CO 4 Planificar la continuidad de las operaciones y recuperación ante desastres.
Objetivo | Preparar a la organización ante eventos anormales, disruptivos o desastres que puedan afectar sus operaciones, en principio, relacionadas a trámites en línea. |
Alcance | Cualquier organización |
Referencia ISO 27001 | A.17.1.1, A.17.1.2, A.17.1.3, A.17.2.1 |
Guía de implementación | Planificación, Políticas y procedimientos El objetivo de la planificación de la continuidad es mantener las operaciones de un negocio en caso de una situación de emergencia. El objetivo del equipo dedicado a planificar la continuidad de las operaciones es diseñar políticas, procesos, procedimientos y un plan de contingencia y recuperación para que cualquier evento potencialmente disruptivo tenga el menor impacto posible en el negocio. La meta de un plan de contingencia y recuperación es mantener operativos aquellos procesos de negocio críticos con infraestructura y/o capacidades reducidas, limitadas. La capacidad de continuidad de una organización permite mantener los procesos críticos funcionando y a la vez gestionar las actividades de restauración y recuperación usando el plan de recuperación ante desastres. Dentro de la planificación de la continuidad operativa, se debe considerar la continuidad de la gestión de la seguridad de la información en situaciones de crisis o desastres. Esto implica que los planes deben incluir los requisitos de seguridad de la información. Estos requisitos pueden abordarse en el primer punto mencionado en la metodología (conocimiento de los procesos críticos del negocio y su impacto en el negocio) y deben explicitarse en los planes. Metodología para la planificación de la continuidad operativa Para cumplir con estas premisas, la organización debería contar con una metodología para la planificación de la continuidad operativa que incluya al menos: Conocimiento de los procesos críticos y su impacto en el negocio (análisis BIA). Análisis de riesgos que pueden afectar los procesos críticos. Plan de contingencia y recuperación Una vez analizados los aspectos anteriormente mencionados, la organización debería confeccionar formalmente un plan de contingencia y recuperación. Pruebas al plan de contingencia y recuperación Se debería establecer también un plan de pruebas al plan de contingencia y recuperación, con una frecuencia al menos anual. Se debe tener en cuenta la incorporación de los proveedores de servicios críticos para la realización del plan y pruebas de contingencia y recuperación. Capacitación al personal Se debería también planificar la capacitación del personal con relación a la continuidad operativa. Comunicación Se debería establecer una estrategia de comunicación a todo el personal interno y externo involucrado en caso de circunstancia que requiera la activación del plan de continuidad. |
Administración Central | - |
Instituciones de salud | Se debe establecer al menos algún mecanismo de contingencia en caso de indisponibilidad de los sistemas de HCE propios para lograr la consulta a la historia clínica de los usuarios. Se recomienda considerar todos los procesos y equipamiento crítico relacionados con la asistencia de los usuarios. |
Guía de evidencia para auditoría |
|
Normativa asociada | Decreto 452/009 Decreto 92/014 |