¿Qué es ISO 22301?
El nombre completo de esta norma es ISO 22301:2012 Seguridad de la sociedad – Sistemas de gestión de la continuidad del negocio – Requisitos. Esta norma fue redactada por los principales especialistas en el tema y proporciona el mejor marco de referencia para gestionar la continuidad del negocio en una organización.
Relación con BS 25999-2
La ISO 22301 ha reemplazado a la 25999-2. Estas dos normas son bastante similares, pero la ISO 22301 puede ser considerada como una actualización de la BS 25999-2. Para conocer las diferencias entre ambas, por favor, consulte la infografía ISO 22301 vs. BS 25999-2.
¿Cuáles son los beneficios de la continuidad del negocio?
Si se implementa correctamente, la gestión de la continuidad del negocio disminuirá la posibilidad de ocurrencia de un incidente disruptivo y, en caso de producirse, la organización estará preparada para responder en forma adecuada y, de esa forma, reducir drásticamente el daño potencial de ese incidente.
¿Quién puede implementar esta norma?
Cualquier organización, grande o pequeña, con o sin fines de lucro, privada o pública. La norma está concebida de tal forma que es aplicable a cualquier tamaño o tipo de organización.
¿Cómo encaja la continuidad del negocio en la gestión general?
La continuidad del negocio es parte de la gestión general del riesgo en una compañía y tiene áreas superpuestas con la gestión de seguridad y tecnología de la información.
Nota: la gestión del riesgo es parte de la gestión corporativa general.
Términos básicos utilizados en la norma
- Sistema de gestión de la continuidad del negocio (SGCN): parte del sistema general de gestión que se encarga de planificar, mantener y mejorar continuamente la continuidad del negocio.
- Interrupción máxima aceptable (MAO): cantidad máxima de tiempo que puede estar interrumpida una actividad sin incurrir en un daño inaceptable (también Período máximo tolerable de interrupción [MTPD]).
- Objetivo de tiempo de recuperación: tiempo predeterminado que indica cuándo se debe reanudar una actividad o se deben recuperar recursos.
- Objetivo de punto de recuperación (RPO): pérdida máxima de datos; es decir, la cantidad mínima de datos que necesita ser restablecida.
- Objetivo mínimo para la continuidad del negocio (MBCO): nivel mínimo de servicios o productos que necesita suministrar o producir una organización una vez que restablece sus operaciones comerciales.
Contenido de ISO 22301
La norma incluye estas secciones:
| Introducción
0.1 General 0.2 El modelo Planificación-Implementación-Verificación-Mantenimiento (PDCA) 0.3 Componentes de PDCA en esta norma internacional 1 Alcance 2 Referencias normativas 3 Términos y definiciones 4 Contexto de la organización 4.1 Conocimiento de la organización y de su contexto 4.2 Conocimiento de las necesidades y expectativas de las partes interesadas 4.3 Determinación del alcance del sistema de gestión 4.4 Sistema de gestión de la continuidad del negocio |
5 Liderazgo
5.1 General 5.2 Compromiso de la dirección 5.3 Política 5.4 Funciones, responsabilidades y autoridades organizativas 6 Planificación 6.1 Acciones para tratar riesgos y oportunidades 6.2 Objetivos de la continuidad del negocio y planes para alcanzarlos 7 Apoyo 7.1 Recursos 7.2 Competencia 7.3 Concienciación 7.4 Comunicación 7.5 Información documentada |
8 Funcionamiento
8.1 Planificación operativa y control 8.2 Análisis de impactos en el negocio y evaluación de riesgos 8.3 Estrategia de la continuidad del negocio 8.4 Establecimiento e implementación de procedimientos de continuidad del negocio 8.5 Prueba y verificación 9 Evaluación de desempeño 9.1 Supervisión, medición, análisis y evaluación 9.2 Auditoría interna 9.3 Revisión por parte de la dirección 10 Mejoras 10.1 No conformidades y acciones correctivas 10.2 Mejora continua Bibliografía |
Documentación obligatoria
Si una organización desea implementar esta norma, necesitará la siguiente documentación obligatoria:
- Lista de requisitos legales, normativos y de otra índole
- Alcance del SGCN
- Política de la Continuidad del Negocio
- Objetivos de la continuidad del negocioes
- Evidencia de competencias del personal
- Registros de comunicación con las partes interesadas
- Análisis del impacto en el negocio
- Evaluación de riesgos, incluido un perfil de riesgo
- Estructura de respuesta a incidentes
- Planes de continuidad del negocio
- Procedimientos de recuperación
- Resultados de acciones preventivas
- Resultados de supervisión y medición
- Resultados de la auditoría interna
- Resultados de la revisión por parte de la dirección
- Resultados de acciones correctivas
Normas relacionadas
Otras normas de ayuda en la implementación de la continuidad del negocio son:
- ISO/IEC 27031:2011 – Lineamientos para preparación de tecnología de la información y comunicación para la continuidad del negocio
- PAS 200 – Gestión de crisis: orientación y buenas prácticas
- PD 25666 – Orientación para prueba y verificación de programas de continuidad y contingencia
- PD 25111 – Orientación sobre aspectos humanos de la continuidad del negocio
- ISO/IEC 24762 – Lineamientos sobre servicios de tecnología de la información y comunicación para recuperación de desastres
- ISO/PAS 22399 – Lineamientos sobre preparación para incidentes y gestión de continuidad operativa
- ISO/IEC 27001 – Sistemas de gestión de seguridad de la información: requisitos
Fuente: Cryptex
http://www.iso27001standard.com/ique-es-iso-22301
PROTEC-DATOS 
Comentarios
Aún no hay comentarios.