son genricos
y tienen la intencin de ser aplicables a todas las organizaciones, o partes de
estas, sin importar el tipo, tamao o naturaleza de la organizacin. El grado de
aplicacin de estos requerimientos depende de la complejidad y ambiente
operativo de la empresa.
No es el objetivo de este estndar internacional implementar uniformidad en la
estructura de un sistema de administracin de continuidad de negocio (BCMS),
pero para que una organizacin disee un BCMS que sea apropiado para sus
necesidades y que adems cumpla los requerimientos de cada una de las
partes interesadas.
Este estndar internacional puede ser aplicado a todo tipo y tamao de
organizacin que desee
a) Establecer, implementar, mantener y mejorar un BCMS
b) Asegurar conformidad con la poltica de continuidad de negocio
establecida
c) Demostrar conformidad a los dems
d) Buscar certificacin/registracin de su BCMS por un cuerpo de
certificacin externo acreditado, o
e) Hacer una determinacin y declaracin propia de conformidad con este
estndar internacional.
Este estndar internacional puede ser usado para evaluar la capacidad de una
organizacin de alcanzar sus propias necesidades y obligaciones de
continuidad.
3. Referencias normativas
Los siguientes documentos, completos o por partes, son normativamente
referenciados en este documento y son indispensables para su aplicacin. Para
referencias con fechas, solo la edicin citada aplica. Para referencias sin fechas,
aplica la ltima edicin del documento referenciado, incluyendo cualquier
enmienda.

International StandardISO22301:2012(E)
No hay referencias normativas.

International StandardISO22301:2012(E)
4. Trminos y definiciones
Para el propsito de este documento, los siguientes trminos y definiciones
aplican.
3.1 Actividad
Proceso o grupo de procesos llevados a cabo por una organizacin (o en
nombre de esta) que produce o apoya uno o ms productos y servicios.
3.2 Auditora
Proceso sistemtico, independiente y documentado para obtener evidencia
de auditora y evaluarla objetivamente para determinar a qu grado se
cumplen los criterios de auditora.
NOTA 1 Una auditora puede ser tanto interna como externa, y adems
puede ser una auditora combinada (combina una o ms disciplinas).
NOTA 2 Evidencia de auditora y criterio de auditora estn definidos en
ISO 19011.
3.3 Continuidad de negocio
Capacidad de una organizacin de continuar entregando productos o
servicios a niveles predefinidos como aceptables, luego de un incidente
disruptivo.
[FUENTE: ISO 22300]
3.4 Administracin de continuidad de negocio
Proceso de administracin holstico que identifica amenazas potenciales de
una organizacin y el impacto sobre las operaciones del negocio de aquellas
amenazas si es que se concretaran. Adems entrega un marco de gestin
para construir resistencia para organizaciones con la capacidad de tener
respuestas efectivas que salvaguarden los intereses, reputacin, marca y
actividades de creacin de valor de los principales interesados.
3.5 Sistema de administracin de continuidad de negocio (BCMS)
Parte del sistema general de administracin que establece, implementa,
opera, monitorea, revisa, mantiene y mejora la continuidad del negocio.
NOTA El sistema de administracin incluye estructura organizacional,
polticas, actividades de planeacin, responsabilidades, procedimientos,
procesos y recursos.
3.6 Plan de continuidad de negocios

International StandardISO22301:2012(E)
Procedimientos documentados que guan a la organizacin a responder,
recuperarse, reanudar y restaurar a un nivel predefinido de operacin tras
la disrupcin.
NOTA Generalmente esto cubre recursos, servicios y actividades requeridas
para asegurar la continuidad de las funciones crticas del negocio.
3.7 Programa de continuidad de negocio
Procesos de administracin y gobernanza en marcha, respaldados por la
alta administracin y correctamente suministrados para implementar y
mantener la administracin de la continuidad de negocio.
3.8 Anlisis de impacto de negocio
Procesos de anlisis de las actividades y el efecto que pueda tener una
disrupcin del negocio sobre estas.
[FUENTE: ISO 22300]
3.9 Competencia
Habilidad para aplicar conocimientos y habilidades para lograr los
resultados esperados.
3.10 Conformidad
Cumplimiento de un requisito.
[FUENTE: ISO 22300]
3.11 Mejora continua
Actividad recurrente para mejorar el rendimiento.
[FUENTE: ISO 22300]
3.12 Correccin
Accin de eliminar una no conformidad detectada.
[FUENTE: ISO 22300]
3.13 Accin correctiva
Accin de eliminar la causa de la no conformidad para, as, prevenir su
recurrencia.
NOTA En el caso de otros resultados no deseados, una accin es necesaria
para minimizar o eliminar las causas y as reducir el impacto o prevenir la

International StandardISO22301:2012(E)
recurrencia. Tales acciones salen del concepto de accin correctiva en el
sentido de esta definicin.
[FUENTE: ISO 22300]
3.14 Documento
Informacin y su medio de soporte.
NOTA 1 El medio puede ser papel, magntico, electrnico o un disco ptico
de computacin, fotografa o muestra maestra, o una combinacin de las
anteriores.
NOTA 2 Un conjunto de documentos, por ejemplo especificaciones y
archivos, suelen ser llamados documentacin.
3.15 Informacin documentada
Informacin requerida, y el medio en el cual est contenida,
controlada y mantenida por una organizacin.

para ser

NOTA 1 La informacin documentada puede estar en cualquier formato, en

cualquier medio y provenir de cualquier fuente.
NOTA 2 La informacin documentada se puede referir a

El sistema de administracin, incluyendo procesos relacionados;

Informacin creada para que la organizacin pueda operar
(documentacin);
Evidencia de los resultados alcanzado (archivos).

3.16 Efectividad
Alcance al cual las actividades planeadas son realizadas y los resultados
planificados son alcanzados.
[FUENTE: ISO 22300]
3.17 Evento
Ocurrencia o cambio de un cierto conjunto de circunstancias
NOTA 1 Un evento puede ser una o ms ocurrencias, y puede tener varias
causas.
NOTA 2 Un evento puede consistir en que algo no suceda.
NOTA 3 Un evento puede a veces ser llamado incidente o accidente.

International StandardISO22301:2012(E)
NOTA 4 Un evento sin consecuencias a veces se denomina near miss,
incidente, near hit, close call.

[FUENTE: ISO/IEC Gua 73]

3.18 Ejercicio
El proceso de entrenar para, evaluar, practicar, y mejorar el rendimiento en
una organizacin.
NOTA 1 Los ejercicios pueden ser usados para: validar plizas, planes,
procedimientos,
entrenamiento,
equipamiento,
y
acuerdos
interorganizacionales; aclarar y entrenar al personal en determinados roles y
responsabilidades;
mejorar
coordinacin
y
comunicacin
interorganizacional; identificar brechas en los recursos; mejorar rendimiento
personal; identificar las oportunidades de mejora, y oportunidad controlada
para practicar la improvisacin.
NOTA 2 Una prueba es un tipo nico y particular de ejercicio, que incorpora
una expectativa de un elemento de aprobacin o reprobacin dentro de las
metas u objetivos del ejercicio planificado.
[FUENTE: ISO 22300]
3.19 Incidente
Situacin que puede ser, o podra llevar a
emergencia o crisis.

una disrupcin, prdida,

[FUENTE: ISO 22300]

3.20 Infraestructura
Sistema de facilidades, equipamiento y servicios necesarios para la
operacin de la organizacin.
3.21 Ente de una de las partes interesadas
Persona u organizacin que puede afectar, o ser afectada, o percibir un
efecto por una decisin o actividad dada.
NOTA Este puede ser un individuo o grupo que tiene inters en alguna
decisin o actividad de la organizacin.
3.22 Auditora interna
Auditora conducida por, o para, la organizacin misma para fines de
revisin administrativa y otros aspectos internos, que adems puede servir
como base para una auto-declaracin de conformidad de la empresa.

International StandardISO22301:2012(E)
NOTA En muchos casos, particularmente en organizaciones ms pequeas,
la independencia puede ser demostrada por la libertad de responsabilidad
sobre la actividad siendo auditada.
3.23 Invocacin
El acto de declarar que los arreglos de la continuidad de negocio de una
organizacin deben ponerse en marcha para seguir entregando los
productos o servicios claves.
NOTA 1 Un sistema administrativos puede abordar una o varias disciplinas.
NOTA 2 Los elementos del sistema incluyen la estructura, roles y
responsabilidades, planeacin, operacin, entre otros aspectos de la
organizacin.
NOTA 3 El alcance del sistema administrativo puede incluir la organizacin
completa, funciones identificadas y especificas de la organizacin,
secciones identificadas o especificas de la organizacin, o una o ms
funcin a travs de un grupo de organizaciones.
3.25 Corte mximo aceptable (MAO- Maximum Acceptable Outage)
Tiempo que tardara un impacto adverso, que puede surgir como resultado
de no proveer un producto/servicio o realizar una actividad, en pasar a ser
inaceptable.
NOTA Tambin vase periodo mximo tolerable de disrupcin.
3.26 Periodo mximo tolerable de disrupcin (MTPD-Maximum Tolerable
Period of Disruption)
Tiempo que tardara un impacto adverso, que puede surgir como resultado
de no proveer un producto/servicio o realizar una actividad, en pasar a ser
inaceptable.
NOTA Tambin vase corte mximo aceptable.
3.27 Medida
Proceso de determinacin de un valor.
3.28 Objetivo mnimo de continuidad de negocio (MBCO- Minimum Business
Continuity Objective)
Nivel mnimo aceptable de servicios y/o productos distribuidos por la
organizacin que permitan alcanzar sus objetivos durante la disrupcin.
3.29 Monitoreo

International StandardISO22301:2012(E)
Determinar el estado de un sistema, proceso o actividad.
NOTA Para determinar el estado puede que exista la necesidad de revisar,
supervisar y observar crticamente.
3.30 Acuerdo de mutua ayuda
Entendimiento preestablecido entre dos o ms entidades para entregar
apoyo una a la otra.
[FUENTE: ISO 22300]
3.31 No conformidad
El no cumplimiento de un requisito.
[FUENTE: ISO 22300]
3.32 Objetivo
Resultado que se desea alcanzar.
NOTA 1 Un objetivo puede ser estratgico, tctico u operacional.
NOTA 2 Los objetivos pueden relacionarse a distintas disciplinas (como
financieras, de seguridad y salud, y metas ambientales) y puedan ser
aplicadas a distintos niveles ( como estratgicos, a travs de toda la
organizacin, proyectos, productos y procesos).
NOTA 3 Un objetivo puede ser expresado de otras maneras, por ejemplo
como un resultado esperado, un propsito, un criterio operacional, como un
objetivo de seguridad de la sociedad o por el uso de palabras con un
significado parecido (meta, fin, propsito).
NOTA 4 En el contexto de sistemas de administracin de estndares de
seguridad de sociedad, los objetivos de esta estn impuestos por la
organizacin, son consistentes con la poltica de seguridad de sociedad,
para alcanzar resultados especficos.
3.33 Organizacin
Persona o grupo de personas que tiene sus propias funciones con
responsabilidades, autoridades y relaciones para alcanzar sus objetivos.
NOTA 1 El concepto de organizacin incluye, pero no est limitado a, un
nico operador, una compaa, corporacin, firma, empresa, autoridad,
sociedad, organizacin benfica o institucin. Puede formar parte o estar
creada en base a una combinacin de cualquiera de las anteriores, y
adems puede ser pblica o privada.

International StandardISO22301:2012(E)
NOTA 2 Para organizaciones con ms de una unidad operativa, una sola
unidad operativa tambin puede ser denominada organizacin.
3.34 Externalizar
Hacer un arreglo donde una organizacin externa realiza parte de las
funciones o procesos de la organizacin.
NOTA Una organizacin externa esta fuera del alcance del sistema
administrativo, aunque la funcin o proceso externalizado si est dentro del
alcance.
3.35 Rendimiento
Resultado medible
NOTA 1 El rendimiento puede estar relacionado tanto a datos cuantitativos
como cualitativos.
NOTA 2 El rendimiento puede relacionarse al manejo de las actividades,
procesos, productos (incluyendo servicios), sistemas u organizaciones.
3.36 Evaluacin del rendimiento
Proceso de determinacin de resultados medibles.
3.37 Personal
Personas que trabajan para y bajo el control de una organizacin.
NOTA El concepto de personal incluye, pero no est limitado a, empleados,
staff de medio tiempo, y staff de agencia.
3.38 Poltica
Intenciones y direccin de una organizacin expresadas formalmente por la
Alta Direccin.
3.39 Procedimiento
Una manera especfica de llevar a cabo una actividad o proceso.
3.40 Proceso
Conjunto de actividades interrelacionadas
transforman entradas en salidas.
3.41 Productos y servicios

interactivas

las

cuales

International StandardISO22301:2012(E)
Resultados beneficiosos entregados por una organizacin a sus clientes,
beneficiarios y partes interesadas, por ejemplo los tems manufacturados,
seguros automotrices y ayuda a la comunidad.
3.42 Actividades priorizadas
Actividades las cuales se les deber dar prioridad ante un incidente para as
lograr mitigar los impactos.
NOTA Otros trminos utilizados comnmente para describir actividades
dentro de este grupo incluyen: crticos, esenciales, vitales, urgentes y
claves.
[FUENTE: ISO 22300]
3.43 Archivo
Declaracin de resultados alcanzados o evidencia de actividades realizadas.
3.44 Objetivo de punto de recuperacin (RPO- Recovery Point Objective)
Punto al cual la informacin utilizada para una actividad deber ser
restaurada para poder habilitar la reanudacin de la actividad de la
operacin.
NOTA Tambin se puede referir a esto como mxima informacin perdida.
3.45 Objetivo de tiempo de recuperacin (RTO- Recovery Time Objective)
Periodo de tiempo que sigue al incidente en el cual

El producto o servicio debe ser reanudado, o

La actividad deber ser reanudada, o
Los recursos debern ser recuperados.

NOTA Para productos, servicios y actividades, el RTO debe ser menos del
tiempo que tarde el impacto adverso, que surgira como resultado de no
proveer el producto o servicio o de realizar la actividad, en transformarse
en inaceptable.
3.46 Requerimiento
Necesidad o expectativa que est establecida, generalmente implcita u
obligatoria.
NOTA 1 Generalmente implcita significa que es costumbre o una prctica
comn de la organizacin y las parte interesadas que la necesidad o
expectativa se consideren como implcitas.

International StandardISO22301:2012(E)
NOTA 2 Un requerimiento especfico es un que est establecido, por
ejemplo en informacin documentada.
3.47 Recursos
Todos los activos, personas, habilidades, informacin, tecnologa
(incluyendo planta y equipos), premisas, y suministros e informacin (sea
electrnica o no) que una organizacin tenga disponible para su uso,
cuando se necesita, con el fin de operar y alcanzar su objetivo.
3.48 Riesgo
Efecto de la incertidumbre en los objetivos.
NOTA 1 Un efecto es una desviacin de lo esperado- positivo o negativo.
NOTA 2 Los objetivos pueden relacionarse a distintas disciplinas (como
financieras, de seguridad y salud, y metas ambientales) y puedan ser
aplicadas a distintos niveles (como estratgicos, a travs de toda la
organizacin, proyectos, productos y procesos). Un objetivo puede ser
expresado de otras maneras, por ejemplo como un resultado esperado, un
propsito, un criterio operacional, como un objetivo de seguridad de la
sociedad o por el uso de palabras con un significado parecido (meta, fin,
propsito).
NOTA 3 El riesgo es a menudo caracterizado por referencia a eventos
potenciales (Gua 73, 3.5.1.3) y consecuencias (Gua 73, 3.6.1.3), o una
combinacin de estos.
NOTA 4 El riesgo a menudo se expresa en trminos de una combinacin de
las consecuencias de un evento (incluyendo los cambios de las
circunstancias) y la probabilidad (Gua 73, 3.6.1.1) asociada de ocurrencia.
NOTA 5 La incertidumbre es el estado, incluso parcial, de la deficiencia de
informacin relacionada al entendimiento o conocimiento de un evento y su
consecuencia o probabilidad.
NOTA 6 En el contexto de estndares de sistemas de administracin de
continuidad de negocios, objetivos de continuidad de negocios, los objetivos
de continuidad del negocio estn establecidos por la organizacin,
consistente con la poltica de continuidad de negocio, para lograr resultados
especficos. Cuando se aplica el trmino riesgo y componentes de la
administracin de riesgos, esto debiera estar relacionado a los objetivos de
la organizacin que incluyen, pero no estn limitados a, los objetivos de la
continuidad de negocio especificados en 6.2.
[FUENTE: ISO/IEC Gua 73]

International StandardISO22301:2012(E)
3.49 Apetito de riesgo
Cantidad y tipo de riesgo que una organizacin est dispuesta a perseguir o
retener.
3.50 Valoracin del riesgo
Proceso general de identificacin, anlisis y evaluacin del riesgo.
[FUENTE: ISO Gua 73]
3.51 Administracin del riesgo
Actividades coordinadas para dirigir y controlar una organizacin con
respecto al riesgo.
3.52 Testeo
Procedimiento para la evaluacin; un modo de determinar la presencia,
calidad o veracidad de algo.
NOTA 1 Testeo se puede referir a un ensayo.
NOTA 2 El testeo es comnmente aplicado a apoyar planes.
[FUENTE: ISO 22300]
3.53 Alta Direccin
Persona o grupo de personas que dirige y controla una organizacin al nivel
ms alto.
NOTA 1 La Alta Direccin tiene el poder de delegar autoridad y proveer
recursos dentro de la organizacin.
NOTA 2 Si el alcance del sistema administrativo cubre solo parte de una
organizacin, entonces la Alta Direccin se remite a aquellos que dirigen y
controlan esa parte de la organizacin.
3.54 Verificacin
Confirmacin, a travs de la presentacin
requerimientos especficos han sido cumplidos.

de

pruebas,

3.55 Ambiente laboral

Conjunto de condiciones bajo las cuales el trabajo se realiza.

que

los

International StandardISO22301:2012(E)
NOTA Las condiciones incluyen factores fsic0s, sociales, psicolgicos y
ambientales (tales como temperatura, esquemas de reconocimientos,
ergonoma y composicin atmosfrica).

International StandardISO22301:2012(E)
5. Contexto de la organizacin
4.1 Comprensin de la organizacin y su contexto
La organizacin debe determinar los asuntos internos y externos que sean
relevantes para su propsito y que afecten su habilidad de lograr el resultado
pretendido del BCMS.
Estos asuntos deben ser considerados al momento de establecer, implementar
y mantener el BCMS de la organizacin.
La organizacin deber identificar y documentar lo siguiente:
a) Las actividades, funciones, servicios, productos, sociedades, cadenas de
suministros, y relacin con partes interesadas de la empresa. Adems
del impacto potencial relacionado al incidente disruptivo.
b) Vnculos entre la poltica de continuidad de negocio y los objetivos y
otras polticas de la organizacin, incluyendo la estrategia general de
administracin del riesgo, y
c) El apetito de riesgo de la organizacin.
Para establecer el contexto, la organizacin deber
1) Articular sus objetivos, incluyendo aquellos se refieren a la
continuidad del negocio.
2) Definir los factores internos y externos que crean la incertidumbre
que aumenta el riesgo.
3) Establecer el criterio de riesgo considerando el apetito de riesgo, y
4) Definir el propsito del BCMS.

International StandardISO22301:2012(E)

4.2 Comprensin de las necesidades y expectativas de las partes interesadas

4.2.1 General
Cuando la organizacin establece su BCMS, esta deber determinar
a) Las partes interesadas que son relevantes para el BCMS, y
b) Los requerimientos de estas partes (por ejemplo, sus necesidades y
expectativas sea que estn establecidas, generalmente implcita u
obligatoria).
4.2.2 Requerimientos legales y regulatorios
La organizacin debe establecer, implementar y mantener los procedimientos
para identificar, tener acceso a, y asesorar los requerimientos legales y
regulatorios aplicables a los cuales la organizacin se suscribe en cuanto la
continuidad de sus operaciones, los productos y servicios, adems de los
intereses de las partes interesadas relevantes.
La organizacin deber asegurar que estos requerimientos legales y
regulatorios aplicables adems de otros requerimientos a los que la
organizacin se suscriba se tomen en cuenta al momento de establecer,
implementar y mantener el BCMS.
La organizacin debe documentar esta informacin y mantenerla al da.
Requerimientos nuevos o variaciones de los legales, regulatorios u otros
debern ser comunicados a los empleados afectados y a las otras partes
interesadas.
4.3 Determinacin del alcance del sistema de administracin de continuidad de
negocio
4.3.1 General
La organizacin deber determinar los lmites y la aplicabilidad del BCMS para
establecer su alcance.
Cuando determine el alcance, la organizacin deber considerar

Los asuntos internos y externos referidos en 4.1, y

Los requerimientos mencionados en 4.2.

El alcance deber estar disponible como informacin documentada.

4.3.2 Alcance de los BCMS
La organizacin deber

International StandardISO22301:2012(E)
a) Establecer las partes de la organizacin que debern ser incluidas en el
BCMS.
b) Establecer los requerimientos del BCMS, considerando la misin, metas,
y obligaciones externas e internas (incluyendo aquellas relacionadas a
las partes interesadas) de la organizacin, adems de las
responsabilidades legales y regulatorias.
c) Identificar los productos y servicios y todas las actividades relacionadas
al alcance del BCMS.
d) Tomar en cuenta los intereses y necesidades de las partes interesadas,
como los clientes, inversionistas, accionistas, cadena de suministros,
entradas y necesidades privadas y/o de la comunidad, expectativas e
intereses (apropiados), y
e) Definir el alcance del BCMS en trminos de y apropiado al tamao,
naturaleza y complejidad de la organizacin.
Cuando se define el alcance, la organizacin deber documentar y explicar
exclusiones; cualquiera de estas exclusiones no deber afectar la habilidad ni
responsabilidad de la organizacin al momento de proveer continuidad de
negocio y operaciones que alcancen los requerimientos del BCMS, como se
definen por el anlisis de impacto del negocio o la evaluacin del riesgo y en
los requerimientos legales y regulatorios aplicables.
4.4 Sistema de administracin de continuidad de negocio
La organizacin deber establecer, implementar, mantener
y mejorar
continuamente el BCMS, incluyendo los procesos necesarios y su interaccin,
de acuerdo con los requerimientos de este estndar internacional.

International StandardISO22301:2012(E)
6. Liderazgo
5.1 Liderazgo y compromiso
Las personas en la Alta Direccin y otros roles de administrativos relevantes a
travs de la organizacin debern demostrar liderazgo con respecto al BCMS.
EJEMPLO Este liderazgo y compromiso puede ser demostrado al motivar y
empoderar a las personas a contribuir la efectividad del BCMS.
5.2 Compromiso administrativo
La Alta Direccin deber demostrar liderazgo y compromiso con respecto al
BCMS al

Asegurar que las polticas y objetivos estn establecidos para el

sistema de administracin de continuidad de negocio y son
compatibles con la direccin estratgica de la organizacin
Asegurando la integracin de los requerimientos del BCMS a los
procesos de negocio de la organizacin
Asegurando que los recursos necesarios para el BCMS estn
disponibles
Comunicando la importancia de la efectividad de la administracin de
la continuidad del negocio conforme a los requerimientos del BCMS
Asegurando que el BCMS logre los resultados esperados
Dirigiendo y apoyando a las personas para que contribuyan a la
efectividad del BCMS
Promocionar las mejoras continuas, y
Apoyar a otros roles administrativos relevantes para demostrar su
liderazgo y compromiso como aplica a las reas de su
responsabilidad.

NOTA 1 La referencia negocio en este estndar internacional est dirigido a

ser interpretado ampliamente para aquellas actividades que son centrales a los
propsitos de la existencia de la organizacin.
La Alta Direccin deber proporcionar evidencia de sus compromisos con el
establecimiento,
implementacin,
operacin,
monitoreo,
revisin,
mantenimiento y mejora del BCMS al

Establecer una poltica de continuidad de negocios.

Asegurando que los objetivos y planes del BCMS estn establecidos.
Estableciendo roles, responsabilidades, y competencias para la
administracin de una continuidad de negocios, y
Designar una o ms personas para que sean responsables del BCMS con
la autoridad y competencias apropiadas que sean a cuenta para la
implementacin y mantenimiento del BCMS.

International StandardISO22301:2012(E)
NOTA 2 Estas personas pueden tener otras responsabilidades dentro de la
organizacin.
La Alta Direccin deber asegurar que las responsabilidades y las autoridades
para los roles relevantes estn asignados y comunicados con la organizacin al

Definir el criterio para aceptar riesgos y niveles tolerables de estos.

Participar activamente en ejercicios y testeos
Asegurar que las auditoras internas del BCMS sean llevadas a cabo
Llevar a cabo revisiones administrativas del BCMS, y
Demostrar su compromiso con la mejora continua.

5.3 Poltica
La Alta Direccin debiera establecer una poltica de continuidad de negocios
que
a)
b)
c)
d)

Sea apropiado con respecto al propsito de la organizacin

Provee de un marco para establecer objetivos de continuidad de negocio
Incluye el compromiso de satisfacer requerimientos aplicables
Incluye un compromiso para la mejora continua del BCMS

La poltica del BCMS deber

Estar disponible como informacin documentada

Estar comunicada dentro de la organizacin
Incluir un compromiso de satisfacer los requerimientos aplicables
Incluir un compromiso de mejora continua del BCMS

La poltica del BCMS debe

Estar disponible como informacin documentada

Estar comunicada dentro de la organizacin
Estar disponible para las partes interesadas
Revisar la adecuacin continua en intervalos definidos y cuando ocurran
cambios significativos.

La organizacin deber retener informacin documentada sobre la poltica de

continuidad de negocio.
5.4 Roles, responsabilidades y autoridades organizacionales
La Alta Direccin deber asegurar que las responsabilidades y autoridades de
los roles relevantes estn asignados y comunicados al interior de la
organizacin.
La Alta Direccin deber asignar la responsabilidad y la autoridad para

International StandardISO22301:2012(E)
a) Asegurar que el sistema administrativo cumple los requerimientos del
estndar internacional, y
b) Reporte del rendimiento del BCMS a la Alta Direccin.
7. Planeacin
6.1 Acciones para abordar riesgos y oportunidades
Cuando se planea para el BCMS, la organizacin deber considerar los asuntos
mencionados en 4.1 y los requerimientos referidos al 4.2 y determinar los
riesgos y oportunidades que necesitan ser abordados para
a) asegurar que el sistema de administracin pueda alcanzar los resultados
pretendidos,
b) prevenir, o reducir, efectos no deseados,
c) lograr mejoras continuas.
La organizacin deber planear
a) acciones para abordar los riesgos y oportunidades,
b) como
1) integrar e implementar las acciones a los procesos de BCMS (ver 8.1),
2) evaluar la efectividad de estas acciones (ver 9.1).
6.2 Objetivos de continuidad de negocios y los planes para alcanzarlos
La Alta Direccin debe asegurar que los objetivos de continuidad de negocios
estn establecidos y comunicados a las funciones y niveles relevantes dentro
de la organizacin.
Los objetivos de continuidad de negocio deben
a) ser consistentes con la poltica de continuidad de negocios,
b) tomar en cuenta el mnimo nivel de productos y servicios que es
aceptable para la organizacin para cumplir sus objetivos,
c) ser medible,
d) tomar en cuenta los requerimientos aplicables, y
e) ser monitoreado y actualizado cuando corresponda.
La organizacin deber retener la informacin documentada de los objetivos de
continuidad de negocio.
Para alcanzar los objetivos de continuidad de negocios, la organizacin deber
determinar

quien ser responsable,

que se har,
que recursos sern necesarios,
cuando ser completado, y
como se evaluarn los resultados.

International StandardISO22301:2012(E)

8. Soporte
7.1 Recursos
La organizacin deber determinar y proveer de los recursos necesarios para el
establecimiento, implementacin, mantencin y mejoras continuas del BCMS.
7.2 Competencia
La organizacin deber
a) determinar la competencia necesaria de la(s) persona(s) haciendo el
trabajo bajo su control que pueda afectar al rendimiento,
b) asegurar que estas personas son competentes en base a educacin,
entrenamiento y experiencia apropiada,
c) donde sea aplicable, tomar acciones para adquirir las competencias
necesarias, y evaluar la efectividad de las acciones tomadas, y
d) retener informacin documentada apropiada como evidencia de la
competencia.
NOTA Acciones aplicables pueden incluir, por ejemplo: la provisin de
entrenamiento, el tutorado, o la reasignacin de personas actualmente
contratadas; o la contratacin de personas competentes.
7.3 Conciencia
Las personas que hagan trabajo bajo el control de la organizacin debern ser
conscientes de
a) la poltica de continuidad de negocio,
b) su contribucin a la efectividad del BCMS, incluyendo los beneficios de la
mejora de rendimiento de la administracin de continuidad de negocios,
c) las implicaciones de no estar ajustados a los requerimientos del BCMS, y
d) su propio rol durante un evento disruptivo.
7.4 Comunicacin
La organizacin deber determinar la necesidad de comunicacin interna y
externa relevante al BCMS incluyendo
a) en que se comunicar,
b) cuando se comunicar,
c) con quien se comunicarLa organizacin deber establecer, implementar, y mantener procedimientos
para

International StandardISO22301:2012(E)

comunicacin interna entre las partes interesadas y los empleados al

interior de una organizacin,
comunicacin externa con los clientes, entidades asociadas, comunidad
local y otras partes interesadas, incluyendo a los medios,
recibir, documentar y responder a la comunicacin de las partes
interesadas,
adaptar e integrarse a un sistema nacional o regional de aviso de
amenazas, o un equivalente, en la planeacin y uso operacional, si es
que es apropiado,
asegurar la disponibilidad de los medios de comunicacin durante un
incidente disruptivo,
facilitar la comunicacin estructurada con las autoridades apropiadas y
asegurar la interoperabilidad de organizaciones y personal que
respondan de manera mltiple, cuando sea apropiado, y
operar y testear las capacidades de comunicacin previstas para su uso
durante la disrupcin de comunicaciones normales.

NOTA Mayores requerimientos de comunicacin en respuesta de un incidente

se especifican en el apartado 8.4.3.
7.5 Informacin Documentada
7.5.1 General
La organizacin BCMS deber incluir

informacin documentada requerida por este estndar internacional, e

informacin documentada determinada por la organizacin como
necesaria para la efectividad del BCMS.

NOTA El grado de la informacin documentada para un BCMS puede diferir

de una organizacin a otra debido a

el tamao de la organizacin y el tipo de actividades, procesos,

productos y servicios,
la complejidad de los procesos y sus interacciones, y
la competencia de las personas.

7.5.2 Creacin y actualizacin

Cuando se crea y se actualiza la informacin documentada, la organizacin
deber asegurar la ms adecuada
a) identificacin y descripcin (por ejemplo, un ttulo, fecha, autor o
nmero de referencia),

International StandardISO22301:2012(E)
b) formato (por ejemplo idioma, versin de software, grficos) y medios
(por ejemplo papel, electrnico), y revisin y aprobacin para la
idoneidad y adecuacin.
7.5.3 Control de informacin documentada
La informacin documentada requerida por el BCMS y por este estndar
internacional deber ser controlada para asegurar
a) su disponibilidad e idoneidad para uso, donde y cuando sea necesario,
b) esta adecuadamente protegido (por ejemplo de prdida de
confidencialidad, uso inapropiado, o prdida de integridad).
Para el control de informacin documentada, la organizacin deber abordar
las siguientes actividades como aplicables

distribucin, acceso, rescate y uso,

almacenamiento y preservacin, incluyendo la preservacin de
legibilidad
control de cambios (por ejemplo control de versiones),
retencin y disposicin
rescate y uso,
preservacin de legibilidad (es decir suficientemente claro para leer), y
prevencin del uso involuntario de informacin obsoleta

La informacin documentada de origen externo determinado por la

organizacin como necesaria para planear y operar el BCMS deber estar
identificada y controlada, apropiadamente.
Cuando se establezcan controles de informacin documentada, la organizacin
deber asegurar que existe proteccin adecuada para la informacin
documentada (por ejemplo proteccin en contra de compromiso, modificacin
o eliminacin no autorizada).
NOTA Acceso implica la decisin con respecto al permiso de ver la informacin
documentada, o el permiso y autoridad para ver y cambiar la informacin
documentada, etc.

International StandardISO22301:2012(E)
9. Operacin
8.1 Planeacin y control operacional
La organizacin deber planear, implementar y controlar los procesos
necesitados para cumplir los requerimientos, y para implementar las acciones
determinadas en 6.1, al
a) establecer criterios para los procesos,
b) implementar controles para los procesos de acuerdo al criterio, y
c) mantener la informacin documentada al grado necesario para tener
confianza en que el proceso se ha llevado a cabo como fue planeado.
La organizacin deber controlar cambios planeados y revisar las
consecuencias de cambios involuntarios, tomando accin para mitigar
cualquier efecto adverso, segn sea necesario.
La organizacin deber asegurar que los procesos externalizados sean
controlados.
8.2 Anlisis de impacto y evaluacin del riesgo del negocio
8.2.1 General
La organizacin deber establecer, implementar y mantener un proceso formal
y documentado para el anlisis de impacto del negocio y la valoracin del
riesgo que
a) establezca el contexto de la evaluacin, defina criterios y evale el
impacto potencial de un incidente disruptivo,
b) toma en cuenta requerimientos legales y otros a los cuales la
organizacin est suscrita,
c) incluye un anlisis sistemtico, priorizacin de tratamiento de riesgos, y
sus costos asociados,
d) define el resultado requerido del anlisis de impacto del negocio y la
valoracin del riesgo, y
e) especifica los requerimientos para que esta informacin sea mantenida
al da y confidencial.
NOTA Hay varias metodologas para el anlisis de impacto del negocio y la
valoracin del riesgo que determinarn el orden en el cual estas sern llevadas
a cabo.
8.2.2 Anlisis de impacto del negocio
La organizacin deber establecer, implementar, y mantener un proceso de
evaluacin formal y documentado para determinar las prioridades de
continuidad y recuperacin, objetivos y metas. Este proceso deber incluir la

International StandardISO22301:2012(E)
asesora a impactos de actividades disruptivas que apyenlos productos y
servicios de la organizacin.
El anlisis de impacto del negocio deber incluir lo siguiente:
a) identificacin de actividades que apoyen la provisin de bienes y
servicios;
b) evaluacin del impacto de no llevar a cabo estas actividades a travs del
tiempo;
c) estableciendo marcos temporales priorizados para la reanudacin de las
actividades en el nivel mnimo aceptable especificado, tomando en
consideracin el tiempo en el cual el impacto de no reanudacin de
estas pasara a ser inaceptable; e
d) identificar dependencias y recursos de apoyo para estas actividades,
incluyendo proveedores, socios para la externalizacin y otras partes
interesadas.
8.2.3 Valoracin del riesgo
La organizacin deber establecer, implementar, y mantener un proceso de
valoracin de riesgo documentado formalmente que identifique, analice y
evale sistemticamente el riesgo de los incidentes disruptivos en la
organizacin.
NOTA Este proceso puede ser llevado a cabo de acuerdo a ISO31000.
La organizacin deber
a) identificar riesgos de disrupcin de las actividades prioritarias de la
organizacin y los procesos, sistemas, informacin, personas, activos,
socios externos y otros recursos de apoyo,
b) analizar el riesgo sistemticamente,
c) evaluar cual riesgo relacionado a la disrupcin necesitan tratamiento, y
d) identificar tratamientos acorde a los objetivos de continuidad de
negocios y de acuerdo con el apetito de riesgo de la organizacin.
NOTA La organizacin debe estar consciente que ciertas
financieras o gubernamentales, requieren de la comunicacin de
en detalle a distintos niveles. Adems, ciertas necesidades
tambin pueden garantizar el intercambio de informacin el nivel
detalle.

obligaciones,
estos riesgos
de sociedad
apropiado de

8.3 Estrategia de continuidad del negocio

8.3.1 Determinacin y seleccin
La determinacin y seleccin de estrategia deber estar basada en el resultado
del anlisis de impacto del negocio y de la valoracin del riesgo.

International StandardISO22301:2012(E)
La organizacin deber determinar la estrategia de continuidad de negocio
apropiada para
a) proteger las actividades priorizadas
b) estabilizar, continuar, reanudar y recuperar las actividades priorizadas y
sus dependencias y recursos de apoyo, y
c) mitigar, responder y manejar los impactos.
La determinacin de la estrategia deber incluir la aprobacin de marcos
temporales prioritarios para la reanudacin de las actividades.
La organizacin deber conducir evaluaciones de la capacidad de continuidad
de negocio de los proveedores.
8.3.2 Establecer los requerimientos de recursos
La organizacin deber determinar los requerimientos de recursos para
implementar las estrategias seleccionadas. Los tipos de recursos considerados
debern incluir, pero no ser limitados a
a)
b)
c)
d)
e)
f)
g)
h)

personas,
informacin y datos,
edificios, ambiente de trabajo y servicios asociados,
instalaciones, equipamiento y consumibles,
sistemas de tecnologas de la informacin y comunicacin (ICT)
transporte
finanzas, y
socios y proveedores.

8.3.3 Proteccin y mitigacin

Para identificar riesgos en necesidad de tratamiento, la organizacin deber
considerar medidas proactivas que
a) reduzcan la probabilidad de disrupcin,
b) acorten el periodo de la disrupcin, y
c) limiten el impacto de disrupcin en los productos y servicios claves de la
organizacin.
La organizacin deber elegir e implementar tratamientos de riesgo apropiados
de acuerdo a su apetito de riesgo.
8.4 Establecer e implementar procedimientos de continuidad de negocios
8.4.1 General
La organizacin deber establecer, implementar, y mantener los
procedimientos de continuidad de negocio para manejar un incidente

International StandardISO22301:2012(E)
disruptivo y continuar sus actividades basadas en los objetivos de recuperacin
identificados en el anlisis de impacto del negocio.
La organizacin deber documentar los procedimientos (incluyendo los arreglos
necesarios) para asegurar la continuidad de las actividades y la administracin
de un incidente disruptivo.
El procedimiento deber
a) establecer un protocolo de comunicaciones externo e interno apropiado,
b) ser especfico con respecto a los pasos inmediatos que se debern llevar
a cabo al momento de una disrupcin,
c) ser flexible para responderlas amenazas no anticipadas y las condiciones
internas y externas que son cambiantes,
d) enfoque en el impacto de los eventos que podran potencialmente
interrumpir las operaciones,
e) ser desarrollado en base a supuestos establecidos y un anlisis de
interdependencias, y
f) ser efectivo al minimizar las consecuencias a travs de la
implementacin de estrategias de mitigacin apropiadas.
8.4.2 Estructura de respuesta de incidentes
La organizacin deber establecer, documentar, e implementar procedimientos
y estructuras administrativas para responder a los eventos disruptivos
utilizando personal con la responsabilidad, autoridad y competencia necesaria
para manejar un incidente.
La estructura de respuesta deber
a) identificar el umbral de impacto que justifica el inicio y respuesta formal,
b) evala la naturaleza y grado del evento disruptivo y su impacto
potencial,
c) actividad una respuesta de continuidad de negocios apropiada
d) tener procesos y procedimientos para la activacin, operacin,
coordinacin, y comunicacin de la respuesta,
e) tener los recursos disponibles para apoyar los procesos y procedimientos
para manejar un incidente disruptivo para lograr minimizar el impacto, y
f) comunicarse con las partes interesadas y las autoridades, al igual que
con los medios.
La organizacin deber decidir, considerando la seguridad de la vida como
primera prioridad y en consulta con las partes interesadas relevantes, si se
deber comunicar externamente sobre riesgos e impactos significativos y
documentar la decisin. Si la decisin es comunicar, entonces la organizacin
deber establecer e implementar procedimientos para su comunicacin
externa, alertas y advertencias incluyendo a los medios segn sea apropiado.

International StandardISO22301:2012(E)
8.4.3 Advertencia y comunicacin
La organizacin deber establecer, implementar y mantener procedimientos
para
a) detectar un incidente,
b) monitoreo regular de un incidente,
c) comunicacin interna dentro de la organizacin y recepcin,
documentacin y respuesta a la comunicacin de las partes interesadas,
d) recibir, documentar y responder a cualquier sistema nacional o regional
de asesora de riesgo ( o equivalente),
e) asegurar disponibilidad de los medios de comunicacin durante un
incidente disruptivo
f) facilitar la comunicacin estructurada con respondedores de
emergencia,
g) grabaciones de informacin vital sobre el incidente, acciones tomadas y
decisiones que se hicieron, y lo siguiente deber tambin ser
considerado e implementado donde aplique:
alertar a las partes interesadas potencialmente impactadas por un
incidente disruptivo real o inminente;
asegurar
la
interoperabilidad
de
organizaciones
con
respondedores mltiples y personal;
operaciones de una infraestructura de comunicaciones.
La comunicacin y procedimientos de advertencia deben ser ejercitados
regularmente.
8.4.4 Planes de continuidad de negocios
La organizacin deber establecer procedimientos documentados para
responder a incidentes disruptivos y como se deber continuar o recuperar sus
actividades en un marco temporal predeterminado. Tales procedimientos
debern abordar los requerimientos de aquellos quienes los utilizarn.
Los planes de continuidad de negocios debern, colectivamente, contener
a) roles y responsabilidades definidas para las personas y equipos que
tengan autoridad durante y despus de un incidente,
b) un procesos para activar una respuesta,
c) detalles para manejar las consecuencias inmediatas de un incidente
disruptivo teniendo debidamente en cuenta
1) el bienestar de los individuos,
2) opciones estratgicas, tcticas y operacionales para responder a la
disrupcin, y
3) prevencin de mayores prdidas o indisponibilidad de actividades
priorizadas;

International StandardISO22301:2012(E)
d) detalles de cmo y bajo qu circunstancias la organizacin le
comunicar a los empleados y sus familiares, partes interesadas claves y
contactos de emergencia,
e) como la organizacin continuar o recuperar sus actividades
priorizadas dentro de marcos temporales predeterminados,
f) detalles de las respuestas mediticas de la organizacin despus del
incidente, incluyendo
1) una estrategia de comunicaciones,
2) interfaz preferida con los medios,
3) gua o plantilla para la elaboracin de una declaracin para los
medios, y
4) un portavoces apropiado;
g) un proceso para bajar una vez que termina el incidente.
Cada plan deber definir

propsito y alcance
objetivos
criterios de activacin y procedimientos,
implementacin de procedimientos,
roles, responsabilidades, y autoridades,
requerimientos y procedimientos de comunicacin,
interdependencias e interacciones internas y externas
requerimientos de recursos, y
flujo de informacin y documentacin de procesos.

8.4.5 Recuperacin
La organizacin deber tener procedimientos documentados para restablecer y
devolver las actividades del negocio de las medidas adoptadas temporalmente
para apoyar los requerimientos normales del negocio tras un incidente.
8.5 Ejercicios y testeo
La organizacin deber ejercitar y probar sus procedimientos de continuidad de
negocios para asegurar que son consistentes con los objetivos de continuidad
del negocio.
La organizacin deber conducir ejercicios y pruebas que
a) sean consistentes con un alcance y objetivos del BCMS,
b) estn basados en escenarios apropiados que estn bien planeados con
objetivos y metas claramente definidas,
c) que al unirlos a travs del tiempo pueden validar el total de los arreglos
de continuidad de negocio, involucrando a las partes interesadas
relevantes,
d) minimizar el riesgo de interrupcin de operaciones,

International StandardISO22301:2012(E)
e) producir reportes formales post-ejercicios que contengan resultados,
recomendaciones y acciones para implementar mejoras,
f) son revisados dentro del contexto de promover mejoras continuas, y
g) son conducidas en intervalos planeados y cuando hay cambios
significativos dentro de la organizacin o el ambiente donde operan.

International StandardISO22301:2012(E)
10.

Evaluacin de rendimiento

9.1 Monitoreo, medida, anlisis y evaluacin

9.1.1 General
La organizacin deber determinar
a) que necesita ser monitoreado y medido,
b) los mtodos aplicables para monitorear, medir, analiza y evaluar, para
asegurar resultados vlidos,
c) cuando deber ser llevado a cabo el monitoreo y medicin, y
d) cuando debern ser analizados y evaluados los resultados del monitoreo
y la evaluacin.
La organizacin deber retener informacin documentada apropiada como
evidencia de los resultados
La organizacin deber evaluar el rendimiento del BCMS y la efectividad de
este.
Adicionalmente, la organizacin deber

actuar cuando sea necesario abordar tendencias o resultados adversos

antes de que ocurra una disconformidad, y
retener informacin documentada relevante como evidencia de sus
resultados.

Los procedimientos de monitoreo de rendimiento debern proveer para

el conjunto de mtricas de rendimiento apropiadas para las necesidades

de la organizacin,
monitoreo del grado al cual la poltica, objetivos y metas de continuidad
de negocio de la organizacin son alcanzados,
rendimiento de los procesos, procedimientos y funciones que protegen
las actividades priorizadas,
monitoreo del cumplimiento con este estndar internacional y los
objetivos de continuidad de negocio,
monitoreo de evidencia histrica de rendimientos deficientes de BCMS, y
registro de datos y resultados del monitoreo y medicin para facilitar
acciones correctivas subsiguientes.

NOTA Rendimiento deficiente podra incluir la no conformidad, near

misses, falsas alarmas e incidentes reales.
9.1.2 Evaluacin de los procedimientos de continuidad de negocios

International StandardISO22301:2012(E)
a) La organizacin deber conducir evaluaciones de sus procedimientos y
capacidades de continuidad de negocios con el fin de asegurar su
idoneidad, adecuacin y efectividad;
b) Estas evaluaciones debern ser realizadas a travs de revisiones
peridicas, ejercicios, pruebas, reportes post-incidentes y evaluaciones
de rendimiento. Cambios significativos debern ser reflejados en los
procedimientos de manera oportuna;
c) La organizacin deber evaluar el cumplimiento peridicamente con
aplicacin de requerimientos legales y de recuperacin, mejores
prcticas de la industria, y en conformidad con sus propias polticas y
objetivos de continuidad de negocios; y
d) La organizacin deber conducir evaluaciones en intervalos planeados y
cuando sucedan cambios significativos.
Cuando ocurre un incidente disruptivos y resulta en la activacin de los
procedimientos de continuidad de negocio, la organizacin deber llevar a
cabo una revisin post-incidente y registrar los resultados.
9.2 Auditora interna
La organizacin deber conducir auditoras internas en intervalos planeados
para proveer informacin sobre si el sistema de administracin de continuidad
de negocio
a) esta en conformidad con
1) los requisitos propios de la organizacin para su BCMS,
2) los requerimientos de este estndar internacional, y
b) esta efectivamente implementada y mantenida.
La organizacin deber

planear, establecer, implementar y mantener programas de auditora,

incluyendo la frecuencia, mtodos, responsabilidades, planeacin de
requerimientos y reportes. El programa de auditora deber tomar en
consideracin la importancia del procesos en cuestin y los resultados
de auditoras previas,
definir el criterio y alcance de auditora,
seleccionar auditores y conducir auditoras para asegurar objetividad y la
imparcialidad del proceso de auditora,
asegurar que los resultados de las auditoras sean reportados a la
administracin relevante, y
retener la informacin documentada como evidencia de la
implementacin del programa de auditora y los resultados de auditora.

El programa de auditora, incluyendo cualquier horario, debe estar basado en

los resultados de la evaluacin del riesgo de las actividades de la organizacin,
y los resultados de auditoras previas. Los procedimientos de auditora debern

International StandardISO22301:2012(E)
cubrir el alcance, frecuencia, metodologa y competencias, al igual que
responsabilidades y requerimientos para conducir auditoras y la presentacin
de resultados en informes.
La administracin responsable para el rea siendo auditada deber asegurar
que las correcciones y acciones correctivas necesarias sean tomadas sin
retrasos para eliminar las disconformidades detectadas y sus causas.
Actividades de seguimiento debern incluir la verificacin de las acciones
llevadas a cabo y la entrega de informes con la verificacin de resultados.
9.3 Revisin de gestin
La Alta Direccin deber revisar el BCMS de la organizacin, en intervalos
planeados, para asegurar su idoneidad, adecuacin y efectividad.
La revisin de la administracin deber incluir consideracin para
a) el estado de las acciones de revisiones administrativas anteriores
b) cambios en asuntos internos y externos que sean relevantes en el
sistema de administracin de continuidad de negocios,
c) informacin sobre el rendimiento de la continuidad del negocio,
incluyendo tendencias en
1) no conformidad y acciones correctivas
2) monitoreo y medicin de los resultados de la evaluacin, y
3) resultados de auditora,
d) oportunidades para mejoras continuas.
Revisiones administrativas considerarn el rendimiento de la organizacin,
incluyendo

acciones de seguimiento de revisiones administrativas anteriores,

la necesidad de cambio del BCMS, incluyendo polticas y objetivos,
oportunidades de mejora,
resultados de las auditoras y revisiones del BCMS, incluyendo los
proveedores y socios claves donde corresponda,
tcnicas, productos o procesos, que podran ser utilizados para mejorar
el rendimiento y efectividad del BCMS,
estado de la accin correctiva
resultados de ejercicios y testeo,
riesgos y asuntos no abordados adecuadamente en ninguna evaluacin
del riesgo previa,
cualquier cambio que pudiera afectar al BCMS, sea interno o externo al
alcance del BCMS,
adecuacin de la poltica,
recomendaciones de mejora,
lecciones aprendidas y acciones levantadas de incidentes disruptivos, y
buenas prcticas y guas emergentes.

International StandardISO22301:2012(E)
Los resultados de las revisiones administrativas incluirn decisiones
relacionadas oportunidades de mejoras continuas y las posibles necesidades de
cambio al BCMS, e incluyen lo siguiente:
a) variaciones al alcance del BCMS;
b) mejoras a la efectividad del BCMS;
c) actualizacin de la evaluacin del riesgo, anlisis de impacto al negocio,
planes de continuidad de negocio y procedimientos relacionados;
d) modificacin de los procedimientos y controles para responder a los
eventos internos y externos que puedan impactar en el BCMS,
incluyendo cambios a
1) requerimientos de negocios y operacionales,
2) requerimientos de seguridad y de reduccin de riesgos,
3) condiciones y procesos operacionales,
4) requerimientos legales y regulatorios,
5) obligaciones contractuales,
6) niveles de riesgos y/o criterios para aceptar riesgos,
7) recursos necesarios,
8) requerimientos de financiamiento y presupuesto, y
e) como se mide la efectividad de los controles.
La organizacin deber retener la informacin documentada como evidencia de
los resultados de las revisiones administrativas.
La organizacin deber

comunicar los resultados de la revisin a las partes interesadas

relevantes, y
actuar apropiadamente en relacin a aquellos resultados.

International StandardISO22301:2012(E)
11.

Mejoras

10.1 No conformidad y acciones correctivas

Cuando ocurre una disconformidad, la organizacin deber
a) identificar esta disconformidad
b) reaccionar a la disconformidad, y segn aplique,
1) actuar para controlar y corregirlo, y
2) enfrentarse a las consecuencias
c) evaluar la necesidad de accin para eliminar la causa de la
disconformidad, con el fin que esta no se repita u ocurra en otro lugar, al
1) revisar la disconformidad,
2) determinar las causas de la disconformidad, y
3) determinar si existen disconformidades similares, o que podran
ocurrir potencialmente,
4) evaluar la necesidad de accin correctiva para asegurar que las
disconformidades no se repitan u ocurran en otra parte,
5) determinar e implementar las acciones correctivas necesitadas,
6) revisar la efectividad de cualquier accin correctiva llevada a cabo y
7) hacer cambios al BCMS, si es que estos fueran necesarios.
d) Implementar cualquier accin necesaria,
e) Revisar la efectividad de cualquier accin correctiva llevada a cabo,
f) Hacer cambios al BCMS, si es que fuera necesario.
Las acciones correctivas sern apropiadas para efectos de la disconformidad
encontrada.
La organizacin retendr la informacin documentada como evidencia de

la naturaleza de las disconformidades y cualquier accin que le siguiera,

y
los resultados de cualquier accin correctiva.

10.2 Mejoras continuas

La organizacin mejorar
efectividad del BCMS.

continuamente

la

idoneidad,

adecuacin

NOTA La organizacin puede utilizar los procesos del BCMS como liderazgo,
planeacin y evaluacin del rendimiento, para lograr mejoras.

International StandardISO22301:2012(E)

Bibliografa
[1] ISO 9001, Sistemas de administracin de calidad - Requerimientos
[2] ISO 14001, Sistemas de administracin ambiental, Requerimientos con gua
para uso
[3] ISO 19011, Directrices para auditar sistemas de administracin
[4] ISO/IEC 20000-1, Tecnologa de la informacin Administracin de servicios
[5] ISO 22300, Seguridad de sociedad - Terminologa
[6] ISO/PAS 22399, Seguridad de sociedad Directrices para la preparacin
ante incidentes y administracin de continuidad operacional
[7] ISO/IEC 24762, Tecnologa de la informacin Tcnicas de seguridad
Directrices para los servicios de recuperacin de desastres de la tecnologa de
informacin y comunicacin
[8] ISO/IEC 27001, Sistemas de administracin de seguridad de la informacin
[9] ISO/IEC 27031, Tecnologa de la informacin Tcnicas de seguridad
Directrices para la disposicin de la tecnologa de informacin y comunicacin
para la continuidad del negocio
[10] ISO 31000, Administracin del riesgo Principios y directrices
[11] ISO/IEC 31010, Administracin del riesgo Tcnicas de evaluacin del
riesgo
[12] ISO/IEC Gua 73, Administracin del riesgo Vocabulario
[13] BS 25999-1, Administracin de continuidad de negocios Cdigo de
prctica, British Standards Institution (BSI)
[14] BS 25999-, Administracin de continuidad de negocios Especificacin,
British Standards Institution (BSI)
[15] SI 24001, Sistemas de administracin de continuidad y seguridad
Requerimientos y gua para uso, Standards Institutions of Israel
[16] NFPA 1600, Estndar administracin de desastre/emergencia y programas
de continuidad de negocio, National Fire Protection Association (USA)
[17] Directrices de borrador para un plan de continuidad de negocios,
Ministerio de Economa, Intercambio e industria (Japn), 2005

International StandardISO22301:2012(E)
[18] Directriz para Continuidad de Negocio, Consejo central de manejo de
desastres, Oficina del gabinete, Gobierno de Japn, 2005.
[19] ANSI/ASIS SPC. 1, Resistencia Organizacional: Seguridad, preparacin, y
sistemas de administracin de continuidad Requerimientos con guas de uso
SS 540: 2008, Estndar de administracin de continuidad de negocios de
Singapur
[20] ANSI/ASIS/BSI BCM.01, Sistemas de administracin de continuidad de
negocios: Requerimientos con gua para su uso.