NORMA

ARGENTINA

IRAM-ISO
22301
Primera edicin

22301
2014

2014-12-22

Seguridad de la sociedad
Sistemas de gestin de la continuidad
del negocio
Requisitos
(ISO 22301:2012, IDT)
Societal security
Business continuity management systems
Requirements

Referencia Numrica:
IRAM-ISO 22301:2014

DOCUMENTO PROTEGIDO POR EL DERECHO DE PROPIEDAD INTELECTUAL

IRAM 2014-12-22
No est permitida la reproduccin de ninguna de las partes de esta publicacin por
cualquier medio, incluyendo fotocopiado y microfilmacin, sin permiso escrito del IRAM.

IR A M- I SO 22 3 01 :2 0 14

Prefacio
El Instituto Argentino de Normalizacin y Certificacin (IRAM) es
una asociacin civil sin fines de lucro cuyas finalidades especficas,
en su carcter de Organismo Argentino de Normalizacin, son
establecer normas tcnicas, sin limitaciones en los mbitos que
abarquen, adems de propender al conocimiento y la aplicacin de
la normalizacin como base de la calidad, promoviendo las
actividades de certificacin de productos y de sistemas de la
calidad en las empresas para brindar seguridad al consumidor.
IRAM es el representante de Argentina en la International
Organization for Standardization (ISO), en la Comisin
Panamericana de Normas Tcnicas (COPANT) y en la Asociacin
MERCOSUR de Normalizacin (AMN).
Esta norma es el fruto del consenso tcnico entre los diversos
sectores involucrados, los que a travs de sus representantes han
intervenido en los Organismos de Estudio de Normas
correspondientes.

Esta norma es una adopcin idntica (IDT) de la edicin en ingls

de la ISO 22301:2012 Societal security. Business continuity
management systems. Requirements, con los cambios siguientes:
En las definiciones de los apartados 3.45 y 3.48 se agreg una
nota IRAM. Tambin se agregaron dos anexos informativos, un
anexo con la bibliografa considerada y otro donde se indican los
organismos de estudio de la norma.

IR A M- I SO 22 3 01 :2 0 14

Prefacio ISO
ISO (Organizacin Internacional de Normalizacin) es
una federacin mundial de organismos Internacionales de
Normalizacin (ISO organismos miembros). El trabajo de
elaboracin de las normas internacionales normalmente, se
realiza a travs de los comits tcnicos. Cada organismo
miembro interesado en un tema, para el cual se ha establecido
un comit tcnico, tiene derecho a estar representado en dicho
comit. Organizaciones internacionales, gubernamentales y no
gubernamentales en colaboracin con ISO, tambin participan
en el trabajo. ISO mantiene una estrecha colaboracin con la
Comisin Electrnica Internacional (IEC) en todas las cuestiones
de normalizacin electrotcnica.
Las normas se redactan de acuerdo con las reglas establecidas
en ISO/IEC Directivas. Parte 2.
La principal tarea de los Comits tcnicos es preparar normas
internacionales. Los proyectos de normas adoptados por los
Comits Tcnicos se distribuyen a los Organismos miembros
para votar. La publicacin como una norma requiere la
aprobacin de al menos el 75% de los Organismos miembros
con derecho a voto.
Se seala la posibilidad de que algunos elementos de ste
documento puedan estar sujetos a derechos de patente. ISO no
se hace responsable de identificar a cualquiera de esos
derechos de patente.
La ISO 22301 fue preparada por el Comit Tcnico ISO/TC 223.
Societal security.

IR A M- I SO 22 3 01 :2 0 14

ndice
Pgina

0 INTRODUCCIN ............................................................................................. 7
1 OBJETO Y CAMPO DE APLICACIN ............................................................. 9
2 DOCUMENTOS NORMATIVOS PARA CONSULTA...................................... 10
3 TRMINOS Y DEFINICIONES ...................................................................... 10
4 CONTEXTO DE LA ORGANIZACIN ........................................................... 15
5 LIDERAZGO .................................................................................................. 16
6 PLANIFICACIN ........................................................................................... 17
7 SOPORTE ..................................................................................................... 18
8 OPERACIN ................................................................................................. 20
9 EVALUACIN DEL DESEMPEO ................................................................ 24
10 MEJORA ...................................................................................................... 27
Bibliografa de la ISO 22301:2012 ..................................................................... 28
Anexo A - IRAM (Informativo) Bibliografa .......................................................... 29
Anexo B - IRAM (Informativo) Integrantes de los organismos de estudio ........... 30

IR A M- I SO 22 3 01 :2 0 14

IR A M- I SO 22 3 01 :2 0 14

Seguridad de la sociedad
Sistemas de gestin de la continuidad del negocio
Requisitos
0 INTRODUCCIN
0.1 Generalidades
Esta norma especifica los requisitos para el establecimiento y la gestin de un Sistema de Gestin de Continuidad del Negocio (SGCN) eficaz.

4)

evaluacin del desempeo,

5)

revisin por la direccin, y

6)

mejora;

d)

documentacin que provee evidencia auditable; y

NOTA IRAM. En nuestro pas la expresin continuidad del

negocio tambin es conocida como continuidad de los negocios, continuidad operativa, continuidad de las operaciones,
continuidad operacional y continuidad de las actividades.

e)

cualquier proceso de gestin de continuidad del negocio pertinente para la organizacin.

Un SGCN destaca la importancia de:

La continuidad del negocio contribuye a una

sociedad ms resiliente. Puede que, en el proceso de recuperacin sea necesario involucrar
a la comunidad en general y al impacto del entorno de la organizacin sobre s misma y otras
organizaciones.

comprender las necesidades de la organizacin y la necesidad de establecer la poltica

y los objetivos de la gestin de la continuidad del negocio;
implementar y operar los controles y las medidas para la gestin de la capacidad general de una organizacin para manejar los
incidentes disruptivos;
realizar el seguimiento y la revisin del
desempeo y la eficacia del SGCN, y
la mejora continua basada en mediciones
objetivas.
Un SGCN, al igual que cualquier otro sistema de
gestin, tiene los componentes clave siguientes:
a)

poltica;

b)

personas con responsabilidades definidas;

c)

procesos de gestin relacionados con:

1)

poltica,

2)

planificacin,

3)

implementacin y operacin,

0.2 El modelo
Actuar (PHVA)

Planificar-Hacer-Verificar-

Esta norma aplica el modelo Planificar-HacerVerificar-Actuar (PHVA) para la planificacin,

el establecimiento, la implementacin, la operacin, el seguimiento, la revisin, el mantenimiento y la mejora continua del SGCN de una
organizacin.
Esto asegura un grado de coherencia con otras
normas de Sistemas de gestin, tales como
IRAM-ISO 9001 Sistemas de gestin de la calidad. Requisitos, IRAM-ISO 14001, Sistemas de
gestin ambiental. Requisitos con orientacin
para su uso, IRAM-ISO/IEC 27001 Tecnologa
de la informacin. Sistemas de gestin de la
seguridad de la informacin (SGSI). Requisitos,
IRAM-ISO/IEC 20000-1 Tecnologa de la informacin. Gestin de servicios. Parte 1 - Requisitos, e ISO 28000, Especificaciones para sistemas
de gestin de la seguridad para la cadena de
suministros, apoyando as a la implementacin y
operacin coherente e integrada de los sistemas
de gestin relacionados.

IR A M- I SO 22 3 01 :2 0 14

La figura 1 ilustra cmo un SGCN toma como

entradas a las partes interesadas y a los requisitos para la gestin de la continuidad y, a
travs de las acciones y procesos necesarios,

produce resultados de continuidad (es decir,

gestiona la continuidad del negocio) que cumple con esos requisitos.

Figura 1 - Modelo PHVA aplicado a los procesos del SGCN

Tabla 1 - Explicacin del modelo PHVA
Planificar
(Establecer)
Hacer
(Implementar y operar)
Verificar
(Hacer seguimiento y revisar)
Actuar
(Mantener y mejorar)

Establecer la poltica de continuidad del negocio, objetivos, metas,

controles, procesos y procedimientos pertinentes para mejorar la
continuidad del negocio con el fin de obtener resultados que estn
alineados con las polticas y objetivos generales de la organizacin.
Implementar y operar las polticas de continuidad del negocio, los
controles, procesos y procedimientos.
Hacer seguimiento y evaluar el desempeo contra la poltica y los
objetivos de continuidad del negocio. Informar los resultados de la
gestin para su revisin y determinar y autorizar las acciones de remediacin y mejora.
Mantener y mejorar el SGCN mediante la adopcin de acciones correctivas, basados en los resultados de la revisin por la direccin y
la reevaluacin del alcance del SGCN, la poltica y los objetivos de
continuidad del negocio.

IR A M- I SO 22 3 01 :2 0 14

0.3 Componentes del PHVA en esta norma

En el modelo Planificar-Hacer-Verificar-Actuar
que se muestra en la tabla 1, los captulos 4 al
10 de esta norma cubren los componentes siguientes:
El captulo 4 es un componente del Planificar, Introduce los requisitos necesarios para
establecer el contexto del SGCN, como aplica para la organizacin, as como las necesidades, los requisitos y el alcance.
El captulo 5 es un componente del Planificar. En l se resumen los requisitos especficos del papel de la alta direccin en el
SGCN, y cmo el liderazgo articula sus expectativas a la organizacin a travs de una
declaracin de poltica.
El captulo 6 es un componente del Planificar.
En l se describen los requisitos, en lo referente al establecimiento de objetivos estratgicos
y los principios rectores para el SGCN en su
conjunto. El contenido del captulo 6 difiere ya
que establece oportunidades de tratamiento
de riesgos, derivados de la evaluacin de
riesgos as como del Anlisis del Impacto en el
Negocio (BIA, por sus siglas en ingls), derivado de los objetivos de recuperacin.
NOTA. Los requisitos de los procesos de anlisis del
impacto en los negocios y de evaluacin de riesgos se
detallan en el captulo 8.

El captulo 7 es un componente del Planificar.

Respalda las operaciones del SGCN en lo que
se refiere al establecimiento de la competencia y de la comunicacin en forma recurrente
segn sea necesario, con las partes interesadas, mientras que documenta, controla, mantiene y retiene la documentacin requerida.
El captulo 8 es un componente del Hacer.
En l se definen los requisitos de continuidad del negocio, se determina la forma de
abordarlos y se desarrollan los procedimientos para manejar un incidente disruptivo.
El captulo 9 es un componente del Verificar,
En l se resumen los requisitos para medir
el desempeo de la gestin de continuidad,
la conformidad del SGCN con sta norma y

con las expectativas de la gestin y busca la

retroalimentacin de sta respecto de las
expectativas.
El captulo 10 es un componente del Actuar.
Identifica y acta sobre la no conformidad del
SGCN, a travs de las acciones correctivas.

1 OBJETO Y CAMPO DE APLICACIN

Esta norma para la gestin de la continuidad
del negocio especifica los requisitos para planificar, establecer, implementar, operar, realizar
el seguimiento, revisar, mantener y mejorar
continuamente un sistema de gestin documentado, para protegerse contra, reducir la
probabilidad de ocurrencia, prepararse para,
responder a y recuperarse de incidentes disruptivos que puedan surgir.
Los requisitos especificados en esta norma son
genricos y estn destinados a ser aplicables a
todas las organizaciones, o sus partes, independientemente del tipo, tamao y naturaleza de la
organizacin. La extensin de la aplicacin de
estos requisitos depende del entorno operativo
de la organizacin y de la complejidad.
No es la intencin de esta norma proporcionar
uniformidad en la estructura de un Sistema de
Gestin de Continuidad del Negocio (SGCN), pero s para que la organizacin disee un SGCN
que sea apropiado para que cumpla los requisitos de sus partes interesadas. Estas necesidades estn delineadas por los requisitos legales,
regulatorios, organizacionales e industriales, los
productos y servicios, los procesos empleados,
el tamao y la estructura de la organizacin y los
requisitos de sus partes interesadas.
Esta norma es aplicable a todos los tipos y tamaos de organizaciones que deseen:
a)

establecer, implementar, mantener y mejorar un SGCN;

b)

asegurar la conformidad con la poltica de

continuidad del negocio declarada;

c)

demostrar la conformidad a otros;

IR A M- I SO 22 3 01 :2 0 14

d)

buscar la certificacin o el registro del

SGCN por un organismo de certificacin de
tercera parte acreditado o;

e)

hacer una autodeterminacin y una autodeclaracin de conformidad con esta norma.

Esta norma puede ser utilizada para evaluar la

capacidad de una organizacin para satisfacer
sus propias necesidades de continuidad y obligaciones.

2 DOCUMENTOS NORMATIVOS PARA

CONSULTA
Para la aplicacin de esta norma no es necesaria la consulta de ninguna otra.

3 TRMINOS Y DEFINICIONES
A los efectos de este documento, se aplican los
trminos y definiciones siguientes.
3.1 actividad
proceso o conjunto de procesos realizados por
una organizacin (o en su nombre) que produce
o respalda uno o ms productos y servicios
EJEMPLO: estos procesos incluyen contabilidad,
call center, TI, fabricacin, distribucin.
3.2 auditora
proceso sistemtico, independiente y documentado para obtener evidencias de la auditora y
evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios
de auditora
NOTA 1. Una auditora puede ser una auditora interna (primera parte) o una auditora externa (segunda o tercera
parte) y puede ser una auditora combinada (combinacin
de dos o ms disciplinas).
NOTA 2. La evidencia de auditora y los criterios de auditora se definen en la norma ISO 19011.

3.3 continuidad del negocio

capacidad de la organizacin para continuar
con la entrega de productos o servicios a nive-

10

les predefinidos aceptables despus de un incidente de interrupcin

[ISO 22300]
3.4 gestin de la continuidad del negocio
proceso de gestin holstico que identifica
amenazas potenciales para la organizacin y
los impactos en las operaciones de negocios,
que dichas amenazas, en caso de realizarse,
puedan causar y que proporcionan un marco
para la construccin de la resiliencia organizacional con capacidad para dar una respuesta
eficaz que salvaguarde los intereses de sus
partes interesadas clave, reputacin, marca y
actividades de creacin de valor
3.5 sistema de gestin de la continuidad del
negocio SGCN
parte del sistema general de gestin que establece, implementa, opera, realiza el seguimiento,
revisa, mantiene y mejora la continuidad del negocio
NOTA. El sistema de gestin incluye la estructura organizativa, las polticas, actividades de planificacin, responsabilidades, procedimientos, procesos y recursos.

3.6 plan de continuidad del negocio

procedimientos documentados que guan a las
organizaciones para responder, recuperar,
reanudar y restaurar un nivel predefinido de
operacin luego de una interrupcin
NOTA. Normalmente, esto incluye los recursos, servicios
y actividades necesarios para asegurar la continuidad de
las funciones crticas del negocio.

3.7 programa de continuidad del negocio

proceso continuo de gestin y gobierno, con el
apoyo de la alta direccin y con los recursos
adecuados para implementar y mantener la
gestin de continuidad del negocio
3.8 anlisis del impacto en el negocio
proceso de anlisis de las actividades y del
efecto que pueda tener sobre ellas una interrupcin del negocio
[ISO 22300]
3.9 competencia
capacidad de aplicar conocimientos y habilidades para alcanzar los resultados previstos.

IR A M- I SO 22 3 01 :2 0 14

3.10 conformidad
cumplimiento de un requisito
[ISO 22300]
3.11 mejora continua
actividad recurrente para mejorar el desempeo
[ISO 22300]
3.12 correccin
accin tomada para eliminar una no conformidad detectada
[ISO 22300]
3.13 accin correctiva
accin tomada para eliminar la causa de una
no conformidad y para prevenir la recurrencia
NOTA. En el caso de otros resultados no deseados, son
necesarias acciones para minimizar o eliminar las causas
y reducir el impacto o prevenir la recurrencia. Tales acciones quedan fuera del concepto de accin correctiva en
el sentido de la definicin.

[ISO 22300]
3.14 documento
informacin y su medio de soporte.
NOTA 1. El medio de soporte puede ser papel, disco magntico, ptico o electrnico, fotografa o una muestra patrn
o una combinacin de stos.
NOTA 2. Un conjunto de documentos, por ejemplo especificaciones y registros se denominan frecuentemente
documentacin.

3.15 informacin documentada

informacin que se requiere sea controlada y
mantenida por una organizacin y el medio que
la contiene

3.16 eficacia
grado en que se realizan las actividades planificadas y se alcanzan los resultados planificados
[ISO 22300]
3.17 evento
suceso o cambio de un conjunto particular de
circunstancias
NOTA 1. Un evento puede tener uno o ms sucesos y
puede tener varias causas.
NOTA 2. Un evento puede consistir en algo que no pasa.
NOTA 3. Un evento puede denominarse, a veces, incidente o accidente.
NOTA 4. Un evento sin consecuencias tambin puede ser
denominado cuasi falla, incidente, o cuasi accidente.

[ISO/IEC Gua 73]

3.18 ejercicio
proceso para entrenar, para evaluar, practicar,
y mejorar el desempeo en una organizacin
NOTA 1. Los ejercicios se pueden utilizar para la validacin
de polticas, planes, procedimientos, capacitacin, equipo, y
para los acuerdos inter-organizacionales, aclarando y capacitando al personal en cuanto a roles y responsabilidades,
mejorando las coordinaciones y comunicaciones interorganizacionales, identificando deficiencias en los recursos,
mejorando el desempeo individual; e identificando las oportunidades de mejora y la oportunidad controlada para
practicar la improvisacin.
NOTA 2. Un ensayo es un tipo de ejercicio nico y particular, que incorpora la expectativa de un elemento Pasa o
No Pasa dentro de la meta o de los objetivos del ejercicio
planificado.

[ISO 22300]

NOTA 1. La informacin documentada puede estar en

cualquier formato, medio o cualquier fuente.

3.19 incidente
situacin que puede ser, o puede dar lugar a,
una interrupcin, prdida, emergencia o crisis

NOTA 2. La informacin documentada se puede referir a:

[ISO 22300]

el sistema de gestin, incluyendo los procesos relacionados;

la informacin creada con el fin de que la organizacin

opera (documentacin);

la evidencia de los resultados obtenidos (registros).

3.20 infraestructura
sistema de instalaciones, equipos y servicios
necesarios para el funcionamiento de una organizacin

11

IR A M- I SO 22 3 01 :2 0 14

3.21 partes interesadas

persona u organizacin que puede afectar, ser
afectada, o percibirse a s misma como afectada por una decisin o actividad
NOTA. Puede ser un individuo o grupo que tiene un inters en cualquier decisin o actividad de la organizacin.

3.22 auditora interna

auditora realizada por o en nombre de la propia
organizacin para la revisin por la direccin y
otros fines internos, y que puede constituir la
base para la autodeclaracin de conformidad de
una organizacin
NOTA. En muchos casos, particularmente en las organizaciones ms pequeas, la independencia puede demostrarse al estar libre de toda responsabilidad para la
actividad que se audita.

3.23 activacin
acto de declarar que es necesario poner en
prctica las disposiciones de continuidad del negocio de la organizacin con el fin de continuar
con la entrega de productos o servicios clave
3.24 sistema de gestin
conjunto de elementos interrelacionados o que
interactan, de una organizacin, para establecer polticas y objetivos, y los procesos para
alcanzar dichos objetivos
NOTA 1. Un sistema de gestin puede tratar una sola disciplina o varias disciplinas.
NOTA 2. Los elementos del sistema incluyen la estructura
de la organizacin, las funciones y responsabilidades,
planificacin, operacin, etc.
NOTA 3. El mbito de aplicacin de un sistema de gestin
puede incluir la totalidad de la organizacin, funciones especficas e identificadas de la organizacin, secciones
especficas e identificadas de la organizacin, o una o
ms funciones a travs de un grupo de organizaciones.

3.25 interrupcin mxima aceptable

IMA
tiempo que le llevara a los impactos adversos
que pudieran surgir como resultado de no proporcionar un producto o servicio o la realizacin
de una actividad, para llegar a ser inaceptable
NOTA. Ver tambin perodo mximo tolerable de interrupcin.

12

3.26 perodo mximo tolerable de interrupcin

PMTI
tiempo que le llevara a las repercusiones
adversas que pudieran surgir como resultado
de no proporcionar un producto o servicio o la
realizacin de una actividad, para llegar a ser
inaceptable
NOTA. Ver tambin interrupcin mxima aceptable.

3.27 medicin
proceso para determinar un valor
3.28 objetivo mnimo de continuidad del negocio
OMCN
nivel mnimo de servicios y/o productos que es
aceptable para la organizacin para lograr sus
objetivos de negocios durante una interrupcin
3.29 seguimiento
determinar el estado de un sistema, un proceso
o una actividad
NOTA. Para determinar el estado puede haber una necesidad de controlar, supervisar u observar crticamente.

3.30 acuerdo de ayuda mutua

acuerdo convenido entre dos o ms entidades
de prestarse asistencia entre s
[ISO 22300]
3.31 no conformidad
incumplimiento de un requisito
[ISO 22300]
3.32 objetivo
resultado a ser logrado
NOTA 1. Un objetivo puede ser estratgico, tctico u operacional.
NOTA 2. Los objetivos se relacionan con diferentes disciplinas (tales como, metas financieras, de la salud y la
seguridad, y ambientales) y pueden aplicarse a diferentes
niveles (tales como, estratgico, en toda la organizacin,
proyecto, producto y proceso).
NOTA 3. Un objetivo puede expresarse de otras maneras,
por ejemplo, como un resultado deseado, un propsito, un
criterio operacional, como un objetivo de seguridad de la
sociedad o por el uso de otras palabras de significado similar (por ejemplo, objetivo, meta o destino).

IR A M- I SO 22 3 01 :2 0 14

NOTA 4. En el contexto de las normas de sistemas de gestin de seguridad de la sociedad, los objetivos de seguridad
de la sociedad son establecidos por la organizacin, en
concordancia con la poltica de seguridad de la sociedad,
para lograr resultados especficos.

3.40 proceso
conjunto de actividades interrelacionadas o que
interactan, las cuales transforman elementos
de entrada en resultados

3.33 organizacin
persona o grupo de personas que tienen sus
propias funciones con responsabilidades, autoridades y relaciones para lograr sus objetivos

3.41 productos y servicios

resultados beneficiosos proporcionados por
una organizacin a sus clientes, beneficiarios y
partes interesadas, por ejemplo, artculos manufacturados, seguro de automviles y enfermera comunitaria

NOTA 1. El concepto de organizacin incluye, pero no se

limita a, comerciante individual, compaa, corporacin,
firma, empresa, autoridad, asociacin, empresa unipersonal, caridad o institucin, o parte o combinacin de los
mismos, ya sean incorporadas o no, pblicas o privadas.
NOTA 2. Para las organizaciones con ms de un equipo
de operacin, una sola unidad operativa puede definirse
como una organizacin.

3.34 contratar externamente

convenir un arreglo en el cual una organizacin
externa realice parte de los procesos o funciones de una organizacin
NOTA. Una organizacin externa est fuera del alcance
del sistema de gestin, aunque la funcin o el proceso externalizado estn dentro del mbito de aplicacin.

3.35 desempeo
resultado medible
NOTA 1. El desempeo puede relacionarse con resultados cuantitativos o cualitativos.
NOTA 2. El desempeo puede relacionarse con la gestin
de actividades, procesos, productos (incluidos los servicios), sistemas u organizaciones.

3.42 actividades prioritarias

actividades a las que se les debe dar prioridad
despus de un incidente con el fin de mitigar
los impactos
[ISO 22300]
3.43 registro
declaracin de los resultados obtenidos o evidencia de las actividades desempeadas
3.44 objetivo de punto de recuperacin
OPR
punto hasta el cual debe ser restaurada la informacin utilizada por una actividad, para permitir que la actividad opere en la reanudacin
NOTA. Tambin se puede denominar prdida mxima de
datos.

3.45 objetivo de tiempo de recuperacin OTR

perodo de tiempo despus de un incidente en
el que:

3.36 evaluacin del desempeo

proceso de determinacin de resultados medibles

el producto o servicio debe ser reanudado o,

3.37 personal
personas que trabajan para y bajo el control de
la organizacin

los recursos deben recuperarse.

NOTA. El concepto de personal incluye, pero no se limita

a, empleados, personal de medio tiempo y personal del
organismo.

3.38 poltica
intenciones y direccin de una organizacin como
ha expresado formalmente la alta direccin.
3.39 procedimiento
forma especfica para llevar a cabo una actividad o un proceso

la actividad debe reanudarse o,

NOTA. Para productos, servicios y actividades, el objetivo

de tiempo de recuperacin debe ser menor que el tiempo
que tomara para que los efectos adversos que pudieran
surgir como consecuencia de no proporcionar un producto/servicio o la realizacin de una actividad para llegar a
ser inaceptable.
NOTA IRAM. La especificacin ISO/PAS 22399 define al
OTR como: Objetivo de tiempo para la restauracin y recuperacin de las funciones o recursos, basado en el
tiempo de inactividad aceptable en caso de una interrupcin de las operaciones.

13

IR A M- I SO 22 3 01 :2 0 14

3.46 requisito
necesidad o expectativa establecida, generalmente implcita u obligatoria
NOTA 1. Generalmente implcita significa que se trata de
una prctica habitual o comn para la organizacin y las
partes interesadas que la necesidad o expectativa bajo
consideracin est implcita.
NOTA 2. Un requisito especificado es uno que est establecido, por ejemplo, en la informacin documentada.

3.47 recursos
todos los activos, personal, habilidades, informacin, tecnologa (incluidas la planta fsica y
los equipos), las instalaciones, y los suministros
e informacin (ya sean electrnicos o no) que
una organizacin tiene que tener disponibles
para su uso, cuando sea necesario, con el fin
de operar y cumplir con su objetivo
3.48 riesgo
efecto de la incertidumbre sobre los objetivos
NOTA 1. Un efecto es una desviacin positiva o negativa
de lo esperado.
NOTA 2. Los objetivos pueden tener diferentes aspectos
(como el financiero, la salud y la seguridad y las metas
ambientales) y pueden aplicarse a diferentes niveles (como estratgico, organizacional, de proyecto, producto y
proceso). Un objetivo puede ser expresado de otras formas, por ejemplo, como un resultado deseado, un
propsito, un criterio operacional, como un objetivo de la
continuidad del negocio o por el uso de otras palabras de
significado similar (por ejemplo objetivo, meta o destino).
NOTA 3. El riesgo se caracteriza por hacer referencia a
posibles eventos (Gua 73, 3.5.1.3) y sus consecuencias
(Gua 73, 3.6.1.3) o una combinacin de stos.
NOTA 4. El riesgo a menudo se expresa en trminos de
una combinacin de un evento (incluyendo cambios en las
circunstancias) y la probabilidad asociada (Gua 73,
3.6.1.1) de que se produzca.
NOTA 5. La incertidumbre es el estado, incluso parcial, de
la deficiencia de la informacin relacionada con la comprensin o el conocimiento de un evento, su consecuencia
o probabilidad.
NOTA 6. En el contexto de normas de sistemas de gestin de la continuidad del negocio, los objetivos de
continuidad del negocio, son fijados por la organizacin,
consistentes con la poltica de continuidad del negocio,
para lograr resultados especficos. Al aplicar el trmino
riesgo y componentes de la gestin de riesgo, esto debera estar relacionado con los objetivos de la organizacin
que incluyen, pero no se limitan a los objetivos de continuidad del negocio como se especifica en el 6.2.

14

NOTA IRAM. La especificacin ISO/PAS 22399 define

Riesgo como: combinacin de la probabilidad de un evento y sus consecuencias. La norma IRAM 3800 define
Riesgo como: combinacin entre la probabilidad de que
ocurra un determinado evento peligroso y la magnitud de
sus consecuencias.

[ISO /IEC Gua 73]

3.49 tolerancia al riesgo
cantidad y tipo de riesgo que una organizacin
est dispuesta a obtener o conservar
3.50 evaluacin de riesgos
proceso global de identificacin de riesgos,
anlisis de riesgos y evaluacin de los riesgos
[ISO 22300]
3.51 gestin de riesgos
actividades coordinadas para dirigir y controlar
una organizacin con respecto al riesgo
[ISO 22300]
3.52 ensayo
procedimiento de evaluacin, un medio para
determinar la presencia, la calidad o la veracidad de algo
NOTA 1. Los ensayos se pueden referir a una prueba.
NOTA 2. Los ensayos se aplican a menudo para soportar
los planes.

[ISO 22300]
3.53 alta direccin
persona o grupo de personas que dirigen y
controlan al ms alto nivel una organizacin
NOTA 1. La alta direccin tiene la facultad de delegar la
autoridad y de proporcionar los recursos dentro de la organizacin.
NOTA 2. Si el alcance del sistema de gestin solo cubre
una parte de la organizacin, entonces, alta direccin se
refiere a aquellos que dirigen y controlan esa parte de la
organizacin.

3.54 verificacin
confirmacin, a travs de la presentacin de
evidencia, de que se han cumplido los requisitos especificados

IR A M- I SO 22 3 01 :2 0 14

3.55 ambiente de trabajo

conjunto de condiciones bajo las cuales se realiza el trabajo
NOTA. Las condiciones incluyen factores fsicos, sociales,
psicolgicos y ambientales (tales como la temperatura, los
esquemas de reconocimiento, la ergonoma y la condicin
atmosfrica).

[ISO 22300]

4 CONTEXTO DE LA ORGANIZACIN
4.1 Conocimiento de la organizacin y de
su contexto
La organizacin debe determinar los aspectos
externos e internos que son relevantes para su
propsito y que afectan a su capacidad de lograr
el (los) resultado(s) deseado(s) de su SGCN.
Estos aspectos deben tenerse en cuenta para
establecer, implementar y mantener el SGCN
de la organizacin.
La organizacin debe identificar y documentar
lo siguiente:
a)

b)

c)

las actividades de la organizacin, funciones, servicios, productos, asociaciones, cadenas de suministro, las relaciones con las
partes interesadas y el impacto potencial relacionado con un incidente disruptivo;
las relaciones entre la poltica de continuidad del negocio y los objetivos de la
organizacin y otras polticas, incluida su
estrategia global de gestin de riesgos, y
tolerancia al riesgo de la organizacin.

4.2 Comprensin de las necesidades y

expectativas de las partes interesadas
4.2.1 Generalidades
Al establecer su SGCN, la organizacin debe
determinar:
a)

las partes interesadas que son pertinentes

para el SGCN, y

b)

los requisitos de estas partes interesadas

(por. ej., sus necesidades y expectativas,
ya sean establecidas, generalmente implcitas u obligatorias).

4.2.2 Requisitos legales y reglamentarios

La organizacin debe establecer, implementar y
mantener procedimientos) para identificar, tener
acceso a y evaluar los requisitos legales y reglamentarios aplicables a los que la organizacin
se suscriba, relacionados con la continuidad de
sus operaciones, productos y servicios, as como
los intereses de las partes elevadas pertinentes.
La organizacin debe asegurar de que estos requisitos legales, reglamentarios y de otros tipos
aplicables a los que la organizacin suscribe, se
tengan en cuenta en el establecimiento, la implementacin y en el mantenimiento de su SGCN.
La organizacin debe documentar esta informacin y mantenerla actualizada. Los requisitos
nuevos, o variaciones de los legales, reglamentarios y de otro tipo deben ser comunicados a los
empleados afectados y a las otras partes interesadas.
4.3 Determinacin del alcance del sistema
de gestin de la continuidad del negocio

Al establecer el contexto, la organizacin debe:

4.3.1 Generalidades

articular sus objetivos, incluidos aquellos relativos a la continuidad del negocio;

La organizacin debe determinar los lmites y la

aplicabilidad del SGCN para establecer su alcance.

definir los factores externos e internos que generan la incertidumbre que da lugar al riesgo;
establecer criterios de riesgo, teniendo en
cuenta la tolerancia al riesgo, y
definir el propsito del SGCN.

Al determinar el alcance, la organizacin debe

considerar
los aspectos internos y externos mencionados en 4.1, y

15

IR A M- I SO 22 3 01 :2 0 14

los requisitos mencionados en 4.2.

5 LIDERAZGO

El alcance debe estar disponible como informacin documentada.

5.1 Liderazgo y compromiso

4.3.2 Alcance del SGCN

La organizacin debe
a)

establecer las partes de la organizacin a

ser incluidas en el SGCN;

b)

establecer los requisitos del SGCN, considerando la misin de la organizacin, los objetivos, las obligaciones internas y externas
(incluyendo aquellas relacionadas con las
partes interesadas) y las responsabilidades
legales y reguladoras de la organizacin;

c)

identificar los productos y servicios y todas

las actividades relacionas dentro del alcance del SGCN;

d)

tener en cuenta las necesidades y los intereses de las partes interesadas, tales
como clientes, inversores, accionistas, la
cadena de suministro, las expectativas y
los intereses del pblico y/o la comunidad
(segn corresponda), y

e)

definir el alcance del SGCN en funcin de

y adecuado al tamao, la naturaleza y la
complejidad de la organizacin.

Al definir el alcance, la organizacin debe documentar y explicar las exclusiones, tales exclusiones no deben afectar la capacidad y la responsabilidad de la organizacin de proveer continuidad del negocio y de las operaciones que
cumplan con los requisitos del SGCN, segn lo
determinado por el anlisis de impacto en el negocio o la evaluacin de riesgos y los requisitos
legales reglamentarios.
4.4 Sistema de gestin de la continuidad
del negocio
La organizacin debe establecer, implementar,
mantener y mejorar continuamente su SGCN,
incluyendo los procesos necesarios y sus interacciones, de acuerdo con los requisitos de esta
norma.

16

Las personas de la alta direccin y otros roles

directivos relevantes en toda la organizacin
deben demostrar su liderazgo con respecto al
SGCN.
EJEMPLO: este liderazgo y compromiso puede
demostrarse mediante la motivacin y el otorgamiento de facultades a las personas para
contribuir a la eficacia del SGCN.
5.2 Compromiso de la direccin
La alta direccin debe demostrar su liderazgo y
compromiso con respecto al SGCN como sigue:
asegurando que se establezcan las polticas y
objetivos para el sistema de gestin de la continuidad y que stos sean compatibles con la
direccin estratgica de la organizacin;
asegurando la integracin de los requisitos
del sistema de gestin de continuidad del
negocio a los procesos empresariales de la
organizacin;
asegurando que los recursos necesarios para el sistema de gestin de continuidad del
negocio se encuentren disponibles;
comunicando la importancia de la gestin
eficaz de la continuidad del negocio y que
sean conformes a los requisitos de SGCN;
asegurando que el SGCN logre los resultados esperados;
dirigiendo y apoyando a las personas para
contribuir a la eficacia del SGCN;
promoviendo la mejora continua, y
respaldando otros roles de gestin pertinente
para demostrar su liderazgo y compromiso
aplicados a sus reas de responsabilidad.
NOTA 1. La referencia a negocio en esta norma debe ser
interpretada en trminos generales en el sentido de aquellas actividades que son fundamentales para los propsitos
de la existencia de la organizacin.

IR A M- I SO 22 3 01 :2 0 14

La alta direccin debe proporcionar evidencia

de su compromiso con el establecimiento, la
implementacin, la operacin, el seguimiento,
la revisin, el mantenimiento y la mejora del
SGCN, como sigue:

c)

incluya un compromiso para satisfacer los

requisitos aplicables;

d)

incluya un compromiso de mejora continua

del SGCN.

estableciendo una poltica de continuidad del

negocio;

La poltica del SGCN debe:

asegurando que se establezcan los objetivos

y planes del SGCN;
estableciendo roles, responsabilidades y
competencias para la gestin de la continuidad del negocio, y
designando una o ms personas para que
sean responsables del SGCN con la adecuada autoridad y las competencias para ser
responsable de la implementacin y el mantenimiento del SGCN.
NOTA 2. Estas personas pueden tener otras responsabilidades dentro de la organizacin.

La alta direccin debe asegurar que las responsabilidades y autoridades para los roles
relevantes se asignen y se comuniquen dentro
de la organizacin, a travs de lo siguiente:
definiendo los criterios para la aceptacin de
riesgos y los niveles aceptables de riesgos;
participando activamente en los ejercicios y
los ensayos;
asegurando que se lleven a cabo las auditoras internas del SGCN;
llevando a cabo revisiones de gestin del
SGCN, y
demostrando su compromiso con la mejora
continua.
5.3 Poltica
La alta direccin debe establecer una poltica
de continuidad del negocio que:
a)

sea adecuada al propsito de la organizacin;

b)

proporcione el marco para establecer objetivos de continuidad del negocio;

estar disponible como informacin documentada;

ser comunicada dentro de la organizacin;
estar disponible para las partes interesadas,
segn corresponda;
ser revisada a intervalos definidos para su
continua adecuacin y cuando se produzcan
cambios significativos.
La organizacin debe conservar informacin
documentada sobre la poltica de continuidad
del negocio.
5.4 Roles organizacionales, responsabilidad y autoridades
La alta direccin debe asegurar que las responsabilidad y las autoridades de los roles relevantes sean asignados y comunicadas dentro de la
organizacin.
La alta direccin debe asignar la responsabilidad y autoridad para:
a)

asegurar que el sistema de gestin cumpla

con los requisitos de esta norma e

b)

informar sobre el desempeo del SGCN a

la alta direccin.

6 PLANIFICACIN
6.1 Acciones para tratar riesgos y oportunidades
En la planificacin del SGCN, la organizacin
debe considerar los aspectos mencionados en
4.1 y los requisitos mencionados en 4.2 y determinar los riesgos y oportunidades que se
necesita enfrentar para:

17

IR A M- I SO 22 3 01 :2 0 14

a)

asegurar que el sistema de gestin pueda

lograr el (o los) resultado(s) deseado(s);

b)

prevenir, o reducir, los efectos no deseados;

c)

alcanzar la mejora continua.

qu se har;
qu recursos se necesitarn;
cundo se terminar y
cmo se evaluarn los resultados.

La organizacin debe planificar:

las acciones para hacer frente a estos riesgos y oportunidades;
cmo
1)

integrar e implementar las acciones en

sus procesos de SGCN (ver 8.1),

2)

evaluar la eficacia de estas acciones

(ver 9.1).

6.2 Objetivos de continuidad del negocio y

planes para alcanzarlos
La alta direccin debe asegurar que los objetivos de continuidad del negocio sean establecidos y comunicados a las funciones y niveles
relevantes dentro de la organizacin.

7 SOPORTE
7.1 Recursos
La organizacin debe determinar y proporcionar los recursos necesarios para el establecimiento, la implementacin, el mantenimiento y
la mejora continua del SGCN.
7.2 Competencia
La organizacin debe:
a)

determinar la competencia necesaria de

la(s) personas(s) que hacen el trabajo bajo
su control, que afecta su desempeo;

b)

asegurar de que estas personas sean

competentes sobre la base de educacin,
entrenamiento y experiencia apropiadas;

c)

si corresponde, tomar medidas para adquirir la competencia necesaria y evaluar la

eficacia de las medidas adoptadas, y

d)

conservar la informacin adecuada como

evidencia de la competencia.

Los objetivos de la continuidad del negocio deben:

a)

ser consistentes con la poltica de continuidad del negocio;

b)

tener en cuenta el nivel mnimo de productos y servicios que son aceptables para
que la organizacin logre sus objetivos;

c)

ser medibles;

d)

tener en cuenta los requisitos aplicables, y

e)

ser monitorizados y actualizados, segn corresponda.

La organizacin debe conservar informacin

documentada sobre los objetivos de continuidad del negocio.
Para alcanzar sus objetivos de continuidad del
negocio, la organizacin debe determinar:
quin ser responsable;

18

NOTA. Las medidas aplicables pueden incluir, por ejemplo, la provisin de entrenamiento, para la tutora de, o la
reasignacin de personas empleadas actuales, o la contratacin de personas competentes.

7.3 Toma de conciencia

Las personas que realizan trabajos bajo el control
de la organizacin deben tener conciencia de:
a)

la poltica de continuidad del negocio;

b)

su contribucin a la eficacia del SGCN, incluyendo los beneficios del desempeo

mejorado de gestin de continuidad del negocio;

IR A M- I SO 22 3 01 :2 0 14

c)

las consecuencias de no ajustarse a los

requisitos del SGCN, y;

d)

su propio rol durante los incidentes disruptivos.

7.4 Comunicacin
La organizacin debe determinar la necesidad
de comunicaciones internas y externas relevantes para el SGCN incluyendo:

7.5 Informacin documentada

7.5.1 Generalidades
El SGCN de la organizacin debe incluir:
la informacin documentada requerida por
esta norma, y
la informacin documentada que la organizacin determine como necesaria para la
eficacia del SGCN.

a)

sobre qu se comunicar;

b)

cundo comunicar;

NOTA. El alcance de la informacin documentada para un

SGCN puede diferir de una organizacin a otra debido a:

c)

con quin comunicarse.

el tamao de la organizacin y su tipo de actividades,

procesos, productos y servicios;

la complejidad de los procesos y sus interacciones, y

la competencia de las personas.

La organizacin debe establecer, implementar,

mantener el (los) procedimiento(s) para:
la comunicacin interna entre las partes interesadas y los empleados dentro de la
organizacin;

7.5.2 Elaboracin y actualizacin

la comunicacin externa con clientes, entidades asociadas, la comunidad local y otras

partes interesadas, incluidos los medios periodsticos;

a)

identificacin y descripcin (por ejemplo, ttulo, fecha, autor o nmero de referencia);

b)

formato (el idioma, versin de software, grficos), y los medios periodsticos (por ejemplo: papel, electrnico), y la revisin y aprobacin para la idoneidad y la adecuacin.

recibir, documentar y responder a las comunicaciones de las partes interesadas;

adaptar e integrar un sistema de asesoramiento de amenazas nacionales o regionales o
equivalente, en la planificacin y el uso operacional, si aplica;
asegurar la disponibilidad de los mecanismos de comunicacin durante un incidente
disruptivo;
facilitar la comunicacin estructurada con las
autoridades competentes y asegurar la interoperabilidad de las mltiples organizaciones y
personal de respuesta, segn corresponda, y
la operacin y ensayos de las capacidades
de comunicacin destinadas al uso durante
la interrupcin de las comunicaciones normales.
NOTA. Otros requisitos para la comunicacin en respuesta a un incidente se especifican en 8.4.3.

Al elaborar y actualizar la informacin documentada, la organizacin debe asegurar la apropiada:

7.5.3 Control de la informacin documentada

La informacin documentada requerida por el
SGCN y por esta Norma debe ser controlada para asegurar:
a)

que est disponible y adecuada para su uso,

donde y cuando se necesita;

b)

que est protegida adecuadamente (por

ejemplo, de la prdida de confidencialidad,
del uso indebido o de la prdida de la integridad).

Para el control de la informacin documentada la

organizacin debe abordar segn corresponda,
las actividades siguientes:
distribucin, acceso, recuperacin y uso;

19

IR A M- I SO 22 3 01 :2 0 14

almacenamiento y preservacin, incluyendo la

preservacin de la legibilidad;
control de cambios (por ejemplo, control de
versin);
retencin y disposicin;

La organizacin debe controlar los cambios planificados y revisar las consecuencias de los
cambios no deseados, tomando medidas para
mitigar los posibles efectos adversos, segn sea
necesario.

recuperacin y uso;

La organizacin se debe asegurar de que los

procesos que son subcontratados sean controlados.

preservacin de la legibilidad (es decir, lo suficientemente claro para leer), y

8.2 Anlisis de impacto en el negocio y evaluacin de riesgos

la prevencin del uso no intencional de informacin obsoleta.

8.2.1 Generalidades

La informacin documentada de origen externo

que la organizacin determine que es necesaria
para la planificacin y la operacin del SGCN,
debe ser identificada y controlada, segn corresponda.
Al establecer el control de la informacin documentada, la organizacin se debe asegurar de
que existe una proteccin adecuada para sta
(por ejemplo: la proteccin contra el compromiso,
la modificacin o supresin no autorizada).
NOTA. El acceso implica una decisin en cuanto al permiso para ver la informacin documentada, o el permiso y la
autoridad para ver y cambiar la informacin documentada,
etc.

8 OPERACIN
8.1 Planificacin y control operacional
La organizacin debe planificar, implantar y controlar los procesos necesarios para cumplir con
los requisitos y para implementar las acciones
determinadas en 6.1, a travs de lo siguiente:
a)

estableciendo los criterios para los procesos;

b)

implementando el control de los procesos

de acuerdo con el criterio, y

c)

manteniendo la informacin documentada

en el grado necesario para confiar en que
los procesos se han llevado a cabo como
estaban previstos.

20

La organizacin debe establecer, implementar,

y mantener un proceso formal y documentado
para el anlisis de impacto en el negocio y la
evaluacin de riesgos que:
a)

establezca el contexto de la evaluacin,

defina el criterio y evale el impacto potencial de un incidente disruptivo;

b)

tome en cuenta los requisitos legales y

otros a los que la organizacin suscriba;

c)

incluya un anlisis sistemtico, la priorizacin de los tratamientos de riesgo, y sus

costos relacionados;

d)

defina los resultados necesarios del anlisis de impacto del negocio y la evaluacin
de riesgos, y

e)

especifique los requisitos para que esta informacin se mantenga actualizada y confidencial.

NOTA. Existen diversas metodologas para el anlisis del

impacto en el negocio y la evaluacin de riesgos, que determinarn el orden en que se llevarn a cabo.

8.2.2 Anlisis del impacto en el negocio

La organizacin debe establecer, implantar y
mantener un proceso de evaluacin formal y documentado para determinar la continuidad y las
prioridades de recuperacin, los objetivos y las
metas. Este proceso debe incluir la evaluacin de
los impactos de las actividades que respaldan a
los productos y servicios de la organizacin que
son interrumpidas.

IR A M- I SO 22 3 01 :2 0 14

El anlisis del impacto en el negocio debe incluir lo siguiente:

a)

la identificacin de actividades que respaldan el suministro de productos y servicios;

b)

la evaluacin de los impactos en el tiempo

de no realizar estas actividades;

c)

el establecimiento de plazos prioritarios para la reanudacin de estas actividades a un

nivel mnimo aceptable ya especificado,
considerando el plazo en que los impactos
de la no reanudacin es inaceptable, y

d)

la identificacin de las dependencias y los

recursos de soporte para estas actividades
incluyendo los proveedores, socios, subcontratistas, y otras partes interesadas pertinentes.

8.3 Estrategia de continuidad del negocio

8.3.1 Determinacin y seleccin
La determinacin y seleccin de la estrategia
debe basarse en los resultados del anlisis del
impacto en el negocio y de la evaluacin de riesgos.
La organizacin debe determinar una estrategia
apropiada de continuidad del negocio para:
a)

proteger las actividades prioritarias;

b)

estabilizar, continuar, reanudar y recuperar

las actividades prioritarias y sus dependencias y los recursos de soporte, y

c)

mitigar, responder y gestionar impactos.

8.2.3 Evaluacin de riesgos

La determinacin de la estrategia debe incluir la

aprobacin de marcos de prioridad de tiempo para la reanudacin de las actividades.

La organizacin debe establecer, implementar y

mantener un proceso de evaluacin de riesgos
formal y documentado que, sistemticamente
identifique, analice y evale el riesgo de los incidentes disruptivos de la organizacin.

La organizacin debe realizar evaluaciones de

las capacidades de continuidad del negocio de
los proveedores.

NOTA. Este proceso puede hacerse de acuerdo a la norma ISO 31000.

La organizacin debe;
a)

identificar los riesgos de interrupcin para

las actividades prioritarias de la organizacin y los procesos, sistemas, informacin,
personas, activos, subcontratistas y otros
recursos que la respalden;

b)

analizar sistemticamente el riesgo;

c)

evaluar qu riesgos relacionados con la interrupcin requieren tratamiento, y

d)

la identificacin de tratamientos acordes

con los objetivos de continuidad del negocio, en concordancia con la tolerancia al
riesgo de la organizacin.

NOTA. La organizacin debe ser consciente de que ciertas obligaciones financieras o gubernamentales requieren
la comunicacin de estos riesgos a diferentes niveles de
detalle. Adems ciertas necesidades de la sociedad pueden tambin asegurar el intercambio de esta informacin
a un nivel apropiado de detalle.

8.3.2 Establecer las necesidades de recursos

La organizacin debe determinar las necesidades de los recursos para poner en prctica las
estrategias seleccionadas. Los tipos considerador de recursos incluyen, pero no se limitan a:
a)

el personal;

b)

la informacin y los datos;

c)

los edificios, el ambiente de trabajo y servicios asociados;

d)

las instalaciones, los equipos y los insumos;

e)

los sistemas de tecnologa de la informacin

y la comunicacin (TIC);

f)

el transporte;

g)

la financiacin, y

h)

los socios y proveedores.

21

IR A M- I SO 22 3 01 :2 0 14

8.3.3 Proteccin y mitigacin

f)

Para los riesgos identificados que requieren tratamiento, la organizacin debe considerar medidas proactivas que:

8.4.2 Estructura de respuesta a incidentes

a)

reduzcan la probabilidad de interrupcin;

b)

acorten el perodo de interrupcin, y

c)

limiten el impacto de la interrupcin en los

productos y servicios claves de la organizacin.

La organizacin debe elegir e implementar los

tratamientos de riesgo adecuados de acuerdo a
su tolerancia al riesgo.

ser eficaz para minimizar las consecuencias

a travs de la aplicacin de estrategias de
mitigacin apropiadas.

La organizacin debe establecer, documentar e

implementar procedimientos y una estructura
de gestin para responder a un incidente disruptivo utilizando personal con la responsabilidad, autoridad y competencia necesaria para
gestionar un incidente.
La estructura de respuesta debe:
a)

identificar los umbrales del impacto que justifiquen la iniciacin de la respuesta formal;

8.4 Establecer e implementar procedimientos

de continuidad del negocio

b)

evaluar la naturaleza y la extensin de un

incidente disruptivo y su potencial impacto;

8.4.1 Generalidades

c)

activar una respuesta apropiada de continuidad del negocio;

d)

tener procesos y procedimientos para la

activacin, el funcionamiento, la coordinacin y la comunicacin de la respuesta;

e)

tener los recursos disponibles para soportar a los procesos y los procedimientos
para gestionar un incidente disruptivo a fin
de minimizar el impacto, y

f)

comunicarse con las autoridades y partes

interesadas, as como con los medios periodsticos.

La organizacin debe establecer, implementar

y mantener procedimientos de continuidad del
negocio para gestionar un incidente disruptivo y
continuar sus actividades en funcin de los objetivos de recuperacin identificados en el
anlisis del impacto en el negocio.
La organizacin debe documentar los procedimientos (incluidas las disposiciones necesarias)
para asegurar la continuidad de las actividades y
la gestin de incidentes disruptivos.
Los procedimientos deben:
a)

establecer un protocolo adecuado de comunicaciones interno y externo;

b)

ser especficos con respecto a las medidas

inmediatas que deben tomarse durante
una interrupcin;

c)

ser flexibles para responder a amenazas

imprevistas y a las condiciones internas y
externas cambiantes;

d)

centrarse en el impacto de los eventos que

puedan interrumpir las operaciones;

e)

desarrollarse en base a supuestos establecidos y en un anlisis de las interdependencias, y

22

La organizacin debe decidir, utilizando como

primera prioridad la seguridad de la vida y consultando a las partes interesadas pertinentes, si
comunica o no externamente sus riesgos e impactos significativos y si documenta su decisin. Si la decisin es comunicarlos, entonces
la organizacin debe establecer e implementar
procedimientos para esta comunicacin externa, alertas y advertencias, incluyendo los medios periodsticos, segn corresponda.
8.4.3 Advertencias y comunicacin
La organizacin debe establecer, implementar
y mantener los procedimientos para:
a)

detectar un incidente;

IR A M- I SO 22 3 01 :2 0 14

b)

el seguimiento regular de un incidente;

c)

la comunicacin interna dentro de la organizacin y recibir, documentar y responder

a las comunicaciones de las partes interesadas;

d)

recibir, documentar y responder a cualquier

sistema de asesoramiento de riesgo nacional, regional o equivalente;

e)

asegurar la disponibilidad de los medios periodsticos durante un incidente disruptivo;

f)

facilitar la comunicacin estructurada con

los servicios de respuesta a emergencias;

g)

registrar informacin vital, sobre el incidente, las medidas adoptadas y las decisiones
tomadas, y segn corresponda, debe considerar e implementar lo siguiente:
1)

2)

alertar a las partes interesadas potencialmente afectadas por un incidente

disruptivo real o inminente,

c)

detalles para gestionar las consecuencias

inmediatas de un incidente disruptivo, teniendo debidamente en cuenta:
1)

el bienestar de las personas;

2)

las opciones estratgicas, tcticas y

operacionales para hacer frente a la
interrupcin;

3)

la prevencin de una prdida mayor o

la falta de disponibilidad de las actividades prioritarias;

d)

detalles acerca de cmo y bajo qu circunstancias la organizacin se va a comunicar

con los empleados y sus familiares, con las
principales partes interesadas claves y los
contactos de emergencia;

e)

cmo la organizacin continuar o recuperar sus actividades prioritarias dentro de

los plazos predeterminados;

f)

detalles de la respuesta de la organizacin

a los medios periodsticos a raz de un incidente, incluyendo:

asegurar la interoperabilidad de las

mltiples organizaciones de respuesta
y del personal,

1)

una estrategia de comunicacin,

la operacin de un centro de comunicaciones.

2)

la interfaz preferida con los medios periodsticos,

Los procedimientos de comunicacin y alerta

se deben ejercitar regularmente.

3)

gua o plantilla para la redaccin de

una declaracin para los medios periodsticos, y

4)

portavoces apropiados;

3)

8.4.4 Planes de continuidad del negocio

La organizacin debe establecer procedimientos
documentados para responder a un incidente
disruptivo y cmo va a continuar o a recuperar
sus actividades dentro de un plazo predeterminado. Tales procedimientos deben satisfacer los
requisitos de quienes los usen.

g)

el proceso para retirarse una vez que el incidente ha terminado.

Cada plan debe definir:

a)

propsito y alcance;

Los planes de continuidad del negocio deben

contener colectivamente:

b)

objetivos;

a)

c)

procedimientos y criterios de activacin;

d)

procedimientos de implementacin;

e)

roles, responsabilidades y autoridades;

b)

los roles y las responsabilidades definidas

para las personas y los equipos que tienen
autoridad durante y despus de un incidente;
un proceso para activar la respuesta;

23

IR A M- I SO 22 3 01 :2 0 14

f)

requisitos y procedimientos de la comunicacin;

9 EVALUACIN DEL DESEMPEO

g)

interdependencias internas y externas e interacciones;

9.1 Seguimiento, medicin, anlisis y evaluacin

h)

requisitos de los recursos, y

9.1.1 Generalidades

j)

el flujo de informacin y los procesos de

documentacin.

La organizacin debe determinar:

8.4.5 Recuperacin
La organizacin debe tener procedimientos documentados para restaurar y devolver las actividades de negocios desde las medidas temporales adoptadas para soportar los requisitos
normales del negocio despus de un incidente.
8.5 Ejercicios y ensayos

a)

qu necesita ser monitorizado y medido;

b)

los mtodos de seguimiento, medicin, anlisis y evaluacin, segn corresponda, para

asegurar resultados vlidos;

c)

cundo se llevarn a cabo el seguimiento y

la medicin, y

d)

cundo se deben analizar y evaluar los resultados del seguimiento y de la medicin.

La organizacin debe ejercitar y ensayar sus

procedimientos de continuidad del negocio para
asegurar que son consecuentes con sus objetivos de continuidad del negocio.

La organizacin debe conservar la informacin

documentada apropiada como evidencia de los
resultados.

La organizacin debe llevar a cabo ejercicios y

ensayos que:

La organizacin debe evaluar el desempeo y

la eficacia del SGCN.

a)

Adems, la organizacin debe:

sean consistentes con el alcance y los objetivos del SGCN;

b)

se basen en escenarios apropiados que

estn bien planificados con metas y objetivos claramente definidos;

c)

tomados en conjunto, a travs del tiempo

validen la totalidad de las disposiciones de
continuidad del negocio, involucrando a las
partes interesadas pertinentes;

d)

minimicen el riesgo de interrupcin de las

operaciones;

e)

produzcan informes formales posejercicio

que contengan resultados, recomendaciones
y acciones para implementar las mejoras;

f)

sean revisados en el contexto de promover

la mejora continua, y

g)

sean llevados a cabo a intervalos planificados y cuando haya cambios significativos

dentro de la organizacin o en el entorno
en el que sta opera.

24

tomar medidas cuando sea necesario para

hacer frente a las tendencias adversas o resultados, antes de que se produzca una no
conformidad, y
conservar la informacin documentada relevante como evidencia de los resultados.
Los procedimientos para supervisar el desempeo deben proveer para:
establecer mtricas de desempeo adecuadas a las necesidades de la organizacin;
realizar el seguimiento de la medida en la
que se cumplen los objetivos y las metas de
la poltica de continuidad del negocio de la
organizacin;
el desempeo de los procesos, procedimientos y funciones que protegen sus actividades
prioritarias;

IR A M- I SO 22 3 01 :2 0 14

realizar el seguimiento del cumplimiento con

esta norma y con los objetivos de continuidad del negocio;

a)

realizar el seguimiento de la evidencia histrica de desempeo deficiente del SGCN, y

registrar datos y resultados del seguimiento
y la medicin para facilitar las acciones correctivas tomadas.
NOTA. El desempeo deficiente puede incluir no conformidades, cuasi accidentes, falsas alarmas e incidentes
reales.

9.1.2 Evaluacin de los procedimientos de

continuidad del negocio
a)

b)

c)

d)

la organizacin debe llevar a cabo evaluaciones de sus capacidades y los procedimientos de continuidad del negocio con el
fin de asegurar su continua adecuacin, idoneidad y eficacia;
estas evaluaciones se deben llevar a cabo a
travs de revisiones peridicas, ejercicios,
ensayos, informes posincidente y evaluaciones de desempeo. Los cambios significativos que surjan se deben reflejar en el
(los) procedimiento(s) de manera oportuna;
la organizacin debe evaluar peridicamente el cumplimiento de los requisitos legales
y reglamentarios aplicables, las mejores
prcticas de la industria y la conformidad
con su propia poltica de continuidad del
negocio y objetivos, y
la organizacin debe llevar a cabo evaluaciones a intervalos planificados y cuando
se produzcan cambios significativos.

Cuando un incidente de interrupcin ocurre y

resulta en la activacin de los procedimientos
de continuidad del negocio, la organizacin debe emprender una revisin posincidente y
registrar los resultados.
9.2 Auditora interna
La organizacin debe llevar a cabo auditoras
internas a intervalos planificados para proporcionar informacin sobre si el sistema de
gestin de continuidad del negocio:

b)

cumple con:
1)

los requisitos propios de la organizacin para su SGCN,

2)

los requisitos de esta norma, y

es efectivamente implementado y mantenido.

La organizacin debe:
planificar, establecer, implementar y mantener
(un) programa de auditora(s), incluyendo la
frecuencia, los mtodos, las responsabilidades, los requisitos de planificacin y elaboracin de informes. El programa(s) de auditora(s) debe tener en cuenta la importancia de
los procesos en cuestin y los resultados de
las auditoras anteriores;
definir los criterios de auditora y el alcance
de cada auditora;
seleccionar auditores y llevar a cabo auditoras para asegurar la objetividad y la imparcialidad del proceso de auditora;
asegurar que los resultados de las auditoras
sean comunicados al nivel de direccin pertinente, y
conservar la informacin documentada como
evidencia de la implementacin del programa de auditora y de los resultados de sta.
El programa de auditoras, incluyendo su planificacin, debe basarse en los resultados de las
evaluaciones de riesgos de las actividades de
la organizacin y en los resultados de auditoras previas. Los procedimientos de auditora
deben cubrir el alcance, la frecuencia, las metodologas y las competencias, as como las
responsabilidades y los requisitos para llevar a
cabo auditoras y el informe de los resultados.
La direccin responsable del rea que est siendo auditada se debe asegurar de que cualquier
correccin necesaria y cualquier accin correctiva
se toman sin demora injustificada para eliminar
las no conformidades detectadas y sus causas.
Las actividades de seguimiento deben incluir la
verificacin de las acciones tomadas y el informe
de los resultados de verificacin.

25

IR A M- I SO 22 3 01 :2 0 14

9.3 Revisin por la direccin

La alta direccin debe revisar, a intervalos planificados, el SGCN de la organizacin, para asegurar su continua idoneidad, adecuacin y eficacia.
La revisin de la direccin debe incluir la consideracin de:
a)

el estado de las acciones de las revisiones

por la direccin anteriores;

b)

los cambios en los aspectos externos e internos que son relevantes para el sistema
de gestin de continuidad del negocio;

c)

la informacin sobre el desempeo de la

continuidad del negocio, incluyendo las tendencias en:

d)

1)

las no conformidades y acciones correctivas,

2)

el seguimiento y la evaluacin de los

resultados de medicin, y

3)

resultados de auditora;

las oportunidades de mejora continua.

Las revisiones por la direccin deben tener en

cuenta el desempeo de la organizacin incluyendo:
las acciones de seguimiento de las revisiones por las direcciones anteriores;

los riesgos o aspectos no abordados adecuadamente en cualquier evaluacin de riesgo anterior;

cualquier cambio que pudiera afectar al
SGCN, ya sean internos o externos al alcance del SGCN;
la adecuacin de la poltica;
las recomendaciones de mejora;
las lecciones aprendidas y las acciones derivadas de los incidentes disruptivos, y
buenas prcticas y directrices emergentes.
Los resultados de la revisin por la direccin
deben incluir las decisiones relacionadas con
las oportunidades de mejora continua y la posible necesidad de cambios en el SGCN e incluir
lo siguiente:
a)

variaciones en el alcance del SGCN;

b)

la mejora de la eficacia del SGCN;

c)

la actualizacin de la evaluacin de riesgos, el anlisis del impacto en el negocio,

los planes de continuidad del negocio y los
procedimientos relacionados;

d)

la modificacin de los procedimientos y

controles para responder a los eventos internos o externos que puedan influir en el
SGCN, incluidos los cambios en:

la necesidad de cambios en el SGCN, incluyendo la poltica y los objetivos;

1)

los requisitos de negocios y operacionales;

las oportunidades de mejora;

2)

los resultados de las auditoras y revisiones

del SGCN, incluidos los de los principales
proveedores y socios, segn corresponda;

la reduccin de riesgos y los requisitos

de seguridad;

3)

las condiciones y los procesos operacionales;

las tcnicas, productos o procedimientos, que

puedan ser utilizados en la organizacin para
mejorar el desempeo y la eficacia del SGCN;

4)

los requisitos legales y reglamentarios;

5)

las obligaciones contractuales;

el estado de las acciones correctivas;

6)

los niveles de riesgos y/o de criterios

para la aceptacin de riesgos;

7)

las necesidades de recursos;

los resultados de ejercicios y ensayos;

26

IR A M- I SO 22 3 01 :2 0 14

8)
e)

la financiacin y las necesidades presupuestarias, y

cmo se mide la eficacia de los controles.

3)

determinando si existen o pueden ocurrir

no conformidades potenciales similares,

4)

evaluando la necesidad de adoptar

acciones correctivas para asegurar
que las no conformidades no se repitan u ocurran en otro lugar,

5)

determinando e implementando las

acciones correctivas necesarias,

6)

revisando la eficacia de cualquier accin correctiva tomada, y

7)

haciendo cambios al SGCN, si es necesario;

La organizacin debe conservar la informacin

documentada como evidencia de los resultados
de las revisiones por la direccin.
La organizacin debe:
comunicar los resultados de la revisin por
la direccin a las partes interesadas pertinentes, y
tomar las medidas apropiadas en relacin
con esos resultados.
d)

implementar cualquier accin necesaria;

10 MEJORA

e)

revisar la eficacia de cualquier accin correctiva adoptada;

10.1 No conformidades y acciones correctivas

f)

si es necesario, realizar cambios en el sistema de gestin de continuidad del negocio.

Cuando ocurre una no conformidad, la organizacin debe:

Las acciones correctivas deben ser apropiadas

a los efectos de las no conformidades encontradas.

a)

identificar la no conformidad,

b)

reaccionar ante la no conformidad y, segn

corresponda:

c)

1)

tomar medidas para controlarlas y corregirlas, y

2)

enfrentar las consecuencias;

La organizacin debe conservar la informacin

documentada como evidencia de:
la naturaleza de las no conformidades y de
cualquier accin tomada posteriormente, y
los resultados de cualquier accin correctiva.

evaluar la necesidad de realizar acciones

para eliminar las causas de la no conformidad, con el fin de que no se repita o se
produzca en otro lugar:

10.2 Mejora continua

1)

mediante la revisin de la no conformidad,

NOTA. La organizacin, para lograr la mejora, puede utilizar los procesos del SGCN, tales como el liderazgo, la
planificacin y la evaluacin del desempeo.

2)

determinando las causas de la no conformidad, y

La organizacin debe mejorar continuamente la

idoneidad, la adecuacin y la eficacia del SGCN.

27

IR A M- I SO 22 3 01 :2 0 14

Bibliografa de la ISO 22301:2012

[1]

ISO 9001, Quality management systems - Requirements.

[2]

ISO 14001, Environmental management systems - Requirements with guidance for use.

[3]

ISO 19011, Guidelines for auditing management systems.

[4]

ISO/IEC 20000-1, lnformation Technology - Service Management.

[5]

ISO 22300, Societal security - Terminology.

[6]

ISO/PAS 22399, Societal security - Guideline for incident preparedness and operational
continuity management.

[7]

ISO/IEC 24762, Information technology - Security techniques - Guidelines for Information and
communications technology disaster recovery services.

[8]

ISO/IEC 27001, lnformation Security Management Systems.

[9]

ISO/IEC 27031, Information technology - Security techniques - Guidelines for information and
communication technology readiness for business continuity.

[10] ISO 30001, Risk Management - Principles and Guidelines.

[11] ISO/IEC 31010, Risk management - Risk assessment techniques.
[12] ISO/IEC Gua 73, Risk management - Vocabulary.
[13] BS 25999-1, Business continuity management - Code of practice, British Standards Institution (BSI).
[14] BS 25999-2, Business continuity management - Specification, British Standards Institution (BSI).
[15] SI 24001, Security and continuity management systems - Requirements and guidance for use,
Standards Institution of Israel.
[16] NFPA 1600, Standard on disaster/emergency management and business continuity programs,
National Fire Protection Association (USA).
[17] Business Continuity Plan Drafting Guideline, Ministry of Economy, Trade and Industry (Japan),
2005.
[18] Business Continuity Guideline, Central Disaster Management Council, Cabinet Office,
Government of Japan, 2005.
[19] ANSI/ASIS SPC.1, Organizational Resilience: Security, Preparedness, and Continuity
Managements Systems - .Requirements with Guidance for UseSS 540: 2008, Singapore
Standard for Business Continuity Management.
[20] ANSI/ASIS/BSI BCM.01, Business Continuity Management Systems: Requirements with
Guidance for Use.

28

IR A M- I SO 22 3 01 :2 0 14

Anexo A - IRAM
(Informativo)

Bibliografa
En el estudio de esta norma se ha tenido en cuenta la bibliografa siguiente:
ISO -

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION

ISO 22301:2012 - Societal security. Business continuity management systems. Requirements.

29

IR A M- I SO 22 3 01 :2 0 14

Anexo B - IRAM
(Informativo)

Integrantes de los organismos de estudio

El estudio de esta norma ha estado a cargo de los organismos respectivos, integrados en la forma
siguiente:

Subcomit de Respuesta a emergencias y gestin de seguridad

Integrante

Representa a:

Sr.

Ramn ABACA

Of.
Lic.
Sr.

Juan ALTERINO
Diego ARANGURI DAZ
Emilio ARIAS

Lic.
Dr.

Edgardo CACCIONE
Arnaldo CALDIROLA

Ing.
Dr.
Ing.

Nstor CAVA
Jos DE ECHAVE
Daro DE LA ROSA

Ing.

Juan FERNANDEZ

Ing.
Ing.
Ing.

Roberto FLORES
Osvaldo FRATICELLI
Rafael GALEANO

Cap.
Ing.
Sr.

Juan GOMEZ MEUNIER

Eduardo GRANDA
Gustavo GUIGLIELMONI

Ing.
Ing.

Eduardo KLOP
Alejandro MACHADO

Sr.

Andrs MARCHESIN

Lic.

Romina MUSSI

Lic.

Ricardo NIEVAS

Dr.
Sr,
Lic.

Jorge PEZ
Manuel PALLEIRO
Ricardo PARAMOS

Lic.

Jorge PARDAS

COMIT ZONAL DE SEGURIDAD E HIGIENE

CAMPANA-ZARATE
BOMBEROS DE MERCEDES
CARREFOUR ARGENTINA
DIRECCIN PROVINCIAL DE DEFENSA CIVIL DE
NEUQUN
SHELL CA ARGENTINA DE PETRLEO
MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD
SOCIAL
POLICA FEDERAL ARGENTINA (PFA)
UNIVERSIDAD NACIONAL ARTURO JAURETCHE
CONSEJO PROFESIONAL DE INGENIERA
MECNICA Y ELECTRICISTA (COPIME)
UNIVERSIDAD TECNOLGICA NACIONAL
FACULTAD REGIONAL CAMPANA
INVITADO ESPECIAL
SIDERCA SAIC
ASOCIACIN LATINOAMERICANA DE
FERROCARRILES
ARMADA ARGENTINA
LABORATORIO GADOR S.A.
SUPERINTENDENCIA FEDERAL DE BOMBEROSPOLICA FEDERAL ARGENTINA - PROTECCIN
AMBIENTAL
MINISTERIO DE SEGURIDAD DE LA NACIN
SUPERINTENDENCIA DE RIESGOS DEL TRABAJO
(SRT)
ORGANISMO REGULADOR DE LA SEGURIDAD DE
PRESAS (ORSEP)
UNIVERSIDAD TECNOLGICA NACIONAL
FACULTAD REGIONAL CAMPANA
DIRECCIN DE DEFENSA CIVIL DE LA PROVINCIA
DE BUENOS AIRES
GOBIERNO DE LA CIUDAD DE BUENOS. AIRES
REVISTA PREVENCIN Y EMERGENCIAS
ORGANISMO REGULADOR DE LA SEGURIDAD DE
PRESAS (ORSEP)
ASOCIACIN DE INDUST. METALRGICOS DE LA
REPBLICA ARGENTINA (ADIMRA)

30

IR A M- I SO 22 3 01 :2 0 14

Integrante

Representa a:

Lic.
Lic.
Sr.

Aldo PREZ PARRA

Nstor PUENTES
Hctor RAGO

Lic.
Ing.
Sr.
Ing.

Pablo RAGO
Carlos RODRGUEZ
Alberto RUIBAL
Nstor SPSITO

Lic.
Dra.

Claudia SUQUELE
Mara TEJO

Ing.,
Sr.

Lucrecia VERDE
Hugo VILAR

Sr.

Mauro ZABALA

Lic.
Ing.
Ing.
Ing.

Vernica MARINELLI
Roque PORTILLO
Guillermo ZUCAL
Mario PAONESSA

MINISTERIO DE SEGURIDAD DE LA NACIN

ECOKIT S.R.L.
SUBSECRETARA DE DESARROLLO Y FOMENTO
PROVINCIAL - MINISTERIO DEL INTERIOR Y
TRANSPORTE
POLICA FEDERAL ARGENTINA (PFA)
ATANOR S.C.A.
CMARA ARGENTINA DE SEGURIDAD (CAS)
UNIVERSIDAD TECNOLGICA NACIONAL FACULTAD REGIONAL BAHA BLANCA / PROCESO
APELL B. BLANCA
ARMADA ARGENTINA
SUPERINTENDENCIA DE RIESGOS DEL TRABAJO
(SRT)
ARMADA ARGENTINA
SUPERINTENDENCIA FEDERAL DE BOMBEROS
POLICA FEDERAL ARGENTINA
HOSPITAL ITALIANO / COLEGIO PROFESIONAL DE
HIGIENE, SEGURIDAD Y MEDIO AMBIENTE
(COPHISEMA)
IRAM
IRAM
IRAM
IRAM

Comit General de Normas (C.G.N.)

Integrante

Integrante

Ing.
Dr.
Lic.
Ing.
Lic.
Ing.
Dr.

Ing.
Tco.
Lic.
Ing.
Dr.
Ing.

Alberto BUSTOS ROYER

Jos M. CARACUEL
Alberto CERINI
Ramiro FERNNDEZ
Alicia GUTIRREZ
Jorge KOSTIC
Ricardo MACCHI

Jorge MANGOSIO
Hugo D. MARCH
Hctor MUGICA
Tulio PALACIOS
Mario PECORELLI
Ral DELLA PORTA

31

IR A M- I SO 22 3 01 :2 0 14

ICS 03.100.01
* CNA 0000

* Corresponde a la Clasificacin Nacional de Abastecimiento asignada por el Servicio Nacional de Catalogacin del Ministerio de Defensa.