Present. AI ISO 22301 - 2019 SGCN FEUD Marzo26 - Mayo 9 - 2021

FORMACIÓN EN
SEGURIDAD Y RESILIENCIA.
SISTEMA DE GESTIÓN DE
CONTINUIDAD DE NEGOCIO.
ISO 22301:2019
ELIÉCER SÁNCHEZ SILVA
Doctor y magister en administración, ingeniero químico y especialista en gerencia de la producción mejoramiento continuo. Auditor
Líder/Jefe en sistemas integrados ISO 9001:2015, ISO 14001:2015 e ISO 45001:2018; Registro interamericano de auditores calificado
de empresa-técnicas aseguramiento de procesos AlasPro®. Diplomado en: Sistemas de gestión de seguridad basados en las normas
ISO 27001 SGSI, ISO 28000 SGSCS e ISO 31000 gestión del riesgo; Dirección de Proyectos de Ingeniería – Estándar PMI®.
Certificado: Auditorías internas remotas con apoyo de TIC´s; ISO 19011 Auditorías sistemas de gestión y profesional Scrum Master
“SMPC”
 Laboró en ECOPETROL S. A., durante 28 años en dónde se pensionó, desempeñándose como Gerente General (e), Gerente de
Producción, Superintendente Técnico y de Operaciones, Jefe de departamento de “HSEQ” en la Refinería de Barrancabermeja. Jefe
de División Tecnológica (e), del Instituto Colombiano del Petróleo “ICP”. Posee 432 horas de auditoría.
 Amplia experiencia en Continuidad de negocio; gestión de activos, auditorías energéticas, procesos industriales y en Dirección y
Gestión Técnica de Proyectos en: servicios industriales, refinación y petroquímica, de diverso grado de complejidad, en áreas de
diseño, construcción, puesta en servicio, recibo, mantenimiento, operación y desincorporación, cubriendo el ciclo de vida de los
mismos.
 Auditor interno en sistemas de gestión de: Continuidad de negocio ISO 22301; Seguridad de la información ISO 27001; Cadena de
suministro ISO 28000; Control y seguridad en el comercio internacional BASC v5; Activos ISO 55001; Energía ISO 50001; Auditorías
energéticas UNE-EN 16247-1 a 5; Proyectos ISO 21500; I+D+i UNE 166002; Evaluación HSE de contratistas NORSOK S-006;
Responsabilidad social SA 8000, SGE 21 y Antisoborno ISO 37001.
Actualmente: Experto técnico y Experto del comité de acreditación y apelaciones (OIN 11 y 19) del Organismo Nacional de
Acreditación de Colombia “ONAC”; Profesional externo, experto técnico y líder en formación de formadores de SGS Colombia SAS.;
Profesor universitario y Consultor empresarial.
[email protected]
OBJETIVO
Identificar e interpretar los requisitos definidos en la

norma ISO 22301:2019, para abordar escenarios de
auditoría y brindarle al participante competencias
específicas en la aplicación de las directrices para la
auditoría de sistemas de gestión bajo la norma
ISO19011:2018, con el objetivo que pueda fortalecer
sus competencias y desempeñarse como auditor interno
en cualquier organización.
© SGS SA 2019 ALL RIGHTS RESERVED 3

METODOLOGÍA
La formación se desarrollará a través de una

metodología teórico – práctica, la cual consiste en
una breve explicación del tema y desarrollo de
talleres que le facilitará a los participantes
herramientas para aplicar en su organización.

INTRODUCCIÓN
 ¿Qué es ISO 22301?
El nombre completo de esta norma es:
ISO 22301:2019 SEGURIDAD Y RESILIENCIA - SISTEMAS DE

GESTIÓN DE CONTINUIDAD DE NEGOCIO
Fue redactada por los principales especialistas en el tema y

proporciona el mejor marco de referencia para gestionar la
continuidad del negocio en una organización.
Es certificable, lo que significa que un tercero independiente y con
credibilidad respalda lo que ha implementado la Organización y
transmite tranquilidad a sus grupos de interés.
HISTORIA
 Evolución y otras normas
DRII
BCI BS ASIS/BSI PAS 200
NFPA Prácticas BS25999: 2
Buenas BCM.01 ISO/IEC ISO 22301 ISO 22301
1600 Profesionales 25777
Prácticas Standard 27031
1995 1997 2002 2003 2006 2007 2008 2010 2011 2012 2019
PAS 56 BS25999-1 ISO/PAS ISO/IEC
22399 24762
NTC 5722 NTC ISO
22301
Prácticas Guía de Buenas BS25999-1 ISO/22301 Especificación

Profesionales Prácticas BS25999-2 ISO/22313 Guía
Business
Vigente Continuity
Institute
Retirada
Colombia
FAMILIA ISO 22300
1. ISO 22300: 2018 Seguridad y resiliencia - Vocabulario

2. ISO 22311: 2012 Videovigilancia Interoperabilidad de exportación
3. ISO 22313: 2020 Sistemas de gestión de continuidad del negocio. Orientación sobre uso de ISO 22301
4. ISO 22315: 2014 Pautas de evacuación masiva para la planificación
5. ISO 22316: 2017 Principios y atributos de resiliencia organizacional
6. ISO / TS 22317: 2015 Directrices para el análisis de impacto al negocio (BIA)
7. ISO / TS 22318: 2015 Directrices para la continuidad de la cadena de suministro
8. ISO 22320: 2018 Gestión de emergencias Directrices para la gestión de incidentes
9. ISO / TS 22330: 2018 Directrices sobre aspectos de personas en la continuidad de negocio
10. ISO / TS 22331: 2018 Directrices para la estrategia de continuidad empresarial
11. ISO / TS 22375: 2018 Directrices para el proceso de evaluación de complejidad
12. ISO 22395: 2018 Directrices de resiliencia comunitaria para ayudar a personas vulnerables en una emergencia
13. ISO 22397: 2014 Directrices para establecer acuerdos mutuos
14. ISO 22398: 2013 Directrices para ejercicios
15. ISO 28000: 2007 Especificación para sistemas de gestión de seguridad para la cadena de suministro
16. ISO / AWI 22329 Gestión de emergencias - Pautas para el manejo de redes sociales en emergencias
17. ISO / AWI TS 22332 Orientación para desarrollar procedimientos de continuidad de negocio
18. ISO / WD 22340 Arquitectura de Seguridad, marco y directrices

INTRODUCCIÓN
Capacidad de una organización de continuar con la entrega de productos y

servicios dentro de marcos de tiempo aceptables a una capacidad
predefinida durante una interrupción
Fuente: ISO22300:2018

Breve panorama de escenarios de
interrupción para construir planes de CN
Biológicos y Políticos
- Pandemias - Lluvias
- Guerra - Tormentas
- Huelga - Sismos
- Disturbios - Tsunami
- Inestabilidad política - Erupciones volcánicas
- Tensión geopolítica
- Hacker
- Spam - Pérdidas en general
- Malware - Daño equipo
- Spyware - Accidentes HSEQ
- Virus - Robos, sobornos etc.
- Redes eléctricas
- UPS
- Muertes - Internet
- Quiebras - Radioactividad
- Secuestro - Atentados infraestructura
- Incendio
- Explosiones
Fuente: Adaptado por SÁNCHEZ, Eliécer (2020). ¿Porqué un sistema de gestión para la continuidad del negocio?, en: http://normaiso22301.com/porque-iso22301/ Marzo 6 de 2013
ANEXO SL* - HLS
Directriz ISO para la redacción de normas de S.
de G. basada en tres pilares
TEXTOS Y TÉRMINOS DEFINICIONES

TÍTULOS IDÉNTICOS PRINCIPALES
PARA LOS CAPÍTULOS COMUNES IDÉNTICOS
IDÉNTICAS
• Todas las normas tendrán • Todos los elementos • En todas las normas se
los mismos capítulos y comunes a todas las utilizará el mismo
secciones básicas. normas se describirán vocabulario básico.
• Para cada norma particular usando los mismos textos • Para cada norma podrán
pueden adicionarse (texto estándar – anexo SL) establecerse definiciones
subcapítulos y • En todas las normas se adicionales pero solamente
subcláusulas. utilizarán términos iguales para términos técnicos de
con significados iguales. la especialidad.
* Define estructura y formato común para todas las nuevas normas de S.G. y la revisión de
las normas existentes.
ESTRUCTURA DE ALTO NIVEL
4. Contexto de la Organización
5. Liderazgo
6. Planificación
Anexo
7. Recursos
SL
8. Operación
9. Evaluación de Desempeño
10. Mejora
ESTRUCTURA DEL ESTÁNDAR ISO 22301:2019
SEGURIDAD Y RESILIENCIA - SGCN

GENERALIDADES
Capítulo 0 • Introducción
Capítulo 1 • Alcance
Capítulo 2 • Referencias Normativas
Capítulo 3 • Términos
ESTRUCTURA DE LA
Capítulo 4 • Contexto de la Organización
NORMA ISO 22301:2019
Capítulo 5 • Liderazgo
Capítulo 6 • Planificación
Capítulo 7 • Apoyo
Capítulo 8 • Operación
Capítulo 9 • Evaluación del desempeño
Capítulo 10 • Mejora

CAPÍTULO 0
INTRODUCCIÓN

CAPÍTULO 0
INTRODUCCIÓN
0.3 Ciclo Planificar-Hacer-Verificar- Actuar - PHVA
El PHVA es una metodología dinámica que se puede desplegar dentro de cada uno de los procesos de la
organización, y a través de sus interacciones. Está asociada con la planificación, la implementación, la
verificación y la mejora.
Planificar: Hacer:
Establecer los objetivos del Planear Hacer Implementar lo planificado
sistema y sus procesos, y
los recursos necesarios para Capítulo Capítulo
generar y proporcionar
resultados de acuerdo con 4, 5, 6 y 7 8
los requisitos del cliente y
las políticas de la
organización, e identificar y
abordar los riesgos y las Actuar Verificar
oportunidades
Capítulo Capítulo
10 9 Verificar:
Actuar: Realizar el seguimiento y (cuando
sea aplicable) la medición de los
Tomar acciones para procesos, los productos y servicios
mejorar el desempeño, resultantes respecto a las políticas,
cuando sea necesario. los objetivos, lo requisitos y las
actividades planificadas, e informar
sobre los resultados
CAPÍTULO 1
OBJETO Y CAMPO DE APLICACIÓN
(ALCANCE)
CAPÍTULO 2
REFERENCIAS NORMATIVAS
CAPÍTULO 3
TÉRMINOS
CAPÍTULO 1. OBJETO Y CAMPO DE
APLICACIÓN (ALCANCE)
Es aplicable a todo tipo y tamaño de organizaciones que:
Implemente, mantenga y mejore un SGCN
Asegurar la conformidad con las políticas de

ISO 22301
continuidad del negocio establecidas
Especifica los
requisitos para un Tenga la capacidad de continuar ofreciendo sus
SGCN productos y servicios en una aceptable
capacidad predefinida durante una interrupción;
Busque mejorar su resiliencia a través de la
Para protegerse, reducir la probabilidad de ocurrencia de..,
prepararse, responder y recuperarse de las interrupciones aplicación efectiva del SGCN.
cuando estas surjan
Todos los requisitos son genéricos y se pretende que sean aplicables a

todas las organizaciones, sin importar su tipo, tamaño y el producto
suministrado.
CAPÍTULO 3. TÉRMINOS



OTROS TÉRMINOS Y DEFINICIONES

OTROS TÉRMINOS Y DEFINICIONES

REQUISITOS ISO 22301:2019 SGCN
PLANEAR HACER VERIFICAR ACTUAR
4
5
Contexto 6 7 8 9 10
Evaluación del
de la Liderazgo Planificación Soporte Operación Mejoramiento
desempeño
organización
Comprender la Acciones para Monitoreo,

Liderazgo y Planificación y No conformidad y
organización y su abordar riesgos y Recursos medición, análisis y
compromiso control operacional acción correctiva
contexto oportunidades evaluación
Comprender las Análisis de impacto

Objetivos para la
necesidades y del negocio y Mejora continua
Política CN y la planificación Competencia Auditoría interna
expectativas de las evaluación de
para lograrlos
partes interesadas riesgos
Planeación de Estrategias para
Requisitos legales y Funciones cambios en el
responsabilidad y Conocimiento continuidad de Revisión por la
reglamentarios sistema de gestión negocio y dirección
autoridad de CN soluciones
Determinar el Planes y Esquemas de respuesta

alcance del sistema procedimientos
Comunicación Advertencia y comunicación
de gestión de CN para la continuidad Planes para la CN
de negocio Recuperación
Sistema de gestión
de continuidad de Información Programa de
negocio documentada ejercicios
Evaluación de la CN
documentación y
capacidad de CN
Fuente: SÁNCHEZ SILVA, E (2021)

LÓGICA DE LA ISO 22301:2019 SGCN
Trasversal
Liderazgo y compromiso.
Alcance Control : Funciones, responsabilidad y autoridad.
Recursos. Competencias. Conocimiento.
- Procesos Comunicación.
Misión, metas y obligaciones E/I - Cambios Información documentada.
Monitoreo, medición, análisis y evaluación.
+ - Subcontratación Auditoría interna.
Determinar
- Cadena abastecimiento Revisión por la dirección.
- Externa Riesgos y No conformidades y acción correctiva.
- Interna Oportunidades Mejora.
Contexto + Planes y Esquemas de
- Relevantes procedimientos respuesta
- Necesidades Planear acciones
- Expectativas abordar R&O OPERACIÓN
Partes interesadas - Requisitos legales Control operacional
Implementar o activar
Programa de soluciones CN durante
Ejercicios/Evaluación interrupción
A P Política
CN Documentación y capacidad CN
SGCN
Antes, durante y Estrategias CN Varias soluciones CN
V H
Objetivos/metas de CN después interrupción
Política de CN (Continuar y recuperar actividades prioritarias MTPD y MBCO)
y su planeación
Proceso para BIA para determinar requisitos y prioridades de CN

- Tipos de impacto y criterios relevantes
- Productos y servicios claves
- Actividades soporte de provisión de productos y servicios
- Con tipos de impacto y criterios evaluar impacto a lo largo del tiempo que
Procesos para
resulten de una interrupción de esas Actividades
BIA y ER de
- Identificar MTPD periodo de tiempo en que impacto de no reanudar A/inacep. Proceso de Evaluación de Riesgos
interrupción
- Priorizar periodos de t. RTO dentro del MTPD, para reanudar Actividades
y su revisión - Identificar riesgos de interrupción (afectan P/S) de
interrumpidas a una capacidad mínima especificada MBCO
- Con lo anterior identificar actividades prioritarias las actividades prioritarias y sus recursos requeridos
- Determinar recursos necesarios para soportar actividades prioritarias. (RPO) - Analizar y evaluar los riesgos identificados
- Determinar las dependencias, socios y proveedores y las interdependencias - Determinar cuales riesgos necesitan tratamiento
de las actividades críticas
Fuente: SÁNCHEZ SILVA, E (2021)

CAPÍTULO 4
CONTEXTO DE LA
ORGANIZACIÓN

CAPÍTULO 4
Entorno CONTEXTO DE LA Entorno de la

empresarial ORGANIZACIÓN organización
4.1 COMPRENDER LA ORGANIZACIÓN 4.2 COMPRENDER LAS NECESIDADES Y

Y SU CONTEXTO EXPECTATIVAS DE LAS PARTES INTERESADAS
4.3 DETERMINACIÓN DEL ALCANCE

DEL SGCN
4.4 SISTEMA DE GESTIÓN DE

CONTINUIDAD DEL NEGOCIO

4.1 COMPRENDER LA ORGANIZACIÓN
Y SU CONTEXTO
Se relaciona con La organización debe:

6.1.1, con
8.1 y 9.3.2 b)
¿Afectan • Cuestiones
Capacidad Relevantes
para su
Internas
para lograr
objetivos? propósito • Cuestiones
Externas
Determinarlas

4.2 COMPRENDER LAS
NECESIDADES Y EXPECTATIVAS DE
LAS PARTES INTERESADAS Se relaciona con
4.2.1 Generalidades 4.2.2 Requis. Legales y reglam. 6.1.1/8.1/8.4.3 y 9.3.2 d)
Cuando establece SGCN debe determinar:
La organización debe:
Implementar y mantener procesos para
identificar, tener acceso y evaluar los
requisitos legales y reglamentarios
vigentes relacionados con la continuidad
de sus productos y servicios, actividades y
recursos;
Asegurar de que estos requisitos

regulatorios, legales y cualquier otro,
vigentes, sean tenidos en cuenta en la
implementación y mantenimiento del
SGCN;
Documentar esta información y

mantenerla actualizada.

4.3 DETERMINAR ALCANCE DEL
4.3.1 Generalidades La organización debe determinar los límites a)
y la aplicabilidad del SGCN para establecer
su alcance.
4.3.2 Alcance del SGCN

establecer que áreas / procesos, b)

regiones serán incluidas en el SGCN,
que productos y servicios
documentar y aclarar exclusiones, las cuales

no deben afectar la responsabilidad y
capacidad para la CN según lo determinado
en el AIN (BIA), AR o requisitos regulatorios y c) Misión, metas y
legales vigentes. obligaciones Int. y Ext.
4.4 SISTEMA DE GESTIÓN DE
La organización debe establecer, implementar, mantener y mejorar de

manera continua el SGCN, incluyendo los procesos necesarios y sus
interrelaciones, de acuerdo con los requisitos de este documento.

CAPITULO 5
LIDERAZGO

CAPITULO 5
5.2.2 COMUNICAR LA POLÍTICA DEL

5.2.1 ESTABLECER LA POLÍTICA DEL

5.2 POLÍTICAS
5.2.3 FUNCIONES,
RESPONSABILIDAD Y
5.1 LIDERAZGO Y AUTORIDAD
COMPROMISO
LIDERAZGO

5.1 LIDERAZGO Y
COMPROMISO
Asegurando políticas y objetivos de CN

6.3 c); 7.1; a) compatibles con la dirección estratégica
La alta dirección 8.2.3 a)
debe demostrar b) Asegurando integración de los requisitos del
SGCN en los procesos
Liderazgo c)
Asegurando que los Recursos necesarios
para el SGCN se encuentren disponibles
y d) Comunicando la importancia de la CN
Compromiso efectiva acorde con requisitos del SGCN
e) Asegurando que el SGCN logre los objetivos

deseados
f) Dirigiendo y apoyando al personal que

contribuye a la eficacia del SGCN;
g) Promoviendo el mejoramiento continuo;
Apoyando otras funciones gerenciales para

demostrar liderazgo y compromiso que
h) apliquen a sus áreas de responsabilidad.

5.2 POLÍTICA
5.2.2 Comunicar 5.2.1 Establecer

Política de CN b) política de CN
Proporcione La alta dirección
b) La política de
CN debe:
una estructura
para establecer
debe
establecer
Comunicarse los objetivos de
continuidad de una política de
dentro de la
organización negocio CN que:
c)
Incluya el
compromiso
para
a) satisfacer los
requisitos
Estar vigentes
disponible a)
como c) Sea apropiada a los
información propósitos de la
documentada
Estar disponible para d) organización
las partes interesadas,
según convenga.
Estar disponible
paraellas
Incluya partes
compromiso
para interesadas,
el mejoramiento
según
continuo del sea
SGCN.
apropiado.

5.2.3 FUNCIONES,
RESPONSABILIDADES Y
AUTORIDAD
7.3 d) y
8.4.2.4 a)
Funciones
responsabilidades
y autoridad

CAPITULO 6
PLANIFICACIÓN

CAPITULO 6
PLANIFICACIÓN
6.1 ACCIONES 6.2 OBJETIVOS PARA

PARAABORDAR LA CONTINUIDAD DEL
NEGOCIO Y LA
RIESGOS Y
PLANEACIÓN PARA
OPORTUNIDADES
LOGRARLOS
6.3 PLANIFICACIÓN DE LOS CAMBIOS

DEL SGCN

6.1 ACCIONES PARA ABORDAR LOS
RIESGOS Y LAS OPORTUNIDADES
6.1.1. Determinar los riesgos y las oportunidades
Al realizar la planeación del SGCN, la organización debe considerar las cuestiones del
numeral 4.1, requisitos del 4.2. así como determinar riesgos y oportunidades que
necesitan abordarse para: b) c)
Asegurarse que el
Prevenir o reducir, Lograr el
a) SGCN pueda lograr
los resultados mejoramiento
los resultados
indeseado continuo.
deseados
6.1.2. Abordar riesgos y oportunidades: La organización debe planear:
Acciones para abordar b)

a) los riesgos y las como:
oportunidades;
Nota. Los riesgos y las oportunidades se Integrar e implementar 2)

relacionan con la eficacia del SG. Los 1) las acciones en los Evaluar la eficacia de
riesgos relacionados con la interrupción procesos del SGCN estas acciones (9.1)
del negocio se abordan en numeral 8.2 (8.1)

6.2 OBJETIVOS PARA LA CONTINUIDAD
DEL NEGOCIO Y LA PLANEACIÓN PARA
LOGRARLOS
Ser consistentes con la
6.2.1 Establecer los a) política de continuidad
de negocio;
objetivos para la CN
Ser medibles (si
b) es viable)
La organización
debe establecer Tener en cuenta los
c) requisitos vigentes
objetivos de (4.1 y 4.2);
Los objetivos
continuidad en de CN deben
las funciones y d) Monitorearse
niveles
relevantes. e) Comunicarse
Actualizarse según
6.2.2 Determinar convenga. Asegurarse que
f) el SGCN logre los
Los objetivos
resultados deseados;
Para la CN
Al planificar como
lograr los objetivos
de CN la organización
a) Qué b) Recursos c) Quién d) Cuando e) Evaluar
debe determinar:
finaliza resultados
Debe conservar información documentada sobre los objetivos para la CN
6.3 PLANEACIÓN DE CAMBIOS EN EL
8.1 y 8.5 g) a)
Cuando la organización determine la • Cambio • Cambio
necesidad de cambios en el SGCN,
incluyendo los generados en numeral a) b)
10, se deben llevar a cabo de forma El propósito
del cambio y La integridad
planificada. sus con el SGCN
consecuencias
La organización debe considerar: potenciales
5.2.3
• Cambio
• Cambio
c) d)
Disponibilidad
de recursos Asignación o
reasignación de
responsabilidades y
autoridad

CAPITULO 7
SOPORTE
Se relaciona con
la cultura de la
organización

CAPITULO 7
SOPORTE
7.1 Recursos
7.2 Competencia
7.3 Conocimiento
7.4 Comunicación
7.5.1 Generalidades
7.5 Información Documentada
7.5.2 Creación y Actualización
7.5.3 Control de la
Información Documentada

7.1 RECURSOS
5.1 c); 8.2.3 a) y

8.3.4
La organización debe
determinar y brindar los
recursos necesarios para el
establecimiento, implementación.
mantenimiento y mejora
continua del SGCN
Determinar la
competencia de las
personas que gestionan
la continuidad de
negocio; Asegurar tales competencias
y documentarlas
Recursos humanos

7.2 COMPETENCIA
La organización debe: a) Determinar las

competencias b) Asegurar que estas
necesarias de las personas son
personas que trabajan competentes
8.4.2.3 bajo su propio control basándose en la
y que afecta su educación, formación
desempeño de o experiencia
continuidad del apropiadas;
negocio;
c) Cuando sea aplicable,

tomar acciones para d) Conservar información
adquirir las
documentada como
competencias
evidencia de las
necesarias, y evaluar
la eficacia de las competencias.
acciones tomadas;
Nota Las acciones aplicables pueden incluir, por ejemplo, la formación, de tutoría, o la
reasignación de personas actualmente; o la contratación de personas competentes
7.3 TOMA DE CONCIENCIA
b) Su contribución
para la eficacia
a) La política de del SGCN,
continuidad de incluyendo los
negocio beneficios de
mejorar el
desempeño de la
CN
c) Las d) Sus funciones y

implicaciones de
Las personas que trabajen las no responsabilidades
antes, durante y
bajo el control de la conformidades después de las
con los
organización deben tener requisitos del
interrupciones.
en cuenta: SGCN
Cultura organizacional
en CN y cambio 5.2.3 y 8.4.2.4 a)
cultural
7.4 COMUNICACIÓN
La organización debe determinar las comunicaciones internas y externas

pertinentes para el SGCN, que incluyan:
e) Quien
comunicará
d) Como
comunicar
d)
c) A quién
comunicar
b) Cuando
comunicar
a) Qué
comunicar
7.5 INFORMACIÓN DOCUMENTADA
7.5.1 7.5.2 7.5.3

Generalidades Creación y
Control
Actualización Información documentada
El SGCN debe incluir
Debe asegurarse debe ser controlada para asegurar:
a)Disponible, donde y
7.5.3.1
a) La información a) Identificación y cuando se necesite
documentada descripción
requerida por este b) Protegida
documento
b) a) Distribución, acceso,
Formato (software) y recuperación y uso
medios de
b) La información b) Almacenamiento y
7.5.3.2
Soporte preservación
documentada que
la organización
determina como c) c)Control de cambios
necesaria para la Revisión y aprobación
eficacia del SGCN para conveniencia y
adecuación d) Conservación y
disposición
La información documentada de origen externo que la organización determina como necesaria para la planificación y
operación del SGCN debe identificarse según sea apropiado, y controlar
CAPITULO 8
OPERACIÓN

CAPITULO 8 OPERACIÓN
8.1 PLANIFICACIÓN Y CONTROL OPERACIONAL
8.2 ANÁLISIS IMPACTO AL NEGOCIO Y EVALUACIÓN DEL 8.3 ESTRATEGIAS Y SOLUCIONES PARA LA
RIESGO CONTINUIDAD DEL NEGOCIO
1. Generalidades
8.2.1 Generalidades
2. Identificación de estratégicas y
8.2.2 Análisis del impacto al negocio BIA soluciones
3. Selección de estrategias y
soluciones
8.2.3 Evaluación de Riesgos 4. Requisitos de recursos
5. Implementación de soluciones
8.4 PLANES Y PROCEDIMIENTOS PARA LA

8.5 PROGRAMA DE EJERCICIOS CONTINUIDAD DEL NEGOCIO
8.4.1 Generalidades
8.4.2 Esquema de respuestas
8.4.3 Advertencia y comunicación
8.4.4 Planes para la continuidad del
8.6 EVALUACIÓN DE LA DOCUMENTACIÓN Y negocio
CAPACIDAD DE CONTINUIDAD DE NEGOCIO 8.4.5 Recuperación

8.1. PLANIFICACIÓN Y CONTROL OPERACIONAL
Business Continuity Planning
La organización debe planificar, implementar y
controlar procesos necesarios para lograr los
requisitos e implementar las acciones
determinadas en 6.1, mediante:
Establecer criterios para los procesos

- Legales (4.2.2)
- Partes interesadas (4.2.1 b)
- Propios empresa
- Especificación de variables Implementación de control a los procesos
operativas
de acuerdo con los criterios
- Contractuales
- TIC´s (RPO), RTO, MTPD, MBCO
- Documentales (información
Mantener la información documentada
documentada para tener confianza que los procesos
- Humanos (competencias, se llevan a cabo según lo planificado
autoridad y responsabilidad)
- Técnicos y de TI (Instrumentos,
hardware, software y demás) La organización debe controlar los cambios
- Emergencia planificados y revisar consecuencias de los
cambios no intencionados, tomando acción para
mitigar efectos adversos
6.3
La organización debe asegurar los procesos

subcontratados y la cadena de abastecimiento
Compras
sean controlados
El proceso de la gestión del riesgo
Para los procesos y actividades prioritarias
que soportan la provisión de productos y
servicios esenciales dentro del alcance 8.2.3 Evaluación de riesgos
La organización debe implementar y mantener un
proceso de evaluación de riesgos.
a) Identificar el
riesgo de
interrupción de
las actividades
prioritarias de la
organización y de
sus recursos
requeridos;
b) Analizar y
valorar los
riesgos
identificados;
c) Determinar
cuáles riesgos
necesitan
tratamiento.
Fuente: ISO 31000:2018. Gestión del riesgo. Directrices

NOTA. El proceso para la elaboración de riesgos se aborda
en la norma ISO 31000
8.2 ANÁLISIS DE IMPACTO AL NEGOCIO
Y EVALUACIÓN DE RIESGOS
8.2.1 Generalidades. Resultado de una

interrupción
a) implementar y mantener procesos sistemáticos

para analizar el impacto empresarial y evaluar los
riesgos de interrupción;
Mediante seguimiento y
medición
b) revisar el BIA y la evaluación de riesgos en

intervalos planificados y cuando haya
cambios significativos dentro de la
organización o en el contexto en el cual se
opera
Evaluación
BIA
de riesgos

8.2 ANÁLISIS DE IMPACTO AL NEGOCIO Y
EVALUACIÓN DEL RIESGO
8.2.2 (BIA)
La organización debe usar procesos para analizar el impacto empresarial para determinar los
requisitos y prioridades de la continuidad de negocio. El proceso debe:
8.2.1 a)
b) Identificar c) Usar los d) Identificar

a) Definir tipos actividades que tipos de el periodo de
de impacto (Ej. soportan a la impacto y tiempo de
Financiero, provisión de criterios para interrupción y
reputación, productos y evaluar el cuando es
ambiente) y servicios impacto a lo inaceptable
criterios largo del (MTPD)
relevantes para tiempo que
el contexto de resulten de
la organización una
(Ejemplo interrupción
compromiso de de esas
calidad, actividades
aspecto social)
Ejemplo: Información a recuperar (facturación,
compromisos pago, acreedores, impuestos y
demás) relacionada con RPO; TIC´s y demás

8.2. ANÁLISIS DE IMPACTO AL NEGOCIO Y
8.2.2 (BIA)
e) Priorizar f) Usar este análisis h) Determinar las

períodos de para identificar dependencias,
tiempo dentro del actividades incluyendo socios
periodo prioritarias y proveedores, y
identificado en las
literal d), para interdependencias
reanudar las g) Determinar de las actividades
actividades (RTO cuales prioritarias
y RPO) recursos se
interrumpidas en necesitan para
una capacidad soportar las Outsorcing, cadena de suministro,
aceptable mínima socios de negocios, servicios
actividades
especificada esenciales, autoridades (policía,
priorioritarias fiscalía), bomberos, defensa civil,
“MBCO” entre otras
8.2. ANÁLISIS DE IMPACTO AL NEGOCIO Y
De las actividades del

8.2.3 Evaluación de riesgos negocio ver nota
La organización debe implementar y mantener un proceso de evaluación de riesgos.

c) Determinar
cuáles riesgos
b) Analizar y necesitan
valorar los tratamiento.
riesgos
identificados;
a) Identificar el riesgo
de interrupción de
las actividades
prioritarias de la
organización y de
sus recursos
requeridos; NOTA. El proceso para la elaboración de riesgos se aborda
8.3.4 en la norma ISO 31000
Nota Los riesgos en este subnumeral se relacionan con la interrupción de las actividades de negocio. Los
riesgos y las oportunidades relacionadas con la eficacia del SG se abordan en el numeral 6.1
8.3. ESTRATEGIAS PARA LA CONTINUIDAD
DE NEGOCIO Y SOLUCIONES
- Ciclo de vida del impacto (continuar y recuperar).

- DRI o Plan de recuperación de desastres (Respecto a TI:
recuperar de forma efectiva sus datos, aplicaciones, redes,
8.3.1 Generalidades comunicaciones y demás servicios después de que se
genere una caída del servidor)
La organización debe identificar y seleccionar las

estrategias para la continuidad del negocio que considere
opciones para antes, durante y después de una interrupción,
basados en los resultados del análisis de impacto al negocio
y la evaluación de riesgos. Las estrategias para la
continuidad del negocio deben componerse de una o más
soluciones.
8.3. ESTRATEGIAS PARA LA CONTINUIDAD
DE NEGOCIO Y SOLUCIONES
8.3.2 Identificación de estrategias y soluciones
8.2.2 d) y e)
La identificación de las estrategias y soluciones debe basarse en la medida que estas:
Ej. Calidad, especif._Lab., registros de datos, facturas
a) Logren los requisitos para continuar y recuperar
las actividades prioritarias dentro del periodo de
tiempo identificado (RTO) y la capacidad acordada
(MBCO)
b) Consideren el importe y tipo de riesgos

que la organización puede o no asumir
c) Consideren los costos y beneficios

asociados
- Protejan las actividades priorizadas de la organización

- Reduzcan la probabilidad de interrupción
- Acorten el periodo de interrupción
- Limiten el impacto de la interrupción en los productos y servicios de la organización
- Proporcionen disponibilidad de recursos adecuados.

8.3. ESTRATEGIAS Y SOLUCIONES
PARA LA CONTINUIDAD DE NEGOCIO
8.3.3 Selección de estrategias y soluciones

Ej. Nuevas especificaciones de calidad; aplicaciones
modificadas: SAP, financieras, presupuestales, DCS y otras La selección debe basarse en la medida en que las
estrategias y soluciones:
Evidencia
a) Cumpla con los
requisitos para continuar
y recuperar las
actividades prioritarias
dentro del período de
tiempo identificado y la
capacidad acordada
b) Considere el
c) Considere los importe y tipo de
beneficios y riesgo que la
costos asociados organización puede
o no asumir

8.3. ESTRATEGIAS Y SOLUCIONES
8.3.4 Requisitos de g) Finanzas

a) Personas
h) Socios y
La organización debe determinar los proveedores.
requisitos de recursos
correspondientes a las soluciones e)Sistemas de
seleccionadas. Los tipos de recursos a f) Transporte y información
considerar deben incluir, pero no logística (tecnología),
comunicaciones
limitarse a:
d) Equipos y b) Información y
consumibles datos
Diferentes a las
de la operación
normal c) Infraestructura
física

8.4. PLANES Y PROCEDIMIENTOS PARA
LA CONTINUIDAD DE NEGOCIO
D
Eq1 Eq2 Eq3 8.4.2 Interfuncionales

8.4.1 Generalidades
8.4.3
La organización debe implementar y mantener esquemas
8.4.1 Procedimientos de respuesta que permitan una advertencia oportuna y la Gestión del
8.4.4 Planes
Para activar las
comunicación a las partes interesadas relevantes. incidente en el
ciclo de vida de
soluciones
la interrupción
Debe brindar planes y procedimientos para gestionar la
organización durante una interrupción.
Los planes y procedimientos deben usarse cuando se

requieren activar las soluciones para la continuidad de
negocio.
8.4.2.4 b)
- Plan de recuperación de desastres (Enfocada a TI) 8.4.3.1
- Plan de comunicación de crisis 8.4.4.2 c)
- Plan de emergencias (a nivel de instalaciones o unidades, por naturaleza - tipo – nivel de impacto del incidente y demás)
Nota Hay diferentes tipos de procedimientos que

comprenden los planes de continuidad de negocio.
8.4.1 Generalidades Continuación
Los planes brindan La organización debe identificar y documentar los planes y

orientación e información
para ayudar a los equipos a
procedimientos para la continuidad de negocio basados en el
responder ante una resultado de las estrategias y soluciones seleccionadas.
interrupción (8.4.4.1)
Los procedimientos deben: Una estrategia tiene uno o varias

soluciones
a) Ser específicos con respecto a los pasos inmediatos que deben

tomarse durante una interrupción;
b) Ser flexibles para responder a las cambiantes condiciones internas
y externas de una interrupción;
c) Enfocarse en el impacto de los incidentes que potencialmente
conduzcan a una interrupción;
d) Ser efectivos minimizando el impacto a través de la
implementación de las soluciones apropiadas;
e) Asignar las funciones y las responsabilidades para las tareas
dentro de ellos.
8.4. PLANES Y PROCEDIMIENTOS
Estructura orgánica 8.4.2 Esquemas de respuesta
8.4.2.1 La organización debe implementar y mantener un esquema, identificando uno o

más equipos responsables, para responder durante las interrupciones.
8.3
Estructura de
Estrategias Soluciones
Respuesta
• Alta Dirección
• Lideres
• Gestores
• Proveedores 8.4
• Empleados
Planes
Procedimientos
Esquema
Responsables, para
responder durante las
Mas
Uno o interrupciones.
equipos

8.4. PLANES Y PROCEDIMIENTOS PARA LA CONTINUIDAD DE NEGOCIO
8.4.2 Esquemas de respuesta
ISO 45001
Ver 8.4.2.3 - Puntos de encuentros
8.4.2.2 Las funciones y las responsabilidades de c/equipo y las - Rutas de evacuación Escalar
relaciones entre ellos deben establecerse claramente - Primeros auxilios (Triage)
a) Evaluar la naturaleza y el alcance de una

1 2 interrupción y su impacto potencial;
b) Evaluar el impacto contra los límites predefinidos

que justifican el inicio de una respuesta formal
c)Activar la respuesta conveniente para la continuidad

de negocio
3
d) Planificar acciones que necesiten emprenderse
e) Establecer prioridades (la primera prioridad debe ser

la seguridad de la vida)
f) Monitorear los efectos de la interrupción y la

respuesta de la organización
Uno o g) Activar las soluciones para la continuidad de

8.4.2.3 En conjunto, los equipos deben ser negocio
competentes para: h) Comunicarse con las partes interesadas relevantes,
las autoridades y los medios.
8.4.3 8.3.3
8.4. PLANES Y PROCEDIMIENTOS PARA LA
CONTINUIDAD DE NEGOCIO
8.4.2 Esquemas de respuesta
8.4.2.4 Para cada equipo debe haber:
a) Personal identificado y sus suplentes con las

responsabilidades, autoridad y competencia
necesarias para desempeñar la función designada;
b) Procedimientos documentados para guiar sus

acciones (ver numeral 8.4.1), incluyendo aquellos
para la activación, operación, coordinación y
comunicación de la respuesta.
8.4.3
a) Comunicar In./Ex. a las partes interesadas relevantes
incluyendo qué, cuando, con quien y que comunicar (ver nota)
b) Recibir, comunicar y responder a las comunicaciones de las

partes interesadas, incluyendo cualquier sistema de asesoría
de riesgo nacional o regional o su equivalente;
c)Asegurar disponibilidad de medios de comunicación durante

una interrupción;
d) Facilitar la comunicación estructurada con los organismos de

socorro;
8.4.3.1 e) Brindar detalles de la respuesta a los medios de

comunicación de la organización después de un incidente,
incluyendo una estrategia de comunicación;
La organización debe
documentar y mantener
f) Registrar los detalles de la interrupción, las acciones
procedimientos para: realizadas y decisiones tomadas.
Nota. La organización puede documentar y mantener procedimientos para cómo, y bajo que
circunstancias, la organización se comunica con sus empleados y sus contactos de emergencia.
8.4.3
8.4.3.2 Cuando sea necesario, debe considerarse e

implementarse lo siguiente:
a) Alertar a las partes interesadas potencialmente

afectadas por una interrupción real o inminente;
b) Asegurar la coordinación y comunicación
adecuadas entre las múltiples organizaciones;
Los procedimientos de comunicación y advertencia

deben practicarse como parte del programa de
ejercicios de la organización como se describe en el
numeral 8.5.
8.4.4 Planes para la Continuidad de Negocio
8.4.4.1 La organización debe documentar y mantener

planes y procedimientos para la continuidad del
negocio.
Los planes para la continuidad del negocio deben

brindar orientación e información para ayudar a los
equipos a responder en una interrupción y ayudar a la
organización en la respuesta y recuperación.
8.4.4 Planes para la CN
8.4.4.2 En conjunto, los planes para la continuidad de negocio deben contener:
1) • continuar o recuperar las actividades prioritarias dentro de los periodos

a) Detalle de las acciones que de tiempo predeterminados;
2) • monitorear el impacto de la interrupción y la respuesta de la
los equipos tomarán para: organización;
b) Referencia de los límites 8.4.5 Recuperación

predefinidos y los
“La organización debe tener
procesos para activar la procesos documentados para
respuesta; restaurar y volver a las
actividades empresariales a partir
de las medidas temporales
c) Procedimientos para adoptadas durante y después de
permitir la oferta de la interrupción"
productos y servicios en
una capacidad acordada;
d) Detalles para gestionar las

1) • el bienestar de los individuos; ISO 45001
consecuencias inmediatas 2) • la prevención de nuevas pérdidas o la indisponibilidad de las actividades
de una interrupción prioritarias;
3) • el impacto en el medio ambiente. ISO 14001
teniendo en cuenta:
8.4.4 Planes para la CN
8.4.4.3 Dentro de cada plan debe incluir:
a) f)
b) g)
h)
c)
d)
e)
Cada plan debe ser utilizable y estar disponible en el momento y lugar en el que se requiera.
Procedimiento. Forma especificada

8.4.5 Recuperación de llevar a cabo una actividad o un
proceso.
Nota los procedimientos pueden

estar documentados o no.
(ver 3.4.5 ISO 9000:2015
La organización debe tener procesos documentados

para restaurar y volver a las actividades
empresariales a partir de las medidas temporales
adoptadas durante y después de la interrupción.
8.5. PROGRAMA DE EJERCICIOS
Se debe implementar y mantener un programa de ejercicios y Incluir 8.4.3.2

pruebas que validen eficacia soluciones y estrategias
La organización debe conducir ejercicios y pruebas que:
a) Sean consistentes con los objetivos para la CN
Estén basados en escenarios adecuados que estén bien

b)
planificados con objetivos y propósitos definidos
D c) Desarrollen el trabajo en equipo, competencia, confianza y

conocimiento para quienes desemp. funciones interrupción
d) Validen las estrategias y soluciones para CN a lo largo

del tiempo
e)Produzcan reportes formalizados después de ejercicios

con resultados, recomendaciones y acciones de mejora
La organización debe actuar de
f) Se revisen en el contexto de promoción de mejora continua acuerdo con los resultados de los
ejercicios y las pruebas para
g)Se desarrollen en intervalos predeterminados y cuando implementar cambios y mejoras.
hay cambios significantes en organización y su contexto
8.6. EVALUACIÓN DE LA DOCUMENTACIÓN
Y CAPACIDAD DE CONTINUIDAD DE NEGOCIO
Ver 9.3.2 h)
a)Evaluar la pertinencia, idoneidad y eficacia del BIA, la

evaluación del riesgo, estrategias, soluciones, planes y
procedimientos;
b)Realizar evaluaciones a través de revisiones, análisis,

ejercicios, pruebas, reportes después de incidentes y
evaluaciones del desempeño;
c)Dirigir evaluaciones de la capacidad de continuidad de

negocio de los socios y proveedores relevantes;
d)Eevaluar cumplimiento de los requisitos regulatorios y

legales vigentes, buenas prácticas industriales y la
conformidad con sus políticas y objetivos de CN
e)Actualizar la documentación y los procedimientos de manera

periódica.
Estas evaluaciones deben realizarse en intervalos predeterminados; después de un incidente o

activación y cuando se presenten cambios significativos.
CAPITULO 9
EVALUACIÓN DEL DESEMPEÑO

CAPITULO 9
EVALUACIÓN DEL DESEMPEÑO
9.1 MONITOREO, MEDICIÓN,

ANÁLISIS Y EVALUACIÓN
9.2 AUDITORÍA INTERNA
9.2.1 GENERALIDADES
EVALUACIÓN DEL DESEMPEÑO 9.2.2 PROGRAMAS DE AUDITORIA
9.3 REVISIÓN POR LA DIRECCIÓN
9.3.1 GENERALIDADES
9.3.2 CONSIDERACIONES DE LA
REVISIÓN POR LA DIRECCIÓN
9.3.3 RESULTADOS DE LA
REVISIÓN POR LA DIRECCIÓN

La organización debe determinar
a) Que necesita 1) P rue bas

2) Capa cit ació n
seguimiento y medición 3) Contratistas
Por Ejemplo:
- Seguimiento o monitoreo 8.4.2.3 f)
- Medir eficacia de los controles 9.3.3.1 d)
b) Los métodos de
1) I ndicado res
seguimiento, medición, 2) Monitoriza ción
análisis y evaluación 3) Reun ione s
necesarios para 4) S upe rvisión

5) E sta dísticas
asegurar resultados
válidos.

La organización debe determinar
c) Cuándo y quien 1) Mensual

realizará seguimiento y 2) Trimestral
la medición.
Por Ejemplo:
3) Semestral
d) Cuándo y quien
realizará el análisis y la
1) En el comité mensual
evaluación de los
2) En la evaluación para el
resultados del
desempeño.
seguimiento y la
3) Rendición de cuentas
medición
La organización debe conservar la información documentada apropiada como evidencia de los resultados.
La organización debe evaluar el desempeño y la eficacia del SGCN.

9.2.1 La organización debe llevar a cabo auditorías

internas en intervalos planificados para proporcionar
información de si el SGCN:
a) Es conforme con:
b)Se implementa y se
mantiene eficazmente
1) Los requisitos propios de la

organización para su SGCN;
2) Los requisitos de este

documento

9.2.2 Programa de auditoría
a) Planear, establecer,
implementar y mantener
uno o varios programas
de auditoría que
incluyan la frecuencia,
los métodos, las c) Seleccionar los
responsabilidades, los auditores y llevar a cabo
requisitos de b) Definir los
auditorias para asegurar
planificación y la criterios de la
la objetividad y la
elaboración de informes, auditoría y el
imparcialidad de los
que deben tener en alcance de cada
procesos auditados;
consideración la auditoría;
importancia de los
procesos involucrados y
los resultados de las
auditorías previas;

e) Conservar
d) Asegurase de que información como
evidencia de la
los resultados de las implementación del
auditorías se
programa de
informen a la auditoria y de los
dirección pertinente;
resultados de las
auditorías;
f) Asegurar que las g) Asegurar que las

acciones correctivas acciones de auditorías
adecuadas se de seguimiento
tomen sin demoras incluyan la verificación
de las medidas
injustificadas para
La organización debe: eliminar las no
adoptadas y la
presentación de
conformidades informes de los
detectadas y sus resultados de
causas; verificación.

RUTA PARA LA AUDITORÍA AL PCN
Amenazas Política de continuidad

1 Vulnerabilidades
Oportunidades
Análisis de impacto al negocio “BIA”
Modificación de activos/sistemas críticos
Impactos, RTO, RPO, MBCO y MTPD
CONTEXTO ESTRATEGIA 3 Apetito de riesgo
Prioridades de recuperación
Soluciones (personas, predios, tecnología, información y suministros)
Aplicación plan de entrenamiento

Criterios activación y notificación del PCN Amenazas
RIESGOS
OPERACIÓN Planes de emergencia y contingencia Vulnerabilidades
Actividades y procedimientos de recuperación 1
Y SU 4 Actividades y procedimientos de continuidad
Oportunidades
Estrategias de mitigación
2 Tratamiento de riesgos CONTROL Actividades y procedimientos de retorno normalidad
CONTEXTO
Funciones, responsabilidades y autoridad
Planes de comunicación
Resultados de: Resultados de:

SITIO RIESGOS
7 Nivel de madurez SEGUIMIENTO Y
5 Planeamiento de la prueba
Auditorías anteriores MEDICIÓN Procedimiento PCN ALTERNO Estrategias de mitigación
Realización de la prueba
2 Tratamiento de riesgos
Cobertura del seguro

REVISIÓN POR LA
MEJORAMIENTO Costos de seguros y primas
6 Controles de acceso físico
DIRECCIÓN Control de temperatura
Cobertura reemplazo de equipos
Circuitos eléctricos
Cobertura costos de interrupción
Mantenimiento del plan Sistema comunicaciones
Forma de contrato y reglas de uso
Sistemas TI
Costos cubiertos
Sistema extinción incendios
Realización de pruebas
Evaluación documentación y capacidad CN
Fuente: SÁNCHEZ SILVA, E. (2021). A partir de RÍOS GIRALDO, R M. Caja de herramientas de CN. Webinar Semana del libro Icontec. Marzo. 2021
9.3 REVISIÓN POR LA
DIRECCIÓN
9.3.1. Generalidades
La alta dirección debe revisar el SGCN de

la organización en intervalos
predeterminados, para asegurar su
continua pertinencia, idoneidad y eficacia.
DIRECCIÓN
9.3.2 Consideraciones de la revisión por la dirección
La revisión por la dirección debe considerar:
a) El estado de las acciones de
revisiones por la dirección
previas
b) Cambios de las cuestiones

internas y externas que sean
relevantes para el SGCN
c) Información del desempeño del 1)• No conformidades y acciones correctivas

SGCN, incluyendo tendencias 2) • seguimiento y resultados de la evaluación de medición
3)• resultados de auditoría
en:
d)Retroalimentación de las partes

interesadas
e) La necesidad de cambios en el
SGCN, incluyendo la política y los
objetivos
DIRECCIÓN
La revisión por la dirección debe considerar.
f) Los procedimientos y los recursos que
pueden usarse en la organización para
mejorar el desempeño y la eficacia del
SGCN;
g) Información del análisis de impacto al

negocio y el análisis de riesgos;
h) Resultados de la evaluación de la
documentación y capacidad de
continuidad de negocio (ver numeral 8.6);
i) Riesgos o asuntos no abordados de

manera adecuada en cualquier
evaluación de riesgos anterior;
j) Lecciones aprendidas y acciones
derivadas de los cuasi errores e
interrupciones;
k) Oportunidades para el mejoramiento

continuo
DIRECCIÓN
9.3.3 Resultados de la revisión por la dirección
9.3.3.1 Los resultados de la revisión por la dirección deben

incluir decisiones relacionadas con las oportunidades de
mejoramiento continuo y cualquier necesidad de cambio
en el SGCN para mejorar la eficiencia y eficacia,
incluyendo lo siguiente:

DIRECCIÓN
9.3.3.2 La organización debe

conservar la información
documentada como evidencia
de los resultados de la
revisión por la dirección.
Debe:
a)Comunicar los resultados de b) Tomar las convenientes

la revisión por la dirección a
las partes interesadas acciones relacionadas con
relevantes; esos resultados.

CAPITULO 10
MEJORA

CAPITULO 10
MEJORA
10.1
NO CONFORMIDAD
Y ACCIÓN
CORRECTIVA
10.2
MEJORA
CONTINUA

10.1 NO CONFORMIDAD Y
ACCIÓN CORRECTIVA
10.1.1 La organización debe determinar las oportunidades de mejoramiento e implementar acciones
necesarias para lograr los resultados del SGCN.
10.1.2 Cuando ocurra una no conformidad, la organización debe:
Reaccionar ante la no conformidad, y 1) • tomar acciones para controlarla y corregirla;

a) cuando sea aplicable: 2) • hacer frente a las consecuencias
Evaluar la necesidad de acciones para 1) • la revisión de la no conformidad

eliminar las causas de la no conformidad,
b) con el fin de que no vuelvan a ocurrir en
2) • la determinación de las causas de la no conformidad;
3) • la determinación de si existen no conformidades similares, o que
otro parte, mediante mediante: potencialmente puedan ocurrir
La determinación de si existen no
conformidades similares, o que
potencialmente puedan ocurrir
Implementar cualquier acción necesaria

c)
Revisar la eficacia de cuelquier acción

d) correctiva tomada
Si fuera necesario, hacer los cambios

e) en el SGCN.
Las acciones correctivas deben ser apropiadas para los efectos de las
no conformidades encontradas
10.1 NO CONFORMIDAD Y
ACCIÓN CORRECTIVA
10.1.3 La organización debe conservar la información

documentada como evidencia de:
a) La naturaleza de las no conformidades y cualquier

acción tomada posteriormente;
b) Los resultados de cualquier acción correctiva.

10.2 MEJORA CONTINUA
Mediciones cualitativas y cuantitativas

La organización debe mejorar de
manera continua la conveniencia,
adecuación y eficacia del SGCN,
basado en las mediciones
cualitativas y cuantitativas.
La organización debe considerar los resultados

del análisis y la evaluación, y los resultados de la
revisión de la dirección, para determinar si hay
necesidades u oportunidades, relacionadas con
la empresa, o el SGCN, que considerarse como
parte de la mejora continua.
Nota. La organización puede usar los procesos del

SGCN, como el liderazgo, la planeación y la
evaluación del desempeño, para mejorar

BIBLIOGRAFÍA
• CONTADURÍA GENERAL DE LA NACIÓN COLOMBIA. Plan de continuidad de negocio de TI. GTI-PCN01. Versión 4
de 22-07-2020. Unidad Administrativa Especial. Bogotá.
• INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. NTC-ISO 22301:2019 Seguridad y

resiliencia. Sistema de gestión de continuidad de negocio. Requisitos. ICONTEC. Bogotá.
• INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. NTC – ISO 31000:2018. Gestión del
riesgo. Directrices. ICONTEC. Bogotá.
• INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO 22313:2020 Security and resilience — Business
continuity management systems — Guidance on the use of ISO 22301. ISO, Geneve.
• MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES DE COLOMBIA. Guía para

realizar el análisis de impacto de negocios BIA. Guía 11. Bogotá. 2015. Disponible en Internet:
https://www.mintic.gov.co/gestionti/615/articles-5482_G11_Analisis_Impacto.pdf Revisado 12-11-2020.
• SHARP, John. El mapa de ruta. Hacia la gestión de la CN. Cumplimiento de los requisitos de la continuidad del
negocio. Icontec (bsi). Bogotá, 2018.

Present. AI ISO 22301 - 2019 SGCN FEUD Marzo26 - Mayo 9 - 2021

Cargado por

Copyright:

Formatos disponibles

Present. AI ISO 22301 - 2019 SGCN FEUD Marzo26 - Mayo 9 - 2021

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Present. AI ISO 22301 - 2019 SGCN FEUD Marzo26 - Mayo 9 - 2021

Cargado por

Copyright:

Formatos disponibles

FORMACIÓN EN

Identificar e interpretar los requisitos definidos en la

© SGS SA 2019 ALL RIGHTS RESERVED 3

La formación se desarrollará a través de una

© SGS SA 2019 ALL RIGHTS RESERVED 4

 ¿Qué es ISO 22301?

El nombre completo de esta norma es:

ISO 22301:2019 SEGURIDAD Y RESILIENCIA - SISTEMAS DE

Fue redactada por los principales especialistas en el tema y

 Evolución y otras normas

Prácticas Guía de Buenas BS25999-1 ISO/22301 Especificación

1. ISO 22300: 2018 Seguridad y resiliencia - Vocabulario

© SGS SA 2019 ALL RIGHTS RESERVED 7

Capacidad de una organización de continuar con la entrega de productos y

© SGS SA 2019 ALL RIGHTS RESERVED 8

TEXTOS Y TÉRMINOS DEFINICIONES

© SGS SA 2019 ALL RIGHTS RESERVED 12

Capítulo 2 • Referencias Normativas

Capítulo 9 • Evaluación del desempeño

© SGS SA 2019 ALL RIGHTS RESERVED 13

© SGS SA 2019 ALL RIGHTS RESERVED 14

Implemente, mantenga y mejore un SGCN

Asegurar la conformidad con las políticas de

Todos los requisitos son genéricos y se pretende que sean aplicables a

© SGS SA 2019 ALL RIGHTS RESERVED 18

© SGS SA 2019 ALL RIGHTS RESERVED 19

© SGS SA 2019 ALL RIGHTS RESERVED 20

© SGS SA 2019 ALL RIGHTS RESERVED 21

© SGS SA 2019 ALL RIGHTS RESERVED 22

PLANEAR HACER VERIFICAR ACTUAR

Comprender la Acciones para Monitoreo,

Comprender las Análisis de impacto

Determinar el Planes y Esquemas de respuesta

Fuente: SÁNCHEZ SILVA, E (2021)

Proceso para BIA para determinar requisitos y prioridades de CN

Fuente: SÁNCHEZ SILVA, E (2021)

© SGS SA 2019 ALL RIGHTS RESERVED 25

Entorno CONTEXTO DE LA Entorno de la

4.1 COMPRENDER LA ORGANIZACIÓN 4.2 COMPRENDER LAS NECESIDADES Y

4.3 DETERMINACIÓN DEL ALCANCE

4.4 SISTEMA DE GESTIÓN DE

© SGS SA 2019 ALL RIGHTS RESERVED 26

Se relaciona con La organización debe:

© SGS SA 2019 ALL RIGHTS RESERVED 27

Asegurar de que estos requisitos

Documentar esta información y

© SGS SA 2019 ALL RIGHTS RESERVED 28

4.3.2 Alcance del SGCN

establecer que áreas / procesos, b)

que productos y servicios

documentar y aclarar exclusiones, las cuales

La organización debe establecer, implementar, mantener y mejorar de

© SGS SA 2019 ALL RIGHTS RESERVED 30

© SGS SA 2019 ALL RIGHTS RESERVED 31

5.2.2 COMUNICAR LA POLÍTICA DEL

5.2.1 ESTABLECER LA POLÍTICA DEL

© SGS SA 2019 ALL RIGHTS RESERVED 32

Asegurando políticas y objetivos de CN

Compromiso efectiva acorde con requisitos del SGCN