NORMA IRAM-ISO

ARGENTINA 22301
22301 Primera edición
2014 2014-12-22

.
ón
ci
bu
ri
st
Seguridad de la sociedad

di
Sistemas de gestión de la continuidad

y
n
del negocio

ió
cc
du
Requisitos ro
(ISO 22301:2012, IDT)
p
re
su

Societal security
Business continuity management systems
a

Requirements
b id
hi
ro
-P
o
rn
te
in
so
-U
M
A
IR

Referencia Numérica:
IRAM-ISO 22301:2014
 .
ón
ci
bu
ri
st
di
y
n
ió
cc
du
p ro
re
su
a
b id
hi
ro
-P
o
rn
te
in
so
-U
M
A
IR

* DOCUMENTO PROTEGIDO POR EL DERECHO DE PROPIEDAD INTELECTUAL

IRAM 2014-12-22
No está permitida la reproducción de ninguna de las partes de esta publicación por
cualquier medio, incluyendo fotocopiado y microfilmación, sin permiso escrito del IRAM.
 IR A M- I SO 22 3 01 :2 0 14

Prefacio

.
ón
El Instituto Argentino de Normalización y Certificación (IRAM) es
una asociación civil sin fines de lucro cuyas finalidades específicas,

ci
en su carácter de Organismo Argentino de Normalización, son

bu
establecer normas técnicas, sin limitaciones en los ámbitos que
abarquen, además de propender al conocimiento y la aplicación de

ri
la normalización como base de la calidad, promoviendo las

st
actividades de certificación de productos y de sistemas de la

di
calidad en las empresas para brindar seguridad al consumidor.

y
IRAM es el representante de Argentina en la International

n
Organization for Standardization (ISO), en la Comisión

ió
Panamericana de Normas Técnicas (COPANT) y en la Asociación

cc
MERCOSUR de Normalización (AMN).

du
Esta norma es el fruto del consenso técnico entre los diversos
ro
sectores involucrados, los que a través de sus representantes han
intervenido en los Organismos de Estudio de Normas
p
re

correspondientes.
su
a

Esta norma es una adopción idéntica (IDT) de la edición en inglés

id

de la ISO 22301:2012 “Societal security. Business continuity

b

management systems. Requirements”, con los cambios siguientes:

hi
ro

En las definiciones de los apartados 3.45 y 3.48 se agregó una

nota IRAM. También se agregaron dos anexos informativos, un
-P

anexo con la bibliografía considerada y otro donde se indican los

organismos de estudio de la norma.
o
rn
te
in
so
-U
M
A
IR

3
 IR A M- I SO 22 3 01 :2 0 14

Prefacio ISO

.
ón
ISO (Organización Internacional de Normalización) es
una federación mundial de organismos Internacionales de

ci
Normalización (ISO organismos miembros). El trabajo de

bu
elaboración de las normas internacionales normalmente, se
realiza a través de los comités técnicos. Cada organismo

ri
miembro interesado en un tema, para el cual se ha establecido

st
un comité técnico, tiene derecho a estar representado en dicho

di
comité. Organizaciones internacionales, gubernamentales y no
gubernamentales en colaboración con ISO, también participan

y
en el trabajo. ISO mantiene una estrecha colaboración con la

n
Comisión Electrónica Internacional (IEC) en todas las cuestiones

ió
de normalización electrotécnica.

cc
Las normas se redactan de acuerdo con las reglas establecidas

du
en ISO/IEC Directivas. Parte 2. ro
La principal tarea de los Comités técnicos es preparar normas
p
re

internacionales. Los proyectos de normas adoptados por los

Comités Técnicos se distribuyen a los Organismos miembros
su

para votar. La publicación como una norma requiere la

aprobación de al menos el 75% de los Organismos miembros
a

con derecho a voto.

bid

Se señala la posibilidad de que algunos elementos de éste

hi

documento puedan estar sujetos a derechos de patente. ISO no

ro

se hace responsable de identificar a cualquiera de esos

derechos de patente.
-P

La ISO 22301 fue preparada por el Comité Técnico ISO/TC 223.

o

Societal security.
rn
te
in
so
-U
M
A
IR

4
 IR A M- I SO 22 3 01 :2 0 14

Índice

.
Página

ón
0 INTRODUCCIÓN ............................................................................................. 7

ci
bu
1 OBJETO Y CAMPO DE APLICACIÓN ............................................................. 9

ri
2 DOCUMENTOS NORMATIVOS PARA CONSULTA...................................... 10

st
di
3 TÉRMINOS Y DEFINICIONES ...................................................................... 10

y
4 CONTEXTO DE LA ORGANIZACIÓN ........................................................... 15

n
ió
5 LIDERAZGO .................................................................................................. 16

cc
6 PLANIFICACIÓN ........................................................................................... 17

du
7 SOPORTE ..................................................................................................... 18
p ro
8 OPERACIÓN ................................................................................................. 20
re

9 EVALUACIÓN DEL DESEMPEÑO ................................................................ 24

su

10 MEJORA ...................................................................................................... 27

a
id

Bibliografía de la ISO 22301:2012 ..................................................................... 28

b
hi

Anexo A - IRAM (Informativo) Bibliografía .......................................................... 29

ro
-P

Anexo B - IRAM (Informativo) Integrantes de los organismos de estudio ........... 30

o
rn
te
in
so
-U
M
A
IR

5
6
IR
A
M
-U
so
in
IR A M- I SO 22 3 01 :2 0 14

te
rn
o
-P
ro
hi
bid
a
su
re
pro
du
cc
ió
n
y
di
st
ri
bu
ci
ón
.
 IR A M- I SO 22 3 01 :2 0 14

Seguridad de la sociedad
Sistemas de gestión de la continuidad del negocio
Requisitos

.
ón
ci
0 INTRODUCCIÓN 4) evaluación del desempeño,

bu
5) revisión por la dirección, y

ri
0.1 Generalidades

st
6) mejora;
Esta norma especifica los requisitos para el esta-

di
blecimiento y la gestión de un Sistema de Ges- d) documentación que provee evidencia audi-

y
tión de Continuidad del Negocio (SGCN) eficaz. table; y

n
ió
NOTA IRAM. En nuestro país la expresión continuidad del
negocio también es conocida como continuidad de los nego-
e) cualquier proceso de gestión de continui-

cc
cios, continuidad operativa, continuidad de las operaciones, dad del negocio pertinente para la organi-
continuidad operacional y continuidad de las actividades. zación.

Un SGCN destaca la importancia de:

du
La continuidad del negocio contribuye a una
ro
sociedad más resiliente. Puede que, en el pro-
p

− comprender las necesidades de la organiza- ceso de recuperación sea necesario involucrar

re

ción y la necesidad de establecer la política a la comunidad en general y al impacto del en-

y los objetivos de la gestión de la continui- torno de la organización sobre sí misma y otras
su

dad del negocio; organizaciones.

a

− implementar y operar los controles y las me- 0.2 El modelo Planificar-Hacer-Verificar-

id

didas para la gestión de la capacidad gene- Actuar (PHVA)

b

ral de una organización para manejar los

hi

incidentes disruptivos; Esta norma aplica el modelo “Planificar-Hacer-

ro

Verificar-Actuar” (PHVA) para la planificación,

-P

− realizar el seguimiento y la revisión del el establecimiento, la implementación, la ope-

desempeño y la eficacia del SGCN, y ración, el seguimiento, la revisión, el manteni-
o

miento y la mejora continua del SGCN de una

− la mejora continua basada en mediciones
rn

organización.
objetivas.
te

Esto asegura un grado de coherencia con otras

in

Un SGCN, al igual que cualquier otro sistema de normas de Sistemas de gestión, tales como
gestión, tiene los componentes clave siguientes: IRAM-ISO 9001 Sistemas de gestión de la cali-
so

dad. Requisitos, IRAM-ISO 14001, Sistemas de

-U

a) política; gestión ambiental. Requisitos con orientación

para su uso, IRAM-ISO/IEC 27001 Tecnología
b) personas con responsabilidades definidas;
M

de la información. Sistemas de gestión de la

seguridad de la información (SGSI). Requisitos,
A

c) procesos de gestión relacionados con: IRAM-ISO/IEC 20000-1 Tecnología de la infor-

IR

mación. Gestión de servicios. Parte 1 - Requisi-

1) política,
tos, e ISO 28000, Especificaciones para sistemas
2) planificación, de gestión de la seguridad para la cadena de
suministros, apoyando así a la implementación y
3) implementación y operación, operación coherente e integrada de los sistemas
de gestión relacionados.

7
 IR A M- I SO 22 3 01 :2 0 14

La figura 1 ilustra cómo un SGCN toma como produce resultados de continuidad (es decir,
entradas a las partes interesadas y a los requi- gestiona la continuidad del negocio) que cum-
sitos para la gestión de la continuidad y, a ple con esos requisitos.
través de las acciones y procesos necesarios,

.
ón
ci
bu
ri
st
di
y
n
ió
cc
du
p ro
re
su
a
b id
hi
ro

Figura 1 - Modelo PHVA aplicado a los procesos del SGCN

-P

Tabla 1 - Explicación del modelo PHVA

o
rn

Planificar Establecer la política de continuidad del negocio, objetivos, metas,

controles, procesos y procedimientos pertinentes para mejorar la
te

(Establecer)
continuidad del negocio con el fin de obtener resultados que estén
in

alineados con las políticas y objetivos generales de la organización.

so

Hacer Implementar y operar las políticas de continuidad del negocio, los

controles, procesos y procedimientos.
-U

(Implementar y operar)
Verificar Hacer seguimiento y evaluar el desempeño contra la política y los
M

objetivos de continuidad del negocio. Informar los resultados de la

(Hacer seguimiento y revisar)
A

gestión para su revisión y determinar y autorizar las acciones de re-

IR

mediación y mejora.
Actuar Mantener y mejorar el SGCN mediante la adopción de acciones co-
rrectivas, basados en los resultados de la revisión por la dirección y
(Mantener y mejorar)
la reevaluación del alcance del SGCN, la política y los objetivos de
continuidad del negocio.

8
 IR A M- I SO 22 3 01 :2 0 14

0.3 Componentes del PHVA en esta norma
En el modelo Planificar-Hacer-Verificar-Actuar
que se muestra en la tabla 1, los capítulos 4 al
10 de esta norma cubren los componentes si-
guientes:
con las expectativas de la gestión y busca la
retroalimentación de ésta respecto de las
expectativas.
− El capítulo 10 es un componente del Actuar.
Identifica y actúa sobre la no conformidad del
SGCN, a través de las acciones correctivas.

.
ón
− El capítulo 4 es un componente del Planifi-
car, Introduce los requisitos necesarios para

ci
establecer el contexto del SGCN, como apli-
1 OBJETO Y CAMPO DE APLICACIÓN

bu
ca para la organización, así como las nece-
sidades, los requisitos y el alcance.

ri
Esta norma para la gestión de la continuidad

st
− El capítulo 5 es un componente del Planifi- del negocio especifica los requisitos para plani-

di
car. En él se resumen los requisitos espe- ficar, establecer, implementar, operar, realizar
cíficos del papel de la alta dirección en el el seguimiento, revisar, mantener y mejorar

y
SGCN, y cómo el liderazgo articula sus ex- continuamente un sistema de gestión docu-

n
pectativas a la organización a través de una mentado, para protegerse contra, reducir la

ió
declaración de política. probabilidad de ocurrencia, prepararse para,

cc
responder a y recuperarse de incidentes disrup-
− El capítulo 6 es un componente del Planificar. tivos que puedan surgir.

du
En él se describen los requisitos, en lo referen- ro
te al establecimiento de objetivos estratégicos Los requisitos especificados en esta norma son
y los principios rectores para el SGCN en su genéricos y están destinados a ser aplicables a
p

todas las organizaciones, o sus partes, indepen-

re

conjunto. El contenido del capítulo 6 difiere ya

que establece oportunidades de tratamiento dientemente del tipo, tamaño y naturaleza de la
su

de riesgos, derivados de la evaluación de organización. La extensión de la aplicación de

riesgos así como del Análisis del Impacto en el estos requisitos depende del entorno operativo
a

Negocio (BIA, por sus siglas en inglés), deri- de la organización y de la complejidad.

id

vado de los objetivos de recuperación.

b

No es la intención de esta norma proporcionar

hi

NOTA. Los requisitos de los procesos de análisis del uniformidad en la estructura de un Sistema de
impacto en los negocios y de evaluación de riesgos se Gestión de Continuidad del Negocio (SGCN), pe-
ro

detallan en el capítulo 8.
ro sí para que la organización diseñe un SGCN
-P

que sea apropiado para que cumpla los requisi-

− El capítulo 7 es un componente del Planificar.
tos de sus partes interesadas. Estas necesida-
Respalda las operaciones del SGCN en lo que
o

des están delineadas por los requisitos legales,

rn

se refiere al establecimiento de la competen-

regulatorios, organizacionales e industriales, los
cia y de la comunicación en forma recurrente
te

productos y servicios, los procesos empleados,

según sea necesario, con las partes interesa-
el tamaño y la estructura de la organización y los
in

das, mientras que documenta, controla, man-

requisitos de sus partes interesadas.
tiene y retiene la documentación requerida.
so

Esta norma es aplicable a todos los tipos y ta-

-U

− El capítulo 8 es un componente del Hacer. maños de organizaciones que deseen:

En él se definen los requisitos de continui-
dad del negocio, se determina la forma de
M

a) establecer, implementar, mantener y mejo-

abordarlos y se desarrollan los procedimien-
A

rar un SGCN;
tos para manejar un incidente disruptivo.
IR

b) asegurar la conformidad con la política de

− El capítulo 9 es un componente del Verificar, continuidad del negocio declarada;
En él se resumen los requisitos para medir
el desempeño de la gestión de continuidad, c) demostrar la conformidad a otros;
la conformidad del SGCN con ésta norma y

9
 IR A M- I SO 22 3 01 :2 0 14

d) buscar la certificación o el registro del les predefinidos aceptables después de un in-

SGCN por un organismo de certificación de
tercera parte acreditado o;
e) hacer una autodeterminación y una autode-
claración de conformidad con esta norma.
cidente de interrupción
[ISO 22300]
3.4 gestión de la continuidad del negocio
proceso de gestión holístico que identifica

.
ón
Esta norma puede ser utilizada para evaluar la amenazas potenciales para la organización y
capacidad de una organización para satisfacer los impactos en las operaciones de negocios,

ci
sus propias necesidades de continuidad y obli- que dichas amenazas, en caso de realizarse,

bu
gaciones. puedan causar y que proporcionan un marco
para la construcción de la resiliencia organiza-

ri
cional con capacidad para dar una respuesta

st
eficaz que salvaguarde los intereses de sus
2 DOCUMENTOS NORMATIVOS PARA

di
partes interesadas clave, reputación, marca y
CONSULTA actividades de creación de valor

y
n
Para la aplicación de esta norma no es necesa- 3.5 sistema de gestión de la continuidad del

ió
ria la consulta de ninguna otra. negocio SGCN

cc
parte del sistema general de gestión que esta-
blece, implementa, opera, realiza el seguimiento,

du
revisa, mantiene y mejora la continuidad del ne-
3 TÉRMINOS Y DEFINICIONES
ro
gocio
p

A los efectos de este documento, se aplican los NOTA. El sistema de gestión incluye la estructura organiza-
re

tiva, las políticas, actividades de planificación, responsabili-

términos y definiciones siguientes. dades, procedimientos, procesos y recursos.
su

3.1 actividad 3.6 plan de continuidad del negocio

a

proceso o conjunto de procesos realizados por procedimientos documentados que guían a las
id

una organización (o en su nombre) que produce organizaciones para responder, recuperar,

b

o respalda uno o más productos y servicios reanudar y restaurar un nivel predefinido de

hi

operación luego de una interrupción

EJEMPLO: estos procesos incluyen contabilidad,
ro

“call center”, TI, fabricación, distribución. NOTA. Normalmente, esto incluye los recursos, servicios
-P

y actividades necesarios para asegurar la continuidad de

3.2 auditoría las funciones críticas del negocio.
o

proceso sistemático, independiente y documen-

rn

tado para obtener evidencias de la auditoría y 3.7 programa de continuidad del negocio
te

evaluarlas de manera objetiva con el fin de de- proceso continuo de gestión y gobierno, con el
terminar el grado en que se cumplen los criterios apoyo de la alta dirección y con los recursos
in

de auditoría adecuados para implementar y mantener la

gestión de continuidad del negocio
so

NOTA 1. Una auditoría puede ser una auditoría interna (pri-

-U

mera parte) o una auditoría externa (segunda o tercera 3.8 análisis del impacto en el negocio
parte) y puede ser una auditoría combinada (combinación proceso de análisis de las actividades y del
de dos o más disciplinas).
M

efecto que pueda tener sobre ellas una inte-

A

NOTA 2. La “evidencia de auditoría” y los “criterios de audi- rrupción del negocio

IR

toría” se definen en la norma ISO 19011.

[ISO 22300]
3.3 continuidad del negocio
capacidad de la organización para continuar 3.9 competencia
con la entrega de productos o servicios a nive- capacidad de aplicar conocimientos y habilida-
des para alcanzar los resultados previstos.

10
 IR A M- I SO 22 3 01 :2 0 14

3.10 conformidad 3.16 eficacia

cumplimiento de un requisito grado en que se realizan las actividades planifi-
cadas y se alcanzan los resultados planificados
[ISO 22300]
[ISO 22300]
3.11 mejora continua
actividad recurrente para mejorar el desempeño 3.17 evento

.
ón
suceso o cambio de un conjunto particular de
[ISO 22300] circunstancias

ci
3.12 corrección

bu
NOTA 1. Un evento puede tener uno o más sucesos y
acción tomada para eliminar una no conformi- puede tener varias causas.

ri
dad detectada
NOTA 2. Un evento puede consistir en algo que no pasa.

st
[ISO 22300]

di
NOTA 3. Un evento puede denominarse, a veces, inciden-
te o accidente.
3.13 acción correctiva

y
acción tomada para eliminar la causa de una NOTA 4. Un evento sin consecuencias también puede ser

n
denominado cuasi falla, incidente, o cuasi accidente.

ió
no conformidad y para prevenir la recurrencia

cc
NOTA. En el caso de otros resultados no deseados, son [ISO/IEC Guía 73]
necesarias acciones para minimizar o eliminar las causas

du
y reducir el impacto o prevenir la recurrencia. Tales accio- 3.18 ejercicio
nes quedan fuera del concepto de “acción correctiva” en
ro
proceso para entrenar, para evaluar, practicar,
el sentido de la definición.
y mejorar el desempeño en una organización
p
re

[ISO 22300] NOTA 1. Los ejercicios se pueden utilizar para la validación

de políticas, planes, procedimientos, capacitación, equipo, y
su

3.14 documento para los acuerdos inter-organizacionales, aclarando y capa-

información y su medio de soporte. citando al personal en cuanto a roles y responsabilidades,
a

mejorando las coordinaciones y comunicaciones inter-

id

NOTA 1. El medio de soporte puede ser papel, disco mag- organizacionales, identificando deficiencias en los recursos,
mejorando el desempeño individual; e identificando las opor-
b

nético, óptico o electrónico, fotografía o una muestra patrón

tunidades de mejora y la oportunidad controlada para
hi

o una combinación de éstos.

practicar la improvisación.
ro

NOTA 2. Un conjunto de documentos, por ejemplo especifi-

NOTA 2. Un ensayo es un tipo de ejercicio único y particu-
-P

caciones y registros se denominan frecuentemente

“documentación”. lar, que incorpora la expectativa de un elemento Pasa o
No Pasa dentro de la meta o de los objetivos del ejercicio
o

planificado.
3.15 información documentada
rn

información que se requiere sea controlada y [ISO 22300]

te

mantenida por una organización y el medio que

la contiene
in

3.19 incidente
situación que puede ser, o puede dar lugar a,
so

NOTA 1. La información documentada puede estar en

cualquier formato, medio o cualquier fuente. una interrupción, pérdida, emergencia o crisis
-U

NOTA 2. La información documentada se puede referir a: [ISO 22300]

M

el sistema de gestión, incluyendo los procesos relacio-

3.20 infraestructura
−
nados;
A

sistema de instalaciones, equipos y servicios

IR

− la información creada con el fin de que la organización necesarios para el funcionamiento de una or-
opera (documentación); ganización
− la evidencia de los resultados obtenidos (registros).

11
 IR A M- I SO 22 3 01 :2 0 14

3.21 partes interesadas 3.26 período máximo tolerable de interrupción

persona u organización que puede afectar, ser
afectada, o percibirse a sí misma como afecta-
da por una decisión o actividad
NOTA. Puede ser un individuo o grupo que tiene un inte-
rés en cualquier decisión o actividad de la organización.
PMTI
tiempo que le llevaría a las repercusiones
adversas que pudieran surgir como resultado
de no proporcionar un producto o servicio o la
realización de una actividad, para llegar a ser
inaceptable

.
ón
3.22 auditoría interna NOTA. Ver también interrupción máxima aceptable.

ci
auditoría realizada por o en nombre de la propia

bu
organización para la revisión por la dirección y 3.27 medición
otros fines internos, y que puede constituir la proceso para determinar un valor

ri
base para la autodeclaración de conformidad de

st
una organización 3.28 objetivo mínimo de continuidad del ne-

di
gocio
NOTA. En muchos casos, particularmente en las organiza-
OMCN

y
ciones más pequeñas, la independencia puede demos-
trarse al estar libre de toda responsabilidad para la nivel mínimo de servicios y/o productos que es

n
actividad que se audita. aceptable para la organización para lograr sus

ió
objetivos de negocios durante una interrupción

cc
3.23 activación
acto de declarar que es necesario poner en 3.29 seguimiento

du
práctica las disposiciones de continuidad del ne- determinar el estado de un sistema, un proceso
ro
gocio de la organización con el fin de continuar o una actividad
con la entrega de productos o servicios clave
p

NOTA. Para determinar el estado puede haber una nece-

re

sidad de controlar, supervisar u observar críticamente.

3.24 sistema de gestión
su

conjunto de elementos interrelacionados o que

3.30 acuerdo de ayuda mutua
interactúan, de una organización, para estable-
acuerdo convenido entre dos o más entidades
a

cer políticas y objetivos, y los procesos para

de prestarse asistencia entre sí
id

alcanzar dichos objetivos

b

[ISO 22300]
hi

NOTA 1. Un sistema de gestión puede tratar una sola dis-

ciplina o varias disciplinas.
ro

3.31 no conformidad
-P

NOTA 2. Los elementos del sistema incluyen la estructura incumplimiento de un requisito

de la organización, las funciones y responsabilidades,
planificación, operación, etc. [ISO 22300]
o
rn

NOTA 3. El ámbito de aplicación de un sistema de gestión

puede incluir la totalidad de la organización, funciones es- 3.32 objetivo
te

pecíficas e identificadas de la organización, secciones resultado a ser logrado

in

específicas e identificadas de la organización, o una o

más funciones a través de un grupo de organizaciones. NOTA 1. Un objetivo puede ser estratégico, táctico u ope-
so

racional.
3.25 interrupción máxima aceptable
-U

NOTA 2. Los objetivos se relacionan con diferentes disci-

IMA plinas (tales como, metas financieras, de la salud y la
tiempo que le llevaría a los impactos adversos seguridad, y ambientales) y pueden aplicarse a diferentes
M

que pudieran surgir como resultado de no pro- niveles (tales como, estratégico, en toda la organización,
A

porcionar un producto o servicio o la realización proyecto, producto y proceso).

IR

de una actividad, para llegar a ser inaceptable
NOTA. Ver también período máximo tolerable de interrup-
ción.
NOTA 3. Un objetivo puede expresarse de otras maneras,
por ejemplo, como un resultado deseado, un propósito, un
criterio operacional, como un objetivo de seguridad de la
sociedad o por el uso de otras palabras de significado si-
milar (por ejemplo, objetivo, meta o destino).

12
 IR A M- I SO 22 3 01 :2 0 14

NOTA 4. En el contexto de las normas de sistemas de ges- 3.40 proceso

tión de seguridad de la sociedad, los objetivos de seguridad conjunto de actividades interrelacionadas o que
de la sociedad son establecidos por la organización, en
concordancia con la política de seguridad de la sociedad, interactúan, las cuales transforman elementos
para lograr resultados específicos. de entrada en resultados

3.33 organización 3.41 productos y servicios

persona o grupo de personas que tienen sus resultados beneficiosos proporcionados por

.
ón
propias funciones con responsabilidades, auto- una organización a sus clientes, beneficiarios y
ridades y relaciones para lograr sus objetivos partes interesadas, por ejemplo, artículos ma-

ci
nufacturados, seguro de automóviles y enfer-

bu
NOTA 1. El concepto de organización incluye, pero no se mería comunitaria
limita a, comerciante individual, compañía, corporación,

ri
firma, empresa, autoridad, asociación, empresa uniperso-
3.42 actividades prioritarias

st
nal, caridad o institución, o parte o combinación de los
mismos, ya sean incorporadas o no, públicas o privadas. actividades a las que se les debe dar prioridad

di
después de un incidente con el fin de mitigar
NOTA 2. Para las organizaciones con más de un equipo los impactos

y
de operación, una sola unidad operativa puede definirse

n
como una organización.
[ISO 22300]

ió
3.34 contratar externamente

cc
3.43 registro
convenir un arreglo en el cual una organización
declaración de los resultados obtenidos o evi-

du
externa realice parte de los procesos o funcio-
dencia de las actividades desempeñadas
nes de una organización
ro
3.44 objetivo de punto de recuperación
p
NOTA. Una organización externa está fuera del alcance
OPR
re

del sistema de gestión, aunque la función o el proceso ex-

ternalizado estén dentro del ámbito de aplicación. punto hasta el cual debe ser restaurada la in-
su

formación utilizada por una actividad, para per-

3.35 desempeño mitir que la actividad opere en la reanudación
resultado medible
a
id

NOTA. También se puede denominar pérdida máxima de

NOTA 1. El desempeño puede relacionarse con resulta-
b

datos.
dos cuantitativos o cualitativos.
hi

3.45 objetivo de tiempo de recuperación OTR

ro

NOTA 2. El desempeño puede relacionarse con la gestión

de actividades, procesos, productos (incluidos los servi- período de tiempo después de un incidente en
-P

cios), sistemas u organizaciones. el que:

3.36 evaluación del desempeño

o

− el producto o servicio debe ser reanudado o,

rn

proceso de determinación de resultados medibles

− la actividad debe reanudarse o,
te

3.37 personal
in

personas que trabajan para y bajo el control de − los recursos deben recuperarse.
la organización
so

NOTA. Para productos, servicios y actividades, el objetivo

de tiempo de recuperación debe ser menor que el tiempo
-U

NOTA. El concepto de personal incluye, pero no se limita

a, empleados, personal de medio tiempo y personal del que tomaría para que los efectos adversos que pudieran
organismo. surgir como consecuencia de no proporcionar un produc-
M

to/servicio o la realización de una actividad para llegar a

ser inaceptable.
3.38 política
A
IR

intenciones y dirección de una organización como
ha expresado formalmente la alta dirección.
3.39 procedimiento
forma específica para llevar a cabo una activi-
dad o un proceso
NOTA IRAM. La especificación ISO/PAS 22399 define al
OTR como: Objetivo de tiempo para la restauración y re-
cuperación de las funciones o recursos, basado en el
tiempo de inactividad aceptable en caso de una interrup-
ción de las operaciones.

13
 IR A M- I SO 22 3 01 :2 0 14

3.46 requisito NOTA IRAM. La especificación ISO/PAS 22399 define

necesidad o expectativa establecida, general-
mente implícita u obligatoria
NOTA 1. Generalmente implícita significa que se trata de
una práctica habitual o común para la organización y las
partes interesadas que la necesidad o expectativa bajo
Riesgo como: combinación de la probabilidad de un even-
to y sus consecuencias. La norma IRAM 3800 define
Riesgo como: combinación entre la probabilidad de que
ocurra un determinado evento peligroso y la magnitud de
sus consecuencias.
[ISO /IEC Guía 73]

.
consideración esté implícita.

ón
NOTA 2. Un requisito especificado es uno que está esta- 3.49 tolerancia al riesgo

ci
blecido, por ejemplo, en la información documentada. cantidad y tipo de riesgo que una organización

bu
está dispuesta a obtener o conservar
3.47 recursos

ri
todos los activos, personal, habilidades, infor- 3.50 evaluación de riesgos

st
mación, tecnología (incluidas la planta física y proceso global de identificación de riesgos,

di
los equipos), las instalaciones, y los suministros análisis de riesgos y evaluación de los riesgos
e información (ya sean electrónicos o no) que

y
una organización tiene que tener disponibles [ISO 22300]

n
para su uso, cuando sea necesario, con el fin

ió
de operar y cumplir con su objetivo 3.51 gestión de riesgos

cc
actividades coordinadas para dirigir y controlar
3.48 riesgo una organización con respecto al riesgo

du
efecto de la incertidumbre sobre los objetivos
[ISO 22300]
ro
NOTA 1. Un efecto es una desviación positiva o negativa
p

de lo esperado. 3.52 ensayo

re

procedimiento de evaluación, un medio para

NOTA 2. Los objetivos pueden tener diferentes aspectos
determinar la presencia, la calidad o la veraci-
su

(como el financiero, la salud y la seguridad y las metas

ambientales) y pueden aplicarse a diferentes niveles (co- dad de algo
mo estratégico, organizacional, de proyecto, producto y
a

proceso). Un objetivo puede ser expresado de otras for- NOTA 1. Los ensayos se pueden referir a una prueba.
id

mas, por ejemplo, como un resultado deseado, un

b

propósito, un criterio operacional, como un objetivo de la NOTA 2. Los ensayos se aplican a menudo para soportar
hi

continuidad del negocio o por el uso de otras palabras de los planes.

significado similar (por ejemplo objetivo, meta o destino).
ro

[ISO 22300]
-P

NOTA 3. El riesgo se caracteriza por hacer referencia a

posibles eventos (Guía 73, 3.5.1.3) y sus consecuencias
(Guía 73, 3.6.1.3) o una combinación de éstos.
3.53 alta dirección
o

persona o grupo de personas que dirigen y

rn

NOTA 4. El riesgo a menudo se expresa en términos de controlan al más alto nivel una organización
te

una combinación de un evento (incluyendo cambios en las

circunstancias) y la probabilidad asociada (Guía 73, NOTA 1. La alta dirección tiene la facultad de delegar la
in

3.6.1.1) de que se produzca. autoridad y de proporcionar los recursos dentro de la or-

ganización.
so

NOTA 5. La incertidumbre es el estado, incluso parcial, de

la deficiencia de la información relacionada con la com- NOTA 2. Si el alcance del sistema de gestión solo cubre
-U

prensión o el conocimiento de un evento, su consecuencia una parte de la organización, entonces, alta dirección se
o probabilidad. refiere a aquellos que dirigen y controlan esa parte de la
organización.
M

NOTA 6. En el contexto de normas de sistemas de ges-

A

tión de la continuidad del negocio, los objetivos de 3.54 verificación

IR

continuidad del negocio, son fijados por la organización,

consistentes con la política de continuidad del negocio, confirmación, a través de la presentación de
para lograr resultados específicos. Al aplicar el término evidencia, de que se han cumplido los requisi-
riesgo y componentes de la gestión de riesgo, esto debe- tos especificados
ría estar relacionado con los objetivos de la organización
que incluyen, pero no se limitan a los objetivos de conti-
nuidad del negocio como se especifica en el 6.2.

14
 IR A M- I SO 22 3 01 :2 0 14

3.55 ambiente de trabajo 4.2 Comprensión de las necesidades y

conjunto de condiciones bajo las cuales se rea- expectativas de las partes interesadas
liza el trabajo
4.2.1 Generalidades
NOTA. Las condiciones incluyen factores físicos, sociales,
psicológicos y ambientales (tales como la temperatura, los Al establecer su SGCN, la organización debe
esquemas de reconocimiento, la ergonomía y la condición determinar:

.
atmosférica).

ón
a) las partes interesadas que son pertinentes
[ISO 22300]

ci
para el SGCN, y

bu
b) los requisitos de estas partes interesadas

ri
4 CONTEXTO DE LA ORGANIZACIÓN (por. ej., sus necesidades y expectativas,

st
ya sean establecidas, generalmente implí-
citas u obligatorias).

di
4.1 Conocimiento de la organización y de
su contexto

y
4.2.2 Requisitos legales y reglamentarios

n
La organización debe determinar los aspectos

ió
La organización debe establecer, implementar y
externos e internos que son relevantes para su mantener procedimientos) para identificar, tener

cc
propósito y que afectan a su capacidad de lograr acceso a y evaluar los requisitos legales y re-
el (los) resultado(s) deseado(s) de su SGCN.

du
glamentarios aplicables a los que la organización
se suscriba, relacionados con la continuidad de
ro
Estos aspectos deben tenerse en cuenta para
sus operaciones, productos y servicios, así como
establecer, implementar y mantener el SGCN
p
los intereses de las partes elevadas pertinentes.
de la organización.
re

La organización debe asegurar de que estos re-

La organización debe identificar y documentar
su

quisitos legales, reglamentarios y de otros tipos

lo siguiente:
aplicables a los que la organización suscribe, se
a

a) las actividades de la organización, funcio- tengan en cuenta en el establecimiento, la imple-

id

nes, servicios, productos, asociaciones, ca- mentación y en el mantenimiento de su SGCN.

b

denas de suministro, las relaciones con las

hi

La organización debe documentar esta informa-

partes interesadas y el impacto potencial re-
ro

ción y mantenerla actualizada. Los requisitos

lacionado con un incidente disruptivo; nuevos, o variaciones de los legales, reglamen-
-P

b) las relaciones entre la política de continui- tarios y de otro tipo deben ser comunicados a los
empleados afectados y a las otras partes intere-
o

dad del negocio y los objetivos de la

sadas.
rn

organización y otras políticas, incluida su

estrategia global de gestión de riesgos, y
te

4.3 Determinación del alcance del sistema

in

c) tolerancia al riesgo de la organización. de gestión de la continuidad del negocio

so

Al establecer el contexto, la organización debe: 4.3.1 Generalidades

-U

− articular sus objetivos, incluidos aquellos re- La organización debe determinar los límites y la
lativos a la continuidad del negocio; aplicabilidad del SGCN para establecer su alcan-
M

ce.
A

− definir los factores externos e internos que ge-

IR

neran la incertidumbre que da lugar al riesgo; Al determinar el alcance, la organización debe

considerar
− establecer criterios de riesgo, teniendo en
cuenta la tolerancia al riesgo, y − los aspectos internos y externos menciona-
dos en 4.1, y
− definir el propósito del SGCN.

15
 IR A M- I SO 22 3 01 :2 0 14
− los requisitos mencionados en 4.2.
El alcance debe estar disponible como informa-
ción documentada.
4.3.2 Alcance del SGCN
La organización debe
a) establecer las partes de la organización a
ser incluidas en el SGCN;
b) establecer los requisitos del SGCN, conside-
rando la misión de la organización, los obje-
tivos, las obligaciones internas y externas
(incluyendo aquellas relacionadas con las
partes interesadas) y las responsabilidades
legales y reguladoras de la organización;
c) identificar los productos y servicios y todas
las actividades relacionas dentro del alcan-
ce del SGCN;
d) tener en cuenta las necesidades y los in-
tereses de las partes interesadas, tales
como clientes, inversores, accionistas, la
su
cadena de suministro, las expectativas y
los intereses del público y/o la comunidad
a
(según corresponda), y
id
e) definir el alcance del SGCN en función de
b
hi
y adecuado al tamaño, la naturaleza y la
complejidad de la organización.
ro
-P
Al definir el alcance, la organización debe docu-
mentar y explicar las exclusiones, tales exclusio-
o
nes no deben afectar la capacidad y la respon-
rn
sabilidad de la organización de proveer conti-
te
nuidad del negocio y de las operaciones que
cumplan con los requisitos del SGCN, según lo
in
determinado por el análisis de impacto en el ne-
so
gocio o la evaluación de riesgos y los requisitos
legales reglamentarios.
-U
4.4 Sistema de gestión de la continuidad
M
del negocio
A
IR
La organización debe establecer, implementar,
mantener y mejorar continuamente su SGCN,
incluyendo los procesos necesarios y sus inter-
acciones, de acuerdo con los requisitos de esta
norma.
16
5 LIDERAZGO
5.1 Liderazgo y compromiso
Las personas de la alta dirección y otros roles
directivos relevantes en toda la organización
.
deben demostrar su liderazgo con respecto al
ón
SGCN.
ci
EJEMPLO: este liderazgo y compromiso puede
bu
demostrarse mediante la motivación y el otor-
ri
gamiento de facultades a las personas para
st
contribuir a la eficacia del SGCN.
di
5.2 Compromiso de la dirección
y
La alta dirección debe demostrar su liderazgo y
n
compromiso con respecto al SGCN como sigue:
ió
cc
− asegurando que se establezcan las políticas y
du
objetivos para el sistema de gestión de la con-
tinuidad y que éstos sean compatibles con la
ro
dirección estratégica de la organización;
p
re
− asegurando la integración de los requisitos
del sistema de gestión de continuidad del
negocio a los procesos empresariales de la
organización;
− asegurando que los recursos necesarios pa-
ra el sistema de gestión de continuidad del
negocio se encuentren disponibles;
− comunicando la importancia de la gestión
eficaz de la continuidad del negocio y que
sean conformes a los requisitos de SGCN;
− asegurando que el SGCN logre los resulta-
dos esperados;
− dirigiendo y apoyando a las personas para
contribuir a la eficacia del SGCN;
− promoviendo la mejora continua, y
− respaldando otros roles de gestión pertinente
para demostrar su liderazgo y compromiso
aplicados a sus áreas de responsabilidad.
NOTA 1. La referencia a negocio en esta norma debe ser
interpretada en términos generales en el sentido de aque-
llas actividades que son fundamentales para los propósitos
de la existencia de la organización.
 IR A M- I SO 22 3 01 :2 0 14

La alta dirección debe proporcionar evidencia c) incluya un compromiso para satisfacer los
de su compromiso con el establecimiento, la requisitos aplicables;
implementación, la operación, el seguimiento,
la revisión, el mantenimiento y la mejora del d) incluya un compromiso de mejora continua
SGCN, como sigue: del SGCN.

− estableciendo una política de continuidad del La política del SGCN debe:

.
ón
negocio;
− estar disponible como información documen-

ci
− asegurando que se establezcan los objetivos tada;

bu
y planes del SGCN;
− ser comunicada dentro de la organización;

ri
− estableciendo roles, responsabilidades y

st
competencias para la gestión de la continui- − estar disponible para las partes interesadas,

di
dad del negocio, y según corresponda;

y
− designando una o más personas para que − ser revisada a intervalos definidos para su

n
sean responsables del SGCN con la ade- continua adecuación y cuando se produzcan

ió
cuada autoridad y las competencias para ser cambios significativos.

cc
responsable de la implementación y el man-
tenimiento del SGCN. La organización debe conservar información

du
documentada sobre la política de continuidad
NOTA 2. Estas personas pueden tener otras responsabili- del negocio.
ro
dades dentro de la organización.
p

5.4 Roles organizacionales, responsabili-

re

La alta dirección debe asegurar que las res- dad y autoridades

ponsabilidades y autoridades para los roles
su

relevantes se asignen y se comuniquen dentro La alta dirección debe asegurar que las respon-
de la organización, a través de lo siguiente: sabilidad y las autoridades de los roles relevan-
a

tes sean asignados y comunicadas dentro de la

id

− definiendo los criterios para la aceptación de organización.

b

riesgos y los niveles aceptables de riesgos;

hi

La alta dirección debe asignar la responsabili-

ro

− participando activamente en los ejercicios y dad y autoridad para:

los ensayos;
-P

a) asegurar que el sistema de gestión cumpla

− asegurando que se lleven a cabo las audito- con los requisitos de esta norma e
o

rías internas del SGCN;

rn

b) informar sobre el desempeño del SGCN a

te

− llevando a cabo revisiones de gestión del la alta dirección.

in

SGCN, y
so

− demostrando su compromiso con la mejora

continua. 6 PLANIFICACIÓN
-U

5.3 Política 6.1 Acciones para tratar riesgos y oportuni-

M

dades
La alta dirección debe establecer una política
A
IR

de continuidad del negocio que: En la planificación del SGCN, la organización

debe considerar los aspectos mencionados en
a) sea adecuada al propósito de la organiza- 4.1 y los requisitos mencionados en 4.2 y de-
ción; terminar los riesgos y oportunidades que se
necesita enfrentar para:
b) proporcione el marco para establecer obje-
tivos de continuidad del negocio;

17
 IR A M- I SO 22 3 01 :2 0 14

a) asegurar que el sistema de gestión pueda − qué se hará;

lograr el (o los) resultado(s) deseado(s);
− qué recursos se necesitarán;
b) prevenir, o reducir, los efectos no desea-
dos; − cuándo se terminará y

c) alcanzar la mejora continua. − cómo se evaluarán los resultados.

.
ón
La organización debe planificar:

ci
7 SOPORTE

bu
− las acciones para hacer frente a estos ries-
gos y oportunidades;

ri
7.1 Recursos

st
− cómo

di
La organización debe determinar y proporcio-
1) integrar e implementar las acciones en nar los recursos necesarios para el estableci-

y
sus procesos de SGCN (ver 8.1), miento, la implementación, el mantenimiento y

n
la mejora continua del SGCN.

ió
2) evaluar la eficacia de estas acciones
(ver 9.1).

cc
7.2 Competencia

du
6.2 Objetivos de continuidad del negocio y La organización debe:
planes para alcanzarlos
ro
a) determinar la competencia necesaria de
La alta dirección debe asegurar que los objeti-
p

la(s) personas(s) que hacen el trabajo bajo

re

vos de continuidad del negocio sean estable- su control, que afecta su desempeño;
cidos y comunicados a las funciones y niveles
su

relevantes dentro de la organización. b) asegurar de que estas personas sean

competentes sobre la base de educación,
a

Los objetivos de la continuidad del negocio de- entrenamiento y experiencia apropiadas;

id

ben:
b

c) si corresponde, tomar medidas para adqui-

hi

a) ser consistentes con la política de continui- rir la competencia necesaria y evaluar la

ro

dad del negocio; eficacia de las medidas adoptadas, y

-P

b) tener en cuenta el nivel mínimo de produc- d) conservar la información adecuada como

tos y servicios que son aceptables para evidencia de la competencia.
o

que la organización logre sus objetivos;

rn

NOTA. Las medidas aplicables pueden incluir, por ejem-

te

c) ser medibles; plo, la provisión de entrenamiento, para la tutoría de, o la

reasignación de personas empleadas actuales, o la con-
in

d) tener en cuenta los requisitos aplicables, y tratación de personas competentes.

so

e) ser monitorizados y actualizados, según co- 7.3 Toma de conciencia

-U

rresponda.
Las personas que realizan trabajos bajo el control
La organización debe conservar información de la organización deben tener conciencia de:
M

documentada sobre los objetivos de continui-

A

dad del negocio. a) la política de continuidad del negocio;

IR

Para alcanzar sus objetivos de continuidad del b) su contribución a la eficacia del SGCN, in-
negocio, la organización debe determinar: cluyendo los beneficios del desempeño
mejorado de gestión de continuidad del ne-
− quién será responsable; gocio;

18
 IR A M- I SO 22 3 01 :2 0 14

c) las consecuencias de no ajustarse a los 7.5 Información documentada

requisitos del SGCN, y;
7.5.1 Generalidades
d) su propio rol durante los incidentes disrupti-
vos. El SGCN de la organización debe incluir:

7.4 Comunicación − la información documentada requerida por

.
ón
esta norma, y
La organización debe determinar la necesidad

ci
de comunicaciones internas y externas relevan- − la información documentada que la organi-

bu
tes para el SGCN incluyendo: zación determine como necesaria para la
eficacia del SGCN.

ri
a) sobre qué se comunicará;

st
NOTA. El alcance de la información documentada para un
b) cuándo comunicar; SGCN puede diferir de una organización a otra debido a:

di
y
c) con quién comunicarse. − el tamaño de la organización y su tipo de actividades,
procesos, productos y servicios;

n
La organización debe establecer, implementar,

ió
− la complejidad de los procesos y sus interacciones, y
mantener el (los) procedimiento(s) para:

cc
− la competencia de las personas.

du
− la comunicación interna entre las partes in-
teresadas y los empleados dentro de la 7.5.2 Elaboración y actualización
ro
organización;
Al elaborar y actualizar la información documen-
p

tada, la organización debe asegurar la apropiada:

re

− la comunicación externa con clientes, enti-

dades asociadas, la comunidad local y otras
su

partes interesadas, incluidos los medios pe- a) identificación y descripción (por ejemplo, tí-
riodísticos; tulo, fecha, autor o número de referencia);
a
id

− recibir, documentar y responder a las comuni- b) formato (el idioma, versión de software, grá-
ficos), y los medios periodísticos (por ejem-
b

caciones de las partes interesadas;

hi

plo: papel, electrónico), y la revisión y apro-

− adaptar e integrar un sistema de asesoramien- bación para la idoneidad y la adecuación.
ro

to de amenazas nacionales o regionales o

-P

equivalente, en la planificación y el uso opera- 7.5.3 Control de la información documentada

cional, si aplica;
o

La información documentada requerida por el

rn

− asegurar la disponibilidad de los mecanis- SGCN y por esta Norma debe ser controlada pa-
ra asegurar:
te

mos de comunicación durante un incidente

disruptivo;
in

a) que esté disponible y adecuada para su uso,

donde y cuando se necesita;
so

− facilitar la comunicación estructurada con las

autoridades competentes y asegurar la inter-
-U

operabilidad de las múltiples organizaciones y b) que esté protegida adecuadamente (por

personal de respuesta, según corresponda, y ejemplo, de la pérdida de confidencialidad,
del uso indebido o de la pérdida de la inte-
M

− la operación y ensayos de las capacidades gridad).

A
IR

de comunicación destinadas al uso durante

la interrupción de las comunicaciones nor-
males.
NOTA. Otros requisitos para la comunicación en respues-
ta a un incidente se especifican en 8.4.3.
Para el control de la información documentada la
organización debe abordar según corresponda,
las actividades siguientes:
− distribución, acceso, recuperación y uso;

19
 IR A M- I SO 22 3 01 :2 0 14

− almacenamiento y preservación, incluyendo la La organización debe controlar los cambios pla-

preservación de la legibilidad; nificados y revisar las consecuencias de los
cambios no deseados, tomando medidas para
− control de cambios (por ejemplo, control de mitigar los posibles efectos adversos, según sea
versión); necesario.

− retención y disposición; La organización se debe asegurar de que los

.
ón
procesos que son subcontratados sean controla-
− recuperación y uso; dos.

ci
bu
− preservación de la legibilidad (es decir, lo su- 8.2 Análisis de impacto en el negocio y eva-
ficientemente claro para leer), y luación de riesgos

ri
st
− la prevención del uso no intencional de infor- 8.2.1 Generalidades

di
mación obsoleta.
La organización debe establecer, implementar,

y
La información documentada de origen externo y mantener un proceso formal y documentado

n
que la organización determine que es necesaria para el análisis de impacto en el negocio y la

ió
para la planificación y la operación del SGCN, evaluación de riesgos que:

cc
debe ser identificada y controlada, según corres-
ponda. a) establezca el contexto de la evaluación,

du
defina el criterio y evalúe el impacto poten-
Al establecer el control de la información docu- cial de un incidente disruptivo;
ro
mentada, la organización se debe asegurar de
p

que existe una protección adecuada para ésta b) tome en cuenta los requisitos legales y
re

(por ejemplo: la protección contra el compromiso, otros a los que la organización suscriba;
la modificación o supresión no autorizada).
su

c) incluya un análisis sistemático, la prioriza-

NOTA. El acceso implica una decisión en cuanto al permi- ción de los tratamientos de riesgo, y sus
a

so para ver la información documentada, o el permiso y la costos relacionados;

id

autoridad para ver y cambiar la información documentada,

b

etc.
d) defina los resultados necesarios del análi-
hi

sis de impacto del negocio y la evaluación

ro

de riesgos, y
8 OPERACIÓN
-P

e) especifique los requisitos para que esta in-

formación se mantenga actualizada y con-
o

8.1 Planificación y control operacional fidencial.

rn
te

La organización debe planificar, implantar y con- NOTA. Existen diversas metodologías para el análisis del
trolar los procesos necesarios para cumplir con impacto en el negocio y la evaluación de riesgos, que de-
in

los requisitos y para implementar las acciones terminarán el orden en que se llevarán a cabo.
so

determinadas en 6.1, a través de lo siguiente:

8.2.2 Análisis del impacto en el negocio
-U

a) estableciendo los criterios para los procesos;

La organización debe establecer, implantar y
b) implementando el control de los procesos mantener un proceso de evaluación formal y do-
M

de acuerdo con el criterio, y cumentado para determinar la continuidad y las

A

prioridades de recuperación, los objetivos y las

IR

c) manteniendo la información documentada metas. Este proceso debe incluir la evaluación de

en el grado necesario para confiar en que los impactos de las actividades que respaldan a
los procesos se han llevado a cabo como los productos y servicios de la organización que
estaban previstos. son interrumpidas.

20
 IR A M- I SO 22 3 01 :2 0 14

El análisis del impacto en el negocio debe in-
cluir lo siguiente:
a) la identificación de actividades que respal-
dan el suministro de productos y servicios;
b) la evaluación de los impactos en el tiempo
8.3 Estrategia de continuidad del negocio
8.3.1 Determinación y selección
La determinación y selección de la estrategia
debe basarse en los resultados del análisis del
impacto en el negocio y de la evaluación de ries-

.
ón
de no realizar estas actividades; gos.

ci
c) el establecimiento de plazos prioritarios pa- La organización debe determinar una estrategia

bu
ra la reanudación de estas actividades a un apropiada de continuidad del negocio para:
nivel mínimo aceptable ya especificado,

ri
considerando el plazo en que los impactos a) proteger las actividades prioritarias;

st
de la no reanudación es inaceptable, y
b) estabilizar, continuar, reanudar y recuperar

di
d) la identificación de las dependencias y los las actividades prioritarias y sus dependen-

y
recursos de soporte para estas actividades cias y los recursos de soporte, y

n
incluyendo los proveedores, socios, subcon-

ió
tratistas, y otras partes interesadas pertinen- c) mitigar, responder y gestionar impactos.

cc
tes.
La determinación de la estrategia debe incluir la

du
8.2.3 Evaluación de riesgos aprobación de marcos de prioridad de tiempo pa-
ra la reanudación de las actividades.
ro
La organización debe establecer, implementar y
p

mantener un proceso de evaluación de riesgos La organización debe realizar evaluaciones de

re

formal y documentado que, sistemáticamente las capacidades de continuidad del negocio de

identifique, analice y evalúe el riesgo de los inci- los proveedores.
su

dentes disruptivos de la organización.

8.3.2 Establecer las necesidades de recursos
a

NOTA. Este proceso puede hacerse de acuerdo a la nor-

id

ma ISO 31000. La organización debe determinar las necesida-

b

des de los recursos para poner en práctica las

hi

La organización debe; estrategias seleccionadas. Los tipos considera-

ro

dor de recursos incluyen, pero no se limitan a:

a) identificar los riesgos de interrupción para
-P

las actividades prioritarias de la organiza- a) el personal;

ción y los procesos, sistemas, información,
o

personas, activos, subcontratistas y otros b) la información y los datos;

rn

recursos que la respalden;

te

c) los edificios, el ambiente de trabajo y servi-

b) analizar sistemáticamente el riesgo; cios asociados;
in

c) evaluar qué riesgos relacionados con la in-

so

d) las instalaciones, los equipos y los insumos;

terrupción requieren tratamiento, y
-U

e) los sistemas de tecnología de la información

d) la identificación de tratamientos acordes y la comunicación (TIC);
con los objetivos de continuidad del nego-
M

cio, en concordancia con la tolerancia al

A

f) el transporte;
riesgo de la organización.
IR

g) la financiación, y
NOTA. La organización debe ser consciente de que cier-
tas obligaciones financieras o gubernamentales requieren
la comunicación de estos riesgos a diferentes niveles de h) los socios y proveedores.
detalle. Además ciertas necesidades de la sociedad pue-
den también asegurar el intercambio de esta información
a un nivel apropiado de detalle.

21
 IR A M- I SO 22 3 01 :2 0 14

8.3.3 Protección y mitigación f) ser eficaz para minimizar las consecuencias

Para los riesgos identificados que requieren tra-
tamiento, la organización debe considerar me-
didas proactivas que:
a) reduzcan la probabilidad de interrupción;
a través de la aplicación de estrategias de
mitigación apropiadas.
8.4.2 Estructura de respuesta a incidentes
La organización debe establecer, documentar e

.
ón
implementar procedimientos y una estructura
b) acorten el período de interrupción, y de gestión para responder a un incidente dis-

ci
ruptivo utilizando personal con la responsa-
c) limiten el impacto de la interrupción en los

bu
bilidad, autoridad y competencia necesaria para
productos y servicios claves de la organiza-
gestionar un incidente.

ri
ción.

st
La estructura de respuesta debe:
La organización debe elegir e implementar los

di
tratamientos de riesgo adecuados de acuerdo a a) identificar los umbrales del impacto que justi-

y
su tolerancia al riesgo. fiquen la iniciación de la respuesta formal;

n
ió
8.4 Establecer e implementar procedimientos b) evaluar la naturaleza y la extensión de un
de continuidad del negocio

cc
incidente disruptivo y su potencial impacto;

du
8.4.1 Generalidades c) activar una respuesta apropiada de conti-
nuidad del negocio;
ro
La organización debe establecer, implementar
p
y mantener procedimientos de continuidad del d) tener procesos y procedimientos para la
re

negocio para gestionar un incidente disruptivo y activación, el funcionamiento, la coordina-

continuar sus actividades en función de los ob- ción y la comunicación de la respuesta;
su

jetivos de recuperación identificados en el

análisis del impacto en el negocio. e) tener los recursos disponibles para sopor-
a

tar a los procesos y los procedimientos

id

La organización debe documentar los procedi- para gestionar un incidente disruptivo a fin
b

mientos (incluidas las disposiciones necesarias) de minimizar el impacto, y

hi

para asegurar la continuidad de las actividades y

ro

la gestión de incidentes disruptivos. f) comunicarse con las autoridades y partes

interesadas, así como con los medios pe-
-P

Los procedimientos deben: riodísticos.

o

a) establecer un protocolo adecuado de co- La organización debe decidir, utilizando como

rn

municaciones interno y externo; primera prioridad la seguridad de la vida y con-

te

sultando a las partes interesadas pertinentes, si

b) ser específicos con respecto a las medidas comunica o no externamente sus riesgos e im-
in

inmediatas que deben tomarse durante pactos significativos y si documenta su deci-

so

una interrupción; sión. Si la decisión es comunicarlos, entonces

la organización debe establecer e implementar
-U

c) ser flexibles para responder a amenazas procedimientos para esta comunicación exter-
imprevistas y a las condiciones internas y na, alertas y advertencias, incluyendo los me-
M

externas cambiantes; dios periodísticos, según corresponda.

A

d) centrarse en el impacto de los eventos que

IR

8.4.3 Advertencias y comunicación

puedan interrumpir las operaciones;
La organización debe establecer, implementar
e) desarrollarse en base a supuestos estable-
y mantener los procedimientos para:
cidos y en un análisis de las interdepen-
dencias, y a) detectar un incidente;

22
 IR A M- I SO 22 3 01 :2 0 14

b) el seguimiento regular de un incidente; c) detalles para gestionar las consecuencias

c) la comunicación interna dentro de la orga-
nización y recibir, documentar y responder
a las comunicaciones de las partes intere-
sadas;
inmediatas de un incidente disruptivo, te-
niendo debidamente en cuenta:
1) el bienestar de las personas;
2) las opciones estratégicas, tácticas y

.
d) recibir, documentar y responder a cualquier operacionales para hacer frente a la

ón
sistema de asesoramiento de riesgo nacio- interrupción;

ci
nal, regional o equivalente;
3) la prevención de una pérdida mayor o

bu
e) asegurar la disponibilidad de los medios pe- la falta de disponibilidad de las activi-

ri
riodísticos durante un incidente disruptivo; dades prioritarias;

st
f) facilitar la comunicación estructurada con d) detalles acerca de cómo y bajo qué circuns-

di
los servicios de respuesta a emergencias; tancias la organización se va a comunicar

y
con los empleados y sus familiares, con las
g) registrar información vital, sobre el inciden-

n
principales partes interesadas claves y los

ió
te, las medidas adoptadas y las decisiones contactos de emergencia;
tomadas, y según corresponda, debe con-

cc
siderar e implementar lo siguiente: e) cómo la organización continuará o recupe-

du
rará sus actividades prioritarias dentro de
1) alertar a las partes interesadas poten- los plazos predeterminados;
ro
cialmente afectadas por un incidente
disruptivo real o inminente,
p
f) detalles de la respuesta de la organización
re

a los medios periodísticos a raíz de un in-

2) asegurar la interoperabilidad de las cidente, incluyendo:
su

múltiples organizaciones de respuesta

y del personal, 1) una estrategia de comunicación,
a
id

3) la operación de un centro de comuni- 2) la interfaz preferida con los medios pe-

caciones.
b

riodísticos,
hi

Los procedimientos de comunicación y alerta 3) guía o plantilla para la redacción de

ro

se deben ejercitar regularmente. una declaración para los medios pe-

-P

riodísticos, y
8.4.4 Planes de continuidad del negocio
o

4) portavoces apropiados;
rn

La organización debe establecer procedimientos

g) el proceso para retirarse una vez que el in-
te

documentados para responder a un incidente

disruptivo y cómo va a continuar o a recuperar cidente ha terminado.
in

sus actividades dentro de un plazo predetermi-

nado. Tales procedimientos deben satisfacer los Cada plan debe definir:
so

requisitos de quienes los usen.

-U

a) propósito y alcance;
Los planes de continuidad del negocio deben
contener colectivamente: b) objetivos;
M
A

a) los roles y las responsabilidades definidas c) procedimientos y criterios de activación;

IR

para las personas y los equipos que tienen

d) procedimientos de implementación;
autoridad durante y después de un inciden-
te; e) roles, responsabilidades y autoridades;
b) un proceso para activar la respuesta;

23
 IR A M- I SO 22 3 01 :2 0 14

f) requisitos y procedimientos de la comuni- 9 EVALUACIÓN DEL DESEMPEÑO

cación;

g) interdependencias internas y externas e in- 9.1 Seguimiento, medición, análisis y eva-

teracciones; luación

h) requisitos de los recursos, y 9.1.1 Generalidades

.
ón
j) el flujo de información y los procesos de La organización debe determinar:

ci
documentación.
a) qué necesita ser monitorizado y medido;

bu
8.4.5 Recuperación
b) los métodos de seguimiento, medición, aná-

ri
lisis y evaluación, según corresponda, para

st
La organización debe tener procedimientos do-
cumentados para restaurar y devolver las acti- asegurar resultados válidos;

di
vidades de negocios desde las medidas tem-
c) cuándo se llevarán a cabo el seguimiento y

y
porales adoptadas para soportar los requisitos
la medición, y

n
normales del negocio después de un incidente.

ió
d) cuándo se deben analizar y evaluar los re-
8.5 Ejercicios y ensayos

cc
sultados del seguimiento y de la medición.

du
La organización debe ejercitar y ensayar sus
La organización debe conservar la información
procedimientos de continuidad del negocio para
ro
documentada apropiada como evidencia de los
asegurar que son consecuentes con sus objeti-
resultados.
p
vos de continuidad del negocio.
re

La organización debe llevar a cabo ejercicios y La organización debe evaluar el desempeño y

la eficacia del SGCN.
su

ensayos que:
Además, la organización debe:
a

a) sean consistentes con el alcance y los ob-

id

jetivos del SGCN;

− tomar medidas cuando sea necesario para
b

hacer frente a las tendencias adversas o re-

hi

b) se basen en escenarios apropiados que

sultados, antes de que se produzca una no
ro

estén bien planificados con metas y objeti-

vos claramente definidos; conformidad, y
-P

c) tomados en conjunto, a través del tiempo − conservar la información documentada rele-

o

validen la totalidad de las disposiciones de vante como evidencia de los resultados.

rn

continuidad del negocio, involucrando a las

Los procedimientos para supervisar el desem-
te

partes interesadas pertinentes;

peño deben proveer para:
in

d) minimicen el riesgo de interrupción de las

operaciones; − establecer métricas de desempeño adecua-
so

das a las necesidades de la organización;

-U

e) produzcan informes formales posejercicio

que contengan resultados, recomendaciones − realizar el seguimiento de la medida en la
y acciones para implementar las mejoras; que se cumplen los objetivos y las metas de
M

la política de continuidad del negocio de la

A

f) sean revisados en el contexto de promover organización;

IR

la mejora continua, y
− el desempeño de los procesos, procedimien-
g) sean llevados a cabo a intervalos planifica- tos y funciones que protegen sus actividades
dos y cuando haya cambios significativos prioritarias;
dentro de la organización o en el entorno
en el que ésta opera.

24
 IR A M- I SO 22 3 01 :2 0 14

− realizar el seguimiento del cumplimiento con a) cumple con:

esta norma y con los objetivos de continui-
dad del negocio; 1) los requisitos propios de la organiza-
ción para su SGCN,
− realizar el seguimiento de la evidencia histó-
rica de desempeño deficiente del SGCN, y 2) los requisitos de esta norma, y

.
b) es efectivamente implementado y manteni-

ón
− registrar datos y resultados del seguimiento
y la medición para facilitar las acciones co- do.

ci
rrectivas tomadas.

bu
La organización debe:
NOTA. El desempeño deficiente puede incluir no confor-

ri
midades, cuasi accidentes, falsas alarmas e incidentes − planificar, establecer, implementar y mantener

st
reales. (un) programa de auditoría(s), incluyendo la

di
frecuencia, los métodos, las responsabilida-
9.1.2 Evaluación de los procedimientos de des, los requisitos de planificación y elabora-

y
continuidad del negocio ción de informes. El programa(s) de audito-

n
ría(s) debe tener en cuenta la importancia de
a) la organización debe llevar a cabo evalua-

ió
los procesos en cuestión y los resultados de
ciones de sus capacidades y los procedi-

cc
las auditorías anteriores;
mientos de continuidad del negocio con el

du
fin de asegurar su continua adecuación, ido- − definir los criterios de auditoría y el alcance
neidad y eficacia; de cada auditoría;
ro
b) estas evaluaciones se deben llevar a cabo a
p

− seleccionar auditores y llevar a cabo audito-

re

través de revisiones periódicas, ejercicios,

rías para asegurar la objetividad y la impar-
ensayos, informes posincidente y evalua-
cialidad del proceso de auditoría;
su

ciones de desempeño. Los cambios signifi-

cativos que surjan se deben reflejar en el − asegurar que los resultados de las auditorías
a

(los) procedimiento(s) de manera oportuna; sean comunicados al nivel de dirección per-

id

tinente, y
b

c) la organización debe evaluar periódicamen-

hi

te el cumplimiento de los requisitos legales − conservar la información documentada como

ro

y reglamentarios aplicables, las mejores evidencia de la implementación del progra-

prácticas de la industria y la conformidad
-P

ma de auditoría y de los resultados de ésta.

con su propia política de continuidad del
negocio y objetivos, y El programa de auditorías, incluyendo su plani-
o
rn

ficación, debe basarse en los resultados de las

d) la organización debe llevar a cabo evalua-
evaluaciones de riesgos de las actividades de
te

ciones a intervalos planificados y cuando

la organización y en los resultados de audito-
se produzcan cambios significativos.
in

rías previas. Los procedimientos de auditoría

deben cubrir el alcance, la frecuencia, las me-
so

Cuando un incidente de interrupción ocurre y

todologías y las competencias, así como las
resulta en la activación de los procedimientos
-U

responsabilidades y los requisitos para llevar a

de continuidad del negocio, la organización de-
cabo auditorías y el informe de los resultados.
be emprender una revisión posincidente y
M

registrar los resultados. La dirección responsable del área que está sien-
A

do auditada se debe asegurar de que cualquier

IR

9.2 Auditoría interna corrección necesaria y cualquier acción correctiva

se toman sin demora injustificada para eliminar
La organización debe llevar a cabo auditorías
las no conformidades detectadas y sus causas.
internas a intervalos planificados para propor-
Las actividades de seguimiento deben incluir la
cionar información sobre si el sistema de
verificación de las acciones tomadas y el informe
gestión de continuidad del negocio:
de los resultados de verificación.

25
 IR A M- I SO 22 3 01 :2 0 14

9.3 Revisión por la dirección − los riesgos o aspectos no abordados ade-

La alta dirección debe revisar, a intervalos planifi-
cados, el SGCN de la organización, para asegu-
rar su continua idoneidad, adecuación y eficacia.
La revisión de la dirección debe incluir la consi-
cuadamente en cualquier evaluación de ries-
go anterior;
− cualquier cambio que pudiera afectar al
SGCN, ya sean internos o externos al alcan-
ce del SGCN;

.
deración de:

ón
− la adecuación de la política;

ci
a) el estado de las acciones de las revisiones

bu
por la dirección anteriores; − las recomendaciones de mejora;

ri
b) los cambios en los aspectos externos e in- − las lecciones aprendidas y las acciones deri-

st
ternos que son relevantes para el sistema vadas de los incidentes disruptivos, y
de gestión de continuidad del negocio;

di
− buenas prácticas y directrices emergentes.

y
c) la información sobre el desempeño de la
continuidad del negocio, incluyendo las ten-

n
Los resultados de la revisión por la dirección

ió
dencias en: deben incluir las decisiones relacionadas con

cc
las oportunidades de mejora continua y la posi-
1) las no conformidades y acciones co-
ble necesidad de cambios en el SGCN e incluir

du
rrectivas,
lo siguiente:
ro
2) el seguimiento y la evaluación de los
a) variaciones en el alcance del SGCN;
resultados de medición, y
p
re

b) la mejora de la eficacia del SGCN;

3) resultados de auditoría;
su

c) la actualización de la evaluación de ries-

d) las oportunidades de mejora continua.
gos, el análisis del impacto en el negocio,
a

los planes de continuidad del negocio y los

id

Las revisiones por la dirección deben tener en

procedimientos relacionados;
cuenta el desempeño de la organización inclu-
b
hi

yendo: d) la modificación de los procedimientos y

ro

controles para responder a los eventos in-

− las acciones de seguimiento de las revisio- ternos o externos que puedan influir en el
-P

nes por las direcciones anteriores; SGCN, incluidos los cambios en:
o

− la necesidad de cambios en el SGCN, inclu- 1) los requisitos de negocios y operacio-

rn

yendo la política y los objetivos; nales;

te

− las oportunidades de mejora; 2) la reducción de riesgos y los requisitos

in

de seguridad;
− los resultados de las auditorías y revisiones
so

del SGCN, incluidos los de los principales 3) las condiciones y los procesos opera-
-U

proveedores y socios, según corresponda; cionales;

− las técnicas, productos o procedimientos, que 4) los requisitos legales y reglamentarios;

M

puedan ser utilizados en la organización para

A

mejorar el desempeño y la eficacia del SGCN; 5) las obligaciones contractuales;

IR

− el estado de las acciones correctivas; 6) los niveles de riesgos y/o de criterios

para la aceptación de riesgos;
− los resultados de ejercicios y ensayos;
7) las necesidades de recursos;

26
 IR A M- I SO 22 3 01 :2 0 14

8) la financiación y las necesidades pre- 3) determinando si existen o pueden ocurrir

supuestarias, y no conformidades potenciales similares,

e) cómo se mide la eficacia de los controles. 4) evaluando la necesidad de adoptar

acciones correctivas para asegurar
La organización debe conservar la información que las no conformidades no se repi-
documentada como evidencia de los resultados tan u ocurran en otro lugar,

.
ón
de las revisiones por la dirección.
5) determinando e implementando las

ci
La organización debe: acciones correctivas necesarias,

bu
− comunicar los resultados de la revisión por 6) revisando la eficacia de cualquier ac-

ri
la dirección a las partes interesadas perti- ción correctiva tomada, y

st
nentes, y

di
7) haciendo cambios al SGCN, si es ne-
− tomar las medidas apropiadas en relación cesario;

y
con esos resultados.

n
d) implementar cualquier acción necesaria;

ió
cc
e) revisar la eficacia de cualquier acción co-
10 MEJORA
rrectiva adoptada;

10.1 No conformidades y acciones correcti- f) du

si es necesario, realizar cambios en el sis-
ro
vas tema de gestión de continuidad del negocio.
p
re

Cuando ocurre una no conformidad, la organi- Las acciones correctivas deben ser apropiadas
zación debe: a los efectos de las no conformidades encon-
su

tradas.
a) identificar la no conformidad,
a

La organización debe conservar la información

id

b) reaccionar ante la no conformidad y, según documentada como evidencia de:

b

corresponda:
hi

− la naturaleza de las no conformidades y de

ro

1) tomar medidas para controlarlas y co- cualquier acción tomada posteriormente, y

rregirlas, y
-P

− los resultados de cualquier acción correctiva.

2) enfrentar las consecuencias;
o
rn

c) evaluar la necesidad de realizar acciones 10.2 Mejora continua

te

para eliminar las causas de la no conformi-

La organización debe mejorar continuamente la
dad, con el fin de que no se repita o se
in

idoneidad, la adecuación y la eficacia del SGCN.

produzca en otro lugar:
so

NOTA. La organización, para lograr la mejora, puede utili-

1) mediante la revisión de la no confor- zar los procesos del SGCN, tales como el liderazgo, la
-U

midad, planificación y la evaluación del desempeño.

M

2) determinando las causas de la no con-

formidad, y
A
IR

27
 IR A M- I SO 22 3 01 :2 0 14

Bibliografía de la ISO 22301:2012

[1] ISO 9001, Quality management systems - Requirements.

[2] ISO 14001, Environmental management systems - Requirements with guidance for use.

.
ón
[3] ISO 19011, Guidelines for auditing management systems.

ci
bu
[4] ISO/IEC 20000-1, lnformation Technology - Service Management.

ri
[5] ISO 22300, Societal security - Terminology.

st
[6] ISO/PAS 22399, Societal security - Guideline for incident preparedness and operational

di
continuity management.

y
n
[7] ISO/IEC 24762, Information technology - Security techniques - Guidelines for Information and

ió
communications technology disaster recovery services.

cc
[8] ISO/IEC 27001, lnformation Security Management Systems.

[9]
du
ISO/IEC 27031, Information technology - Security techniques - Guidelines for information and
ro
communication technology readiness for business continuity.
p
re

[10] ISO 30001, Risk Management - Principles and Guidelines.

su

[11] ISO/IEC 31010, Risk management - Risk assessment techniques.

a

[12] ISO/IEC Guía 73, Risk management - Vocabulary.

b id

[13] BS 25999-1, Business continuity management - Code of practice, British Standards Institution (BSI).
hi
ro

[14] BS 25999-2, Business continuity management - Specification, British Standards Institution (BSI).
-P

[15] SI 24001, Security and continuity management systems - Requirements and guidance for use,
Standards Institution of Israel.
o
rn

[16] NFPA 1600, Standard on disaster/emergency management and business continuity programs,
te

National Fire Protection Association (USA).

in

[17] Business Continuity Plan Drafting Guideline, Ministry of Economy, Trade and Industry (Japan),
so

2005.
-U

[18] Business Continuity Guideline, Central Disaster Management Council, Cabinet Office,
Government of Japan, 2005.
M

[19] ANSI/ASIS SPC.1, Organizational Resilience: Security, Preparedness, and Continuity

A

Managements Systems - .Requirements with Guidance for UseSS 540: 2008, Singapore
IR

Standard for Business Continuity Management.

[20] ANSI/ASIS/BSI BCM.01, Business Continuity Management Systems: Requirements with

Guidance for Use.

28
 IR A M- I SO 22 3 01 :2 0 14

Anexo A - IRAM
(Informativo)

Bibliografía

.
En el estudio de esta norma se ha tenido en cuenta la bibliografía siguiente:

ón
ci
ISO - INTERNATIONAL ORGANIZATION FOR STANDARDIZATION

bu
ISO 22301:2012 - Societal security. Business continuity management systems. Requirements.

ri
st
di
y
n
ió
cc
du
p ro
re
su
a
b id
hi
ro
-P
o
rn
te
in
so
-U
M
A
IR

29
 IR A M- I SO 22 3 01 :2 0 14

Anexo B - IRAM
(Informativo)

Integrantes de los organismos de estudio

.
El estudio de esta norma ha estado a cargo de los organismos respectivos, integrados en la forma

ón
siguiente:

ci
Subcomité de Respuesta a emergencias y gestión de seguridad

bu
ri
Integrante Representa a:

st
di
Sr. Ramón ABACA COMITÉ ZONAL DE SEGURIDAD E HIGIENE
CAMPANA-ZARATE

y
Of. Juan ALTERINO BOMBEROS DE MERCEDES

n
Lic. Diego ARANGURI DÍAZ CARREFOUR ARGENTINA

ió
Sr. Emilio ARIAS DIRECCIÓN PROVINCIAL DE DEFENSA CIVIL DE

cc
NEUQUÉN
Lic. Edgardo CACCIONE SHELL CÍA ARGENTINA DE PETRÓLEO

du
Dr. Arnaldo CALDIROLA MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD
SOCIAL
ro
Ing. Néstor CAVA POLICÍA FEDERAL ARGENTINA (PFA)
p

Dr. José DE ECHAVE UNIVERSIDAD NACIONAL ARTURO JAURETCHE

re

Ing. Darío DE LA ROSA CONSEJO PROFESIONAL DE INGENIERÍA

su

MECÁNICA Y ELECTRICISTA (COPIME)

Ing. Juan FERNANDEZ UNIVERSIDAD TECNOLÓGICA NACIONAL
a

FACULTAD REGIONAL CAMPANA

id

Ing. Roberto FLORES INVITADO ESPECIAL

Ing. Osvaldo FRATICELLI SIDERCA SAIC
b
hi

Ing. Rafael GALEANO ASOCIACIÓN LATINOAMERICANA DE

FERROCARRILES
ro

Cap. Juan GOMEZ MEUNIER ARMADA ARGENTINA

-P

Ing. Eduardo GRANDA LABORATORIO GADOR S.A.

Sr. Gustavo GUIGLIELMONI SUPERINTENDENCIA FEDERAL DE BOMBEROS-
o

POLICÍA FEDERAL ARGENTINA - PROTECCIÓN

rn

AMBIENTAL
te

Ing. Eduardo KLOP MINISTERIO DE SEGURIDAD DE LA NACIÓN

Ing. Alejandro MACHADO SUPERINTENDENCIA DE RIESGOS DEL TRABAJO
in

(SRT)
so

Sr. Andrés MARCHESIN ORGANISMO REGULADOR DE LA SEGURIDAD DE

PRESAS (ORSEP)
-U

Lic. Romina MUSSI UNIVERSIDAD TECNOLÓGICA NACIONAL

FACULTAD REGIONAL CAMPANA
M

Lic. Ricardo NIEVAS DIRECCIÓN DE DEFENSA CIVIL DE LA PROVINCIA

A

DE BUENOS AIRES
IR

Dr. Jorge PÁEZ GOBIERNO DE LA CIUDAD DE BUENOS. AIRES

Sr, Manuel PALLEIRO REVISTA PREVENCIÓN Y EMERGENCIAS
Lic. Ricardo PARAMOS ORGANISMO REGULADOR DE LA SEGURIDAD DE
PRESAS (ORSEP)
Lic. Jorge PARDÍAS ASOCIACIÓN DE INDUST. METALÚRGICOS DE LA
REPÚBLICA ARGENTINA (ADIMRA)

30
 IR A M- I SO 22 3 01 :2 0 14

Integrante Representa a:

Lic. Aldo PÉREZ PARRA MINISTERIO DE SEGURIDAD DE LA NACIÓN

Lic. Néstor PUENTES ECOKIT S.R.L.
Sr. Héctor RAGO SUBSECRETARÍA DE DESARROLLO Y FOMENTO
PROVINCIAL - MINISTERIO DEL INTERIOR Y
TRANSPORTE

.
ón
Lic. Pablo RAGO POLICÍA FEDERAL ARGENTINA (PFA)
Ing. Carlos RODRÍGUEZ ATANOR S.C.A.

ci
Sr. Alberto RUIBAL CÁMARA ARGENTINA DE SEGURIDAD (CAS)

bu
Ing. Néstor SPÓSITO UNIVERSIDAD TECNOLÓGICA NACIONAL -
FACULTAD REGIONAL BAHÍA BLANCA / PROCESO

ri
APELL B. BLANCA

st
Lic. Claudia SUQUELE ARMADA ARGENTINA

di
Dra. María TEJO SUPERINTENDENCIA DE RIESGOS DEL TRABAJO
(SRT)

y
Ing., Lucrecia VERDE ARMADA ARGENTINA

n
Sr. Hugo VILAR SUPERINTENDENCIA FEDERAL DE BOMBEROS

ió
POLICÍA FEDERAL ARGENTINA

cc
Sr. Mauro ZABALA HOSPITAL ITALIANO / COLEGIO PROFESIONAL DE

du
HIGIENE, SEGURIDAD Y MEDIO AMBIENTE
(COPHISEMA)
ro
Lic. Verónica MARINELLI IRAM
p
Ing. Roque PORTILLO IRAM
re

Ing. Guillermo ZUCAL IRAM

Ing. Mario PAONESSA IRAM
su
a
id

Comité General de Normas (C.G.N.)

b
hi

Integrante Integrante
ro
-P

Ing. Alberto BUSTOS ROYER Ing. Jorge MANGOSIO

Dr. José M. CARACUEL Tco. Hugo D. MARCH
o

Lic. Alberto CERINI Lic. Héctor MUGICA

rn

Ing. Ramiro FERNÁNDEZ Ing. Tulio PALACIOS

Lic. Alicia GUTIÉRREZ Dr. Mario PECORELLI
te

Ing. Jorge KOSTIC Ing. Raúl DELLA PORTA

in

Dr. Ricardo MACCHI

so
-U
M
A
IR

31
 IR A M- I SO 22 3 01 :2 0 14

.
ón
ci
bu
ri
st
di
y
n
ió
cc
du
p ro
re
su
a
b id
hi
ro
-P
o
rn
te
in
so
-U
M
A
IR

ICS 03.100.01
* CNA 0000

* Corresponde a la Clasificación Nacional de Abastecimiento asignada por el Servicio Nacional de Catalogación del Ministerio de Defensa.