CA-05 · Normas ISO

ISO 22301

Documentación de procesos críticos, tiempos máximos asumibles (MTPD) y planes de continuidad y recuperación. Se complementa con 27001.

NormaISO 22301:2019
OutputBIA + plan continuidad
Pruebassimulacro anual

La 22301 obliga a documentar los procesos críticos de la empresa, sus tiempos máximos asumibles de parada (MTPD) y los planes de continuidad y recuperación. Lo aprende toda empresa que ya ha tenido un susto: incendio, ciberataque, ausencia clave, ruptura de proveedor.

El núcleo del trabajo es el análisis de impacto de negocio (BIA): qué procesos no pueden parar, durante cuánto tiempo, y con qué recursos mínimos podrían operar en degradado. Sobre eso se construye la estrategia de continuidad — replicación, redundancia, contratos con proveedores, equipo de respuesta — y el plan de recuperación.

Se complementa naturalmente con 27001 cuando el riesgo principal es informático. Y con ENS si el cliente es público o vende al sector público.

El proceso de ISO 22301.

El proceso · cuatro tiempos
01

BIA

Análisis de impacto: procesos críticos, MTPD.

02

Estrategia

Replicación, redundancia, contratos.

03

Plan

Continuidad y recuperación.

04

Simulacros

Anuales mínimo.

Qué incluye

Qué incluye ISO 22301.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • BIA · análisis de impacto

    Procesos críticos, MTPD, recursos en degradado.

  • Estrategia de continuidad

    Decisiones sobre redundancia, replicación.

  • Plan operativo de continuidad

    Qué hacer durante el incidente.

  • Plan operativo de recuperación

    Cómo volver a la normalidad.

  • Pruebas y simulacros

    Anual mínimo. Tabletop, funcional, full-scale.

  • Revisión post-incidente

    Lecciones aprendidas formalizadas.

Cluster Summum

Cómo se cruza con las hermanas.

22301 con 27001 cuando es ciber, con ENS cuando es público.

Preguntas frecuentes sobre ISO 22301.

¿Cuándo merece la pena?

Merece la pena tras haber sufrido un incidente grave, cuando la actividad está regulada y exige continuidad de negocio, o cuando un cliente clave la pide como condición del contrato.

¿Plan que ya tenemos?

Si ya existe un plan de continuidad interno, lo aprovechamos como punto de partida; la ISO 22301 lo estructura conforme al estándar internacional y añade la disciplina de pruebas y auditoría periódica.

¿Simulacros?

Recomendamos un simulacro completo anual que active el plan de continuidad de principio a fin, complementado con ejercicios de mesa (tabletop) trimestrales más ligeros para mantener al equipo entrenado.