Documentos y registros requeridos en ISO 22301

Los documentos y registros requeridos en ISO 22301 para los Sistemas de Gestión de Continudad (SGCN) son:

1.- Contexto de la organización: registro de los procedimientos para la identificación de requisitos, la política de continuidad, la metodología para el análisis del impacto empresarial y evaluación de riesgos.

2.- Procedimientos para indentificar los requisitos y disposiciones legales: el registro de estos procedimientos debe hacerse al comienzo de la implementación del SGCN, dado que define sus bases.

4.- Alcance del Sistema de Gestión de la Continuidad de Negocio: redactado al comienzo del proyecto de continuidad de negocio. Debe reflejar las partes de la organización a las que será de aplicación el SGCN y explicar las razones por las que no se aplica al resto.

5.- Política y objetivos de continuidad de negocio: la Alta Dirección debe plasmar qué busca con la implementación del SGCN y cómo lo controlará. Este documento puede combinarse con el de Alcance. Los objetivos a incluir deben referirse al SGCN en su conjunto y no a las actividades.

6. Comunicación con las partes interesadas: ya sea en forma de correos electrónicos, regulares, teléfono o cualquier otra forma. Debe crearse copias y ser almacenada en archivos.

7.- Plan de formación y competencias del personal: se elaboran anualmente y los expedientes de las competencias serán mantenidos por el departamento de recursos humanos.

8.- Proceso para analizar el impacto organizacional y sus resultados: debe ser previamente definido y ser fácilmente legible. Comienza por la recolección de datos, para proceder luego al análisis del impacto empresarial o bien recogerse de manera resumida en la estrategia de continuidad de negocio.

9.- Proceso de evaluación de riesgos y sus resultados: debe especificarse con anticipación. Se puede usar de guía ISO 27001 o ISO 27005. Los resultados obtenidos de las evaluación de riesgos deben documentarse en un informe.

10.- Procedimientos de continuidad de negocio: planes de respuesta a incidentes, recuperación de negocio, de desastres, planes de comunicación, etc.

 

11.- Procedimientos de respuesta a incidentes: deben abordar los riesgos principales a los que se expone la organización y cómo proceder ante ellos.

12.- Procedimientos de comunicación: para determinar si comunicar externamente los riesgos e impactos y cómo comunicarse con las partes interesadas. En estos documentos se debe definir el responsable de comunicación, especialmente con medios públicos y autoridades.

13.- Procedimientos para responder a incidentes perturbadores: los procedimientos de recuperación de desastres y de actividades son, junto con el plan de respuesta a incidentes, la mayor parte de los procedimientos de continuidad de negocio.

16.- Procedimientos para restaurar el negocio de la medidas temporales aplicadas: dado que es difícil conocer por adelantado los daños que permanecerán en la organización, estos procedimientos serán poco detallados, indicando el responsable de evaluar el daño y tomar las decisiones.

17.- Escenario de incidentes: en base a la evaluación de riesgos se describe cómo pueden producirse los incidentes y cómo impactarían en la actividad de la organización.

18.- Planes de pruebas y reportes posterior al ejercicio: cada plan debe definir los objetivos a cumplir y los escenarios. Los informes obtenidos tras las pruebas deben indicar el grado de cumplimiento de los objetivos.

19.- Registro de los resultados de las acciones contra las adversidades: se puede registrar de dos formas, bien mediante el plan de tratamiento de riesgos o bien mediante acciones preventivas.

20.- Plan de mantenimiento del SGCN: en él se debe definir cuándo realizar la revisión de la documentación y la persona encargada de ello.

21.- Métodos de control, medición, análisis y evaluación: la manera más fácil de describir cómo realizar la medición del sistema es mediante la política y procedimientos, indicando los indicadores a emplear.

22.- Datos y resultados del seguimiento y medición efectuados: todos los informes, resultados de indicadores y decisiones deben mantenerse durante un determinado periodo.

23.- Resultados de la revisión posterior a la incidencia: disponer de un formulario para la recolección de los datos necesarios tras un incidente para poder realizar las conclusiones oportunas, las cuáles deben mantenerse durante un tiempo determinado.

24.- Procedimiento, programa y resultados de la auditoría interna: el procedimiento debe ser realizado antes de iniciar el proyecto. El programa debe definir cuándo y quién realizará cada auditoría interna. Los resultados deben documentarse mediante informes con las observaciones y no conformidades.

25.- Resultados de la revisión de la gestión: se registran mediante actas de reuniones, dónde se anotan las decisiones tomadas.

26.- No conformidades y acciones correctivas: se debe registrar las tareas a realizar, responsabilidades y plazos.

Estos son los documentos y registros requeridos en ISO 22301. Además de ello, la organización puede incorporar todos aquellos otros que considere oportuno.

ISOTools Excellence

ISOTools Excellence  permite implementar un Sistema de Gestión de Continuidad de Negocio ISO 22301 y automatizar su gestión, manteniendo actualizados los documentos y registros requeridos en ISO 22301 para la continuidad de su negocio.

Si necesita ayuda para saber cómo una plataforma tecnológica puede ayudarle a optimizar la gestión en organización, hable con uno de nuestros consultores expertos y reciba un asesoramiento personalizado.