8.2. Negocios y evaluación de riesgos

8.2.1 General

La empresa debe establecer, implantar y mantener un proceso formal y documentado para las organizaciones en cuanto al análisis de impacto y evaluación de riesgos que:

a) Establece el marco de la evaluación, definir criterios y evalúa el impacto potencial de un incidente perturbador.
b) Toma una consideración legal y otros requisitos que la empresa suscriba.
c) Incluye el análisis sistemático, la priorización de los tratamientos de riesgo y sus costos relacionados.
d) Define la salida requerida del análisis de impacto de negocio y evaluación de riesgos.
e) Especifica todos los requisitos para que esta información se mantenga actualizada y confidencial.

8.2.2 Análisis de impacto en el negocio

La empresa debe establecer, implantar y mantener un proceso formal y documentado para la evaluación y la determinación de la continuidad y recuperación de prioridades, objetivos y metas. El proceso debe incluir la evaluación de los impactos de interrumpir a las actividades que apoyan los productos y servicios de la empresa.

El análisis de impacto en el negocio debe incluir lo siguiente:
a) Identificar todas las actividades que apoyan la provisión de productos y servicios.
b) Evaluar los impactos en el tiempo de no realizar estas actividades.
c) El establecimiento de plazos priorizadas para la reanudación de estas actividades a un nivel aceptable mínimo especificado.
d) La identificación de las dependencias y recursos de apoyo para estas actividades, incluyendo proveedores, externalizar socios y otras partes interesadas.

8.2.3 Evaluación de riesgos

La empresa debe establecer, implantar y mantener un proceso formal de evaluación de riesgos documentado que sistemáticamente identifica, analiza y evalúa el riesgo de incidentes perturbadores de la empresa.