Show me desktop version

Conceptos básicos sobre ISO 22301

¿Qué es ISO 22301?

El nombre completo de esta norma es ISO 22301:2012 Seguridad de la sociedad – Sistemas de gestión de la continuidad del negocio – Requisitos. Esta norma fue redactada por los principales especialistas en el tema y proporciona el mejor marco de referencia para gestionar la continuidad del negocio en una organización.

Relación con BS 25999-2

La ISO 22301 ha reemplazado a la 25999-2. Estas dos normas son bastante similares, pero la ISO 22301 puede ser considerada como una actualización de la BS 25999-2. Para conocer las diferencias entre ambas, por favor, consulte la infografía ISO 22301 vs. BS 25999-2.

¿Cuáles son los beneficios de la continuidad del negocio?

Si se implementa correctamente, la gestión de la continuidad del negocio disminuirá la posibilidad de ocurrencia de un incidente disruptivo y, en caso de producirse, la organización estará preparada para responder en forma adecuada y, de esa forma, reducir drásticamente el daño potencial de ese incidente.

¿Quién puede implementar esta norma?

Cualquier organización, grande o pequeña, con o sin fines de lucro, privada o pública. La norma está concebida de tal forma que es aplicable a cualquier tamaño o tipo de organización.

¿Cómo encaja la continuidad del negocio en la gestión general?

La continuidad del negocio es parte de la gestión general del riesgo en una compañía y tiene áreas superpuestas con la gestión de seguridad y tecnología de la información.

Nota: la gestión del riesgo es parte de la gestión corporativa general.

Términos básicos utilizados en la norma

  • Sistema de gestión de la continuidad del negocio (SGCN): parte del sistema general de gestión que se encarga de planificar, mantener y mejorar continuamente la continuidad del negocio.
  • Interrupción máxima aceptable (MAO): cantidad máxima de tiempo que puede estar interrumpida una actividad sin incurrir en un daño inaceptable (también Período máximo tolerable de interrupción [MTPD]).
  • Objetivo de tiempo de recuperación: tiempo predeterminado que indica cuándo se debe reanudar una actividad o se deben recuperar recursos.
  • Objetivo de punto de recuperación (RPO): pérdida máxima de datos; es decir, la cantidad mínima de datos que necesita ser restablecida.
  • Objetivo mínimo para la continuidad del negocio (MBCO): nivel mínimo de servicios o productos que necesita suministrar o producir una organización una vez que restablece sus operaciones comerciales.

Contenido de ISO 22301

La norma incluye estas secciones:

Introducción
0.1 General
0.2 El modelo Planificación-Implementación-Verificación-Mantenimiento (PDCA)
0.3 Componentes de PDCA en esta norma internacional
1 Alcance
2 Referencias normativas
3 Términos y definiciones
4 Contexto de la organización
4.1 Conocimiento de la organización y de su contexto
4.2 Conocimiento de las necesidades y expectativas de las partes interesadas
4.3 Determinación del alcance del sistema de gestión
4.4 Sistema de gestión de la continuidad del negocio
5 Liderazgo
5.1 General
5.2 Compromiso de la dirección
5.3 Política
5.4 Funciones, responsabilidades y autoridades organizativas
6 Planificación
6.1 Acciones para tratar riesgos y oportunidades
6.2 Objetivos de la continuidad del negocio y planes para alcanzarlos
7 Apoyo
7.1 Recursos
7.2 Competencia
7.3 Concienciación
7.4 Comunicación
7.5 Información documentada
8 Funcionamiento
8.1 Planificación operativa y control
8.2 Análisis de impactos en el negocio y evaluación de riesgos
8.3 Estrategia de la continuidad del negocio
8.4 Establecimiento e implementación de procedimientos de continuidad del negocio
8.5 Prueba y verificación
9 Evaluación de desempeño
9.1 Supervisión, medición, análisis y evaluación
9.2 Auditoría interna
9.3 Revisión por parte de la dirección
10 Mejoras
10.1 No conformidades y acciones correctivas
10.2 Mejora continua
Bibliografía

Documentación obligatoria

Si una organización desea implementar esta norma, necesitará la siguiente documentación obligatoria:

  • Lista de requisitos legales, normativos y de otra índole
  • Alcance del SGCN
  • Política de la Continuidad del Negocio
  • Objetivos de la continuidad del negocioes
  • Evidencia de competencias del personal
  • Registros de comunicación con las partes interesadas
  • Análisis del impacto en el negocio
  • Evaluación de riesgos, incluido un perfil de riesgo
  • Estructura de respuesta a incidentes
  • Planes de continuidad del negocio
  • Procedimientos de recuperación
  • Resultados de acciones preventivas
  • Resultados de supervisión y medición
  • Resultados de la auditoría interna
  • Resultados de la revisión por parte de la dirección
  • Resultados de acciones correctivas

Haga clic aquí para ver una explicación detallada de cada documento obligatorio.

Normas relacionadas

Otras normas de ayuda en la implementación de la continuidad del negocio son:

  • ISO/IEC 27031:2011 – Lineamientos para preparación de tecnología de la información y comunicación para la continuidad del negocio
  • PAS 200 – Gestión de crisis: orientación y buenas prácticas
  • PD 25666 – Orientación para prueba y verificación de programas de continuidad y contingencia
  • PD 25111 – Orientación sobre aspectos humanos de la continuidad del negocio
  • ISO/IEC 24762 – Lineamientos sobre servicios de tecnología de la información y comunicación para recuperación de desastres
  • ISO/PAS 22399 – Lineamientos sobre preparación para incidentes y gestión de continuidad operativa
  • ISO/IEC 27001 – Sistemas de gestión de seguridad de la información: requisitos

Antonio-Jose-Segovia-circle

Antonio Jose Segovia
Experto en ISO 27001/ISO 22301 para Latinoamérica y España

¿Tiene preguntas sobre algún paso?

Hable gratis con nuestros consultores

AGENDAR UNA CONSULTA GRATUITA

Calculador del Retorno sobre la Inversión en Seguridad (ROSI)

¿Alguna vez le ha sucedido que le dijeran que sus medidas de seguridad eran demasiado costosas? ¿O le resultó muy difícil explicarle a la dirección cuáles serían las consecuencias si ocurriera un incidente? Probar que merece la pena invertir en seguridad es una tarea ardua, pero nuestro calculador del Retorno sobre la Inversión en Seguridad (ROSI) le puede ayudar. Es completamente gratuito.

VEA CÓMO FUNCIONA

NUESTROS CLIENTES

NUESTROS SOCIOS

  • Advisera es un Proveedor TPECS Certificado Global Ejemplar para IS, QM, EM y las Unidades de Competencia AU.
  • ITIL® es una marca registrada de AXELOS Limited. Usada bajo licencia de AXELOS Limited. Todos los derechos reservados.
  • DNV GL Business Assurance es uno de los principales proveedores de certificaciones de sistemas de gestión acreditadas.