NORMA TÉCNICA NTC

COLOMBIANA 5722

2009-11-18

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.

REQUISITOS

E: BUSSINESS CONTINUITY MANAGEMENT. SPECIFICATION

CORRESPONDENCIA: esta norma es una adopción idéntica

(IDT) por traducción de la norma BSI
25999-2:2007.

DESCRIPTORES: sistema de gestión; continuidad;

negocio; riesgos; crisis; impacto del
negocio.

I.C.S.: 03.100.01

Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)

Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888 - Fax (571) 2221435

Prohibida su reproducción Editada 2009-11-25

 PRÓLOGO

El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo

nacional de normalización, según el Decreto 2269 de 1993.

ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en
los mercados interno y externo.

La representación de todos los sectores involucrados en el proceso de Normalización Técnica

está garantizada por los Comités Técnicos y el período de Consulta Pública, este último
caracterizado por la participación del público en general.

La NTC 5722 fue ratificada por el Consejo Directivo de 2009-11-18.

Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.

A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a

través de su participación en el Comité Técnico 205 Continuidad del negocio.

AON
BANCO DE LA REPÚBLICA EMC2
BANCOLOMBIA EMPAQUETADURAS Y EMPAQUES
BOMBEROS VOLUNTARIOS ENVIGADO EMPRESAS PÚBLICAS DE MEDELLÍN.
CARLOS JULIO DÍAZ INTEK S.A.
CETASDI INTERGRUPO
COMFENALCO ANTIOQUIA ITEAM CONSULTING
COMPAÑÍA GALLETAS NOEL OFDA-IRA
CRMS SERVICIO NACIONAL DE CHOCOLATES
CHUBB SILVIO GIRALDO & ASOCIADOS
DECEVAL S.A. SMART IT SOLUTIONS
DELIMA MARSH S.A. WILLIS S.A.
DELOITTE

Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las

siguientes empresas:

ABN AMRO SECURITIES COLOMBIA S.A. ASOLCOLFLORES

COMISIONISTA DE BOLSA AVANTEL.
ACCION SOCIEDAD FIDUCIARIA S.A. BANCO AV VILLAS
AEROVÍAS DEL CONTINENTE BANCO BILBAO VIZCAYA ARGENTARIA -
AMERICANO S.A. -AVIANCA S.A.- BBVA COLOMBIA-
ALIANZA FIDUCIARIA S.A. BANCO CAFETERO S.A. -BANCAFÉ-
ALMACENES ÉXITO. BANCO COLPATRIA RED MULTIBANCA
ASOCIACIÓN BANCARIA DE COLOMBIA COLPATRIA S.A.
ASOBANCARIA BANCO DAVIVIENDA S.A.
ASOCIACION COMISIONISTA DE BOLSA. BANCO DE BOGOTÁ.
BANCO DE COMERCIO EXTERIOR DE FUNDACIÓN PANAMERICANA PARA EL
COLOMBIA S.A. -BANCOLDEX- DESARROLLO -FUPAD- WASHINTONG
BANCO DE LA REPUBLICA. U.S.A.
BANCO DE OCCIDENTE. GESVALORES S.A.
BANCOLOMBIA GIMNASIO LA FONTANA
BOLSA DE VALORES DE COLOMBIA. HEWLETT PACKARD
BOLSA NACIONAL AGROPECUARIA. HOLCIM DE COLOMBIA
CAMARA DE COMERCIO COLOMBO IBM
AMERICANA INSURANCE SOLUTIONS
CAMARA DE COMPENSACIÓN DE DIVIAS INTER. IGEN
DE COLOMBIA S.A. JEQ SOLUCIONES EFECTIVAS
CHAIN VARGAS KPMG
CITIBANK COLOMBIA. MERCK S.A.
CLUB EL NOGAL MINISTERIO DE HACIENDA
COLFONDOS S.A. NESTLE
COMPAÑIA DE SEGUROS BOLIVAR S.A. NEWNET S.A
CORPORACIÓN FINANCIERA NOVARTIS
COLOMBIANA -CORFICOLOMBIANA- OCCIDENTAL DE COLOMBIA
CORPORACIÓN METROLOGÍA Y OCENSA
CALIDAD OPTYSYS S.A.
CRUZ ROJA SECCIONAL CUNDINAMARCA PORVERNIR
Y BOGOTÁ PRAXO LTDA.
DELIMA MARSH PROFESIONAL INDEPENDIENTE DIEGO
DEPOSITO CENTRALIZADO DE DELGADO
VALORES DE COLOMBIA -DECEVAL- PROFESIONAL INDEPENDIENTE JUAN
DIRECCIÓN DE PLANEACION Y CARLOS LOBO
ATENCIÓN DE EMERGENCIAS -DPAE- PROFESIONAL INDEPENDIENTE SONIA
ECOPETROL MOYANO
EMPRESAS PUBLICAS DE MEDELLÍN PROPILCO
-EEPPM- SUMA VALORES S.A., COMISIONISTA DE
ENFOQUES INTEGRALES BOLSA
ESCUELA COLOMBIANA DE INGENIERIA SUPERINTENDECIA FINANCIERA
FUNDACIÓN PANAMERICANA PARA EL SURTIGAS S.A. E.S.P.
DESARROLLO -FUPAD- UNIVERSIDAD NACIONAL

ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.

DIRECCIÓN DE NORMALIZACIÓN
NORMA TÉCNICA COLOMBIANA NTC 5722

CONTENIDO

Página

0. INTRODUCCIÓN......................................................................................................... 1

0.1 GENERALIDADES......................................................................................................1

0.2 EL CICLO PLANIFICAR-HACER-VERIFICAR-ACTUAR (PHVA)...............................2

1. ALCANCE................................................................................................................... 3

2. TÉRMINOS Y DEFINICIONES....................................................................................4

3. PLANIFICACIÓN DEL SISTEMA DE GESTIÓN DE CONTINUIDAD

DEL NEGOCIO............................................................................................................8

3.1 GENERALIDADES......................................................................................................8

3.2 ESTABLECIMIENTO Y GESTIÓN DEL PROPÓSITO................................................8

3.3 IMPLEMENTACIÓN DEL SGCN EN LA CULTURA DE LA ORGANIZACIÓN.........10

3.4 DOCUMENTACIÓN Y REGISTRO DEL SGCN........................................................10

4. IMPLEMENTACIÓN Y OPERACIÓN DEL SGCN.....................................................12

4.1 ENTENDER LA ORGANIZACIÓN.............................................................................12

4.2 DETERMINACIÓN DE LA ESTRATEGIA DE CONTINUIDAD DEL NEGOCIO.......13

4.3 DESARROLLO E IMPLEMENTACIÓN DE UNA RESPUESTA DEL SGCN............13

4.4 PRUEBAS, MANTENIMIENTO Y REVISIÓN DE LAS DISPOSICIONES DEL

SGCN........................................................................................................................ 16

5. SUPERVISIÓN Y REVISIÓN DEL SGCN..................................................................17

5.1 AUDITORÍA INTERNA..............................................................................................17

5.2 REVISIÓN DEL SSGCN POR LA DIRECCIÓN.........................................................18

NORMA TÉCNICA COLOMBIANA NTC 5722

Página

6. MANTENIMIENTO Y MEJORA DEL SGCN..............................................................19

6.1 ACCIONES PREVENTIVAS Y CORRECTIVAS........................................................19

6.2 MEJORA CONTINUA................................................................................................20

BIBLIOGRAFÍA..................................................................................................................... 23

ANEXO A (Informativo)
CORRESPONDENCIA CON LAS NORMAS BS EN ISO 9001:200,
BS EN 14001:2004, BS ISO/IEC 27001:2005.......................................................................21

FIGURAS

Figura 1. Ciclo PHNA aplicado a los procesos de SGCN...................................................2

Figura 2. Ciclo de vida de la gestión de la continuidad del negocio.................................3

NORMA TÉCNICA NTC

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.

REQUISITOS

0. INTRODUCCIÓN

0.1 GENERALIDADES

Esta Norma Técnica Colombiana especifica los requisitos para preparar y manejar un Sistema
eficaz de Gestión de Continuidad del Negocio (SGCN, su sigla en español).

Ésta, hace énfasis en la importancia de:

a) comprender las necesidades de la continuidad del negocio y la necesidad de establecer

la política y los objetivos para la continuidad del negocio;

b) implementar y ejecutar controles y medidas para manejar los riesgos generales de la

continuidad del negocio de una organización.

c) supervisar y revisar el desempeño y la efectividad del SGCN; y

d) la mejora continua con base en la medición de objetivos.

Un SGCN, como cualquier otro sistema de gestión, tiene los siguientes componentes clave:

a) una política;

b) personas con responsabilidades definidas;

c) procesos de gestión relacionados con:

1) la política;

2) la planificación

3) la implementación y ejecución

4) la evaluación del desempeño;

5) la revisión por la gerencia; y

1 de
 NORMA TÉCNICA NTC

6) la mejora;

d) una documentación que proporcione evidencia auditable; y

e) procesos de aspectos específicos que se relacionen con la continuidad del negocio,

como por ejemplo, el análisis de impacto al negocio (BIA, su sigla en inglés) y el
desarrollo del plan de continuidad del negocio.

0.2 EL CICLO PLANIFICAR-HACER-VERIFICAR-ACTUAR (PHVA)

La norma utiliza el ciclo “Planificar-hacer-verificar-actuar” (PHVA, su sigla en español) para

establecer, implementar, ejecutar, supervisar, ejercer, mantener y mejorar la efectividad del
SGCN de una organización.

Esto asegura un grado de consistencia con otras normas de sistemas de gestión, como la
norma NTC-EN-ISO 9001:2008 (Sistemas de Gestión de Calidad), la NTC-ISO 14001:2004
(Sistemas de Gestión Medioambiental) y la NTC-ISO/IEC 27001:2006 (Sistemas de Gestión de
Seguridad de la Información), dando así soporte a la implementación y operación consistente e
integrada con los sistemas de gestión relacionados (véase el Anexo A).

En la Figura 1 se ilustra la manera como un SGCN toma como insumos los requisitos y
expectativas de las partes interesadas con respecto a la continuidad del negocio y, a través de
las acciones y procesos necesarios, produce los resultados de continuidad del negocio (es
decir, la continuidad del negocio gestionada) que satisface esos requisitos y expectativas.

Mejora continua del sistema de gestión de la continuidad del negocio

Partes interesadas Partes interesadas

Establecen

Mantienen y mejoran Implementan y ejecutan

Requisitos y expectativas de la continuidad del negocio

Continuidad del negocio gestiona
Supervisan y revisan

Figura [Link] PHVA aplicado a los procesos de

SGCN

2
NORMA TÉCNICA NTC

Establecer la política de continuidad del negocio, las metas, objetivos, controles, procesos y
Planificar procedimientos pertinentes a la gestión del riesgo y la mejora de la continuidad del negocio para
entregar resultados acordes con las políticas y objetivos generales de una organización.
Implementar y ejecutar la política, los controles, procesos y procedimientos de la continuidad del
Hacer
negocio.
Supervisar y revisar el desempeño frente a los objetivos y la política de continuidad del negocio,
Verificar reportar los resultados a la gerencia para su revisión, y determinar y autorizar las acciones
destinadas a remediar y mejorar.
Mantener y mejorar el SGCN tomando acciones preventivas y correctivas, con base en los
Actuar resultados de la revisión por la gerencia y reconsiderando el alcance del SGCN y la política y
objetivos de la continuidad de negocio.

Un enfoque ampliamente aceptado que incorpora el ciclo PHVA dentro de cada actividad está
recomendado en la GTC 176 y se resume en la Figura 2. Este proceso reiterativo asegura que
la continuidad del negocio está establecida y continuamente gestionada en una organización
(para conocer una explicación de cada elemento del ciclo de gestión de continuidad del
negocio, véase la Guía Técnica Colombiana GTC 176).

Mejora continua del sistema de gestión de la

continuidad del negocio

Comprender
la
organización

Partes Partes
Establecen
interesadas interesadas

Ejercer, Gestión Determinar

mantener del la estrategia
y revisar programa del GCN
GCN Mantienen y Implementan y
mejoran ejecutan

Desarrollar e Requisitos y
implementar una Continuidad
expectativas de
respuesta de GCN Supervisan y del negocio
la continuidad
revisan gestionada
del negocio

Elciclo de vida de la contimuidad del negocio representa el El ciclo PHVA es el medio de asegurar que la continuidad del
funcionamiento continuo del programa de continuidad del negocio está siendo gestionada y mejorada eficazmente. El
negocio dentro de la organización ciclo PHVA se aplica a todas las partes del ciclo de vida del
GCN.

Figura [Link] de vida de la gestión de la continuidad del negocio

1. ALCANCE

Esta Norma técnica Colombiana especifica los requisitos para planificar, establecer,
implementar, operar, supervisar, revisar, ejercer, mantener y mejorar un Sistema de Gestión de
Continuidad del Negocio (SGCN, su sigla en Español, BCMS, su sigla en ingles), documentado
dentro del contexto de la gestión de los riesgos generales del negocio de una organización.

Los requisitos especificados en esta norma son genéricos y están destinados a ser aplicables a
todas las organizaciones (o a una parte de ellas), independientemente del tipo, tamaño y
naturaleza de la organización. La extensión de la implementación de estos requisitos depende
del entorno y la complejidad en que ésta opera.

3
 NORMA TÉCNICA NTC

Esta norma no pretende dar uniformidad a la estructura de un SGCN, sino que una
organización diseñe un SGCN que sea apropiado a sus necesidades y que cumpla con los
requerimientos de las partes interesadas. Estas necesidades están conformadas por los
requisitos regulatorios, del cliente y del negocio, los productos y servicios, los procesos
empleados, el tamaño y estructura de la organización y los requerimientos de sus partes
interesadas.

Esta norma técnica Colombiana puede ser utilizada por las partes internas y externas, incluidos
los organismos de certificación, a fin de evaluar la capacidad de una organización para cumplir
con sus necesidades en cuanto a la continuidad del negocio, así como las necesidades de
cualquier cliente, o las legales o regulatorias.

El cumplimiento de esta Norma técnica Colombiana no exime a las organizaciones del

cumplimiento frente a las obligaciones legales.

2. TÉRMINOS Y DEFINICIONES

Para los propósitos de esta norma técnica Colombiana se aplican las siguientes definiciones y
algunas de las incluidas en la GTC 176.

2.1 Actividad. Proceso o conjunto de procesos emprendidos por una organización (o por una
entidad en su nombre) que producen o dan soporte a uno o más productos o servicios.

NOTA Ejemplos de dichos procesos incluyen área financiera, soporte a clientes, sistemas de información
producción y distribución.

2.2 Auditoría. Proceso sistemático, independiente y documentado para obtener evidencias y

evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios
de auditoría.

NOTA 1 Las auditorias internas, denominadas en algunos casos como auditorias de primera parte, se realizan por
o en nombre de, la propia organización, para la revisión por la dirección y con otros fines internos, y pueden
constituir la base para una autodeclaración de conformidad de una organización. En muchos casos particularmente
en organizaciones pequeñas, la independencia puede demostrarse al estar libre el auditor de responsabilidades en
la actividad que se audita.

[NTC ISO 19011:2002]

2.3 Continuidad del negocio. Capacidad estratégica, táctica y operativa de la organización

para planificar y responder ante incidentes e interrupciones del negocio para continuar las
operaciones de negocio en un nivel aceptable predefinido

2.4 Gestión de continuidad del negocio (SGCN). Proceso holístico y sistemático de la

organización por medio del cual se identifican impactos potenciales que pueden amenazar la
continuidad del negocio y provee un marco de referencia para establecer y desarrollar
estrategias pro-activas, construir respuestas eficaces y eficientes con la flexibilidad y la
capacidad necesarias para salvaguardar los intereses de las diferentes partes interesadas,
(Stakeholders), la gobernabilidad, la reputación, la imagen y las actividades de creación de
valor de una organización.

NOTA La gestión de la continuidad del negocio involucra la gestión de la recuperación o continuación de las
actividades del negocio en caso de una interrupción del mismo, y la gestión del programa general a través de
entrenamiento, ejercicios, pruebas y revisiones, para asegurar que el plan (o los planes) de continuidad del negocio
se mantengan vigentes y actualizados.

4
 NORMA TÉCNICA NTC

2.5 Ciclo de vida de la gestión de continuidad del negocio. La serie de actividades de la

continuidad del negocio, que en conjunto cubren todos los aspectos y fases del programa de
gestión de continuidad del negocio.

NOTA El ciclo de vida de la gestión de continuidad del negocio se ilustra en la Figura 2.

2.6 Personal de la gestión de continuidad del negocio. Son las personas que tienen
asignados roles y responsabilidades en el SGCN.

2.7 Programa de gestión de continuidad del negocio. Proceso continuo de gestión y

gobierno apoyado por la alta dirección y con la apropiada asignación de recursos para que se
tomen las medidas necesarias para identificar el impacto de las pérdidas potenciales, mantener
estrategias y planes de recuperación viables, así como la continuidad de los productos y
servicios a través del entrenamiento, el ejercicio, pruebas, mantenimiento y revisión.

2.8 Respuesta al Incidente. Elemento del SGCN relacionado con el desarrollo e

implementación de los planes y las disposiciones apropiados para la continuidad de las
actividades esenciales así como de la gestión del incidente.

2.9 Sistema de gestión de la continuidad del negocio (SGCN). La parte del sistema de
gestión general que establece, implementa, opera, supervisa, revisa, mantiene y mejora la
continuidad del negocio.

NOTA El sistema de gestión incluye estructura organizacional, políticas, actividades de planificación,

responsabilidades, procedimientos, procesos y recursos.

2.10 Plan de continuidad del negocio (BCP::). Conjunto documentado de procedimientos e

información que se desarrolla, compila y mantiene disponible para usar en un incidente a fin de
permitir a una organización continuar ejerciendo sus actividades críticas a un nivel predefinido
aceptable.

2.11 Estrategia de continuidad del negocio. Planteamiento estratégico adoptado por una
organización para asegurar su recuperación y continuidad ante un evento, o incidente de
interrupción del negocio.

2.12 Análisis de impacto al negocio (BIA::). Proceso de análisis del impacto que una
interrupción causa sobre las funciones del negocio.

2.13 Consecuencia. Resultado de un incidente el cual tendrá un impacto en los objetivos de

una organización.

NOTA 1 Puede haber una gama de consecuencias de un incidente.

NOTA 2 Una consecuencia puede ser cierta o incierta y puede tener impacto positivo o negativo en los objetivos.

2.14 Análisis de costo-beneficio. Técnica financiera que mide el costo de implementar una
determinada solución y lo compara con el beneficio entregado por esa solución.

NOTA El beneficio puede definirse en términos financieros, de reputación, de prestación de servicios, regulatorios
u otros apropiados a la organización.

2.15 Actividades críticas. Las actividades que tienen que realizarse para entregar los
productos y servicios esenciales que permiten a una organización cumplir con sus objetivos
más importantes y sensibles al tiempo.

5
 NORMA TÉCNICA NTC

2.16 Interrupción. Evento, ya sea previsto (por ejemplo, una huelga laboral o un huracán) o
imprevisto (por ejemplo, un apagón eléctrico o un terremoto) que causa una desviación
negativa no planificada con respecto a la entrega esperada de productos o servicios de
acuerdo con los objetivos de la organización.

2.17 Prueba. Actividad en la que se ensaya el plan (o los planes) de continuidad del negocio
en parte o en su totalidad para asegurar que el plan (o los planes) contienen la información
apropiada y producen el resultado deseado cuando se pone en efecto.

NOTA Una prueba puede involucrar el uso de los procedimientos de continuidad del negocio, pero su principal
finalidad es simular un incidente de continuidad del negocio, anunciado o no anunciado, en el que los participantes
desempeñan un rol para evaluar qué problemas pueden surgir, antes de una activación real.

2.18 Ganancia. Consecuencia positiva

2.19 Impacto. La consecuencia evaluada de un resultado particular

2.20 Incidente. Situación que podría ser o llevar a una interrupción, pérdida, emergencia o
crisis del negocio

2.21 Plan de gestión del incidente (IMP). Plan de acción claramente definido y documentado
para usar en el momento de ocurrencia de un incidente, y que comúnmente cubre el personal,
los recursos, servicios y acciones importantes que se necesitan para implementar el proceso de
gestión del incidente

2.23 Activación. Acto de declarar que el plan de continuidad del negocio de una organización
necesita ponerse en ejecución para continuar la entrega de sus principales productos o
servicios

2.24 Probabilidad. Posibilidad de que algo ocurra, ya sea definido, medido o estimado objetiva
o subjetivamente, o en términos de descriptores generales (como raro, improbable, probable,
casi cierto), frecuencias o probabilidades matemáticas.

NOTA 1 La probabilidad puede expresarse cualitativa o cuantitativamente.

NOTA 2 La palabra “probabilidad” puede usarse como traducción de “Likelihood” en algunos idiomas diferentes al
inglés que no tienen ningún equivalente directo. Debido a que “probabilidad” suele interpretarse más formalmente en
inglés (“Likelihood”) como un término matemático, dicho término se emplea a lo largo de esta norma con la intención
de que se le dé la misma interpretación amplia que a “probabilidad.”

2.25 Pérdida. Consecuencia negativa

2.26 Sistema de gestión. Sistema para establecer la política y los objetivos y para lograr
dichos objetivos

NOTA Un sistema de gestión de una organización podría incluir diferentes sistemas de gestión, tales como un
sistema de gestión de calidad, un sistema de gestión financiera o un sistema de gestión ambiental.

[NTC ISO 9000:2005]

2.27 Período tolerable máximo de interrupción. Duración después de la cual la viabilidad de

una organización estará irrevocablemente amenazada si no puede reasumirse la entrega de
productos y servicios

2.28 No conformidad. Falta de cumplimiento de un requisito

6
 NORMA TÉCNICA NTC

[NTC ISO 9000:2008, 3.6.2; NTC ISO 14001:2004, 3.15]

2.29 Organización. Conjunto de personas e instalaciones con una disposición de

responsabilidades, autoridades y relaciones.
EJEMPLO Compañía, corporación, firma, empresa, institución, institución de beneficencia,empresa
unipersonal, asociación o parte de una combinación de las anteriores.

NOTA 1 Dicha disposición es generalmente ordenada

NOTA 2 Una organización puede ser pública o privada.

[NTC-ISO 9000:2008]

2.30 Proceso. Conjunto de actividades que están interrelacionadas o que interactúan, las
cuales transforman elementos de entrada en resultados

NOTA 1 Los elementos de entrada de un proceso son generalmente resultados de otros procesos.

NOTA 2 Los procesos de una organización son generalmente planificados y puestos en práctica bajo condiciones
controladas para aportar valor.

NOTA 3 Un proceso en el cual la conformidad del producto resultante no pueda ser fácil o económicamente
verificada, se denomina habitualmente “proceso especial”.

[NTC-ISO 9000:2008]

2.31 Productos y servicios. Resultados beneficiosos proporcionados por una organización a

sus clientes, destinatarios y accionistas; por ejemplo, artículos manufacturados, seguro del
automóvil, cumplimiento de regulaciones y servicio comunitario.

2.32 Tiempo objetivo de recuperación. El tiempo establecido para reanudar la entrega de

productos, servicios o actividades después de ocurrir un incidente.

NOTA El tiempo objetivo de recuperación tiene que ser menor que el período tolerable máximo de interrupción.

2.34 Recursos. La totalidad de activos, personas, habilidades, información, tecnología

(incluyendo planta y equipo), premisas, y suministros e información (ya sea electrónica o no)
que una organización debe tener disponible para uso, cuando se necesite, para operar y
cumplir con sus objetivos

2.35 Riesgo. Efecto de la incertidumbre en el logro de los objetivos.

NOTA 1 En esta norma el concepto de riesgo se limita, a los riesgos de interrupción del negocio.

NOTA 2 Efecto es la desviación de lo esperado negativo o positivo.

NOTA 3 Los objetivos pueden tener diferentes aspectos (como financieros, de salud y seguridad, y metas
ambientales) y pueden aplicarse en diferentes niveles (como estratégicos, organizacionales, de proyectos, productos
y procesos)

NOTA 4 El riesgo a menudo se caracteriza por hacer referencia a eventos potenciales y sus consecuencias o una
combinación de estas.

NOTA 5 El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento
(incluidos los cambios en las circunstancias) y es asociada a la probabilidad de que ocurra.

NOTA 6 La incertidumbre es el estado, incluso parcial, de deficiencia de la información relativa a, el entendimiento

o el conocimiento de un evento, su consecuencia, o su probabilidad.

7
 NORMA TÉCNICA NTC

2.36 Evaluación del riesgo. Proceso general de identificación, análisis y evaluación del riesgo.

2.37 Gestión del riesgo. Desarrollo estructurado y aplicación de cultura, política,

procedimientos y prácticas de gestión, a las etapas de identificación, análisis, evaluación y
tratamiento del riesgo.

2.38 Partes interesadas. Cualquier persona u organización que puede afectar o ser afectada,
o percibirse a si misma como afectada por una decisión o actividad de la organización.

NOTA Una persona con autoridad para tomar decisiones puede ser una parte Interesada.

2.39 Sistema. Conjunto de elementos interrelacionados o que interactúan.

[NTC ISO 9000:2005]

2.40 Alta dirección. Persona o grupo de personas que dirigen y controlan una organización al
nivel más alto.

[NTC ISO 9000:2005]

NOTA La gerencia general, sobre todo en una organización multinacional grande, podría no estar involucrada
directamente; sin embargo, la responsabilidad de la gerencia general a través de la cadena de mando es manifiesta.
En una organización pequeña, la gerencia general podría ser el dueño o el solo propietario.

3. PLANIFICACIÓN DEL SISTEMA DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO

3.1 GENERALIDADES

La organización debe desarrollar, implementar, mantener y mejorar continuamente un SGCN

documentado de acuerdo con lo indicado en los numerales 3.2 al 3.4.

3.2 ESTABLECIMIENTO Y GESTIÓN DEL

SGCN PROPÓSITO

Definir los límites del SGCN, y asegurar que los objetivos estén claramente definidos, sean
entendidos y comunicados, que se demuestre el compromiso de la alta dirección con la GCN,
que se asignen recursos y que las personas con responsabilidades con respecto a la SGCN
sean competentes para desempeñar sus funciones.

3.2.1 Alcance y objetivos del SGCN

[Link] La organización debe definir el alcance del SGCN y establecer los objetivos de
continuidad del negocio, con la debida consideración a:

a) los requisitos para la continuidad del negocio;

b) los objetivos y obligaciones organizacionales;

c) el nivel aceptable de riesgo;

d) los deberes estatutarios, regulatorios y contractuales; y

e) los intereses de sus partes interesadas

8
NORMA TÉCNICA NTC

[Link] La organización debe identificar los principales productos y servicios dentro del alcance
del SGCN

3.2.2 Política del SGCN

[Link] La alta dirección debe establecer y demostrar el compromiso con una política de
gestión de continuidad del negocio.

[Link] La política debe incluir o hará referencia a:

a) los objetivos de continuidad de negocio de la organización; y

b) el alcance de la continuidad del negocio, incluyendo las limitaciones y exclusiones.

[Link] La política debe ser:

a) aprobada por la alta dirección; y

b) comunicada a todas las personas que trabajan para la organización o en nombre de

ella; y

c) revisada a intervalos planificados y cuando ocurran cambios significativos

3.2.3 Provisión de recursos

[Link] La organización debe determinar y proporcionar los recursos necesarios para

establecer, implementar, operar y mantener el SGCN.

[Link] Las funciones, roles, responsabilidades, competencias y autoridades del SGCN deben
ser definidas y documentadas.

[Link] La alta dirección debe:

a) designar o nombrar una persona de rango, experiencia y autoridad apropiada que se

responsabilice de la política y la implementación del SGCN y;

b) designar una o más personas que, independientemente de las demás

responsabilidades, implementen y mantengan el SGCN.

3.2.4 Competencia del personal del SGCN

La organización debe asegurarse de que todo el personal al que se asignen las

responsabilidades de continuidad del negocio sea competente:

a) determinando las competencias necesarias para dicho personal;

b) efectuando análisis de necesidades de formación y entrenamiento para el personal al

que se asignen roles, funciones y responsabilidades del SGCN;

c) proporcionar formación y entrenamiento;

d) asegurándose de que se ha logrado la competencia necesaria; y

9
 NORMA TÉCNICA NTC

e) manteniendo registros acerca de educación, entrenamiento, habilidades, experiencia y

calificaciones.

3.3 IMPLEMENTACION DEL SGCN EN LA CULTURA DE LA

ORGANIZACIÓN PROPÓSITO

Asegurarse de que la organización implementa la continuidad del negocio en sus actividades y

procesos de gestión, independientemente de su tamaño o del sector en el que opera.

Para asegurarse de que el SGCN se vuelva parte de su cultura y de la gestión, la organización

debe:

a) aumentar, reforzar y mantener el nivel de conciencia y compromiso a través de un

programa continuo de educación e información del SGCN para todos en la organización
y establecer un proceso para evaluar la eficacia de la generación de conciencia y
compromiso sobre el SGCN; y

b) comunicar a toda la organización la importancia de:

1) el cumplimiento con los objetivos de la gestión de continuidad del negocio;

2) el cumplimiento a la política de continuidad del negocio; y

3) la mejora continua; y

c) asegurar que toda la organización sea consciente de la manera en que contribuyen al

logro de los objetivos de continuidad del negocio

3.4 DOCUMENTACIÓN Y REGISTROS DEL

SGCN PROPÓSITO

Proporcionar evidencia clara del funcionamiento eficaz del SGCN y de la implementación del
SGCN de la organización.

3.4.1 Generalidades

[Link] La organización debe documentar los siguientes aspectos del SGCN:

a) el alcance y objetivos del SGCN y los procedimientos (véase el numeral 3.2.1);

b) la política del SGCN (véase el numeral 3.2.2);

c) la provisión de recursos (véase el numeral 3.2.3);

d) la competencia del personal del SGCN y los registros de formación y entrenamiento

asociados (véase el numeral 3.2.4);

e) el análisis de impacto al negocio (véase el numeral 4.1.1);

f) la evaluación del riesgo (véase el numeral 4.1.2);

g) la estrategia de continuidad del negocio (véase el numeral 4.2);

1
 NORMA TÉCNICA NTC

h) la estructura de la respuesta al incidente (véase el numeral 4.3.2);

i) los planes de continuidad del negocio y los planes de gestión del incidente (véase el
numeral 4.3.3);

j) la prueba del SGCN (véase el numeral 4.4.2);

k) el mantenimiento y revisión de las disposiciones del SGCN (véase el numeral 4.4.3);

l) la auditoría interna (véase el numeral 5.1);

m) la revisión por la dirección del SGCN (véase el numeral 5.2);

n) las acciones preventivas y correctivas (véase el numeral 6.1); y

o) la mejora continua (véase el numeral 6.2).

[Link] Se debe establecer, mantener y controlar los registros para proporcionar evidencia del
funcionamiento eficaz del SGCN.

[Link] Se debe establecer procedimientos documentados para identificar los controles sobre la
documentación y registros del SGCN.

3.4.2 Control de registros del SGCN

Se debe establecer controles sobre los registros del SGCN para:

a) asegurarse de que permanezcan legibles, fácilmente identificables y recuperables; y

b) permitir su identificación, almacenamiento, protección y recuperación.

3.4.3 Control de la documentación del SGCN

Se debe establecer controles sobre la documentación del SGCN para asegurar que:

a) los documentos sean aceptados en su adecuación antes de emitirlos;

b) los documentos se revisen y actualicen como se requiere y se reaprueben;

c) se identifiquen los cambios y el estado de la revisión actual de documentos;

d) las versiones vigentes de los documentos aplicables estén disponibles en los sitios de
uso;

e) se identifiquen los documentos de origen externo y se controle su distribución; y

f) prevenir el uso de documentos obsoletos y que dichos documentos se identifiquen

adecuadamente si se retienen para cualquier propósito.

1
 NORMA TÉCNICA NTC

4. IMPLEMENTACIÓN Y OPERACIÓN DEL SGCN

4.1 ENTENDIENDO LA

ORGANIZACIÓN PROPÓSITO

Permitir a la organización identificar las actividades críticas y los recursos necesarios para
apoyar sus principales productos y servicios, entender las amenazas a que están expuestos y
escoger los tratamientos apropiados del riesgo.

4.1.1 Análisis de impacto al negocio

[Link] Debe existir un método definido, documentado y apropiado para determinar el impacto
de toda interrupción de las actividades que dan soporte a los principales productos y servicios
de la organización (véase el numeral 3.2.1).

[Link] La organización debe:

a) identificar las actividades que dan soporte a sus principales productos y servicios;

b) identificar los impactos resultantes de la interrupción sobre estas actividades, así como
su variación en el tiempo;

c) establecer el período máximo tolerable de interrupción para cada actividad identificando:

1) el máximo periodo de tiempo después del inicio de una interrupción dentro del
cual debe reanudarse cada actividad;

2) el nivel mínimo en que debe desempeñarse cada actividad al reanudarse;

3) Período de tiempo dentro de la cual deben reanudarse los niveles normales de

funcionamiento;

d) categorizar sus actividades según su prioridad para recuperar e identificar sus

actividades críticas;

e) identificar todos los procesos pertinentes a las actividades críticas, incluyendo aquellas
realizadas por terceros .

f) para los terceros de quienes dependen las actividades críticas, determinar qué
componentes del SGCN han sido implementados para los productos y servicios que
ellos proporcionan;

g) establecer el tiempo objetivo de recuperación para reanudar las actividades críticas

dentro de su período máximo tolerable de interrupción; y

h) estimar los recursos que cada actividad crítica requerirá para reanudar sus funciones.

4.1.2 Evaluación del riesgo

[Link] Debe existir un método de análisis de riesgo definido, documentado y apropiado que
permita a la organización entender las amenazas y vulnerabilidades de sus actividades críticas
y recursos de soporte incluyendo los proporcionados por los proveedores y subcontratistas.

1
NORMA TÉCNICA NTC

[Link] La organización debe entender el impacto que podría producirse si una amenaza
identificada se convirtiera en un incidente y causara una interrupción del negocio.

4.1.3 Selección de opciones

[Link] Para cada una de sus actividades críticas, la organización debe identificar los
tratamientos de riesgo disponibles que:

a) reduzcan la probabilidad de una interrupción;

b) diminuyan el período de interrupción; y

c) limiten el impacto de una interrupción en los principales productos y servicios de la

organización.

[Link] La organización debe escoger e implementar los tratamientos del riesgo apropiados
para cada actividad crítica de acuerdo con su nivel de aceptación del riesgo.

4.2 DETERMINACIÓN DE LA ESTRATEGIA DE CONTINUIDAD DEL

NEGOCIO PROPÓSITO

Identificar las disposiciones del SGCN que permitirán a la organización recuperar sus
actividades críticas dentro de su tiempo objetivo de recuperación.

La organización debe:

a) definir una estructura de respuesta al incidente adecuada, predefinida y documentada

que permita una respuesta eficaz y la recuperación ante las interrupciones;

b) determinar cómo se recuperará cada actividad crítica dentro de su tiempo objetivo de

recuperación y las disposiciones del GCN, basado en los resultados del BIA, incluyendo
los recursos requeridos para reasumir las funciones y los productos y servicios
proporcionados por los proveedores y subcontratistas.

c) determinar cómo gestionará las relaciones con sus principales partes interesadas y
externos involucrados en la recuperación.

4.3 DESARROLLO E IMPLEMENTACIÓN DE UNA RESPUESTA DEL

SGCN PROPÓSITO

Habilitar la organización para desarrollar e implementar los planes apropiados y disposiciones

del SGCN para manejar cualquier incidente y continuar sus actividades críticas.

4.3.1 Generalidades

La organización debe emplear los resultados que se mencionan en el numeral 4.2 para
desarrollar e implementar los planes y disposiciones apropiados para asegurar la continuidad
de las actividades críticas y la gestión de un incidente.

1
 NORMA TÉCNICA NTC

4.3.2 Estructura de la respuesta al incidente

[Link] La organización debe designar el personal de respuesta al incidente con la

responsabilidad, autoridad y competencia necesarias para gestionar un incidente.

[Link] La estructura de la respuesta al incidente debe disponer de personal para:

a) confirmar la naturaleza y magnitud de un incidente;

b) dar inicio a la respuesta al incidente;

c) tener planes, procesos y procedimientos para la activación, operación, coordinación y

comunicación de la respuesta al incidente;

d) Contar con los recursos disponibles para apoyar los planes, procesos y procedimientos
para manejar un incidente; y

e) comunicar a las partes interesadas.

4.3.3 Planes de continuidad del negocio y planes de gestión del incidente

[Link] La organización debe contar con planes documentados que detallen cómo la
organización gestionará un incidente y cómo recuperará o mantendrá sus actividades a un nivel
predeterminado en caso de que ocurra una interrupción.

[Link] Cada plan debe:

a) tener un propósito y un alcance definidos;

b) ser accesible a quienes van a usarlo y ser entendido por ellos;

c) tener propietarios identificados, nombrado(s), para que sean responsables de su

revisión, actualización y aprobación; y

d) estar alineado con las planes de contingencia externos pertinentes a la organización.

[Link] Los planes deben contener en conjunto:

a) líneas de comunicaciones identificadas;

b) información sobre las tareas principales y de referencia;

c) roles y responsabilidades definidos para las personas y equipos que tienen autoridad
durante un incidente y luego del mismo;

d) pautas y criterios considerando cuáles individuos tienen autoridad para activar cada
plan y bajo qué circunstancias;

e) un método por el cual activa cada plan;

f) lugares de reunión con alternativas, contacto actualizado y detalles de la movilización

para todas la agencias, organizaciones y recursos pertinentes que puedan ser
necesarios para dar soporte a la respuesta;

1
 NORMA TÉCNICA NTC

g) un proceso de retorno a la normalidad una vez que el incidente ha sido solucionado;

h) una referencia de datos de contacto esenciales para todas las principales partes
interesadas;

i) los detalles para gestionar las consecuencias inmediatas de una interrupción del
negocio considerando:

1) el bienestar de las personas;

2) las opciones estratégicas y operacionales para responder a la interrupción; y

3) la prevención de pérdidas posteriores o la no disponibilidad de las actividades

críticas;

j) los detalles para gestionar un incidente, incluyendo:

1) la provisión para la gestión de problemas durante un incidente; y

2) los procesos para permitir la continuidad y la recuperación de las actividades

críticas;

k) los detalles sobre cómo y bajo qué circunstancias la organización se comunicará con los
empleados y sus parientes, las principales partes interesadas y los contactos de
emergencia;

l) Los detalles de la respuesta de la organización ante los medios de comunicación luego

de un incidente, incluyendo:

1) La estrategia de comunicaciones del incidente;

2) Canales de comunicación preferidos con los medios;

3) El guión o plantilla para la redacción de una declaración para los medios de

comunicación; y

4) los voceros apropiados;

m) un método para registrar la información principal sobre el incidente, las acciones

emprendidas y las decisiones tomadas;

n) los detalles de las acciones y tareas que deben realizarse;

o) los detalles de los recursos que se requieren para la continuidad del negocio y la
recuperación del negocio en diferentes momentos; y

p) objetivos priorizados en términos de las actividades críticas que se va a recuperar, las

escalas de tiempo en que se van a recuperar y los niveles de recuperación necesarios
para cada actividad crítica.

1
 NORMA TÉCNICA NTC

4.4 PRUEBAS, MANTENIMIENTO Y REVISIÓN DE LAS DISPOSICIONES DEL

SGCN PROPÓSITO

Verificar la efectividad continua de las disposiciones del SGCN y proporcionar luego de un

incidente un mayor aseguramiento de que las actividades críticas se recuperarán como se
requiere.

4.4.1 Generalidades

La organización debe asegurarse que las disposiciones de su SGCN estén validadas por el
ejercicio y la revisión, y que se mantengan actualizadas.

4.4.2 Pruebas del SGCN

[Link] La organización debe probar sus planes y acciones de SGCN para asegurarse de que
cumplen con los requisitos del negocio.

[Link] La organización debe:

a) desarrollar pruebas que sean consistentes con el alcance del SGCN;

b) tener un programa aprobado por la gerencia general para asegurarse de que las
pruebas se lleven a cabo a intervalos planificados y cuando ocurran cambios
significativos;

c) realizar un rango de diferentes pruebas que en conjunto validen la totalidad de sus

disposiciones de continuidad del negocio;

d) planear pruebas de forma que se minimice el riesgo de que ocurra un incidente como
consecuencia directa de la prueba;

e) definir los propósitos y objetivos de cada prueba;

f) efectuar una revisión posterior a cada prueba que evalúe el logro de los propósitos y
objetivos del ejercicio; y

g) producir un informe escrito del prueba, su resultado y retroalimentación, incluyendo las

medidas que deben tomarse.

4.4.3 Mantenimiento y revisión de las disposiciones del SGCN

[Link] La organización debe, a intervalos definidos, revisar las disposiciones de su SGCN para
asegurar su continua conveniencia, adecuación y efectividad.

[Link] La organización debe asegurarse de que su capacidad e idoneidad de continuidad del

negocio se revise a intervalos planificados y cuando ocurran cambios significativos, para
asegurar su continua conveniencia, adecuación y efectividad.

[Link] La revisión de las disposiciones del SGCN debe llevarse a cabo periódicamente a
través de autoevaluación o de auditoría.

1
 NORMA TÉCNICA NTC

[Link] En caso de que ocurra un incidente como resultado de la activación del BCP o del IMP
(PMI), debe llevarse a cabo una revisión posterior al incidente para:

a) identificar la naturaleza y la causa del incidente;

b) evaluar la pertinencia de la respuesta de la dirección;

c) evaluar la efectividad de la organización en el cumplimiento de sus tiempos objetivo de

recuperación;

d) evaluar la pertinencia de las disposiciones del SGCN en la preparación de los

empleados para dar respuesta al incidente; e

e) identificar las mejoras que deben hacerse a las disposiciones del SGCN.

5. SUPERVISIÓN Y REVISIÓN DEL

SGCN PROPÓSITO

Asegurar que la dirección supervise y revise la efectividad y eficacia del SGCN, revise la
idoneidad de la política de continuidad del negocio, objetivos y alcance, y determine y autorice
las acciones para remediar y mejorar.

5.1 AUDITORÍA INTERNA

NOTA La auditoría interna del SGCN es distinta de la autoevaluación o de las disposiciones de auditoría del
SGCN especificadas en el numeral [Link] (véase también la Nota a el numeral 2.22).

5.1.1 La organización debe asegurarse de que se realicen auditorías internas del SGCN a
intervalos planificados para:

a) determinar si el SGCN:

1) se ajusta a las disposiciones planificadas para el SGCN, incluyendo los

requisitos de esta norma SGCN; y

2) se ha implementado y mantenido apropiadamente; y

3) es eficaz en el cumplimiento de la política y objetivos del SGCN de la

organización; y

b) proporcionar información sobre los resultados de las auditorías a la dirección.

5.1.2 Cualquier programa o programas de auditoría se planificarán, establecerán, realizarán y

mantendrán por la organización teniendo en cuenta el BIA, la evaluación de riesgo, las medidas
de control y mitigación y los resultados de auditorías anteriores.

5.1.3 Se establecerán, implementarán y mantendrán procedimiento(s) de auditoría que

orienten:

a) las responsabilidades, competencias y requisitos para planificar y efectuar las

auditorías, reportar los resultados y retener los registros asociados; y

b) la determinación del criterio, alcance, frecuencia y métodos de la auditoría.

1
 NORMA TÉCNICA NTC

5.1.4 La selección de auditores y el manejo de las auditorías deberá asegurar la objetividad y

la imparcialidad del proceso de auditoría.

5.2 REVISIÓN DEL SGCN POR LA DIRECCIÓN

5.2.1 Generalidades

[Link] La dirección debe revisar el SGCN de la organización a intervalos planificados y cuando

ocurran cambios significativos para asegurar su continua conveniencia, adecuación y
efectividad.

[Link] Esta revisión debe evaluar las oportunidades para la mejora y la necesidad de cambios
al SGCN, incluyendo la política de gestión de continuidad del negocio y los objetivos de la
gestión de continuidad del negocio.

[Link] Los resultados de las revisiones deben documentarse claramente y deben mantenerse
los registros correspondientes.

5.2.2 Entradas para la revisión

Las entradas para una revisión por la gerencia deben incluir información sobre:

a) los resultados de las auditorías y revisiones del SGCN, incluyendo donde corresponda a
los principales proveedores y subcontratistas;

b) la retroalimentación de las partes interesadas, incluyendo observaciones

independientes;

c) las técnicas, productos o procedimientos que podrían usarse en la organización para

mejorar el desempeño y la efectividad del SGCN;

d) el estado de las acciones preventivas y correctivas;

e) el nivel de riesgo residual y del riesgo aceptable;

f) las vulnerabilidades o amenazas no manejadas adecuadamente en la anterior

evaluación del riesgo;

g) las acciones de seguimiento de las anteriores revisiones por la dirección;

h) cualquier cambio interno o externo que pudiera afectar el SGCN;

i) las recomendaciones para la mejora;

j) los resultados de las pruebas;

k) las buenas prácticas y nuevas guías;

l) las lecciones de los incidentes; y

m) los resultados del programa de educación, entrenamiento y concientización.

1
NORMA TÉCNICA NTC

5.2.3 Resultado de la revisión

El resultado de la revisión por la dirección debe incluir cualquier decisión y acciones

relacionadas con:

a) la variación del alcance del SGCN;

b) la mejora de la efectividad del SGCN;

c) la modificación de la estrategia y los procedimientos del SGCN, según sea necesario,

para responder a los eventos internos o externos que pudieran impactar en el SGCN,
incluyendo cambios a:

1) los requisitos del negocio;

2) los requisitos de resiliencia;

3) los procesos del negocio que afectan los requisitos del negocio existentes;

4) los requisitos estatutarios, regulatorios y contractuales; y

5) los niveles de riesgo y/o niveles de aceptación de riesgo;

d) las necesidades de recursos; y

e) los requisitos de financiación y presupuesto.

6. MANTENIMIENTO Y MEJORA DEL

SGCN PROPÓSITO

Mantener y mejorar la efectividad y la eficacia del SGCN emprendiendo acciones preventivas y

correctivas, según se determine a partir de la revisión por la gerencia.

6.1 ACCIONES PREVENTIVAS Y CORRECTIVAS

6.1.1 Generalidades

[Link] La organización deberá mejorar el SGCN a través de la aplicación de acciones

preventivas y correctivas.

[Link] Cualquier acción preventiva o correctiva que se emprenda debe ser apropiada a la
magnitud de los problemas y estar alineada con la política y los objetivos de continuidad del
negocio.

[Link] Los cambios que surjan de las acciones preventivas y correctivas se reflejarán en la
documentación del SGCN.

6.1.2 Acción preventiva

La organización debe emprender acciones para protegerse contra no conformidades

potenciales a fin de prevenir que ocurran. Las acciones preventivas que se tomen deben ser

1
 NORMA TÉCNICA NTC

apropiadas al impacto de los problemas potenciales. El procedimiento documentado para la

acción preventiva debe definir los requisitos para:

a) identificar las no conformidades potenciales y sus causas;

b) determinar e implementar la acción preventiva necesaria;

c) registrar los resultados de la acción emprendida;

d) revisar la acción preventiva emprendida;

e) identificar los riesgos que han cambiado y asegurar que la atención se centre en los
riesgos que hayan cambiado significativamente;

f) asegurar que todos los interesados estén informados de la posible no conformidad y de

la acción preventiva aplicada; y

g) la prioridad de los procesos preventivos basados en los resultados de la evaluación de

riesgo y en el BIA.

6.1.3 Acción correctiva

La organización debe emprender acciones para eliminar la causa de las no conformidades

asociados con la implementación y operación del SGCN para prevenir que se repitan. Los
procedimientos documentados para la acción correctiva deben definir los requisitos para:

a) identificar cualquier no conformidad;

b) determinar las causas de las no conformidades;

c) evaluar la necesidad de que las acciones aseguren que no se repitan las no

conformidades;

d) determinar e implementar la acción correctiva necesaria;

e) registrar los resultados de las acciones emprendidas; y

f) revisar la acción correctiva aplicada.

6.2 MEJORA CONTINUA

La organización debe mejorar continuamente la efectividad del SGCN a través de la revisión de

la política y los objetivos de continuidad del negocio, los resultados de la auditoría, el análisis
de los eventos supervisados, las acciones preventivas y correctivas y la revisión por la
dirección.

2
 NORMA TÉCNICA NTC

ANEXO A
(Informativo)

CORRESPONDENCIA CON LAS NORMAS NTC-ISO

9001:2008, NTC-ISO 14001:2004, NTC ISO/IEC 27001:2006

La Tabla A.1 muestra la correspondencia entre las normas NTC ISO 9001:2008,
NTC-ISO 14001:2004, NTC ISO/IEC 27001:2006 y está Norma Técnica Colombiana.

Tabla A.1. Correspondencia a está Norma Técnica Colombiana con otras normas de sistemas de gestión

NTC-ISO/IEC NTC-ISO NTC ISO 14001:

Norma Técnica Colombiana
27001:2006 9001:2008 2004
0 Introducción
0 Introducción 0.1 Generalidades
0.1 Generalidades 0.2 Enfoque del proceso
Introducción 0.2 Enfoque del proceso 0.3 Relación con Introducción
0.3 Compatibilidad con ISO 9004
otros sistemas de gestión 0.4 Compatibilidad con
otros sistemas de
gestión
1 Alcance 1 Alcance
1 Alcance 1.1 Generalidades 1.1 Generalidades 1 Alcance
1.2 Aplicación 1.2 Aplicación
2 Referencias
2 Referencias normativas 2 Referencia normativa
normativas
3 Términos y
2 Términos y definiciones 3 Términos y definiciones 3 Términos y definiciones
definiciones
3 Planificación del SGCN 4 Requisitos de
3.1 Generalidades EMS
3.2 Establecimiento y gestión 4.1 Requisitos
del SGCN generales
4 Requisitos de QMS 4.4 Implementación
4 Implementación y operación 4 Requisitos del ISMS 4.1 Requisitos generales y operación
del SGCN 4.1 Requisitos generales
4.1 Comprensión de la 4.2 Establecimiento y
organización gestión del ISMS
4.2 Determinación de la 4.2.1 Establecer el ISMS
estrategia de continuidad del 4.2.2 Implementar y operar
negocio el ISMS
4.3 Desarrollo e implementación 4.2.3 Mantener y mejorar
de una respuesta del SGCN el ISMS 4.2 Requisitos
4.4 Ejercicio, mantenimiento y 4.3 Requisitos de
revisión de las disposiciones del de documentación
SGCN 4.5.1 Supervisión y
documentación 4.2.1 Generalidades medición
3.4 Documentación y registros 4.3.1 Generalidades 4.2.2 Manual de calidad
del SGCN 4.5.2 No
4.3.2 Control de documentos 4.2.3 Control conformidad y
3.4.1 Generalidades de documentos acción correctiva y
4.3.3 Control de registros
3.4.2 Control de documentación 4.2.4 Control de registros preventiva
del SGCN 4.4.5 Control de
3.4.3 Control de registros del documentación
SGCN 4.5.3 Registros

2
 NORMA TÉCNICA NTC

Tabla A.1. (Continuación) Correspondencia al está Norma Técnica Colombiana con otras normas de
sistemas de gestión

Proyecto de norma de
NTC-ISO 27001:2005 NTC-ISO 9001:2000 NTC ISO 14001: 2004
continuidad del negocio
5 Responsabilidad de
la gerencia
5.1 Compromiso de
5 Responsabilidad de la gerencia
la gerencia 4.2 Política ambiental
5.2 Enfoque en el cliente
5.1 Compromiso de 4.3 Planificación
5.3 Política de la calidad
la gerencia
5.4 Planificación
5.5 Responsabilidad,
autoridad y
comunicación
6 Gestión de los recursos
5.2 Gestión de 6.1 Provisión de recursos
los recursos 6.2 Recursos humanos
4.2.2 Entrenamiento,
5.2.1 Provisión 6.2.2 conocimiento y
de recursos Competencia, competencia
5.2.2 Entrenamiento, conocimiento y
conocimiento y entrenamiento
competencia 6.3 Infraestructura
6.4 Ambiente de
trabajo
5 Supervisión y revisión
del SGCN 6 Revisión del ISMS por
5.6 Revisión por
la gerencia
5.2 Revisión del SGCN por la gerencia
la gerencia 6.1 Generalidades
5.6.1 Generalidades 4.6 Revisión por la
5.2.1 Generalidades 6.2 Entrada para revisión gerencia
5.6.2 Entrada para revisión
5.2.2 Entrada para revisión 6.3 Resultado de 4.5.4 Auditoría del SME
5.6.3 Resultado de
la revisión
5.3 Resultado de la la revisión
revisión 6.4 Auditorías internas
8.2.2 Auditorías internas
del ISMS
5.1 Auditoría interna
6 Mantenimiento y mejora
del SGCN 8 Mejora
7 Mejora del ISMS
6.1 Acciones preventivas y 8.5.1 Mejora continua 4.5.2 No conformidad y
correctivas 7.1 Mejora continua
8.5.2 Acciones correctivas acciones correctiva y
6.2 Mejora continua 7.2 Acción correctiva preventiva
5.5.3
6.1.3 Acción correctiva 7.3 Acción preventiva
Procesos
6.1.2 Acción preventiva preventivos
Anexo A
Objetivos del control y Anexo A Pauta del uso de
Anexo A Correspondencia controles Anexo A la especificación
con Anexo B Pauta del uso de Conexiones entre Anexo B
BS EN ISO 9001:2000, la norma
ISO 14001:1996 e Conexiones entre
BS ENISO 14001:2004, Anexo C
ISO 9001:2000 ISO 14001:2004 e
BS ISO/IEC 27001:2005 Correspondencia entre
ISO 9001:2000
las diferentes normas de
sistemas de
gestión

2
 NORMA TÉCNICA NTC

BIBLIOGRAFÍA

PUBLICACIONES DE

NORMAS

GTC 16, Sistema de Gestión de Continuidad del Negocio.

NTC-ISO 9000:2005, Sistemas de gestión de Calidad. Fundamentos y Vocabulario

NTC-ISO 9001:2008, Sistemas de gestión de Calidad. Requisitos

NTC-ISO 14001:2004, Sistemas de Gestión Ambiental. Requisitos con Orientación Para su

Uso.

NTC-ISO/IEC 20000-1:2008, Tecnología de la Información. Gestión del servicio. Parte 1:

Especificación.

NTC-ISO/IEC 20000-2:2005, Tecnología de la Información. Gestión del servicio parte 2: Código

De Practica.

NTC-ISO/IEC 27001:2006, Tecnología de la Información. Técnicas de Seguridad. Sistemas de

Gestión de la Seguridad de la Información (SGSI). Requisitos.

BS ISO/IEC 17799:2005, Information Technology. Security Techniques. Code of Practice for

Information Security Management.

BS ISO/IEC TR 13335-3:1998, Guidelines for the Management of IT Security. Part 3.

Techniques for the Management of IT Security.

BS ISO/IEC TR 13335-4:2000, Guidelines for the Management of IT Security. Part 4: Selection

of Safeguards.

ISO/IEC Guide 62:1996, General Requirements for Bodies Operating Assessment and
Certification/Registration of Quality Systems.

ISO Guide 73:2002, Risk Management Vocabulary. Guidelines for Use in Standards.

OTRAS PUBLICACIONES

[1] OECD. OECD Guidelines for the Security of Information Systems and Networks.
Towards a Culture of Security. Paris: OECD, July 2002. [Link]

2
NORMA TÉCNICA NTC

DOCUMENTO DE REFERENCIA

BRITISH STANDARDS. Business Continuity Management – Part 2: Specification. United

Kingdom, 2007, 23 p. (BS 25999-2)