Prologo
salepeu sosueo ap eun uap eun sa (uezeo ap euoeau upeue e os sea s seapuedadapoqensep soqwa ssueuuezeouaes eg opeap so s sps e aeu e e eaun tema para el que se ha establecido un ite tecnico tiene derecho a estar representado en ese ite. Organizaciones internacionales gubernamentales y no gubernamentales en colaboracion con la ISO tambien participan en el trabajo. ISO colabora estrechamente con la Comision Electrotecnica Internacional (CEI) en todos los asuntos de normalizacion electrotecnica.
se describen en las Directivas ISO/CEI Parte 1. En particular deben tenerse en cuenta los diferentes criterios de aprobacion necesarios para los diferentes tipos de documentos ISO. Este documento fue redactado de conformidad con las normas editoriales de las Directivas ISO/CEI Parte 2 (vease
soupauap ap oa[qo ueas ouawnoop aquasaad ap soquawala so ap sounale anb ap peplqisod el ejeyas as de patente. ISO no se hace responsable de identificar ninguno o todos esos derechos de patente. Losdetalles de los derechos de patente identificados durante la elaboracion dlel documento se incluiran en laIntroduccion y/o en la lista ISO de declaraciones de patente recibidas (vease
Cualquier nombre ercial utiliado en este documento es informacion dada para la odidad de losusuarios y no constituye un respaldo.
ssdxasoppessapnpdan especificos de la ISO relacionados con la evaluacion de la conformidad as o la informacion sobre lass pen ep sd seepsaeTecnicos al Comercio (OTC) vease
Este documento fue preparado por el Comite Tecnico ISO/TC 292 Seguridod y resillenci..
Esta segunda edicion cancela y sustituye a la primera edicion (ISO 22301:2012) que ha sido revisada tecnicamente. Los principales cambios en paracion con la edicion anterior son los siguientes:
●- se han aplicado los requisitos de iso para las normas del sistema de gestion que han evolucionado desde 2012; ●- se han aclarado los requisitos sin afiadir nuevos requisitos;● los requisitos de continuidad empresarial especificos de la disciplina estan ahora casi en su totalidad dentro deJa clausula 8: ;●- La clausula 8 se ha reestructurado para proporcionar una prension mas clara de los requisitos clave;eudisip e ap soyjadsa oau ap pepnuu ap soua ap aas eun opeipow ueu as para mejorar la claridad y reflejar el pensamiento actual.
Cualquier entario o pregunta sobre este documento debe dirigirse al organismo de normas nacionales del usuario. Puede encontrar una lista pleta de estos cuerpos en
Introduccion
0.1 General
Este documento especifica la estructura y los requisitos para implementar y mantener un sistema de gestion de continuidad del negocio (BCMS) que desarrolla la continuidad del negocio adecuada a la cantidad y eltipo de impacto que la organizacion puede o no aceptar despues de una interrupcion.
seaela salea soisna so od sopenoo uesa sg un ap oaa p sopnsan soempleados el tamaflo y la estructura de la organizacion y los requisitos de sus partes interesadas.
Un BCMS hace hincapie en la importancia de:
songa[qo A seolod jasalqesa ap pepisaau e| ugjezueuo e ap sapepisaau se japuauduo de continuidad del negocio;• operar y mantener procesos capacidades y estructuras de respuesta para garantizar que la organizacion sobreviva a las interrupciones;- seguimiento y revision del rendimiento y la eficacia del BCMS;- mejora continua basada en medidas cualitativas y cuantitativas.
aodoo sauanals so anu usa ap aasis oo sanbieno oo sg u
:ejod eun (e ▪ ● b) personas petentes con responsabilidades definidas;●c) procesos de gestion relacionados con:2) planificacion; 3) implementacion y operacion;4) evaluacion del rendimiento;6) mejora continua; o 5) revision de la gestion;● d) informacion documentada que respalde el control operativo y permita la evaluacion delrendimiento.
0.2 Beneficios de un sistema de gestion de continuidad del negocio
EI prop6sito de un BCMS es prepararse proporcionar y mantener controles y capacidades para administrar la capacidad general de una organizacion para continuar operando durante las interrupciones. Para lograrlo la organizacion es:
esada eadsad eun apsap (e 1) apoyar sus objetivos estrategicos; 2) crear una ventaja petitiva; 3) proteger y mejorar su reputacion y credibilidad;•b) desde una perspectiva financiera: 4) contribuir a la resiliencia organizacional; 1) reducir la exposicion legal y financiera;● c) desde la perspectiva de las partes interesadas: 2) reducir los costos directos e indirectos de las interrupciones; o 1) proteger la vida la propiedad y el medio ambiente;o 3) proporcionar confianza en la capacidad de la organizacion para tener exito; 2) considerar las expectativas de las partes interesadas;
●d) desde una perspectiva de procesos internos:
1) mejorar su capacidad para seguir siendo eficaz durante las interrupciones; 2) demostrar un control proactivo de los riesgos de manera eficaz y eficiente; 3) abordar las vulnerabilidades operativas.
0.3 Ciclo Plan-Do-Check-Act (PDCA)
a ed () (o a ()eficacia del BCMS de una organizacion.
ISO/IEC 20000-1 ISO/IEC 27001 e ISO 28000 apoyando asi la implementacion operacin coherentes e integradas con sistemas de gestion relacionados.
●- La clausula 4 introduce los requisitos necesarios para establecer el contexto del BCMS aplicable a la organizacion asi o las necesidades los requisitos y el alcance.●- La Clausula 5 resume los requisitos especifios del papel de la alta direccion en el BCMS y•-La clausula.6 describe los requisitos para establecer objetivos estrategicos y principios rectores o el liderazgo articula sus expectativas a la organizacion a traves de una declaracion de politica. oaagesa a uo sepeuoea sg ap soao se odeensn e para el BCMS en su conjunto.petencias y unicaciones de forma recurrente/segun sea necesario con las partesinteresadas al tiempo que documenta controla mantiene y conserva la informacion documentada requerida.- La Clausula 8 define las necesidades de continuidad del negocio determina o abordarlas y desarrolla procedimientos para gestionar la organizacion durante una interrupcion.negocio la conformidad del MCP con el presente documento y paralevar a cabo un examen de la gestion.g p enuuo eoa e A pepuou e aqos ene A e ensne e mediante medlidas correctivas.
0.5 Contenido de este documento
incluyen una estructura de alto nivel texto central identico y terminos unes con definiciones basicas diseriados para beneficiar a los usuarios que implementan miltiples estandares del sistema de gestion ISO.
Este documento no incluye requisitos especificos de otros sistemas de gestion aunque sus elementospueden alinearse o integrarse con los de otros sistemas de gestion.
BCMS y evaluar la conformidad. Una organizacion que dese demostrar la conformidad con este documento neadedeeond snas pnd nbsa puede hacerlo:
•- hacer una autodeterminacion y una autodeclaracion; Oueeo e ua seesau sed ap aed jod pepou ns ap ueuo e aeos o los clientes; O●- solicitar la confirmacion de su autodeclaracion por una parte externa a la organizacion; O● - solicitar la certificacion/registro de su BCMS por parte de una organizacion externa.
Las clausulas 1 a 3 del presente documento establecen el alcance las referencias normativas y losterminos y definiciones que se aplican al uso de este documento. Clausulas 4 a 1Q contienen losrequisitos que dleben utilizarse para evaluar la conformidad con este documento.
En este documento se utilizan las siguientes formas verbales:
●a) “debera" indica un requisito;●c) "puede” indica un permiso; ●b) “deberia" indica una reendacion;●d) *can" indica una posibilidad o una capacidad.
La informacion marcada o *NOTA* es orientativa para prender o aclarar el requisito asociado. Lasplementa los datos terminologicos y puede contener disposiciones relativas al uso de un termino. *Notas a la entrada" utilizadas en la Clausula 3 proporcionan informacion adicional que
1 Alcance
usa ap ess un eoa auu euu eed soisnbausol eadsa ouanp ascontra el que proteger reducir la probabilidad de que ocurran prepararse responder recuperarse de las interrupciones cuando surjan.
Los requisitos especificados en este documento son genericos y estan destinados a ser aplicables a todas lasorganizaciones o partes de los mismos independientemente del tipo tamaflo y naturaleza de la organizacion. El alcance de la aplicacion de estos requisitos depende del entorno operativo la plejidadde la organizacion.
●a) implementar mantener y mejorar un BCMS;● b) procurar garantizar la conformidad con la politica de continuidad del negocio establecida;▪c) deben poderseguir ofreciendo productos servicios a una capacidad predefinida aceptable durante una interrupcion;● d) procurar mejorar su resiliencia medliante la aplicacion efectiva del BCMS.
sedoud sns aoeses eed uppezjueao eun ap peppedes e enjea eed zezn apand as ouanp asnecesidades y obligaciones de continuidad del negocio.
2 Referencias normativas
ns ap pepieo e o aed anb eauew ei ap souawnop saquanlis so e ejuaaau aoeu as oxat la ug contenido constituyen requisitos de este documento. Para las referencias fechadas solo se aplica la edicion(incluidas las modificaciones). citada. Para las referencias sin fecha se aplica la iltima edicion del documento al que se hace referencia
●ISO 22300 Seguridod y resillencio - Vocabulario
3 Terminosy definiciones
los siguientes. A los efectos de este documento se aplican los terminos y definiciones indicados en la norma ISO 22300 y
ISO e IEC mantienen bases de datos terminologicas para su uso en estandarizacion en las siguientes
ISO Plataforma de navegacion en linea: disponible en https:f/ Electropedia IEC: disponible en wowow./
NOTA Los terminos y definiciones que se indican a continuacion sustituyen a los indicados en iso22300:2018.
3.1
Actividad
[SOURCE: ISO 22300:2018 3.1 modificado La definicion se ha reemplazado el ejemplo se ha eliminado.] conjunto de una o mas tareas con una salida definida
3.2
Auditoria
proceso sistematico independiente y documentado (3.26) para obtener pruebas de auditoria yene ap soo so adn as eppa anb a ea eed aao snea(seudsip sew o sop opueuqwo) epeuqwo ejopne eun jas apand A (soaa ap o aed epunas ap) Nota 1 a la entrada: Una auditoria puede ser una auditoria interna (primera parte) o una audlitoria externa Nota 2 a la entrada: La propia organizacion (3.21) o una parte externa en su nombre llevan acabo una auditoria interna.
Nota 3 a la entrada: “Pruebas de auditoria° y *criterios de auditoria” se definen en ISO 19011.conformidad (3.7) de un objeto de acuerdo con un procedimiento llevado a cabo por personal que no es Nota 4 de entrada: Los elementos fundlamentales de una audlitoria incluyen la determinacion de laresponsable del objeto auditado.
Nota 5 a la entrada: Una auditoria intena puede ser para revision de la gestion y otros fines internos y puede constituir la base para la declaracion de conformidad de una organizacion. La independencia puedeauditorias externas incluyen auditorias de terceros y de terceros. Las auditorias de terceros son realizadas demostrarse por la libertad de responsabilidad de la actividad (3.1) que se audita. Laspor partes que tienen interes en la organizacin o cllentes o por otras personas en su nombre. Lasauditorias de terceros son realizadas por organizaciones de auditoria externas e independientes o las que proporcionan certificacion/registro de conformidad o agencias gubernamentales.
Nota 6 a la entrada: Constituye uno de los terminos unes y definiciones basicas de la estructura de alto nivel para las normas del sistema de gestion ISO. La definicion original se ha modificado afiadiendo Notas 4 y5 a la entrada.
3.3
continuidad del negocio
capacidad de una organizacion (3.21) para continuar la entrega de productos y servicios (3.27)dentro de plazos aceptables a capacidad predefinida durante una interrupcion (3.10) [FUENTE: ISO 22300:2018 3.24 modificado La definicion ha sido reemplazadla.]
3.4
plande continuidad delnegocio
eune apuodsa eed ()upezueaoeune enanb (t)epeuanp uuinterrupcion (3.10) yreanudar recuperar y restaurar la entrega de productos servicios (3.27) de[FUENTE: ISO 22300:2018 3.27 modificado La definicion ha sido reemplazada y la Nota 1 a la entrada se acuerdo con sus objetivos de continuidad del negocio (3.3) objectives (3.20)ha eliminado.]
S'E
analisis de impacto empresarial
(3.26) de analisis del Jmpacto (3.13) a lo largo del tiempo de una interrupci6n (3.10) en laNota 1 a la entrada: El resultado es una declaracion y justificacion de los requisitos de .continuidad del organizaci6n (3.21)negocio (3.3) requirements (3.28).