Seguridad de la Sociedad: Sistemas de Continuidad del Negocio – Requisitos ISO 22301:2012
ISO/FDIS 22301
Contenido Pág. Introducción………………………………………………………..………….………..………… Introducción………………………………………………………..………….………..………… 4 0.1 0.2
General………………………………………………………………………….….…… General………………………………………………………………………….….…… 4 4 El Ciclo Plan – Plan – Do Do – – Check Check – – Act Act……………………………….……………………. ……………………………….……………………. 4 4
1
Alcance……………………………….……………………..…………………………… Alcance……………………………….……………………..…………………………… 6
2
Referencias normativas……………………………….…………….…………...……. normativas ……………………………….…………….…………...……. 6 6
3
Términos y definiciones……………………………….…………….…………...……. definiciones……………………………….…………….…………...……. 6 6
4 4.1 4.2 4.3
Requerimientos Generales……………………………….………………...………….. Generales ……………………………….………………...…………..11 11 Entendiendo la organización y su contexto…………………… contexto……………………... ...………….……… ………….……… 11 Necesidades y requerimientos…………………… requerimientos ……………………... ...………….……….…………… ………….……….…………… 11 Gestión del sistema y alcance…………………… alcance ……………………... ...………….…………………….. ………….…………………….. 11
5 5.1 5.2 5.3 5.4
Liderazgo…………………… Liderazgo……………………... ...………….…………………………………………...… ………….…………………………………………...… 11 General…………………… General……………………... ...………….…………………………… ………….……………………………... ...………….…… ………….…….. .. 11 Compromiso gerencial…………………… gerencial……………………... ...………….……………………………… ………….……………………………… 12 12 Política…………………… Política……………………... ...………….………………………………………………… ………….…………………………………………………12 12 Roles organizacionales, responsabilidades y autoridades………………………. autoridades ………………………. 12
6 6.1 6.2
Planeamiento…………………… Planeamiento……………………... ...………….…………………………………….…... ………….…………………………………….…... 13 Objetivos y planes para alcanzarlos…………………… alcanzarlos ……………………... ...…………..…………… …………..……………... ... 13 Acciones para atender aspectos e inquietudes…………………… inquietudes ……………………... ...………….… ………….….. .. 13
7 7.1 7.2 7.3 7.4 7.4.1 7.4.2 7.5 7.5.1 7.5.2 7.5.3
Apoyo…………………… Apoyo……………………... ...………….………………………………….……………… ………….………………………………….……………… 14 Recursos…………………… Recursos……………………... ...………….……………………………………………… ………….……………………………………………… 14 Competencia…………………… Competencia……………………... ...………….…………………………………………. ………….…………………………………………. 14 Toma de conciencia…………………… conciencia……………………... ...………….…………………………………. ………….…………………………………. 14 Comunicación…………………………………………………………………………… Comunicación…………………………………………………………………………… 14 Comunicación externa…………………… externa ……………………... ...………….………………………………. ………….………………………………. 14 Comunicación interna…………………… interna……………………... ...………….……………………………….. ………….……………………………….. 14 información documentada…………………… documentada……………………... ...………….………...…………...…… ………….………...…………...…… 14 General…………………… General……………………... ...………….……………..……………………...….……… ………….……………..……………………...….……… 14 Creación y actualización…………………… actualización ……………………... ...………….……………………………. ………….……………………………. 15 Control de información documentada…………………… documentada ……………………... ...………….……………... ………….……………...15 15
8 8.1 8.2 8.3 8.4 8.4.1 8.4.2 8.4.3 8.4.4 8.5 8.5.1 8.5.2 8.5.3 8.5.4 8.5.5 8.5.6
Operación…………………… Operación……………………... ...………….…………………………………………..… ………….…………………………………………..… 16 General…………………… General……………………... ...………….………………............................................. 16 ………….………………............................................. 16 Planeación operacional y control…………………… control ……………………... ...………….………..………… ………….………..………… 16 16 Preparación…………………… Preparación……………………... ...………….………………………………………...… ………….………………………………………...… 16 Planeación…………………… Planeación……………………... ...………….…………..……………………………….. ………….…………..……………………………….. 17 17 Compromiso gerencial…………………… gerencial……………………... ...………….………………………………. ………….……………………………….17 17 Desarrollo de política…………………… política ……………………... ...………….………………………………... ………….………………………………... 18 Business impact analysis y evaluación del riesgo…………………… riesgo ……………………... ...………….. ………….. 18 Opciones para continuidad del negocio…………………… negocio ……………………... ...………….…………... ………….…………... 20 Desempeño…………………… Desempeño……………………... ...………….…………………………………...……… ………….…………………………………...……… 21 Desarrollo e implementación de una respuesta a continuidad del negocio…….. negocio …….. 21 Estructura de respuesta…………………… respuesta……………………... ...………….…………………………….. ………….…………………………….. 21 Alerta y comunicación…………………… comunicación ……………………... ...………….………………………………. ………….………………………………. 22 22 Respuesta…………………… Respuesta ……………………... ...………….……………………………………………. ………….……………………………………………. 22 22 Planes de continuidad del negocio…………………… negocio……………………... ...………….……………….. ………….……………….. 23 Procedimiento requerimiento de respuesta…………………… respuesta ……………………... ...………….……… ………….……….. 23 2
ISO/FDIS 22301
Contenido Pág. Introducción………………………………………………………..………….………..………… Introducción………………………………………………………..………….………..………… 4 0.1 0.2
General………………………………………………………………………….….…… General………………………………………………………………………….….…… 4 4 El Ciclo Plan – Plan – Do Do – – Check Check – – Act Act……………………………….……………………. ……………………………….……………………. 4 4
1
Alcance……………………………….……………………..…………………………… Alcance……………………………….……………………..…………………………… 6
2
Referencias normativas……………………………….…………….…………...……. normativas ……………………………….…………….…………...……. 6 6
3
Términos y definiciones……………………………….…………….…………...……. definiciones……………………………….…………….…………...……. 6 6
4 4.1 4.2 4.3
Requerimientos Generales……………………………….………………...………….. Generales ……………………………….………………...…………..11 11 Entendiendo la organización y su contexto…………………… contexto……………………... ...………….……… ………….……… 11 Necesidades y requerimientos…………………… requerimientos ……………………... ...………….……….…………… ………….……….…………… 11 Gestión del sistema y alcance…………………… alcance ……………………... ...………….…………………….. ………….…………………….. 11
5 5.1 5.2 5.3 5.4
Liderazgo…………………… Liderazgo……………………... ...………….…………………………………………...… ………….…………………………………………...… 11 General…………………… General……………………... ...………….…………………………… ………….……………………………... ...………….…… ………….…….. .. 11 Compromiso gerencial…………………… gerencial……………………... ...………….……………………………… ………….……………………………… 12 12 Política…………………… Política……………………... ...………….………………………………………………… ………….…………………………………………………12 12 Roles organizacionales, responsabilidades y autoridades………………………. autoridades ………………………. 12
6 6.1 6.2
Planeamiento…………………… Planeamiento……………………... ...………….…………………………………….…... ………….…………………………………….…... 13 Objetivos y planes para alcanzarlos…………………… alcanzarlos ……………………... ...…………..…………… …………..……………... ... 13 Acciones para atender aspectos e inquietudes…………………… inquietudes ……………………... ...………….… ………….….. .. 13
7 7.1 7.2 7.3 7.4 7.4.1 7.4.2 7.5 7.5.1 7.5.2 7.5.3
Apoyo…………………… Apoyo……………………... ...………….………………………………….……………… ………….………………………………….……………… 14 Recursos…………………… Recursos……………………... ...………….……………………………………………… ………….……………………………………………… 14 Competencia…………………… Competencia……………………... ...………….…………………………………………. ………….…………………………………………. 14 Toma de conciencia…………………… conciencia……………………... ...………….…………………………………. ………….…………………………………. 14 Comunicación…………………………………………………………………………… Comunicación…………………………………………………………………………… 14 Comunicación externa…………………… externa ……………………... ...………….………………………………. ………….………………………………. 14 Comunicación interna…………………… interna……………………... ...………….……………………………….. ………….……………………………….. 14 información documentada…………………… documentada……………………... ...………….………...…………...…… ………….………...…………...…… 14 General…………………… General……………………... ...………….……………..……………………...….……… ………….……………..……………………...….……… 14 Creación y actualización…………………… actualización ……………………... ...………….……………………………. ………….……………………………. 15 Control de información documentada…………………… documentada ……………………... ...………….……………... ………….……………...15 15
8 8.1 8.2 8.3 8.4 8.4.1 8.4.2 8.4.3 8.4.4 8.5 8.5.1 8.5.2 8.5.3 8.5.4 8.5.5 8.5.6
Operación…………………… Operación……………………... ...………….…………………………………………..… ………….…………………………………………..… 16 General…………………… General……………………... ...………….………………............................................. 16 ………….………………............................................. 16 Planeación operacional y control…………………… control ……………………... ...………….………..………… ………….………..………… 16 16 Preparación…………………… Preparación……………………... ...………….………………………………………...… ………….………………………………………...… 16 Planeación…………………… Planeación……………………... ...………….…………..……………………………….. ………….…………..……………………………….. 17 17 Compromiso gerencial…………………… gerencial……………………... ...………….………………………………. ………….……………………………….17 17 Desarrollo de política…………………… política ……………………... ...………….………………………………... ………….………………………………... 18 Business impact analysis y evaluación del riesgo…………………… riesgo ……………………... ...………….. ………….. 18 Opciones para continuidad del negocio…………………… negocio ……………………... ...………….…………... ………….…………... 20 Desempeño…………………… Desempeño……………………... ...………….…………………………………...……… ………….…………………………………...……… 21 Desarrollo e implementación de una respuesta a continuidad del negocio…….. negocio …….. 21 Estructura de respuesta…………………… respuesta……………………... ...………….…………………………….. ………….…………………………….. 21 Alerta y comunicación…………………… comunicación ……………………... ...………….………………………………. ………….………………………………. 22 22 Respuesta…………………… Respuesta ……………………... ...………….……………………………………………. ………….……………………………………………. 22 22 Planes de continuidad del negocio…………………… negocio……………………... ...………….……………….. ………….……………….. 23 Procedimiento requerimiento de respuesta…………………… respuesta ……………………... ...………….……… ………….……….. 23 2
ISO/FDIS 22301
8.5.7 8.5.8 8.5.9 8.6 8.6.1 8.6.2 8.7 8.7.1 8.7.2
Procedimiento respuesta de contenido…………………… contenido ……………………... ...………….…………… ………….…………… 23 23 Recuperación…………………… Recuperación ……………………... ...………….………………………………………… ………….………………………………………… 24 Comunicación y consulta…………………… consulta ……………………... ...………….…………………………… ………….…………………………… 24 Chequeo…………………… Chequeo……………………... ...………….……………………………………………… ………….……………………………………………… 25 25 Ejercicios y pruebas…………………… pruebas ……………………... ...………….…………………………………. ………….…………………………………. 25 Monitoreado el desempeño…………………… desempeño ……………………... ...………….………………………… ………….………………………… 25 Revisión…………………… Revisión……………………... ...………….………………………………………………. ………….………………………………………………. 25 Revisión gerencial…………………… gerencial ……………………... ...………….……………………………………. ………….…………………………………….25 25 Evaluación de procedimientos de continuidad…………………… continuidad ……………………... ...………….…… ………….…… 27
9 9.1 9.2 9.3
Evaluación de desempeño…………………… desempeño……………………... ...………….…………………………. ………….…………………………. 27 27 Monitoreo y medición…………………… medición ……………………... ...………….……………………………….. ………….……………………………….. 27 27 Auditoría interna…………………… interna……………………... ...………….……………………………………... ………….……………………………………... 27 Revisión gerencial…………………… gerencial ……………………... ...………….…………………………………… ………….…………………………………… 28
10 10.1 10.2
Mejoramiento…………………… Mejoramiento……………………... ...………….………………………………………… ………….………………………………………… 29 29 No conformidad y acción correctiva…………………… correctiva ……………………... ...………….………………. ………….………………. 29 Mejoramiento continuado…………………… continuado ……………………... ...………….………………………….. ………….………………………….. 29
Referencias bibliográficas…………………… bibliográficas ……………………... ...………….……………………………………. ………….……………………………………. 30
3
ISO/FDIS 22301
Introducción
General Este estándar internacional especifica requerimientos para establecer y gestionar un efectivo sistema de gestión de Continuidad del Negocio (SGCN). Esto enfatiza la importancia de: a) Entender la continuidad y necesidades de preparación y la necesidad de establecer una política de gestión de continuidad y objetivos. b) Implementando y operando controles y medidas para la gestión global de los riesgos de continuidad. c) Monitoreando y revisando el desempeño y efectividad del SGCN. d) Mejora continuada basada en mediciones objetivas. Un SGCN como cualquier sistema de gestión, tienen los siguientes componentes: e) Una política f) Personas con responsabilidades definidas. g) Gestión de procesos relacionados a: 1) Políticas 2) Planeación 3) Implementación y operación 4) Evaluación de desempeño 5) Gestión de revisiones 6) Mejoramiento h) Un conjunto de documentación que genere evidencia auditable. i) Cualquier proceso de gestión de continuidad relevante a la organización. El Ciclo Plan – Do – Check – Act (PDCA) El estándar aplica el ciclo Plan – Do – Check – Act a la planeación, establecimiento, implementación, operación, monitoreo, revisión, ejercicios, mantenimiento y mejoramiento continuado de la efectividad del SGCN de una organización. Esto asegura un grado de consistencia con otros sistemas de gestión de estándares tales como: ISO 9001:2008, ISO 14001:2004, ISO 27001:2005 e ISO 20000-1:2011. (Ver anexo A) 4
ISO/FDIS 22301
La figura Nº 1 ilustra como un SGCN tomó requerimientos de insumos de “partes interesadas” para la gestión de continuidad y a través de las necesarias acciones y procesos, produce resultados de continuidad que satisfacen los requerimientos.
Preparación para la Mejora Continua y Sistema de Gestión Continua
Establecimiento Plan
Partes Interesadas
Partes Interesadas
Requerimientos para Preparación y Gestión de la Continuidad
Mantener, Mejorar Actuar
Implementación y Operación Do Gestión de la Preparación y Continuidad Monitoreo y Revisión Check
Figura 1 - Ciclo PDCA Aplicado al Proceso de Continuidad del Negocio
5
ISO/FDIS 22301
Seguridad de la Sociedad – Preparación y Gestión de la Continuidad de Sistemas – Requerimientos
1 Alcance Este estándar internacional para la continuidad del negocio específica requerimientos para planear, establecer, implementar, operar, monitorear, revisar, mantener y continuamente mejorar un sistema de gestión de continuidad documentada, para prepararse para, responder y recuperarse de interrupciones. Los requerimientos especificados en este estándar internacional son genéricos y tienen la intención de ser aplicables a todo tipo de organizaciones, al margen de su tipo, tamaño y naturaleza de la organización. El grado de extensión de la aplicación de estos requerimientos depende de la complejidad y del ambiente operativo de la organización. No es la intención de este estándar internacional de conllevar uniformidad en la estructura de SGCN, pero si para que una empresa diseñe un SGCN que sea apropiado a sus necesidades y que permita cumplir los requerimientos de sus partes interesadas. Estas necesidades están moldeadas por requerimientos regulatorios, organizacionales y requerimientos de productos y servicios, los procesos empleados, el tamaño y estructura de la organización y los requerimientos de las partes interesadas. Este estándar internacional es aplicable a todo tipo y tamaño de organización que desea: a) Establecer, implementar, mantener y mejorar un SGCN. b) Asegurar conformidad con la política SGCN. c)
Demostrar conformidad a terceros.
d) Buscar la certificación internacional. e) Realizar una autodeterminación y autodeclaración con el estándar. El estándar internacional puede usarse para evaluar la habilidad organizacional en alcanzar sus propias obligaciones de continuidad.
2 Referencias Normativas Las siguientes referencias documentadas son indispensables para la aplicación de este documento. ISO / IES Lineamiento 73:2009 Gestión del Riesgo – Vocabulario.
3 Términos y definiciones Para el propósito de este documento, los términos y definiciones del ISO / IEC Lineamiento 73:2009 y los que vienen a continuación aplican 6
ISO/FDIS 22301
3.1 Auditoría Proceso para obtener evidencia y evaluarla objetivamente para determinar el grado en que requerimientos específicos han sido alcanzados. 3.2 Gestión de Continuidad del Negocio Proceso de gestión que provee un marco conceptual para crear una salvaguarda a los objetivos de la organización incluyendo sus obligaciones. 3.3 Business Impact Analysis Proceso de análisis de funciones organizacionales y el efecto de una interrupción en ellas. 3.4 Competencia Habilidad demostrada en aplicar conocimiento y destrezas para alcanzar resultados predeterminados. 3.5 Conformidad Cumplir con un requerimiento. 3.6 Mejora continua Actividad para mejora del desempeño. 3.7 Corrección Acción para eliminar una no conformidad detectada. 3.8 Acción correctiva Acción para eliminar la causa de una no conformidad u otra situación no deseada y prevenir su recurrencia. 3.9 Documento Información y su medio de soporte. NOTA 1, El medio puede ser papel, medio magnético, electrónico o disco óptico, fotográfico o una combinación. NOTA 2, Conjunto de documentos, por ejemplo especificaciones y registros, frecuentemente llamados documentación. 3.10 Efectividad Grado en el cual actividades son realizadas y resultados planeados alcanzados. 3.11 Eficiencia Relación entre resultados alcanzados y los recursos usados. 3.12 Evento Ocurrencia o cambio de un conjunto de circunstancias. NOTA 1, Un evento puede ser una o más ocurrencias y tener varias causas. NOTA 2, Un evento puede consistir en algo que no ocurra. 7
ISO/FDIS 22301
NOTA 3, Un evento puede referirse a un incidente o accidente. NOTA 4, Un evento sin consecuencias puede referirse a “casi incidente” 3.13 Ejercicio Instrumento para entrenar, evaluar, practicar y mejorar el desempeño y capacidades en un ambiente controlado. 3.14 Infraestructura Sistema de facilidades, equipos y servicios necesarios para la operación de una organización. 3.15 Parte interesada Parte afectada con interés en el éxito de una organización o actividad. 3.16 Sistema de gestión Conjunto de elementos interrelacionados para establecer políticas, objetivos y procesos para alcanzar objetivos NOTA, El sistema de gestión organizacional puede atender un campo limitado tal como calidad o ambiente. Un sistema de gestión que mezcla más de un área referido como “Sistema integrado de gestión”. 3.17 Monitoreado Observación de desempeño planeado. 3.18 Acuerdo de ayuda mutua Un acuerdo pre arreglado desarrollado entre dos partes a más entidades para dar asistencia a las partes del acuerdo. 3.19 No conformidad No cumplimiento con requerimientos. 3.20 Objetivo Resultado deseado, planteado por la organización. 3.21 Control de operaciones Proceso, práctica u otra acción que asegura resultados en la gestión. 3.22 Planeación de operaciones Esquema especificando el enfoque, los elementos de gestión y recursos a aplicarse a la gestión de una organización. 3.23 Organización Persona o grupo de individuos que tienen sus propias funciones con responsabilidades, autoridades y relaciones para alcanzar objetivos. NOTA 1, El concepto de organización incluye, pero no se limita a la compañía, corporación, firma, empresa, autoridad, sociedad o institución, pública o privada. 8
ISO/FDIS 22301
NOTA 2, Para una organización con más de una entidad operativa, una unidad puede definirse como organización. 3.24 Desempeño Resultado medible. NOTA 1, Desempeño puede estar relacionado a actividades, procesos, sistemas y productos. NOTA 2, Desempeño incluye no sólo el resultado del progreso contra objetivos, pero puede también incluir el grado de implementación de un sistema de gestión. 3.25 Evaluación del desempeño Proceso de determinar resultados medibles 3.26 Personal Personas trabajando para o bajo el control de la organización. Nota, el concepto de personal incluye, pero no es limitativo a empleados y personal a medio tiempo. 3.27 Política Intenciones y dirección de una organización formalmente expresada por la alta gerencia. 3.28 Prevención Medidas que permiten a una organización evitar posibles interrupciones. 3.29 Acción preventiva Acción para reducir o eliminar un riesgo. 3.30 Procedimiento Manera específica de llevar a cabo una actividad o un proceso. 3.31 Protección Medidas que permiten a una organización evitar o limitar la posibilidad o consecuencias de una interrupción. 3.32 Actividades priorizadas Actividades a las cuales se les debe dar prioridad luego de la aparición de un incidente para poder mitigar los impactos. Nota, Términos usualmente usados son: críticas, esenciales, vitales, urgentes y claves. 3.33 Registros Declaración de resultados alcanzados o evidencia de actividades desempeñadas. 3.34 Requerimientos Necesidad o expectativa que está planteada, generalmente obligatoria. 3.35 Riesgo Efecto de incertidumbre en objetivos. 9
ISO/FDIS 22301
NOTA 1, Un efecto es una desviación de lo esperado – positivo / negativo NOTA 2, Incertidumbre es el estado parcial o una deficiencia de información relacionada a un evento. La combinación de consecuencias y posibilidad de ocurrencia de un evento puede ser usado para caracterizar un riesgo. NOTA 3, Objetivos pueden tener diferentes aspectos (financiero, salud y seguridad) y pueden aplicarse a diferentes niveles. 3.36 Apetito al riesgo Monto y tipo de riesgo que una organización está preparada a buscar, aceptar o tolerar. 3.37 Fuente de riesgo Elemento solo o en combinación tiene el potencial intrínseco de generar riesgo. Nota, Una fuente de riesgo puede ser tangible o intangible. ISO / IEC Guía 73. 3.38 Parte interesada Persona u organización que puede afectar, ser afectada o percibirse en ser afectada por una decisión o actividad. NOTA, Un tomador de decisiones puede ser una parte interesada. 3.39 Test Ver: pruebas 3.40 Pruebas Procedimiento para evaluar, un medio de determinar la presencia, calidad o veracidad de algo. NOTA 1, Prueba puede referirse a ensayo. NOTA 2, Pruebas usualmente aplica a planes de apoyo. 3.41 Alta gerencia Persona o grupo de personas que dirige y controla una organización al más alto nivel. 3.42 Verificación Confirmación, a través de la provisión de evidencias que especifican requerimientos que han sido alcanzados. 3.43 Ambiente laboral Conjunto de condiciones bajo las cuales se desempeña el trabajo. NOTA, Condiciones incluye: física, sociales, psicológicas y factores ambientales.
10
ISO/FDIS 22301
4 Requerimientos generales 4.1 Entendimiento a la organización y su contexto La organización debe determinar los factores externos e internos que son relevantes a su propósito y que afectan su habilidad de alcanzar resultados esperados en su SGCN. Estos factores deben considerar al establecerse, implementarse y mantenerse el SGCN de la organización y asignaciones priorizadas. NOTA, Las organizaciones de todo tipo, tamaño y complejidad operan en circunstancias que están sujetas a oportunidades, cambio y riesgo, consecuentemente la organización evalúa dicha información para poder innovar, mantener y mejorar la efectividad de su sistema de gestión durante la planeación de corto y largo plazo. 4.2 Necesidades y requerimientos Al establecerse el SGCN, la organización debe determinar: -
Las partes interesadas relevantes; y
-
Sus necesidades y requerimientos, incluyendo requerimientos legales aplicables.
NOTA, El balance de necesidades puede ser alcanzado por la organización dando el peso a las necesidades de las partes interesadas, por ejemplo: consumidores, propietarios, sociedad, etc. 4.3 Gestión del sistema y alcance La organización debe establecer, implementar, mantener y mejorar el SGCN en concordancia con los requerimientos de este estándar internacional. La organización debe considerar: -
Los factores internos y externos referidos en 4.1;
-
Las necesidades y requerimientos referidos en 4.2,
Y determinar aspectos e inquietudes para: -
Asegurar que el sistema de gestión puede alcanzar los resultados esperados;
-
Prevenir efectos no deseados;
-
Atender oportunidades para la mejora.
La organización debe definir y retener información documentada sobre el alcance del SGCN, de tal forma que los límites y aplicabilidad del SGCN puede estar claramente comunicada a partes internas y externas.
5 Liderazgo 5.1 General La alta gerencia debe demostrar liderazgo con respecto al SGCN a través de: 11
ISO/FDIS 22301
-
Dirigir y controlar visiblemente la operación y dirección global;
-
Motivar a personas para asegurar que el SGCN apoya el desempeño de la continuidad comercial de la organización.
NOTA, Liderazgo no está restringido sólo alta dirección. 5.2 Compromiso de la gerencia La alta gerencia debe demostrar su compromiso a través de: -
Asegurando que el SGCN es compatible con la dirección estratégica de la organización;
-
Integrando los requerimientos del SGCN en los procesos de la organización;
-
Proveyendo los recursos para establecer, implementar, mantener y continuamente mejorar el SGCN (ver 7.1);
-
Comunicando la importancia de la efectividad del SGCN y conformidad con los procesos del SGCN;
-
Desarrollando efectivas revisiones gerenciales para asegurar que el SGCN alcanza sus resultados esperados;
-
Dirigiendo y apoyando la mejora continua.
NOTA, La referencia “comercial” en este estándar internacional debiera interpretarse ampliamente para indicar aquellas actividades que son esenciales al propósito de la existencia de la empresa. 5.3 Política La alta gerencia debe establecer y comunicar una política de continuidad del negocio. La política debe: a) Ser apropiada para el propósito de la organización; b) Proveer el marco para establecer objetivos; c)
Incluir un compromiso para la mejora continua del SGCN;
d) Estar implementada; e) Ser revisada por su continua idoneidad; y f)
Estar disponible para las partes interesadas.
La organización debe retener información documentada en la política. 5.4 Roles, responsabilidades y autoridades La alta dirección debe asegurarse que las responsabilidades y autoridades para los roles relevantes son asignados y comunicados en la organización. La alta dirección debe asignar la responsabilidad y autoridad para:
12
ISO/FDIS 22301
a) Asegurarse el sistema de gestión establecido e implementado en concordancia con los requerimientos de este estándar internacional; b) Reportando el desempeño del SGCN a la alta gerencia.
6 Planeación 6.1 Objetivos y planes para alcanzarlos La alta dirección debe asegurarse que los objetivos están establecidos para funciones relevantes y niveles en la organización. Los objetivos deben: -
Ser consistentes con la política;
-
Ser conmensurables (si es práctico);
-
Tener esquemas de tiempo para su alcance;
-
Considerar necesidades y requerimientos aplicables;
-
Desarrollar oportunidades para mantener o mejorar el desempeño;
-
Ser monitoreados y actualizados como sea apropiado.
La organización debe retener información documentada sobre los objetivos. Para alcanzar sus objetivos, la organización debe determinar: a) Quién es responsable; b) Qué será hecho y cuándo estará completado; c)
Cómo los resultados serán evaluados.
6.2 Acciones para atender aspectos e inquietudes La organización debe determinar cómo atender los aspectos e inquietudes identificadas en el punto 4.3, que pudiesen afectar su habilidad de alcanzar los resultados esperados del SGCN. La organización debe: a) Evaluar la necesidad de planear acciones para atender aspectos e inquietudes; b) Si es necesario: 1) Integrar e implementar estas acciones en los procesos del SGCN, 2) Asegurar que la información estará disponible para evaluar si las acciones han sido efectivas (ver 9.1)
13
ISO/FDIS 22301
7 Apoyo 7.1 Recursos La organización debe determinar y proveer los recursos necesarios para el SGCN. 7.2 Competencia La organización debe: a) Determinar las competencias necesarias de las personas que realizan el trabajo bajo su control que afecta el desempeño. b) Asegurar que estas personas son competentes en la base de apropiada educación, capacitación y experiencia. c)
Donde aplique, tomar acciones para adquirir las necesarias competencias y evaluar la efectividad de las acciones tomadas.
d) Retener apropiada información documentada como evidencia de la competencia y de acciones tomadas. NOTAS, Acciones aplicables pueden incluir la provisión de capacitación, la contratación de personas nuevas o la contratación de personas competentes. 7.3 Toma de conciencia Las personas realizando el trabajo bajo el control de la organización, deben estar consientes de: -
La política de gestión de la continuidad;
-
Su contribución a la efectividad del SGCN, incluyendo los beneficios de la mejora del desempeño de la gestión de la continuidad comercial;
-
Los efectos de la divergencia de los requerimientos del SGCN.
7.4 Comunicación 7.4.1 Comunicación externa La organización debe establecer, implementar y mantener arreglos para la comunicación con partes interesadas externas. 7.4.2 Comunicación interna La organización debe establecer, implementar y mantener arreglos para la comunicación interna en la organización. 7.5 Información documentada 7.5.1 General El SGCN debe incluir: -
Información documentada requerida por este estándar internacional;
14
ISO/FDIS 22301
-
Información documentada determinada por la organización requerida por la efectividad del SGCN.
7.5.2 Crear y actualizar El proceso para crear o actualizar información documentada (ver 7.5.1) debe incluir: a) Su identificación y descripción (ej.: Título, nombre, fecha, autor, número, revisión, referencia, etc.; b) Consideración de cómo la información será capturada y presentada; c)
Su revisión y aprobación cuando sea aplicable.
NOTA 1, La captura y presentación incluye el formato que será usado o medio a utilizar. NOTA 2, La extensión de la información documentada para un SGCN puede diferir de una organización a otra, por las siguientes causas: -
Tamaño de la empresa, tipo de actividades, procesos, productos y servicios,
-
Complejidad de los procesos y sus interacciones, y
-
La competencia del personal.
7.5.3 Control de información documentada Información documentada requerida por el SGCN y por este estándar internacional, debe ser controlada. Los controles por información documentada deben incluir cuando sea aplicable a) Distribución; b) Acceso; c)
Almacenamiento y preservación;
d) Recuperación y uso; e) Identificación de versiones y cambios; f)
Preservación de legibilidad;
g) Prevención del uso no intencionado de información obsoleta; h) Retención y reposición. Asegurar que la información documentada de origen externo determinada por la organización, necesaria para la planeación y operación del SGCN es identificada apropiadamente y controlada.
15
ISO/FDIS 22301
8 Operación 8.1 General Al margen de los capítulos previos, este capítulo sigue el enfoque unificado para un sistema de gestión estándar sólo en 8.1. a partir de 8.2 los requerimientos específicos para continuidad de la gestión están definidos. 8.2 Planeamiento operacional y control La organización debe determinar, planear, implementar y controlar esas actividades operacionales necesarias para: -
Satisfacer su SGCN, política y objetivos;
-
Cumplir con necesidades y requerimientos aplicables.
Esto debe incluir: a) Estableciendo criterios para aquellas actividades y procesos; b) Implementando controles, en concordancia con el criterio; c)
Mantener información documentada para demostrar que las actividades y/o procesos han sido llevados a cabo como estaban planeados.
La organización debe asegurar que los cambios planeados son controlados y que cambios no intencionados son revisados y acciones apropiadas tomadas. NOTA, Actividades operacionales y/o procesos, pueden incluir actividades y/o procesos que son contratados por terceros o relacionados al suministro de bienes y servicios. 8.3 Preparación La organización debe identificar y documentar lo siguiente al definir el contexto para el sistema de gestión y su compromiso con el sistema de gestión de continuidad comercial, con el específico contexto interno o externo de la organización. a) Las actividades organizacionales, funciones, servicios, productos, socios, cadenas de suplidores, partes interesadas y el potencial impacto relacionado a un incidente perturbador; b) Enlaces entre política de continuidad del negocio y los objetivos organizacionales y otras políticas, incluyendo estrategias de gestión de riesgos globales; c)
Apetito al riesgo de la organización.
Al establecer el contexto la organización debe: d) Articular sus objetivos, incluyendo aquellos vinculados con continuidad del negocio. e) Identificar a las partes interesadas y sus objetivos; f)
Definir los factores externos e internos que crean incertidumbre que genera riesgo;
g) Establecer criterios para el riesgo; y 16
ISO/FDIS 22301
h) Definir el alcance y propósito del riesgo particular de la gestión al riesgo. La organización debe definir y documentar el alcance del SGCN, considerando su contexto interno y externo. La organización debe: i)
Establecer las partes de la organización a ser incluida en el SGCN;
j)
Establecer los requerimientos del SGCN, considerando la organización, misión, objetivos, obligaciones internas y externas y responsabilidades legales;
k)
Identificar productos y servicios y todas las actividades relacionadas con el alcance del SGCN;
l)
Considerar las necesidades e intereses de las partes interesadas, tales como clientes, inversionistas, accionistas, la cadena de suministros, insumos y necesidades públicas o comunitarias, expectativas e intereses (cuando sean apropiadas);
m) Definir el alcance del SGCN en términos de un apropiado tamaño, naturaleza y complejidad de la organización. Al definir el alcance, la organización debe documentar cualquier exclusión, en la medida que las exclusiones no afecten la habilidad de la organización y responsabilidad de proveer continuidad en las operaciones que cumplan con los requerimientos del SGCN, determinado por el análisis de impacto o evaluación del riesgo y requerimientos legales o regulatorios. 8.4 Planeación 8.4.1 Participación de la dirección La alta dirección debe proveer evidencia de su compromiso con el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejoramiento del SGCN a través de: a) Estableciendo una política de gestión de la continuidad; b) Asegurar que los objetivos y planes del SGCN se establecen; c)
Estableciendo roles, responsabilidades y competencias por la gestión de la continuidad del negocio;
d) Asignar a una o más personas para que sean responsables por el SGCN con la autoridad y competencias apropiadas para responder por la implementación y mantenimiento del SGCN; NOTA, Estas personas pueden tener otras responsabilidades en la organización. e) Comunicando y promoviendo la toma de conciencia en la organización sobre la importancia en alcanzar los objetivos de la gestión de la continuidad y en conformidad con la política de la gestión de la continuidad, sus responsabilidades bajo la ley y la necesidad por la mejora continuada; La alta dirección debe asegurar que las responsabilidades y autoridades por roles relevantes son asignados y comunicados en la organización, a través de:
17
ISO/FDIS 22301
f)
Proveyendo suficientes recursos, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SGCN;
g) Definiendo el criterio para aceptar riesgos y niveles aceptables del riesgo; h) Involucrándose activamente en ejercicios y pruebas; i) j)
Asegurando que las auditorías internas del SGCN son conducidas; Conduciendo las revisiones para la dirección del SGCN;
k)
Demostrando su participación por la mejora continuada.
8.4.2 Despliegue de la política La alta dirección debe definir la política de la gestión por la continuidad del negocio en términos de los objetivos y obligaciones de la organización. La política debe: a) Ser aprobada por la alta dirección; b) Comunicada a todas las personas trabajando por la organización dentro del alcance del SGCN; c)
Disponible a las partes interesadas;
d) Revisada a intervalos planificados y cuando ocurran cambios significativos. 8.4.3 Análisis de impacto del negocio y evaluación del riesgo 8.4.3.1 General La organización debe establecer, implementar y mantener un proceso documentado y formal para el análisis del impacto del negocio y evaluación del riesgo, que permita: a) Establecer el contexto de la evaluación, definir criterios y evaluar el potencial impacto relacionado a un incidente alterador; b) Incluye de manera sistemática criterios definidos para la evaluación de potenciales impactos de incidentes paralizadores; c)
Tomar en consideración requerimientos legales y otros a los cuales la organización este suscrita;
d) Incluya un análisis sistemático priorizando los controles de riesgo, tratamiento y sus costos relacionados; e) Definir los resultados requeridos del análisis de impacto y de la evaluación del riesgo; y f)
Especificar los requerimientos para el almacenamiento, actualización y confidencialidad de esta información.
NOTA, Existen varias metodologías para el análisis de impacto y evaluación del riesgo, las cuales determinan el orden en que ellas serán conducidas.
18
ISO/FDIS 22301
8.4.3.2 Otros requerimientos legales La organización debe establecer, implementar y mantener un procedimiento para identificar, tener acceso y evaluar la aplicabilidad de requerimientos legales y otros requerimientos a los cuales la organización se suscribe en relación a la continuidad de sus operaciones, productos y servicios, así como a las partes interesadas. La organización debe asegurar que los requerimientos legales aplicables y otros requerimientos a los cuales la organización se haya suscrito, se consideren en el establecimiento, implementación y en el mantenimiento de su SGCN. La organización debe documentar su información y mantenerla actualizada. Novedades y actualizaciones en requerimientos legales deben ser comunicados a los empleados o partes interesadas afectadas. 8.4.3.3 Análisis del Impacto La organización debe establecer, implementar y mantener una documentación formal del proceso de evaluación para determinar continuidad y prioridades de recuperación, objetivos y metas. Este proceso debe incluir evaluación de impactos de actividades de interrupción que apoyan a los productos y servicios organizacionales. El análisis de impacto debe incluir lo siguiente: a) Identificación de actividades que apoyan la provisión de productos y servicios; b) Evaluación en el tiempo, los impactos de no estar realizando estas actividades; c)
Estableciendo y priorizando tiempos para reanudar estas actividades de manera específica a un nivel mínimo aceptable, tomando en consideración los impactos que tendría la no reanudación;
d) Identificación de dependencias y recursos de apoyo de estas actividades, incluyendo suplidores, compañeros de outsourcing y partes interesadas relevantes. 8.4.3.4 Evaluación del riesgo La organización debe establecer, implementar y mantener en proceso documentado de evaluación del riesgo que de manera sistemática identifique, analice y evalúe los riesgos de interrupciones de eventos a la organización. Este proceso debe hacerse en concordancia con el ISO 31000. La organización debe: a) Identificar riesgos de una interrupción a las actividades priorizadas de la organización y procesos, sistemas de información, personas, activos, compañeros de outsource y otros recursos que los apoyan; b) Analizar sistemáticamente el riesgo; c)
Evaluar que interrupción relacionada con qué riesgo requiere tratamiento; y
d) Identificar tratamientos conmensurables con objetivos de recuperación y con la continuidad del negocio y en concordancia con el apetito al riesgo de la organización. NOTA, la organización debiera estar consciente que ciertas obligaciones financieras o gubernamentales requieren la comunicación de estos riesgos en ciertos grados de detalle. En adición, 19
ISO/FDIS 22301
ciertas necesidades de la sociedad requieren la garantía de esta información en cierto grado de detalle. 8.4.4 Opciones de continuidad del negocio 8.4.4.1 Determinación y selección Determinación y selección de opciones deben ser basadas en los resultados del análisis de impacto y de la evaluación del riesgo. La organización debe determinar apropiadas opciones de tratamiento para: a) Proteger actividades priorizadas; b)
Estabilizando, continuando, reanudando dependencias y recursos de apoyo; y
y
recuperando
c)
Mitigando, respondiendo y gestionando impactos.
actividades
priorizadas
y
sus
La determinación de opciones debe incluir establecer tiempos priorizados para la reanudación de actividades en relación a su MTPD. 8.4.4.2 Estableciendo requerimientos de recursos La organización debe determinar los recursos requeridos para implantar las opciones seleccionadas. Los tipos de recursos considerados deben incluir: a) Personas; b) Información y datos; c)
Edificios, ambiente laboral y servicios públicos asociados;
d) Facilidades, equipos y consumibles; e) Tecnología de información; f)
Transporte;
g) Finanzas; y h) Socios y suplidores. La organización debe escoger e implementar apropiadas estrategias de recuperación y contingencias comerciales para obtener y operar recursos requeridos por el proceso crítico de recuperación en concordancia con el apetito al riesgo. 8.4.4.3 Protección y mitigación Para los riesgos identificados que requieren tratamiento, la organización debe considerar medidas proactivas que: a) Reduzcan la probabilidad de interrupción; b) Aminoren el periodo de interrupción; y 20
ISO/FDIS 22301
c)
Limiten el impacto de la interrupción en los productos y servicios de la organización.
La organización debe escoger e implementar un apropiado tratamiento al riesgo en concordancia con su nivel de aceptación del riesgo. 8.5 Desempeñándose 8.5.1 Desarrollando e implementando una respuesta a la continuidad del negocio La organización debe establecer, implementar y mantener procedimientos para la continuidad del negocio, que le permitan gestionar un evento alterador y poder continuar sus actividades basados en objetivos de recuperación, identificados en el análisis de impacto. La organización debe documentar procedimientos (incluyendo arreglos necesarios) para asegurar continuidad de las actividades y gestión de un evento alterador. Los procedimientos deben: a) Establecer los respectivos protocolos de comunicación tanto internos como externos; b) Ser específicos en relación a los pasos que se deben seguir durante una interrupción; c)
Ser flexibles para responder a un escenario de amenaza y cambios, tanto internos como externos;
d) Focalizarse en el impacto de eventos que pudiesen potencialmente interrumpir operaciones; e) Desarrollados en base a enunciados de presuposiciones y en un análisis de interdependencia; y f)
Efectivos en minimizar consecuencias sobre la implementación de estrategias de mitigación apropiadas.
8.5.2 Estructura de respuesta La organización debe establecer e implementar procedimientos y una estructura de gestión para preparar, mitigar y responder a un evento alterador utilizando personal con la necesaria autoridad, experiencia y competencia. La estructura de respuesta debe: a) Identificar los impactos que pudiesen justificar la iniciación de un potencial impacto. b) Evaluar la naturaleza y extensión de un evento alterador o el potencial impacto. c)
Iniciar una apropiada respuesta a la continuidad del negocio;
d) Tener procesos o procedimientos para la activación, operación, coordinación y comunicación de la respuesta; e) Tener recursos disponibles para apoyar los procesos y procedimientos para gestionar un evento alterador o trabajo para minimizar el impacto; y f)
Comunicarse con las partes interesadas y autoridades, así como con los medios.
21
ISO/FDIS 22301
8.5.3 Aviso y comunicación La organización debe establecer, implementar y mantener procedimientos para: a) Detección de un incidente. b) Continuar monitoreando el incidente. c)
Comunicación interna en la organización entre varios niveles y funciones en la organización;
d) Comunicación externa con organizaciones y otros grupos de interés; e) Recibiendo, documentando y respondiendo a comunicación de otros grupos de interés; f)
Recibiendo, documentando y respondiendo a cualquier organismo de consulta sobre riesgos, bien sea nacional o regional;
g) Alertando a las partes interesadas sobre el potencial de ser impactados por un incidente alterador; h) Asegurando disponibilidad de medios de comunicación durante un incidente alterador; i)
Facilitando una comunicación estructurada a organizaciones de emergencia;
j)
Asegurando una interoperabilidad con múltiples organizaciones y personas;
k)
Registrando la información vital sobre el incidente, acciones tomadas y decisiones; y
l)
Operaciones de una facilidad para comunicaciones.
La organización debe decidir, utilizando la salvaguarda humana como la primera prioridad y en consulta con sus grupos de interés, si se debe comunicar externamente sobre la significancia de los riesgos y sus impactos y documentar la decisión. Si la decisión es de comunicar, la organización debe establecer e implementar procedimientos para las comunicaciones externas, alertas y avisos, incluyendo los medios en la medida que sea apropiado. La comunicación y avisos debe ser ejercitada de manera regular. 8.5.4 Respuesta La organización debe denominar a personas para responder a incidentes, con la necesaria responsabilidad, autoridad y competencia para gestionar el incidente. La organización debe establecer una estructura para responder a incidentes que permita al personal: a) Confirmar la naturaleza y extensión del ambiente; b) Iniciar la apropiada respuesta; c)
Tener procesos y procedimientos para la activación, operación, coordinación y comunicación de la respuesta al incidente;
d) Tener recursos disponibles para apoyar los procesos y procedimientos para gestionar el incidente; y 22
ISO/FDIS 22301
e) Comunicación con partes interesadas. 8.5.5 Planes de continuidad del negocio La organización debe establecer planes documentados que detallen como la organización maneja un evento alterador y como se recuperará o mantendrá actividades a un nivel predeterminado basado en objetivos de recuperación, aprobados por la dirección. Cada plan debe definir: a) Propósito y alcance; b) Objetivos y medidas de éxito; c)
Criterio de activación y procedimientos;
d) Procedimientos de implementación; e) Roles, responsabilidades y autoridades; f)
Requerimientos de comunicación y procedimientos;
g) Interdependencias e interacciones tanto internas como externas; h) Requerimientos de recursos; y i)
Flujo de información y proceso de documentación.
La organización debe periódicamente ejercitar, revisar y (cuando sea necesario) revisar sus planes de continuidad del negocio, particularmente, después de una ocurrencia de un evento alterador y su revisión posterior asociada. 8.5.6 Procedimiento respuesta a requerimientos La organización debe tener documentados procedimientos para responder a incidentes alteradores. Tales procedimientos deben atender los requerimientos de aquellos que los usen, y deben incluir: a) Inicialmente respondiendo a un incidente, evaluando el incidente y gestionando cualquier amenaza inmediata; b) Asegurando que la organización tenga una capacidad mínima aceptable proporcional al alcance de su SGCN; y c)
La estabilidad, continuidad y requerimientos de recuperación de las actividades priorizadas de la organización.
8.5.7 Contenido del procedimiento de respuesta Los procedimientos de respuesta deben contener colectivamente: a) Roles y responsabilidades definidas para personas y equipos que tengan autoridad durante y después de un incidente; b) Un proceso para activar la respuesta; 23
ISO/FDIS 22301
c)
Detalles para manejar las inmediatas consecuencias de una alteración al negocio, en relación a: 1) Bienestar de las personas, 2) Opciones estratégicas y operacionales para responder a una alteración, y 3) Prevención de pérdidas futuras o no disposición de actividades priorizadas.
d) Detalles sobre cómo y bajo qué circunstancias la organización se comunica con empleados y sus familiares, grupos de interés y contactos de emergencia; e) Detalles sobre respuesta a los medios en la organización, después de un incidente incluyendo: 1) Estrategia para comunicar el incidente, 2) Interface preferida con los medios, 3) Lineamiento para elaborar una comunicación a los medios, y 4) Representante apropiado. f)
Proceso de restablecimiento una vez termine el incidente.
8.5.8 Recuperación La organización debe documentar procedimientos para restablecer y retornar las operaciones del negocio de las medidas temporales adoptadas para apoyar los requerimientos del negocio después de un incidente. Debe haber procedimientos documentados para asegurar que las responsabilidades son ejercidas para cumplir con auditoría y requerimientos del gobierno corporativo durante la restauración y retorno a las operaciones normales del negocio. 8.5.9 Comunicación y consulta La organización debe establecer, implementar y mantener procedimientos para: a) Manejo comunicación interna entre partes interesadas y empleados en la organización; b) Manejo comunicación externa entre clientes, socios, comunidad y otras partes interesadas; c)
Recibiendo documentación y respondiendo a comunicación a partes interesadas internas como externas;
d) Adaptando e integrando un sistema de consulta nacional o regional o su equivalente para el uso de operaciones y planificaciones; e) Alertar a potenciales grupos de interés impactados por un evento alterador; f)
Asegurando disponibilidad de los medios de comunicación durante un evento alterador;
g) Facilitar comunicación estructurada con apropiadas autoridades y asegurar la interoperatividad de distintas organizaciones y personal, cuando sea apropiada; y 24
ISO/FDIS 22301
h) Operando y probando las capacidades de comunicación para usar durante una alteración de las comunicaciones normales. 8.6 Chequeando 8.6.1 Ejercicios y Ensayos La organización debe ejercitar y ensayar sus procedimientos de continuidad para asegurar que son consistentes con los objetivos del SGCN. La organización debe conducir ejercicios y ensayos para permitir: a) Consistencia con el alcance del SGCN; b) Estar basados en escenarios que estén bien planificados con respectivos propósitos y objetivos; c)
Poder en el tiempo validar todos los arreglos de continuidad;
d) Minimizar el riesgo de una alteración a las operaciones y al potencial de causar riesgo a operaciones y activos; e) Producir informes post ejercicios formalizados que contengan resultados, recomendaciones e implementación de mejoras; f)
Sean revisadas con el ánimo de promover la mejora continua;
g) Sean conducidos a intervalos planificados y cuando hayan cambios significativos en la organización o en el ambiente donde se opere. 8.6.2 Monitoreo de desempeño Los procedimientos para monitoreo del desempeño deben proveer: a) El establecimiento de métricas apropiadas a las necesidades de la organización; b) Monitoreo para verificar hasta que puntos la política de continuidad, objetivos y metas son alcanzadas; c)
Desempeño de los procesos, procedimientos y funciones que protegen sus actividades priorizadas;
d) Monitoreo de la conformidad; e) Monitorear evidencia histórica de deficiencias en el desempeño del SGCN, falsas alarmas, fallas, incidentes; f)
Registro de datos y resultados del monitoreo y medición suficiente para facilitar una subsecuente investigación de acciones correctivas y preventivas.
8.7 Revisión 8.7.1 Revisión gerencial La alta dirección debe revisar los reportes del SGCN. Esto debe incluir: 25
ISO/FDIS 22301
a) Resultados de auditorías al SGCN y revisiones, incluyendo a suplidores clave y socios cuando sea apropiado; b) Técnicas, productos o procedimientos que pudiesen ser usados en la organización para mejorar el SGCN; c)
Estado de las acciones correctivas y preventivas;
d) Resultados de los ejercicios y ensayos; e) Vulnerabilidades o amenazas no tratadas adecuadamente en evaluaciones del riesgo previas; f)
Resultados de mediciones de eficacia;
g) Acciones de seguimiento de revisiones por la dirección previas; h) Cualquier cambio que pudiera afectar al SGCN, bien sea interno o externo al alcance del SGCN; i)
Adecuación de la política;
j)
Recomendaciones para la mejora;
k)
Lecciones que se desarrollan de incidentes;
l)
Buenas prácticas y guías emergentes;
El resultado de las revisiones por la dirección debe incluir cualquier decisión y acciones relacionadas a lo siguiente: m) Variaciones en el alcance del SGCN; n) Mejora en la efectividad del SGCN; o) Actualización de la evaluación del riesgo, análisis de impacto y procedimientos de preparación y respuesta; p) Modificación de procedimientos y controles que afectan a los riesgos como sea necesario, responder a eventos internos y externos que pudiesen impactar el SGCN, incluyendo cambios a: 1) Requerimientos del negocio y operacionales, 2) Reducción del riesgo y requerimientos de seguridad, 3) Procesos de condiciones operativas que afecten a requerimientos operacionales existentes, 4) Requerimientos legales o regulatorios, 5) Obligaciones contractuales, 6) Niveles de riesgo y criterios de aceptación del riesgo, 7) Necesidades de recursos, 26
ISO/FDIS 22301
8) Requerimientos de fondos y presupuesto, y 9) Mejoras sobre como la efectividad de los controles está siendo medida. 8.7.2 Evaluación de procedimientos de continuidad La organización debe conducir evaluaciones de sus procedimientos de continuidad y capacidades para poder asegurar su continua adecuación, conveniencia y efectividad. Esta evaluación debe ser hecha a través de revisiones periódicas, ejercicios, ensayos y reportes de post incidentes y evaluaciones del desempeño. Cambios significativos en estos factores deben estar reflejados en los procedimientos en un tiempo oportuno. La organización debe periódicamente evaluar la conformidad con requerimientos regulatorios, legales, mejores prácticas de la industria y conformidad con su sistema de gestión de continuidad, políticas y objetivos. La organización debe conducir evaluaciones a intervalos planeados y cuando cambios significativos ocurran. Cuando un incidente alterador ocurre y se invocan a los procedimientos de continuidad, la organización debe realizar una revisión post incidente y registrar los resultados. Registros de las periódicas evaluaciones y de sus resultados deben ser mantenidos.
9 Evaluación del desempeño 9.1 Monitoreo y revisión El desempeño de la organización debe ser monitoreado, medido y analizado para poder evaluar la efectividad de su SGCN. La organización debe determinar: -
Que debe ser monitoreado y medido;
-
Cuándo y dónde el monitoreo y medición deben desempeñarse;
-
Cuándo y dónde el análisis y evaluación de resultados del monitoreo deben desempeñarse.
La organización debe determinar los controles necesarios para el monitoreo y equipos de medición en la manera que sea aplicable para asegurar resultados válidos. Tomar acción cuando sea necesario para atender tendencias adversas o resultados (ver 6.2). La organización debe retener información documentada relevante como evidencia de los resultados. 9.2 Auditoría interna La organización debe conducir auditorías internas a intervalos planeados para proveer información para asistir en la determinación del SGCN: a) Conformidad con: 27
ISO/FDIS 22301
1) Los requerimientos de la organización para su SGCN; 2) Requerimientos de este estándar internacional. b) Está implantado efectivamente y mantenido. La organización debe: c) Planear, establecer, implementar y mantener un programa de auditoría, tomando en consideración la importancia de sus actividades y procesos y los resultados de auditorías previas; d) Definir el criterio de auditoría, alcance, frecuencia, métodos, responsabilidades, requerimientos de planeación y reportes; e) Seleccionar auditores y conducir las auditorías para asegurar objetividad e imparcialidad en el proceso de auditoría; f)
Asegurar que los resultados de las auditorías son reportadas a la gerencia responsable por el área que se audita;
g) Retener información documentada relevante como evidencia de los resultados. El programa de auditoría, incluyendo cronogramas, debe estar basado en resultados de la evaluación del riesgo de las actividades de la organización y de los resultados de previas auditorías. El procedimiento de auditoría debe cubrir el alcance, frecuencia, metodologías y competencias, así como responsabilidades y requerimientos para conducir auditorías y reporte de resultados. Los auditores no pueden auditar su propio trabajo. La gerencia responsable por el área siendo auditada, debe asegurar que cualquier corrección necesaria y acciones correctivas se tomen sin ninguna demora para eliminar las no conformidades detectadas y sus causas. Actividades de seguimiento deben incluir la verificación de las acciones tomadas y el reporte de verificación de resultados. 9.3 Revisión por la dirección La alta gerencia debe revisar el SGCN de la organización a intervalos planificados, para asegurar su conveniente continuidad, adecuación y efectividad. Las revisiones por la dirección deben considerar el desempeño de la organización, incluyendo: a) Acciones de seguimiento de previas revisiones; b) La necesidad de cambios al SGCN, incluyendo la política y objetivos; y c)
Oportunidades de mejora.
La organización deberá: -
Comunicar los resultados de la revisión por la dirección a partes interesadas;
-
Toma acción apropiada en relación a esos resultados; 28
ISO/FDIS 22301
-
Retener información documentada como evidencia de los resultados de las revisiones por la dirección.
10 Mejoramiento 10.1 No conformidad y acción correctiva La organización debe: a) Identificar no conformidades; b) Reaccionar a las no conformidades y cuando sea aplicable: 1) Tomar acciones para controlar, contener y corregirla, 2) Tratar las consecuencias. La organización también debe evaluar la necesidad de acciones para eliminar las causas de no conformidades, incluyendo: c)
Revisión de no conformidades;
d) Determinar las causas de no conformidades; e) Evaluar la necesidad de acción para asegurar que no haya recurrencia de las no conformidades; f)
Determinar e implementar acciones necesarias; y
g) Revisión de la efectividad de las acciones correctivas tomadas. Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas. La organización debe asegurar que cualquier cambio necesario sea hecho al SGCN. La organización debe retener información documentada como evidencia de: -
La naturaleza de la no conformidad y cualquier subsecuente acción tomada.
-
Las acciones correctivas y sus resultados.
10.2 Mejoramiento continuado La organización debe continuamente mejorar la efectividad del SGCN.
29