8.4. Establecer e implementar procedimientos de continuidad de negocio
8.4. Establecer e implementar procedimientos de continuidad de negocio
8.4.1 General
La empresa debe establecer, implantar y mantener procedimientos de continuidad de negocio para gestionar un incidente y continuar sus actividades en base a los objetivos de recuperación que se identifica en el análisis de impacto de negocio.
La empresa debe documentar todos los procedimientos para asegurar la continuidad de actividades y gestión de un incidente perturbador. Es necesario continuar con las actividades en base a los objetivos de recuperación identificadas en el análisis de impacto en el negocio.
La empresa debe documentar todos los procedimientos para asegurar la continuidad de las actividades y la gestión de un incidente perturbador.
Los procedimientos deben:
- Establecer un protocolo de comunicaciones internas y externas apropiado.
- Ser específica con respecto a las medidas inmediatas que han de ser tomadas durante la interrupción.
- Responder a las amenazas imprevistas y cambiantes en condiciones internas y externas.
- Se centran en el impacto de los eventos que pueden interrumpir las operaciones.
- Ser desarrollado sobre la base de suposiciones indicadas y un análisis de interdependencias.
- Ser eficaz en la reducción de sus consecuencias mediante la implantación de estrategias de mitigación apropiadas.
8.4.2 Estructura de respuesta de incidentes
La empresa debe establecer, documentar e implantar los procedimientos y una estructura de gestión que debe responder a un incidente perturbador utilizando personal con responsabilidad necesaria, autoridad y competencia para gestionar un incidente.
La estructura de respuesta deberá:
- Identificar los umbrales de los efectos que justifican la iniciación de la repuesta formal
- Evaluar la naturaleza y extensión de un incidente perjudicial y su impacto potencial
- Activar una repuesta de continuidad de negocio apropiado
- Tienen procesos y procedimientos para la activación, el funcionamiento, la coordinación y la comunicación de la repuesta
- Tienen recursos disponibles para apoyar los procesos y procedimientos para gestionar un incidente perturbador para reducir al mínimo el impacto
- Comunicarse con las partes interesadas y las autoridades, así como los medios de comunicación
La empresa debe decidir, utilizando seguridad de la vida como la primera prioridad y consulta con los interesados. Si la decisión es comunicar a continuación, la empresa debe establecer e implantar procedimientos para la comunicación externa, las alertas y advertencias, incluyendo los medios de comunicación, según corresponda.
8.4.3 Advertencia y la comunicación
La empresa debe establecer, implantar y mantener procedimientos para:
- La detección de un incidente
- Seguimiento regular de un incidente
- Comunicación interna dentro de la empresa y de recepción de documentos
- Recibir, documentar y responder a cualquier sistema nacional o regional de consultoría de riesgo o equivalente
- Asegurando la disponibilidad de los medios de comunicación durante un incidente perturbador
- Facilitar la comunicación estructurada con los servicios de emergencia
- Registrar la información vital sobre el incidente, las medidas adoptadas y las decisiones tomadas
8.4.4 Planes de continuidad de negocio
La empresa debe establecer procedimientos documentados para responder un incidente perturbador y cómo recuperar las actividades dentro de un marco de tiempo predeterminado. Los procedimientos deben dirigirse a los requisitos de los que van a utilizar.
Los planes de continuidad de negocio se harán colectivamente:
- Funciones y responsabilidades definidas para las personas y equipos que tienen autoridad durante y después de un incidente
- Un proceso para la activación de la respuesta
- Datos para gestionar las consecuencias inmediatas de un incidente perturbador teniendo en cuenta el bienestar de los individuos, las opciones estratégicas, y la prevención de la pérdida de actividades priorizadas
- Información sobre cómo y bajo qué circunstancias de la empresa se comunicará con los empleados y sus parientes.
- Las organización debe recuperar sus actividades priorizadas dentro de los plazos predeterminados
- Los datos de respuesta en los medios de la empresa después de un incidente incluyendo la estrategia de comunicación, el interfaz y la guía o plantilla para los medios de comunicación
- Un procedimiento a realizar cuando el incidente haya terminado
Cada plan define:
- Prósposito y alcance
- Objetivos
- Criterios y procedimientos de activación
- Procedimientos de aplicación
- Funciones, responsabilidades y autoridades
- Requisitos y procedimientos de comunicación
- Interdependencias e interacciones internas y externas
- Las necesidades de recursos
- Procesos de información y documentación
8.4.5 Recuperación
La empresa debe tener procedimientos documentados para restaurar y devolver estas actividades sobre las medidas adoptadas para apoyar los requisitos del negocio después de un incidente.