Continuidad de negocio ISO 22301 en la ISO/IEC 27001 y en el ENS

Las interrupciones en el funcionamiento normal de una organización son acontecimientos que afectan a la continuidad de negocio. Los desastres naturales (incendios, inundaciones), las caídas de los sistemas de información y las comunicaciones, la ruptura de la cadena de suministro, las bajas de las personas (huelgas, enfermedades), …, suceden y hay que estar preparado para afrontarlos.

La gestión de la continuidad de negocio proporciona a la organización un marco que permite identificar las posibles amenazas y fortalecer su capacidad para afrontarlas, protegiendo los intereses de las partes interesadas (clientes, personas, socios, proveedores y entorno social), la reputación, la marca, y los procesos y actividades que proporcionan un valor añadido.

El sistema de gestión de la continuidad de negocio (conforme a la ISO 22301) proporciona un marco que garantiza el funcionamiento de las organizaciones durante y después de las interrupciones.

Un sistema de gestión de seguridad de la información (SGSI), conforme a la ISO/IEC 27001, también plantea medidas de seguridad relativas a la continuidad de negocio y en concreto su anexo A en el dominio “A.17 Aspectos de seguridad de la información para la gestión de la continuidad del negocio”.

Del mismo modo, el Esquema Nacional de Seguridad (ENS), dentro de su Anexo II, determina medidas de seguridad relativas a la continuidad de negocio (Continuidad del servicio [op.cont]).

La guía “CCN-STIC-825 Esquema Nacional de Seguridad. Certificaciones 27001” del Centro Criptológico Nacional (CCN) considera la relación del ENS con normas y estándares de gestión de la seguridad de la información, de amplia difusión. Concretamente, con las norma ISO/IEC 27001 publicada en 2013.

El objeto de esta guía es, en primer lugar, explicar la utilización de una certificación ISO/IEC 27001 como soporte de cumplimiento del ENS y, en segundo lugar, determinar qué controles de la norma ISO/IEC 27001 son necesarios para el cumplimiento de cada medida del Anexo II del ENS y, en su caso, qué elementos adicionales son requeridos.

Haga click, si desea información de los sistemas de gestión de la continuidad de negocio ISO 22301.