NTC5722.pdf
Short Description
Download NTC5722.pdf...
Description
NORMA TÉCNICA COLOMBIANA
NTC 5722 2009-11-18
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO. REQUISITOS
E:
BUSSINESS CONTINUITY MANAGEMENT. SPECIFICATION
CORRESPONDENCIA:
esta norma es una adopción idéntica (IDT) por traducción de la norma BSI 25999-2:2007.
DESCRIPTORES:
sistema de gestión; continuidad; negocio; riesgos; crisis; impacto del negocio.
I.C.S.: 03.100.01 Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC) Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888 - Fax (571) 2221435
Prohibida su reproducción
Editada 2009-11-25
PRÓLOGO
El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo nacional de normalización, según el Decreto 2269 de 1993. ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en los mercados interno y externo. La representación de todos los sectores involucrados en el proceso de Normalización Técnica está garantizada por los Comités Técnicos y el período de Consulta Pública, este último caracterizado por la participación del público en general. La NTC 5722 fue ratificada por el Consejo Directivo de 2009-11-18. Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en todo momento a las necesidades y exigencias actuales. A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a través de su participación en el Comité Técnico 205 Continuidad del negocio. AON BANCO DE LA REPÚBLICA BANCOLOMBIA BOMBEROS VOLUNTARIOS ENVIGADO CARLOS JULIO DÍAZ CETASDI COMFENALCO ANTIOQUIA COMPAÑÍA GALLETAS NOEL CRMS CHUBB DECEVAL S.A. DELIMA MARSH S.A. DELOITTE
EMC2 EMPAQUETADURAS Y EMPAQUES EMPRESAS PÚBLICAS DE MEDELLÍN. INTEK S.A. INTERGRUPO ITEAM CONSULTING OFDA-IRA SERVICIO NACIONAL DE CHOCOLATES SILVIO GIRALDO & ASOCIADOS SMART IT SOLUTIONS WILLIS S.A.
Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las siguientes empresas: ABN AMRO SECURITIES COLOMBIA S.A. COMISIONISTA DE BOLSA ACCION SOCIEDAD FIDUCIARIA S.A. AEROVÍAS DEL CONTINENTE AMERICANO S.A. -AVIANCA S.A.ALIANZA FIDUCIARIA S.A. ALMACENES ÉXITO. ASOCIACIÓN BANCARIA DE COLOMBIA ASOBANCARIA ASOCIACION COMISIONISTA DE BOLSA.
ASOLCOLFLORES AVANTEL. BANCO AV VILLAS BANCO BILBAO VIZCAYA ARGENTARIA BBVA COLOMBIABANCO CAFETERO S.A. -BANCAFÉBANCO COLPATRIA RED MULTIBANCA COLPATRIA S.A. BANCO DAVIVIENDA S.A. BANCO DE BOGOTÁ.
BANCO DE COMERCIO EXTERIOR DE COLOMBIA S.A. -BANCOLDEXBANCO DE LA REPUBLICA. BANCO DE OCCIDENTE. BANCOLOMBIA BOLSA DE VALORES DE COLOMBIA. BOLSA NACIONAL AGROPECUARIA. CAMARA DE COMERCIO COLOMBO AMERICANA CAMARA DE COMPENSACIÓN DE DIVIAS DE COLOMBIA S.A. CHAIN VARGAS CITIBANK COLOMBIA. CLUB EL NOGAL COLFONDOS S.A. COMPAÑIA DE SEGUROS BOLIVAR S.A. CORPORACIÓN FINANCIERA COLOMBIANA -CORFICOLOMBIANACORPORACIÓN METROLOGÍA Y CALIDAD CRUZ ROJA SECCIONAL CUNDINAMARCA Y BOGOTÁ DELIMA MARSH DEPOSITO CENTRALIZADO DE VALORES DE COLOMBIA -DECEVALDIRECCIÓN DE PLANEACION Y ATENCIÓN DE EMERGENCIAS -DPAEECOPETROL EMPRESAS PUBLICAS DE MEDELLÍN -EEPPMENFOQUES INTEGRALES ESCUELA COLOMBIANA DE INGENIERIA FUNDACIÓN PANAMERICANA PARA EL DESARROLLO -FUPAD-
FUNDACIÓN PANAMERICANA PARA EL DESARROLLO -FUPAD- WASHINTONG U.S.A. GESVALORES S.A. GIMNASIO LA FONTANA HEWLETT PACKARD HOLCIM DE COLOMBIA IBM INSURANCE SOLUTIONS INTER. IGEN JEQ SOLUCIONES EFECTIVAS KPMG MERCK S.A. MINISTERIO DE HACIENDA NESTLE NEWNET S.A NOVARTIS OCCIDENTAL DE COLOMBIA OCENSA OPTYSYS S.A. PORVERNIR PRAXO LTDA. PROFESIONAL INDEPENDIENTE DIEGO DELGADO PROFESIONAL INDEPENDIENTE JUAN CARLOS LOBO PROFESIONAL INDEPENDIENTE SONIA MOYANO PROPILCO SUMA VALORES S.A., COMISIONISTA DE BOLSA SUPERINTENDECIA FINANCIERA SURTIGAS S.A. E.S.P. UNIVERSIDAD NACIONAL
ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados normas internacionales, regionales y nacionales y otros documentos relacionados. DIRECCIÓN DE NORMALIZACIÓN
NORMA TÉCNICA COLOMBIANA
NTC 5722
CONTENIDO
Página
0.
INTRODUCCIÓN ..........................................................................................................1
0.1
GENERALIDADES.......................................................................................................1
0.2
EL CICLO PLANIFICAR-HACER-VERIFICAR-ACTUAR (PHVA) ..............................2
1.
ALCANCE ....................................................................................................................3
2.
TÉRMINOS Y DEFINICIONES .....................................................................................4
3.
PLANIFICACIÓN DEL SISTEMA DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO.............................................................................................................8
3.1
GENERALIDADES.......................................................................................................8
3.2
ESTABLECIMIENTO Y GESTIÓN DEL PROPÓSITO ................................................8
3.3
IMPLEMENTACIÓN DEL SGCN EN LA CULTURA DE LA ORGANIZACIÓN.........10
3.4
DOCUMENTACIÓN Y REGISTRO DEL SGCN .........................................................10
4.
IMPLEMENTACIÓN Y OPERACIÓN DEL SGCN .....................................................12
4.1
ENTENDER LA ORGANIZACIÓN .............................................................................12
4.2
DETERMINACIÓN DE LA ESTRATEGIA DE CONTINUIDAD DEL NEGOCIO .......13
4.3
DESARROLLO E IMPLEMENTACIÓN DE UNA RESPUESTA DEL SGCN ............13
4.4
PRUEBAS, MANTENIMIENTO Y REVISIÓN DE LAS DISPOSICIONES DEL SGCN..........................................................................................................................16
5.
SUPERVISIÓN Y REVISIÓN DEL SGCN ..................................................................17
5.1
AUDITORÍA INTERNA ...............................................................................................17
5.2
REVISIÓN DEL SSGCN POR LA DIRECCIÓN .........................................................18
NORMA TÉCNICA COLOMBIANA
NTC 5722
Página
6.
MANTENIMIENTO Y MEJORA DEL SGCN ..............................................................19
6.1
ACCIONES PREVENTIVAS Y CORRECTIVAS ........................................................19
6.2
MEJORA CONTINUA.................................................................................................20
BIBLIOGRAFÍA......................................................................................................................23
ANEXO A (Informativo) CORRESPONDENCIA CON LAS NORMAS BS EN ISO 9001:200, BS EN 14001:2004, BS ISO/IEC 27001:2005 .......................................................................21
FIGURAS Figura 1. Ciclo PHNA aplicado a los procesos de SGCN ...................................................2 Figura 2. Ciclo de vida de la gestión de la continuidad del negocio .................................3
NORMA TÉCNICA COLOMBIANA
NTC 5722
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO. REQUISITOS
0.
INTRODUCCIÓN
0.1
GENERALIDADES
Esta Norma Técnica Colombiana especifica los requisitos para preparar y manejar un Sistema eficaz de Gestión de Continuidad del Negocio (SGCN, su sigla en español). Ésta, hace énfasis en la importancia de: a)
comprender las necesidades de la continuidad del negocio y la necesidad de establecer la política y los objetivos para la continuidad del negocio;
b)
implementar y ejecutar controles y medidas para manejar los riesgos generales de la continuidad del negocio de una organización.
c)
supervisar y revisar el desempeño y la efectividad del SGCN; y
d)
la mejora continua con base en la medición de objetivos.
Un SGCN, como cualquier otro sistema de gestión, tiene los siguientes componentes clave: a)
una política;
b)
personas con responsabilidades definidas;
c)
procesos de gestión relacionados con: 1)
la política;
2)
la planificación
3)
la implementación y ejecución
4)
la evaluación del desempeño;
5)
la revisión por la gerencia; y 1 de 24
NORMA TÉCNICA COLOMBIANA 6)
NTC 5722
la mejora;
d)
una documentación que proporcione evidencia auditable; y
e)
procesos de aspectos específicos que se relacionen con la continuidad del negocio, como por ejemplo, el análisis de impacto al negocio (BIA, su sigla en inglés) y el desarrollo del plan de continuidad del negocio.
0.2
EL CICLO PLANIFICAR-HACER-VERIFICAR-ACTUAR (PHVA)
La norma utiliza el ciclo “Planificar-hacer-verificar-actuar” (PHVA, su sigla en español) para establecer, implementar, ejecutar, supervisar, ejercer, mantener y mejorar la efectividad del SGCN de una organización. Esto asegura un grado de consistencia con otras normas de sistemas de gestión, como la norma NTC-EN-ISO 9001:2008 (Sistemas de Gestión de Calidad), la NTC-ISO 14001:2004 (Sistemas de Gestión Medioambiental) y la NTC-ISO/IEC 27001:2006 (Sistemas de Gestión de Seguridad de la Información), dando así soporte a la implementación y operación consistente e integrada con los sistemas de gestión relacionados (véase el Anexo A). En la Figura 1 se ilustra la manera como un SGCN toma como insumos los requisitos y expectativas de las partes interesadas con respecto a la continuidad del negocio y, a través de las acciones y procesos necesarios, produce los resultados de continuidad del negocio (es decir, la continuidad del negocio gestionada) que satisface esos requisitos y expectativas.
Mejora continua del sistema de gestión de la continuidad del negocio
Partes interesadas
Mantienen y mejoran
Requisitos y expectativas de la continuidad del negocio
Partes interesadas
Establecen
Implementan y ejecutan
Supervisan y revisan
Figura 1.Ciclo PHVA aplicado a los procesos de SGCN
2
Continuidad del negocio gestionada
NORMA TÉCNICA COLOMBIANA
NTC 5722
Planificar
Establecer la política de continuidad del negocio, las metas, objetivos, controles, procesos y procedimientos pertinentes a la gestión del riesgo y la mejora de la continuidad del negocio para entregar resultados acordes con las políticas y objetivos generales de una organización.
Hacer
Implementar y ejecutar la política, los controles, procesos y procedimientos de la continuidad del negocio.
Verificar
Supervisar y revisar el desempeño frente a los objetivos y la política de continuidad del negocio, reportar los resultados a la gerencia para su revisión, y determinar y autorizar las acciones destinadas a remediar y mejorar.
Actuar
Mantener y mejorar el SGCN tomando acciones preventivas y correctivas, con base en los resultados de la revisión por la gerencia y reconsiderando el alcance del SGCN y la política y objetivos de la continuidad de negocio.
Un enfoque ampliamente aceptado que incorpora el ciclo PHVA dentro de cada actividad está recomendado en la GTC 176 y se resume en la Figura 2. Este proceso reiterativo asegura que la continuidad del negocio está establecida y continuamente gestionada en una organización (para conocer una explicación de cada elemento del ciclo de gestión de continuidad del negocio, véase la Guía Técnica Colombiana GTC 176).
Mejora continua del sistema de gestión de la continuidad del negocio
l
I
GCN en la cultura o del rga niz ión c ac a nt ion pla a m Comprender la organización
Partes interesadas Ejercer, mantener y revisar
Gestión del programa GCN
Partes interesadas
Establecen
Determinar la estrategia del GCN Mantienen y mejoran
Desarrollar e implementar una respuesta de GCN
Elciclo de vida de la contimuidad del negocio representa el funcionamiento continuo del programa de continuidad del negocio dentro de la organización
Requisitos y expectativas de la continuidad del negocio
Implementan y ejecutan
Supervisan y revisan
Continuidad del negocio gestionada
El ciclo PHVA es el medio de asegurar que la continuidad del negocio está siendo gestionada y mejorada eficazmente. El ciclo PHVA se aplica a todas las partes del ciclo de vida del GCN.
Figura 2.Ciclo de vida de la gestión de la continuidad del negocio
1.
ALCANCE
Esta Norma técnica Colombiana especifica los requisitos para planificar, establecer, implementar, operar, supervisar, revisar, ejercer, mantener y mejorar un Sistema de Gestión de Continuidad del Negocio (SGCN, su sigla en Español, BCMS, su sigla en ingles), documentado dentro del contexto de la gestión de los riesgos generales del negocio de una organización. Los requisitos especificados en esta norma son genéricos y están destinados a ser aplicables a todas las organizaciones (o a una parte de ellas), independientemente del tipo, tamaño y naturaleza de la organización. La extensión de la implementación de estos requisitos depende del entorno y la complejidad en que ésta opera.
3
NORMA TÉCNICA COLOMBIANA
NTC 5722
Esta norma no pretende dar uniformidad a la estructura de un SGCN, sino que una organización diseñe un SGCN que sea apropiado a sus necesidades y que cumpla con los requerimientos de las partes interesadas. Estas necesidades están conformadas por los requisitos regulatorios, del cliente y del negocio, los productos y servicios, los procesos empleados, el tamaño y estructura de la organización y los requerimientos de sus partes interesadas. Esta norma técnica Colombiana puede ser utilizada por las partes internas y externas, incluidos los organismos de certificación, a fin de evaluar la capacidad de una organización para cumplir con sus necesidades en cuanto a la continuidad del negocio, así como las necesidades de cualquier cliente, o las legales o regulatorias. El cumplimiento de esta Norma técnica Colombiana no exime a las organizaciones del cumplimiento frente a las obligaciones legales.
2.
TÉRMINOS Y DEFINICIONES
Para los propósitos de esta norma técnica Colombiana se aplican las siguientes definiciones y algunas de las incluidas en la GTC 176. 2.1 Actividad. Proceso o conjunto de procesos emprendidos por una organización (o por una entidad en su nombre) que producen o dan soporte a uno o más productos o servicios. NOTA Ejemplos de dichos procesos incluyen área financiera, soporte a clientes, sistemas de información producción y distribución.
2.2 Auditoría. Proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría. NOTA 1 Las auditorias internas, denominadas en algunos casos como auditorias de primera parte, se realizan por o en nombre de, la propia organización, para la revisión por la dirección y con otros fines internos, y pueden constituir la base para una autodeclaración de conformidad de una organización. En muchos casos particularmente en organizaciones pequeñas, la independencia puede demostrarse al estar libre el auditor de responsabilidades en la actividad que se audita.
[NTC ISO 19011:2002] 2.3 Continuidad del negocio. Capacidad estratégica, táctica y operativa de la organización para planificar y responder ante incidentes e interrupciones del negocio para continuar las operaciones de negocio en un nivel aceptable predefinido 2.4 Gestión de continuidad del negocio (SGCN). Proceso holístico y sistemático de la organización por medio del cual se identifican impactos potenciales que pueden amenazar la continuidad del negocio y provee un marco de referencia para establecer y desarrollar estrategias pro-activas, construir respuestas eficaces y eficientes con la flexibilidad y la capacidad necesarias para salvaguardar los intereses de las diferentes partes interesadas, (Stakeholders), la gobernabilidad, la reputación, la imagen y las actividades de creación de valor de una organización. NOTA La gestión de la continuidad del negocio involucra la gestión de la recuperación o continuación de las actividades del negocio en caso de una interrupción del mismo, y la gestión del programa general a través de entrenamiento, ejercicios, pruebas y revisiones, para asegurar que el plan (o los planes) de continuidad del negocio se mantengan vigentes y actualizados.
4
NORMA TÉCNICA COLOMBIANA
NTC 5722
2.5 Ciclo de vida de la gestión de continuidad del negocio. La serie de actividades de la continuidad del negocio, que en conjunto cubren todos los aspectos y fases del programa de gestión de continuidad del negocio. NOTA
El ciclo de vida de la gestión de continuidad del negocio se ilustra en la Figura 2.
2.6 Personal de la gestión de continuidad del negocio. Son las personas que tienen asignados roles y responsabilidades en el SGCN. 2.7 Programa de gestión de continuidad del negocio. Proceso continuo de gestión y gobierno apoyado por la alta dirección y con la apropiada asignación de recursos para que se tomen las medidas necesarias para identificar el impacto de las pérdidas potenciales, mantener estrategias y planes de recuperación viables, así como la continuidad de los productos y servicios a través del entrenamiento, el ejercicio, pruebas, mantenimiento y revisión. 2.8 Respuesta al Incidente. Elemento del SGCN relacionado con el desarrollo e implementación de los planes y las disposiciones apropiados para la continuidad de las actividades esenciales así como de la gestión del incidente. 2.9 Sistema de gestión de la continuidad del negocio (SGCN). La parte del sistema de gestión general que establece, implementa, opera, supervisa, revisa, mantiene y mejora la continuidad del negocio. NOTA El sistema de gestión incluye estructura organizacional, políticas, actividades de planificación, responsabilidades, procedimientos, procesos y recursos.
2.10 Plan de continuidad del negocio (BCP::). Conjunto documentado de procedimientos e información que se desarrolla, compila y mantiene disponible para usar en un incidente a fin de permitir a una organización continuar ejerciendo sus actividades críticas a un nivel predefinido aceptable. 2.11 Estrategia de continuidad del negocio. Planteamiento estratégico adoptado por una organización para asegurar su recuperación y continuidad ante un evento, o incidente de interrupción del negocio. 2.12 Análisis de impacto al negocio (BIA::). Proceso de análisis del impacto que una interrupción causa sobre las funciones del negocio. 2.13 Consecuencia. Resultado de un incidente el cual tendrá un impacto en los objetivos de una organización. NOTA 1
Puede haber una gama de consecuencias de un incidente.
NOTA 2
Una consecuencia puede ser cierta o incierta y puede tener impacto positivo o negativo en los objetivos.
2.14 Análisis de costo-beneficio. Técnica financiera que mide el costo de implementar una determinada solución y lo compara con el beneficio entregado por esa solución. NOTA El beneficio puede definirse en términos financieros, de reputación, de prestación de servicios, regulatorios u otros apropiados a la organización.
2.15 Actividades críticas. Las actividades que tienen que realizarse para entregar los productos y servicios esenciales que permiten a una organización cumplir con sus objetivos más importantes y sensibles al tiempo.
5
NORMA TÉCNICA COLOMBIANA
NTC 5722
2.16 Interrupción. Evento, ya sea previsto (por ejemplo, una huelga laboral o un huracán) o imprevisto (por ejemplo, un apagón eléctrico o un terremoto) que causa una desviación negativa no planificada con respecto a la entrega esperada de productos o servicios de acuerdo con los objetivos de la organización. 2.17 Prueba. Actividad en la que se ensaya el plan (o los planes) de continuidad del negocio en parte o en su totalidad para asegurar que el plan (o los planes) contienen la información apropiada y producen el resultado deseado cuando se pone en efecto. NOTA Una prueba puede involucrar el uso de los procedimientos de continuidad del negocio, pero su principal finalidad es simular un incidente de continuidad del negocio, anunciado o no anunciado, en el que los participantes desempeñan un rol para evaluar qué problemas pueden surgir, antes de una activación real.
2.18 Ganancia. Consecuencia positiva 2.19 Impacto. La consecuencia evaluada de un resultado particular 2.20 Incidente. Situación que podría ser o llevar a una interrupción, pérdida, emergencia o crisis del negocio 2.21 Plan de gestión del incidente (IMP). Plan de acción claramente definido y documentado para usar en el momento de ocurrencia de un incidente, y que comúnmente cubre el personal, los recursos, servicios y acciones importantes que se necesitan para implementar el proceso de gestión del incidente 2.23 Activación. Acto de declarar que el plan de continuidad del negocio de una organización necesita ponerse en ejecución para continuar la entrega de sus principales productos o servicios 2.24 Probabilidad. Posibilidad de que algo ocurra, ya sea definido, medido o estimado objetiva o subjetivamente, o en términos de descriptores generales (como raro, improbable, probable, casi cierto), frecuencias o probabilidades matemáticas. NOTA 1
La probabilidad puede expresarse cualitativa o cuantitativamente.
NOTA 2 La palabra “probabilidad” puede usarse como traducción de “Likelihood” en algunos idiomas diferentes al inglés que no tienen ningún equivalente directo. Debido a que “probabilidad” suele interpretarse más formalmente en inglés (“Likelihood”) como un término matemático, dicho término se emplea a lo largo de esta norma con la intención de que se le dé la misma interpretación amplia que a “probabilidad.”
2.25 Pérdida. Consecuencia negativa 2.26 Sistema de gestión. Sistema para establecer la política y los objetivos y para lograr dichos objetivos NOTA Un sistema de gestión de una organización podría incluir diferentes sistemas de gestión, tales como un sistema de gestión de calidad, un sistema de gestión financiera o un sistema de gestión ambiental.
[NTC ISO 9000:2005] 2.27 Período tolerable máximo de interrupción. Duración después de la cual la viabilidad de una organización estará irrevocablemente amenazada si no puede reasumirse la entrega de productos y servicios 2.28 No conformidad. Falta de cumplimiento de un requisito 6
NORMA TÉCNICA COLOMBIANA
NTC 5722
[NTC ISO 9000:2008, 3.6.2; NTC ISO 14001:2004, 3.15] 2.29 Organización. Conjunto de personas e instalaciones con una disposición de responsabilidades, autoridades y relaciones. EJEMPLO Compañía, corporación, firma, empresa, institución, unipersonal, asociación o parte de una combinación de las anteriores. NOTA 1
Dicha disposición es generalmente ordenada
NOTA 2
Una organización puede ser pública o privada.
institución
de
beneficencia,empresa
[NTC-ISO 9000:2008] 2.30 Proceso. Conjunto de actividades que están interrelacionadas o que interactúan, las cuales transforman elementos de entrada en resultados NOTA 1
Los elementos de entrada de un proceso son generalmente resultados de otros procesos.
NOTA 2 Los procesos de una organización son generalmente planificados y puestos en práctica bajo condiciones controladas para aportar valor. NOTA 3 Un proceso en el cual la conformidad del producto resultante no pueda ser fácil o económicamente verificada, se denomina habitualmente “proceso especial”.
[NTC-ISO 9000:2008] 2.31 Productos y servicios. Resultados beneficiosos proporcionados por una organización a sus clientes, destinatarios y accionistas; por ejemplo, artículos manufacturados, seguro del automóvil, cumplimiento de regulaciones y servicio comunitario. 2.32 Tiempo objetivo de recuperación. El tiempo establecido para reanudar la entrega de productos, servicios o actividades después de ocurrir un incidente. NOTA
El tiempo objetivo de recuperación tiene que ser menor que el período tolerable máximo de interrupción.
2.34 Recursos. La totalidad de activos, personas, habilidades, información, tecnología (incluyendo planta y equipo), premisas, y suministros e información (ya sea electrónica o no) que una organización debe tener disponible para uso, cuando se necesite, para operar y cumplir con sus objetivos 2.35 Riesgo. Efecto de la incertidumbre en el logro de los objetivos. NOTA 1
En esta norma el concepto de riesgo se limita, a los riesgos de interrupción del negocio.
NOTA 2
Efecto es la desviación de lo esperado negativo o positivo.
NOTA 3 Los objetivos pueden tener diferentes aspectos (como financieros, de salud y seguridad, y metas ambientales) y pueden aplicarse en diferentes niveles (como estratégicos, organizacionales, de proyectos, productos y procesos) NOTA 4 El riesgo a menudo se caracteriza por hacer referencia a eventos potenciales y sus consecuencias o una combinación de estas. NOTA 5 El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento (incluidos los cambios en las circunstancias) y es asociada a la probabilidad de que ocurra. NOTA 6 La incertidumbre es el estado, incluso parcial, de deficiencia de la información relativa a, el entendimiento o el conocimiento de un evento, su consecuencia, o su probabilidad.
7
NORMA TÉCNICA COLOMBIANA
NTC 5722
2.36 Evaluación del riesgo. Proceso general de identificación, análisis y evaluación del riesgo. 2.37 Gestión del riesgo. Desarrollo estructurado y aplicación de cultura, política, procedimientos y prácticas de gestión, a las etapas de identificación, análisis, evaluación y tratamiento del riesgo. 2.38 Partes interesadas. Cualquier persona u organización que puede afectar o ser afectada, o percibirse a si misma como afectada por una decisión o actividad de la organización. NOTA
Una persona con autoridad para tomar decisiones puede ser una parte Interesada.
2.39 Sistema. Conjunto de elementos interrelacionados o que interactúan. [NTC ISO 9000:2005] 2.40 Alta dirección. Persona o grupo de personas que dirigen y controlan una organización al nivel más alto. [NTC ISO 9000:2005] NOTA La gerencia general, sobre todo en una organización multinacional grande, podría no estar involucrada directamente; sin embargo, la responsabilidad de la gerencia general a través de la cadena de mando es manifiesta. En una organización pequeña, la gerencia general podría ser el dueño o el solo propietario.
3.
PLANIFICACIÓN DEL SISTEMA DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO
3.1
GENERALIDADES
La organización debe desarrollar, implementar, mantener y mejorar continuamente un SGCN documentado de acuerdo con lo indicado en los numerales 3.2 al 3.4. 3.2
ESTABLECIMIENTO Y GESTIÓN DEL SGCN
PROPÓSITO Definir los límites del SGCN, y asegurar que los objetivos estén claramente definidos, sean entendidos y comunicados, que se demuestre el compromiso de la alta dirección con la GCN, que se asignen recursos y que las personas con responsabilidades con respecto a la SGCN sean competentes para desempeñar sus funciones. 3.2.1
Alcance y objetivos del SGCN
3.2.1.1 La organización debe definir el alcance del SGCN y establecer los objetivos de continuidad del negocio, con la debida consideración a: a)
los requisitos para la continuidad del negocio;
b)
los objetivos y obligaciones organizacionales;
c)
el nivel aceptable de riesgo;
d)
los deberes estatutarios, regulatorios y contractuales; y
e)
los intereses de sus partes interesadas 8
NORMA TÉCNICA COLOMBIANA
NTC 5722
3.2.1.2 La organización debe identificar los principales productos y servicios dentro del alcance del SGCN 3.2.2
Política del SGCN
3.2.2.1 La alta dirección debe establecer y demostrar el compromiso con una política de gestión de continuidad del negocio. 3.2.2.2 La política debe incluir o hará referencia a: a)
los objetivos de continuidad de negocio de la organización; y
b)
el alcance de la continuidad del negocio, incluyendo las limitaciones y exclusiones.
3.2.2.3 La política debe ser: a)
aprobada por la alta dirección; y
b)
comunicada a todas las personas que trabajan para la organización o en nombre de ella; y
c)
revisada a intervalos planificados y cuando ocurran cambios significativos
3.2.3
Provisión de recursos
3.2.3.1 La organización debe determinar y proporcionar los recursos necesarios para establecer, implementar, operar y mantener el SGCN. 3.2.3.2 Las funciones, roles, responsabilidades, competencias y autoridades del SGCN deben ser definidas y documentadas. 3.2.3.3 La alta dirección debe: a)
designar o nombrar una persona de rango, experiencia y autoridad apropiada que se responsabilice de la política y la implementación del SGCN y;
b)
designar una o más personas que, independientemente responsabilidades, implementen y mantengan el SGCN.
3.2.4
Competencia del personal del SGCN
de
las
demás
La organización debe asegurarse de que todo el personal al que se asignen las responsabilidades de continuidad del negocio sea competente: a)
determinando las competencias necesarias para dicho personal;
b)
efectuando análisis de necesidades de formación y entrenamiento para el personal al que se asignen roles, funciones y responsabilidades del SGCN;
c)
proporcionar formación y entrenamiento;
d)
asegurándose de que se ha logrado la competencia necesaria; y
9
NORMA TÉCNICA COLOMBIANA
NTC 5722
e)
manteniendo registros acerca de educación, entrenamiento, habilidades, experiencia y calificaciones.
3.3
IMPLEMENTACION DEL SGCN EN LA CULTURA DE LA ORGANIZACIÓN
PROPÓSITO Asegurarse de que la organización implementa la continuidad del negocio en sus actividades y procesos de gestión, independientemente de su tamaño o del sector en el que opera. Para asegurarse de que el SGCN se vuelva parte de su cultura y de la gestión, la organización debe: a)
aumentar, reforzar y mantener el nivel de conciencia y compromiso a través de un programa continuo de educación e información del SGCN para todos en la organización y establecer un proceso para evaluar la eficacia de la generación de conciencia y compromiso sobre el SGCN; y
b)
comunicar a toda la organización la importancia de: 1)
el cumplimiento con los objetivos de la gestión de continuidad del negocio;
2)
el cumplimiento a la política de continuidad del negocio; y
3)
la mejora continua; y
c)
asegurar que toda la organización sea consciente de la manera en que contribuyen al logro de los objetivos de continuidad del negocio
3.4
DOCUMENTACIÓN Y REGISTROS DEL SGCN
PROPÓSITO Proporcionar evidencia clara del funcionamiento eficaz del SGCN y de la implementación del SGCN de la organización. 3.4.1
Generalidades
3.4.1.1 La organización debe documentar los siguientes aspectos del SGCN: a)
el alcance y objetivos del SGCN y los procedimientos (véase el numeral 3.2.1);
b)
la política del SGCN (véase el numeral 3.2.2);
c)
la provisión de recursos (véase el numeral 3.2.3);
d)
la competencia del personal del SGCN y los registros de formación y entrenamiento asociados (véase el numeral 3.2.4);
e)
el análisis de impacto al negocio (véase el numeral 4.1.1);
f)
la evaluación del riesgo (véase el numeral 4.1.2);
g)
la estrategia de continuidad del negocio (véase el numeral 4.2); 10
NORMA TÉCNICA COLOMBIANA
NTC 5722
h)
la estructura de la respuesta al incidente (véase el numeral 4.3.2);
i)
los planes de continuidad del negocio y los planes de gestión del incidente (véase el numeral 4.3.3);
j)
la prueba del SGCN (véase el numeral 4.4.2);
k)
el mantenimiento y revisión de las disposiciones del SGCN (véase el numeral 4.4.3);
l)
la auditoría interna (véase el numeral 5.1);
m)
la revisión por la dirección del SGCN (véase el numeral 5.2);
n)
las acciones preventivas y correctivas (véase el numeral 6.1); y
o)
la mejora continua (véase el numeral 6.2).
3.4.1.2 Se debe establecer, mantener y controlar los registros para proporcionar evidencia del funcionamiento eficaz del SGCN. 3.4.1.3 Se debe establecer procedimientos documentados para identificar los controles sobre la documentación y registros del SGCN. 3.4.2
Control de registros del SGCN
Se debe establecer controles sobre los registros del SGCN para: a)
asegurarse de que permanezcan legibles, fácilmente identificables y recuperables; y
b)
permitir su identificación, almacenamiento, protección y recuperación.
3.4.3
Control de la documentación del SGCN
Se debe establecer controles sobre la documentación del SGCN para asegurar que: a)
los documentos sean aceptados en su adecuación antes de emitirlos;
b)
los documentos se revisen y actualicen como se requiere y se reaprueben;
c)
se identifiquen los cambios y el estado de la revisión actual de documentos;
d)
las versiones vigentes de los documentos aplicables estén disponibles en los sitios de uso;
e)
se identifiquen los documentos de origen externo y se controle su distribución; y
f)
prevenir el uso de documentos obsoletos y que dichos documentos se identifiquen adecuadamente si se retienen para cualquier propósito.
11
NORMA TÉCNICA COLOMBIANA
NTC 5722
4.
IMPLEMENTACIÓN Y OPERACIÓN DEL SGCN
4.1
ENTENDIENDO LA ORGANIZACIÓN
PROPÓSITO Permitir a la organización identificar las actividades críticas y los recursos necesarios para apoyar sus principales productos y servicios, entender las amenazas a que están expuestos y escoger los tratamientos apropiados del riesgo. 4.1.1
Análisis de impacto al negocio
4.1.1.1 Debe existir un método definido, documentado y apropiado para determinar el impacto de toda interrupción de las actividades que dan soporte a los principales productos y servicios de la organización (véase el numeral 3.2.1). 4.1.1.2 La organización debe: a)
identificar las actividades que dan soporte a sus principales productos y servicios;
b)
identificar los impactos resultantes de la interrupción sobre estas actividades, así como su variación en el tiempo;
c)
establecer el período máximo tolerable de interrupción para cada actividad identificando: 1)
el máximo periodo de tiempo después del inicio de una interrupción dentro del cual debe reanudarse cada actividad;
2)
el nivel mínimo en que debe desempeñarse cada actividad al reanudarse;
3)
Período de tiempo dentro de la cual deben reanudarse los niveles normales de funcionamiento;
d)
categorizar sus actividades según su prioridad para recuperar e identificar sus actividades críticas;
e)
identificar todos los procesos pertinentes a las actividades críticas, incluyendo aquellas realizadas por terceros .
f)
para los terceros de quienes dependen las actividades críticas, determinar qué componentes del SGCN han sido implementados para los productos y servicios que ellos proporcionan;
g)
establecer el tiempo objetivo de recuperación para reanudar las actividades críticas dentro de su período máximo tolerable de interrupción; y
h)
estimar los recursos que cada actividad crítica requerirá para reanudar sus funciones.
4.1.2
Evaluación del riesgo
4.1.2.1 Debe existir un método de análisis de riesgo definido, documentado y apropiado que permita a la organización entender las amenazas y vulnerabilidades de sus actividades críticas y recursos de soporte incluyendo los proporcionados por los proveedores y subcontratistas. 12
NORMA TÉCNICA COLOMBIANA
NTC 5722
4.1.2.2 La organización debe entender el impacto que podría producirse si una amenaza identificada se convirtiera en un incidente y causara una interrupción del negocio. 4.1.3
Selección de opciones
4.1.3.1 Para cada una de sus actividades críticas, la organización debe identificar los tratamientos de riesgo disponibles que: a)
reduzcan la probabilidad de una interrupción;
b)
diminuyan el período de interrupción; y
c)
limiten el impacto de una interrupción en los principales productos y servicios de la organización.
4.1.3.2 La organización debe escoger e implementar los tratamientos del riesgo apropiados para cada actividad crítica de acuerdo con su nivel de aceptación del riesgo. 4.2
DETERMINACIÓN DE LA ESTRATEGIA DE CONTINUIDAD DEL NEGOCIO
PROPÓSITO Identificar las disposiciones del SGCN que permitirán a la organización recuperar sus actividades críticas dentro de su tiempo objetivo de recuperación. La organización debe: a)
definir una estructura de respuesta al incidente adecuada, predefinida y documentada que permita una respuesta eficaz y la recuperación ante las interrupciones;
b)
determinar cómo se recuperará cada actividad crítica dentro de su tiempo objetivo de recuperación y las disposiciones del GCN, basado en los resultados del BIA, incluyendo los recursos requeridos para reasumir las funciones y los productos y servicios proporcionados por los proveedores y subcontratistas.
c)
determinar cómo gestionará las relaciones con sus principales partes interesadas y externos involucrados en la recuperación.
4.3
DESARROLLO E IMPLEMENTACIÓN DE UNA RESPUESTA DEL SGCN
PROPÓSITO Habilitar la organización para desarrollar e implementar los planes apropiados y disposiciones del SGCN para manejar cualquier incidente y continuar sus actividades críticas. 4.3.1
Generalidades
La organización debe emplear los resultados que se mencionan en el numeral 4.2 para desarrollar e implementar los planes y disposiciones apropiados para asegurar la continuidad de las actividades críticas y la gestión de un incidente.
13
NORMA TÉCNICA COLOMBIANA 4.3.2
NTC 5722
Estructura de la respuesta al incidente
4.3.2.1 La organización debe designar el personal de respuesta al incidente con la responsabilidad, autoridad y competencia necesarias para gestionar un incidente. 4.3.2.2 La estructura de la respuesta al incidente debe disponer de personal para: a)
confirmar la naturaleza y magnitud de un incidente;
b)
dar inicio a la respuesta al incidente;
c)
tener planes, procesos y procedimientos para la activación, operación, coordinación y comunicación de la respuesta al incidente;
d)
Contar con los recursos disponibles para apoyar los planes, procesos y procedimientos para manejar un incidente; y
e)
comunicar a las partes interesadas.
4.3.3
Planes de continuidad del negocio y planes de gestión del incidente
4.3.3.1 La organización debe contar con planes documentados que detallen cómo la organización gestionará un incidente y cómo recuperará o mantendrá sus actividades a un nivel predeterminado en caso de que ocurra una interrupción. 4.3.3.2 Cada plan debe: a)
tener un propósito y un alcance definidos;
b)
ser accesible a quienes van a usarlo y ser entendido por ellos;
c)
tener propietarios identificados, nombrado(s), para que sean responsables de su revisión, actualización y aprobación; y
d)
estar alineado con las planes de contingencia externos pertinentes a la organización.
4.3.3.3 Los planes deben contener en conjunto: a)
líneas de comunicaciones identificadas;
b)
información sobre las tareas principales y de referencia;
c)
roles y responsabilidades definidos para las personas y equipos que tienen autoridad durante un incidente y luego del mismo;
d)
pautas y criterios considerando cuáles individuos tienen autoridad para activar cada plan y bajo qué circunstancias;
e)
un método por el cual activa cada plan;
f)
lugares de reunión con alternativas, contacto actualizado y detalles de la movilización para todas la agencias, organizaciones y recursos pertinentes que puedan ser necesarios para dar soporte a la respuesta; 14
NORMA TÉCNICA COLOMBIANA
NTC 5722
g)
un proceso de retorno a la normalidad una vez que el incidente ha sido solucionado;
h)
una referencia de datos de contacto esenciales para todas las principales partes interesadas;
i)
los detalles para gestionar las consecuencias inmediatas de una interrupción del negocio considerando:
j)
1)
el bienestar de las personas;
2)
las opciones estratégicas y operacionales para responder a la interrupción; y
3)
la prevención de pérdidas posteriores o la no disponibilidad de las actividades críticas;
los detalles para gestionar un incidente, incluyendo: 1)
la provisión para la gestión de problemas durante un incidente; y
2)
los procesos para permitir la continuidad y la recuperación de las actividades críticas;
k)
los detalles sobre cómo y bajo qué circunstancias la organización se comunicará con los empleados y sus parientes, las principales partes interesadas y los contactos de emergencia;
l)
Los detalles de la respuesta de la organización ante los medios de comunicación luego de un incidente, incluyendo: 1)
La estrategia de comunicaciones del incidente;
2)
Canales de comunicación preferidos con los medios;
3)
El guión o plantilla para la redacción de una declaración para los medios de comunicación; y
4)
los voceros apropiados;
m)
un método para registrar la información principal sobre el incidente, las acciones emprendidas y las decisiones tomadas;
n)
los detalles de las acciones y tareas que deben realizarse;
o)
los detalles de los recursos que se requieren para la continuidad del negocio y la recuperación del negocio en diferentes momentos; y
p)
objetivos priorizados en términos de las actividades críticas que se va a recuperar, las escalas de tiempo en que se van a recuperar y los niveles de recuperación necesarios para cada actividad crítica.
15
NORMA TÉCNICA COLOMBIANA 4.4
NTC 5722
PRUEBAS, MANTENIMIENTO Y REVISIÓN DE LAS DISPOSICIONES DEL SGCN
PROPÓSITO Verificar la efectividad continua de las disposiciones del SGCN y proporcionar luego de un incidente un mayor aseguramiento de que las actividades críticas se recuperarán como se requiere. 4.4.1
Generalidades
La organización debe asegurarse que las disposiciones de su SGCN estén validadas por el ejercicio y la revisión, y que se mantengan actualizadas. 4.4.2
Pruebas del SGCN
4.4.2.1 La organización debe probar sus planes y acciones de SGCN para asegurarse de que cumplen con los requisitos del negocio. 4.4.2.2 La organización debe: a)
desarrollar pruebas que sean consistentes con el alcance del SGCN;
b)
tener un programa aprobado por la gerencia general para asegurarse de que las pruebas se lleven a cabo a intervalos planificados y cuando ocurran cambios significativos;
c)
realizar un rango de diferentes pruebas que en conjunto validen la totalidad de sus disposiciones de continuidad del negocio;
d)
planear pruebas de forma que se minimice el riesgo de que ocurra un incidente como consecuencia directa de la prueba;
e)
definir los propósitos y objetivos de cada prueba;
f)
efectuar una revisión posterior a cada prueba que evalúe el logro de los propósitos y objetivos del ejercicio; y
g)
producir un informe escrito del prueba, su resultado y retroalimentación, incluyendo las medidas que deben tomarse.
4.4.3
Mantenimiento y revisión de las disposiciones del SGCN
4.4.3.1 La organización debe, a intervalos definidos, revisar las disposiciones de su SGCN para asegurar su continua conveniencia, adecuación y efectividad. 4.4.3.2 La organización debe asegurarse de que su capacidad e idoneidad de continuidad del negocio se revise a intervalos planificados y cuando ocurran cambios significativos, para asegurar su continua conveniencia, adecuación y efectividad. 4.4.3.3 La revisión de las disposiciones del SGCN debe llevarse a cabo periódicamente a través de autoevaluación o de auditoría.
16
NORMA TÉCNICA COLOMBIANA
NTC 5722
4.4.3.4 En caso de que ocurra un incidente como resultado de la activación del BCP o del IMP (PMI), debe llevarse a cabo una revisión posterior al incidente para: a)
identificar la naturaleza y la causa del incidente;
b)
evaluar la pertinencia de la respuesta de la dirección;
c)
evaluar la efectividad de la organización en el cumplimiento de sus tiempos objetivo de recuperación;
d)
evaluar la pertinencia de las disposiciones del SGCN en la preparación de los empleados para dar respuesta al incidente; e
e)
identificar las mejoras que deben hacerse a las disposiciones del SGCN.
5.
SUPERVISIÓN Y REVISIÓN DEL SGCN
PROPÓSITO Asegurar que la dirección supervise y revise la efectividad y eficacia del SGCN, revise la idoneidad de la política de continuidad del negocio, objetivos y alcance, y determine y autorice las acciones para remediar y mejorar. 5.1
AUDITORÍA INTERNA
NOTA La auditoría interna del SGCN es distinta de la autoevaluación o de las disposiciones de auditoría del SGCN especificadas en el numeral 4.4.3.3 (véase también la Nota a el numeral 2.22).
5.1.1 La organización debe asegurarse de que se realicen auditorías internas del SGCN a intervalos planificados para: a)
b)
determinar si el SGCN: 1)
se ajusta a las disposiciones planificadas para el SGCN, incluyendo los requisitos de esta norma SGCN; y
2)
se ha implementado y mantenido apropiadamente; y
3)
es eficaz en el cumplimiento de la política y objetivos del SGCN de la organización; y
proporcionar información sobre los resultados de las auditorías a la dirección.
5.1.2 Cualquier programa o programas de auditoría se planificarán, establecerán, realizarán y mantendrán por la organización teniendo en cuenta el BIA, la evaluación de riesgo, las medidas de control y mitigación y los resultados de auditorías anteriores. 5.1.3 Se establecerán, implementarán y mantendrán procedimiento(s) de auditoría que orienten: a)
las responsabilidades, competencias y requisitos para planificar y efectuar las auditorías, reportar los resultados y retener los registros asociados; y
b)
la determinación del criterio, alcance, frecuencia y métodos de la auditoría. 17
NORMA TÉCNICA COLOMBIANA
NTC 5722
5.1.4 La selección de auditores y el manejo de las auditorías deberá asegurar la objetividad y la imparcialidad del proceso de auditoría. 5.2
REVISIÓN DEL SGCN POR LA DIRECCIÓN
5.2.1
Generalidades
5.2.1.1 La dirección debe revisar el SGCN de la organización a intervalos planificados y cuando ocurran cambios significativos para asegurar su continua conveniencia, adecuación y efectividad. 5.2.1.2 Esta revisión debe evaluar las oportunidades para la mejora y la necesidad de cambios al SGCN, incluyendo la política de gestión de continuidad del negocio y los objetivos de la gestión de continuidad del negocio. 5.2.1.3 Los resultados de las revisiones deben documentarse claramente y deben mantenerse los registros correspondientes. 5.2.2
Entradas para la revisión
Las entradas para una revisión por la gerencia deben incluir información sobre: a)
los resultados de las auditorías y revisiones del SGCN, incluyendo donde corresponda a los principales proveedores y subcontratistas;
b)
la retroalimentación independientes;
c)
las técnicas, productos o procedimientos que podrían usarse en la organización para mejorar el desempeño y la efectividad del SGCN;
d)
el estado de las acciones preventivas y correctivas;
e)
el nivel de riesgo residual y del riesgo aceptable;
f)
las vulnerabilidades o amenazas no manejadas adecuadamente en la anterior evaluación del riesgo;
g)
las acciones de seguimiento de las anteriores revisiones por la dirección;
h)
cualquier cambio interno o externo que pudiera afectar el SGCN;
i)
las recomendaciones para la mejora;
j)
los resultados de las pruebas;
k)
las buenas prácticas y nuevas guías;
l)
las lecciones de los incidentes; y
m)
los resultados del programa de educación, entrenamiento y concientización.
de
las
partes
18
interesadas,
incluyendo
observaciones
NORMA TÉCNICA COLOMBIANA 5.2.3
NTC 5722
Resultado de la revisión
El resultado de la revisión por la dirección debe incluir cualquier decisión y acciones relacionadas con: a)
la variación del alcance del SGCN;
b)
la mejora de la efectividad del SGCN;
c)
la modificación de la estrategia y los procedimientos del SGCN, según sea necesario, para responder a los eventos internos o externos que pudieran impactar en el SGCN, incluyendo cambios a: 1)
los requisitos del negocio;
2)
los requisitos de resiliencia;
3)
los procesos del negocio que afectan los requisitos del negocio existentes;
4)
los requisitos estatutarios, regulatorios y contractuales; y
5)
los niveles de riesgo y/o niveles de aceptación de riesgo;
d)
las necesidades de recursos; y
e)
los requisitos de financiación y presupuesto.
6.
MANTENIMIENTO Y MEJORA DEL SGCN
PROPÓSITO Mantener y mejorar la efectividad y la eficacia del SGCN emprendiendo acciones preventivas y correctivas, según se determine a partir de la revisión por la gerencia. 6.1
ACCIONES PREVENTIVAS Y CORRECTIVAS
6.1.1
Generalidades
6.1.1.1 La organización deberá mejorar el SGCN a través de la aplicación de acciones preventivas y correctivas. 6.1.1.2 Cualquier acción preventiva o correctiva que se emprenda debe ser apropiada a la magnitud de los problemas y estar alineada con la política y los objetivos de continuidad del negocio. 6.1.1.3 Los cambios que surjan de las acciones preventivas y correctivas se reflejarán en la documentación del SGCN. 6.1.2
Acción preventiva
La organización debe emprender acciones para protegerse contra no conformidades potenciales a fin de prevenir que ocurran. Las acciones preventivas que se tomen deben ser 19
NORMA TÉCNICA COLOMBIANA
NTC 5722
apropiadas al impacto de los problemas potenciales. El procedimiento documentado para la acción preventiva debe definir los requisitos para: a)
identificar las no conformidades potenciales y sus causas;
b)
determinar e implementar la acción preventiva necesaria;
c)
registrar los resultados de la acción emprendida;
d)
revisar la acción preventiva emprendida;
e)
identificar los riesgos que han cambiado y asegurar que la atención se centre en los riesgos que hayan cambiado significativamente;
f)
asegurar que todos los interesados estén informados de la posible no conformidad y de la acción preventiva aplicada; y
g)
la prioridad de los procesos preventivos basados en los resultados de la evaluación de riesgo y en el BIA.
6.1.3
Acción correctiva
La organización debe emprender acciones para eliminar la causa de las no conformidades asociados con la implementación y operación del SGCN para prevenir que se repitan. Los procedimientos documentados para la acción correctiva deben definir los requisitos para: a)
identificar cualquier no conformidad;
b)
determinar las causas de las no conformidades;
c)
evaluar la necesidad de que las acciones aseguren que no se repitan las no conformidades;
d)
determinar e implementar la acción correctiva necesaria;
e)
registrar los resultados de las acciones emprendidas; y
f)
revisar la acción correctiva aplicada.
6.2
MEJORA CONTINUA
La organización debe mejorar continuamente la efectividad del SGCN a través de la revisión de la política y los objetivos de continuidad del negocio, los resultados de la auditoría, el análisis de los eventos supervisados, las acciones preventivas y correctivas y la revisión por la dirección.
20
NORMA TÉCNICA COLOMBIANA
NTC 5722 ANEXO A (Informativo)
CORRESPONDENCIA CON LAS NORMAS NTC-ISO 9001:2008, NTC-ISO 14001:2004, NTC ISO/IEC 27001:2006 La Tabla A.1 muestra la correspondencia entre las normas NTC ISO 9001:2008, NTC-ISO 14001:2004, NTC ISO/IEC 27001:2006 y está Norma Técnica Colombiana. Tabla A.1. Correspondencia a está Norma Técnica Colombiana con otras normas de sistemas de gestión
Norma Técnica Colombiana
NTC-ISO/IEC 27001:2006
NTC-ISO 9001:2008
NTC ISO 14001: 2004
Introducción
0 Introducción 0.1 Generalidades 0.2 Enfoque del proceso 0.3 Compatibilidad con otros sistemas de gestión
0 Introducción 0.1 Generalidades 0.2 Enfoque del proceso 0.3 Relación con ISO 9004 0.4 Compatibilidad con otros sistemas de gestión
Introducción
1 Alcance
1 Alcance 1.1 Generalidades 1.2 Aplicación
1 Alcance 1.1 Generalidades 1.2 Aplicación
1 Alcance
2 Referencias normativas
2 Referencia normativa
2 Referencias normativas
3 Términos y definiciones
3 Términos y definiciones
3 Términos y definiciones
2 Términos y definiciones 3 Planificación del SGCN 3.1 Generalidades 3.2 Establecimiento y gestión del SGCN 4 Implementación y operación del SGCN 4.1 Comprensión de la organización 4.2 Determinación de la estrategia de continuidad del negocio 4.3 Desarrollo e implementación de una respuesta del SGCN 4.4 Ejercicio, mantenimiento y revisión de las disposiciones del SGCN 3.4 Documentación y registros del SGCN 3.4.1 Generalidades 3.4.2 Control de documentación del SGCN 3.4.3 Control de registros del SGCN
4 Requisitos del ISMS 4.1 Requisitos generales 4.2 Establecimiento y gestión del ISMS 4.2.1 Establecer el ISMS 4.2.2 Implementar y operar el ISMS 4.2.3 Mantener y mejorar el ISMS 4.3 Requisitos de documentación 4.3.1 Generalidades 4.3.2 Control de documentos 4.3.3 Control de registros
21
4 Requisitos de QMS 4.1 Requisitos generales
4.2 Requisitos de documentación 4.2.1 Generalidades 4.2.2 Manual de calidad 4.2.3 Control de documentos 4.2.4 Control de registros
4 Requisitos de EMS 4.1 Requisitos generales 4.4 Implementación y operación
4.5.1 Supervisión y medición 4.5.2 No conformidad y acción correctiva y preventiva 4.4.5 Control de documentación 4.5.3 Registros
NORMA TÉCNICA COLOMBIANA
NTC 5722
Tabla A.1. (Continuación) Correspondencia al está Norma Técnica Colombiana con otras normas de sistemas de gestión Proyecto de norma de continuidad del negocio
NTC-ISO 27001:2005
NTC-ISO 9001:2000
NTC ISO 14001: 2004
5 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia
5 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Enfoque en el cliente 5.3 Política de la calidad 5.4 Planificación 5.5 Responsabilidad, autoridad y comunicación
4.2 Política ambiental 4.3 Planificación
5.2 Gestión de los recursos 5.2.1 Provisión de recursos 5.2.2 Entrenamiento, conocimiento y competencia
6 Gestión de los recursos 6.1 Provisión de recursos 6.2 Recursos humanos 6.2.2 Competencia, conocimiento y entrenamiento 6.3 Infraestructura 6.4 Ambiente de trabajo
4.2.2 Entrenamiento, conocimiento y competencia
5 Supervisión y revisión del SGCN 5.2 Revisión del SGCN por la gerencia 5.2.1 Generalidades 5.2.2 Entrada para revisión 5.3 Resultado de la revisión 5.1 Auditoría interna
6 Revisión del ISMS por la gerencia 6.1 Generalidades 6.2 Entrada para revisión 6.3 Resultado de la revisión 6.4 Auditorías internas del ISMS
5.6 Revisión por la gerencia 5.6.1 Generalidades 5.6.2 Entrada para revisión 5.6.3 Resultado de la revisión 8.2.2 Auditorías internas
4.6 Revisión por la gerencia 4.5.4 Auditoría del SME
6 Mantenimiento y mejora del SGCN 6.1 Acciones preventivas y correctivas 6.2 Mejora continua 6.1.3 Acción correctiva 6.1.2 Acción preventiva
7 Mejora del ISMS 7.1 Mejora continua 7.2 Acción correctiva 7.3 Acción preventiva
8 Mejora 8.5.1 Mejora continua 8.5.2 Acciones correctivas 5.5.3 Procesos preventivos
4.5.2 No conformidad y acciones correctiva y preventiva
Anexo A Correspondencia con BS EN ISO 9001:2000, BS ENISO 14001:2004, BS ISO/IEC 27001:2005
Anexo A Objetivos del control y controles Anexo B Pauta del uso de la norma Anexo C Correspondencia entre las diferentes normas de sistemas de gestión
Anexo A Conexiones entre ISO 14001:1996 e ISO 9001:2000
Anexo A Pauta del uso de la especificación Anexo B Conexiones entre ISO 14001:2004 e ISO 9001:2000
22
NORMA TÉCNICA COLOMBIANA
NTC 5722 BIBLIOGRAFÍA
PUBLICACIONES DE NORMAS
GTC 16, Sistema de Gestión de Continuidad del Negocio. NTC-ISO 9000:2005, Sistemas de gestión de Calidad. Fundamentos y Vocabulario NTC-ISO 9001:2008, Sistemas de gestión de Calidad. Requisitos NTC-ISO 14001:2004, Sistemas de Gestión Ambiental. Requisitos con Orientación Para su Uso. NTC-ISO/IEC 20000-1:2008, Tecnología de la Información. Gestión del servicio. Parte 1: Especificación. NTC-ISO/IEC 20000-2:2005, Tecnología de la Información. Gestión del servicio parte 2: Código De Practica. NTC-ISO/IEC 27001:2006, Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. BS ISO/IEC 17799:2005, Information Technology. Security Techniques. Code of Practice for Information Security Management. BS ISO/IEC TR 13335-3:1998, Guidelines for the Management of IT Security. Part 3. Techniques for the Management of IT Security. BS ISO/IEC TR 13335-4:2000, Guidelines for the Management of IT Security. Part 4: Selection of Safeguards. ISO/IEC Guide 62:1996, General Requirements for Bodies Operating Assessment and Certification/Registration of Quality Systems. ISO Guide 73:2002, Risk Management Vocabulary. Guidelines for Use in Standards.
OTRAS PUBLICACIONES [1]
OECD. OECD Guidelines for the Security of Information Systems and Networks. Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org
23
NORMA TÉCNICA COLOMBIANA
NTC 5722
DOCUMENTO DE REFERENCIA BRITISH STANDARDS. Business Continuity Management – Part 2: Specification. United Kingdom, 2007, 23 p. (BS 25999-2)
24
View more...
Comments
