ISO 22301
Durante este presentación revisamos la evolución de los principales estándares relacionados con la Gestión de Continuidad del Negocio originados por BSI, iniciando con PAS 56 y hasta la publicación de ISO 22301
ISO 45001-2018.pdf norma internacional para la estandarización
BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Seminario pwc
1. 28 de Mayo de2012
Las mejores prácticas de
continuidad del negocio
BS25999, ISO22301, ISO27031, ISO24762
Mario Ureña Cuate
CISSP, CISA, CISM, CGEIT
British Standards Institution
Gerente de Riesgos / Instructor
2. Consideración para el lector:
Esta presentación ha sido preparada para acompañar la
conferencia presentada por el autor en un tiempo y
contexto específico.
Es recomendable acompañar dicha presentación con la
explicación correspondiente.
En caso de considerar necesario, favor de contactar al
autor a través de las opciones indicadas al final de la
presentación.
3. ¿Quiénes somos?…
BSI tiene más de 100 años de experiencia liderando el
camino del desarrollo de normas para una gran variedad
de operaciones de negocio, lo que nos convierte en un
organismo líder proveedor de soluciones en capacitación,
certificación y software para la normatividad.
Nuestro objetivo…
Nuestro objetivo es crear soluciones integrales y
programas de capacitación que mejoren el desempeño
de su compañía y le permitan administrar
eficientemente sus riesgos.
4. Lo que hacemos ...
• Establecer estándares
• Proveer toda la información y entrenamiento sobre
estandarización
• Apoyar a las organización mejorando la manera en
que operan con buenos procesos de gestión y
soluciones empresariales
• Probar y verificar independientemente productos y
servicios para asegurar que están al nivel requerido,
en términos de la especificación de desempeño y
seguridad
5. Estándares renombrados
originados por BSI
1979 BS 5750 ISO 9001 (Calidad)
1992 BS 7750 ISO 14001 (Medioambiente)
1995 BS 7799 ISO/IEC 27001 (Seguridad de la Información)
1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad)
2000 BS 8600 ISO 10002 (Satisfacción de Clientes)
2002 BS 15000 ISO/IEC 20000 (Servicios de TI)
2007 BS 25999 ISO/IEC 22301 (Continuidad del Negocio)
2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC)
2009 BS 10012 (Protección de Datos Personales)
6. Riesgo
Reducir interrupciones a través de una efectiva gestión de
riesgo
Sustentabilidad
Crear valor a través de prácticas sustentables
Desempeño
Crear ventaja competitiva a través de la mejora en el
desempeño
10. ISO 27031
Guías para la preparación de
las tecnologías de información
y comunicaciones para la
continuidad del negocio
Information and
communication technology
readiness for business
continuity (IRBC)
11. ISO 27031
• Eventos e incidentes de TIC que afecten la
continuidad de las funciones críticas del
negocio
• Permite la medición del desempeño
• Se encuentra estrechamente vinculada con:
• Sistema de Gestión de Seguridad de la Información
• Sistema de Gestión de Servicios de TI
• Sistema de Gestión de Continuidad del Negocio
15. De BS25999 a BS ISO 22301
BS25999-2 BS ISO 22301
Business continuity management – Societal security – Business
Part 2: Specification
continuity management systems –
Requirements
20 / Noviembre / 2007 15 / Mayo / 2012
Publicado por:
Publicado por:
British Standards Institution
International Organization for
Standardization
16. Societal security?
Proveer protección a la
sociedad de, y la habilidad
de responder a, incidentes,
emergencias y desastres
causados por actos
humanos intencionales o
no, desastres naturales, y
fallas técnicas.
19. Aplicabilidad de ISO 22301
• Organizaciones de cualquier tipo y tamaño
• Establecer, implementar, mantener y mejorar un SGCN
• Asegurar conformidad con la política de continuidad del
negocio establecida
• Demostrar conformidad a terceras partes
• Buscan certificación / registro de su SGCN por una entidad
certificadora acreditada
• Autodeterminación de conformidad con ISO 22301
20. Transición BS25999 a ISO 22301
• ISO 22301 sustituye a BS 25999-2
• Fecha límite para certificaciones con BS 25999-2: Noviembre
2012
• Periodo de transición definido: 31 Mayo 2014
• Después de este periodo ningún certificado BS 25999-2 será
válido
• Es posible realizar la transición antes de la siguiente visita de
evaluación continua
21. Adiciones en ISO 22301
Contexto de la organización
(Context of the organization)
Explicación:
Ambiente en el que opera la organización
22. Adiciones en ISO 22301
Partes interesadas
(Interested parties)
Explicación:
Sustituye a “Stakeholders”
23. Adiciones en ISO 22301
Liderazgo
(Leadership)
Explicación:
Requerimientos específicos para
la alta gerencia
24. Adiciones en ISO 22301
MAO
(Maximum Acceptable Outage)
Explicación:
Tiempo en el que impactos adversos se
convierten en “inaceptables”
25. Adiciones en ISO 22301
MBCO
(Minimum Business Continuity Objective)
Explicación:
Nivel mínimo de servicios y/o productos que es
aceptable para la organización para lograr sus
objetivos de negocio durante una interrupción
26. Adiciones en ISO 22301
Evaluación del desempeño
(Performance evaluation)
Explicación:
Cubre la medición de la efectividad del
SGCN y la GCN
27. Adiciones en ISO 22301
Periodos de tiempo priorizados
(Prioritized timeframes)
Explicación:
Orden y tiempo de recuperación para
actividades críticas
28. Adiciones en ISO 22301
Alerta y comunicación
(Warning and communication)
Explicación:
Actividades a realizar durante un incidente
29. Estructura
BS 25999-2
ISO 22301
1 - Alcance
1 - Alcance
2 - Referencias normativas
2 - Términos y definiciones
3 - Términos y definiciones
3 - Planear el SGCN
4 - Contexto de la organización
P
5 - Liderazgo
6 - Planeación
7 - Soporte
D
4 - Implementar y operar el SGCN
8 - Operación
C
5 - Monitorear y revisar el SGCN
9 - Evaluación del desempeño
A
6 - Mantener y mejorar el SGCN 10 - Mejora
30. ISO 22301
• Cláusula 4 – Contexto de la organización
• Consideración del contexto interno y externo
• Necesidades, requerimientos y alcance
• Apetito del riesgo, requerimientos legales y regulatorios
• Igualmente importantes son las inclusiones / exclusiones
• Comunicación clara del alcance a partes internas y
externas
31. ISO 22301
• Cláusula 5 – Liderazgo
• Resumen de los requerimientos específicos del rol de la
alta gerencia
• Establecimiento de política
• Nuevos requerimientos para demostrar compromiso
• Designación de responsable del SGCN
32. ISO 22301
• Cláusula 6 – Planeación
• Establecer objetivos estratégicos
• Determinar responsables para el cumplimiento de
objetivos
• Determinar riesgos y oportunidades
• Tareas a realizar y tiempos
• Como se evaluarán los resultados
33. ISO 22301
• Cláusula 7 – Soporte
• No especifíca el requerimiento de análisis de
necesidades de entrenamiento
• Mayor énfasis en concientización
• Mayor énfasis en comunicación
• Mas específico en requerimientos de control
documental, sin embargo, mas abierto en documentos
mínimos
34. ISO 22301
• Cláusula 8 – Operación
• Requerimientos extendidos en estructura de respuesta a
incidentes
• Planes de continuidad del negocio tienen menos
requerimientos que en BS 25999-2
• Recuperación como un requerimiento totalmente nuevo
• No requiere un programa de ejercicios aprobado
35. ISO 22301
• Cláusula 8 – Operación
Business Impact Analysis / Risk Assessment
Risk Assessment / Business Impact Analysis
36. ISO 22301
• Cláusula 8.2.1 – Nota
There are various methodologies for
business impact analysis and risk
assessment which will determine the
order in which these will be conducted.
37. ISO 22301
• Cláusula 9 – Evaluación del desempeño
• Monitoreo, medición, análisis y evaluación
• Auditoría interna
• Revisión de la gerencia
• Comunicar los resultados de la revisión de la gerencia a partes
interesadas relevantes
• Las entradas de las partes interesadas y los resultados de
programas de concientización y entrenamiento no se consideran
como entradas de la revisión
38. ISO 22301
• Cláusula 10 – Mejora
• Se combinan las cláusulas de acciones correctivas y
preventivas en una sola
39. Camino a la certificación
• Seleccionar estándar
• Establecer contacto con BSI
• Conocer al equipo de evaluación
• Considerar entrenamiento
• Revisión y evaluación
• Certificación