8.2. Negocios y evaluación de riesgos
8.2. Negocios y evaluación de riesgos
8.2.1 General
La empresa debe establecer, implantar y mantener un proceso formal y documentado para las organizaciones en cuanto al análisis de impacto y evaluación de riesgos que:
- Establece el marco de la evaluación, definir criterios y evalúa el impacto potencial de un incidente perturbador.
- Toma una consideración legal y otros requisitos que la empresa suscriba.
- Incluye el análisis sistemático, la priorización de los tratamientos de riesgo y sus costos relacionados.
- Define la salida requerida del análisis de impacto de negocio y evaluación de riesgos.
- Especifica todos los requisitos para que esta información se mantenga actualizada y confidencial.
8.2.2 Análisis de impacto en el negocio
La empresa debe establecer, implantar y mantener un proceso formal y documentado para la evaluación y la determinación de la continuidad y recuperación de prioridades, objetivos y metas. El proceso debe incluir la evaluación de los impactos de interrumpir a las actividades que apoyan los productos y servicios de la empresa.
El análisis de impacto en el negocio debe incluir lo siguiente:
- Identificar todas las actividades que apoyan la provisión de productos y servicios.
- Evaluar los impactos en el tiempo de no realizar estas actividades.
- El establecimiento de plazos priorizadas para la reanudación de estas actividades a un nivel aceptable mínimo especificado.
- La identificación de las dependencias y recursos de apoyo para estas actividades, incluyendo proveedores, externalizar socios y otras partes interesadas.
8.2.3 Evaluación de riesgos
La empresa debe establecer, implantar y mantener un proceso formal de evaluación de riesgos documentado que sistemáticamente identifica, analiza y evalúa el riesgo de incidentes perturbadores de la empresa.