Este año, se ha publicado una nueva norma sobre continuidad del negocio (ISO 22301). La vieja normal europea ha dejado de tener efecto a partir del 1 de noviembre de 2012 y por eso realizaremos una comparación entre ambas.
Nuevos términos en ISO 22301
| Término | Descripción |
| Incidente disruptivo | Un evento que interrumpe las actividades del negocio |
| Información documentada | Información que necesita ser controlada y preservada por una organización; también el medio que la contiene. |
| Interrupción máxima aceptable (MAO por sus siglas en inglés – Maximum Aceptable Outage) | El tiempo que tardaría los impactos adversos, que pudieran surgir por no proporcionar un producto o servicio o por no realizar una actividad, en convertirse en inaceptables. |
| Objetivo mínimo para la continuidad del negocio (MBCO, por sus siglas en inglés – Minimum Business Continuity Objective) | Nivel mínimo de servicios y/o productos aceptable para que la organización cumpla sus objetivos comerciales durante una interrupción. |
| Pérdida máxima de datos | El punto al cual debe ser restablecida la información utilizada por una actividad para permitir que dicha actividad funcione correctamente una vez restablecida; también se la conoce como Objetivo de punto de recuperación. |
| Corrección | Una acción para eliminar una no conformidad detectada. |
Semejanzas y Diferencias
Referencias:
♦ Sin cambios o cambios mínimos ♦ ♦ Cambios moderados ♦ ♦ Cambios importantes
| Aspectos más importantes | Punto de la norma ISO 22301 | Punto de la norma BS 25999-2 | Cambio |
| Conocimiento de la organización | 4.1 | N/A | ♦♦♦ |
| Conocimiento de las necesidades y expectativas de las partes interesadas | 4.2 | N/A | ♦♦♦ |
| Determinación del alcance | 4.3 | 3.2.1 | ♦♦ |
| Compromiso de la dirección | 5.2 | N/A | ♦♦♦ |
| Política de la continuidad del negocio | 5.3 | 3.2.2 | ♦♦ |
| Objetivos de la continuidad del negocio | 6.2 | 3.2.1.1 | ♦♦ |
| Competencias | 7.2 | 3.2.4 | ♦ |
| Concientización | 7.3 | 3.3 | ♦</sp an> |
| Sistema de comunicación y aviso | 7.4, 8.4.2, 8.4.3 | 4.3.3.3 | ♦♦♦ |
| Información documentada | 7.5 | 4.3 | ♦♦ |
| Análisis del impacto en el negocio | 8.2.1, 8.2.2 | 4.1.1 | ♦ |
| Evaluación de riesgos | 8.2.1, 8.2.3 | 4.1.2 | ♦♦ |
| Estrategia de la continuidad del negocio</span > | 8.3.1 | 4.2 | ♦ |
| Requisitos de recursos | 8.3.2 | 4.3.2.2, 4.3.3.3 | ♦♦ |
| Tratamiento del riesgo (protección y mitigación) | 8.3.3 | 4.1.3 | ♦ |
| Estructura de respuesta a incidentes | 8.4.2 | 4.3.2 | ♦ |
| Planes de continuidad y recuperación del negocio | 8.4.4, 8.4.5 | 4.3.3 | ♦ |
| Prueba y verificación | 8.5 | 4.4.2 | ♦ |
| Supervisión, medición, análisis y evaluación | 9.1 | 4.4.3 | ♦♦♦ |
| Auditoría interna | 9.2 | 5.1 | ♦ |
| Revisión por parte de la dirección | 9.3 | 5.2< o:p> | ♦ |
| No conformidades y acciones correctivas | 10.1 | 6.1.3 | ♦♦ |
| Acción preventiva | 6.1 , 9.1.1 | 6.1.2 | ♦♦ |
Ciclo PCDA
Los elementos de continuidad del negocio en ISO 22301 se describen mejor a través del ciclo Planificación –Implementación – Verificación – Mantenimiento (PDCA).
Conclusión
ISO 22301 no es tan diferente de la BS25999-2 en la mayoría de los aspectos más importantes de la continuidad del negocio como el análisis del impacto, la estrategia o la planificación.
Los principales cambios se encuentran en la parte de gestión de la norma: ISO 22301 pone mucho más énfasis en la compresión de los requisitos, el establecimiento de los objetivos y en la medición del desempeño. Por lo tanto, será aceptada más fácilmente por la alta gerencia que, al mismo tiempo, contribuirá con la aceptación más generalizada de esta norma, como ISO 27001, ISO 9001 o ISO 14001.
Material de referencia adicional
ISO (International Organization for Standarization (http://www.iso.org)
BCM Institute (http://www.bcm-institute.org)