Quito – Ecuador

NORMA NTE INEN-ISO 22313

TÉCNICA Primera edición
ECUATORIANA

PROTECCIÓN Y SEGURIDAD DE LA CIUDADANIA ─ SISTEMAS DE

GESTIÓN DE CONTINUIDAD DEL NEGOCIO ─ DIRECTRICES (ISO
22313:2012, IDT)

SOCIETAL SECURITY ─ BUSINESS CONTINUITY MANAGMENT SYSTEMS ─ GUIDANCE (ISO

22313:2012, IDT)

__________________________________________

Correspondencia:

Esta Norma Técnica Ecuatoriana es una traducción idéntica de la Norma Internacional ISO
22313:2012.

ICS: 03.100.01 51
Páginas

© ISO 2012  Todos los derechos reservados

© INEN 2017
NTE INEN-ISO 22313

Prólogo nacional

Esta Norma Técnica Ecuatoriana NTE INEN-ISO 22313 es una traducción idéntica de la Norma
Internacional ISO 22313:2012, Societal security. Business continuity managment systems.
Guidance. El comité nacional responsable de esta Norma Técnica Ecuatoriana y de su traducción
es el Comité Técnico de Normalización, Protección y seguridad de los ciudadanos.

Para propósitos de esta Norma Técnica Ecuatoriana se ha hecho el siguiente cambio editorial:

a) Las palabras “esta Norma Internacional” han sido reemplazadas por “esta norma nacional”.

A continuación, se enlistan los documentos normativos internacionales que se referencian en la

Norma Internacional ISO 22313:2012 y los documentos normativos nacionales.

Documento Normativo Internacional Documento Normativo Nacional

NTE INEN-ISO 22300, Protección y
seguridad de la ciudadanía ─ Terminología
ISO 22300, Societal security —Vocabulary
(ISO 22300:2012, IDT)

ISO 22301, Societal security — Business continuity No existe documento nacional

managment systems— Requirements correspondiente.

© ISO 2012  Todos los derechos reservados

© INEN 2017
2017-XX i
NTE INEN-ISO 22313

Índice Página

Prólogo ¡Error! Marcador no definido.¡Error! Marcador no definido.¡Error! Marcador no definido.

Introducción ¡Error! Marcador no definido.v

1 Objeto y campo de aplicación 1

2 Referencias Normativas 1

3 Términos y definiciones 1

4 Contexto de la organización
4.1 Entendimiento de la organización y su contexto 2
4.2 Entendimiento de las necesidades y expectativas de las partes interesadas 3
4.3 Determinación del alcance del sistema de gestión 4
4.4 Sistema de gestión de la continuidad del negocio 5

5 Liderazgo 5
5.1 Liderazgo y compromiso 5
5.2 Compromiso de la dirección 5
5.3 Política 6
5.4 Funciones, responsabilidades y autoridad de las organizaciones 7

6 Planificación 7
6.1 Acciones para abordar riesgos y oportunidades 7
6.2 Objetivos de la continuidad del negocio y planes para cumplirlos 8

7 Apoyo 8
7.1 Recursos 8
7.2 Competencia 9
7.3 Concienciación 11
7.4 Comunicación 13
7.5 Información documentada 13

8 Operación 16
8.1 Planificación y control operacional 16
8.2 Análisis de impacto en el negocio y valoración del riesgo 19
8.3 Estrategia de continuidad del negocio 22
8.4 Establecimiento e implementación de procedimientos de continuidad del negocio31
8.5 Pruebas y ensayos 42

9 Evaluación del desempeño 45

9.1 Supervisión, medición, análisis y evaluación 45
9.2 Auditoría Interna 48
9.3 Revisión de la gestión 48

10 Mejora 49
10.1 No conformidad y acción correctiva 49
10.2 Mejora continua 50

Bibliografía 51

© ISO 2012  Todos los derechos reservados

© INEN 2017
2017-XX ii
NTE INEN-ISO 22313

Prólogo

ISO (Organización International de Normalización) es una federación mundial de organismos

nacionales de normalización (organismos miembros ISO). El trabajo de preparación de las Normas
Internacionales normalmente se realiza a través de comités técnicos de ISO. Cada organismo
miembro interesado en un tema para el cual se ha establecido un comité técnico, tiene el derecho
de estar representado en dicho comité. Las organizaciones internacionales, públicas y privadas,
en coordinación con ISO, también participan en el trabajo. ISO colabora estrechamente con la
Comisión Electrotécnica Internacional (IEC) en todas las materias de normalización electrotécnica.

Las normas nacionales se redactan de acuerdo con las reglas establecidas en las Directivas de
ISO/IEC, Parte 2.

La tarea principal de los comités técnicos es preparar las normas nacionales. Los proyectos de
normas nacionales adoptados por los comités técnicos son enviados a los organismos miembros
para votación. La publicación como norma nacional requiere de la aprobación por lo menos del
75% de los organismos miembros de la emisión del voto.

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento
puedan ser objeto de derechos de patente. ISO no se hace responsable de la identificación de
cualquiera o todos los derechos de patente.

ISO 22313 fue preparado por el Comité Técnico ISO/TC 223, Protección y seguridad de la
ciudadanía.

A los efectos de la investigación, se fomenta a los usuarios a compartir sus puntos de vista
sobre la norma ISO 22313: 2012 y sus prioridades para los cambios en las futuras ediciones del
documento. Haga clic en el enlace de abajo para participar en la encuesta en línea:

http://www.surveymonkey.com/s/22313

© ISO 2012  Todos los derechos reservados

© INEN 2017
2017-XX iii
NTE INEN-ISO 22313

Introducción

Generalidades

Esta norma nacional proporciona orientación cuando sea apropiado, en los requisitos
especificados en ISO 22301:2012 y proporciona recomendaciones ("debería") y permiso ("puede")
en relación a estos. No es intención de esta norma nacional proporcionar directrices generales en
todos los aspectos de la continuidad del negocio.

Esta norma nacional incluye el mismo título como ISO 22301 pero no repite los requisitos para los
sistemas de gestión de la continuidad del negocio y sus términos y definiciones relacionados. Las
organizaciones que deseen ser informados de éstos, por tanto, deben hacer referencia en ISO
22301 e ISO 22300.

Para proporcionar una mayor clarificación y explicación de los puntos clave, esta norma incluye
una serie de figuras. Todas estas cifras son solo para fines ilustrativos y el texto relacionado en el
cuerpo de esta norma nacional tiene prioridad.

Un sistema de gestión de la continuidad del negocio (SGCN) hace hincapié en la importancia de:

― comprensión de las necesidades de la organización y la necesidad de establecer la política de

continuidad de negocio y los objetivos;

― implementación y operación de los controles y medidas para la gestión general de una

organización de la capacidad para gestionar incidentes que interrumpan;

― seguimiento y la revisión del desempeño y la eficacia del SGCN; y

― la mejora continua basada en mediciones objetivas.

Un sistema de gestión de la continuidad del negocio (SGCN), al igual que a cualquier otro sistema
de gestión, incluye los siguientes componentes principales:

a) política;

b) personas con responsabilidades definidas;

c) procesos de gestión relacionados con:

1) política;

2) planificación;

3) implementación y operación;

4) evaluación del desempeño;

5) revisión de la gestión; y

6) mejora.

d) un conjunto de documentación que proporcione evidencia auditable; y

e) cualquier proceso relevante SGCN para la organización.

© ISO 2012  Todos los derechos reservados

© INEN 2017
2017-XX iv
NTE INEN-ISO 22313

Por lo general, la continuidad del negocio es específica a cada organización, sin embargo su
implementación puede tener consecuencias significativas en la comunidad en general y en
terceros. Es probable que una organización dependa de organizaciones externas y, que a la vez,
otras organizaciones dependan de ella. Por lo tanto, la efectiva continuidad del negocio contribuye
a que exista una sociedad más sólida.

Ciclo Planificar-Hacer-Verificar-Actuar

Esta norma nacional aplica el ciclo "Planificar-Hacer-Verificar-Actuar" (PHVA) para planificar,

establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente la
efectividad del SGCN de una organización.

La Figura 1 ilustra el SGCN usa los requisitos de las partes interesadas como información para la
gestión de continuidad del negocio (GCN) y, a través de los procesos y acciones requeridas,
produce resultados de continuidad del negocio (es decir, continuidad del negocio gestionada) para
cumplir esos requisitos.

Mejora continua del sistema de gestión

de continuidad del negocio (SGCN)

Partes Partes
Establecer
interesadas interesadas
(Planificar)

Requisitos Mantener y Implementar

para la mejorar y operar
continuidad (Actuar) (Hacer) Continuidad
del negocio del negocio
gestionada

Monitoreo y
revisión
(Verificar)

Figura 1- Modelo PVHA aplicado a los procesos del SGCN

© ISO 2012  Todos los derechos reservados

© INEN 2017
2017-XX v
 Tabla 1 — Explicación del modelo PVHA

Planificar (Establecer) Establecer política, objetivos, controles, procesos y

procedimientos de continuidad del negocio pertinentes
para mejorar la continuidad del negocio con el fin de
presentar resultados que se ajusten a las políticas y
objetivos globales de la organización.
Hacer (Implementar y operar) Implementar y operar la política, controles, procesos y
procedimientos de continuidad del negocio.
Verificar Monitorear y revisar el desempeño en comparación
(Monitorear y revisar) con la política y objetivos de continuidad del negocio,
presentar los resultados a la dirección para su revisión
y determinar y autorizar acciones para corregir y
mejorar.
Actuar Mantener y mejorar el SGCN a través de acciones
(Mantener y mejorar) correctivas basadas en los resultados de la revisión
por la dirección y reevaluar al alcance del SGCN y la
política y objetivos de continuidad del negocio.

Componentes del ciclo PHVA en esta norma nacional

Existe una relación directa entre el contenido de la Figura 1 y las cláusulas de esta norma
nacional:

Tabla 2 — Relación entre el modelo PVHA y las cláusulas de esta norma:

Componente PVHA Capítulo que aborda el componente PHVA

Capítulo 4 (Contexto de la organización) expone lo que la

organización tiene que realizar con el fin de garantizar que el
Planificar SGCN cumpla sus requisitos, considerando todos los factores
internos y externos pertinentes, incluidos:
(Establecer) ― Las necesidades y expectativas de las partes interesadas .

― Sus obligaciones legales y reglamentarias

― El alcance del SGCN necesario

Capítulo 5 (Liderazgo) expone el rol clave de la gestión en cuanto

a demostrar compromiso, definir la política y establecer funciones,
responsabilidades y autoridades.

Capítulo 6 (Planificación) describe las acciones necesarias para

establecer objetivos estratégicos y principios guías para el SGCN
como un todo. Esto determina el contexto para el análisis de
impactos en el negocio y la evaluación de riesgos (ver 8.2) y la
estrategia de continuidad del negocio (ver 8.3)

Capítulo 7 (Apoyo) identifica los elementos claves que necesitan

existir para apoyar el SGCN, es decir, recursos, competencias,
concienciación, comunicación e información documentada.

Hacer Capítulo 8 (Operación) Identifica los elementos de gestión de

continuidad del negocio (SGCN) necesarios para lograr la
(Implementar y operar) continuidad de negocio.

© ISO 2012  Todos los derechos reservados

© INEN 2017
2017-XX vi
 Verificar Capítulo 9 (Evaluación del desempeño) proporciona la base para
la mejora del SGCN a través de la medición y evaluación de su
(Monitoreo y revisión) desempeño.

Actuar Capítulo 10 (Mejora) incluye la acción correctiva necesaria para

contrarrestar la no conformidad identificada en la evaluación del
(Mantener y mejorar) desempeño.

Continuidad del negocio

La continuidad del negocio es la capacidad que tiene la organización para continuar la entrega de
productos o servicios con niveles admisibles predefinidos tras un incidente¹ que interrumpa. La
gestión de continuidad del negocio (GCN) es el proceso para lograr la continuidad del negocio y
consiste en preparar a una organización para enfrentar incidentes que interrumpan, que puedan,
por el contrario, evitar que ésta logre sus objetivos.

Ubicar la GCN dentro de la estructura y las disciplinas de un sistema de gestión, da como

resultado un sistema de gestión de continuidad del negocio (SGCN) que permite controlar, evaluar
y mejorar continuamente la GCN.

En esta norma nacional, la palabra negocio es utilizada como un término global que abarca las
funciones y los servicios realizados por una organización para conseguir sus objetivos, metas o
misión. Así mismo, es aplicable a organizaciones grandes, medianas o pequeñas que se
desempeñen en los sectores industriales, comerciales, públicos y sin fines de lucro.

Cualquier incidente, grande o pequeño; natural, accidental o deliberado, tiene posibilidades de

causar una interrupción significativa en las operaciones de la organización, y en su capacidad para
entregar productos y servicios. Sin embargo, implementar un SGCN antes de que ocurra un
incidente que interrumpa en vez de esperar a que este suceda, le permitirá a la organización
reanudar las operaciones antes de que surjan niveles de impacto inaceptables.

La GCN incluye:

a) ser consciente de los productos y servicios claves de la organización y de las actividades que
los entregan;

b) conocer las prioridades para reanudar las actividades y los recursos necesarios para hacerlo;

c) tener un conocimiento claro de las amenazas a estas actividades, incluidas sus dependencias y
conocer el impacto que tendría no reanudarlas;

d) haber probado y confiado la implementación de planes vigentes para reanudar estas

actividades tras un incidente que interrumpa; y

e) asegurarse que estos mecanismos son revisados y actualizados periódicamente para que así
sean efectivos bajo cualquier circunstancia.

La continuidad del negocio puede ser efectiva tanto para incidentes disruptivos (por ejemplo,
explosiones) como graduales (por ejemplo, pandemia gripal).

Las actividades se interrumpen a causa de una amplia variedad de incidentes, muchos de los
cuales son difíciles de predecir o de analizar. Al enfocarse en el impacto de la interrupción en vez
de su causa, la continuidad del negocio identifica aquellas actividades de las que la organización
depende para su supervivencia y le permite determinar qué necesita para poder seguir con el
cumplimiento de sus obligaciones. Por medio de la continuidad del negocio, una organización
puede reconocer qué necesita hacer para proteger sus recursos (por ejemplo, personas,
instalaciones, tecnología e información), la cadena de abastecimiento, las partes interesadas y su
© ISO 2012  Todos los derechos reservados
© INEN 2017
2017-XX vii
reputación antes de que un incidente que interrumpa ocurra. Al identificar esto, la organización
puede asumir un punto de vista realista sobre las respuestas que se pueden necesitar cuando un
incidente ocurra y así, tener la confianza para encargarse de las consecuencias y evitar impactos
inaceptables.

Una organización con una GCN apropiada y vigente también puede aprovechar oportunidades que
podrían ser juzgadas como muy peligrosas bajo otras circunstancias.

Los diagramas siguientes (ver Figura 2 y 3) pretenden ilustrar de forma conceptual cómo la
continuidad del negocio puede ser efectiva para mitigar los impactos en ciertas situaciones. No se
tienen en cuenta ningún margen de tiempo en particular con la distancia relativa existente entre las
etapas ilustradas en cada diagrama.

Figura 2 ― Ilustración de la eficacia de la continuidad del negocio para interrupciones

imprevistas.

© ISO 2012  Todos los derechos reservados

© INEN 2017
2017-XX viii
 Figura 3 ― Ilustración de la eficacia de la continuidad del negocio para interrupciones
graduales (por ejemplo, pandemia próxima)

© ISO 2012  Todos los derechos reservados

© INEN 2017
2017-XX ix
Protección y seguridad de la ciudadanía — Sistemas de gestión de la
continuidad del negocio — Directrices

1 Objeto y Campo de aplicación

Esta norma nacional de gestión de la continuidad del negocio proporciona directrices basados en
buenas prácticas internacionales para planificar, establecer, implementar, operar, monitorear,
revisar, mantener y mejorar continuamente un sistema de gestión documentado, que le permita a
las organizaciones prepararse, responder y recuperarse de incidentes que interrumpen, cuando
surjan.

La intención de esta norma no es abarcar uniformidad en la estructura de un SGCN, sino que cada
organización elabore un SGCN que sea apropiado para sus necesidades y que cumpla con los
requisitos de sus partes interesadas. Estas necesidades se encuentran definidas por los requisitos
legales, reglamentarios, administrativos e industriales, por los productos y servicios, por los
procesos utilizados, por el entorno en el que se desempeña, por el tamaño y estructura de la
organización y por los requisitos de sus partes interesadas.

Esta norma nacional es genérica y aplicable a organizaciones de todo tipo y tamaño, incluidas las
organizaciones grandes, medianas y pequeñas que se desempeñen en sectores industriales,
comerciales, públicos y sin fines de lucro que deseen:

a) establecer, implementar, mantener y mejorar un SGCN;

b) garantizar la conformidad con la política de continuidad del negocio de la organización; o

c) realizar una autodeterminación y una declaración autónoma de cumplimiento con esta norma
nacional.

Esta norma nacional no puede ser utilizada para evaluar la capacidad de una organización para
cumplir sus propias necesidades de continuidad del negocio, ni las necesidades legales,
reglamentarias o las necesidades de los clientes. Las organizaciones que deseen hacerlo pueden
utilizar los requisitos de ISO 22301 para demostrar la conformidad a terceros o solicitar
certificación de un SGCN a un organismo de certificación acreditado.

© ISO 2012  Todos los derechos reservados

© INEN 2017
2017-XX 1
 INFORMACIÓN COMPLEMENTARIA

Documento: TÍTULO: PROTECCION Y SEGURIDAD DE LA CIUDADANIA Código ICS:

NTE INEN-ISO ─ SISTEMAS DE GESTIÓN DE CONTINUIDAD DEL 03.100.01
22313 NEGOCIO ─ DIRECTRICES (ISO 22313:2012, IDT)
ORIGINAL: REVISIÓN:
Fecha de iniciación del estudio: La Subsecretaría de la Calidad del Ministerio de Industrias
y Productividad aprobó este proyecto de norma
2016-10-15 Oficialización con el Carácter de
por Resolución No.
publicado en el Registro Oficial No.

Fecha de iniciación del estudio:

Fechas de consulta pública: 2017-02-02 a 2017-04-02

Comité Técnico de Normalización: Protección y Seguridad de la Ciudadanía

Fecha de iniciación: 2016-11-23 Fecha de aprobación: 2017-01-19

Integrantes del Comité:

NOMBRES: INSTITUCIÓN REPRESENTADA:

Ing. Paola Carrera (Presidenta) Ministerio de Relaciones Exteriores y Movilidad

Humana
Ing. Galo Navarrete Ministerio Coordinador de Seguridad

Ing. Walter Lazo Ministerio del Interior

Ing. Verónica Ricaurte Ministerio del Interior

Ing. Juan José Astudillo Ministerio del Interior

Ing. Washington Vinueza Instituto Geográfico Militar

Ing. Alicia Caizaluisa Instituto Geográfico Militar

Dra. María Rodríguez Ministerio de Transporte y Obras Públicas

Ing. Adriana Ocaña (Secretaria técnica) Servicio Ecuatoriano de Normalización

Otros trámites:

La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de

norma.

Oficializada como: Por Resolución No. Registro Oficial

No.
Servicio Ecuatoriano de Normalización, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre
Casilla 17-01-3999  Telfs: (593 2)3 825960 al 3 825999
Dirección Ejecutiva: direccion@normalizacion.gob.ec
Dirección de Normalización: consultanormalizacion@normalizacion.gob.ec
Centro de Información: centrodeinformacion@normalizacion.gob.ec
URL:www.normalizacion.gob.ec