ISO 22301: 8.4. Establecer e implementar procedimientos de continuidad de negocio

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

8.4. Establecer e implementar procedimientos de continuidad de negocio

8.4. Establecer e implementar procedimientos de continuidad de negocio

8.4.1 General

La empresa debe establecer, implantar y mantener procedimientos de continuidad de negocio para gestionar un incidente y continuar sus actividades en base a los objetivos de recuperación que se identifica en el análisis de impacto de negocio.

La empresa debe documentar todos los procedimientos para asegurar la continuidad de actividades y gestión de un incidente perturbador. Es necesario continuar con las actividades en base a los objetivos de recuperación identificadas en el análisis de impacto en el negocio.

La empresa debe documentar todos los procedimientos para asegurar la continuidad de las actividades y la gestión de un incidente perturbador.

Los procedimientos deben:

a) Establecer un protocolo de comunicaciones internas y externas apropiado.
b) Ser específica con respecto a las medidas inmediatas que han de ser tomadas durante la interrupción.
c) Responder a las amenazas imprevistas y cambiantes en condiciones internas y externas.
d) Se centran en el impacto de los eventos que pueden interrumpir las operaciones.
e) Ser desarrollado sobre la base de suposiciones indicadas y un análisis de interdependencias.
f) Ser eficaz en la reducción de sus consecuencias mediante la implantación de estrategias de mitigación apropiadas.

8.4.2 Estructura de respuesta de incidentes

La empresa debe establecer, documentar e implantar los procedimientos y una estructura de gestión que debe responder a un incidente perturbador utilizando personal con responsabilidad necesaria, autoridad y competencia para gestionar un incidente.

La estructura de respuesta deberá:

a) Identificar los umbrales de los efectos que justifican la iniciación de la repuesta formal
b) Evaluar la naturaleza y extensión de un incidente perjudicial y su impacto potencial
c) Activar una repuesta de continuidad de negocio apropiado
d) Tienen procesos y procedimientos para la activación, el funcionamiento, la coordinación y la comunicación de la repuesta
e) Tienen recursos disponibles para apoyar los procesos y procedimientos para gestionar un incidente perturbador para reducir al mínimo el impacto
f) Comunicarse con las partes interesadas y las autoridades, así como los medios de comunicación

La empresa debe decidir, utilizando seguridad de la vida como la primera prioridad y consulta con los interesados. Si la decisión es comunicar a continuación, la empresa debe establecer e implantar procedimientos para la comunicación externa, las alertas y advertencias, incluyendo los medios de comunicación, según corresponda.

8.4.3 Advertencia y la comunicación

La empresa debe establecer, implantar y mantener procedimientos para:

a) La detección de un incidente
b) Seguimiento regular de un incidente
c) Comunicación interna dentro de la empresa y de recepción de documentos
d) Recibir, documentar y responder a cualquier sistema nacional o regional de consultoría de riesgo o equivalente
e) Asegurando la disponibilidad de los medios de comunicación durante un incidente perturbador
f) Facilitar la comunicación estructurada con los servicios de emergencia
g) Registrar la información vital sobre el incidente, las medidas adoptadas y las decisiones tomadas

8.4.4 Planes de continuidad de negocio

La empresa debe establecer procedimientos documentados para responder un incidente perturbador y cómo recuperar las actividades dentro de un marco de tiempo predeterminado. Los procedimientos deben dirigirse a los requisitos de los que van a utilizar.

Los planes de continuidad de negocio se harán colectivamente:

a) Funciones y responsabilidades definidas para las personas y equipos que tienen autoridad durante y después de un incidente
b) Un proceso para la activación de la respuesta
c) Datos para gestionar las consecuencias inmediatas de un incidente perturbador teniendo en cuenta el bienestar de los individuos, las opciones estratégicas, y la prevención de la pérdida de actividades priorizadas
d) Información sobre cómo y bajo qué circunstancias de la empresa se comunicará con los empleados y sus parientes.
e) Las organización debe recuperar sus actividades priorizadas dentro de los plazos predeterminados
f) Los datos de respuesta en los medios de la empresa después de un incidente incluyendo la estrategia de comunicación, el interfaz y la guía o plantilla para los medios de comunicación
g) Un procedimiento a realizar cuando el incidente haya terminado

Cada plan define:
• Prósposito y alcance
• Objetivos
• Criterios y procedimientos de activación
• Procedimientos de aplicación
• Funciones, responsabilidades y autoridades
• Requisitos y procedimientos de comunicación
• Interdependencias e interacciones internas y externas
• Las necesidades de recursos
• Procesos de información y documentación

8.4.5 Recuperación

La empresa debe tener procedimientos documentados para restaurar y devolver estas actividades sobre las medidas adoptadas para apoyar los requisitos del negocio después de un incidente.