Quito Ecuador

NORMA
TCNICA
ECUATORIANA

NTE INEN-ISO 22301

2015-XX

PROTECCION Y SEGURIDAD DE LOS CIUDADANOS. SISTEMA DE

GESTIN DE LA CONTINUIDAD DEL NEGOCIO (SGCN)
ESPECIFICACIONES (ISO 22301:2013, IDT)

SOCIETAL SECURITY BUSINESS CONTINUITY MANAGEMENT SYSTEMS REQUIREMENTS

_____________________________________
Correspondencia:
Esta Norma Tcnica Ecuatoriana es una traduccin idntica de la Norma Internacional ISO
22301:2013.

DESCRIPTORES: Sociologa, servicios, organizacin y gestin de empresas, administracin, transporte (Vocabularios)

ICS: 03.100.01

26
Pginas

ISO 2013 Todos los derechos reservados

INEN 2015

NTE INEN-ISO 22301

Prlogo nacional
Esta Norma Tcnica Ecuatoriana NTE INEN-ISO 22301 es una traduccin idntica de la Norma
Internacional ISO 22301:2013 Societal Security - Business continuity management systems
requirements. El comit nacional responsable de esta Norma Tcnica Ecuatoriana y de su
adopcin es el Comit Tcnico de Normalizacin del Servicio Ecuatoriano de Normalizacin
INEN. La traduccin ha sido desarrollada por el Equipo de Traduccin del INEN.
Para propsitos de esta Norma Tcnica Ecuatoriana se ha hecho el siguiente cambio editorial:
a) Las palabras esta Norma internacional han sido reemplazadas por esta norma nacional.
Para el propsito de esta Norma Ecuatoriana se indica que en el documento normativo nacional de
referencia, no existen documentos normativos referenciados.

ISO 2013 Todos los derechos reservados

INEN 2015
2015-xxx

ii

NTE INEN-ISO 22301

NDICE
Pgina
PRLOGO ....................................................................................................................................... 5
0 INTRODUCCIN
.................................................................................................... 6
0.1 Generalidades ......................................................................................................................... 6
0.2 El modelo "Planificar-Hacer-Verificar-Actuar" (PHVA)
.................................................. 6
0.3 Componentes del modelo PDCA en esta norma nacional
........................................... 8
1

OBJETO Y CAMPO DE APLICACIN

............................................................................. 8

NORMAS PARA CONSULTA

............................................................................................. 9

TRMINOS Y DEFINICIONES

.......................................................................................... 9

4 CONTEXTO DE LA ORGANIZACIN
........................................................................... 16
4.1 Entendimiento de la organizacin y de su contexto
.......................................................... 16
4.2 Entendimiento de las necesidades y expectativas de las partes interesadas
.................... 16
4.3 Determinacin del campo de aplicacin del sistema de gestin de la continuidad del negocio17
4.4 Sistema de gestin de la continuidad del negocio
.............................................................. 17
5 LIDERAZGO
................................................................................................................ 17
5.1 Liderazgo y compromiso...................................................................................................... 17
5.2 Compromiso de la direccin ................................................................................................ 17
5.3 Poltica ................................................................................................................................... 18
5.4 Funciones, responsabilidades y autoridad en la organizacin
.......................................... 19
6 PLANIFICACIN
........................................................................................................ 19
6.1 Acciones para cubrir riesgos y oportunidades ................................................................... 19
6.2 Objetivos de continuidad del negocio y planes para conseguirlos
.................................... 20
7 APOYO
........................................................................................................................ 20
7.1 Recursos
......................................................................................................................... 20
7.2 Competencia ......................................................................................................................... 20
7.3 Concienciacin ...................................................................................................................... 21
7.4 Comunicacin ....................................................................................................................... 21
7.5 Informacin documentada................................................................................................... 21
8 OPERACIN ....................................................................................................................... 22
8.1 Planificacin y control operacional..................................................................................... 22
8.2 Anlisis de impacto en el negocio y apreciacin del riesgo
............................................... 23
8.3 Estrategia de continuidad del negocio ................................................................................ 24
8.4 Establecimiento e implantacin de procedimientos de continuidad del negocio
........... 25
8.5 Pruebas y ensayos ................................................................................................................. 27
9 EVALUACIN DEL RENDIMIENTO
............................................................................. 28
9.1 Supervisin, medicin, anlisis y evaluacin
..................................................................... 28
9.2 Auditora interna .................................................................................................................. 29
9.3 Revisin de la direccin ....................................................................................................... 30
10 MEJORA .............................................................................................................................. 31
10.1 No conformidad y accin correctora .................................................................................. 31
10.2 Mejora continua ................................................................................................................... 32
BIBLIOGRAFA ............................................................................................................................. 33

ISO 2013 Todos los derechos reservados

INEN 2015
2015-xxx

iii

NTE INEN-ISO 22301

PRLOGO
ISO (Organizacin Internacional de Normalizacin) es una federacin mundial de organismos
nacionales de normalizacin (organismos miembros de ISO). El trabajo de preparacin de las
normas nacionales normalmente se realiza a travs de los comits tcnicos de ISO. Cada
organismo miembro interesado en una materia para la cual se haya establecido un comit tcnico,
tiene el derecho de estar representado en dicho comit. Las organizaciones internacionales,
pblicas y privadas, en coordinacin con ISO, tambin participan en el trabajo. ISO colabora
estrechamente con la Comisin Electrotcnica Internacional (IEC) en todas las materias de
normalizacin electrotcnica.
Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de
las Directivas ISO/IEC.
La tarea principal de los comits tcnicos es preparar normas internacionales. Los proyectos de
normas internacionales adoptados por los comits tcnicos se envan a los organismos miembros
para votacin. La publicacin como norma internacional requiere la aprobacin por al menos el
75% de los organismos miembros que emiten voto.
Se llama la atencin sobre la posibilidad de que algunos de los elementos de este documento
puedan estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificacin
de cualquiera o todos los derechos de patente.
La Norma ISO 22301 fue preparada por el Comit Tcnico ISO/TC 223 Seguridad de los
ciudadanos. Esta versin corregida de la Norma ISO 22301:2012 incorpora las siguientes
correcciones:
primera lista en 6.1 cambia de una lista numerada a una no numerada;
comas aadidas al final de una lista de elementos en 7.5.3 y 8.3.2;
elementos de bibliografa [19] y [20] separados, que estaban juntos en el original;
se ha ajustado el tamao de fuente en varios lugares.

ISO 2013 Todos los derechos reservados

INEN 2015
2015-xxx

iv

NTE INEN-ISO 22301

0 INTRODUCCIN
0.1 Generalidades
Esta norma nacional especifica los requisitos relativos al establecimiento y la gestin de un
Sistema de Gestin de la Continuidad del Negocio (SGCN) eficaz.
Un SGCN subraya la importancia de:
el entendimiento de las necesidades de la organizacin y de la necesidad de establecer la
poltica y los objetivos de continuidad del negocio;
la implantacin y la aplicacin de controles y medidas para gestionar la capacidad global de la
organizacin para hacer frente a incidentes disruptivos;
la supervisin y revisin del rendimiento y la eficacia del SGCN; y
la mejora continua basada en mediciones objetivas.
Un SGCN, como cualquier otro sistema de gestin, tiene los siguientes componentes
fundamentales:
a) una poltica;
b) personas con responsabilidades definidas;
c) procesos de gestin asociados a:
1) la poltica,
2) la planificacin,
3) la implantacin y la operacin,
4) la evaluacin del rendimiento,
5) la revisin por la direccin, y
6) la mejora,
d) un conjunto de documentos que proporcionan pruebas auditables; y
e) todos los procesos de SGCN relevantes para la organizacin.
La continuidad del negocio contribuye a constituir una sociedad con ms resiliencia. En el proceso
de recuperacin, puede ser necesario implicar en la organizacin a la comunidad en su conjunto y
al impacto del entorno ambiental y por tanto a otras organizaciones.
0.2 El modelo "Planificar-Hacer-Verificar-Actuar" (PHVA)
Esta norma nacional aplica el modelo "Planificar-Hacer-Verificar-Actuar" [conocido por sus siglas
en ingls PDCA (Plan-Do-Check-Act)] para planificar, establecer, implantar, operar, supervisar,
revisar, mantener, y mejorar de manera continua la eficacia del SGCN de una organizacin.
Esto asegura un grado de coherencia con otras normas relativas a sistemas de gestin, tales
como las Normas ISO 9001 Sistemas de gestin de la calidad, ISO 14001 Sistemas de gestin
ambiental, ISO/IEC 27001 Sistemas de gestin de la seguridad de la informacin, ISO/IEC 200001 Tecnologa de la informacin. Gestin del servicio e ISO 28000 Especificacin para los sistemas
de gestin de la seguridad para la cadena de suministro, lo que permite un apoyo coherente y una
implantacin y un funcionamiento integrados con los sistemas de gestin asociados.
ISO 2013 Todos los derechos reservados
INEN 2015
2015-xxx

NTE INEN-ISO 22301

La figura 1 muestra cmo un SGCN toma como entradas a las partes interesadas, los requisitos
de la gestin de la continuidad y, a travs de las acciones y los procesos necesarios, produce
resultados de la continuidad (es decir, continuidad del negocio gestionada) que cumplen esos
requisitos.

Figura 1 Modelo PDCA aplicado a procesos de SGCN

Tabla 1 Explicacin del modelo PDCA
Planificar
(Establecer)

Hacer
(Implantar y operar)
Verificar
(Supervisar y revisar)

Actuar
(Mantener y mejorar)

Establecer la poltica de continuidad del negocio, los objetivos, las

metas, los controles, los procesos y los procedimientos necesarios para
mejorar la continuidad del negocio con el fin de obtener resultados
acordes con las polticas y objetivos generales de la organizacin.
Implantar y operar la poltica, los controles, los procesos y los
procedimientos de continuidad del negocio.
Supervisar y revisar el rendimiento segn los objetivos y la poltica de
continuidad del negocio, informar de los resultados a la direccin de la
organizacin para su revisin, y determinar y autorizar las medidas para
su correccin y mejora.
Mantener y mejorar el SGCN mediante la aplicacin de medidas
correctoras, basadas en los resultados de la revisin por la direccin de
la organizacin, y reevaluando el alcance del SGCN y la poltica y los
objetivos de continuidad del negocio.

0.3 Componentes del modelo PDCA en esta norma nacional

Como muestra la tabla 1, en el modelo Planificar-Hacer-Verificar-Actuar los captulos 4 al 10 de
esta norma nacional tratan los asuntos siguientes.
El captulo 4 es una parte del trmino Planificar. Introduce los requisitos necesarios para
establecer el contexto del SGCN tal como se aplica a la organizacin, as como las necesidades,
requisitos y alcance.
ISO 2013 Todos los derechos reservados
INEN 2015
2015-xxx

vi

NTE INEN-ISO 22301

El captulo 5 es una parte del trmino Planificar. Resume los requisitos especficos de la funcin
de la alta direccin en el SGCN, y la manera en que sta comunica sus expectativas a la
organizacin mediante la declaracin de la poltica.
El captulo 6 es una parte del trmino Planificar. Describe los requisitos relativos al
establecimiento de los objetivos estratgicos y de los principios de gua para el SGCN en su
conjunto. El contenido del captulo 6 no consiste en establecer soluciones para el tratamiento de
los riesgos observados de la apreciacin del riesgo, ni del anlisis de impacto en el negocio (BIA)
derivado de los objetivos de recuperacin.
NOTA Los requisitos relativos al anlisis de impacto en el negocio y al proceso de evaluacin del riesgo se detallan en el
captulo 8.

El captulo 7 es una parte del trmino Planificar. Apoya las operaciones del SGCN relativas a la
determinacin de las competencias y al establecimiento de comunicaciones con las partes
interesadas sobre una base recurrente/por necesidad, a la vez que se documenta, controla,
mantiene y conserva la documentacin requerida.
El captulo 8 es una parte del trmino Hacer. Define los requisitos relativos a la continuidad del
negocio, determina la manera de tratar y desarrollar los procedimientos para gestionar un
incidente disruptivo.
El captulo 9 es una parte del trmino Verificar. Resume los requisitos necesarios para medir el
rendimiento de la gestin de la continuidad del negocio, la conformidad del SGCN con esta
norma nacional y con las expectativas de la direccin, y busca retornos de informacin relativa a
las expectativas desde la direccin.
El captulo 10 es una parte del trmino Actuar. Identifica y acta sobre las no conformidades del
SGCN por medio de acciones correctoras.

2015-xxx

ISO 2013 Todos los derechos reservados

INEN 2015
vii

Proteccin y seguridad de los ciudadanos. Sistema de Gestin de la

Continuidad del Negocio (SGCN). Especificaciones
1. OBJETO Y CAMPO DE APLICACIN
Esta norma nacional sobre la gestin de la continuidad del negocio, especifica los requisitos para
la planificacin, el establecimiento, la implantacin, la operacin, la supervisin, la revisin, el
mantenimiento y la mejora continua de un sistema de gestin documentado, a fin de que el
negocio est protegido contra incidentes disruptivos, as como reducir la probabilidad de
ocurrencia de stos, estar preparado contra, responder a, y recuperarse de ellos cuando se
presentan.
Los requisitos especificados en esta norma nacional son genricos y estn previstos para ser de
aplicacin a todas las organizaciones, o partes de ellas, con independencia del tipo, tamao y
naturaleza de la organizacin. La amplitud de la aplicacin de estos requisitos depende del
entorno de operacin de la organizacin y de la complejidad de sta.
Esta norma nacional no pretende establecer una estructura uniforme para un sistema de gestin
de la continuidad del negocio (SGCN), sino que una organizacin disee un SGCN que sea
apropiado a sus necesidades y que cumpla los requisitos de sus partes interesadas. Estas
necesidades se modelan segn requisitos legales, reguladores, organizacionales e industriales,
los productos y servicios, los procesos utilizados, el tamao y estructura de la organizacin, y los
requisitos de las partes interesadas.
Esta norma nacional es aplicable a todos los tipos y tamaos de organizaciones que deseen:
a) establecer, implantar, mantener y mejorar un SGCN;
b) asegurar la conformidad con la poltica de continuidad del negocio declarada;
c) demostrar a otros esta conformidad;
d) obtener la certificacin/registro de su SGCN por un organismo de certificacin de tercera parte
acreditado; o
e) realizar una autodeterminacin y autodeclaracin de conformidad con esta norma nacional.
Esta norma nacional se puede utilizar para evaluar la capacidad de una organizacin para cumplir
sus propias necesidades y obligaciones de continuidad.

2. REFERENCIAS NORMATIVAS
Esta norma no requiere de otras para su aplicacin.

3. TRMINOS Y DEFINICIONES
Para los fines de esta norma, se aplican los trminos y definiciones siguientes:
3.1
actividad
proceso o conjunto de procesos realizados por una organizacin (o en su nombre) que producen a
dan apoyo a uno o varios productos y servicios.
EJEMPLO
En tales procesos se incluye la contabilidad, los centros de llamadas, la tecnologa de la informacin (TI), la
fabricacin, la distribucin.

2015-xxx

ISO 2013 Todos los derechos reservados

INEN 2015
1 de 26

INFORMACIN COMPLEMENTARIA
Documento:

TTULO: PROTECCION Y SEGURIDAD DE LOS

NTE INEN-ISO 22301 CIUDADANOS. SISTEMA DE GESTIN DE LA
CONTINUIDAD DEL NEGOCIO (SGCN).
ESPECIFICACIONES

Cdigo: ICS
03.100.01

ORIGINAL:

REVISIN:

Fecha de iniciacin del estudio:

La Subsecretara de la Calidad del Ministerio de Industrias

y Productividad aprob este proyecto de norma

2014-10-01

Oficializacin con el Carcter de

por Resolucin No.
publicado en el Registro Oficial No.
Fecha de iniciacin del estudio:
Fechas de consulta pblica:
Subcomit Tcnico de:
Fecha de iniciacin:

Fecha de aprobacin:

Integrantes del Subcomit:

NOMBRES:

INSTITUCIN REPRESENTADA:

Otros trmites:
La Subsecretara de la Calidad del Ministerio de Industrias y Productividad aprob este proyecto de
norma
Oficializada como:

Por Resolucin No.

Registro Oficial No.

Servicio Ecuatoriano de Normalizacin, INEN - E8-29 Baquerizo Moreno y Ave. 6 de diciembre

Casilla 17-01-3999 - Telfs: (593 2)2 501885 al 2 501891 - Fax: (593 2) 2 567815
Direccin Ejecutiva: E-Mail: direccion@normalizacion.gob.ec
Direccin de Normalizacin: E-Mail: normalizacion@normalizacion.gob.ec
Regional Guayas: E-Mail: inenguayas@normalizacion.gob.ec
Regional Azuay: E-Mail: inencuenca@normalizacion.gob.ec
Regional Chimborazo: E-Mail: inenriobamba@normalizacion.gob.ec
URL:www.normalizacion.gob.ec