Seguridad de la Sociedad: Sistemas de Continuidad del

Negocio Requisitos
ISO 22301:2012
 ISO/FDIS 22301

Contenido

Pg.
Introduccin..... 4

0.1 General.. 4
0.2 El Ciclo Plan Do Check Act.. 4

1 Alcance... 6

2 Referencias normativas...... 6

3 Trminos y definiciones...... 6

4 Requerimientos Generales......11
4.1 Entendiendo la organizacin y su contexto.... 11
4.2 Necesidades y requerimientos..... 11
4.3 Gestin del sistema y alcance...... 11

5 Liderazgo....... 11
5.1 General.......... 11
5.2 Compromiso gerencial.... 12
5.3 Poltica.... 12
5.4 Roles organizacionales, responsabilidades y autoridades. 12

6 Planeamiento........ 13
6.1 Objetivos y planes para alcanzarlos........ 13
6.2 Acciones para atender aspectos e inquietudes...... 13

7 Apoyo..... 14
7.1 Recursos.... 14
7.2 Competencia..... 14
7.3 Toma de conciencia..... 14
7.4 Comunicacin 14
7.4.1 Comunicacin externa..... 14
7.4.2 Comunicacin interna...... 14
7.5 informacin documentada.......... 14
7.5.1 General.......... 14
7.5.2 Creacin y actualizacin..... 15
7.5.3 Control de informacin documentada....... 15

8 Operacin...... 16
8.1 General................................................. 16
8.2 Planeacin operacional y control...... 16
8.3 Preparacin....... 16
8.4 Planeacin........ 17
8.4.1 Compromiso gerencial.....17
8.4.2 Desarrollo de poltica....... 18
8.4.3 Business impact analysis y evaluacin del riesgo..... 18
8.4.4 Opciones para continuidad del negocio....... 20
8.5 Desempeo....... 21
8.5.1 Desarrollo e implementacin de una respuesta a continuidad del negocio.. 21
8.5.2 Estructura de respuesta...... 21
8.5.3 Alerta y comunicacin..... 22
8.5.4 Respuesta..... 22
8.5.5 Planes de continuidad del negocio...... 23
8.5.6 Procedimiento requerimiento de respuesta..... 23

2
 ISO/FDIS 22301

8.5.7 Procedimiento respuesta de contenido.... 23

8.5.8 Recuperacin.... 24
8.5.9 Comunicacin y consulta.... 24
8.6 Chequeo.... 25
8.6.1 Ejercicios y pruebas..... 25
8.6.2 Monitoreado el desempeo.... 25
8.7 Revisin..... 25
8.7.1 Revisin gerencial.....25
8.7.2 Evaluacin de procedimientos de continuidad.... 27

9 Evaluacin de desempeo..... 27
9.1 Monitoreo y medicin...... 27
9.2 Auditora interna....... 27
9.3 Revisin gerencial.... 28

10 Mejoramiento.... 29
10.1 No conformidad y accin correctiva..... 29
10.2 Mejoramiento continuado...... 29

Referencias bibliogrficas..... 30

3
 ISO/FDIS 22301

Introduccin

General

Este estndar internacional especifica requerimientos para establecer y gestionar un efectivo sistema
de gestin de Continuidad del Negocio (SGCN).

Esto enfatiza la importancia de:

a) Entender la continuidad y necesidades de preparacin y la necesidad de establecer una poltica de

gestin de continuidad y objetivos.

b) Implementando y operando controles y medidas para la gestin global de los riesgos de

continuidad.

c) Monitoreando y revisando el desempeo y efectividad del SGCN.

d) Mejora continuada basada en mediciones objetivas.

Un SGCN como cualquier sistema de gestin, tienen los siguientes componentes:

e) Una poltica

f) Personas con responsabilidades definidas.

g) Gestin de procesos relacionados a:

1) Polticas

2) Planeacin

3) Implementacin y operacin

4) Evaluacin de desempeo

5) Gestin de revisiones

6) Mejoramiento

h) Un conjunto de documentacin que genere evidencia auditable.

i) Cualquier proceso de gestin de continuidad relevante a la organizacin.

El Ciclo Plan Do Check Act (PDCA)

El estndar aplica el ciclo Plan Do Check Act a la planeacin, establecimiento, implementacin,

operacin, monitoreo, revisin, ejercicios, mantenimiento y mejoramiento continuado de la efectividad
del SGCN de una organizacin.

Esto asegura un grado de consistencia con otros sistemas de gestin de estndares tales como: ISO
9001:2008, ISO 14001:2004, ISO 27001:2005 e ISO 20000-1:2011. (Ver anexo A)
4
 ISO/FDIS 22301

La figura N 1 ilustra como un SGCN tom requerimientos de insumos de partes interesadas para la
gestin de continuidad y a travs de las necesarias acciones y procesos, produce resultados de
continuidad que satisfacen los requerimientos.

Preparacin para la Mejora Continua y

Sistema de Gestin Continua

Establecimiento
Plan Partes
Partes Interesadas
Interesadas

Mantener, Implementacin
Mejorar y Operacin
Requerimientos Actuar Do
para Gestin de la
Preparacin y Preparacin y
Gestin de la Continuidad
Continuidad
Monitoreo y
Revisin
Check

Figura 1 - Ciclo PDCA Aplicado al Proceso de Continuidad del Negocio

5
 ISO/FDIS 22301

Seguridad de la Sociedad Preparacin y Gestin de la Continuidad de

Sistemas Requerimientos

1 Alcance

Este estndar internacional para la continuidad del negocio especfica requerimientos para planear,
establecer, implementar, operar, monitorear, revisar, mantener y continuamente mejorar un sistema
de gestin de continuidad documentada, para prepararse para, responder y recuperarse de
interrupciones.

Los requerimientos especificados en este estndar internacional son genricos y tienen la intencin
de ser aplicables a todo tipo de organizaciones, al margen de su tipo, tamao y naturaleza de la
organizacin. El grado de extensin de la aplicacin de estos requerimientos depende de la
complejidad y del ambiente operativo de la organizacin.

No es la intencin de este estndar internacional de conllevar uniformidad en la estructura de SGCN,

pero si para que una empresa disee un SGCN que sea apropiado a sus necesidades y que permita
cumplir los requerimientos de sus partes interesadas. Estas necesidades estn moldeadas por
requerimientos regulatorios, organizacionales y requerimientos de productos y servicios, los procesos
empleados, el tamao y estructura de la organizacin y los requerimientos de las partes interesadas.

Este estndar internacional es aplicable a todo tipo y tamao de organizacin que desea:

a) Establecer, implementar, mantener y mejorar un SGCN.

b) Asegurar conformidad con la poltica SGCN.

c) Demostrar conformidad a terceros.

d) Buscar la certificacin internacional.

e) Realizar una autodeterminacin y autodeclaracin con el estndar.

El estndar internacional puede usarse para evaluar la habilidad organizacional en alcanzar sus
propias obligaciones de continuidad.

2 Referencias Normativas

Las siguientes referencias documentadas son indispensables para la aplicacin de este documento.

ISO / IES Lineamiento 73:2009 Gestin del Riesgo Vocabulario.

3 Trminos y definiciones

Para el propsito de este documento, los trminos y definiciones del ISO / IEC Lineamiento 73:2009 y
los que vienen a continuacin aplican

6
 ISO/FDIS 22301

3.1
Auditora
Proceso para obtener evidencia y evaluarla objetivamente para determinar el grado en que
requerimientos especficos han sido alcanzados.

3.2
Gestin de Continuidad del Negocio
Proceso de gestin que provee un marco conceptual para crear una salvaguarda a los objetivos de la
organizacin incluyendo sus obligaciones.

3.3
Business Impact Analysis
Proceso de anlisis de funciones organizacionales y el efecto de una interrupcin en ellas.

3.4
Competencia
Habilidad demostrada en aplicar conocimiento y destrezas para alcanzar resultados predeterminados.

3.5
Conformidad
Cumplir con un requerimiento.

3.6
Mejora continua
Actividad para mejora del desempeo.

3.7
Correccin
Accin para eliminar una no conformidad detectada.

3.8
Accin correctiva
Accin para eliminar la causa de una no conformidad u otra situacin no deseada y prevenir su
recurrencia.

3.9
Documento
Informacin y su medio de soporte.

NOTA 1, El medio puede ser papel, medio magntico, electrnico o disco ptico, fotogrfico o una
combinacin.

NOTA 2, Conjunto de documentos, por ejemplo especificaciones y registros, frecuentemente

llamados documentacin.

3.10
Efectividad
Grado en el cual actividades son realizadas y resultados planeados alcanzados.

3.11
Eficiencia
Relacin entre resultados alcanzados y los recursos usados.

3.12
Evento
Ocurrencia o cambio de un conjunto de circunstancias.

NOTA 1, Un evento puede ser una o ms ocurrencias y tener varias causas.

NOTA 2, Un evento puede consistir en algo que no ocurra.

7
 ISO/FDIS 22301

NOTA 3, Un evento puede referirse a un incidente o accidente.

NOTA 4, Un evento sin consecuencias puede referirse a casi incidente

3.13
Ejercicio
Instrumento para entrenar, evaluar, practicar y mejorar el desempeo y capacidades en un ambiente
controlado.

3.14
Infraestructura
Sistema de facilidades, equipos y servicios necesarios para la operacin de una organizacin.

3.15
Parte interesada
Parte afectada con inters en el xito de una organizacin o actividad.

3.16
Sistema de gestin
Conjunto de elementos interrelacionados para establecer polticas, objetivos y procesos para alcanzar
objetivos

NOTA, El sistema de gestin organizacional puede atender un campo limitado tal como calidad o
ambiente. Un sistema de gestin que mezcla ms de un rea referido como Sistema integrado de
gestin.

3.17
Monitoreado
Observacin de desempeo planeado.

3.18
Acuerdo de ayuda mutua
Un acuerdo pre arreglado desarrollado entre dos partes a ms entidades para dar asistencia a las
partes del acuerdo.

3.19
No conformidad
No cumplimiento con requerimientos.

3.20
Objetivo
Resultado deseado, planteado por la organizacin.

3.21
Control de operaciones
Proceso, prctica u otra accin que asegura resultados en la gestin.

3.22
Planeacin de operaciones
Esquema especificando el enfoque, los elementos de gestin y recursos a aplicarse a la gestin de
una organizacin.

3.23
Organizacin
Persona o grupo de individuos que tienen sus propias funciones con responsabilidades, autoridades y
relaciones para alcanzar objetivos.

NOTA 1, El concepto de organizacin incluye, pero no se limita a la compaa, corporacin, firma,

empresa, autoridad, sociedad o institucin, pblica o privada.

8
 ISO/FDIS 22301

NOTA 2, Para una organizacin con ms de una entidad operativa, una unidad puede definirse como
organizacin.

3.24
Desempeo
Resultado medible.

NOTA 1, Desempeo puede estar relacionado a actividades, procesos, sistemas y productos.

NOTA 2, Desempeo incluye no slo el resultado del progreso contra objetivos, pero puede tambin
incluir el grado de implementacin de un sistema de gestin.

3.25
Evaluacin del desempeo
Proceso de determinar resultados medibles

3.26
Personal
Personas trabajando para o bajo el control de la organizacin.
Nota, el concepto de personal incluye, pero no es limitativo a empleados y personal a medio tiempo.

3.27
Poltica
Intenciones y direccin de una organizacin formalmente expresada por la alta gerencia.

3.28
Prevencin
Medidas que permiten a una organizacin evitar posibles interrupciones.

3.29
Accin preventiva
Accin para reducir o eliminar un riesgo.

3.30
Procedimiento
Manera especfica de llevar a cabo una actividad o un proceso.

3.31
Proteccin
Medidas que permiten a una organizacin evitar o limitar la posibilidad o consecuencias de una
interrupcin.

3.32
Actividades priorizadas
Actividades a las cuales se les debe dar prioridad luego de la aparicin de un incidente para poder
mitigar los impactos.
Nota, Trminos usualmente usados son: crticas, esenciales, vitales, urgentes y claves.

3.33
Registros
Declaracin de resultados alcanzados o evidencia de actividades desempeadas.

3.34
Requerimientos
Necesidad o expectativa que est planteada, generalmente obligatoria.

3.35
Riesgo
Efecto de incertidumbre en objetivos.

9
 ISO/FDIS 22301

NOTA 1, Un efecto es una desviacin de lo esperado positivo / negativo

NOTA 2, Incertidumbre es el estado parcial o una deficiencia de informacin relacionada a un evento.

La combinacin de consecuencias y posibilidad de ocurrencia de un evento puede ser usado para
caracterizar un riesgo.

NOTA 3, Objetivos pueden tener diferentes aspectos (financiero, salud y seguridad) y pueden
aplicarse a diferentes niveles.

3.36
Apetito al riesgo
Monto y tipo de riesgo que una organizacin est preparada a buscar, aceptar o tolerar.

3.37
Fuente de riesgo
Elemento solo o en combinacin tiene el potencial intrnseco de generar riesgo.
Nota, Una fuente de riesgo puede ser tangible o intangible. ISO / IEC Gua 73.

3.38
Parte interesada
Persona u organizacin que puede afectar, ser afectada o percibirse en ser afectada por una decisin
o actividad.

NOTA, Un tomador de decisiones puede ser una parte interesada.

3.39
Test
Ver: pruebas

3.40
Pruebas
Procedimiento para evaluar, un medio de determinar la presencia, calidad o veracidad de algo.

NOTA 1, Prueba puede referirse a ensayo.

NOTA 2, Pruebas usualmente aplica a planes de apoyo.

3.41
Alta gerencia
Persona o grupo de personas que dirige y controla una organizacin al ms alto nivel.

3.42
Verificacin
Confirmacin, a travs de la provisin de evidencias que especifican requerimientos que han sido
alcanzados.

3.43
Ambiente laboral
Conjunto de condiciones bajo las cuales se desempea el trabajo.

NOTA, Condiciones incluye: fsica, sociales, psicolgicas y factores ambientales.

10
 ISO/FDIS 22301

4 Requerimientos generales

4.1 Entendimiento a la organizacin y su contexto

La organizacin debe determinar los factores externos e internos que son relevantes a su propsito y
que afectan su habilidad de alcanzar resultados esperados en su SGCN.

Estos factores deben considerar al establecerse, implementarse y mantenerse el SGCN de la

organizacin y asignaciones priorizadas.

NOTA, Las organizaciones de todo tipo, tamao y complejidad operan en circunstancias que estn
sujetas a oportunidades, cambio y riesgo, consecuentemente la organizacin evala dicha
informacin para poder innovar, mantener y mejorar la efectividad de su sistema de gestin durante la
planeacin de corto y largo plazo.

4.2 Necesidades y requerimientos

Al establecerse el SGCN, la organizacin debe determinar:

- Las partes interesadas relevantes; y

- Sus necesidades y requerimientos, incluyendo requerimientos legales aplicables.

NOTA, El balance de necesidades puede ser alcanzado por la organizacin dando el peso a las
necesidades de las partes interesadas, por ejemplo: consumidores, propietarios, sociedad, etc.

4.3 Gestin del sistema y alcance

La organizacin debe establecer, implementar, mantener y mejorar el SGCN en concordancia con los
requerimientos de este estndar internacional.

La organizacin debe considerar:

- Los factores internos y externos referidos en 4.1;

- Las necesidades y requerimientos referidos en 4.2,

Y determinar aspectos e inquietudes para:

- Asegurar que el sistema de gestin puede alcanzar los resultados esperados;

- Prevenir efectos no deseados;

- Atender oportunidades para la mejora.

La organizacin debe definir y retener informacin documentada sobre el alcance del SGCN, de tal
forma que los lmites y aplicabilidad del SGCN puede estar claramente comunicada a partes internas
y externas.

5 Liderazgo

5.1 General

La alta gerencia debe demostrar liderazgo con respecto al SGCN a travs de:

11
 ISO/FDIS 22301

- Dirigir y controlar visiblemente la operacin y direccin global;

- Motivar a personas para asegurar que el SGCN apoya el desempeo de la continuidad comercial
de la organizacin.

NOTA, Liderazgo no est restringido slo alta direccin.

5.2 Compromiso de la gerencia

La alta gerencia debe demostrar su compromiso a travs de:

- Asegurando que el SGCN es compatible con la direccin estratgica de la organizacin;

- Integrando los requerimientos del SGCN en los procesos de la organizacin;

- Proveyendo los recursos para establecer, implementar, mantener y continuamente mejorar el

SGCN (ver 7.1);

- Comunicando la importancia de la efectividad del SGCN y conformidad con los procesos del
SGCN;

- Desarrollando efectivas revisiones gerenciales para asegurar que el SGCN alcanza sus
resultados esperados;

- Dirigiendo y apoyando la mejora continua.

NOTA, La referencia comercial en este estndar internacional debiera interpretarse ampliamente

para indicar aquellas actividades que son esenciales al propsito de la existencia de la empresa.

5.3 Poltica

La alta gerencia debe establecer y comunicar una poltica de continuidad del negocio. La poltica
debe:

a) Ser apropiada para el propsito de la organizacin;

b) Proveer el marco para establecer objetivos;

c) Incluir un compromiso para la mejora continua del SGCN;

d) Estar implementada;

e) Ser revisada por su continua idoneidad; y

f) Estar disponible para las partes interesadas.

La organizacin debe retener informacin documentada en la poltica.

5.4 Roles, responsabilidades y autoridades

La alta direccin debe asegurarse que las responsabilidades y autoridades para los roles relevantes
son asignados y comunicados en la organizacin.

La alta direccin debe asignar la responsabilidad y autoridad para:

12
 ISO/FDIS 22301

a) Asegurarse el sistema de gestin establecido e implementado en concordancia con los

requerimientos de este estndar internacional;

b) Reportando el desempeo del SGCN a la alta gerencia.

6 Planeacin

6.1 Objetivos y planes para alcanzarlos

La alta direccin debe asegurarse que los objetivos estn establecidos para funciones relevantes y
niveles en la organizacin.

Los objetivos deben:

- Ser consistentes con la poltica;

- Ser conmensurables (si es prctico);

- Tener esquemas de tiempo para su alcance;

- Considerar necesidades y requerimientos aplicables;

- Desarrollar oportunidades para mantener o mejorar el desempeo;

- Ser monitoreados y actualizados como sea apropiado.

La organizacin debe retener informacin documentada sobre los objetivos.

Para alcanzar sus objetivos, la organizacin debe determinar:

a) Quin es responsable;

b) Qu ser hecho y cundo estar completado;

c) Cmo los resultados sern evaluados.

6.2 Acciones para atender aspectos e inquietudes

La organizacin debe determinar cmo atender los aspectos e inquietudes identificadas en el punto
4.3, que pudiesen afectar su habilidad de alcanzar los resultados esperados del SGCN.

La organizacin debe:

a) Evaluar la necesidad de planear acciones para atender aspectos e inquietudes;

b) Si es necesario:

1) Integrar e implementar estas acciones en los procesos del SGCN,

2) Asegurar que la informacin estar disponible para evaluar si las acciones han sido efectivas
(ver 9.1)

13
 ISO/FDIS 22301

7 Apoyo

7.1 Recursos

La organizacin debe determinar y proveer los recursos necesarios para el SGCN.

7.2 Competencia

La organizacin debe:

a) Determinar las competencias necesarias de las personas que realizan el trabajo bajo su control
que afecta el desempeo.

b) Asegurar que estas personas son competentes en la base de apropiada educacin, capacitacin
y experiencia.

c) Donde aplique, tomar acciones para adquirir las necesarias competencias y evaluar la efectividad
de las acciones tomadas.

d) Retener apropiada informacin documentada como evidencia de la competencia y de acciones

tomadas.

NOTAS, Acciones aplicables pueden incluir la provisin de capacitacin, la contratacin de personas

nuevas o la contratacin de personas competentes.

7.3 Toma de conciencia

Las personas realizando el trabajo bajo el control de la organizacin, deben estar consientes de:

- La poltica de gestin de la continuidad;

- Su contribucin a la efectividad del SGCN, incluyendo los beneficios de la mejora del desempeo
de la gestin de la continuidad comercial;

- Los efectos de la divergencia de los requerimientos del SGCN.

7.4 Comunicacin

7.4.1 Comunicacin externa

La organizacin debe establecer, implementar y mantener arreglos para la comunicacin con partes
interesadas externas.

7.4.2 Comunicacin interna

La organizacin debe establecer, implementar y mantener arreglos para la comunicacin interna en la

organizacin.

7.5 Informacin documentada

7.5.1 General

El SGCN debe incluir:

- Informacin documentada requerida por este estndar internacional;

14
 ISO/FDIS 22301

- Informacin documentada determinada por la organizacin requerida por la efectividad del SGCN.

7.5.2 Crear y actualizar

El proceso para crear o actualizar informacin documentada (ver 7.5.1) debe incluir:

a) Su identificacin y descripcin (ej.: Ttulo, nombre, fecha, autor, nmero, revisin, referencia, etc.;

b) Consideracin de cmo la informacin ser capturada y presentada;

c) Su revisin y aprobacin cuando sea aplicable.

NOTA 1, La captura y presentacin incluye el formato que ser usado o medio a utilizar.

NOTA 2, La extensin de la informacin documentada para un SGCN puede diferir de una

organizacin a otra, por las siguientes causas:

- Tamao de la empresa, tipo de actividades, procesos, productos y servicios,

- Complejidad de los procesos y sus interacciones, y

- La competencia del personal.

7.5.3 Control de informacin documentada

Informacin documentada requerida por el SGCN y por este estndar internacional, debe ser
controlada.

Los controles por informacin documentada deben incluir cuando sea aplicable

a) Distribucin;

b) Acceso;

c) Almacenamiento y preservacin;

d) Recuperacin y uso;

e) Identificacin de versiones y cambios;

f) Preservacin de legibilidad;

g) Prevencin del uso no intencionado de informacin obsoleta;

h) Retencin y reposicin.

Asegurar que la informacin documentada de origen externo determinada por la organizacin,

necesaria para la planeacin y operacin del SGCN es identificada apropiadamente y controlada.

15
 ISO/FDIS 22301

8 Operacin

8.1 General

Al margen de los captulos previos, este captulo sigue el enfoque unificado para un sistema de
gestin estndar slo en 8.1. a partir de 8.2 los requerimientos especficos para continuidad de la
gestin estn definidos.

8.2 Planeamiento operacional y control

La organizacin debe determinar, planear, implementar y controlar esas actividades operacionales

necesarias para:

- Satisfacer su SGCN, poltica y objetivos;

- Cumplir con necesidades y requerimientos aplicables.

Esto debe incluir:

a) Estableciendo criterios para aquellas actividades y procesos;

b) Implementando controles, en concordancia con el criterio;

c) Mantener informacin documentada para demostrar que las actividades y/o procesos han sido
llevados a cabo como estaban planeados.

La organizacin debe asegurar que los cambios planeados son controlados y que cambios no
intencionados son revisados y acciones apropiadas tomadas.

NOTA, Actividades operacionales y/o procesos, pueden incluir actividades y/o procesos que son
contratados por terceros o relacionados al suministro de bienes y servicios.

8.3 Preparacin

La organizacin debe identificar y documentar lo siguiente al definir el contexto para el sistema de

gestin y su compromiso con el sistema de gestin de continuidad comercial, con el especfico
contexto interno o externo de la organizacin.

a) Las actividades organizacionales, funciones, servicios, productos, socios, cadenas de suplidores,

partes interesadas y el potencial impacto relacionado a un incidente perturbador;

b) Enlaces entre poltica de continuidad del negocio y los objetivos organizacionales y otras
polticas, incluyendo estrategias de gestin de riesgos globales;

c) Apetito al riesgo de la organizacin.

Al establecer el contexto la organizacin debe:

d) Articular sus objetivos, incluyendo aquellos vinculados con continuidad del negocio.

e) Identificar a las partes interesadas y sus objetivos;

f) Definir los factores externos e internos que crean incertidumbre que genera riesgo;

g) Establecer criterios para el riesgo; y

16
 ISO/FDIS 22301

h) Definir el alcance y propsito del riesgo particular de la gestin al riesgo.

La organizacin debe definir y documentar el alcance del SGCN, considerando su contexto interno y
externo.

La organizacin debe:

i) Establecer las partes de la organizacin a ser incluida en el SGCN;

j) Establecer los requerimientos del SGCN, considerando la organizacin, misin, objetivos,

obligaciones internas y externas y responsabilidades legales;

k) Identificar productos y servicios y todas las actividades relacionadas con el alcance del
SGCN;

l) Considerar las necesidades e intereses de las partes interesadas, tales como clientes,
inversionistas, accionistas, la cadena de suministros, insumos y necesidades pblicas o
comunitarias, expectativas e intereses (cuando sean apropiadas);

m) Definir el alcance del SGCN en trminos de un apropiado tamao, naturaleza y complejidad

de la organizacin.

Al definir el alcance, la organizacin debe documentar cualquier exclusin, en la medida que las
exclusiones no afecten la habilidad de la organizacin y responsabilidad de proveer continuidad en
las operaciones que cumplan con los requerimientos del SGCN, determinado por el anlisis de
impacto o evaluacin del riesgo y requerimientos legales o regulatorios.

8.4 Planeacin

8.4.1 Participacin de la direccin

La alta direccin debe proveer evidencia de su compromiso con el establecimiento, implementacin,

operacin, monitoreo, revisin, mantenimiento y mejoramiento del SGCN a travs de:

a) Estableciendo una poltica de gestin de la continuidad;

b) Asegurar que los objetivos y planes del SGCN se establecen;

c) Estableciendo roles, responsabilidades y competencias por la gestin de la continuidad del

negocio;

d) Asignar a una o ms personas para que sean responsables por el SGCN con la autoridad y
competencias apropiadas para responder por la implementacin y mantenimiento del SGCN;

NOTA, Estas personas pueden tener otras responsabilidades en la organizacin.

e) Comunicando y promoviendo la toma de conciencia en la organizacin sobre la importancia en

alcanzar los objetivos de la gestin de la continuidad y en conformidad con la poltica de la
gestin de la continuidad, sus responsabilidades bajo la ley y la necesidad por la mejora
continuada;

La alta direccin debe asegurar que las responsabilidades y autoridades por roles relevantes son
asignados y comunicados en la organizacin, a travs de:

17
 ISO/FDIS 22301

f) Proveyendo suficientes recursos, para establecer, implementar, operar, monitorear, revisar,

mantener y mejorar el SGCN;

g) Definiendo el criterio para aceptar riesgos y niveles aceptables del riesgo;

h) Involucrndose activamente en ejercicios y pruebas;

i) Asegurando que las auditoras internas del SGCN son conducidas;

j) Conduciendo las revisiones para la direccin del SGCN;

k) Demostrando su participacin por la mejora continuada.

8.4.2 Despliegue de la poltica

La alta direccin debe definir la poltica de la gestin por la continuidad del negocio en trminos de los
objetivos y obligaciones de la organizacin.

La poltica debe:

a) Ser aprobada por la alta direccin;

b) Comunicada a todas las personas trabajando por la organizacin dentro del alcance del SGCN;

c) Disponible a las partes interesadas;

d) Revisada a intervalos planificados y cuando ocurran cambios significativos.

8.4.3 Anlisis de impacto del negocio y evaluacin del riesgo

8.4.3.1 General

La organizacin debe establecer, implementar y mantener un proceso documentado y formal para el

anlisis del impacto del negocio y evaluacin del riesgo, que permita:

a) Establecer el contexto de la evaluacin, definir criterios y evaluar el potencial impacto relacionado

a un incidente alterador;

b) Incluye de manera sistemtica criterios definidos para la evaluacin de potenciales impactos de

incidentes paralizadores;

c) Tomar en consideracin requerimientos legales y otros a los cuales la organizacin este suscrita;

d) Incluya un anlisis sistemtico priorizando los controles de riesgo, tratamiento y sus costos
relacionados;

e) Definir los resultados requeridos del anlisis de impacto y de la evaluacin del riesgo; y

f) Especificar los requerimientos para el almacenamiento, actualizacin y confidencialidad de esta

informacin.

NOTA, Existen varias metodologas para el anlisis de impacto y evaluacin del riesgo, las cuales
determinan el orden en que ellas sern conducidas.

18
 ISO/FDIS 22301

8.4.3.2 Otros requerimientos legales

La organizacin debe establecer, implementar y mantener un procedimiento para identificar, tener

acceso y evaluar la aplicabilidad de requerimientos legales y otros requerimientos a los cuales la
organizacin se suscribe en relacin a la continuidad de sus operaciones, productos y servicios, as
como a las partes interesadas.

La organizacin debe asegurar que los requerimientos legales aplicables y otros requerimientos a los
cuales la organizacin se haya suscrito, se consideren en el establecimiento, implementacin y en el
mantenimiento de su SGCN.

La organizacin debe documentar su informacin y mantenerla actualizada. Novedades y

actualizaciones en requerimientos legales deben ser comunicados a los empleados o partes
interesadas afectadas.

8.4.3.3 Anlisis del Impacto

La organizacin debe establecer, implementar y mantener una documentacin formal del proceso de
evaluacin para determinar continuidad y prioridades de recuperacin, objetivos y metas. Este
proceso debe incluir evaluacin de impactos de actividades de interrupcin que apoyan a los
productos y servicios organizacionales.

El anlisis de impacto debe incluir lo siguiente:

a) Identificacin de actividades que apoyan la provisin de productos y servicios;

b) Evaluacin en el tiempo, los impactos de no estar realizando estas actividades;

c) Estableciendo y priorizando tiempos para reanudar estas actividades de manera especfica a un

nivel mnimo aceptable, tomando en consideracin los impactos que tendra la no reanudacin;

d) Identificacin de dependencias y recursos de apoyo de estas actividades, incluyendo suplidores,

compaeros de outsourcing y partes interesadas relevantes.

8.4.3.4 Evaluacin del riesgo

La organizacin debe establecer, implementar y mantener en proceso documentado de evaluacin

del riesgo que de manera sistemtica identifique, analice y evale los riesgos de interrupciones de
eventos a la organizacin. Este proceso debe hacerse en concordancia con el ISO 31000.

La organizacin debe:

a) Identificar riesgos de una interrupcin a las actividades priorizadas de la organizacin y procesos,

sistemas de informacin, personas, activos, compaeros de outsource y otros recursos que los
apoyan;

b) Analizar sistemticamente el riesgo;

c) Evaluar que interrupcin relacionada con qu riesgo requiere tratamiento; y

d) Identificar tratamientos conmensurables con objetivos de recuperacin y con la continuidad del

negocio y en concordancia con el apetito al riesgo de la organizacin.

NOTA, la organizacin debiera estar consciente que ciertas obligaciones financieras o

gubernamentales requieren la comunicacin de estos riesgos en ciertos grados de detalle. En adicin,

19
 ISO/FDIS 22301

ciertas necesidades de la sociedad requieren la garanta de esta informacin en cierto grado de

detalle.

8.4.4 Opciones de continuidad del negocio

8.4.4.1 Determinacin y seleccin

Determinacin y seleccin de opciones deben ser basadas en los resultados del anlisis de impacto y
de la evaluacin del riesgo.

La organizacin debe determinar apropiadas opciones de tratamiento para:

a) Proteger actividades priorizadas;

b) Estabilizando, continuando, reanudando y recuperando actividades priorizadas y sus

dependencias y recursos de apoyo; y

c) Mitigando, respondiendo y gestionando impactos.

La determinacin de opciones debe incluir establecer tiempos priorizados para la reanudacin de

actividades en relacin a su MTPD.

8.4.4.2 Estableciendo requerimientos de recursos

La organizacin debe determinar los recursos requeridos para implantar las opciones seleccionadas.
Los tipos de recursos considerados deben incluir:

a) Personas;

b) Informacin y datos;

c) Edificios, ambiente laboral y servicios pblicos asociados;

d) Facilidades, equipos y consumibles;

e) Tecnologa de informacin;

f) Transporte;

g) Finanzas; y

h) Socios y suplidores.

La organizacin debe escoger e implementar apropiadas estrategias de recuperacin y contingencias

comerciales para obtener y operar recursos requeridos por el proceso crtico de recuperacin en
concordancia con el apetito al riesgo.

8.4.4.3 Proteccin y mitigacin

Para los riesgos identificados que requieren tratamiento, la organizacin debe considerar medidas
proactivas que:

a) Reduzcan la probabilidad de interrupcin;

b) Aminoren el periodo de interrupcin; y

20
 ISO/FDIS 22301

c) Limiten el impacto de la interrupcin en los productos y servicios de la organizacin.

La organizacin debe escoger e implementar un apropiado tratamiento al riesgo en concordancia con

su nivel de aceptacin del riesgo.

8.5 Desempendose

8.5.1 Desarrollando e implementando una respuesta a la continuidad del negocio

La organizacin debe establecer, implementar y mantener procedimientos para la continuidad del

negocio, que le permitan gestionar un evento alterador y poder continuar sus actividades basados en
objetivos de recuperacin, identificados en el anlisis de impacto.

La organizacin debe documentar procedimientos (incluyendo arreglos necesarios) para asegurar

continuidad de las actividades y gestin de un evento alterador.

Los procedimientos deben:

a) Establecer los respectivos protocolos de comunicacin tanto internos como externos;

b) Ser especficos en relacin a los pasos que se deben seguir durante una interrupcin;

c) Ser flexibles para responder a un escenario de amenaza y cambios, tanto internos como
externos;

d) Focalizarse en el impacto de eventos que pudiesen potencialmente interrumpir operaciones;

e) Desarrollados en base a enunciados de presuposiciones y en un anlisis de interdependencia; y

f) Efectivos en minimizar consecuencias sobre la implementacin de estrategias de mitigacin

apropiadas.

8.5.2 Estructura de respuesta

La organizacin debe establecer e implementar procedimientos y una estructura de gestin para

preparar, mitigar y responder a un evento alterador utilizando personal con la necesaria autoridad,
experiencia y competencia.

La estructura de respuesta debe:

a) Identificar los impactos que pudiesen justificar la iniciacin de un potencial impacto.

b) Evaluar la naturaleza y extensin de un evento alterador o el potencial impacto.

c) Iniciar una apropiada respuesta a la continuidad del negocio;

d) Tener procesos o procedimientos para la activacin, operacin, coordinacin y comunicacin de

la respuesta;

e) Tener recursos disponibles para apoyar los procesos y procedimientos para gestionar un evento
alterador o trabajo para minimizar el impacto; y

f) Comunicarse con las partes interesadas y autoridades, as como con los medios.

21
 ISO/FDIS 22301

8.5.3 Aviso y comunicacin

La organizacin debe establecer, implementar y mantener procedimientos para:

a) Deteccin de un incidente.

b) Continuar monitoreando el incidente.

c) Comunicacin interna en la organizacin entre varios niveles y funciones en la organizacin;

d) Comunicacin externa con organizaciones y otros grupos de inters;

e) Recibiendo, documentando y respondiendo a comunicacin de otros grupos de inters;

f) Recibiendo, documentando y respondiendo a cualquier organismo de consulta sobre riesgos, bien

sea nacional o regional;

g) Alertando a las partes interesadas sobre el potencial de ser impactados por un incidente
alterador;

h) Asegurando disponibilidad de medios de comunicacin durante un incidente alterador;

i) Facilitando una comunicacin estructurada a organizaciones de emergencia;

j) Asegurando una interoperabilidad con mltiples organizaciones y personas;

k) Registrando la informacin vital sobre el incidente, acciones tomadas y decisiones; y

l) Operaciones de una facilidad para comunicaciones.

La organizacin debe decidir, utilizando la salvaguarda humana como la primera prioridad y en

consulta con sus grupos de inters, si se debe comunicar externamente sobre la significancia de los
riesgos y sus impactos y documentar la decisin. Si la decisin es de comunicar, la organizacin debe
establecer e implementar procedimientos para las comunicaciones externas, alertas y avisos,
incluyendo los medios en la medida que sea apropiado.

La comunicacin y avisos debe ser ejercitada de manera regular.

8.5.4 Respuesta

La organizacin debe denominar a personas para responder a incidentes, con la necesaria

responsabilidad, autoridad y competencia para gestionar el incidente.

La organizacin debe establecer una estructura para responder a incidentes que permita al personal:

a) Confirmar la naturaleza y extensin del ambiente;

b) Iniciar la apropiada respuesta;

c) Tener procesos y procedimientos para la activacin, operacin, coordinacin y comunicacin de

la respuesta al incidente;

d) Tener recursos disponibles para apoyar los procesos y procedimientos para gestionar el
incidente; y

22
 ISO/FDIS 22301

e) Comunicacin con partes interesadas.

8.5.5 Planes de continuidad del negocio

La organizacin debe establecer planes documentados que detallen como la organizacin maneja un
evento alterador y como se recuperar o mantendr actividades a un nivel predeterminado basado en
objetivos de recuperacin, aprobados por la direccin.

Cada plan debe definir:

a) Propsito y alcance;

b) Objetivos y medidas de xito;

c) Criterio de activacin y procedimientos;

d) Procedimientos de implementacin;

e) Roles, responsabilidades y autoridades;

f) Requerimientos de comunicacin y procedimientos;

g) Interdependencias e interacciones tanto internas como externas;

h) Requerimientos de recursos; y

i) Flujo de informacin y proceso de documentacin.

La organizacin debe peridicamente ejercitar, revisar y (cuando sea necesario) revisar sus planes de
continuidad del negocio, particularmente, despus de una ocurrencia de un evento alterador y su
revisin posterior asociada.

8.5.6 Procedimiento respuesta a requerimientos

La organizacin debe tener documentados procedimientos para responder a incidentes alteradores.

Tales procedimientos deben atender los requerimientos de aquellos que los usen, y deben incluir:

a) Inicialmente respondiendo a un incidente, evaluando el incidente y gestionando cualquier

amenaza inmediata;

b) Asegurando que la organizacin tenga una capacidad mnima aceptable proporcional al alcance
de su SGCN; y

c) La estabilidad, continuidad y requerimientos de recuperacin de las actividades priorizadas de la

organizacin.

8.5.7 Contenido del procedimiento de respuesta

Los procedimientos de respuesta deben contener colectivamente:

a) Roles y responsabilidades definidas para personas y equipos que tengan autoridad durante y
despus de un incidente;

b) Un proceso para activar la respuesta;

23
 ISO/FDIS 22301

c) Detalles para manejar las inmediatas consecuencias de una alteracin al negocio, en relacin a:

1) Bienestar de las personas,

2) Opciones estratgicas y operacionales para responder a una alteracin, y

3) Prevencin de prdidas futuras o no disposicin de actividades priorizadas.

d) Detalles sobre cmo y bajo qu circunstancias la organizacin se comunica con empleados y sus
familiares, grupos de inters y contactos de emergencia;

e) Detalles sobre respuesta a los medios en la organizacin, despus de un incidente incluyendo:

1) Estrategia para comunicar el incidente,

2) Interface preferida con los medios,

3) Lineamiento para elaborar una comunicacin a los medios, y

4) Representante apropiado.

f) Proceso de restablecimiento una vez termine el incidente.

8.5.8 Recuperacin

La organizacin debe documentar procedimientos para restablecer y retornar las operaciones del
negocio de las medidas temporales adoptadas para apoyar los requerimientos del negocio despus
de un incidente.

Debe haber procedimientos documentados para asegurar que las responsabilidades son ejercidas
para cumplir con auditora y requerimientos del gobierno corporativo durante la restauracin y retorno
a las operaciones normales del negocio.

8.5.9 Comunicacin y consulta

La organizacin debe establecer, implementar y mantener procedimientos para:

a) Manejo comunicacin interna entre partes interesadas y empleados en la organizacin;

b) Manejo comunicacin externa entre clientes, socios, comunidad y otras partes interesadas;

c) Recibiendo documentacin y respondiendo a comunicacin a partes interesadas internas como

externas;

d) Adaptando e integrando un sistema de consulta nacional o regional o su equivalente para el uso

de operaciones y planificaciones;

e) Alertar a potenciales grupos de inters impactados por un evento alterador;

f) Asegurando disponibilidad de los medios de comunicacin durante un evento alterador;

g) Facilitar comunicacin estructurada con apropiadas autoridades y asegurar la interoperatividad de

distintas organizaciones y personal, cuando sea apropiada; y

24
 ISO/FDIS 22301

h) Operando y probando las capacidades de comunicacin para usar durante una alteracin de las
comunicaciones normales.

8.6 Chequeando

8.6.1 Ejercicios y Ensayos

La organizacin debe ejercitar y ensayar sus procedimientos de continuidad para asegurar que son
consistentes con los objetivos del SGCN.

La organizacin debe conducir ejercicios y ensayos para permitir:

a) Consistencia con el alcance del SGCN;

b) Estar basados en escenarios que estn bien planificados con respectivos propsitos y objetivos;

c) Poder en el tiempo validar todos los arreglos de continuidad;

d) Minimizar el riesgo de una alteracin a las operaciones y al potencial de causar riesgo a

operaciones y activos;

e) Producir informes post ejercicios formalizados que contengan resultados, recomendaciones e

implementacin de mejoras;

f) Sean revisadas con el nimo de promover la mejora continua;

g) Sean conducidos a intervalos planificados y cuando hayan cambios significativos en la

organizacin o en el ambiente donde se opere.

8.6.2 Monitoreo de desempeo

Los procedimientos para monitoreo del desempeo deben proveer:

a) El establecimiento de mtricas apropiadas a las necesidades de la organizacin;

b) Monitoreo para verificar hasta que puntos la poltica de continuidad, objetivos y metas son
alcanzadas;

c) Desempeo de los procesos, procedimientos y funciones que protegen sus actividades

priorizadas;

d) Monitoreo de la conformidad;

e) Monitorear evidencia histrica de deficiencias en el desempeo del SGCN, falsas alarmas, fallas,
incidentes;

f) Registro de datos y resultados del monitoreo y medicin suficiente para facilitar una subsecuente
investigacin de acciones correctivas y preventivas.

8.7 Revisin

8.7.1 Revisin gerencial

La alta direccin debe revisar los reportes del SGCN. Esto debe incluir:

25
 ISO/FDIS 22301

a) Resultados de auditoras al SGCN y revisiones, incluyendo a suplidores clave y socios cuando

sea apropiado;

b) Tcnicas, productos o procedimientos que pudiesen ser usados en la organizacin para mejorar
el SGCN;

c) Estado de las acciones correctivas y preventivas;

d) Resultados de los ejercicios y ensayos;

e) Vulnerabilidades o amenazas no tratadas adecuadamente en evaluaciones del riesgo previas;

f) Resultados de mediciones de eficacia;

g) Acciones de seguimiento de revisiones por la direccin previas;

h) Cualquier cambio que pudiera afectar al SGCN, bien sea interno o externo al alcance del SGCN;

i) Adecuacin de la poltica;

j) Recomendaciones para la mejora;

k) Lecciones que se desarrollan de incidentes;

l) Buenas prcticas y guas emergentes;

El resultado de las revisiones por la direccin debe incluir cualquier decisin y acciones relacionadas
a lo siguiente:

m) Variaciones en el alcance del SGCN;

n) Mejora en la efectividad del SGCN;

o) Actualizacin de la evaluacin del riesgo, anlisis de impacto y procedimientos de preparacin y

respuesta;

p) Modificacin de procedimientos y controles que afectan a los riesgos como sea necesario,
responder a eventos internos y externos que pudiesen impactar el SGCN, incluyendo cambios a:

1) Requerimientos del negocio y operacionales,

2) Reduccin del riesgo y requerimientos de seguridad,

3) Procesos de condiciones operativas que afecten a requerimientos operacionales existentes,

4) Requerimientos legales o regulatorios,

5) Obligaciones contractuales,

6) Niveles de riesgo y criterios de aceptacin del riesgo,

7) Necesidades de recursos,

26
 ISO/FDIS 22301

8) Requerimientos de fondos y presupuesto, y

9) Mejoras sobre como la efectividad de los controles est siendo medida.

8.7.2 Evaluacin de procedimientos de continuidad

La organizacin debe conducir evaluaciones de sus procedimientos de continuidad y capacidades

para poder asegurar su continua adecuacin, conveniencia y efectividad.

Esta evaluacin debe ser hecha a travs de revisiones peridicas, ejercicios, ensayos y reportes de
post incidentes y evaluaciones del desempeo.

Cambios significativos en estos factores deben estar reflejados en los procedimientos en un tiempo
oportuno.

La organizacin debe peridicamente evaluar la conformidad con requerimientos regulatorios,

legales, mejores prcticas de la industria y conformidad con su sistema de gestin de continuidad,
polticas y objetivos.

La organizacin debe conducir evaluaciones a intervalos planeados y cuando cambios significativos

ocurran.

Cuando un incidente alterador ocurre y se invocan a los procedimientos de continuidad, la

organizacin debe realizar una revisin post incidente y registrar los resultados.

Registros de las peridicas evaluaciones y de sus resultados deben ser mantenidos.

9 Evaluacin del desempeo

9.1 Monitoreo y revisin

El desempeo de la organizacin debe ser monitoreado, medido y analizado para poder evaluar la
efectividad de su SGCN.

La organizacin debe determinar:

- Que debe ser monitoreado y medido;

- Cundo y dnde el monitoreo y medicin deben desempearse;

- Cundo y dnde el anlisis y evaluacin de resultados del monitoreo deben desempearse.

La organizacin debe determinar los controles necesarios para el monitoreo y equipos de medicin en
la manera que sea aplicable para asegurar resultados vlidos.

Tomar accin cuando sea necesario para atender tendencias adversas o resultados (ver 6.2).

La organizacin debe retener informacin documentada relevante como evidencia de los resultados.

9.2 Auditora interna

La organizacin debe conducir auditoras internas a intervalos planeados para proveer informacin
para asistir en la determinacin del SGCN:

a) Conformidad con:
27
 ISO/FDIS 22301

1) Los requerimientos de la organizacin para su SGCN;

2) Requerimientos de este estndar internacional.

b) Est implantado efectivamente y mantenido.

La organizacin debe:

c) Planear, establecer, implementar y mantener un programa de auditora, tomando en

consideracin la importancia de sus actividades y procesos y los resultados de auditoras previas;

d) Definir el criterio de auditora, alcance, frecuencia, mtodos, responsabilidades, requerimientos de

planeacin y reportes;

e) Seleccionar auditores y conducir las auditoras para asegurar objetividad e imparcialidad en el

proceso de auditora;

f) Asegurar que los resultados de las auditoras son reportadas a la gerencia responsable por el
rea que se audita;

g) Retener informacin documentada relevante como evidencia de los resultados.

El programa de auditora, incluyendo cronogramas, debe estar basado en resultados de la evaluacin

del riesgo de las actividades de la organizacin y de los resultados de previas auditoras.

El procedimiento de auditora debe cubrir el alcance, frecuencia, metodologas y competencias, as

como responsabilidades y requerimientos para conducir auditoras y reporte de resultados.

Los auditores no pueden auditar su propio trabajo.

La gerencia responsable por el rea siendo auditada, debe asegurar que cualquier correccin
necesaria y acciones correctivas se tomen sin ninguna demora para eliminar las no conformidades
detectadas y sus causas.

Actividades de seguimiento deben incluir la verificacin de las acciones tomadas y el reporte de

verificacin de resultados.

9.3 Revisin por la direccin

La alta gerencia debe revisar el SGCN de la organizacin a intervalos planificados, para asegurar su
conveniente continuidad, adecuacin y efectividad.

Las revisiones por la direccin deben considerar el desempeo de la organizacin, incluyendo:

a) Acciones de seguimiento de previas revisiones;

b) La necesidad de cambios al SGCN, incluyendo la poltica y objetivos; y

c) Oportunidades de mejora.

La organizacin deber:

- Comunicar los resultados de la revisin por la direccin a partes interesadas;

- Toma accin apropiada en relacin a esos resultados;

28
 ISO/FDIS 22301

- Retener informacin documentada como evidencia de los resultados de las revisiones por la
direccin.

10 Mejoramiento

10.1 No conformidad y accin correctiva

La organizacin debe:

a) Identificar no conformidades;

b) Reaccionar a las no conformidades y cuando sea aplicable:

1) Tomar acciones para controlar, contener y corregirla,

2) Tratar las consecuencias.

La organizacin tambin debe evaluar la necesidad de acciones para eliminar las causas de no
conformidades, incluyendo:

c) Revisin de no conformidades;

d) Determinar las causas de no conformidades;

e) Evaluar la necesidad de accin para asegurar que no haya recurrencia de las no conformidades;

f) Determinar e implementar acciones necesarias; y

g) Revisin de la efectividad de las acciones correctivas tomadas.

Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas.

La organizacin debe asegurar que cualquier cambio necesario sea hecho al SGCN.

La organizacin debe retener informacin documentada como evidencia de:

- La naturaleza de la no conformidad y cualquier subsecuente accin tomada.

- Las acciones correctivas y sus resultados.

10.2 Mejoramiento continuado

La organizacin debe continuamente mejorar la efectividad del SGCN.

29
 ISO/FDIS 22301

Referencias Bibliogrficas

[1] ISO 9001:2008, Quality management systems - Requirements

[2] ISO 14001:2004, Environmental management systems Requirements with guidance for use

[3] ISO/IEC 20000-1:2005 Information Technology Service Management -

[4] ISO/PAS 22399:2007, Societal security Guideline for incident preparedness and operational
continuity management

[5] ISO/IEC 24762, Information technology Security techniques Guidelines for information and
communications technology disaster recovery services

[6] ISO/IEC 27001:2005 (Information Security Management Systems

[7] ISO/IEC 27031, ICT readiness for business continuity

[8] ISO 31000:2009, Risk Management Principles and Guidelines

[9] ISO/IEC 31010:2009, Risk management Risk assessment techniques

[10] BS 25999-1:2006, Business continuity management Code of practice, BSI British Standards

[11] BS 25999-2:2007, Business continuity management Specification, BSI British Standards

[12] HB 221:2004, Business continuity management Standards Australia/Standards New Zealand,

ISBN 0-7337-6250-6

[13] SI 24001:2007, Security and continuity management systems Requirements and guidance for
use, Standards Institution of Israel

[14] NFPA 1600:2010, Standard on disaster/emergency management and business continuity

programs, National Fire Protection Association (USA)

[15] Business Continuity Plan Drafting Guideline, Ministry of Economy, Trade and Industry (Japan),
2005

[16] Business Continuity Guideline, Central Disaster Management Council, Cabinet Office,
Government of Japan, 2005

[17] Organizational Resilience: Security, preparedness, and Continuity Managements Systems

Requirements with Guidance for Use, ASIS SPC.1-2009

[18] Singapore Standard for Business Continuity Management, SS 540:2008

30