Contenido Página

Prólogo................................................................................................................................. 4
Introducción.......................................................................................................................... 5
1Alcance............................................................................................................................... 7
2Referencias normativas...................................................................................................... 7
3Términos y definiciones...................................................................................................... 7
4Prerrequisitos..................................................................................................................... 7
4.1General............................................................................................................................ 7
4.2Contexto y alcance del programa BCM........................................................................... 2
4.2.1Contexto del programa BCM........................................................................................ 2
4.2.2Alcance del programa BCM.......................................................................................... 2
4.3Funciones del programa BCM......................................................................................... 2
4.3.1Funciones y responsabilidades del programa de BCM................................................. 2
4.3.2Funciones y competencias específicas de BIA............................................................ 2
4.4Compromiso del programa BCM..................................................................................... 4
4.5Recursos del programa BCM........................................................................................... 5
5Realización del análisis de impacto empresarial................................................................ 5
5.1Introducción..................................................................................................................... 5
5.2Planificación y gestión del proyecto................................................................................. 6
5.2.1Introducción (descripción general) ............................................................................... 6
5.2.2Procesos BIA iniciales versus en curso........................................................................ 7
5.3Priorización de productos y servicios................... .......................................................... 8
5.3.1Introducción (descripción general) .............................................................................. 8
5.3.2Entradas..................................................................................................................... 10
5.3.3Resultados................................................................................................................. 11
5.4 Priorización del proceso................................................................................................ 11
5.4.1Introducción (descripción general) ............................................................................. 11
5.4.2Entradas..................................................................................................................... 11
5.4.3Resultados................................................................................................................. 11
5.5Priorización de actividad ............................................................................................... 12
5.5.1Introducción (descripción general) ............................................................................. 12
5.5.2Entradas..................................................................................................................... 13
5.5.3Resultados................................................................................................................. 14
5.6Análisis y Consolidación ............................................................................................... 14
5.6.1Introducción (Descripción general) ............................................................................ 14
5.6.2Entradas..................................................................................................................... 15
5.6.3Métodos...................................................................................................................... 15
5.6.4Resultados................................................................................................................. 15
5.7Obtención de aprobación de la Alta Dirección de los resultados del BIA ..................... 15
5.7.1Introducción (descripción general) ............................................................................. 15
5.7.2Entradas..................................................................................................................... 16
5.7.3Métodos...................................................................................................................... 16
5.7.4Resultados................................................................................................................. 16
5.8Siguiente paso - Selección de la estrategia de continuidad del negocio ...................... 17
6Monitoreo y revisión del proceso BIA................................................................................ 17
Anexo A (informativo) Análisis de impacto empresarial dentro de un negocio ISO 22301
Sistema de gestión de continuidad..................................................................................... 18
Anexo B (info) Análisis del impacto empresarial Terminología.......................................... 19
Anexo C (info) Análisis de impacto empresarial Métodos de recopilación de datos.……..20
C.1 Revisión de la documentación.................................................................................... 21
C.2 Entrevista ................................................................................................................... 22
C.3 Encuesta / Cuestionario.............................................................................................. 22
C.4 Talleres........................................................................................................................ 23
C.5Ejercicio basado en escenarios.................................................................................... 23
Anexo D (informativo) Otros usos para el proceso de análisis de impacto empresarial.... 26
D.1 Recopilación de información de planificación de recuperación adicional....................26
D.2Recopilación de información útil para el desarrollo del plan y respuesta al incidente. 26
D.2.1 Incrementar la eficiencia de la organización............................................................ 27
D.2.2 Explorar opciones alternativas de planificación estratégica..................................... 27
D.2.3 Asistir en la toma de decisiones estratégicas a más largo plazo............................. 27
D.2.4 Proyecto o evento BIA.............................................................................................. 28
D.2.5 BIA como análisis de riesgo..................................................................................... 28
Bibliografía......................................................................................................................... 29

Prólogo
Prefacio
ISO (la Organización Internacional de Normalización) es una federación mundial de
organismos nacionales de normalización (organismos miembros de ISO). El trabajo de
preparación de Normas Internacionales normalmente se lleva a cabo a través de comités
técnicos de ISO. Cada organismo miembro interesado en un tema para el cual se ha
establecido un comité técnico tiene derecho a estar representado en ese comité. Las
organizaciones internacionales, gubernamentales y no gubernamentales, en colaboración
con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión
Electrotécnica Internacional (IEC) en todos los asuntos de normalización electrotécnica.
Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en las
Directivas ISO / IEC, Parte 2.
La tarea principal de los comités técnicos es preparar Estándares Internacionales. Los
proyectos de normas internacionales aprobados por los comités técnicos se distribuyen a
los órganos miembros para votación. La publicación como Norma Internacional requiere la
aprobación de al menos el 75% de los organismos miembros que emiten un voto.
En otras circunstancias, particularmente cuando existe un requisito urgente del mercado
para tales documentos, un comité técnico puede decidir publicar otros tipos de documentos
normativos:
- una Especificación ISO Disponible Públicamente (ISO / PAS) representa un acuerdo
entre expertos técnicos en un grupo de trabajo ISO y se acepta para su publicación
si es aprobado por más del 50% de los miembros del comité de padres que emiten
un voto;
- una Especificación Técnica ISO (ISO / TS) representa un acuerdo entre los
miembros de un comité técnico y se acepta para su publicación si es aprobada por
2/3 de los miembros del comité que emiten un voto.
Una ISO/PAS o ISO/TS se revisa después de tres años para decidir si se confirmará por
otros tres años, se revisará para convertirse en una Norma Internacional o se retirará. Si se
confirma la ISO / PAS o ISO / TS, se revisa nuevamente después de otros tres años,
momento en el que debe transformarse en una Norma Internacional o retirarse.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este
documento puedan ser objeto de derechos de patente. ISO no se responsabilizará por la
identificación de ninguno o todos los derechos de patente.
ISO / TS 22317 fue preparado por el Comité Técnico ISO / TC 223, Seguridad social
Introducción
Esta Especificación técnica internacional proporciona una guía detallada para establecer,
implementar y mantener un proceso de análisis de impacto empresarial (BIA) consistente
con los requisitos de ISO 22301, aunque este estándar es aplicable a la realización de
cualquier análisis de impacto comercial, ya sea parte de una continuidad comercial sistema
de gestión (BCMS) o programa de gestión de la continuidad del negocio (programa BCM).
En lo sucesivo, el programa BCM significa cualquier programa BCMS o BCM.
La Figura 1 (abajo) toma nota de la relación del proceso de BIA con el programa de BCM
como un todo. La organización debe completar el BIA antes de que se seleccionen las
estrategias de continuidad del negocio.

Figura 1 - Elementos de la gestión de la continuidad del negocio (Fuente - ISO 22313)

El análisis de impacto empresarial es un proceso para analizar las consecuencias de un
incidente disruptivo en la organización. El resultado es producir una declaración y
justificación de los requisitos de continuidad del negocio.
El propósito de esta Especificación técnica internacional es: proporcionar una base para
comprender, desarrollar, implementar, revisar, mantener y mejorar continuamente un
proceso de análisis de impacto comercial efectivo dentro de una organización; proporcionar
orientación para la planificación, realización y presentación de informes sobre un análisis
de impacto comercial; ayudar a la organización a realizar un análisis de impacto comercial
de manera consistente que refleja buenas prácticas; y, permitir una coordinación adecuada
entre el análisis de impacto empresarial y el programa general de BCM.
NOTA En este documento, los requisitos de continuidad del negocio tienen el mismo
significado que las prioridades, objetivos y objetivos de continuidad del negocio (ISO 22301,
cláusula 8.2.2).
Los resultados del proceso BIA incluyen:
- endoso o modificación del alcance del programa BCM de la organización.
- identificación de requisitos (obligaciones) legales, reglamentarios y contractuales y
su efecto en los requisitos de continuidad del negocio.
- confirmación de los requisitos de entrega del producto / servicio después de un
incidente disruptivo, que luego establece las prioridades para las actividades y los
recursos.
- identificación y establecimiento de las relaciones entre productos / servicios,
procesos, actividades y recursos.
- determinación de los recursos necesarios para realizar actividades priorizadas
(instalaciones, personas, equipos, información, activos de comunicación y
tecnología, proveedores y financiación).
- comprensión de las dependencias de otras actividades, proveedores, socios
externos y otras partes interesadas.
- evaluación de los impactos en la organización a lo largo del tiempo, que sirve como
justificación para los requisitos de continuidad del negocio (tiempo, capacidad y
calidad).
- determinación de la moneda de información requerida.
El siguiente diagrama muestra el ciclo de vida de BIA, junto con los requisitos previos y
su relación con la identificación de la estrategia. Las cláusulas a las que se hace
referencia en el diagrama son subsecciones dentro de este documento.

Figura 2 - Ciclo de vida del análisis de impacto empresarial

Seguridad social - Sistemas de gestión de la continuidad del negocio - Análisis de
impacto empresarial
1 Alcance
Esta Especificación técnica internacional recomienda buenas prácticas y pautas para que
una organización establezca, implemente y mantenga un proceso formal y documentado
para el análisis de impacto comercial. Esta Especificación técnica internacional no prescribe
un proceso uniforme para realizar un análisis de impacto comercial, pero ayudará a una
organización a diseñar un proceso de BIA que sea adecuado a sus necesidades.
Esta Especificación técnica internacional es aplicable a todas las organizaciones
independientemente del tipo, tamaño y naturaleza de la organización, ya sea en el sector
privado, público o sin fines de lucro. La guía se puede adaptar a las necesidades, objetivos,
recursos y limitaciones de la organización.
Está destinado a quienes tienen la responsabilidad de garantizar la competencia del
personal de la organización (especialmente la alta dirección de la organización), así como
a los responsables de gestionar el proceso de análisis de impacto empresarial.
2 Referencias normativas
Los siguientes documentos referenciados son indispensables para la aplicación de este
documento. Para las referencias con fecha, sólo se aplica la edición citada. Para las
referencias sin fecha, se aplica la última edición del documento referenciado (incluidas las
enmiendas).
ISO 22300, Seguridad de la sociedad - Terminología
3 Términos y definiciones
Los términos y definiciones contenidos en ISO 22300 se aplican y están disponibles en la
Plataforma de navegación en línea ISO (www.iso.org/obp)
4 Prerrequisitos
4.1 General
La organización debe tomar una serie de pasos dentro del programa BCM antes de
comenzar el proceso BIA, que incluye:
- definir el contexto y el alcance,
- definir y comunicar roles y responsabilidades,
- obtener un compromiso de liderazgo, y
- asignar recursos adecuados.
La organización generalmente documenta los resultados de estos pasos en una política de
programa de BCM.
NOTA Para obtener información adicional, consulte el Anexo A para ver un mapa de cada
paso según ISO 22301: 2012.
4.2 Contexto y alcance del programa BCM
4.2.1 Contexto del programa BCM
Los resultados exitosos de BIA dependen de la comprensión de la organización:
- el entorno externo en el que opera para que pueda alcanzar su objetivo entregando
sus productos y servicios a los clientes;
- el entorno operativo interno, que incluye procesos, actividades y recursos, así como
el impacto potencial causado por la interrupción de la entrega de productos y
servicios; y,
- leyes y reglamentos que influyen en el proceso de BIA.
4.2.2 Alcance del programa BCM
Antes de determinar el alcance del proceso de BIA, la organización debe:
- definir y documentar el alcance del programa BCM, en términos de sus productos y
servicios; y
- Documentar la justificación detrás de la decisión de la administración de excluir
partes de la organización del programa BCM.
Siguiendo la definición del alcance del programa BCM, la organización puede determinar el
alcance del proceso BIA que puede ser:
- conducido como un solo BIA para cubrir todo el alcance del programa BCM; o
- llevado a cabo en varias fases que, con el tiempo, cubren todo el alcance del
programa BCM.
NOTA: si la organización elige llevar a cabo el BIA en fases, primero debe determinar la
priorización de todos los productos y servicios (ver sección 5.2) y luego continuar con el
proceso de BIA restante.
El BIA puede ayudar a la organización a revisar si el alcance del programa BCM es
apropiado.
4.3 Roles del programa de BCM
4.3.1 Funciones y responsabilidades del programa de BCM
Antes de realizar el proceso de BIA, la alta dirección debería:
- asignar y comunicar responsabilidades y autoridades;
- asegurar que todos los roles, responsabilidades y autoridades estén definidos y
documentados; y
- asumir la responsabilidad general y la responsabilidad del programa BCM.
4.3.2 Funciones y competencias específicas de BIA
Después de la asignación de las funciones del programa BCM, la alta dirección debe
proporcionar los recursos necesarios para llevar a cabo el proceso BIA, que puede incluir
el nombramiento de los siguientes roles:
- Patrocinador del proyecto
 - Comité Directivo del Proyecto
- Líder BIA
- Gerente de proyecto
- Propietarios del proceso
- Administradores de actividad
El patrocinador del proyecto debe:
- ser un ejecutivo que represente a la alta dirección
- ser respetado dentro de la organización por otros miembros de la alta gerencia
- tener una perspectiva de toda la organización
- tiene la autoridad para comprometer a la organización a la acción
- tomar decisiones finales con respecto al proceso de BIA
El Comité Directivo debería
- representar a la alta gerencia
- proporcionar asesoramiento y orientación continuos sobre la realización del proceso
BIA
- acordar los métodos y resultados
- tomar decisiones con respecto a los resultados de BIA
- ayudar al líder de BIA y al gerente de proyecto a determinar las competencias
requeridas para las funciones y responsabilidades de BIA y la conciencia, el
conocimiento, la comprensión, las habilidades y la experiencia necesarias para
cumplirlas
El líder de BIA debe:
- llevar a cabo el proceso de BIA
- comprender la organización, en particular productos, servicios, servicios y procesos
- tener experiencia en la realización de un proceso de BIA
El gerente del proyecto debe:
- planificar y gestionar el proceso BIA
- tener una comprensión de las tareas de planificación del proyecto
- estar familiarizado con el proceso BIA
Los propietarios del proceso deben:
- tener una comprensión relativamente detallada del proceso en el que representan
para ayudar al gerente del proyecto a identificar expertos en la materia, unidades
organizativas e impactos del tiempo de inactividad.
- tiene la autoridad para asignar prioridades a los recursos específicos del proceso
Los gerentes de actividad deberían:
- tener una comprensión muy detallada de la actividad en la que representan,
incluidos todos los recursos que permiten el funcionamiento de la actividad.
- estar al tanto de los procesos y recursos alternativos que podrían estar disponibles
en caso de pérdida de recursos primarios.
NOTA En organizaciones más pequeñas, estos roles pueden combinarse.
La organización debe garantizar la competencia de las personas que lideran o participan
en el proceso BIA.
Las competencias deben incluir habilidades y habilidades relacionadas con:
- planificación y gestión de proyectos / programas.
- recopilación de información.
- Análisis.
- comunicación efectiva y colaboración.
- traducir los objetivos de la organización a los requisitos de continuidad del negocio
y las necesidades de recursos.
- aplicando conceptos de BIA en el contexto específico de la organización.
- conocimiento de la organización, sus productos y servicios, procesos y tecnologías.
4.4 Compromiso del programa BCM
La alta dirección debería:
- demostrar liderazgo tomando decisiones oportunas, asignando recursos y
asegurando la motivación y compromiso de otro personal; y
- fomentar una cultura y un ambiente de conciencia, participación y comunicación en
toda la organización para lograr sus objetivos de continuidad del negocio.
El compromiso de la alta dirección con el proceso de BIA es necesario para garantizar que
los componentes de la organización participen de manera efectiva.
Para obtener una alta dirección que demuestre liderazgo en apoyo del proceso BIA, la
organización puede considerar comunicar el valor del proceso BIA que incluye lo siguiente:
- asegurando que las estrategias apropiadas y más rentables sean seleccionadas
especificando los requisitos correctos de continuidad del negocio,
- proporcionar evidencia a la gerencia de que los requisitos de continuidad del
negocio se alinean con los objetivos de la organización,
- recopilar la información necesaria para establecer los requisitos de continuidad del
negocio apropiados a fin de seleccionar las estrategias de continuidad del negocio
aplicables y documentar los planes de continuidad del negocio,
- identificar los vínculos entre productos y servicios y procesos, actividades y recursos
que respaldan la ejecución de otro proyecto o actividades de cambio a lo largo de la
organización,
- priorizar la recuperación de los recursos de la organización durante un incidente
disruptivo, enfocando los recursos en la restauración de la entrega clave de
productos y servicios, y
- proporcionar una visión general de la organización que se puede utilizar para
mejorar su eficiencia o explorar nuevas oportunidades [ver Anexo D].
4.5 Recursos del programa BCM
La organización debe proporcionar recursos al programa BCM y al proceso BIA, que son
suficientes para:
- lograr su política y objetivos;
- hacer una provisión adecuada para las personas y los recursos relacionados con
las personas, incluido el tiempo para cumplir con las funciones y responsabilidades
de la BIA, y la capacitación y el conocimiento;
- cumplir con los requisitos cambiantes de la organización; y
- proporcionar una operación continua y una mejora continua del programa BCM, así
como también el proceso BIA.
5 Realización del análisis de impacto empresarial
5.1 Introducción
El objetivo del proceso BIA es priorizar los diversos componentes organizativos para que la
entrega de productos y servicios se pueda reanudar en un orden predeterminado luego de
un incidente perturbador a satisfacción de las partes interesadas.
Los productos y servicios se priorizan primero. Esto establece los parámetros de tiempo y
nivel de servicio para la entrega de prioridades de proceso. Si la complejidad de la
organización lo requiere, los procesos pueden dividirse en sus actividades constitutivas
para la priorización.
La integridad del programa BCM depende de los datos obtenidos durante y de las
conclusiones extraídas del BIA. Cada parte del BIA debe completarse de manera
consistente, cuidadosa y exhaustiva.
La Figura 3 (abajo) muestra cómo los diversos elementos del proceso BIA se relacionan
entre sí. El diagrama ilustra que puede haber superposición entre el tiempo de estas fases
constituyentes del proceso.
 Figura 3 - Proceso de análisis de impacto empresarial

Los resultados exitosos de BIA pueden depender de:

- identificar clientes y otras partes interesadas, y anticipar sus reacciones a un
incidente disruptivo;
- involucrar a todas las partes interesadas pertinentes con un mandato apropiado;
- desarrollar habilidades y competencias apropiadas dentro de la organización o
proyecto para conducir el análisis y presentar los resultados;
- recopilar información generalmente completa y precisa (es posible que parte de la
información no esté disponible, sea poco comprendida, sea confidencial o esté
retenida, por lo que se identificarán las áreas para seguir trabajando);
- asegurar que aquellos que contribuyen al proceso de recopilación de información
BIA tengan suficiente conocimiento y autoridad para hablar en nombre de la
organización, proceso o actividad;
- garantizar que los representantes de la gerencia tengan suficiente autoridad para
aprobar el alcance y los resultados de BIA.
5.2 Planificación y gestión del proyecto
5.2.1 Introducción (descripción general)
Aunque el BIA es un proceso, las organizaciones pueden usar métodos de gestión de
proyectos para llevar a cabo un BIA durante un período de tiempo específico como un
proyecto con un inicio y un final definidos. Como el proceso BIA es potencialmente
complejo, el uso de métodos de gestión de proyectos permite a las organizaciones
coordinar recursos y plazos.
Las tareas de planificación del proyecto pueden incluir:
- decidir sobre el alcance del proceso de BIA;
- comunicar las expectativas a los participantes del proceso BIA;
- identificar al patrocinador de BIA y la participación de la alta dirección;
- establecer las funciones y responsabilidades del proceso BIA (incluidas las
competencias);
- establecer el plan del proyecto y teniendo en cuenta el uso de los diagramas de
Gantt y las estructuras de desglose del trabajo;
- asignar recursos para el proyecto BIA;
- la aceptación de la ganancia del enfoque y plan del proyecto está asegurada; y
- establecer o crear las habilidades necesarias para cumplir los objetivos del proceso
BIA.
Las tareas de gestión del proyecto pueden incluir:
- implementar el proceso BIA (véanse las cláusulas 5.2 a 5.6);
- monitorear la implementación del proceso BIA (véanse las cláusulas 5.2 a 5.6);
- desarrollar informes periódicos sobre el estado, teniendo en cuenta las expectativas
de desempeño y las recomendaciones para mejorar el desempeño de acuerdo con
las expectativas de la alta dirección;
- realizar modificaciones al enfoque y alcance de la BIA para cumplir con las
expectativas de la alta dirección y los requisitos externos (regulatorios, legales, del
cliente, contractuales) (ver cláusula 6);
- recopilar y revisar las lecciones aprendidas (ver cláusula 6); y
- hacer recomendaciones con respecto a la mejora del proceso BIA para su
implementación futura, ver cláusula 6).
5.2.2 Procesos BIA iniciales versus en curso
Una organización que realiza un BIA por primera vez puede ser incapaz de identificar
claramente los productos y servicios, procesos y actividades que hacen que el esfuerzo
inicial de BIA sea más exploratorio e investigativo que las iteraciones posteriores.
Durante el proceso inicial de BIA, la organización debe planificar un tiempo adicional para:
- crear conciencia y garantizar la educación;
- identificar un patrocinador ejecutivo y / o un comité directivo;
- determinar los criterios de impacto;
- determinar la importancia del entorno empresarial / político de la organización;
- identificar la estructura de la organización a un nivel apropiado de detalle;
- identificar y seleccionar las fuentes de información correctas para la recopilación de
datos;
- documentar el desglose del flujo de trabajo a un nivel de proceso y actividad; y
- completar la recopilación de datos a través de revisión de documentos, entrevistas,
talleres y cuestionarios.
Durante el proceso inicial de BIA, la organización puede usar los resultados de BIA para
priorizar tareas posteriores de continuidad del negocio, incluida la identificación e
implementación de la estrategia. Durante las subsiguientes iteraciones de BIA, la
organización puede enfocar el proceso de BIA en los cambios en la estructura y el entorno
de la organización, así como en los cambios en la tolerancia al impacto.

5.3 Priorización de productos y servicios

5.3.1 Introducción (descripción general)
Como primer paso en el proceso BIA, la alta dirección de la organización debería acordar
la prioridad de los productos y servicios después de un incidente perturbador que puede
amenazar el logro de sus objetivos.
Es responsabilidad de la alta dirección tomar estas decisiones porque:
- Establecen los objetivos de la organización
- Tienen la responsabilidad final de garantizar la continuidad de la organización y el
cumplimiento de sus objetivos
- Tienen la visión más amplia de toda la organización desde la que evaluar las
prioridades
- Pueden elegir anular las obligaciones contractuales y de otro tipo al establecer
prioridades en circunstancias excepcionales
- Están conscientes de los cambios futuros planificados y otros factores que pueden
afectar los requisitos de continuidad del negocio.

Si una organización tiene demasiados productos y servicios para identificarse

individualmente, para este análisis, la organización puede agrupar productos y servicios
cuando tienen prioridades similares. Puede ser necesario que la organización identifique a
los clientes, que a pesar de compartir los mismos productos y servicios, tengan diferentes
expectativas de plazos de entrega o que su valor para la organización sea diferente.
Para cada grupo de productos y servicios, la organización debe comprender los impactos
que una interrupción puede causar:
- Identificar las expectativas del cliente y las sanciones que tienen sobre la
organización si no se cumplen estas expectativas y los impactos que tendrán en la
organización si se imponen las sanciones.
Nota En las organizaciones que operan en un entorno no comercial, el "cliente" puede ser
el público o una autoridad supervisora, como el gobierno.
- Tener en cuenta las opiniones de otras partes interesadas en la evaluación de los
impactos
Otras partes interesadas y su impacto después de una interrupción en la organización
pueden incluir:
- Organizaciones socias: su disposición a seguir cooperando
- Los medios y la sociedad - valor de marca y opinión pública
- Clientes potenciales: pérdida de la cuota de mercado actual y futura
- Accionistas: efecto sobre el precio actual de las acciones y la inversión futura
- Competidores - que pueden intentar aprovechar la situación
- Personal: retención
- Reguladores y gobierno: sanciones y cambios en las reglas