Documentación obligatoria requerida por el ISO 22301 #BusinessContinuity
En un post anterior, habíamos comentado acerca de la documentación propia de la gestión de continuidad del negocio que debe mantenerse, permitiendo así (a) gestionar el programa de continuidad de manera efectiva; (b) demostrar y evidenciar dicha efectividad; y (c) permitir una respuesta oportuna y eficaz ante un incidente de interrupción.
El especialista en continuidad de negocios y seguridad de la información, Dejan Kosutic, preparó una compilación de los documentos (registros) a mantener siguiendo estrictamente los lineamientos de la norma ISO 22301, a fin de gestionar adecuadamente el SGCN (sistema de gestión de continuidad del negocio):
Fuente:
Kosutic, D. (2013, septiembre). Mandatory documents required by ISO 22301. 27001 Academy. Recuperado de http://advisera.com/27001academy/knowledgebase/mandatory-documents-required-by-iso-22301/
El especialista en continuidad de negocios y seguridad de la información, Dejan Kosutic, preparó una compilación de los documentos (registros) a mantener siguiendo estrictamente los lineamientos de la norma ISO 22301, a fin de gestionar adecuadamente el SGCN (sistema de gestión de continuidad del negocio):
- Procedimiento para la identificación de los requisitos legales y regulatorios aplicables (cláusula 4.2.2) - define quién es responsable de su cumplimiento.
- Lista de requisitos legales, regulatorios y otros similares (cláusula 4.2.2) - enumera todo lo que debe cumplirse.
- Alcance del SGCN y sustento de las exclusiones (cláusula 4.3) - define donde se implementará el SGCN.
- Política de continuidad de negocios (cláusula 5.3) - define los roles y responsabilidades principales y la propósito de la dirección.
- Objetivos de continuidad de negocios (cláusula 6.2) - Define objetivos medibles que se desean alcanzar con la continuidad del negocio.
- Competencias del personal (cláusula 7.2) - define el conocimiento y las habilidades necesarias.
- Comunicación con los grupos de interés (cláusula 7.4) - Define qué grupos de interés existen y cómo comunicarse con ellos.
- Proceso para el análisis de impacto al negocio y la evaluación de riesgos (cláusula 8.2.1) - define la metodología para el BIA y RA.
- Resultados del análisis de impacto al negocio (cláusula 8.2.2) - documenta los resultados del BIA.
- Resultados de la evaluación de riesgos (cláusula 8.2.3) - documenta los resultados del RA.
- Procedimientos de continuidad de negocios (cláusula 8.4.1) - incluyen la respuesta a incidentes, los procedimientos de recuperación y de continuidad del negocio.
- Procedimientos de respuesta a incidentes (cláusula 8.4.2) - Definen cómo responder inicialmente a los incidentes.
- Decisión de si los riesgos e impactos deben ser comunicados externamente (cláusula 8.4.2) - esto es realizado por el gestor de la crisis.
- Comunicación con los grupos de interés, incluido la coordinación con las autoridades y entidades nacionales o regionales (cláusula 8.4.3) - esto puede ser documentado a través de correos electrónicos, actas, notas, etc.
- Registros de información importante sobre los incidentes, las medidas adoptadas y las decisiones tomadas (cláusula 8.4.3) - normalmente esto se hace a través de actas o bitácoras.
- Procedimientos para responder integralmente a incidentes de interrupción (cláusula 8.4.4) - incluyendo los planes de continuidad del negocio, los planes de recuperación, así como los planes de recuperación de desastres.
- Procedimientos para restaurar y retornar a la operativa regular a partir de las medidas ejecutadas de carácter temporal (cláusula 8.4.5) - son los procedimientos sobre qué hacer después de que las operaciones han sido recuperadas.
- Resultados de las acciones para evitar tendencias o resultados adversos (cláusula 9.1.1) - son básicamente las acciones preventivas.
- Datos y resultados de seguimiento y medición (cláusula 9.1.1) - evaluación del cumplimiento de los objetivos del SGCN.
- Resultados de la revisión post incidente (cláusula 9.1.2) - básicamente es una evaluación de la eficacia de la continuidad del negocio ante una situación real.
- Resultados de la auditoría interna (cláusula 9.2) - este es el informe de auditoría interna.
- Resultados de la revisión por la dirección (cláusula 9.3) - por lo general, en forma de actas o tal vez decisiones documentadas.
- Naturaleza de las no conformidades y las acciones tomadas (cláusula 10.1) - descripción de las no-conformidades y sus causas.
- Resultados de las acciones correctivas (cláusula 10.1) - descripción de lo que se ha hecho para eliminar la causa de una no-conformidad.
Fuente:
Kosutic, D. (2013, septiembre). Mandatory documents required by ISO 22301. 27001 Academy. Recuperado de http://advisera.com/27001academy/knowledgebase/mandatory-documents-required-by-iso-22301/
Comentarios
Publicar un comentario