Alcance
Esta norma detalla los requisitos de una política de gestión de resiliencia en la cadena de suministro que permita a una organización desarrollar e implementar políticas, objetivos y programas, teniendo en cuenta lo siguiente:- los requisitos legales, reglamentarios y otros, a los cuales la organización está suscrito; - la información acerca de riesgos, amenazas o peligros significativos que podrían tener consecuencias para la organización, las partes interesadas y su cadena de suministro;- la protección de sus activos y procesos; y- la gestión de incidentes disruptivos.Esta norma se aplica a los riesgos que la organización identifica como aquellos que puede controlar, influenciar o reducir, así como también esos que no puede anticipar. La norma por sí misma no especifica criterios de desempeño.Esta norma se aplica a cualquier organización que desee:a) establecer, implementar, mantener y mejorar una política de gestión de resiliencia para la organización y su cadena de suministro;b) asegurarse de su conformidad con su política de gestión de resiliencia establecida;c) demostrar que el sistema de gestión incluye una política de resiliencia bien desarrollada al:1) realizar una autoevaluación y auto-declaración; o2) buscar confirmación de dicha conformidad por las partes interesadas en la organización (tales como clientes); o 3) buscar confirmación de su auto-declaración por parte de externos a la organización; o 4) buscar certificación/registro de su sistema de gestión mediante una organización externa.Todos los requisitos de esta norma tienen como fin su incorporación a cualquier tipo de sistema de gestión de una organización que se base en el modelo PDCA. Esta norma proporciona los elementos (incluidos aquellos que abordan la tecnología, instalaciones, procesos y personas) que se necesitan para ser incorporada. Su grado de aplicación dependerá de factores tales como la tolerancia al riesgo y la política de la organización; la naturaleza y escala de sus actividades, productos y servicios; y la localización donde y las condiciones en las cuales opera.Esta norma provee requisitos generales como marco de trabajo, aplicable a todo tipo de organizaciones (o sus partes) independientemente de su tamaño y función en la cadena de suministro. Esta norma proporciona una guía para que las organizaciones desarrollen sus propios criterios de rendimiento específico, permitiendo a la organización adaptar e implementar una política de gestión de resiliencia apropiada a sus necesidades y a las de sus clientes.Esta norma enfatiza la resiliencia, capacidad de adaptación que tiene una organización en un entorno complejo y versátil, así como la protección de los activos y procesos fundamentales de la cadena de suministro. Al aplicar esta norma, la organización se posiciona de tal manera para prevenir más rápidamente, si es posible, prepararse para, y responder ante todo tipo de eventos disruptivos intencionales, involuntarios y (o) por causas naturales, los cuales, si no son gestionados, se pueden agravar de tal forma que se conviertan en una emergencia, crisis o desastre. Esta norma cubre todas las fases en la gestión de incidentes: antes, durante y después de un evento disruptivo.Esta norma provee un marco de trabajo para que una organización:a) desarrolle una política de prevención, protección, preparación, mitigación y respuesta/continuidad/recuperación;b) establezca objetivos, procedimientos y procesos para lograr los compromisos de su política; c) asegure competencia, información y capacitación;d) fije medidas para comprobar el rendimiento y demostrar los logros;e) tome las acciones necesarias para mejorar el rendimiento;f) demuestre la conformidad del sistema ante los requisitos de esta norma; yg) establezca y aplique un proceso de mejora continua.El Anexo A proporciona orientación informativa en la planificación, implementación, pruebas, mantención y mejoramiento del sistema.