Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por NAYLA MURGA

ISO 23001 COLOMBIANA

Anuncio 
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
Seguridad y resiliencia.
Sistema de gestión de continuidad de
negocio. Requisitos
_______________________________________
E:Security and resiliencie. Business continuity managament
systems. Requerements
CORRESPONDENCIA: Esta norma es una adopción idéntica (IDT) por traducción
de la norma ISO 22301:2019
__________________________________________________________________
____________________________________________________
______________
_
DESCRIPTORES: continuidad de negocios; sistemas de gestión; resiliencia;
seguridad
__________________________________________________________________
____________________________________________________
______________
_
I.C.S.:03.100.01;03.100.70
1
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
CONTENIDO
1
2
3
4
OBJETO Y CAMPO
CAMPO DE APLI
APLICACIÓ
CACIÓN....
N........
........
........
........
........
........
........
........
........
.........
...........
............
...........
......8
.8
REFERENCIAS
REFERENCIAS NORMATIVAS.
NORMATIVAS.....
........
........
........
........
........
........
........
........
........
........
........
........
........
........
........
.......
.........8
......8
TÉRMINOS
TÉRMINOS Y DEFI
DEFICINIC
CINICIONES.
IONES.....
........
........
........
........
........
........
........
........
.........
...........
............
............
...........
...........9
......9
CONTEXTO
CONTEXTO DE LA ORGAN
ORGANIZACI
IZACIÓN...
ÓN.......
........
........
........
........
........
........
........
........
........
........
........
.........
...........
......15
15
4.1 COM
COMPRE
PRENDE
NDER
R LA ORG
ORGANI
ANIZAC
ZACIÓ
IÓN
NYS
SU
U CONTE
CONTEXTO.
XTO....
......
......
......
......
........
........15
...15
4.2 COM
COMPRE
PRENDE
NDER
R LAS
LAS NEC
NECESI
ESIDAD
DADES
ES Y E
EXPE
XPECTA
CTATIV
TIVAS
AS DE
DE LAS..
LAS.....
.......
....16
16
PARTES INTERESADAS......
INTERESADAS...............
..................
..................
..................
.................
.................
..................
..........................16
.................16
4.3
4.3 DE
DETE
TERM
RMIN
INAR
AR EL
EL ALCA
ALCANC
NCE
E DEL
DEL SIST
SISTEM
EMA
A DE GEST
GESTIÓ
IÓN
N DE
CONTINUIDAD DE NEGOCIO.............................................................................16
5 LIDERAZGO...............
LIDERAZGO........................
..................
..................
.................
.................
..................
..................
..................
.................
................17
........17
6 PLANEACIÓN
PLANEACIÓN....
........
........
........
........
........
........
........
........
........
........
........
........
........
........
.......
.......
........
........
........
..........
............
............
........18
..18
6.1 ACCIONES PARA ABORDAR LOS RIESGOS Y LAS OPORTUNIDADES
18
6.2
6.2 OB
OBJE
JETI
TIVO
VOS
S PAR
PARA
A LA CONT
CONTIN
INUI
UIDA
DAD
DD
DE
E NE
NEGO
GOCI
CIO
OYL
LA
A
PLANEACIÓN PARA LOGRARLOS.......
LOGRARLOS................
..................
..................
.................
..................................19
..........................19
6.3
6.3 PL
PLAN
ANEA
EACI
CIÓN
ÓN DE
DE CA
CAMB
MBIO
IOS
S EN EL S
SIS
ISTE
TEMA
MA DE
DE G
GES
ESTI
TIÓN
ÓN DE
DE
CONTINUIDAD DE NEGOCIO.............................................................................20
7 SOPORTE...............
SOPORTE........................
..................
..................
..................
.................
.................
..................
..................
..................
...................20
..........20
7.1 RECU
RECURSOS.
RSOS.....
........
........
........
........
........
........
........
.......
.......
........
........
........
........
........
........
........
.........
...........
............
...........
..........20
.....20
7.2 COMPE
COMPETENCI
TENCIA...
A.......
........
........
........
........
........
........
........
.......
.......
........
........
........
........
........
.........
..........
...........
............
...........21
.....21
7.3 CONO
CONOCIMI
CIMIENTO.
ENTO.....
........
........
........
........
........
........
........
.......
.......
........
........
........
........
........
........
..........
...........
...........
............21
......21
7.4 COMU
COMUNICAC
NICACIÓN.
IÓN.....
........
........
........
........
........
........
........
........
........
........
.......
.......
........
........
........
........
........
..........
............
.........21
...21
7.5 INFO
INFORMACI
RMACIÓN
ÓN DOCUMENTADA.
DOCUMENTADA.....
........
........
........
........
........
........
........
........
........
........
........
........
........
........
....22
22
8 OPERACIÓN...............
OPERACIÓN........................
..................
.................
.................
..................
..................
..................
.................
........................23
................23
8.1 PLANE
PLANEACIÓN
ACIÓN Y CONTROL
CONTROL OPERAC
OPERACIONA
IONAL....
L........
........
........
........
........
........
..........
............
.........23
...23
8.2
8.2 AN
ANÁL
ÁLIS
ISIS
IS D
DE
E IMPA
IMPACT
CTO
O AL NEGO
NEGOCI
CIO
O Y EVA
EVALU
LUAC
ACIÓ
IÓN
N DE R
RIE
IESG
SGOS.24
OS.24
8.3
8.3 ES
ESTR
TRAT
ATEG
EGIA
IAS
S PARA
PARA LA CO
CONT
NTIN
INUI
UIDA
DAD
D DE NE
NEGO
GOCI
CIO
OY
SOLUCIONES...............
SOLUCIONES......
..................
.................
.................
..................
..................
..................
...........................................25
..................................25
8.4 PLA
PLANES
NES Y PROC
PROCEDI
EDIMIE
MIENTO
NTOS
S PARA
PARA LA CON
CONTIN
TINUID
UIDAD
AD DE NEG
NEGOCI
OCIO
O
27
8.5 PROG
PROGRAMA
RAMA DE EJE
EJERCIC
RCICIOS..
IOS......
........
........
........
........
........
........
........
........
........
........
........
........
.........
..........
.......30
..30
2
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
8.6
8.6 EV
EVAL
ALUA
UACI
CIÓN
ÓN D
DE
E LA D
DOC
OCUM
UMEN
ENTA
TACI
CIÓN
ÓN Y C
CAP
APAC
ACID
IDAD
AD D
DE
E DE
CONTINUDIAD DE NEGOCIO.............................................................................31
9 EVALUACIÓN
EVALUACIÓN DEL DESEMP
DESEMPEÑO..
EÑO......
........
........
........
........
........
........
........
.......
.......
........
........
........
........
..........
..........31
....31
9.1 MON
MONITO
ITOREO
REO,, MEDIC
MEDICIÓN
IÓN,, ANÁLI
ANÁLISIS
SIS Y EVALU
EVALUACI
ACIÓN..
ÓN.....
......
.....
.....
......
......
......
......
.....31
..31
9.2 AUDI
AUDITORÍA
TORÍA INTER
INTERNA..
NA......
........
........
........
.......
.......
........
........
........
........
........
........
........
........
.........
...........
...........
...........32
......32
9.3 REVI
REVISIÓN
SIÓN PO
POR
R LA DIRE
DIRECCIÓN.
CCIÓN.....
........
........
........
........
........
........
........
........
........
........
........
........
.........
..........33
.....33
10 MEJOR
MEJORAMIEN
AMIENTO..
TO......
........
........
........
........
........
........
........
.......
.......
........
........
........
........
........
........
........
........
........
..........
............
.......34
.34
10.1 NO CONFORMI
CONFORMIDAD
DAD Y ACCIÓN
ACCIÓN CORRECTIV
CORRECTIVA....
A.......
.......
........
........
........
........
........
........
........
....34
34
10.2 MEJORA CONTINUO......
CONTINUO...............
..................
.................
.................
..................
.......................................35
..............................35
11 BIBLI
BIBLIOGRAF
OGRAFIA..
IA......
........
........
........
........
........
........
........
.......
.......
........
........
........
........
........
........
........
........
........
.........
...........
............36
......36
0. INTRODUCCIÓN
3
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
1.1 GENERA
GENERALID
LIDADE
ADES
S
Este doc
Este
docume
umento
nto esp
especi
ecific
fica
a la est
estruct
ructura
ura y los req
requis
uisito
itoss par
para
a im
implem
plement
entar
ar y
mantener un sistema de gestión de continuidad de negocio (SGCN) que desarrolle
una continuidad de negocio que corresponda al importe y tipo de impacto que la
organizacion puede o no asumir después de una interrupción.
Los resultados de mantener un SGCN están determinados por los requisitos
legale
leg
ales,
s, leg
legisl
islati
ativos
vos,, orga
organiza
nizacio
cional
nales
es e ind
indust
ustria
riales
les,, los pro
product
ductos
os y servici
servicios
os
ofrecidos, los process utilizados, el tamaño y la estructura de la organización, y los
requsitos de sus partes interesadas.
Un SGCN enfatiza la importancia de:
-
entender las necesidasdes de la organización y la urgencia de establecer
políticas y objetivos para la continuidad de negocio;
-
operar y mantener los procesos, la capacidad y los esquemas de respuesta
para asegurar que la organizacion sobreviva a las interrupciones;
-
monitorear y revisar el desempeño y la eficacia del SGCN
SGCN
-
el mejoramiento continuo basado en mediciones cuantitativas y cualitativas.
Un SG
SGCN
CN,, com
como
o cu
cual
alqu
quie
ierr ot
otro
ro sist
sistem
ema
a de gest
gestió
ión,
n, in
incl
cluy
uye
e lo
loss si
sigu
guie
ient
ntes
es
componentes:
a)
Po
Polí
líttica
ica
b)
Person
Personal
al compet
competente
ente con respons
responsabili
abilidades
dades especi
especificas
ficas;;
c)
Pro
Proceso
cesoss d
de
e gest
gestión
ión con rel
relaci
ación
ón a:
1) Política
2) Plane
laneac
aciión
ón;;
3) Imp
Implem
lement
entaci
ación
ón y ope
operac
ración
ión;;
4) Eva
Evalua
luació
ción
n del des
desemp
empeño;
eño;
5) Rev
Revisi
isión
ón por la dir
direcci
ección;
ón;
6) Mej
Mejoram
oramien
iento
to cont
continu
inuo;
o;
d) Info
In
form
rmac
acio
ion
ndeldo
docu
cume
ment
ntad
ada
a qu
que
e sopo
soport
rte
e el cont
contro
roll op
oper
erat
ativ
ivo
o y pe
perm
rmitita
a la
evaluación
desempeño
4
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
0.2
BENEFI
BEN
EFICIO
CIOS
S DE UN
UN SISTE
SISTEMA
MA DE GES
GESTIÓ
TIÓN
N DE CONT
CONTINU
INUID
IDAD
AD DE
NEGOCIO
El propósito de un SGCN es prepararse para brindar y mantener los controles y
las capacidades para gestionar el total de la organización para seguir operando
durante una interupción. Para lograr esto la organización debe:
a)
Des
Desde
de una pers
perspec
pectiv
tiva
a empr
empresa
esaria
rial:l:
1) Apo
Apoyar
yar su
suss obje
objetiv
tivos
os est
estrat
ratégi
égicos;
cos;
2) Cre
Crear
ar un
una
a ve
venta
ntaja
ja ccomp
ompeti
etitiv
tiva;
a;
3) Proteg
Proteger
er y rrealiz
ealizar
ar su rreputac
eputación
ión y credibi
credibilidad
lidad
4) Contri
Contribuir
buir a la
la res
resilien
iliencia
cia organiz
organizaciona
acional;l;
b)
Desde
Desde una pers
perspect
pectiva
iva fin
financi
anciera:
era:
1) Reduci
Reducirr lla
a ex
exposici
posición
ón legal y financi
financiera;
era;
2) Reduci
Reducirr los cost
costos
os direc
directos
tos e indirecto
indirectoss de las in
interrup
terrupciones;
ciones;
c) Desde una p
perspect
erspectiva
iva d
de
e la
lass part
partes
es in
interesa
teresadas;
das;
1) Proteg
Proteger
er la vvida,
ida, lla
a propi
propiedad
edad y e
ell medi
medio
o ambi
ambiente;
ente;
2) Consid
Considerar
erar la
lass expect
expectativas
ativas de las partes interes
interesadas;
adas;
3) Confi
Confiar
ar en las ccapacida
apacidades
des de la or
organiza
ganización
ción par
para
a tener éx
éxito;
ito;
d) Desde una p
perspect
erspectiva
iva d
de
e lo
loss proc
procesos
esos intern
internos:
os:
1) Mejor
ejorar
ar su cap
apac
acid
idad
ad pa
para
ra segu
seguiir sien
siendo
do efec
efecttivos
ivos du
dura
rant
nte
e las
las
interrupciones;
2) De
Demo
most
stra
rarr un cont
contro
roll pr
proa
oact
ctiv
ivo
o de los
los ri
ries
esgo
goss de ma
mane
nera
ra efic
eficaz
az y
eficiente;
3) Aborda
Abordarr llas
as vulnerabilid
vulnerabilidades
ades operat
operativas.
ivas.
03 CICLO PLANEAR-HACER-VERIFICAR-ACT
PLANEAR-HACER-VERIFICAR-ACTUAR
UAR (PHVA)
5
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
Este documento aplica el ciclo Planear (establecer), Hacer (implementar y operar),
Verificar (monitorear y revisar ) y Actuar (mantener y mejorar) para implementar,
mant
ma
nten
ener
er y me
mejo
jora
rarr de ma
mane
nera
ra cont
contin
inua
ua la efi
efica
caci
cia
a de un SG
SGCN
CN de un
una
a
organización.
Esto garantiza un nivel de consistencia con otras normas de sistemas de gestión,
tales como, ISO 9001, ISO 14001, ISO/IEC 27001 e ISO 28000, apoyando así la
implementación y la operación coherentes e integradas con otros sistemas de
gestión relacionados.
De acuerdo con el ciclo PHVA, los numerales del 4 al 10, abarcan los siguientes
componentes:
-
Numeral 4: introd
Numeral
introduce
uce los requisit
requisitos
os necesari
necesarios
os para establece
establecerr el contexto del
SGCN que puede aplicarse a la organización, así como las necesidades, los
requisitos y el alcance.
-
Numeral 5: resume los requisitos específicos del papel de la alta dirección en el
SGCN
SG
CN,, y como
como a tr
trav
avés
és de la decl
declar
arac
ació
ión
n de las
las po
polílítitica
cas,
s, los
los líde
lídere
ress
comunican claramente sus expectativas a la organización.
-
Numeral 6: descri
describe
be los requisit
requisitos
os para establece
establecerr los objetivos estra
estratégic
tégicos
os y
los principios rectores para el SGCN en su totalidad.
-
Numera
Nume
rall 7: ap
apoy
oya
a las
las op
oper
erac
aciion
ones
es de
dell SG
SGCN
CN re
rela
laci
cion
onad
adas
as co
con
n el
establecimi
establ
ecimiento
ento de las compet
competencias
encias y la comuni
comunicación
cación reiterati
reiterativa,
va, según sea
necesario, con las partes interesadas, al tiempo que se documenta, controla,
mantiene y conserva la información documentada requerida.
-
Numeral 8: define las necesidades d
de
e continuidad de negocio, determina como
abordarlas
abordar
las y desarro
desarrolla
lla procedimientos
procedimientos para gestio
gestionar
nar la organi
organización
zación durante
-
-
una interrupción.
Numeral 9: resume los requ
requisitos
isitos necesario
necesarioss para medir el desemp
desempeño
eño de la
continuidad de negocio, la conformidad del SGCN con este documento y dirigir
la revisión por la dirección.
Numeral 10: ident
identifica
ifica y reacci
reacciona
ona antes las no conf
conformida
ormidades
des del SGCN, y el
mejoramiento continuo a través de las acciones correctivas.
0.5 CONTENIDO DE ESTE DOCUMENTO
6
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
Este documento cumple con los requisitos de ISO para las normas de sistemas de
gestión. Estos requisitos incluyen una estructura de alto nivel, texto básico identico
y términos comunes con deficiones esenciales, diseñadas para beneficiar a los
usu
us
uar
ariios que implementen varias nor
orm
mas de sist
ste
emas de ges
gestión.
Este documento no incluye requisitos especificos de otros sistemas de gestión,
aunque sus elementos pueden alinearse o integrarse con los de otros sistemas de
gestión.
Este documento contiene requisitos que pueden ser usados para la organización
para implementar un SGCN y evaluar la conformidad. Una oraganizacion que
desee
de
see de
demo
most
strar
rar su conf
conform
ormid
idad
ad co
con
n es
este
te docu
docume
ment
nto,
o, pued
puede
e hac
hacer
erlo
lo de la
siguiente manera:
-
Elaborar una autodeterminación o una auto-declaración ; o
-
Lograr la confirmación de su conformidad por las partes que tengan interés en
la organización, como clientes; o
-
Lograr la confirmación de su auto-declaración por las partes externas de la
organización; o
-
Lograr la certificación o registro de su SGCN por una organización externa
Los numerales del 1 al 3 exponen el alcance, las referencias normativas y los
términos y definiciones que se aplican al uso de este documento. Los numerales
dell 4 al 10 cont
de
contie
iene
nen
n los
los re
requ
qusi
sito
toss qu
que
e de
debe
ben
n util
utiliz
izar
arse
se pa
para
ra eval
evalua
uarr la
conformidad de este documento.
En este documento, se usan las siguientes formas verbales:
a) “de
“debe“
be“ ind
indica
ica un requ
requisi
isito;
to;
b) “de
“deberí
bería“
a“ ind
indica
ica una
una recom
recomend
endació
ación;
n;
c) “p
“pued
uede“
e“ in
indi
dica
ca en al
algu
gunas
nas ocas
ocasio
ione
ness un pe
perm
rmis
iso
o y, en otras
otras,, posi
posibi
bililida
dad
d o
capacidad
La información marcada como “NOTA“ es para la orientación en la compresión o
clarificación del requisito asociado, las “notas a la entrada“ usadas en el numeral 3
proporcionan información adicional que ccomplementan
omplementan la iinformación
nformación terminológia
y pueden contener disposiciones relacionadas con el uso de un término.
SEGURIDAD Y RESILIENCIA.
SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO.REQUISITOS
7
NORMA TÉCNICA COLOMBIANA
1
NTC – ISO 22301
OB
OBJE
JETO
TO Y CA
CAMP
MPO
O DE AP
APLI
LICA
CACI
CIÓN
ÓN
Este documento especifica los requisitos para implementar, mantener y mejorar un
sistema
de responder
gestión para
protegerse,
la probabilidad
deestas
ocurrencia
prepararse,
y recuperarse
dereducir
las interrupciones
cuando
surjan.de,
Los requisitos que se especifican en este documento son génericos y están
destinados para ser aplicados en todas las organizaciones, o parte de estas, sin
tener en cuenta el tipo, tamaño o naturaleza de la organización. El grado de
aplicación de estos requisitos depende del ambiente operativo y la complejidad de
la organización.
Este documento es aplicable a todos los tipos y tamaños de organizacines que:
a) Impl
Implemente
ementen,
n, manten
mantengan
gan y mejore
mejoren
n un SGCN;
b) Procure
Procuren
n asegurar la co
conformi
nformidad
dad con las pol
política
íticass de continuidad
continuidad de negoc
negocio
io
establecidas;
c) Tengan la ca
capacida
pacidad
d de contin
continuar
uar ofreci
ofreciendo
endo ssus
us pro
productos
ductos y serv
servicios
icios en un
una
a
aceptable capacidad predefinida durante una interrupción;
d) Procure
Procuren
n mejorar su re
resilie
siliencia
ncia a través
través de la aplic
aplicación
ación ef
efectiva
ectiva de
dell SGCN.
Este documento
documento puede usarse para evaluar la capacid
capacidad
ad de la organizaci
organización
ón para
satisfacer sus propias obligaciones y necesidades de continuidad de negocio.
2
REF
EFER
ERE
ENC
NCIA
IAS
S NO
NORM
RMAT
ATIV
IVAS
AS
Los siguientes documentos se citan
citan en el texto de tal manera que parte o todo su
conten
con
tenido
ido consti
constituy
tuyen
en requisi
requisito
to de est
este
e documen
documento.
to. Par
Para
a las ref
refere
erencia
nciass con
fecha, solo se aplica la edici
edición
ón citada. Para las referencias
referencias sin fecha, se aplica la
última edición del documento referenciado (incluidas las enmiendas).
ISO 22300, Security and resilience. Vocabulary
3
TÉR
ÉRMI
MINO
NOS
S Y DE
DEFI
FICI
CINI
NICI
CION
ONES
ES
Para
los22300.
efect
efectos
os de este docume
documento,
nto, se aplica
aplican
n los térmi
términos
nos y defin
definicione
icioness dados
en
ISO
8
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
ISO
ISO e IEC man
anttien
enen
en ba
base
sess de da
dattos ter
erm
minol
inológ
ógic
icas
as pa
para
ra su us
uso
o en la
estandarización en las siguientes direcciones:
-
Plataforma
de
navegación
en
línea
de
ISO:
-
https://www.iso.org/obp
Electropiedia IEC: disponible en http://www.electropedia.org/
disponible
en
NOTA Los términos y definiciones que se mencioan a continuación reemplazan los que figuran en
ISO 22300:2018
3.1 activi
actividad
dad (acti
(activity)
vity).. Conjunto de una de una o más tareas con un resultado
definido.
22300:
00:201
2018,
8, 3.1,
3.1, mod
modifi
ificad
cadoo- se ree
reempl
mplazó
azó la def
defini
inició
ción
n y el
[FUENTE:
[FUENT
E: ISO 223
ejemplo se elimino]
3.2 auditoría (audit). Proceso (3.26) sistemático, independiente y documentado
para obtener evidencia y evaluarla objetivamente para determinar en qué medida
se cumplen los criterios de auditoría.
Nota
Not
a 1 a la entrada: una auditoría puede ser interna (primera parte) o externa (segunda o tercera
parte), y puede ser combinada (dos o más disciplinas)
discipli nas)
Nota 2 a la entrada
entrada:: Una auditoría interna puede ser llevada a cabo por la misma organización
(3.21) o por una parte externa en su nombre.
Nota 3 a la entrada: Las evidencias y los criterios de auditoría se definen en la n
norma
orma ISO 19011
Nota 4 a la entrada: Los elementos fundamentales de una auditoria incluyen la determinación de la
conformidad (3.7) de un objeto de acuerdo con un procediemiento llevado a cabo por personal que
no sea responsable del objeto auditado.
Nota 5 a la entrada: Una auditoría interna puede usarse para la revisión por la dirección y otros
fines internos y puede ser la base para la declaración de conformidad de una organización. La
independencia se demuestra por la autonomía de la responsabilidad de la actividad (3.1) que se
audita. Las auditorías externas incluyen auditorias de segundas y terceras partes. Las auditorias de
segundas partes son llevadas a cabo por las partes que tienen intereses de la organización, tales
como clientes, u otras personas en su nombre. Las auditorías de terceras partes se llevan a cabo
por organizaciones
organizaciones de auditoría
auditoría independientes
independientes y externas,
externas, tales como aquellas que prov
proveen
een los
certificados o registros de conformidad o entes gubernamentales.
Nota 6 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la
Nota
estructura de alto nivel de las normas de los sistemas de gestión de ISO. Se modificó la definición
original adicionando las Notas 4 y 5 a la entrada.
9
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
3.
3.33 co
cont
ntin
inui
uida
dad
d de nego
negoci
cio
o (b
(bus
usin
ines
esss cont
contin
inui
uity
ty).
). Ca
Capa
paci
cida
dad
d de un
una
a
organización (3.21) de continuar la oferta de productos y servicios (3.27) dentro de
un perio
periodo
do de ttiem
iempo
po ac
acept
eptabl
able
e a una ccapa
apacid
cidad
ad pre
predef
defini
inida
da dur
durant
ante
e una
interrupción (3.10).
[FUENTE: ISO 22300: 2018, 3.24, Modificado – se reemplazó la definición]
3.4 plan de continuidad de negocio (business continuity plan). Información
documentada (3.
(3.11)
11) que ori
orien
enta
ta a un
una
a organización (3.21) para responder una
interrupción (3.
(3.10)
10) y rea
reanu
nuda
dar,
r, re
recup
cuper
erar
ar y resta
restaur
urar
ar la oferta
oferta de productos y
servicios (3.
(3.27)
27) de acue
acuerdo
rdo con los obj
objeti
etivos
vos (3.20
(3.20)) de continuidad de negocio
(3.3).
[Fuente:
[Fuent
e: ISO 22300:
22300:2018
2018,, 3.26,
3.26, modifi
modificad
cadoo- se reem
reempla
plazó
zó la def
defini
inicio
cion
n y se
eliminó la nota 1 a la entrada]
3.5 análisis de impacto al negocio (business impact análisis, BIA). Proceso
(3.26) en el que se analiza el impacto (3.
(3.13)
13) de una interrupción (3.10) conforme
avanza el tiempo, en la organización (3.21).
Nota 1 a la entrada: El resultado es una declaración
declaración y justificación
justificación de los requisitos
requisitos (3.28)
(3.28) de la
continuidad de negocio (3.3).
[Fuente: ISO 23300:2018, 3.27, modificado – se reemplazó la definición y se
incluyó la nota 1 a la entrada].
3.6 compet
competenc
encia
ia (co
(compe
mpeten
tence)
ce) Habilidad de aplicar los conocimientos y las
habilidades para lograr los resultados deseados.
Nota 1 a la entrada Este consitituye unos de los términos comunes y definiciones esenciales de la
estructura de alto nivel de las normas de los sitemas de gestión de ISO.
3.7 conformidad (conformity). Cumplimiento de un requisito (3.28)
Nota 1 a la entrada
entrada Este constituye uno de los términos comunes y definiciones básicas de la
estructura de alto nivel de las normas de los sitemas d
de
e gestión de ISO.
3.8 mejoramiento continuo (continual improvement). Actividad (3.1) recurrente
para mejorar el desempeño (3.23)
Nota 1 a la entrada: Este constituye
constituye uno de los términos
términos comunes
comunes y definiciones
definiciones básicas
básicas de la
estructura de alto nivel de las normas de los sitemas de gestión de ISO.
Acción para eliminar la causa de una
3.9
acción correctiva
no conformidad
(3.19) y(corrective
prevenir su action).
recurrencia.
10
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
Nota 1 a la entrada: Este constituye uno de los terminos comunes y definiciones básicas de la
estructura de alto nivel de las normas de los sitemas de gestión de ISO.
3.10 interrupción (disruption). Inc
Incide
idente
nte (3.14), bien sea esperado o no, que
causa
ca
usa un
una
a alte
altera
raci
cion
on ne
nega
gatitiva
va y no pl
plan
anea
eada
da de la ofert
oferta
a espe
esperad
rada
a de lo
loss
productos y servicios (3.27) de acuerdo con los objetivos (3.20) de la organizacion
(3.21).
[Fuente: ISO 22300:2018, 3.70, modificado – se reemplazó la definición].
3.11 información documentada (documented information). Información que
una organización (3.21) que tiene que controlar y mantener, y el medio que la
contiene.
Nota 1 a la entrada: la información documentada puede estar en cualquier formato y medio, y
puede provenir de cualquier fuente.
Nota 2 a la entrada: la información documentada puede hacer referirse a:
-
El sistema de gestión (3.16), incluidos los procesos (3.26) relacionados;
-
La información generada para que la organización opere (documentación);
-
La evidencia de los resultados alcanzados (registros).
Nota 2 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la
Nota
estructura de alto nivel de las normas de los sitemas de gestión de ISO.
3.12 eficacia (effectiveness). Grado en el cual se realizan las actividades (3.1)
planeadas y se logran los resultados esperados.
Nota 1 a la entrada: este constituye uno de los términos comunes y definiciones esenciales de la
estrucutura de alto nivel de las normas
n ormas de los sistemas de gestión de ISO.
3.13 impac
impacto
to (imp
(impact).
act). Res
Result
ultado
ado de una interrupción (3.10) que afecta los
objetivos (3.20).
[Fuente: ISO 22300:2018,3.107, modificado - Se reemplazó la definición].
Even
ento
to que
que pu
pued
ede
e ser,
ser, o po
podr
dría
ía cond
conduc
ucir
ir a un
una
a
3.14 inci
incidente
dente (inci
(incident)
dent).. Ev
interrupción (3.10) pérdida, emergencia o crisis.
[Fuente: ISO 22300:2018,3.111, modificado – Se reemplazó la definición].
11
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
3.15 Parte interesada (interested party)-términi preferido
Accionista (stakeholder)- término admitido
Person
Pers
ona
a u organización (3.21) que puede afectar, verse afectada o percibirse
como afectada por una desición o actividad (3.1).
Ejemplo:
Ejempl
o: Client
Clientes,
es, prop
propiet
ietari
arios,
os, pers
persona
onall de una orga
organiz
nizaci
ación,
ón, prov
proveedo
eedores
res,,
banc
ba
nca,
a, legis
egisla
lado
dore
res,
s, sind
sindic
icat
atos
os,, so
soci
cios
os o so
soci
cied
edad
ad qu
que
e pu
pue
ede
den
n incl
inclui
uirr
competidores o grupos de presión con intereses opuestos.
Nota 1 a la entrada: Una persona encargada puede ser una persona interesada
Nota 2 a la entrada: se consideran partes las comunidades impactadas y las poblaciones locales.
Nota 3 a la entrada: Este constituye uno de los términos comues y definicones esenciales de la
Nota
estructura de alto nivel de las normas de los sitemas de gestión de ISO. Se modificó la definición
original adicionando un ejemplo un ejemplo y las otas a la entrada 1 y 2.
Conjunto
elementospolíticas
de una
3.16
sistema(3.21)
de gestión
(management
system).
organización
interrelacionadas
o que
interactúan
paradeestablecer
(3.24), objetivos (3.20) y procesos (3.26) para lograr esos objetivos.
Nota 1 a la entrada: Un sistema de gestión puede tratar una sola o varias disciplinas.
Nota 2 a la entrada: Los elementos del sistema incluyen la estructura de la organización, los roles y
responsabilidades, la planeación y la operación.
Nota 3 a la ent
entrad
rada
a: El alcance de un sistema de gestión puede incluir la totalidad de la
organización, secciones específicas e identificadas de la organización, o una o más funciones
dentro de un grupo de organizaciones.
Nota 4 a la entrada: Este constituye uno de los términos comunes y definiciones esenciles de la
estructura de alto de las normas de los sistemas de gestión de ISO.
3.17 medición (measurement). Proceso (3.26) para determinar un valor.
Nota 1 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la
Nota
estructura de alto nivel de las normas de los sistemas de gestión de ISO.
Determi
ermina
na el est
estado
ado de un sis
sistem
tema,
a, un proceso
3.18 monitoreo (monitoring). Det
(3.26) o una actividad (3.1).
Nota 1 a la entrada: Para determinar el estado, puede ser necesario comprobar, supervisar u
Nota
observar de manera crítica.
Nota
No
ta 2 a la entrada: Este constit
constituye
uye uno de los térmi
términos
nos comunes y definiciones
definiciones
esencilales de la estrucutura de alto nivel de las normas de los sitemas de gestión
12
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
de
ISO.
3.19 no conformidad (non conformity) Incumplimiento de un requisito (3.28)
Nota 1 a la entrada: Este constit
Nota
constituye
uye uno de los térmi
términos
nos comunes y definiciones
definiciones
esenciales de la estructura de alto nivel de las normas de los sistemas de gestión
de ISO.
3.20 objetivo (objetive). Resultado a lograr
Nota 1 a la entrada: Un objetivo puede ser estratégico, táctico u operacional.
Nota 2 a la entrada: Los objetivos pueden relacionarse con diferentes disciplinas (como objetivos
financieros
financ
ieros,, de salud y seguridad,
seguridad, y ambientales
ambientales)) y pueden aplicarse
aplicarse en diferentes
diferentes niveles (como
estratégicos, de toda la organización, de proyecto, de producto y de proceso (3.26)).
Nota 3 a la entrada: Un objetivo puede expresarse de varias maneras, por ejemplo, como un
resultado deseado, como un propósito, como un criterio operativo, como un objetivo de continuidad
de negocio (3.3), o mediante el uso de la palabras similares (por ejemplo, objeto, meta, propósito).
Nota 4 a la entrada: En el contexto de los sitemas de gestión (3.16) de continuidad de negocio, la
organización (3. 21) establece los objetivos de continuidad de negocio, de acuerdo con las politicas
(3.24) de la continuidad de negocio, de acuerdo con las políticas (3. 24) de continuidad de negocio
para lograr los resultados específicos.
Nota 5 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la
Nota
estructura de alto nivel de las normas de los sistemas de gestión de ISO.
3.21 organ
organizaci
ización
ón (org
(organizat
anization).
ion). Persona o grupo de personas que tiene sus
propias funciones con responsabilidades, autoridad y relaciones para lograr su
objetivos (3.20).
Nota 1 a la entrada: El concepto de organización, incluye pero no se limita a un comerciante
Nota
independiente, una compañía, una corporación, una firma, una empresa, una autoridad una
asociación, una organización benéfica o institución, o parte o combinación de los mismos, bien sea
combinación de los mismos, bien sea incorporadao no, pública o privada
Nota
No
ta 2 a la entrada: para organizaciones con más de una unidad operativa, una sola unidad
operativa puede definirse como organización.
Nota 3 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la
Nota
estructura de alto nivel de las normas de los sistemas de gestión de ISO. Se modificó la definición
original adicionando la nota a la entrada 2.
3.22 subcontratar (outsource). Realizar un acuerdo donde una organización
(3.21) externa realiza parte de una función o proceso (3.26) de la organización.
Nota 1 a la entrada: Una organización externa esta por fuera del alcance de un sistema de gestión
(3.16) aunque la función o el proceso subcontratado este dentro del alcance.
13
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
Nota 2 a la entrada: Este contituye uno de los términos comunes y definiciones esenciales de la
estructura de alto nivel de las normas de los sistemas de gestión de ISO.
3.23 desempeño (performance). Resultado medible.
Nota 1 a la en
entr
trad
ada
a: el desemp
desempeño
eño puede
puede ser relaci
relaciona
onado
do con hallaza
hallazagos
gos cuanti
cuantitat
tativo
ivoss o
cualitativos.
Nota 2 a la entrada: el desempeño puede relacionarse con actividades (3.1) directivas,
directivas, procesos
(3.26), productos (incluyendo servicios), sistemas u organizaciones (3.21).
Nota
Not
a 3 a la entrada: este constituye uno de los términos comunes y definiciones esenciales de la
estructura de alto nivel de las normas de los sitemas de gestión de ISO.
3.24 política (policy). Propósitos y dirección de una organización (3.21) como
expresa formalmente la alta dirección (3.21)
Nota
Not
a 1 a la entrada: este constituye uno de los términos comunes y definiciones esenciales de la
estructura de alto nivel de las normas de los sistemas
sistemas de gestión de ISO.
(3.1)elanegocio
la que se
le da
3.25
actividad
(prioritized
activity
). Actividad
urgencia
con elpriorizada
fin de evitar
impactos (3.13)
indesea
indeseables
bles para
durante
una interrupción (3.10).
3.26 proceso (process). Conjunto de actividades (3.1) interrelacionadas o que
interactúan las cuales transforman entradas en salidas.
Nota
Not
a 1 a la entrada: este constituye uno de los términos comunes y definiciones esenciales de la
estructura de alto nivel de las normas de los sitemas de gestión de ISO.
Salida
ida o res
result
ultado
ado que
3.27 Pr
3.27
Produ
oducto
ctoss y servic
servicios
ios (pr
(produ
oduct
ct and ser
servic
vice).
e). Sal
provee una gran organización (3.21) a las partes interesadas (3.15)
Ejemplo Productos manufacturados, seguro de automóvil, servicios de enfermería.
[F
[Fuen
uente
te IS
ISO
O 22
22300
300;; 20
2018
18,, 3.
3.181
181,, El té
térm
rmin
ino
o ´´ pr
prod
oduct
uctos
os o se
servi
rvici
cios´
os´´´ y se
reemplazó por ´´ productos y servicios´´ y se reemplazó la definición
3.28 req
3.28
requis
uisito
ito (r
(requ
equire
iremen
ment).
t). Neces
ecesiida
dad
d o ex
expe
pect
ctat
ativ
iva
a que se ind
ndic
ica,
a,
generalmente implícita u obligatoria
Nota 1 a la entrada: generalmente implícita significa que es costumbre o práctica común de la
organi
org
anizac
zación
ión (3.21) y de las partes interesadas (3.1
(3.15)
5) qu
que
e la nece
necesi
sida
dad
d o expec
expecta
tatitiva
va en
consideracion implícita.
Nota 2 a la entrada: un requisito específico es aquel que se indica, por ejemplo, en la información
documentada (3.11).
14
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
Nota 3 a la entrada: este constituye uno de los términos comunes y definiciones esenciales de la
Nota
estrucuta de alto nivel de las normas de los sitemas de gestión de ISO.
3.29 rec
3.29
recuro
uross (re
(resou
source
rce).
). To
Todos
dos lo
loss ac
actitivo
voss (i
(inc
nclu
luye
yendo
ndo plant
planta
a y equ
equip
ipo),
o),
personas
pers
onas,, hab
habili
ilidad
dades,
es, tec
tecnol
nologí
ogía,
a, instala
instalacio
ciones,
nes, prov
provisi
isione
ones,
s, sumi
suminis
nistro
tross e
información (bien sea electrónica o no ) que una organización (3.21) posee y que
tienen que tener disponibilidad para usarse cuando sea necesario, con el fin de
operar y lograr su objetivo (3.20).
[Fuente ISO 22300: 2018, 3.103, modificado- se reemplazó la definición].
3.30 riesgo (risk). Efecto de la incertidumbre den los o bjetivos (3.20)
Nota 1 a la entrada: un efecto es una desviación de lo esperado – positivo o negativo.
Nota 2 a la ent
entrad
rada
a: la inc
incert
ertidu
idumbr
mbre
e es el estado
estado,, inc
inclus
luso
o parcia
parcial,l, de la defici
deficienc
encia
ia en la
información relacionada, conocida y comprendida, de un evento, su consecuencia y probabilidad
Nota 3 a la entrada: el riesgo se caracteriza
caracteriza a menudo,
menudo, por la referencia
referencia a posibles
posibles ´´eventos´´
´´eventos´´ y
´´consecuencias´´ (como se define en la guia 73 de ISO) o la combinación de ambos.
Nota 4 a la entrada: el riesgo se expresa a menudo en términos de la combinación de las
consec
con
secuen
uencia
ciass de un evento
evento (inclu
(incluido
idoss los cambios
cambios en las circun
circunsta
stanci
ncias
as ) y la asocia
asociada
da
probabilidad (como se define en la guía 73 de ISO) de ocurrencia
Nota
Not
a 5 a la entrada: este constituye uno de los términos comunes y definiciones esenciales de la
estructura de alto nivel de las normas de los sistemas de gestión de ISO. Se modificó la definición
adicionando ´´ en los objetivos ´´ para ser consistentes con la NTC-ISO 31000.
3.31 alta dirreción (top management) . Persona o grupo de personas que dirigen
y controlan una organización (3.21) en su más alto nivel.
Nota 1 a la entrada: la alta dirección tiene el poder de delegar y proveer recursos (3.29) dentro de
la organización.
Nota 2 a la entrada: si el alcance de un sistema de gestión (3.16) cubre solo una parte de la
organización, entonces la alta dirección se refiere a aquellos que dirigen y controlan esa parte de la
organización
Nota 3 a la entrada: Este constituye uno de los términos comunes y definiciones esenciales de la
Nota
estructura de alto nivel de las normas de los sitemas de gestión de ISO.
4
CO
CONT
NTEX
EXTO
TO DE LA OR
ORGA
GANI
NIZA
ZACI
CIÓN
ÓN
1.1 COM
COMPRE
PRENDE
NDER
R LA ORG
ORGANI
ANIZAC
ZACIÓN
IÓN Y SU
SU CO
CONTE
NTEXTO
XTO
15
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
La organización debe determinar las cuestiones externas e internas que sean
relevantes para su propósito y que afecten su capacidad para lograr el (los)
resultado(s) deseado(s) de su SGCN
Nota Estas cuestiones
cuestiones se
se verán influenciados por los objetivos generales de la organización, sus
sus
productos y servicios y el importe y tipo de riesgo que pueda o no asumir.
1.2 COM
COMPRE
PRENDE
NDER
R LAS NECE
NECESID
SIDADE
ADES
S Y EX
EXPEC
PECTAT
TATIVA
IVAS
S DE LA
LAS
S
PARTES INTERESADAS
4.1.1 Generalidades
Cuando se establece un SGCN, la organización debe determinar:
a) las par
partes
tes in
interesa
teresadas
das que son rel
relevante
evantess para e
ell SGCN
SGCN;;
b) los req
requisit
uisitos
os rele
relevantes
vantes para es
esas
as part
partes
es int
interesada
eresadass
4.2.2 Requisitos legales y reglamentarios
La organización debe:
a) imp
implem
lement
entar
ar y man
manten
tener
er proces
procesos
os para ident
identifi
ificar,
car, ten
tener
er acceso y eva
evalua
luarr los
requisitos legales y reglamentarios vigentes relacionados con la continuidad de
sus productos y servicios, actividades y recursos;
b) aseg
asegur
urar
ar de qu
que
e esto
estoss re
requ
quis
isititos
os re
regu
gula
lato
tori
rios
os,, lega
legale
less y cual
cualqu
quie
ierr otro
otro,,
vigentes, sean tenidos en cuenta en la implementación y mantenimiento del
SGCN;
c) docume
documentar
ntar e
eta
ta in
informa
formación
ción y mante
mantenerla
nerla actual
actualizada.
izada.
1.3 DET
DETERM
ERMINA
INAR
R EL ALCA
ALCANCE
NCE D
DEL
EL SISTE
SISTEMA
MA DE
DE GE
GESTI
STIÓN
ÓN D
DE
E
CONTINUIDAD DE NEGOCIO
4.1.2 Generalidades
La organización debe determinar los límites y la aplicabilidad del SGCN para
establecer su alcance
Cuando se determina el alcance, la organización debe considerar:
a) Las cuest
cuestiones
iones ext
externas
ernas e inte
internas
rnas a los que hi
hizo
zo refere
referencia
ncia en el num
numero
ero 4.1;
16
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
b) Los req
requisit
uisitos
os a lo
loss que hi
hizo
zo ref
referencia
erencia en el n
numeral
umeral 4.2;
c) Su mi
misión,
sión, metas y obl
obligacio
igaciones
nes in
internas
ternas y ext
externas.
ernas.
El alcance debe estar disponible como información documentada.
4.1.3 Alcance de sistema de gestión de continuidad de negocio
La organización debe:
a) es
esta
table
blece
cerr la
lass pa
part
rtes
es de la or
organ
ganiz
izaci
ación
ón qu
que
e ser
serán
án in
incl
clui
uida
dass en el SGCN
SGCN,,
ten
enie
iend
ndo
o en cuen
cuenta
ta su loc
locac
ació
ión,
n, tamañ
amaño,
o, nat
natur
ural
alez
eza
a y co
comp
mplleji
ejidad;
dad;
b) ident
identifica
ificarr los produ
productos
ctos y se
servicio
rvicioss que se inc
incluirán
luirán e
en
n el SGC
SGCN.
N.
4.4 SISTEMA DE GESTI
GESTIÓN
ÓN DE CONTINUIDAD
CONTINUIDAD DE NEGOCIO
La orga
organiz
nizaci
ón deincluyendo
est
establ
ablecer
ecer,
, implem
imp
lement
entar,
ar,
man
manten
tener
ery sus
y mej
mejorar
orar de man
manera
era
continua
elación
SGCN
los
procesos
necesarios
interrelaciones,
de
acuerdo con los requisitos de este documento.
5
LIDERAZGO
5.1 LIDERAZGO Y COMPROMISO
La alta direccion debe demostrar liderazgo y comprzomiso con respecto al SGCN
de la siguiente forma:
a) Ase
Asegura
gurando
ndo que las polít
política
icass y los obj
objeti
etivos
vos de cont
continu
inuida
idad
d de negoc
negocio
io están
establecidos y son compatibles con la dirección estratégica de la organización;
b) As
Aseg
egur
uran
ando
do la inte
integr
grac
ació
ión
n a los re
requ
quis
isit
itos
os de
dell SGCN
GCN en los pro
roce
ceso
soss
empresariales de la organización;
c) As
Aseg
egur
uran
ando
do que
que los
los re
recu
curs
rsos
os ne
nece
cesa
sari
rios
os pa
para
ra el SG
SGCN
CN se en
encu
cuen
entr
tren
en
disponibles
d) Comun
Comunicando
icando la im
importan
portancia
cia de la conti
continuida
nuidad
d de negocio ef
efectiva
ectiva de acuerdo
acuerdo
con los requisitos del SGCN;
e) Asegura
Asegurando
ndo que el SG
SGCN
CN log
logre
re el (l
(los)
os) obj
objetivo(s
etivo(s)) desea
deseado(s);
do(s);
f) Dirig
Dirigiendo
iendo y apoy
apoyando
ando e
ell pers
personal
onal q
que
ue cont
contribuye
ribuye a la eficac
eficacia
ia de
dell SGC
SGCN;
N;
17
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
g) Prom
Promovi
oviend
endo
o el mejora
mejoramie
miento
nto con
contin
tinuo;
uo;
h) Apoyand
Apoyando
o otras func
funciones
iones gere
gerenciale
ncialess importantes
importantes para de
demostr
mostrar
ar lideraz
liderazgo
go y
compromiso que aplican a sus áreas de responsabilidad.
Nota La referencia a negocio en este documento
documento puede interpretarse en tér
términos
minos generales para
referirse
refer
irse a aquellas
aquellas actividades
actividades que son fundamenta
fundamentales
les para los propósitos
propósitos de la existencia
existencia de la
organización.
5.2 POLÍTICAS
5.2.1 Establecer la política de continuidad de negocio
La alta dirección debe establecer una política de continuidad de negocio que:
a) Sea a
apropiad
propiada
a a llos
os pro
propósito
pósitoss de lla
a orga
organizacón
nizacón;;
b) Proporc
Proporcione
ione una est
estructura
ructura p
para
ara establ
establecer
ecer los obj
objetivos
etivos de ccontinu
ontinudad
dad
c) Inclu
Incluya
ya el comprom
compromiso
iso para
para sati
satisfacer
sfacer llos
os requi
requisitos
sitos vvigent
igentes;
es;
d) Inclu
Incluya
ya el compromis
compromiso
o para el m
mejoram
ejoramiento
iento ccontinu
ontinuo
o del SGC
SGCN.
N.
5.2.2 Comunicar la política de continuidad de negocio
La política de continuidad de negocio debe:
a) Estar disponible
disponible ccomo
omo información
información docume
documentada:
ntada:
b) Com
Comuni
unicars
carse
e dent
dentro
ro de la orga
organiza
nizació
ción
n
c) Estar disponible
disponible par
para
a las p
partes
artes iinteres
nteresadas,
adas, ssegún
egún co
convenga.
nvenga.
5.2.3 Funciones, responsabilidades y autoridad
La alta dirección debe asegurarse de que la responsabilidad y la autoridad para
los roles importantes se asignen y comuniquen dentro de la organización.
La alta direccion debe asignar la responsabilidad y autoridad para:
a) Asegura
Asegurarr de que el SGCN cum
cumple
ple con llos
os requi
requisitos
sitos de este doc
document
umento;
o;
b) Inform
Informar
ar acerca d
del
el dese
desempeño
mpeño de
dell SGCN a lla
a alta d
direcci
irección
ón
18
NORMA TÉCNICA COLOMBIANA
6
NTC – ISO 22301
PLANEACIÓN
1.4
ACCIONES PARA ABORDAR LOS RIESGOS Y LAS OPORTUNIDADES
6.1.1 Determinar los riesgos y las oportunidades
Al realizar la planeación del SGCN, la organización debe considerar las cuestiones
a las que se hace referencia en el numeral 4.1 y los requisitos del numeral 4.2 y
determinar los riesgos y las oportunidades que necesitan abordarse para:
a) Asegura
Asegurarse
rse que el SGCN pu
pueda
eda logr
lograr
ar el (los
(los)) result
resultado(s)
ado(s) de
deseado
seado (s)
(s);;
b) Preveni
Prevenirr o reducir,
reducir, llos
os res
resultad
ultados
os in
indesead
deseados;
os;
c) Log
Lograr
rar e
ell me
mejora
joramie
miento
nto cont
continu
inuo.
o.
6.1.2 Abordar riesgos y oportunidades
La organización debe planear:
a) Accion
Acciones
es par
para
a abord
abordar
ar los riesgos y las oportu
oportunidades
nidades;;
b) Como;
1) Integ
Integrar
rar e impl
implement
ementar
ar las acci
acciones
ones en los proceso
procesoss del SGCN (v
(ver
er numer
numeral
al
8.1)
2) Evalu
Evaluar
ar la eficacia
eficacia de est
estas
as acci
acciones
ones (ve
(verr numer
numeral
al 9.1
9.1))
1.5 OBJ
OBJETI
ETIVOS
VOS PA
PARA
RA LA CO
CONTI
NTINUI
NUIDAD
DAD DE NE
NEGOC
GOCIO
IO Y LA PLA
PLANEA
NEACIÓ
CIÓN
N
PARA LOGRARLOS
6.2.1 Establecer Ios objetivos para la continuidad
c ontinuidad de negocio
La organización debe establecer los objetivos para la continuidad de negocio en
las funciones y niveles relevantes.
Los objetivos para la continuidad de negocio deben:
a) ser consistentes con la política de continuidad de negocio;
b) ser medibles (si es viable);
19
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
c) Tener e
en
n cuent
cuenta
a los rrequisi
equisitos
tos vi
vigentes
gentes ( ver nu
numerale
meraless 4.1 y 4.2);
d) Mo
Moni
nito
tore
rear
arse
se;;
e) Co
Comu
muni
nica
cars
rse;
e;
f)
Ac
Actu
tual
aliz
izars
arse
e se
segú
gún
n co
conve
nveng
nga.
a.
g) Act
Actual
ualiza
izarse
rse seg
según
ún cconv
onvenga
enga..
La organización debe conservar información documentada sobre los objetivos
para la continuidad de negocio.
6.2.2 Determinar los objetivos para la continuidad de negocio
Al planificar cómo lograr los objetivos para la continuidad de negocio, la
organización debe determinar:
a) Qu
Qué
é se
se va
va a ha
hace
cerr
b) Qué rere
rerecurs
cursos
os sse
e requer
requerirán
irán;;
c) Qu
Quié
ién
n será
será re
resp
spon
onsab
sable;
le;
d) Cu
Cuán
ándo
do sse
e fifinal
naliz
izará
ará;;
e) Cóm
Cómo
o se evalu
evaluarán
arán los rresu
esulta
ltados
dos..
1.6 PLA
PLANEA
NEACIÓ
CIÓN
N DE CA
CAMBI
MBIOS
OS EN EL
EL SIS
SISTEM
TEMA
A DE GESTI
GESTIÓN
ÓN DE
CONTINUIDAD DE NEGOCIO
Cuando
Cuan
do la org
organ
aniz
izac
ació
ión
n det
determ
ermin
ine
e la nec
necesi
esida
dad
d de ca
camb
mbio
ioss en el SG
SGCN
CN,,
incluyendo aquellos identificados en el numeral 10, estos cambios se deben llevar
a cabo de manera planificada
La organización debe considerar:
a) El pro
propósit
pósito
o del cambio
cambio y sus cons
consecuenci
ecuencias
as pot
potencial
enciales;
es;
b) La iinte
ntegri
gridad
dad con el SGC
SGCN;
N;
c) La d
dispo
isponib
nibili
ilidad
dad de rrecur
ecursos
sos;;
d) La asig
asignació
nación
n o reasi
reasignació
gnación
n de res
responsabi
ponsabilidad
lidad y autori
autoridad.
dad.
20
NORMA TÉCNICA COLOMBIANA
7
1.7
NTC – ISO 22301
SOPORTE
RECURSOS
La or
orga
gani
niza
zaci
ción
ón de
debe
be de
dete
term
rmin
inar
ar y brinda
brindarr lo
loss rec
recurs
ursos
os ne
neces
cesar
ario
ioss para
para el
establecimiento, implementación, mantenimiento y mejora continua del SGCN.
1.8 COMPETENCIA
La organización debe:
a) Determ
Determinar
inar las com
competenc
petencias
ias necesarias
necesarias de las pe
personas
rsonas que ttrabajan
rabajan ba
bajo
jo su
propio control y que afecta su desempeño de continuidad de negocio;
b) Ase
Asegura
gurarr que esta
estass pers
persona
onass son com
compet
petent
entes
es basánd
basándose
ose en la educa
educació
ción,
n,
formación o experiencia apropiadas;
c) Cu
Cuan
ando
do sea
sea ap
aplilica
cabl
ble,
e, toma
tomarr acci
accion
ones
es pa
para
ra ad
adqu
quir
irir
ir las
las comp
compet
eten
enci
cias
as
necesarias, y evaluar la eficacia de las acciones tomadas;
d) Conserv
Conservar
ar inform
información
ación doc
document
umentada
ada como evi
evidencia
dencia de llas
as compet
competencias.
encias.
Nota las acciones aplicables pueden incluir, por ejempo la formación, de
de tutoria, o la reasignación
de personas empleadas actualmente; o a la contratación de personas empleadas actualmente; o la
contratación de personas competentes
1.9
1.9 CONOCIMIENTO
Las personas que trabajen bajo el control de la organización deben tener en
cuenta:
a) La pol
polít
ítica
ica de co
conti
ntinui
nuidad
dad de negoci
negocio;
o;
b) Su co
cont
ntrib
ribuc
ució
ión
n par
para
a la efic
eficaci
acia
a del
del SGCN
SGCN,, in
incl
cluy
uyen
endo
do lo
loss be
bene
nefifici
cios
os de
mejorar el desempeño de la continuidad de negocio;
c) Las imp
implicaci
licaciones
ones de las
las no conf
conformida
ormidades
des con lo
loss requis
requisitos
itos del
del SGCN;
d) Su
Suss func
funciion
ones
es y re
resp
spo
ons
nsab
abiilida
lidade
dess an
anttes
es,, dura
durant
nte
e y de
desspu
pués
és de las
las
interrupciones.
1.
1.10
10 COMU
COMUNI
NICA
CACI
CIÓN
ÓN
21
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
La orga
organi
niza
zaci
ción
ón debe
debe dete
determ
rmin
inar
ar la
lass co
comu
muni
nica
caci
cion
ones
es in
inte
terna
rnass y exte
extern
rnas
as
pertinentes para el SGCN que incluyan:
a) Qu
Qué
é com
comun
unic
icar
ar;;
b) Cu
Cuán
ándo
do co
comu
muni
nicar
car;;
c) A qu
quié
ién
n co
comu
muni
nica
car;
r;
d) Có
Cómo
mo comu
comuni
nica
car;
r;*2
*2230
2301*
1*
e) Qu
Quié
ién
n co
comu
muni
nica
cará.
rá.
1.11 INFOR
INFORMACI
MACIÓN
ÓN DOCUMENTAD
DOCUMENTADA
A
7.5.1 Generalidades
El SGCN de la organización debe incluir:
a) La inf
informaci
ormación
ón docu
documenta
mentada
da reque
requerida
rida po
porr este d
documen
ocumento;
to;
b) La inform
informaci
ación
ón docume
documenta
ntada
da que la orga
organiz
nizaci
ación
ón determ
determina
ina como neces
necesari
aria
a
para la eficacia del SGCN.
Nota la extensión de la inform
información
ación document
documentada
ada para un SGCN puede diferi
diferirr de
una organización a otra debido a:
-
El tamaño de la organización y el tipo de actividad, procesos, productos y
servicios, y recursos;
-
La complejidad de sus procesos y sus interrelaciones;
-
La competencia de las personas.
7.5.2 Creación y actualización
Al crear y actualizar la información documentada, la organización debe asegurarse
de que lo siguiente sea apropiado:
a) Id
Iden
entitififica
caci
ción
ón y de
desc
scri
ripci
pción
ón (p
(por
or ej
ejem
empl
plo,
o, títu
título
lo,, fe
fech
cha,
a, au
auto
torr o refer
referenc
encia
ia
numérica);
b) For
Format
mato
o (por eje
ejempl
mplo,
o, lengu
lenguaje
aje,, versión
versión del soft
softwar
ware,
e, gráfi
gráfico)
co) y med
medios
ios de
soporte (por ejemplo, papel, electrónico);
c) Revisi
Revisión
ón y aprobac
aprobación
ión para cconviven
onvivencia
cia y adecuac
adecuación.
ión.
22
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
7.5.3 Control de la formación documentada
7.5.3.1 La información documentada que se requiere para el SGCN y por el
presente documento debe ser controlado para asegurarse de que:
a) que esté d
disponi
isponible
ble y sea iidónea
dónea pa
para
ra su uso, ccuando
uando y do
donde
nde se nec
necesite;
esite;
b) Qu
Que
e esté
esté pr
prot
oteg
egid
ida
a ad
adec
ecua
uada
dame
ment
nte
e (p
(por
or ejem
ejempl
plo,
o, de cont
contra
ra pérd
pérdid
ida
a de
confidencialidad, uso inadecuado, o pérdida de integridad).
7.5.
7.5.3.
3.22 Para el control de la información documentada, la organización debe
abordar las siguientes actividades, según corresponda:
a) Dis
Distri
tribuc
bución
ión,, acceso,
acceso, recu
recupera
peració
ción
n y uso
uso;;
b) Almac
Almacenamie
enamiento
nto y preserv
preservación,
ación, iincluyen
ncluyendo
do preserv
preservación
ación de leg
legibili
ibilidad;
dad;
c) Contro
Controll de cambi
cambios
os (por ejempl
ejemplo,
o, co
control
ntrol de versión);
versión);
d) Con
Conserv
servació
ación
n y dis
dispos
posici
ición.
ón.
La información documentada de origen externo que la organización determina
como necesaria para la planificación y operación del SGCN debe identificarse,
según sea apropiado, y controlar.
Nota El acceso puede implicar
implicar la decisión,
decisión, de acuerdo con el permiso,
permiso, para ver solamente
solamente la
información o el permiso y la autoridad para ver y hacer cambios en la información documentada.
8
OPERACIÓN
1.12 PLANI
PLANIFICAC
FICACIÓN
IÓN Y CO
CONTROL
NTROL O
OPERAC
PERACIONAL
IONAL
La organiz
organización
ación debe planif
planificar,
icar, impleme
implementar
ntar y controlar
controlar los procesos necesarios
para lograr los requisitos, y para implementar las acciones determinadas en el
numeral 6.1 mediante:
a) El est
establec
ablecimient
imiento
o de lo
loss crit
criterios
erios para
para los proceso
procesos;
s;
b) La impl
implementa
ementación
ción del co
control
ntrol de lo
loss procesos de ac
acuerdo
uerdo con los
los criter
criterios;
ios;
c) El mant
mantenimi
enimiento
ento de la in
informac
formación
ión docum
documentada
entada e
en
n la medida n
necesari
ecesaria
a para
tener confianza en que los procesos se llevan a cabo según lo planificado.
23
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
La org
organ
aniz
izac
ació
ión
n de
debe
be co
cont
ntro
rollar los
los ca
cam
mbios
bios plan
planif
ific
icad
ados
os y re
revi
visa
sarr las
consecuencias de los cambios no intencionados, tomando acciones para mitigar
los efectos adversos, si es necesario.
La organización debe asegurar que los procesos subcontratados y la cadena de
abastacimiento sean controlados.
1.13 ANÁLI
ANÁLISIS
SIS DE IMPA
IMPACTO
CTO AL NEGOC
NEGOCIO
IO Y EVALUA
EVALUACIÓN
CIÓN DE RIE
RIESGOS
SGOS
8.2.1 Generalidades
La organización debe:
a) Implementar y mantener procesos y sistemáticos para analizar el impacto
empresarial y evaluar los riesgos de interrupción;
b) Revisar el análisis de impacto al negocio y la evaluación de riesgos en
intervalos
planificados dentro
y cuando
cambios significativos
y cuando
cambios significativos
de haya
la organización
o en el contexto
en el haya
cual
opera.
Nota la organización determina el orden en el que se llevan a cabo el análisis de impacto al
negocio y la evaluación de riesgos.
8.2.2 Análisis de impacto al negocio (BIA, por sus siglas en inglés)
La organización debe usar procesos para analizar el impacto empresarial para
determinar los requisitos y prioridades de la continuidad de negocio. El proceso
debe:
a) De
Defi
fini
nirr los
los tipo
tiposs de im
impa
pact
cto
o y cr
crititer
erio
ioss re
rele
leva
vant
ntes
es pa
para
ra el cont
contex
exto
to de la
organización;
b) Ident
Identifica
ificarr las activ
actividades
idades qu
que
e soportan lla
a provisi
provisión
ón de product
productos
os y servicio
servicios;
s;
c) Us
Usar
ar los tip
tipos
os de im
impa
pact
cto
o y cri
crite
teri
rios
os para evalu
evaluar
ar el im
impac
pacto
to a lo largo
largo del
tiempo que resulten de una interrupción de esas actividades;
d) Ide
Identi
ntific
ficar
ar el per
period
iodo
o de tie
tiempo
mpo dentro
dentro del cual el impac
impacto
to de no reanu
reanudar
dar las
actividades sería inaceptable para la organización;
Nota 1 esto se puede denominarse el periodo máximo tolerable de interrupción, MTPD, por sus
siglas en inglés.
24
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
e) Pri
Prioriz
orizar
ar perío
períodos
dos de tie
tiempo
mpo dentro
dentro del peri
periodo
odo iden
identif
tifica
icado
do en el numer
numeral
al d),
para
par
a rean
reanudar
udar las act
activi
ividad
dades
es interru
interrumpi
mpidas
das en una capaci
capacidad
dad acepta
aceptable
ble
mínima especificada;
Nota 2 este periodo de tiempo puede denominarse periodo de tiempo objetivo, RTO, por siglas en
inglés.
f) Usar este análi
análisis
sis para ident
identificar
ificar activ
actividades
idades priori
prioritarias
tarias
g) De
Dete
term
rmin
inar
ar cuál
cuáles
es re
recu
curs
rsos
os se ne
nece
cesi
sita
tan
n pa
para
ra sopo
soport
rtar
ar las
las acti
activi
vida
dade
dess
prioritarias;
h) De
Dete
term
rmin
inar
ar las
las de
depe
pend
nden
enci
cias
as,, incl
incluy
uyen
endo
do soci
socios
os y pr
prov
ovee
eedo
dore
res,
s, y las
las
interdependencias de las actividades prioritarias;
8.2.3 Evaluación de riesgos
La organización debe implementar y mantener un proceso de evalación de riesgos
Nota el proceso para la elaboración de riesgos
riesgos se aborda e
en
n la norma ISO 31000
La organización debe :
a) Inde
Indetitififica
carr el ri
ries
esgo
go de inte
interr
rrup
upci
ción
ón de las
las acti
activi
vida
dade
dess pr
prio
iori
rita
tari
rias
as de la
organización y de sus recursos requeridos;
b) Anali
Analizar
zar y evaluar los rriesgos
iesgos ident
identifica
ificados;
dos;
c) Determ
Determinar
inar cuáles riesgos necesitan
necesitan ttratami
ratamiento.
ento.
Nota
loses
riesgos
en este
subnumeral
con
interrupción
act
activi
ividad
dades
de negoc
negocio.
io. Los
riesgo
riesgoss yselasrelacionan
oportuni
oportunidad
dades
es larelaci
relaciona
onados
dos de
conlas
la
eficacia del sistema de gestión se abordan en el numeral 6.1
1.14 ESTRA
ESTRATEGIA
TEGIAS
S PARA LA CONTINUI
CONTINUIDAD
DAD DE NEGO
NEGOCIO
CIO Y S
SOLUCI
OLUCIONES
ONES
8.3.1 Generalidades
La organización debe identificar y seleccionar las estrategias para la continuidad
de negocio que considere opciones para antes, durante y después, de una
interrupción, basados en los resultados del análisis de impacto al negocio y la
evaluación de riesgos. Las estrategias para la continuidad de negocio deben de
componerse una o más soluciones.
25
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
8.3.2 identificación
identificación de estrategias y soluciones
La identificación de las estrategias y soluciones debe basarse en la medida que
estas.
a) Log
Logren
ren los req
requis
uisito
itoss par
para
a con
contin
tinuar
uar y rec
recuper
uperar
ar las activid
actividades
ades prio
priorit
ritari
arias
as
dentro del periodo de tiempo identificado y la capacidad acordada,
b) Consi
Consideren
deren el im
importe
porte y tip
tipo
o de riesgo que lla
a organización
organización pue
puede
de o no asumir
asumir;;
c) Consi
Consideren
deren los ccostos
ostos y los beneficios
beneficios asocia
asociados.
dos.
8.3.3 Selección de estrategias y soluciones
La selección debe basarse en la medida que las estrategías y soluciones:
a) Cumpl
Cumpla
a con los requisi
requisitos
tos para continuar
continuar y recupe
recuperar
rar las activ
actividades
idades pri
prioritar
oritarias
ias
dentro del período de tiempo identificado y a la capacidad acordada;
b) Consi
Considere
dere el imp
importe
orte y tipo de ri
riesgo
esgo que la org
organizac
anización
ión puede o no asu
asumir;
mir;
c) Con
Consid
sidere
ere los be
benef
nefici
icios
os y costos as
asoci
ociados
ados
8.3.4 Requisitos de recursos
La organización debe determinar los requisitos de los recursos para implementar
las soluciones para la continuidad de negocio seleccionada. Los tipos de recursos
a considerar deben incluir, pero no limitarse a:
a) Pe
Pers
rson
onas
as;;
b) In
Info
form
rmac
ació
ión
nyd
dat
atos;
os;
c) Inf
Infraes
raestru
tructu
ctura
ra física
física com
como
o edi
edific
ficios,
ios, lug
lugares
ares de trab
trabajo
ajo,, y otr
otras
as facilidade
facilidadess y
servicios asociados;
d) Eq
Equi
uipo
poss y cons
consum
umib
ible
les;
s;
e) Siste
Sistemas
mas de tecnolog
tecnología
ía de la iinform
nformación
ación y co
comunica
municación
ción (TI
(TIC);
C);
f) Tran
Transp
spor
orte
te y llog
ogís
ístitica
ca;;
g) Finanz
nza
as;
26
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
h) So
Soci
cios
os y p
prov
rovee
eedo
dores
res..
8.3.5 Implementación de soluciones
La organi
organización
zación debe implementa
implementarr y mantener las soluci
soluciones
ones para la continuida
continuidad
d
de negocio seleccionadas para que puedan activarse cuando sea necesario.
1.15 PLANE
PLANES
S Y PROCEDIMIENT
PROCEDIMIENTOS
OS PARA LA CONTINUI
CONTINUIDAD
DAD DE NEGOC
NEGOCIO
IO
8.4.1 Generalidades
La orga
organi
niza
zaci
ción
ón de
debe
be im
impl
plem
emen
enta
tarr y ma
mant
ntene
enerr esq
esque
uema
mass de re
respu
spuest
esta
a qu
que
e
permitan una advertencia oportuna y la comunicación a las partes interesadas
relevantes.
releva
ntes. Debe brind
brindar
ar planes y procedi
procedimient
mientos
os para gestionar la organi
organización
zación
durante una interrupción. Los planes y procedimientos deben usarse cuando se
requieren activar las soluciones para la continuidad de negocio.
No
Nota
ta ha
hayy dife
di
rente
tess tipo
tiposs de proc
proced
edim
imie
ient
ntos
os qu
que
e co
comp
mpre
rend
ndan
anlo
loss pl
plan
anes
es para
para la
continuidad
deferen
negocio.
La organización debe identificar y documentar los planes y procedimientos para la
continuidad de negocio basados en el resultado de las estrategias y soluciones
seleccionadas.
Los procedimientos deben:
a) Ser espe
específ
cíficos
icos con resp
respect
ecto
o a las medida
medidass que deben tomarse
tomarse dura
durante
nte una
interrupción
b) Ser flex
flexibles
ibles par
para
a respond
responder
er a las camb
cambiantes
iantes ccondici
ondiciones
ones internas
internas y ext
externas
ernas
de una interrupción;
c) Enf
Enfocar
se en el impac
impacto
to de los inci
incident
dentes
es que potencial
potencialmen
mente
te conduzca
conduzcan
n a
unaocarse
interrupción;
d) Ser efec
efectiv
tivos
os mini
minimiz
mizando
ando el impa
impacto
cto a través de la im
implem
plement
entació
ación
n de las
soluciones convenientes;
e) Asigna
Asignarr las funci
funciones
ones y las res
responsabi
ponsabilidad
lidades
es para las tareas
tareas dent
dentro
ro de ello
8.4.2 Esquemas de respuesta
8.4.2.1 La organización debe implementar y mantener un esquema, identificado
con uno o más equipos responsables, para responder las interrupciones
8.4.2.2 Las funciones y las responsabilidades de cada equipo y las relaciones
entre ellos deben establecerse claramente.
27
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
8.4.2.3 En conjunto, los equipos deben ser competentes para:
a) evalu
evaluar
ar la natural
naturaleza
eza y el alcan
alcance
ce de una int
interrupció
errupción
n y su impacto
impacto potenci
potencial;
al;
b) evaluar el impacto contra los límites predefinidos que justifican el inicio de una
respuesta formal;
c) activar la respuesta conveniente para la continuidad de negocio;
d) Plani
Planificar
ficar accion
acciones
es q
que
ue ne
necesit
cesiten
en e
emprend
mprenderse;
erse;
e) Estab
Establecer
lecer prio
prioridade
ridadess (la primer
primera
a priorid
prioridad
ad debe ser la se
seguridad
guridad de la
la vida);
f) Monit
Monitorear
orear llos
os efe
efectos
ctos de la int
interrupci
errupción
ón y la respues
respuesta
ta de lla
a organ
organizació
ización;
n;
g) Activ
Activar
ar las ssoluci
oluciones
ones par
para
a la continu
continuidad
idad de negoci
negocio;
o;
h) Co
Comu
muni
nicar
carse
se co
con
n la
lass par
parte
tess in
inte
tere
resa
sadas
das re
rele
levan
vante
tes,
s, la
lass aut
autor
orid
idad
ades
es y lo
loss
medios
8.4.2.4 para cada equipo debe haber:
a) Pers
Persona
onall identi
identific
ficado
ado y sus suple
suplente
ntess con las resp
respons
onsabi
abilid
lidades
ades,, aut
autori
oridad
dad y
competencias necesarias para desempeñar la función designada;
b) Proc
Procedi
edimi
mient
entos
os do
docum
cument
entad
ados
os pa
para
ra gu
guia
iarr su
suss acci
accion
ones
es (ve
(verr nume
numera
rall 8.
8.4)
4)
incluyendo aquellos para la activación, operación, coordinación y comunicación
de la respuesta.
8.4.3 Advertencia y comunicación
8.4.3.1 La organización debe documentar y mantener procedimientos para:
a) Co
Comu
muni
nicar
car in
inte
tern
rnas
as y ext
extern
ernam
ament
ente
e a la
lass par
parte
tess in
inte
tere
resad
sadas
as re
relev
levan
ante
tes,
s,
incluyendo qué, cuándo, con quién y qué comunicar;
Nota la organiz
Nota
organizaci
ación
ón puede
puede docume
documenta
ntarr y manten
mantener
er proced
procedimi
imient
entos
os para
para cómo,
cómo, y bajo
bajo qué
circunstacias, la organización se comunica con sus empleados y sus contactos de emergencia.
b) Rec
ecib
ibir
ir,, co
com
mun
unic
icar
ar y re
resp
spon
onde
derr a las
las co
com
mun
unic
icac
acio
ione
ness de las part
partes
es
interesadas, incluyendo cualquier sistema de asesoría nacional o regional o su
equivalente;
28
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
c) As
Aseg
egur
urar
ar la dispo
ispon
nibil
ibilid
idad
ad de los
los med
edio
ioss de co
comu
muni
niccac
ació
ión
n du
dura
rant
nte
e la
interrupción;
d) Facil
Facilitar
itar la comunic
comunicación
ación e
estruct
structurada
urada con llos
os organi
organismos
smos de ssocorro
ocorro
e) Br
Briind
ndar
ar de
dettalle
alless de la re
resp
spue
uest
sta
a a los
los med
edio
ioss de com
comun
unic
icac
ació
ión
n de la
orga
organi
niza
zaci
ción
ón de
desp
spué
uéss de un inci
incide
dent
nte,
e, incl
incluy
uyen
endo
do un
una
a estr
estrat
ateg
egia
ia de
comunicación;
f) Reg
egis
isttrar
rar los
los de
dettall
alles de la inter
nterru
rupc
pció
ión,
n, las
las ac
acci
cion
ones
es re
real
aliz
iza
ada
dass y las
decisiones tomadas
8.4.3.2 Cuando sea necesario, debe considerarse e implementarse lo siguiente:
a) Alert
Alertar
ar a las partes in
interesa
teresadas
das poten
potencialme
cialmente
nte afec
afectadas
tadas por un
una
a interru
interrupción
pción
real o inminente;
b) As
Aseg
egura
urarr la co
coor
ordi
dina
naci
ción
ón y com
comun
unic
icac
ació
ión
n ad
adecu
ecuad
adas
as en
entr
tre
e las mú
múltltip
iples
les
organizaciones de respuesta;
Los procedimientos de comunicación y advertencia deben practicarse como parte
del programa de ejercicios de la organización como se describe en el numeral 8.5.
8.4.4 Planes para la continuidad de negocio
8.4.4.1 La organización debe documentar y mantener planes y procedimientos
para la contin
continuidad
uidad de negocio. Los planes para la conti
continuidad
nuidad de negocio deben
brindar orientación e información para ayudar a los equipos a responder en una
interrupción y ayudar a la organización en la respuesta y recuperación.
8.4.4.2 En conjunto, los planes para la continuidad de negocio deben contener:
a) detalle de las acciones que los equipos tomarán para:
1) Conti
Continuar
nuar o recuperar
recuperar llas
as activida
actividades
des pri
prioritar
oritarias
ias de
dentro
ntro d
de
e los periodo
periodoss de
tiempo predeterminados;
2) Mon
Monito
itorear
rear el imapcto
imapcto de la interru
interrupci
pción
ón y la respuest
respuesta
a de la organ
organiza
izació
ción
n
hacia ella;
c) Refere
Referencia
ncia de los llímit
ímites
es predef
predefinidio
inidioss y los procesos
procesos para activ
activar
ar la respue
respuesta;
sta;
d) proc
proced
edim
imie
ient
ntos
os pa
para
ra pe
perm
rmititir
ir la ofer
oferta
ta de pr
prod
oduc
ucto
toss y serv
servic
icio
ioss en una
una
capacidad acordada;
29
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
d) det
detall
alles
es par
para
a ges
gestio
tionar
nar las con
consecu
secuenc
encias
ias inm
inmedi
ediata
atass de una interru
interrupci
pción
ón
teniendo en cuenta:
1) El b
bien
ienest
estar
ar de los iindi
ndivid
viduos;
uos;
2) La preve
prevenci
nción
ón de nue
nuevas
vas pérdi
pérdidas
das o la dispo
disponib
nibili
ilidad
dad de las act
activi
ividad
dades
es
prioritarias;
3) El iimpa
mpacto
cto e
en
n el me
medio
dio a
ambi
mbient
ente
e
8.4.4.3 cada plan debe incluir:
a) Pro
Propósi
pósito,
to, alc
alcanc
ance
e y obj
objeti
etivos
vos;;
b) Funcio
Funciones
nes y resp
responsabi
onsabilidade
lidadess del equ
equipo
ipo que im
impleme
plementará
ntará el plan;
c) Acc
Accion
iones
es para imple
implemen
mentar
tar las
las solucion
soluciones;
es;
d) In
Info
form
rmac
ació
ión
n de so
sopo
port
rte
e ne
neces
cesar
aria
ia para
para activ
activar
ar ( in
incl
cluye
uyend
ndo
o lo
loss cr
crititer
erio
ioss de
activación), operar coordinar y comunicar las acciones de los equipos;
e) Int
Interd
erdepen
ependen
dencia
ciass inter
internas
nas y externas
externas
f) Re
Requ
quis
isititos
os de lo
loss rrecu
ecurs
rsos;
os;
g) Req
Requis
uisito
itoss para
para llos
os rrepo
eporte
rtes;
s;
h) Un p
proce
roceso
so p
para
ara darse
darse de baja.
baja.
Cada plan debe ser utilizable y estar disponible en el momento y lugar en el que
se requiera
8.4.5 Recuperación
La organización
organización debe tener procesos documenta
documentados
dos para restaur
restaurar
ar y volver a las
actividades empresariales a partir de las medidas temporales adoptadas durante y
después de la interrupción.
1.16 PRO
1.16
PROGRA
GRAMA
MA DE EJERCI
EJERCICIO
CIOS
S
La org
organi
aniza
zaci
ción
ón de
debe
be im
impl
plem
emen
enta
tarr y ma
mant
ntene
enerr un pr
prog
ogram
rama
a de ejerc
ejercic
icio
ioss y
prue
prueba
bass pa
para
ra vali
valida
darr a lo larg
largo
o de
dell tiem
tiempo
po la efic
eficac
acia
ia de sus
sus solu
soluci
cion
ones
es y
estrategias para la continuidad de negocio.
La organización debe conducir ejercicios y pruebas que:
a) Sean con
consiste
sistentes
ntes con llos
os obje
objetivos
tivos pa
para
ra la con
continui
tinuidad
dad de negocio;
negocio;
30
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
b) Es
Esté
tén
n ba
basa
sados
dos en esc
escen
enari
arios
os ad
adecu
ecuado
adoss qu
que
e est
estén
én bi
bien
en plani
planififica
cado
doss co
con
n
objetivos y propósitos claramente definidos;
c) Desarro
Desarrollen
llen el tr
trabajo
abajo en equ
equipo,
ipo, com
competenc
petencia,
ia, conf
confianza
ianza y cono
conocimie
cimiento
nto para
aque
aq
uellllos
os que
que tie
tiene
nen
n qu
que
e des
esem
emp
peñar
eñar func
uncione
ioness en re
rela
laci
ción
ón co
con
n las
las
interrupciones;
d) Val
Valide
iden
n las estrategí
estrategías
as y sol
soluci
uciones
ones par
para
a la cont
continu
inuida
idad
d de neg
negoci
ocio
o a lo largo
del tiempo;
e) Prod
Produzc
uzcan
an re
repor
porte
tess fo
form
rmal
aliz
izad
ados
os de
despu
spués
és de lo
loss ejer
ejerci
cici
cios
os qu
que
e conte
conteng
ngan
an
resultados, recomendaciones y acciones para implementar mejoras;
f) Se rev
revise
isen
n en el co
conte
ntexto
xto de p
prom
romoci
oción
ón de me
mejor
jora
a cont
continu
inua;
a;
g) Se desarro
desarrollan
llan int
intervalos
ervalos p
predeterm
redeterminados
inados y cuando
cuando hay cambi
cambios
os signi
significant
ficantes
es
dentro de la organización o el contexto en el cual opera.
La
organizaci
organización
debe actuar
de acuerdo
con los resultados de los ejercicios y las
pruebas
para ón
implementar
cambios
y mejoras.
1.17 EVALU
EVALUACIÓN
ACIÓN DE LA DOCUMENT
DOCUMENTACIÓ
ACIÓN
N Y CAPACIDA
CAPACIDAD
D DE DE
CONTINUDIAD DE NEGOCIO
La organización debe:
a) Evalua
Evaluarr la pertine
pertinencia,
ncia, ido
idoneida
neidad
d y eficacia del an
análisi
álisiss de impacto
impacto al negocio,
la evaluación del riesgo, estrategias, soluciones, planes y procedimientos;
b) Rea
Realiz
lizar
ar evaluaci
evaluaciones
ones a tra
través
vés de revisi
revisione
ones,
s, aná
anális
lisis,
is, ejercici
ejercicios,
os, prueba
pruebas,
s,
reportes después de incidentes y evaluaciones del desempeño;
c) Dirig
Dirigir
ir evalu
evaluaciones
aciones de
de la capaci
capacidad
dad de cont
continuid
inuidad
ad de negocio
negocio de los soc
socios
ios y
proovedores relevantes;
d) Ev
Eval
alua
uarr el cu
cump
mplilimi
mien
ento
to de lo
loss req
requi
uisi
sito
toss re
regul
gulat
atori
orios
os y le
lega
gales
les vi
vige
gent
ntes
es,,
buenas prácticas industriales y la conformidad con sus políticas y objetivos de
continuidad de negocio;
e) Actua
Actualizar
lizar la do
document
cumentación
ación y los pro
procedim
cedimientos
ientos d
de
e manera peri
periódica
ódica
Estas evaluaciones deben realizarse en intervalos predeterminados, después de
un incidente o activación y cuando se presenten cambios significativos.
31
NORMA TÉCNICA COLOMBIANA
9
NTC – ISO 22301
EVA
VAL
LUA
UACI
CIÓ
ÓN DEL
DEL DE
DESE
SEMP
MPEÑ
EÑO
O
1.18 MONITOREO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
La organización debe determinar:
a) qué ne
neces
cesita
ita se
segui
guimie
miento
nto y med
medici
ición;
ón;
b) los méto
métodos
dos de seg
seguim
uimien
iento,
to, medició
medición,
n, anális
análisis
is y eva
evaluac
luación
ión necesari
necesarios
os par
para
a
asegurar resultados válidos;
c) cuándo y quién realizará el seguimiento y la medición;
c) cu
cuán
ándo
do y quié
quién
n rea
realilizar
zará
á el anál
anális
isis
is y la eval
evalua
uaci
ción
ón de los res
resul
ulta
tado
doss de
dell
seguimiento
y
la
medición.
La organización debe conservar la información documentada apropiada como
evidencia de los resultados.
La organización debe evaluar el desempeño y la eficacia del SGCN.
1.199 AUD
1.1
AUDITO
ITORÍA
RÍA INT
INTERN
ERNA
A
9.1.1 Generalidades
La organización debe llevar a cabo auditarías internas en intervalos planificados
para proporcionar información de si el SGCN:
a) es ccon
onfo
form
rme
e con
con::
1) los re
requisit
quisitos
os propi
propios
os de la organiz
organización
ación p
para
ara su S
SGCN;
GCN;
2) los rrequ
equisi
isitos
tos d
de
e est
este
e doc
docume
umento
nto;;
b) se im
impleme
plementa
nta y se ma
mantien
ntiene
e efi
eficazment
cazmente.
e.
9.2.2 Programa(s) de auditoria
La organización debe:
a) pl
plan
anear
ear,, es
esta
tabl
blece
ecer,
r, im
impl
plem
ement
entar
ar y ma
mant
nten
ener
er un
uno
o o vario
varioss pr
progr
ogram
amas
as de
audi
au
dito
tori
ria
a in
incl
cluy
uya
a la fr
frec
ecue
uenci
ncia,
a, lo
loss mé
méto
todo
dos,
s, la
lass re
respo
spons
nsab
abililid
idad
ades,
es, lo
loss
requisitos de planificación y la elaboración de informes, que deben tener en
32
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
consideración
consideració
n la importanci
importancia
a de los proceso
procesoss invol
involucrados
ucrados y los resultado
resultadoss de
las auditorias previas;
b) defin
definir
ir los cr
criterio
iterioss de la aud
auditori
itoria
a y el alca
alcance
nce de cad
cada
a audit
auditoria;
oria;
c) selecc
seleccionar
ionar lo
loss audit
auditores
ores y llllevar
evar a cabo audito
auditorías
rías par
para
a asegurarse
asegurarse la
objetividad y la imparcialidad de los procesos auditados;
d) asegura
asegurarse
rse de que los res
resultad
ultados
os de las audi
auditorías
torías se iinforme
nformen
n a la dirección
dirección
pertinente;
e) conserv
conservar
ar inform
información
ación docu
documenta
mentada
da como evid
evidencia
encia de la im
implemen
plementación
tación d
del
el
programa de auditoria y de los resultados de las auditorías;
f) asegura
asegurarr que las a
acciones
cciones correct
correctivas
ivas adecua
adecuadas
das se tomen sín d
demoras
emoras
injustificadas para eliminar las na conformidades detectadas y sus causas;
g) asegura
asegurarr que las acci
acciones
ones de audi
auditorías
torías d
de
e seguimi
seguimiento
ento inc
incluyan
luyan la ve
verific
rificación
ación
de
las medidas adoptadas y la presentación de informes de los resultados de
verificación.
1.20 REVIS
REVISIÓN
IÓN POR LA DIREC
DIRECCIÓN
CIÓN
9.3.1 Generalidades
La alta
alta dire
direcc
cció
ión
n de
debe
be re
revi
visa
sarr el SG
SGCN
CN de la or
orga
gani
niza
zaci
ción
ón en inte
interv
rval
alos
os
predeterminados, para asegurar su continua pertinencia, idoneidad y eficacia.
9.3.2 Consideraciones de la revisión por la dirección
La revisión por la dirección debe considerar:
a) el esta
estado
do de las a
accione
ccioness de revis
revisiones
iones po
porr la direc
dirección
ción pre
previas;
vias;
b) cam
cambios
bios de las cuest
cuestion
iones
es internas
internas y exter
externas
nas que sean rele
relevant
vantes
es para el
SGCN;
c) Inform
Información
ación d
del
el des
desempeño
empeño del SG
SGCN,
CN, in
incluye
cluyendo
ndo ten
tendecias
decias en;
1) No conf
conform
ormida
idades
des y accione
accioness corre
correcti
ctivas
vas;;
2) Seguim
Seguimiento
iento y resul
resultados
tados d
de
e la ev
evaluaci
aluación
ón de medición
medición;;
3) Res
Result
ultado
adoss d
de
e aud
audito
itoria;
ria;
d) Retroa
Retroalimen
limentació
tación
n de las partes intere
interesadas;
sadas;
33
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
e) La necesi
necesidad
dad de camb
cambios
ios en el SGC
SGCN,
N, inclu
incluyendo
yendo la po
políti
lítica
ca y los objet
objetivos;
ivos;
f) Los pr
proced
ocedimi
imient
entos
os y los rrecur
ecursos
sos que
que pued
pueden
en usar
usarse
se en la orga
organiz
nizaci
ación
ón par
para
a
mejorar el negocio (ver numeral 8.6);
g) Inform
Información
ación del a
análisi
nálisiss de impact
impacto
o al negoci
negocio
o y el análisi
análisiss de riesgos;
h) res
result
ultado
adoss de la eva
evalua
luació
ción
n de la doc
docume
umenta
ntació
ción
n y cap
capaci
acidad
dad de cont
continu
inuida
idad
d
de negocio (ver numeral 8.6);
i) rie
riesgos
sgos o asu
asunto
ntoss no abord
abordados
ados de ma
maner
nera
a adecuada
adecuada en cua
cualqui
lquier
er evaluac
evaluación
ión
de riesgos anterior;
j) lecciones aprendidas y acciones derivadas de las cuasi-errores e
interrupciones;
k) oportu
oportunidades
nidades para el mejoram
mejoramiento
iento contin
continuo.
uo.
9.3.3 Resultados de la revisión por la dirección
9.3.3.1 Los resultados de la revisión por la dirección deben incluir decisiones
re
relac
lacio
ionad
nadas
as con la
lass op
oport
ortun
unid
idad
ades
es de me
mejo
joram
ramie
ient
nto
o cont
contin
inuo
uo y cua
cualqu
lquie
ierr
necesidad de cambio en el SGCN para mejorar la eficiencia y eficacia, incluyendo
lo siguiente:
a) var
variaci
iacione
oness en el a
alca
lcance
nce d
del
el SG
SGCN;
CN;
b) ac
actu
tuali
aliza
zaci
ción
ón de
dell aná
análilisi
siss de im
impac
pacto
to al ne
nego
goci
cio,
o, ev
eval
alua
uaci
ción
ón de ri
ries
esgos
gos,,
estr
estrat
ateg
egia
iass y solu
soluci
cion
ones
es para
para la cont
contin
inui
uida
dad
d de ne
nego
goci
cio,
o, y plan
planes
es de
continuidad de negocio;
c) mod
modifi
ificac
cación
ión de los proc
procedi
edimie
miento
ntoss y contro
controles
les para responde
responderr a los asuntos
asuntos
internos y externos que puedan impactar el SGCN;
d) como se medirá
medirá la e
eficac
ficacia
ia d
de
e los contro
controles.
les.
9.3.3.2 La orga
organi
niza
zaci
ción
ón debe
debe co
cons
nser
ervar
var la in
info
form
rmac
ació
ión
n do
docu
cume
ment
ntad
ada
a co
como
mo
evidencua de los resultados de la revisión por la dirección. Debe:
a) comuni
comunicar
car los resu
resultado
ltadoss de la revisi
revisión.por
ón.por lla
a direcció
dirección
n a las partes iinteresa
nteresadas
das
relevantes;
b) tomar las convenientes acciones relacionadas con esos resultados.
34
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
10 MEJ
EJOR
ORAM
AMIIENTO
ENTO
1.21 NO CONFORMIDAD Y ACCIÓN CORRECTIVA
10.1.1
10.1
.1 La organización debe determinar las oportunidades de mejoramiento e
implementar las acciones necesarias para lograr los resultados deseados del
SGCN.
10.1.2 Cuando ocurra una no confomidad , la organización debe:
a) reaccio
reaccionar
nar ant
ante
e la no conform
conformidad,
idad, y cuand
cuando
o sea ap
aplicab
licable:
le:
1) tomar accion
acciones
es pa
para
ra co
controla
ntrolarla
rla y corregi
corregirla;
rla;
2) Hac
Hacer
er fr
frent
ente
e a las ccons
onsecue
ecuencia
ncias;
s;
b)
eval
evalua
uarr la ne
nece
cessidad
idad de acci
ccion
ones
es pa
para
ra elim
elimin
inar
ar las
las caus
causas
as de la no
conformidad, con el fin de que no vuelvan a ocurrir en otro parte, mediante:
1) La re
revis
visión
ión d
de
e la n
no
o co
confo
nformi
rmidad
dad;;
2) La det
determina
erminación
ción de las ca
causas
usas de la no cconform
onformidad;
idad;
3) la deter
erm
minación de sí existen no conformidades similares, o qu
que
e
potencialmente puedan ocurrir;
c) imp
implem
lement
entar
ar cual
cualqui
quier
er acción
acción necesa
necesaria
ria;;
d) revisar la efi
eficacia
cacia de cualquier
cualquier a
acción
cción ccorrecti
orrectiva
va tom
tomada;
ada;
e) si fu
fuera
era necesari
necesario,
o, hac
hacer
er los cambios
cambios en el SGCN.
SGCN.
Las ac
Las
acci
cion
ones
es co
corre
rrect
ctiv
ivas
as deben
deben ser apr
aprop
opia
iada
dass pa
para
ra lo
loss ef
efec
ecto
toss de la
lass no
conformidades encontradas.
10.1.3 La org
organ
aniz
izac
ació
ión
n de
debe
be co
conse
nserva
rvarr la in
info
form
rmac
ació
ión
n do
docu
cume
ment
ntad
ada
a co
como
mo
evidencia de:
a) la natural
raleza de las no conf
nfo
orm
rmiidades y cualquier acci
ció
ón tomada
posteriormente;
b) los resultados de cualquier acción correctiva.
35
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
1.22 MEJ
1.22
MEJORA
ORA CON
CONTIN
TINUO
UO
La organi
organización
zación debe mejorar de manera continua
continua la convenienci
conveniencia,
a, adecuación y
eficacia del SGCN, basado en las mediciones cualitativas y cuantitativas.
La organización
organización debe consid
considerar
erar los resultados
resultados del análisíis y la evaluación,
evaluación, y los
resultados de la revisión de la dirección, para determinar sí hay necesidades u
oportunidades
oportun
idades,, relaci
relacionadas
onadas con la empres
empresa,
a, o el SGCN, que considerars
considerarse
e parte
de la mejora continua.
Nota La organización puede usar los procesos del SGCN, como el liderazgo, la planeación y la
evaluación del desempeño para mejorar.
11 BI
BIBL
BLIO
IOGR
GRAF
AFIA
IA
[1] ISO 9001, Quality management systems. Requirements
[2]
ISO 140
14001,
01, Env
Enviran
iranmen
mental
tal man
managem
agement
ent syst
systems
ems.. Requir
Requireme
ements
nts wit
with
h
guidance for use
[3]
ISO 19011, Guidelines for auditing management systems
[4] ISO
ISO/IE
/IEC/T
C/TS
S 170
17021-6
21-6,, Confor
Conformit
mityy ass
assessm
essment
ent.. Req
Requir
uireme
ements
nts for bod
bodies
ies
providing audit and certification of management systems. Part 6: Competence
require
requ
iremen
ments
ts for aud
auditi
iting
ng and cert
certifi
ificat
cation
ion of bus
busine
iness
ss contin
continuit
uityy man
managem
agement
ent
systems
[5] ISO/
ISO/IEC
IEC 20000-1
20000-1,, Inform
Information
ation Sator. Servic
Service
e ma
manageme
nagement.
nt. Part 1: Servic
Service
e
management
system requirements
ISO 28000, Specification for security management systems for the supply chain
ISO 31000, Risk management. Guidelines
IEC 31010, Risk management. Risk assessment techniques
ISO Guide 73, Risk management. Vocabulary
36
NORMA TÉCNICA COLOMBIANA
NTC – ISO 22301
37
Documentos relacionados
Responsabilidad social : materias fundamentales
Responsabilidad social : materias fundamentales
ENCUESTA IMPLEMENTACIÓN DE LA NORMA ISO 45001
ENCUESTA IMPLEMENTACIÓN DE LA NORMA ISO 45001
Los Tecnológicos que conforman el grupo D, establecen el
Los Tecnológicos que conforman el grupo D, establecen el
NORMA ISO 10003 - AVA5 - NICOLAS SILVA
NORMA ISO 10003 - AVA5 - NICOLAS SILVA
QMI – A Division of CSA Group
QMI – A Division of CSA Group
Contenedores de polietileno inyectado de alta
Contenedores de polietileno inyectado de alta
1. TABLA MILITAR COMPLETA
1. TABLA MILITAR COMPLETA
CUPOS LAB. DE RESISTENCIA DE MATERIALES.
CUPOS LAB. DE RESISTENCIA DE MATERIALES.
Reflexión - Profesores Filosofía
Reflexión - Profesores Filosofía
Apertura Muro Liquido y Lectura
Apertura Muro Liquido y Lectura
Descargar
Anuncio
Anuncio