Saltear al contenido principal
iso 22301

¿Cómo es la norma ISO 22301?

iso 22301

ISO 22301

La norma ISO 22301 es una norma internacional que se utiliza para gestionar la continuidad de negocio y ha sido desarrollada para facilitar a las empresas la minimización del riesgo que supone este tipo de interrupciones. La norma ISO 22301 “Seguridad de la sociedad: Sistema de Gestión de la Continuidad de Negocio: Requisitos” sustituye a la británica BS25999.

La norma ISO 22301 especifica requisitos para planificar, establecer, implementar, operar, monitorear, revisar, mantener y mejorar de forma continua un Sistema de Gestión documentado para poder prepararse, responder y recuperarse de eventos que generan diferentes interrupciones, cuando estos se dan.

Los requisitos específicos en ISO 22301 son genéricos y pretende que se apliquen a todas las organizaciones, sin importar su tipo, tamaño y naturaleza. El grado de aplicación de los requisitos depende del ambiente en el que se encuentre y de la complejidad de la empresa.

 

El estándar de la continuidad de negocio ha evolucionado con la norma ISO 22301, agregando:

  • Mayor énfasis en el establecimiento de objetivos, seguimiento del desempeño y de los indicadores.
  • Expectativas más claras sobre la dirección de la organización.
  • Se planifica y se prepara de forma cuidadosa los recursos requeridos para asegurar la continuidad de negocio.

La norma ISO 22301 se puede aplicar a cualquier tipo de organización, independientemente de su tamaño, actividad, lugar, etc. por lo que se puede:

  • Establecer, implantar, mantener y mejorar el Sistema de Gestión de Continuidad de Negocio.
  • Asegurar la conformidad con la política establecida de la continuidad de negocio de la empresa
  • Demostrar la conformidad a los demás
  • Buscar la certificación por un organismo externo de certificación
  • Realizar una autodeterminación y autodeclaración de conformidad con la norma internacional.

ISO 22301

Términos básicos utilizados en la norma

  • Sistema de Gestión de la Continuidad de Negocio: es parte del sistema general de gestión que se encarga de planificar, mantener y mejorar de forma continua la continuidad del negocio.
  • Interrupción máxima aceptable (MAO): es el máximo tiempo que puede encontrarse interrumpida la actividad sin que esto suponga un daño inaceptable para la organización, también se puede conocer como período máximo tolerable de interrupción.
  • Objetivo de tiempo de recuperación: es el tiempo que ha determinado la organización para indicar cuando se tiene que reanudar la actividad.
  • Objetivo de punto de recuperación (RPO): es la máxima pérdida de datos, es decir, la mínima cantidad de datos que necesita ser restablecida.
  • Objetivo mínimo para la continuidad de negocio (MBCO): el nivel mínimo de servicios que necesita suministrar la organización una vez se ha restablecido el servicio.

Contenido de ISO 22301

La norma incluye los siguientes puntos:

0. Introducción
0.1. General
0.2. El modelo Planificación-Implementación-Verificación-Mantenimiento (PDCA)
0.3. Componentes de PDCA en esta norma internacional
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
4.1. Conocimiento de la organización y de su contexto
4.2. Conocimiento de las necesidades y expectativas de las partes interesadas
4.3. Determinación del alcance del sistema de gestión
4.4. Sistema de gestión de la continuidad del negocio
5. Liderazgo
5.1. General
5.2. Compromiso de la dirección
5.3. Política
5.4. Funciones, responsabilidades y autoridades organizativas
6. Planificación
6.1. Acciones para tratar riesgos y oportunidades
6.2. Objetivos de la continuidad del negocio y planes para alcanzarlos
7. Apoyo
7.1. Recursos
7.2. Competencia
7.3. Concienciación
7.4. Comunicación
7.5. Información documentada
8. Funcionamiento
8.1. Planificación operativa y control
8.2. Análisis de impactos en el negocio y evaluación de riesgos
8.3. Estrategia de la continuidad del negocio
8.4. Establecimiento e implementación de procedimientos de continuidad del negocio
8.5. Prueba y verificación
9. Evaluación de desempeño
9.1. Supervisión, medición, análisis y evaluación
9.2. Auditoría interna
9.3. Revisión por parte de la dirección
10. Mejoras
10.1. No conformidades y acciones correctivas
10.2. Mejora continua

Documentación obligatoria

Si una empresa quiere implantar la norma ISO 22301 será necesario que cuente con la siguiente documentación obligatoria:

  • Listado con todos los requisitos legales, normativos, etc.
  • El alcance del Sistema de Gestión de la Continuidad de Negocio
  • Política de continuidad de negocio
  • Los objetivos de la continuidad de negocio
  • La evidencia de competencias del personal
  • Los registros de comunicación entre las partes interesadas
  • Análisis del impacto en el negocio
  • Evaluar los riesgos, esto debe estar incluido en el perfil de riesgo
  • Establecer una estructura de respuesta a incidentes
  • Planes de continuidad del negocio
  • Procedimientos de recuperación
  • Establecer cuáles son los resultados de las acciones preventivas
  • Resultados de supervisión y medición
  • Resultados de la auditoría interna
  • Resultados de la revisión por parte de la dirección de la organización
  • Todos los resultados obtenidos de acciones correctivas

Normas relacionadas

Existen diferentes normas que están relacionadas con la norma ISO 22301 y que pueden ayudar a implementarla, éstas son:

  • ISO/IEC 27031:2011: Alineación para la preparación de la tecnología de la información y la comunicación para la continuidad del negocio.
  • PAS 200: Gestión de la crisis: orientación y buenas prácticas
  • PD 25666: Orientación para prueba y verificación de programas de continuidad y contingencia
  • ISO/IEC 24762: Alineación sobre los servicios de tecnología de la información y comunicación para recuperación de desastres.
  • ISO/PAS 22399: Alineación sobre la preparación para incidentes y gestión de la continuidad operativa.
  • ISO/IEC 27001: Sistema de Gestión de Seguridad de la Información.

Software para ISO 22301

El Software ISOTools Excellence ayuda a llevar a cabo la implantación, mantenimiento y evaluación de un Sistema de Gestión de la Continuidad de Negocio para poder identificar y controlar las amenazas que se producen en las organizaciones, según el estándar ISO 22301.

¿Desea saber más?

Entradas relacionadas

Volver arriba