Beruflich Dokumente
Kultur Dokumente
4. Contexto de la organizacin:...........................................................................2
4.1 Entendimiento de la organizacin y su contexto:......................................2
4.2 Comprender las necesidades y expectativas de las partes interesadas....2
4.2.1 General................................................................................................ 2
4.2.2 Requerimientos legales y regulatorios.................................................2
4.3 Determinar el alcance del sistema de gestin de continuidad del negocio
BCMS............................................................................................................... 3
4.3.1 General................................................................................................ 3
4.3.2 Alcance del BCMS................................................................................ 3
4.4 Sistema de gestin de continuidad de negocios........................................3
5 Liderazgo......................................................................................................... 4
5.1 Liderazgo y compromiso............................................................................ 4
5.2 Compromiso de la direccin.......................................................................4
5.3 poltica....................................................................................................... 5
5.4 Roles de la organizacin, responsabilidades y autoridades.......................5
6. Planeacin....................................................................................................... 6
6.1 Acciones para direccin de riesgos y oportunidades.................................6
6.2 Objetivos de continuidad de negocio y los planes para alcanzarlos..........6
7. Soporte........................................................................................................... 7
7.1 Recursos.................................................................................................... 7
7.2 Competencia.............................................................................................. 7
7.3 Conciencia................................................................................................. 7
7.4 Comunicacin............................................................................................ 7
7.5 Documentacin de la Informacin.............................................................8
7.5.1 General................................................................................................ 8
7.5.2 Creacin y actualizacin......................................................................8
7.5.3 Control de informacin de la documentacin (documentacin de la
informacin)................................................................................................. 8
8. Operacin....................................................................................................... 9
8.1 Planificacin y control operacional.............................................................9
8.2 Anlisis de impacto al negocio y valoracin del riesgo..............................9
8.2.1 General................................................................................................ 9
8.2.2 Anlisis de Impacto al Negocio..........................................................10
8.2.3 Evaluacin de Riesgos.......................................................................10
8.3 Estrategia de Continuidad de Negocio.....................................................11
8.3.1 Determinacin y Seleccin................................................................11
8.3.2 Establecimiento de las necesidades de recursos...............................11
8.3.3 Proteccin y Mitigacin......................................................................12
8.4 Establecer y aplicar procedimientos de Continuidad del Negocio............12
8.4.1 General.............................................................................................. 12
8.4.2 Estructura de respuesta a Incidentes................................................12
8.4.3 Advertencia y Comunicacin.............................................................13
8.4.4 Planes de Continuidad de Negocio....................................................13
8.4.5 Recuperacin..................................................................................... 14
8.5 El ejercicio y Pruebas............................................................................... 14
9. Evaluacin del Desempeo...........................................................................15
9.1 Seguimiento, medicin, anlisis y evaluacin..........................................15
9.1.1 General.............................................................................................. 15
9.1.2 Evaluacin de Procedimientos de Continuidad de Negocio................16
9.2 Auditora Interna...................................................................................... 16
9.3 Revisin por la Direccin..........................................................................17
10. Mejoramiento.............................................................................................. 18
10.1 No conformidades y acciones correctivas (medidas correctivas)...........18
10.2 Mejoramiento Continuo..........................................................................19
4. Contexto de la organizacin:
4.1 Entendimiento de la organizacin y su contexto:
La organizacin deber determinar los problemas externos e internos que son
relevantes para su propsito y que afectan a su capacidad para alcanzar el
resultado (s) previsto (s) de su BCMS.
Estos problemas debern considerarse al establecer, implementar y mantener
el BCMS de la organizacin.
La organizacin deber identificar y documentar lo siguiente:
a) Las actividades de la organizacin, funciones, servicios, productos,
proveedores, cadena de suministro, relaciones con las partes
interesados, y el impacto potencial para un incidente disruptivo;
b) Vnculos entre la poltica de continuidad de negocio y los objetivos de la
organizacin y otras polticas, incluida su estrategia global para la
gestin del riesgo.; y
c) El apetito del riesgo de la organizacin.
En el establecimiento del contexto la organizacin deber
1) Articular sus objetivos, incluidos los relacionados con la continuidad de
negocio,
2) Definir los factores internos y externos que crean la incertidumbre que
da lugar al riesgo,
3) Criterios de riesgo establecidos, teniendo en cuenta el apetito de riesgo,
y
4) Definir el propsito del BCMS.
5 Liderazgo
5.1 Liderazgo y compromiso
Las personas de la alta direccin y otras funciones de direccin
correspondientes en toda la organizacin deben demostrar su liderazgo con
respecto a la BCMS.
Ejemplo Este liderazgo y compromiso se puede mostrarse al motivar y
capacitar a las personas para contribuir a la eficacia del BCMS.
5.2 Compromiso de la direccin
La alta direccin debe demostrar su liderazgo y compromiso con respecto a la
BCMS para
- Garantizar que las polticas y los objetivos se establecen para el sistema de
gestin de la continuidad del negocio y son compatibles con la direccin
estratgica de la organizacin.
R:// HF 17
- Garantizar la integracin de los requisitos del sistema de gestin de
continuidad del negocio en los procesos de negocio de la organizacin.
R:// BIA, los procesos que no son crticos no son desarrollados y documentados,
solo se utiliza una minuta de reunin.
- Garantizar que los recursos necesarios para el sistema de gestin de la
continuidad del negocio estn disponibles.
A:// Presupuesto, proceso de solicitud
R:// Presupuesto, Budget anual para la continuidad de negocio, con la
mantencin
- Comunicar la importancia del sistema de gestin de la continuidad del
negocio que sea eficaz y que se ajuste a los requisitos BCMS.
de
7. Soporte
7.1 Recursos
La organizacin deber determinar y proveer los recursos necesarios para el
establecimiento, la implementacin, el mantenimiento y la mejora continua del
BCMS.
A: // Budget anual, facturas y actividades de administracin para la BC
R: //CECO por departamento, CECO riesgo operacional y continuidad de
negocio, Budget y facturas con los tems relacionados con continuidad de
negocio
7.2 Competencia
La organizacin deber:
a) Determinar las competencias necesarias de la(s) persona(s) que
trabaja(n) bajo su control, que afectan su desempeo,
A: // Prueba de su empleo, facturas por los cursos, Certificados,
Descripcin de perfil del cargo
R: // Definicin de cargo para la gente de continuidad, evidencia y/o
procedimiento de seleccin del cargo.
b) Asegurarse de que estas personas sean competentes basndose en que
cuenten con una educacin apropiada, entrenamiento y experiencia.
A: // Procedimiento de seleccin de cargo
R:// Evidencia del procedimiento
Ej: Un ingeniero de continuidad debera tener tal perfil.
c) Segn corresponda, adopte medidas para adquirir competencias
necesarias, y evalue la efectividad de las acciones tomadas. Y
A:// Formacin, cursos internos, registro de asistencia
R:// Certificados y cursos, registro de asistencia
d) Conservar la informacin documentada apropiada como evidencia de
competencia.
A: // Respaldo de los certificados
R: // Evidencia
Nota: Las acciones aplicables pueden incluir, por ejemplo: La provisin de
entrenamiento (Suministro de capacitacin) para, la tutora, o la reasignacin
de empleados contratados; o la subcontratacin o contratacin de personas
competentes.
7.3 Conciencia
Las personas que realizan trabajo en virtud del control de la organizacin
debern estar conscientes de
a) La poltica de continuidad del negocio.
A: // Poltica de continuidad de negocio y como se informa
R: //Comunicado de las polticas de continuidad de negocio
b) Su contribucin a la eficacia del BCMS, incluyendo los beneficios de un
mejor desempeo para la gestin de la continuidad del negocio.
A: // Aporte del ing. Continuidad de negocio/obs: formalizar el proceso de
concientizacin y documentar la induccin de continuidad
R: //induccin de continuidad del negocio
c) Las implicaciones de no conformidad con los requerimientos del BCMS, y
A: // Sanciones debido a implicancias por no cumplimiento, evidencia de
la toma de conciencia
R: // Firma de documento de tica y reglamento interno que indique
referencia a las sanciones por no cumplimiento, hoja con la firma de
toma de conocimiento
d) Su rol durante un incidente disruptivo.
A: // Evidencia del rol durante los incidentes, instructivos
R: // instructivos ante incidentes
7.4 Comunicacin
La organizacin debe determinar la necesidad de comunicaciones internas y
externas pertinentes para el BCMS incluidos
a) Acerca de lo que se comunicar
A: //Plan de gestin de crisis, este incluye los protocolos de
comunicacin, plan de gestin de crisis, OBS/ generar un plan de gestin
de crisis.
R: // Minuta, comit de gestin de crisis
b) Cuando comunicarse
A: // protocolos de gestin de crisis (Tiempo de paz)
c) Con quien comunicarse
A: // protocolos de gestin de crisis (Tiempo de guerra)
La organizacin deber
procedimientos para
-
establecer,
implementar,
mantener
los
R: //
Recepcin, documentacin, y respuesta a la comunicacin de las partes
interesadas.
A: // Protocolos de comunicacin
R: // BCP
Adaptacin e integracin a un sistema nacional o regional de
asesoramiento de amenazas, o equivalente, dentro de la planificacin y
uso operativo, si es apropiado
A: // Programa o comisin de seguridad,
R: // Mail y comunicaciones de la ABIF
Garantizar la disponibilidad de los recursos de comunicacin durante un
incidente disruptivo.
A: // Enumerar los recursos, capacidad de uso de medio sustituto, plan
de gestin de crisis y plan de continuidad del negocio
B: // Medios sustitutos de comunicacin
Facilitar una comunicacin estructurada con las autoridades apropiadas
y garantizar la interoperabilidad de mltiples organizaciones y personal
de respuesta, cuando sea apropiado, y
A: // Necesidad de comunicacin y medios estructurados de
comunicacin, plan de gestin de crisis, evidencia de la comunicacin
estructurada
R: // plan de gestin de crisis, evidencia de la comunicacin estructurada
Funcionamiento y pruebas de las capacidades de las comunicaciones
destinadas para su uso durante la interrupcin de las comunicaciones
normales.
A: // Plan de gestin de crisis
R:// Plan de gestin de crisis
R: //BIA
8.2.3 Evaluacin de Riesgos
La organizacin debe establecer, implementar y mantener un proceso formal y
documentado de evaluacin de riesgos que identifique de forma sistemtica,
analice y evale el riesgo de incidentes perturbadores a la organizacin.
Nota: Este proceso podra hacerse de acuerdo con la norma ISO 31000.
La organizacin deber:
a) Identificar el riesgo ante la interrupcin de las actividades prioritarias de
la organizacin y los procesos, sistemas, informacin, personas, bienes,
socios externos y otros recursos que los apoyan.
b) Analizar sistemticamente riesgos.
c) Evaluar el tratamiento que los riesgos relacionados tienen con la
interrupcin.
d) Identificar los tratamientos acordes con los objetivos de continuidad de
negocio y de conformidad con el apetito del riesgo de la organizacin.
Nota: La organizacin debe estar consciente de que ciertas obligaciones
financieras o gubernamentales requieren la comunicacin de estos riesgos a
diferentes niveles de detalle. Adems, ciertas necesidades sociales tambin
pueden justificar el intercambio de esta informacin en un nivel de detalle
apropiado.
A: //Metdologia de gestin de riesgo
R: // Metdologia de gestin de riesgo
8.3 Estrategia de Continuidad de Negocio
8.3.1 Determinacin y Seleccin
La determinacin y seleccin de la estrategia se basarn en los resultados de
los anlisis de impacto en el negocio y la evaluacin de riesgos.
La organizacin deber determinar una estrategia de continuidad de negocio
apropiada para:
a) La proteccin de las actividades priorizadas.
b) La estabilizacin, continuidad, reanudacin y recuperacin de las
actividades priorizadas, sus dependencias y recursos de apoyo.
c) La mitigacin, respuesta y gestin de impactos.
La determinacin de la estrategia deber incluir la aprobacin de los plazos de
tiempo priorizados para la reanudacin de las actividades.
La organizacin deber realizar evaluaciones de las capacidades de los
proveedores sobre la continuidad de negocio.
Personas.
Informacin y datos.
Los edificios, ambiente de trabajo y servicios asociados.
Instalaciones, equipos y consumibles.
Informacin y tecnologa de la comunicacin (TIC) sistemas.
Transporte.
Finanzas.
Socios y Proveedores.
Propsito y alcance
Objetivos
Criterios y procedimientos de activacin
Los procedimientos de ejecucin
Los roles, responsabilidades y autoridades,
Requisitos y procedimientos de comunicacin
Interdependencias e interacciones internas y externas,
Las necesidades de recursos, y
Procesos de flujo y documentacin de la informacin.
A: // Planes de pruebas
R: //
9. Evaluacin del Desempeo.
9.1 Seguimiento, medicin, anlisis y evaluacin.
9.1.1 General.
La organizacin deber determinar
a) Lo que necesita ser monitoreado y medido.
b) Los mtodos de seguimiento, medicin, anlisis y evaluacin, segn
corresponda, para asegurar resultados vlidos.
c) Cuando sern llevados a cabo el seguimiento y medicin.
d) Cuando sern evaluados y analizados los resultados del seguimiento y
medicin.
La organizacin conservar apropiadamente la documentacin como evidencia
de los resultados.
La organizacin debe evaluar el desempeo y la eficacia del BCMS.
Adems, la organizacin deber:
Tomar medidas cuando sea necesario para hacer frente a las tendencias
adversas o resultados antes de que ocurra una no conformidad,
Retener informacin documentada pertinente como prueba de los
resultados.
A: //
R: // Panel de control auditoria
10. Mejoramiento
10.1 No conformidades y acciones correctivas (medidas correctivas)
Cuando ocurre una inconformidad, la organizacin deber
a) Identificar la inconformidad
b) Reaccin para la inconformidad, y, segn sea el caso
1) Tomar medidas para controlar y corregir, y
2) Tratar las consecuencias
c) Evaluar la necesidad de acciones para eliminar las causas de la
inconformidad, con el fin de que no se produzca u ocurra en otros
lugares, por una
1) Revisin de inconformidad
2) Determinando las causas de la inconformidad, y
3) Determinando si existen no conformidades similares, o que puedan
producirse
4) Evaluar la necesidad de acciones correctivas para asegurar que las
no conformidades no vuelvan a ocurrir o se presentan en otras partes
5) Determinar e implementar acciones correctivas necesarias,
6) Revisar la efectividad de alunas acciones correctiva tomadas y
7) Realizar cambios en el sistema de gestin de continuidad de negocio,
si es necesario.
Las acciones correctivas debern ser apropiadas para los efectos de las no
conformidades detectadas.
A organizacin deber mantener documentada como evidencia de
-
cualquier
medida