SGCN Iso 22301

SGCN ISO 22301
Sistema de Gestión de Continuidad de Negocio

ISO 22301 es una norma internacional de gestión de continuidad de negocio. Esta ha sido
creada en respuesta a la fuerte demanda internacional que obtuvo la norma británica original,
BS 25999-2 y otras normas.
ISO 22301 identifica los fundamentos de un Sistema de Gestión de la Continuidad de negocio,

estableciendo el proceso, los principios y la terminología de gestión de continuidad de negocio.
Proporciona una base de entendimiento, desarrollo e implantación de continuidad de

negocio dentro de la organización. Se usa para asegurar a las partes interesadas clave que su
empresa está totalmente preparada y que puede cumplir con los requisitos internos,
regulatorios y del cliente.
La norma proporciona a las organizaciones un marco que asegura que ellos pueden continuar
trabajando durante las circunstancias más difíciles e inesperadas, siempre protegiendo a sus
empleados, manteniendo su reputación y proporcionando la capacidad de continuar
trabajando y comercializando.
La norma ISO 22301 puede ser aplicada a todo tipo y tamaño de organizaciones que quieran:
Establecer, implantar, mantener y mejorar un SGCN.
Demostrar conformidad con la política establecida de la continuidad de negocio de la

organización.
Dar a las partes interesadas confianza en su conformidad y compromiso con las buenas
prácticas reconocidas internacionalmente.
Norma ISO 22301

Estructura de la norma ISO 22301
La norma ISO 22301 está organizada según la siguiente estructura:
1. Ámbito de aplicación.
2. Referencias normativas.
3. Términos y definiciones.
4. Contexto de la organización. Consiste en identificar el alcance del SGCN, teniendo en
cuenta los objetivos estratégicos de la organización, sus productos y servicios claves,
su tolerancia al riesgo, así como cualquier obligación reglamentaria.
5. Liderazgo. La alta dirección debe demostrar un compromiso continuo con el SGCN. A
través de su liderazgo y acciones, la dirección puede crear un ambiente en el cual el
personal esté completamente involucrado y el sistema de gestión pueda funcionar de
manera eficaz en sinergia con los objetivos de la organización.
6. Planificación. Se establecen objetivos estratégicos y principios para la orientación
del SGCN en su totalidad.
7. Soporte. La gestión diaria de un Sistema de Gestión de la Continuidad de Negocio, se
basa en el uso de los recursos apropiados para cada actividad. Estos recursos incluyen
personal competente, toma de conciencia y comunicación, etc. todo esto debe estar
apoyado por la documentación que sea necesaria.
8. Operación. Después de la planificación del SGCN, la organización debe ponerlo en
funcionamiento.
9. Evaluación del desempeño. La norma ISO 22301 requiere un seguimiento permanente
del sistema, así como revisiones periódicas para mejorar su operación.
10. Mejora. La organización puede mejorar continuamente la eficacia de su sistema de
gestión a través del uso de la política de continuidad de negocio, los objetivos, los
resultados de auditorías, los indicadores, las acciones correctivas y preventivas y la
revisión por la dirección.
Software para ISO 22301

La Plataforma ISOTools facilita la automatización de la ISO 22301
La Plataforma Tecnológica ISOTools facilita la implementación, automatización y

mantenimiento del SGCN según ISO22301.
Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar) ,
ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos,
naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su
actividad.
ISOTools garantiza la continuidad de negocio, ya que identifica y gestiona fácilmente los

riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de
este modo la organización está preparada para actuar en caso de que se sucedan.
Este software permite la integración del estándar ISO 22301 con otras normas, tales como ISO
9001, ISO 14001 y OHSAS 18001, de forma sencilla gracias a su estructura modular.
Cómo poner en funcionamiento el SGCN en la

organización: ISO 22301
19 MARZO, 2014
ISO 22301
ISO 22301
ISO 22301 da lugar a la implantación de un Sistema de Gestión de la Continuidad del
Negocio, el cual permite a las empresas controlar continuamente los riesgos de su negocio
y saber cuál es el nivel de preparación ante situaciones imprevisibles con el que cuenta la
misma para hacerle frente.
El SGCN ayuda a reducir el impacto de posibles incidentes en el negocio:

 Disminuyendo costes generales
 Garantizando la dirección corporativa

 Cumpliendo con las exigencias aplicables
 Haciendo que la cadena de suministro sea cada vez más solida y fiable
 Protegiendo y haciendo que su imagen corporativa adquiera más prestigio
 Creando un ambiente de seguridad y franqueza con los empleados, clientes, proveedores e
interesados
La principal norma internacional para un SGCN es la norma ISO22301 desarrollada para

ayudar a las empresas a lo indicado anteriormente.
Los requisitos establecidos en la norma ISO-22301 para programar, implantar, especificar,

elaborar, controlar, mejorar continuamente un SGCN son comunes y procuran ser de
aplicación a todas las organizaciones con independencia del tipo, naturaleza o tamaño. La
aplicación de estos requisitos depende de la complejidad de la empresa y del entorno
operativo.
ISO 22301 hace que la estandarización de la continuidad de negocio se produzca

añadiendo:
 Perspectivas claras y precisas sobre la dirección

 Mayor redundancia en la creación de objetivos, búsqueda del desempeño y de los
indicadores
 Proyección y organización de los recursos necesarios con más detenimiento para la
continuidad del negocio
El proceso de planificación de continuidad del negocio se realiza de la siguiente manera:
 Involucrando a la dirección en los procesos de un SGCN

 Transmitir la necesidad de establecer un SGCN
 Instaurar un Comité de Proyecto
 Reconocer y efectuar los requerimientos presupuestales
 Desarrollar y combinar las actividades de implementación del SGCN
 Reconocer los grupos de planificación y sus respectivas obligaciones o responsabilidades.
 Dar respuesta a las exigencias de la dirección y de la documentación de los procesos del
SGCN
 Lograr la aprobación de la evolución del proyecto
La Plataforma Tecnológica ISOTools facilita la aportación del conjunto documental

requerido por ISO 22301 para su SGCN, automatizándolo y permitiendo un mejor acceso a
dicha información.
Gobierno de las TIC ISO/IEC 38500
Antecedentes
Gobierno de las TIC (IT governance) ya tiene una norma ISO asociada, la ISO/ IEC 38500:2008
“Corporate governance of information technology” que viene a complementar el conjunto de estándares
ISO que afectan a los sistemas y tecnologías de la información (ISO/IEC 27000, ISO/IEC 20000, ISO/IEC
15504, ISO/IEC 24762, etc.).
Esta nueva norma fija los estándares para un buen gobierno de los procesos y decisiones empresariales
relacionados con los servicios de información y comunicación que, suelen estar gestionados tanto por
especialistas en TIC internos o ubicados en otras unidades de negocio de la organización, como por
proveedores de servicios externos.
En esencia, todo lo que esta norma propone puede resumirse en tres propósitos fundamentales:
 Asegurar que, si la norma es seguida de manera adecuada, las partes implicadas (directivos,
consultores, ingenieros, proveedores de hardware, auditores, etc.), puedan confiar en el gobierno
corporativo de TIC.
 Informar y orientar a los directores que controlan el uso de las TIC en su organización.
 Proporcionar una base para la evaluación objetiva por parte de la alta dirección en el gobierno de
las TIC.
La norma ISO/IEC 38500:2008 se publicó en junio de 2008 en base a la norma australiana AS8015:2005.
Es la primera de una serie sobre normas de gobierno de TIC.
Su objetivo es proporcionar un marco de principios para que la dirección de las organizaciones lo utilicen
al evaluar, dirigir y monitorizar el uso de las tecnologías de la información y comunicaciones (TICs).
Está alineada con los principios de gobierno corporativo recogidos en el “Informe Cadbury” y en los
“Principios de Gobierno Corporativo de la OCDE.”
Alcance, Aplicación y Objetivos

La norma se aplica al gobierno de los procesos de gestión de las TICs en todo tipo de organizaciones que
utilicen (hoy todas) las tecnologías de la información, facilitando unas bases para la evaluación objetiva
del gobierno de TIC.
Dentro de los beneficios de un buen gobierno de TIC estaría la conformidad de la organización con:
 Los estándares de seguridad

 Legislación de privacidad
 Legislación sobre el spam
 Legislación sobre prácticas comerciales
 Derechos de propiedad intelectual, incluyendo acuerdos de licencia de software
 Regulación medioambiental
 Normativa de seguridad y salud laboral
 Legislación sobre accesibilidad
 Estándares de responsabilidad social
También la búsqueda de un buen rendimiento de las TIC mediante:
 Apropiada implementación y operación de los activos de TIC

 Clarificación de las responsabilidades y rendición de cuentas en lograr los objetivos de la
organización
 Continuidad y sostenibilidad del negocio
 Alineamiento de las TICs con las necesidades del negocio
 Asignación eficiente de los recursos
 Innovación en servicios, mercados y negocios
 Buenas prácticas en las relaciones con los interesados (stakeholders)
 Reducción de costes
 Materialización efectiva de los beneficios esperados de cada inversión en TIC
Definiciones
La norma incluye 19 definiciones de términos, entre los que se pueden destacar los siguientes:
 Gobierno corporativo de TIC (corporate governance of IT)—El sistema mediante el cual se

dirige y controla el uso actual y futuro de las tecnologías de la información
 Gestión (management)—El sistema de controles y procesos requeridos para lograr los objetivos
estratégicos establecidos por la dirección de la organización. Está sujeta a la guía y
monitorización establecida mediante el gobierno corporativo.
 Interesado (stakeholder)—Individuo, grupo u organización que puede afectar, ser afectado, o
percibir que va a ser afectado, por una decisión o una actividad
 Uso de TIC (use of IT)—Planificación, diseño, desarrollo, despliegue, operación, gestión y
aplicación de TI para cumplir con las necesidades del negocio. Incluye tanto la demanda como la
oferta de servicios de TIC por unidades de negocio internas, unidades especializadas de TI,
proveedores externos y “utility services” (como los que se proveen de software como servicio).
 Factor humano (human behavior)—La comprensión de las interacciones entre personas y otros
elementos de un sistema con la intención de asegurar el bienestar de las personas y el buen
rendimiento del sistema. Incluye la cultura, necesidades y aspiraciones de las personas como
individuos y como grupo.
Principios
La norma define seis principios de un buen gobierno corporativo de TIC:
 Responsabilidad—Todo el mundo debe comprender y aceptar sus responsabilidades en la

oferta o demanda de TI. La responsabilidad sobre una acción lleva aparejada la autoridad para
su realización.
 Estrategia—La estrategia de negocio de la organización tiene en cuenta las capacidades
actuales y futuras de las TIC. Los planes estratégicos de TIC satisfacen las necesidades
actuales y previstas derivadas de la estrategia de negocio.
 Adquisición—Las adquisiciones de TI se hacen por razones válidas, en base a un análisis
apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado entre
beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo.
 Rendimiento—La TI está dimensionada para dar soporte a la organización, proporcionando los
servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras.
 Conformidad—La función de TI cumple todas las legislaciones y normas aplicables. Las
políticas y prácticas al respecto están claramente definidas, implementadas y exigidas.
 Factor humano—Las políticas de TIC, prácticas y decisiones demuestran respeto al factor
humano, incluyendo las necesidades actuales y emergentes de toda la gente involucrada.
Modelo La dirección ha de gobernar la TIC mediante tres tareas principales (figura 1):
 Evaluar—Examinar y juzgar el uso actual y futuro de las TIC, incluyendo estrategias, propuestas
y acuerdos de aprovisionamiento (internos y externos).
 Dirigir—Dirigir la preparación y ejecución de los planes y políticas, asignando las
responsabilidades al efecto. Asegurar la correcta transición de los proyectos a la producción,
considerando los impactos en la operación, el negocio y la infraestructura. Impulsar una cultura
de buen gobierno de TIC en la organización.
 Monitorizar—Mediante sistemas de medición, vigilar el rendimiento de la TIC, asegurando que
se ajusta a lo planificado.
Orientaciones y Prácticas
Para cada uno de los principios, la norma proporciona una breve guía u orientación sobre como evaluar,
dirigir y monitorizar la función de TIC (figura 2).
Son orientaciones muy generales que no incluyen mecanismos, técnicas o herramientas concretas a
utilizar.
Conclusiones
La importancia de un Sistema de Gobierno de ISO 38500 viene dado por las características propias del
mundo actual, el gobierno de las TIC constituyen el componente esencial para el logro de la excelencia y
competitividad requerida por la empresa moderna y esto es posible sólo mediante la profesionalidad de
sus gobernantes, gestores y resto del personal.
Es muy importante tener presente que el gobierno de TIC, implica el manejo los recursos más preciados
de una organización y como sistema su gestión no es responsabilidad exclusiva de una unidad
organizativa especializada, sino que implica a los administradores a todos los niveles.
Objetivos de la implantación de la ISO 38500:
1. Garantizar la excelencia en los procesos de negocio y/o servicio como factor esencial del
desarrollo de la actividad empresarial, mediante el empleo de administradores y trabajadores
Idóneos y debidamente calificados.
2. Garantizar la elaboración y puesta en práctica de las políticas de gobernabilidad de la empresa.
3. Diagnosticar los cambios organizativos y estructurales que se requieran en la empresa y
contribuir a perfeccionar los métodos y estilos de administración en función de propiciar una
mayor participación, compromiso, espíritu creativo e innovador y motivación de todos los
dirigentes y trabajadores para la formación de una cultura organizativa propia de la empresa.
4. Preparar a la empresa para que sea capaz de reaccionar con rapidez y eficiencia ante los
cambios del entorno y las demandas cuantitativas y cualitativas.
5. Cumplir con las leyes y regulaciones de la actividad en que se desempeñe.
6. Gestionar los riesgos de forma eficiente.

SGCN Iso 22301

Cargado por

Copyright:

Formatos disponibles

SGCN Iso 22301

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

SGCN Iso 22301

Cargado por

Copyright:

Formatos disponibles

SGCN ISO 22301

Sistema de Gestión de Continuidad de Negocio

ISO 22301 identifica los fundamentos de un Sistema de Gestión de la Continuidad de negocio,

Proporciona una base de entendimiento, desarrollo e implantación de continuidad de

Establecer, implantar, mantener y mejorar un SGCN.

Demostrar conformidad con la política establecida de la continuidad de negocio de la

Norma ISO 22301

La norma ISO 22301 está organizada según la siguiente estructura:

Software para ISO 22301

La Plataforma Tecnológica ISOTools facilita la implementación, automatización y

ISOTools garantiza la continuidad de negocio, ya que identifica y gestiona fácilmente los

Cómo poner en funcionamiento el SGCN en la

El SGCN ayuda a reducir el impacto de posibles incidentes en el negocio:

 Garantizando la dirección corporativa

La principal norma internacional para un SGCN es la norma ISO22301 desarrollada para

Los requisitos establecidos en la norma ISO-22301 para programar, implantar, especificar,

ISO 22301 hace que la estandarización de la continuidad de negocio se produzca

 Perspectivas claras y precisas sobre la dirección

El proceso de planificación de continuidad del negocio se realiza de la siguiente manera:

 Involucrando a la dirección en los procesos de un SGCN

La Plataforma Tecnológica ISOTools facilita la aportación del conjunto documental

Alcance, Aplicación y Objetivos

 Los estándares de seguridad

También la búsqueda de un buen rendimiento de las TIC mediante:

 Apropiada implementación y operación de los activos de TIC

 Gobierno corporativo de TIC (corporate governance of IT)—El sistema mediante el cual se

 Responsabilidad—Todo el mundo debe comprender y aceptar sus responsabilidades en la

También podría gustarte