Blog de Internet Security Auditors

Blog de Internet Security Auditors: Diferencias entre la ISO22301:2012 y la ISO22301:2019

Escrito por Internet Security Auditors | Mar 8, 2021 5:00:00 AM

 La Organización Internacional de Estandarización (ISO) es una entidad que nace en Londres en 1946, independiente y no gubernamental. Rápidamente se convierte en un referente a nivel mundial en compartición de conocimiento, desarrollo de estándares que soportan la innovación y que provee soluciones para los retos a escala global, con un total de 165 países miembros en el momento de la redacción de estas líneas, en diciembre de 2020.

Destacan entre los estándares más conocidos y adoptados por las compañías, los siguientes:


La ISO 22301 es el estándar que se focaliza en los sistemas de gestión de continuidad del negocio. Publicado por primera vez el 15/05/2012 (ISO22301:2012), al cual se le aplicaron correcciones apenas un mes después. Se marcó como pendiente de revisión el 27/11/2017 y finalmente se publicó dicha revisión el 30/10/2019 (ISO22301:2019). Dicho estándar se encuentra estrechamente relacionado con otros estándares ISO enfocados a los sistemas de gestión como:


En los próximos párrafos se analizarán las diferencias entre las revisiones de 2012 y 2019.

Las diferencias entre ISO22301:2012 e ISO22301:2019

En su primera versión de 2012, el estándar ya estaba conforme a lo exigido en el Anexo SL de las directivas ISO para la gestión de los sistemas de gestión, por lo que su estructura en esencia es la misma respecto a su actualización de 2019, tal y como se observa en la siguiente imagen.

ISO22301:2012 ISO22301:2019
0 Introduction   0 Introduction  
  0.1 General   0.1 General
      0.2   Benefits of a business continuity
management system
  0.2 The Plan-Do-Check-Act (PDCA) model    
  0.3 Components of PDCA in this International Standard   0.3 Plan-Do-Check-Act (PDCA) cycle
      0.4   Contents of this document
1 Scope   1 Scope  
2 Normative references   2 Normative references  
3 Terms and definitions   3 Terms and definitions  
4 Context of the organization   4 Context of the organization  
  4.1 Understanding of the organization and its context   4.1 Understanding the organization and its context
  4.2 Understanding the needs and expectations of interested parties   4.2 Understanding the needs and expectations of interested parties
  4.3 Determining the scope of the business continuity management system   4.3 Determining the scope of the business continuity management system
  4.4 Business continuity management system   4.4 Business continuity management system
5 Leadership   5 Leadership  
  5.1 Leadership and commitment   5.1 Leadership and commitment
  5.2 Management commitment    
  5.3 Policy   5.3 Policy
  5.4 Organizational roles, responsibilities and authorities   5.3 Roles, responsibilities and authorities
6 Planning   6 Planning  
  6.1 Actions to address risks and opportunities   6.1 Actions to address risks and opportunities
  6.2 Business continuity objectives and plans to achieve them   6.2 Business continuity objectives and plans to achieve them
      6.3 Planning changes to the business continuity management system
7 Support   7 Support  
  7.1 Resources   7.1 Resources
  7.2 Competence   7.2 Competence
  7.3 Awareness   7.3 Awareness
  7.4 Communication   7.4 Communication
  7.5 Documented information   7.5 Documented information
8 Operation   8 Operation  
  8.1 Operational planning and control   8.1 Operational planning and control
  8.2 Business impact analysis and risk assessment   8.2 Business impact analysis and risk assessment
  8.3 Business continuity strategy   8.3 Business continuity strategies and solutions
  8.4 Establish and implement business continuity procedures   8.4 Business continuity plans and procedures
  8.5 Exercising and testing   8.5 Exercise programme
      8.6 Evaluation of business continuity documentation and capabilities
9 Performance evaluation   9 Performance evaluation  
  9.1 Monitoring, measurement, analysis and evaluation   9.1 Monitoring, measurement, analysis and evaluation
  9.2 Internal audit   9.2 Internal audit
  9.3 Management review   9.3 Management review
10 Improvement   10 Improvement  
  10.1 Nonconformity and corrective action   10.1 Nonconformity and corrective action
  10.2 Continual improvement   10.2 Continual improvement
Bibliography   Bibliography  
Leyenda
  Diferencias principales


Con respecto al contenido, sí que se han presentado cambios:
  • Ya no es necesario comunicar las variaciones de los requerimientos legales a los empleados afectados (Cláusula 4.2.2). Aunque, sigue siendo una práctica más que recomendable.
  • Se realizan agrupaciones y cambios en los elementos de las cláusulas de determinación del alcance, aunque requieren la misma información. (Cláusulas 4.3.1 y 4.3.2).
  • Se agrupan las antiguas cláusulas 5.1 y 5.2 sobre las acciones que debe llevar a cabo la alta dirección para demostrar su liderazgo y compromiso. (Cláusula 5.1).
  • No se especifica que la Política de continuidad de negocio deba ser revisada a intervalos definidos o cuando existan cambios. (Cláusula 5.2.2). Por el contrario, se especifica de forma genérica que toda la documentación relativa al SGCN debe ser revisada y aprobada para asegurar su idoneidad y adecuación. (Cláusula 7.5.2).
  • Ya no será necesario tener en cuenta el mínimo nivel de productos o servicios aceptables para que la organización consiga sus objetivos, pero se incluye en la ecuación que deben ser comunicados y actualizados según sea necesario. (Cláusula 6.2.1).
  • Se incluyen las consideraciones a tener en cuenta por las organizaciones para realizar cambios en el SGCN cuando sea necesario. (Cláusulas 6.3, 8.1 y 8.6).
  • En el apartado de concienciación, se añade que las personas deben ser conscientes de sus funciones no tan solo durante una disrupción, sino también antes y después. (Cláusula 7.3).
  • Se precisa en el apartado de comunicación que no sólo se debe determinar qué, cuando y a quién se realizan las comunicaciones, sino también cómo y quién debe hacerlas. (Cláusula 7.4).
  • Se suprimen los apartados relativos al uso, acceso, preservación e información obsoleta de la documentación del SGCN (Cláusula 7.5.3.2), por ser redundantes con los mencionados en el apartado anterior. (Cláusula 7.5.3.1).
  • Se incluye la cadena de suministro dentro de los procesos tercerizados a tener controlados. (Cláusula 8.1).
  • Los documentos de Análisis de Impacto de Negocio (BIA, de sus siglas en inglés) y de Evaluación de Riesgo ya no se consideran información que se debe documentar obligatoriamente, si bien la organización sí deberá disponer de procesos sistemáticos correspondientes. (Cláusulas 8.2.1, 8.2.2 y 8.2.3).
  • Se da un mayor detalle de las tareas correspondientes al BIA. (Cláusula 8.2.2).
  • Se reagrupan las consideraciones que debe realizar la organización para al Análisis de Riesgos. (Cláusula 8.2.3).
  • Se especifica que se deben contemplar las estrategias que consideren opciones antes, durante y después de la disrupción. Además, también se especifica que las estrategias pueden comprender una o más soluciones. (Cláusula 8.3.1).
  • Se realiza una reestructuración de apartados para describir la identificación de estrategias y soluciones, la selección de dichas estrategias y soluciones. (Cláusulas 8.3.2 y 8.3.3).
  • Se redistribuyen los aspectos a tener en cuenta de forma colectiva para los planes y procedimientos de continuidad del negocio, así como el contenido mínimo individual para cada uno de ellos. (Cláusulas 8.4.4.2 y 8.4.4.3).
  • Las consideraciones de evaluación de la documentación relativa a la continuidad de negocio y sus capacidades pasan de estar en el dominio de Evaluación del Rendimiento para encontrarse en el dominio de Operación. (Cláusula 8.6).
  • En el apartado de monitorización, medidas, análisis y evaluación se añade la figura del quien, en línea con la importancia que se les da a los roles en esta revisión de la norma. (Cláusula 9.1).
  • Se agrupan las consideraciones de los datos de entrada para la revisión por parte de la dirección. (Cláusula 9.3.2).

La documentación obligatoria

La ISO22301 de 2019 también requiere cierta documentación obligatoria, aunque no tanta como la exigida en la anterior versión. En un ejercicio similar al que ya se realizó en este mismo blog, se detalla a continuación la documentación obligatoria:

  • Proceso para: identificar, tener acceso y evaluar de los requerimientos legales y regulatorios relacionados con la continuidad de sus productos, servicios, actividades y recursos; también para asegurar que dichos requerimientos son tomados en cuenta en la implementación y mantenimiento del SGCN (Cláusula 4.2.2).
  • Alcance del SGCN (Cláusula 4.3.1).
  • Política de continuidad del negocio (Cláusula 5.2.2).
  • Objetivos de continuidad de negocio (Cláusula 6.2.1).
  • Determinación de las competencias necesarias para el personal y aseguramiento de que las adquieren, incluidas las acciones de formación y evaluación. (Cláusula 7.2).
  • Información documentada para demostrar que las actividades y/o procesos han sido llevados a cabo como estaban planeados. (Cláusula 8.1).
  • Planes y procedimientos de Continuidad del Negocio basados en las estrategias y soluciones seleccionadas. (Cláusulas 8.4.1 y 8.4.4).
  • Procedimiento de respuesta a incidentes (activación, operación, coordinación y comunicación de las respuestas). (Cláusula 8.4.2.4).
  • Procedimiento de comunicación: interna y externa; recepción, documentación y respuesta a las comunicaciones; aseguramiento de la disponibilidad de los medios de comunicación; estructura de comunicación; provisión de detalles, incluida la estrategia de comunicación; grabación de los detalles de la disrupción, acciones y decisiones tomadas. (Cláusula 8.4.3.1). Cuando aplique, también de las alertas a partes interesadas potencialmente impactadas y aseguramiento de la coordinación y comunicación entre las organizaciones. (Cláusula 8.4.3.2).
  • Proceso de recuperación y vuelta a la normalidad. (Cláusula 8.4.5).
  • Informes de realización de pruebas. (Cláusula 8.5).
  • Resultados de la monitorización, las medidas, los análisis y la evaluación. (Cláusula 9.1).
  • Plan de Auditoría. (Cláusula 8.2.2).
  • Resultados de las auditorías realizadas. (Cláusula 9.2.2).
  • Revisión por parte de la dirección. (Cláusula 9.3.3).
  • Documentación de las no conformidades y acciones subsecuentes llevadas a cabo. (Cláusula 10.1.3.a).
  • Resultados de las acciones correctivas. (Cláusula 10.1.3.b).
  • La documentación opcional
  • La organización debe determinar los aspectos internos y externos relevantes (Cláusula 4.1). En la versión anterior se requería como información documentada.
  • Plan de formación, capacitación y concienciación (Cláusulas 7.2 y 7.3).
  • Determinación de las comunicaciones internas y externas relevantes para el SGCN. (Cláusula 7.4).
  • Relación y control de la documentación relativa al SGCN, tanto interna como externa (Cláusula 7.5.3).
  • Aseguramiento de los procesos tercerizados y de la cadena de suministro, típicamente en forma de SLAs. (Cláusula 8.1).
  • Proceso de Análisis de Impacto de Negocio (BIA, de sus siglas en inglés). (Cláusulas 8.2.1 y 8.2.2).
  • Proceso de Análisis de Riesgos. (Cláusulas 8.2.1 y 8.2.3).
  • Plan de pruebas. (Cláusulas 8.5 y 8.6).
  • Revisión de resultados tras las pruebas. (Cláusula 8.5).
  • Plan de actualización de los documentos. (Cláusula 8.6).


Como conclusión, en los aspectos revisados en esta norma de 2019 se refuerzan los aspectos enfocados a las soluciones como base de los escenarios, así como también a la importancia de las personas y los roles que desempeñan a lo largo del ciclo de vida de la gestión de la continuidad del negocio en las organizaciones.

La adaptación de una versión antigua a su contraparte actual requiere de cierto esfuerzo, pero no se considera desproporcionado ni tampoco que no se pueda incluir dentro de las propias revisiones planificadas de la documentación y procesos.


Autor: Jose Antonio Prieto - CISA, ISO 27001 L.A., ISO 22301 L.A., SFPC, CDPSE
Dpto. Consultoría