EL ESTÁNDAR ASIS / BSI BCM.01-2010 (Parte III)

Términos y Definiciones

En el anexo D del estándar aparece el siguiente glosario:

  Término Definición
D.1  Actividad 

Proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o soporta a uno o más productos o servicios.

NOTA: Ejemplos de estos procesos incluyen la contabilidad, centros de atención telefónica, servicios de información, fabricación, distribución y otros servicios. 

D.2  Activos  Cualquier cosa que tenga valor para la organización. [ISO/IEC 13335-1:2004]. 
D.3  Auditoría 

Proceso sistemático, independiente y documentado para obtener evidencia de auditoría y evaluarla de manera objetiva, para determinar el grado en que se cumplen los criterios de auditoría. [ISO 9000:2005].

NOTA 1: Auditoría interna -a veces llamada auditoría de primera parte- son realizadas por o en nombre de la propia organización para la revisión gerencial y otros fines internos, y podría servir de base para la declaración de conformidad de una organización. En muchos casos, particularmente en organizaciones pequeñas, la independencia puede ser demostrada por la ausencia de responsabilidad en la actividad objeto de auditoría.

NOTA 2: Auditoría externa, incluyen las denominadas de segunda y tercera parte. Las de segunda parte son realizadas por partes interesadas de la organización, tales como clientes, o por otras personas en su nombre. Las de tercera parte son realizadas por organizaciones de auditoría externas, independientes, como las que proporcionan la certificación / registro de conformidad con un estándar.

NOTA 3: Cuando dos o más sistemas de gestión son auditados juntos, se denomina auditoría combinada.

NOTE 4: Cuando dos o más organizaciones auditoras colaboran para auditar a un único auditado, se denomina una auditoría conjunta. 

D.4  Auditor  Persona con la competencia para conducir una auditoría. [ISO 9001:2000]. 
D.5  Continuidad Operacional  Capacidad estratégica y táctica de una organización para planificar y responder a incidentes e interrupciones del negocio, a fin de continuar las operaciones del negocio a un nivel aceptable predefinido. [BSI 25999-2:2007].NOTA: La Continuidad Operacional consiste en el diseño, implementación y mantenimiento de estrategias para garantizar la disponibilidad de los procesos de negocio, personal, equipos, proveedores y activos de tecnología, de conformidad con los objetivos aprobados por la gerencia. 
D.6  Gestión de la Continuidad Operacional (BCM)  Proceso de gestión de definición integral, que identifica, para una organización, las amenazas potenciales y los impactos, en las operaciones comerciales, que esas amenazas, si se materializan, podrían causar y que proporciona un marco para la construcción de la resiliencia organizacional con la capacidad de respuesta eficaz, que salvaguarde los intereses de sus principales partes interesadas, reputación de la marca y las actividades de creación de valor. [BSI 25999-2:2007].NOTA: La Gestión de la Continuidad Operacional implica la gestión de la recuperación o el mantenimiento de la continuidad de actividades económicas, en el caso de una interrupción de negocios y la gestión del programa general, a través de la formación, simulacros y pruebas, para asegurar que el plan de Continuidad Operacional se mantiene actualizado. 
D.7  Sistema de Gestión de la Continuidad Operacional (BCMS)  La parte del sistema general de gestión que establece, implementa, opera, controla, revisa, mantiene y mejora la Continuidad Operacional.  [BSI 25999-2:2007].NOTA: El Sistema de Gestión incluye la estructura organizativa, las políticas, la planificación de actividades, responsabilidades, procedimientos, procesos y recursos.
D.8  Plan de Continuidad Operacional (BCP)  Conjunto documentado de procedimientos e información desarrollada, compilada, y mantenida disponible para su uso en caso de incidentes, para que una organización pueda continuar ofreciendo sus actividades críticas en un nivel aceptable predefinido. [BSI 25999-2:2007]. 
D.9  Conformidad  Cumplimiento de un requisito. 
D.10  Consecuencia  Producto de un evento. [ISO/IEC Guide 73].NOTA 1: Puede haber más de una consecuencia de un evento.NOTA 2: Las consecuencia pueden ser tanto positivas como negativas.

NOTA 3: Las consecuencias pueden ser expresadas cualitativa o cuantitativamente. 

D.11  Mejora continua  Proceso recurrente de optimización del Sistema de Gestión de la Continuidad Operacional, con el fin de lograr mejoras en el desempeño general de la gestión de la Continuidad Operacional, coherente con la política de gestión de la Continuidad Operacional de la organización.NOTA: El proceso no necesita ejecutarse simultáneamente en todas las áreas de actividad. 
D.12  Acción correctiva  Acción destinada a eliminar la causa de una no conformidad detectada (3.6.2) u otra situación indeseable. [ISO 9000:2005].NOTA 1: Puede haber más de una causa para una no-conformidad.NOTA 2: La acción correctiva es tomada para prevenir recurrencia, mientras que la acción preventiva es tomada para prevenir la ocurrencia.   

 

 

 

  Término Definición
D.13  Equipo de gestión de crisis (CMT)  Un grupo de personas responsables de desarrollar e implementar un plan integral para responder a un incidente perturbador. El equipo está formado por un grupo de decisores capacitados en la gestión de incidentes y preparado para responder a cualquier situación.NOTA: Los miembros del CMT deberían tener conocimiento de la empresa, autoridad para identificar una situación perturbadora, comunicarse adecuadamente y desplegar los recursos necesarios (humanos y físicos) para controlar el evento perturbador, con el fin de garantizar la seguridad y protección de los activos humanos y físicos. 
D.14  Interrupción  Un evento que interrumpe actividades, operaciones o procesos normales, ya sea previsto (por ejemplo, un huracán, inestabilidad política) o imprevisto (por ejemplo, un apagón, ataque terrorista, falla en la tecnología o un terremoto).NOTA: Una interrupción puede ser causada por factores positivos o negativos que interrumpen las actividades, operaciones o procesos normales.
D.15 Documento Información y su medio de soporte. [ISO 9000:2005].NOTA: El medio puede ser papel, magnético, electrónico o disco óptico de computadora, fotográfico, o muestra maestro, o una combinación de ellos.
D.16 Tiempo inactivo Periodo de tiempo durante el cual algo no está en operación.NOTA: El periodo de tiempo inactive permitido es determinado por las obligaciones de la organización (ej., requisitos de clientes y regulatorios).
D.17 Evento Ocurrencia o cambio de un conjunto particular de circunstancias. [ISO/IEC Guide 73].NOTA 1: La naturaleza, probabilidad y consecuencias de un evento no pueden ser totalmente conocidos.NOTA 2: Un  evento puede ser una o más ocurrencias, y puede tener varias causas.

NOTA 3: La probabilidad asociada con el evento puede ser determinada.

NOTA 4: Un evento puede consistir de la ausencia de ocurrencia de una o más circunstancias.

NOTA 5: Un evento con una consecuencia es a veces referido como un “incidente”.

D.18 Simulacro Ensayo previsto de un posible incidente, diseñado para evaluar la capacidad de una organización para gestionar ese incidente y proporcionar una oportunidad para mejorar las respuestas futuras de la organización y mejorar las competencias pertinentes de los involucrados.
D.19 Instalación (infraestructura) Planta, maquinaria, equipo, propiedad, edificios, vehículos, sistemas de información, facilidades de transporte, y otros asuntos de infraestructura o planta y sistemas relacionados que tienen distintas y cuantificables funciones o servicios.
D.20 Responsable de la primera respuesta Un miembro de un servicio de emergencias que es el primero en la escena de un incidente perturbador.NOTA 1: Los servicios de emergencia, públicos o privados, que se ocupan de perturbaciones, tales como los oficiales de policía, funcionarios de seguridad pública, personal médico de emergencia, rescate y / o otros proveedores de servicios de respuesta a emergencias.
D.21 Impacto Consecuencia evaluada de un resultado particular. [ISO/PAS 22399:2007].
D.22 Análisis de impacto Proceso de analizar todas las actividades operacionales y el efecto que una interrupción operative podría tener sobre ellas.NOTA: El análisis de impacto incluye el análisis de impacto al negocio, la identificación de los activos de la empresa, las actividades, procesos y recursos, así como una evaluación de los posibles daños o pérdidas que podrían deberse a una interrupción en la organización (o un cambio en la empresa o en el ambiente operacional). El Análisis del impacto identifica: 1) cómo la pérdida o daño se manifestará, 2) la forma en que progresará la pérdida o daño potencial con el tiempo, a raíz de un incidente, 3) los servicios y recursos mínimos (humanos, físicos y financieros) necesarios para permitir que los procesos del negocio sigan operando a un nivel mínimo aceptable, y 4) el calendario y el alcance en el que las actividades y servicios de la organización deberían ser recuperados.
D.23 Incidente Evento que tiene la capacidad de producir pérdidas humanas, intangibles o físicas, o una interrupción de las operaciones, servicios o actividades de una organización – que, si no se gestionan, pueden derivar en una situación de emergencia, crisis o desastre.
D.24 Integridad Propiedad de salvaguardar, sin pérdida, la exactitud de los activos. [ISO/IEC 13335-1:2004].
D.25 Auditoría interna

Proceso sistemático, independiente y documentado, para obtener evidencia de auditoría y evaluarla objetivamente, con el fin de determinar el grado en que los criterios de auditoría del Sistema de Gestión son cumplidos. [ISO 14001:2004].

NOTA: En muchos casos, particularmente en organizaciones pequeñas, la independencia puede ser demostrada por la ausencia de responsabilidad sobre la actividad objeto de auditoría.

 

  Término Definición
D.26 Pérdida Consecuencia negativa. [BSI 25999-2:2007].
D.27 Sistema de Gestión Sistema para establecer la política y los objetivos, y para alcanzar dichos objetivos. [ISO 9000:2005].NOTA: Un Sistema de Gestión de una organización puede incluir diferentes sistemas de gestión, tales como un Sistema de Gestión de la Continuidad Operacional, el Sistema de Gestión de la calidad, un Sistema de Gestión financiera y / o un Sistema de Gestión medioambiental.
D.28 Mitigación Limitación de cualquier consecuencia negativa en un incidente particular. [ISO/PAS 22399:2007].
D.29 No-conformidad Incumplimiento de un requisito. [ISO 9000:2005].
D.30 Objetivo Meta general, coherente con la política que una organización establece para lograr. [ISO 14001:2004].
D.31 Organización Grupo de personas e instalaciones con una disposición de responsabilidades, autoridades y relaciones (por ejemplo, compañía, corporación, firma, empresa, institución, de caridad, comerciante individual, asociación, o parte o combinación de ellas). [ISO 9000:2005].NOTA 1: La disposición es generalmente ordenada.NOTA 2: Una organización puede ser pública, privada, religiosa o sin ánimo de lucro.
D.32 Política Intenciones y dirección generales de una organización, formalmente expresadas por la alta dirección. [ISO 9000:2005].NOTA 1: En general, la política de Continuidad Operacional es consistente con la política general de la organización y proporciona un marco para el establecimiento de los objetivos de Continuidad Operacional. NOTA 2: Los Principios de gestión de Continuidad Operacional, presentados en este estándar, pueden servir de base para el establecimiento de una política de Continuidad Operacional.
D.33 Preparación (disposición) Actividades, programas y sistemas desarrollados e implementados antes de un incidente, que podrían ser usados para soportar y mejorar la mitigación, la respuesta y la recuperación de interrupciones.
D.34 Prevención Medidas que permiten, a una organización, evitar, impedir o limitar el impacto de una interrupción. [ISO/PAS 22399:2007].
D.35 Acción preventiva Acción para eliminar la causa de una no-conformidad potencial (ver 3.6.2) o otra situación potencialmente indeseable. [ISO 9000:2005].NOTA 1: Puede haber más de una causa para una no conformidad potencial.NOTA 2: La acción Preventiva es tomada para prevenir la ocurrencia, mientras que la acción correctiva es tomada para prevenir la recurrencia.
D.36 Procedimiento Manera especificada de llevar a cabo de una actividad. [ISO 9000:2005].NOTA: Los Procedimientos pueden estar documentados o no.
D.37 Proceso Conjunto de actividades interrelacionadas o interactuantes, que transforman insumos en productos. [ISO 9000:2005]NOTA 1: Los insumos de un proceso son, generalmente, productos de otros procesos.NOTA 2: Los Procesos en una organización son, generalmente, planeados y ejecutados bajo condiciones controladas, para agregar valor.
D.38 Producto Definición del resultado de un proceso. [ISO 9000:2005].NOTA 1:  Hay cuatro categorías genéricas de producto, éstas son:Servicios;

Software;

Hardware; y

Materiales Procesados.

Muchos productos contienen elementos que pertenecen a diferentes categorías de productos genéricos. Si el producto se denomina servicio, software, hardware o material procesado depende del elemento dominante.

NOTA 2: El servicio es el resultado de, al menos, una actividad necesariamente realizada en el enlace entre el proveedor y el cliente, y generalmente es intangible. La prestación de un servicio puede implicar, por ejemplo, lo siguiente:

Una actividad realizada sobre un producto tangible suministrado por el cliente;

Una actividad realizada sobre un producto intangible suministrado por el cliente;

La entrega de un producto intangible, o

La creación de un ambiente para el cliente.

D.39 Objetivo de tiempo de recuperación Período de tiempo tras el cual se prevé la recuperación de cada una de las actividades y recursos, para alcanzar una capacidad aceptable, después de un evento perjudicial. Esto podría ser una simple reanudación completa del servicio o un retorno gradual durante un período.
D.40 Objetivo de punto de recuperación Momento en que los datos o la capacidad de un proceso se encuentran en un estado integral o conocido y válido, desde el cual puede ser restaurado. Esto debería ser inferior a la cantidad máxima de tolerancia a la pérdida y podría ser definido en horas o días.
D.41 Registro Documento que contiene los resultados logrados o provee evidencia de actividades realizadas. [ISO 9000:2005].NOTA 1: Por ejemplo, los registros pueden ser usados para documentar rastreabilidad y proveer evidencia de verificación, acciones preventivas y correctivas. NOTA 2: Generalmente los registros no necesitan estar bajo supervisión o control.
D.42 Recursos Todos los activos, las personas, habilidades, información, tecnología (incluyendo plantas y equipos), locales, suministros y la información (ya sea electrónica o no) que una organización debe tener disponibles para su uso, cuando sea necesario, con el fin de operar y cumplir con sus objetivos. [BSI 25999-2:2007].
D.43 Riesgo Combinación de la probabilidad de un evento y sus consecuencias. [ISO/IEC Guide 73].NOTA 1: El término riesgo es, generalmente, usado cundo existe, al menos, la posibilidad de consecuencias negativas.NOTA 2: En algunas situaciones, el riesgo surge de la posibilidad de desviación de un resultado o evento esperado.

NOTA 3: Ver ISO/IEC Guide 51 para aspectos relativos a la seguridad.

 

 

  Término Definición
D.44 Aceptación del riesgo Definición sobre una decisión informada para asumir un riesgo particular. [ISO/IEC Guide 73].NOTA 1: La aceptación del riesgo puede ocurrir sin tratamiento del riesgo o durante el proceso de tratamiento.NOTA 2: La aceptación del Riesgo puede ser también un proceso.

NOTA 3: Risks accepted are subject to monitoring and review.

D.45 Apetito al riesgo Cantidad y tipo de riesgo que una organización está preparada para asumir, retener, o tomar.
D.46 Evaluación del Riesgo Proceso general de identificación del riesgo, análisis del riesgo y evaluación del riesgo. [ISO/IEC Guide 73].NOTA: La evaluación del riesgo implica el proceso de identificar las amenazas internas y externas y la vulnerabilidad, la identificación de la probabilidad y el impacto de un evento, derivados de tales amenazas o vulnerabilidades, la definición de las actividades críticas necesarias para continuar las operaciones de la organización, la definición de los controles establecidos para reducir la exposición, y evaluar el costo de dichos controles.
D.47 Gestión del riesgo Actividades coordinadas para dirigir y controlar una organización, en relación con el riesgo. [ISO/IEC Guide 73].NOTA: La gestión del riesgo, generalmente, incluye la evaluación del riesgo, el tratamiento del riesgo, la aceptación del riesgo y la comunicación del riesgo.
D.48 Tratamiento del riesgo Proceso de selección e implementación de medidas para modificar el riesgo. [ISO/IEC Guide 73].NOTA 1: El término “tratamiento de riesgos” se utiliza a veces para las propias medidas.NOTE 2: Las medidas de tratamiento del riesgo el tratamiento pueden incluir las orientadas a evitar, optimizar, transferir o retener el riesgo.
D.49 Seguridad Ausencia de peligro, riesgo o daño.
D.50 Parte interesada  (parte interesada) Persona o grupo que tiene algún interés en el desempeño o éxito de una organización. [ISO/PAS 22399:2007].NOTA: El término incluye a las personas y grupos con participación en una organización, sus actividades y sus logros, por ejemplo, clientes, socios, personas que trabajan para o en nombre de la organización, accionistas, propietarios, la comunidad local, el personal de primera respuesta, el gobierno y los reguladores.
D.51 Cadena de suministro El conjunto de recursos y procesos vinculados que se inicia con la adquisición de materia prima y se extiende hasta la entrega de productos o servicios al usuario final, a través de los modos de transporte. La cadena de suministro podría incluir proveedores, vendedores, instalaciones de fabricación, proveedores de logística, centros de distribución interna, distribuidores, mayoristas y otras entidades que llevan al usuario final.
D.52 Meta Requisito de desempeño detallado, aplicable a la organización (o sus partes) que surge de los objetivos y que hay que establecer y cumplir para alcanzar dichos objetivos. [ISO 14001:2004].
D.53 Prueba Evaluación de un recurso para validar el logro de los objetivos y metas. Ver simulacro.
D.54 Amenaza Posible causa de un incidente no deseado, que puede resultar en daños a personas, bienes, a un sistema u organización, el medio ambiente o la comunidad.
D.55 Alta dirección Persona o grupo de personas que dirigen y controlan una organización (ver 3.3.1) al más alto nivel. [ISO 9000:2005].NOTA: La alta dirección, especialmente en una organización multinacional, puede no estar directamente involucrada, sin embargo, la alta dirección se manifiesta en la rendición de cuentas, a través de la cadena de mando. En una organización pequeña, la alta dirección puede ser el dueño o propietario único.

 

0 Responses to “EL ESTÁNDAR ASIS / BSI BCM.01-2010 (Parte III)”



  1. Dejar un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s





A %d blogueros les gusta esto: