Documente Academic
Documente Profesional
Documente Cultură
NORMA
TCNICA
ECUATORIANA
_____________________________________
Correspondencia:
Esta Norma Tcnica Ecuatoriana es una traduccin idntica de la Norma Internacional ISO
22301:2013.
26
Pginas
Prlogo nacional
Esta Norma Tcnica Ecuatoriana NTE INEN-ISO 22301 es una traduccin idntica de la Norma
Internacional ISO 22301:2013 Societal Security - Business continuity management systems
requirements. El comit nacional responsable de esta Norma Tcnica Ecuatoriana y de su
adopcin es el Comit Tcnico de Normalizacin del Servicio Ecuatoriano de Normalizacin
INEN. La traduccin ha sido desarrollada por el Equipo de Traduccin del INEN.
Para propsitos de esta Norma Tcnica Ecuatoriana se ha hecho el siguiente cambio editorial:
a) Las palabras esta Norma internacional han sido reemplazadas por esta norma nacional.
Para el propsito de esta Norma Ecuatoriana se indica que en el documento normativo nacional de
referencia, no existen documentos normativos referenciados.
ii
NDICE
Pgina
PRLOGO ....................................................................................................................................... 5
0 INTRODUCCIN
.................................................................................................... 6
0.1 Generalidades ......................................................................................................................... 6
0.2 El modelo "Planificar-Hacer-Verificar-Actuar" (PHVA)
.................................................. 6
0.3 Componentes del modelo PDCA en esta norma nacional
........................................... 8
1
............................................................................. 8
............................................................................................. 9
TRMINOS Y DEFINICIONES
.......................................................................................... 9
4 CONTEXTO DE LA ORGANIZACIN
........................................................................... 16
4.1 Entendimiento de la organizacin y de su contexto
.......................................................... 16
4.2 Entendimiento de las necesidades y expectativas de las partes interesadas
.................... 16
4.3 Determinacin del campo de aplicacin del sistema de gestin de la continuidad del negocio17
4.4 Sistema de gestin de la continuidad del negocio
.............................................................. 17
5 LIDERAZGO
................................................................................................................ 17
5.1 Liderazgo y compromiso...................................................................................................... 17
5.2 Compromiso de la direccin ................................................................................................ 17
5.3 Poltica ................................................................................................................................... 18
5.4 Funciones, responsabilidades y autoridad en la organizacin
.......................................... 19
6 PLANIFICACIN
........................................................................................................ 19
6.1 Acciones para cubrir riesgos y oportunidades ................................................................... 19
6.2 Objetivos de continuidad del negocio y planes para conseguirlos
.................................... 20
7 APOYO
........................................................................................................................ 20
7.1 Recursos
......................................................................................................................... 20
7.2 Competencia ......................................................................................................................... 20
7.3 Concienciacin ...................................................................................................................... 21
7.4 Comunicacin ....................................................................................................................... 21
7.5 Informacin documentada................................................................................................... 21
8 OPERACIN ....................................................................................................................... 22
8.1 Planificacin y control operacional..................................................................................... 22
8.2 Anlisis de impacto en el negocio y apreciacin del riesgo
............................................... 23
8.3 Estrategia de continuidad del negocio ................................................................................ 24
8.4 Establecimiento e implantacin de procedimientos de continuidad del negocio
........... 25
8.5 Pruebas y ensayos ................................................................................................................. 27
9 EVALUACIN DEL RENDIMIENTO
............................................................................. 28
9.1 Supervisin, medicin, anlisis y evaluacin
..................................................................... 28
9.2 Auditora interna .................................................................................................................. 29
9.3 Revisin de la direccin ....................................................................................................... 30
10 MEJORA .............................................................................................................................. 31
10.1 No conformidad y accin correctora .................................................................................. 31
10.2 Mejora continua ................................................................................................................... 32
BIBLIOGRAFA ............................................................................................................................. 33
iii
PRLOGO
ISO (Organizacin Internacional de Normalizacin) es una federacin mundial de organismos
nacionales de normalizacin (organismos miembros de ISO). El trabajo de preparacin de las
normas nacionales normalmente se realiza a travs de los comits tcnicos de ISO. Cada
organismo miembro interesado en una materia para la cual se haya establecido un comit tcnico,
tiene el derecho de estar representado en dicho comit. Las organizaciones internacionales,
pblicas y privadas, en coordinacin con ISO, tambin participan en el trabajo. ISO colabora
estrechamente con la Comisin Electrotcnica Internacional (IEC) en todas las materias de
normalizacin electrotcnica.
Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de
las Directivas ISO/IEC.
La tarea principal de los comits tcnicos es preparar normas internacionales. Los proyectos de
normas internacionales adoptados por los comits tcnicos se envan a los organismos miembros
para votacin. La publicacin como norma internacional requiere la aprobacin por al menos el
75% de los organismos miembros que emiten voto.
Se llama la atencin sobre la posibilidad de que algunos de los elementos de este documento
puedan estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificacin
de cualquiera o todos los derechos de patente.
La Norma ISO 22301 fue preparada por el Comit Tcnico ISO/TC 223 Seguridad de los
ciudadanos. Esta versin corregida de la Norma ISO 22301:2012 incorpora las siguientes
correcciones:
primera lista en 6.1 cambia de una lista numerada a una no numerada;
comas aadidas al final de una lista de elementos en 7.5.3 y 8.3.2;
elementos de bibliografa [19] y [20] separados, que estaban juntos en el original;
se ha ajustado el tamao de fuente en varios lugares.
iv
0 INTRODUCCIN
0.1 Generalidades
Esta norma nacional especifica los requisitos relativos al establecimiento y la gestin de un
Sistema de Gestin de la Continuidad del Negocio (SGCN) eficaz.
Un SGCN subraya la importancia de:
el entendimiento de las necesidades de la organizacin y de la necesidad de establecer la
poltica y los objetivos de continuidad del negocio;
la implantacin y la aplicacin de controles y medidas para gestionar la capacidad global de la
organizacin para hacer frente a incidentes disruptivos;
la supervisin y revisin del rendimiento y la eficacia del SGCN; y
la mejora continua basada en mediciones objetivas.
Un SGCN, como cualquier otro sistema de gestin, tiene los siguientes componentes
fundamentales:
a) una poltica;
b) personas con responsabilidades definidas;
c) procesos de gestin asociados a:
1) la poltica,
2) la planificacin,
3) la implantacin y la operacin,
4) la evaluacin del rendimiento,
5) la revisin por la direccin, y
6) la mejora,
d) un conjunto de documentos que proporcionan pruebas auditables; y
e) todos los procesos de SGCN relevantes para la organizacin.
La continuidad del negocio contribuye a constituir una sociedad con ms resiliencia. En el proceso
de recuperacin, puede ser necesario implicar en la organizacin a la comunidad en su conjunto y
al impacto del entorno ambiental y por tanto a otras organizaciones.
0.2 El modelo "Planificar-Hacer-Verificar-Actuar" (PHVA)
Esta norma nacional aplica el modelo "Planificar-Hacer-Verificar-Actuar" [conocido por sus siglas
en ingls PDCA (Plan-Do-Check-Act)] para planificar, establecer, implantar, operar, supervisar,
revisar, mantener, y mejorar de manera continua la eficacia del SGCN de una organizacin.
Esto asegura un grado de coherencia con otras normas relativas a sistemas de gestin, tales
como las Normas ISO 9001 Sistemas de gestin de la calidad, ISO 14001 Sistemas de gestin
ambiental, ISO/IEC 27001 Sistemas de gestin de la seguridad de la informacin, ISO/IEC 200001 Tecnologa de la informacin. Gestin del servicio e ISO 28000 Especificacin para los sistemas
de gestin de la seguridad para la cadena de suministro, lo que permite un apoyo coherente y una
implantacin y un funcionamiento integrados con los sistemas de gestin asociados.
ISO 2013 Todos los derechos reservados
INEN 2015
2015-xxx
La figura 1 muestra cmo un SGCN toma como entradas a las partes interesadas, los requisitos
de la gestin de la continuidad y, a travs de las acciones y los procesos necesarios, produce
resultados de la continuidad (es decir, continuidad del negocio gestionada) que cumplen esos
requisitos.
Hacer
(Implantar y operar)
Verificar
(Supervisar y revisar)
Actuar
(Mantener y mejorar)
vi
El captulo 5 es una parte del trmino Planificar. Resume los requisitos especficos de la funcin
de la alta direccin en el SGCN, y la manera en que sta comunica sus expectativas a la
organizacin mediante la declaracin de la poltica.
El captulo 6 es una parte del trmino Planificar. Describe los requisitos relativos al
establecimiento de los objetivos estratgicos y de los principios de gua para el SGCN en su
conjunto. El contenido del captulo 6 no consiste en establecer soluciones para el tratamiento de
los riesgos observados de la apreciacin del riesgo, ni del anlisis de impacto en el negocio (BIA)
derivado de los objetivos de recuperacin.
NOTA Los requisitos relativos al anlisis de impacto en el negocio y al proceso de evaluacin del riesgo se detallan en el
captulo 8.
El captulo 7 es una parte del trmino Planificar. Apoya las operaciones del SGCN relativas a la
determinacin de las competencias y al establecimiento de comunicaciones con las partes
interesadas sobre una base recurrente/por necesidad, a la vez que se documenta, controla,
mantiene y conserva la documentacin requerida.
El captulo 8 es una parte del trmino Hacer. Define los requisitos relativos a la continuidad del
negocio, determina la manera de tratar y desarrollar los procedimientos para gestionar un
incidente disruptivo.
El captulo 9 es una parte del trmino Verificar. Resume los requisitos necesarios para medir el
rendimiento de la gestin de la continuidad del negocio, la conformidad del SGCN con esta
norma nacional y con las expectativas de la direccin, y busca retornos de informacin relativa a
las expectativas desde la direccin.
El captulo 10 es una parte del trmino Actuar. Identifica y acta sobre las no conformidades del
SGCN por medio de acciones correctoras.
2015-xxx
2. REFERENCIAS NORMATIVAS
Esta norma no requiere de otras para su aplicacin.
3. TRMINOS Y DEFINICIONES
Para los fines de esta norma, se aplican los trminos y definiciones siguientes:
3.1
actividad
proceso o conjunto de procesos realizados por una organizacin (o en su nombre) que producen a
dan apoyo a uno o varios productos y servicios.
EJEMPLO
En tales procesos se incluye la contabilidad, los centros de llamadas, la tecnologa de la informacin (TI), la
fabricacin, la distribucin.
2015-xxx
INFORMACIN COMPLEMENTARIA
Documento:
Cdigo: ICS
03.100.01
ORIGINAL:
REVISIN:
2014-10-01
Fecha de aprobacin:
INSTITUCIN REPRESENTADA:
Otros trmites:
La Subsecretara de la Calidad del Ministerio de Industrias y Productividad aprob este proyecto de
norma
Oficializada como: