Quito – Ecuador
NORMA TÉCNICA ECUATORIANA
NTE INEN-ISO 22313 Primera edición
PROTECCIÓN Y SEGURIDAD DE LA CIUDADANIA ─ SISTEMAS SISTEMAS DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO ─ DIRECTRICES (ISO 22313:2012, IDT)
SOCIETAL SECURITY ─ BUSINESS CONTINUITY MANAGMENT SYSTEMS ─ GUIDANCE (ISO 22313:2012, IDT)
______________________ ___________________________________ ____________________ _______ Correspondencia: Esta Norma Técnica Ecuatoriana es una traducción idéntica de la Norma Internacional ISO 22313:2012.
51 Páginas
ICS: 03.100.01
© ISO 2012 Todos los derechos reservados © INEN 2017
NTE INEN-ISO 22313
Prólogo nacional Esta Norma Técnica Ecuatoriana NTE INEN-ISO 22313 es una traducción idéntica de la Norma Internacional ISO 22313:2012, Societal security. Business continuity managment systems. Guidance. El comité nacional responsable de esta Norma Técnica Ecuatoriana y de su traducción es el Comité Técnico de Normalización, Protección y seguridad de los ciudadanos. Para propósitos de esta Norma Técnica Ecuatoriana se ha hecho el siguiente cambio editorial: a)
Las palabras “esta Norma Internacional” han sido reemplazadas por “esta norma nacional”.
A continuación, se enlistan los documentos normativos internacionales que se referencian en la Norma Internacional ISO 22313:2012 y los documentos normativos nacionales.
Documento Normativo Internacional ISO 22300, Societal security —Vocabulary ISO 22301, Societal security — Business continuity managment systems — Requirements
Documento Normativo Nacional NTE INEN-ISO 22300, Protección
y seguridad de la ciudadanía ─ Terminología
(ISO 22300:2012, IDT) No existe correspondiente.
documento
nacional
© ISO 2012 Todos los derechos reservados © INEN 2017 2017-XX
i
NTE INEN-ISO 22313
Índice
Página
Prólogo
¡Error! Marcador no definido.¡Error! Marcador no definido.¡Error! Marcador no definido.
Introducción
¡Error! Marcador no definido.v
1
Objeto y campo de aplicación
1
2
Referencias Normativas
1
3
Términos y definiciones
1
4
Contexto de la organización 4.1 Entendimiento de la organización y su contexto 4.2 Entendimiento de las necesidades y expectativas de las partes interesadas 4.3 Determinación del alcance del sistema de gestión 4.4 Sistema de gestión de la continuidad del negocio
2 3 4 5
5
Liderazgo 5.1 Liderazgo y compromiso 5.2 Compromiso de la dirección 5.3 Política 5.4 Funciones, responsabilidades y autoridad de las organizaciones
5 5 5 6 7
6
Planificación 6.1 Acciones para abordar riesgos y oportunidades 6.2 Objetivos de la continuidad del negocio y planes para cumplirlos
7 7 8
7
Apoyo 7.1 7.2 7.3 7.4 7.5
8 8 9 11 13 13
Recursos Competencia Concienciación Comunicación Información documentada
8
Operación 16 8.1 Planificación y control operacional 16 8.2 Análisis de impacto en el negocio y valoración del riesgo 19 8.3 Estrategia de continuidad del negocio 22 8.4 Establecimiento e implementación de procedimientos de continuidad del negocio31 8.5 Pruebas y ensayos 42
9
Evaluación del desempeño 9.1 Supervisión, medición, análisis y evaluación 9.2 Auditoría Interna 9.3 Revisión de la gestión
45 45 48 48
10
Mejora 10.1 No conformidad y acción correctiva 10.2 Mejora continua
49 49 50
Bibliografía
51
© ISO 2012 Todos los derechos reservados © INEN 2017 2017-XX
ii
NTE INEN-ISO 22313
Prólogo ISO (Organización International de Normalización) es una federación mundial de organismos nacionales de normalización (organismos miembros ISO). El trabajo de preparación de las Normas Internacionales normalmente se realiza a través de comités técnicos de ISO. Cada organismo miembro interesado en un tema para el cual se ha establecido un comité técnico, tiene el derecho de estar representado en dicho comité. Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de normalización electrotécnica. Las normas nacionales se redactan de acuerdo con las reglas establecidas en las Directivas de ISO/IEC, Parte 2. La tarea principal de los comités técnicos es preparar las normas nacionales. Los proyectos de normas nacionales adoptados por los comités técnicos son enviados a los organismos miembros para votación. La publicación como norma nacional requiere de la aprobación por lo menos del 75% de los organismos miembros de la emisión del voto. Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan ser objeto de derechos de patente. ISO no se hace responsable de la identificación de cualquiera o todos los derechos de patente. ISO 22313 fue preparado por el Comité Técnico ISO/TC 223, Protección y seguridad de la ciudadanía.
A los efectos de la investigación, se fomenta a los usuarios a compartir sus puntos de vista sobre la norma ISO 22313: 2012 y sus prioridades para los cambios en las futuras ediciones del documento. Haga clic en el enlace de abajo para participar en la encuesta en línea: http://www.surveymonkey.com/s/22313
© ISO 2012 Todos los derechos reservados © INEN 2017 2017-XX
iii
NTE INEN-ISO 22313
Introducción Generalidades Esta norma nacional proporciona orientación cuando sea apropiado, en los requisitos especificados en ISO 22301:2012 y proporciona recomendaciones ("debería") y permiso ("puede") en relación a estos. No es intención de esta norma nacional proporcionar directrices generales en todos los aspectos de la continuidad del negocio. Esta norma nacional incluye el mismo título como ISO 22301 pero no repite los requisitos para los sistemas de gestión de la continuidad del negocio y sus términos y definiciones relacionados. Las organizaciones que deseen ser informados de éstos, por tanto, deben hacer referencia en ISO 22301 e ISO 22300. Para proporcionar una mayor clarificación y explicación de los puntos clave, esta norma incluye una serie de figuras. Todas estas cifras son solo para fines ilustrativos y el texto relacionado en el cuerpo de esta norma nacional tiene prioridad. Un sistema de gestión de la continuidad del negocio (SGCN) hace hincapié en la importancia de: ― comprensión de las necesidades de la organización y la necesidad de establecer la política de
continuidad de negocio y los objetivos; ― implementación y operación de los controles y medidas para la gestión general de una
organización de la capacidad para gestionar incidentes que interrumpan; ― seguimiento y la revisión del desempeño y la eficacia del SGCN; y ― la mejora continua basada en mediciones objetivas.
Un sistema de gestión de la continuidad del negocio (SGCN), al igual que a cualquier otro sistema de gestión, incluye los siguientes componentes principales: a) política; b) personas con responsabilidades definidas; c) procesos de gestión relacionados con: 1) política; 2) planificación; 3) implementación y operación; 4) evaluación del desempeño; 5) revisión de la gestión; y 6) mejora. d) un conjunto de documentación que proporcione evidencia auditable; y e) cualquier proceso relevante SGCN para la organización.
© ISO 2012 Todos los derechos reservados © INEN 2017 2017-XX
iv
NTE INEN-ISO 22313
Por lo general, la continuidad del negocio es específica a cada organización, sin embargo su implementación puede tener consecuencias significativas en la comunidad en general y en terceros. Es probable que una organización dependa de organizaciones externas y, que a la vez, otras organizaciones dependan de ella. Por lo tanto, la efectiva continuidad del negocio contribuye a que exista una sociedad más sólida.
Ciclo Planificar-Hacer-Verificar-Actuar Esta norma nacional aplica el ciclo "Planificar-Hacer-Verificar-Actuar" (PHVA) para planificar, establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente la efectividad del SGCN de una organización. La Figura 1 ilustra el SGCN usa los requisitos de las partes interesadas como información para la gestión de continuidad del negocio (GCN) y, a través de los procesos y acciones requeridas, produce resultados de continuidad del negocio (es decir, continuidad del negocio gestionada) para cumplir esos requisitos.
Mejora continua del sistema de gestión de continuidad del negocio (SGCN)
Partes interesadas
Partes interesadas
Establecer (Planificar)
Requisitos para la continuidad del negocio
Mantener y mejorar (Actuar)
Implementar y operar (Hacer)
Continuidad del negocio gestionada
Monitoreo y revisión (Verificar)
Figura 1- Modelo PVHA aplicado a los procesos del SGCN
© ISO 2012 Todos los derechos reservados © INEN 2017 2017-XX
v
Tabla 1 Explicación del modelo PVHA Planificar (Establecer)
Hacer (Implementar y operar) Verificar (Monitorear y revisar)
Actuar (Mantener y mejorar)
Establecer política, objetivos, controles, procesos y procedimientos de continuidad del negocio pertinentes para mejorar la continuidad del negocio con el fin de presentar resultados que se ajusten a las políticas y objetivos globales de la organización. Implementar y operar la política, controles, procesos y procedimientos de continuidad del negocio. Monitorear y revisar el desempeño en comparación con la política y objetivos de continuidad del negocio, presentar los resultados a la dirección para su revisión y determinar y autorizar acciones para corregir y mejorar. Mantener y mejorar el SGCN a través de acciones correctivas basadas en los resultados de la revisión por la dirección y reevaluar al alcance del SGCN y la política y objetivos de continuidad del negocio.
Componentes del ciclo PHVA en esta norma nacional Existe una relación directa entre el contenido de la Figura 1 y las cláusulas de esta norma nacional:
Tabla 2
Relación entre el modelo PVHA y las cláusulas de esta norma:
Componente PVHA
Planificar (Establecer)
Capítulo que aborda el componente PHVA Capítulo 4 (Contexto de la organización) expone lo que la organización tiene que realizar con el fin de garantizar que el SGCN cumpla sus requisitos, considerando todos los factores internos y externos pertinentes, incluidos: ― Las necesidades y expectativas de las partes interesadas . ― Sus obligaciones legales y reglamentarias ― El alcance del SGCN necesario
Capítulo 5 (Liderazgo) expone el rol clave de la gestión en cuanto a demostrar compromiso, definir la política y establecer funciones, responsabilidades y autoridades. Capítulo 6 (Planificación) describe las acciones necesarias para establecer objetivos estratégicos y principios guías para el SGCN como un todo. Esto determina el contexto para el análisis de impactos en el negocio y la evaluación de riesgos (ver 8.2) y la estrategia de continuidad del negocio (ver 8.3) Capítulo 7 (Apoyo) identifica los elementos claves que necesitan existir para apoyar el SGCN, es decir, recursos, competencias, concienciación, comunicación e información documentada. Hacer
Capítulo 8 (Operación) Identifica los elementos de gestión de continuidad del negocio (SGCN) necesarios para lograr la (Implementar y operar) continuidad de negocio. © ISO 2012 Todos los derechos reservados © INEN 2017 2017-XX
vi
Verificar
Capítulo 9 (Evaluación del desempeño) proporciona la base para la mejora del SGCN a través de la medición y evaluación de su (Monitoreo y revisión) desempeño. Actuar (Mantener y mejorar)
Capítulo 10 (Mejora) incluye la acción correctiva necesaria para contrarrestar la no conformidad identificada en la evaluación del desempeño.
Continuidad del negocio La continuidad del negocio es la capacidad que tiene la organización para continuar la entrega de productos o servicios con niveles admisibles predefinidos tras un incidente¹ que interrumpa. La gestión de continuidad del negocio (GCN) es el proceso para lograr la continuidad del negocio y consiste en preparar a una organización para enfrentar incidentes que interrumpan, que puedan, por el contrario, evitar que ésta logre sus objetivos. Ubicar la GCN dentro de la estructura y las disciplinas de un sistema de gestión, da como resultado un sistema de gestión de continuidad del negocio (SGCN) que permite controlar, evaluar y mejorar continuamente la GCN. En esta norma nacional, la palabra negocio es utilizada como un término global que abarca las funciones y los servicios realizados por una organización para conseguir sus objetivos, metas o misión. Así mismo, es aplicable a organizaciones grandes, medianas o pequeñas que se desempeñen en los sectores industriales, comerciales, públicos y sin fines de lucro. Cualquier incidente, grande o pequeño; natural, accidental o deliberado, tiene posibilidades de causar una interrupción significativa en las operaciones de la organización, y en su capacidad para entregar productos y servicios. Sin embargo, implementar un SGCN antes de que ocurra un incidente que interrumpa en vez de esperar a que este suceda, le permitirá a la organización reanudar las operaciones antes de que surjan niveles de impacto inaceptables. La GCN incluye: a) ser consciente de los productos y servicios claves de la organización y de las actividades que los entregan; b) conocer las prioridades para reanudar las actividades y los recursos necesarios para hacerlo; c) tener un conocimiento claro de las amenazas a estas actividades, incluidas sus dependencias y conocer el impacto que tendría no reanudarlas; d) haber probado y confiado la implementación de planes vigentes para reanudar estas actividades tras un incidente que interrumpa; y e) asegurarse que estos mecanismos son revisados y actualizados periódicamente para que así sean efectivos bajo cualquier circunstancia. La continuidad del negocio puede ser efectiva tanto para incidentes disruptivos (por ejemplo, explosiones) como graduales (por ejemplo, pandemia gripal). Las actividades se interrumpen a causa de una amplia variedad de incidentes, muchos de los cuales son difíciles de predecir o de analizar. Al enfocarse en el impacto de la interrupción en vez de su causa, la continuidad del negocio identifica aquellas actividades de las que la organización depende para su supervivencia y le permite determinar qué necesita para poder seguir con el cumplimiento de sus obligaciones. Por medio de la continuidad del negocio, una organización puede reconocer qué necesita hacer para proteger sus recursos (por ejemplo, personas, instalaciones, tecnología e información), la cadena de abastecimiento, las partes interesadas y su © ISO 2012 Todos los derechos reservados © INEN 2017 2017-XX
vii
reputación antes de que un incidente que interrumpa ocurra. Al identificar esto, la organización puede asumir un punto de vista realista sobre las respuestas que se pueden necesitar cuando un incidente ocurra y así, tener la confianza para encargarse de las consecuencias y evitar impactos inaceptables. Una organización con una GCN apropiada y vigente también puede aprovechar oportunidades que podrían ser juzgadas como muy peligrosas bajo otras circunstancias. Los diagramas siguientes (ver Figura 2 y 3) pretenden ilustrar de forma conceptual cómo la continuidad del negocio puede ser efectiva para mitigar los impactos en ciertas situaciones. No se tienen en cuenta ningún margen de tiempo en particular con la distancia relativa existente entre las etapas ilustradas en cada diagrama.
Figura 2 ― Ilustración de la eficacia de la continuidad del negocio para interrupciones imprevistas.
© ISO 2012 Todos los derechos reservados © INEN 2017 2017-XX
viii
Figura 3 ― Ilustración de la eficacia de la c ontinuidad del negocio para interrupciones
graduales (por ejemplo, pandemia próxima)
© ISO 2012 Todos los derechos reservados © INEN 2017 2017-XX
ix
Protección y seguridad de la ciudadanía — Sistemas de gestión de la continuidad del negocio — Directrices 1
Objeto y Campo de aplicación
Esta norma nacional de gestión de la continuidad del negocio proporciona directrices basados en buenas prácticas internacionales para planificar, establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente un sistema de gestión documentado, que le permita a las organizaciones prepararse, responder y recuperarse de incidentes que interrumpen, cuando surjan. La intención de esta norma no es abarcar uniformidad en la estructura de un SGCN, sino que cada organización elabore un SGCN que sea apropiado para sus necesidades y que cumpla con los requisitos de sus partes interesadas. Estas necesidades se encuentran definidas por los requisitos legales, reglamentarios, administrativos e industriales, por los productos y servicios, por los procesos utilizados, por el entorno en el que se desempeña, por el tamaño y estructura de la organización y por los requisitos de sus partes interesadas. Esta norma nacional es genérica y aplicable a organizaciones de todo tipo y tamaño, incluidas las organizaciones grandes, medianas y pequeñas que se desempeñen en sectores industriales, comerciales, públicos y sin fines de lucro que deseen: a) establecer, implementar, mantener y mejorar un SGCN; b) garantizar la conformidad con la política de continuidad del negocio de la organización; o c) realizar una autodeterminación y una declaración autónoma de cumplimiento con esta norma nacional. Esta norma nacional no puede ser utilizada para evaluar la capacidad de una organización para cumplir sus propias necesidades de continuidad del negocio, ni las necesidades legales, reglamentarias o las necesidades de los clientes. Las organizaciones que deseen hacerlo pueden utilizar los requisitos de ISO 22301 para demostrar la conformidad a terceros o solicitar certificación de un SGCN a un organismo de certificación acreditado.
© ISO 2012 Todos los derechos reservados © INEN 2017 2017-XX
1
INFORMACIÓN COMPLEMENTARIA Documento: NTE INEN-ISO 22313
TÍTULO: PROTECCION Y SEGURIDAD DE LA CIUDADANIA Código ICS: ─ SISTEMAS DE GESTIÓN DE CONTINUIDAD DEL 03.100.01 NEGOCIO ─ DIRECTRICES (ISO 22313:2012, IDT)
ORIGINAL: Fecha de iniciación del estudio:
REVISIÓN: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficialización con el Carácter de por Resolución No. publicado en el Registro Oficial No.
2016-10-15
Fecha de iniciación del estudio: Fechas de consulta pública: 2017-02-02 a
2017-04-02
Comité Técnico de Normalización: Protección y Seguridad de la Ciudadanía Fecha de iniciación: 2016-11-23 Fecha de aprobación: 2017-01-19 Integrantes del Comité:
NOMBRES:
INSTITUCIÓN REPRESENTADA:
Ing. Paola Carrera (Presidenta) Ing. Galo Navarrete
Ministerio de Relaciones Exteriores y Movilidad Humana Ministerio Coordinador de Seguridad
Ing. Walter Lazo
Ministerio del Interior
Ing. Verónica Ricaurte
Ministerio del Interior
Ing. Juan José Astudillo
Ministerio del Interior
Ing. Washington Vinueza
Instituto Geográfico Militar
Ing. Alicia Caizaluisa
Instituto Geográfico Militar
Dra. María Rodríguez
Ministerio de Transporte y Obras Públicas
Ing. Adriana Ocaña (Secretaria técnica)
Servicio Ecuatoriano de Normalización
Otros trámites: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma. Oficializada como: No.
Por Resolución No.
Registro Oficial
Servicio Ecuatoriano de Normalización, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre Casilla 17-01-3999 Telfs: (593 2)3 825960 al 3 825999 Dirección Ejecutiva:
[email protected] Dirección de Normalización:
[email protected] Centro de Información:
[email protected] URL:www.normalizacion.gob.ec