¿Cuál es la documentación que se debe utilizar en ISO 22301?

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

¿Cuál es la documentación que se debe utilizar en ISO 22301?

¿Cuál es la documentación que se debe utilizar en ISO 22301?

ISO 22301

ISO 22301

Los diferentes sistemas de gestión que se quieren certificar bajo el estándar ISO, deberán cumplir una serie de requisitos, mucho de ellos enfocados a la documentación del sistema. En el ámbito documental, y focalizándonos en la norma ISO 22301 para la definición de un Sistema de Gestión de Continuidad del Negocio, la Organización Internacional de Normalización, no impone límites en la cantidad de documentos que una empresa se quiera certificar, aunque exige una documentación mínima que deberá ser contemplada. La documentación mínima es la siguiente:

Contexto de la empresa

Definir de forma correcta el contexto de la empresa es crítico para cualquier sistema de gestión, se identifican los principales actores internos y externos que afectan al sistema. Se deberá establecer el contexto del Sistema de Gestión de Continuidad de Negocio, la cláusula 4.1 indica que se debe:

  • Definir el propósito del Sistema de Gestión de Continuidad de Negocio.
  • Identificar los objetivos de la empresa en materia de continuidad de negocio.
  • Definir los factores de riesgo, internos y externos.
  • Establecer criterios para el riesgo y definir el apetito por el riesgo de la empresa.

Procedimiento para la identificación de requisitos legales regulados

Se tiene que establecer, implantar y mantener actualizado un procedimiento que permita identificar las regulaciones aplicables de la empresa, además se deberá contemplar la comunicación a las partes interesadas.

Alcance del Sistema de Gestión de Continuidad de Negocio

Debe mantenerse un documento en el que se identifique el alcance del Sistema de Gestión de Continuidad de Negocio y que contemple los requisitos y necesidades de las cláusulas 4.1 y 4.2.

Política de continuidad de negocio

La alta dirección deberá establecer una política de continuidad de negocio que sea apropiada para los objetivos de la empresa y sirva como framework para el Sistema de Gestión de Continuidad de Negocio. Esta política tiene que ser comunicada y estar disponible para todas las partes interesadas que lo requieran.

Objetivos de continuidad de negocio

Los objetivos de continuidad de negocio deben encontrarse documentados y ser comunicados al personal para quien sean relevantes. Estos objetivos deben ser coherentes con la política de continuidad y deben ser monitorizados de cara a actualizarlos si fuera necesario.

Competencias

Se debe garantizar que el personal dispone de la competencia adecuada para su función y si es necesario facilitar la capacitación. La empresa debe mantener evidencias de esto.

Plan de comunicación

Se tiene que documentar a quien se debe comunicar una disrupción, incluyendo todas las partes interesadas.

Proceso de análisis de riesgos e impacto en el negocio

Documento en el que se establece el contexto, criterios y evaluación de potenciales riesgos, tratamientos y salidas del proceso.

Análisis de impactos de negocio

En el que se identifiquen las actividades críticas del negocio y se evalúe el impacto de no llevar a cabo dichas funciones.

Análisis de riesgos

El resultado del proceso de análisis de riesgos, identificando los riesgos existentes y cuáles deben ser tratados, según los objetivos de continuidad definidos.

Procedimientos de continuidad de negocio

Evitar situaciones de disrupción de la empresa se deben establecer procedimientos de continuidad. Estos procedimientos se encuentran documentados y deberán indicar los principales pasos a seguir por cada rol en caso de disrupción.

Respuesta a incidentes

En este documento se reflejan los umbrales que justifican el lanzamiento de los procedimientos de continuidad y cómo elegir qué procedimiento deberá ejecutarse.

Decisión de comunicarse

En este documento se reflejan los umbrales que justifican el lanzamiento de los procedimientos de continuidad y deberá elegir el procedimiento que deberá realizarse.

Procedimientos de Respuesta a Incidentes

Se debe disponer de procedimientos en los que se expliquen los roles y responsabilidades de los actores involucrados, los procedimientos de gestión de la incidencia, la operativa para la continuidad de las operaciones entre otros requerimientos.

Procedimientos de vuelta a la normalidad

Una vez se ha finalizado la contingencia, la vuelta al servicio habitual debe ser lo menos traumática posible para los servicios y colaboradores de la organización; por ello, se deben establecer y documentar una serie de procedimientos en los que se indique los pasos a seguir para volver a operar de la forma habitual.

Resultados de monitorización y evaluación

Como proceso de mejora continua, se deben monitorizar las actividades, analizarlas y evaluarlas. Estos resultados deben guardarse como evidencia del proceso.

Evidencia de no conformidades

Cuando se identifiquen elementos adversos o como resultado de las no conformidades detectadas, la organización tomará las medidas oportunas para mitigar dichas deficiencias y deberá guardar registros de las acciones tomadas como evidencia.

Revisión post-incidente

Cuando la organización sufra un incidente que suponga la activación del Plan de Continuidad, la empresa deberá realizar una revisión del incidente y las acciones tomadas, que deberá quedar documentado como evidencia.

Auditoría Interna

Esta cláusula indica que la empresa debe realizar auditorías internas a intervalos planificados. El informe de la auditoría deberá guardarse como evidencia.

Revisión de la Dirección

La alta dirección debe estar involucrada en el Sistema de Gestión de Continuidad de Negocio. Debe revisar el Sistema de Gestión de Continuidad de Negocio a intervalos planificados y deben quedar evidencias de dicha revisión.

No conformidades y acciones tomadas

Las no conformidades detectadas como resultado de las auditorías deben ser controladas. Por ello, debe quedar constancia de la evaluación de las no conformidades y las acciones que decidan tomarse.

Resultados de acciones correctivas

Cualquier cambio derivado de las auditorías o fallos detectados en las revisiones que sea implantado debe generar un registro en el que se indiquen los resultados de dichas acciones.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Loading Facebook Comments ...