Documentación obligatoria requerida por el ISO 22301 #BusinessContinuity

-
En un post anterior, habíamos comentado acerca de la documentación propia de la gestión de continuidad del negocio que debe mantenerse, permitiendo así (a) gestionar el programa de continuidad de manera efectiva; (b) demostrar y evidenciar dicha efectividad; y (c) permitir una respuesta oportuna y eficaz ante un incidente de interrupción.

El especialista en continuidad de negocios y seguridad de la información, Dejan Kosutic, preparó una compilación de los documentos (registros) a mantener siguiendo estrictamente los lineamientos de la norma ISO 22301, a fin de gestionar adecuadamente el SGCN (sistema de gestión de continuidad del negocio):
  • Procedimiento para la identificación de los requisitos legales y regulatorios aplicables (cláusula 4.2.2) - define quién es responsable de su cumplimiento.
  • Lista de requisitos legales, regulatorios y otros similares (cláusula 4.2.2) - enumera todo lo que debe cumplirse.
  • Alcance del SGCN y sustento de las exclusiones (cláusula 4.3) - define donde se implementará el SGCN.
  • Política de continuidad de negocios (cláusula 5.3) - define los roles y responsabilidades principales y la propósito de la dirección.
  • Objetivos de continuidad de negocios (cláusula 6.2) - Define objetivos medibles que se desean alcanzar con la continuidad del negocio.
  • Competencias del personal (cláusula 7.2) - define el conocimiento y las habilidades necesarias.
  • Comunicación con los grupos de interés (cláusula 7.4) - Define qué grupos de interés existen y cómo comunicarse con ellos.
  • Proceso para el análisis de impacto al negocio y la evaluación de riesgos (cláusula 8.2.1) - define la metodología para el BIA y RA.
  • Resultados del análisis de impacto al negocio (cláusula 8.2.2) - documenta los resultados del BIA.
  • Resultados de la evaluación de riesgos (cláusula 8.2.3) - documenta los resultados del RA.
  • Procedimientos de continuidad de negocios (cláusula 8.4.1) - incluyen la respuesta a incidentes, los procedimientos de recuperación y de continuidad del negocio.
  • Procedimientos de respuesta a incidentes (cláusula 8.4.2) - Definen cómo responder inicialmente a los incidentes.
  • Decisión de si los riesgos e impactos deben ser comunicados externamente (cláusula 8.4.2) - esto es realizado por el gestor de la crisis.
  • Comunicación con los grupos de interés, incluido la coordinación con las autoridades y entidades nacionales o regionales (cláusula 8.4.3) - esto puede ser documentado a través de correos electrónicos, actas, notas, etc.
  • Registros de información importante sobre los incidentes, las medidas adoptadas y las decisiones tomadas (cláusula 8.4.3) - normalmente esto se hace a través de actas o bitácoras.
  • Procedimientos para responder integralmente a incidentes de interrupción (cláusula 8.4.4) - incluyendo los planes de continuidad del negocio, los planes de recuperación, así como los planes de recuperación de desastres.
  • Procedimientos para restaurar y retornar a la operativa regular a partir de las medidas ejecutadas de carácter temporal (cláusula 8.4.5) - son los procedimientos sobre qué hacer después de que las operaciones han sido recuperadas.
  • Resultados de las acciones para evitar tendencias o resultados adversos (cláusula 9.1.1) - son básicamente las acciones preventivas.
  • Datos y resultados de seguimiento y medición (cláusula 9.1.1) - evaluación del cumplimiento de los objetivos del SGCN.
  • Resultados de la revisión post incidente (cláusula 9.1.2) - básicamente es una evaluación de la eficacia de la continuidad del negocio ante una situación real.
  • Resultados de la auditoría interna (cláusula 9.2) - este es el informe de auditoría interna.
  • Resultados de la revisión por la dirección (cláusula 9.3) - por lo general, en forma de actas o tal vez decisiones documentadas.
  • Naturaleza de las no conformidades y las acciones tomadas (cláusula 10.1) - descripción de las no-conformidades y sus causas.
  • Resultados de las acciones correctivas (cláusula 10.1) - descripción de lo que se ha hecho para eliminar la causa de una no-conformidad.

Fuente:
Kosutic, D. (2013, septiembre). Mandatory documents required by ISO 22301. 27001 Academy. Recuperado de http://advisera.com/27001academy/knowledgebase/mandatory-documents-required-by-iso-22301/

Comentarios

Publicar un comentario

Entradas populares de este blog

Mapa de suelos de Lima y Callao #BusinessContinuity #DisasterRecovery

-
Imagen
Extraído del Atlas de Peligros del Perú articulado por el Instituto Nacional de Defensa Civil (Indeci), en el mapa se muestran los resultados del estudio de microzonificación sísmica y tsunami realizado en 2010. Cada color indica una zona la cual corresponde un tipo de calidad de suelo: Peligro bajo (verde) : Está conformada por los afloramientos rocosos, los estratos de grava-aluvial de los pies de las laderas. Este suelo tiene un comportamiento rígido, con periodos de vibración natural. Peligro bajo Peligro relativamente bajo (amarillo) : Se incluyen las áreas de terreno conformado por un estrato superficial de suelo granulado fino y suelos arcillosos. Peligro relativamente bajo. Peligro alto (anaranjado) : Conformada en su mayor parte por los depósitos de suelos finos y arenas de gran espesor que se encuentran en estado suelto. Peligro alto. Peligro muy alto (rojo) : Conformada por los depósitos de arena eólicas de gran espesor y sueltas, depósitos fluviales, depósitos marin
Leer más

¿Qué dice la Ley 29783 (SST) sobre gestión de emergencias? #EmergencyPlanning #BusinessContinuity

-
Imagen
Mediante la ley de Seguridad y Salud en el Trabajo ( Ley N° 29783: 2011 ) y su reglamento respectivo  (D.S. 005.2012-TR), se estableció la obligación para las empresas de contar con un sistema de gestión en seguridad y salud en el trabajo ; el que especifica disposiciones legales específicas con respecto a la respuesta a situaciones de emergencia. En la Ley 29783 de Seguridad y Salud en el Trabajo (SST): Art. 39.- Objetivos de la Planificación del Sistema de Gestión de la Seguridad y Salud en el Trabajo . Con respecto al logro de resultados específicos, realistas y posibles de aplicar por la empresa; comprende (a) la mejora continua de los procesos, la gestión del cambio, la preparación y respuesta a situaciones de emergencia; y (b) la mejora del nivel de participación de los trabajadores y su capacitación.   En el Reglamento de la ley de SST: Art. 33.- Registros obligatorios del Sistema de Gestión de SST : g) […] registro de entrenamiento y simulacros de emergencia (
Leer más

Repasando el MTPD (o período máximo tolerable de interrupción)

-
Imagen
Acorde con la práctica estándar, las organizaciones determinan sus prioridades y requerimientos para el programa de continuidad del negocio, como parte del proceso de análisis de impacto o business impact analysis (BIA). Desde 2006 se introdujo un concepto para ayudar a determinar cómo debían priorizarse las actividades de las empresas ante un evento de interrupción y bajo qué condiciones estas debían ser recuperadas: el período máximo tolerable de interrupción o maximum tolerable period of disruption (MTPD). Image:  https://www.nbcnews.com/news/us-news/ditch-switch-call-go-permanent-daylight-saving-time-grows-n1043051 Según la norma internacional ISO 22301:2019, el MTPD es el período de tiempo dentro del cual, si no se pudieran reanudar las actividades, los impactos llegarían a ser inaceptables para la organización ; amenazando su supervivencia o haciendo que sus objetivos ya no sean alcanzables. Para poder identificar el MTPD para cada actividad, la organización debe decidir primer
Leer más