ISO 22301 o cómo continuar la actividad cuando todo ha fallado.
ISO 22301 es un estándar internacional de Sistemas de Gestión de Continuidad del Negocio (GCN), que puede ser utilizado por cualquier tipo de organización. Las organizaciones que implante esta norma tienen la posibilidad de conseguir la certificación acreditada correspondiente para demostrar a reguladores, clientes y demás partes interesadas que trabajan bajo las buenas prácticas de GCN.
Esta norma surge a raíz de la necesidad de mostrar garantía de que tanto empresas, proveedores, socios… seguirían proporcionando productos y servicios clave incluso cuando tuvieran lugar accidentes.
ISO-22301 es una norma que ha adoptado la nueva estructura de alto nivel y texto normalizado acordado en ISO. Esto asegura la coherencia con todas las normas de sistemas de gestión ISO, lo que ayudará a una integración de las mismas.
Los requisitos de esta norma son:
- Cláusula 4. Contexto de la organización.
Es necesario que sean entendidas las necesidades de las partes interesadas de la organización para determinar el alcance del sistema de gestión de la continuidad del negocio.
- Cláusula 5. Liderazgo.
ISO22301 incide especialmente en la necesidad de un liderazgo adecuado en la GCN. Es muy significativo para asegurar la disponibilidad de recursos, de la política y para nombrar a los responsables que implementan y mantienen el GCN.
- Cláusula 6. Planificación.
Exige que la organización identifique sus riesgos para implementar el sistema de gestión y poder establecer objetivos y criterios que se puedan utilizar para medir su éxito.
- Cláusula 7. Soporte.
Aquí se introduce el concepto de competencia. Para tener éxito en la continuidad del negocio, es imprescindible contar con personas, conocimientos, habilidades, experiencias… que contribuyan al SGCN y respondan a los incidentes cuando ocurran.
- Cláusula 8. Operaciones.
La organización debe entender cómo puede verse afectado su negocio por una interrupción.
ISO 22301 incide especialmente en la necesidad de una estructura bien definida de respuesta a incidentes. Esto asegura que cuando se producen incidentes, las respuestas son escalada en el momento oportuno y las personas están facultadas para tomar las medidas necesarias para que sean efectivas.
Los requisitos para los planes de continuidad de negocio se constituyen asimismo en la cláusula 8.
Un requisito no tratado previamente en las normas de continuidad de negocio es la necesidad de planificar el retorno a las actividades normales. Las organizaciones deben acordar qué hacer una vez que la emergencia inicial ha sido abordada.
- Cláusula 9. Evaluación
Para cualquier sistema de gestión, es fundamental evaluar el desempeño contra el plan. ISO-22301 pretende que la organización seleccione y se mida a sí misma contra las métricas de rendimiento adecuadas. Se deben ejecutar auditorías internas y se exige que la dirección revise los SGCN y actué sobre estas revisiones.
- Cláusula 10. Mejora.
Las organizaciones y sus entornos están cambiando continuamente. La cláusula 10 define las acciones a tomar para mejorar las SGCN en el tiempo y asegurar que se aborden las acciones correctivas derivadas de las auditorías, revisiones…
ISOTools acelera la automatización de ISO 22301 de un modo sencillo. Bajo un enfoque por procesos, ISOTools posibilita a las organizaciones estar preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otro asunto que puedan poner en riesgo la continuidad de su actividad.
