0 penilaian0% menganggap dokumen ini bermanfaat (0 suara)
816 tayangan36 halaman
El documento presenta la agenda de una capacitación de 5 días sobre la implementación de un Sistema de Gestión de Continuidad del Negocio (SGCN) según la norma ISO 22301. El primer día se introducirá la norma y cómo iniciar un SGCN. El segundo día se planificará la implementación. El tercer día se desplegará el SGCN. El cuarto día se monitoreará el SGCN y se preparará para la auditoría de certificación. El quinto día será el examen final.
El documento presenta la agenda de una capacitación de 5 días sobre la implementación de un Sistema de Gestión de Continuidad del Negocio (SGCN) según la norma ISO 22301. El primer día se introducirá la norma y cómo iniciar un SGCN. El segundo día se planificará la implementación. El tercer día se desplegará el SGCN. El cuarto día se monitoreará el SGCN y se preparará para la auditoría de certificación. El quinto día será el examen final.
El documento presenta la agenda de una capacitación de 5 días sobre la implementación de un Sistema de Gestión de Continuidad del Negocio (SGCN) según la norma ISO 22301. El primer día se introducirá la norma y cómo iniciar un SGCN. El segundo día se planificará la implementación. El tercer día se desplegará el SGCN. El cuarto día se monitoreará el SGCN y se preparará para la auditoría de certificación. El quinto día será el examen final.
Eduardo Lobos Agenda de la Semana Introduccin a la norma ISO 22301 y el inicio de un SGCN Da 1 Planificar la implementacin del SGCN Da 2 Despliegue del SGCN Da 3 Monitoreo del SGCN, mejora contina y preparacin para la auditora de certificacin Da 4 Examen final Da 5 01-08-2014 2 Capacitacin del Implementador Lder Certificado en la norma ISO 22301 Seccin 2: Estndar y marco normativo
a) Qu es la ISO? b) Principios fundamentales de la ISO c) Normas de sistemas de gestin d) Sistema de gestin integrado e) Normas de Continuidad del Negocio f) ISO 22301 e ISO 27001 g) Ventajas de la ISO 22301 01-08-2014 3 Qu es ISO? ISO es una red de organismos nacionales de estandarizacin de ms de 160 pases
Los resultados finales de los trabajos realizados por ISO son publicados como normas internacionales
Se han publicado ms de 19000 normas desde 1947
01-08-2014 4 Principios Bsicos Normas ISO 01-08-2014 5 Principios bsicos de las Normas ISO 1. Representacin igualitaria: 1 voto por pas 2. Adhesin voluntaria: ISO no tiene la autoridad para forzar la adopcin de sus normas 3. Orientacin al negocio: ISO slo desarrolla normas para existe demanda del mercado 4. Enfoque de consenso: busca un amplio consenso entre las distintas partes interesadas 5. Cooperacin internacional: ms de 160 pases adems de organismos de enlace Los Ocho Principios de Gestin de la ISO Enfoque en el cliente Liderazgo Participacin de las personas Enfoque en los procesos Enfoque para el sistema de gestin Mejora continua Enfoque basado en hechos para la toma de decisiones Relaciones mutuamente beneficiosas con el proveedor 01-08-2014 6 Normas de Sistemas de Gestin Normas primarias en las que una organizacin puede estar certificada
ISO 9001 Calidad ISO 14001 Medioambiente OHSAS 18001 Salud y Seguridad en el trabajo ISO 20000 Servicios de TI ISO 22000 Sanidad Alimentaria ISO 22301 Continuidad del Negocio ISO 27001 Seguridad de la Informacin ISO 28000 Seguridad de la Cadena de Suministro 01-08-2014 7 Sistema de Gestin Integrado Estructura tpica de las normas ISO 01-08-2014 8
Requisitos
ISO 9001:2008 ISO 14001:2004
ISO 20000:2011 ISO 22301:2012 ISO 27001:2005
Objetivos del sistema de gestin
5.4.1
4.3.3
4.5.2
6.2
4.2.1
Poltica del sistema de gestin
5.3
4.2
4.1.2
5.3
4.2.1
Compromiso de la Direccin
5.1
4.4.1
4.1
5.2
5
Requisitos de documentacin
4.2
4.4
4.3
7.5
4.3
Auditoria interna
8.2.2
4.5.5
4.5.4.2
9.2
6 Mejora continua 8.5.1
4.5.3
4.5.5
10
8 Revisin por la Direccin
5.6
4.6
4.5.4.3
9.3 7 ISO 22301 Especifica los requisitos de gestin de un SGCN Los requisitos (clusulas) son escritos utilizando el verbo debern en imperativo Integrar el modelo PDCA (PLAN, DO, CHECK Y Act) Auditable La organizacin puede ser certificada en esta norma 01-08-2014 9
INTERNATIONAL ISO STANDARD 22301
_______________________________________________ Societal security- Business continuity Management Systems Requirements
_________________________________________________
ISO 22301 Contenido 01-08-2014 10 Seccin 1 mbito de aplicacin Seccin 2 Referencias normativas Seccin 3 Trminos y definiciones Seccin 4 Contexto de la organizacin Seccin 5 Liderazgo Seccin 6 Planificacin Seccin 7 Apoyo Seccin 8 Funcionamiento Seccin 9 Evaluacin del desempeo Seccin 10 Mejora ISO 22313 Gua para el cdigo de buenas prcticas para implementar, mejorar un Sistema de Gestin de la Continuidad de los Negocios (Documento de referencia). Clusula escrita utilizando el verbo debera a fin de proporcionar orientacin en materia de aplicacin. La organizacin no puede ser certificada en esta norma 01-08-2014 11
INTERNATIONAL ISO STANDARD 22313
_______________________________________________
Societal security-Business continuity Management Systems Gidance
_________________________________________________
Historia de la norma ISO 22301 1988 2013 01-08-2014 12 2012 Creacin del DRI Internacional conocido originalmente como Disaster Recovery Institute (Instituto de Recuperacin ante Desastres)en los EEUU 1984 2002 2003 2006 2007 1988 2013 Creacin del Business Continuity Institute (BCI) en el Reino Unido BCI publica Guas de Buenas Prcticas de la GCN Publicacin de PAS 56 Publicacin de la norma BS 25999-1 Publicac in de la norma BS 25999-2 ISO public la primera versin de la norma ISO 22301 ISO publica la primera versin de la norma ISO 22313 Otras Normas sobre Continuidad del Negocio Ejemplos ISO 24762 ISO 27031 NIST 800-34 Norma NFPA 1600 01-08-2014 13 El contenido y la relacin entre ISO 22301 e ISO 27001 ISO 27001, A. 14: Gestin de Continuidad del Negocio 01-08-2014 14 A.141 Aspectos de la seguridad de la informacin dela gestin de la continuidad del negocio. Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales crticos de los efectos de fallas o desastres importantes o desastres en los sistemas de informacin y asegurar su reanudacin oportuna. A.14.1.1 Incluir seguridad del Informacin en el proceso de Gestin de la continuidad del negocio Control Se debe desarrollar y mantener un proceso gerencial para la continuidad del negocio a travs de toda la organizacin para tratar los requerimientos de seguridad de la informacin necesarios para la continuidad comercial de la organizacin. A.14.1.2 Continuidad del negocio y evaluacin del riesgo Control Se deben identificar los eventos que causan interrupciones en los procesos de negocios, junto con la probabilidad de impacto de dichas interrupciones y sus consecuencias para la seguridad de la informacin. A.14.1.3 Desarrollo e implementar Planes de continuidad Incluyendo seguridad de la informacin Control Se deben desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la informacin en el nivel requerido y en las escalas de tiempo requeridas despus de la interrupcin o falta en los procesos de negocios crticos. A.14.1.4 Marco referencial para la Planeacin de la continuidad del negocio Control Se debe mantener un solo marco referencial del plan de continuidad de negocio para asegurar que todos los planes sean consistentes y para tratar consistentemente los requerimientos de la seguridad de la informacin e identificar las prioridades de pruebas y mantenimiento. A.14.1.5 Prueba mantenimiento y re- evaluacin de planes de continuidad de negocio Control Los planes de continuidad de negocio se deben probar y actualizar regularmente para asegurar que estn actualizados y sean efectivos. ISO 22301 Requisito s Continuidad del negocio 4.4 sistema de gestin 8.2 AIN y la Evaluacin de los riesgo 8.4 Procedimientos de la continuidad del negocio 6 Planificacin del SGCN 8.5 Ejercicio y pruebas Continuidad del Negocio Ventajas 01-08-2014 15 Previsible y eficaz respuesta a las crisis Proteccin de las personas Mantenimiento de las actividades esenciales de la organizacin Mejor comprensin de la organizacin Reduccin de costos Respeto de las partes interesadas Proteccin de la reputacin y la marca Confianza de los clientes Ventaja competitiva El cumplimiento de los requisitos legales Cumplimiento de normativas Cumplimiento de los contratos Capacitacin del Implementador Lder Certificado en la norma ISO 22301 Seccin 3: Sistema de Gestin de la Continuidad del Negocio (SGCN)
a) Definicin de un SGCN b) Enfoque en los procesos c) Visin general Clusulas 4 a 10 d) Los componentes claves de un SGCN 01-08-2014 16 Qu es la Continuidad del Negocio? Proceso impulsado por el negocio que establece un marco estratgico y tctico de ajuste a los objetivos que: 01-08-2014 17 Mejora la organizacin pro activa de resistencia contra la interrupcin de su capacidad de lograr sus objetivos clave 1 Proporciona un mtodo ensayado para restaurar la capacidad de una organizacin para garantizar el suministro de sus productos y servicios clave despus de una interrupcin 2 Proporciona una capacidad demostrada para gestionar una interrupcin del negocio y proteger la reputacin de la organizacin y de la marca 3 Gestin de Continuidad del Negocio ISO 22301, clusula 3.4:
Proceso de gestin holstico que identifica amenazas potenciales para la organizacin as como el impacto en las operaciones del negocio que dichas amenazas, en caso de materializarse, puedan causar, y que proporciona un marco para aumentar la capacidad de resistencia o resiliencia de la organizacin para dar respuesta eficaz que salvaguarde los intereses de sus principales partes interesadas, la reputacin, la marca y las actividades de creacin de valor
01-08-2014 18
Nota: El sistema de gestin incluye la estructura, las polticas, las actividades de planificacin, las responsabilidades, las prcticas, los procedimientos, los procesos y los recursos de la organizacin
Los componentes claves de un SGCN ISO 22301, Introduccin Un SGCN, a igual que cualquier otro sistema de gestin, tiene los siguientes componentes fundamentales: 1. Una poltica 2. Personas con responsabilidades definidas; 3. Procesos de gestin asociados con: Poltica Planificacin Implementacin y operacin Evaluacin del rendimiento Revisin por la Direccin Mejora 4. Documentacin que provea pruebas auditables 5. Cualquier proceso de gestin de la continuidad del negocio pertinente a la organizacin
01-08-2014 19 El ciclo Planificar Hacer Verificar Actuar (PHVA) ISO 22301, Introduccin
01-08-2014 20 Partes Interesadas
Requerimientos expectativas de la Continuidad del Negocio Partes Interesadas
Continuidad del Negocio Gestionada Planificar Actuar Hacer Verificar Establecer un SGCN Mantener y Mejorar el SGCN Implementar El SGCN Supervisar y Revisar el SGCN Requisitos generales ISO 22301 En resumen La organizacin deber establecer, implementar, mantener y mejorar u SGCN en conformidad con las necesidades y los requisitos de las partes interesadas
01-08-2014 21 1.Conocimiento de la organizacin y su entorno 2. Determinar las necesidades y requisitos 3. Implementar y Administrar un SGCN Contexto de la organizacin ISO 22301, clusula 4 Las actividades de la organizacin, las funciones, los servicios, productos, asociaciones, cadenas de suministro, las relaciones con las partes interesadas Los vnculos entre la poltica de continuidad del negocio y los objetivos de la organizacin y otras polticas El apetito de la organizacin por el riesgo Conocimiento de la organizacin y su entorno Las necesidades de las partes interesadas que son pertinentes para el SGCN Los requisitos de estas partes interesadas Requisitos jurdicos y normativos Comprensin de las necesidades y expectativas de las partes interesadas La organizacin determinar los limites y la aplicabilidad del SGCN para establecer su alcance A la hora de determinas el alcance , la organizacin tendr en cuenta las cuestiones internas y externas y los requisitos Determinar el alcance del SGCN 01-08-2014 22 Liderazgo y Compromiso de la Direccin ISO 22301, clusulas 5.1 y 5.2 Comunicacin Direccin deber comunicar la importancia de una buena Gestin de la Continuidad del Negocio y el cumplimiento de los procesos del SGCN Hacer que los recursos estn disponibles La Direccin deber determinar y proporcionar los Recursos necesarios para el SGCN Orientacin estratgica Asegurarse de que el SGCN es compatible con la orientacin estratgica de la organizacin Integrar los requisitos del SGCN en los procesos de negocio de una organizacin 01-08-2014 23 Poltica de Continuidad del Negocio ISO 22301, clusula 5.3 La alta direccin debe establecer una poltica de continuidad del negocio que: Sea apropiada para los fines de la organizacin Proporcione un marco para establecer objetivos de continuidad del negocio Incluya un compromiso de cumplir los requisitos aplicables Incluya un compromiso de mejora continua del SGCN
La poltica del SGCN deber: Estar disponible como informacin documentada Ser comunicada dentro de todas las partes interesadas, segn corresponda Ser revisada para su adecuacin continuada a intervalos definidos y cuando se reduzcan cambios significativos
01-08-2014 24 Funciones, Responsabilidades y Autoridades ISO 22301, clusula 5.4 La alta direccin deber asegurarse de que las responsabilidades y autoridades para funciones pertinentes sean asignadas y comunicadas dentro de la organizacin.
La alta gerencia deber asignar la responsabilidad y autoridad para:
Garantizar que el sistema de gestin se ejecuta en conformidad con los los requisitos de la norma ISO 22301. Informar sobre la eficacia de la gestin a la alta direccin. 01-08-2014 25 Los Objetivos y los Planes para Alcanzarlos ISO 22301, clusula 6.2 La alta direccin deber asegurarse de que los objetivos de continuidad del negocio son establecidos y comunicados para las funciones y los niveles pertinentes dentro de la organizacin
Los objetivos debern: a) Ser coherentes con la poltica de continuidad del negocio b) Tomar cuenta del nivel mnimo de los productos y servicios que sea aceptable para la organizacin para alcanzar sus objetivos c) Ser mensurables d) Tener en cuenta los requisitos aplicables e) Ser monitoreados y actualizados segn proceda 01-08-2014 26 Apoyo ISO 22301, clusula 7 01-08-2014 27 La organizacin deber determinar y proporcionar los recurso necesarios para el SGCN Las personas que realizan Trabajo en el marco del Control de a organizacin Debern ser conscientes De la poltica de la CN, Sus funciones en el SGCN Y los requisitos para la organizacin
El SGCN de la Organizacin deber Incluir informacin Documentada requerida Por la ISO 22301 y Registros para demostrar La eficacia del SGCN Recursos Competencia Documentacin Comunicacin Sensibilizacin La organizacin Deber asegurar Tener personas Competentes para realizar las tareas relacionadas con el SGCN La organizacin deber Establecer, implementar y mantener mecanismos De comunicacin con las partes interesadas internas y externas Informacin documentada ISO 22301, clusula 7.5
Se debe establecer un procedimiento para gestionar el ciclo de vida de los documentos
01-08-2014 28 1. Creacin 2. Identificacin 3. Clasificacin y seguridad 4. Modificacin 5. Aprobacin 6. Distribucin 7. Uso adecuado 8. Archivado 9. Disposicin Anlisis del impacto en el Negocio y Evaluacin de los Riesgos ISO 22301, clusula 3.50 y 8.2 Anlisis de Impacto en el Negocio Evaluacin de riesgo 01-08-2014 29 Proceso de anlisis de las funciones del negocio y del efecto que una interrupcin del negocio podra tener sobre dichas funciones Proceso general de identificacin, Anlisis y Evaluacin de riesgos
La organizacin deber determinar las opciones apropiadas de continuidad para:
Estrategia de Continuidad del Negocio ISO 22301, clusula 8.3 A) Proteger las actividades prioritarias B) Estabilizar, continuar, reanudar y recuperar actividades prioritarias C) Mitigar, responder a los impactos y gestionarlos 01-08-2014 30 Establecer y Aplicar Procedimientos de Continuidad del Negocio ISO 22301, CLUSULA 8.4.1 La organizacin deber documentar los procedimientos (incluyendo arreglos necesarios) para garantizar la continuidad de las actividades y la gestin de un incidente perjudicial 01-08-2014 31
La organizacin deber establecer, implementar y mantener procedimientos de continuidad del negocio para gestionar un incidente perjudicial y continuar sus actividades sobre la base de objetivos de recuperacin identificados en el anlisis del impacto en el negocio
Generalidades Ejercicios y Pruebas ISO 22301, clusula 8.5 La organizacin deber ejercitar y probar sus procedimientos de continuidad del negocio para garantizar que son coherentes con sus objetivos de continuidad del negocio
01-08-2014 32 Estrategia de Continuidad del Negocio ISO 22301, clusula 8.3
01-08-2014 33
01-08-2014 34
01-08-2014 35 MUCHAS GRACIAS! Implementador Lder Certificado en la ISO 22301