lunes, 24 de febrero de 2020

ISO 22301 CONTEXTO DE LA ORGANIZACIÓN, LIDERAZGO Y PLANIFICACIÓN EN LA CONTINUIDAD DE NEGOCIO

La ISO 22301 Gestión de Continuidad de Negocio define las acciones específicas que toda organización debe efectuar para ser compatible con el estándar, siendo estas acciones auditables. 

Estos requisitos son genéricos y aplicables a cualquier tipo de organización, independientemente de su sector y tamaño para el contexto de la organización, liderazgo y planificación en la Continuidad de Negocio.


Cada organización debe diseñar su propio Sistema de Gestión de Continuidad de Negocio, de acuerdo a sus necesidades y exigencias de partes interesadas. Los requisitos legales, regulaciones de la industria, productos y servicios, procesos utilizados, tamaño y estructura de la organización, son parámetros importantes en este diseño.

Dentro de la norma ISO 22301 Gestión de Continuidad de Negocio para el contexto de la organización, liderazgo y planificación, es importante:
  • Entender las necesidades de una organización, estableciendo políticas y objetivos de la Gestión de Continuidad de Negocio.
  • Desarrollar, implementar y operar controles para gestionar la capacidad de manejar los incidentes que interrumpan las actividades.
  • Monitorear el desempeño y eficacia del SGCN, efectuando actividades de revisión periódicas.
  • Aplicar mejora continua en base a la medición de los objetivos.
Las exigencias de documentación que encontramos e en la norma ISO 22301, son las siguientes:
  • Política de continuidad de negocio.
  • Alcance y objetivo de la continuidad de negocio.
  • Lista de requisitos legales y normativos.
  • Evidencia de competencias del personal.
  • Registros de comunicación con las partes interesadas.
  • Análisis de impacto y evaluación de riesgos.
  • Estructura de respuesta a incidentes.
  • Planes de continuidad de negocio.
  • Procedimientos de recuperación y restauración.
Resultados de:
  • Acciones preventivas.
  • Supervisión y medición.
  • Auditoría interna y revisión de la Alta Dirección.
  • Acciones correctivas y mejoras.

ISO 22301 Contexto de la organización, liderazgo y planificación en la Continuidad de Negocio


Cláusula 4 Contexto de la Organización en la práctica
  • Entender la organización y su contexto.
  • Entender las necesidades y expectativas de las partes interesadas: determinando las partes interesadas relevantes para el SGCN y los requisitos legales y reglamentarios.
  • Determinar el alcance del SGCN: especificando y explicando su alcance así como las exclusiones, asegurando que cumpla los requisitos del SGCN. Así mismo, se debe definir el alcance en términos de la naturaleza, tamaño y complejidad de la organización.
  • Sistema de Gestión de la Continuidad de Negocio: establecer, implementar, mantener y mejorar el SGCN de forma continua, incluyendo los procesos necesarios en conformidad con los requisitos de esta norma.
Cláusula 5 Liderazgo en la práctica

Existe un compromiso de la dirección para garantizar:

  • Que los objetivos y políticas del SGCN son compatibles con la estrategia de la organización y se integran a sus procesos de negocio.
  • La provisión de los recursos necesarios, orientando y apoyando a las personas en la comunicación de la importancia del sistema.
  • Que el sistema obtiene los resultados esperados y fomente el mejoramiento continuo.
La política de continuidad de negocio, debe estar disponible, ser comunicada y revisada a intervalos definidos ante cambios significativos. Así mismo, los roles, responsabilidades y autoridad en la organización, deben garantizar que el sistema cumple con los requisitos de esta norma e informar el desempeño del sistema a la Alta Dirección.

Cláusula 6 Planificación en la práctica

Las acciones para cubrir riesgos y oportunidades deben ser:
  • Determinar los riesgos y oportunidades que necesitan ser abordados para que el sistema pueda alcanzar los resultados previstos.
  • Reducir los riesgos (efectos no deseados).
  • Planificar, integrar e implementar las acciones necesarias en los procesos del SGCN.
Los objetivos de la continuidad de negocio se pueden alcanzar:
  • Asegurando que se establecen y se comunican las funciones y los niveles pertinentes.
  • Siendo consistente con la política definida.
  • Considerando el nivel mínimo aceptable por la organización.
  • Monitoreando y actualizando, según sea apropiado.
  • Determinado responsabilidades, actividades a realizar, recursos necesarios y evaluación de resultados.


Tomado de: https://www.isotools.org/