International StandardISO22301:2012(E) ISO 22301 Seguridad de Sociedad - Sistemas de manejo de continuidad de negocios – Requerimientos
International StandardISO22301:2012(E) ontenidos !re"acio 1# Intr Introd oduc ucci ci$n $n 1#1%eneral 1#2 El modelo !lan-&o-'ec-ct (!&) 1#3om*onentes de !& en el est+ndar internacional 2# lcance 3# Re"ere e"erenci ncias as ,orm ,ormati atias as .# /rmino rminos s &enic &enicion iones es # onte onte4to 4to de de la Org Organi ani5ac 5aci$n i$n .#1 om*rensi$n de la organi5aci$n su contenido .#2 om*rensi$n de las necesidades e4*ectatias de las *artes interesadas .#3 &eterminar el alcance del sistema de continuidad del negocio .#. Sistema de manejo de la ontinuidad del ,egocio # 6idera5go #1 6idera5go com*romiso #2 om*romiso administratio #3 !ol7tica #. Roles8 res*onsa9ilidades autoridades organi5atias # !laneaci$n #1 cciones *ara a9ordar riesgos o*ortunidades #2 O9jetios de continuidad de negocios los *lanes *ara alcan5arlos ;# So*orte ;#1 Recursos ;#2 om*etencia ;#3 onciencia ;#. omunicaci$n ;# In"ormaci$n &ocumentada <# O*eraci$n <#1 !laneaci$n control o*eracional <#2 n+lisis de im*acto ealuaci$n del riesgo del negocio <#3 Estrategia de continuidad del negocio n egocio <#. Esta9lecer e im*lementar *rocedimientos *rocedimientos de continuidad de negocios <# Ejercicios testeo =# Ealuaci$n de rendimiento =#1 >onitoreo8 medida8 an+lisis ealuaci$n =#2 uditor7a interna =#3 Reisi$n de gesti$n 10# >ejoras 10#1 ,o con"ormidad acciones correctias 10#2 >ejoras continuas ?i9liogra"7a
International StandardISO22301:2012(E) ontenidos !re"acio 1# Intr Introd oduc ucci ci$n $n 1#1%eneral 1#2 El modelo !lan-&o-'ec-ct (!&) 1#3om*onentes de !& en el est+ndar internacional 2# lcance 3# Re"ere e"erenci ncias as ,orm ,ormati atias as .# /rmino rminos s &enic &enicion iones es # onte onte4to 4to de de la Org Organi ani5ac 5aci$n i$n .#1 om*rensi$n de la organi5aci$n su contenido .#2 om*rensi$n de las necesidades e4*ectatias de las *artes interesadas .#3 &eterminar el alcance del sistema de continuidad del negocio .#. Sistema de manejo de la ontinuidad del ,egocio # 6idera5go #1 6idera5go com*romiso #2 om*romiso administratio #3 !ol7tica #. Roles8 res*onsa9ilidades autoridades organi5atias # !laneaci$n #1 cciones *ara a9ordar riesgos o*ortunidades #2 O9jetios de continuidad de negocios los *lanes *ara alcan5arlos ;# So*orte ;#1 Recursos ;#2 om*etencia ;#3 onciencia ;#. omunicaci$n ;# In"ormaci$n &ocumentada <# O*eraci$n <#1 !laneaci$n control o*eracional <#2 n+lisis de im*acto ealuaci$n del riesgo del negocio <#3 Estrategia de continuidad del negocio n egocio <#. Esta9lecer e im*lementar *rocedimientos *rocedimientos de continuidad de negocios <# Ejercicios testeo =# Ealuaci$n de rendimiento =#1 >onitoreo8 medida8 an+lisis ealuaci$n =#2 uditor7a interna =#3 Reisi$n de gesti$n 10# >ejoras 10#1 ,o con"ormidad acciones correctias 10#2 >ejoras continuas ?i9liogra"7a
International StandardISO22301:2012(E)
International StandardISO22301:2012(E) !re"acio ISO (la organi5aci$n Internacional *ara la Estandari5aci$n) es una "ederaci$n mundial de organismos nacionales de normali5aci$n (organismos miem9ros de ISO)# El tra9ajo de *re*arar los est+ndares internacionales es normalmente lle llead ado o a ca9o ca9o a tra tras s de los los comi comit ts s tcn tcnic icos os de ISO ISO# ada ada orga organi nism smo o miem9ro interesado en alg@n tema *ara el cual un comit tcnico 'a sido esta9lecido tiene el dere erec'o de ser re*resenta ntado en ese comit# Organi5ac Organi5aciones iones internacio internacionales nales88 gu9ernament gu9ernamentales ales o no gu9ernament gu9ernamentales ales88 en uni$n a ISO8 tam9in "orman *arte del tra9ajo# ISO tam9in cola9ora de cerca con la omisi omisi$n $n Inter Internac nacion ional al Elect Electrot rotcn cnica ica (IE) (IE) en todos todos los asunto asuntos s de estandari5aci$n electrotcnica# electrotcnica# 6os Est+ndares Internacionales son *re*arados en acuerdo con las reglas dadas en la *arte dos de las directias ISOAIE# 6a *rin *rinci ci*a *all tar tarea de los los comi comit ts s tcn tcnic icos os es *re* *re*ar arar ar los los est+ est+nd ndar ares es internacionales# 6os *roectos de est+ndares internacionales ado*tados *or los comits tcnicos8 se 'acen llegar a todos los organismos miem9ros *ara la otaci$n# 6a *u9licaci$n como un est+ndar internacional requiere la a*ro9aci$n a*ro9aci$n de al menos ;B de los organismos miem9ros otantes# Se llama la atenci$n a la *osi9ilidad que algunos de los elementos de este documento *uede ser sujeto a derec'os de *atentes# ISO no ser+ tomado como res*onsa9le *ara identicar cualquier o todos esos derec'os de *atente# ISO223 ISO22301 01 "ue *re*a *re*arad rado o *or *or el omit omit /cnico cnico ISOA/ ISOA/22 2238 38 Segurid Seguridad ad de Sociedad#
International StandardISO22301:2012(E) 1. Introducción 1#1%eneral Este est+ndar internacional es*ecica requerimientos *ara la creaci$n manejo de un sistema de administraci$n de continuidad de negocios (?>S*or sus siglas en ingls ?usiness ontinuit >anagement Sstem)# Cn ?>S en"ati5a la im*ortancia de: •
•
• •
Entender las necesidades de la organi5aci$n la necesidad de esta9lecer *ol7ticas o9jetios de manejo de continuidad de negocios# Im*lementar o*erar los controles medidas *ara manejar la ca*acidad general de manejar incidentes disru*tios# >onitorear reisar el rendimiento la e"ectiidad del ?>S8 >ejoras continuas 9asadas en mediciones o9jetias#
Cn ?>S8 como cualquier otro sistema de administraci$n8 tiene los siguientes com*onentes claes: a) Cna *ol7ticaD 9) !ersonas con res*onsa9ilidades denidasD c) !rocesos administratios relacionados a 1) !ol7tica8 2) !laneaci$n8 3) Im*lementaci$n o*eraci$n8 .) Ealuaci$n del rendimiento8 ) Reisi$n de manejo8 ) >ejoras d) &ocumentaci$n que entregue eidencia audita9leD e) ualquier *roceso releante *ara la organi5aci$n de administraci$n de continuidad de negocios# 6a continuidad de negocios contri9ue a una sociedad m+s resistente# 6a maor comunidad el im*acto del am9iente de la organi5aci$n en la organi5aci$n *or ende a otras organi5aciones que *uedan necesitar estar inolucradas en el *roceso de recu*eraci$n# 1#2El modelo !lan-&o-'ec-ct (!&) Este est+ndar internacional a*lica el modelo !lanear-acer-Reisar-ctuar (!&-*or sus siglas en ingls)8 *ara *oder *lanear8 esta9lecer8 im*lementar8 o*erar8 monitorear8 reisar8 mantener mejorar continuamente la e"ectiidad del ?>S de una organi5aci$n# Esto asegura el grado de consistencia con los est+ndares de otros sistemas de administraci$n8 como ser7a ISO=001 Sistemas de manejo de calidad8 ISO1.0018 Sistemas de manejo am9iental8 ISOAIE2;0018 Sistema de manejo de seguridad
International StandardISO22301:2012(E) de la in"ormaci$n8 ISOAIE20000-18 tecnolog7a de la in"ormaci$n-administraci$n de sericios8 e ISO2<0008 Es*ecicaci$n *ara los sistemas de manejo de seguridad en la cadena de suministro8 as7 a*oando consistente e 7ntegramente la im*lementaci$n o*eraci$n con sistemas de administraci$n relacionados# 6a gura 1 ilustra como un ?>S toma como ingresos a las *artes interesadas8 los requerimientos de administraci$n de continuidad 8 a tras de los *rocesos acciones necesarias8 *roduce salidas de continuidad (*or ejem*lo8 continuidad de negocio manejada) que cum*len con esos requerimientos# Figura 1 – >odelo !& a*licado a los *rocesos ?>S
>ejora continuo del sistema de manejo de c ontinuidad de negocio (?>S)
Esta9lecer (!lan) !artes interesadas
!artes interesadas
Requerimien-tos *ara la continuidad del negocio >antener mejorar (ct)
Im*lementar ontinuidad o*erar (&o)de negocio manejada
>onitorear reisar ('ec)
/a9la 1 - E4*licaci$n del modelo !&
Plan
(Esta9lecer) Do
(Im*lementar O*erar) Check
(>onitorear Reisar) Act
(>antener >ejorar)
Esta9lecer *ol7tica de continuidad de negocio8 o9jetios8 metas8 controles8 *rocesos *rocedimientos releantes *ara mejorar la continuidad del negocio con el n de entregar resultados que se alinean con las *ol7ticas o9jetios generales de la organi5aci$n# Im*lementar o*erar la *ol7tica de continuidad de negocio8 controles8 *rocesos *rocedimientos# >onitorear reisar el rendimiento contra las *ol7ticas o9jetios de la continuidad de negocio8 re*ortar los resultados a la administraci$n *ara su reisi$n8 adem+s de determinar autori5ar las acciones *ara mejora re*aro# >antener mejorar los ?>S al tomar acci$n correctia8 9asado en resultados de reisi$n administratia de realori5aci$n del alcance del ?>S las *ol7ticas o9jetios de la continuidad del negocio#
International StandardISO22301:2012(E)
International StandardISO22301:2012(E) 1#3om*onentes del !& en este est+ndar internacional En el modelo !& como mostrado en la ta9la 18 las clausulas . a la 10 de este est+ndar internacional cu9ren los siguientes com*onentes: •
•
•
l+usula . es un com*onente de G Plan” # Introduce los requerimientos necesarios *ara esta9lecer el conte4to de ?>S como a*lica a la organi5aci$n8 al igual que a las necesidades8 requerimientos alcance# l+usula es un com*onente de “Plan”. Resume los requerimientos es*ec7cos del rol de la lta &irecci$n en el ?>S8 como el lidera5go articula las e4*ectatias de la organi5aci$n a tras de una declaraci$n de *ol7ticas# l+usula es un com*onente de “Plan”. &escri9e requerimientos8 a que se relaciona a esta9lecer o9jetios estratgicos guiar *rinci*ios *ara el ?>S como un todo# El contenido de la cl+usula diere de esta9lecer el tratamiento de riesgos de las o*ortunidades *roenientes de la ealuaci$n de riesgos8 al igual que los o9jetios de recu*eraci$n deriados del an+lisis de im*acto del negocio (?I)#
,O/ 6os requerimientos del an+lisis de im*acto de negocio el *roceso de ealuaci$n de riesgo son detallados en la cl+usula <# •
•
•
•
l+usula ; es del com*onente “Plan”. *oa las o*eraciones de ?>S a que se relacionan con el esta9lecimiento de com*etencias comunicaci$n en 9ase a la necesidadArecurrencia de las *artes interesadas8 mientras se documentan8 controlan8 mantienen retienen la documentaci$n requerida# l+usula < es un com*onente de “Do”. &ene los requerimientos de la continuidad del negocio8 determina como a9ordarlos desarrolla los *rocedimientos *ara manejar los incidentes disru*tios# l+usula = es un com*onente de “Check”. Resume los requerimientos necesarios *ara medir el rendimiento de la administraci$n de la continuidad del negocio# ?>S de9e estar en con"ormidad con este est+ndar internacional con las e4*ectatias de administraci$n8 9usca retroalimentaci$n de la administraci$n con res*ecto a las e4*ectatias# l+usula 10 es un com*onente de “Act”. Identica actua en la no con"ormidad de ?>S a tras de acci$n correctia#
International StandardISO22301:2012(E) Seguridad de la sociedad - Sistemas de administraci$n de continuidad de negocios – Requerimientos
2. Alcance Este est+ndar internacional *ara la administraci$n de continuidad de negocio es*ecica los requerimientos *ara *lanear8 esta9lecer8 im*lementar8 o*erar8 monitorear8 reisar8 mantener continuamente mejorar el sistema de administraci$n documentado *ara *roteger en contra8 reducir la *ro9a9ilidad de ocurrencia8 *re*ararse *ara8 res*onder a8 recu*erarse de un incidente disru*tio cuando sea que estos a*are5can# 6os requerimientos es*ecicados en este est+ndar internacional son genricos tienen la intenci$n de ser a*lica9les a todas las organi5aciones8 o *artes de estas8 sin im*ortar el ti*o8 tamaHo o naturale5a de la organi5aci$n# El grado de a*licaci$n de estos requerimientos de*ende de la com*lejidad am9iente o*eratio de la em*resa# ,o es el o9jetio de este est+ndar internacional im*lementar uni"ormidad en la estructura de un sistema de administraci$n de continuidad de negocio (?>S)8 *ero *ara que una organi5aci$n diseHe un ?>S que sea a*ro*iado *ara sus necesidades que adem+s cum*la los requerimientos de cada una de las *artes interesadas# Este est+ndar internacional *uede ser a*licado a todo ti*o tamaHo de organi5aci$n que desee a) Esta9lecer8 im*lementar8 mantener mejorar un ?>S 9) segurar con"ormidad con la *ol7tica de continuidad de negocio esta9lecida c) &emostrar con"ormidad a los dem+s d) ?uscar certicaci$nAregistraci$n de su ?>S *or un cuer*o de certicaci$n e4terno acreditado8 o e) acer una determinaci$n declaraci$n *ro*ia de con"ormidad con este est+ndar internacional# Este est+ndar internacional *uede ser usado *ara ealuar la ca*acidad de una organi5aci$n de alcan5ar sus *ro*ias necesidades o9ligaciones de continuidad#
3. Referencias normativas 6os siguientes documentos8 com*letos o *or *artes8 son normatiamente re"erenciados en este documento son indis*ensa9les *ara su a*licaci$n# !ara re"erencias con "ec'as8 solo la edici$n citada a*lica# !ara re"erencias sin "ec'as8 a*lica la @ltima edici$n del documento re"erenciado8 incluendo cualquier enmienda#
International StandardISO22301:2012(E) ,o 'a re"erencias normatias#
International StandardISO22301:2012(E) 4. Términos y deniciones !ara el *ro*$sito de este documento8 los siguientes trminos deniciones a*lican# 3#1 ctiidad !roceso o gru*o de *rocesos lleados a ca9o *or una organi5aci$n (o en nom9re de esta) que *roduce o a*oa uno o m+s *roductos sericios# 3#2 uditor7a !roceso sistem+tico8 inde*endiente documentado *ara o9tener eidencia de auditor7a ealuarla o9jetiamente *ara determinar a qu grado se cum*len los criterios de auditor7a# ,O/ 1 Cna auditor7a *uede ser tanto interna como e4terna8 adem+s *uede ser una auditor7a com9inada (com9ina una o m+s disci*linas)# ,O/ 2 GEidencia de auditor7a Gcriterio de auditor7a est+n denidos en ISO 1=011# 3#3 ontinuidad de negocio a*acidad de una organi5aci$n de continuar entregando *roductos o sericios a nieles *redenidos como ace*ta9les8 luego de un incidente disru*tio# JFCE,/E: ISO 22300K 3#. dministraci$n de continuidad de negocio !roceso de administraci$n 'ol7stico que identica amena5as *otenciales de una organi5aci$n el im*acto so9re las o*eraciones del negocio de aquellas amena5as si es que se concretaran# dem+s entrega un marco de gesti$n *ara construir resistencia *ara organi5aciones con la ca*acidad de tener res*uestas e"ectias que salaguarden los intereses8 re*utaci$n8 marca actiidades de creaci$n de alor de los *rinci*ales interesados# 3# Sistema de administraci$n de continuidad de negocio (?>S) !arte del sistema general de administraci$n que esta9lece8 im*lementa8 o*era8 monitorea8 reisa8 mantiene mejora la continuidad del negocio# ,O/ El sistema de administraci$n inclue estructura organi5acional8 *ol7ticas8 actiidades de *laneaci$n8 res*onsa9ilidades8 *rocedimientos8 *rocesos recursos# 3# !lan de continuidad de negocios
International StandardISO22301:2012(E) !rocedimientos documentados que gu7an a la organi5aci$n a res*onder8 recu*erarse8 reanudar restaurar a un niel *redenido de o*eraci$n tras la disru*ci$n# ,O/ %eneralmente esto cu9re recursos8 sericios actiidades requeridas *ara asegurar la continuidad de las "unciones cr7ticas del negocio# 3#; !rograma de continuidad de negocio !rocesos de administraci$n go9ernan5a en marc'a8 res*aldados *or la alta administraci$n correctamente suministrados *ara im*lementar mantener la administraci$n de la continuidad de negocio# 3#< n+lisis de im*acto de negocio !rocesos de an+lisis de las actiidades el e"ecto que *ueda tener una disru*ci$n del negocio so9re estas# JFCE,/E: ISO 22300K 3#= om*etencia a9ilidad *ara a*licar conocimientos 'a9ilidades *ara lograr los resultados es*erados# 3#10 on"ormidad um*limiento de un requisito# JFCE,/E: ISO 22300K 3#11 >ejora continua ctiidad recurrente *ara mejorar el rendimiento# JFCE,/E: ISO 22300K 3#12 orrecci$n cci$n de eliminar una no con"ormidad detectada# JFCE,/E: ISO 22300K 3#13 cci$n correctia cci$n de eliminar la causa de la no con"ormidad *ara8 as78 *reenir su recurrencia# ,O/ En el caso de otros resultados no deseados8 una acci$n es necesaria *ara minimi5ar o eliminar las causas as7 reducir el im*acto o *reenir la
International StandardISO22301:2012(E) recurrencia# /ales acciones salen del conce*to de Gacci$n correctia en el sentido de esta denici$n# JFCE,/E: ISO 22300K 3#1. &ocumento In"ormaci$n su medio de so*orte# ,O/ 1 El medio *uede ser *a*el8 magntico8 electr$nico o un disco $*tico de com*utaci$n8 "otogra"7a o muestra maestra8 o una com9inaci$n de las anteriores# ,O/ 2 Cn conjunto de documentos8 *or ejem*lo es*ecicaciones arc'ios8 suelen ser llamados Gdocumentaci$n# 3#1 In"ormaci$n documentada In"ormaci$n requerida8 el medio en el cual est+ contenida8 controlada mantenida *or una organi5aci$n#
*ara ser
,O/ 1 6a in"ormaci$n documentada *uede estar en cualquier "ormato8 en cualquier medio *roenir de cualquier "uente# ,O/ 2 6a in"ormaci$n documentada se *uede re"erir a • •
•
El sistema de administraci$n8 incluendo *rocesos relacionadosD In"ormaci$n creada *ara que la organi5aci$n *ueda o*erar (documentaci$n)D Eidencia de los resultados alcan5ado (arc'ios)#
3#1 E"ectiidad lcance al cual las actiidades *laneadas son reali5adas los resultados *lanicados son alcan5ados# JFCE,/E: ISO 22300K 3#1; Eento Ocurrencia o cam9io de un cierto conjunto de circunstancias ,O/ 1 Cn eento *uede ser una o m+s ocurrencias8 *uede tener arias causas# ,O/ 2 Cn eento *uede consistir en que algo no suceda# ,O/ 3 Cn eento *uede a eces ser llamado Gincidente o Gaccidente#
International StandardISO22301:2012(E) ,O/ . Cn eento sin consecuencias a eces se denomina Gnear Gincidente8 Gnear
hit 8
Gclose
miss8
call #
JFCE,/E: ISOAIE %u7a ;3K 3#1< Ejercicio El *roceso de entrenar *ara8 ealuar8 *racticar8 mejorar el rendimiento en una organi5aci$n# ,O/ 1 6os ejercicios *ueden ser usados *ara: alidar *$li5as8 *lanes8 *rocedimientos8 entrenamiento8 equi*amiento8 acuerdos interorgani5acionalesD aclarar entrenar al *ersonal en determinados roles res*onsa9ilidadesD mejorar coordinaci$n comunicaci$n interorgani5acionalD identicar 9rec'as en los recursosD mejorar rendimiento *ersonalD identicar las o*ortunidades de mejora8 o*ortunidad controlada *ara *racticar la im*roisaci$n# ,O/ 2 Cna *rue9a es un ti*o @nico *articular de ejercicio8 que incor*ora una e4*ectatia de un elemento de a*ro9aci$n o re*ro9aci$n dentro de las metas u o9jetios del ejercicio *lanicado# JFCE,/E: ISO 22300K 3#1= Incidente Situaci$n que *uede ser8 o *odr7a llear a emergencia o crisis#
una disru*ci$n8 *rdida8
JFCE,/E: ISO 22300K 3#20 In"raestructura Sistema de "acilidades8 equi*amiento sericios necesarios *ara la o*eraci$n de la organi5aci$n# 3#21 Ente de una de las *artes interesadas !ersona u organi5aci$n que *uede a"ectar8 o ser a"ectada8 o *erci9ir un e"ecto *or una decisi$n o actiidad dada# ,O/ Este *uede ser un indiiduo o gru*o que tiene inters en alguna decisi$n o actiidad de la organi5aci$n# 3#22 uditor7a interna uditor7a conducida *or8 o *ara8 la organi5aci$n misma *ara nes de reisi$n administratia otros as*ectos internos8 que adem+s *uede serir como 9ase *ara una auto-declaraci$n de con"ormidad de la em*resa#
International StandardISO22301:2012(E) ,O/ En muc'os casos8 *articularmente en organi5aciones m+s *equeHas8 la inde*endencia *uede ser demostrada *or la li9ertad de res*onsa9ilidad so9re la actiidad siendo auditada# 3#23 Inocaci$n El acto de declarar que los arreglos de la continuidad de negocio de una organi5aci$n de9en *onerse en marc'a *ara seguir entregando los *roductos o sericios claes# ,O/ 1 Cn sistema administratios *uede a9ordar una o arias disci*linas# ,O/ 2 6os elementos del sistema incluen la estructura8 roles res*onsa9ilidades8 *laneaci$n8 o*eraci$n8 entre otros as*ectos de la organi5aci$n# ,O/ 3 El alcance del sistema administratio *uede incluir la organi5aci$n com*leta8 "unciones identicadas es*ecicas de la organi5aci$n8 secciones identicadas o es*ecicas de la organi5aci$n8 o una o m+s "unci$n a tras de un gru*o de organi5aciones# 3#2 orte m+4imo ace*ta9le (>O- >a4imum cce*ta9le Outage) /iem*o que tardar7a un im*acto aderso8 que *uede surgir como resultado de no *roeer un *roductoAsericio o reali5ar una actiidad8 en *asar a ser inace*ta9le# ,O/ /am9in ase *eriodo m+4imo tolera9le de disru*ci$n# 3#2 !eriodo m+4imo tolera9le de disru*ci$n (>/!&->a4imum /olera9le !eriod o" &isru*tion) /iem*o que tardar7a un im*acto aderso8 que *uede surgir como resultado de no *roeer un *roductoAsericio o reali5ar una actiidad8 en *asar a ser inace*ta9le# ,O/ /am9in ase corte m+4imo ace*ta9le# 3#2; >edida !roceso de determinaci$n de un alor# 3#2< O9jetio m7nimo de continuidad de negocio (>?O- >inimum ?usiness ontinuit O9jectie) ,iel m7nimo ace*ta9le de sericios Ao *roductos distri9uidos *or la organi5aci$n que *ermitan alcan5ar sus o9jetios durante la disru*ci$n# 3#2= >onitoreo
International StandardISO22301:2012(E) &eterminar el estado de un sistema8 *roceso o actiidad# ,O/ !ara determinar el estado *uede que e4ista la necesidad de reisar8 su*erisar o9serar cr7ticamente# 3#30 cuerdo de mutua auda Entendimiento *reesta9lecido entre dos o m+s entidades *ara entregar a*oo una a la otra# JFCE,/E: ISO 22300K 3#31 ,o con"ormidad El no cum*limiento de un requisito# JFCE,/E: ISO 22300K 3#32 O9jetio Resultado que se desea alcan5ar# ,O/ 1 Cn o9jetio *uede ser estratgico8 t+ctico u o*eracional# ,O/ 2 6os o9jetios *ueden relacionarse a distintas disci*linas (como nancieras8 de seguridad salud8 metas am9ientales) *uedan ser a*licadas a distintos nieles ( como estratgicos8 a tras de toda la organi5aci$n8 *roectos8 *roductos *rocesos)# ,O/ 3 Cn o9jetio *uede ser e4*resado de otras maneras8 *or ejem*lo como un resultado es*erado8 un *ro*$sito8 un criterio o*eracional8 como un o9jetio de seguridad de la sociedad o *or el uso de *ala9ras con un signicado *arecido (meta8 n8 *ro*$sitoL)# ,O/ . En el conte4to de sistemas de administraci$n de est+ndares de seguridad de sociedad8 los o9jetios de esta est+n im*uestos *or la organi5aci$n8 son consistentes con la *ol7tica de seguridad de sociedad8 *ara alcan5ar resultados es*ec7cos# 3#33 Organi5aci$n !ersona o gru*o de *ersonas que tiene sus *ro*ias "unciones con res*onsa9ilidades8 autoridades relaciones *ara alcan5ar sus o9jetios# ,O/ 1 El conce*to de organi5aci$n inclue8 *ero no est+ limitado a8 un @nico o*erador8 una com*aH7a8 cor*oraci$n8 rma8 em*resa8 autoridad8 sociedad8 organi5aci$n 9enca o instituci$n# !uede "ormar *arte o estar creada en 9ase a una com9inaci$n de cualquiera de las anteriores8 adem+s *uede ser *@9lica o *riada#
International StandardISO22301:2012(E) ,O/ 2 !ara organi5aciones con m+s de una unidad o*eratia8 una sola unidad o*eratia tam9in *uede ser denominada organi5aci$n# 3#3. E4ternali5ar acer un arreglo donde una organi5aci$n e4terna reali5a *arte de las "unciones o *rocesos de la organi5aci$n# ,O/ Cna organi5aci$n e4terna esta "uera del alcance del sistema administratio8 aunque la "unci$n o *roceso e4ternali5ado si est+ dentro del alcance# 3#3 Rendimiento Resultado medi9le ,O/ 1 El rendimiento *uede estar relacionado tanto a datos cuantitatios como cualitatios# ,O/ 2 El rendimiento *uede relacionarse al manejo de las actiidades8 *rocesos8 *roductos (incluendo sericios)8 sistemas u organi5aciones# 3#3 Ealuaci$n del rendimiento !roceso de determinaci$n de resultados medi9les# 3#3; !ersonal !ersonas que tra9ajan *ara 9ajo el control de una organi5aci$n# ,O/ El conce*to de *ersonal inclue8 *ero no est+ limitado a8 em*leados8 staM de medio tiem*o8 staM de agencia# 3#3< !ol7tica Intenciones direcci$n de una organi5aci$n e4*resadas "ormalmente *or la lta &irecci$n# 3#3= !rocedimiento Cna manera es*ec7ca de llear a ca9o una actiidad o *roceso# 3#.0 !roceso onjunto de actiidades interrelacionadas trans"orman entradas en salidas# 3#.1 !roductos sericios
o
interactias las
cuales
International StandardISO22301:2012(E) Resultados 9eneciosos entregados *or una organi5aci$n a sus clientes8 9eneciarios *artes interesadas8 *or ejem*lo los 7tems manu"acturados8 seguros automotrices auda a la comunidad# 3#.2 ctiidades *riori5adas ctiidades las cuales se les de9er+ dar *rioridad ante un incidente *ara as7 lograr mitigar los im*actos# ,O/ Otros trminos utili5ados com@nmente *ara descri9ir actiidades dentro de este gru*o incluen: cr7ticos8 esenciales8 itales8 urgentes claes# JFCE,/E: ISO 22300K 3#.3 rc'io &eclaraci$n de resultados alcan5ados o eidencia de actiidades reali5adas# 3#.. O9jetio de *unto de recu*eraci$n (R!O- Recoer !oint O9jectie) !unto al cual la in"ormaci$n utili5ada *ara una actiidad de9er+ ser restaurada *ara *oder 'a9ilitar la reanudaci$n de la actiidad de la o*eraci$n# ,O/ /am9in se *uede re"erir a esto como Gm+4ima in"ormaci$n *erdida# 3#. O9jetio de tiem*o de recu*eraci$n (R/O- Recoer /ime O9jectie) !eriodo de tiem*o que sigue al incidente en el cual • • •
El *roducto o sericio de9e ser reanudado8 o 6a actiidad de9er+ ser reanudada8 o 6os recursos de9er+n ser recu*erados#
,O/ !ara *roductos8 sericios actiidades8 el R/O de9e ser menos del tiem*o que tarde el im*acto aderso8 que surgir7a como resultado de no *roeer el *roducto o sericio o de reali5ar la actiidad8 en trans"ormarse en inace*ta9le# 3#. Requerimiento ,ecesidad o e4*ectatia que est+ esta9lecida8 generalmente im*l7cita u o9ligatoria# ,O/ 1 G%eneralmente im*l7cita signica que es costum9re o una *r+ctica com@n de la organi5aci$n las *arte interesadas que la necesidad o e4*ectatia se consideren como im*l7citas#
International StandardISO22301:2012(E) ,O/ 2 Cn requerimiento es*ec7co es un que est+ esta9lecido8 *or ejem*lo en in"ormaci$n documentada# 3#.; Recursos /odos los actios8 *ersonas8 'a9ilidades8 in"ormaci$n8 tecnolog7a (incluendo *lanta equi*os)8 *remisas8 suministros e in"ormaci$n (sea electr$nica o no) que una organi5aci$n tenga dis*oni9le *ara su uso8 cuando se necesita8 con el n de o*erar alcan5ar su o9jetio# 3#.< Riesgo E"ecto de la incertidum9re en los o9jetios# ,O/ 1 Cn e"ecto es una desiaci$n de lo es*erado- *ositio o negatio# ,O/ 2 6os o9jetios *ueden relacionarse a distintas disci*linas (como nancieras8 de seguridad salud8 metas am9ientales) *uedan ser a*licadas a distintos nieles (como estratgicos8 a tras de toda la organi5aci$n8 *roectos8 *roductos *rocesos)# Cn o9jetio *uede ser e4*resado de otras maneras8 *or ejem*lo como un resultado es*erado8 un *ro*$sito8 un criterio o*eracional8 como un o9jetio de seguridad de la sociedad o *or el uso de *ala9ras con un signicado *arecido (meta8 n8 *ro*$sitoL)# ,O/ 3 El riesgo es a menudo caracteri5ado *or re"erencia a eentos *otenciales (%u7a ;38 3##1#3) consecuencias (%u7a ;38 3##1#3)8 o una com9inaci$n de estos# ,O/ . El riesgo a menudo se e4*resa en trminos de una com9inaci$n de las consecuencias de un eento (incluendo los cam9ios de las circunstancias) la *ro9a9ilidad (%u7a ;38 3##1#1) asociada de ocurrencia# ,O/ 6a incertidum9re es el estado8 incluso *arcial8 de la deciencia de in"ormaci$n relacionada al entendimiento o conocimiento de un eento su consecuencia o *ro9a9ilidad# ,O/ En el conte4to de est+ndares de sistemas de administraci$n de continuidad de negocios8 o9jetios de continuidad de negocios8 los o9jetios de continuidad del negocio est+n esta9lecidos *or la organi5aci$n8 consistente con la *ol7tica de continuidad de negocio8 *ara lograr resultados es*ec7cos# uando se a*lica el trmino riesgo com*onentes de la administraci$n de riesgos8 esto de9iera estar relacionado a los o9jetios de la organi5aci$n que incluen8 *ero no est+n limitados a8 los o9jetios de la continuidad de negocio es*ecicados en #2# JFCE,/E: ISOAIE %u7a ;3K
International StandardISO22301:2012(E) 3#.= *etito de riesgo antidad ti*o de riesgo que una organi5aci$n est+ dis*uesta a *erseguir o retener# 3#0 Naloraci$n del riesgo !roceso general de identicaci$n8 an+lisis ealuaci$n del riesgo# JFCE,/E: ISO %u7a ;3K 3#1 dministraci$n del riesgo ctiidades coordinadas *ara dirigir controlar una organi5aci$n con res*ecto al riesgo# 3#2 /esteo !rocedimiento *ara la ealuaci$nD un modo de determinar la *resencia8 calidad o eracidad de algo# ,O/ 1 /esteo se *uede re"erir a un ensao# ,O/ 2 El testeo es com@nmente a*licado a a*oar *lanes# JFCE,/E: ISO 22300K 3#3 lta &irecci$n !ersona o gru*o de *ersonas que dirige controla una organi5aci$n al niel m+s alto# ,O/ 1 6a lta &irecci$n tiene el *oder de delegar autoridad *roeer recursos dentro de la organi5aci$n# ,O/ 2 Si el alcance del sistema administratio cu9re solo *arte de una organi5aci$n8 entonces la lta &irecci$n se remite a aquellos que dirigen controlan esa *arte de la organi5aci$n# 3#. Nericaci$n onrmaci$n8 a tras de la *resentaci$n requerimientos es*ec7cos 'an sido cum*lidos#
de
*rue9as8
3# m9iente la9oral onjunto de condiciones 9ajo las cuales el tra9ajo se reali5a#
que
los
International StandardISO22301:2012(E) ,O/ 6as condiciones incluen "actores "7sic0s8 sociales8 *sicol$gicos am9ientales (tales como tem*eratura8 esquemas de reconocimientos8 ergonom7a com*osici$n atmos"rica)#
International StandardISO22301:2012(E) 5. Conteto de la or!ani"ación .#1 om*rensi$n de la organi5aci$n su conte4to 6a organi5aci$n de9e determinar los asuntos internos e4ternos que sean releantes *ara su *ro*$sito que a"ecten su 'a9ilidad de lograr el resultado *retendido del ?>S# Estos asuntos de9en ser considerados al momento de esta9lecer8 im*lementar mantener el ?>S de la organi5aci$n# 6a organi5aci$n de9er+ identicar documentar lo siguiente: a) 6as actiidades8 "unciones8 sericios8 *roductos8 sociedades8 cadenas de suministros8 relaci$n con *artes interesadas de la em*resa# dem+s del im*acto *otencial relacionado al incidente disru*tio# 9) N7nculos entre la *ol7tica de continuidad de negocio los o9jetios otras *ol7ticas de la organi5aci$n8 incluendo la estrategia general de administraci$n del riesgo8 c) El a*etito de riesgo de la organi5aci$n# !ara esta9lecer el conte4to8 la organi5aci$n de9er+ 1) rticular sus o9jetios8 incluendo aquellos se reeren a la continuidad del negocio# 2) &enir los "actores internos e4ternos que crean la incertidum9re que aumenta el riesgo# 3) Esta9lecer el criterio de riesgo considerando el a*etito de riesgo8 .) &enir el *ro*$sito del ?>S#
International StandardISO22301:2012(E)
.#2 om*rensi$n de las necesidades e4*ectatias de las *artes interesadas .#2#1 %eneral uando la organi5aci$n esta9lece su ?>S8 esta de9er+ determinar a) 6as *artes interesadas que son releantes *ara el ?>S8 9) 6os requerimientos de estas *artes (*or ejem*lo8 sus necesidades e4*ectatias sea que est+n esta9lecidas8 generalmente im*l7cita u o9ligatoria)# .#2#2 Requerimientos legales regulatorios 6a organi5aci$n de9e esta9lecer8 im*lementar mantener los *rocedimientos *ara identicar8 tener acceso a8 asesorar los requerimientos legales regulatorios a*lica9les a los cuales la organi5aci$n se suscri9e en cuanto la continuidad de sus o*eraciones8 los *roductos sericios8 adem+s de los intereses de las *artes interesadas releantes# 6a organi5aci$n de9er+ asegurar que estos requerimientos legales regulatorios a*lica9les adem+s de otros requerimientos a los que la organi5aci$n se suscri9a se tomen en cuenta al momento de esta9lecer8 im*lementar mantener el ?>S# 6a organi5aci$n de9e documentar esta in"ormaci$n mantenerla al d7a# Requerimientos nueos o ariaciones de los legales8 regulatorios u otros de9er+n ser comunicados a los em*leados a"ectados a las otras *artes interesadas# .#3 &eterminaci$n del alcance del sistema de administraci$n de continuidad de negocio .#3#1 %eneral 6a organi5aci$n de9er+ determinar los l7mites la a*lica9ilidad del ?>S *ara esta9lecer su alcance# uando determine el alcance8 la organi5aci$n de9er+ considerar • •
6os asuntos internos e4ternos re"eridos en .#18 6os requerimientos mencionados en .#2#
El alcance de9er+ estar dis*oni9le como in"ormaci$n documentada# .#3#2 lcance de los ?>S 6a organi5aci$n de9er+
International StandardISO22301:2012(E) a) Esta9lecer las *artes de la organi5aci$n que de9er+n ser incluidas en el ?>S# 9) Esta9lecer los requerimientos del ?>S8 considerando la misi$n8 metas8 o9ligaciones e4ternas e internas (incluendo aquellas relacionadas a las *artes interesadas) de la organi5aci$n8 adem+s de las res*onsa9ilidades legales regulatorias# c) Identicar los *roductos sericios todas las actiidades relacionadas al alcance del ?>S# d) /omar en cuenta los intereses necesidades de las *artes interesadas8 como los clientes8 inersionistas8 accionistas8 cadena de suministros8 entradas necesidades *riadas Ao de la comunidad8 e4*ectatias e intereses (a*ro*iados)8 e) &enir el alcance del ?>S en trminos de a*ro*iado al tamaHo8 naturale5a com*lejidad de la organi5aci$n# uando se dene el alcance8 la organi5aci$n de9er+ documentar e4*licar e4clusionesD cualquiera de estas e4clusiones no de9er+ a"ectar la 'a9ilidad ni res*onsa9ilidad de la organi5aci$n al momento de *roeer continuidad de negocio o*eraciones que alcancen los requerimientos del ?>S8 como se denen *or el an+lisis de im*acto del negocio o la ealuaci$n del riesgo en los requerimientos legales regulatorios a*lica9les# .#. Sistema de administraci$n de continuidad de negocio 6a organi5aci$n de9er+ esta9lecer8 im*lementar8 mantener mejorar continuamente el ?>S8 incluendo los *rocesos necesarios su interacci$n8 de acuerdo con los requerimientos de este est+ndar internacional#
International StandardISO22301:2012(E) #. $idera"!o #1 6idera5go com*romiso 6as *ersonas en la lta &irecci$n otros roles de administratios releantes a tras de la organi5aci$n de9er+n demostrar lidera5go con res*ecto al ?>S# EE>!6O Este lidera5go com*romiso *uede ser demostrado al motiar em*oderar a las *ersonas a contri9uir+ la e"ectiidad del ?>S# #2 om*romiso administratio 6a lta &irecci$n de9er+ demostrar lidera5go com*romiso con res*ecto al ?>S al •
•
•
•
• •
• •
segurar que las *ol7ticas o9jetios est+n esta9lecidos *ara el sistema de administraci$n de continuidad de negocio son com*ati9les con la direcci$n estratgica de la organi5aci$n segurando la integraci$n de los requerimientos del ?>S a los *rocesos de negocio de la organi5aci$n segurando que los recursos necesarios *ara el ?>S estn dis*oni9les omunicando la im*ortancia de la e"ectiidad de la administraci$n de la continuidad del negocio con"orme a los requerimientos del ?>S segurando que el ?>S logre los resultados es*erados &irigiendo a*oando a las *ersonas *ara que contri9uan a la e"ectiidad del ?>S !romocionar las mejoras continuas8 *oar a otros roles administratios releantes *ara demostrar su lidera5go com*romiso como a*lica a las +reas de su res*onsa9ilidad#
,O/ 1 6a re"erencia Gnegocio en este est+ndar internacional est+ dirigido a ser inter*retado am*liamente *ara aquellas actiidades que son centrales a los *ro*$sitos de la e4istencia de la organi5aci$n# 6a lta &irecci$n de9er+ *ro*orcionar eidencia de sus com*romisos con el esta9lecimiento8 im*lementaci$n8 o*eraci$n8 monitoreo8 reisi$n8 mantenimiento mejora del ?>S al • • •
•
Esta9lecer una *ol7tica de continuidad de negocios# segurando que los o9jetios *lanes del ?>S estn esta9lecidos# Esta9leciendo roles8 res*onsa9ilidades8 com*etencias *ara la administraci$n de una continuidad de negocios8 &esignar una o m+s *ersonas *ara que sean res*onsa9les del ?>S con la autoridad com*etencias a*ro*iadas que sean a cuenta *ara la im*lementaci$n mantenimiento del ?>S#
International StandardISO22301:2012(E) ,O/ 2 Estas *ersonas *ueden tener otras res*onsa9ilidades dentro de la organi5aci$n# 6a lta &irecci$n de9er+ asegurar que las res*onsa9ilidades las autoridades *ara los roles releantes est+n asignados comunicados con la organi5aci$n al • • • • •
&enir el criterio *ara ace*tar riesgos nieles tolera9les de estos# !artici*ar actiamente en ejercicios testeos segurar que las auditor7as internas del ?>S sean lleadas a ca9o 6lear a ca9o reisiones administratias del ?>S8 &emostrar su com*romiso con la mejora continua#
#3 !ol7tica 6a lta &irecci$n de9iera esta9lecer una *ol7tica de continuidad de negocios que a) 9) c) d)
Sea a*ro*iado con res*ecto al *ro*$sito de la organi5aci$n !roee de un marco *ara esta9lecer o9jetios de continuidad de negocio Inclue el com*romiso de satis"acer requerimientos a*lica9les Inclue un com*romiso *ara la mejora continua del ?>S
6a *ol7tica del ?>S de9er+ • • • •
Estar dis*oni9le como in"ormaci$n documentada Estar comunicada dentro de la organi5aci$n Incluir un com*romiso de satis"acer los requerimientos a*lica9les Incluir un com*romiso de mejora continua del ?>S
6a *ol7tica del ?>S de9e • • • •
Estar dis*oni9le como in"ormaci$n documentada Estar comunicada dentro de la organi5aci$n Estar dis*oni9le *ara las *artes interesadas Reisar la adecuaci$n continua en interalos denidos cuando ocurran cam9ios signicatios#
6a organi5aci$n de9er+ retener in"ormaci$n documentada so9re la *ol7tica de continuidad de negocio# #. Roles8 res*onsa9ilidades autoridades organi5acionales 6a lta &irecci$n de9er+ asegurar que las res*onsa9ilidades autoridades de los roles releantes estn asignados comunicados al interior de la organi5aci$n# 6a lta &irecci$n de9er+ asignar la res*onsa9ilidad la autoridad *ara
International StandardISO22301:2012(E) a) segurar que el sistema administratio cum*le los requerimientos del est+ndar internacional8 9) Re*orte del rendimiento del ?>S a la lta &irecci$n# %. &laneación #1 cciones *ara a9ordar riesgos o*ortunidades uando se *lanea *ara el ?>S8 la organi5aci$n de9er+ considerar los asuntos mencionados en .#1 los requerimientos re"eridos al .#2 determinar los riesgos o*ortunidades que necesitan ser a9ordados *ara a) asegurar que el sistema de administraci$n *ueda alcan5ar los resultados *retendidos8 9) *reenir8 o reducir8 e"ectos no deseados8 c) lograr mejoras continuas# 6a organi5aci$n de9er+ *lanear a) acciones *ara a9ordar los riesgos o*ortunidades8 9) como 1) integrar e im*lementar las acciones a los *rocesos de ?>S (er <#1)8 2) ealuar la e"ectiidad de estas acciones (er =#1)# #2 O9jetios de continuidad de negocios los *lanes *ara alcan5arlos 6a lta &irecci$n de9e asegurar que los o9jetios de continuidad de negocios estn esta9lecidos comunicados a las "unciones n ieles releantes dentro de la organi5aci$n# 6os o9jetios de continuidad de negocio de9en a) ser consistentes con la *ol7tica de continuidad de negocios8 9) tomar en cuenta el m7nimo niel de *roductos sericios que es ace*ta9le *ara la organi5aci$n *ara cum*lir sus o9jetios8 c) ser medi9le8 d) tomar en cuenta los requerimientos a*lica9les8 e) ser monitoreado actuali5ado cuando corres*onda# 6a organi5aci$n de9er+ retener la in"ormaci$n documentada de los o9jetios de continuidad de negocio# !ara alcan5ar los o9jetios de continuidad de negocios8 la organi5aci$n de9er+ determinar • • • • •
quien ser+ res*onsa9le8 que se 'ar+8 que recursos ser+n necesarios8 cuando ser+ com*letado8 como se ealuar+n los resultados#
International StandardISO22301:2012(E)
'. (o)orte ;#1 Recursos 6a organi5aci$n de9er+ determinar *roeer de los recursos necesarios *ara el esta9lecimiento8 im*lementaci$n8 mantenci$n mejoras continuas del ?>S# ;#2 om*etencia 6a organi5aci$n de9er+ a) determinar la com*etencia necesaria de la(s) *ersona(s) 'aciendo el tra9ajo 9ajo su control que *ueda a"ectar al rendimiento8 9) asegurar que estas *ersonas son com*etentes en 9ase a educaci$n8 entrenamiento e4*eriencia a*ro*iada8 c) donde sea a*lica9le8 tomar acciones *ara adquirir las com*etencias necesarias8 ealuar la e"ectiidad de las acciones tomadas8 d) retener in"ormaci$n documentada a*ro*iada como eidencia de la com*etencia# ,O/ cciones a*lica9les *ueden incluir8 *or ejem*lo: la *roisi$n de entrenamiento8 el tutorado8 o la reasignaci$n de *ersonas actualmente contratadasD o la contrataci$n de *ersonas com*etentes# ;#3 onciencia 6as *ersonas que 'agan tra9ajo 9ajo el control de la organi5aci$n de9er+n ser conscientes de a) la *ol7tica de continuidad de negocio8 9) su contri9uci$n a la e"ectiidad del ?>S8 incluendo los 9enecios de la mejora de rendimiento de la administraci$n de continuidad de negocios8 c) las im*licaciones de no estar ajustados a los requerimientos del ?>S8 d) su *ro*io rol durante un eento disru*tio# ;#. omunicaci$n 6a organi5aci$n de9er+ determinar la necesidad de comunicaci$n interna e4terna releante al ?>S incluendo a) en que se comunicar+8 9) cuando se comunicar+8 c) con quien se comunicar+6a organi5aci$n de9er+ esta9lecer8 im*lementar8 mantener *rocedimientos *ara
International StandardISO22301:2012(E) •
•
•
•
•
•
•
comunicaci$n interna entre las *artes interesadas los em*leados al interior de una organi5aci$n8 comunicaci$n e4terna con los clientes8 entidades asociadas8 comunidad local otras *artes interesadas8 incluendo a los medios8 reci9ir8 documentar res*onder a la comunicaci$n de las *artes interesadas8 ada*tar e integrarse a un sistema nacional o regional de aiso de amena5as8 o un equialente8 en la *laneaci$n uso o*eracional8 si es que es a*ro*iado8 asegurar la dis*oni9ilidad de los medios de comunicaci$n durante un incidente disru*tio8 "acilitar la comunicaci$n estructurada con las autoridades a*ro*iadas asegurar la intero*era9ilidad de organi5aciones *ersonal que res*ondan de manera m@lti*le8 cuando sea a*ro*iado8 o*erar testear las ca*acidades de comunicaci$n *reistas *ara su uso durante la disru*ci$n de comunicaciones normales#
,O/ >aores requerimientos de comunicaci$n en res*uesta de un incidente se es*ecican en el a*artado <#.#3# ;# In"ormaci$n &ocumentada ;##1 %eneral 6a organi5aci$n ?>S de9er+ incluir • •
in"ormaci$n documentada requerida *or este est+ndar internacional8 e in"ormaci$n documentada determinada *or la organi5aci$n como necesaria *ara la e"ectiidad del ?>S#
,O/ El grado de la in"ormaci$n documentada *ara un ?>S *uede di"erir de una organi5aci$n a otra de9ido a •
• •
el tamaHo de la organi5aci$n el ti*o de actiidades8 *rocesos8 *roductos sericios8 la com*lejidad de los *rocesos sus interacciones8 la com*etencia de las *ersonas#
;##2 reaci$n actuali5aci$n uando se crea se actuali5a la in"ormaci$n documentada8 la organi5aci$n de9er+ asegurar la m+s adecuada a) identicaci$n descri*ci$n (*or ejem*lo8 un t7tulo8 "ec'a8 autor o n@mero de re"erencia)8
International StandardISO22301:2012(E) 9) "ormato (*or ejem*lo idioma8 ersi$n de so"tPare8 gr+cos) medios (*or ejem*lo *a*el8 electr$nico)8 reisi$n a*ro9aci$n *ara la idoneidad adecuaci$n# ;##3 ontrol de in"ormaci$n documentada 6a in"ormaci$n documentada requerida *or el ?>S *or este est+ndar internacional de9er+ ser controlada *ara asegurar a) su dis*oni9ilidad e idoneidad *ara uso8 donde cuando sea necesario8 9) esta adecuadamente *rotegido (*or ejem*lo de *rdida de condencialidad8 uso ina*ro*iado8 o *rdida de integridad)# !ara el control de in"ormaci$n documentada8 la organi5aci$n de9er+ a9ordar las siguientes actiidades como a*lica9les • •
• • • • •
distri9uci$n8 acceso8 rescate uso8 almacenamiento *reseraci$n8 incluendo la *reseraci$n de legi9ilidad control de cam9ios (*or ejem*lo control de ersiones)8 retenci$n dis*osici$n rescate uso8 *reseraci$n de legi9ilidad (es decir sucientemente claro *ara leer)8 *reenci$n del uso inoluntario de in"ormaci$n o9soleta
6a in"ormaci$n documentada de origen e4terno determinado *or la organi5aci$n como necesaria *ara *lanear o*erar el ?>S de9er+ estar identicada controlada8 a*ro*iadamente# uando se esta9le5can controles de in"ormaci$n documentada8 la organi5aci$n de9er+ asegurar que e4iste *rotecci$n adecuada *ara la in"ormaci$n documentada (*or ejem*lo *rotecci$n en contra de com*romiso8 modicaci$n o eliminaci$n no autori5ada)# ,O/ cceso im*lica la decisi$n con res*ecto al *ermiso de er la in"ormaci$n documentada8 o el *ermiso autoridad *ara er cam9iar la in"ormaci$n documentada8 etc#
International StandardISO22301:2012(E) *. +)eración <#1 !laneaci$n control o*eracional 6a organi5aci$n de9er+ *lanear8 im*lementar controlar los *rocesos necesitados *ara cum*lir los requerimientos8 *ara im*lementar las acciones determinadas en #18 al a) esta9lecer criterios *ara los *rocesos8 9) im*lementar controles *ara los *rocesos de acuerdo al criterio8 c) mantener la in"ormaci$n documentada al grado necesario *ara tener conan5a en que el *roceso se 'a lleado a ca9o como "ue *laneado# 6a organi5aci$n de9er+ controlar cam9ios *laneados reisar las consecuencias de cam9ios inoluntarios8 tomando acci$n *ara mitigar cualquier e"ecto aderso8 seg@n sea necesario# 6a organi5aci$n de9er+ asegurar que los *rocesos e4ternali5ados sean controlados# <#2 n+lisis de im*acto ealuaci$n del riesgo del negocio <#2#1 %eneral 6a organi5aci$n de9er+ esta9lecer8 im*lementar mantener un *roceso "ormal documentado *ara el an+lisis de im*acto del negocio la aloraci$n del riesgo que a) esta9le5ca el conte4to de la ealuaci$n8 dena criterios eal@e el im*acto *otencial de un incidente disru*tio8 9) toma en cuenta requerimientos legales otros a los cuales la organi5aci$n est+ suscrita8 c) inclue un an+lisis sistem+tico8 *riori5aci$n de tratamiento de riesgos8 sus costos asociados8 d) dene el resultado requerido del an+lisis de im*acto del negocio la aloraci$n del riesgo8 e) es*ecica los requerimientos *ara que esta in"ormaci$n sea mantenida al d7a condencial# ,O/ a arias metodolog7as *ara el an+lisis de im*acto del negocio la aloraci$n del riesgo que determinar+n el orden en el cual estas ser+n lleadas a ca9o# <#2#2 n+lisis de im*acto del negocio 6a organi5aci$n de9er+ esta9lecer8 im*lementar8 mantener un *roceso de ealuaci$n "ormal documentado *ara determinar las *rioridades de continuidad recu*eraci$n8 o9jetios metas# Este *roceso de9er+ incluir la
International StandardISO22301:2012(E) asesor7a a im*actos de actiidades disru*tias que a*$enlos *roductos sericios de la organi5aci$n# El an+lisis de im*acto del negocio de9er+ incluir lo siguiente: a) identicaci$n de actiidades que a*oen la *roisi$n de 9ienes sericiosD 9) ealuaci$n del im*acto de no llear a ca9o estas actiidades a tras del tiem*oD c) esta9leciendo marcos tem*orales *riori5ados *ara la reanudaci$n de las actiidades en el niel m7nimo ace*ta9le es*ecicado8 tomando en consideraci$n el tiem*o en el cual el im*acto de no reanudaci$n de estas *asar7a a ser inace*ta9leD e d) identicar de*endencias recursos de a*oo *ara estas actiidades8 incluendo *roeedores8 socios *ara la e4ternali5aci$n otras *artes interesadas# <#2#3 Naloraci$n del riesgo 6a organi5aci$n de9er+ esta9lecer8 im*lementar8 mantener un *roceso de aloraci$n de riesgo documentado "ormalmente que identique8 analice eal@e sistem+ticamente el riesgo de los incidentes disru*tios en la organi5aci$n# ,O/ Este *roceso *uede ser lleado a ca9o de acuerdo a ISO31000# 6a organi5aci$n de9er+ a) identicar riesgos de disru*ci$n de las actiidades *rioritarias de la organi5aci$n los *rocesos8 sistemas8 in"ormaci$n8 *ersonas8 actios8 socios e4ternos otros recursos de a*oo8 9) anali5ar el riesgo sistem+ticamente8 c) ealuar cual riesgo relacionado a la disru*ci$n necesitan tratamiento8 d) identicar tratamientos acorde a los o9jetios de continuidad de negocios de acuerdo con el a*etito de riesgo de la organi5aci$n# ,O/ 6a organi5aci$n de9e estar consciente que ciertas o9ligaciones8 nancieras o gu9ernamentales8 requieren de la comunicaci$n de estos riesgos en detalle a distintos nieles# dem+s8 ciertas necesidades de sociedad tam9in *ueden garanti5ar el intercam9io de in"ormaci$n el niel a*ro*iado de detalle# <#3 Estrategia de continuidad del negocio <#3#1 &eterminaci$n selecci$n 6a determinaci$n selecci$n de estrategia de9er+ estar 9asada en el resultado del an+lisis de im*acto del negocio de la aloraci$n del riesgo#
International StandardISO22301:2012(E) 6a organi5aci$n de9er+ determinar la estrategia de continuidad de negocio a*ro*iada *ara a) *roteger las actiidades *riori5adas 9) esta9ili5ar8 continuar8 reanudar recu*erar las actiidades *riori5adas sus de*endencias recursos de a*oo8 c) mitigar8 res*onder manejar los im*actos# 6a determinaci$n de la estrategia de9er+ incluir la a*ro9aci$n de marcos tem*orales *rioritarios *ara la reanudaci$n de las actiidades# 6a organi5aci$n de9er+ conducir ealuaciones de la ca*acidad de continuidad de negocio de los *roeedores# <#3#2 Esta9lecer los requerimientos de recursos 6a organi5aci$n de9er+ determinar los requerimientos de recursos *ara im*lementar las estrategias seleccionadas# 6os ti*os de recursos considerados de9er+n incluir8 *ero no ser limitados a a) 9) c) d) e) ") g) ')
*ersonas8 in"ormaci$n datos8 edicios8 am9iente de tra9ajo sericios asociados8 instalaciones8 equi*amiento consumi9les8 sistemas de tecnolog7as de la in"ormaci$n comunicaci$n (I/) trans*orte nan5as8 socios *roeedores#
<#3#3 !rotecci$n mitigaci$n !ara identicar riesgos en necesidad de tratamiento8 la organi5aci$n de9er+ considerar medidas *roactias que a) redu5can la *ro9a9ilidad de disru*ci$n8 9) acorten el *eriodo de la disru*ci$n8 c) limiten el im*acto de disru*ci$n en los *roductos sericios claes de la organi5aci$n# 6a organi5aci$n de9er+ elegir e im*lementar tratamientos de riesgo a*ro*iados de acuerdo a su a*etito de riesgo# <#. Esta9lecer e im*lementar *rocedimientos de continuidad de negocios <#.#1 %eneral 6a organi5aci$n de9er+ esta9lecer8 im*lementar8 mantener los *rocedimientos de continuidad de negocio *ara manejar un incidente
International StandardISO22301:2012(E) disru*tio continuar sus actiidades 9asadas en los o9jetios de recu*eraci$n identicados en el an+lisis de im*acto del negocio# 6a organi5aci$n de9er+ documentar los *rocedimientos (incluendo los arreglos necesarios) *ara asegurar la continuidad de las actiidades la administraci$n de un incidente disru*tio# El *rocedimiento de9er+ a) esta9lecer un *rotocolo de comunicaciones e4terno e interno a*ro*iado8 9) ser es*ec7co con res*ecto a los *asos inmediatos que se de9er+n llear a ca9o al momento de una disru*ci$n8 c) ser Qe4i9le *ara res*onderlas amena5as no antici*adas las condiciones internas e4ternas que son cam9iantes8 d) en"oque en el im*acto de los eentos que *odr7an *otencialmente interrum*ir las o*eraciones8 e) ser desarrollado en 9ase a su*uestos esta9lecidos un an+lisis de interde*endencias8 ") ser e"ectio al minimi5ar las consecuencias a tras de la im*lementaci$n de estrategias de mitigaci$n a*ro*iadas# <#.#2 Estructura de res*uesta de incidentes 6a organi5aci$n de9er+ esta9lecer8 documentar8 e im*lementar *rocedimientos estructuras administratias *ara res*onder a los eentos disru*tios utili5ando *ersonal con la res*onsa9ilidad8 autoridad com*etencia necesaria *ara manejar un incidente# 6a estructura de res*uesta de9er+ a) identicar el um9ral de im*acto que justica el inicio res*uesta "ormal8 9) eal@a la naturale5a grado del eento disru*tio su im*acto *otencial8 c) actiidad una res*uesta de continuidad de negocios a*ro*iada d) tener *rocesos *rocedimientos *ara la actiaci$n8 o*eraci$n8 coordinaci$n8 comunicaci$n de la res*uesta8 e) tener los recursos dis*oni9les *ara a*oar los *rocesos *rocedimientos *ara manejar un incidente disru*tio *ara lograr minimi5ar el im*acto8 ") comunicarse con las *artes interesadas las autoridades8 al igual que con los medios# 6a organi5aci$n de9er+ decidir8 considerando la seguridad de la ida como *rimera *rioridad en consulta con las *artes interesadas releantes8 si se de9er+ comunicar e4ternamente so9re riesgos e im*actos signicatios documentar la decisi$n# Si la decisi$n es comunicar8 entonces la organi5aci$n de9er+ esta9lecer e im*lementar *rocedimientos *ara su comunicaci$n e4terna8 alertas adertencias incluendo a los medios seg@n sea a*ro*iado#
International StandardISO22301:2012(E) <#.#3 dertencia comunicaci$n 6a organi5aci$n de9er+ esta9lecer8 im*lementar mantener *rocedimientos *ara a) detectar un incidente8 9) monitoreo regular de un incidente8 c) comunicaci$n interna dentro de la organi5aci$n rece*ci$n8 documentaci$n res*uesta a la comunicaci$n de las *artes interesadas8 d) reci9ir8 documentar res*onder a cualquier sistema nacional o regional de asesor7a de riesgo ( o equialente)8 e) asegurar dis*oni9ilidad de los medios de comunicaci$n durante un incidente disru*tio ") "acilitar la comunicaci$n estructurada con res*ondedores de emergencia8 g) gra9aciones de in"ormaci$n ital so9re el incidente8 acciones tomadas decisiones que se 'icieron8 lo siguiente de9er+ tam9in ser considerado e im*lementado donde a*lique: alertar a las *artes interesadas *otencialmente im*actadas *or un incidente disru*tio real o inminenteD asegurar la intero*era9ilidad de organi5aciones con res*ondedores m@lti*les *ersonalD o*eraciones de una in"raestructura de comunicaciones# •
•
•
6a comunicaci$n *rocedimientos de adertencia de9en ser ejercitados regularmente# <#.#. !lanes de continuidad de negocios 6a organi5aci$n de9er+ esta9lecer *rocedimientos documentados *ara res*onder a incidentes disru*tios como se de9er+ continuar o recu*erar sus actiidades en un marco tem*oral *redeterminado# /ales *rocedimientos de9er+n a9ordar los requerimientos de aquellos quienes los utili5ar+n# 6os *lanes de continuidad de negocios de9er+n8 colectiamente8 contener a) roles res*onsa9ilidades denidas *ara las *ersonas equi*os que tengan autoridad durante des*us de un incidente8 9) un *rocesos *ara actiar una res*uesta8 c) detalles *ara manejar las consecuencias inmediatas de un incidente disru*tio teniendo de9idamente en cuenta 1) el 9ienestar de los indiiduos8 2) o*ciones estratgicas8 t+cticas o*eracionales *ara res*onder a la disru*ci$n8 3) *reenci$n de maores *rdidas o indis*oni9ilidad de actiidades *riori5adasD
International StandardISO22301:2012(E) d) detalles de c$mo 9ajo qu circunstancias la organi5aci$n le comunicar+ a los em*leados sus "amiliares8 *artes interesadas claes contactos de emergencia8 e) como la organi5aci$n continuar+ o recu*erar+ sus actiidades *riori5adas dentro de marcos tem*orales *redeterminados8 ") detalles de las res*uestas medi+ticas de la organi5aci$n des*us del incidente8 incluendo 1) una estrategia de comunicaciones8 2) inter"a5 *re"erida con los medios8 3) gu7a o *lantilla *ara la ela9oraci$n de una declaraci$n *ara los medios8 .) un *ortaoces a*ro*iadoD g) un *roceso *ara 9ajar una e5 que termina el incidente# ada *lan de9er+ denir • • • • • • • • •
*ro*$sito alcance o9jetios criterios de actiaci$n *rocedimientos8 im*lementaci$n de *rocedimientos8 roles8 res*onsa9ilidades8 autoridades8 requerimientos *rocedimientos de comunicaci$n8 interde*endencias e interacciones internas e4ternas requerimientos de recursos8 Qujo de in"ormaci$n documentaci$n de *rocesos#
<#.# Recu*eraci$n 6a organi5aci$n de9er+ tener *rocedimientos documentados *ara resta9lecer deoler las actiidades del negocio de las medidas ado*tadas tem*oralmente *ara a*oar los requerimientos normales del negocio tras un incidente# <# Ejercicios testeo 6a organi5aci$n de9er+ ejercitar *ro9ar su s *rocedimientos de continuidad de negocios *ara asegurar que son consistentes con los o9jetios de continuidad del negocio# 6a organi5aci$n de9er+ conducir ejercicios *rue9as que a) sean consistentes con un alcance o9jetios del ?>S8 9) estn 9asados en escenarios a*ro*iados que estn 9ien *laneados con o9jetios metas claramente denidas8 c) que al unirlos a tras del tiem*o *ueden alidar el total de los arreglos de continuidad de negocio8 inolucrando a las *artes interesadas releantes8 d) minimi5ar el riesgo de interru*ci$n de o*eraciones8
International StandardISO22301:2012(E) e) *roducir re*ortes "ormales *ost-ejercicios que contengan resultados8 recomendaciones acciones *ara im*lementar mejoras8 ") son reisados dentro del conte4to de *romoer mejoras continuas8 g) son conducidas en interalos *laneados cuando 'a cam9ios signicatios dentro de la organi5aci$n o el am9iente donde o*eran#
International StandardISO22301:2012(E) 1,.
-valuación de rendimiento
=#1 >onitoreo8 medida8 an+lisis ealuaci$n =#1#1 %eneral 6a organi5aci$n de9er+ determinar a) que necesita ser monitoreado medido8 9) los mtodos a*lica9les *ara monitorear8 medir8 anali5a ealuar8 *ara asegurar resultados +lidos8 c) cuando de9er+ ser lleado a ca9o el monitoreo medici$n8 d) cuando de9er+n ser anali5ados ealuados los resultados del monitoreo la ealuaci$n# 6a organi5aci$n de9er+ retener in"ormaci$n documentada a*ro*iada como eidencia de los resultados 6a organi5aci$n de9er+ ealuar el rendimiento del ?>S la e"ectiidad de este# dicionalmente8 la organi5aci$n de9er+ •
•
actuar cuando sea necesario a9ordar tendencias o resultados adersos antes de que ocurra una discon"ormidad8 retener in"ormaci$n documentada releante como eidencia de sus resultados#
6os *rocedimientos de monitoreo de rendimiento de9er+n *roeer *ara •
•
•
•
• •
el conjunto de mtricas de rendimiento a*ro*iadas *ara las necesidades de la organi5aci$n8 monitoreo del grado al cual la *ol7tica8 o9jetios metas de continuidad de negocio de la organi5aci$n son alcan5ados8 rendimiento de los *rocesos8 *rocedimientos "unciones que *rotegen las actiidades *riori5adas8 monitoreo del cum*limiento con este est+ndar internacional los o9jetios de continuidad de negocio8 monitoreo de eidencia 'ist$rica de rendimientos decientes de ?>S8 registro de datos resultados del monitoreo medici$n *ara "acilitar acciones correctias su9siguientes#
,O/ Rendimiento deciente *odr7a incluir la no con"ormidad8 G near misses8 "alsas alarmas e incidentes reales# =#1#2 Ealuaci$n de los *rocedimientos de continuidad de negocios
International StandardISO22301:2012(E) a) 6a organi5aci$n de9er+ conducir ealuaciones de sus *rocedimientos ca*acidades de continuidad de negocios con el n de asegurar su idoneidad8 adecuaci$n e"ectiidadD 9) Estas ealuaciones de9er+n ser reali5adas a tras de reisiones *eri$dicas8 ejercicios8 *rue9as8 re*ortes *ost-incidentes ealuaciones de rendimiento# am9ios signicatios de9er+n ser reQejados en los *rocedimientos de manera o*ortunaD c) 6a organi5aci$n de9er+ ealuar el cum*limiento *eri$dicamente con a*licaci$n de requerimientos legales de recu*eraci$n8 mejores *r+cticas de la industria8 en con"ormidad con sus *ro*ias *ol7ticas o9jetios de continuidad de negociosD d) 6a organi5aci$n de9er+ conducir ealuaciones en interalos *laneados cuando sucedan cam9ios signicatios# uando ocurre un incidente disru*tios resulta en la actiaci$n de los *rocedimientos de continuidad de negocio8 la organi5aci$n de9er+ llear a ca9o una reisi$n *ost-incidente registrar los resultados# =#2 uditor7a interna 6a organi5aci$n de9er+ conducir auditor7as internas en interalos *laneados *ara *roeer in"ormaci$n so9re si el sistema de administraci$n de continuidad de negocio a) esta en con"ormidad con 1) los requisitos *ro*ios de la organi5aci$n *ara su ?>S8 2) los requerimientos de este est+ndar internacional8 9) esta e"ectiamente im*lementada mantenida# 6a organi5aci$n de9er+ •
• •
•
•
*lanear8 esta9lecer8 im*lementar mantener *rogramas de auditor7a8 incluendo la "recuencia8 mtodos8 res*onsa9ilidades8 *laneaci$n de requerimientos re*ortes# El *rograma de auditor7a de9er+ tomar en consideraci$n la im*ortancia del *rocesos en cuesti$n los resultados de auditor7as *reias8 denir el criterio alcance de auditor7a8 seleccionar auditores conducir auditor7as *ara asegurar o9jetiidad la im*arcialidad del *roceso de auditor7a8 asegurar que los resultados de las auditor7as sean re*ortados a la administraci$n releante8 retener la in"ormaci$n documentada como eidencia de la im*lementaci$n del *rograma de auditor7a los resultados de auditor7a#
El *rograma de auditor7a8 incluendo cualquier 'orario8 de9e estar 9asado en los resultados de la ealuaci$n del riesgo de las actiidades de la organi5aci$n8 los resultados de auditor7as *reias# 6os *rocedimientos de auditor7a de9er+n
International StandardISO22301:2012(E) cu9rir el alcance8 "recuencia8 metodolog7a com*etencias8 al igual que res*onsa9ilidades requerimientos *ara conducir auditor7as la *resentaci$n de resultados en in"ormes# 6a administraci$n res*onsa9le *ara el +rea siendo auditada de9er+ asegurar que las correcciones acciones correctias necesarias sean tomadas sin retrasos *ara eliminar las discon"ormidades detectadas sus causas# ctiidades de seguimiento de9er+n incluir la ericaci$n de las acciones lleadas a ca9o la entrega de in"ormes con la ericaci$n de resultados# =#3 Reisi$n de gesti$n 6a lta &irecci$n de9er+ reisar el ?>S de la organi5aci$n8 en interalos *laneados8 *ara asegurar su idoneidad8 adecuaci$n e"ectiidad# 6a reisi$n de la administraci$n de9er+ incluir consideraci$n *ara a) el estado de las acciones de reisiones administratias anteriores 9) cam9ios en asuntos internos e4ternos que sean releantes en el sistema de administraci$n de continuidad de negocios8 c) in"ormaci$n so9re el rendimiento de la continuidad del negocio8 incluendo tendencias en 1) no con"ormidad acciones correctias 2) monitoreo medici$n de los resultados de la ealuaci$n8 3) resultados de auditor7a8 d) o*ortunidades *ara mejoras continuas# Reisiones administratias considerar+n el rendimiento de la organi5aci$n8 incluendo • • • •
•
• • •
•
• • • •
acciones de seguimiento de reisiones administratias anteriores8 la necesidad de cam9io del ?>S8 incluendo *ol7ticas o9jetios8 o*ortunidades de mejora8 resultados de las auditor7as reisiones del ?>S8 incluendo los *roeedores socios claes donde corres*onda8 tcnicas8 *roductos o *rocesos8 que *odr7an ser utili5ados *ara mejorar el rendimiento e"ectiidad del ?>S8 estado de la acci$n correctia resultados de ejercicios testeo8 riesgos asuntos no a9ordados adecuadamente en ninguna ealuaci$n del riesgo *reia8 cualquier cam9io que *udiera a"ectar al ?>S8 sea interno o e4terno al alcance del ?>S8 adecuaci$n de la *ol7tica8 recomendaciones de mejora8 lecciones a*rendidas acciones leantadas de incidentes disru*tios8 9uenas *r+cticas gu7as emergentes#
International StandardISO22301:2012(E) 6os resultados de las reisiones administratias incluir+n decisiones relacionadas o*ortunidades de mejoras continuas las *osi9les necesidades de cam9io al ?>S8 e incluen lo siguiente: a) ariaciones al alcance del ?>SD 9) mejoras a la e"ectiidad del ?>SD c) actuali5aci$n de la ealuaci$n del riesgo8 an+lisis de im*acto al negocio8 *lanes de continuidad de negocio *rocedimientos relacionadosD d) modicaci$n de los *rocedimientos controles *ara res*onder a los eentos internos e4ternos que *uedan im*actar en el ?>S8 incluendo cam9ios a 1) requerimientos de negocios o*eracionales8 2) requerimientos de seguridad de reducci$n de riesgos8 3) condiciones *rocesos o*eracionales8 .) requerimientos legales regulatorios8 ) o9ligaciones contractuales8 ) nieles de riesgos Ao criterios *ara ace*tar riesgos8 ;) recursos necesarios8 <) requerimientos de nanciamiento *resu*uesto8 e) como se mide la e"ectiidad de los controles# 6a organi5aci$n de9er+ retener la in"ormaci$n documentada como eidencia de los resultados de las reisiones administratias# 6a organi5aci$n de9er+ •
•
comunicar los resultados de la reisi$n a las *artes interesadas releantes8 actuar a*ro*iadamente en relaci$n a aquellos resultados#
International StandardISO22301:2012(E) 11.
e/oras
10#1 ,o con"ormidad acciones correctias uando ocurre una discon"ormidad8 la organi5aci$n de9er+ a) identicar esta discon"ormidad 9) reaccionar a la discon"ormidad8 seg@n a*lique8 1) actuar *ara controlar corregirlo8 2) en"rentarse a las consecuencias c) ealuar la necesidad de acci$n *ara eliminar la causa de la discon"ormidad8 con el n que esta no se re*ita u ocurra en otro lugar8 al 1) reisar la discon"ormidad8 2) determinar las causas de la discon"ormidad8 3) determinar si e4isten discon"ormidades similares8 o que *odr7an ocurrir *otencialmente8 .) ealuar la necesidad de acci$n correctia *ara asegurar que las discon"ormidades no se re*itan u ocurran en otra *arte8 ) determinar e im*lementar las acciones correctias necesitadas8 ) reisar la e"ectiidad de cualquier acci$n correctia lleada a ca9o ;) 'acer cam9ios al ?>S8 si es que estos "ueran necesarios# d) Im*lementar cualquier acci$n necesaria8 e) Reisar la e"ectiidad de cualquier acci$n correctia lleada a ca9o8 ") acer cam9ios al ?>S8 si es que "uera necesario# 6as acciones correctias ser+n a*ro*iadas *ara e"ectos de la discon"ormidad encontrada# 6a organi5aci$n retendr+ la in"ormaci$n documentada como eidencia de •
•
la naturale5a de las discon"ormidades cualquier acci$n que le siguiera8 los resultados de cualquier acci$n correctia#
10#2 >ejoras continuas 6a organi5aci$n mejorar+ e"ectiidad del ?>S#
continuamente
la
idoneidad8
adecuaci$n
o
,O/ 6a organi5aci$n *uede utili5ar los *rocesos del ?>S como lidera5go8 *laneaci$n ealuaci$n del rendimiento8 *ara lograr mejoras#
International StandardISO22301:2012(E)
?i9liogra"7a J1K ISO =0018 Sistemas de administraci$n de calidad - Requerimientos J2K ISO 1.0018 Sistemas de administraci$n am9iental8 Requerimientos con gu7a *ara uso J3K ISO 1=0118 &irectrices *ara auditar sistemas de administraci$n J.K ISOAIE 20000-18 /ecnolog7a de la in"ormaci$n – dministraci$n de sericios JK ISO 223008 Seguridad de sociedad - /erminolog7a JK ISOA!S 223==8 Seguridad de sociedad – &irectrices *ara la *re*araci$n ante incidentes administraci$n de continuidad o*eracional J;K ISOAIE 2.;28 /ecnolog7a de la in"ormaci$n – /cnicas de seguridad – &irectrices *ara los sericios de recu*eraci$n de desastres de la tecnolog7a de in"ormaci$n comunicaci$n Jinisterio de Econom7a8 Intercam9io e industria (a*$n)8 200