Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
COLOMBIANA 5722
2012-10-31
CONTINUIDAD DE NEGOCIO.
SIST GESTIN DE CONTINUIDAD DE
NE
E: BUSINESS
contn continuidad de
sistemas de
de la sociedad.
LC.S.: 03.100.01
ICONTEC es una entidad de carcter privado, sin nimo de lucro, cuya Misin es fundamental
para brindar soporte y desanollo al productor y proteccin al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del pas, para lograr ventajas competitivas en
los mercados interno y extemo.
La NTC 5722 (Primera actualizacin) fue ratificada por el Consejo Directivo de 2012-10-31
Esta norma est sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.
ULTORS
DE VALORES S.A.
SALUD
COLOMBIA
S.A.
THOMAS
E.S.P UNE EPM ONES S. A.
ENLACE O WILLIS CORREDORES DE
SEGUROS
DIRECCIN DE NORMALIZACIN
NORMA TCNCA COLOMBIANA NTG 5722 (Primera actualizacin)
CONTENIDO
Pgina
0. INTRODUCCN
0.1 GENERALIDADES
1. ALCANCE I
3. TRi,|INOS Y DEFINICIONES .2
5. LTDERAZGO ...........10
6. PLAN|FTCACTN.............. ..........12
Pgina
7. RECURSOS.. 13
7.1 GENERALIDADES... 13
7_2 COMPETENCIA.... I3
7-3 TOMA DE 13
7.4 coM 14
7.5 DOCUME 14
I 16
I 16
8.3 DE NEGOCIO_............ 17
8.4 EDIMIENTOS
t8
8.5 EJERCTCTOS Y ...21
9. EVALUACIN DE ...22
10. MEJORA.....
10.2
-t
NORMATCN|GACOLOMB|ANA NTC5722(Primeraactualizacin)
Pgina
.27
J
NoRMATcNrcA coLoMBIANA NTc 5722 (Primera actualizacin)
O. INTRODUCCIN
O.I GENERALDADES
Esta norma especifica los requisitos para la creacin y gestin de un Sistema de Gestin de
Continuidad de Negocio (BCMS, por ingls) efectivo.
y revisin
basado en m
a)
b) definidas;
c)
1)
2) Planeacin,
3) lmplementacin y
4) Evaluacin de
5) Anlisis de la gestin, y
6) Mejoramiento.
Esto asegura un cierto grado de coherencia con otras normas de sistemas de gestin, tales
como la norma NTC-ISO 9001 Sistema de Gestin de Calidad, NTC-ISO 14001, Sistema de
Gestin Ambiental, NTC-ISO-IEC 27001 Sistema de Gestin en Seguridad de la lnformacin,
ISO-1EC20000-1 Gestin de servicios, y la norma NTC-ISO 28000 Sistema de Gestin de
Seguridad para la Cadena de Suministro, apoyando, de este modo, que la implementacin y
operacin sean consistentes e integradas con los sistemas de gestin relacionados.
La Figura 1 ilustra cmo un BCMS toma como entradas las partes interesadas y los requisitos
para la gestin de la continuidad y a travs de las acciones y prooesos necesarios, produce
resultados de la Continuidad de Negocio (gestin de Continuidad de Negocio) que cumplen con
esos requisitos.
Partes
nteresadas
-)
Establecer
(planear) -+ Partes
interesadas
Mantener lmplementar
y merar y operaf
(actuar) (hacer)
Requisitos para
continuidad de
negocio -f
Monitorear
y revisar
(verificar) + Continuidad de
negocro
gestionada
CONTINUIDAD DE NEGOCIO.
SSTEMAS DE GESTIN DE CONTINUIDAD DE NEGOCO.
REQUISITOS
1. ALCANCE
Esta norma para la gestin de Continuidad de Negocio especifica los requisitos para planificar,
establecer, implementar, operar, supervisar, revisar, mantener y mejorar continuamente un
sistema de gestin documentado para protegerse, reducir la probabilidad de ocunencia,
prepararse, responder y recuperarse de los incidentes perjudiciales que puedan surgir.
Los requisitos especificados en esta norma son genricos y se pretende que sean aplicables a
todas las organizaciones o partes de las mismas, independiente del tipo, tamao y naturaleza
de la organizacin. El grado de aplicacin de estos requisitos depende del entomo operativo de
la organizacin y su complejidad-
Esta norma es aplicable a todos los tipos y tamaos de las organizaciones que desean:
Esta norma puede ser utilizada para evaluar la capacidad de una organizacin de satisfacer
sus necesidades de continuidad propia y obligaciones.
1de28
NORiIATCNlcACoLoMBIANA NTc5722(Primeraactualizacin)
2. REFERENCIAS NORMATVAS
3. TRMINOS Y DEFINICIONES
y "criterios de en
de la entrega de
NOTA Tfpicamente, esto inclu los recursos, servicios y actividades necesarios para garantizar la continuidad de
las funciones crticas del negocio.
2
NORMA TCNrcA COLOMBANA NTC 5722 (Primera actualizacin)
3.8 Anlisis del impacto al negocio. Proceso del anlisis de actividades y el efecto que una
intemrpcin del negocio podra tener sobre ellas.
3.13 Accin correetiva. Medidas para eliminar la causa de una no conformidad y para prevenir
la recunencia.
NOTA En el caso de otros resultados indeseados, la acckin es necesaria para minimizr o eliminar la causa y
reducir el impacto o prevenir la recunencia. Tales acciones estn fuera del concepto de 'accin conec{iva' en el
sentido de esta definicin
NOTA I
El medio puede ser papel, disco magntico, ptico o electrnico, fotografia o muesba maesba, o una
combinacin de los mismos.
3-15 lnformacin documentada. lnformacin requerida para ser controlada y mantenida por
una organizacin y el medio en el que est contenido.
NOTA 1 lnbrmacin documentada puede ser en cualquier brmato y los medios de comunicacin de cualquier
fuente.
3.16 Eficacia. Nivel en el cual las actividades planeadas son realizadas y los resultados
planeados son alcanzados
NOTA 1 Un evento puede ser una o ms ocurrencias, y puede tener varias causas
NOTA 3 Un evento puede ser algunas veces referido como un "incidente" o "accidente'
NOTA 4 Un evento sin consecuencias tambin puede ser referido como "casi falla", "incidente", "casi golpe', 'close
call".
[Fuente: I
equipos y para el
NOTA 1 Un sstema de gestin puede abordar una sola disciplina o varias disciplinas.
4
NORMA TCNrcA COLOMBIANA NTC 5722 (Primera actualizacin)
NOTA 2 Los elementos del sistema son la estructr.rra de la organizacirin, funciones y responsabilklades,
planifi cacin, operacin, etc.
NOTA 3 El mbito de aplicacin de un sistema de gestin puede incluir la totalidad de la organizacin, funciones
concretas e identificadas de la organizacin, las secciones especllcas e identficadas de la organizacin, o una o
ms funciones a travs de un grupo de las organizaciones.
3.25 lnterrupcin mxima aceptable (MAO, por sus sglas en ngs). El tiempo que tomara
para que los efectos adversos que pudieran ocurrir como resuftado de no proporconar un
producto / servicio o realizar una actvidad, se conviertan en inaceptable.
3.26 Periodo mxmo tolerable de intemrpcin (tlTPD, por sus sglas en ingls). Eltiempo
que tomara para que los efectos adversos que pudieran ocurir como resultado de no
proporconar un producto / servicio o realizando una actividad, para convertirse en inaceptable.
3.28 Obietivo mnmo de Gontinuidad de Negocio (MBCO, por sus siglas en ingls). Nivel
mnimo de servicios o productos que sea aceptable para la organizacin para lograr su objetivo
de negocio durante una intemrpcin.
NOTA Para determinar el estado puede haber una necesidad de conholar, supervisar y observar crfticamente.
3.30 Acuerdo de ayuda mutua. Preaneglo entendido entre dos o ms entidades para prestar
asistencia entre ellos.
NOTA 2 Los objetivos se pueden relacionar con dbrentes disciplinas (tales como metas financieras, de salud,
seguridad y ambientales) y se pueden aplicar en diferentes niveles (tales como estratgico, para toda la
organizacin, para proyectos, productos y procesos (3.1.2)).
NOTA 3 Un objetivo se puede expresar de otras maneras, por ejemplo, cor un resultado prevsto, un propsito, un
criterio operativo, un objetivo de seguridad de la sociedad, o mediante el uso de palabras con un significado similar
(por ejemplo, fin, meta o destino).
NOTA 4 En el contelto de norrnas de sistemas de gestion de segurirlad de la sociedad, la organizacin establece los
objetivos de seguridad de la sociedad, en concordancia con la poltica de seguridad de la sociedad, para lograr
resultados especfi cos.
NOTA 1 El concepto de organizacin incluye, pero no se limita a la compaa, corporacin, firma, empresa,
autoridad, asociacin, instifucin, parte o combinacin de los mismos, ya sea incorporada o no, pblica o privada.
5
NORMATCNTCACOLOMBIANA NTC5722(Primeraactualizacin)
NOTA 2 Para las organizaciones con mas de una operacin de negocio, una sola unidad puede ser definida
como una organizacin.
3.34 Subcontratar. Hacer un arreglo donde una organizacin externa rcaliza parte de la
funcin o prooesos de una organizacin.
NOTA Una organizacin e.tema est fuera del alcance del sistema de gestin, aunque la funcin compartida o
proceso tercerisado est dentro del mbito de aplicacin.
I
NOTA El desempeo se puede relacionar bien sea con los resultados cuantitativos o cualitativos.
para una
o las cuales
3-41 na organizacin a
sus por ejemplo, seguros
3.44 Punto Objetivo de Recuperacin (RPO, por sus siglas en ngls). Punto en el cual la
informacin usada por una actividad debe ser restaurada para permitir la reanudacin de la
operacin.
3.45 Tiempo objetivo de recuperacin (RTO, por sus siglas en ngls). Perodo de
tiempo despus de un incidente en el que:
6
NORMA TcNrcA COLOMBTANA NTc 5222 (Primera actuatizacin)
NOTA Para los productos, servicios y actividades, el tiempo objetivo de recuperacin debe ser menor que el
tiempo que tomara para los efectos adversos que pudieran surgir como consecuencia de no proporcionar un
producto / servicio o la realizacin de una actividad para convertirse en inaceptable.
NOTA I "Generalmente implcita'significa que se tata de una costumbre o pctica comn para la organizacin
y las partes interesadas que la necesidad o expec,tatt'va bajo consideracin est implcita.
NOTA 2 Un requisito especificado es aquel que se dice, por ejemplo, en inbrmacin documentada.
3.47 Recursos. Todos los activos, recursos humanos, conocimientos, informacin, tecnologa
(incluidas las instalaciones y equipos), locales, y suministros e informacin (ya sean o no
electrnicos) que una organizacn tiene que tener disponibles para su uso, cuando sea
necesaro, con el fn de operar y cumplir con su objetivo.
NOTA I Un efucto es una desviacin de aquello que se espera, sea positivo, negativo o ambos.
NOTA 2 Los objetivos pueden referirse a diferentes disciplinas (como la salud financiera, la seguridad, y las
metas ambientales) y puede aplicarse a distintos niveles (como estratgico, toda la organizacin, proyecb, producto
y proceso). Un objetivo se puede expresar de otras maneras, por ejemplo, como resultado que se pretende, un
propsto, un criterio opemtivo, como la Continuidad de Negocio objetivo o por el uso de otras palabras de
significado similar (por ejemplo objetivo, meta o destino).
NOTA3 El riesgo se caracteriza a menudo con relacin a los eventos potenciales (GTC 137, 3.5.1.3) y las
consecuencias (GTC 1 37,3.6.1.3), o una combinacin de stos.
NOTA 4 El riesgo se expresa a menudo en rminos de una combinacin de las consecuencias de un evento
(incluyendo los cambios en circunstancias) y la probabilidad asociada (GTC 137, 3.6.1.1) de que se produzca.
NOTA 6 En el contexto de las normas de Continuidad de Negocio BCMS, los objetivos de ContinuirJad de
Negocio se establecen por la organizacin, en concordancia con la poltica de Continuidad de Negocio, para lograr
resultados especficos. Cuando se aplica el trmino riesgo y los componentes de la gestin del riesgo, esto debe
estar relacionado con los objetivos de la organizacin que incluyen, pero no se limitan a los objetivos de Continuidad
de Negocio tal como se especifica en el numeral 6.2.
3.49 Apetito de riesgo. Es el nivel y tipo de riesgo que la organizacin est dispuesta a asumir
3.50 Valoracin del resgo. Proceso global de identificacin del riesgo, anlisis del riesgo y
evaluacin del riesgo.
[Fuente:GTC 134
3.51 Gestin del riesgo. Actividades coordinadas para dirigir y controlar una organizacin con
respecto al riesgo.
NOTA 4 La prueba debera comenzar con un sencillo ensayo de los componentes, para construir la prueba del
sstema.
3.53 Alta direccin. Persona o grupo que dirige y controla a una organzacin al
ms alto nivel
NOTA1 La alta direccin tiene y proporcionar los recursos denbo de la
organizacin.
4.1 D YSUCO
La organizacin debe
8
NORMATCNGA COLOMBANA NTC 5722 (Primera actualizacin)
2) Definir los factores externos e intemos que generan la incertidumbre que da lugar al
riesgo,
4.2.1 Generalidades
4.3.1 Generalidades
La organizacin debe determinar los lmites y la aplicabilidad del BCMS para establecer su
alcance.
I
NORMATCNrcA COLOMBIANA NTC 5722 (Primera actualizacin)
c) ldentificar los productos, servicios y todas las actividades relacionadas con el alcance
del BCMS,
d) Tener en cuenta las necesidades de las partes interesadas y los intereses, tales como
clientes, inversionistas, accionistas, la cadena de suministro, la opinin del pblico y / o
de la comunidad y sus e intereses (segn conesponda),
4.4 ESilN DE
5.
5.1
5.2 COMPROMISO DE
Asegurando la integracin de los requisitos del BCMS en los procesos del negocio de la
organizacin,
Dando direccin y apoyo a las personas que contribuyen a la eficacia del BCMS,
NOTA I La referencia "negocio" en esta norma es para interpretarse en el sentido amplio de aquellas actividades
que son fundamentales para los propsitos de la existencia de la organacin.
La alta direccin debe asegurarse que las responsabilidades y autoridades para las funciones
pertinentes son asignadas y comunicadas dentro de la organizacin:
- Definiendo los criterios para la aceptacin de riesgos y los niveles de riesgo aceptables,
5.3 POLTICA
5.4 ROLES,RESPONSABILIDADESYAUTORIDADES
b) lnformar el
6.
6.1
b) v
c) Lograr el
La organizacin debe
b) Cmo:
La alta direccin debe asegurar que los objetivos de Continuidad de Negocio son establecidos
y comunicados para las funciones y niveles pertinentes dentro de la organizacin.
12
NORMA TcNrcA COLOMBIANA NTc 5722 (Primera actualizacin)
b) Tener en cuenta el nivel mnimo de productos y servicios que sea aceptable para que la
organizacin logre sus objetivos.
c) Ser medibles,
- Lo que se har,
7. REGURSOS
7.1 GENERALIDADES
7.2 COiIPETENCIA
La organizacin debe:
a) Determinar las competencias necesarias del personal para hacer el trabajo que afecta
su desempeo,
b) Asegurarse que estas personas son competentes sobre la base de una educacin
adecuada, entrenamiento y experiencia,
i.Ofe Las acciones aplicables pueden incluir, por ejemplo: la provsin de entrenamento para la tutora, o
cambio de destino de los empleados actuales, o la conbatacin de personas competentes.
Las personas que realizan trabajos bajo el control de la organizacin deben ser concientes de:
13
NoRllATCNlcACOLOMB|ANA NTG5722(Primeraactualizacin)
7.4 COMUNTCACTN
a) sobre qu se
b) cuando comunicar
c) con quienes
La estiablecer, s) para
a las comun
comunrcacton un incidente,
7-5.1 Generalidades
NOTA El alcance de la infcrmacin documentada para un BCMS puede diferir de una organizacin a oba debido a:
14
NORMATCNlcACOLOMB|ANA NTC 5722(primera actuatizacin)
La informacin documentada requerida por el BCMS y por esta norma debe ser controlada
para asegurar que:
Retencin y eliminacin,
NOTA El acceso implica una decisin sobre el permiso paa ver la inbrmackin do@mentada, o el permiso de la
autoridad para ver y cambiar la informacin documentada, etc.
15
NORMA TCNICA COLOMBIANA NTC 5722 (Primera actualizacin)
8. OPERACIN
La organizacin debe planear, implementar, y controlar los procesos necesarios para cumplir
los requisitos para ejecutar las acciones determinadas en el numeral 6.1, para:
8.2 IMPACTO AL
8.2.1
La establecer, i
pa negocio y
a) , define los
b) y otros que la
16
NORIJ|A TGNGA GOLOMBANA NTC 5722 (Primera actualizacin)
d) y
La identificacin de dependencias recursos de apoyo para estas actividades,
incluyendo proveedores, subcontratados, socios y otras partes interesadas pertinentes.
NOTA Este proceso puede realizarse de acuerdo con la norma NTC-ISO 31000.
La organizacin debe:
NOTA La organizacin debe ser consciente de que ciertas obligaciones financieras o gubemamentales requieren
la comunicacin de estos riesgos a diferentes niveles de detalle. Adems, ciertas necesidades de la sociedad
tambin pueden garantizar el intercambio de esta informacn en un nivel adecuado de detalle.
17
NORMATCNrcA COLOMBIANA NTC 5722 (Primera actualizacin)
La organizacin debe determinar las necesidades de recursos para poner en prctica las
estrategias seleccionadas. Los tipos de recursos considerados se incluyen, pero no se limitan
a:
a) las personas,
d) lnstalaciones, equipos y
e) el sistema de (c)
el transporte
s) Ia finan
h) socros
8.3.3 itigacin
a) de intemrpcin,
b)
8.4.1 Generalidades
La organizacin debe documentar los procedimientos (incluidos los acuerdos necesarios) para
asegurar la continuidad de actividades y la gestin de un incidente perjudicial.
18
NORMATCNlcA COLOMBIANA NTC 5722 (Primera actualizacin)
b) ser especficos con respecto a las medidas inmediatas que deben tomarse durante una
intenupcin,
e) Tener los recursos disponibles para apoyar los procesos y procedimientos para manejar
un incidente perjudicial para minimzar el impacto, y,
Comunicarse con las partes interesadas y las autoridades, as como los medios de
comunicacin.
a) La deteccin de un incidente,
19
NoRMATcNrcA GoLOMBIANA NTC 5722 (Primera actualizacin)
de y el personal;
de una
Los comunicacin y de
nuidad de negocio
La procedimientos incidente
sus
isitos a aquellos
Los contener
b) Un proceso la
1) El bienestar de
20
NORMA TCNlcA COLOMBI,ANA NTC 5722 (Primera actualizaein)
- Propsito y alcance,
- Objetivos,
- procedimientos de implementacin,
- necesidades de recursos, y
8.4.5 Recuperacin
21
NORMATCNrcA COLOMBIANA NTC 5722 (Primera actualizacin)
e) Produzcan formalmente, despus del ejercicio, informes que contengan los resultados,
recomendaciones y acciones a implementar
9. EVALUACIN DE D
9.1 SEGUIMIENTO, M
9.1.1 Generalidades
La organizacin debe
a) Que
c) y la medicin
d) seguimiento y
La docu resultados
La del BCMS y su
Adems, la
El control del cumplimiento con esta norma y los objetivos de continuidad de negocio,
22
NoRMATGNICACOLoMBIANA NTC 5722 (Primera actualizacin)
NOTA Desempeo deficiente podra incluir las no conformidades, cuasi accidentes, falsas alarmas y los casos
reales
a) Se ajusta a:
La organizacin debe:
23
NORIATCNlcACOLOMB|ANA NTC5722(Primeraactualizacin)
La direccin responsable del rea que est siendo auditada debe asegurarse que cualquier
correccin necesaria y cualquier accin correctiva se toman sin demora injustificada para
eliminar las no conformidades causas. Las actividades de seguimiento deben
incluir la verificacin de las de resultados de la verificacin.
a) El acciones de las
c) tendencias
acciones
de resultados de la
d) Las
- Los resultados de las auditoras y revisiones al BCMS, incluidos los de los principales
proveedores y socios, cuando aplique,
24
NORMA TCNrcA COLOMBIANA NTC 5722 (Primera actualizacin)
- Cualquier cambio que pudiera afectar el BCMS, ya sea interna o externa al alcance del
BCMS,
- La adecuacin de la poltica,
El resultado de la revisin por la direccin debe incluir decisiones relacionadas con las
oportunidades de mejora continua y la posible necesidad de cambios al BCMS y lo siguiente:
5) Obligaciones contractuales,
7) Recursos necesarios,
La organizacin debe:
25
NORMATCNrcA COLOMBIANA NTC 5722 (Primera actualizacin)
IO. MEJORA
a) ldentificar la no conformidad, y
1) La revisin de
2l La de
3) de existentes, o que
pudieran
mplementacin de
de cualquier accin
7 ,sres
d)
e) Revisar la
NOTA La organizacin puede utilizar los procesos del BCMS tales como el lderazgo, la planeacin y evaluacin
de desempeo, para lograr una mejora.
26
NORMA TCN|GA COLOMBI,ANA NTc 5722 (Primera actualizacin)
ANEXOA
(lnformativo)
BIBLIOGRAFA
I2t NTGISO 14001, Sistemas de Gestin Ambiental. Requisitos con orientacin para su uso
16I ISO/PAS 22399, Societal Security. Guideline for lncident Preparedness and Operational
Continuity Management.
t4 ISO/IEC 24762, lnfotmation Technology. Security Techniques. Guidelines for Informatkn and
Com m un itions Tech nology Disaster Revery Senbes
tel ISO/IEC 27031, lnformation Technology. Security techniques- Guidelines for Information
and Communication Technology Readiness for Busrness Continuity.
115l Sl 24001, Security and Continuity Management Sysfems. Requirements and Guidance
for Use, Sfandards Institution of lsrael.
I17l Busrness Continuity Plan Drafting Guideline, Ministry of Economy, Trade and lndustry
(Japan),20O5.
t18l Business Continuity Guideline, Centnl Disaster Management Council, Cabinet Office,
Govemment of J apan, 2OO5.
27
NORMATCNICACOLOMBIANA NTC5722 (Primeraactualizacin)
DOCUMENTO DE REFERENCIA
28
I
I
I
I
l
I
l
l