ISO 22301:2012 Sistema de Gestión de la Continuidad de Negocio

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 22301:2012 Sistema de Gestión de la Continuidad de Negocio

ISO 22301:2012 Sistema de Gestión de la Continuidad de Negocio

ISO 22301:2012

ISO 22301:2012

La norma ISO 22301:2012 es la primera norma internacional para la gestión de la continuidad de negocio y se ha desarrollado para ayudar a las empresas a minimizar el riesgo del tipo de interrupciones.  Esta norma remplaza a la norma británica BS25999.

La norma ISO 22301:2012 especifica los requisitos necesarios para planificar, establecer, implantar, operar, monitorear, revisar, mantener y mejorar de forma continua el Sistema de Gestión para responder y recuperarse pronto de las interrupciones, en el momento en el que sucedan.

Los requisitos que se especifican en la norma ISO 22301:2012 son genéricos y son aplicables a todas las empresas, no importa su tamaño, naturaleza o tipo. El grado de aplicación de los requisitos depende del ambiente operativo y de la complejidad de la empresa.

La estandarización de la continuidad de negocio evoluciona con la norma ISO 22301:2012 contando con:

  • Un incremento en el establecimiento de los objetivos, seguimiento del desempeño y los indicadores.
  • Expectativas claras sobre la dirección de la organización.
  • Planificación y preparación muy cuidadosa sobre los recursos requeridos para el aseguramiento de la continuidad de negocio.

La norma ISO 22301:2012 se puede aplicar en cualquier organización, independientemente del tamaño que tienen y a lo que se dediquen, éstas deben:

  • Establecer, implementar, mantener y mejorar el Sistema de Gestión de Continuidad de Negocio.
  • Asegurar la conformidad con la política establecida de la continuidad de negocio de la empresa.
  • Demostrar la conformidad a los interesados.
  • Certificar su Sistema de Gestión de Continuidad de Negocio mediante un organismos externo de certificación.
  • Realizar una autoevaluación de conformidad con la norma ISO 22301:2012.

Cláusulas claves de ISO 22301:2012

La norma ISO 22301:2012 se encuentra organizada en las siguientes cláusulas principales:

  • Cláusula 4: Contexto de la organización
  • Cláusula 5: Liderazgo
  • Cláusula 6: Planificación
  • Cláusula 7: Soporte
  • Cláusula 8: Operación
  • Cláusula 9: Evaluación del desempeño
  • Cláusula 10: Mejora

Procedimos a explicar un poco en que consiste cada una de las cláusulas.

Cláusula 4: Contexto de la organización

Establece temas internos y externos, siendo éstos muy relevantes para el propósito que persigue la empresa y que afectan a la posibilidad de conseguir los resultados esperados en el Sistema de Gestión de Continuidad de Negocio, como pueden ser:

  • Actividades realizadas por la empresa, servicios, productos, cadenas de suministros e impactos potenciales que se relacionan con un incidente para generar una interrupción.
  • Generar vínculos entre la política de continuidad de negocio y los objetivos planteados por la organización.
  • Las necesidades y las expectativas que tienen las partes interesadas.
  • Cumplir con la legislación que afecta a la organización.

Cláusula 5. Liderazgo

La dirección tiene que demostrar un compromiso continuo con el Sistema de Gestión de Continuidad de Negocio según ISO 22301:2012. Mediante el liderazgo, la empresa tiene que crear un buen ambiente haciendo que se involucren los trabajadores y el SGCN funcione de forma eficiente consiguiendo los objetivos de la empresa. La dirección es responsable de:

  • Asegurar que el Sistema de Gestión de Continuidad de Negocio sea compatible con la estrategia seguida por la empresa.
  • Se tienen que integrar los requisitos del SGCN en los procesos de negocio de la empresa.
  • Ofrecer los recursos necesarios para el SGCN.
  • Dirigir y apoyar la mejora continua del sistema.
  • Asegurarse de que se cumplen los objetivos y los planes del sistema.
  • Asegurarse que son asignadas las responsabilidades necesarias.
  • El Sistema de Gestión de Continuidad de Negocio debe conseguir los resultados esperados.
  • Establecer y comunicar la política de continuidad de negocio.

Cláusula 6: Planificación

Estamos ante una etapa crítica en la que se establecen los objetivos estratégicos y principios para orientar el Sistema de Gestión de Continuidad de Negocio. Los objetivos del sistema suponen una expresión de propósito para la empresa, trata los riesgos identificados y cumple con los requisitos de las necesidades de la empresa. Los objetivos de la continuidad de negocio son:

  • Conocer la política de continuidad de la organización.
  • Utilizar el nivel mínimo de productos y servicios reconociendo que sean aceptables para que la empresa consiga sus objetivos.
  • Deben ser medibles.
  • Conocer los requisitos aplicables.
  • Ser controlados y actualizados cada cierto tiempo.

Cláusula 7: Soporte

La gestión diaria de un Sistema de Gestión de la Continuidad de Negocio se encuentra basada en la utilización de recursos apropiados para cada actividad realizada por la organización. La utilización de los recursos incluye al personal, ya que pueden necesitar formación, comunicación, etc. esto se debe apoyar con información documentada.

Se deben considerar las comunicaciones, tanto internas como externas.

Cláusula 8: Operación

Después de la planificación del Sistema de Gestión de la Continuidad de Negocio, la empresa tiene que ponerlo en funcionamiento. En esta cláusula se incluye:

  • Análisis de impacto en el negocio.
  • Evaluación de riesgos.
  • Estrategia de continuidad de negocio.
  • Procedimientos de continuidad de negocio: establecer un protocolo adecuado de comunicaciones externas e internas, deben ser específicos, deben tener flexibilidad para responder ante amenazas, se tiene que desarrollar sobre hipótesis establecidas y analizadas, se deben minimizar las consecuencias estableciendo estrategias de mitigación.
  • Ejercicios y pruebas.

Cláusula 9: Evaluación del desempeño

Cuando el Sistema de Gestión de la Continuidad de Negocio se encuentra implementado, la norma ISO 22301:2012 requiere que se realice un seguimiento, por lo que se deben realizar una serie de revisiones periódicas para mejorarlo:

  • Seguimiento de la política de continuidad, los objetivos y las metas de continuidad de negocio se cumplen.
  • Medir el desempeño de los procesos, procedimientos y funciones para proteger las actividades.
  • Comprobar la conformidad con la norma ISO 22301:2012.
  • Realizar un seguimiento histórico de las evidencias durante el desempeño del Sistema de Gestión de la Continuidad de Negocio.
  • Realizar auditorías internas a intervalos planificados.
  • Evaluar todo lo anterior mediante la revisión de la dirección.

Cláusula 10: Mejora

La mejora continua puede estar definida como todas las acciones, se realizan a lo largo de toda la organización, para incrementar la eficiencia y la eficacia de los procesos y los controles ofreciendo más beneficios a la empresa. La empresa puede mejorar de forma continua,  ya que la eficiencia de su Sistema de Gestión de Continuidad de Negocio se realiza mediante la utilización de la política de continuidad de negocio.

Continuidad de Negocio

El Software ISOTools Excellence es una plataforma tecnológica que ayuda a llevar a cabo la implantación, mantenimiento y evaluación de un Sistema de Gestión de la Continuidad de Negocio para poder identificar y controlar las amenazas que se producen en las organizaciones, según la norma ISO 22301:2012.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
Cargando…

Loading Facebook Comments ...