Informe: Lista De Documentación Obligatoria Para ISO 22301
Enviado por emdiaza • 22 de Mayo de 2015 • 2.942 Palabras (12 Páginas) • 307 Visitas
Informe: Lista de documentación obligatoria para ISO 22301
Copyright ©2014 27001Academy. Todos los derechos reservados.
INFORME agosto 06, 2014
Copyright ©2014 27001Academy. Todos los derechos reservados. 2
1. ¿Qué documentos y registros son necesarios?
El siguiente listado detalla los documentos y registros mínimos requeridos por ISO 22301:2012 (la norma se refiere a los documentos y registros como información documentada): Documentos y registros Punto en ISO 22301 Determinación del contexto de la organización 4.1 Procedimiento para identificación de requerimientos legales y normativos aplicables 4.2.2 Lista de requisitos legales, normativos y de otra índole 4.2.2 Alcance del SGCN (Sistema de gestión de la continuidad del negocio) y explicación de las exclusiones 4.3 Política de la continuidad del negocio 5.3 Objetivos de la continuidad del negocio 6.2 Competencias del personal 7.2 Comunicación con las partes interesadas 7.4 Proceso para análisis de impactos en el negocio y evaluación de riesgos 8.2.1 Resultados del análisis del impacto en el negocio 8.2.2 Resultados de la evaluación de riesgos 8.2.3 Procedimientos de la continuidad del negocio 8.4.1 Procedimientos de respuesta a incidentes 8.4.2 Decisión sobre si los riesgos e impactos se deben comunicar externamente 8.4.2 Comunicación con las partes interesadas, incluido el sistema 8.4.3
Copyright ©2014 27001Academy. Todos los derechos reservados. 3
nacional o regional de asesoramiento de riesgos Registros de información importante sobre el incidente, medidas adoptadas y decisiones tomadas 8.4.3 Procedimientos para respuesta ante incidentes disruptivos 8.4.4 Procedimientos para restaurar y reiniciar actividades a partir de las medidas temporales 8.4.5 Resultados de las acciones que abordan tendencias o resultados adversos 9.1.1 Datos y resultados de seguimiento y medición 9.1.1 Resultados de la revisión posterior al incidente 9.1.2 Resultados de la auditoría interna 9.2 Resultados de la revisión por parte de la dirección 9.3 Naturaleza de las no conformidades y acciones tomadas 10.1 Resultados de acciones correctivas 10.1
Esta no es, de ninguna forma, una lista definitiva de documentos y registros que se pueden utilizar durante la implementación de ISO 22301; la norma permite que se agregue cualquier otro documento que pueda mejorar el nivel de resistencia.
2. Documentos no obligatorios de uso frecuente
Los siguientes son otros documentos que se utilizan habitualmente: Documentos Punto en ISO 27001 Plan de implementación para alcanzar los objetivos de continuidad de negocio 6.2 Plan de capacitación y concienciación 7.2, 7.3 Procedimiento para control de información documentada 7.5 Contratos y acuerdos de niveles de servicio (SLA) con proveedores y socios externos 8.1 Estrategia de la continuidad del negocio 8.3 Mitigación de riesgos. 8.3.3 Escenarios de incidentes 8.5 Planes de prueba y verificación 8.5
Copyright ©2014 27001Academy. Todos los derechos reservados. 4
Informes posteriores a las pruebas 8.5 Programa de mantenimiento del SGCN 9.1.1 Métodos para supervisión, medición, análisis y evaluación 9.1.1 Procedimiento para auditoría interna 9.2 Programa de auditoría interna 9.2 Procedimiento para medidas correctivas 10.1
3. Cómo estructurar los documentos y registros
Determinación del contexto de la organización (4.1)
En general, el contexto se determina a través de varios documentos; por ejemplo, el Procedimiento para identificación de requerimientos, la Política de continuidad del negocio, la Metodología de análisis de impactos en el negocio, la Metodología de evaluación de riesgos, etc.
En otras palabras, generalmente no se confecciona un único documento para determinar un contexto sino que se lo debe dejar plasmado a través de varios otros documentos.
Procedimiento para identificación de requerimientos legales y normativos aplicables y Lista de requisitos legales, normativos y de otra índole (4.2.2)
Este suele ser un procedimiento bastante corto que define quién es responsable del cumplimiento: ¿quién debe identificar todas las partes interesadas, quién tiene que respetar todas las leyes y normativas y demás requisitos de las partes interesadas, quiénes serán responsables de cumplir los requerimientos, cómo se comunicarán estos requerimientos, etc.
Este procedimiento, y el listado resultante, deben ser definidos bien al comienzo del proyecto, ya que proporcionará datos para todo el SGCN.
Leer más aquí: Cómo identificar las partes interesadas según las normas ISO 27001 e ISO 22301.
Alcance del SGCN y explicación de las exclusiones (4.3)
Este documento también es muy breve y debe ser confeccionado al inicio del proyecto de continuidad del negocio. Debe definir claramente a qué partes de su organización se aplicará el BCMS en base a las necesidades identificadas y a las pretensiones de la organización. También debe explicar los motivos por los que fueron excluidos del alcance algunas partes de su organización.
Muy a menudo, este documento se fusiona con la Política de continuidad del negocio.
Política y objetivos de la continuidad del negocio (5.3, 6.2)
Este es el documento central en el que la alta dirección debe indicar lo que quiere lograr con el SGCN y cómo lo controlarán. Habitualmente, la alta dirección aprobará solamente este documento de alto nivel, mientras que los demás documentos del SGCN son aprobados por administradores de nivel inferior.
Copyright ©2014 27001Academy. Todos los derechos reservados. 5
Este documento es más bien corto y las organizaciones pequeñas y medianas, por lo general, incluyen aquí el alcance y los objetivos del SGCN; mientras que las organizaciones más grandes, habitualmente, confeccionan documentos separados para el alcance y los objetivos.
Los objetivos SGCN no deben mezclarse con los objetivos de tiempo de recuperación (OTR). Los objetivos del SGCN se establecen para todo el sistema, no para las actividades.
Leer más aquí: El objetivo de la política de continuidad del negocio según ISO 22301.
Plan de capacitación y concienciación; competencias del personal (7.2, 7.3)
Estos planes normalmente son desarrollados anualmente por la persona responsable de la continuidad del negocio junto con el departamento de recursos humanos (si hay). Es el departamento de recursos humanos el que generalmente se encarga de llevar los registros de las competencias. Si usted no tiene un sector de este tipo, cualquier persona que habitualmente se encargue de los registros de los empleados debería ser quien realice este trabajo. Básicamente, sería suficiente una carpeta en la que se encuentren todos los documentos.
Leer más
...