Iso 22301 sgcn bcms v 2020

Presentación de ISO 22301: 2019
Sistema de Gestión de Continuidad
del Negocio – Requisitos
V.2020

Introducción
¿A Qué nos enfrentamos?
• Averías de cables submarinos, con los consiguientes
problemas en las comunicaciones
• Huelgas en el transporte público, colapsando el
desplazamiento de las personas en las ciudades
• Temporal de nieve en EEUU, impidiendo los
desplazamientos terrestres a lo largo del país
• Evacuación de un hospital debido a un incendio
• Inundaciones en Argentina, causando gravísimos
daños en empresas, edificios, etc.

Introducción
• Una organización no puede dejar de funcionar ante
condiciones adversas.
• A nivel mundial, tal y como funcionan actualmente
los mercados internacionales, las organizaciones
tienen la obligación de poder asegurar que son
proveedores fiables y que son capaces de, ante
cualquier incidente o catástrofe – un incendio, una
inundación, una huelga, un sabotaje… reanudar sus
operaciones en un tiempo estimado, y continuar
ofreciendo sus productos y servicios con normalidad.

Introducción
• El Sistema de Gestión de la Continuidad del Negocio
(SGCN) se ha convertido en una exigencia para las
organizaciones que compiten el día de hoy en los
mercados globalizados.
• La tendencia mundial es que ya las organizaciones no
compitan entre sí, la competencia es entre cadenas
de suministros.

Introducción
Una cadena de suministros para mantenerse operando
no puede tener ningún eslabón débil y ninguno de
sus componentes pueden dejar de operar, ya que si
un elemento del todo dejara de funcionar se paraliza
toda la serie generando el caos.
• Cada miembro del sistema tiene que demostrar que
es un proveedor confiable.
• Esto se logra teniendo en cada organización un
SGCN que proteja a los procesos esenciales que
permiten originar los productos/servicios que
desea el cliente.

Introducción
• Lo cierto es que no es necesario que ocurran casos
tan trágicos como los mencionados para poner en
peligro la actividad de una organización.
• ¿Qué ocurriría si se estropea la computadora que
gestiona toda la contabilidad o la red de
comunicaciones deja de funcionar?
• ¿Durante cuánto tiempo es posible mantener la
actividad en caso de un incidente?
• ¿Es posible recuperarse?
• ¿En cuánto tiempo sería posible volver a la actividad
normal?

Introducción
¿Qué Causas pueden generar una interrupción de negocio?
• Desastres Naturales
• Fallas Humanas
• Fallas Técnicas
• …
¿Qué consecuencias genera esta interrupción?
• Pérdida de negocios, ingresos y clientes
• Incumplimientos y costos legales
• Costos relacionados con la interrupción
• Eventual cierre de operaciones
• …

Introducción
Razones para recuperar rápidamente la continuidad del
negocio
• Valor de la empresa
• Demandas del mercado
• Presión de los competidores
• Disposición de los reguladores
• …

¿Cómo afrontar esta situación?
La forma adecuada de gestionar la continuidad del
negocio es:
1. Identificar, analizar, evaluar, y gestionar los riesgos
a los que se enfrenta una organización,
2. Analizar el impacto del negocio (BIA)
3. Definir las estrategias de continuidad del negocio.
Para ello se debe:
1. Gestionar de forma adecuada sus riesgos.
2. Identificar los procesos críticos de la organización.
3. Ayudar a establecer las estrategias de recuperación
Todo esto permite identificar las principales amenazas a la
organización y fortalecer la capacidad de la misma.

• La ISO 22301 es un marco que le permite identificar las
posibles amenazas a la organización y fortalecer la capacidad
de respuesta y recuperación de la misma.
• Proporciona un marco formal de continuidad de negocio y
nos guiará a desarrollar un plan de continuidad de negocio
que mantendrá la organización funcionando durante y
después de la interrupción.
• Éste también minimizará el impacto de una interrupción así
se podrá reanudar el servicio lo más rápido posible
asegurando que los servicios clave y los productos son
entregados.
• Disponer de una estrategia de recuperación de desastres que
asegure la continuidad del negocio en un aspecto de
vital importancia.

• La ISO 22301 es de carácter preventivo, aunque en este caso,
no se trata de prevenir un incidente, sino de prevenir las
posibles consecuencias de un incidente y proporcionar a las
organizaciones la capacidad para recuperarse ante desastres
y todo tipo de incidentes que vulneren la seguridad.
• La Gestión de Continuidad del Negocio es un proceso holístico
que identifica las amenazas potenciales que se ciernen sobre
una organización y los impactos a las operaciones del negocio
que la materialización de tales amenazas puedan causar y
proporciona un marco de referencia para construir la
resiliencia organizacional con capacidad para dar respuesta
efectiva, protegiendo los intereses de las partes interesadas,
la reputación, la marca y las actividades creadoras de valor.

• Cada escenario de amenazas tiene una estrategia de
continuidad que se materializa a través de planes de
reanudación de operaciones que son ensayados
regularmente.
• Una empresa con un SGCN ensayado periódicamente
es muy difícil que deje de operar y no pueda
suministrar sus productos o servicios.

riesgo
Efecto de la incertidumbre sobre los objetivos
• Nota 1 a la entrada: Un efecto es una desviación respecto a
lo previsto. Puede ser positivo, negativo o ambos, y puede
abordar, crear o resultar en oportunidades y amenazas.
• Nota 2 a la entrada: Los objetivos pueden tener diferentes
aspectos y categorías, y se pueden aplicar a diferentes niveles.
• Nota 3 a la entrada: Con frecuencia, el riesgo se expresa en
términos de fuentes de riesgo (3.4), eventos (3.5) potenciales,
sus consecuencias (3.6) y sus probabilidades (3.7).

Riesgo
“Efecto de la incertidumbre”
es el estado, incluso parcial,
de deficiencia de información
relacionada con la comprensión
o conocimiento de un evento,
su consecuencia o su probabilidad
DESVIACION
DE LO ESPERADO
Término común y definición esencial para las normas de sistemas de gestión que se proporcionan en Anexo SL de Directivas
ISO/IEC

Existe entonces la necesidad de gestionar los riesgos y
operar en continuidad del negocio
ISO 22301 : 2019 no requiere evaluaciones de riesgo
según algún proceso especifico.
ISO 31000:2018 Gestión del riesgo Principios y
directrices puede ser una referencia útil para
organizaciones que desean o necesitan un enfoque
más formal del riesgo (uso no obligatorio) , ayuda a
las organizaciones a desarrollar su propia
estrategia para administrar sus riesgos.

• La norma ISO 31000:2018 (Gestión del riesgo –
Principios y Guías) proporciona en forma integral a
las organizaciones, principios bajo un marco de
proceso, destinado a gestionar cualquier tipo de
riesgo de forma sistemática, creíble, transparente
Esta norma se complementa con la ISO Guide 73:2018
Gestión del riesgo Vocabulario.
El estándar ISO 31010, proporciona técnicas
sistemáticas de apoyo

Para integrar la gestión del riesgo en
ISO 22301 : 2019, podemos seguir los
criterios de la norma ISO 31000: 2018
ISO 31000: 2018
ISO22301:2019

Objetivo de SGCN/ BCMS
Para la organización, el objetivo de SGCN/ BCMS, es ser capaz
de proporcionar respuestas a las siguientes preguntas:
• Cómo la organización continuará prestando servicios a sus
clientes?
• Cómo la organización continuará la operación?
• Cuanto tiempo una organización se puede mantener o
sobrevivir durante un desastre (sin la operación) ?
• Cómo minimiza las pérdidas y los impactos?
• Cómo se va recuperar y volver a la normalidad?
• Cómo lograr una reanudación rentable después de una
interrupción ?
• Cómo responder durante la crisis de forma eficaz ?

Evolución de la continuidad del
negocio
• Si se implementa correctamente, la gestión de la
continuidad del negocio disminuirá la posibilidad de
ocurrencia de una interrupción y, en caso de
producirse, la organización estará preparada para
responder en forma adecuada y, de esa forma,
reducir drásticamente el daño potencial de ese
incidente.

Evolución de la continuidad del
negocio
De…
• Recuperación por interrupción
• Restauración ante desastres
• De la recuperación a la resiliencia
• Ejercicio para identificar características de la
continuidad
A…

¿Cuáles son los beneficios de implementar
la gestión la continuidad del negocio?
Prepara a las organizaciones para hacer frente a las
interrupciones mas importantes y mejorar su
competitividad.
• ISO 22301 ofrece una visión clara y detallada de cómo opera
una organización, ofreciendo información valiosa que es útil
para la planificación estratégica, la gestión de riesgos, la
gestión de la cadena de suministro, la transformación
empresarial y la gestión de recursos.
• La capacidad de asegurar a los clientes, proveedores,
reguladores y otras partes interesadas que la organización
cuenta con sistemas y procesos sólidos para la continuidad del
negocio.
• Mejor desempeño del negocio y resiliencia organizacional.
• Una mejor comprensión del negocio a través del análisis de
problemas críticos y áreas de vulnerabilidad.

¿Cuáles son los beneficios de implementar
la gestión la continuidad del negocio?
• Reduce las pérdidas económicas potenciales.
• Mejora la protección de activos.
• Mejora el gobierno corporativo.
• Construye confianza en los clientes y partes
interesadas.
• Proyecta una buena imagen corporativa
• Asegura a sus socios la continuidad de su bienes y
servicios.
• Genera ventaja competitiva por su capacidad para
mantener sus despachos o servicios.
• Mantiene su capacidad para gestionar riesgos.
• Fomenta el trabajo en equipo

¿Cuáles son las ventajas para los
grupos de interés?
Los clientes (y otras partes interesadas como
proveedores o personal interno )se benefician
claramente de la implementación de esta norma en
una compañía:
• Los clientes perciben un servicio continuado y fiable,
• Los proveedores trabajan más cómodamente con la
compañía y en mejores condiciones.
• El personal interno trabaja de forma más eficaz y con
una mayor motivación debido a la comprensión de la
importancia de su contribución individual y tener
claro como actuar ante un incidente.

La serie de normas ISO 22300
• La serie de normas ISO 22300 es un conjunto de
estándares desarrollados por la Organización
Internacional de Normalización (ISO) , que
proporcionan un marco de gestión de la continuidad
del negocio alineados con los objetivos de negocio ,y
optimizando las inversiones realizadas en controles o
salvaguardas que protejan los activos.

• La serie de normas ISO 22300 constan entre otras de:
• ISO 22300:2018 Security and resilience — Vocabulario
• ISO 22313: 2020 Protección y seguridad de los ciudadanos.
Sistema de Gestión de la Continuidad del Negocio. Directrices.
Es una guía de implementación que apoya al estándar ISO
22301.
• ISO 22301:2019 Sistemas de Gestión de la Continuidad del
negocio Norma Certificable.
• ISO 22320:2018 Gestión de emergencias. Requisitos para la
respuesta ante incidentes
etc …

• ISO 22313 avanza a través de su revisión un paso por
detrás de ISO 22301 y se prevé su publicación a
principios de 2020.
• Los requisitos contenidos en ISO 22301 debían
acordarse antes de revisar la guía presentada en ISO
22313. Este enfoque garantiza que la orientación
disponible para los profesionales se alinee con
precisión con los requisitos establecidos en ISO
22301.

ISO 22301. ¿Cómo surge la norma?
ISO-22301 aparece como resultado de una evolución de
lineamientos, buenas prácticas y estándares de continuidad
de negocio:
• NFPA 1600, es el lineamiento más antiguo, de 1995,
estableció una serie de criterios para la gestión de
emergencias, desastres y programas de continuidad para las
empresas.
• En 1997, el Disaster Recovery Institute International (DRII)
publicó las Prácticas Profesionales para la Gestión del
Negocio.
• En 2002, aparecen las Buenas Prácticas para la Continuidad
del Negocio, publicado por el Business Continuity Institute.

• El lineamiento PAS 56 publicado en 2003, establece el
proceso, principios y terminología de un sistema de
continuidad del negocio. Además, desarrolló una serie de
recomendaciones para la anticipación a incidentes y otras de
tipo técnicas para la evaluación.
• En 2006, es publicado el lineamiento BS 25999-1, el cual
describía el ciclo de vida de la continuidad del negocio.
• El estándar BS 25999-2 se publicó en 2007 y fue el primer
estándar internacional auditable y certificable. Su misión era
definir los requisitos para un enfoque de sistemas de gestión
para la continuidad del negocio basado en buenas prácticas.

• También en 2007 se publicó el ISO/PAS 22399, que generó los
lineamientos genéricos para una empresa interesada en
desarrollar un sistema de gestión con criterios para el
desempeño de preparación ante la continuidad operacional y
posibles incidentes.
• En 2008 fueron publicadas ISO/IEC 24762 y BS 25777. La
primera desarrolló guías para la provisión de información y
comunicación ante la recuperación de desastres y la segunda
responde a un código de buenas prácticas sobre la gestión de
la continuidad.

• Ya en el año 2010 se publicó el ASIS/BSI Business
Continuity Management Standard.
• Se trata de un lineamiento basado en BS 25999, y
especifica los requerimientos para un sistema de
gestión de continuidad del negocio.
• En 2011 aparece el PAS 200 Gestión de Crisis –
Lineamiento y Buena Práctica. Es un lineamiento
creado para asistir a las empresas en la toma de
pasos prácticos para mejorar su habilidad de manejar
la crisis.

• IEC 27031, también aparece en 2011, y describe los conceptos
y principios de tecnología de información y comunicación para
preparar a una organización para la continuidad del negocio.
• El 15 Mayo de 2012 El Comité técnico TC/223 publica la
primera versión de la Norma:
ISO22301:2012 Seguridad de la sociedad: Sistemas de Gestión
de la Continuidad del negocio – Requisitos
• Adoptó el ciclo PHVA / PDCA, para la planificación,
establecimiento, implementación, operación, monitoreo,
revisión, mantenimiento y la mejora continua de su
efectividad.
• La ISO 22301 reemplazo a la 25999-2.

2019
ISO 22301

¿Por qué se revisó la ISO 22301?
• Todas las normas ISO deben revisarse
periódicamente para reflejar la visión colectiva actual
de las buenas prácticas globales. Para garantizar que
esto suceda, ISO establece un ciclo de revisión de 5
años.
• En el caso de ISO 22301, la primera versión en 2012
presentó un enfoque estructurado sólido para
implementar y mantener un sistema de gestión para
la continuidad del negocio. Desde entonces, una
combinación de la experiencia obtenida al usar el
estándar y la forma en que ahora pensamos sobre la
continuidad del negocio impulsó la necesidad de
revisar el documento.

• ISO 22301 fue revisado por el grupo de trabajo WG2
del Comité Técnico 292 de ISO sobre Seguridad y
resiliencia (ISO / TC 292).
• El proceso incluyó aportes de una amplia gama de
expertos internacionales de más de 40 países.
Además, se emitieron versiones preliminares para
comentario público, asegurando que se capturara
una amplia variedad de puntos de vista para su
consideración.

• Tras un dilatado proceso de revisión técnica por
parte de los expertos de la organización internacional
de estandarización ISO , el 30 de octubre de 2019 fue
publicada la nueva edición del estándar normativo
de requisitos para Sistemas de Gestión de
Continuidad de Negocios.
ISO 22301:2019 Security and resilience – Business
continuity management systems – Requirements

Cronología y transición
• Habrá un período de transición de tres años.
• Todos los certificados en la versión 2012 perderán su
validez en el 2022.
• La nueva versión no incluye cambios estructurales
importantes, pero si una mejora relevante que
incluye más flexibilidad y menos prescripción.
• Esto facilita la transición para las organizaciones que
ya dispongan de la certificación.

¿Quién puede implementar esta
norma?
• Cualquier organización, grande o pequeña, con o sin
fines de lucro, privada o pública.
• La norma está concebida de tal forma que es
aplicable a cualquier tamaño o tipo de organización.
• De manufactura o servicio, en cualquier sector de la
industria.
Financiero, Mercado de valores , Telecomunicaciones
Manufactura , Entretenimiento, Educación
Hospitalario Retail Consultoría , etc.

10 países con más certificados en
Normas ISO 22301
1. India 1.607
2. Reino Unido 574
3. Japón 226
4. Estados Unidos 165
5. Singapur 157
6. España 120
7. Emiratos Árabes Unidos 98
8. República de Corea 88
9. Polonia 75
10. Turquía 68
informe ISO Survey 2016,

¿Cómo encaja la continuidad del
negocio en la gestión general?
• La gestión de continuidad del negocio es parte
de la gestión general del riesgo en una
organización y tiene áreas superpuestas con la
gestión de seguridad y gestión de tecnología
de la información.

¿Cómo encaja la continuidad del
negocio en la gestión general?
Gestión
General de la
organización

Relación de la norma ISO 22301 con la
ISO 27001 y la ISO /IEC 20000
• La norma ISO 27001 SG de seguridad de la
información, se encuentra muy ligada y tiene puntos
en común con otras dos normas ISO: la ISO 22301 SG
de continuidad del negocio y la ISO/IEC 20000-1, SG
de servicios (Tecnología de la Información).
• La ISO 22301 trabaja el tema de la seguridad en la
organización desde una perspectiva mucho más
general y global, tratando de asegurar la continuidad
del negocio, lo cual influye en aspectos tan diversos
como: los activos financieros, la contabilidad, los
aspectos legales y todos los factores ligados con la
producción y la operativa.

• El estándar 22301 se centra en diversos aspectos de
la organización que van a permitir su sustentabilidad,
utilizando para ello ciertos elementos y controles que
van a evitar las consecuencias de las distintas
amenazas, así como también encontrar las causas
que motivan el problema. Un aspecto muy
importante de la norma ISO 22301, que no tiene en
cuenta la ISO 27001, son los tiempos de
recuperación, una cuestión crucial para poder
evaluar si nuestro plan de contingencia es el
adecuado para poder reanudar la actividad niveles
aceptables para la organización, una vez ha ocurrido
el incidente.

• Otra noma relacionada es el estándar ISO/IEC 20000-
1, de Sistema de gestión de la calidad de los servicios
TI (Tecnologías de la Información):
• hosting, páginas web, e-learning, desarrollo de
software. Todo ello va ligado a la continuidad del
negocio y de los servicios de información y, en
conjunto, sirve para garantizar un servicio seguro, sin
interrupciones importantes y de calidad.

Sistema de gestión
Análisis de Riesgos
Análisis del Impacto
en el negocio BIA
ISO 22301 SG de continuidad del
negocio
Sistema de gestión
Análisis del Impacto
en el negocio BIA
Planes de
contingencia
Continuidad de negocio
gestionada

Sistema de gestión
Plan de tratamiento de
Riesgo
ISO 27001 S G de seguridad de la
información
Seguridad de la información
gestionada

Sistema de gestión
Procesos
Servicios
ISO/IEC 20000-1, SG de servicios TI
Servicios
Servicios
Servicios gestionados

negocio
• Una de las bases sobre la que se sustenta el SGCN es
el análisis de impactos en el negocio BIA y la
evaluación de riesgos y por lo tanto es fundamental
que éste se haya realizado con el mayor rigor posible
y que se mantenga actualizado de forma sistemática.
• Algunas de las metodologías de análisis y gestión de
riesgos más utilizadas, compatibles con un SGNC ISO
22301, son: CRAMM, EBIOS, MAGERIT, Métodos ISF
ISO 31000 : 2018

negocio
• Para analizar el impacto y gestionar los riesgos es
muy útil su clasificación en dos grandes grupos:
riesgos externos y riesgos internos.
• En el primer grupo se incluyen los riesgos de
entorno de negocio, medioambientales, de
regulación o normativa, y de pérdida imagen o
reputación.
• En el segundo grupo, los riesgos se pueden clasificar
a su vez en riesgos de tipo financieros, de
operaciones, de recursos humanos, de tecnologías
de información y comunicaciones, de gobierno
y dirección, etc.

negocio
• El proceso de análisis de impactos y evaluación de
riesgos supone identificar todos los riesgos
potenciales y realizar una evaluación del impacto que
pueden tener en la consecución de los objetivos, así
como de la probabilidad de ocurrencia.
• El resultado de este proceso, para el cual se deben
utilizar metodologías contrastadas, es el mapa de
riesgos de la organización, que se puede presentar
en forma de tablas o de gráficos, y en el que se
puede visualizar el inventario de riesgos junto con el
nivel de probabilidad y el nivel de impacto de cada
uno de ellos.

Requisitos Clave
• Liderazgo imprescindible de la alta dirección;
• La consideración del contexto como factor estratégico;
• Promover un enfoque a procesos; evaluación, gestión y
tratamiento del riesgo, como elemento clave;
• Acciones para riesgos y oportunidades, como elemento clave;
• Asegurar el cumplimiento de todos los requisitos legales y
reglamentarios, que son aplicables a la organización,
relacionados con la continuidad de sus operaciones,
productos y servicios; y establecer una periodicidad adecuada
para garantizar la actualización de los mismos;

Requisitos Clave
• Planificar la toma de acciones para abordar el cumplimiento
de los requisitos legales y otros requisitos, los riesgos y
oportunidades, considerando las mejores técnicas disponibles
• La importancia de la gestión de la continuidad del negocio
debe comunicarse dentro de la organización, la toma de
conciencia y compromiso de todas las personas es
imprescindible para que el sistema funcione;
• Proporcionar la formación necesaria para garantizar la
competencia de las personas que realizan tareas relacionadas
con la continuidad del negocio.
• Análisis del impacto en el negocio BIA, identificación de
procesos críticos; estrategias de recuperación, planes de
recuperación y realización de pruebas;
• Canales de comunicación.

Anexo SL
• ¿Qué es el Anexo SL?
• El Anexo SL es un documento publicado a finales del
2012, que está teniendo gran impacto en
organizaciones, consultores, organismos de
acreditación, auditores y redactores de normas de
Sistemas de Gestión.
Es la Estructura de Alto Nivel (HSL) publicada por ISO
en el Anexo SL la que facilita la integración entre
Normas Sistemas de Gestión de ISO.

Anexo SL
• el Anexo SL aporta coherencia y compatibilidad
entre los sistemas de gestión, y simplifica en gran
medida posibles duplicidades y confusión en el
proceso de implantación de sistemas de gestión en
base a varias normas en una misma organización.
• El Anexo SL hace que las normas tengan:
1. Una estructura común (estructura de alto nivel
HSL)
2. Parte de su texto idéntico.
3. Definiciones comunes

Anexo SL
• Todas las normas sobre sistema de gestión que se
publiquen o revisen a partir de la publicación del
Anexo SL deben de hacerlo bajo esta guía, para lograr
una estructura uniforme, un marco de sistemas de
gestión genérico, que sea más fácil de manejar y
otorgue un beneficio de negocio a aquellas empresas
que cuentan con varios sistemas de gestión
integrados. Tiene un enfoque sistémico

• Tiene el propósito de alinear las diversas normas de
sistemas de gestión…

…con capítulos idénticos, títulos y texto básico

Ventajas de Anexo SL
• Títulos y cláusulas idénticas en la estructura de
alto nivel
• Vocabulario central genérico
• Facilita integración con otros sistemas de
gestión

Cláusula principal Común
X.1 Subcláusula.
Texto idéntico común y/o texto específico de la
disciplina.
X.1.1 Sub-sub-cláusula
Texto idéntico común y/o texto específico de la
disciplina

El Anexo SL Apéndice 2, enumera 22 términos y
definiciones.
Dichos términos y definiciones constituyen una parte
integral del "texto común" para las normas de Sistemas
de Gestión.
Por ejemplo:
ISO / 9001: 2014 enumera 69 términos y definiciones.
ISO / 14001: 2014 enumera 33 términos y definiciones.
(incluyendo los 22 indicados en el anexo SL)

Anexo SL: Estructura de Alto Nivel
(HSL)
• Al basarse en la Estructura de Alto Nivel (HLS), ISO
22301:2019 Sistemas de Gestión de la Continuidad
del negocio comparte los textos centrales y los
términos y definiciones con otras normas de
sistemas de gestión ISO revisadas recientemente,
como ISO 9001:2015 e 14001:2015 27001:2013
22000:2018 55001:2014 45001:2018 50001:2018
etc. . Este marco de referencia está diseñado para
facilitar la integración de nuevos temas de gestión en
los sistemas establecidos en una organización.

(HSL)
0.Introducción
• Estas Normas Internacionales de Sistemas de Gestión
emplean el enfoque a procesos, que incorpora el
ciclo Planificar-Hacer-Verificar-Actuar (PHVA) y el
pensamiento basado en riesgos.

(HSL)
• El desarrollo de las normas ISO de Sistema de
Gestión sigue por lo tanto la Estructura de Alto Nivel
(HSL) y cuentan con una estructura de 10 capítulos.
• Los tres primeros 1 a 3 son introductorios, mientras
que los capítulos 4 a 10 incluyen los requisitos que
se especifican para establecer, implementar,
mantener y mejorar el Sistema de Gestión.

(HSL)

(HSL)
• Cláusula 1 – Alcance
El alcance es específico para cada disciplina, probablemente con
algún texto idéntico.
Definirá los resultados esperados de la norma del sistema de
gestión.
• Cláusula 2 - Referencias normativas
Cada disciplina contendrá la normativa específica aplicable.
• Cláusula 3 - Términos y definiciones
Incluye los términos básicos y las definiciones más las propias de
cada disciplina. Estos conceptos constituyen una parte
integral del texto común para las normas de sistemas de
gestión.

(HSL)
• 3.01 organización:
• Persona o grupo de personas que tienen sus propias
funciones con responsabilidades, autoridades y
relaciones para el logro de sus objetivos (3.08).
• Nota 1 al texto: El concepto de organización incluye, entre
otros, un trabajador independiente, compañía, corporación,
firma, empresa, autoridad, sociedad, organización de caridad
o institución, o una parte o combinación de éstas, ya estén
constituidas o no , públicas o privadas.

(HSL)
• 3.02 parte interesada:
• Persona u organización (3.01) que puede afectar,
verse afectada, o percibirse como afectada por una
decisión o actividad.
• NOTA a la versión en español: Los términos en inglés
“interested party” y “stakeholder” tienen una traducción
única al español como “parte interesada”.

(HSL)
• 3.03 requisito:
• Necesidad o expectativa que está establecida,
generalmente implícita u obligatoria.
• Nota 1 al texto: “Generalmente implícita" significa que es una
costumbre o práctica común en la organización y en las partes
interesadas, que la necesidad o expectativa que se considera
está implícita.
• Nota 2 al texto: Un requisito especificado es el que está
declarado, por ejemplo, en información documentada.

(HSL)
• 3.04 sistema de gestión:
• Conjunto de elementos de una organización (3.01)
interrelacionados o que interactúan para establecer
políticas (3.07), objetivos (3.08) y procesos (3.12)
para lograr estos objetivos.
• Nota 1 al texto: Un sistema de gestión puede tratar una sola disciplina o
varias disciplinas.
• Nota 2 al texto: Los elementos del sistema incluyen la estructura de la
organización, los roles y las responsabilidades, la planificación, la
operación, etc.
• Nota 3 al texto: El alcance de un sistema de gestión puede incluir la
totalidad de la organización, funciones específicas e identificadas de la
organización, secciones específicas e identificadas de la organización, o
una o más funciones dentro de un grupo de organizaciones.

(HSL)
• 3.05 alta dirección:
• Persona o grupo de personas que dirigen y controlan
una organización (3.01) al más alto nivel.
• Nota 1 al texto: La alta dirección tiene el poder para delegar
autoridad y proporcionar recursos dentro de la organización.
• Nota 2 al texto: Si el alcance del sistema de gestión (3.04)
comprende sólo una parte de una organización, entonces
“alta dirección” se refiere a quienes dirigen y controlan esa
parte de la organización.

(HSL)
• 3.06 eficacia:
• Grado en el cual se realizan las actividades
planificadas y se logran los resultados planificados.
• 3.07 política:
• Intenciones y dirección de una organización (3.01),
como las expresa formalmente su alta dirección
(3.05).

(HSL)
• 3.08 objetivo:
• Resultado a lograr.
• Nota 1 al texto: Un objetivo puede ser estratégico, táctico u operativo.
• Nota 2 al texto: Los objetivos pueden referirse a diferentes disciplinas
(como financieras, de seguridad y salud y ambientales) y se pueden aplicar
en diferentes niveles (como estratégicos, para toda la organización, para
proyectos, productos y procesos (3.12)).
• Nota 3 al texto: Un objetivo se puede expresar de otras maneras, por
ejemplo, como un resultado previsto, un propósito, un criterio operativo,
un objetivo XXX, o mediante el uso de términos con un significado similar
(por ejemplo, finalidad o meta).
• Nota 4 al texto: En el contexto de sistemas de gestión XXX, la organización
establece los objetivos XXX, en concordancia con la política XXX, para
lograr resultados específicos.

(HSL)
• 3.09 riesgo:
• Efecto de la incertidumbre.
• Nota 1 al texto: Un efecto es una desviación de lo esperado, ya sea
positivo o negativo.
• Nota 2 al texto: Incertidumbre es el estado, incluso parcial, de deficiencia
de información relacionada con la comprensión o conocimiento de un
evento, su consecuencia o su probabilidad.
• Nota 3 al texto: Con frecuencia el riesgo se caracteriza por referencia a
eventos potenciales (Guía ISO 73, 3.5.1.3) y a consecuencias potenciales
(Guía ISO 73, 3.6.1.3), o a una combinación de éstos.
• Nota 4 al texto: Con frecuencia el riesgo se expresa en términos de una
combinación de las consecuencias de un evento (incluyendo cambios en
las circunstancias) y la probabilidad (Guía ISO 73, 3.6.1.1) de que ocurra.

(HSL)
• 3.10 competencia:
• Capacidad para aplicar conocimientos y habilidades con el fin
de lograr los resultados previstos.
• 3.11 información documentada:
• Información que una organización (3.01) tiene que controlar y
mantener, y el medio en el que está contenida.
• Nota 1 al texto: La información documentada puede estar en cualquier formato y
medio, y puede provenir de cualquier fuente.
• Nota 2 al texto: La información documentada puede hacer referencia a:
– el sistema de gestión (3.04), incluidos los procesos relacionados (3.12);
– la información creada para que la organización opere (documentación),
– la evidencia de los resultados alcanzados (registros).

(HSL)
• 3.12 proceso:
• Conjunto de actividades interrelacionadas o que
interactúan, que transforma elementos de entrada
en elementos de salida.
• 3.13 desempeño:
• Resultado medible.
• Nota 1 al texto: El desempeño se puede relacionar con
hallazgos cuantitativos o cualitativos.
• Nota 2 al texto: El desempeño se puede relacionar con la
gestión de actividades, procesos (3.1.2), productos (incluidos
servicios), sistemas u organizaciones (3.01).

(HSL)
• 3.14 contratar externamente (verbo):
• Establecer un acuerdo mediante el cual una
organización (3.01) externa realiza parte de una
función o proceso (3.12) de una organización.
• Nota 1 al texto: Una organización externa está fuera del
alcance del sistema de gestión (3.04), aunque la función o
proceso contratado externamente forme parte del alcance.

(HSL)
• 3.15 seguimiento:
• Determinación del estado de un sistema, un proceso
(3.12) o una actividad.
• Nota 1 al texto: Para determinar el estado puede ser necesario verificar,
supervisar u observar en forma crítica.
• 3.16 medición:
• Proceso (3.12) para determinar un valor.

(HSL)
• 3.17 auditoría:
• Proceso (3.12) sistemático, independiente y documentado
para obtener las evidencias de auditoría y evaluarlas de
manera objetiva con el fin de determinar el grado en el que se
cumplen los criterios de auditoría.
• Nota 1 al texto: Una auditoría puede ser interna (de primera parte), o
externa (de segunda o tercera parte), y puede ser combinada
(combinando dos o más disciplinas).
• Nota 2 al texto: “Evidencia de auditoría” y “criterios de auditoría” se
definen en la Norma ISO 19011.

(HSL)
• 3.18 conformidad:
• Cumplimiento de un requisito (3.03).
• 3.19 no conformidad:
• Incumplimiento de un requisito (3.03).
• 3.20 corrección:
• Acción para eliminar una no conformidad (3.19) detectada.
• 3.21 acción correctiva:
• Acción para eliminar la causa de una no conformidad (3.19) y
prevenir que vuelva a ocurrir.
• 3.22 mejora continua:
• Actividad recurrente para mejorar el desempeño (3.13).

(HSL)
• Cláusula 4 - Contexto de la organización
La organización determinará las cuestiones que desea
resolver, planteará cuáles son los impactos que
genera y obtendrá los resultados esperados. Para ello
este capítulo habla sobre la necesidad de
comprender la organización y su contexto,
comprender las necesidades y expectativas de las
partes interesadas y determinar el ámbito de
aplicación del sistema de gestión.

(HSL)
• Cláusula 4 - Contexto de la organización
• 4.1. Comprendiendo la organización y su contexto
• 4.2 Comprendiendo las necesidades y expectativas
de las partes interesadas
• 4.3 Determinando el alcance del sistema de gestión
• 4.4 Sistema de Gestión

(HSL)
• Cláusula 5 – Liderazgo
Aparece como una reiteración de las políticas,
funciones, responsabilidades y autoridades de la
organización, y sobre todo enfatiza el rol del
liderazgo. Esta cláusula aporta relevancia a la
función y responsabilidad de la alta dirección, la
cual a partir de su publicación deberá tener mayor
nivel de participación en el sistema de gestión. Entre
sus responsabilidades figura la de comunicar a todos
los miembros de la organización la importancia del
sistema de gestión y fomentar su
participación.

(HSL)
• Cláusula 5 – Liderazgo
• 5.1 Liderazgo y compromiso
• 5.2 Política
• 5.3 Roles, responsabilidades y autoridades de
la Organización

(HSL)
• Cláusula 6 – Planificación
Este punto incluye el carácter preventivo de los
sistemas de gestión como un todo, trata los riesgos y
oportunidades que enfrenta la organización.
La planificación abordará qué, quién, cómo y cuándo,
se deberán realizar las acciones que conduzcan al
logro de los objetivos de la organización.
Proporciona más facilidad de comprensión a la acción
preventiva y correctiva.

(HSL)
• Cláusula 6 – Planificación
• 6.1 Acciones para manejar riesgos y
oportunidades
• 6.2 Objetivos y planes para lograrlos

(HSL)
• Cláusula 7 – Soporte
Habla de aspectos como recursos, competencia,
conciencia, comunicación o información
documentada, que constituyen el soporte necesario
para cumplir las metas y objetivos de la organización.

(HSL)
• Cláusula 7 – Soporte
• 7.1 Recursos
• 7.2 Competencia
• 7.3 Concientización
• 7.4 Comunicación
• 7.5 Información documentada

Información documentada
• Diseñada por la propia organización
• Clara, simple y precisa
• Codificación simple y entendible
• Actualizada
• Adecuada para la capacitación
• La información documentada puede estar en
cualquier formato o tipo de medio. (Fotografía
Papel ,Soporte Informático)

• Título y Alcance
• Tabla de Contenido
• Revisión y Aprobación
• Política y Objetivos
• Organización, responsabilidad y autoridad
• Referencias y Descripción

• Se emplea el término información documentada en sustitución de
los términos documentos y registros.
No existe más referencia a los procedimientos documentados,
manual de calidad, etc.
• Se pretende un sistema de gestión documentado y no un sistema
de documentos
Información documentada. Información que una organización tiene que
controlar y mantener, y el medio en que está contenida
Documentos Registros
Información
Documentada+ =

(HSL)
• Cláusula 8 – Operación
Es la cláusula en la que la organización planifica y
controla sus procesos interno y externos, los
cambios que se produzcan y las consecuencias no
deseadas de los mismos.
Es la cláusula más corta pero la que mas varia según el
Sistema de Gestión de Normas ISO de la cual se trate.

(HSL)
• Cláusula 8 – Operación
• 8.1 Planificación y control operativo

(HSL)
• Cláusula 9 - Evaluación del desempeño
Habla de seguimiento, medición, análisis y evaluación
de la eficacia del sistema de gestión mediante la
evaluación del desempeño, las auditorías internas,
el análisis, la evaluación y la revisión por parte de la
dirección.
Requiere especificar cómo y cuándo realizar
seguimiento y medición, así como realizar el análisis
y evaluación de los resultados.

(HSL)
• Cláusula 9 - Evaluación del desempeño
• 9.1 seguimiento, medición, análisis y
evaluación
• 9.2 Auditoría Interna
• 9.3 Revisión del Sistema

(HSL)
• Cláusula 10 – Mejora
Enfatiza la importancia de realizar acciones de mejora a
los procesos, productos, servicios y al sistema de
gestión.
Es necesario identificar y evaluar las no
conformidades, así como, la implementación y
evaluación de la eficacia de las acciones correctivas.

(HSL)
• Cláusula 10 – Mejora
• 10.1 No conformidad y acciones correctivas de
mejora
• 10.2 Mejora continua

Principales cambios de ISO
22301:2019
Hay 3 áreas principales de cambio:
• Terminología: términos clave de Continuidad del Negocio
modernizados para reflejar cómo los expertos de todo el
mundo ahora usan esos términos en la práctica.
• Estructura: las secciones se han reubicado, fusionado o
eliminado (debido a la repetición) para separar más
claramente los pasos necesarios para brindar la capacidad de
Continuidad del Negocio de los pasos necesarios para
implementar y mantener el sistema de gestión.
• Simplificación: la revisión ha dado como resultado un
documento que es más fácil de leer y adoptar. Para las
organizaciones que buscan la certificación, la nueva versión
requiere el cumplimiento de menos declaraciones "debe".

22301:2019
• Según ha señalado ISO, así como el propio comité
técnico que ha llevado a cabo la revisión, el principal
cambio que habría que destacar, es que la propia
norma señala que no se están incluyendo requisitos
nuevos, sino que estos han sido clarificados.
• Esto permitirá que puedan ser mejor entendidos y
aplicados por las organizaciones.
• A modo de resumen, entre los principales cambios
de la norma se podrían señalar los siguientes:

22301:2019
• Se han aplicado los requisitos de ISO para los
estándares del sistema de gestión, que han
evolucionado desde 2012.
• Como se indicaba anteriormente, los requisitos se
han clarificado, sin agregar nuevos requisitos;
• Nombre de la norma.
Ha pasado de «Societal security Business continuity
management systems Requirements» a «Security
and resilience Business continuity management
systems - Requirements».

22301:2019
• El diagrama del modelo PDCA se eliminó, ya que los
diagramas son difíciles de estandarizar y
generalmente conducen a discusiones e
interpretaciones interminables.
• Las cláusulas 4 a 10 cubren los componentes de
PDCA, como antes.
• Los términos y definiciones se actualizaron para
incluir la plataforma de navegación en línea ISO y la
IEC Electropedia; ambas son plataformas de
información basadas en la web.

22301:2019
• En la cláusula 3 "Términos y definiciones", se
modificaron, redefinieron, eliminaron y agregaron
varios términos de la disciplina de continuidad del
negocio para mejorar la claridad y reflejar el
pensamiento actual.
• Los principales cambios incluyen: La eliminación de
los términos BCM, BCP, invocación, MAO.

"Términos y definiciones" introducidos
• consecuencia
• interrupción
• emergencia
• impacto
• información
• probabilidad
• gestión
• medida
• planificación
• protección
• recuperación
introducida en lugar de
"RPO, RTO"
• resistencia
• revisión
• cadena de suministro
• entrenamiento

"Términos y definiciones"
Eliminados:
• BCM
• BCP documento
• infraestructura
• invocación
• MAO, MTPD, MBCO
• Apetito por el riesgo
• BCMS redefinido
• actividades priorizadas
cambiadas a "actividad
priorizada"
• producto o servicio
ligeramente modificado
• Ensayos reemplazado
por el término “ensayo"

22301:2019
• Redefinición del termino BCMS.
• En la versión de 2012, “apetito por el riesgo” se
definió como la “cantidad y tipo de riesgo que una
organización está dispuesta a perseguir o retener”. La
versión 2019 elimina el término.
• El “apetito por el riesgo” es un tema subjetivo, lo que
importa no es el riesgo que una organización está
dispuesta a asumir, sino el nivel en el que el impacto
de no reanudar las actividades sería inaceptable para
una organización.

22301:2019
• La cláusula 4 “Contexto de la organización”
recibió solo modificaciones menores.
• El equipo del proyecto intentó crear
subcláusulas introductorias al comienzo de
cada cláusula.
• Como tal, por ejemplo, la subcláusula 4.1 es
una introducción a la cláusula 4 y la
subcláusula 4.2.1 (general) es una
introducción a la subcláusula 4.2.

22301:2019
• Se reducen requisitos para BCM. La nueva
versión 2019 establece la necesidad de definir
y determinar simplemente problemas
externos e internos de la empresa y su
contexto, pero sin especificar lo que esto
conlleva. No dice que elementos tener en
cuenta, ni incluye requisitos a documentar
para este proceso.

22301:2019
• La cláusula 5 sobre “Liderazgo” fue simplificada.
• Fue recortada la participación de la alta dirección
(5.2).
• Aunque en la versión anterior se requería una
participación activa en el ejercicio y la prueba y todas
las etapas, la nueva versión es más pragmática y se
enfoca en lo que es realmente necesario para
mantener el sistema de gestión.

22301:2019
• Se mejoró la cláusula 6 sobre planificación,
centrándose en los objetivos de continuidad del
negocio y la planificación para alcanzarlos (6.2).
• Se introdujo una nueva subcláusula sobre la
planificación de cambios en el BCMS (6.3).
• La cláusula 7 sobre Soporte fue simplificada.

22301:2019
• Los requisitos específicos de la disciplina de
continuidad del negocio ahora están incluidos casi
por completo dentro de la Cláusula 8;
• La cláusula 8 se ha reestructurado para proporcionar
una comprensión más clara de los requisitos clave;
• La estructura de las subcláusulas no se modificó
mucho, se mejoraron con nuevas adiciones en el
contenido.

22301:2019
• La Sección 8.2.2 sobre Análisis de impacto en el
negocio (BIA) ahora estipula que el BIA debe definir
los tipos de impacto y los criterios relevantes como
punto de partida. Si bien muchas organizaciones ya
definen tipos de impacto en su BIA, la versión 2019
lo hace obligatorio. Por ejemplo, se agregó una
referencia a ISO 22318 (continuidad de la cadena de
suministro). Se agregaron notas que hacen referencia
a los términos MTPD y RTO (ambos eliminados de la
cláusula sobre términos y definiciones).

22301:2019
• En la Sección 8.3 se ha cambiado el nombre
“Estrategia de Continuidad de Negocios” a
“Estrategias y Soluciones de Continuidad de
Negocios”.
• Demuestra pragmatismo destacando la necesidad de
identificar y seleccionar estrategias y soluciones
para posibles impactos o riesgos específicos (en
8.3.2), en lugar de concentrarse en desarrollar una
gran estrategia para garantizar la continuidad.

22301:2019
• La cláusula 8.4 (anteriormente denominada
"Establecer e implementar procedimientos de
continuidad de negocios") ha sido renombrada a
"Planes y procedimientos de continuidad de
negocios", enfocandose en la "Estructura de
respuesta" (8.4.2), "Advertencia y comunicación"
(8.4.3), "Planes de continuidad de negocio” (8.4.4) y
“Recuperación” (8.4.5).
• Una sub-cláusula sobre "Programa de ejercicios"
(8.5) reemplaza la sub-cláusula anteriormente
llamada "Ejercicio y prueba".

22301:2019
• La cláusula 9 sobre "Evaluación del desempeño" y la
cláusula 10 "Mejora" se simplificaron, teniendo
también en cuenta los nuevos requisitos de ISO para
alinearse con todas las normas de sistema de gestión
de ISO.

Contenido de ISO 22301
Introducción
General
El modelo Planificación-Implementación-Verificación-
Mejora (PDCA)
1 Alcance
2 Referencias normativas
3 Términos y definiciones
4 Contexto de la organización
• 4.1 Comprensión de la organización y su contexto.
• 4.2 Comprender las necesidades y expectativas de las partes
interesadas.

• 4.3 Determinar el alcance del sistema de gestión de
continuidad del negocio.
• 4.4 Sistema de gestión de la continuidad del negocio.
5 Liderazgo
• 5.1 Liderazgo y compromiso.
• 5.2 Política.
• 5.3 Roles, responsabilidades y autoridades.
6 Planificación
• 6.1 Acciones para abordar riesgos y oportunidades.
• 6.2 Objetivos de continuidad del negocio y planes para
alcanzarlos.
• 6.3 Planificación de cambios en el sistema de gestión de

7 Apoyo
• 7.1 Recursos.
• 7.2 Competencia.
• 7.3 Conciencia.
• 7.4 Comunicación.
• 7.5 Información documentada.

Reestructuración de la cláusula 8 en ISO 22301:2019
Esta ha sido la cláusula que más cambios ha
experimentado en la nueva ISO 22301:2019,
quedando con la siguiente estructura:
8.1 Planificación y control operacional
8.2 Análisis de impacto empresarial y evaluación de
riesgos
– 8.2.1 General
– 8.2.2 Análisis de impacto empresarial
– 8.2.3 Evaluación de riesgos

8.3 Estrategias y soluciones de continuidad empresarial
– 8.3.1 General
– 8.3.2 Identificación de estrategias y soluciones.
– 8.3.3 Selección de estrategias y soluciones.
– 8.3.4 Requisitos de recursos
– 8.3.5 Implementación de soluciones

8.4 Planes y procedimientos de continuidad del negocio
– 8.4.1 General
– 8.4.2 Estructura de respuesta
– 8.4.3 Advertencia y comunicación
– 8.4.4 Planes de continuidad del negocio
– 8.4.5 Recuperación
8.5 Programa de ejercicios
8.6 Evaluación de la documentación y las capacidades
de continuidad del negocio.

9 Evaluación de desempeño
• 9.1 Supervisión, medición, análisis y evaluación
• 9.2 Auditoría interna
• 9.3 Revisión por parte de la dirección
10 Mejora
• 10.1 No conformidades y acciones correctivas
• 10.2 Mejora continua
Bibliografía

Planificación
de cambios
en el SGCN.
Informacion
documentada
Estrategias
y soluciones
de continuidad
en el negocio.
Planes y
procedimientos
de continuidad
en el negocio
Programa
de
ejercicios.
Evaluación de la
documentación
y las capacidades
de continuidad
del negocio.
ISO 22301:2019
5.Liderazgo

• 1. Alcance
• Especifica los requisitos para planificar,
establecer, implementar, operar, supervisar,
revisar mantener y mejorar continuamente un
sistema de gestión documentado para
protegerse.

1. Alcance
Este documento es aplicable a todos los tipos y tamaños de
organizaciones que busca:
a) implementar mantener y mejorar un BCMS;
b) tratar de garantizar la conformidad con la política de
continuidad comercial establecida;
c) necesita la capacidad de continuar la entrega de productos y
servicios a una capacidad predefinida aceptable durante una
interrupción;
d) buscar mejorar su resiliencia a través de la aplicación efectiva
del BCMS.
Este documento puede usarse para evaluar la capacidad de una
organización para satisfacer sus propias necesidades y
obligaciones de continuidad comercial.

• 2. Referencias normativas
ISO 22300 Seguridad y resiliencia -Vocabulario
• 3. Términos y Definiciones.
Tiene 31 Términos y Definiciones

Términos básicos
3.1 actividad
Un conjunto de una o más tareas con una salida
definida
3.3 continuidad del negocio
capacidad de una organización para continuar la
entrega de productos y servicios dentro de
plazos aceptables a una capacidad predefinida
relacionada con una interrupción

Términos básicos
3.4 plan continuidad del negocio
información documentada (3.13) que guía a una organización
(3.31) para responder a una interrupción (3.12) y reanudar,
recuperar y restaurar la entrega de productos y servicios
consistentes con sus objetivos de continuidad del negocio
3.5 Análisis de Impacto del Negocio BIA
proceso (3.40) de analizar el impacto (3.18) de una interrupción
(3.12) en la organización (3.31)
Nota 1 a la entrada: El resultado es una declaración y
justificación de los requisitos de continuidad del negocio (3.3)

Términos básicos
interrupción (3.12)
incidente , ya sea anticipado o no, que causa una
desviación negativa no planificada de la entrega
esperada de productos y servicios de acuerdo con
los objetivos de una organización
3.13 impacto
resultado de una interrupción que afecta los objetivos
3.14 incidente
evento que puede ser o podría provocar una
interrupción , pérdida, emergencia o crisis

Términos básicos
3.20 objeto
entidad única y distinta que se puede identificar
3.25 actividad priorizada
actividad a la que se da urgencia para evitar impactos
inaceptables en el negocio durante una interrupción
3.27producto o servicio
Producto o resultado proporcionado por una organización a las
partes interesadas
Ejemplo Artículos manufacturados, seguros de automóviles,
enfermería comunitaria.

Resiliencia
Definiciones:
Capacidad de absorber y adaptarse en un entorno cambiante
Capacidad de una organización para resistir los efectos de un
incidente
Latín - resilire, recuperarse, retroceder o volver a la original
Inglés (siglo 17)– resilience, calidad de las maderas para
soportar cargas severas sin romperse
Física – objetos que resisten los efectos de fuerzas externas
Química - capacidad de un metal para regresar a su estado
original
Ingeniería - medida de la capacidad de un material para resistir
el impacto, así como para absorber y liberar energía a través
de la elasticidad

Como actúa la Resiliencia en las organizaciones y en la
sociedad.
“En los últimos doce meses, 81% de directores que han
implementado Gestión de Continuidad del Negocio
están de acuerdo en que se han reducido
exitosamente sus interrupciones y el costo ha valido
la pena por los beneficios a la organización”.
Fuente: “Planning for the worst” – CMI Business Continuity Management
Survey, March 2012

El modelo Planificación Implementación-
Verificación-Mejora (PDCA)
• A continuación se muestran los pasos clave
para implantar de manera exitosa un SGCN,
siguiendo el conocido ciclo de mejora
continua (PDCA) aplicable en esta Norma
internacional ISO 22301

Establecer el BCMS
Definir el contexto del BCMS que se aplica a la organización.
Definir las necesidades, requisitos y alcance del BCMS
El papel específico de la alta dirección en el BCMS
Definición de los objetivos y los principios que rigen el BCMS
Definir el Análisis del Impacto del Negocio (BIA)
Determinación de competencias
Establecimiento de las comunicaciones
Documentación del BCMS
Implementar y Operar el BCMS
Definido los requisitos de BCMS, la forma de abordarlos por la
organización.
Desarrollo los procedimientos para administrar un incidente
perjudicial
Medir el rendimiento del BCMS
El cumplimiento con la norma del BCMS
Retroalimentación del sistema respecto a sus expectativas
Se identifica y actúa sobre las no conformidades del BCMS
a través de una acción correctiva
PLAN
DO
CHECK
ACT
Componentes de PDCA en esta Norma internacional ISO 22301

Establecer el BCMS
Definir el contexto del BCMS que se aplica a la organización.
Definir las necesidades, requisitos y alcance del BCMS
El papel específico de la alta dirección en el BCMS
Definición de los objetivos y los principios que rigen el BCMS
Definir el Análisis del Impacto del Negocio (BIA)
Determinación de competencias
Establecimiento de las comunicaciones
Documentación del BCMS
Análisis del Impacto al
Negocio:
•Evaluación de riesgos
•Tratamientos
Medir el rendimiento del BCMS
El cumplimiento con la norma del BCMS
Retroalimentación del sistema respecto a sus expectativas
Se identifica y actúa sobre las no conformidades del BCMS
a través de una acción correctiva
PLAN
DO
CHECK
ACT
Componentes de PDCA en esta Norma internacional ISO 22301
Estrategia de
continuidad
del negocio:
• Prioridades
• Recursos
• Protección y mitigación
Procedimientos
de continuidad del
negocio:
• Estructura de
respuesta a incidentes
• Advertencia y
comunicaciones
• Planes de BC
• Recuperación
Ejercicios y Pruebas:
• Metas y objetivos
• Minimizar riesgo
• Reporte y acciones

• 4 Contexto de la organización
4.1. Comprensión de la organización y su contexto
• La organización debe determinar los problemas
externos e internos que sean relevantes para su
propósito y que afecten su capacidad para lograr los
resultados previstos de su BCMS.
• NOTA: Estos problemas estarán influenciados por los objetivos
generales de la organización, sus productos y servicios y la
cantidad y tipo de riesgo que puede o no asumir.

4.2. Comprensión de las necesidades y expectativas de
las partes interesadas
4.2.1 Generalidades
Al establecer el Sistema de Gestión de Continuidad de
Negocio, la empresa debe determinar:
a) Las partes interesadas que son relevantes para el
Sistema de Gestión de Continuidad de Negocio.
b) Los requisitos relevantes de estas partes
interesadas.

4.2. Comprensión de las necesidades y expectativas de las
partes interesadas
4.2.2 Los requisitos legales y reglamentarios
La organización debe:
a) implementar y mantener un proceso para identificar, tener
acceso y evaluar los requisitos legales y reglamentarios
aplicables relacionados con la continuidad de sus productos y
servicios, procesos, actividades y recursos, así como los
intereses de las partes interesadas relevantes;
b) garantizar que estos requisitos legales, reglamentarios y de
otro tipo se tengan en cuenta al implementar y mantener su
BCMS;
c) documentar esta información y mantenerla actualizada.

4.3. Determinación del alcance del sistema de gestión de la
continuidad del negocio
4.3.1 General
La organización debe determinar los límites y la aplicabilidad del
BCMS para establecer su alcance.
Al determinar este alcance, la organización debe considerar:
a) las cuestiones externas e internas mencionadas en 4.1;
b) los requisitos mencionados en 4.2.
c) su misión, objetivos y obligaciones externas e internas
El alcance debe estar disponible como información
documentada.

4.3. Determinación del alcance del sistema de gestión
de la continuidad del negocio
4.3.2 Alcance de los Sistema de Gestión de
Continuidad de Negocio
a) establecer las partes de la organización que se
incluirán en el BCMS, teniendo en cuenta su
ubicación, tamaño, naturaleza y complejidad;
b) identificar los productos y servicios que se incluirán
en el BCMS;

4.3. Determinación del alcance del sistema de gestión
de la continuidad del negocio
4.3.2 Alcance de los Sistema de Gestión de
Continuidad del Negocio
Al definir el alcance, la organización debe documentar y
explicar las exclusiones. No deben afectar la
capacidad y responsabilidad de la organización para
proporcionar continuidad del Negocio, según lo
determinado por el análisis de impacto comercial o la
evaluación de riesgos y los requisitos legales o
reglamentarios aplicables.

4.4. Sistema de gestión de la continuidad de negocio
La organización debe establecer, implementar,
mantener y mejorar continuamente un Sistema de
Gestión de Continuidad de Negocio, incluyendo los
procesos necesarios y sus interacciones, de
conformidad con los requisitos de la norma ISO
22301.

5 Liderazgo
5 liderazgo
5.1 Liderazgo y compromiso
La alta dirección deberá demostrar liderazgo y compromiso con
respecto al BCMS mediante:
a) asegurar que la política de continuidad del negocio y los
objetivos de continuidad del negocio estén establecidos y
sean compatibles con la dirección estratégica de la
organización;
b) asegurar la integración de los requisitos del BCMS en los
procesos de negocios de la organización;
c) asegurar que los recursos necesarios para el BCMS estén
disponibles;

5 Liderazgo
5 liderazgo
5.1 Liderazgo y compromiso
d) comunicar la importancia de la continuidad efectiva del
negocio y cumplir con los requisitos del BCMS;
e) asegurar que el BCMS logre los resultados previstos;
f) dirigir y apoyar a las personas para que contribuyan a la
efectividad del BCMS;
g) promover la mejora continua.
h) respaldar otras funciones de gestión relevantes para
demostrar su liderazgo y compromiso en lo que respecta a sus
áreas de responsabilidad
NOTA La referencia a "negocios" en este documento puede interpretarse de
manera amplia para referirse a aquellas actividades que son
fundamentales para los propósitos de la existencia de la organización.

5 Liderazgo
5.2 Política
5.2.1 establecer una política de continuidad del
negocio
La alta dirección debe establecer una política de
continuidad del negocio que:
a) es apropiado para el propósito de la organización;
b) proporciona un marco para establecer objetivos de
continuidad del negocio;
c) incluye un compromiso para satisfacer los requisitos
aplicables;
d) incluye un compromiso de mejora continua del
BCMS.

Valores
Objetivos
estrategia Objetivos
de continuidad
Del negocio
Política corporativa
Política de continuidad
Del negocio
Alineamiento
estratégico
Misión

5 Liderazgo
5.2 Política
5.2.2comunicar una política de continuidad del
negocio
La política de continuidad del negocio deberá:
a) estar disponible como información documentada;
b) ser comunicada dentro de la organización;
c) estar disponible para las partes interesadas,
según corresponda.

5 Liderazgo
5.3 Roles organizacionales, responsabilidades y
autoridades
La alta dirección debe garantizar que las
responsabilidades y autoridades para los roles
relevantes se asignen y comuniquen dentro de la
organización.
La alta dirección debe asignar la responsabilidad y la
autoridad para:
a) asegurar que el BCMS cumpla con los requisitos de
este documento;
b) informar sobre el desempeño del BCMS a la
alta dirección.

6. Planificación
6.1 Acciones para abordar riesgos y oportunidades
6.1.1 Determinar riesgos y oportunidades
Al planificar el BCMS, la organización debe considerar
los problemas mencionados en 4.1 y los requisitos
mencionados en 4.2 y determinar los riesgos y
oportunidades que deben abordarse para:
a) aseguran que el sistema de gestión puede conseguir
los resultados previstos;
b) prevenir o reducir los efectos no deseados;
c) lograr la mejora continua.

6. Planificación
6.1 Acciones para abordar riesgos y oportunidades
6.1.1 abordar estos riesgos y oportunidades
La organización debe planificar:
a) acciones para abordar estos riesgos y oportunidades,
b) cómo:
1) integrar e implementar las acciones en sus procesos
BCMS (ver 8.1),
2) evaluar la efectividad de estas acciones (ver 9.1).
NOTA los riesgos y las oportunidades en esta subcláusula se relacionan con la
efectividad del sistema de gestión. Los riesgos relacionados con la
interrupción del negocio se abordan en 8.2

6. Planificación
6.2 Objetivos de continuidad del negocio y planificación para
alcanzarlos
6.2.1 Estableciendo los objetivos de continuidad del negocio
La organización debe establecer objetivos de continuidad del
negocio en funciones y niveles relevantes
Los objetivos de continuidad del negocio deberán:
a) ser coherente con la política de continuidad del negocio;
b) ser medible (si es posible);
c) tener en cuenta los requisitos aplicables;

6. Planificación
alcanzarlos
6.2.1 Estableciendo los objetivos de continuidad del negocio
d) ser monitoreado;
e) ser comunicado;
f) se actualizará según corresponda.
La organización debe retener información documentada sobre
los objetivos de continuidad del negocio.

6. Planificación
alcanzarlos
6.2.2 Determinando los objetivos de continuidad del negocio
Al planificar cómo lograr sus objetivos de continuidad comercial,
la organización debe determinar:
a) lo que se hará;
b) qué recursos se requerirán;
c) quién será responsable;
d) cuándo se completará;
e) cómo se evaluarán los resultados.

6. Planificación
6.3 Planificación de cambios al BCMS
Cuando la organización determina la necesidad de cambios en el
BCMS, incluidos los identificados en la cláusula 10 , mejora,
los cambios se llevarán a cabo de manera planificada.
La organización debe considerar:
a) el propósito de los cambios y sus posibles consecuencias;
b) la integridad del BCMS;
c) la disponibilidad de recursos;
d) la asignación o reasignación de responsabilidades y
autoridades.

7 Apoyo
7.1. Recursos
• La organización tiene que determinar y proporcionar
todos los recursos necesarios para el
establecimiento, implementación, mantenimiento y
mejora continua del Sistema de Gestión de
Continuación de Negocio.

7 Apoyo
7.2. Competencia
a) Determinar la competencia necesaria de las personas que
hace el trabajo bajo su control y que afecta a su
rendimiento.
b) Garantizar que dichas personas son competentes en la base
de la educación, la capacitación y experiencia.
c) Tomar decisiones para adquirir la competencia necesaria, y
evaluar la eficacia de las acciones llevada a cabo.
d) conservar la información adecuada y documentada como
evidencia de la competencia.

7 Apoyo
7.3. Toma de conciencia
Las personas que realizan un trabajo bajo el control de la
organización debe ser consciente de:
a) La política de continuidad de negocio.
b) La contribución a la eficacia del Sistema de Gestión de
Continuidad de Negocio, incluyendo a los beneficios de una
mejora continua del negocio según los resultados de la
gestión.
c) Las consecuencias de que no cumplan con los requisitos del
d) su propio rol y responsabilidades antes, durante y
después de las interrupciones.

7 Apoyo
7.4. Comunicación
La organización debe determinar todas las necesidades
de comunicación interna y externa relevante para el
Sistema de Gestión de Continuidad de Negocio
incluyendo:
a) sobre lo que comunicará;
b) cuándo comunicar;
c) con quién comunicar;
d) cómo comunicar;
e) quién comunicará.

7 Apoyo
7.5. Información documentada
7.5.1. Generalidades
El Sistema de Gestión de Continuidad de Negocio
incluirá:
• Documentar la información requerida por la norma
ISO 22301.
• La información documentada determinada por la
organización como necesaria para la efectividad del

7 Apoyo
7.5.2. Creación y actualización
Al crear y actualizar la información documentada, la
organización debe asegurarse de:
a) Identificar y describir la información documentada
b) El formato y el medio
c) Revisar y aprobar su idoneidad y adecuación

7 Apoyo
7.5.3. Control de la información documentada
7.5.3. 1 La información documentada requerida por el
Sistema de Gestión de Continuidad del Negocio y por
la norma, se debe controlar para garantizar:
a) Está disponible y adecuada para su uso, donde y
cuando se necesita.
b)Está protegida de forma adecuada.

7 Apoyo
7.5.3.2 Para el control de la información documentada, la
organización debe responder a las siguientes actividades,
según sea el caso:
Distribución, acceso, recuperación y utilización.
Almacenamiento y conservación, incluyendo la preservación
de la legibilidad.
El control de cambios.
Retención y disposición

7 Apoyo
7.5.3.2 La información documentada de origen externo
es determinada por la organización como necearía
para la planificación y el funcionamiento del Sistema
de Gestión de Continuidad de Negocio es
identificada, según proceda y se controla.

8. Operación
8.1. Planificación y control operacional
La organización debe planificar, ejecutar y controlar todos los
procesos necesarios para cumplir con los requisitos, y para
implantar las acciones determinadas en el apartado 6.1, por:
a) Establecer criterios para los procesos
b) Implementando el control de los procesos de acuerdo con los
criterios
c) Mantener la información documentada en la medida
necesaria para tener confianza en los procesos que se
encontraban previstos
La organización debe controlar los cambios planificados y
revisar las consecuencias de los cambios no deseados,
tomando acciones para mitigar los efectos adversos, según
sea necesario. La organización debe garantizar que los
procesos subcontratados y la cadena de suministro estén
controlados.

8. Operación
8.2 Análisis de impacto en el negocio y evaluación de riesgos
8.2.1 General
La organización debe
a) implementar y mantener un proceso sistemático para
analizar el impacto en el negocio y evaluar los riesgos de
interrupción
b) revisar el análisis del impacto en el negocio y evaluar los
riesgos a intervalos planificados y cuando haya cambios
significativos entre la organización y el contexto en el cual
opera.

Análisis del impacto
en el negocio
Evaluación
de riesgos
Proceso
de Identificación
Análisis
Evaluación
de riesgos
Proceso
de
Análisis
de las
funciones
del negocio
y efecto
que las
Interrupciones
pueden
tener sobre ellas

8. Operación
8.2. Negocios y evaluación de riesgos
8.2.2 Análisis de impacto en el negocio
a) define tipos de impacto y criterios relevantes para el
contexto de la organización;
b) identifica actividades que apoyan la provisión de productos y
servicios;
c) utiliza estas tipos y criterios de impacto para evaluar el
impacto como resultado de la interrupción de estas
actividades;
d) identifica el tiempo dentro del cual los impactos de no
reanudar las actividades serían inaceptables para la
organización;

8. Operación
8.2.3 Evaluación de riesgos
La organización debe implementar y mantener un
proceso sistemático de evaluación de riesgos.
NOTA Este proceso puede realizarse de acuerdo con ISO
31000.

8. Operación
8.2.3 Evaluación de riesgos
a) identificar riesgos de interrupción para las actividades
priorizadas de la organización y para sus recursos de apoyo;
b) analizar sistemáticamente los riesgos de interrupción;
c) evaluar los riesgos de interrupción que requieren tratamiento.
NOTA Los riesgos en esta subcláusula se relacionan con la
interrupción del negocio. Los riesgos y oportunidades
relacionados con la efectividad del sistema de gestión
se abordan en 6.1.

8. Operación
8.3 Estrategias y soluciones de continuidad en el
negocio.
8.3.1 General
Basado en el Análisis de impacto en el negocio y
evaluación de riesgos la organización debe
identificar y seleccionar estrategias de continuidad
en el negocio basadas en los resultados del análisis
de impacto comercial y la evaluación de riesgos.
Las estrategias de continuidad del negocio se
compondrán de una o más soluciones.

8.3 Estrategias y soluciones de continuidad en el negocio.
8.3.2 Identificación de estrategias y soluciones.
La identificación se basará en la medida en que las estrategias y
soluciones:
a) cumplan con los requisitos para continuar y recuperar
actividades priorizadas dentro de los plazos identificados y la
capacidad acordada;
b) protejan las actividades priorizadas de la organización;
c) Reduzcan la probabilidad de interrupción;
d) acorten el período de interrupción;
e) Limiten el impacto de la interrupción en los productos y
servicios de la organización;
f) Prevean la disponibilidad de recursos adecuados.

negocio.
8.3.3 Selección de estrategias y soluciones.
La selección se basará en la medida en que las
estrategias y soluciones:
a) cumplan con los requisitos para continuar y
recuperar actividades priorizadas dentro de los
plazos identificados y la capacidad acordada;
b) consideran la cantidad y el tipo de riesgo que la
organización puede o no asumir;
c) consideran los costos y beneficios asociados.

8.3 Estrategias y soluciones de continuidad en el negocio.
8.3.4 Requisitos de recursos
La organización debe determinar los requisitos de recursos para
implementar las soluciones de continuidad del negocio
seleccionadas.
Los tipos de recursos considerados incluirán, pero no se
limitarán a:
a) personas;
b) información y datos;
c) infraestructura física como edificios, lugares de trabajo u otras
instalaciones y servicios asociados;

negocio.
8.3.4 Requisitos de recursos
d) equipos y consumibles;
e) sistemas de tecnología de la información y la
comunicación (TIC);
f) transporte y logística;
g) finanzas;
h) socios y proveedores

negocio.
8.3.5 Implementación de soluciones
La organización debe implementar y mantener
soluciones seleccionadas de continuidad en el
negocio para que puedan activarse cuando sea
necesario

8. Operación
8.4 Planes y procedimientos de continuidad en el negocio.
8.4.1 General
La organización debe implementar y mantener una estructura de
respuesta que permita la alerta y comunicación oportuna a las
partes interesadas relevantes. Deberá proporcionar planes y
procedimientos para administrar la organización durante
una interrupción. Los planes y procedimientos se utilizarán
cuando sea necesario para activar soluciones de continuidad
comercial.
NOTA: Existen diferentes tipos de procedimientos que comprenden planes de
La organización debe identificar y documentar los planes y procedimientos de
continuidad del negocio basados en el resultado de las estrategias y
soluciones seleccionadas.

8. Operación
8.4.1 General
Los procedimientos deberán:
a) ser específico con respecto a los pasos inmediatos que se
deben tomar durante una interrupción;
b) ser flexible para responder a las condiciones cambiantes
internas y externas de una interrupción;
c) centrarse en el impacto de los incidentes que potencialmente
conducen a la interrupción;
d) ser efectivo para minimizar el impacto a través de la
implementación de soluciones apropiadas;
e) asignar roles y responsabilidades para tareas dentro de ellos.

8. Operación
8.4 Planes y procedimientos de continuidad en el
negocio.
8.4.2 Estructura de respuesta
8.4.2.1 La organización debe implementar y mantener
una estructura, identificando uno o más equipos
responsables de responder a las interrupciones.
8.4.2.2 Los roles y responsabilidades de cada equipo y
las relaciones entre los equipos deben ser
claramente establecido.

8. Operación
8.4.2.3 Colectivamente, los equipos serán competentes para:
a) evaluar la naturaleza y el alcance de una interrupción y su impacto
potencial;
b) evaluar el impacto contra umbrales predefinidos que justifican el inicio de
una respuesta formal;
c) activar una respuesta adecuada de continuidad del negocio;
d) planificar acciones que deben llevarse a cabo;
e) establecer prioridades (utilizando la seguridad de la vida como primera
prioridad);
f) monitorear los efectos de la interrupción y la respuesta de la organización;
g) activar las soluciones de continuidad del negocio;
h) comunicarse con las partes interesadas relevantes, las autoridades y los
medios de comunicación.

8. Operación
8.4.2.4 Para cada equipo habrá:
a) personal identificado y sus suplentes con la responsabilidad,
autoridad y competencia para desempeñar su papel
designado;
b) procedimientos documentados para guiar sus acciones (ver
8.4.4), incluidos aquellos para la activación, operación,
coordinación y comunicación de la respuesta.

8. Operación
8.4.3 Advertencia y comunicación
8.4.3.1 La organización debe documentar y mantener
procedimientos para:
a) comunicarse interna y externamente con las partes
interesadas relevantes, incluido qué, cuándo y con a quién y
cómo comunicarse;
La organización puede documentar y mantener procedimientos
sobre cómo y bajo qué circunstancias, la organización se
comunica con los empleados y sus contactos de emergencia.
b) recibir, documentar y responder a las comunicaciones de las
partes interesadas, incluyendo cualquier sistema de
asesoramiento de riesgo nacional o regional o equivalente;

8. Operación
procedimientos para:
c) asegurar la disponibilidad de los medios de comunicación
durante una interrupción;
d) facilitar la comunicación estructurada con los respondedores
de emergencia;
e) proporcionar detalles de la respuesta de los medios de la
organización después de un incidente, incluido un estrategia
de comunicaciones;
f) registrar los detalles de la interrupción, las acciones tomadas y
las decisiones tomadas.

8. Operación
8.4.3.2 Cuando corresponda, también se considerará e
implementará lo siguiente:
a) alertar a las partes interesadas potencialmente afectadas por
una interrupción real o inminente;
b) asegurar una coordinación y comunicación apropiadas entre
las organizaciones que responden.
Los procedimientos de advertencia y comunicación se ejercerán
como parte del programa de ejercicios de la organización
descrito en 8.5.

8. Operación
negocio.
8.4.4 Planes de continuidad del negocio
los planes y procedimientos de continuidad del
negocio.
Los planes de continuidad del negocio deben
proporcionar orientación e información para ayudar
a los equipos a responder a un interrupción y para
ayudar a la organización con respuesta y
recuperación.

8. Operación
8.4.4.2 Colectivamente, los planes de continuidad del negocio
deberán contener:
a) detalles de las acciones que tomarán los equipos para:
1) continuar o recuperar actividades priorizadas dentro de
marcos de tiempo predeterminados;
2) monitorear el impacto de la interrupción y la respuesta de la
organización a ella;
b) referencia a los umbrales predefinidos y al proceso para
activar la respuesta;

8. Operación
8.4.4.2 Colectivamente, los planes de continuidad del negocio
deberán contener:
c) procedimientos para permitir la entrega de productos y
servicios a la capacidad acordada;
d) detalles para gestionar las consecuencias inmediatas de una
interrupción teniendo debidamente en cuenta:
1) el bienestar de las personas;
2) la prevención de nuevas pérdidas o falta de disponibilidad de
actividades priorizadas;
3) el impacto en el medio ambiente.

8. Operación
8.4.4.3 Cada plan debe incluir:
a) el propósito, alcance y objetivos;
b) los roles y responsabilidades del equipo que implementará el
plan;
c) acciones para implementar las soluciones;
d) información de apoyo necesaria para activar (incluidos los
criterios de activación), operar, coordinar y comunicar las
acciones del equipo;

8. Operación
negocio.
8.4.4.3 Cada plan debe incluir:
e) interdependencias internas y externas;
f) los requisitos de recursos;
g) los requisitos de presentación de informes;
h) un proceso para retirarse.
Cada plan debe ser utilizable y estar disponible en el
momento y lugar en el que se requiere

8. Operación
negocio.
8.4.5 Recuperación
• La organización debe tener procesos documentados
para restaurar y devolver las actividades comerciales
de las medidas temporales adoptadas durante y
después de una interrupción.

8. Operación
8.4 Planes y procedimientos de
continuidad en el negocio.

8. Operación
negocio.

8. Operación
La organización debe implementar y mantener un
programa de ejercicio y pruebas para validar medir la
efectividad de sus estrategias y soluciones de
continuidad comercial.
La organización debe realizar ejercicios y pruebas que:
a) son consistentes con sus objetivos de continuidad
del negocio;

8. Operación
b) se basan en escenarios apropiados que están bien
planificados con metas y objetivos claramente
definidos;
c) desarrollar trabajo en equipo, competencia,
confianza y conocimiento para aquellos que tienen
roles que desempeñar en relación con las
interrupciones;
d) tomados en conjunto a lo largo del tiempo, validan
sus estrategias y soluciones de continuidad
comercial;

8. Operación
e) producir informes formales posteriores al ejercicio que
contengan resultados, recomendaciones y acciones para
implementar mejoras;
f) se revisan en el contexto de la promoción de la mejora
continua;
g) se realizan a intervalos planificados y cuando hay cambios
significativos dentro de la organización o el contexto en el que
opera.
La organización debe actuar sobre los resultados de su ejercicio y
prueba para implementar cambios y mejoras

8. Operación
8.6 Evaluación de la documentación y las capacidades
de continuidad del negocio.
a) evaluar la idoneidad, adecuación y efectividad de su
análisis de impacto del negocio, evaluación de
riesgos, estrategias, soluciones, planes y
procedimientos;
b) realizar evaluaciones a través de revisiones, análisis,
ejercicios, pruebas, informes posteriores al incidente
y evaluaciones de desempeño;

8. Operación
8.6 Evaluación de la documentación y las capacidades de
c) realizar evaluaciones de las capacidades de continuidad del
negocio de socios y proveedores relevantes;
d) evaluar el cumplimiento de los requisitos legales y
reglamentarios aplicables, las mejores prácticas de la
industria, y conformidad con su propia política y objetivos de
continuidad comercial;
e) actualizar la documentación y los procedimientos de manera
oportuna.
Estas evaluaciones se llevarán a cabo a intervalos planificados,
después de un incidente o activación, y cuando ocurran
cambios significativos.

9.1. La medición, análisis y evaluación
La organización debe determinar:
a) Lo que necesita ser monitoreado y medido
b) los métodos de monitoreo, medición, análisis y evaluación,
según corresponda, para garantizar resultados válidos;
c) cuándo y quién realizará el monitoreo y la medición;
d) cuándo y quién analizará y evaluará los resultados del
monitoreo y la medición.
La organización debe retener información documentada
apropiada como evidencia de los resultados.
La organización debe evaluar el desempeño del BCMS y
la efectividad del BCMS.

9.2. La auditoría interna
9.2.1 General
La organización debe realizar auditorías internas a
intervalos planificados para proporcionar
información sobre si el BCMS:
a) se ajusta a:
1) los requisitos propios de la organización para su
BCMS;
2) los requisitos de este documento;
b) se implementa y mantiene de manera efectiva.

9.2.2 Programas de auditoría
a) planificar, establecer, implementar y mantener un programa
de auditoría que incluya la frecuencia, los métodos, las
responsabilidades, los requisitos de planificación y la
presentación de informes, que deberán tener en cuenta la
importancia de los procesos en cuestión y los resultados de
auditorías anteriores;
b) definir los criterios de auditoría y el alcance de cada auditoría;
c) seleccionar auditores y realizar auditorías para asegurar la
objetividad y la imparcialidad del proceso de auditoría;

9.2.2 Programas de auditoría
d) garantizar que los resultados de las auditorías se comuniquen
a los gerentes relevantes;
e) retener información documentada como evidencia de la
implementación de los programas de auditoría y los
resultados de la auditoría;
f) asegurar que se tomen las medidas correctivas necesarias sin
demora para eliminar las no conformidades detectadas y sus
causas;
g) asegurar que las acciones de auditoría de seguimiento
incluyan la verificación de las acciones tomadas y el informe
de los resultados de la verificación.

9.3. Revisión por la dirección
9.3.1. General
La alta dirección debe revisar el Sistema de Gestión de
Continuidad de Negocio de la empresa, a intervalos
planificados, para asegurarse de su conveniencia,
adecuación y eficacia.
La revisión por la dirección debe incluir la consideración
de:

9.3.2. Revisión por la dirección entradas
La Revisión por la dirección debe incluir consideraciones de
a) El estado de las acciones de anteriores revisiones por la
dirección.
b) Los cambios en cuestiones externas e internas que son
relevantes para el Sistema de Gestión de Continuidad de
Negocio.
c) Información sobre el rendimiento de la continuidad del
negocio, incluyendo las tendencias en cuanto a las no
conformidades y acciones correctivas, resultados de
seguimiento y medición de evaluación, además de los
resultados de auditoría.

d) comentarios de las partes interesadas;
e) la necesidad de cambios en el BCMS, incluida la
política y los objetivos;
f) procedimientos y recursos que podrían usarse en la
organización para mejorar el desempeño y la
efectividad del BCMS;
g) información del análisis de impacto empresarial y
evaluación de riesgos;

h) salida de la evaluación de la documentación y
capacidades de continuidad del negocio (ver 8.6);
i) riesgos o problemas no abordados adecuadamente
en cualquier evaluación de riesgos previa;
j) lecciones aprendidas y acciones derivadas de casi
accidentes e interrupciones;
k) oportunidades de mejora continua

9.3.3 Resultados de la Revisión por la dirección
9.3.3.1 Los resultados de la revisión por la dirección deben
incluir decisiones relacionadas con la mejora continua
oportunidades y cualquier necesidad de cambios en el BCMS
para mejorar su eficiencia y efectividad, incluyendo lo
siguiente:
a) variaciones en el alcance del BCMS;
b) actualización del análisis de impacto comercial, evaluación de
riesgos, estrategias y soluciones de continuidad comercial, y
planes de continuidad comercial;
c) modificación de procedimientos y controles para responder a
problemas internos o externos que pueden afectar el BCMS;
d) cómo se medirá la efectividad de los controles.

9.3.3 Resultados de la Revisión por la dirección
9.3.3.2 La organización debe retener información
documentada como evidencia de los resultados de la
revisión por la dirección
Deberá:
a) comunicar los resultados de la Revisión por la
dirección a las partes interesadas relevantes;
b) tomar las medidas apropiadas en relación
con esos resultados.

10 mejora
10.1 No conformidad y acción correctiva
10.1.1 La organización debe determinar las
oportunidades de mejora e implementar las acciones
necesarias para lograr los resultados previstos de su
BCMS.

10 mejora
10.1.2 Cuando ocurre una no conformidad, la organización debe:
a) reaccionar ante la no conformidad y, según corresponda:
1) tomar medidas para controlarlo y corregirlo;
2) lidiar con las consecuencias;
b) evalúe la necesidad de tomar medidas para eliminar la (s)
causa (s) de la no conformidad, a fin de que no se repita o
ocurra en otro lugar, mediante:
1) revisión de la no conformidad;
2) determinar las causas de la no conformidad;
3) determinar si existen no conformidades similares, o si pueden
ocurrir potencialmente;

10 mejora
10.1.2 Cuando ocurre una no conformidad, la
organización debe:
c) implementar cualquier acción necesaria;
d) revisar la efectividad de cualquier acción correctiva
tomada;
e) realizar cambios en el BCMS, si es necesario.
Las acciones correctivas serán apropiadas a los efectos
de las no conformidades encontradas.

10 Mejora
10.1.3 La organización debe retener información
documentada como evidencia de:
a) la naturaleza de las no conformidades y cualquier
acción posterior tomada;
b) los resultados de cualquier acción correctiva.

10 Mejora
10.2. Mejora continua
La organización debe mejorar continuamente la idoneidad,
adecuación y efectividad del BCMS, basado en medidas
cualitativas y cuantitativas.
La organización debe considerar los resultados del análisis y la
evaluación, y los resultados de la revisión de la dirección, para
determinar si hay necesidades u oportunidades, relacionadas
con el negocio o con el BCMS, que se abordarán como parte
de la mejora continua.
NOTA La organización puede utilizar los procesos del BCMS, como liderazgo,
planificación y evaluación del desempeño, para lograr mejoras

Si está considerando implementar ISO 22301, aquí hay algunos
consejos para comenzar:
• Asegúrese de contar con la aceptación de la alta dirección. Un
sistema de gestión de continuidad del negocio solo puede ser
efectivo si aquellos en puestos de toma de decisiones brindan
un apoyo genuino y lo tratan como una alta prioridad.
• Realice una evaluación de preparación para establecer dónde
se encuentra en relación con los requisitos del estándar y qué
nivel de recursos necesitará para cumplirlos.
• Realice un ejercicio de recuperación de negocios para
considerar cuidadosamente lo que haría actualmente si
hubiera una interrupción en cualquier área de su negocio.
Esto lo ayudará a tener claro qué tan capaz es su organización
para responder y cómo ISO 22301 puede ayudarlo.
implementación de la Norma ISO
22301 2019

22301 2019
• Cuando una organización desea iniciar la
implementación de ISO 22301:2019, siempre se
genera el interrogante ¿por dónde empezar?
• Será conveniente iniciar con el ¿Business Impact
Analysis?
• O con la estructura para responder a incidentes. La
manera adecuada es ir de lo general a lo particular.

22301 2019

22301 2019
• Para el inicio del proceso de implementación es
recomendable atender primero a las cláusulas
globales y luego iniciar las focales.
• Las cláusulas globales, permiten crear la plataforma
inicial en la construcción del SGCN.
• Las cláusulas focales son la parte netamente técnica
de la norma y requieren para su desarrollo de la
infraestructura que desarrollan las globales.

Certificación
• La certificación ISO 22301 no es un requisito
de la norma, pero puede ser una herramienta
útil para demostrar que su organización
cumple con sus criterios y ha adoptado las
mejores prácticas internacionales.

Ejemplos de acciones a realizar en
aplicación de esta norma
• Actualizar los dispositivos de respaldo de la información o
duplicar las comunicaciones de voz con una de sus principales
sedes.
• Contar con un centro alternativo.
• Externalizar parte de su infraestructura, especialmente la
dedicada a la venta on-line, disponiendo de un centro de
respaldo independiente.
• Contratación de seguros
• Contratación de empresas de seguridad.
• Copias de seguridad de la información.
• Mantenimiento de listas de proveedores alternativos.
• Almacenamiento de productos críticos en ubicaciones
alternativas.
• Formación sobre las rutas de evaluación y puntos de reunión

Iso 22301 sgcn bcms v 2020

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Iso 22301 sgcn bcms v 2020

Ähnlich wie Iso 22301 sgcn bcms v 2020 (20)

Mehr von Primala Sistema de Gestion

Mehr von Primala Sistema de Gestion (20)

Iso 22301 sgcn bcms v 2020