8.2. Negocios y evaluación de riesgos

8.2. Negocios y evaluación de riesgos

 

8.2.1 General

 

La empresa debe establecer, implantar y mantener un proceso formal y documentado para las organizaciones en cuanto al análisis de impacto y evaluación de riesgos que:

 

• Establece el marco de la evaluación, definir criterios y evalúa el impacto potencial de un incidente perturbador.
• Toma una consideración legal y otros requisitos que la empresa suscriba.
• Incluye el análisis sistemático, la priorización de los tratamientos de riesgo y sus costos relacionados.
• Define la salida requerida del análisis de impacto de negocio y evaluación de riesgos.
• Especifica todos los requisitos para que esta información se mantenga actualizada y confidencial.

 

8.2.2 Análisis de impacto en el negocio

 

La empresa debe establecer, implantar y mantener un proceso formal y documentado para la evaluación y la determinación de la continuidad y recuperación de prioridades, objetivos y metas. El proceso debe incluir la evaluación de los impactos de interrumpir a las actividades que apoyan los productos y servicios de la empresa.

 

El análisis de impacto en el negocio debe incluir lo siguiente:

 

• Identificar todas las actividades que apoyan la provisión de productos y servicios.
• Evaluar los impactos en el tiempo de no realizar estas actividades.
• El establecimiento de plazos priorizadas para la reanudación de estas actividades a un nivel aceptable mínimo especificado.
• La identificación de las dependencias y recursos de apoyo para estas actividades, incluyendo proveedores, externalizar socios y otras partes interesadas.

 

8.2.3 Evaluación de riesgos

 

La empresa debe establecer, implantar y mantener un proceso formal de evaluación de riesgos documentado que sistemáticamente identifica, analiza y evalúa el riesgo de incidentes perturbadores de la empresa.