ISO/IEC 22301:2019

NORMA INTERNACIONAL
ISO/IEC 22301:2019

Seguridad y resiliencia — Continuidad del negocio

sistemas de gestión — Requisitos

Nú mero de referencia
ISO/IEC 22301:2019

© ISO 2019 – Derechos reservados 1

ISO/IEC 22301:2019

© ISO 2019

DOCUMENTO PROTEGIDO POR DERECHOS DE AUTOR

Reservados todos los derechos. A menos que se especifique lo contrario, o se requiera en el contexto de su
implementació n, ninguna parte de esta publicació n puede ser reproducida o utilizada de otra manera en cualquier
forma o por cualquier medio, electró nico o mecá nico, incluyendo fotocopias o publicació n en Internet o una intranet,
sin previo aviso. Permiso escrito. El permiso se puede solicitar a ISO en la direcció n a continuació n o al organismo
miembro de ISO en el país del solicitante.
ISO copyright office
CP 401 • Ch. de
Blandonnet 8 C 1214
Vernier, Geneva
Phone: +41 22 74 01 11
Fax: +41 22 749 09 47
Email:
[email protected]
Website:
www.iso.org

© ISO 2019 – Derechos reservados 2

ISO/IEC 22301:2019

Publicado en Suiza

Contenido Pá gina

Prólogo............................................................................................................................................................5
Introducción..................................................................................................................................................6
1 Alcance................................................................................................................................................9
2 Referencias normativas...................................................................................................................9
3 Términos y definiciones..................................................................................................................9
4 Contexto de la organización.........................................................................................................18
Comprensió n de la organizació n y su contexto......................................................................18
Comprender las necesidades y expectativas de las partes interesadas................................18
General..........................................................................................................................18
Requisitos legales y reglamentarios...........................................................................18
Determinar el alcance del sistema de gestió n de la continuidad del negocio.......................18
General..........................................................................................................................18
Alcance del BCMS........................................................................................................18
Sistema de gestió n de continuidad del negocio......................................................................19
5 Liderazgo......................................................................................................................................... 19
Liderazgo y compromiso..........................................................................................................19
Política.......................................................................................................................................19
La alta direcció n debe establecer una política de continuidad del negocio que..........19
La política de continuidad del negocio deberá..........................................................19
Funciones, responsabilidades y autoridades organizativas..................................................20
6 Planificación....................................................................................................................................20
Acciones para abordar riesgos y oportunidades....................................................................20
Objetivos de continuidad del negocio y planificació n para alcanzarlos................................20
Planificació n de cambios en el BCMS......................................................................................21
7 Soporte.............................................................................................................................................21
Recursos....................................................................................................................................21
Competencia..............................................................................................................................21
Conciencia.................................................................................................................................21
Comunicació n............................................................................................................................22
Informació n documentada.......................................................................................................22
General..........................................................................................................................22
Creació n y actualizació n..............................................................................................22
Control de informació n documentada........................................................................22
8 Operación.........................................................................................................................................23
Planificació n y control operacional.........................................................................................23
Aná lisis de impacto del negocio y evaluació n de riesgos.......................................................23
General..........................................................................................................................23
Aná lisis de Impacto del Negocio.................................................................................23
Evaluació n de riesgos..................................................................................................24
Estrategias y soluciones de continuidad del negocio.............................................................24
General..........................................................................................................................24
Identificació n y selecció n de estrategias y soluciones...............................................24
Requerimientos de recursos........................................................................................24
Implementació n de soluciones....................................................................................25
Planes y procedimientos de continuidad del negocio............................................................25
General..........................................................................................................................25
Estructura de respuesta...............................................................................................25
Advertencia y comunicació n.......................................................................................26

© ISO 2019 – Derechos reservados 3

 ISO/IEC 22301:2019

Planes de continuidad del negocio..............................................................................26

Recuperació n................................................................................................................27
Programa de ejercicio...............................................................................................................27

Evaluación del desempeño...........................................................................................27

Seguimiento, medició n, aná lisis y evaluació n.............................................................27
General..............................................................................................................27
Evaluació n de planes, procedimientos y capacidades de continuidad del negocio..........28
Auditoría interna..........................................................................................................28
La organizació n debe......................................................................................28
Revisió n de gestió n.......................................................................................................28
General..............................................................................................................28
Entrada de revisió n por la direcció n..............................................................29
Resultados de la revisió n por la direcció n......................................................29
9 Mejora...............................................................................................................................................29
No conformidad y acció n correctiva............................................................................29
Mejora continua............................................................................................................30
Bibliografía......................................................................................................................31

© ISO 2019 – Derechos reservados 4

ISO/IEC 22301:2019

Prólogo

ISO (la Organizació n Internacional de Normalizació n) es una federació n mundial de organismos

nacionales de normalizació n (organismos miembros de ISO). El trabajo de preparació n de
Normas Internacionales se realiza normalmente a travé s de los comité s té cnicos de ISO. Cada
organismo miembro interesado en un tema para el cual se haya establecido un comité té cnico
tiene derecho a estar representado en ese comité . Las organizaciones internacionales,
gubernamentales y no gubernamentales, en coordinació n con ISO, tambié n participan en el
trabajo. ISO colabora estrechamente con la Comisió n Electroté cnica Internacional (IEC) en
todos los asuntos de normalizació n electroté cnica.

Los procedimientos utilizados para desarrollar este documento y aquellos previstos para su
mantenimiento posterior se describen en las Directivas ISO / IEC, Parte 1. En particular, deben
tenerse en cuenta los diferentes criterios de aprobació n necesarios para los diferentes tipos de
documentos ISO. Este documento fue redactado de acuerdo con las reglas editoriales de las
Directivas ISO / IEC, Parte 2 (ver www.iso.org/directives).

Se llama la atenció n sobre la posibilidad de que algunos de los elementos de este documento
puedan estar sujetos a derechos de patente. ISO no se hace responsable de identificar alguno o
todos los derechos de patente. Los detalles de cualquier derecho de patente identificado durante
el desarrollo del documento estará n en la Introducció n y / o en la lista ISO de declaraciones de
patentes recibidas (ver www.iso.org/patents).

Cualquier nombre comercial utilizado en este documento es informació n proporcionada para la

conveniencia de los usuarios y no constituyen un respaldo.

Para obtener una explicació n sobre la naturaleza voluntaria de las normas, el significado de los
té rminos y expresiones específicos de ISO relacionados con la evaluació n de la conformidad, así
como informació n sobre la adhesió n de ISO a los principios de la Organizació n Mundial del
Comercio (OMC) en los Obstá culos Té cnicos al Comercio (OTC), consulte el siguiente URL:
www.iso.org/iso/foreword.html.

La Norma ISO 22301 fue preparada por el Comité Té cnico ISO / TC 292, Seguridad y resiliencia.
Cualquier comentario o pregunta sobre este documento debe dirigirse al organismo nacional de
normalizació n del usuario.

La lista completa de estos ó rganos se puede encontrar en www.iso.org/members.html.

© ISO 2019 – Derechos reservados 5

ISO/IEC 22301:2019

Introducción
General
Este documento especifica la estructura y los requisitos para implementar y mantener un
sistema de gestió n de la continuidad del negocio (BCMS) eficaz.
Una organizació n debe desarrollar una continuidad del negocio que sea apropiada para la
magnitud y el tipo de impacto que puede aceptar o no despué s de una interrupció n. Los
resultados de mantener un BCMS está n determinados por los requisitos legales, reglamentarios,
organizativos y de la industria de la organizació n, los productos y servicios proporcionados,
los procesos empleados, el tamañ o y la estructura de la organizació n y los requisitos de sus
partes interesadas.

Un BCMS enfatiza la importancia de: comprender las necesidades de la organizació n y la necesidad de

establecer políticas y objetivos de continuidad del negocio;
Operar y mantener procesos, capacidades y estructuras de respuesta para garantizar que la
organizació n sobrevivirá a las interrupciones;

Monitorear y revisar el desempeñ o y la efectividad del BCMS;

mejora continua basada en medidas cualitativas y cuantitativas.
Un BCMS, como cualquier otro sistema de gestió n, incluye los siguientes componentes:

a) una política;
b) personas competentes con responsabilidades definidas;

c) procesos de gestió n relacionados con:

política;
planificació n;
implementació n y
operació n; evaluació n
del desempeñ o;
revisió n de gestió n;
mejora continua;
d) informació n documentada que respalde el control operativo y permita la evaluació n del desempeñ o.

Beneficios del BCMS

El BCMS sirve para preparar, proporcionar y mantener controles y capacidades para gestionar la
capacidad general para continuar operando durante las interrupciones. Para lograr esto, la organizació n:

a) desde una perspectiva empresarial:

— apoyando sus objetivos estratégicos;

— creando una ventaja competitiva;

— proteger y mejorar su reputació n y credibilidad;

© ISO 2019 – Derechos reservados 6

ISO/IEC 22301:2019

— contribuyendo a la resiliencia organizacional;

b) desde una perspectiva financiera:

— hacer que los socios comerciales confíen en su éxito;

— reducir la exposició n legal y financiera;

— reducció n de los costos directos e indirectos de las interrupciones;

c) desde la perspectiva de las partes interesadas:

— proteger la vida, la propiedad y el medio ambiente;

— teniendo en cuenta las expectativas de las partes interesadas;
d) desde una perspectiva de procesos internos:

— mejorar su capacidad para mantenerse eficaz durante las interrupciones;

— Demostrar un control proactivo de los riesgos de forma eficaz y eficiente;
— abordar las vulnerabilidades operativas.

El modelo Planificar-Hacer-Verificar-Actuar (PDCA)

Este documento aplica el modelo “Planificar-Hacer-Verificar-Actuar” (PDCA) para planificar, establecer,
implementar, operar, monitorear, revisar, mantener y mejorar continuamente la efectividad del BCMS
de una organizació n.
Esto asegura un grado de coherencia con otras normas de sistemas de gestió n, como ISO 9001
Sistemas de gestió n de calidad, ISO 14001, Sistemas de gestió n medioambiental, ISO/IEC 27001,
Sistemas de gestió n de seguridad de la informació n, ISO/IEC 20000-1, Tecnología de la informació n -
Gestió n de servicios, e ISO 28000, Especificació n para sistemas de gestió n de seguridad para la cadena
de suministro, apoyando así la implementació n y operació n consistente e integrada con los sistemas
de gestió n relacionados.
Componentes de PDCA en este documento
En el modelo PDCA, las clá usulas 4 a 10 de este documento cubren los siguientes componentes.
La clá usula 4 es un componente del Plan. Introduce los requisitos necesarios para establecer el contexto
del BCMS segú n se aplica a la organizació n, así como las necesidades, los requisitos y el alcance.

La clá usula 5 es un componente del Plan. Resume los requisitos específicos del papel de la alta direcció n
en el BCMS y có mo el liderazgo articula sus expectativas a la organizació n a través de una declaració n de
política.
La clá usula 6 es un componente del Plan. Describe los requisitos en lo que respecta al establecimiento
de objetivos estraté gicos y principios rectores para el BCMS en su conjunto.
La clá usula 7 es un componente del Plan. Apoya las operaciones del BCMS en lo que se refiere al
establecimiento de la competencia y la comunicació n de forma recurrente / segú n sea necesario con
las partes interesadas, mientras documenta, controla, mantiene y retiene la informació n documentada
requerida.
La clá usula 8 es un componente de Do. Define las necesidades de continuidad del negocio, determina
có mo abordarlas y desarrolla los procedimientos para gestionar la organizació n durante una
interrupció n.
La clá usula 9 es un componente de revisió n. Resume los requisitos necesarios para medir el
desempeñ o de la continuidad del negocio, el cumplimiento de BCMS con este documento y la revisió n
de la direcció n.

© ISO 2019 – Derechos reservados 7

ISO/IEC 22301:2019

La clá usula 10 es un componente de la ley. Identifica y actú a en caso de no conformidad con BCMS y
mejora mediante acciones correctivas.
Contenido de este documento
Este documento cumple con los requisitos de ISO para los está ndares del sistema de gestió n. Estos
requisitos incluyen una estructura de alto nivel, un texto bá sico idé ntico y té rminos comunes con
definiciones bá sicas, diseñ ados para beneficiar a los usuarios que implementan mú ltiples está ndares de
sistemas de gestió n ISO.

ESTÁNDAR INTERNACIONAL ISO/IEC 22301:2019

Este documento no incluye requisitos específicos para otros sistemas de gestió n, aunque sus
elementos pueden alinearse o integrarse con los de otros sistemas de gestió n.

Este documento contiene requisitos que una organizació n puede utilizar para implementar un BCMS y
evaluar la conformidad. Una organizació n que desee demostrar la conformidad con este documento
puede hacerlo de la siguiente manera:

Hacer una autodeterminació n y auto declaració n, o buscar la confirmació n de su conformidad por parte de
las partes interesadas en la organizació n, como clientes, o buscando la confirmació n de su auto declaració n
por una parte externa a la organizació n, o buscando la certificació n / registro de su BCMS por una
organizació n externa.

Las clá usulas 1 a 3 de este documento establecen el alcance, las referencias normativas y los términos y
definiciones que se aplican al uso de este documento, mientras que las clá usulas 4 a 10 contienen los
requisitos que se utilizará n para evaluar la conformidad con este documento.

En este documento, se utilizan las siguientes formas verbales:

a) "deberá " indica un requisito;

b) "debería" indica una recomendació n;

c) "puede" indica un permiso;

d) "puede" indica una posibilidad o capacidad.

La informació n marcada como "NOTA" es una guía para comprender o aclarar el requisito
asociado. Las "Notas a la entrada" utilizadas en la Clá usula 3 proporcionan informació n
adicional que complementa los datos terminoló gicos y pueden contener disposiciones
relacionadas con el uso de un té rmino.

© ISO 2019 – Derechos reservados 8

ISO/IEC 22301:2019

Seguridad y resiliencia — Continuidad del negocio

sistemas de gestión — Requisitos

1 Alcance
Este documento especifica los requisitos para planificar, establecer, implementar, operar, monitorear,
revisar, mantener y mejorar continuamente un sistema de gestió n para proteger contra, reducir la
probabilidad de ocurrencia, prepararse, responder y recuperarse de interrupciones cuando surjan.
Los requisitos especificados en este documento son gené ricos y está n destinados a ser aplicables a
todas las organizaciones, o partes de estas, independientemente del tipo, tamañ o y naturaleza de la
organizació n. El alcance de la aplicació n de estos requisitos depende del entorno operativo y la
complejidad de la organizació n.

Este documento es aplicable a todos los tipos y tamañ os de organizaciones que:

a) implementar, mantener y mejorar un BCMS;

b) buscar asegurar la conformidad con la política de continuidad del negocio establecida;

c) necesitan la capacidad de continuar la entrega de productos y servicios a una capacidad
predefinida aceptable durante una interrupció n;

d) buscar mejorar su resiliencia a través de la aplicació n efectiva del BCMS.

Este documento se puede utilizar para evaluar la capacidad de una organizació n para satisfacer sus
propias necesidades de continuidad del negocio y obligaciones.

2 Referencias normativas
No hay referencias normativas en este documento.

3 Términos y definiciones
Para los propó sitos de este documento, se aplican los siguientes términos y definiciones.
ISO e IEC mantienen bases de datos terminoló gicas para su uso en la estandarizació n en las siguientes
direcciones:
— Plataforma de navegació n en línea ISO: disponible en http://www.iso.org/obp

— IEC Electro pedía: Disponible en http://www.electropedia.org

3.1
Actividad
Un conjunto de una o más tareas con un resultado definido
[FUENTE: ISO 22300:2018, 3.1, modificado. Nota a la entrada eliminada.]
3.2
Auditoria

© ISO 2019 – Derechos reservados 9

 ISO/IEC 22301:2019

Proceso sistemá tico, independiente y documentado (3.40) para obtener evidencia de auditoría y
evaluarla objetivamente para determinar en qué medida se cumplen los criterios de auditoría.

Nota 1 a la entrada: Los elementos fundamentales de una auditoría incluyen la determinació n de la conformidad
(3.8) de un objeto (3.29) de acuerdo con un procedimiento (3.39) llevado a cabo por personal (3.35) que no es
responsable del objeto auditado.

Nota 2 a la entrada: una auditoría puede ser una auditoría interna (primera parte) o una auditoría externa
(segunda o tercera parte), y puede ser una auditoría combinada (combinando dos o má s disciplinas).
Nota 3 a la entrada: La organizació n o una parte externa en su nombre realiza una auditoría interna. La auditoría
interna puede ser para revisió n de la direcció n (3.24) (3.47) y otros propó sitos internos, y puede constituir la
base para la declaració n de conformidad de una organizació n. La independencia puede demostrarse por la
ausencia de responsabilidad por la actividad (3.1) que se audita.
Nota 4 a la entrada: Las auditorías externas incluyen las que generalmente se denominan auditorías de segunda y
tercera parte. Las auditorías de segunda parte son realizadas por partes que tienen un interés en la organizació n,
como los clientes, o por otras personas en su nombre. Las auditorías de terceros son realizadas por organizaciones
de auditoría externas e independientes, como las que brindan certificació n / registro de conformidad o agencias
gubernamentales.
Nota 5 a la entrada: a la entrada “Evidencia de auditoría” y “criterios de auditoría” se definen en ISO 19011.

[FUENTE: ISO 22300: 2018, 3.13, modificada. Notas a las entradas 5, 6 y 8 eliminadas.]

3.3
Continuidad del negocio
Capacidad de una organizació n (3.31) para continuar la entrega de productos y servicios (3.41) dentro
de los límites aceptables marcos de tiempo a la capacidad predefinida relacionados con una
interrupció n (3.12)
[FUENTE: ISO 22300: 2018, 3.24, modificado.]
3.4
Sistema de gestión de continuidad del negocio
BCMS
Sistema de gestión (3.25) de continuidad del negocio (3.3)

Nota 1 a la entrada: El sistema de gestió n incluye estructura organizativa, políticas, planificació n (3.36) actividades
(3.1), responsabilidades, procedimientos (3.39), procesos (3.40) y recursos.

[FUENTE: ISO 22300:2018, 3.26, modificado]

3.5
Plan de continuidad del negocio
Información documentada (3.13) que guía a una organización (3.31) para responder a una interrupción
(3.12) y reanudar, recuperar y restaurar la entrega de productos y servicios de acuerdo con sus objetivos
de continuidad del negocio

[FUENTE: ISO 22300:2018, 3.27, modificado. Nota 1 a la entrada eliminada.]

3.6
Análisis de impacto del negocio
Proceso (3.40) de análisis del impacto (3.18) de una interrupción (3.12) en la organización (3.31)
Nota 1 a la entrada: El resultado es una declaració n y una justificació n de los requisitos de continuidad del negocio
(3.3) (3.45).

[FUENTE: ISO 22300:2018, 3.29, modificada. Nota 1 a la entrada eliminada.]

3.7
Competencia
Capacidad de aplicar conocimientos y habilidades para lograr el objetivo deseado

© ISO 2019 – Derechos reservados

10
 ISO/IEC 22301:2019

[FUENTE: ISO 22300:2018, 3.44.]

3.8
Conformidad
Cumplimiento de un requisito (3.45)
[FUENTE: ISO 22300:2018, 3.45.]

3.9
Consecuencia
Resultado de un evento (3.16) que afecta a los objetivos (3.30)
Note 1 a la entrada: Una consecuencia puede ser cierta o incierta y puede tener efectos directos o indirectos
positivos o negativos sobre los objetivos.

Note 2 a la entrada: Consecuencias pueden ser expresadas cualitativa o cuantitativamente.

Note 3 a la entrada: Cualquier consecuencia puede escalar a través de efectos acumulativos.
[FUENTE: ISO 31000:2018, 3.6.]
3.10
Mejora continua
Actividad recurrente (3.1) para mejorar el rendimiento (3.33)

[FUENTE: ISO 22300:2018, 3.48.]

3.11
Acción correctiva
Acció n para eliminar la causa de una no conformidad (3.28) y para prevenir la recurrencia

Nota 1 a la entrada: En el caso de otros resultados indeseables, es necesario actuar para minimizar o eliminar las
causas y reducir el impacto (3.18) o prevenir la recurrencia. Tales acciones quedan fuera del concepto de "acció n
correctiva" en el sentido de esta definició n.

[FUENTE: ISO 22300:2018, 3.54.]

3.12
Ruptura
incidente (3.19), ya sea anticipado o no anticipado, que cause una desviació n negativa no planificada de la
entrega esperada de productos y servicios (3.41) de acuerdo con los objetivos (3.31) de una organizació n
(3.30)

[FUENTE: ISO 22300:2018, 3.70, modificado.]

3.13
Información documentada
Información (3.20) requiere ser controlado y mantenido por una organizació n (3.31) y el medio en el que
está contenido

Nota 1 a la entrada: La informació n documentada puede estar en cualquier formato y en cualquier medio, y de
cualquier fuente. Nota 2 a la entrada: La informació n documentada puede referirse a: el sistema de gestió n (3.25),
incluidos los procesos relacionados (3.40); informació n creada para que la organizació n funcione
(documentació n); evidencia de los resultados obtenidos (registros (3.43)).

[FUENTE: ISO 22300:2018, 3.72.]

3.14
Eficacia

© ISO 2019 – Derechos reservados

11
 ISO/IEC 22301:2019

Medida en que se realizan las actividades planificadas (3.1) y se logran los resultados planificados

[FUENTE: ISO 22300:2018, 3.76.]

3.15
Emergencia
Suceso o evento repentino, urgente y generalmente inesperado (3.16) que requiere una acció n inmediata.
Nota 1 a la entrada: Una emergencia suele ser una interrupció n (3.12) o una condició n que a menudo se puede
anticipar o preparar.
[FUENTE: ISO 22300:2018, 3.77.]
3.16
Evento
Ocurrencia o cambio de un conjunto particular de circunstancias

Nota 1 a la entrada: Un evento puede ser una o má s ocurrencias y puede tener varias causas y varias consecuencias
(3.9).
Nota 2 a la entrada: Un evento también puede ser algo que se espera que no suceda, o algo que no se espera que
suceda.
Nota 3 a la entrada: un evento puede ser una fuente de riesgo.

[FUENTE: ISO 31000:2018, 3.5.]

3.17
Ejercicio
Proceso (3.40) para capacitar, evaluar, practicar y mejorar el desempeñ o (3.33) en una organizació n
(3.31)

Nota 1 a la entrada: Los ejercicios se pueden utilizar para validar políticas, planes, procedimientos (3.39),
capacitació n (3.54), equipos y acuerdos entre organizaciones; aclarar y capacitar al personal (3.35) en roles y
responsabilidades; mejorar la coordinació n y las comunicaciones entre organizaciones; identificar brechas en los
recursos; mejorar el desempeñ o individual e identificar oportunidades de mejora; y una oportunidad controlada
para practicar la improvisació n. Un ejercicio no necesita la expectativa de aprobar o reprobar.
Nota 2 a la entrada: consulte también la prueba (3.52).

[FUENTE: ISO 22300:2018, 3.83, modificado, agregado "Un ejercicio no necesita una expectativa de aprobació n
o reprobació n.’]
3.18
Impacto
Resultado de una interrupció n (3.12) que afecta a los objetivos (3.30)
[FUENTE: ISO 22300:2018, 3.107, modificado.]
3.19
Incidente
Evento (3.16) que puede ser, o podría llevar a, una interrupció n (3.12), pérdida, emergencia (3.15) o crisis.

[FUENTE: ISO 22300:2018, 3.111, modificada.]

3.20
Información
Datos procesados, organizados y correlacionados para producir significado

[FUENTE: ISO 22300:2018, 3.116.]

3.21
Parte interesada

© ISO 2019 – Derechos reservados

12
 ISO/IEC 22301:2019

Persona u organizació n (3.31) que puede afectar, verse afectada o percibirse a sí misma como afectada por una
decisió n o actividad (3.1)
EJEMPLO Clientes, propietarios, personal (3.35), proveedores, banqueros, reguladores, sindicatos, socios o sociedad
que puede incluir competidores o grupos de presió n opuestos.
Nota 1 a la entrada: un tomador de decisiones puede ser una parte interesada.
Nota 2 a la entrada: Las comunidades afectadas y las poblaciones locales se consideran partes interesadas
externas.

[FUENTE: ISO 22300:2018, 3.124, modificado. Se ha modificado el ejemplo. Se ha eliminado la nota 3 a

la entrada.]

3.22
Auditoría interna
Auditoría (3.2) realizada por, o en nombre de, una organización (3.31) misma para la revisión (3.47) de la
dirección (3.24) y otros fines internos, y que puede formar la base para la auto declaración de conformidad
de una organización (3.8).

Nota 1 a la entrada: En muchos casos, particularmente en organizaciones má s pequeñ as, la independencia

puede demostrarse por la ausencia de responsabilidad por la actividad (3.1) que se audita.

[FUENTE: ISO 22300:2018, 3.126.]

3.23
Probabilidad
Posibilidad de que ocurra algo

Nota 1 a la entrada: En la terminología de gestió n de riesgos (3.50), la palabra "probabilidad" se utiliza para
referirse a la posibilidad de que algo suceda, ya sea definida, medida o determinada objetiva o subjetivamente,
cualitativa o cuantitativamente, y descrita utilizando términos generales o matemá ticos. (como una probabilidad o
una frecuencia durante un período de tiempo determinado).
Nota 2 a la entrada: El término inglés "verosimilitud" no tiene un equivalente directo en algunos idiomas; en
cambio, a menudo se utiliza el equivalente del término "probabilidad". Sin embargo, en inglés, "probabilidad" a
menudo se interpreta de manera estricta como un término matemá tico. Por lo tanto, en la terminología de la
gestió n de riesgos, "verosimilitud" se utiliza con la intenció n de que tenga la misma interpretació n amplia que tiene
el término "probabilidad" en muchos idiomas ademá s del inglés.

[FUENTE: ISO 31000:2018, 3.7.]

3.24
Gestión
Actividades coordinadas (3.1) para dirigir y controlar una organizació n (3.31)
[FUENTE: ISO 22300:2018, 3.135.]
3.25
Sistema gestión
Conjunto de elementos interrelacionados o que interactú an de una organizació n (3.31) para establecer
políticas (3.37) objetivos (3.30) y procesos (3.40) para lograr esos objetivos

Nota 1 a la entrada: Un sistema de gestió n puede abordar una sola disciplina o varias disciplinas.
Nota 2 a la entrada: Los elementos del sistema incluyen la estructura de la organizació n, roles y responsabilidades,
planificació n (3.36) y funcionamiento.
Nota 3 a la entrada: El alcance de un sistema de gestió n puede incluir la totalidad de la organizació n, funciones
específicas e identificadas de la organizació n, secciones específicas e identificadas de la organizació n, o una o má s
funciones en un grupo de organizaciones.

[FUENTE: ISO 22300:2018, 3.137. Nota 3 modificada para incluir "puede" en lugar de "puede".]

© ISO 2019 – Derechos reservados

13
 ISO/IEC 22301:2019

3.26
Medición
Proceso (3.40) para determinar un valor

[FUENTE: ISO 22300:2018, 3.143.]

3.27
Monitoreo
Determinar el estado de un sistema, un proceso (3.40) o una actividad (3.1)

[FUENTE: ISO 22300:2018, 3.147, modificado.]

3.28
No conformidad
Incumplimiento de un requisito (3.45)
3.29
Objeto
Entidad ú nica y distinta que puede ser identificada
[FUENTE: ISO 22300:2018, 3.151.]
3.30
Objetivo
Resultado a alcanzar

Nota 1 a la entrada: un objetivo puede ser estratégico, tá ctico u operativo.

Nota 2 a la entrada: Los objetivos pueden relacionarse con diferentes disciplinas (como los objetivos financieros, de
salud y seguridad y medioambientales, y pueden aplicarse a diferentes niveles (como estratégico, de toda la
organizació n, proyecto, producto y proceso (3.40)).
Nota 3 a la entrada: Un objetivo puede expresarse de otras formas, p. Ej. como un resultado previsto, un
propó sito, un criterio operativo, o mediante el uso de otras palabras con un significado similar (por ejemplo,
objetivo, meta o meta).
Nota 4 a la entrada: En el contexto de los sistemas de gestió n de la continuidad del negocio (3.4), la organizació n
establece los objetivos de continuidad del negocio, de conformidad con la política de continuidad del negocio (3.37),
para lograr resultados específicos.

[FUENTE: ISO 22300:2018, 3.30. La nota 4 a la entrada ha sido modificada para reflejar BCMS.]
3.31
Organización
Persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y
relaciones para lograr sus objetivos (3.30)

Nota 1 a la entrada: a la entrada: El concepto de organizació n incluye, entre otros, comerciante individual, empresa,
corporació n, firma, empresa, autoridad, sociedad, organizació n benéfica o institució n, o parte o combinació n de
estas, ya sea que esté n incorporadas o no. , pú blico o privado.
Nota 2 a la entrada: Para organizaciones con má s de una unidad operativa, una sola unidad operativa se puede
definir como organizació n.

[FUENTE: ISO 22300:2018, 3.31.]

3.32
Subcontratar
Hacer un arreglo en el que una organizació n externa (3.31) realiza parte de la funció n o proceso de una
organizació n (3.40)
Nota 1 a la entrada: a la entrada: Una organizació n externa está fuera del alcance del sistema de gestió n (3.25),
aunque la funció n o proceso subcontratado está dentro del alcance.

© ISO 2019 – Derechos reservados

14
 ISO/IEC 22301:2019

[FUENTE: ISO 22300:2018, 3.160.]

3.33
Rendimiento
Resultado medible

Nota 1 a la entrada: El desempeñ o puede relacionarse con hallazgos cuantitativos o cualitativos.

Nota 2 a la entrada: El desempeñ o puede relacionarse con la gestió n (3.24) de actividades (3.1), procesos
(3.40), productos y servicios (3.41), sistemas u organizaciones (3.31).

[FUENTE: ISO 22300:2018, 3.157, modificado-referencia a "productos y servicios".]

3.34
Evaluación de rendimiento
Proceso (3.40) para determinar resultados medibles contra los criterios establecidos

[FUENTE: ISO 22300: 2018, 3.168, modificada, agregada "contra los criterios establecidos", "para
determinar, en lugar de" para determinar ".]

3.35
Personal
Personas que trabajan para y bajo el control de la organizació n (3.31)
Nota 1 a la entrada: El concepto de personal incluye, entre otros, empleados, personal a tiempo parcial y
personal de la agencia.

[FUENTE: ISO 22300: 2018, 3.169.]

3.36
Planificación
Parte de la gestió n (3.24) centrada en establecer objetivos de continuidad del negocio (3.3) (3.30) y
especificar los procesos operativos necesarios (3.30) y los recursos relacionados para cumplir con los
objetivos de continuidad del negocio
[FUENTE: ISO 22300: 2018, 3.170, modificada para reflejar la "continuidad del negocio".]

3.37
Política
Intenciones y direcció n de una organizació n (3.31), expresadas formalmente por su alta direcció n (3.53)
[FUENTE: ISO 22300: 2018, 3.171, modificada para incluir una coma].

3.38
Actividad priorizada
Actividad (3.1) a la que se le da urgencia con el fin de evitar impactos inaceptables para el negocio
durante una disrupció n (3.12)
[FUENTE: ISO 22300: 2018, 3.176, modificado.]

3.39
Procedimiento
Forma específica de llevar a cabo una actividad (3.1) o un proceso (3.40)

Nota 1 a la entrada: Los procedimientos pueden estar documentados o no.

Nota 2 a la entrada: Cuando un procedimiento está documentado, el término "procedimiento escrito" o
"procedimiento documentado" se utiliza con frecuencia. El documento que contiene un procedimiento puede

© ISO 2019 – Derechos reservados

15
 ISO/IEC 22301:2019

denominarse "documento de procedimiento".

[FUENTE: ISO 22300: 2018, 3.179.]

3.40
Proceso
Conjunto de actividades interrelacionadas o que interactú an (3.1) que transforma las entradas en salidas

[FUENTE: ISO 22300: 2018, 3.180, modificado.]

3.41
Producto o servicio
Producto o resultado proporcionado por una organizació n (3.31) a las partes interesadas (3.21)
EJEMPLO Artículos manufacturados, seguro de automó vil, enfermería comunitaria
Nota 1 a la entrada:
[FUENTE: ISO 22300: 2018, 3.181, modificado.]
3.42
Protección
Medidas que protegen y permiten a una organizació n (3.31) prevenir o reducir el impacto (3.18) de una
interrupció n potencial (3.12)

[FUENTE: ISO 22300: 2018, 3.182.]

3.43
Registro
Documento que indica los resultados obtenidos o que proporciona evidencia de las actividades (3.1)
realizadas.

[FUENTE: ISO 22300: 2018, 3.186.]

3.44
Recuperación
Restauració n y mejora, cuando corresponda, de las operaciones, instalaciones, medios de vida o
condiciones de vida de las organizaciones afectadas (3.31), incluidos los esfuerzos para reducir los
factores de riesgo (3.48)

[FUENTE: ISO 22300: 2018, 3.187.]

3.45
Requisito
Necesidad o expectativa que se declara, generalmente implícita u obligatoria

Nota 1 a la entrada: "Generalmente implícito" significa que es costumbre o prá ctica comú n para la organizació n
(3.31) y partes interesadas (3.21) que la necesidad o expectativa bajo consideració n está implícita.
Nota 2 a la entrada: Un requisito especificado es aquel que se establece, por ejemplo, en la informació n
documentada (3.13).

[FUENTE: ISO 22300: 2018, 3.190.]

3.46
Resiliencia
Capacidad para absorber y adaptarse en un entorno cambiante

[FUENTE: ISO 22300: 2018, 3.192.]

3.47
Revisión

© ISO 2019 – Derechos reservados

16
 ISO/IEC 22301:2019

Actividad (3.1) realizada para determinar la idoneidad, adecuació n y eficacia (3.14) del sistema de gestió n
(3.25) y sus elementos componentes para lograr los objetivos establecidos (3.30)

[FUENTE: ISO 22300: 2018, 3.197.]

3.48
Riesgo
Efecto de la incertidumbre sobre los objetivos (3.30)

Nota 1 a la entrada: Un efecto es una desviació n del esperado: puede ser positivo, negativo o ambos, y puede
abordar, crear o dar lugar a oportunidades y amenazas.
Nota 2 a la entrada: Los objetivos pueden tener diferentes aspectos, categorías y categorías y se pueden aplicar en
niveles diferentes.
Nota 3 a la entrada: El riesgo generalmente se expresa en términos de fuentes de riesgo, eventos potenciales (3.16),
sus consecuencias (3.9) y su probabilidad (3.23).
[FUENTE: ISO 31000: 2018, 3.1]
3.49
Evaluación de riesgos
Proceso general (3.40) de identificació n de riesgos, aná lisis de riesgos y evaluació n de riesgos
Nota 1 a la entrada: La evaluació n de riesgos se describe en detalle en ISO 31000: 2018.

[FUENTE: ISO 22300: 2018, 3.203, modificado - La nota 1 a la entrada ha sido modificada.]

3.50
Gestión de riesgos
Actividades coordinadas (3.1) para dirigir y controlar una organizació n (3.31) con respecto al riesgo

[FUENTE: ISO 31000: 2018, 3.2]

3.51
Cadena de suministro
Relació n bidireccional de organizaciones (3.31), personas, procesos (3.40), logística, informació n (3.20),
tecnología y recursos involucrados en las actividades (3.1) y la creació n de valor a partir del
abastecimiento de materiales a travé s de la entrega de productos y servicios (3.41)

Nota 1 a la entrada: La cadena de suministro puede incluir proveedores, subcontratistas, instalaciones de

fabricació n, logística, proveedores, centros de distribució n interna, distribuidores, mayoristas y otras entidades
que conducen al usuario final.

[FUENTE: ISO 22300: 2018, 3.251, modificado a "productos y servicios"]

3.52
Prueba
Tipo de ejercicio ú nico y particular (3.17) que incorpora la expectativa de un elemento de aprobació n o
reprobació n dentro de la meta u objetivos (3.30) del ejercicio que se está planificando.

Nota 1 a la entrada: Los términos "prueba" y "prueba" no son lo mismo que "ejercicio" y "ejercicio".

[FUENTE: ISO 22300: 2018, 3.257.]

3.53
Alta gerencia
Persona o grupo de personas que dirige y controla una organizació n (3.31) al má s alto nivel.

Nota 1 a la entrada: La alta direcció n tiene el poder de delegar autoridad y proporcionar recursos dentro de la
organizació n.

© ISO 2019 – Derechos reservados

17
 ISO/IEC 22301:2019

Nota 2 a la entrada: Si el alcance del sistema de gestió n (3.25) cubre solo una parte de una organizació n, entonces
arriba gestió n se refiere a aquellos que dirigen y controlan esa parte de la organizació n.

[FUENTE: ISO 22300: 2018, 3.263, modificada. Se han eliminado las notas 3, 4 y 5 de la entrada.]

3.54
Capacitación
Actividades (3.1) diseñ adas para facilitar el aprendizaje y desarrollo de conocimientos, habilidades y
habilidades, y para mejorar el desempeñ o (3.33) de tareas o roles específicos

[FUENTE: ISO 22300: 2018, 3.265.]

3.55
Verificación
Confirmació n, mediante la aportació n de pruebas, de que se han cumplido los requisitos
especificados (3.45)
[FUENTE: ISO 22300: 2018, 3.272.]

3.56
Ambiente de trabajo
Conjunto de condiciones bajo las cuales se realiza el trabajo
Nota 1 a la entrada: Las condiciones incluyen factores físicos, sociales, psicoló gicos y ambientales (como
temperatura, esquemas de reconocimiento, ergonomía y composició n atmosférica).

[FUENTE: ISO 22300:2018, 3.276.]

4 Contexto de la organización
4.1 Comprensión de la organización y su contexto.
La organizació n debe determinar los problemas externos e internos que sean relevantes para su
propó sito y que afecten su capacidad para lograr los resultados previstos de su BCMS
NOTA: Estos problemas estará n influenciados por los objetivos generales de la organizació n, sus productos y
servicios y la cantidad y tipo de riesgo que puede o no tomar.

4.2 Comprender las necesidades y expectativas de las partes interesadas

4.2.1 General

Al establecer su BCMS, la organizació n debe determinar:

a) las partes interesadas que sean relevantes para el BCMS;

b) los requisitos de estos interesados.

4.2.2 Requisitos legales y reglamentarios

La organizació n debe:

a) implementar y mantener un proceso para identificar, tener acceso y evaluar los requisitos legales y
regulatorios aplicables relacionados con la continuidad de sus productos y servicios, procesos,
actividades y recursos, así como los intereses de las partes interesadas relevantes;

b) asegurarse de que estos requisitos legales, reglamentarios y de otro tipo aplicables se tengan en cuenta
en implementar y mantener su BCMS;

© ISO 2019 – Derechos reservados

18
 ISO/IEC 22301:2019

c) documentar esta informació n y mantenerla actualizada.

4.3 Determinar el alcance del sistema de gestión de la continuidad del negocio.

4.3.1 General

La organizació n debe determinar los límites y la aplicabilidad del BCMS para establecer su alcance.
Al determinar este alcance, la organizació n debe considerar:

a) las cuestiones externas e internas mencionadas en 4.1;

b) los requisitos mencionados en 4.2.

El alcance debe estar disponible como informació n documentada.

4.3.2 Alcance del BCMS

La organizació n debe:

a) considerar su misió n, metas y obligaciones internas y externas;

b) establecer las partes de la organizació n que se incluirá n en el BCMS, teniendo en cuenta su (s)
ubicació n (es), tamañ o, naturaleza y complejidad;

c) identificar los productos y servicios y sus procesos, actividades y recursos relacionados que se
incluido en el BCMS;

d) tener en cuenta las necesidades de las partes interesadas.

Al definir el alcance, la organizació n debe documentar y explicar las exclusiones; Cualquiera de dichas
exclusiones no afectará la capacidad y responsabilidad de la organizació n para proporcionar continuidad
comercial, segú n lo determine el aná lisis de impacto comercial o la evaluació n de riesgos y los requisitos
legales o reglamentarios aplicables.

4.4 Sistema de gestión de continuidad del negocio

La organizació n debe establecer, implementar, mantener y mejorar continuamente un BCMS, incluidos los
procesos necesarios y sus interacciones, de acuerdo con los requisitos de este documento.

5 Liderazgo

5.1 Liderazgo y compromiso

La alta direcció n debe demostrar liderazgo y compromiso con respecto al BCMS al:

a) asegurar que se establezcan la política de continuidad del negocio y los objetivos de continuidad del
negocio y son compatibles con la direcció n estraté gica de la organizació n;
b) asegurar la integració n de los requisitos del BCMS en los procesos comerciales de la organizació n;

c) asegurar que los recursos necesarios para el BCMS estén disponibles;

d) comunicar la importancia de una continuidad comercial efectiva y cumplir con los requisitos del BCMS;

e) asegurar que el BCMS logre los resultados previstos;

f) dirigir y apoyar a las personas para que contribuyan a la eficacia del BCMS;

© ISO 2019 – Derechos reservados

19
 ISO/IEC 22301:2019

g) apoyar otros roles de gestió n relevantes para demostrar su liderazgo y compromiso como
se aplica a sus á reas de responsabilidad;

h) promover la mejora continua.

NOTA: La referencia a “negocios” en este documento puede interpretarse de manera amplia en el sentido de aquellas
actividades que son fundamentales para los propó sitos de la existencia de la organizació n.

5.2 Política

5.2.1 La alta direcció n debe establecer una política de continuidad del negocio que:
a) es apropiado para el propó sito de la organizació n;

b) proporciona un marco para establecer los objetivos de continuidad del negocio;

c) incluye el compromiso de satisfacer los requisitos aplicables;

d) incluye un compromiso con la mejora continua del BCMS.

5.2.2 La política de continuidad del negocio deberá :
a) estar disponible como informació n documentada;

b) comunicarse dentro de la organizació n;

c) estar disponible para las partes interesadas, segú n corresponda.

5.3 Funciones, responsabilidades y autoridades organizativas

La alta direcció n debe asegurarse de que las responsabilidades y autoridades para los roles relevantes se
asignen y se comuniquen dentro de la organizació n.

La alta direcció n debe asignar la responsabilidad y autoridad para:

a) asegurarse de que el BCMS cumpla con los requisitos de este documento;

b) informar sobre el desempeñ o del BCMS a la alta direcció n.

6 Planificación

6.1 Acciones para abordar riesgos y oportunidades

Al planificar el BCMS, la organizació n debe considerar las cuestiones a las que se hace referencia en 4.1 y
los requisitos mencionados en 4.2 y determinar los riesgos y oportunidades que deben abordarse para:

a) dar seguridad de que el sistema de gestió n puede lograr los resultados previstos;

b) prevenir o reducir efectos no deseados;

c) lograr una mejora continua.

La organizació n debe planificar:

a) acciones para abordar estos riesgos y oportunidades,

b) có mo:

© ISO 2019 – Derechos reservados

20
 ISO/IEC 22301:2019

1) integrar e implementar las acciones en sus procesos BCMS (ver 8.1),

2) evaluar la efectividad de estas acciones (ver 9.1).

NOTA: los riesgos y oportunidades en esta sub-clá usula se relacionan con la efectividad del sistema de
gestió n. Riesgos relacionados con la interrupció n del negocio se tratan en 8.2

6.2 Objetivos de continuidad del negocio y planificación para alcanzarlos.

6.2.1 La organizació n debe establecer objetivos de continuidad del negocio en las funciones y niveles
relevantes.

Los objetivos de continuidad del negocio deberá n:

a) ser coherente con la política de continuidad del negocio;

b) ser medible (si es posible);

c) tener en cuenta los requisitos aplicables;

d) ser monitoreado;

e) ser comunicada;

f) Actualizarse segú n corresponda.

La organizació n debe conservar informació n documentada sobre los objetivos de continuidad del negocio.

6.2.2 Al planificar có mo lograr sus objetivos de continuidad del negocio, la organizació n debe
determinar:
a) qué se hará ;
b) qué recursos se requerirá n;
c) quién será responsable;
d) cuando se completará ;
e) có mo se evaluará n los resultados.

6.3 Planificación de cambios al BCMS

Cuando la organizació n determina la necesidad de cambios en el BCMS, incluidos los identificados en

clá usula 10 mejora, los cambios se llevará n a cabo de manera planificada. La organizació n debe
considerar:
a) el propó sito de los cambios y sus posibles consecuencias;
b) la integridad del BCMS;
c) la disponibilidad de recursos;
d) la asignació n o reasignació n de responsabilidades y autoridades.

7 Soporte

7.1 Recursos

La organizació n debe determinar y proporcionar los recursos necesarios para el establecimiento,

implementació n, mantenimiento y mejora continua del BCMS.

© ISO 2019 – Derechos reservados

21
 ISO/IEC 22301:2019

7.2 Competencia

La organizació n debe:
a) determinar la competencia necesaria de la (s) persona (s) que realizan el trabajo bajo su control que
afecta su desempeñ o en la continuidad del negocio;
b) asegurarse de que estas personas sean competentes sobre la base de una educació n, formació n o
experiencia;
c) en su caso, tomar acciones para adquirir la competencia necesaria y evaluar la efectividad de las
acciones tomadas;
d) conservar la informació n documentada adecuada como prueba de competencia.

NOTA: Las acciones aplicables pueden incluir, por ejemplo: la provisió n de capacitació n, la tutoría o la reasignació n
de personas actualmente empleadas; o la contratació n o contratació n de persona

7.3 Conciencia
Las personas que realicen trabajos bajo el control de la organizació n deberá n conocer:
a) la política de continuidad del negocio;
b) su contribució n a la eficacia del BCMS, incluidos los beneficios de un mejor desempeñ o en la
continuidad del negocio;
c) las implicaciones de no cumplir con los requisitos del BCMS;
d) su propio rol y responsabilidades antes, durante y después de las interrupciones.

7.4 Comunicación
La organizació n debe determinar las comunicaciones internas y externas relevantes para el BCMS,
incluso:
a) sobre lo que comunicará ;
b) cuando comunicarse;
c) con quién comunicarse;
d) có mo comunicarse;
e) quién se comunicará .

7.5 Información documentada

7.5.1 General
El BCMS de la organizació n debe incluir:
a) informació n documentada requerida por este documento;

b) informació n documentada determinada por la organizació n como necesaria para la eficacia del BCMS.
NOTA: El alcance de la informació n documentada para un BCMS puede diferir de una organizació n a otra debido a:
el tamañ o de la organizació n y su tipo de productos y servicios, procesos, actividades y recursos; la complejidad de
los procesos y sus interacciones; la competencia de las personas.

7.5.2 Creació n y actualizació n

Al crear y actualizar informació n documentada, la organizació n debe asegurarse de que sea apropiado:

© ISO 2019 – Derechos reservados

22
 ISO/IEC 22301:2019

a) identificació n y descripció n (por ejemplo, título, fecha, autor o nú mero de referencia);

b) formato (por ejemplo, idioma, versió n de software, grá ficos) y medios (por ejemplo, papel,
electró nico),
c) revisió n y aprobació n de idoneidad y adecuació n
7.5.3 Control de informació n documentada
7.5.3.1 La informació n documentada requerida por el BCMS y por este documento se controlará para
garantizar:
a) está disponible y es adecuado para su uso, donde y cuando se necesite;
b) está adecuadamente protegido (por ejemplo, contra la pérdida de confidencialidad, uso indebido o
pé rdida de integridad).

7.5.3.2 Para el control de la informació n documentada, la organizació n debe abordar las siguientes
actividades, segú n corresponda:
a) distribució n, acceso, recuperació n y uso;
b) almacenamiento y conservació n, incluida la preservació n de la legibilidad;
c) control de cambios (por ejemplo, control de versiones);
d) retenció n y disposició n.

La informació n documentada de origen externo que la organizació n determine que es necesaria para la
planificació n y operació n del BCMS deberá identificarse, segú n corresponda, y controlarse.

NOTA El acceso puede implicar una decisió n con respecto al permiso para ver solo la informació n documentada,
o el permiso y la autoridad para ver y cambiar la informació n documentada.

8 Operación
8.1. Planificación y control operacional
La organizació n debe planificar, implementar y controlar los procesos necesarios para cumplir con los
requisitos e implementar las acciones determinadas en 6.1, mediante:
a) establecer criterios para los procesos;
b) implementar el control de los procesos de acuerdo con los criterios;
c) mantener la informació n documentada en la medida necesaria para tener confianza en que los
procesos se han llevado a cabo segú n lo previsto.

La organizació n debe controlar los cambios planificados y revisar las consecuencias de los cambios no
deseados, tomando medidas para mitigar cualquier efecto adverso, segú n sea necesario.

La organizació n debe asegurarse de que los procesos subcontratados y la cadena de suministro estén
controlados.

8.2 Análisis de impacto del negocio y evaluación de riesgos

8.2.1 General
La organizació n debe implementar y mantener un proceso para analizar el impacto comercial y evaluar
los riesgos de interrupció n que establezca el contexto, defina criterios y evalú e el impacto potencial de
una interrupció n.

© ISO 2019 – Derechos reservados

23
 ISO/IEC 22301:2019

NOTA: La organizació n determina el orden en el que se realizan el aná lisis de impacto empresarial y la
evaluació n de riesgos realizados.

8.2.2 Análisis de Impacto del Negocio

La organizació n debe implementar y mantener un proceso para determinar las prioridades y requisitos de
continuidad del negocio que:

a) define categorías de impacto y criterios relevantes para el contexto de la organizació n;

b) utiliza estas categorías y criterios de impacto para medir el impacto;

c) identifica actividades que apoyan la provisió n de productos y servicios;

d) analiza los impactos a lo largo del tiempo resultantes de la interrupció n de estas actividades;

e) identifica el tiempo dentro del cual los impactos de no reanudar las actividades serían inaceptables
a la organizació n;

NOTA: Esto puede denominarse período má ximo tolerable de interrupció n (MTPD).

f) establece plazos prioritarios dentro del tiempo identificado en e) anterior para reanudar las actividades
interrumpidas a una capacidad mínima aceptable especificada;

NOTA: Esto puede denominarse objetivo de tiempo de recuperació n (RTO).

g) utiliza los impactos comerciales para identificar actividades priorizadas;

h) determina qué recursos se necesitan para apoyar las actividades priorizadas;

i) determina las dependencias e interdependencias de las actividades priorizadas.

NOTA: Los socios externos podrían considerarse de acuerdo con ISO 22318.

8.2.3 Evaluación de riesgos

La organizació n debe implementar y mantener un proceso de evaluació n de riesgos sistemá tico.

NOTA Este proceso se puede realizar de acuerdo con ISO 31000.

La organizació n debe:

a) identificar los riesgos de interrupció n de las actividades priorizadas de la organizació n y de su apoyo

b) recursos;

c) analizar sistemá ticamente los riesgos de interrupció n;

d) evaluar los riesgos de alteració n que requieran tratamiento.

NOTA Los riesgos en esta sub-clá usula se relacionan con la interrupció n del negocio. Riesgos y oportunidades
relacionados con la eficacia del sistema de gestió n se tratan en 6.1.

8.3 Estrategias y soluciones de continuidad del negocio

© ISO 2019 – Derechos reservados

24
 ISO/IEC 22301:2019

8.3.1 General

La organizació n debe identificar y seleccionar estrategias de continuidad del negocio basadas en los
resultados del aná lisis de impacto empresarial y la evaluació n de riesgos. Las estrategias de continuidad
del negocio estará n compuestas por una o má s soluciones.

8.3.2 Identificació n y selecció n de estrategias y soluciones

La organizació n debe identificar y seleccionar las estrategias y soluciones adecuadas para la continuidad
del negocio, teniendo en cuenta sus costos asociados para:

a) responder a las interrupciones;

b) continuar y recuperar las actividades priorizadas y sus recursos requeridos para cumplir con la
entrega de productos y servicios a la capacidad acordada a lo largo del tiempo.

Para las actividades priorizadas, la organizació n debe identificar y seleccionar estrategias y soluciones
considerando los objetivos de continuidad del negocio y la cantidad y el tipo de riesgo que la
organizació n puede o no asumir que:

a) reducir la probabilidad de interrupciones;

b) acortar el período de interrupció n;
c) limitar el impacto de la interrupció n en los productos y servicios de la organizació n.

8.3.3Requerimientos de recursos
La organizació n debe determinar los requisitos de recursos para implementar las soluciones de
continuidad del negocio seleccionadas. Los tipos de recursos considerados incluirá n pero no se limitará n
a:
a) personas;
b) informació n y datos;
c) infraestructura física como edificios, lugares de trabajo u otras instalaciones y servicios pú blicos
asociados;
d) equipos y consumibles;
e) sistemas de tecnología de la informació n y las comunicaciones (TIC);
f) transporte;
g) finanzas;
h) socios y proveedores.

8.3.4 Implementació n de soluciones

La organizació n debe implementar soluciones de continuidad del negocio seleccionadas para que
puedan activarse cuando sea necesario.

8.4 Planes y procedimientos de continuidad del negocio

8.4.1General

La organizació n debe implementar y mantener una estructura que permita la advertencia y la

comunicació n oportunas a las partes interesadas relevantes y proporcionar planes y procedimientos para
administrar la organizació n durante una interrupció n. Los planes y procedimientos se utilizará n cuando
sea necesario para ejecutar soluciones de continuidad del negocio.
NOTA Existen diferentes tipos de procedimientos que comprenden los planes de continuidad del negocio.

Los procedimientos deberá n:

© ISO 2019 – Derechos reservados

25
 ISO/IEC 22301:2019

a) sea específico con respecto a los pasos inmediatos que se deben tomar durante una interrupció n;
b) ser flexible para responder a las cambiantes condiciones internas y externas de una interrupció n;
c) centrarse en el impacto de los incidentes que potencialmente conducen a una interrupció n;

d) ser eficaz para minimizar el impacto mediante la implementació n de soluciones apropiadas;

e) asignar roles y responsabilidades para las tareas dentro de él.

8.4.2 Estructura de respuesta

La organizació n debe implementar y mantener una estructura que identifique uno o má s equipos
responsables para responder a las interrupciones.

Los roles y responsabilidades de cada equipo y las relaciones entre los equipos deben estar claramente
establecidos.
En conjunto, los equipos estará n preparados para:

a) evaluar la naturaleza y el alcance de una interrupció n y su impacto potencial;

b) evaluar el impacto frente a umbrales predefinidos que justifican el inicio de una respuesta formal;

c) activar una respuesta apropiada de continuidad del negocio;

d) planificar las acciones que deben emprenderse;

e) establecer prioridades (utilizando la seguridad humana como primera prioridad);
f) monitorear los efectos de la interrupció n y la respuesta de la organizació n;

g) activar las soluciones de continuidad del negocio;

h) comunicarse con las partes interesadas pertinentes, las autoridades y los medios de comunicació n.
Para cada equipo habrá :
a) personal identificado y sus asociados con la responsabilidad, autoridad y competencia necesarias
para desempeñ ar su funció n designada;
b) procedimientos documentados para guiar sus acciones (ver 8.4.4) incluyendo aquellos para
la activació n, operació n, coordinació n y comunicació n de la respuesta.

8.4.3Advertencia y comunicació n

8.4.3.1La organizació n debe documentar y mantener procedimientos para:

a) comunicarse interna y externamente con las partes interesadas relevantes, incluyendo qué, cuá ndo,
con quié n y có mo comunicarse;
NOTA: La organizació n puede documentar y mantener procedimientos sobre có mo y bajo qué
circunstancias la organizació n se comunica con los empleados y sus contactos de emergencia.

b) recibir, documentar y responder a las comunicaciones de las partes interesadas, incluido

cualquier sistema de aviso de riesgos nacional o regional o equivalente;

c) garantizar la disponibilidad de los medios de comunicació n durante una interrupció n;

d) facilitar la comunicació n estructurada con los servicios de emergencia;

© ISO 2019 – Derechos reservados

26
 ISO/IEC 22301:2019

e) detalles de la respuesta de la organizació n a los medios de comunicació n después de un incidente,

incluida una estrategia de comunicació n;

f) registrar los detalles de la interrupció n, las acciones y las decisiones tomadas.

8.4.3.2Cuando sea aplicable, también se considerará e implementará lo siguiente:

a) alertar a las partes interesadas potencialmente afectadas por una interrupció n real o inminente;
b) asegurar la adecuada coordinació n y comunicació n entre mú ltiples organizaciones de respuesta;
Los procedimientos de comunicació n y advertencia se deben aplicar como parte del programa de
ejercicios de la organizació n mencionado en 8.5.

8.4.4Planes de continuidad del negocio

8.4.4.1 Los planes de continuidad del negocio deben proporcionar orientació n e informació n que
ayudará n a los equipos a responder a una interrupció n y ayudará n a la organizació n con la respuesta y
la recuperació n.

En conjunto, los planes de continuidad del negocio deberá n contener:

a) detalles de las acciones que los equipos tomará n para continuar o recuperar actividades
priorizadas dentro de plazos predeterminados y monitorear los efectos de la interrupció n y la
respuesta de la organizació n a la misma;
b) referencia al umbral y proceso predefinidos para activar la respuesta;

c) procedimientos para permitir la entrega de productos y servicios a la capacidad acordada a las

partes interesadas;

d) detalles para gestionar las consecuencias inmediatas de una interrupció n teniendo debidamente en
cuenta:

1) el bienestar de las personas;

2) prevenció n de una mayor pérdida o indisponibilidad de las actividades priorizadas;

3) protecció n del medio ambiente;

e) un proceso para retirarse una vez finalizado el incidente.

8.4.4.2Cada plan debe incluir:

a) propó sito y alcance, y objetivos;

b) roles, responsabilidades del equipo que implementará el plan;

c) acciones y recursos para implementar las soluciones;

d) informació n de apoyo necesaria para activar (incluidos los criterios de activació n), operar,
coordinar y comunicar las acciones del equipo;

e) interdependencias internas y externas;

f) requisitos de recursos;

g) los requisitos de informació n.

© ISO 2019 – Derechos reservados

27
 ISO/IEC 22301:2019

Cada plan será utilizable y estará disponible en el momento y lugar en que se requiera.

8.4.5Recuperació n
La organizació n debe tener procesos documentados para restaurar y devolver las actividades
comerciales de las medidas temporales adoptadas para respaldar los requisitos comerciales normales
durante y despué s de una interrupció n.

8.5Programa de ejercicios
La organizació n debe implementar y mantener un programa de ejercicios y pruebas para validar
con el tiempo la efectividad de sus estrategias y soluciones de continuidad del negocio.

La organizació n debe realizar ejercicios y pruebas que:

a) son consistentes con sus objetivos de continuidad del negocio;

b) se basan en escenarios apropiados que está n bien planificados con metas y objetivos claramente
definidos;

c) desarrollar el trabajo en equipo, la competencia, la confianza y el conocimiento para aquellos que

tienen roles que desempeñ ar en relació n con las interrupciones;

d) en conjunto a lo largo del tiempo, validar la totalidad de sus estrategias de continuidad del negocio;

e) producir informes posteriores al ejercicio formalizados que contengan resultados, recomendaciones

y acciones para implementar mejoras;
f) se revisan en el contexto de promover la mejora continua;
g) se realizan a intervalos planificados y cuando hay cambios significativos dentro de la
organizació n o el contexto en el que opera.
La organizació n debe actuar sobre los resultados de su ejercicio y prueba para implementar cambios y
mejoras.

9 Evaluación de desempeño

9.1 Seguimiento, medición, análisis y evaluación

9.1.1 General

La organizació n debe determinar:

a) qué se necesita monitorear y medir;

b) los mé todos de seguimiento, medició n, aná lisis y evaluació n, segú n corresponda, para asegurar
resultados vá lidos;
c) cuando y quién debe realizar el seguimiento y la medició n;

d) cuando y quién debe analizar y evaluar los resultados del seguimiento y la medició n.
La organizació n debe conservar la informació n documentada apropiada como evidencia de los
resultados. La organizació n debe evaluar el desempeñ o del BCMS y la efectividad del BCMS.
9.1.2 Evaluació n de planes, procedimientos y capacidades de continuidad del negocio.

La organizació n debe evaluar la idoneidad, adecuació n y eficacia de sus planes, procedimientos y

capacidades de continuidad del negocio.

© ISO 2019 – Derechos reservados

28
 ISO/IEC 22301:2019

Estas evaluaciones se realizará n mediante revisiones perió dicas, aná lisis, ejercicios, pruebas, post-
incidente, informes y evaluaciones de desempeñ o.

La organizació n debe evaluar perió dicamente el cumplimiento de los requisitos legales y reglamentarios
aplicables, las mejores prá cticas de la industria y el cumplimiento de su propia política y objetivos de
continuidad del negocio.

La organizació n debe realizar evaluaciones a intervalos planificados despué s de un incidente o

activació n y cuando ocurran cambios significativos se actualizará de manera oportuna.

9.2 Auditoría interna

9.2.1 La organizació n debe realizar auditorías internas a intervalos planificados para proporcionar
informació n sobre si el BCMS:

a) se ajusta a:
1) los propios requisitos de la organizació n para su BCMS,

2) los requisitos de este documento;

b) se implementa y mantiene de manera efectiva.
9.2.2 La organizació n debe:

a) planificar, establecer, implementar y mantener (un) programa (s) de auditoría, incluida la frecuencia,
los mé todos, las responsabilidades, los requisitos de planificació n y los informes. El programa o
programas de auditoría deberá n tener en cuenta la importancia de los procesos en cuestió n y los
resultados de auditorías anteriores;

b) definir los criterios de auditoría y el alcance de cada auditoría;

c) seleccionar auditores y realizar auditorías para asegurar la objetividad y la imparcialidad del proceso
de auditoría;

d) asegurarse de que los resultados de las auditorías se informen a la direcció n pertinente;

e) conservar informació n documentada como evidencia de la implementació n del programa de auditoría

y los resultados de la auditoría.

9.3 Revisión de gestión

9.3.1General

La alta direcció n debe revisar el BCMS de la organizació n, a intervalos planificados, para asegurar su
continuidad, idoneidad, adecuació n y eficacia.

9.3.2 Entrada de revisió n por la direcció n

La revisió n por la direcció n debe incluir la consideració n de:

a) el estado de las acciones de las revisiones por la direcció n anteriores;

b) cambios en asuntos externos e internos que son relevantes para el BCMS;

c) informació n sobre el desempeñ o de la continuidad del negocio, incluidas las tendencias en:
1) no conformidades y acciones correctivas;

2) seguimiento y medició n de los resultados de la evaluació n;

© ISO 2019 – Derechos reservados

29
 ISO/IEC 22301:2019

3) resultados de la auditoría;

d) comentarios de las partes interesadas;

e) la necesidad de cambios en el BCMS, incluida la política y los objetivos;

f) procedimientos y recursos que podrían utilizarse en la organizació n para mejorar el desempeñ o y la

eficacia del BCMS;

g) informació n del BIA y evaluació n de riesgos;

h) riesgos o cuestiones que no se abordan adecuadamente en ninguna evaluació n de riesgos anterior;

i) resultados de ejercicios y pruebas;

j) lecciones aprendidas y acciones derivadas de cuasi accidentes e interrupciones;
k) oportunidades de mejora continua.
9.3.3 Salida de la revisió n por la direcció n
9.3.3.1 Los resultados de la revisió n por la direcció n deben incluir decisiones relacionadas con
oportunidades de mejora continua y la posible necesidad de cambios en el BCMS para mejorar su
eficiencia y eficacia e incluir lo siguiente:
a) variaciones del alcance del BCMS;
b) actualizació n del aná lisis de impacto comercial, evaluació n de riesgos, estrategias y soluciones de
continuidad comercial y planes de continuidad comercial;

c) modificació n de procedimientos y controles para responder a problemas internos o externos que

puedan afectar el BCMS;
d) có mo se medirá la eficacia de los controles.

9.3.3.2 La organizació n debe retener informació n documentada como evidencia de los resultados de las
revisiones por la direcció n y:

a) comunicar los resultados de la revisió n por la direcció n a las partes interesadas pertinentes;
b) tomar las medidas adecuadas en relació n con esos resultados.

10 Mejora
10.1 No conformidad y acción correctiva
10.1.1.1 Cuando ocurre una no conformidad, la organizació n debe:
a) reaccionar ante la no conformidad y, segú n corresponda:

1) tomar medidas para controlarlo y corregirlo;

2) lidiar con las consecuencias.

b) evaluar la necesidad de acció n para eliminar las causas de la no conformidad a fin de que no se
repita ni ocurra en otro lugar, mediante:
1) revisió n de la no conformidad;
2) determinar las causas de la no conformidad;

3) determinar si existen no conformidades similares o si podrían ocurrir potencialmente;

© ISO 2019 – Derechos reservados

30
 ISO/IEC 22301:2019

c) implementar cualquier acció n necesaria;

d) revisar la efectividad de cualquier acció n correctiva tomada;

e) realizar cambios en el BCMS, si es necesario.

Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas.

10.1.2 La organizació n debe retener informació n documentada como evidencia de:

a) la naturaleza de las no conformidades y cualquier acció n posterior tomada;

b) los resultados de cualquier acció n correctiva.
10.2 Mejora continua
La organizació n debe mejorar continuamente la idoneidad, adecuació n o eficacia del BCMS.

La organizació n debe considerar los resultados del aná lisis y la evaluació n, y los resultados de la revisió n
por la direcció n, para determinar si hay necesidades u oportunidades que deben abordarse como parte
de la mejora continua.
NOTA: La organizació n puede utilizar los procesos del BCMS tales como liderazgo, planificació n y desempeñ o,
evaluació n, para lograr la mejora.

Bibliografía

[1] ISO 9001, Sistemas de gestión de la calidad — Requisitos

[2] ISO 14001, Sistema de gestión ambiental — Requisitos con orientación para su uso

[3] ISO 19011, Directrices para auditar sistemas de gestión

© ISO 2019 – Derechos reservados

31
 ISO/IEC 22301:2019

[4] ISO/IEC/TS 17021-6, Evaluación de la conformidad — Requisitos para los organismos que
realizan auditorías y certificaciones de sistemas de gestión — Parte 6: Requisitos de competencia
para la auditoría y certificación de los sistemas de gestión de la continuidad del negocio
[5] ISO/IEC 20000-1, Tecnologías de la información — Gestión de servicios — Parte 1: Requisitos
del sistema de gestión de servicios

[6] ISO 22300, Seguridad y resiliencia — Vocabulario

[7] ISO/IEC 27001, Tecnologías de la información — Técnicas de seguridad — Sistema de
gestión de seguridad de la información — Requisitos
[8] ISO/IEC 27031, Tecnologías de la información — Técnicas de seguridad — Directrices para la
preparación de la tecnología de la información y las comunicaciones para la continuidad del
negocio
[9] ISO 28000, Especificación para sistemas de gestión de seguridad para la cadena de suministro

[10] ISO 31000, Gestión de riesgos — Guías

[11] ISO/IEC 31010, Gestión de riesgos — Técnicas de evaluación de riesgos

[12] SI 24001, Sistemas de gestión de seguridad y continuidad — Requisitos y orientación para su uso,
Instituto de Normas de Israel
[13] NFPA 1600, Estándar sobre gestión de desastres / emergencias y programas de continuidad comercial,
Asociación Nacional de Protección contra Incendios (USA)
[14] Directriz para la redacción del plan de continuidad del negocio. Ministerio de Economía, Comercio e
Industria, Japón, 2005
[15] Directriz de continuidad empresarial, Consejo Central de Gestión de Desastres, Oficina del Gabinete,
Gobierno de Japón, 2005
[16] ANSI/ASIS SPC. – 2011, Auditoría de sistemas de gestió n: Riesgo, Resiliencia: Seguridad, y
Continuidad
–Guía de aplicación

[17] ANSI/ASIS/BSI BCM.01, Sistema de gestión de continuidad del negocio: Requisitos y

orientación para su uso

© ISO 2019 – Derechos reservados

32