La ISO 22301 Gestión de Continuidad de Negocio, define las acciones específicas que toda organización debe efectuar para ser compatible con el estándar, siendo estas acciones auditables.
Estos requisitos son genéricos y aplicables a cualquier tipo de organización, independientemente de su sector y tamaño para el contexto de la organización, liderazgo y planificación en la Continuidad de Negocio.
Cada organización debe diseñar su propio Sistema de Gestión de Continuidad de Negocio, de acuerdo a sus necesidades y exigencias de partes interesadas. Los requisitos legales, regulaciones de la industria, productos y servicios, procesos utilizados, tamaño y estructura de la organización, son parámetros importantes en este diseño.
Dentro de la norma ISO 22301 Gestión de Continuidad de Negocio para el contexto de la organización, liderazgo y planificación, es importante:
- Entender las necesidades de una organización, estableciendo políticas y objetivos de la Gestión de Continuidad de Negocio.
- Desarrollar, implementar y operar controles para gestionar la capacidad de manejar los incidentes que interrumpan las actividades.
- Monitorear el desempeño y eficacia del SGCN, efectuando actividades de revisión periódicas.
- Aplicar mejora continua en base a la medición de los objetivos.
Las exigencias de documentación que encontramos e en la norma ISO 22301, son las siguientes:
- Política de continuidad de negocio.
- Alcance y objetivo de la continuidad de negocio.
- Lista de requisitos legales y normativos.
- Evidencia de competencias del personal.
- Registros de comunicación con las partes interesadas.
- Análisis de impacto y evaluación de riesgos.
- Estructura de respuesta a incidentes.
- Planes de continuidad de negocio.
- Procedimientos de recuperación y restauración.
- Resultados de:
- Acciones preventivas.
- Supervisión y medición.
- Auditoría interna y revisión de la Alta Dirección.
- Acciones correctivas y mejoras.
ISO 22301 Contexto de la organización, liderazgo y planificación en la Continuidad de Negocio
Cláusula 4 Contexto de la Organización en la práctica
- Entender la organización y su contexto.
- Entender las necesidades y expectativas de las partes interesadas: determinando las partes interesadas relevantes para el SGCN y los requisitos legales y reglamentarios.
- Determinar el alcance del SGCN: especificando y explicando su alcance así como las exclusiones, asegurando que cumpla los requisitos del SGCN. Así mismo, se debe definir el alcance en términos de la naturaleza, tamaño y complejidad de la organización.
- Sistema de Gestión de la Continuidad de Negocio: establecer, implementar, mantener y mejorar el SGCN de forma continua, incluyendo los procesos necesarios en conformidad con los requisitos de esta norma.
Cláusula 5 Liderazgo en la práctica
Existe un compromiso de la dirección para garantizar:
- Que los objetivos y políticas del SGCN son compatibles con la estrategia de la organización y se integran a sus procesos de negocio.
- La provisión de los recursos necesarios, orientando y apoyando a las personas en la comunicación de la importancia del sistema.
- Que el sistema obtiene los resultados esperados y fomente el mejoramiento continuo.
La política de continuidad de negocio, debe estar disponible, ser comunicada y revisada a intervalos definidos ante cambios significativos. Así mismo, los roles, responsabilidades y autoridad en la organización, deben garantizar que el sistema cumple con los requisitos de esta norma e informar el desempeño del sistema a la Alta Dirección.
Cláusula 6 Planificación en la práctica
Las acciones para cubrir riesgos y oportunidades deben ser:
- Determinar los riesgos y oportunidades que necesitan ser abordados para que el sistema pueda alcanzar los resultados previstos.
- Reducir los riesgos (efectos no deseados).
- Planificar, integrar e implementar las acciones necesarias en los procesos del SGCN.
Los objetivos de la continuidad de negocio se pueden alcanzar:
- Asegurando que se establecen y se comunican las funciones y los niveles pertinentes.
- Siendo consistente con la política definida.
- Considerando el nivel mínimo aceptable por la organización.
- Monitoreando y actualizando, según sea apropiado.
- Determinado responsabilidades, actividades a realizar, recursos necesarios y evaluación de resultados.
Tomado de: https://www.isotools.org
No hay comentarios.:
Publicar un comentario