Академический Документы
Профессиональный Документы
Культура Документы
ARGENTINA 22301
22301 Primera edición
2014 2014-12-22
.
ón
ci
bu
ri
st
Seguridad de la sociedad
di
Sistemas de gestión de la continuidad
y
n
del negocio
ió
cc
du
Requisitos ro
(ISO 22301:2012, IDT)
p
re
su
Societal security
Business continuity management systems
a
Requirements
b id
hi
ro
-P
o
rn
te
in
so
-U
M
A
IR
Referencia Numérica:
IRAM-ISO 22301:2014
.
ón
ci
bu
ri
st
di
y
n
ió
cc
du
p ro
re
su
a
b id
hi
ro
-P
o
rn
te
in
so
-U
M
A
IR
IRAM 2014-12-22
No está permitida la reproducción de ninguna de las partes de esta publicación por
cualquier medio, incluyendo fotocopiado y microfilmación, sin permiso escrito del IRAM.
IR A M- I SO 22 3 01 :2 0 14
Prefacio
.
ón
El Instituto Argentino de Normalización y Certificación (IRAM) es
una asociación civil sin fines de lucro cuyas finalidades específicas,
ci
en su carácter de Organismo Argentino de Normalización, son
bu
establecer normas técnicas, sin limitaciones en los ámbitos que
abarquen, además de propender al conocimiento y la aplicación de
ri
la normalización como base de la calidad, promoviendo las
st
actividades de certificación de productos y de sistemas de la
di
calidad en las empresas para brindar seguridad al consumidor.
y
IRAM es el representante de Argentina en la International
n
Organization for Standardization (ISO), en la Comisión
ió
Panamericana de Normas Técnicas (COPANT) y en la Asociación
cc
MERCOSUR de Normalización (AMN).
du
Esta norma es el fruto del consenso técnico entre los diversos
ro
sectores involucrados, los que a través de sus representantes han
intervenido en los Organismos de Estudio de Normas
p
re
correspondientes.
su
a
3
IR A M- I SO 22 3 01 :2 0 14
Prefacio ISO
.
ón
ISO (Organización Internacional de Normalización) es
una federación mundial de organismos Internacionales de
ci
Normalización (ISO organismos miembros). El trabajo de
bu
elaboración de las normas internacionales normalmente, se
realiza a través de los comités técnicos. Cada organismo
ri
miembro interesado en un tema, para el cual se ha establecido
st
un comité técnico, tiene derecho a estar representado en dicho
di
comité. Organizaciones internacionales, gubernamentales y no
gubernamentales en colaboración con ISO, también participan
y
en el trabajo. ISO mantiene una estrecha colaboración con la
n
Comisión Electrónica Internacional (IEC) en todas las cuestiones
ió
de normalización electrotécnica.
cc
Las normas se redactan de acuerdo con las reglas establecidas
du
en ISO/IEC Directivas. Parte 2. ro
La principal tarea de los Comités técnicos es preparar normas
p
re
Societal security.
rn
te
in
so
-U
M
A
IR
4
IR A M- I SO 22 3 01 :2 0 14
Índice
.
Página
ón
0 INTRODUCCIÓN ............................................................................................. 7
ci
bu
1 OBJETO Y CAMPO DE APLICACIÓN ............................................................. 9
ri
2 DOCUMENTOS NORMATIVOS PARA CONSULTA...................................... 10
st
di
3 TÉRMINOS Y DEFINICIONES ...................................................................... 10
y
4 CONTEXTO DE LA ORGANIZACIÓN ........................................................... 15
n
ió
5 LIDERAZGO .................................................................................................. 16
cc
6 PLANIFICACIÓN ........................................................................................... 17
du
7 SOPORTE ..................................................................................................... 18
p ro
8 OPERACIÓN ................................................................................................. 20
re
5
6
IR
A
M
-U
so
in
IR A M- I SO 22 3 01 :2 0 14
te
rn
o
-P
ro
hi
bid
a
su
re
pro
du
cc
ió
n
y
di
st
ri
bu
ci
ón
.
IR A M- I SO 22 3 01 :2 0 14
Seguridad de la sociedad
Sistemas de gestión de la continuidad del negocio
Requisitos
.
ón
ci
0 INTRODUCCIÓN 4) evaluación del desempeño,
bu
5) revisión por la dirección, y
ri
0.1 Generalidades
st
6) mejora;
Esta norma especifica los requisitos para el esta-
di
blecimiento y la gestión de un Sistema de Ges- d) documentación que provee evidencia audi-
y
tión de Continuidad del Negocio (SGCN) eficaz. table; y
n
ió
NOTA IRAM. En nuestro país la expresión continuidad del
negocio también es conocida como continuidad de los nego-
e) cualquier proceso de gestión de continui-
cc
cios, continuidad operativa, continuidad de las operaciones, dad del negocio pertinente para la organi-
continuidad operacional y continuidad de las actividades. zación.
organización.
objetivas.
te
Un SGCN, al igual que cualquier otro sistema de normas de Sistemas de gestión, tales como
gestión, tiene los componentes clave siguientes: IRAM-ISO 9001 Sistemas de gestión de la cali-
so
7
IR A M- I SO 22 3 01 :2 0 14
La figura 1 ilustra cómo un SGCN toma como produce resultados de continuidad (es decir,
entradas a las partes interesadas y a los requi- gestiona la continuidad del negocio) que cum-
sitos para la gestión de la continuidad y, a ple con esos requisitos.
través de las acciones y procesos necesarios,
.
ón
ci
bu
ri
st
di
y
n
ió
cc
du
p ro
re
su
a
b id
hi
ro
(Establecer)
continuidad del negocio con el fin de obtener resultados que estén
in
(Implementar y operar)
Verificar Hacer seguimiento y evaluar el desempeño contra la política y los
M
mediación y mejora.
Actuar Mantener y mejorar el SGCN mediante la adopción de acciones co-
rrectivas, basados en los resultados de la revisión por la dirección y
(Mantener y mejorar)
la reevaluación del alcance del SGCN, la política y los objetivos de
continuidad del negocio.
8
IR A M- I SO 22 3 01 :2 0 14
0.3 Componentes del PHVA en esta norma con las expectativas de la gestión y busca la
retroalimentación de ésta respecto de las
En el modelo Planificar-Hacer-Verificar-Actuar expectativas.
que se muestra en la tabla 1, los capítulos 4 al
10 de esta norma cubren los componentes si- − El capítulo 10 es un componente del Actuar.
guientes: Identifica y actúa sobre la no conformidad del
SGCN, a través de las acciones correctivas.
.
ón
− El capítulo 4 es un componente del Planifi-
car, Introduce los requisitos necesarios para
ci
establecer el contexto del SGCN, como apli-
1 OBJETO Y CAMPO DE APLICACIÓN
bu
ca para la organización, así como las nece-
sidades, los requisitos y el alcance.
ri
Esta norma para la gestión de la continuidad
st
− El capítulo 5 es un componente del Planifi- del negocio especifica los requisitos para plani-
di
car. En él se resumen los requisitos espe- ficar, establecer, implementar, operar, realizar
cíficos del papel de la alta dirección en el el seguimiento, revisar, mantener y mejorar
y
SGCN, y cómo el liderazgo articula sus ex- continuamente un sistema de gestión docu-
n
pectativas a la organización a través de una mentado, para protegerse contra, reducir la
ió
declaración de política. probabilidad de ocurrencia, prepararse para,
cc
responder a y recuperarse de incidentes disrup-
− El capítulo 6 es un componente del Planificar. tivos que puedan surgir.
du
En él se describen los requisitos, en lo referen- ro
te al establecimiento de objetivos estratégicos Los requisitos especificados en esta norma son
y los principios rectores para el SGCN en su genéricos y están destinados a ser aplicables a
p
NOTA. Los requisitos de los procesos de análisis del uniformidad en la estructura de un Sistema de
impacto en los negocios y de evaluación de riesgos se Gestión de Continuidad del Negocio (SGCN), pe-
ro
detallan en el capítulo 8.
ro sí para que la organización diseñe un SGCN
-P
rar un SGCN;
tos para manejar un incidente disruptivo.
IR
9
IR A M- I SO 22 3 01 :2 0 14
.
ón
Esta norma puede ser utilizada para evaluar la amenazas potenciales para la organización y
capacidad de una organización para satisfacer los impactos en las operaciones de negocios,
ci
sus propias necesidades de continuidad y obli- que dichas amenazas, en caso de realizarse,
bu
gaciones. puedan causar y que proporcionan un marco
para la construcción de la resiliencia organiza-
ri
cional con capacidad para dar una respuesta
st
eficaz que salvaguarde los intereses de sus
2 DOCUMENTOS NORMATIVOS PARA
di
partes interesadas clave, reputación, marca y
CONSULTA actividades de creación de valor
y
n
Para la aplicación de esta norma no es necesa- 3.5 sistema de gestión de la continuidad del
ió
ria la consulta de ninguna otra. negocio SGCN
cc
parte del sistema general de gestión que esta-
blece, implementa, opera, realiza el seguimiento,
du
revisa, mantiene y mejora la continuidad del ne-
3 TÉRMINOS Y DEFINICIONES
ro
gocio
p
A los efectos de este documento, se aplican los NOTA. El sistema de gestión incluye la estructura organiza-
re
proceso o conjunto de procesos realizados por procedimientos documentados que guían a las
id
“call center”, TI, fabricación, distribución. NOTA. Normalmente, esto incluye los recursos, servicios
-P
tado para obtener evidencias de la auditoría y 3.7 programa de continuidad del negocio
te
evaluarlas de manera objetiva con el fin de de- proceso continuo de gestión y gobierno, con el
terminar el grado en que se cumplen los criterios apoyo de la alta dirección y con los recursos
in
mera parte) o una auditoría externa (segunda o tercera 3.8 análisis del impacto en el negocio
parte) y puede ser una auditoría combinada (combinación proceso de análisis de las actividades y del
de dos o más disciplinas).
M
10
IR A M- I SO 22 3 01 :2 0 14
.
ón
suceso o cambio de un conjunto particular de
[ISO 22300] circunstancias
ci
3.12 corrección
bu
NOTA 1. Un evento puede tener uno o más sucesos y
acción tomada para eliminar una no conformi- puede tener varias causas.
ri
dad detectada
NOTA 2. Un evento puede consistir en algo que no pasa.
st
[ISO 22300]
di
NOTA 3. Un evento puede denominarse, a veces, inciden-
te o accidente.
3.13 acción correctiva
y
acción tomada para eliminar la causa de una NOTA 4. Un evento sin consecuencias también puede ser
n
denominado cuasi falla, incidente, o cuasi accidente.
ió
no conformidad y para prevenir la recurrencia
cc
NOTA. En el caso de otros resultados no deseados, son [ISO/IEC Guía 73]
necesarias acciones para minimizar o eliminar las causas
du
y reducir el impacto o prevenir la recurrencia. Tales accio- 3.18 ejercicio
nes quedan fuera del concepto de “acción correctiva” en
ro
proceso para entrenar, para evaluar, practicar,
el sentido de la definición.
y mejorar el desempeño en una organización
p
re
NOTA 1. El medio de soporte puede ser papel, disco mag- organizacionales, identificando deficiencias en los recursos,
mejorando el desempeño individual; e identificando las opor-
b
planificado.
3.15 información documentada
rn
3.19 incidente
situación que puede ser, o puede dar lugar a,
so
− la información creada con el fin de que la organización necesarios para el funcionamiento de una or-
opera (documentación); ganización
− la evidencia de los resultados obtenidos (registros).
11
IR A M- I SO 22 3 01 :2 0 14
.
ón
3.22 auditoría interna NOTA. Ver también interrupción máxima aceptable.
ci
auditoría realizada por o en nombre de la propia
bu
organización para la revisión por la dirección y 3.27 medición
otros fines internos, y que puede constituir la proceso para determinar un valor
ri
base para la autodeclaración de conformidad de
st
una organización 3.28 objetivo mínimo de continuidad del ne-
di
gocio
NOTA. En muchos casos, particularmente en las organiza-
OMCN
y
ciones más pequeñas, la independencia puede demos-
trarse al estar libre de toda responsabilidad para la nivel mínimo de servicios y/o productos que es
n
actividad que se audita. aceptable para la organización para lograr sus
ió
objetivos de negocios durante una interrupción
cc
3.23 activación
acto de declarar que es necesario poner en 3.29 seguimiento
du
práctica las disposiciones de continuidad del ne- determinar el estado de un sistema, un proceso
ro
gocio de la organización con el fin de continuar o una actividad
con la entrega de productos o servicios clave
p
[ISO 22300]
hi
3.31 no conformidad
-P
racional.
3.25 interrupción máxima aceptable
-U
que pudieran surgir como resultado de no pro- niveles (tales como, estratégico, en toda la organización,
A
de una actividad, para llegar a ser inaceptable NOTA 3. Un objetivo puede expresarse de otras maneras,
por ejemplo, como un resultado deseado, un propósito, un
NOTA. Ver también período máximo tolerable de interrup- criterio operacional, como un objetivo de seguridad de la
ción. sociedad o por el uso de otras palabras de significado si-
milar (por ejemplo, objetivo, meta o destino).
12
IR A M- I SO 22 3 01 :2 0 14
.
ón
propias funciones con responsabilidades, auto- una organización a sus clientes, beneficiarios y
ridades y relaciones para lograr sus objetivos partes interesadas, por ejemplo, artículos ma-
ci
nufacturados, seguro de automóviles y enfer-
bu
NOTA 1. El concepto de organización incluye, pero no se mería comunitaria
limita a, comerciante individual, compañía, corporación,
ri
firma, empresa, autoridad, asociación, empresa uniperso-
3.42 actividades prioritarias
st
nal, caridad o institución, o parte o combinación de los
mismos, ya sean incorporadas o no, públicas o privadas. actividades a las que se les debe dar prioridad
di
después de un incidente con el fin de mitigar
NOTA 2. Para las organizaciones con más de un equipo los impactos
y
de operación, una sola unidad operativa puede definirse
n
como una organización.
[ISO 22300]
ió
3.34 contratar externamente
cc
3.43 registro
convenir un arreglo en el cual una organización
declaración de los resultados obtenidos o evi-
du
externa realice parte de los procesos o funcio-
dencia de las actividades desempeñadas
nes de una organización
ro
3.44 objetivo de punto de recuperación
p
NOTA. Una organización externa está fuera del alcance
OPR
re
datos.
dos cuantitativos o cualitativos.
hi
3.37 personal
in
personas que trabajan para y bajo el control de − los recursos deben recuperarse.
la organización
so
intenciones y dirección de una organización como NOTA IRAM. La especificación ISO/PAS 22399 define al
ha expresado formalmente la alta dirección. OTR como: Objetivo de tiempo para la restauración y re-
cuperación de las funciones o recursos, basado en el
3.39 procedimiento tiempo de inactividad aceptable en caso de una interrup-
forma específica para llevar a cabo una activi- ción de las operaciones.
dad o un proceso
13
IR A M- I SO 22 3 01 :2 0 14
.
consideración esté implícita.
ón
NOTA 2. Un requisito especificado es uno que está esta- 3.49 tolerancia al riesgo
ci
blecido, por ejemplo, en la información documentada. cantidad y tipo de riesgo que una organización
bu
está dispuesta a obtener o conservar
3.47 recursos
ri
todos los activos, personal, habilidades, infor- 3.50 evaluación de riesgos
st
mación, tecnología (incluidas la planta física y proceso global de identificación de riesgos,
di
los equipos), las instalaciones, y los suministros análisis de riesgos y evaluación de los riesgos
e información (ya sean electrónicos o no) que
y
una organización tiene que tener disponibles [ISO 22300]
n
para su uso, cuando sea necesario, con el fin
ió
de operar y cumplir con su objetivo 3.51 gestión de riesgos
cc
actividades coordinadas para dirigir y controlar
3.48 riesgo una organización con respecto al riesgo
du
efecto de la incertidumbre sobre los objetivos
[ISO 22300]
ro
NOTA 1. Un efecto es una desviación positiva o negativa
p
proceso). Un objetivo puede ser expresado de otras for- NOTA 1. Los ensayos se pueden referir a una prueba.
id
propósito, un criterio operacional, como un objetivo de la NOTA 2. Los ensayos se aplican a menudo para soportar
hi
[ISO 22300]
-P
NOTA 4. El riesgo a menudo se expresa en términos de controlan al más alto nivel una organización
te
prensión o el conocimiento de un evento, su consecuencia una parte de la organización, entonces, alta dirección se
o probabilidad. refiere a aquellos que dirigen y controlan esa parte de la
organización.
M
14
IR A M- I SO 22 3 01 :2 0 14
.
atmosférica).
ón
a) las partes interesadas que son pertinentes
[ISO 22300]
ci
para el SGCN, y
bu
b) los requisitos de estas partes interesadas
ri
4 CONTEXTO DE LA ORGANIZACIÓN (por. ej., sus necesidades y expectativas,
st
ya sean establecidas, generalmente implí-
citas u obligatorias).
di
4.1 Conocimiento de la organización y de
su contexto
y
4.2.2 Requisitos legales y reglamentarios
n
La organización debe determinar los aspectos
ió
La organización debe establecer, implementar y
externos e internos que son relevantes para su mantener procedimientos) para identificar, tener
cc
propósito y que afectan a su capacidad de lograr acceso a y evaluar los requisitos legales y re-
el (los) resultado(s) deseado(s) de su SGCN.
du
glamentarios aplicables a los que la organización
se suscriba, relacionados con la continuidad de
ro
Estos aspectos deben tenerse en cuenta para
sus operaciones, productos y servicios, así como
establecer, implementar y mantener el SGCN
p
los intereses de las partes elevadas pertinentes.
de la organización.
re
b) las relaciones entre la política de continui- tarios y de otro tipo deben ser comunicados a los
empleados afectados y a las otras partes intere-
o
− articular sus objetivos, incluidos aquellos re- La organización debe determinar los límites y la
lativos a la continuidad del negocio; aplicabilidad del SGCN para establecer su alcan-
M
ce.
A
15
IR A M- I SO 22 3 01 :2 0 14
.
deben demostrar su liderazgo con respecto al
ón
La organización debe SGCN.
ci
a) establecer las partes de la organización a EJEMPLO: este liderazgo y compromiso puede
bu
ser incluidas en el SGCN; demostrarse mediante la motivación y el otor-
ri
gamiento de facultades a las personas para
b) establecer los requisitos del SGCN, conside-
st
contribuir a la eficacia del SGCN.
rando la misión de la organización, los obje-
di
tivos, las obligaciones internas y externas 5.2 Compromiso de la dirección
(incluyendo aquellas relacionadas con las
y
partes interesadas) y las responsabilidades La alta dirección debe demostrar su liderazgo y
n
legales y reguladoras de la organización; compromiso con respecto al SGCN como sigue:
ió
cc
c) identificar los productos y servicios y todas − asegurando que se establezcan las políticas y
las actividades relacionas dentro del alcan-
du
objetivos para el sistema de gestión de la con-
ce del SGCN; tinuidad y que éstos sean compatibles con la
ro
dirección estratégica de la organización;
d) tener en cuenta las necesidades y los in-
p
(según corresponda), y
id
Al definir el alcance, la organización debe docu- eficaz de la continuidad del negocio y que
mentar y explicar las exclusiones, tales exclusio- sean conformes a los requisitos de SGCN;
o
sabilidad de la organización de proveer conti- − asegurando que el SGCN logre los resulta-
te
determinado por el análisis de impacto en el ne- − dirigiendo y apoyando a las personas para
so
16
IR A M- I SO 22 3 01 :2 0 14
La alta dirección debe proporcionar evidencia c) incluya un compromiso para satisfacer los
de su compromiso con el establecimiento, la requisitos aplicables;
implementación, la operación, el seguimiento,
la revisión, el mantenimiento y la mejora del d) incluya un compromiso de mejora continua
SGCN, como sigue: del SGCN.
.
ón
negocio;
− estar disponible como información documen-
ci
− asegurando que se establezcan los objetivos tada;
bu
y planes del SGCN;
− ser comunicada dentro de la organización;
ri
− estableciendo roles, responsabilidades y
st
competencias para la gestión de la continui- − estar disponible para las partes interesadas,
di
dad del negocio, y según corresponda;
y
− designando una o más personas para que − ser revisada a intervalos definidos para su
n
sean responsables del SGCN con la ade- continua adecuación y cuando se produzcan
ió
cuada autoridad y las competencias para ser cambios significativos.
cc
responsable de la implementación y el man-
tenimiento del SGCN. La organización debe conservar información
du
documentada sobre la política de continuidad
NOTA 2. Estas personas pueden tener otras responsabili- del negocio.
ro
dades dentro de la organización.
p
relevantes se asignen y se comuniquen dentro La alta dirección debe asegurar que las respon-
de la organización, a través de lo siguiente: sabilidad y las autoridades de los roles relevan-
a
SGCN, y
so
dades
La alta dirección debe establecer una política
A
IR
17
IR A M- I SO 22 3 01 :2 0 14
.
ón
La organización debe planificar:
ci
7 SOPORTE
bu
− las acciones para hacer frente a estos ries-
gos y oportunidades;
ri
7.1 Recursos
st
− cómo
di
La organización debe determinar y proporcio-
1) integrar e implementar las acciones en nar los recursos necesarios para el estableci-
y
sus procesos de SGCN (ver 8.1), miento, la implementación, el mantenimiento y
n
la mejora continua del SGCN.
ió
2) evaluar la eficacia de estas acciones
(ver 9.1).
cc
7.2 Competencia
du
6.2 Objetivos de continuidad del negocio y La organización debe:
planes para alcanzarlos
ro
a) determinar la competencia necesaria de
La alta dirección debe asegurar que los objeti-
p
vos de continuidad del negocio sean estable- su control, que afecta su desempeño;
cidos y comunicados a las funciones y niveles
su
ben:
b
rresponda.
Las personas que realizan trabajos bajo el control
La organización debe conservar información de la organización deben tener conciencia de:
M
Para alcanzar sus objetivos de continuidad del b) su contribución a la eficacia del SGCN, in-
negocio, la organización debe determinar: cluyendo los beneficios del desempeño
mejorado de gestión de continuidad del ne-
− quién será responsable; gocio;
18
IR A M- I SO 22 3 01 :2 0 14
.
ón
esta norma, y
La organización debe determinar la necesidad
ci
de comunicaciones internas y externas relevan- − la información documentada que la organi-
bu
tes para el SGCN incluyendo: zación determine como necesaria para la
eficacia del SGCN.
ri
a) sobre qué se comunicará;
st
NOTA. El alcance de la información documentada para un
b) cuándo comunicar; SGCN puede diferir de una organización a otra debido a:
di
y
c) con quién comunicarse. − el tamaño de la organización y su tipo de actividades,
procesos, productos y servicios;
n
La organización debe establecer, implementar,
ió
− la complejidad de los procesos y sus interacciones, y
mantener el (los) procedimiento(s) para:
cc
− la competencia de las personas.
du
− la comunicación interna entre las partes in-
teresadas y los empleados dentro de la 7.5.2 Elaboración y actualización
ro
organización;
Al elaborar y actualizar la información documen-
p
partes interesadas, incluidos los medios pe- a) identificación y descripción (por ejemplo, tí-
riodísticos; tulo, fecha, autor o número de referencia);
a
id
− recibir, documentar y responder a las comuni- b) formato (el idioma, versión de software, grá-
ficos), y los medios periodísticos (por ejem-
b
− asegurar la disponibilidad de los mecanis- SGCN y por esta Norma debe ser controlada pa-
ra asegurar:
te
19
IR A M- I SO 22 3 01 :2 0 14
.
ón
procesos que son subcontratados sean controla-
− recuperación y uso; dos.
ci
bu
− preservación de la legibilidad (es decir, lo su- 8.2 Análisis de impacto en el negocio y eva-
ficientemente claro para leer), y luación de riesgos
ri
st
− la prevención del uso no intencional de infor- 8.2.1 Generalidades
di
mación obsoleta.
La organización debe establecer, implementar,
y
La información documentada de origen externo y mantener un proceso formal y documentado
n
que la organización determine que es necesaria para el análisis de impacto en el negocio y la
ió
para la planificación y la operación del SGCN, evaluación de riesgos que:
cc
debe ser identificada y controlada, según corres-
ponda. a) establezca el contexto de la evaluación,
du
defina el criterio y evalúe el impacto poten-
Al establecer el control de la información docu- cial de un incidente disruptivo;
ro
mentada, la organización se debe asegurar de
p
que existe una protección adecuada para ésta b) tome en cuenta los requisitos legales y
re
(por ejemplo: la protección contra el compromiso, otros a los que la organización suscriba;
la modificación o supresión no autorizada).
su
etc.
d) defina los resultados necesarios del análi-
hi
de riesgos, y
8 OPERACIÓN
-P
La organización debe planificar, implantar y con- NOTA. Existen diversas metodologías para el análisis del
trolar los procesos necesarios para cumplir con impacto en el negocio y la evaluación de riesgos, que de-
in
los requisitos y para implementar las acciones terminarán el orden en que se llevarán a cabo.
so
20
IR A M- I SO 22 3 01 :2 0 14
El análisis del impacto en el negocio debe in- 8.3 Estrategia de continuidad del negocio
cluir lo siguiente:
8.3.1 Determinación y selección
a) la identificación de actividades que respal-
dan el suministro de productos y servicios; La determinación y selección de la estrategia
debe basarse en los resultados del análisis del
b) la evaluación de los impactos en el tiempo impacto en el negocio y de la evaluación de ries-
.
ón
de no realizar estas actividades; gos.
ci
c) el establecimiento de plazos prioritarios pa- La organización debe determinar una estrategia
bu
ra la reanudación de estas actividades a un apropiada de continuidad del negocio para:
nivel mínimo aceptable ya especificado,
ri
considerando el plazo en que los impactos a) proteger las actividades prioritarias;
st
de la no reanudación es inaceptable, y
b) estabilizar, continuar, reanudar y recuperar
di
d) la identificación de las dependencias y los las actividades prioritarias y sus dependen-
y
recursos de soporte para estas actividades cias y los recursos de soporte, y
n
incluyendo los proveedores, socios, subcon-
ió
tratistas, y otras partes interesadas pertinen- c) mitigar, responder y gestionar impactos.
cc
tes.
La determinación de la estrategia debe incluir la
du
8.2.3 Evaluación de riesgos aprobación de marcos de prioridad de tiempo pa-
ra la reanudación de las actividades.
ro
La organización debe establecer, implementar y
p
f) el transporte;
riesgo de la organización.
IR
g) la financiación, y
NOTA. La organización debe ser consciente de que cier-
tas obligaciones financieras o gubernamentales requieren
la comunicación de estos riesgos a diferentes niveles de h) los socios y proveedores.
detalle. Además ciertas necesidades de la sociedad pue-
den también asegurar el intercambio de esta información
a un nivel apropiado de detalle.
21
IR A M- I SO 22 3 01 :2 0 14
.
ón
implementar procedimientos y una estructura
b) acorten el período de interrupción, y de gestión para responder a un incidente dis-
ci
ruptivo utilizando personal con la responsa-
c) limiten el impacto de la interrupción en los
bu
bilidad, autoridad y competencia necesaria para
productos y servicios claves de la organiza-
gestionar un incidente.
ri
ción.
st
La estructura de respuesta debe:
La organización debe elegir e implementar los
di
tratamientos de riesgo adecuados de acuerdo a a) identificar los umbrales del impacto que justi-
y
su tolerancia al riesgo. fiquen la iniciación de la respuesta formal;
n
ió
8.4 Establecer e implementar procedimientos b) evaluar la naturaleza y la extensión de un
de continuidad del negocio
cc
incidente disruptivo y su potencial impacto;
du
8.4.1 Generalidades c) activar una respuesta apropiada de conti-
nuidad del negocio;
ro
La organización debe establecer, implementar
p
y mantener procedimientos de continuidad del d) tener procesos y procedimientos para la
re
La organización debe documentar los procedi- para gestionar un incidente disruptivo a fin
b
c) ser flexibles para responder a amenazas procedimientos para esta comunicación exter-
imprevistas y a las condiciones internas y na, alertas y advertencias, incluyendo los me-
M
22
IR A M- I SO 22 3 01 :2 0 14
.
d) recibir, documentar y responder a cualquier operacionales para hacer frente a la
ón
sistema de asesoramiento de riesgo nacio- interrupción;
ci
nal, regional o equivalente;
3) la prevención de una pérdida mayor o
bu
e) asegurar la disponibilidad de los medios pe- la falta de disponibilidad de las activi-
ri
riodísticos durante un incidente disruptivo; dades prioritarias;
st
f) facilitar la comunicación estructurada con d) detalles acerca de cómo y bajo qué circuns-
di
los servicios de respuesta a emergencias; tancias la organización se va a comunicar
y
con los empleados y sus familiares, con las
g) registrar información vital, sobre el inciden-
n
principales partes interesadas claves y los
ió
te, las medidas adoptadas y las decisiones contactos de emergencia;
tomadas, y según corresponda, debe con-
cc
siderar e implementar lo siguiente: e) cómo la organización continuará o recupe-
du
rará sus actividades prioritarias dentro de
1) alertar a las partes interesadas poten- los plazos predeterminados;
ro
cialmente afectadas por un incidente
disruptivo real o inminente,
p
f) detalles de la respuesta de la organización
re
riodísticos,
hi
riodísticos, y
8.4.4 Planes de continuidad del negocio
o
4) portavoces apropiados;
rn
a) propósito y alcance;
Los planes de continuidad del negocio deben
contener colectivamente: b) objetivos;
M
A
23
IR A M- I SO 22 3 01 :2 0 14
.
ón
j) el flujo de información y los procesos de La organización debe determinar:
ci
documentación.
a) qué necesita ser monitorizado y medido;
bu
8.4.5 Recuperación
b) los métodos de seguimiento, medición, aná-
ri
lisis y evaluación, según corresponda, para
st
La organización debe tener procedimientos do-
cumentados para restaurar y devolver las acti- asegurar resultados válidos;
di
vidades de negocios desde las medidas tem-
c) cuándo se llevarán a cabo el seguimiento y
y
porales adoptadas para soportar los requisitos
la medición, y
n
normales del negocio después de un incidente.
ió
d) cuándo se deben analizar y evaluar los re-
8.5 Ejercicios y ensayos
cc
sultados del seguimiento y de la medición.
du
La organización debe ejercitar y ensayar sus
La organización debe conservar la información
procedimientos de continuidad del negocio para
ro
documentada apropiada como evidencia de los
asegurar que son consecuentes con sus objeti-
resultados.
p
vos de continuidad del negocio.
re
ensayos que:
Además, la organización debe:
a
la mejora continua, y
− el desempeño de los procesos, procedimien-
g) sean llevados a cabo a intervalos planifica- tos y funciones que protegen sus actividades
dos y cuando haya cambios significativos prioritarias;
dentro de la organización o en el entorno
en el que ésta opera.
24
IR A M- I SO 22 3 01 :2 0 14
.
b) es efectivamente implementado y manteni-
ón
− registrar datos y resultados del seguimiento
y la medición para facilitar las acciones co- do.
ci
rrectivas tomadas.
bu
La organización debe:
NOTA. El desempeño deficiente puede incluir no confor-
ri
midades, cuasi accidentes, falsas alarmas e incidentes − planificar, establecer, implementar y mantener
st
reales. (un) programa de auditoría(s), incluyendo la
di
frecuencia, los métodos, las responsabilida-
9.1.2 Evaluación de los procedimientos de des, los requisitos de planificación y elabora-
y
continuidad del negocio ción de informes. El programa(s) de audito-
n
ría(s) debe tener en cuenta la importancia de
a) la organización debe llevar a cabo evalua-
ió
los procesos en cuestión y los resultados de
ciones de sus capacidades y los procedi-
cc
las auditorías anteriores;
mientos de continuidad del negocio con el
du
fin de asegurar su continua adecuación, ido- − definir los criterios de auditoría y el alcance
neidad y eficacia; de cada auditoría;
ro
b) estas evaluaciones se deben llevar a cabo a
p
tinente, y
b
registrar los resultados. La dirección responsable del área que está sien-
A
25
IR A M- I SO 22 3 01 :2 0 14
.
deración de:
ón
− la adecuación de la política;
ci
a) el estado de las acciones de las revisiones
bu
por la dirección anteriores; − las recomendaciones de mejora;
ri
b) los cambios en los aspectos externos e in- − las lecciones aprendidas y las acciones deri-
st
ternos que son relevantes para el sistema vadas de los incidentes disruptivos, y
de gestión de continuidad del negocio;
di
− buenas prácticas y directrices emergentes.
y
c) la información sobre el desempeño de la
continuidad del negocio, incluyendo las ten-
n
Los resultados de la revisión por la dirección
ió
dencias en: deben incluir las decisiones relacionadas con
cc
las oportunidades de mejora continua y la posi-
1) las no conformidades y acciones co-
ble necesidad de cambios en el SGCN e incluir
du
rrectivas,
lo siguiente:
ro
2) el seguimiento y la evaluación de los
a) variaciones en el alcance del SGCN;
resultados de medición, y
p
re
nes por las direcciones anteriores; SGCN, incluidos los cambios en:
o
de seguridad;
− los resultados de las auditorías y revisiones
so
del SGCN, incluidos los de los principales 3) las condiciones y los procesos opera-
-U
26
IR A M- I SO 22 3 01 :2 0 14
.
ón
de las revisiones por la dirección.
5) determinando e implementando las
ci
La organización debe: acciones correctivas necesarias,
bu
− comunicar los resultados de la revisión por 6) revisando la eficacia de cualquier ac-
ri
la dirección a las partes interesadas perti- ción correctiva tomada, y
st
nentes, y
di
7) haciendo cambios al SGCN, si es ne-
− tomar las medidas apropiadas en relación cesario;
y
con esos resultados.
n
d) implementar cualquier acción necesaria;
ió
cc
e) revisar la eficacia de cualquier acción co-
10 MEJORA
rrectiva adoptada;
Cuando ocurre una no conformidad, la organi- Las acciones correctivas deben ser apropiadas
zación debe: a los efectos de las no conformidades encon-
su
tradas.
a) identificar la no conformidad,
a
corresponda:
hi
27
IR A M- I SO 22 3 01 :2 0 14
[2] ISO 14001, Environmental management systems - Requirements with guidance for use.
.
ón
[3] ISO 19011, Guidelines for auditing management systems.
ci
bu
[4] ISO/IEC 20000-1, lnformation Technology - Service Management.
ri
[5] ISO 22300, Societal security - Terminology.
st
[6] ISO/PAS 22399, Societal security - Guideline for incident preparedness and operational
di
continuity management.
y
n
[7] ISO/IEC 24762, Information technology - Security techniques - Guidelines for Information and
ió
communications technology disaster recovery services.
cc
[8] ISO/IEC 27001, lnformation Security Management Systems.
[9]
du
ISO/IEC 27031, Information technology - Security techniques - Guidelines for information and
ro
communication technology readiness for business continuity.
p
re
[13] BS 25999-1, Business continuity management - Code of practice, British Standards Institution (BSI).
hi
ro
[14] BS 25999-2, Business continuity management - Specification, British Standards Institution (BSI).
-P
[15] SI 24001, Security and continuity management systems - Requirements and guidance for use,
Standards Institution of Israel.
o
rn
[16] NFPA 1600, Standard on disaster/emergency management and business continuity programs,
te
[17] Business Continuity Plan Drafting Guideline, Ministry of Economy, Trade and Industry (Japan),
so
2005.
-U
[18] Business Continuity Guideline, Central Disaster Management Council, Cabinet Office,
Government of Japan, 2005.
M
Managements Systems - .Requirements with Guidance for UseSS 540: 2008, Singapore
IR
28
IR A M- I SO 22 3 01 :2 0 14
Anexo A - IRAM
(Informativo)
Bibliografía
.
En el estudio de esta norma se ha tenido en cuenta la bibliografía siguiente:
ón
ci
ISO - INTERNATIONAL ORGANIZATION FOR STANDARDIZATION
bu
ISO 22301:2012 - Societal security. Business continuity management systems. Requirements.
ri
st
di
y
n
ió
cc
du
p ro
re
su
a
b id
hi
ro
-P
o
rn
te
in
so
-U
M
A
IR
29
IR A M- I SO 22 3 01 :2 0 14
Anexo B - IRAM
(Informativo)
.
El estudio de esta norma ha estado a cargo de los organismos respectivos, integrados en la forma
ón
siguiente:
ci
Subcomité de Respuesta a emergencias y gestión de seguridad
bu
ri
Integrante Representa a:
st
di
Sr. Ramón ABACA COMITÉ ZONAL DE SEGURIDAD E HIGIENE
CAMPANA-ZARATE
y
Of. Juan ALTERINO BOMBEROS DE MERCEDES
n
Lic. Diego ARANGURI DÍAZ CARREFOUR ARGENTINA
ió
Sr. Emilio ARIAS DIRECCIÓN PROVINCIAL DE DEFENSA CIVIL DE
cc
NEUQUÉN
Lic. Edgardo CACCIONE SHELL CÍA ARGENTINA DE PETRÓLEO
du
Dr. Arnaldo CALDIROLA MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD
SOCIAL
ro
Ing. Néstor CAVA POLICÍA FEDERAL ARGENTINA (PFA)
p
AMBIENTAL
te
(SRT)
so
DE BUENOS AIRES
IR
30
IR A M- I SO 22 3 01 :2 0 14
Integrante Representa a:
.
ón
Lic. Pablo RAGO POLICÍA FEDERAL ARGENTINA (PFA)
Ing. Carlos RODRÍGUEZ ATANOR S.C.A.
ci
Sr. Alberto RUIBAL CÁMARA ARGENTINA DE SEGURIDAD (CAS)
bu
Ing. Néstor SPÓSITO UNIVERSIDAD TECNOLÓGICA NACIONAL -
FACULTAD REGIONAL BAHÍA BLANCA / PROCESO
ri
APELL B. BLANCA
st
Lic. Claudia SUQUELE ARMADA ARGENTINA
di
Dra. María TEJO SUPERINTENDENCIA DE RIESGOS DEL TRABAJO
(SRT)
y
Ing., Lucrecia VERDE ARMADA ARGENTINA
n
Sr. Hugo VILAR SUPERINTENDENCIA FEDERAL DE BOMBEROS
ió
POLICÍA FEDERAL ARGENTINA
cc
Sr. Mauro ZABALA HOSPITAL ITALIANO / COLEGIO PROFESIONAL DE
du
HIGIENE, SEGURIDAD Y MEDIO AMBIENTE
(COPHISEMA)
ro
Lic. Verónica MARINELLI IRAM
p
Ing. Roque PORTILLO IRAM
re
Integrante Integrante
ro
-P
31
IR A M- I SO 22 3 01 :2 0 14
.
ón
ci
bu
ri
st
di
y
n
ió
cc
du
p ro
re
su
a
b id
hi
ro
-P
o
rn
te
in
so
-U
M
A
IR
ICS 03.100.01
* CNA 0000
* Corresponde a la Clasificación Nacional de Abastecimiento asignada por el Servicio Nacional de Catalogación del Ministerio de Defensa.