Lista de comprobación ISO 22301:2019

Página de título

Sitio donde se ha realizado
Realizada el
Preparada por
Ubicación

4. Contexto de la organización

4.1 Comprensión de la organización y su contexto

La organización debe determinar los asuntos externos e internos que sean relevantes para su propósito y que afecten su capacidad para lograr los resultados esperados de su sistema de gestión de la continuidad del negocio.
NOTA: Estos asuntos estarán influenciados por los objetivos generales de la organización, sus productos y servicios y la cantidad y tipo de riesgo que puede o no asumir.

4.2 Comprensión de las necesidades y expectativas de las partes interesadas

4.2.1 General

Al establecer su sistema de gestión de la continuidad del negocio, la organización debe determinar:
a) las partes interesadas que son relevantes para el sistema de gestión de la continuidad del negocio;
b) los requisitos pertinentes de estas partes interesadas.

4.2.2 Requisitos legales y reglamentarios

La organización deberá:
a) implementar y mantener un proceso para identificar, tener acceso y evaluar los requisitos legales y reglamentarios aplicables relacionados con la continuidad de sus productos y servicios, actividades y recursos;
b) asegurarse de que estos requisitos legales, reglamentarios y de otro tipo aplicables se tengan en cuenta al implementar y mantener su sistema de gestión de la continuidad del negocio;
c) documentar esta información y mantenerla actualizada.

4.3 Determinación del alcance del sistema de gestión de la continuidad del negocio

4.3.1 General

La organización debe determinar los límites y la aplicabilidad del sistema de gestión de la continuidad del negocio para establecer su alcance.
Al determinar este alcance, la organización debe considerar:
a) los asuntos externos e internos mencionados en 4.1;
b) los requisitos mencionados en 4.2;
c) su misión, objetivos y obligaciones internas y externas.
El alcance debe estar disponible como información documentada.

4.3.2 Alcance del sistema de gestión de la continuidad del negocio

La organización deberá:
a) establecer las partes de la organización que se incluirán en el sistema de gestión de la continuidad del negocio, teniendo en cuenta su ubicación, tamaño, naturaleza y complejidad;
b) identificar los productos y servicios que se incluirán en el sistema de gestión de la continuidad del negocio.
Al definir el alcance, la organización debe documentar y explicar las exclusiones. No afectarán la capacidad y la responsabilidad de la organización para proporcionar continuidad del negocio, según lo determinado por el análisis de impacto en el negocio o la evaluación de riesgos y los requisitos legales o reglamentarios aplicables.

4.4 Sistema de gestión de la continuidad del negocio

La organización debe establecer, implementar, mantener y mejorar continuamente un sistema de gestión de la continuidad del negocio, incluidos los procesos necesarios y sus interacciones, de acuerdo con los requisitos de este documento.

5. Liderazgo

5.1 Liderazgo y compromiso

La alta gerencia deberá demostrar liderazgo y compromiso con respecto al sistema de gestión de la continuidad del negocio mediante:
a) asegurar que la política de continuidad del negocio y los objetivos de continuidad del negocio estén establecidos y sean compatibles con la dirección estratégica de la organización;
b) asegurar la integración de los requisitos del sistema de gestión de la continuidad del negocio en los procesos de negocio de la organización;
c) asegurar que los recursos necesarios para el sistema de gestión de la continuidad del negocio estén disponibles;
d) comunicar la importancia de la continuidad efectiva del negocio y de cumplir con los requisitos del sistema de gestión de la continuidad del negocio;
e) garantizar que el sistema de gestión de la continuidad del negocio logre los resultados previstos;
f) dirigir y apoyar a las personas para que contribuyan a la eficacia del sistema de gestión de la continuidad del negocio;
g) promover la mejora continua;
h) apoyar a otras funciones gerenciales relevantes para demostrar su liderazgo y compromiso en lo que se refiere a sus áreas de responsabilidad.
NOTA: la referencia a "negocios" en este documento puede interpretarse en sentido amplio para referirse a aquellas actividades que son fundamentales para los propósitos de la existencia de la organización.

5.2 Política

5.2.1 Establecimiento de la política de continuidad del negocio

La alta gerencia debe establecer una política de continuidad del negocio que:
a) es apropiado para el propósito de la organización;
b) proporciona un marco para establecer objetivos de continuidad del negocio;
c) incluye el compromiso de satisfacer los requisitos aplicables;
d) incluye un compromiso con la mejora continua del sistema de gestión de la continuidad del negocio.

5.2.2 Comunicar la política de continuidad del negocio

La política de continuidad del negocio deberá:
a) disponible como información documentada;
b) comunicarse dentro de la organización;
c) estar a disposición de los interesados, según corresponda.

5.3 Funciones, responsabilidades y autoridades

La alta gerencia debe asegurarse de que las responsabilidades y autoridades para los roles relevantes se asignen y comuniquen dentro de la organización.
La alta gerencia debe asignar la responsabilidad y autoridad para:
a) asegurar que el sistema de gestión de la continuidad del negocio cumpla con los requisitos de este documento;
b) informar sobre el rendimiento del sistema de gestión de la continuidad del negocio a la alta gerencia.

6. Planificación

6.1 Acciones para abordar riesgos y oportunidades

6.1.1 Determinación de riesgos y oportunidades

Al planificar el sistema de gestión de la continuidad del negocio, la organización debe considerar los problemas a los que se hace referencia en 4.1 y los requisitos a los que se hace referencia en 4.2 y determinar los riesgos y oportunidades que deben abordarse para:
a) dar seguridad de que el sistema de gestión de la continuidad del negocio pueda lograr los resultados previstos;
b) prevenir o reducir efectos indeseados;
c) alcanzar una mejora continua.

6.1.2 Abordar riesgos y oportunidades

La organización deberá planificar:
a) acciones para abordar estos riesgos y oportunidades;
b) cómo:
1) integrar e implementar las acciones en sus procesos del sistema de gestión de la continuidad del negocio (ver 8.1);
2) evaluar la efectividad de estas acciones (ver 9.1).
NOTA: los riesgos y oportunidades se relacionan con la efectividad del sistema de gestión. Los riesgos relacionados con la interrupción del negocio se abordan en el punto 8.2.

6.2 Objetivos de continuidad del negocio y planificación para alcanzarlos

6.2.1 Establecimiento de objetivos de continuidad del negocio

La organización debe establecer objetivos de continuidad del negocio en las funciones y niveles pertinentes.
Los objetivos de continuidad del negocio deberán:
a) ser consistente con la política de continuidad del negocio;
b) sea medible (si es factible);
c) tener en cuenta los requisitos aplicables (ver 4.1 y 4.2);
d) se supervise;
e) se comunique;
f) se actualice según corresponda.
La organización debe conservar información documentada sobre los objetivos de continuidad del negocio.

6.2.2 Determinación de los objetivos de continuidad del negocio

Al planificar cómo lograr sus objetivos de continuidad del negocio, la organización debe determinar:
a) lo que se hará;
b) qué recursos se requerirán;
c) quién será responsable;
d) cuándo se completará;
e) cómo se evaluarán los resultados.

6.3 Planificación de cambios en el sistema de gestión de continuidad del negocio

Cuando la organización determina la necesidad de cambios en el sistema de gestión de la continuidad del negocio, incluidos los identificados en la Cláusula 10, los cambios se deben llevar a cabo de manera planificada.
La organización debe considerar:
a) el propósito de los cambios y sus posibles consecuencias;
b) la integridad del sistema de gestión de la continuidad del negocio;
e) la disponibilidad de recursos;
d) la asignación o reasignación de responsabilidades y autoridades.

7. Soporte

7.1 Recursos

La organización debe determinar y proporcionar los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del sistema de gestión de la continuidad del negocio.

7.2 Competencias

La organización deberá:
a) determinar la competencia necesaria de las personas que realizan el trabajo bajo su control que afecta el rendimiento de la continuidad del negocio;
b) garantizar que estas personas sean competentes en base a una educación, formación o experiencia adecuadas;
c) cuando corresponda, tomar acciones para adquirir la competencia necesaria y evaluar la efectividad de las acciones tomadas;
d) conservar la información documentada apropiada como prueba de competencia.
NOTA: Las acciones aplicables pueden incluir, por ejemplo, la provisión de formación, tutoría o reasignación de personas actualmente empleadas; o la contratación o subcontratación de personas competentes.

7.3 Conciencia

Las personas que realicen trabajos bajo el control de la organización deben ser conscientes de:
a) la política de continuidad del negocio;
b) su contribución a la eficacia del sistema de gestión de la continuidad del negocio, incluidos los beneficios de un mejor desempeño de la continuidad del negocio;
c) las implicaciones de no cumplir con los requisitos del sistema de gestión de la continuidad del negocio;
d) su propia función y responsabilidades antes, durante y después de las interrupciones.

7.4 Comunicación

La organización debe determinar las comunicaciones internas y externas relevantes para el sistema de gestión de la continuidad del negocio, que incluyen:
a) sobre qué comunicará;
b) cuándo comunicar;
c) con quién comunicarse;
d) cómo comunicar;
e) quién comunicará.

7.5 Información documentada

7.5.1 General

El sistema de gestión de la continuidad del negocio de la organización debe incluir:
a) información documentada requerida por este documento;
b) información documentada determinada por la organización como necesaria para la eficacia del sistema de gestión de la continuidad del negocio.
NOTA: el alcance de la información documentada para un sistema de gestión de la continuidad del negocio puede diferir de una organización a otra debido a:
— el tamaño de la organización y su tipo de actividades, procesos, productos y servicios, y recursos;
— la complejidad de los procesos y sus interacciones;
— las competencias de las personas.

7.5.2 Creación y actualización

Al crear y actualizar la información documentada, la organización debe garantizar lo siguiente:
a) identificación y descripción (por ejemplo, un título, fecha, autor o número de referencia);
b) formato (p. ej., idioma, versión del software, gráficos) y medios (p. ej., papel, electrónico);
c) revisión y aprobación de idoneidad y adecuación.

7.5.3 Control de la información documentada

7.5.3.1 La información documentada requerida por el sistema de gestión de la continuidad del negocio y por este documento debe controlarse para asegurar:
a) está disponible y es adecuada para su uso, donde y cuando se necesite;
b) está adecuadamente protegida (por ejemplo, contra la pérdida de confidencialidad, uso indebido o pérdida de integridad).
7.5.3.2 Para el control de la información documentada, la organización debe abordar las siguientes actividades, según corresponda:
a) distribución, acceso, recuperación y uso;
b) almacenamiento y conservación, incluida la conservación de la legibilidad;
e) control de cambios (por ejemplo, control de versiones);
d) retención y eliminación.
La información documentada de origen externo determinada por la organización como necesaria para la planificación y operación del sistema de gestión de la continuidad del negocio debe identificarse, según corresponda, y controlarse.
NOTA: el acceso puede implicar una decisión con respecto al permiso para ver solo la información documentada, o el permiso y la autoridad para ver y cambiar la información documentada.

8. Operaciones

8.1 Planificación y control de operaciones

La organización debe planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos y para implementar las acciones determinadas en 6.1, mediante:
a) establecer criterios para los procesos;
b) implementar el control de los procesos de acuerdo con los criterios;
c) mantener información documentada en la medida necesaria para tener la confianza de que los procesos se han llevado a cabo según lo planeado.
La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no deseados, tomando medidas para mitigar cualquier efecto adverso, según sea necesario.
La organización debe asegurarse de que los procesos subcontratados y la cadena de suministro estén controlados.

8.2 Análisis de impacto comercial y evaluación de riesgos

8.2.1 General

La organización deberá:
a) implementar y mantener procesos sistemáticos para analizar el impacto comercial y evaluar los riesgos de interrupción;
b) revisar el análisis de impacto en el negocio y la evaluación de riesgos a intervalos planificados y cuando haya cambios significativos dentro de la organización o el contexto en el que opera.
NOTA: la organización determina el orden en que se realizan el análisis de impacto comercial y la evaluación de riesgos.

8.2.2 Análisis de impacto comercial

La organización debe utilizar el proceso de análisis de los impactos en el negocio para determinar las prioridades y los requisitos de continuidad del negocio. El proceso deberá:
a) definir los tipos de impacto y los criterios relevantes para el contexto de la organización;
b) identificar las actividades que apoyan la provisión de productos y servicios;
c) utilizar los tipos y criterios de impacto para evaluar los impactos a lo largo del tiempo resultantes de la interrupción de estas actividades;
d) identificar el plazo de tiempo dentro del cual los impactos de no reanudar las actividades serían inaceptables para la organización;
NOTA 1: este período de tiempo puede denominarse "período máximo tolerable de interrupción (PMTI)".
e) establecer plazos priorizados dentro del tiempo identificado en d) para reanudar las actividades interrumpidas a una capacidad mínima aceptable especificada;
NOTA 2: Este período de tiempo puede denominarse "objetivo de tiempo de recuperación (OTR)".
f) utilizar este análisis para identificar actividades prioritarias;
g) determinar qué recursos se necesitan para apoyar las actividades priorizadas;
h) determinar las dependencias, incluidos socios y proveedores, e interdependencias de las actividades priorizadas.

8.2.3 Evaluación de riesgos

La organización debe implementar y mantener un proceso de evaluación de riesgos.
NOTA: el proceso de evaluación de riesgos se aborda en la norma ISO 31000.
La organización deberá:
a) identificar los riesgos de interrupción de las actividades prioritarias de la organización y de los recursos necesarios;
b) analizar y evaluar los riesgos identificados;
c) determinar qué riesgos requieren tratamiento.
NOTA: los riesgos en esta subcláusula se relacionan con la interrupción de las actividades comerciales. Los riesgos y oportunidades relacionados con la eficacia del sistema de gestión se abordan en 6.1.

8.3 Estrategias y soluciones de continuidad del negocio

8.3.1 General

En base a los resultados del análisis de impacto comercial y la evaluación de riesgos, la organización debe identificar y seleccionar estrategias de continuidad comercial que consideren opciones para antes, durante y después de la interrupción. Las estrategias de continuidad del negocio estarán compuestas por una o más soluciones.

8.3.2 Identificación de estrategias y soluciones

La identificación se basará en la medida en que las estrategias y soluciones:
a) cumplir con los requisitos para continuar y recuperar las actividades priorizadas dentro de los plazos identificados y la capacidad acordada;
b) proteger las actividades prioritarias de la organización;
c) reducir la probabilidad de interrupción;
d) acortar el período de interrupción;
e) limitar el impacto de la interrupción en los productos y servicios de la organización;
f) prever la disponibilidad de recursos adecuados.

8.3.3 Selección de estrategias y soluciones

La selección se basará en la medida en que las estrategias y soluciones:
a) cumplir con los requisitos para continuar y recuperar las actividades priorizadas dentro de los plazos identificados y la capacidad acordada;
b) considerar la cantidad y el tipo de riesgo que la organización puede o no asumir;
c) considerar los costos y beneficios asociados.

8.3.4 Requisitos de recursos

La organización debe determinar los requisitos de recursos para implementar las soluciones de continuidad del negocio seleccionadas. Los tipos de recursos considerados incluirán, pero no se limitarán a:
a) personas;
b) información y datos;
c) infraestructura física como edificios, lugares de trabajo u otras instalaciones y servicios públicos asociados;
d) equipamiento y consumibles;
e) sistemas de tecnología de la información y la comunicación;
f) transporte y logística;
g) finanzas;
h) socios y proveedores.

8.3.5 Implementación de soluciones

La organización debe implementar y mantener soluciones de continuidad del negocio seleccionadas para que puedan activarse cuando sea necesario.

8.4 Planes y procedimientos de continuidad del negocio

8.4.1 General

La organización debe implementar y mantener una estructura de respuesta que permita alertas y comunicaciones oportunas a las partes interesadas pertinentes. Debe proporcionar planes y procedimientos para gestionar la organización durante una interrupción. Los planes y procedimientos se utilizarán cuando sea necesario para activar las soluciones de continuidad del negocio.
NOTA: Existen diferentes tipos de trámites que incluyen planes de continuidad del negocio.
La organización debe identificar y documentar los planes y procedimientos de continuidad del negocio en función del resultado de las estrategias y soluciones seleccionadas.
Los procedimientos deberán:
a) ser específico con respecto a los pasos inmediatos que deben tomarse durante una interrupción;
b) ser flexible para responder a las cambiantes condiciones internas y externas de una interrupción;
c) centrarse en el impacto de los incidentes que potencialmente conducen a una interrupción;
d) ser efectivos en minimizar el impacto a través de la implementación de soluciones apropiadas;
e) asignar roles y responsabilidades para las tareas dentro de ellos.

8.4.2 Estructura de respuesta

8.4.2.1 La organización debe implementar y mantener una estructura, identificando uno o más equipos responsables de responder a las interrupciones.
8.4.2.2 Las funciones y responsabilidades de cada equipo y las relaciones entre los equipos deberán estar claramente establecidas.
8.4.2.3 Colectivamente, los equipos serán competentes para:
a) evaluar la naturaleza y el alcance de una interrupción y su impacto potencial;
b) evaluar el impacto frente a umbrales predefinidos que justifiquen el inicio de una respuesta formal;
c) activar una respuesta apropiada para continuidad del negocio;
d) planificar las acciones que deben emprenderse;
e) establecer prioridades (usando la seguridad de la vida como primera prioridad);
f) supervisar los efectos de la interrupción y la respuesta de la organización;
g) activar las soluciones de continuidad del negocio;
h) comunicarse con las partes interesadas pertinentes, las autoridades y los medios de comunicación.
8.4.2.4 Para cada equipo habrá:
a) personal identificado y sus suplentes con la responsabilidad, autoridad y competencia necesarias para desempeñar su función designada;
b) procedimientos documentados para guiar sus acciones (ver 8.4.4), incluidos aquellos para la activación, operación, coordinación y comunicación de la respuesta.

8.4.3 Advertencia y comunicación

8.4.3.1 La organización debe documentar y mantener procedimientos para:
a) comunicar interna y externamente a las partes interesadas relevantes, incluido qué, cuándo, con quién y cómo comunicarse;
NOTA: La organización puede documentar y mantener procedimientos sobre cómo y bajo qué circunstancias, la organización se comunica con los empleados y sus contactos de emergencia.
b) recibir, documentar y responder a las comunicaciones de las partes interesadas, incluido cualquier sistema de asesoramiento de riesgos nacional o regional o equivalente;
c) garantizar la disponibilidad de los medios de comunicación durante una interrupción;
d) facilitar la comunicación estructurada con los servicios de emergencia;
e) proporcionar detalles de la respuesta de la organización a los medios de comunicación después de un incidente, incluida una estrategia de comunicación;
f) registrar los detalles de la interrupción, las acciones tomadas y las decisiones tomadas.
8.4.3.2 Cuando corresponda, también se considerará e implementará lo siguiente:
a) alertar a las partes interesadas potencialmente afectadas por una interrupción real o inminente;
b) asegurar la coordinación y comunicación apropiadas entre múltiples organizaciones que respondan.
Los procedimientos de advertencia y comunicación deben ejercerse como parte del programa de ejercicios de la organización descrito en 8.5.

8.4.4 Planes de continuidad del negocio

8.4.4.1 La organización deberá documentar y mantener los planes y procedimientos de continuidad del negocio. Los planes de continuidad del negocio deben proporcionar orientación e información para ayudar a los equipos a responder a una interrupción y ayudar a la organización con la respuesta y la recuperación.
8.4.4.2 Colectivamente, los planes de continuidad del negocio deberán contener:
a) detalles de las acciones que los equipos tomarán para:
1) continuar o recuperar actividades priorizadas dentro de plazos predeterminados;
2) supervisar el impacto de la interrupción y la respuesta de la organización;
b) referencia a los umbrales y procesos predefinidos para activar la respuesta;
c) procedimientos para permitir la entrega de productos y servicios a la capacidad acordada;
d) detalles para gestionar las consecuencias inmediatas de una interrupción teniendo debidamente en cuenta:
1) el bienestar de los individuos;
2) la prevención de más pérdidas o indisponibilidad de actividades prioritarias;
3) el impacto sobre el medio ambiente.
8.4.4.3 Cada plan deberá incluir:
a) la finalidad, alcance y objetivos;
b) las funciones y responsabilidades del equipo que implementará el plan;
c) acciones para implementar las soluciones;
d) información de soporte necesaria para activar (incluidos los criterios de activación), operar, coordinar y comunicar las acciones del equipo;
e) interdependencias internas y externas;
f) los requisitos de recursos;
g) los requisitos de información;
h) un proceso para retirarse.
Cada plan deberá ser utilizable y estar disponible en el momento y lugar en que se requiera.

8.5 Programa de ejercicio

La organización debe implementar y mantener un programa de ejercicio y prueba para validar a lo largo del tiempo la eficacia de sus estrategias y soluciones de continuidad del negocio.
La organización realizará ejercicios y pruebas que:
a) son consistentes con sus objetivos de continuidad del negocio;
b) se basan en escenarios apropiados que están bien planificados con fines y objetivos claramente definidos;
c) desarrollar el trabajo en equipo, la competencia, la confianza y el conocimiento de quienes tienen roles que desempeñar en relación con las interrupciones;
d) en su conjunto a lo largo del tiempo, validar sus estrategias y soluciones de continuidad del negocio;
e) producir informes formales posteriores al ejercicio que contengan resultados, recomendaciones y acciones para implementar mejoras;
f) se revisan en el contexto de la promoción de la mejora continua;
g) se realizan a intervalos planificados y cuando hay cambios significativos dentro de la organización o el contexto en el que opera.
La organización debe actuar sobre los resultados de su ejercicio y prueba para implementar cambios y mejoras.

8.6 Evaluación de la documentación y capacidades de continuidad del negocio

La organización deberá:
a) evaluar la idoneidad, adecuación y eficacia de su análisis de impacto comercial, evaluación de riesgos, estrategias, soluciones, planes y procedimientos;
b) realizar evaluaciones a través de revisiones, análisis, ejercicios, pruebas, informes posteriores al incidente y evaluaciones de rendimiento;
c) realizar evaluaciones de las capacidades de continuidad del negocio de los socios y proveedores relevantes;
d) evaluar el cumplimiento de los requisitos legales y reglamentarios aplicables, las mejores prácticas de la industria y la conformidad con su propia política y objetivos de continuidad del negocio;
e) actualizar la documentación y los procedimientos de manera oportuna.
Estas evaluaciones se realizarán a intervalos planificados, después de un incidente o activación, y cuando ocurran cambios significativos.

9. Evaluación del rendimiento

9.1 Monitorización, medición, análisis y evaluación

La organización debe determinar:
a) qué se necesita monitorizar y medir;
b) los métodos de supervisión, medición, análisis y evaluación, según corresponda, para garantizar resultados válidos;
c) cuándo y por quién se realizará la supervisión y la medición;
d) cuándo y por quién se analizarán y evaluarán los resultados del seguimiento y la medición.
La organización debe conservar la información documentada apropiada como prueba de los resultados.
La organización debe evaluar el rendimiento y la eficacia del sistema de gestión de la continuidad del negocio.

9.2 Auditoría interna

9.2.1 General

La organización debe realizar auditorías internas a intervalos planificados para proporcionar información sobre el sistema de gestión de la continuidad del negocio y saber si:
a) se ajusta a:
1) los requisitos propios de la organización para su sistema de gestión de la continuidad del negocio;
2) los requisitos de este documento;
b) se implementa y mantiene de manera efectiva.

9.2.2 Programas de auditoría

La organización deberá:
c) planificar, establecer, implementar y mantener un programa de auditoría que incluya la frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la presentación de informes, y tenga en cuenta la importancia de los procesos en cuestión y los resultados de auditorías anteriores;
d) definir los criterios de auditoría y el alcance de cada auditoría;
c) seleccionar auditores y realizar auditorías que garanticen la objetividad y la imparcialidad del proceso de auditoría;
d) asegurar que los resultados de las auditorías sean notificados a los gerentes relevantes;
e) retener información documentada como prueba de la implementación del programa o programas de auditoría y los resultados de la auditoría;
f) asegurar que se tomen las acciones correctivas necesarias sin demora indebida para eliminar las no conformidades detectadas y sus causas;
g) asegurar que las acciones de auditoría de seguimiento incluyan la verificación de las acciones tomadas y el informe de los resultados de la verificación.

9.3 Revisión por parte de la gerencia

9.3.1 General

La alta gerencia debe revisar el sistema de gestión de la continuidad del negocio de la organización, a intervalos planificados, para garantizar su idoneidad, adecuación y eficacia continuas.

9.3.2 Entradas de la revisión por la gerencia

La revisión por la gerencia incluirá la consideración de:
a) el estado de las acciones de revisiones anteriores por parte de la gerencia;
b) cambios en cuestiones externas e internas que son relevantes para el sistema de gestión de la continuidad del negocio;
c) información sobre el rendimiento del sistema de gestión de la continuidad del negocio, incluidas las tendencias en:
1) las no conformidades y acciones correctivas;
2) seguimiento y medición de los resultados de la evaluación;
3) resultados de la auditoría;
d) comentarios de las partes interesadas;
e) la necesidad de cambios en el sistema de gestión de la continuidad del negocio, incluida la política y los objetivos;
f) procedimientos y recursos que podrían utilizarse en la organización para mejorar el desempeño y la eficacia del sistema de gestión de la continuidad del negocio;
g) información del análisis de impacto comercial y evaluación de riesgos;
h) resultado de la evaluación de la documentación y capacidades de continuidad del negocio (ver 8.6);
i) riesgos o contratiempos que no se abordaron adecuadamente en ninguna evaluación de riesgos anterior;
j) lecciones aprendidas y acciones derivadas de cuasi accidentes e interrupciones;
k) oportunidades de mejora continua.

9.3.3 Resultados de la revisión por la gerencia

9.3.3.1 Los resultados de la revisión por la gerencia deben incluir decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambios en el sistema de gestión de la continuidad del negocio para mejorar su eficiencia y eficacia, incluidos los siguientes:
a) variaciones del alcance del sistema de gestión de la continuidad del negocio;
b) actualización del análisis de impacto en el negocio, evaluación de riesgos, estrategias y soluciones de continuidad del negocio y planes de continuidad del negocio;
c) modificación de procedimientos y controles para responder a problemas internos o externos que puedan afectar al sistema de gestión de la continuidad del negocio;
d) cómo se medirá la eficacia de los controles.
9.3.3.2 La organización debe conservar información documentada como prueba de los resultados de las revisiones por la gerencia. Deberá:
a) comunicar los resultados de la revisión por la gerencia a las partes interesadas pertinentes;
b) tomar las medidas apropiadas en relación con esos resultados.

10. Mejora

10.1 No conformidad y acción correctiva

10.1.1 La organización debe determinar las oportunidades de mejora e implementar las acciones necesarias para lograr los resultados esperados de su sistema de gestión de la continuidad del negocio.
10.1.2 Cuando ocurre una no conformidad, la organización debe:
a) reaccionar a la no conformidad y, según corresponda:
1) tomar acciones para controlar y corregir;
2) hacer frente a las consecuencias;
b) evaluar la necesidad de acción para eliminar las causas de la no conformidad, a fin de que no se repita u ocurra en otro lugar, mediante:
1) revisar la no conformidad;
2) determinar las causas de la no conformidad;
3) determinar si existen no conformidades similares o pueden ocurrir potencialmente;
c) implementar cualquier acción necesaria;
d) revisar la efectividad de cualquier acción correctiva tomada;
e) hacer cambios en el sistema de gestión de la continuidad del negocio, si es necesario.
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas.
10.1.3 La organización debe conservar la información documentada como prueba de:
f) la naturaleza de las no conformidades y cualquier acción posterior tomada;
b) los resultados de cualquier acción correctiva.

10.2 Mejora continua

La organización debe mejorar continuamente la idoneidad, adecuación y eficacia del sistema de gestión de la continuidad del negocio, en base a medidas cualitativas y cuantitativas.
La organización deberá considerar los resultados del análisis y la evaluación, y los resultados de la revisión por la gerencia, para determinar si existen necesidades u oportunidades, relacionadas con el negocio o con el sistema de gestión de la continuidad del negocio, que deberán abordarse como parte de la mejora continua.
NOTA: la organización puede utilizar los procesos del sistema de gestión de la continuidad del negocio, como el liderazgo, la planificación y la evaluación del rendimiento, para lograr la mejora.

Finalización

Comentarios/recomendaciones
Nombre y firma

Lista de comprobación ISO 22301:2019

Free Lista de comprobación ISO 22301:2019 Checklist

Go digital today!

Convert your paper checklists into digital forms

4.1 Comprensión de la organización y su contexto

4.2 Comprensión de las necesidades y expectativas de las partes interesadas

4.2.1 General

4.2.2 Requisitos legales y reglamentarios

4.3 Determinación del alcance del sistema de gestión de la continuidad del negocio

4.3.1 General

4.3.2 Alcance del sistema de gestión de la continuidad del negocio

4.4 Sistema de gestión de la continuidad del negocio

5.1 Liderazgo y compromiso

5.2 Política

5.2.1 Establecimiento de la política de continuidad del negocio

5.2.2 Comunicar la política de continuidad del negocio

5.3 Funciones, responsabilidades y autoridades

6.1 Acciones para abordar riesgos y oportunidades

6.1.1 Determinación de riesgos y oportunidades

6.1.2 Abordar riesgos y oportunidades

6.2 Objetivos de continuidad del negocio y planificación para alcanzarlos

6.2.1 Establecimiento de objetivos de continuidad del negocio

6.2.2 Determinación de los objetivos de continuidad del negocio

6.3 Planificación de cambios en el sistema de gestión de continuidad del negocio

7.1 Recursos

7.2 Competencias

7.3 Conciencia

7.4 Comunicación

7.5 Información documentada

7.5.1 General

7.5.2 Creación y actualización

7.5.3 Control de la información documentada

8.1 Planificación y control de operaciones

8.2 Análisis de impacto comercial y evaluación de riesgos

8.2.1 General

8.2.2 Análisis de impacto comercial

8.2.3 Evaluación de riesgos

8.3 Estrategias y soluciones de continuidad del negocio

8.3.1 General

8.3.2 Identificación de estrategias y soluciones

8.3.3 Selección de estrategias y soluciones

8.3.4 Requisitos de recursos

8.3.5 Implementación de soluciones

8.4 Planes y procedimientos de continuidad del negocio

8.4.1 General

8.4.2 Estructura de respuesta

8.4.3 Advertencia y comunicación

8.4.4 Planes de continuidad del negocio

8.5 Programa de ejercicio

8.6 Evaluación de la documentación y capacidades de continuidad del negocio

9.1 Monitorización, medición, análisis y evaluación

9.2 Auditoría interna

9.2.1 General

9.2.2 Programas de auditoría

9.3 Revisión por parte de la gerencia

9.3.1 General

9.3.2 Entradas de la revisión por la gerencia

9.3.3 Resultados de la revisión por la gerencia

10.1 No conformidad y acción correctiva

10.2 Mejora continua

Related checklists