VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

Seguridad de la sociedad - Sistemas de gestión de la continuidad del negocio - Requisitos

Preámbulo

El Instituto Nacional de Normalización, INN, es el organismo que tiene a su cargo el estudio y preparación de las
normas técnicas a nivel nacional. Es miembro de la INTERNATIONAL ORGANIZATION FOR
STANDARDIZATION (ISO) y de la COMISION PANAMERICANA DE NORMAS TECNICAS (COPANT),
representando a Chile ante esos organismos.

Esta norma se estudió a través del Comité Técnico Seguridad de la sociedad, para proporcionar requisitos de
implementación de un sistema de gestión de la continuidad del negocio, estableciendo medidas para manejar
incidentes que generan interrupciones y determinar la forma de continuar o recuperar las actividades del negocio
dentro de un plazo predeterminado.

Esta norma es idéntica a la versión en inglés de la Norma Internacional ISO 22301:2012 Societal security -
Business continuity management systems - Requirements.

La Nota Explicativa incluida en un recuadro en Anexo A Bibliografía, es un cambio editorial que se incluye con
el propósito de informar la correspondencia con Norma Chilena de las Normas Internacionales citadas en esta de
norma.

Para los propósitos de esta norma, se han realizado los cambios editoriales que se indican y justifican
en Anexo B.

Los Anexos A y B no forman parte de la norma, se insertan sólo a título informativo.

Si bien se ha tomado todo el cuidado razonable en la preparación y revisión de los documentos normativos
producto de la presente comercialización, INN no garantiza que el contenido del documento es actualizado o
exacto o que el documento será adecuado para los fines esperados por el Cliente.

En la medida permitida por la legislación aplicable, el INN no es responsable de ningún daño directo,
indirecto, punitivo, incidental, especial, consecuencial o cualquier daño que surja o esté conectado con el uso
o el uso indebido de este documento.

I
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

Contenido
Página
Preámbulo I

0 Introducción 1

0.1 Generalidades 1
0.2 El modelo Planificar-Hacer-Verificar-Actuar (PHVA) 2
0.3 Componentes del PHVA en esta norma 3

1 Alcance y campo de aplicación 4

2 Referencias normativas 4

3 Términos y definiciones 4

4 Contexto de la organización 13
4.1 Entendiendo a la organización y su contexto 13
4.2 Entendiendo las necesidades y expectativas de las partes interesadas 13
4.3 Determinación del alcance del Sistema de Gestión de la Continuidad del Negocio 14
4.4 Sistema de Gestión de la Continuidad del Negocio 15

5 Liderazgo 15
5.1 Liderazgo y compromiso 15
5.2 Compromiso de la dirección 15
5.3 Política 16
5.4 Funciones, responsabilidades y autoridades organizacionales 16

6 Planificación 17
6.1 Acciones para abordar los riesgos y las oportunidades 17
6.2 Objetivos de la continuidad del negocio y forma de alcanzarlos 17

7 Apoyo 18
7.1 Recursos 18
7.2 Competencia 18
7.3 Toma de conciencia 18
7.4 Comunicación 18
7.5 Información documentada 19

8 Funcionamiento 20
8.1 Planificación y control operacional 20
8.2 Análisis de impacto en el negocio y evaluación del riesgo 21
8.3 Estrategia de la continuidad del negocio 22
8.4 Determinación e implementación de procedimientos de continuidad del negocio 23
8.5 Examinar y ejercitar 26
II
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

9 Evaluación de desempeño 26
9.1 Monitoreo, medición, análisis y evaluación 26
9.2 Auditoría interna 28
9.3 Revisión por la dirección 28

10 Mejoramiento 30
10.1 No conformidades y acciones correctivas 30
10.2 Mejoramiento continuo 31

Anexos
Anexo A (informativo) Bibliografía 32
Anexo B (informativo) Justificación de los cambios editoriales 34

III
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

Seguridad de la sociedad - Sistemas de gestión de la continuidad del negocio - Requisitos

0 Introducción

0.1 Generalidades

Esta norma especifica requisitos para la preparación y gestión efectiva de un Sistema de Gestión de la
Continuidad del Negocio (SGCN).

Un SGCN enfatiza la importancia de:

- Entender las necesidades de la organización y el requisito de establecer las políticas y objetivos de la

gestión de continuidad del negocio,

- Implementar y operar controles y medidas para gestionar en toda la organización la capacidad de manejar
los incidentes que interrumpan,

- Monitorear y revisar el desempeño y eficacia del SGCN, y

- Mejorar continuamente en base a la medición de los objetivos.

Un SGCN, así como cualquier otro sistema de gestión, posee los componentes claves siguientes:

a) una política;

b) personas con responsabilidades definidas;

c) gestión de procesos relativos a:

1) política,

2) planificación,

3) implementación y operación,

4) evaluación del desempeño,

5) revisión de la gestión, y

6) mejoramiento;

1
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

d) documentación que provea evidencia auditable; y

e) cualquier proceso de gestión de continuidad del negocio relevante para la organización.

La continuidad del negocio contribuye a una sociedad más resiliente. Puede que sea necesario involucrar en la
recuperación de procesos a toda la comunidad, así como el impacto en el ambiente organizacional y por ende,
en otras organizaciones

0.2 El modelo Planificar-Hacer-Verificar-Actuar (PHVA)

Esta norma aplica el modelo Planificar-Hacer-Verificar-Actuar (PHVA) para planificar, establecer,

implementar, operar, monitorear, revisar, mantener y mejorar continuamente la eficacia de un SGCN de la
organización.

Esto asegura un grado de consistencia con otras normas de sistema de gestión, tales como ISO 9001 Sistema
de gestión de la calidad, ISO 14001 Sistema de gestión ambiental, ISO/IEC 27001 Sistema de gestión de
seguridad de la información, ISO/IEC 20000-1 Tecnología de la información - Gestión del servicio e
ISO 28000 Especificación para los sistemas de gestión de seguridad para la cadena de proveedores; de este
modo apoya consistente e integradamente la implementación y operación con los sistemas de gestión
relacionados.

La Figura 1 muestra como un SGCN considera como entradas a las partes interesadas, requisitos para la
continuidad de la gestión y, a través de las acciones y procesos necesarios, produce continuidad de los
resultados (por ejemplo, gestión de la continuidad del negocio), que cumplen estos requisitos.

Mejoramiento continuo del Sistema de Gestión

de la Continuidad del Negocio (SGCN)

Partes Establecer Partes

Interesadas (Planificar) Interesadas
Requisitos Gestión de la
para la continuidad
continuidad del negocio
del negocio
Mantener y Implementar
mejorar y operar
(Actuar) (Hacer)

Monitorear
y revisar
(Verificar)

Figura 1 - Modelo PHVA aplicado a los procesos SGCN

2
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

Tabla 1 - Explicación del modelo PHVA

Planificar Establecer políticas de continuidad de negocios, objetivos, metas, controles, procesos y procedimientos
(Establecer) relevantes para mejorar la continuidad del negocio a fin de entregar resultados que estén alineados con las
políticas y objetivos globales de la organización.

Hacer Implementar y operar la política de continuidad del negocio, controles, procesos y procedimientos.
(Implementar y operar)
Verificar Monitorear y revisar el desempeño contra la política y objetivos de continuidad del negocio, informar los
(Monitorear y revisar) resultados a la dirección para su revisión, y para determinar y autorizar acciones para la remediación y
mejoramiento.

Actuar Mantener y mejorar el SGCN tomando acciones correctivas, basado en los resultados de revisión por la
(Mantener y mejorar) dirección y reevaluando el alcance del SGCN y de la política y objetivos de la continuidad del negocio.

0.3 Componentes del PHVA en esta norma

El modelo Planificar-Hacer-Verificar-Actuar que se muestra en Tabla 1 se aborda desde cláusula 4 hasta

cláusula 10 de esta norma, con los componentes siguientes.

- Cláusula 4 es un componente de la Planificación. Introduce los requisitos necesarios para establecer el

contexto del SGCN, como se aplica en la organización, así como las necesidades, requisitos y alcance.

- Cláusula 5 es un componente de la Planificación. Resume los requisitos específicos para el rol de la alta
dirección en el SGCN y de cómo el liderazgo articula sus expectativas con la organización mediante la
declaración de una política.

- Cláusula 6 es un componente de la Planificación. Describe los requisitos respecto al establecimiento de

los objetivos estratégicos y orienta los principios del SGCN como un todo. El contenido de cláusula 6
difiere de establecer oportunidades de tratamiento del riesgo derivado de la evaluación del riesgo, así
como el análisis de impacto en el negocio (BIA) 1) derivado de los objetivos de recuperación.

NOTA Los requisitos del análisis de impacto en el negocio y del proceso de evaluación del riesgo se detallan en cláusula 8.

- Cláusula 7 es un componente de la Planificación. Es apoyo para las operaciones del SGCN en lo que se
refiere al establecimiento de la competencia y la comunicación en forma recurrente / según sea necesaria
con las partes interesadas, mientras se documenta, controla, mantiene y conserva la documentación
requerida.

- Cláusula 8 es un componente del Hacer. En él se definen los requisitos de continuidad de negocio,

determina la forma de abordarlos y desarrolla los procedimientos para gestionar un incidente que
interrumpa.

- Cláusula 9 es un componente de la Verificación. En él se resumen los requisitos necesarios para medir el

desempeño de la gestión de la continuidad del negocio, el cumplimiento del SGCN con esta norma y las
expectativas de la dirección, y solicita la opinión de la dirección respecto de las expectativas.

- Cláusula 10 es un componente del Actuar. Se identifica y actúa sobre la no conformidad del SGCN a
través de la acción correctiva.

1) En inglés: Business Impact Analysis.

3
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

1 Alcance y campo de aplicación

Esta norma para la gestión de la continuidad de negocio especifica los requisitos para planificar, establecer,
implementar, operar, monitorear, revisar, mantener y mejorar continuamente un sistema de gestión
documentado para proteger, reducir la probabilidad de ocurrencia, prepararse, responder y recuperarse de
incidentes que interrumpan, cuando éstos ocurren.

Los requisitos especificados en esta norma son genéricos y tienen el propósito de que sean aplicables a todas
las organizaciones o a partes de las mismas, sin importar su tipo, tamaño y naturaleza. El grado de aplicación
de estos requisitos depende del ambiente operativo y de la complejidad de la organización.

No es el propósito de esta norma proporcionar uniformidad a la estructura del Sistema de Gestión de la

Continuidad del Negocio (SGCN), pero una organización que diseña un SGCN, lo debería hacer apropiado
para sus necesidades y cumplir con los requisitos de sus partes interesadas. Estas necesidades están
determinadas por los requisitos legales, regulatorios, organizacionales y de la industria, los productos y
servicios, los procesos empleados, el tamaño y estructura de la organización, y las necesidades de sus partes
interesadas.

Esta norma puede ser aplicada a todo tipo y tamaño de organizaciones que deseen:

a) establecer, implementar, mantener y mejorar un SGCN,

b) asegurar la conformidad con la política de la continuidad del negocio,

c) demostrar conformidad a otros,

d) buscar certificación / registro de su SGCN por un organismo externo de certificación, o

e) realizar una autodeterminación y autodeclaración de conformidad con esta norma.

Esta norma se puede utilizar para evaluar la capacidad de una organización para cumplir con sus propias
necesidades y obligaciones.

2 Referencias normativas

No se citan documentos de referencia. Esta cláusula se incluye con el fin de mantener una numeración de las
cláusulas idéntica con otras Normas Chilenas.

3 Términos y definiciones

Para los fines de este documento, se aplican los términos y definiciones siguientes.

3.1
actividad
proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o apoya uno o
más productos y servicios

EJEMPLO Tales procesos incluyen contabilidad, centro de llamado, tecnología de la información, fabricación, distribución.

4
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

3.2
auditoría
proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de
manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría

NOTA 1 Una auditoría puede ser interna (auditoría de primera parte) o externa (auditoría de segunda o tercera parte), y puede ser
combinada (combinación de dos o más disciplinas).

NOTA 2 En ISO 19011 se definen los términos “evidencia de la auditoría" y "criterios de auditoría".

3.3
continuidad del negocio
capacidad de la organización para continuar entregando productos o servicios a niveles aceptables
predefinidos tras un incidente que interrumpa

[Fuente: ISO 22300]

3.4
gestión de la continuidad del negocio
proceso integral de gestión que identifica las amenazas potenciales y sus impactos en las operaciones del negocio, las
cuales de llevarse a cabo, determinan cómo éstas podrían afectar a una organización, y además, proporcionan un
marco para construir la resiliencia organizacional que sea capaz de dar una respuesta eficaz para salvaguardar los
intereses de sus partes interesadas claves, reputación, marca y las actividades que crean valor

3.5
sistema de gestión de la continuidad del negocio
SGCN
parte del sistema general de gestión que establece, implementa, opera, monitorea, revisa, mantiene y mejora la
continuidad del negocio

NOTA El sistema de gestión incluye la estructura organizacional, políticas, actividades de planificación, responsabilidades,
procedimientos, procesos y recursos.

3.6
planificación de la continuidad del negocio
procedimientos documentados que debido a una interrupción, orientan a las organizaciones a responder,
recuperar, reanudar y restaurar a un nivel predefinido de funcionamiento

NOTA Normalmente esto incluye recursos, servicios y actividades necesarias para garantizar la continuidad de las funciones críticas
del negocio.

3.7
programa de continuidad del negocio
proceso continuo de gestión y gobernanza, que para esta norma se define como el sistema por el cual se toman
e implementan decisiones con el fin de lograr objetivos, con apoyo de la alta dirección y con los recursos
adecuados para implementar y mantener la gestión de continuidad del negocio

3.8
análisis de impacto en el negocio
proceso de análisis de las actividades y el efecto que podría tener una interrupción del negocio en dichas
actividades

[Fuente: ISO 22300]

5
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

3.9
competencia
aptitud demostrada para aplicar conocimientos y habilidades con el objetivo de obtener los resultados
previstos

3.10
conformidad
cumplimiento de un requisito

[Fuente: ISO 22300]

3.11
mejoramiento continuo
actividad recurrente para aumentar el desempeño

[Fuente: ISO 22300]

3.12
corrección
acción tomada para eliminar una no conformidad detectada

[Fuente: ISO 22300]

3.13
acción correctiva
acción tomada para eliminar la causa de una no conformidad y para prevenir que se vuelva a producir

NOTA Cuando hay resultados indeseables, es necesaria la acción para reducir al mínimo o eliminar las causas y para reducir el
impacto o prevenir que vuelva a suceder. En el sentido de esta definición, tales acciones están comprendidas en el concepto de “acción
correctiva”.

[Fuente ISO 22300]

3.14
documento
información y su medio de soporte

NOTA 1 El medio de soporte puede ser papel, magnético, CD electrónico u óptico, fotografía o muestra maestra, o una combinación
de los mismos.

NOTA 2 Con frecuencia se llama "documentación" a un conjunto de documentos, por ejemplo especificaciones y registros.

3.15
información documentada
información requerida por una organización que debe ser controlada, mantenida, y contenida en un medio

NOTA 1 La información documentada puede estar en cualquier formato y en cualquier medio de cualquier fuente.

NOTA 2 La información documentada se puede referir a:

- el sistema de gestión, incluyendo los procesos relacionados;

- la información creada para que la organización funcione (documentación);

- la evidencia de los resultados obtenidos (registros).

6
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

3.16
eficacia
grado en que se realizan las actividades planificadas y se alcanzan los resultados planificados

[Fuente: ISO 22300]

3.17
evento
ocurrencia o cambio de un conjunto particular de circunstancias

NOTA 1 Un evento puede ser único o repetirse, y puede tener varias causas.

NOTA 2 Un evento puede consistir en algo que no llega a suceder.

NOTA 3 Algunas veces, un evento se puede calificar como un “incidente” o un “accidente”.

NOTA 4 Un evento sin consecuencias también se puede calificar como “cuasi accidente”, o “incidente”.

[Fuente: ISO Guía 73]

3.18
ejercicio
proceso para entrenar, evaluar, practicar y mejorar el desempeño en una organización

NOTA 1 Los ejercicios se pueden utilizar para: validación de políticas, planificaciones, procedimientos, capacitación, equipamiento y
acuerdos inter-organizacionales, que explican y capacitan al personal en funciones y responsabilidades, mejoran la coordinación y
comunicación entre las organizaciones, identifican brechas en los recursos, mejoran el desempeño individual, e identifican
oportunidades para la mejora, y la oportunidad controlada para practicar la improvisación.

NOTA 2 Una prueba es un tipo de ejercicio único y particular, que incorpora en la meta u objetivo del ejercicio a realizar, la
expectativa de un elemento de aprobación o rechazo.

[Fuente: ISO 22300]

3.19
incidente
situación que podría ser, o podría dar lugar a, una interrupción, pérdida, emergencia o crisis

[Fuente: ISO 22300]

3.20
infraestructura
sistema de instalaciones, equipos y servicios necesarios para el funcionamiento de una organización

3.21
parte interesada
individuo u organización que puede afectar, ser afectado por, o se perciben a sí mismos afectados, por una
decisión o actividad

NOTA Puede ser un individuo o grupo que tiene interés en cualquier decisión o actividad de una organización.

7
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

3.22
auditoría interna
auditoría llevada a cabo por, o en nombre de, la propia organización para la revisión por la dirección y otros
fines internos, y que podrían servir de base para una autodeclaración de conformidad de la organización

NOTA En muchos casos, particularmente en organizaciones pequeñas, la independencia se puede demostrar mediante la
independencia de responsabilidad de la actividad auditada.

3.23
invocación
acto de declaración que la organización necesita realizar, mediante un acuerdo de continuidad del negocio, el
cual es puesto en práctica con el fin de continuar la entrega de productos o servicios claves

3.24
sistema de gestión
conjunto de elementos de una organización, interrelacionados o que interactúan entre ellos, que ayudan a
establecer políticas y objetivos, así como los procesos para alcanzar dichos objetivos

NOTA 1 Un sistema de gestión puede abordar una o varias disciplinas.

NOTA 2 Los elementos del sistema incluyen, entre otros, la estructura, funciones y responsabilidades, planificación, y funcionamiento
de la organización.

NOTA 3 El alcance de un sistema de gestión puede incluir a toda la organización, a funciones o secciones de la organización que sean
específicas e identificadas, o a una o más funciones en un grupo de organizaciones.

3.25
interrupción máxima admisible
MAO 2)
tiempo que podría llegar a ser inaceptable, en el cual habría impactos adversos como consecuencia de no
proporcionar un producto/servicio o llevar a cabo una actividad

NOTA Ver también el período máximo tolerable de interrupción.

3.26
período máximo tolerable de interrupción
MTPD 3)
tiempo que podría llegar a ser inaceptable, en el cual habría impactos adversos como consecuencia de no
proporcionar un producto/servicio o llevar a cabo una actividad

NOTA Ver también interrupción máxima admisible.

3.27
medición
proceso para determinar un valor

2) En inglés: Maximun Acceptable Outage.

3) En inglés: Maximum Tolerable Period of Disruption.

8
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

3.28
objetivo mínimo de la continuidad del negocio
MBCO 4)
nivel mínimo de servicios y/o productos que es aceptable para que la organización logre sus objetivos de
negocio durante una interrupción

3.29
monitoreo
determinación del estado de un sistema, proceso o actividad

NOTA Para determinar el estado, puede ser necesario verificar, supervisar u observar críticamente.

3.30
acuerdo de ayuda mutua
entendimiento predispuesto entre dos o más entidades para prestar ayuda a los demás

[Fuente: ISO 22300]

3.31
no conformidad
incumplimiento de un requisito

[Fuente: ISO 22300]

3.32
objetivo
resultado que se pretende obtener

NOTA 1 Un objetivo puede ser estratégico, táctico u operativo.

NOTA 2 Los objetivos pueden tener diferentes alcances (tales como financieros, de salud y seguridad, y ambientales) y se pueden
aplicar a diferentes niveles (tales como estratégico, una organización completa, un proyecto, un producto y un proceso).

NOTA 3 Un objetivo se puede expresar de otras formas, por ejemplo, como un resultado deseado, un propósito, un criterio
operacional, como objetivos de la seguridad de la sociedad o por el uso de otras palabras de significado similar (por ejemplo, objetivo,
meta o destino).

NOTA 4 En el contexto de las normas de sistemas de gestión de seguridad de la sociedad, los objetivos de la seguridad de la sociedad
que se establecen por la organización, son consistentes con la política de la seguridad de la sociedad, con objeto de alcanzar los
resultados específicos.

3.33
organización
persona o conjunto de personas con una disposición de responsabilidades, autoridades y relaciones para
alcanzar sus objetivos

NOTA 1 El concepto de organización incluye, pero no está limitado, al micro empresario, compañía, corporación, firma, empresa,
autoridad, asociación, institución o institución benéfica, o parte o combinación de éstas, integrada o no, pública o privada.

NOTA 2 Para organizaciones con más de una unidad de operación, una única unidad operativa puede ser definida como una
organización.

4) En inglés: Minimum Business Continuity Objective.

9
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

3.34
externalizar (verbo)
realizar un acuerdo con una organización externa que realiza parte de una función o proceso de la
organización

NOTA El alcance del sistema de gestión no incluye a una organización externa, pero si la función o proceso subcontratado.

3.35
desempeño
resultado medible

NOTA 1 El desempeño se puede referir a los hallazgos, ya sean cuantitativos o cualitativos.

NOTA 2 El desempeño se puede relacionar con la gestión de las actividades, procesos, productos (incluidos los servicios), sistemas u
organizaciones.

3.36
evaluación del desempeño
proceso de determinación de resultados medibles

3.37
personal
personas que trabajan para, y bajo el control de, la organización

NOTA El concepto de personal incluye, pero no está limitado a, los empleados, personal a tiempo parcial, y al personal de agencias.

3.38
política
intenciones y orientaciones expresadas formalmente por la alta dirección de una organización

3.39
procedimiento
especificación para llevar a cabo una actividad o proceso

3.40
proceso
conjunto de actividades mutuamente relacionadas o que interactúan entre ellas, las cuales transforman
elementos de entrada en resultados

3.41
productos y servicios
resultados beneficiosos proporcionados por una organización a sus clientes, beneficiarios y partes interesadas,
por ejemplo, artículos fabricados, seguros de auto y enfermería comunitaria

3.42
actividades priorizadas
actividades a las que se debe dar prioridad a raíz de un incidente, con el fin de mitigar los impactos

NOTA Para describir las actividades dentro de este grupo, los términos de uso común son: crítico, esencial, vital, urgente y
fundamental.

[Fuente: ISO 22300]

10
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

3.43
registro
documento que presenta resultados obtenidos o proporciona evidencia de actividades desempeñadas

3.44
objetivo de punto de recuperación
RPO 5)
punto en que la información utilizada por una actividad se debe restaurar para que permita que la actividad se
reanude

NOTA También se puede referir como "pérdida máxima de datos".

3.45
objetivo del tiempo de recuperación
RTO 6)
período de tiempo después de un incidente en el que

- el producto o servicio se debe reanudar, o

- la actividad se debe reanudar, o

- los recursos se deben recuperar

NOTA Para productos, servicios y actividades, el objetivo del tiempo de recuperación debe ser menor que el tiempo que podría llegar
a ser inaceptable, en el cual habría impactos adversos como consecuencia de no proporcionar un producto/servicio o llevar a cabo una
actividad.

3.46
requisito
necesidad o expectativa establecida, generalmente implícita u obligatoria

NOTA 1 "Generalmente implícita" significa que se trata de una práctica habitual o común para la organización y las partes interesadas
en que la necesidad o expectativa en consideración está implícita.

NOTA 2 Un requisito especificado es el que se establece, por ejemplo, en la información documentada.

3.47
recursos
todos los activos, recursos humanos, habilidades, información, tecnología (incluye plantas y equipos), predios,
y proveedores e información (ya sea o no electrónica), que una organización tiene que tener disponible para su
uso, cuando sea necesario, con el fin de operar y cumplir con su objetivo

3.48
riesgo
efecto de la incertidumbre sobre los objetivos

NOTA 1 Un efecto es una desviación, positiva y/o negativa, respecto a lo previsto.

NOTA 2 Los objetivos pueden tener diferentes alcances (tales como financieros, de salud y seguridad, o ambientales) y se pueden
aplicar a diferentes niveles (tales como estratégico, una organización completa, un proyecto, un producto y un proceso). Un objetivo se
puede expresar de otra forma, por ejemplo, como un resultado deseado, un propósito, un criterio operacional, como un objetivo de
continuidad del negocio o por el uso de otras palabras de significado similar (por ejemplo, objeto, meta o destino).

5) En inglés: Recovery Point Objective.

6) En inglés: Recovery Time Objective.

11
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

NOTA 3 Con frecuencia, el riesgo se caracteriza por hacer referencia a los potenciales eventos (ver ISO Guía 73, 3.5.1.3) y
consecuencias (ver ISO Guía 73, 3.6.1.3), o a una combinación de estos.

NOTA 4 Con frecuencia, el riesgo se expresa en términos de combinación de las consecuencias de un evento (incluyendo los cambios
en las circunstancias) y de su probabilidad (ver ISO Guía 73, 3.6.1.1) asociada de ocurrencia.

NOTA 5 La incertidumbre es el estado, aunque sea parcial, de la deficiencia en la información relativa a la comprensión o al
conocimiento de un evento, de sus consecuencias o de su probabilidad.

NOTA 6 En el contexto de las normas de SGCN y con el objeto de alcanzar resultados específicos, la política es consistente con los
objetivos de la continuidad del negocio que se establecen por la organización. Cuando se utilizan los términos riesgo y componentes de
la gestión del riesgo, se deberían relacionar con los objetivos de la organización que incluyen, pero no se limitan a, los objetivos de
continuidad del negocio tal como se especifica en 6.2.

[Fuente: ISO Guía 73]

3.49
perfil de riesgo
cantidad y tipo de riesgo que una organización está dispuesta a aplicar o conservar

3.50
evaluación del riesgo
proceso global que comprende la identificación del riesgo, el análisis del riesgo y la valoración del riesgo

[Fuente: ISO Guía 73]

3.51
gestión del riesgo
actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo

[Fuente: Guía ISO 73]

3.52
examen
procedimiento para la evaluación; un medio para determinar la presencia, calidad o veracidad de algo

NOTA 1 El examen se puede referir a un “juicio”.

NOTA 2 A menudo, el examen se aplica para apoyar los planes.

[Fuente: ISO 22300]

3.53
alta dirección
persona o grupo de personas que dirige y controla al más alto nivel una organización

NOTA 1 La alta dirección tiene la facultad de delegar autoridad y proporcionar recursos dentro de la organización.

NOTA 2 Si el alcance del sistema de gestión cubre sólo una parte de una organización, entonces la alta dirección se refiere a aquellas
personas que dirigen y controlan esa parte de la organización.

12
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

3.54
verificación
confirmación mediante la aportación de evidencia, de que se han cumplido los requisitos especificados

3.55
ambiente de trabajo
conjunto de condiciones bajo las cuales se realiza el trabajo

NOTA Las condiciones incluyen factores físicos, sociales, psicológicos y ambientales (tales como temperatura, esquemas de
reconocimiento, ergonomía y composición atmosférica).

[Fuente: ISO 22300]

4 Contexto de la organización

4.1 Entendiendo a la organización y su contexto

La organización debe determinar asuntos externos e internos que sean relevantes para su propósito y que
afecten su aptitud para alcanzar los resultados deseados de su SGCN.

Estos asuntos se deben tener en cuenta al establecer, implementar y mantener el SGCN de la organización.

La organización debe identificar y documentar lo siguiente:

a) las actividades, funciones, servicios, productos, asociaciones, cadenas de suministro, relaciones con las
partes interesadas y el impacto potencial relacionado con un incidente que interrumpa;

b) los vínculos entre la política de continuidad del negocio y los objetivos de la organización y otras
políticas, incluyendo la estrategia de gestión global del riesgo; y

c) el perfil de riesgo de la organización.

Al establecer el contexto, la organización debe:

1) articular sus objetivos, incluyendo los relativos a la continuidad del negocio,

2) definir los factores externos e internos que crean incertidumbre que da lugar al riesgo,

3) establecer criterios de riesgo, teniendo en cuenta el perfil de riesgo, y

4) definir el propósito del SGCN.

4.2 Entendiendo las necesidades y expectativas de las partes interesadas

4.2.1 Generalidades

Al establecer el SGCN, la organización debe determinar:

a) las partes interesadas que sean relevantes para el SGCN, y

b) los requisitos de estas partes interesadas (es decir, sus necesidades y expectativas, si están establecidas,
generalmente implícitas u obligatorias).

13
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

4.2.2 Requisitos legales y reglamentarios

La organización debe establecer, implementar y mantener procedimientos para identificar, acceder y evaluar
los requisitos legales y reglamentarios que la organización subscriba con la continuidad de sus operaciones,
productos y servicios, así como con los intereses de las partes interesadas pertinentes.

La organización se debe asegurar de que estos requisitos legales, reglamentarios u otros aplicables a los cuales
la organización subscriba, sean tomados en consideración al establecer, implementar y mantener su SGCN.

La organización debe documentar esta información y mantenerla al día. Se debe comunicar a los empleados
involucrados y otras partes interesadas, los nuevos requisitos legales, reglamentarios u otros, o sus
modificaciones.

4.3 Determinación del alcance del Sistema de Gestión de la Continuidad del Negocio

4.3.1 Generalidades

La organización debe determinar los límites y aplicabilidad del SGCN para establecer su alcance.

Al determinar este alcance, la organización debe considerar:

- los temas externos e internos mencionados en 4.1, y

- los requisitos mencionados en 4.2.

El alcance debe estar disponible así como toda la información debe estar documentada.

4.3.2 Alcance del SGCN

La organización debe:

a) establecer las partes de la organización que serán incluidas en el SGCN,

b) establecer los requisitos del SGCN, teniendo en cuenta la misión, objetivos, obligaciones internas y
externas de la organización (incluyendo aquellas relacionados con las partes interesadas), y las
responsabilidades legales y reglamentarias,

c) identificar los productos y servicios, y todas las actividades conexas dentro del alcance del SGCN,

d) tener en cuenta las necesidades e intereses de las partes interesadas, tales como clientes, inversionistas,
accionistas, cadena de suministro, intereses y necesidades del público y/o de la comunidad, y las
expectativas e intereses (según corresponda), y

e) definir el alcance del SGCN en forma apropiada y en términos de la naturaleza, tamaño y complejidad de
la organización.

Al definir el alcance, la organización debe documentar y explicar las exclusiones; tales exclusiones no deben
afectar la aptitud y responsabilidad de la organización de asegurar la continuidad del negocio y que el
funcionamiento cumpla los requisitos del SGCN, según lo ha determinado el análisis de impacto en el negocio
o la evaluación del riesgo y los requisitos reglamentarios o legales aplicables.

14
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

4.4 Sistema de Gestión de la Continuidad del Negocio

La organización debe establecer, implementar, mantener y mejorar continuamente un SGCN, incluyendo los
procesos necesarios y sus interacciones en conformidad con los requisitos de esta norma.

5 Liderazgo

5.1 Liderazgo y compromiso

Las personas de la alta dirección y de otras funciones de gestión relevantes de la organización, deben
demostrar su liderazgo con respecto al SGCN.

EJEMPLO Este liderazgo y compromiso se puede demostrar mediante la motivación y el empoderamiento de las personas para
contribuir a la eficacia del SGCN.

5.2 Compromiso de la dirección

La alta dirección debe demostrar su liderazgo y compromiso con el SGCN:

- garantizando que las políticas y objetivos del sistema de gestión de la continuidad del negocio son
compatibles con la dirección estratégica de la organización,

- integrando los requisitos del sistema de gestión de la continuidad del negocio en los procesos de negocios
de la organización,

- garantizando la provisión de los recursos necesarios para el SGCN,

- comunicando la importancia de la gestión efectiva de la continuidad del negocio y que se ajusta a los
requisitos del sistema de gestión de la continuidad del negocio,

- garantizando que el SGCN alcanza sus resultados esperados,

- orientando y apoyando a las personas para contribuir a la eficacia del SGCN,

- fomentando el mejoramiento continuo, y

- apoyando otras funciones de gestión pertinentes para demostrar su liderazgo y compromiso que se aplican
a sus áreas de responsabilidad.

NOTA 1 En esta norma, cuando se hace la referencia a "negocios" se debe interpretar en su sentido amplio, de modo de considerar a
aquellas actividades que son fundamentales para los fines de la existencia de la organización.

La alta dirección debe proporcionar evidencia de su compromiso con el establecimiento, implementación, funcionamiento, monitoreo,
revisión, mantenimiento y mejora del SGCN:

- estableciendo una política de continuidad del negocio,

- garantizando el establecimiento de los objetivos y planes del SGCN,

- determinando funciones, responsabilidades y competencias para la gestión de la continuidad del negocio, y

- designando una o más personas para que sean responsables del SGCN, con autoridad y competencias apropiadas, obligadas a
rendir cuentas de la implementación y mantenimiento del SGCN.

15
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

NOTA 2 Estas personas pueden ocupar otras responsabilidades dentro de la organización.

La alta dirección se debe asegurar de que las responsabilidades y autoridades para las funciones relevantes han sido asignadas y
comunicadas dentro de la organización:

- definiendo criterios de aceptación del riesgo y los niveles aceptables del riesgo,

- involucrándose activamente en ejercicios y exámenes,

- garantizando que se llevan a cabo las auditorías internas del SGCN,

- llevando a cabo la revisión de la gestión del SGCN, y

- demostrando su compromiso con el mejoramiento continuo.

5.3 Política

La alta dirección debe establecer una política de continuidad del negocio que:

a) sea adecuada al propósito de la organización,

b) proporcione un marco de trabajo para establecer los objetivos de continuidad del negocio,

c) incluya un compromiso para cumplir con los requisitos aplicables,

d) incluya un compromiso para el mejoramiento continuo del SGCN.

La política del SGCN debe:

- estar disponible como información documentada,

- ser comunicada dentro de la organización,

- estar a disposición de las partes interesadas, según proceda,

- sea revisada para su continua adecuación a intervalos definidos y cuando se produzcan cambios
significativos.

La organización debe conservar la información documentada de la política de continuidad del negocio.

5.4 Funciones, responsabilidades y autoridades organizacionales

La alta dirección se debe asegurar de que las responsabilidades y autoridades para las funciones relevantes
están asignadas y comunicadas dentro de la organización.

La alta dirección debe asignar la responsabilidad y autoridad para:

a) garantizar que el sistema de gestión cumple con los requisitos de esta norma, e

b) informar sobre el desempeño del SGCN a la alta dirección.

16
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

6 Planificación

6.1 Acciones para abordar los riesgos y las oportunidades

Al planificar el SGCN, la organización debe considerar los temas mencionados en 4.1 y los requisitos
mencionados en 4.2, y determinar los riesgos y oportunidades que necesitan ser abordados para:

- garantizar que el sistema de gestión puede alcanzar sus resultados previstos,

- evitar, o reducir los efectos no deseados,

- obtener el mejoramiento continuo.

La organización debe planificar:

a) las acciones para abordar estos riesgos y oportunidades,

b) la forma de:

1) integrar e implementar las acciones en sus procesos del SGCN (ver 8.1),

2) evaluar la eficacia de estas acciones (ver 9.1).

6.2 Objetivos de la continuidad del negocio y forma de alcanzarlos

La alta dirección se debe asegurar de que los objetivos de la continuidad del negocio se establecen y
comunican a las funciones y niveles pertinentes dentro de la organización.

Los objetivos de la continuidad del negocio deben:

a) ser consistentes con la política de continuidad del negocio,

b) tomar en cuenta el nivel mínimo de productos y servicios que es aceptable para que la organización
alcance sus objetivos,

c) ser medibles,

d) tomar en cuenta los requisitos aplicables, y

e) ser monitoreados y actualizados, según sea apropiado.

La organización debe conservar la información documentada de los objetivos de continuidad del negocio.

Para lograr sus objetivos de continuidad del negocio, la organización debe determinar:

- quién será responsable,

- qué se realizará,

- qué recursos se necesitarán,

17
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

- cuándo serán alcanzados, y

- cómo se evaluarán los resultados.

7 Apoyo

7.1 Recursos

La organización debe determinar y proporcionar los recursos necesarios para el establecimiento,

implementación, mantenimiento y mejoramiento continuo del SGCN.

7.2 Competencia

La organización debe:

a) determinar la competencia necesaria de las personas que están realizando el trabajo asignado que afecta a
su desempeño,

b) asegurarse de que estas personas sean competentes tomando en consideración la educación, formación y
experiencia,

c) tomar acciones, cuando sea aplicable, para adquirir la competencia necesaria, y evaluar la eficacia de las
acciones tomadas, y

d) retener la información documentada apropiada como evidencia de la competencia.

NOTA Como ejemplo, las acciones aplicables pueden incluir la oferta de formación, la tutoría, o la reasignación de los trabajadores
actuales, o la empleabilidad o contratación de personas competentes.

7.3 Toma de conciencia

Las personas que realizan trabajos para la organización deben ser conscientes de:

a) la política de continuidad del negocio,

b) su contribución a la eficacia del SGCN, incluyendo los beneficios de mejorar el desempeño de la gestión
de la continuidad del negocio,

c) las consecuencias de que no cumplan con los requisitos del SGCN, y

d) su propio rol durante los incidentes que interrumpan.

7.4 Comunicación

La organización debe determinar la necesidad de las comunicaciones internas y externas relevantes a ser
incluidas por el SGCN:

a) lo que se comunicará,

b) cuándo comunicar,

c) a quién comunicar.

18
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

La organización debe establecer, implementar y mantener procedimientos para:

- la comunicación interna entre las partes interesadas y los empleados dentro de la organización,

- la comunicación externa con los clientes, entidades asociadas, comunidad local y otras partes interesadas,
incluidos los medios de comunicación,

- recibir, documentar y responder a las comunicaciones de las partes interesadas,

- adaptar e integrar un sistema consultivo de amenaza regional o nacional, o equivalente, en la planificación

y el uso operacional, si procediese,

- garantizar la disponibilidad de los medios de comunicación durante un incidente que interrumpa,

- si fuese pertinente, facilitar la comunicación estructurada con las autoridades pertinentes, garantizando la
interoperabilidad de diversas organizaciones y personal que respondan, y

- el funcionamiento y examen de capacidades de comunicación destinadas a ser utilizadas durante la

interrupción de las comunicaciones normales.

NOTA Los requisitos adicionales para la comunicación en respuesta a un incidente se especifican en 8.4.3.

7.5 Información documentada

7.5.1 Generalidades

El SGCN de la organización debe incluir:

- información documentada especificada por esta norma, e

- información documentada determinada por la organización, necesaria para la eficacia del SGCN.

NOTA El alcance de la información documentada para un SGCN puede diferir de una organización a otra debido a:

- el tamaño de la organización y su tipo de actividades, procesos, productos y servicios,

- la complejidad de los procesos y sus interacciones, y

- la competencia de las personas.

7.5.2 Elaboración y actualización

La organización al elaborar y actualizar la información documentada, debe garantizar en forma adecuada:

a) la identificación y descripción (por ejemplo, título, fecha, autor o número de referencia),

b) el formato (por ejemplo, idioma, versión del software, gráficos) y los medios (por ejemplo, papel, digital),
y la revisión y aprobación de la idoneidad y conveniencia.

19
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

7.5.3 Control de la información documentada

De acuerdo a lo requerido por el SGCN y por esta norma, la información documentada se debe controlar para
garantizar que:

a) esté disponible y es adecuada para el uso, donde y cuando sea necesaria,

b) esté protegida en forma adecuada (por ejemplo, de la pérdida de confidencialidad, uso indebido o pérdida
de la integridad).

Para el control de la información documentada, la organización debe abordar las actividades siguientes, según
corresponda

- distribución, acceso, recuperación y uso,

- almacenamiento y conservación, incluyendo la preservación de la legibilidad,

- control de cambios (por ejemplo, control de versión),

- retención y disposición,

- recuperación y uso,

- conservación de la legibilidad (es decir, lo suficientemente clara para leer), y

- prevención del uso no intencionado de la información obsoleta.

La organización debe determinar, identificar y controlar, según sea apropiado, la información documentada de
origen externo que es necesaria para la planificación y operación del SGCN.

Al establecer el control de la información documentada, la organización se debe asegurar de que hay una
protección adecuada para ésta (por ejemplo, protección frente a posibles riesgos, modificación o eliminación
no autorizada).

NOTA El acceso implica una decisión sobre el permiso para ver la información documentada, o el permiso y la autoridad para ver y
cambiar la información documentada, etc.

8 Funcionamiento

8.1 Planificación y control operacional

La organización debe planificar, ejecutar y controlar los procesos necesarios para cumplir los requisitos, e
implementar las acciones determinadas en 6.1, mediante:

a) el establecimiento de criterios para los procesos,

b) la implementación del control de los procesos de acuerdo con los criterios, y

c) el mantenimiento de la información documentada en la medida necesaria para tener confianza en que los
procesos se han llevado a cabo de acuerdo a lo previsto.

La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios
imprevistos, asumiendo acciones para mitigar los efectos adversos, según fuese necesario.

20
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

La organización se debe asegurar de que controla los procesos externalizados.

8.2 Análisis de impacto en el negocio y evaluación del riesgo

8.2.1 Generalidades

La organización debe establecer, implementar y mantener un proceso formal y documentado para el análisis
de impacto en el negocio y evaluación del riesgo que:

a) establezca el contexto de la evaluación, definiendo criterios y evaluando el impacto potencial de un

incidente que interrumpa,

b) tome en cuenta los requisitos legales u otros que la organización suscriba,

c) incluya un análisis sistemático, priorización de tratamiento del riesgo y sus costos relacionados,

d) defina el resultado requerido del análisis de impacto en el negocio y evaluación del riesgo, y

e) especifique los requisitos para mantener esta información actualizada y confidencial.

NOTA Existen diversas metodologías para el análisis del impacto y evaluación del riesgo del negocio que determinará el orden en
que éstas se llevarán a cabo.

8.2.2 Análisis de impacto en el negocio

La organización debe establecer, implementar y mantener un proceso de evaluación formal y documentado

para determinar las prioridades de continuidad y recuperación, objetivos y metas. Este proceso debe incluir la
evaluación de los impactos de las actividades que interrumpan el apoyo a los productos y servicios de la
organización.

El análisis de impacto en el negocio debe incluir lo siguiente:

a) identificación de las actividades que apoyan la prestación de productos y servicios;

b) evaluación de los impactos del tiempo en el cual no se lleven a cabo estas actividades;

c) establecimiento de plazos priorizados para la reanudación de estas actividades a un nivel mínimo

aceptable, teniendo en cuenta el tiempo en el que los efectos de la no reanudación de ellos sería
inaceptable, y

d) identificación de las dependencias y recursos de apoyo para estas actividades, incluyendo proveedores,
socios externos y otras partes interesadas pertinentes.

8.2.3 Evaluación del riesgo

La organización debe establecer, implementar y mantener un proceso documentado formal de evaluación del
riesgo, que sistemáticamente identifique, analice y valore el riesgo de incidentes que interrumpan en la
organización.

NOTA Este proceso se puede hacer de acuerdo con ISO 31000.

21
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

La organización debe:

a) identificar los riesgos de la interrupción de sistemas, información, personas, activos, socios externos y
otros recursos que apoyan las actividades y procesos prioritarios de la organización,

b) analizar sistemáticamente el riesgo,

c) evaluar los riesgos relacionados con la interrupción que requieran tratamiento, y

d) identificar tratamientos acordes con los objetivos de continuidad del negocio y de acuerdo con el perfil
del riesgo de la organización.

NOTA La organización debe estar consciente de que ciertas obligaciones financieras o gubernamentales requieren la comunicación
de estos riesgos en diferentes niveles de detalle. Además, ciertas necesidades de la sociedad también pueden garantizar el intercambio
de esta información con un nivel apropiado de detalle.

8.3 Estrategia de la continuidad del negocio

8.3.1 Determinación y selección

La determinación y selección se deben basar en los resultados de los análisis de impacto en el negocio y
evaluación del riesgo.

La organización debe determinar una estrategia apropiada de continuidad del negocio para:

a) proteger las actividades priorizadas,

b) estabilizar, continuar, reanudar y recuperar las actividades priorizadas y sus dependencias y recursos de
apoyo, y

c) mitigar, responder y gestionar los impactos.

La determinación de la estrategia debe incluir la aprobación de plazos priorizados para la reanudación de las
actividades.

La organización debe llevar a cabo evaluaciones de las capacidades de continuidad del negocio de los
proveedores.

8.3.2 Determinación de los requisitos de los recursos

La organización debe determinar los requisitos de los recursos para implementar las estrategias seleccionadas.
Los tipos de recursos deben incluir, pero no limitarse, a:

a) personas,

b) información y datos,

c) edificios, ambiente de trabajo y servicios asociados,

d) instalaciones, equipos y material fungible,

e) sistemas de tecnología de la información y comunicación (TIC),

22
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

f) transporte,

g) financiamiento, y

h) socios y proveedores.

8.3.3 Protección y mitigación

Para los riesgos identificados que requieran tratamiento, la organización debe considerar medidas proactivas
que:

a) reduzcan la probabilidad de interrupción,

b) acorten el período de interrupción, y

c) limiten el impacto de la interrupción de los productos y servicios claves de la organización.

La organización debe elegir e implementar los tratamientos adecuados de riesgo de acuerdo con su perfil de
riesgo.

8.4 Determinación e implementación de procedimientos de continuidad del negocio

8.4.1 Generalidades

La organización debe establecer, implementar y mantener procedimientos de continuidad del negocio para
gestionar un incidente que interrumpa y continuar con sus actividades en función de los objetivos de
recuperación identificados en el análisis de impacto en el negocio.

La organización debe documentar los procedimientos (incluyendo los acuerdos necesarios) para garantizar la
continuidad de las actividades y la gestión de un incidente que interrumpa.

Los procedimientos deben:

a) establecer un protocolo interno y externo de comunicaciones adecuado,

b) ser específicos en cuanto a las medidas inmediatas que se deben tomar durante una interrupción,

c) ser flexibles para responder a las amenazas y cambios inesperados de las condiciones internas y externas,

d) enfocarse en el impacto de los eventos que podrían afectar las operaciones,

e) desarrollarse en base a los supuestos establecidos y a un análisis de las interdependencias, y

f) ser efectivos en la reducción de las consecuencias a través de la implementación de estrategias apropiadas

de mitigación.

8.4.2 Estructura de la respuesta a incidentes

La organización debe establecer, documentar e implementar los procedimientos y una estructura de gestión
para responder a incidentes que interrumpan utilizando personal con la responsabilidad, autoridad y
competencia necesaria para gestionarlos.

23
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

La estructura de la respuesta debe:

a) identificar los umbrales de impacto que justifiquen el inicio de la respuesta formal,

b) evaluar la naturaleza y alcance de un incidente que interrumpa y su impacto potencial,

c) activar una respuesta adecuada de la continuidad del negocio,

d) tener procesos y procedimientos para la activación, funcionamiento, coordinación y la comunicación de la

respuesta,

e) disponer de recursos para apoyar los procesos y procedimientos para minimizar el impacto en la gestión
de un incidente que interrumpa, y

f) comunicar a las partes interesadas y autoridades, así como a los medios de comunicación.

La organización debe decidir, considerando la seguridad de la vida humana como primera prioridad y en
consulta con las partes interesadas, si comunica externamente o no, acerca de sus riesgos e impactos
significativos y documentar su decisión. Si la decisión es comunicar, entonces la organización debe establecer
e implementar procedimientos para realizar esta comunicación, alertas y avisos externos, incluyendo los
medios de comunicación, según corresponda.

8.4.3 Advertencia y comunicación

La organización debe establecer, implementar y mantener procedimientos para:

a) detectar un incidente,

b) monitoreo periódico de un incidente,

c) comunicar internamente en la organización y recibir, documentar y responder a las comunicaciones de las

partes interesadas,

d) recibir, documentar y responder a cualquier sistema consultivo de amenaza regional o nacional, o

equivalente,

e) asegurar la disponibilidad de los medios de comunicación durante un incidente que interrumpa,

f) facilitar la comunicación estructurada con los servicios de emergencia,

g) registrar la información esencial sobre el incidente, las medidas adoptadas y las decisiones tomadas,
donde se debe considerar e implementar lo siguiente, según sea aplicable:

- alertar a las partes interesadas potencialmente impactadas por un incidente que interrumpa real o
inminente;

- asegurar la interoperabilidad de las respuestas de las múltiples organizaciones y personal;

- funcionamiento de una instalación de comunicaciones.

Los procedimientos de comunicación y de alerta se deben ejercitar regularmente.

24
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

8.4.4 Planes de continuidad del negocio

La organización debe establecer procedimientos documentados para responder a un incidente que interrumpa
y determinar la forma de continuar o recuperar sus actividades dentro de un plazo predeterminado. Tales
procedimientos deben abordar los requisitos de quienes los van a usar.

Los planes de continuidad del negocio deben contener colectivamente:

a) funciones y responsabilidades definidos para las personas y equipos que tienen autoridad durante y
después de un incidente,

b) un proceso para la activación de la respuesta,

c) los datos para gestionar las consecuencias inmediatas de un incidente que interrumpa teniendo
debidamente en cuenta:

1) el bienestar de los individuos,

2) las opciones estratégicas, tácticas y operativas para responder a la interrupción, y

3) prevención de una mayor pérdida o falta de disponibilidad de las actividades priorizadas.

d) detalles sobre cómo y bajo qué circunstancias la organización se comunicará con los empleados y sus
familiares, las partes interesadas y contactos de emergencia claves,

e) la forma como la organización se mantenga o recupere sus actividades priorizadas en plazos

predeterminados,

f) detalles de la respuesta de los medios de comunicación a raíz de un incidente, incluyendo:

1) una estrategia de comunicación,

2) la interfaz preferida con los medios de comunicación,

3) una guía o modelo para la redacción de una declaración para los medios de comunicación, y

4) portavoces apropiados.

g) un procedimiento para cuando cese el incidente.

Cada plan debe definir:

- propósito y alcance,

- objetivos,

- criterios y procedimientos de activación,

- procedimientos de implementación,

- funciones, responsabilidades y autoridades,

25
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

- requisitos y procedimientos de comunicación,

- interdependencias e interacciones internas y externas,

- requisitos de los recursos, y

- flujo de información y procesos de documentación.

8.4.5 Recuperación

La organización debe tener procedimientos documentados para restaurar y volver a las actividades normales
del negocio, mediante la adopción de medidas temporales que apoyen los requisitos normales del negocio
después de un incidente.

8.5 Examinar y ejercitar

La organización debe examinar y ejercitar sus procedimientos de continuidad del negocio para asegurar que
sean consistentes con sus objetivos de continuidad del negocio.

La organización debe conducir exámenes y ejercicios que:

a) sean consistentes con el alcance y los objetivos del SGCN,

b) se basen en escenarios adecuados que hayan sido bien planificados, con objetivos y metas claramente
definidos,

c) tomados en conjunto, prueben la totalidad de los acuerdos de continuidad del negocio, involucrando a las
partes interesadas pertinentes,

d) reduzcan al mínimo el riesgo de interrupción de las operaciones,

e) produzcan informes formales después del ejercicio, los cuales deben contener resultados,
recomendaciones y acciones para implementar mejoras,

f) sean revisados en el contexto de la promoción del mejoramiento continuo, y

g) sean llevados a cabo a intervalos planificados y cuando se produzcan cambios significativos en la

organización o el entorno en el que opera.

9 Evaluación de desempeño

9.1 Monitoreo, medición, análisis y evaluación

9.1.1 Generalidades

La organización debe determinar:

a) qué debe ser controlado y medido,

b) los métodos de monitoreo, medición, análisis y evaluación, según sea aplicable, para garantizar la validez
de los resultados,

26
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

c) cuándo se deben llevar a cabo el monitoreo y medición, y

d) cuando se deben analizar y evaluar los resultados del monitoreo y medición.

La organización debe conservar la información adecuada en forma documentada como evidencia de los
resultados.

La organización debe evaluar el desempeño y eficacia del SGCN.

Además, la organización debe:

- tomar medidas, y cuando sea necesario, abordar tendencias o resultados adversos antes de que se
produzca una no conformidad, y

- conservar información pertinente en forma documentada como evidencia de los resultados.

Los procedimientos para el monitoreo del desempeño se deben establecer mediante el:

- establecimiento de parámetros de desempeño adecuados a las necesidades de la organización,

- monitoreo del grado de cumplimiento de la política, objetivos y metas para la continuidad del negocio de
la organización,

- desempeño de los procesos, procedimientos y funciones que protegen sus actividades priorizadas,

- monitoreo de la conformidad con esta norma y con los objetivos de la continuidad del negocio,

- monitoreo de la evidencia histórica del desempeño deficiente del SGCN, y

- registro de datos y resultados del monitoreo y medición, para facilitar las acciones correctivas tomadas.

NOTA El desempeño deficiente podría incluir la no conformidad, cuasi accidentes, falsas alarmas e incidentes reales.

9.1.2 Evaluación de los procedimientos de continuidad del negocio

a) la organización debe llevar a cabo evaluaciones de sus procedimientos y capacidades de continuidad del
negocio con el fin de asegurar que hay una continuidad en idoneidad, adecuación y eficacia;

b) estas evaluaciones se deben llevar a cabo en forma periódica mediante revisiones, ejercicio, examen,
informes post-incidente y evaluaciones de desempeño. Los cambios significativos que surjan se deben
reflejar en los procedimientos de una manera oportuna;

c) la organización debe evaluar periódicamente el cumplimiento de los requisitos legales y reglamentarios

aplicables, las mejores prácticas de la industria, y conformidad con su propia política y objetivos de
continuidad del negocio; y

d) la organización debe llevar a cabo evaluaciones a intervalos planificados y cuando se produzcan cambios
significativos.

Cuando se produce un incidente que interrumpa y da lugar a la activación de los procedimientos de

continuidad del negocio, la organización debe realizar una revisión posterior al incidente y registrar los
resultados.

27
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

9.2 Auditoría interna

La organización debe llevar a cabo auditorías internas a intervalos planificados para proporcionar información
sobre si el Sistema de Gestión de la Continuidad del Negocio está:

a) en conformidad con

1) los requisitos propios de la organización para su SGCN,

2) los requisitos de esta norma, y

b) efectivamente implementado y mantenido.

La organización debe:

- planificar, establecer, implementar y mantener programa (s) de auditoría, incluyendo la frecuencia,

métodos, responsabilidades, requisitos de planificación y presentación de informes. Los programas de
auditoría deben tener en consideración la importancia de los procesos y de los resultados de auditorías
anteriores,

- definir los criterios de auditoría y el alcance de cada auditoría,

- seleccionar los auditores y realizar auditorías para garantizar la objetividad e imparcialidad del proceso de
auditoría,

- garantizar que los resultados de las auditorías son informados a la dirección pertinente, y

- conservar información documentada como evidencia de la implementación del programa de auditoría y de

los resultados de ésta.

El programa de auditoría, incluyendo su planificación, se debe basar en los resultados de la evaluación del
riesgo de las actividades de la organización, así como en los resultados de auditorías previas. Los
procedimientos de auditoría deben cubrir el alcance, frecuencia, metodologías y competencias, así como las
responsabilidades y requisitos para la realización de auditorías e información de resultados.

La dirección responsable del área que esté siendo auditada, debe garantizar que abordarán sin demora
injustificada, todas las correcciones y acciones correctivas necesarias para eliminar las no conformidades
detectadas y sus causas. Las actividades de seguimiento deben incluir la verificación de las acciones tomadas
y el informe de resultados de la verificación.

9.3 Revisión por la dirección

La alta dirección debe revisar el SGCN de la organización a intervalos planificados, para asegurarse de su
conveniencia, adecuación y eficacia.

La revisión por la dirección debe incluir la consideración de:

a) el estado de las acciones de las revisiones previas por la dirección,

b) los cambios en los asuntos externos e internos que sean relevantes para el sistema de gestión de la
continuidad del negocio,

28
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

c) la información sobre el desempeño de continuidad del negocio, incluyendo las tendencias en:

1) no conformidades y acciones correctivas,

2) resultados de la evaluación de medición y monitoreo, y

3) resultados de la auditoría,

d) las oportunidades para el mejoramiento continuo.

Las revisiones por la dirección deben considerar el desempeño de la organización, incluyendo:

- acciones de seguimiento de revisiones previas por la dirección,

- necesidad de cambios en el SGCN, incluyendo la política y los objetivos,

- oportunidades de mejoramiento,

- resultados de las auditorías y revisiones del SGCN, incluyendo a los proveedores y socios claves, según
sea apropiado,

- técnicas, productos o procedimientos, que podrían ser utilizados en la organización para mejorar el
desempeño y eficacia del SGCN,

- estado de las acciones correctivas,

- resultados del ejercicio y las pruebas,

- riesgos o asuntos no abordados adecuadamente en cualquier evaluación del riesgo anterior,

- cualquier cambio que pudiera afectar al SGCN, ya sean internos o externos al alcance del SGCN,

- adecuación de la política,

- recomendaciones para el mejoramiento,

- lecciones aprendidas y acciones derivadas de incidentes que interrumpan, y

- guías y buenas prácticas emergentes.

Los resultados de la revisión por la dirección deben incluir decisiones relacionadas con las oportunidades de
mejoramiento continuo y la posible necesidad de cambios en el SGCN, y además incluir lo siguiente:

a) variaciones en el alcance del SGCN;

b) mejoramiento de la eficacia del SGCN;

c) actualización de la evaluación del riesgo, análisis de impacto en el negocio, planes de continuidad del
negocio y procedimientos relacionados;

d) modificación de los procedimientos y controles para responder a eventos internos o externos que pueden
afectar al SGCN, incluyendo cambios en:

29
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

1) requisitos operacionales y del negocio,

2) reducción del riesgo y requisitos de seguridad,

3) procesos y condiciones operacionales,

4) requisitos legales y reglamentarios,

5) obligaciones contractuales,

6) niveles de riesgo y/o criterios para la aceptación del riesgo,

7) necesidades de recursos,

8) requisitos de financiamiento y presupuesto; y

e) cómo se mide la eficacia de los controles.

La organización debe conservar información documentada como evidencia de los resultados de las revisiones
por la dirección.

La organización debe:

- comunicar los resultados de la revisión por la dirección a las partes interesadas pertinentes, y

- tomar las medidas oportunas en relación con esos resultados.

10 Mejoramiento

10.1 No conformidades y acciones correctivas

Cuando se produce no conformidad, la organización debe:

a) identificar la no conformidad,

b) reaccionar ante la no conformidad y, según sea aplicable,

1) tomar medidas para controlarla y corregirla, y

2) hacer frente a las consecuencias.

c) evaluar la necesidad de actuar para eliminar las causas de la no conformidad, a fin de que no vuelva a
ocurrir o que ocurra en otro lugar, mediante:

1) la revisión de las no conformidades,

2) la determinación de las causas de la no conformidad, y

3) la determinación de la existencia de no conformidades similares, o que podrían ocurrir

potencialmente,

4) la evaluación de la necesidad de acciones correctivas para asegurar que las no conformidades no

vuelvan a ocurrir o que ocurran en otro lugar,
30
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

5) la determinación e implementación de las acciones correctivas necesarias,

6) la revisión de la eficacia de las acciones correctivas tomadas, y

7) haciendo cambios al SGCN, si fuese necesario.

d) poner en práctica cualquier acción necesaria,

e) revisar la eficacia de las acciones correctivas tomadas,

f) realizar cambios en el sistema de gestión de la continuidad del negocio, si fuese necesario.

Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas.

La organización debe conservar información documentada como evidencia de:

- la naturaleza de las no conformidades y de cualquier acción tomada posteriormente, y

- los resultados de cualquier acción correctiva.

10.2 Mejoramiento continuo

La organización debe mejorar continuamente la idoneidad, adecuación o eficacia del SGCN.

NOTA Para lograr el mejoramiento, la organización puede utilizar los procesos del SGCN, tales como la evaluación de liderazgo,
planificación y ejecución.

31
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

Anexo A
(informativo)

Bibliografía

[1] ISO 9001 Quality management systems - Requirements.

[2] ISO 14001 Environmental management systems - Requirements with guidance for use.

[3] ISO 19011 Guidelines for auditing management systems.

[4] ISO/IEC 20000-1 Information Technology - Service Management.

[5] ISO 22300 Societal security - Terminology.

[6] ISO/PAS 22399 Societal security - Guideline for incident preparedness and operational
continuity management.

[7] ISO/IEC 24762 Information technology - Security techniques - Guidelines for Information
and communications technology disaster recovery services.

[8] ISO/IEC 27001 Information Security Management Systems.

[9] ISO/IEC 27031 Information technology - Security techniques - Guidelines for information
and communication technology readiness for business continuity.

[10] ISO 31000 Risk Management - Principles and Guidelines.

[11] ISO/IEC 31010 Risk management - Risk assessment techniques.

[12] ISO Guide 73 Risk management - Vocabulary.

[13] BS 25999-1 Business continuity management - Code of practice, British Standards

Institution (BSI).

[14] BS 25999-2 Business continuity management - Specification, British Standards

Institution (BSI).

[15] SI 24001 Security and continuity management systems - Requirements and guidance
for use, Standards Institution of Israel.

[16] NFPA 1600 Standard on disaster/emergency management and business continuity

programs, National Fire Protection Association (USA).

[17] Business Continuity Plan Drafting Guideline, Ministry of Economy, Trade

and Industry (Japan), 2005.

[18] Business Continuity Guideline, Central Disaster Management Council,

Cabinet Office, Government of Japan, 2005.

32
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

[19] ANSI/ASIS SPC.1 Organizational Resilience: Security, Preparedness, and Continuity

Management Systems - Requirements with Guidance for Use.

[20] SS 540:2008 Singapore Standard for Business Continuity Management.

[21] ANSI/ASIS/BSI BCM.01 Business Continuity Management Systems: Requirements with Guidance
for Use.

NOTA EXPLICATIVA NACIONAL

La equivalencia de las Normas Internacionales señaladas anteriormente con Norma Chilena, y su grado de correspondencia es el
siguiente:

Norma Internacional Norma nacional Grado de correspondencia

ISO 9001 NCh-ISO 9001:2009 La Norma Chilena NCh-ISO 9001:2009 es una
adopción idéntica de la versión en español de la Norma
Internacional ISO 9001:2008.
ISO 14001 NCh-ISO 14001:2005 La Norma Chilena NCh-ISO 14001:2005 es una
adopción idéntica de la versión en español de la Norma
Internacional ISO 14001:2004.
ISO 19011 NCh-ISO 19011:2012 La Norma Chilena NCh-ISO 19011:2012 es una
adopción idéntica de la versión en español de la Norma
Internacional ISO 19011:2011.
ISO/IEC 20000-1 En estudio -
ISO 22300 En estudio -
ISO/PAS 22399 No hay -
ISO/IEC 24762 No hay -
ISO/IEC 27001 NCh-ISO 27001:2009 La Norma Chilena NCh-ISO 27001:2009 es una
adopción idéntica de la versión en español de la Norma
Internacional ISO/IEC 27001:2005.
ISO/IEC 27031 No hay -
ISO 31000 NCh-ISO 31000:2012 La Norma Chilena NCh-ISO 31000:2012 es una
adopción idéntica de la versión en español de la
Norma Internacional ISO 31000:2009.
ISO/IEC 31010 En estudio -
ISO Guide 73 NCh-ISO Guía 73:2012 La Norma Chilena NCh-ISO Guía 73:2012 es una
adopción idéntica de la versión en español de la
Norma Internacional ISO Guide 73:2009.

33
 VERSION FINAL COMITE - ENERO 2013 - prNCh-ISO 22301

Anexo B
(informativo)

Justificación de los cambios editoriales

Tabla B.1 - Cambios editoriales

Cláusula/subcláusula Cambios editoriales Justificación

1 Se reemplaza "Alcance" por "Alcance y campo De acuerdo a estructura de NCh2.
de aplicación".
1 Se reemplaza "Esta Norma Internacional" por La norma es de alcance nacional.
"Esta norma".
Anexo A Se reemplaza "Bibliografía" por "Anexo A De acuerdo a estructura de NCh2.
(informativo) Bibliografía".
Anexo A Se agrega nota explicativa nacional Para detallar la equivalencia y el grado de
correspondencia de las Normas
Internacionales con las Normas Chilenas.

34