Presentacin de PowerPoint

Implementador LderCertificado en la ISO 22301Eduardo LobosAgenda de la Semana06-05-20142Capacitacin del Implementador LderCertificado en la norma ISO 22301 Seccin 2: Estndar y marco normativo

Qu es la ISO?Principios fundamentales de la ISONormas de sistemas de gestinSistema de gestin integradoNormas de Continuidad del NegocioISO 22301 e ISO 27001Ventajas de la ISO 2230106-05-20143

Qu es ISO?ISO es una red de organismos nacionales de estandarizacin de ms de 160 pases

Los resultados finales de los trabajos realizados por ISO son publicados como normas internacionales

Se han publicado ms de 19000 normas desde 1947

06-05-20144

Principios Bsicos Normas ISO06-05-20145Los Ocho Principios de Gestin de la ISO06-05-20146Normas de Sistemas de GestinNormas primarias en las que una organizacin puede estar certificada

06-05-20147Sistema de Gestin IntegradoEstructura tpica de las normas ISO06-05-20148Requisitos

ISO9001:2008ISO14001:2004

ISO20000:2011ISO22301:2012ISO27001:2005Objetivos del sistema de gestin5.4.14.3.34.5.26.24.2.1Poltica del sistemade gestin 5.34.24.1.25.34.2.1Compromiso de la Direccin 5.1

4.4.14.15.25Requisitos de documentacin4.2

4.44.37.54.3Auditoria interna

8.2.24.5.54.5.4.29.26Mejora continua8.5.14.5.3

4.5.5108Revisin por la Direccin5.64.64.5.4.39.37ISO 22301Especifica los requisitos de gestin de un SGCNLos requisitos (clusulas) son escritos utilizando el verbo debern en imperativoIntegrar el modelo PDCA (PLAN, DO, CHECK Y Act)AuditableLa organizacin puede ser certificada en esta norma06-05-20149 INTERNATIONAL ISO STANDARD 22301 _______________________________________________Societal security-Business continuity Management Systems Requirements

_________________________________________________

ISO 22301Contenido06-05-201410Seccin 1mbito de aplicacinSeccin 2Referencias normativasSeccin 3Trminos y definicionesSeccin 4Contexto de la organizacinSeccin 5LiderazgoSeccin 6PlanificacinSeccin 7ApoyoSeccin 8FuncionamientoSeccin 9Evaluacin del desempeoSeccin 10MejoraISO 22313Gua para el cdigo de buenas prcticas para implementar, mejorar un Sistema de Gestin de la Continuidad de los Negocios (Documento de referencia).Clusula escrita utilizando el verbo debera a fin de proporcionar orientacin en materia de aplicacin.La organizacin no puede ser certificada en esta norma06-05-201411 INTERNATIONAL ISO STANDARD 22313 _______________________________________________Societal security-Business continuityManagement Systems Gidance_________________________________________________

Historia de la norma ISO 223011988 201306-05-2014122012Creacin del DRI Internacional conocido originalmente como Disaster Recovery Institute (Instituto de Recuperacin ante Desastres)en los EEUU1984200220032006200719882013Creacin del Business Continuity Institute (BCI) en el Reino UnidoBCI publica Guas de Buenas Prcticas de la GCNPublicacin de PAS 56Publicacin de la norma BS 25999-1Publicacin de la norma BS 25999-2ISO public la primera versin de la norma ISO 22301ISO publica la primera versin de la norma ISO 22313Otras Normas sobre Continuidad del NegocioEjemplos06-05-201413El contenido y la relacin entre ISO 22301 e ISO 27001ISO 27001, A. 14: Gestin de Continuidad del Negocio06-05-201414A.141 Aspectos de la seguridad de la informacin dela gestin de la continuidad del negocio.Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales crticos de los efectos de fallas o desastres importantes o desastres en los sistemas de informacin y asegurar su reanudacin oportuna.A.14.1.1Incluir seguridad del Informacin en el proceso de Gestin de la continuidad del negocioControlSe debe desarrollar y mantener un proceso gerencial para la continuidad del negocio a travs de toda la organizacin para tratar los requerimientos de seguridad de la informacin necesarios para la continuidad comercial de la organizacin.A.14.1.2Continuidad del negocio y evaluacin del riesgoControlSe deben identificar los eventos que causan interrupciones en los procesos de negocios, junto con la probabilidad de impacto de dichas interrupciones y sus consecuencias para la seguridad de la informacin.A.14.1.3Desarrollo e implementar Planes de continuidad Incluyendo seguridad de la informacinControlSe deben desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la informacin en el nivel requerido y en las escalas de tiempo requeridas despus de la interrupcin o falta en los procesos de negocios crticos.A.14.1.4Marco referencial para la Planeacin de la continuidad del negocioControlSe debe mantener un solo marco referencial del plan de continuidad de negocio para asegurar que todos los planes sean consistentes y para tratar consistentemente los requerimientos de la seguridad de la informacin e identificar las prioridades de pruebas y mantenimiento.A.14.1.5Prueba mantenimiento y re-evaluacin de planes de continuidad de negocioControlLos planes de continuidad de negocio se deben probar y actualizar regularmente para asegurar que estn actualizados y sean efectivos.ISO 22301RequisitosContinuidad del negocio4.4 sistema de gestin8.2 AIN y la Evaluacin de los riesgo8.4 Procedimientos de la continuidad del negocio6 Planificacin del SGCN8.5 Ejercicio y pruebasContinuidad del NegocioVentajas06-05-201415Capacitacin del Implementador LderCertificado en la norma ISO 22301 Seccin 3: Sistema de Gestin de la Continuidad del Negocio (SGCN)

Definicin de un SGCNEnfoque en los procesosVisin general Clusulas 4 a 10Los componentes claves de un SGCN06-05-201416

Qu es la Continuidad del Negocio?Proceso impulsado por el negocio que establece un marco estratgico y tctico de ajuste a los objetivos que:06-05-201417Gestin de Continuidad del NegocioISO 22301, clusula 3.4:

Proceso de gestin holstico que identifica amenazas potenciales para la organizacin as como el impacto en las operaciones del negocio que dichas amenazas, en caso de materializarse, puedan causar, y que proporciona un marco para aumentar la capacidad de resistencia o resiliencia de la organizacin para dar respuesta eficaz que salvaguarde los intereses de sus principales partes interesadas, la reputacin, la marca y las actividades de creacin de valor

06-05-201418Nota: El sistema de gestin incluye la estructura, las polticas, las actividades de planificacin, las responsabilidades,las prcticas, los procedimientos,los procesos y los recursos de la organizacin

Los componentes claves de un SGCNISO 22301, IntroduccinUn SGCN, a igual que cualquier otro sistema de gestin, tiene los siguientes componentes fundamentales:Una polticaPersonas con responsabilidades definidas;Procesos de gestin asociados con:PolticaPlanificacinImplementacin y operacinEvaluacin del rendimientoRevisin por la DireccinMejoraDocumentacin que provea pruebas auditables Cualquier proceso de gestin de la continuidad del negocio pertinente a la organizacin

06-05-201419El ciclo Planificar Hacer Verificar Actuar (PHVA)ISO 22301, Introduccin

06-05-201420PartesInteresadas

Requerimientosexpectativasde laContinuidad delNegocioPartes Interesadas

Continuidad delNegocioGestionadaPlanificarActuarHacerVerificarEstablecer unSGCNMantener yMejorar el SGCNImplementarEl SGCNSupervisar yRevisar el SGCNRequisitos generalesISO 22301En resumenLa organizacin deber establecer, implementar, mantener y mejorar u SGCN en conformidad con las necesidades y los requisitos de las partes interesadas

06-05-201421Contexto de la organizacinISO 22301, clusula 406-05-201422Liderazgo y Compromiso de la DireccinISO 22301, clusulas 5.1 y 5.206-05-201423Poltica de Continuidad del NegocioISO 22301, clusula 5.3 La alta direccin debe establecer una poltica de continuidad del negocio que:Sea apropiada para los fines de la organizacinProporcione un marco para establecer objetivos de continuidad del negocioIncluya un compromiso de cumplir los requisitos aplicablesIncluya un compromiso de mejora continua del SGCN

La poltica del SGCN deber:Estar disponible como informacin documentadaSer comunicada dentro de todas las partes interesadas, segn correspondaSer revisada para su adecuacin continuada a intervalos definidos y cuando se reduzcan cambios significativos

06-05-201424Funciones, Responsabilidades y AutoridadesISO 22301, clusula 5.4La alta direccin deber asegurarse de que las responsabilidades y autoridades para funciones pertinentes sean asignadas y comunicadas dentro de la organizacin.

La alta gerencia deber asignar la responsabilidad y autoridad para:

Garantizar que el sistema de gestin se ejecuta en conformidad con los los requisitos de la norma ISO 22301.Informar sobre la eficacia de la gestin a la alta direccin.06-05-201425

Los Objetivos y los Planes para AlcanzarlosISO 22301, clusula 6.2La alta direccin deber asegurarse de que los objetivos de continuidad del negocio son establecidos y comunicados para las funciones y los niveles pertinentes dentro de la organizacin

Los objetivos debern:Ser coherentes con la poltica de continuidad del negocioTomar cuenta del nivel mnimo de los productos y servicios que sea aceptable para la organizacin para alcanzar sus objetivosSer mensurablesTener en cuenta los requisitos aplicables Ser monitoreados y actualizados segn proceda 06-05-201426ApoyoISO 22301, clusula 706-05-201427La organizacindeber determinar y proporcionar los recurso necesarios para el SGCN Las personas que realizanTrabajo en el marco delControl de a organizacinDebern ser conscientesDe la poltica de la CN,Sus funciones en el SGCNY los requisitos para la organizacin

El SGCN de laOrganizacin deber Incluir informacinDocumentada requeridaPor la ISO 22301 yRegistros para demostrarLa eficacia del SGCNRecursosCompetenciaDocumentacinComunicacinSensibilizacinLa organizacinDeber asegurarTener personasCompetentes para realizar las tareas relacionadas con el SGCNLa organizacin deberEstablecer, implementar y mantener mecanismosDe comunicacin con las partes interesadas internas y externasInformacin documentadaISO 22301, clusula 7.5Se debe establecer un procedimiento para gestionar el ciclo de vida de los documentos

06-05-201428Anlisis del impacto en el Negocio y Evaluacin de los RiesgosISO 22301, clusula 3.50 y 8.206-05-201429Proceso de anlisis de lasfunciones delnegocio y del efecto que unainterrupcin delnegocio podratener sobredichas funcionesProceso generalde identificacin,Anlisis y Evaluacin de riesgos

La organizacin deber determinar las opciones apropiadas de continuidad para:

Estrategia de Continuidad del NegocioISO 22301, clusula 8.306-05-201430Establecer y Aplicar Procedimientos de Continuidad del NegocioISO 22301, CLUSULA 8.4.1La organizacin deber documentar los procedimientos (incluyendo arreglos necesarios) para garantizar la continuidad de las actividades y la gestin de un incidente perjudicial06-05-201431La organizacin deberestablecer, implementar ymantener procedimientos decontinuidad del negocio paragestionar un incidenteperjudicial y continuar susactividades sobre la base de objetivos de recuperacinidentificados en el anlisisdel impacto en el negocio

Generalidades

La respuesta en Casos de Emergencia y la Gestin de CrisisContingenciaRecuperacin y RestauracinProteccin y mitigacinCapacitacin y ConcienciacinEjercicios y PruebasISO 22301, clusula 8.5La organizacin deber ejercitar y probar sus procedimientos de continuidad del negocio para garantizar que son coherentes con sus objetivos de continuidad del negocio

06-05-201432Estrategia de Continuidad del NegocioISO 22301, clusula 8.306-05-20143306-05-20143406-05-201435MUCHAS GRACIAS!Implementador Lder Certificado en la ISO 22301