CHAPTER 5

Area: Gestion
Domain: Deliver, Service and Support

DSS04 Gestion de Continuidad de Negocio

Descripcion de Proceso
Establish and maintain a plan to enable the business and IT to respond to incidents and disruptions in order to continue
operation of critical business
processes and required IT services and maintain availability of information at a level acceptable to the enterprise.
Process Purpose Statement
Continue critical business operations and maintain availability of information at a level acceptable to the enterprise in th
e event of a significant disruption.
The process supports the achievement of a set of primary IT-related goals:
IT-related Goal
Related Metrics

Riesgo de Negocios gestionados relacionados a TI

Entrega de Serivicios de TI en linea con

requerimientos de negocios

La disponibilidad de informacin fiable y til para

la toma de decisiones

Metas de Procesos y Metricas

Metas de Procesos

Porcentaje de procesos de negocios crticos, servicios

de TI y programas de negociosde TI

cubiertos porla evaluacin de riesgos.

Frecuencia de actualizacin de perfil de
riesgos.
Numero de interrucion de negocios debido a incidentes
en servicios en TI.
Porcentaje de interesados satisfechos con que los
servicios de TI cumplen con los acuerdos de nivel de
servicios
Nivel de satisfaccin de usuario con calidad y
disponibilidadde gestin de informacin.
Numero de incidentes de procesos de negocios
causados por la no disponibilidad de la informacin.

Metricas Relacionadas

1. Informacion de negocios criticos disponible para los negociosPorcentaje de cumplimiento de servicios de TI con los
en linea con minimo niveles de servicio requerido.
requerimientos de actividad.
Porcentaje de xito y tiempo de restauracin de backups u
otros respaldos alternos.
Porcentaje de backup respaldados y almacenados seguros
2. Suficiente capacidad de recuperacion esta listo para los Numero de sistemas de negocios crticos no cubiertos por
servicioscriticos.
el plan.
3. Las pruebas de continuidad de servicio han sido
verificados en su efectividad.

Numero de de ejercicios y pruebas que han logrado los

objetivos de recuperacin.
Frecuencia de pruebas

4. Plan de continuidad al dia que refleja actual requerimentoPorcentaje de problemas identificados que han sido
del negocio
secuencialmente direccionados al plan

185
Personal Copy of: Ma. Moises Villena

Deliver
,Servic
eandS
upport

DSS04.01
Define the business continuit
y
DSS04.02
Maintain a continuity strategy
.
DSS04.03
Develop and implement a
business continuity response
.
DSS04.04
Exercise, test and review
the BCP.
DSS04.05
Review, maintain and improv
e
the continuity plan.
DSS04.06
Conduct continuity plan traini
ng.
DSS04.07
Manage backup arrangement
s.
DSS04.08
Conduct post-resumption
review.

Deliver,ServiceandSupport

A
R

DSS04 Process Practices, Inputs/Outputs and Activities

Management Practice
DSS04.01

Define la politica de continuidad de

negocio, objetivos y alcance.
Define la politica de continuidad de negocio y
alcance alineado con los objetivos de la
empresa y interesados

Inputs
From
APO09.03

Description
SLAs

Outputs
Description
Continuida de Negocio

To
APO01.04

Esceneario de incidentes Interol

perturbadores
Las evaluaciones de las Interno
capacidades existentes y
las deficiencias de
continuidad
Activities

Identificar los procesos de negocios internos y externos, luego las actividades de servicio criticos para la empresa para
incluir en el plan de continuidad y los externos para ser terceriazados para el cumplimiento de regulaciones
Indentificar los interesados y sus roles para poder definir el plan de continuidad y su alcance
Definir y documentar los objetivos y alcances del plan de continuidad
4. Identify essential supporting business processes and related IT services.

186

PrivacyOfcer

InformationSecurityManager

BusinessContinuityManager

HeadITAdministration

ServiceManager

HeadITOperations

HeadDevelopment

HeadArchitect

ChiefInformationOfcer
Audit

HeadHumanResources

Compliance

EnterpriseRiskCommittee

ArchitectureBoard

ChiefRiskOfcer

StrategyExecutiveCommittee

BusinessProcessOwners

BusinessExecutives

ChiefOperatingOfcer

ChiefExecutiveOfcer
Board

Key Management Practice

ChiefFinancialOfcer

DSS04 RACI Chart

ChiefInformationSecurityOfcer

: ENABLING PROCESSES

DSS04 Process Practices, Inputs/Outputs and Activities (cont.)

Management Practice

Inputs

DSS04.02 Manteniendo una estrategia de

continuidad.

Evala opciones de gestin de continuidad

de negocio , evalua el costo y viabilidad del
plan que asegurara a la institucin de caso
de in desastre o interrupcin

From
APO12.06

Description

Outputs
Description

To

-Causas de Riesgo Analisis de impacto de negocio

-Comunicacione

s en el impacto
de los riesgos

APO12.02

Requerimientos de continuidad

Internal

Opciones estrategicas
aprobadas

APO02.05

Activities

Identifica potenciales scenarios para lanzar un riesgo, que podra causar incidentes de interrupcin
Conduce un analisis de impacto para evaluar el impacto cuando ocurre la interrupcion de algunas funciones de criticas de
la empresa
Establece el tiempo minimo requerido para recuperarse un proceso de negocio y si el soporte de TI , siendo aceptable el
tiempo de interrupcion.
Evaluar la probabilidad de amenazas que podran causar la prdida de la continuidad del negocio y determinar las
medidas que reduzcan la probabilidad y el impacto a travs de una mejor prevencin y una mayor capacidad de
recuperacin

Analiza requerimientos de continuidad, para identificar posibles estrategias y opciones

tcnicas
Identifica escenarios potenciales que lanzen los eventos que pueden causar incidentes
de
interrupcin
Identifica
requerimiento de recursos y costos para cada opcin tcnica y estratgica y
realiza
recomendaciones
Obtiene aprobacin de ejecutivo de negocios para las opciones estratgicas
seleccionadas
Management Practice

Inputs

DSS04.03 Desarrolla y implementa una respuesta de

From
continuidad de negocio
APO09.03
Desarrollar un (BCP), basado en la estrategia,
documentando los procedimientos para su uso en
un incidente para permitir a la empresa continuar
con sus actividades crticas.

Outputs

Description
OLAs

Description

To

Incident response actions

and communications

DSS02.01

BCP

Internal

Activities

Establecer respuestas a incidentes y comunica cuando deben ser lanzados, define

rolesy responsablidades incluyendo rendicin de cuentas por las poltica y su
implementacin
2. Develop and maintain operational BCPs containing the procedures to be followed to enable continued operation of critical business pr
ocesses and/or

information databases to preserve information integrity.

and consider the need for security and off-site storage.

187
Personal Copy of: Ma. Moises Villena

Deliver
,Servic
eandS
upport

: ENABLING PROCESSES
DSS04 Process Practices, Inputs/Outputs and Activities (cont.)
Management Practice
DSS04.04 ejercicio, prueba y revisar el BCP.
Test the continuity arrangements on a regular basis
to exercise the recovery plans against predetermin
ed
outcomes and to allow innovative solutions to be
developed and help to verify over time that the pla
n will

Inputs
From

Outputs

Description

Description

To

Test objectives

Internal

Test exercises

Internal

Test results and

recommendations

Internal

Activities

1. Define objectives for exercising and testing the business, technical, logistical, administrative, procedural and operational systems of th
e plan to verify
2. Define and agree on with stakeholders exercises that are realistic, validate continuity procedures, and include roles and responsibilitie
s and data
3. Assign roles and responsibilities for performing continuity plan exercises and tests.
4. Schedule exercises and test activities as defined in the continuity plan.
5. Conduct a post-exercise debriefing and analysis to consider the achievement.
6. Develop recommendations for improving the current continuity plan based on the results of the review.
Management Practice
DSS04.05 Revisa,mantiene y mejora Plan de
continuidad.
Gestiona la revision de la capacidad de continuidad,
.Se gestiona cambios al plan con los cambios de
procesos que intervienen en estos y que reflejan
las necesidades actuales de negocios

Inputs
From

Outputs

Description

Description

hacia

Resultados de plan de revision

Interno

Recomienda cambios al plan

Interno

Activities

Revisar el plan de continuidad y capacidad de forma regular en contra de cualquier

hiptesis formuladas y los objetivos de negocio actuales operativas y estratgicas.
1.

Considerar si una revisin de evaluacin de impacto en el negocio puede ser

necesario, dependiendo de la naturaleza del cambio.

Deliver,ServiceandSupport

2.

3.

Recomendar y comunicar los cambios en las polticas, planes, procedimientos,

infraestructura, y los roles y responsabilidades para la aprobacin de la gerencia y
procesamiento mediante el proceso de gestin del cambio.
4. Revisa el plan de continuidad de forma regular para considerar impacto de nuevos cambios
Management Practice
DSS04.06 Realizar capacitacin plan de continuidad.
From
Provee a toda las partes internas y externas con
RH
relaciona las sesiones de capacitacion y establece
responsabilidades en caso de una interrupcion en
los procesos de negocios.

Inputs
Description

Outputs
Description

To

Lista de personal a Requerimiento de capacitacion APO07.03

capacitarse
Monitoreode resultados de
APO07.03
capacidades y competencias
Activities

1. define y mantiene requsitos de capacitacion, planea realizando planeamiento de continudidad, evaluacion de

impacto, evaluacionde riesgo, medios de comunicacin y respuestas a incidentes. Asegura que el plan de capacitacion
considera frecuancia y mecanismos de capacitacion
2. Desarrolla competencias basados en entrenamiento practico incluido en los ejercios y pruebas
3. Monitorea capacidades y competencias basados en el ejercicio de las pruebas

CHAPTER 5

DSS04 Process Practices, Inputs/Outputs and Activities (cont.)

Practicas de Gestion

Inputs

DSS04.07 Gestionar arreglo de backups.

Mantenga la disponibilidad de informacin crtica
de negocio

From

Description

Outputs
Description
Test resultados de
backup de data

To
interno

Activities
1.respalda sistemas, aplicaiones, data y documentacion de acuerdo a la programacion definida, considerando:

Tipo de backup,
frecuencia,
creacion de logs,
backups automatizados,
encrypting,
tipo de backup

2. Aplicaciones y documentacion administradas por terceros son adecuadamente respaldadas y estan accesibles para el uso.
3.

Definir los requisitos in situ y fuera del sitio de almacenamiento de datos de copia de seguridad que cumplan con los requisitos de
negocio
4. Compruebe peridicamente y actualizar los datos archivados y de copia de seguridad.
Management Practice

Entradas

DSS04.08 Conduct post-resumption review.

Assess the adequacy of the BCP following the
successful resumption of business processes and
services after a disruption.

Desde

Descripion

Salidas
Description

To

Post-resumption
review report

Internal

Approved changes to
the plans

BAI06.01

Actividades
1. Assess adherence to the documented BCP.
2. Determine the effectiveness of the plan, continuity capabilities, roles and responsibilities, skills and competencies, resilience to the in
cident, technical
3. Identify weaknesses or omissions in the plan and capabilities and make recommendations for improvement.
4. Obtain management approval for any changes to the plan and apply via the enterprise change control process.

DSS04 Related Guidance

Related Standard

Detailed Reference

BS 25999:2007

Standar de continuidad de Negocio

6.3 Service continuity and availability management
14. Business Continuity Management
9. IT Service Continuity Management

Deliver
,Servic
eandS
upport