Página de título
-
Sitio donde se ha realizado
-
Realizada el
-
Preparada por
-
Ubicación
4. Contexto de la organización
4.1 Comprensión de la organización y su contexto
-
La organización debe determinar los asuntos externos e internos que sean relevantes para su propósito y que afecten su capacidad para lograr los resultados esperados de su sistema de gestión de la continuidad del negocio.
-
NOTA: Estos asuntos estarán influenciados por los objetivos generales de la organización, sus productos y servicios y la cantidad y tipo de riesgo que puede o no asumir.
4.2 Comprensión de las necesidades y expectativas de las partes interesadas
4.2.1 General
-
Al establecer su sistema de gestión de la continuidad del negocio, la organización debe determinar:
-
a) las partes interesadas que son relevantes para el sistema de gestión de la continuidad del negocio;
-
b) los requisitos pertinentes de estas partes interesadas.
4.2.2 Requisitos legales y reglamentarios
-
La organización deberá:
-
a) implementar y mantener un proceso para identificar, tener acceso y evaluar los requisitos legales y reglamentarios aplicables relacionados con la continuidad de sus productos y servicios, actividades y recursos;
-
b) asegurarse de que estos requisitos legales, reglamentarios y de otro tipo aplicables se tengan en cuenta al implementar y mantener su sistema de gestión de la continuidad del negocio;
-
c) documentar esta información y mantenerla actualizada.
4.3 Determinación del alcance del sistema de gestión de la continuidad del negocio
4.3.1 General
-
La organización debe determinar los límites y la aplicabilidad del sistema de gestión de la continuidad del negocio para establecer su alcance.
-
Al determinar este alcance, la organización debe considerar:
-
a) los asuntos externos e internos mencionados en 4.1;
-
b) los requisitos mencionados en 4.2;
-
c) su misión, objetivos y obligaciones internas y externas.
-
El alcance debe estar disponible como información documentada.
4.3.2 Alcance del sistema de gestión de la continuidad del negocio
-
La organización deberá:
-
a) establecer las partes de la organización que se incluirán en el sistema de gestión de la continuidad del negocio, teniendo en cuenta su ubicación, tamaño, naturaleza y complejidad;
-
b) identificar los productos y servicios que se incluirán en el sistema de gestión de la continuidad del negocio.
-
Al definir el alcance, la organización debe documentar y explicar las exclusiones. No afectarán la capacidad y la responsabilidad de la organización para proporcionar continuidad del negocio, según lo determinado por el análisis de impacto en el negocio o la evaluación de riesgos y los requisitos legales o reglamentarios aplicables.
4.4 Sistema de gestión de la continuidad del negocio
-
La organización debe establecer, implementar, mantener y mejorar continuamente un sistema de gestión de la continuidad del negocio, incluidos los procesos necesarios y sus interacciones, de acuerdo con los requisitos de este documento.
5. Liderazgo
5.1 Liderazgo y compromiso
-
La alta gerencia deberá demostrar liderazgo y compromiso con respecto al sistema de gestión de la continuidad del negocio mediante:
-
a) asegurar que la política de continuidad del negocio y los objetivos de continuidad del negocio estén establecidos y sean compatibles con la dirección estratégica de la organización;
-
b) asegurar la integración de los requisitos del sistema de gestión de la continuidad del negocio en los procesos de negocio de la organización;
-
c) asegurar que los recursos necesarios para el sistema de gestión de la continuidad del negocio estén disponibles;
-
d) comunicar la importancia de la continuidad efectiva del negocio y de cumplir con los requisitos del sistema de gestión de la continuidad del negocio;
-
e) garantizar que el sistema de gestión de la continuidad del negocio logre los resultados previstos;
-
f) dirigir y apoyar a las personas para que contribuyan a la eficacia del sistema de gestión de la continuidad del negocio;
-
g) promover la mejora continua;
-
h) apoyar a otras funciones gerenciales relevantes para demostrar su liderazgo y compromiso en lo que se refiere a sus áreas de responsabilidad.
-
NOTA: la referencia a "negocios" en este documento puede interpretarse en sentido amplio para referirse a aquellas actividades que son fundamentales para los propósitos de la existencia de la organización.
5.2 Política
5.2.1 Establecimiento de la política de continuidad del negocio
-
La alta gerencia debe establecer una política de continuidad del negocio que:
-
a) es apropiado para el propósito de la organización;
-
b) proporciona un marco para establecer objetivos de continuidad del negocio;
-
c) incluye el compromiso de satisfacer los requisitos aplicables;
-
d) incluye un compromiso con la mejora continua del sistema de gestión de la continuidad del negocio.
5.2.2 Comunicar la política de continuidad del negocio
-
La política de continuidad del negocio deberá:
-
a) disponible como información documentada;
-
b) comunicarse dentro de la organización;
-
c) estar a disposición de los interesados, según corresponda.
5.3 Funciones, responsabilidades y autoridades
-
La alta gerencia debe asegurarse de que las responsabilidades y autoridades para los roles relevantes se asignen y comuniquen dentro de la organización.
-
La alta gerencia debe asignar la responsabilidad y autoridad para:
-
a) asegurar que el sistema de gestión de la continuidad del negocio cumpla con los requisitos de este documento;
-
b) informar sobre el rendimiento del sistema de gestión de la continuidad del negocio a la alta gerencia.
6. Planificación
6.1 Acciones para abordar riesgos y oportunidades
6.1.1 Determinación de riesgos y oportunidades
-
Al planificar el sistema de gestión de la continuidad del negocio, la organización debe considerar los problemas a los que se hace referencia en 4.1 y los requisitos a los que se hace referencia en 4.2 y determinar los riesgos y oportunidades que deben abordarse para:
-
a) dar seguridad de que el sistema de gestión de la continuidad del negocio pueda lograr los resultados previstos;
-
b) prevenir o reducir efectos indeseados;
-
c) alcanzar una mejora continua.
6.1.2 Abordar riesgos y oportunidades
-
La organización deberá planificar:
-
a) acciones para abordar estos riesgos y oportunidades;
-
b) cómo:
-
1) integrar e implementar las acciones en sus procesos del sistema de gestión de la continuidad del negocio (ver 8.1);
-
2) evaluar la efectividad de estas acciones (ver 9.1).
-
NOTA: los riesgos y oportunidades se relacionan con la efectividad del sistema de gestión. Los riesgos relacionados con la interrupción del negocio se abordan en el punto 8.2.
6.2 Objetivos de continuidad del negocio y planificación para alcanzarlos
6.2.1 Establecimiento de objetivos de continuidad del negocio
-
La organización debe establecer objetivos de continuidad del negocio en las funciones y niveles pertinentes.
-
Los objetivos de continuidad del negocio deberán:
-
a) ser consistente con la política de continuidad del negocio;
-
b) sea medible (si es factible);
-
c) tener en cuenta los requisitos aplicables (ver 4.1 y 4.2);
-
d) se supervise;
-
e) se comunique;
-
f) se actualice según corresponda.
-
La organización debe conservar información documentada sobre los objetivos de continuidad del negocio.
6.2.2 Determinación de los objetivos de continuidad del negocio
-
Al planificar cómo lograr sus objetivos de continuidad del negocio, la organización debe determinar:
-
a) lo que se hará;
-
b) qué recursos se requerirán;
-
c) quién será responsable;
-
d) cuándo se completará;
-
e) cómo se evaluarán los resultados.
6.3 Planificación de cambios en el sistema de gestión de continuidad del negocio
-
Cuando la organización determina la necesidad de cambios en el sistema de gestión de la continuidad del negocio, incluidos los identificados en la Cláusula 10, los cambios se deben llevar a cabo de manera planificada.
-
La organización debe considerar:
-
a) el propósito de los cambios y sus posibles consecuencias;
-
b) la integridad del sistema de gestión de la continuidad del negocio;
-
e) la disponibilidad de recursos;
-
d) la asignación o reasignación de responsabilidades y autoridades.
7. Soporte
7.1 Recursos
-
La organización debe determinar y proporcionar los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del sistema de gestión de la continuidad del negocio.
7.2 Competencias
-
La organización deberá:
-
a) determinar la competencia necesaria de las personas que realizan el trabajo bajo su control que afecta el rendimiento de la continuidad del negocio;
-
b) garantizar que estas personas sean competentes en base a una educación, formación o experiencia adecuadas;
-
c) cuando corresponda, tomar acciones para adquirir la competencia necesaria y evaluar la efectividad de las acciones tomadas;
-
d) conservar la información documentada apropiada como prueba de competencia.
-
NOTA: Las acciones aplicables pueden incluir, por ejemplo, la provisión de formación, tutoría o reasignación de personas actualmente empleadas; o la contratación o subcontratación de personas competentes.
7.3 Conciencia
-
Las personas que realicen trabajos bajo el control de la organización deben ser conscientes de:
-
a) la política de continuidad del negocio;
-
b) su contribución a la eficacia del sistema de gestión de la continuidad del negocio, incluidos los beneficios de un mejor desempeño de la continuidad del negocio;
-
c) las implicaciones de no cumplir con los requisitos del sistema de gestión de la continuidad del negocio;
-
d) su propia función y responsabilidades antes, durante y después de las interrupciones.
7.4 Comunicación
-
La organización debe determinar las comunicaciones internas y externas relevantes para el sistema de gestión de la continuidad del negocio, que incluyen:
-
a) sobre qué comunicará;
-
b) cuándo comunicar;
-
c) con quién comunicarse;
-
d) cómo comunicar;
-
e) quién comunicará.
7.5 Información documentada
7.5.1 General
-
El sistema de gestión de la continuidad del negocio de la organización debe incluir:
-
a) información documentada requerida por este documento;
-
b) información documentada determinada por la organización como necesaria para la eficacia del sistema de gestión de la continuidad del negocio.
-
NOTA: el alcance de la información documentada para un sistema de gestión de la continuidad del negocio puede diferir de una organización a otra debido a:
— el tamaño de la organización y su tipo de actividades, procesos, productos y servicios, y recursos;
— la complejidad de los procesos y sus interacciones;
— las competencias de las personas.
7.5.2 Creación y actualización
-
Al crear y actualizar la información documentada, la organización debe garantizar lo siguiente:
-
a) identificación y descripción (por ejemplo, un título, fecha, autor o número de referencia);
-
b) formato (p. ej., idioma, versión del software, gráficos) y medios (p. ej., papel, electrónico);
-
c) revisión y aprobación de idoneidad y adecuación.
7.5.3 Control de la información documentada
-
7.5.3.1 La información documentada requerida por el sistema de gestión de la continuidad del negocio y por este documento debe controlarse para asegurar:
-
a) está disponible y es adecuada para su uso, donde y cuando se necesite;
-
b) está adecuadamente protegida (por ejemplo, contra la pérdida de confidencialidad, uso indebido o pérdida de integridad).
-
7.5.3.2 Para el control de la información documentada, la organización debe abordar las siguientes actividades, según corresponda:
-
a) distribución, acceso, recuperación y uso;
-
b) almacenamiento y conservación, incluida la conservación de la legibilidad;
-
e) control de cambios (por ejemplo, control de versiones);
-
d) retención y eliminación.
-
La información documentada de origen externo determinada por la organización como necesaria para la planificación y operación del sistema de gestión de la continuidad del negocio debe identificarse, según corresponda, y controlarse.
-
NOTA: el acceso puede implicar una decisión con respecto al permiso para ver solo la información documentada, o el permiso y la autoridad para ver y cambiar la información documentada.
8. Operaciones
8.1 Planificación y control de operaciones
-
La organización debe planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos y para implementar las acciones determinadas en 6.1, mediante:
-
a) establecer criterios para los procesos;
-
b) implementar el control de los procesos de acuerdo con los criterios;
-
c) mantener información documentada en la medida necesaria para tener la confianza de que los procesos se han llevado a cabo según lo planeado.
-
La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no deseados, tomando medidas para mitigar cualquier efecto adverso, según sea necesario.
-
La organización debe asegurarse de que los procesos subcontratados y la cadena de suministro estén controlados.
8.2 Análisis de impacto comercial y evaluación de riesgos
8.2.1 General
-
La organización deberá:
-
a) implementar y mantener procesos sistemáticos para analizar el impacto comercial y evaluar los riesgos de interrupción;
-
b) revisar el análisis de impacto en el negocio y la evaluación de riesgos a intervalos planificados y cuando haya cambios significativos dentro de la organización o el contexto en el que opera.
-
NOTA: la organización determina el orden en que se realizan el análisis de impacto comercial y la evaluación de riesgos.
8.2.2 Análisis de impacto comercial
-
La organización debe utilizar el proceso de análisis de los impactos en el negocio para determinar las prioridades y los requisitos de continuidad del negocio. El proceso deberá:
-
a) definir los tipos de impacto y los criterios relevantes para el contexto de la organización;
-
b) identificar las actividades que apoyan la provisión de productos y servicios;
-
c) utilizar los tipos y criterios de impacto para evaluar los impactos a lo largo del tiempo resultantes de la interrupción de estas actividades;
-
d) identificar el plazo de tiempo dentro del cual los impactos de no reanudar las actividades serían inaceptables para la organización;
-
NOTA 1: este período de tiempo puede denominarse "período máximo tolerable de interrupción (PMTI)".
-
e) establecer plazos priorizados dentro del tiempo identificado en d) para reanudar las actividades interrumpidas a una capacidad mínima aceptable especificada;
-
NOTA 2: Este período de tiempo puede denominarse "objetivo de tiempo de recuperación (OTR)".
-
f) utilizar este análisis para identificar actividades prioritarias;
-
g) determinar qué recursos se necesitan para apoyar las actividades priorizadas;
-
h) determinar las dependencias, incluidos socios y proveedores, e interdependencias de las actividades priorizadas.
8.2.3 Evaluación de riesgos
-
La organización debe implementar y mantener un proceso de evaluación de riesgos.
-
NOTA: el proceso de evaluación de riesgos se aborda en la norma ISO 31000.
-
La organización deberá:
-
a) identificar los riesgos de interrupción de las actividades prioritarias de la organización y de los recursos necesarios;
-
b) analizar y evaluar los riesgos identificados;
-
c) determinar qué riesgos requieren tratamiento.
-
NOTA: los riesgos en esta subcláusula se relacionan con la interrupción de las actividades comerciales. Los riesgos y oportunidades relacionados con la eficacia del sistema de gestión se abordan en 6.1.
8.3 Estrategias y soluciones de continuidad del negocio
8.3.1 General
-
En base a los resultados del análisis de impacto comercial y la evaluación de riesgos, la organización debe identificar y seleccionar estrategias de continuidad comercial que consideren opciones para antes, durante y después de la interrupción. Las estrategias de continuidad del negocio estarán compuestas por una o más soluciones.
8.3.2 Identificación de estrategias y soluciones
-
La identificación se basará en la medida en que las estrategias y soluciones:
-
a) cumplir con los requisitos para continuar y recuperar las actividades priorizadas dentro de los plazos identificados y la capacidad acordada;
-
b) proteger las actividades prioritarias de la organización;
-
c) reducir la probabilidad de interrupción;
-
d) acortar el período de interrupción;
-
e) limitar el impacto de la interrupción en los productos y servicios de la organización;
-
f) prever la disponibilidad de recursos adecuados.
8.3.3 Selección de estrategias y soluciones
-
La selección se basará en la medida en que las estrategias y soluciones:
-
a) cumplir con los requisitos para continuar y recuperar las actividades priorizadas dentro de los plazos identificados y la capacidad acordada;
-
b) considerar la cantidad y el tipo de riesgo que la organización puede o no asumir;
-
c) considerar los costos y beneficios asociados.
8.3.4 Requisitos de recursos
-
La organización debe determinar los requisitos de recursos para implementar las soluciones de continuidad del negocio seleccionadas. Los tipos de recursos considerados incluirán, pero no se limitarán a:
-
a) personas;
-
b) información y datos;
-
c) infraestructura física como edificios, lugares de trabajo u otras instalaciones y servicios públicos asociados;
-
d) equipamiento y consumibles;
-
e) sistemas de tecnología de la información y la comunicación;
-
f) transporte y logística;
-
g) finanzas;
-
h) socios y proveedores.
8.3.5 Implementación de soluciones
-
La organización debe implementar y mantener soluciones de continuidad del negocio seleccionadas para que puedan activarse cuando sea necesario.
8.4 Planes y procedimientos de continuidad del negocio
8.4.1 General
-
La organización debe implementar y mantener una estructura de respuesta que permita alertas y comunicaciones oportunas a las partes interesadas pertinentes. Debe proporcionar planes y procedimientos para gestionar la organización durante una interrupción. Los planes y procedimientos se utilizarán cuando sea necesario para activar las soluciones de continuidad del negocio.
-
NOTA: Existen diferentes tipos de trámites que incluyen planes de continuidad del negocio.
-
La organización debe identificar y documentar los planes y procedimientos de continuidad del negocio en función del resultado de las estrategias y soluciones seleccionadas.
-
Los procedimientos deberán:
-
a) ser específico con respecto a los pasos inmediatos que deben tomarse durante una interrupción;
-
b) ser flexible para responder a las cambiantes condiciones internas y externas de una interrupción;
-
c) centrarse en el impacto de los incidentes que potencialmente conducen a una interrupción;
-
d) ser efectivos en minimizar el impacto a través de la implementación de soluciones apropiadas;
-
e) asignar roles y responsabilidades para las tareas dentro de ellos.
8.4.2 Estructura de respuesta
-
8.4.2.1 La organización debe implementar y mantener una estructura, identificando uno o más equipos responsables de responder a las interrupciones.
-
8.4.2.2 Las funciones y responsabilidades de cada equipo y las relaciones entre los equipos deberán estar claramente establecidas.
-
8.4.2.3 Colectivamente, los equipos serán competentes para:
-
a) evaluar la naturaleza y el alcance de una interrupción y su impacto potencial;
-
b) evaluar el impacto frente a umbrales predefinidos que justifiquen el inicio de una respuesta formal;
-
c) activar una respuesta apropiada para continuidad del negocio;
-
d) planificar las acciones que deben emprenderse;
-
e) establecer prioridades (usando la seguridad de la vida como primera prioridad);
-
f) supervisar los efectos de la interrupción y la respuesta de la organización;
-
g) activar las soluciones de continuidad del negocio;
-
h) comunicarse con las partes interesadas pertinentes, las autoridades y los medios de comunicación.
-
8.4.2.4 Para cada equipo habrá:
-
a) personal identificado y sus suplentes con la responsabilidad, autoridad y competencia necesarias para desempeñar su función designada;
-
b) procedimientos documentados para guiar sus acciones (ver 8.4.4), incluidos aquellos para la activación, operación, coordinación y comunicación de la respuesta.
8.4.3 Advertencia y comunicación
-
8.4.3.1 La organización debe documentar y mantener procedimientos para:
-
a) comunicar interna y externamente a las partes interesadas relevantes, incluido qué, cuándo, con quién y cómo comunicarse;
-
NOTA: La organización puede documentar y mantener procedimientos sobre cómo y bajo qué circunstancias, la organización se comunica con los empleados y sus contactos de emergencia.
-
b) recibir, documentar y responder a las comunicaciones de las partes interesadas, incluido cualquier sistema de asesoramiento de riesgos nacional o regional o equivalente;
-
c) garantizar la disponibilidad de los medios de comunicación durante una interrupción;
-
d) facilitar la comunicación estructurada con los servicios de emergencia;
-
e) proporcionar detalles de la respuesta de la organización a los medios de comunicación después de un incidente, incluida una estrategia de comunicación;
-
f) registrar los detalles de la interrupción, las acciones tomadas y las decisiones tomadas.
-
8.4.3.2 Cuando corresponda, también se considerará e implementará lo siguiente:
-
a) alertar a las partes interesadas potencialmente afectadas por una interrupción real o inminente;
-
b) asegurar la coordinación y comunicación apropiadas entre múltiples organizaciones que respondan.
-
Los procedimientos de advertencia y comunicación deben ejercerse como parte del programa de ejercicios de la organización descrito en 8.5.
8.4.4 Planes de continuidad del negocio
-
8.4.4.1 La organización deberá documentar y mantener los planes y procedimientos de continuidad del negocio. Los planes de continuidad del negocio deben proporcionar orientación e información para ayudar a los equipos a responder a una interrupción y ayudar a la organización con la respuesta y la recuperación.
-
8.4.4.2 Colectivamente, los planes de continuidad del negocio deberán contener:
-
a) detalles de las acciones que los equipos tomarán para:
-
1) continuar o recuperar actividades priorizadas dentro de plazos predeterminados;
-
2) supervisar el impacto de la interrupción y la respuesta de la organización;
-
b) referencia a los umbrales y procesos predefinidos para activar la respuesta;
-
c) procedimientos para permitir la entrega de productos y servicios a la capacidad acordada;
-
d) detalles para gestionar las consecuencias inmediatas de una interrupción teniendo debidamente en cuenta:
-
1) el bienestar de los individuos;
-
2) la prevención de más pérdidas o indisponibilidad de actividades prioritarias;
-
3) el impacto sobre el medio ambiente.
-
8.4.4.3 Cada plan deberá incluir:
-
a) la finalidad, alcance y objetivos;
-
b) las funciones y responsabilidades del equipo que implementará el plan;
-
c) acciones para implementar las soluciones;
-
d) información de soporte necesaria para activar (incluidos los criterios de activación), operar, coordinar y comunicar las acciones del equipo;
-
e) interdependencias internas y externas;
-
f) los requisitos de recursos;
-
g) los requisitos de información;
-
h) un proceso para retirarse.
-
Cada plan deberá ser utilizable y estar disponible en el momento y lugar en que se requiera.
8.5 Programa de ejercicio
-
La organización debe implementar y mantener un programa de ejercicio y prueba para validar a lo largo del tiempo la eficacia de sus estrategias y soluciones de continuidad del negocio.
-
La organización realizará ejercicios y pruebas que:
-
a) son consistentes con sus objetivos de continuidad del negocio;
-
b) se basan en escenarios apropiados que están bien planificados con fines y objetivos claramente definidos;
-
c) desarrollar el trabajo en equipo, la competencia, la confianza y el conocimiento de quienes tienen roles que desempeñar en relación con las interrupciones;
-
d) en su conjunto a lo largo del tiempo, validar sus estrategias y soluciones de continuidad del negocio;
-
e) producir informes formales posteriores al ejercicio que contengan resultados, recomendaciones y acciones para implementar mejoras;
-
f) se revisan en el contexto de la promoción de la mejora continua;
-
g) se realizan a intervalos planificados y cuando hay cambios significativos dentro de la organización o el contexto en el que opera.
-
La organización debe actuar sobre los resultados de su ejercicio y prueba para implementar cambios y mejoras.
8.6 Evaluación de la documentación y capacidades de continuidad del negocio
-
La organización deberá:
-
a) evaluar la idoneidad, adecuación y eficacia de su análisis de impacto comercial, evaluación de riesgos, estrategias, soluciones, planes y procedimientos;
-
b) realizar evaluaciones a través de revisiones, análisis, ejercicios, pruebas, informes posteriores al incidente y evaluaciones de rendimiento;
-
c) realizar evaluaciones de las capacidades de continuidad del negocio de los socios y proveedores relevantes;
-
d) evaluar el cumplimiento de los requisitos legales y reglamentarios aplicables, las mejores prácticas de la industria y la conformidad con su propia política y objetivos de continuidad del negocio;
-
e) actualizar la documentación y los procedimientos de manera oportuna.
-
Estas evaluaciones se realizarán a intervalos planificados, después de un incidente o activación, y cuando ocurran cambios significativos.
9. Evaluación del rendimiento
9.1 Monitorización, medición, análisis y evaluación
-
La organización debe determinar:
-
a) qué se necesita monitorizar y medir;
-
b) los métodos de supervisión, medición, análisis y evaluación, según corresponda, para garantizar resultados válidos;
-
c) cuándo y por quién se realizará la supervisión y la medición;
-
d) cuándo y por quién se analizarán y evaluarán los resultados del seguimiento y la medición.
-
La organización debe conservar la información documentada apropiada como prueba de los resultados.
-
La organización debe evaluar el rendimiento y la eficacia del sistema de gestión de la continuidad del negocio.
9.2 Auditoría interna
9.2.1 General
-
La organización debe realizar auditorías internas a intervalos planificados para proporcionar información sobre el sistema de gestión de la continuidad del negocio y saber si:
-
a) se ajusta a:
-
1) los requisitos propios de la organización para su sistema de gestión de la continuidad del negocio;
-
2) los requisitos de este documento;
-
b) se implementa y mantiene de manera efectiva.
9.2.2 Programas de auditoría
-
La organización deberá:
-
c) planificar, establecer, implementar y mantener un programa de auditoría que incluya la frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la presentación de informes, y tenga en cuenta la importancia de los procesos en cuestión y los resultados de auditorías anteriores;
-
d) definir los criterios de auditoría y el alcance de cada auditoría;
-
c) seleccionar auditores y realizar auditorías que garanticen la objetividad y la imparcialidad del proceso de auditoría;
-
d) asegurar que los resultados de las auditorías sean notificados a los gerentes relevantes;
-
e) retener información documentada como prueba de la implementación del programa o programas de auditoría y los resultados de la auditoría;
-
f) asegurar que se tomen las acciones correctivas necesarias sin demora indebida para eliminar las no conformidades detectadas y sus causas;
-
g) asegurar que las acciones de auditoría de seguimiento incluyan la verificación de las acciones tomadas y el informe de los resultados de la verificación.
9.3 Revisión por parte de la gerencia
9.3.1 General
-
La alta gerencia debe revisar el sistema de gestión de la continuidad del negocio de la organización, a intervalos planificados, para garantizar su idoneidad, adecuación y eficacia continuas.
9.3.2 Entradas de la revisión por la gerencia
-
La revisión por la gerencia incluirá la consideración de:
-
a) el estado de las acciones de revisiones anteriores por parte de la gerencia;
-
b) cambios en cuestiones externas e internas que son relevantes para el sistema de gestión de la continuidad del negocio;
-
c) información sobre el rendimiento del sistema de gestión de la continuidad del negocio, incluidas las tendencias en:
-
1) las no conformidades y acciones correctivas;
-
2) seguimiento y medición de los resultados de la evaluación;
-
3) resultados de la auditoría;
-
d) comentarios de las partes interesadas;
-
e) la necesidad de cambios en el sistema de gestión de la continuidad del negocio, incluida la política y los objetivos;
-
f) procedimientos y recursos que podrían utilizarse en la organización para mejorar el desempeño y la eficacia del sistema de gestión de la continuidad del negocio;
-
g) información del análisis de impacto comercial y evaluación de riesgos;
-
h) resultado de la evaluación de la documentación y capacidades de continuidad del negocio (ver 8.6);
-
i) riesgos o contratiempos que no se abordaron adecuadamente en ninguna evaluación de riesgos anterior;
-
j) lecciones aprendidas y acciones derivadas de cuasi accidentes e interrupciones;
-
k) oportunidades de mejora continua.
9.3.3 Resultados de la revisión por la gerencia
-
9.3.3.1 Los resultados de la revisión por la gerencia deben incluir decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambios en el sistema de gestión de la continuidad del negocio para mejorar su eficiencia y eficacia, incluidos los siguientes:
-
a) variaciones del alcance del sistema de gestión de la continuidad del negocio;
-
b) actualización del análisis de impacto en el negocio, evaluación de riesgos, estrategias y soluciones de continuidad del negocio y planes de continuidad del negocio;
-
c) modificación de procedimientos y controles para responder a problemas internos o externos que puedan afectar al sistema de gestión de la continuidad del negocio;
-
d) cómo se medirá la eficacia de los controles.
-
9.3.3.2 La organización debe conservar información documentada como prueba de los resultados de las revisiones por la gerencia. Deberá:
-
a) comunicar los resultados de la revisión por la gerencia a las partes interesadas pertinentes;
-
b) tomar las medidas apropiadas en relación con esos resultados.
10. Mejora
10.1 No conformidad y acción correctiva
-
10.1.1 La organización debe determinar las oportunidades de mejora e implementar las acciones necesarias para lograr los resultados esperados de su sistema de gestión de la continuidad del negocio.
-
10.1.2 Cuando ocurre una no conformidad, la organización debe:
-
a) reaccionar a la no conformidad y, según corresponda:
-
1) tomar acciones para controlar y corregir;
-
2) hacer frente a las consecuencias;
-
b) evaluar la necesidad de acción para eliminar las causas de la no conformidad, a fin de que no se repita u ocurra en otro lugar, mediante:
-
1) revisar la no conformidad;
-
2) determinar las causas de la no conformidad;
-
3) determinar si existen no conformidades similares o pueden ocurrir potencialmente;
-
c) implementar cualquier acción necesaria;
-
d) revisar la efectividad de cualquier acción correctiva tomada;
-
e) hacer cambios en el sistema de gestión de la continuidad del negocio, si es necesario.
-
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas.
-
10.1.3 La organización debe conservar la información documentada como prueba de:
-
f) la naturaleza de las no conformidades y cualquier acción posterior tomada;
-
b) los resultados de cualquier acción correctiva.
10.2 Mejora continua
-
La organización debe mejorar continuamente la idoneidad, adecuación y eficacia del sistema de gestión de la continuidad del negocio, en base a medidas cualitativas y cuantitativas.
-
La organización deberá considerar los resultados del análisis y la evaluación, y los resultados de la revisión por la gerencia, para determinar si existen necesidades u oportunidades, relacionadas con el negocio o con el sistema de gestión de la continuidad del negocio, que deberán abordarse como parte de la mejora continua.
-
NOTA: la organización puede utilizar los procesos del sistema de gestión de la continuidad del negocio, como el liderazgo, la planificación y la evaluación del rendimiento, para lograr la mejora.
Finalización
-
Comentarios/recomendaciones
-
Nombre y firma