NORMA TCNICA NTC

COLOMBIANA 5722
2012-10-31

CONTINUIDAD DE NEGOCIO.
SIST GESTIN DE CONTINUIDAD DE
NE

E: BUSINESS

ENCIA: esta (rDr)

por nofma tso
22301

contn continuidad de
sistemas de
de la sociedad.

LC.S.: 03.100.01

Edtada por el lnstituto Colombano de Normas Tcnicas y Cerlificacn (ICONTEC)

Aparlado 14237 Bogot, D.C. - Tel. (571) 6078888 - Fax (571) 2221435

Prohibida su reproduccin Prrera aclualzackin

Edtada 2012-1 1-09
 PRLOGO

El lnstituto Colombiano de Normas Tcnicas y Certificacin, ICONTEC, es el organismo

nacional de normalizacin, segn el Decreto 2269 de 1993.

ICONTEC es una entidad de carcter privado, sin nimo de lucro, cuya Misin es fundamental
para brindar soporte y desanollo al productor y proteccin al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del pas, para lograr ventajas competitivas en
los mercados interno y extemo.

La representacin de todos los sectores involucrados en el proceso de Normalizacin Tcnica

est garantizada por los Comits Tcnicos y el perodo de Consulta Pblica, este ltimo
caracterizado por la participacin del pblico en general.

La NTC 5722 (Primera actualizacin) fue ratificada por el Consejo Directivo de 2012-10-31
Esta norma est sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.

A continuacin se relacionan las empresas que colaboraron en el estudio de esta norma a

travs de su participacin en el Comit Tcnico 205. Continuidad de Negocio

BANCO AGRARIO DE COLOMBIA EMPRESAS PBLNAS DE MEDELLIN PIVI.

BANCO BOGOT HELM BANK S.A.
BANCO COLPATRIA MULTIBANCA IBM COLOMBIA
COLPATRIA S.A. INSTITUTO DISTRITAL DE TURISMO
BANCO CORPBANCA COLOMBIA INTEK S. A.
BANCO DE LA REPBLICA ISOLUCIONES LTDA.
BANCO GNB SUDAMERIS ITEAM LTDA.
BANCOLDEX OCCIDENTAL DE COLOMBIA, NC
BAVARIA S.A. SMART IT SOLUTIONS CONSULTORS
COMPAA FINANCIAMIENTO TUYA S.A. THOMAS MTI
CONSEJO COLOMBIANO DE SEGURIDAD WILLIS COLOMBIA S.A.
DEL]MA MARSH COLOMBIA

Adems de las anteriores, en Consulta Pblica el Proyecto se puso a consideracin de las

siguientes empresas:

ACH DE COLOMBIA BANCAMIA S.A.

AEROVAS DEL CONTINENTE BANCO AGRARIO DE COLOMBIA S.A.
AMERICANO S.A. - AVIANCA S.A. - BANCO AV VILLAS
AJOVER S.A BANCO CAJA SOCIAL
AON COLOMBIA S.A - CORREDORES DE BANCO COLPATRIA MULTIBANCA
SEGUROS COLPATRIA S. A.
ASOCIACIN BANCARIA Y DE BANCO DAVIVIENDA S.A-
ENTIDADES FINANCIERAS - BANCO DE BOGOTA
ASOBANCARIA - BANCO DE LA REPBLICA
ASOCIACIN LAT]NOAMERICANA DE BANCO DE OCCIDENTE
CONTINUIDAD - ALCONT - BANCO FALABELLA COLOMBIA S. A.
BANCO GNB SUDAMERIS ESCUELA COLOMBIANA DE INGENIERA
BANCO PICHINCHA S.A JULIO GARAVITO
BANCO PROCREDIT COLOMBIA S.A. ETEK INTERNATIONAL COLOMBIA
BANCO SANTANDER COLOMBIA S.A. FNAMRICA S.A
BANCOLDEX S.A. GESTN & ESTRATEGIA S.A.S.
BANCOLOMBIA S.A. HELM BANK S.A.
BAVARIA S. A. HSBC COLOMBIA S.A.
BBVA COLOMBA ]NST]TUTO D]STR]TAL DE TURISMO
BNP PARIBAS COLOMBIA CORPORACIN NTEK DE COLOMBIA S. A.
FINANCIERA ITEAM LTDA.
BOLSA DEVALORES DE COLO KPMG
CENTRO COMERCIAL CH TCNICO DE INFORMACIN
CITIBANK COLOMBIA S.A.
CJE SUPPLIES LTDA. DE COLOMBIA S.A.
COMPAA DE DE COLOMBIA INC
s. A. (ANTES SUF NACIONAL DE
CONCALIDAD DE COLOMBIA
CONSEJO EN DEPORTE
CREDIFAM
CRUZ

ULTORS
DE VALORES S.A.

SALUD
COLOMBIA
S.A.
THOMAS
E.S.P UNE EPM ONES S. A.
ENLACE O WILLIS CORREDORES DE
SEGUROS

ICONTEC cuenta e.on un a disposicin de los interesados

normas intemacionales, relacionados.

DIRECCIN DE NORMALIZACIN
NORMA TCNCA COLOMBIANA NTG 5722 (Primera actualizacin)

CONTENIDO

Pgina
0. INTRODUCCN

0.1 GENERALIDADES

0.2 EL MODELO PLANEAR- HACER- VER|F|CAR- ACTUAR (PHVA)

0.3 COMPONENTES DEL PHVA EN ESTA NORMA

1. ALCANCE I

2. REFERENCIAS NORMATIVAS ..2

3. TRi,|INOS Y DEFINICIONES .2

4. GoNTEXTO DE LA ORGANIZAC|N............. ....................8

4.1 DESCRIPCIN OC LA ORGANIZAGN Y SU CONTEXTO.......... ........8

4-2 ENTENDIENDO LAS NECESDADES Y EXPECTATVAS DE

LAS PARTES !NTERESADAS............ ............_e

4.t DETERMINAR ELALCANCE DEL SISTEMA DE GESflN .9

4.4 SISTEMA DE GESilN DE CONTINUIDAD DE NEGOCIO

5. LTDERAZGO ...........10

5.1 GENERAL|DADES............. ........10

5.2 COMPROMTSO DE LA ALTA D|RECC|N .......................10

5.3 POL|TICA ...............11

5.4 ROLES, RESPONSABILIDADES Y AUTORDADES .......12

6. PLAN|FTCACTN.............. ..........12

6.1 ACCTONES PARA DTRECCTONAR RESGOS y OPORTUN|DADES......................12

NORMATCNICACOLOMBIANA NTC5722 (Primeraac{ualizacin)

Pgina

6.2 OBJETIVOS DE CONTINUIDAD DE NEGOCIOY PLANESPARA

ALCANZARLOS... 12

7. RECURSOS.. 13

7.1 GENERALIDADES... 13

7_2 COMPETENCIA.... I3
7-3 TOMA DE 13

7.4 coM 14

7.5 DOCUME 14

I 16

I 16

8.2 IMP YVALO 16

8.3 DE NEGOCIO_............ 17

8.4 EDIMIENTOS
t8
8.5 EJERCTCTOS Y ...21

9. EVALUACIN DE ...22

9.1 SEGUIMIENTO, ...22

9.2 AUDITORA INTERNA......... ..23

9.3 REV|SIN POR LA DIRECCN ..24

10. MEJORA.....

10.1 NO GONFORMTDAD y ACC|N CORRECTwA ...............26

10.2

DOCUMENTO DE REFERENCIA .28

 -l

-t

NORMATCN|GACOLOMB|ANA NTC5722(Primeraactualizacin)

Pgina

.27

Tabla l. Explicacin del modelo de PHVA

J
NoRMATcNrcA coLoMBIANA NTc 5722 (Primera actualizacin)

O. INTRODUCCIN

O.I GENERALDADES

Esta norma especifica los requisitos para la creacin y gestin de un Sistema de Gestin de
Continuidad de Negocio (BCMS, por ingls) efectivo.

Un BCMS hace nfasis en la

Entender las de establecer una gestin

de Continuidad de

lmplementar operar la capacidad generalde

una

y revisin

basado en m

EI de gestin, sigu claves

a)

b) definidas;

c)

1)

2) Planeacin,

3) lmplementacin y

4) Evaluacin de

5) Anlisis de la gestin, y

6) Mejoramiento.

d) Documentacin que proporcione evidencia auditable;y

e) Cualquier proceso de gestin de la continuidad de negocio pertinente para la organizacin.

La Continuidad de Negocio contribuye a una sociedad con mayor resiliencia. La comunidad en

general y el impacto del ambiente organizacional en la organizacin y en otras organizaciones,
podran estar involucrados en el proceso de recuperacin
NORMATCN|GA COLOMBIANA NTC 5722 (Primera actualizacin)

o-2 EL MODELO PLANEAR- HACER-VERIFTGAR-ACTUAR (PHVA)

Esta norma aplica el modelo "Planear-Hacer-Verificar-Actuaf (PHVA) para planear,

establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente la
eficacia de un sistema de gestin de Continuidad de Negocio en la organizacin.

Esto asegura un cierto grado de coherencia con otras normas de sistemas de gestin, tales
como la norma NTC-ISO 9001 Sistema de Gestin de Calidad, NTC-ISO 14001, Sistema de
Gestin Ambiental, NTC-ISO-IEC 27001 Sistema de Gestin en Seguridad de la lnformacin,
ISO-1EC20000-1 Gestin de servicios, y la norma NTC-ISO 28000 Sistema de Gestin de
Seguridad para la Cadena de Suministro, apoyando, de este modo, que la implementacin y
operacin sean consistentes e integradas con los sistemas de gestin relacionados.

La Figura 1 ilustra cmo un BCMS toma como entradas las partes interesadas y los requisitos
para la gestin de la continuidad y a travs de las acciones y prooesos necesarios, produce
resultados de la Continuidad de Negocio (gestin de Continuidad de Negocio) que cumplen con
esos requisitos.

Mera contnua del Sistema de Gestin de

Continuidad de Negocio (SGCN)

Partes
nteresadas
-)
Establecer
(planear) -+ Partes
interesadas

Mantener lmplementar
y merar y operaf
(actuar) (hacer)

Requisitos para
continuidad de
negocio -f
Monitorear
y revisar
(verificar) + Continuidad de
negocro
gestionada

Figura l. Giclo PHVA apcado a los procesos de BCfilS

NoRMATcNrcAcoLoMBlANA NTc5722 (Primeraac'tualizacin)
Tabla 1. Explicacin del modelo de PHVA

Establecer poltica, objetivos, metjas, contoles, procesos y procedimientos de

Planear (Establecer)
Hacer (lmplementar y operar)
Verificar (Monitorear y revisar)
Actuar (Mantener y mejorar)
conlinuidad de negocio pertnentes para mejorar la continuidad de Negocio,
con el fin, de entregar resultados que se alineen con todos los objetivos y
oolticas de la orqanizacin
lmplementar y operar la poltica, conloles, procesos y procedimientos de
Continuidad de Neoocio
Monitorear y revisar el desempeo contra la poltica y los objetivos de
continuidad de negocio, reportar los resultados a la Direccin para la revisin,
v determinar v autorizar las acciones para la reoaracin v meioramento
Mantener y mejorar el BCMS tomando accin conectiva, basada en los
resultados de la revisin por la Direccin y la revalorizacin del objeto del
BCMS v la oolfiav los obietivos de connuidad de neoocio

0.3 COMPONENTES DEL

En el modelo PHVA como el numeral 4 al numeral 10 de esta

norma se cubren los sig

El numeral requisitos necesarios para

cntexto del ala as como las
sitos y a

un componente del isitos especficos

alta direccin en el expectativas a
io de la

del Planear de lo que

de objetivos el BCMS
de la numeral 6 difiere de plan del
de la continuidad,
el negocio (BlA, en ingls) de los

Es soporte operaciones del BCMS lo

que se la comunicacin de forma
peridica o interesadas, al mismo tiempo
documentar, n requerida

NOTA Los requisitos para el de valoracin del riesgo son detallados

en el numeral I
El numeral I es un En l se definen los requisitos de
Continuidad de Negocio, la forma de abordarlos y desanolla los
procedimientos para administrar un incidente perjudicial

El numeral 9 es un componente del Verificar. En l se resumen los requisitos necesarios

para medir el rendimiento de la Continuidad de Negocio, el cumplimiento del BCMS con
la norma y sus expectativas de gestin y busca una retroalimentacin del sistema
respecto a las expectativas.

El numeral 10 es un componente del Actuar. Se identifica y acta sobre las no

conformidades del BCMS a travs de una accin conectiva.
NORMATcNcACOLOMBIANA NTC5722(Primeraactualizacin)

CONTINUIDAD DE NEGOCIO.
SSTEMAS DE GESTIN DE CONTINUIDAD DE NEGOCO.
REQUISITOS

1. ALCANCE

Esta norma para la gestin de Continuidad de Negocio especifica los requisitos para planificar,
establecer, implementar, operar, supervisar, revisar, mantener y mejorar continuamente un
sistema de gestin documentado para protegerse, reducir la probabilidad de ocunencia,
prepararse, responder y recuperarse de los incidentes perjudiciales que puedan surgir.

Los requisitos especificados en esta norma son genricos y se pretende que sean aplicables a
todas las organizaciones o partes de las mismas, independiente del tipo, tamao y naturaleza
de la organizacin. El grado de aplicacin de estos requisitos depende del entomo operativo de
la organizacin y su complejidad-

No es la intencin de esta norma proporcionar uniformidad en la estructura de un BCMS, sino

para que una organizacin disee un BCMS que sea apropiado para sus necesidades y que
cumpla con los requisitos de sus partes interesadas; stas necesidades estn determinadas
por los requisitos legales, regulatorios, organizacionales, y de la industria, los productos y
servicios, los procesos empleados, el tamao y la estructura de la organizacin y los requisitos
de sus partes interesadas.

Esta norma es aplicable a todos los tipos y tamaos de las organizaciones que desean:

a) Establecer, implementar, mantener y mejorar un BCMS

b) Garantizar la conformidad con la poltica establecida de la Continuidad de Negocio.

c) Demostrar la conformidad con otros.

d) Buscar la certificacin/ registro de su BCMS por un organismo acreditado de

certificacin de terceros, o

e) Hacer una auto-determinacin y autodeclaracin de conformidad con esta norma.

Esta norma puede ser utilizada para evaluar la capacidad de una organizacin de satisfacer
sus necesidades de continuidad propia y obligaciones.

1de28
NORiIATCNlcACoLoMBIANA NTc5722(Primeraactualizacin)

2. REFERENCIAS NORMATVAS

Los siguientes documentos normativos referenciados son indispensables para la aplicacin de

este documento normativo. Para referencias fechadas, se aplica nicamente la edicin citada.
Para referencias no fechadas, se aplica la ltima edicin del documento normativo referenciado
(incluida cualquier correccin).

No hay referencias normativas.

3. TRMINOS Y DEFINICIONES

Para el propsito de este trminos y definiciones aplican:

3.1 Actividad. Tarea o una organizacin (o en su nombre)

que produce o apoya uno o

EJMPLO Los procesos de

3.2 Auditora. para obtener evidencia de

auditora y eva de manera en que los criterios de
la auditora

NOTA I puede ser una auditora o una (segunda o tercera

parte) auditora combinada

y "criterios de en

de la entrega de

3.4 Proceso de que identifica las

amenazas impactos amenazas podran
causar a las cuales proporcionan un
marco para la cn la capacidad de una
respuestra efectiva que sus partes interesadas clave, su
reputacin, marca y las

3.5 Sistema de Gestin de (BCMS, por sus siglas en ingls).

Parte del sistema general de implementa, opera, monitorea, revisa,
mantiene y mejora la Continuidad

NOTA El sistema de gestin incluye la organizativa, las polticas, actividades de planificacin,

responsabilidades, procedimientos, procesos y recursos

3.6 Plan de Continuidad de Negocio. Procedimientos documentados que guan a las

organizaciones para responder, recuperar, reanudar y restaurar a un nivel pre-definido de
operacin debido a la nterrupcin.

NOTA Tfpicamente, esto inclu los recursos, servicios y actividades necesarios para garantizar la continuidad de
las funciones crticas del negocio.

2
NORMA TCNrcA COLOMBANA NTC 5722 (Primera actualizacin)

3.7 Programa de Gontinuidad de Negocio. Proceso contino de gestin y la gobemabilidad

con el apoyo de la alta direccin y los recursos adecuados para implementar y mantener la
gestin de la Continuidad de Negocio.

3.8 Anlisis del impacto al negocio. Proceso del anlisis de actividades y el efecto que una
intemrpcin del negocio podra tener sobre ellas.

[Fuente: ISO 22300]

3.9 Gompetencia. Gapacidad de aplicar conocimientos y habilidades para alcanzar los

resultados previstos.

3.10 Gonformidad. Cumplimiento de un requisito

[Fuente: ISO 22300

3.ll Meioramiento continuo. Actividad peridica para mejorar eldesempeo.

[Fuente: ISO 22300]

3.12 Correccin. Accin para eliminar una no conformidad detectada

[Fuente: ISO 22300]

3.13 Accin correetiva. Medidas para eliminar la causa de una no conformidad y para prevenir
la recunencia.

NOTA En el caso de otros resultados indeseados, la acckin es necesaria para minimizr o eliminar la causa y
reducir el impacto o prevenir la recunencia. Tales acciones estn fuera del concepto de 'accin conec{iva' en el
sentido de esta definicin

[Fuente: ISO 22300]

3.14 Documento. lnformacin y su medio de soporte.

NOTA I
El medio puede ser papel, disco magntico, ptico o electrnico, fotografia o muesba maesba, o una
combinacin de los mismos.

NOTA 2 Un conjunto de documentos, por ejemplo especificaciones y registros, se denominan "documentacin"

3-15 lnformacin documentada. lnformacin requerida para ser controlada y mantenida por
una organizacin y el medio en el que est contenido.

NOTA 1 lnbrmacin documentada puede ser en cualquier brmato y los medios de comunicacin de cualquier
fuente.

NOTA 2 La informacin documentada se puede referir a.

- El sistema de gestin, incluyendo los procesos relacionados;

- La informacin creada por la organizacin con el fin de operar (la documentacin);

- La evidencia de los resultados obtenidos (regisos).

3.16 Eficacia. Nivel en el cual las actividades planeadas son realizadas y los resultados
planeados son alcanzados

[Fuente: lSO 22300]

3
NoRMATcNrcA coLoMBIANA NTC 5722 (Primera actualizacin)

3.17 Evento. Ocunencia o cambio de un conjunto particular de circunstancias.

NOTA 1 Un evento puede ser una o ms ocurrencias, y puede tener varias causas

NOTA 2 Un evento puede ser algo no ocurrido.

NOTA 3 Un evento puede ser algunas veces referido como un "incidente" o "accidente'

NOTA 4 Un evento sin consecuencias tambin puede ser referido como "casi falla", "incidente", "casi golpe', 'close
call".

[Fuente: ISOilEC Guide 73]

3.18 Ejercicio. Proceso para , practicar y mejorar el desempeo en una
organizacin.

NOTA 1 Los ejercicios pueden planes, procedimientos, entrenamientos,

equipamiento y otros acuerdos el personal en roles y responsabilidades;
mejorar la coordinacin y brechas en los recursos; mejorar el
desempeo individual; e controlada para prcticar la
improvisacin.

NOTA2 Una un nico y una expectativa enfe una

aprobacin o no, que hace est siendo planeado.

[Fuente: I

3.19 que sera o podra emergencia o

equipos y para el

3.21 que puede

afectar, ser como afectada decisin o actividad

NOTA Esto puede inters en decisin o actividad de una

organizacin

3.22 Auditora intema. de la propia organizacin de

revisin de la gestin y podran servir de base para una
organizacin de

NOTA En muchos casos, pequeas, la ndependencia puede ser demostrada

por la libertad de la responsabilidad de la auditora.

3.23 Activacin. Acto de declarar que los acuerdos de la organizacin de Continuidad de

Negocio deben llevarse a la prctica con el fn de continuar la entrega de productos o servicios
clave.

3.24 Sistema de gestin. Conjunto de elementos interrelacionados o que interactan de una

organizacin para establecer polticas y objetivos, y los procesos para alc,anzar dichos
objetivos.

NOTA 1 Un sstema de gestin puede abordar una sola disciplina o varias disciplinas.

4
NORMA TCNrcA COLOMBIANA NTC 5722 (Primera actualizacin)

NOTA 2 Los elementos del sistema son la estructr.rra de la organizacirin, funciones y responsabilklades,
planifi cacin, operacin, etc.

NOTA 3 El mbito de aplicacin de un sistema de gestin puede incluir la totalidad de la organizacin, funciones
concretas e identificadas de la organizacin, las secciones especllcas e identficadas de la organizacin, o una o
ms funciones a travs de un grupo de las organizaciones.

3.25 lnterrupcin mxima aceptable (MAO, por sus sglas en ngs). El tiempo que tomara
para que los efectos adversos que pudieran ocurrir como resuftado de no proporconar un
producto / servicio o realizar una actvidad, se conviertan en inaceptable.

NOTA Vase tambin el periodo mximo tolerable de interrupcin.

3.26 Periodo mxmo tolerable de intemrpcin (tlTPD, por sus sglas en ingls). Eltiempo
que tomara para que los efectos adversos que pudieran ocurir como resultado de no
proporconar un producto / servicio o realizando una actividad, para convertirse en inaceptable.

NOTA Vase tambin lntemlpcin mxima aceptable.

3.27 Medicin. Proceso para determinar un valor.

3.28 Obietivo mnmo de Gontinuidad de Negocio (MBCO, por sus siglas en ingls). Nivel
mnimo de servicios o productos que sea aceptable para la organizacin para lograr su objetivo
de negocio durante una intemrpcin.

3.29 Seguimiento. Determinar el estado de un sistema, un prooeso o una actividad.

NOTA Para determinar el estado puede haber una necesidad de conholar, supervisar y observar crfticamente.

3.30 Acuerdo de ayuda mutua. Preaneglo entendido entre dos o ms entidades para prestar
asistencia entre ellos.

[Fuente: ISO 22300]

3.31 No conformidad. lncumplimiento de un requisito.

[Fuente: ISO 22300]

3.32 Obietivo. Resultado a lograrse.

NOTA 1 Un objetivo puede ser estratgico, tctico u operativo.

NOTA 2 Los objetivos se pueden relacionar con dbrentes disciplinas (tales como metas financieras, de salud,
seguridad y ambientales) y se pueden aplicar en diferentes niveles (tales como estratgico, para toda la
organizacin, para proyectos, productos y procesos (3.1.2)).

NOTA 3 Un objetivo se puede expresar de otras maneras, por ejemplo, cor un resultado prevsto, un propsito, un
criterio operativo, un objetivo de seguridad de la sociedad, o mediante el uso de palabras con un significado similar
(por ejemplo, fin, meta o destino).

NOTA 4 En el contelto de norrnas de sistemas de gestion de segurirlad de la sociedad, la organizacin establece los
objetivos de seguridad de la sociedad, en concordancia con la poltica de seguridad de la sociedad, para lograr
resultados especfi cos.

3.33 Organizacn. Persona o grupo de personas con funciones y responsabilidades propas,

autoridades y relaciones para alcanzar sus objetivos.

NOTA 1 El concepto de organizacin incluye, pero no se limita a la compaa, corporacin, firma, empresa,
autoridad, asociacin, instifucin, parte o combinacin de los mismos, ya sea incorporada o no, pblica o privada.

5
NORMATCNTCACOLOMBIANA NTC5722(Primeraactualizacin)

NOTA 2 Para las organizaciones con mas de una operacin de negocio, una sola unidad puede ser definida
como una organizacin.

3.34 Subcontratar. Hacer un arreglo donde una organizacin externa rcaliza parte de la
funcin o prooesos de una organizacin.

NOTA Una organizacin e.tema est fuera del alcance del sistema de gestin, aunque la funcin compartida o
proceso tercerisado est dentro del mbito de aplicacin.

3.35 Desempeo. Resultado medible.

I
NOTA El desempeo se puede relacionar bien sea con los resultados cuantitativos o cualitativos.

NOTA2 El desempeo puede las actvdades, procesos, productos (incluidos los

servicios), los sistemas u organzaciones.

3.36 Evaluacn del de resultados medibles.

3.37 Personal. Personas de la organizacin.

NOTA EI personal personal a tiempo parcial y

personal de la

3.38 Pol globales y a la continuidad

se expresan

para una

o las cuales

3-41 na organizacin a
sus por ejemplo, seguros

3.42 Actividades debe prioridad despus de que ha

ocunido un incidente,
NOTA Algunos trminos dentro de este grupo incluyen: crtico,
esencial, vital, urgente y clave.

[Fuente: 1SO 22300]

3.43 Registro. Declaracin de obtenidos o evidencia de las actividades

ejecutadas

3.44 Punto Objetivo de Recuperacin (RPO, por sus siglas en ngls). Punto en el cual la
informacin usada por una actividad debe ser restaurada para permitir la reanudacin de la
operacin.

NOTA Tambin se puede denominar como "Prdida de datos mxima"

3.45 Tiempo objetivo de recuperacin (RTO, por sus siglas en ngls). Perodo de
tiempo despus de un incidente en el que:

6
NORMA TcNrcA COLOMBTANA NTc 5222 (Primera actuatizacin)

El producto o servicio debe ser reanudado, o

La actividad debe reanudarse, o

Los recursos deben ser recuperados.

NOTA Para los productos, servicios y actividades, el tiempo objetivo de recuperacin debe ser menor que el
tiempo que tomara para los efectos adversos que pudieran surgir como consecuencia de no proporcionar un
producto / servicio o la realizacin de una actividad para convertirse en inaceptable.

3.46 Requisito. Necesidad o expectativa establecida, generalmente implcita u obligatoria.

NOTA I "Generalmente implcita'significa que se tata de una costumbre o pctica comn para la organizacin
y las partes interesadas que la necesidad o expec,tatt'va bajo consideracin est implcita.

NOTA 2 Un requisito especificado es aquel que se dice, por ejemplo, en inbrmacin documentada.

3.47 Recursos. Todos los activos, recursos humanos, conocimientos, informacin, tecnologa
(incluidas las instalaciones y equipos), locales, y suministros e informacin (ya sean o no
electrnicos) que una organizacn tiene que tener disponibles para su uso, cuando sea
necesaro, con el fn de operar y cumplir con su objetivo.

3.48 Riesgo. Efecto de la incertidumbre sobre los objetivos.

NOTA I Un efucto es una desviacin de aquello que se espera, sea positivo, negativo o ambos.

NOTA 2 Los objetivos pueden referirse a diferentes disciplinas (como la salud financiera, la seguridad, y las
metas ambientales) y puede aplicarse a distintos niveles (como estratgico, toda la organizacin, proyecb, producto
y proceso). Un objetivo se puede expresar de otras maneras, por ejemplo, como resultado que se pretende, un
propsto, un criterio opemtivo, como la Continuidad de Negocio objetivo o por el uso de otras palabras de
significado similar (por ejemplo objetivo, meta o destino).

NOTA3 El riesgo se caracteriza a menudo con relacin a los eventos potenciales (GTC 137, 3.5.1.3) y las
consecuencias (GTC 1 37,3.6.1.3), o una combinacin de stos.

NOTA 4 El riesgo se expresa a menudo en rminos de una combinacin de las consecuencias de un evento
(incluyendo los cambios en circunstancias) y la probabilidad asociada (GTC 137, 3.6.1.1) de que se produzca.

NOTA 5 La incertidumbre es el estado, incluso parcial, de la eficiencia de la inormacin relacionada con la

comprensin o conocimiento de un caso, su @nsecuencia, o la probabilidad.

NOTA 6 En el contexto de las normas de Continuidad de Negocio BCMS, los objetivos de ContinuirJad de
Negocio se establecen por la organizacin, en concordancia con la poltica de Continuidad de Negocio, para lograr
resultados especficos. Cuando se aplica el trmino riesgo y los componentes de la gestin del riesgo, esto debe
estar relacionado con los objetivos de la organizacin que incluyen, pero no se limitan a los objetivos de Continuidad
de Negocio tal como se especifica en el numeral 6.2.

[Fuente: Modificada de definicin 1.1 de GTC 13{

3.49 Apetito de riesgo. Es el nivel y tipo de riesgo que la organizacin est dispuesta a asumir

3.50 Valoracin del resgo. Proceso global de identificacin del riesgo, anlisis del riesgo y
evaluacin del riesgo.

[Fuente:GTC 134

3.51 Gestin del riesgo. Actividades coordinadas para dirigir y controlar una organizacin con
respecto al riesgo.

[Fuente: GTC 134

7
NORMA TcNrcA coLoMBIANA NTC 5722 (Primera actualizacin)

3.52 Prueba. Procedimiento para determinar la presencia, cualidad o veracidad de algo

NOTA 1 Evaluacin de una capacidad, en donde el resultado es de aprobacin/no aprobacin.

NOTA 2 La prueba se puede denominar "ensayo"

NOTA 3 La prueba se aplica con frecuencia a los planes de apoyo.

NOTA 4 La prueba debera comenzar con un sencillo ensayo de los componentes, para construir la prueba del
sstema.

lFuente: ISO 223001

3.53 Alta direccin. Persona o grupo que dirige y controla a una organzacin al
ms alto nivel
NOTA1 La alta direccin tiene y proporcionar los recursos denbo de la
organizacin.

NOA 2 Si el alcanc del de una organizacin entonces la alta

direccin se refiere a esos a

3.54 Verificacin. que los requisitos

especficos han

3.55 trabajo. Conjunto un trabajo es

factores fsicos, temperatura

y composicin

4.1 D YSUCO

La organizacin son pertinentes a su

propsito y los que de su BCMS.

Estos temas se tomarn y mantener el BCMS de la

organizacin.

La organizacin debe

a) Los procesos de la organ , servicios, productos, asociacones, cadenas

de suministro, las relaciones partes interesadas, y el impacto potencial
relaconado con un incidente perjudicial;

b) Las relaciones entre la poltica de Continuidad de Negocio y objetivos de la organizacin

y de otras polticas, como su estratega de gestin de riesgo global, y

c) Elapetito de riesgo de la organizacin.

Al establecer el contexto, la organizacin debe:

1) Articular sus objetivos, incluidos los relativos a la Continuidad de Negocio,

8
NORMATCNGA COLOMBANA NTC 5722 (Primera actualizacin)

2) Definir los factores externos e intemos que generan la incertidumbre que da lugar al
riesgo,

3) Establecer criterios de riesgo, teniendo en cuenta el apetito de riesgo, y

4l Definir el propsito del BCMS.

4.2 ENTENDIENDO LAS NECESIDADES Y EXPECTATVAS DE LAS PARTES

INTERESADAS

4.2.1 Generalidades

Cuando Se establece un BCMS la organizacin debe determinar:

a) Las partes interesadas que son pertinentes al BCMS, y

b) Los requisitos de estas partes interesadas (por ejemplo, si sus necesidades y

expectativas son establecidas, generalmente implcitas u obligatorias)

4.2.2 Requisitos legales y reglamentarios

La organizacin debe establecer, implementar y mantener un procedimiento(s) para identificar,

tener acceso a, y evaluar los requisitos legales y reglamentarios aplicables a la organizacin,
relacionados con la continuidad de sus operaciones, productos y servicios, as como los
intereses de las partes interesadas pertinentes.

La organizacin debe asegurarse de que estos requisitos legales aplicables, reglamentarios y

otros que la organizacin suscriba se tengan en cuenta para establecer, implementar y
mantener su BCMS.

La organizacin debe documentar esta informacin y mantenerla actualizada. Novedades o

modificaciones legales, regulatorias, y otros requisitos deben ser comunicados a los empleados
afectados y otras partes interesadas.

4.3 DETERTUINAR EL ALCANCE DEL SISTEMA DE GESNN DE CONTINUIDAD DE

NEGOCIO

4.3.1 Generalidades

La organizacin debe determinar los lmites y la aplicabilidad del BCMS para establecer su
alcance.

Al determinar el alcance del sistema de gestin, la organizacin debe considerar:

- Los aspectos intemos y extemos a que se refiere en el numeral 4.1 , y

- los requisitos mencionados en el numeral 4.2.

El alcance debe estar disponible como informacin documentada

4.3.2 Alcance del BCMS

La organizacin debe:

I
NORMATCNrcA COLOMBIANA NTC 5722 (Primera actualizacin)

a) Establecer las partes de la organizacin para ser incluidas en el BCMS,

b) Establecer los requisitos de BCMS, teniendo en cuenta la misin de la organizacin, los

objetivos, las obligaciones intemas y elernas (incluyendo aquellos relacionados con las
partes interesadas), y las responsabilidades legales y regulatorias,

c) ldentificar los productos, servicios y todas las actividades relacionadas con el alcance
del BCMS,

d) Tener en cuenta las necesidades de las partes interesadas y los intereses, tales como
clientes, inversionistas, accionistas, la cadena de suministro, la opinin del pblico y / o
de la comunidad y sus e intereses (segn conesponda),

e) Definir el alcance del ropiado para el tamao, la naturaleza y

complejidad de la

Al definir el alcance, la las exclusiones; cualquiera de

tales exclusiones no debe y la responsabilidad de
garantizar la de se encuentran en los requisitos del
BCMS, segn lo inado por la valoracn del riesgo y
los requisitos regulatorios

4.4 ESilN DE

La establecer, implementar, y mejorar

un los requisitos de v

5.

5.1

Las personas la organizacin deben

demostrar

EJEMPLO Este liderazgo y la motivacin y el empoderamiento de las

personas para contribuir a la

5.2 COMPROMISO DE

La alta direccin debe demostrar iso respecto aIBCMS:

Asegurando que las polticas son establecidos para el BCMS y son

cnmpatibles con la planeacin estratgica de la organizacin,

Asegurando la integracin de los requisitos del BCMS en los procesos del negocio de la
organizacin,

Asegurando que los recursos necesarios para el BCMS estn disponibles,

Comunicando la importancia de la gestin efectiva de la Continuidad de Negocio y

cnforme a las necesidades del BCMS,

Garantizando que el BCMS logre los resultados esperados,

10
NORMA TCNrcA COLOMBIANA NTc 5722 (Primera actualizacin)

Dando direccin y apoyo a las personas que contribuyen a la eficacia del BCMS,

Promoviendo la mejora continua, y,

Apoyando otros roles directivos pertinentes para demostrar su liderazgo y compromiso

cuando aplique en sus reas de responsabilidad

NOTA I La referencia "negocio" en esta norma es para interpretarse en el sentido amplio de aquellas actividades
que son fundamentales para los propsitos de la existencia de la organacin.

La alta direccin debe proporcionar evidencia de su oompromiso con el establecimiento,

implementacin, operacin, seguimiento, revisin, mantenimiento y mejora del BCMS:

- Estableciendo una poltica de Continuidad de Negocio,

Asegurando que los objetivos y planes de BCMS son establecidos,

Estableciendo roles, responsabilidades y competencias para la gestin de la continuidad

de negocio, y

Designando una o ms personas a ser responsables del BCMS con la autoridad

apropiada y competencias necesarias para la implementacin y mantenimiento del
BCMS.

NOTA2 Estas personas pueden tenerotras responsabilidades dentro de la organizacn.

La alta direccin debe asegurarse que las responsabilidades y autoridades para las funciones
pertinentes son asignadas y comunicadas dentro de la organizacin:

- Definiendo los criterios para la aceptacin de riesgos y los niveles de riesgo aceptables,

- Participando activamente en ejercicios y pruebas,

- Asegurando que las auditoras intemas del BCMS se llevan a cabo,

- Llevando a cabo la revisin por parte de la alta direccin del BCMS, y

- Demostrando su compromiso con la mejora continua.

5.3 POLTICA

La alta direccin debe establecer y comunicar una poltica de Continuidad de Negocio. La

poltica debe:

a) Ser adecuada para el propsito de la organizacin,

b) Proporcionar el marco para establecer objetivos de Continuidad de Negocio,

c) lncluir un compromiso para satisfacer los requisitos aplicables,

d) lncluir un compromiso de mejora continua del BCMS.

La poltica del BCMS debe:

- estar disponible como informacin documentada,

11
NORMATGNrcA COLOMBIANA NTC 5722 (Primera actualizacin)

ser comunicada dentro de la organizacin,

estar disponible para las partes interesadas, segn sea apropiado

ser revisada para su continua adecuacin a intervalos definidos y cuando se produzcan

cambios significativos.

La organizacin debe conservar informacin documentada sobre la poltica de Continuidad de

Negocio.

5.4 ROLES,RESPONSABILIDADESYAUTORIDADES

La alta direccin debe responsabilidades y autoridades para las

funciones pertinentes se asignen dentro de la organizacin.

La alta direccin debe asig para:

a) Asegurar que el conformidad con los requisitos de

esta norma, e,

b) lnformar el

6.

6.1

del SCGN, la aspectos

requisitos determinar
los ser dirigidas a:

a) lograr el (los) (s),

b) v

c) Lograr el

La organizacin debe

a) Las acciones para

b) Cmo:

1) lntegrar e implementar dentro de sus procesos de BCMS (vase

numeralS.l)

2) Evaluar la eficacia de stas aciones

6.2 OBJETIVOS DE CONTINUIDAD DE NEGOCIO Y PLANES PARAALCANZARLOS

La alta direccin debe asegurar que los objetivos de Continuidad de Negocio son establecidos
y comunicados para las funciones y niveles pertinentes dentro de la organizacin.

Los objetivos de Continuidad de Negocio deben:

12
NORMA TcNrcA COLOMBIANA NTc 5722 (Primera actualizacin)

a) Ser coherentes con la poltica de Gontinuidad de Negocio,

b) Tener en cuenta el nivel mnimo de productos y servicios que sea aceptable para que la
organizacin logre sus objetivos.

c) Ser medibles,

d) Tener en cuentia los requisitos aplicables, y

e) Controlarse y actualizarse segn conesponda.

La organizacin debe mantener informacin documentada sobre los objetivos de continuidad

de negocio.

Para lograr sus objetivos de Continuidad de Negocio, la organizacin debe determinar:

- Quien ser el responsable,

- Lo que se har,

- Qu recursos sern requeridos,

- Cuando sern completados, y,

- Cmo sern evaluados los resuttados.

7. REGURSOS

7.1 GENERALIDADES

La organizacin debe determinar y proporcionar los recursos necesarios para establecer,

implementar, mantener y mejorar continuamente el BCMS.

7.2 COiIPETENCIA

La organizacin debe:

a) Determinar las competencias necesarias del personal para hacer el trabajo que afecta
su desempeo,

b) Asegurarse que estas personas son competentes sobre la base de una educacin
adecuada, entrenamiento y experiencia,

c) Si aplica, tomar medidas para adquirir la competencia necesaria, y evaluar la eficacia de

las medidas adoptadas, y

d) Mantener informacin documentada apropiada como evidencia de la competencia

i.Ofe Las acciones aplicables pueden incluir, por ejemplo: la provsin de entrenamento para la tutora, o
cambio de destino de los empleados actuales, o la conbatacin de personas competentes.

7.3 TOIIIA DE CONCIENCIA

Las personas que realizan trabajos bajo el control de la organizacin deben ser concientes de:
13
NoRllATCNlcACOLOMB|ANA NTG5722(Primeraactualizacin)

a) La poltica de Continuidad de Negocio,

b) Su contribucin a la eficacia del BCMS, incluyendo los beneficios de la mejora del

desempeo de la Gestin de Gontinuidad de Negocio,

c) Las implicaciones de las no conformidades con los requisitos del BCMS' y

d) Su propio rol ante un incidente.

7.4 COMUNTCACTN

La organizacin debe determinar de comunicacin intema Y extema

conespondiente al BCMS,

a) sobre qu se

b) cuando comunicar

c) con quienes

La estiablecer, s) para

interna entre dentro de la

con los clientes, local,

incluyendo los

a las comun

sistema de alerta o regional,

uso operativo, si

comunrcacton un incidente,

Facilitar la competentes y garantizar la

interoperabilidad

Los ejercicios y nicacin destinado a ser utilizado

durante la interrupcin

NOTA Otros requisitos para la a un incidente se especifican en el numeral 8.4.3

7.5 NFORMACN OOCUmerut

7-5.1 Generalidades

El BCMS de la organizacin debe incluir:

La informacin documentada requerida por esta norma, y

La informacin documentada determinada por la organizacin como necesaria para la

eficacia de los BCMS.

NOTA El alcance de la infcrmacin documentada para un BCMS puede diferir de una organizacin a oba debido a:
14
NORMATCNlcACOLOMB|ANA NTC 5722(primera actuatizacin)

- El tamao de la organizacin y su tlpo de actividades, procesos, productos y servicios,

- La complejidad de los procesos y sus interacciones, y

- La competencia de las personas.

7.5.2 Creacin y actualzacn

Cuando se crea y actualiza la informacin documentada, la organizacin debe asegurar:

a) La identificacin y descripcin (por ejemplo, un ttulo, nombre, fecha, autor, nmero), y

b) Formato (por ejemplo, el idioma, la versin de softvyare, grfcos) y medios de

comunicacin (por ejemplo, papel, electrnico), y revisin y aprobacin adecuada y
apropiada.

7.5.3 Gontrolde la informacin documentada

La informacin documentada requerida por el BCMS y por esta norma debe ser controlada
para asegurar que:

a) Est disponible y es apropiada para el uso, donde y cuando sea necesario,

b) Est adecuadamente protegida (por ejemplo, de prdida de confidencialidad, uso

inapropiado, o prdida de la integridad)

Para el control de la informacin documentada, la organizacin debe orientarse a las siguientes

actividades, cuando sea aplicable:

Distribucin, acceso, recuperacin y uso,

Almacenamiento y conservacin, incluyendo preservacin de la legibilidad (es decir, lo

suficientemente claro para leer),

Controlde cambios (por ejemplo, control de versin),

Retencin y eliminacin,

Prevencin del uso no intencionado de la informacin obsoleta.

La informacin documentada de origen extemo que la organizacin determina que es

y operacin del BCMS debe ser identificada y, segn sea
necesaria para la planificacin
apropiado, controlada.

Al establecer el control de la informacin documentada, la organizacin debe asegurarse de

que existe una proteccin adecuada de la informacin documentada (por ejemplo, proteccin
contra el compromiso, la modificacino supresin no autorizada).

NOTA El acceso implica una decisin sobre el permiso paa ver la inbrmackin do@mentada, o el permiso de la
autoridad para ver y cambiar la informacin documentada, etc.

15
NORMA TCNICA COLOMBIANA NTC 5722 (Primera actualizacin)

8. OPERACIN

8.I PLANIFTCACIN Y CONTROL

La organizacin debe planear, implementar, y controlar los procesos necesarios para cumplir
los requisitos para ejecutar las acciones determinadas en el numeral 6.1, para:

a) Establecer los criterios para esos procesos,

b) Aplicar el control de estos procesos de acuerdo con los criterios, y

c) Mantener informacin docu demostrar que los procesos se han llevado a

cabo como estaba previsto.

La organizacin debe y revisar las consecuencias de los

cambios no deseados, los efectos adversos, segn sea
necesario.

La organizacin d asegurar son controlados.

8.2 IMPACTO AL

8.2.1

La establecer, i
pa negocio y

a) , define los

b) y otros que la

c) de los de riesgo, y sus

costos

d) Define la y valoracin del riesgo, y

e) Especifica los se mantenga actualizada y

confidencial.

NOTA Exsten dversas al negocio y la valoracin del riesgo que

determinar el orden en que stas se

8.2.2 Anlisis delimpacto al

La organizacin debe establecer, implementar y mantener un proceso de evaluacin formal y
documentado para determinar las prioridades de continuidad y recuperacin, objetivos y metas.

El anlisis de impacto al negocio debe incluir lo siguiente:

a) La identificacin de actividades que apoyan la prestacin de bienes y servicios;

b) La evaluacin de los impactos en el tiempo de no realizar estas actividades;

16
NORIJ|A TGNGA GOLOMBANA NTC 5722 (Primera actualizacin)

c) El establecimiento de plazos prioritarios para la reanudacin de estas actividades a un

nivel mnimo especificado aceptable, teniendo en cuenta los impactos de la no
reanudacin de ellas ser inaceptable, y

d) y
La identificacin de dependencias recursos de apoyo para estas actividades,
incluyendo proveedores, subcontratados, socios y otras partes interesadas pertinentes.

8.2.3 Valoracin del riesgo

La organizacin debe establecer, implementar y mantener un prooeso formal de valoracin del
riesgo documentado que sistemticamente identifica, analiza y evala el riesgo de incidentes
perjudiciales a la organizacin.

NOTA Este proceso puede realizarse de acuerdo con la norma NTC-ISO 31000.

La organizacin debe:

a) ldentificar los riesgos de la intemrpcin de las actividades prioritarias de la organizacin

y los procesos, sistemas de informacin, personas, bienes, proveedores y otros
recursos que los apoyan,

b) Analizar sistemticamente el riesgo,

c) Evaluar los riesgos relacionados con la intem.pcin, que requieren tratamiento, e

d) ldentificar tratamientos acordes con los objetivos de Continuidad de Negocio y de

acuerdo con el apetito de riesgo de la organizacin.

NOTA La organizacin debe ser consciente de que ciertas obligaciones financieras o gubemamentales requieren
la comunicacin de estos riesgos a diferentes niveles de detalle. Adems, ciertas necesidades de la sociedad
tambin pueden garantizar el intercambio de esta informacn en un nivel adecuado de detalle.

8.3 ESTRATEGIA DE CONTNUIDAD DE NEGOCIO

8.3.1 Determinacin y seleccin

La determinacin y seleccin de la estrategia debe basarse en los resultados de los anlisis de
impacto al negocio y valoracin del riesgo.

La organizacin debe determinar una estrategia de continuidad de negocio apropiada para:

a) Proteger las actividades prioritarias,

b) Estabilizar, continuar, reanudar y recuperar las actividades priorizadas y sus

dependencias y recursos de apoyo, y,

c) Mitigar, responder y gestionar los impactos.

La determinacin de la estrategia debe incluir la aprobacin de marcos de prioridad de tiempo

para la reanudacin de las actividades.

La organizacin debe llevar a cabo evaluaciones de las capacidades de Continuidad de

Negocio de los proveedores.

17
NORMATCNrcA COLOMBIANA NTC 5722 (Primera actualizacin)

8.3.2 Establecimiento de las necesidades de recunsos

La organizacin debe determinar las necesidades de recursos para poner en prctica las
estrategias seleccionadas. Los tipos de recursos considerados se incluyen, pero no se limitan
a:

a) las personas,

b) la informacin y los datos,

c) Los edificios, el ambiente de trabajo servicios asociados,

d) lnstalaciones, equipos y

e) el sistema de (c)
el transporte

s) Ia finan

h) socros

8.3.3 itigacin

que requreren considerar

a) de intemrpcin,

b)

c) de los produ la organizacin y

La organizacin riesgo de acuerdo con su

apetito de riesgo.

ESTABLECER E NTOS DE CONTNUIDAD DE

NEGOGIO

8.4.1 Generalidades

La organizacin debe establecer, i mantener procedimientos de Continuidad de

Negocio para gestionar un incidente continuar con sus actividades basadas en los
objetivos de recuperacin identificadas en el anlisis del impacto al negocio.

La organizacin debe documentar los procedimientos (incluidos los acuerdos necesarios) para
asegurar la continuidad de actividades y la gestin de un incidente perjudicial.

Los procedimientos deben:

a) establecer un protocolo de comunicaciones interno y externo adecuado,

18
NORMATCNlcA COLOMBIANA NTC 5722 (Primera actualizacin)

b) ser especficos con respecto a las medidas inmediatas que deben tomarse durante una
intenupcin,

c) ser flexibles para responder a amenazas imprevistas y las cambiantes condiciones

intemas y extemas,

d) centrarse en el impacto de los eventos que podran potencialmente intemrmpir las

operaciones,

e) ser desanollados en base a los supuestos establecidos y el anlisis de las

interdependencias,

0 ser eficaces en la reduccin de sus consecuencias a travs de la aplicacin de

estrategias apropiadas de mitigacin.

8.4.2 Estructura de respuesta ante incidentes

La organizacin debe establecer, documentar e implementar procedimientos y una estructura

de gestin para responder ante un incidente perjudicial con el uso del personal con la debida
responsabilidad, autoridad y competencia para manejar un incidente.

La estructura de respuesta debe:

a) ldentificar los umbrales de los efectos que justifiquen la iniciacin de la respuesta

formal,

b) Evaluar la naturaleza y elalcance de un incidente perjudicialy su impacto potencial,

c) Activar una respuesta apropiada de Continuidad de Negocio,

d) Tener procesos y procedimientos para la activacin, operacin, coordinacin y

comunicacin de la respuesta,

e) Tener los recursos disponibles para apoyar los procesos y procedimientos para manejar
un incidente perjudicial para minimzar el impacto, y,

Comunicarse con las partes interesadas y las autoridades, as como los medios de
comunicacin.

La organizacin debe decidir, asegurando la

vida humana como primera prioridad y en
consulta con las partes interesadas, si se comunica extemamente la informacin acerca de sus
riesgos e impactos significativos y documentar su decisin. Si la decisin es comunicarla, a
continuacin, la organizacin debe establecer e implementar procedimientos para la
comuncacin extema, alertas y avisos, incluyendo los medios de comunicacin, segn
conesponda.

8.4.3 Advertencia y comunicacin

La organizacin debe establecer, implementar y mantener procedimientos para:

a) La deteccin de un incidente,

b) El seguimiento regular de un incidente,

19
NoRMATcNrcA GoLOMBIANA NTC 5722 (Primera actualizacin)

c) La comunicacin interna dentro de la organizacin y recibir, documentar y responder a

la comunicacin de las partes interesadas,

d) Recibir, documentar y responder a cualquier sistema de alerta de riesgo a nivel nacional

o regional o su equivalente,

e) Asegurar la disponibilidad de los medios de comunicacin durante un incidente

perjudicial,

f) Facilitar la comunicacin estructurada con los servicios de emergencia,

s) Registrar la informacin vital , las medidas adoptadas y las decisiones

tomadas, y lo siguiente donde aplique:

Alerta a las afectadas por un incidente

perjudicial

de y el personal;

de una

Los comunicacin y de

nuidad de negocio

La procedimientos incidente
sus
isitos a aquellos

Los contener

a) Los para las equipos que tienen

v

b) Un proceso la

c) Los detalles para de un incidente perjudicial,

teniendo en cuenta:

1) El bienestar de

2) Las opciones y operativas para la respuesta a la

intenupcin, y

3) La prevencin de la prdida o no disponibilidad de las actividades prioritarias;

d) La informacin detallada sobre cmo y bajo qu circunstancias la organizacin se

comunicar con los empleados y sus familiares, las partes interesadas claves y los
contactos de emergencia,

e) Cmo la organizacin va a continuar o recuperar sus actividades prioritarias dentro de

los plazos predeterminados,

20
NORMA TCNlcA COLOMBI,ANA NTC 5722 (Primera actualizaein)

f) Los detalles de la respuesta de la organizacin de los medios de comunicacin a raz de

un incidente, incluyendo

1) una estrategia de comunicacin,

2) la interfaz seleccionada con los medios de comunicacin,

3) gua o plantilla para la redaccin de una declaracin para los medios de

comunicacin, y

4') portavoces apropiados;

g) un proceso para levantarse una vez que el incidente ha terminado

Cada plan debe definir

- Propsito y alcance,

- Objetivos,

- Criterios y procedimientos de activacin,

- procedimientos de implementacin,

- roles, responsabilidades y autoridades,

- Requisitos y procedimientos de comunicacin,

- lnterdependencias intemas y extemas y las interacciones,

- necesidades de recursos, y

- Flujo de informacin y procesos de documentacin.

8.4.5 Recuperacin

La organizacin debe tener procedimientos documentados para restaurar y retomar las

actividades de negocio, de las medidas temporales adoptadas para soportr las necesidades
normales del negocio despus de un incidente.

8.5 EJERCICIOS Y PRUEBAS

La organizacin debe hacer ejercitar y probar sus procedimientos de continuidad de negocio

para asegurar que sean compatibles con sus objetivos de Continuidad de Negocio.

La organizacin debe llevar a cabo ejercicios y pruebasque:

a) Sean consistentes con el alcance y los objetivos del BGMS,

b) Se basen en escenarios apropiados que estn bien planificados, con objetivos

claramente defindos,

c) Tomen en conjunto con el tiempo validado la totalidad de los acuerdos de continuidad

de negocio, involucrando las partes interesadas pertinentes,

21
NORMATCNrcA COLOMBIANA NTC 5722 (Primera actualizacin)

d) Reduzcan al mnimo el riesgo de interrupcin de las operaciones,

e) Produzcan formalmente, despus del ejercicio, informes que contengan los resultados,
recomendaciones y acciones a implementar

f) Revisen en el contexto de la promocin de la mejora continua, y

s) Se lleven a cabo a intervalos planificados, y cuando hay cambios significativos dentro

de la organizacin o el medio ambiente en el que opera.

9. EVALUACIN DE D

9.1 SEGUIMIENTO, M

9.1.1 Generalidades

La organizacin debe

a) Que

b) Los seguimiento, conesponda, para

de los

c) y la medicin

d) seguimiento y

La docu resultados

La del BCMS y su

Adems, la

Tomar hacer tendencias adversas o

resultados d

Conservar la evidencia los resultados.

Los procedimientos para proveer:

El establecimiento de adecuados a las necesidades de la

organizacin,

El seguimiento de la medida en que se cumplan las polticas de Continuidad de Negocio

de la organizacin, los objetivos y metas,

El desempeo de los procesos, procedimientos y funciones que protegen sus

actividades prioritarias,

El control del cumplimiento con esta norma y los objetivos de continuidad de negocio,

El seguimiento de la evidencia histrica de los resultados deficientes del desempeo del

BCMS, y

22
NoRMATGNICACOLoMBIANA NTC 5722 (Primera actualizacin)

El registro de datos y los resultados de seguimiento y medicin para facilitar las

acciones conectivas tomadas.

NOTA Desempeo deficiente podra incluir las no conformidades, cuasi accidentes, falsas alarmas y los casos
reales

9.1.2 Evaluacin de los procedimientos de continuidad de negocio

a) La organizacin debe llevar a cabo evaluaciones de sus procedimientos de Continuidad

de Negocio y capacidades para asegurar su continua adecuacin, idoneidad y eficacia;

b) Estas evaluaciones deben llevarse a cabo a travs de revisiones peridicas, ejercicios,

pruebas, reportes despus de incidentes y evaluaciones de desempeo. Los cambios
significativos que surgen deben ser reflejados en el (los) procedimiento (s) de manera
oportuna;

c) La organizacin debe evaluar peridicamente el cumplimiento con los requisitos legales

y reglamentarios, mejores prcticas industriales, y la conformidad con su propia poltica
y objetivos de Continuidad de Negocio, y

d) La organizacin debe llevar a cabo evaluaciones a intervalos planificados cuando se

produzcan cambios signifi cativos.

Cuando un incidente perjudicial ocurra y resulte en la activacin de sus procedimientos de

continuidad de negocio, la organizacn debe realizar una revisin posterior a los incidentes y
regisfar los resultados.

9.2 AUDITOR|A INTERNA

La organizacin debe realizar auditoras intemas a intervalos planificados para proporcionar

informacin siel BCMS:

a) Se ajusta a:

1) los requisitos propios de la organizacin para su BCMS, y

2l los requisitos de esta norma,

b) Es eficazmente implementado y mantenido

La organizacin debe:

Planear, establecer, implementar y mantener un (os) programa (s) de auditora,

incluyendo la frecuencia, mtodos, responsabilidades, requisitos de planificacin y
resultados. El (Los) programa (s) de auditora debe (n) tener en consideracin la
importancia de los procesos y de los resultados de auditoras anteriores,

Definir los criterios de auditora y el alcance de cada una,

Seleccionar auditores y gestonar auditoras que aseguren la objetividad y la

imparcialidad del proceso de auditora,

Garantizar que los resultados de las auditoras son reportados a la direccin, y

23
NORIATCNlcACOLOMB|ANA NTC5722(Primeraactualizacin)

Mantener informacin docrmentada como evidencia de la implementacin del programa

de auditora y de sus resultados.

El programa de auditora, incluyendo cualquier programacin, debe basarse en los resultados

de la valoracin del riesgo de las actividades de la organizacin y los resultados de auditoras
anteriorcs. Los procedimientos de auditora deben cubrir el alcance, frecuencia, metodologas y
competencias, as como las responsabilidades y requisitos para la realizacin de auditoras e
informar de los resultados.

La direccin responsable del rea que est siendo auditada debe asegurarse que cualquier
correccin necesaria y cualquier accin correctiva se toman sin demora injustificada para
eliminar las no conformidades causas. Las actividades de seguimiento deben
incluir la verificacin de las de resultados de la verificacin.

9.3 REvlSN POR LA

La alta direccin debe ,a intervalos planificados, para

asegurar su continua

La revisin por la debe

a) El acciones de las

b) los asuntos intemos el BCMS,

c) tendencias

acciones

de resultados de la

d) Las

Las revisiones por la de la organizacin, incluyendo:

Las acciones de direccin anteriores,

La necesidad de la poltica y los objetivos,

Las oportunidades de mejora,

- Los resultados de las auditoras y revisiones al BCMS, incluidos los de los principales
proveedores y socios, cuando aplique,

- Las tcnicas, productos o procedimientos, que podran ser utilizados en la organizacin

para mejorar el desempeo y eficacia del BCMS,

- El estado de las acciones crrectivas,

- Los resultados de los ejercicos y las pruebas,

24
NORMA TCNrcA COLOMBIANA NTC 5722 (Primera actualizacin)

- Los riesgos o problemas no abordados adecuadamente en cualquier valoracin del

riesgo anterior,

- Cualquier cambio que pudiera afectar el BCMS, ya sea interna o externa al alcance del
BCMS,

- La adecuacin de la poltica,

- Las recomendaciones de mejora,

- Las lecciones aprendidas y las acciones derivadas de incidentes perjudiciales, y

- Buenas prcticas y guas emergentes.

El resultado de la revisin por la direccin debe incluir decisiones relacionadas con las
oportunidades de mejora continua y la posible necesidad de cambios al BCMS y lo siguiente:

a) Variaciones en el alcance del BCMS;

b) Mejoramiento de la eficacia delBCMS;

c) Actualizacin de la valoracin del riesgo, anlisis de impacto al negocio, planes de

continuidad de negocio y los procedimientos relacionados;

d) Modificacin de los procedimientos y controles para responder a los eventos intemos o

elemos que pueden afectar al BCMS, incluidos los cambios:

1) Los requisitos del negocio y operacionales,

2l Reduccin de riesgos y requisitos de seguridad,

3) Condiciones y procesos de operacin,

4) Requisitos legales y reglamentarios,

5) Obligaciones contractuales,

6) Los niveles de riesgo y/o criterios de aceptacin de riesgos,

7) Recursos necesarios,

8) La financiacin y las necesidades presupuestarias,

e) Cmo la eficacia de los controles son medidas.

La organizacin debe conservar informacin documentada oomo evidencia de los resuJtados de

las revisiones por la direccin.

La organizacin debe:

- Comunicar los resultados de examen de la gestin de las partes interesadas

pertinentes, y

- Tomar las medidas apropiadas en relacin con esos resultados.

25
NORMATCNrcA COLOMBIANA NTC 5722 (Primera actualizacin)

IO. MEJORA

IO.I NO CONFORMIDAD Y ACCIN CORRECTVA

Cuando ocurra una no conformidad, la organizacin debe:

a) ldentificar la no conformidad, y

b) Responder a las no conformidades, y, cuando aplique:

1) Tomar medidas para controlarlas y conegirlas, y,

2) Tratar con las co

c) Evaluar la necesidad eliminar las causas de la no

conformidad, para q en otra parte, incluyendo:

1) La revisin de

2l La de

3) de existentes, o que
pudieran

de la necesidad que las no

no se repitan o se

mplementacin de

de cualquier accin

7 ,sres
d)

e) Revisar la

f) Hacer los cambios

Las acciones conecvas efectos de las no conformidades

encontradas.

La organizacin debe mantener la como evidencia de:

- La naturaleza de las no conformidades y de cualquier accin tomada posteriormente, y

- Los resultados de analquier accin conectiva.

10.2 MEJORA CONTINUA

La organizacin debe mejorar continuamente la idoneidad, adecuacin o eficacia del BCMS.

NOTA La organizacin puede utilizar los procesos del BCMS tales como el lderazgo, la planeacin y evaluacin
de desempeo, para lograr una mejora.

26
NORMA TCN|GA COLOMBI,ANA NTc 5722 (Primera actualizacin)

ANEXOA
(lnformativo)

BIBLIOGRAFA

t1l NTC-ISO 9001, Sistemas de Gestin de Calidad. Requisitos

I2t NTGISO 14001, Sistemas de Gestin Ambiental. Requisitos con orientacin para su uso

t3l NTC-ISO 19011, Directrices para la auditora de los Sistemas de Gestin.

I4l ISO/IEC 20000-1, Tecnologa de la informacin. Gestin del servicio. Parte 1:

Especificacin.

t5l fSO 22300, Sociefa/ Security. Terminology.

16I ISO/PAS 22399, Societal Security. Guideline for lncident Preparedness and Operational
Continuity Management.

t4 ISO/IEC 24762, lnfotmation Technology. Security Techniques. Guidelines for Informatkn and
Com m un itions Tech nology Disaster Revery Senbes

t8l ISO/IEC 27 OO1, I nformation Security M anagemenf Sysferns.

tel ISO/IEC 27031, lnformation Technology. Security techniques- Guidelines for Information
and Communication Technology Readiness for Busrness Continuity.

t10l ISO 31000, Risk Management. Principles and Guidelines.

t1 1l lSO/lEC 31010, Risk Management. Risk assessmenf Techniques-

1121 ISO/IEC Guide 73, Risk Management. Vocabulary.

113l BS 25999-1, Busfiess Continuity Management. Code of Practi, British Sfandards

Institution (BSl).

t14l BS 25999-2, Busrness Continuity Management. Specification, British Sfandards

lnstitution (BSl).

115l Sl 24001, Security and Continuity Management Sysfems. Requirements and Guidance
for Use, Sfandards Institution of lsrael.

t16l NFPA 1600, Standard on Disaster/Emergency Management and Business Continuity

Prognms,N ation al F i re Protection Association (U SA).

I17l Busrness Continuity Plan Drafting Guideline, Ministry of Economy, Trade and lndustry
(Japan),20O5.

t18l Business Continuity Guideline, Centnl Disaster Management Council, Cabinet Office,
Govemment of J apan, 2OO5.

t19] ANSI/ASIS SPC.1, Organizational Resilience: Security, Preparcdness, and Continuity

Managemenfs Sysfems. Requirements with Guidance for UseSS 540: 2008, Singapore
Standard for Eusiness Continuity Management.

t20] ANSI/ASIS/BSI BCM.01, Eusiness Continuity Managemenf Sysfems: Requirements with

Guidance for Use.

27
NORMATCNICACOLOMBIANA NTC5722 (Primeraactualizacin)

DOCUMENTO DE REFERENCIA

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. SocietalSecurity. Busness

Sontinuity Managemenf Systems. Requirements. Geneva: lSO, 2012, 24 p (lSO 22301:2012
{E)).

28
I
I
I
I

l
I

l
l