ISO 22301: 9.1. La medición, análisis y evaluación

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

9.1. La medición, análisis y evaluación

9.1. La medición, análisis y evaluación

9.1.1. General

La empresa debe determinar:

a) Lo que necesita ser monitoreado y medido
b) Los métodos para el seguimiento, la medición, análisis y evaluación
c) Cuando se llevará a cabo el seguimiento y la medición
d) Cuando se analizaron y evaluaron los resultados de seguimiento y medición

La empresa debe retener la información adecuada y documentada como evidencia de los resultados. La empresa debe evaluar el rendimiento y la eficacia del Sistema de Gestión de Continuidad del Negocio. Además, la empresa debe:

• Emprender acciones cuando sea necesario para hacer frente a las tendencias adversas o resultados antes de que suceda una no conformidad
• Retener información relevante como evidencia documentada de los resultados

Los procedimientos para la supervisión del rendimiento deberán prever:

• La determinación de los parámetros de rendimiento adecuado a las necesidades de la organización
• Supervisar el grado en que se cumplen los objetivos y metas de la política de continuidad de negocio de la empresa
• El rendimiento de los procesos, procedimientos y funciones que protegen sus actividades priorizadas
• Supervisión del cumplimiento de la norma ISO 22301 y los objetivos de la continuidad del negocio
• El seguimiento de la evidencia histórica de rendimiento deficiente
• Registro de los datos y resultados de seguimiento y medición para facilitar las acciones correctivas

9.1.2. Evaluación de los procedimientos de continuidad de negocio

a) La empresa debe llevar a cabo evaluaciones de sus procedimientos de continuidad de negocio
b) Estas evaluaciones se llevan a cabo mediantes las revisiones periódicas, el ejercicio, las pruebas, los informes y las evaluaciones de desempeño
c) La empresa debe evaluar de forma periódica el cumplimento de los requisitos legales y la reglamentación aplicable
d) La empresa debe llevar a cabo evaluaciones a intervalos planificados cuando se produzcan cambios significativos

Cuando se produce un incidente perjudicial y resulta en la activación de sus procesos de continuidad de negocio. La empresa debe realizar una revisión posterior al incidente y registrar los resultados.