ISO 22301 SGCN

ISO 22301
Seguridad de la sociedad: Sistema de
Continuidad del Negocio – Requisitos

Introducción
¿A Qué nos enfrentamos?
• Averías de cables submarinos, con los consiguientes
problemas en las comunicaciones
• Huelgas en el transporte público, colapsando el
desplazamiento de las personas en las ciudades
• Temporal de nieve en EEUU, impidiendo los
desplazamientos terrestres a lo largo del país
• Evacuación de un hospital debido a un incendio
• Inundaciones en Argentina, causando gravísimos
daños en empresas, edificios, etc.

Introducción
• Una organización no puede dejar de funcionar ante
condiciones adversas.
• A nivel mundial, tal y como funcionan actualmente
los mercados internacionales, las organizaciones
tienen la obligación de poder asegurar que son
proveedores fiables y que son capaces de, ante
cualquier incidente o catástrofe – un incendio, una
inundación, una huelga, un sabotaje…-reanudar sus
operaciones en un tiempo estimado, y continuar
ofreciendo sus productos y servicios con normalidad.

Introducción
• El Sistema de Gestión de la Continuidad del Negocio (SGCN)
se ha convertido en una exigencia para las empresas que
compiten el día de hoy en los mercados globalizados.
• La tendencia mundial es que ya las empresas no compitan
entre sí, la competencia es entre cadenas de suministros. Una
cadena de suministros para mantenerse operando no puede
tener ningún eslabón débil y ninguno de sus componentes
pueden dejar de operar, ya que si un elemento del todo
dejara de funcionar se paraliza toda la serie generando el
caos.
• Cada miembro del sistema tiene que demostrar que es un
proveedor confiable. Esto se logra teniendo en cada empresa
un SGCN que proteja a los procesos esenciales que permiten
originar los productos/servicios que desea el cliente.

Introducción
• Lo cierto es que no es necesario que ocurran casos
tan trágicos como los mencionados para poner en
peligro la actividad de una organización.
• ¿Qué ocurriría si se estropea el ordenador que
gestiona toda la contabilidad o la red de
comunicaciones deja de funcionar?
• ¿Durante cuánto tiempo es posible mantener la
actividad en caso de un incidente?
• ¿Es posible recuperarse?
• ¿En cuánto tiempo sería posible volver a la actividad
normal?

Introducción
¿Qué Causas pueden generar una interrupción de negocio?
• Desastres Naturales
• Fallas Humanas
• Fallas Técnicas
• …
¿Qué consecuencias genera esta interrupción?
• Pérdida de negocios, ingresos y clientes
• Incumplimientos y costos legales
• Costos relacionados con la interrupción
• Eventual cierre de operaciones
• …

Introducción
Razones para recuperar rápidamente la
continuidad del negocio
• Valor de la empresa
• Demandas del mercado
• Presión de los competidores
• Disposición de los reguladores
• …

¿Cómo afrontar esta situación?
La forma adecuada de gestionar la continuidad del
negocio es:
1. Identificar, analizar, evaluar, y gestionar los riesgos
a los que se enfrenta una organización,
2. Analizar el impacto del negocio (BIA)
3. Definir las estrategias de continuidad del negocio.
Para ello se debe:
1. Gestionar de forma adecuada sus riesgos.
2. Identificar los procesos críticos de la organización.
3. Ayudar a establecer las estrategias de recuperación
Todo esto permite identificar las principales amenazas a la
organización y fortalecer la capacidad de la misma.

• La ISO 22301 es un marco que le permite identificar las
posibles amenazas a la organización y fortalecer la capacidad
de la misma.
• Proporciona un marco formal de continuidad de negocio y
nos guiará a desarrollar un plan de continuidad de negocio
que mantendrá la organización funcionando durante y
después de la interrupción.
• Éste también minimizará el impacto de un evento disruptivo ,
así se podrá reanudar el servicio lo más rápido posible ,
asegurando que los servicios clave y los productos son
entregados.
• Disponer de una estrategia de recuperación de desastres que
asegure la continuidad del negocio en un aspecto de
vital importancia.

• La ISO 22301 es de carácter preventivo, aunque en este caso,
no se trata de prevenir un incidente, sino de prevenir las
posibles consecuencias de un incidente y proporcionar a las
organizaciones la capacidad para recuperarse ante desastres
y todo tipo de incidentes que vulneren la seguridad.
• La Gestión de Continuidad del Negocio es un proceso holístico
que identifica las amenazas potenciales que se ciernen sobre
una organización y los impactos a las operaciones del negocio
que la materialización de tales amenazas puedan causar y
proporciona un marco de referencia para construir la
resiliencia organizacional con capacidad para dar respuesta
efectiva, protegiendo los intereses de las partes interesadas,
la reputación, la marca y las actividades creadoras de valor.

• Cada escenario de amenazas tiene una estrategia de
continuidad que se materializa a través de planes de
reanudación de operaciones que son ensayados
regularmente.
• Una empresa con un SGCN ensayado periódicamente
es muy difícil que deje de operar y no pueda
suministrar sus productos o servicios.

3.1 riesgo
Efecto de la incertidumbre sobre los objetivos
• Nota 1 a la entrada: Un efecto es una desviación respecto a lo
previsto. Puede ser positivo, negativo o ambos, y puede
abordar, crear o resultar en oportunidades y amenazas.
• Nota 2 a la entrada: Los objetivos pueden tener diferentes
aspectos y categorías, y se pueden aplicar a diferentes niveles.
• Nota 3 a la entrada: Con frecuencia, el riesgo se expresa en
términos de fuentes de riesgo (3.4), eventos (3.5) potenciales,
sus consecuencias (3.6) y sus probabilidades (3.7).

3.1 Riesgo
“Efecto de la incertidumbre”
es el estado, incluso parcial,
de deficiencia de información
relacionada con la comprensión
o conocimiento de un evento,
su consecuencia o su probabilidad
DESVIACION
DE LO ESPERADO
Término común y definición esencial para las normas de sistemas de gestión que se proporcionan en Anexo SL de Directivas
ISO/IEC

Existe entonces la necesidad de gestionar los riesgos y
operar en continuidad del negocio
ISO 22301 : 2012 no requiere evaluaciones de riesgo
según algún proceso especifico.
ISO 31000:2018 Gestión del riesgo Principios y
directrices puede ser una referencia útil para
organizaciones que desean o necesitan un enfoque
más formal del riesgo (uso no obligatorio) , ayuda a
las organizaciones a desarrollar su propia
estrategia para administrar sus riesgos.

• La norma ISO 31000:2018 (Gestión del riesgo –
Principios y Guías) El estándar ISO 31000,
proporciona en forma integral a las organizaciones,
principios bajo un marco de proceso, destinado a
gestionar cualquier tipo de riesgo de forma:
Sistemática, Creíble, Transparente
Esta norma se complementa con la ISO Guide 73:2018
Gestión del riesgo Vocabulario.
El estándar ISO 31010, proporciona técnicas
sistemáticas de apoyo

Para integrar la gestión del riesgo en
ISO 22301 : 2012, podemos seguir los
criterios de la norma ISO 31000: 2018
ISO 31000: 2018
ISO22301:2012

Evolución de la continuidad del
negocio
DE…
• Recuperación por interrupción
• Restauración ante desastres
• De la recuperación a la resiliencia
• Ejercicio para identificar características de la
continuidad
A…

Familia
• El ISO 22300 es un conjunto de estándares
desarrollados por la Organización
Internacional de Normalización (ISO) , que
proporcionan un marco de gestión de la
continuidad del negocio alineados con los
objetivos de negocio ,y optimizando las
inversiones realizadas en controles o
salvaguardas que protejan los activos.

Familia
• La serie de normas ISO 22300 constan de:
• ISO 22313: Protección y seguridad de los ciudadanos.
Sistema de Gestión de la Continuidad del Negocio.
Directrices. 1. Es una guía de implementación que
apoya al estándar ISO 22301.
• ISO 22301: Sistemas de Gestión de la Continuidad del
negocio Norma Certificable.
• ISO 22399: Guía para la preparación de incidentes y
gestión de la continuidad operativa.
• ISO 22320: Gestión de emergencias. Requisitos para
la respuesta ante incidentes

Integración con otros Sistemas de
gestión
• Es integrable con otros sistemas de gestión
como ISO 9001, ISO 14001, ISO 27001, ISO
22000, ISO 26000, ISO 20000-1,ISO 31000,….
lo cual facilita y simplifica su gestión e
integración real en la organización y su
Integración con otros Sistemas

ISO 22301. ¿Cómo surge la norma?
ISO-22301 aparece como resultado de una evolución de
lineamientos, buenas prácticas y estándares de continuidad
de negocio:
• NFPA 1600, es el lineamiento más antiguo, de 1995,
estableció una serie de criterios para la gestión de
emergencias, desastres y programas de continuidad para las
empresas.
• En 1997, el Disaster Recovery Institute International (DRII)
publicó las Prácticas Profesionales para la Gestión del
Negocio.
• En 2002, aparecen las Buenas Prácticas para la Continuidad
del Negocio, publicado por el Business Continuity Institute.

• El lineamiento PAS 56 publicado en 2003, establece el
proceso, principios y terminología de un sistema de
continuidad del negocio. Además, desarrolló una serie de
recomendaciones para la anticipación a incidentes y otras de
tipo técnicas para la evaluación.
• En 2006, es publicado el lineamiento BS 25999-1, el cual
describía el ciclo de vida de la continuidad del negocio.
• El estándar BS 25999-2 se publicó en 2007 y fue el primer
estándar internacional auditable y certificable. Su misión era
definir los requisitos para un enfoque de sistemas de gestión
para la continuidad del negocio basado en buenas prácticas.

• También en 2007 se publicó el ISO/PAS 22399, que generó los
lineamientos genéricos para una empresa interesada en
desarrollar un sistema de gestión con criterios para el
desempeño de preparación ante la continuidad operacional y
posibles incidentes.
• En 2008 fueron publicadas ISO/IEC 24762 y BS 25777. La
primera desarrolló guías para la provisión de información y
comunicación ante la recuperación de desastres y la segunda
responde a un código de buenas prácticas sobre la gestión de
la continuidad.

• Ya en el año 2010 se publicó el ASIS/BSI Business
Continuity Management Standard.
• Se trata de un lineamiento basado en BS 25999, y
especifica los requerimientos para un sistema de
gestión de continuidad del negocio.
• En 2011 aparece el PAS 200 Gestión de Crisis –
Lineamiento y Buena Práctica. Es un lineamiento
creado para asistir a las empresas en la toma de
pasos prácticos para mejorar su habilidad de manejar
la crisis.

• IEC 27031, también aparece en 2011, y describe los
conceptos y principios de tecnología de información
y comunicación para preparar a una organización
para la continuidad del negocio.
• Por último el 15 Mayo 2012 El Comité técnico 223
publica la norma ISO22301 Seguridad de la sociedad:
Sistema de Continuidad del Negocio – Requisitos
• Adopta el ciclo PHVA / PDCA, para la planificación,
establecimiento, implementación, operación,
monitoreo, revisión, mantenimiento y la mejora
continua de su efectividad.
• La ISO 22301 ha reemplazado a la 25999-2.

• Comité técnico 223
Alcance:
• (Provisional) Estandarización internacional en el área de
seguridad social, orientada a incrementar la gestión de crisis y
las capacidades de continuidad del negocio, por ejemplo, a
través de interoperabilidad técnica, humana, organizacional y
funcional, así como concientización situacional compartida,
entre todas las partes interesadas.
• El comité utilizará un enfoque de “todos los riesgos”
cubriendo todas las actividades necesarias en las fases clave
de la gestión de crisis y continuidad del negocio.

Objetivo de SGCN/ BCMS
Para la organización, el objetivo de SGCN/ BCMS, es ser capaz
de proporcionar respuestas a las siguientes preguntas:
• Cómo la empresa continuará prestando servicios a sus
clientes ?
• Cómo la empresa continuará la operación?
• Cuanto tiempo una empresa se puede mantener o sobrevivir
durante un desastre (sin la operación) ?
• Cómo minimiza las pérdidas y los impactos?
• Cómo recuperar y volver a la normalidad?
• Cómo lograr una reanudación rentable después de una
interrupción ?
• Cómo responder durante la crisis de forma eficaz ?

¿Cuáles son los beneficios de la
continuidad del negocio?
• Si se implementa correctamente, la gestión de
la continuidad del negocio disminuirá la
posibilidad de ocurrencia de un incidente
disruptivo y, en caso de producirse, la
organización estará preparada para responder
en forma adecuada y, de esa forma, reducir
drásticamente el daño potencial de ese
incidente.

¿Cuáles son los beneficios de la
continuidad del negocio?
Prepara a las organizaciones para hacer frente a las
interrupciones mas importantes y mejorar su
competitividad.
• Reduce las pérdidas económicas potenciales.
• Mejora la protección de activos.
• Mejora el gobierno corporativo.
• Construye confianza en los clientes y partes interesadas.
• Proyecta una buena imagen corporativa
• Asegura a sus socios la continuidad de su bienes y servicios.
• Genera ventaja competitiva por su capacidad para mantener
sus despachos o servicios.
• Mantiene su capacidad para gestionar riesgos.
• Fomenta el trabajo en equipo

Ventajas para los grupos de interés
• Los clientes (y otras partes interesadas como
proveedores o personal interno )se benefician
claramente de la implementación de esta norma en
una compañía:
• Los clientes perciben un servicio continuado y fiable,
• Los proveedores trabajan más cómodamente con la
compañía y en mejores condiciones.
• El personal interno trabaja de forma más eficaz y con
una mayor motivación debido a la comprensión de la
importancia de su contribución individual y tener
claro como actuar ante un incidente alterador.

¿Quién puede implementar esta
norma?
• Cualquier organización, grande o pequeña, con o sin
fines de lucro, privada o pública.
• La norma está concebida de tal forma que es
aplicable a cualquier tamaño o tipo de organización.
• De manufactura o servicio, en cualquier sector de la
industria.
Financiero Mercado de valores Telecomunicaciones
Manufactura Entretenimiento Educación
Hospitalario Retail Consultoría , etc.

10 países con más certificados en
Normas ISO 22301
1. India 1.607
2. Reino Unido 574
3. Japón 226
4. Estados Unidos 165
5. Singapur 157
6. España 120
7. Emiratos Árabes Unidos 98
8. República de Corea 88
9. Polonia 75
10. Turquía 68
informe ISO Survey 2016,

¿Cómo encaja la continuidad del
negocio en la gestión general?
• La continuidad del negocio es parte de la
gestión general del riesgo en una compañía y
tiene áreas superpuestas con la gestión de
seguridad y tecnología de la información.

¿Cómo encaja la continuidad del
negocio en la gestión general?
Gestión
General de la
organización

Relación de la norma ISO 22301 con la
ISO 27001 y la ISO /IEC 20000
• La norma ISO 27001 SG de seguridad de la
información, se encuentra muy ligada y tiene puntos
en común con otras dos normas ISO: la ISO 22301 SG
de continuidad del negocio y la ISO/IEC 20000, SG
de servicios TI (Tecnología de la Información).
• La ISO 22301 trabaja el tema de la seguridad en la
empresa desde una perspectiva mucho más general
y global, tratando de asegurar la continuidad del
negocio, lo cual influye en aspectos tan diversos
como: los activos financieros, la contabilidad, los
aspectos legales y todos los factores ligados con la
producción y la operativa.

• El estándar 22301 se centra en diversos aspectos de
la organización que van a permitir su sustentabilidad,
utilizando para ello ciertos elementos y controles
que van a evitar las consecuencias de las distintas
amenazas, así como también encontrar las causas
que motivan el problema. Un aspecto muy
importante de la norma ISO 22301, que no tiene en
cuenta la 27001, son los tiempos de recuperación,
una cuestión crucial para poder evaluar si nuestro
plan de contingencia es el adecuado para poder
reanudar la actividad niveles aceptables para la
organización, una vez ha ocurrido el incidente.

• Otra noma relacionada es el estándar ISO/IEC 20000,
de Sistema de gestión de la calidad de los servicios TI
(Tecnologías de la Información):
• hosting, páginas web, e-learning, desarrollo de
software. Todo ello va ligado a la continuidad del
negocio y de los servicios de información y, en
conjunto, sirve para garantizar un servicio seguro, sin
interrupciones importantes y de calidad.

Sistema de gestión
Análisis de Riesgos
Plan de tratamiento de
Riesgo
ISO 27001 S G de seguridad de la
información
Seguridad de la información
gestionada

ISO 22301 SG de continuidad del
negocio
• Una de las bases sobre la que se sustenta el SGCN es
el análisis de impactos en el negocio y la evaluación
de riesgos y por lo tanto es fundamental que éste se
haya realizado con el mayor rigor posible y que se
mantenga actualizado de forma sistemática.
• Algunas de las metodologías de análisis y gestión de
riesgos más utilizadas, compatibles con un SGNC ISO
22301, son: CRAMM, EBIOS, MAGERIT, Métodos ISF
ISO 31000 : 2018

negocio
• Para analizar el impacto y gestionar los riesgos es
muy útil su clasificación en dos grandes grupos:
riesgos externos y riesgos internos.
• En el primer grupo se incluyen los riesgos de
entorno de negocio, medioambientales, de
regulación o normativa, y de pérdida imagen o
reputación.
• En el segundo grupo, los riesgos se pueden clasificar
a su vez en riesgos de tipo financieros, de
operaciones, de recursos humanos, de tecnologías
de información y comunicaciones, de gobierno
y dirección, etc.

negocio
• El proceso de análisis de impactos y evaluación de
riesgos supone identificar todos los riesgos
potenciales y realizar una evaluación del impacto
que pueden tener en la consecución de los objetivos,
así como de la probabilidad de ocurrencia.
• El resultado de este proceso, para el cual se deben
utilizar metodologías contrastadas, es el mapa de
riesgos de la organización, que se puede presentar
en forma de tablas o de gráficos, y en el que se
puede visualizar el inventario de riesgos junto con el
nivel de probabilidad y el nivel de impacto de cada
uno de ellos.

negocio
• La respuesta ante incidentes es otro de los aspectos
clave de la norma y en este sentido el nuevo
estándar desarrolla conceptos como:
• Interrupción máxima aceptable o periodo máximo
tolerable de interrupción: cantidad máxima de
tiempo que puede estar interrumpida una actividad
sin incurrir en un daño inaceptable.
• Objetivo de tiempo de recuperación: tiempo
predeterminado que indica cuándo se debe reanudar
una actividad o se deben recuperar recursos.

Sistema de gestión
Análisis del Impacto
en el negocio BIA
negocio
Sistema de gestión
Análisis del Impacto
en el negocio BIA
Planes de
contingencia
Continuidad de negocio
gestionada

Sistema de gestión
Procesos
Servicios
ISO/IEC 20000, SG de servicios TI
Servicios
Servicios
Servicios gestionados

Requisitos Clave
• Liderazgo imprescindible de la alta dirección;
• La consideración del contexto como factor estratégico;
• Promover un enfoque a procesos;
• evaluación, gestión y tratamiento del riesgo, como elemento
clave;
• Acciones para riesgos y oportunidades, como elemento clave;
• Asegurar el cumplimiento de todos los requisitos legales Y
reglamentarios, que son aplicables a la organización,
relacionados con la continuidad de sus operaciones,
productos y servicios; y establecer una periodicidad adecuada
para garantizar la actualización de los mismos;

Requisitos Clave
• Planificar la toma de acciones para abordar el cumplimiento
de los requisitos legales y otros requisitos, los riesgos y
oportunidades, considerando las mejores técnicas disponibles
• La importancia de la gestión de la continuidad del negocio
debe comunicarse dentro de la organización, la toma de
conciencia y compromiso de todas las personas es
imprescindible para que el sistema funcione;
• Proporcionar la formación necesaria para garantizar la
competencia de las personas que realizan tareas relacionadas
con la continuidad del negocio.
• Análisis del impacto en el negocio, identificación de procesos
críticos;
• estrategias de recuperación, planes de recuperación
y realización de pruebas;
• Canales de comunicación.

Anexo SL
• ¿Qué es el Anexo SL?
• El Anexo SL es un documento publicado a finales del
2012, que está teniendo gran impacto en
organizaciones, consultores, organismos de
acreditación, auditores y redactores de normas de
Sistemas de Gestión.
Es la Estructura de Alto Nivel (HSL) publicada por ISO
en el Anexo SL la que facilita la integración entre
Normas Sistemas de Gestión de ISO.

Anexo SL
• el Anexo SL aporta coherencia y compatibilidad
entre los sistemas de gestión, y simplifica en gran
medida posibles duplicidades y confusión en el
proceso de implantación de sistemas de gestión en
base a varias normas en una misma organización.
• El Anexo SL hace que las normas tengan:
1. Una estructura común (estructura de alto nivel
HSL)
2. Parte de su texto idéntico.
3. Definiciones comunes

Anexo SL
• Todas las normas sobre sistema de gestión que se
publiquen o revisen a partir de la publicación del
Anexo SL deben de hacerlo bajo esta guía, para
lograr una estructura uniforme, un marco de
sistemas de gestión genérico, que sea más fácil de
manejar y otorgue un beneficio de negocio a
aquellas empresas que cuentan con varios sistemas
de gestión integrados. Tiene un enfoque sistémico

• Tiene el propósito de alinear las diversas normas de
sistemas de gestión…

…con capítulos idénticos, títulos y texto básico

Ventajas de Anexo SL
• Títulos y cláusulas identificas en la estructura
de alto nivel
• Vocabulario central genérico
• Facilita integración con otros sistemas de
gestión

Cláusula principal Común
X.1 Subcláusula.
Texto idéntico común y/o texto específico de la
disciplina.
X.1.1 Sub-sub-cláusula
Texto idéntico común y/o texto específico de la
disciplina

El Anexo SL Apéndice 2, enumera 22 términos y definiciones.
Dichos términos y definiciones constituyen una parte
integral del "texto común" para las normas de Sistemas
de Gestión.
ISO / 9001: 2014 enumera 69 términos y definiciones
(incluyendo los 22 indicados en el anexo SL).
ISO / 14001: 2014 enumera 33 términos y definiciones.
La fuente de todos los términos y definiciones se indican en
ISO / 9000: 2014.

Anexo SL: Estructura de Alto Nivel
(HSL)
los sistemas de gestión deben ser desarrollados bajo
la metodología de la mejora continua o ciclo de
Deming conocido como círculo PDCA (del inglés plan-
do-check-act, esto es, planificar-hacer-verificar-
actuar) o espiral de mejora continua .

(HSL)

(HSL)
• Al basarse en la Estructura de Alto Nivel (HLS), las
distintas nuevas Normas ISO comparte los textos
centrales y los términos y definiciones con otras
normas de sistemas de gestión ISO revisadas
recientemente, como ISO 9001:2015 e 14001:2015
27001:2013 22000:2018 55001:2014 45001:2018
31000:2018 50001:2018 etc. . Este marco de
referencia está diseñado para facilitar la integración
de nuevos temas de gestión en los sistemas
establecidos en una organización.

(HSL)
• El desarrollo de las normas ISO de Sistema de
Gestión sigue por lo tanto la Estructura de Alto Nivel
(HSL) y cuentan con una estructura de 10 capítulos.
• Los tres primeros 1 a 3 son introductorios, mientras
que los capítulos 4 a 10 incluyen los requisitos que se
especifican para establecer, implementar, mantener
y mejorar el Sistema de Gestión.

Contenido de ISO 22301
Introducción
0.1 General
0.2 El modelo Planificación-Implementación-Verificación-
Mejora (PDCA)
0.3 Componentes de PDCA en esta norma internacional
1 Alcance
2 Referencias normativas
3 Términos y definiciones
4 Contexto de la organización
4.1 Conocimiento de la organización y de su contexto
4.2 Conocimiento de las necesidades y expectativas de las
partes interesadas

4.3 Determinación del alcance del sistema de gestión
4.4 Sistema de gestión de la continuidad del negocio
5 Liderazgo
5.1 General
5.2 Compromiso de la dirección
5.3 Política
5.4 Funciones, responsabilidades y autoridades organizativas
6 Planificación
6.1 Acciones para tratar riesgos y oportunidades
6.2 Objetivos de la continuidad del negocio y planes para
alcanzarlos

7 Apoyo
7.1 Recursos
7.2 Competencia
7.3 Concienciación
7.4 Comunicación
7.5 Información documentada

8 Funcionamiento
8.1 Planificación operativa y control
8.2 Análisis de impactos en el negocio y evaluación de
riesgos
8.3 Estrategia de la continuidad del negocio
8.4 Establecimiento e implementación de
procedimientos de
8.5 Prueba y verificación

9 Evaluación de desempeño
9.1 Supervisión, medición, análisis y evaluación
9.2 Auditoría interna
9.3 Revisión por parte de la dirección
10 Mejora
10.1 No conformidades y acciones correctivas
10.2 Mejora continua
Bibliografía

• 1. Alcance
• Especifica los requisitos para planificar,
establecer, implementar, operar, supervisar,
revisar mantener y mejorar continuamente un
sistema de gestión documentado para
protegerse.

• 1. Alcance
Requisitos genéricos y aplicables a cualquier organización
Para quien desee:
a) Establecer, implementar, mantener y mejorar un SGCN BCMS
b) Garantizar la conformidad con la política establecida de la
Continuidad de Negocio
c) Demostrar la conformidad con otras partes interesadas
d) Buscar la certificación / Registro de su BCMS por un
organismo acreditado de certificación de terceros,
e) Hacer una auto-determinación y auto-declaración de
conformidad con esta norma.

• 2. Referencias normativas No hay referencias
normativas.
• 3. Términos y Definiciones.

Términos básicos
• Actividad Proceso o conjunto de procesos
realizados por una organización (o en su
nombre) que produce o soporta uno o mas
productos y servicios.
• Continuidad del negocio Capacidad de la
organización para continuar con la entrega de
productos o servicios a los niveles
predefinidos aceptables después de un evento
perjudicial.

Términos básicos
• Gestión de la continuidad del negocio Proceso de
gestión integral que identifica las amenazas
potenciales para la organización y los impactos que
dichas amenazas podrían causar a las operaciones
del negocio en caso de materializarse, las cuales
proporcionan un marco para la construcción de la
resiliencia de la organización con la capacidad de una
respuesta efectiva que salvaguarde los intereses de
sus grupos de interés clave, su reputación, marca
y las actividades que crean valor

Términos básicos
• Sistema de gestión de la continuidad del negocio
(SGCN): Parte del sistema de gestión que establece,
implementa, opera, supervisa, revisa, mantiene y
mejora la continuidad del negocio.
Nota: el sistema de gestión incluye la estructura organizativa, las políticas,
actividades de planificación, responsabilidades, procedimientos, procesos
y recursos.

Términos básicos
• Resiliencia Capacidad de una organización
para resistir los efectos de un incidente
Latín - resilire, recuperarse, retroceder o volver a la original
Inglés (siglo 17)– resilience, calidad de las maderas para
soportar cargas severas sin romperse
Física – objetos que resisten los efectos de fuerzas externas
Química - capacidad de un metal para regresar a su estado
original
Ingeniería - medida de la capacidad de un material para resistir
el impacto, así como para absorber y liberar energía a través
de la elasticidad

Como actúa la Resiliencia en las organizaciones y en la
sociedad.
“En los últimos doce meses, 81% de directores que han
implementado Gestión de Continuidad del Negocio
están de acuerdo en que se han reducido
exitosamente sus interrupciones y el costo ha valido
la pena por los beneficios a la organización”.
Fuente: “Planning for the worst” – CMI Business Continuity Management
Survey, March 2012

Términos básicos
Plan de continuidad del negocio (BCP)
• Procedimientos documentados que guían a las
organizaciones para responder, recuperar,
reanudar y restaurar a un nivel pre-definido
de operación debido a la interrupción.
Nota: Típicamente, esto incluye los recursos, servicios y
actividades necesarios para garantizar la continuidad de las
funciones criticas del negocio.

Términos básicos
Programa Gestión de continuidad del negocio
• Proceso continuo de gestión y la
gobernabilidad con el apoyo de la alta
dirección y los recursos adecuados para
implementar y mantener la gestión de la
Continuidad de Negocio

Términos básicos
Evento
• Ocurrencia o cambio de un conjunto
particular de circunstancias.
Nota 1. Un evento puede ser una o mas ocurrencias, y puede
tener varias causas
Nota 2. Un evento puede ser algo no ocurrido
Nota 3. Un evento puede ser algunas veces referido como un
“incidente” o “accidente”
Nota 4. Un evento sin consecuencias también puede ser
referido como “casi falla”, “incidente”, “casi golpe”, “close
call

Términos básicos
Evaluación de Riesgos Proceso general de
identificación, análisis y evaluación de riesgos
Incidente Situación que puede ser o derivar en una
interrupción, pérdida, emergencia o crisis
Pruebas Procedimiento para evaluar.
(En nuestro caso los arreglos de continuidad).
Ejercicio Proceso para entrenar, evaluar, practicar, y
mejorar el desempeño de una organización.

Términos básicos
• Interrupción máxima aceptable (MAO):
• El tiempo que tomaría para que los efecto adversos
que pudieran ocurrir como resultado de no
proporcionar un producto / servicio o realizar una
actividad, se convierta en inaceptable (también
Período máximo tolerable de interrupción [MTPD]).

Términos básicos
Apetito de Riesgo
• Es el nivel y tipo de riesgo que la organización
está dispuesta a asumir

Términos básicos
Análisis del impacto al negocio (BIA)
Procesos del análisis de actividades y el efecto
que una interrupción del negocio podría tener
sobre ellas.

Términos básicos
• Objetivo de tiempo de recuperación (RTO) : tiempo
predeterminado que indica cuándo se debe reanudar
una actividad o se deben recuperar recursos.
– El producto o servicio debe ser reanudado
– La actividad debe reanudarse
– Los recursos deben ser recuperados

Términos básicos
• Objetivo de punto de recuperación (RPO): Punto en
el cual la información usada por una actividad debe
ser restaurada para permitir la reanudación de la
operación
Nota: También se puede denominar como “Pérdida de datos máxima”
pérdida máxima de datos; es decir, la cantidad mínima de datos que necesita
ser restablecida.
• Objetivo mínimo para la continuidad del negocio
(MBCO): nivel mínimo de servicios o productos que
necesita suministrar o producir una organización una
vez que restablece sus operaciones comerciales.

Ciclo Deming del SGCN
El modelo Planificación Implementación-
Verificación-Mejora (PDCA)

• A continuación se muestran los pasos clave
para implantar de manera exitosa un SGCN,
siguiendo el conocido ciclo de mejora
continua (PDCA) aplicable en esta Norma
internacional ISO 22301

Establecer el BCMS
Definir el contexto del BCMS que se aplica a la organización.
Definir las necesidades, requisitos y alcance del BCMS
El papel específico de la alta dirección en el BCMS
Definición de los objetivos y los principios que rigen el BCMS
Definir el Análisis del Impacto del Negocio (BIA)
Determinación de competencias
Establecimiento de las comunicaciones
Documentación del BCMS
Implementar y Operar el BCMS
Definido los requisitos de BCMS, la forma de abordarlos por la
organización.
Desarrollo los procedimientos para administrar un incidente
perjudicial
Medir el rendimiento del BCMS
El cumplimiento con la norma del BCMS
Retroalimentación del sistema respecto a sus expectativas
Se identifica y actúa sobre las no conformidades del BCMS
a través de una acción correctiva
PLAN
DO
CHECK
ACT
Componentes de PDCA en esta Norma internacional ISO 22301

Establecer el BCMS
Definir el contexto del BCMS que se aplica a la organización.
Definir las necesidades, requisitos y alcance del BCMS
El papel específico de la alta dirección en el BCMS
Definición de los objetivos y los principios que rigen el BCMS
Definir el Análisis del Impacto del Negocio (BIA)
Determinación de competencias
Establecimiento de las comunicaciones
Documentación del BCMS
Análisis del Impacto al
Negocio:
•Evaluación de riesgos
•Tratamientos
Medir el rendimiento del BCMS
El cumplimiento con la norma del BCMS
Retroalimentación del sistema respecto a sus expectativas
Se identifica y actúa sobre las no conformidades del BCMS
a través de una acción correctiva
PLAN
DO
CHECK
ACT
Componentes de PDCA en esta Norma internacional ISO 22301
Estrategia de
continuidad
del negocio:
•Prioridades
•Recursos
•Protección y mitigación
Procedimientos
de continuidad del
negocio:
•Estructura de
respuesta a incidentes
•Advertencia y
comunicaciones
•Planes de BC
•Recuperación
Ejercicios y Pruebas:
•Metas y objetivos
•Minimizar riesgo
•Reporte y acciones

• 4 Contexto de la organización
4.1. Comprensión de la organización y su contexto
• La organización debe determinar cuáles son las
cuestiones externos e internos que son relevantes
para su propósito y que afecta a su capacidad para
conseguir el resultado deseado.
• Estas cuestiones se tendrán en cuenta para el
establecimiento, implementación y mantenimiento y
mejora del Sistema de Gestión de Continuidad de
Negocio de la organización.

• La organización debe identificar y documentar lo siguiente:
• a) Actividades de la organización, funciones, servicios,
productos, asociaciones, cadenas de suministro, relaciones
con partes interesadas y el impacto potencial relacionado
con un incidente perturbador.
b) Las relaciones entre la política de continuidad de negocio y
objetivos de la empresa y de otras políticas, incluyendo su
estrategia general de gestión de riesgos.
c) El apetito del riesgo de la organización

• Al establecer el contexto, la empresa debe:
• a) Articular sus objetivos, entre ellos los relacionados
con la continuidad del negocio.
b) Definir los factores externos e internos que crean
la incertidumbre que da lugar a riesgo.
c) Criterios de riesgo establecido, teniendo en
cuenta el nivel de riesgo.
d) Definir el propósito del Sistema de Gestión de
Continuidad de Negocio.

4.2. Comprensión de las necesidades y expectativas de
las partes interesadas
4.2.1 Generalidades
Al establecer el Sistema de Gestión de Continuidad de
Negocio, la empresa debe determinar:
a) Las partes interesadas que son relevantes para el
Sistema de Gestión de Continuidad de Negocio.
b) Los requisitos de estas partes interesadas.

4.2. Comprensión de las necesidades y expectativas de las
partes interesadas
4.2.2 Los requisitos legales y reglamentarios
La organización debe establecer, implementar y mantener un
procedimiento para identificar, tener acceso y evaluar los
requisitos legales y reglamentarios aplicables a las que la
empresa suscriba relacionados con la continuidad de las
operaciones, productos y servicios, además de los intereses
de las partes interesadas pertinentes.
La organización debe asegurarse de que se aplican los requisitos
legales, reglamentarios y de otro tipo a los que la
organización se tenga en cuenta en el establecimiento,
implementación y mantenimiento de su Sistema de
Gestión de Continuidad de Negocio. Debe documentar
esta información y mantenerla actualizada.

4.3. Determinación del alcance del sistema de gestión de la
4.3.1 Consideraciones generales
La organización tiene que determinar los límites y la
aplicabilidad del Sistema de Gestión de Continuidad de
Negocio para establecer su alcance.
Con la determinación de este alcance, la organización debe
considerar:
a) Las cuestiones externas e internas se hace referencia en 4.1
b) Los requisitos mencionados en el punto 4.2
El alcance deberá estar disponible como información
documentada.

4.3. Determinación del alcance del sistema de gestión de la
4.3.2 Alcance de los Sistema de Gestión de Continuidad de
Negocio
La organización debe:
a) Establecer las partes de la organización para que se incluya en el Sistema
de Gestión de Continuidad de Negocio.
b) Establecer los requisitos del Sistema de Gestión de Continuidad de
Negocio, tiendo en cuenta la misión de la organización, los objetivos.
c) Identificar los productos y servicios y todas las actividades relacionadas
en el ámbito del Sistema de Gestión de Continuidad de Negocio.
d) Tener en cuenta las necesidades e intereses de partes interesadas, como
pueden ser clientes, inversores, accionistas, la cadena de suministro, la
opinión del público y la comunidad.
e) Definir el alcance del Sistema de Gestión de Continuidad de Negocio.

4.3. Determinación del alcance del sistema de gestión
de la continuidad del negocio
• 4.4. Sistema de gestión de la continuidad de
negocio
• La organización debe establecer, implementar,
mantener y mejorar continuamente un Sistema de
Gestión de Continuidad de Negocio, incluyendo los
procesos necesarios y sus interacciones, de
conformidad con los requisitos de la norma ISO
22301.

5 Liderazgo
5.1. Liderazgo y compromiso
Las personas de la alta dirección y otras funciones de
gestión correspondiente en toda la organización
deben demostrar el liderazgo con respecto al
El liderazgo y el compromiso pueden ser mostrados por
las personas para contribuir a la eficiencia del

5 Liderazgo
5.2. Compromiso de la dirección
La alta dirección debe demostrar su liderazgo y compromiso con
respecto al Sistema de Gestión de Continuidad de Negocio:
• Asegurando que se establecen las políticas y los objetivos
para el Sistema de Gestión de Continuidad de Negocio y son
compatibles con la dirección estratégica de la organización.
• Garantizar la integración de los requisitos del Sistema de
Gestión de Continuidad de Negocio en la organización.
• Garantizar que los recursos necesarios para el Sistema de
Gestión de Continuidad de Negocio se encuentren
disponibles.

5 Liderazgo
5.2. Compromiso de la dirección
• Comunicar la importancia de la gestión de continuidad de
negocio eficiente y conforme al Sistema de Gestión de
• Garantizar que el Sistema de Gestión de Continuidad de
Negocio consigue los resultados deseados.
• Apoyando a las personas a contribuir a la eficiencia del
• La promoción de la mejora continua.
• El apoyo a otras funciones de gestión pertinentes para
demostrar su liderazgo y compromiso.

5 Liderazgo
• 5.3. Política
La alta dirección debe establecer una política de
continuidad de negocio que:
a) Es apropiado para el propósito de la empresa.
b) Proporciona un marco para establecer objetivos de
continuidad de negocio.
c) Incluye el compromiso de cumplir con los requisitos
aplicables.
d) Incluye un compromiso de mejora continua del

5 Liderazgo
5.3. Política
La política del Sistema de Gestión de Continuidad de
Negocio debe:
• a) Estar disponible como información documentada.
b) Ser comunicadas dentro de la empresa.
c) Estar a disposición de las partes interesadas.
d) Ser revisada para su continua adecuación a
intervalos definidos o cuando se produzca cambios
significativos.
• La empresa conservará información documentada
sobre la política de continuidad de negocio.

Valores
Objetivos
estrategia Objetivos
de continuidad
Del negocio
Política corporativa
Política de continuidad
Del negocio
Alineamiento
estratégico
MIsion

5 Liderazgo
5.4. Roles organizacionales, responsabilidades y autoridades
• La alta dirección debe asegurarse de que las
responsabilidades y autoridades para las funciones
pertinentes y se asignan y son comunicadas dentro de la
organización.
• La alta dirección debe asignar la responsabilidad y la
autoridad para:
a) Garantizar que el Sistema de Gestión de Continuidad de
Negocio se ajusta a los requisitos de la norma ISO 22301.
b) Informar sobre el desempeño del Sistema de Gestión
de Continuidad de Negocio a la alta dirección.

6. Planificación
6.1. Acciones para abordar los riesgos y oportunidades
• Cuando se planifica el Sistema de Gestión de Continuidad de
Negocio se debe considerar todas las cuestiones que se
mencionan en el apartado 4.1 y los requisitos que hacen
referencia en el apartado 4.2 y determinar los riesgos y las
oportunidades que necesitan ser abordados en cuanto:
a) Asegurar que el sistema de gestión puede conseguir el
resultado estimado.
b) Prevenir, o reducir, todos los efectos no deseados
c) Conseguir la mejora continua.

6. Planificación
6.1. Acciones para abordar los riesgos y oportunidades
La empresa debe planificar:
a) Acciones para abordar todos los riesgos y las
oportunidades.
b) La manera de integrar e implementar todas las
acciones de los procesos en el Sistema de Gestión
de Continuidad del Negocio y de evaluar la eficacia
de las acciones.

6. Planificación
6.2. Objetivos y planes para alcanzarlos continuidad del
negocio
• La alta dirección debe asegurarse de que los objetivos de
continuidad de negocio se establecen y comunican en cuanto
a las funciones y niveles relevantes para la organización:
• Los objetivos de continuidad de negocio deben:
a) Ser coherente con la política de continuidad de negocio.
b) Tener en cuenta el nivel mínimo de productos y servicios que
es aceptable para que la organización consiga sus objetivos.
c) Ser mensurables.
d) Tener en cuenta los requisitos que pueden ser aplicables.
e) El seguimiento y actualización, según proceda.
• La empresa deberá conservar la información documentada
sobre los objetivos de continuidad de negocio.

6. Planificación
6.2. Objetivos y planes para alcanzarlos continuidad del
negocio
• Para conseguir los objetivos de la continuidad de negocio, la
organización debe determinar los siguientes parámetros:
• Quién será el responsable.
• Lo que se debe hacer.
• Los recursos necesarios.
• Cuando se ha completado.
• Cómo se deben evaluar los resultados.

7 Apoyo
7.1. Recursos
• La organización tiene que determinar y proporcionar
todos los recursos necesarios para el
establecimiento, implantación, mantenimiento y
mejora continua del Sistema de Gestión de
Continuación de Negocio.

7 Apoyo
7.2. Competencia
La organización debe:
a) Determinar la competencia necesaria de las personas que
hace el trabajo bajo su control y que afecta a su
rendimiento.
b) Garantizar que dichas personas son competentes en la base
de la educación, la capacitación y experiencia.
c) Tomar decisiones para adquirir la competencia necesaria, y
evaluar la eficacia de las acciones llevada a cabo.
d) Retener la información adecuada y documentada como
evidencia de la competencia.

7 Apoyo
• 7.3. Toma de conciencia
• Las personas que realizan un trabajo bajo el control de la
organización debe ser consciente de:
a) La política de continuidad de negocio.
b) La contribución a la eficacia del Sistema de Gestión de
Continuidad de Negocio, incluyendo a los beneficios de una
mejor continuidad del negocio según los resultados de la
gestión.
c) Las consecuencias de que no cumplan con los requisitos del
d) El papel durante los incidentes perturbadores.

7 Apoyo
7.4. Comunicación
• La empresa debe determinar todas las necesidades
de comunicación interna y externa relevante para el
Sistema de Gestión de Continuidad de Negocio
incluyendo:
a) que se comunicará.
b)Cuando comunicarse.
c) Con quien comunicarse.

7 Apoyo
7.4. Comunicación
La empresa debe establecer, implantar y mantener un procedimiento para:
• La comunicación interna entre las partes interesadas y los empleados
dentro de la empresa.
• La comunicación externa con los clientes, las entidades asociadas, la
comunidad local y otras partes interesadas.
• Recibir, documentar y responder a las comunicaciones de las partes
interesadas.
• Adaptar e integrar un sistema nacional o regional que necesita
asesoramiento o equivalente a la planificación del uso operativo.
• Garantizar la disponibilidad de los medios de comunicaciones durante un
incidente perturbador.
• Facilitar la comunicación estructurada con las autoridades pertinentes y
garantizar que las organizaciones respondan satisfactoriamente.
• Utilizar los controles de las capacidades de comunicación destinados a ser
utilizados durante la interrupción de la normalidad.

7 Apoyo
• 7.5. Información documentada
• 7.5.1. Generalidades
• El Sistema de Gestión de Continuidad de Negocio de
la empresa incluirá:
• Documentar la información requerida por la norma
ISO 22301.
• La información documentada determinada por la
empresa como necesaria para la efectividad del

7 Apoyo
• 7.5.2. Creación y actualización
Al crear y actualizar la información documentada, la
empresa debe asegurarse de:
a) Identificar y describir
b) El formato y los medios de comunicación
c) Revisar y aprobar la idoneidad o adecuación

7 Apoyo
• 7.5.3. Control de la información documentada
• La información documentada requerida por el
Sistema de Gestión de Continuidad del Negocio y por
la norma, se debe controlar para garantizar:
a) Está disponible y adecuado para su uso, donde y
cuando se necesita.
b)Está protegido de forma adecuada.

7 Apoyo
Para el control de la información documentada, la organización
debe responder a las siguientes actividades, según sea el
caso:
• Distribución, acceso, recuperación y utilización.
• Almacenamiento y conservación, incluyendo la preservación
de la legibilidad.
• El control de cambios.
• Retención y disposición
• Recuperación y utilización
• Conservación de la legibilidad
• Prevención de la utilización no intencionada de la
información obsoleta

7 Apoyo
• La información documentada de origen externo es
determinada por la organización como necearía para
la planificación y el funcionamiento del Sistema de
Gestión de Continuidad de Negocio que era
identificado, según proceda y se controle.

8. Operación
8.1. Planificación y control operacional
La organización debe planificar, ejecutar y controlar todos los
procesos necesarios para cumplir con los requisitos, y para
implantar las acciones determinadas en el apartado 6.1, por:
a) Establecer criterios para los procesos
b) La aplicación de control de los procesos de acuerdo con los
criterios
c) Mantener la información documentada en la medida
necesaria para tener confianza en los procesos que se
encontraban previstos
La organización debe controlar los cambios planificados y revisar
las consecuencias de los cambios no deseados, poniendo
medidas para mitigar los efectos adversos, según sea
necesario. La organización se debe asegurar de que los
procesos externalizados son controlados.

8. Operación
• 8.2. Negocios y evaluación de riesgos
• 8.2.1 General
• La organización debe establecer, implantar y mantener un proceso
formal y documentado en cuanto al análisis de impacto y evaluación de
riesgos que:
a) Establece el marco de la evaluación, definir criterios y evalúa el impacto
potencial de un incidente perturbador.
b) Toma una consideración legal y otros requisitos que la empresa suscriba.
c) Incluye el análisis sistemático, la priorización de los tratamientos de
riesgo y sus costos relacionados.
d) Define la salida requerida del análisis de impacto de negocio y evaluación
de riesgos.
e) Especifica todos los requisitos para que esta información se
mantenga actualizada y confidencial.

Análisis del impacto
en el negocio
Evaluacion
de riesgos
Proceso
de Identificacion
Analisis
Evaluacion
de riesgos
Proceso
de
Analisis
de las
funciones
del negocio
y efecto
que las
Interrupciones
pueden
tener sobre ellas

8. Operación
• 8.2.2 Análisis de impacto en el negocio
• La empresa debe establecer, implantar y mantener
un proceso formal y documentado para la
evaluación y la determinación de la continuidad y
recuperación de prioridades, objetivos y metas.
• El proceso debe incluir la evaluación de los impactos
de interrumpir a las actividades que apoyan los
productos y servicios de la empresa.

8. Operación
• 8.2.2 Análisis de impacto en el negocio
• El análisis de impacto en el negocio debe incluir lo siguiente:
a) Identificar todas las actividades que apoyan la provisión de
productos y servicios.
b) Evaluar los impactos en el tiempo de no realizar estas
actividades.
c) El establecimiento de plazos priorizadas para la
reanudación de estas actividades a un nivel aceptable
mínimo especificado.
d) La identificación de las dependencias y recursos de apoyo
para estas actividades, incluyendo proveedores, externalizar
socios y otras partes interesadas.

8. Operación
• 8.2.3 Evaluación de riesgos
un proceso formal de evaluación de riesgos
documentado que sistemáticamente identifica,
analiza y evalúa el riesgo de incidentes
perturbadores de la empresa.

8. Operación
• 8.3. Estrategia de continuidad del negocio
• 8.3.1 Determinación y selección
• La determinación y selección de la estrategia se basarán en los
resultados del análisis de impacto en el negocio y evaluación de riesgos.
• La organización debe determinar una estrategia de continuidad de
negocio apropiado para:
• a) La protección de actividades priorizadas
b) La estabilización, reanulación y recuperación actividades priorizadas
en las dependencias y apoyar los recursos
c) La mitigación y la gestión de impactos
• La determinación de la estrategia deberá incluir la aprobación de los
marcos de tiempo priorizados para la reanudación de las actividades.
• La empresa llevará a cabo evaluaciones de las capacidades de
continuidad de negocio de los proveedores.

8. Operación
8.3. Estrategia de continuidad del negocio
• 8.3.2 Establecimiento de los requerimientos de recursos
• La empresa debe determinar las necesidades de recursos
para implantar las estrategias seleccionadas. Los tipos de
recursos considerados deberán incluir, pero no se limitan :
a) Información y datos
b) Medio ambiente, trabajador y servicios asociados
c) Tecnología de la información y la comunicación TIC
d) Transporte
e) Finanzas
f) Los socios y proveedores

8. Operación
8.3. Estrategia de continuidad del negocio
• 8.3.3 Protección y mitigación
• Para los riesgos identificados que requiere tratamiento, la
organización debe considerar las siguientes medidas:
• a) Reducir la probabilidad de interrupción
b) Acortar el período de interrupción
c) Limitar el impacto de las perturbaciones sobre los
productos y servicios clave de la empresa
• La organización debe elegir y aplicar los tratamientos
adecuados de riesgos.

• 8. Operación
• 8.4. Establecer e implementar procedimientos de
continuidad de negocio
• 8.4.1 General
procedimientos de continuidad de negocio para gestionar un
incidente y continuar sus actividades en base a los objetivos
de recuperación que se identifica en el análisis de impacto
de negocio.
• La empresa debe documentar todos los procedimientos para
asegurar la continuidad de actividades y gestión de un
incidente perturbador. Es necesario continuar con las
actividades en base a los objetivos de recuperación
identificadas en el análisis de impacto en el negocio.

• 8. Operación
• 8.4. Establecer e implementar procedimientos de continuidad de
negocio
• 8.4.1 General
• Los procedimientos deben:
a) Establecer un protocolo de comunicaciones internas y
externas apropiado.
b) Ser específicos con respecto a las medidas inmediatas que
han de ser tomadas durante la interrupción.
c) Responder a las amenazas imprevistas y cambiantes en
condiciones internas y externas.
d) Se centran en el impacto de los eventos que pueden
interrumpir las operaciones.
e) Ser desarrollados sobre la base de suposiciones indicadas y
un análisis de interdependencias.
f) Ser eficaz en la reducción de sus consecuencias mediante la
implantación de estrategias de mitigación apropiadas.

negocio
• 8.4.2 Estructura de respuesta de incidentes
• La organización debe establecer, documentar e implantar los
procedimientos y una estructura de gestión que debe responder a un
incidente perturbador utilizando personal con responsabilidad
necesaria, autoridad y competencia para gestionar un incidente.
La estructura de respuesta deberá:
a) Identificar los umbrales de los efectos que justifican la iniciación de la
repuesta formal
b) Evaluar la naturaleza y extensión de un incidente perjudicial y su
impacto potencial
c) Activar una repuesta de continuidad de negocio apropiado
d) Tienen procesos y procedimientos para la activación, el
funcionamiento, la coordinación y la comunicación de la repuesta
e) Tienen recursos disponibles para apoyar los procesos y procedimientos
para gestionar un incidente perturbador para reducir al mínimo el
impacto
f) Comunicarse con las partes interesadas y las autoridades, así como los
medios de comunicación

• 8. Operación
• 8.4.2 Estructura de respuesta de incidentes
• La organización debe decidir, utilizando la seguridad
de la vida como la primera prioridad y consulta con
los interesados. Si la decisión es comunicar a
continuación, la empresa debe establecer e
implantar procedimientos para la comunicación
externa, las alertas y advertencias, incluyendo los
medios de comunicación, según corresponda.

• 8. Operación
negocio
• 8.4.3 Advertencia y la comunicación
• La organización debe establecer, implantar y mantener procedimientos
para:
a) La detección de un incidente
b) Seguimiento regular de un incidente
c) Comunicación interna dentro de la empresa y de recepción de
documentos
d) Recibir, documentar y responder a cualquier sistema nacional o
regional de consultoría de riesgo o equivalente
e) Asegurando la disponibilidad de los medios de comunicación durante
un incidente perturbador
f) Facilitar la comunicación estructurada con los servicios de emergencia
g) Registrar la información vital sobre el incidente, las medidas adoptadas
y las decisiones tomadas

• 8. Operación
• 8.4.4 Planes de continuidad de negocio
• La organización debe establecer procedimientos
documentados para responder un incidente
perturbador y cómo recuperar las actividades
dentro de un marco de tiempo predeterminado.
• Los procedimientos deben dirigirse a los requisitos
en los que se van a utilizar.

negocio
Los planes de continuidad de negocio se harán colectivamente:
a) Funciones y responsabilidades definidas para las personas y equipos que
tienen autoridad durante y después de un incidente
b) Un proceso para la activación de la respuesta
c) Datos para gestionar las consecuencias inmediatas de un incidente
perturbador teniendo en cuenta el bienestar de los individuos, las
opciones estratégicas, y la prevención de la pérdida de actividades
priorizadas
d) Información sobre cómo y bajo qué circunstancias de la empresa se
comunicará con los empleados y sus parientes.
e) Las organización debe recuperar sus actividades priorizadas dentro de los
plazos predeterminados
f) Los datos de respuesta en los medios de la empresa después de un
incidente incluyendo la estrategia de comunicación, el interfaz y la guía o
plantilla para los medios de comunicación
g) Un procedimiento a realizar cuando el incidente haya terminado

• 8. Operación
Cada plan define:
• Propósito y alcance
• Objetivos
• Criterios y procedimientos de activación
• Procedimientos de aplicación
• Funciones, responsabilidades y autoridades
• Requisitos y procedimientos de comunicación
• Interdependencias e interacciones internas y externas
• Las necesidades de recursos
• Procesos de información y documentación

• 8. Operación
• 8.4.5 Recuperación
• La organización debe tener procedimientos
documentados para restaurar y devolver estas
actividades sobre las medidas adoptadas para
apoyar los requisitos del negocio después de un
incidente.

8. Operación
8.4. Establecer e implementar
procedimientos de continuidad
de negocio

8. Operación
8.4. Establecer e implementar procedimientos de

• 8. Operación
• 8.5. El ejercicio y las pruebas
• La organización debe ejercer y poner a prueba sus
procedimientos de continuidad de negocio para
asegurar que sean compatibles con sus objetivos de
continuidad de negocio.

• 8. Operación
• 8.5. El ejercicio y las pruebas
La organización debe llevar a cabo ejercicios y pruebas que:
a) Son consistentes con el alcance y objetivos del Sistema de Gestión de
Continuidad del Negocio
b) Se basan en escenarios apropiados que son bien planteadas con fines
y objetivos claramente definidos
c) En conjunto con el tiempo validar el conjunto de sus mecanismos de
d) Minimizar el riesgo de interrupción de las operaciones
e) Producir informes formalizados después del ejercicio que contienen
resultados, las recomendaciones y acciones a implantar mejoras
f) Son revisados en el contexto de la promoción de la mejora continua
g) Se llevan a cabo a intervalos planificados y cuando hay cambios
significativos dentro de la empresa o el ambiente en el que opera

• 9.1. La medición, análisis y evaluación
• 9.1.1. General
• La organización debe determinar:
a) Lo que necesita ser monitoreado y medido
b) Los métodos para el seguimiento, la medición, análisis y evaluación
c) Cuando se llevará a cabo el seguimiento y la medición
d) Cuando se analizaron y evaluaron los resultados de seguimiento y
medición
• La empresa debe conservar la información adecuada y documentada
como evidencia de los resultados. La empresa debe evaluar el
rendimiento y la eficacia del Sistema de Gestión de Continuidad del
Negocio.

• 9.1.1. General
• Además, la organización debe:
• Emprender acciones cuando sea necesario para
hacer frente a las tendencias adversas o resultados
antes de que suceda una no conformidad
• Conservar información relevante como evidencia
documentada de los resultados

• 9.1.1. General
Los procedimientos para la supervisión del rendimiento deberán
prever:
• La determinación de los parámetros de rendimiento adecuado a las
necesidades de la organización
• Supervisar el grado en que se cumplen los objetivos y metas de la
política de continuidad de negocio de la empresa
• El rendimiento de los procesos, procedimientos y funciones que
protegen sus actividades priorizadas
• Supervisión del cumplimiento de la norma ISO 22301 y los objetivos de
la continuidad del negocio
• El seguimiento de la evidencia histórica de rendimiento deficiente
• Registro de los datos y resultados de seguimiento y medición para
facilitar las acciones correctivas

• 9.1.2. Evaluación de los procedimientos de continuidad de
negocio
a) La organización debe llevar a cabo evaluaciones de sus
procedimientos de continuidad de negocio
b) Estas evaluaciones se llevan a cabo mediante las revisiones
periódicas, el ejercicio, las pruebas, los informes y las
evaluaciones de desempeño
c) La empresa debe evaluar de forma periódica el
cumplimento de los requisitos legales y la reglamentación
aplicable
d) La empresa debe llevar a cabo evaluaciones a intervalos
planificados cuando se produzcan cambios significativos

• 9.1.2. Evaluación de los procedimientos de
• Cuando se produce un incidente perjudicial y resulta
en la activación de sus procesos de continuidad de
negocio. La empresa debe realizar una revisión
posterior al incidente y registrar los resultados.

• 9.2. La auditoría interna
• La empresa debe llevar a cabo auditorías internas a
intervalos planificados para proporcionar
información sobre si el Sistema de Gestión de la
Continuidad de Negocio:
a) Cumple con todos los propios de la empresa para
su Sistema de Gestión de la Continuidad de Negocio
y requisitos de la norma ISO 22301
b) Se aplican y mantienen de forma efectiva

La empresa debe:
• Planificar, establecer, implantar y mantener programa de auditoría,
incluyendo la frecuencia, métodos, responsabilidades, requisitos de
planificación y presentación de informes. El programa de auditoría deberá
tener en cuenta la importancia de los procesos en cuestión de los
resultado de la auditoría anterior
• Definir los criterios de auditoría y el alcance de cada auditoría
• Servicios de auditores y auditorías de conducta para asegurar la
objetividad y la imparcialidad del proceso de auditoría
• Garantizar los resultados de las auditorías se reportan a la
administración correspondiente
• Conservar la información documentada como evidencia de la
ejecución del programa de auditoría y los resultados de la auditoría.

• El programa de auditoría, incluyendo la planificación, se
basará en los resultados de las evaluaciones de riesgo. Las
actividades de organización, así como los resultados de
auditorías previas. Los procedimientos de auditoría deben
cubrir el alcance, frecuencia, metodología y competencia, así
como las responsabilidades y requisitos para realizar la
auditoría e informar los resultados.
• La dirección responsable del área que se está siendo auditada
debe asegurarse de todas las correcciones necesarias y se
adopten medidas correctivas sin demora injustificada para
eliminar las no conformidades detectadas y sus causas.
• Las actividades de seguimiento deben incluir la verificación de
las acciones tomadas y el informe de los resultados de la
verificación

• 9.3. Revisión por la dirección
• La alta dirección debe revisar el Sistema de Gestión de
Continuidad de Negocio de la empresa, a intervalos
planificados, para asegurarse de su conveniencia, adecuación
y eficacia.
La revisión por la dirección debe incluir la consideración de:
a) El estado de las acciones de anteriores revisiones por la dirección.
b) Los cambios en cuestionar externas e internas que son relevantes para
el Sistema de Gestión de Continuidad de Negocio.
c) Información sobre el rendimiento de la continuidad del negocio,
incluyendo las tendencias en cuanto a las no conformidades y acciones
correctivas, resultados de seguimiento y medición de evaluación, además
de los resultados de auditoría.
d) Oportunidades para la mejora continua.

• La revisión por la dirección debe tener en cuenta el
rendimiento de la empresa, incluyendo:
• Las acciones de seguimiento de revisiones por la dirección
previas.
• Las necesidades de cambios en el Sistema de Gestión de
Continuidad de Negocio, incluyendo la política y los objetivos.
• Oportunidades para mejorar.
• Los resultados de las auditorías del Sistema de Gestión de
• Las técnicas, productos o procedimientos que pueden ser
utilizados en la empresa para mejorar el Sistema de Gestión
de Continuidad de Negocio.

• La revisión por la dirección debe tener en cuenta el
rendimiento de la empresa, incluyendo:
• Estado de acciones correctivas.
• Los resultados de las pruebas de ejercicio.
• Riegos o problemas que no se abordan de forma adecuada
en cualquier evaluación de riesgo conocido.
• Cualquier cambio que pueda afectar al Sistema de Gestión
de Continuidad de Negocio, ya sea interno o externo.
• La adecuación de la política.
• Recomendaciones para la mejora.
• Lecciones aprendidas y acciones derivadas de incidente
perturbadores.
• Buenas prácticas emergentes y orientación.

• Las salidas de la revisión por la dirección deben incluir decisiones que
están relacionadas con las oportunidades de mejora continua y la posible
necesidad de cambios en el Sistema de Gestión de Continuidad de
Negocio, e incluyen los siguientes:
• a) Las variaciones en el alcance del Sistema de Gestión de Continuidad de
Negocio.
b) La mejora de la eficacia del Sistema de Gestión de Continuidad de
Negocio.
c) La actualización de la evaluación de riesgos, análisis de impacto de
negocio, planes de continuidad de negocio y procedimientos
relacionados.
d) La modificación de todos los procedimientos y controles para
responder a eventos internos o externos que puedan impactar en el
Sistema de Gestión de Continuidad de Negocio. Se deben incluir los
requisitos de negocio, la reducción de riesgos, las condiciones de
funcionamiento, los requisitos legales, las obligaciones, los niveles de
riesgo, las necesidades de recursos y las necesidades de financiación.
e) Cómo se mide la eficacia de los controles

• La organización conservará información
documentada como evidencia de los resultados de
las revisiones por la dirección.
• La organización debe:
• • Comunicar todos los resultados del examen de la
gestión a las partes interesadas.
• Tomar las medidas apropiadas en relación con los
resultados.

10 Mejora
• 10.1. La no conformidad y acciones correctivas
• Cuando se produce la no conformidad, la empresa debe:
a) Identificar la no conformidad.
b) Reaccionar a la no conformidad para tomar las medidas que se deben
controlar y corregir, además de hacer frente a las consecuencias.
c) Evaluar la necesidad de actuar para eliminar las causas de la no
conformidad, con el fin de que no vuelva a suceder en otros lugares por,
revisar la no conformidad, determinar las causas de la no conformidad y
determinar si existen no conformidades similares, evaluar la necesidad de
medidas correctivas para asegurar que las no conformidades no vuelvan a
ocurrir, determinar e implantar las acciones correctivas, revisar la eficacia
de las medidas correctivas y realizar cambios en el Sistema de Gestión de
d) Realizar cualquier acción necesaria.
e) Revisar la eficiencia de las acciones correctoras emprendidas.
f) Realizar cambios en el Sistema de Gestión de Continuidad de Negocio, si
es necesario.

10 Mejora
• 10.1. La no conformidad y acciones correctivas
• Las acciones correctivas deben ser apropiadas a los
efectos de las no conformidades encontradas.
La organización conserva la información documentada
como prueba de:
• La naturaleza de las no conformidades y de
cualquier acción tomada.
• Los resultados de cualquier acción correctiva.

10 Mejora
• 10.2. Mejora continua
• La organización debe mejorar continuamente la
idoneidad, adecuación o eficacia del Sistema de
Gestión de Continuidad de Negocio.

Documentación obligatoria
Si una organización desea implementar esta norma,
necesitará la siguiente documentación obligatoria:
• Lista de requisitos legales, normativos y de otra
índole
• Alcance del SGCN
• Política de la Continuidad del Negocio
• Objetivos de la continuidad del negocios
• Evidencia de competencias del personal
• Registros de comunicación con las partes interesadas
• Análisis del impacto en el negocio (BIA)
• Evaluación de riesgos, incluido un perfil de riesgo

Documentación obligatoria
• Estructura de respuesta a incidentes
• Planes de continuidad del negocio
• Procedimientos de recuperación
• Resultados de acciones preventivas
• Resultados de supervisión y medición
• Resultados de la auditoría interna
• Resultados de la revisión por parte de la dirección
• Resultados de acciones correctivas

Implantación de la Norma ISO 22301
2012

2012
• Cuando una organización desea iniciar la
implantación del modelo ISO 22301:2012, siempre se
genera el interrogante ¿por dónde empezar?
• Será conveniente iniciar con el ¿Business Impact
Analysis?
• O con la estructura para responder a incidentes. La
manera adecuada es ir de lo general a lo particular.
• En la figura, se han categorizado las cláusulas de la
norma en “globales” y “focales”.

2012
• Para el inicio del proceso de implantación es
recomendable atender primero a las cláusulas
globales y luego iniciar las focales.
• Las cláusulas globales, permiten crear la plataforma
inicial en la construcción del SGCN.
• Las cláusulas focales son la parte netamente técnica
de la norma y requieren para su desarrollo de la
infraestructura que desarrollan las globales.

Ejemplos de acciones a realizar en
aplicación de esta norma
• Actualizar los dispositivos de respaldo de la información o
duplicar las comunicaciones de voz con una de sus principales
sedes.
• Contar con un centro alternativo.
• Externalizar parte de su infraestructura, especialmente la
dedicada a la venta on-line, disponiendo de un centro de
respaldo independiente.
• Contratación de seguros
• Contratación de empresas de seguridad.
• Copias de seguridad de la información.
• Mantenimiento de listas de proveedores alternativos.
• Almacenamiento de productos críticos en ubicaciones
alternativas.
• Formación sobre las rutas de evaluación y puntos de reunión

• Realización del análisis de riesgos.
• Estudiar los procesos y las actividades del negocio.
• Identificar y valorar el impacto asociado a las interrupciones
de los procesos de negocio.
• Identificar actividades, recursos críticos y prioridades de
recuperación derivadas
• Definición de los tiempos objetivos de recuperación,
interrupción máxima admisible de los distintos procesos de la
organización.
• Elaboración de los procedimientos de recuperaciónante
incendio del edificio, inundación, indisponibilidad de los
servicios críticos, caída de suministro eléctrico, fallos en los
servidores, fallo comunicaciones,…
• Realización de simulacros de incendio.
• Establecimiento de sistemas redundantes para la conexión a
internet, suministro eléctrico,…

Principales diferencias con otras
mejores prácticas:

mejores prácticas:
Fuente: BS 25999
Fuente: BS 25999
Ciclo de vida de GCN

mejores prácticas:
Elementos de GCN

ISO 22301
Seguridad de la sociedad: Sistema de
Continuidad del Negocio – Requisitos
FIN

ISO 22301 SGCN

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a ISO 22301 SGCN

Semelhante a ISO 22301 SGCN (20)

Mais de Primala Sistema de Gestion

Mais de Primala Sistema de Gestion (20)

ISO 22301 SGCN