Desarrollo normativo ISO 22301

La norma ISO 22301 especifica requisitos para planificar, establecer, implantar, operar, monitorizar, revisar, mantener y mejorar continuamente un sistema de gestión documentado para prepararse, responder y recuperarse de eventos que generan interrupciones, cuando estos ocurren.

La norma ISO 22301 puede ser aplicada a todo tipo y tamaño de organizaciones que quieran:

1. Establecer, implantar, mantener y mejorar un SGCN.

2. Asegurar conformidad con la política establecida de la continuidad de negocio de la organización.

3. Demostrar conformidad a los demás.

4. Buscar certificación/registro de su SGCN por un organismo externo de certificación.

5. Realizar una autodeterminación y auto declaración de conformidad con esta norma internacional.

Determinar temas internos y externos que son relevantes para el propósito de la organización y que afectan su habilidad de alcanzar los resultados esperados de su SGCN, tales como:

1. Las actividades de la organización, sus funciones, servicios, productos, sociedades, cadenas de suministros, relaciones con las partes interesadas y el impacto potencial relacionado con un incidente que genere una interrupción.

2. Vínculos entre la política de continuidad de negocio y los objetivos de la organización y otras políticas, incluyendo, la estrategia de gestión de riesgos globales.

3. El apetito por el riesgo de la organización.

4. Las necesidades y expectativas de las partes interesadas relevantes.

5. Leyes, regulaciones y otros requisitos aplicables, a los cuales la organización está suscrita.

Identificar el alcance del SGCN, tomando en cuenta los objetivos estratégicos de la organización, sus productos y servicios claves, su tolerancia al riesgo y cualquier obligación reglamentaria, contractual o de sus partes interesadas, también forma parte de esta cláusula.

La ISO 22301 se ha convertido, como norma de nivel mundial, en la principal para la Gestión de la Continuidad de Negocio, y permite establecer un marco normativo para que las organizaciones desarrollen acciones que les permitan minimizar los riesgos frente a interrupciones.

Está organizada en las siguientes cláusulas principales:

1. Cláusula 4, que regula el contexto de la organización, es decir, se requiere determinar temas internos y externos que son relevantes para el propósito de la organización y que afectan su habilidad de alcanzar los resultados esperados de su SGCN.
2. Cláusula 5, que regula el liderazgo de la Alta Dirección debe demostrar un compromiso continuo con el SGCN. A través de su liderazgo y acciones, la Dirección puede crear un ambiente en el cual distintos miembros del personal estén completamente involucrados y el sistema de gestión pueda funcionar de manera eficaz en sinergia con los objetivos de la organización.
3. Cláusula 6, que regula la planificación, estableciendo objetivos estratégicos y principios para la orientación del SGCN en su totalidad. Los objetivos del SGCN deben ser una expresión del propósito de la organización para el tratamiento de los riesgos identificados y/o para cumplir con los requisitos de las necesidades de la organización.
4. Cláusula 7, que regula el soporte necesario para establecer, implementar y mantener un SGCN eficaz. La gestión diaria de un SGCN, se debe basar en el uso de recursos apropiados para cada actividad. Estos recursos incluyen personal competente en base a formaciones y servicios de soporte, toma de conciencia y comunicación pertinentes (y demostrables), esto debe ser apoyado por información documentada adecuadamente gestionada.
5. Cláusula 8, que regula la operación, por la que Organización después de la planificación debe poner en funcionamiento:
   1. Análisis de impacto en el negocio.
   2. Evaluación de riesgos.
   3. Estrategia de continuidad de negocio.
   4. Procedimientos de continuidad de negocio.
   5. Ejercicios y pruebas de los procedimientos de continuidad de negocio.
6. Cláusula 9, que regula la evaluación del desempeño, por la que permanente se realice un seguimiento del sistema, así como revisiones periódicas para mejorar su operación, por parte del personal que forma parte del sistema de gestión de continuidad de negocio.
7. Cláusula 10, que regula la mejora continua, definida como todas las acciones, realizadas a lo largo de la organización, para aumentar la eficacia (cumplir objetivos) y la eficiencia (proporción costo/beneficio óptimo) de los procesos y controles de seguridad para brindar más beneficios a la organización y a sus partes interesadas.