Beruflich Dokumente
Kultur Dokumente
bl
iq
u
01 B. P. : 1872 Abidjan 01
Tl. : 22 41 67 58 / 20 01 26 70
Fax : 22 41 52 97
info@codinorm.org
www.codinorm.org
Pr
oj
et
de
no
r
iv
oi
rie
nn
e
po
ur
en
qu
t
e
pu
Scurit socitaleSystmes de
management de la
continuit dactivitexigences
Arrt d'homologation n
du ..
1re dition
CT 18 : Scurit Socitale
PRESIDENCE
Organisme: Ministre de lIntrieur
Reprsentant : M. DJAMAN Djama Albert
SECRETARIAT TECHNIQUE
Organisme : CODINORM
Reprsentants : M. AHOTI YAPO Franois
M. KOFFI Jean Jacques
Pr
oj
et
de
bl
iq
u
pu
en
qu
t
e
po
ur
iv
oi
rie
nn
e
no
r
ELIAMON Noel
Lt YAO K. Marc
Lt TA Bou Bi
Lt KOFFI Brou Daniel
Lieutenant OUATTARA Aziz
S. Ch. LOBA Calixte
Kra K. Michel
Capitaine SYLLA Morry
OUFFOUE Honor
AGBO Patrik Wilfried
Ousmane TRAORE
ODOU Marie
BINI Yao
NDJEMON Djoman Mathias
OBROU Hermann
NZI FAUSTIN YAO
REPRESENTANTS
AERIA
AGEPE
AGEROUTE
BNETD
DIEM
DIEM
DIEM
DGH/MMPE
DIRECTION GENERALE DE
LA POLICE NATIONALE
DOUANES IVOIRIENNES
EMG/BSTIC
EMG/BSTIC
EMG/BSTIC
GSPM
GSPM
GESTOCI
GSPR
MINISTERE DE
LENVIRONNEMENT ET DU
DEVELOPPEMENT DURABLE
MINISTERE DE LA
CONSTRUCTION ET DE
LURBANISME
MINISTERE DES
TRANSPORTS
MINISTERE DES
TRANSPORTS
MINISTERE DU TOURISME
ONI
OSER
SOTRA
DIRECTION DE LHYGIENE
MEMBRES
DE MESSE Franck
NDRI Philippe
ALLA Augustin
LAUBOUET Augustin
BLAY Ne ASSIE Solange
MBO Olivier Daniel
BOUE Taha Bi prosper
YANGUE Herv
ATCI
ATCI
DOUA Pascal
MARINE NATIONALE
stre de la sant
Ministre
pu
ONI
en
qu
t
e
SICTA
po
ur
iv
oi
rie
nn
e
SARE Abdoulaye
KOUAME Nyancou
NDRI Philippe
oj
et
de
no
r
OUFFOUE Honor
S. Ch. LOBA Calixte
Pr
bl
iq
u
KAKOU THIERRY
KRAMO Brou Denis
NEBOUT ANICET
BINI Yao
YAYA Agui
ASSOHOUN Daniel
MINISTERE DE
LENVIRONNEMENT
MINISTERE DE
LENVIRONNEMENT
CIAPOL
MINISTERE DE LA
CONSTRUCTION
AGEPE
MINISTERE DE LA
CONSTRUCTION ET DE
LURBANISME
GSPM
GESTOCI
DOUANES IVOIRIENNES
EMG/BSTIC
EMG/BSTIC
EMG/BSTIC
MINISTERE DU TOURISME
Pr
oj
et
de
no
r
iv
oi
rie
nn
e
po
ur
en
qu
t
e
pu
bl
iq
u
Normalisation ;
Certification ;
Promotion de la gestion de la qualit ;
Information et documentation ;
Reprsentation de la Cte dIvoire dans les instances rgionales et
internationales de normalisation.
Pr
oj
et
de
no
r
iv
oi
rie
nn
e
po
ur
en
qu
t
e
pu
bl
iq
u
La Norme Ivoirienne NI ISO 22301 :2012 a le statut dune Norme Ivoirienne. Elle reproduit
Intgralement la norme internationale ISO 22301 :2012
ISO 22301:2012(F)
Sommaire
Page
Avant-propos ..................................................................................................................................................... iv
Introduction ............................................................................................................................................ v
Gnralits ............................................................................................................................................. v
Le modle Planifier-Dployer-Contrler-Agir (Plan-Do-Check-Act, PDCA) ................................... vi
lments du modle PDCA dans la prsente Norme internationale ............................................. vii
Termes et dfinitions
finitions ............................................................................................................................
.........................................................................................................
2
4
4.1
4.2
4.3
4.4
Contexte de l'organisation
organisation ...................................................................................................................
....................................................................................................
9
Comprhension de l'organisation et de son contexte....................................................................... 9
Comprhension des besoins et attentes des parties
rties intresses ................................................. 10
Dtermination du domaine dapplication du systme de management de la continuit
............................................................................................................................................... 10
d'activit ....................................................................................................................
Systme de management de la continuit d'activit
activit ....................................................................... 11
5
5.1
5.2
5.3
5.4
Leadership ....................................................................................................................
........................................................................................................................................... 11
Leadership et engagement ......................................................................................................
................................................................................................................. 11
Engagement de la direction ...............................................................................................................
....................................................................................................
12
Politique .....................................................................................................................
............................................................................................................................................... 13
Rles, responsabilits et autorits au sein de lo
lorganisation ........................................................ 13
6
6.1
6.2
Planification .................................................................................................................
......................................................................................................................................... 13
Actions face aux risques
ques et opportunits
opportunits .........................................................................................
...................................................................................... 13
Objectifs de continuit d'activit
d'activit et plans pour les
le atteindre ......................................................... 14
7
7.1
7.2
7.3
7.4
7.5
Support .......................................................................................................................
................................................................................................................................................. 14
Ressources ....................................................................................................................
.......................................................................................................................................... 14
Comptences ...................................................................................................................
....................................................................................................................................... 15
Sensibilisation
on .....................................................................................................................................
...............................................................................................................
15
Communication .................................................................................................................
................................................................................................................................... 15
Informations documentes.................................................................................................................
documentes.......................................................................................................
16
8
8.1
8.2
8.3
8.4
8.5
Fonctionnement................................................................................................................
................................................................................................................................... 17
Planification opration
oprationnelle et matrise ............................................................................................ 17
Analyse des impacts sur l'activit et apprciation du risque ......................................................... 18
Stratgie de continuit d'activit ....................................................................................................... 19
tablissement et mise en uvre de procdures de continuit d'activit ..................................... 20
Exercices et tests ................................................................................................................................ 23
9
9.1
9.2
9.3
10
10.1
10.2
Amlioration ......................................................................................................................................... 27
Non-conformit et actions correctives.............................................................................................. 27
Amlioration continue......................................................................................................................... 28
Pr
oj
et
d
no
rm
iv
oi
rie
nn
po
ur
en
qu
pu
bl
iq
ue
0
0.1
0.2
0.3
Bibliographie ..................................................................................................................................................... 29
iii
ISO 22301:2012(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fdration mondiale d'organismes nationaux de
normalisation (comits membres de l'ISO). L'laboration des Normes internationales est en gnral confie
aux comits techniques de l'ISO. Chaque comit membre intress par une tude a le droit de faire partie du
comit technique cr cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent galement aux travaux. L'ISO collabore troitement avec
la Commission lectrotechnique internationale (CEI) en ce qui concerne la normalisation lectrotechnique.
Les Normes internationales sont rdiges conformment aux rgles donnes dans les Directives ISO/CEI,
Partie 2.
pu
bl
iq
ue
La tche principale des comits techniques est d'laborer les Normes internationales. Les projets de Normes
internationales adopts par les comits techniques sont soumis aux comits membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comits membres
votants.
en
qu
po
ur
socitale.
L'ISO 22301 a t labore par le comit technique ISO/TC 223, Scurit socitale
Pr
oj
et
d
no
rm
iv
oi
rie
nn
La prsente version franaise de l'ISO 22301 correspond la version anglaise publie le 2012-05-15 et
corrige le 2012-06-15.
iv
ISO 22301:2012(F)
0 Introduction
0.1
Gnralits
La prsente Norme internationale spcifie les exigences relatives l'tablissement et au management d'un
Systme de Management de la Continuit d'Activit (SMCA) efficace.
Un SMCA souligne l'importance :
pu
bl
iq
ue
d'une comprhension des besoins de l'organisation et de la ncessit de mettre en place une politique et
des objectifs en matire de management de la continuit d'activit ;
rles et de mesures de gestion de la capacit globale
de la mise en uvre et de l'exploitation de contrles
d'une organisation grer des incidents perturbateurs ;
en
qu
ur
Comme tout autre systme de management, un SMCA intgre les lments cls suivants :
po
a) une politique ;
rie
nn
iv
oi
2)
la planification ;
3)
4)
5)
la revue de direction ; et
6)
l'amlioration ;
Pr
oj
et
d
no
rm
1)
ISO 22301:2012(F)
0.2
Pr
oj
et
d
no
rm
e
iv
oi
rie
nn
e
po
ur
e
nq
u
te
pu
bl
iq
ue
La Figure 1 illustre comment un SMCA prend pour entres les parties intresses, les exigences de
management de la continuit et comment, via les actions et les processus ncessaires, il produit des sorties
en matire de continuit (c'est--dire une continuit de l'activit gre) qui satisfont ces exigences.
vi
ISO 22301:2012(F)
tablir une politique, des objectifs, des cibles, des contrles, des processus et des
procdures de continuit d'activit pertinents pour amliorer la continuit d'activit afin
dobtenir des rsultats aligns avec les politiques et les objectifs globaux de l'organisation.
(tablir)
Dployer
(Mettre en place et en
uvre)
Contrler
(Superviser et rviser)
Agir
(Maintenir et amliorer)
pu
bl
iq
ue
0.3
Mettre en uvre et rendre oprationnels la politique, les contrles, les processus et les
procdures de continuit d'activit.
Dans le modle PDCA prsent dans le Tableau 1, les Articles 4 10 de la prsente Norme internationale
traitent des lments suivants :
ur
en
qu
l'Article 4 est une partie du thme Planifier . Il introduit les exigences ncessaires pour tablir le
contexte du SMCA tel qu'il s'applique l'organisation,
tion, ainsi que les besoins, les exigences et le
primtre.
nn
po
l'Article 5 est une partie du thme Planifier . Il rsume les exigences spcifiques au rle jou par la
Direction communique ses attentes l'organisation par le
Direction dans le SMCA, et la manire dont la Direction
biais d'une dclaration de politique.
rm
iv
oi
rie
l'Article 6 est une partie du thme Planifier . Il dcrit les exigences relatives l'tablissement des
cipes directeurs du SMCA dans son ensemble. Le contenu de l'Article 6
objectifs stratgiques et des principes
traitement des risques dcoulant de l'apprciation des
ne consiste pas mettre en place les solutions de tr
risques, ni tablir les objectifs de reprise issus de l'analyse dimpact sur l'activit.
oj
et
d
no
NOTE
Les exigences relatives l'analyse dimpact sur l'l'activit et au processus d'apprciation du risque sont
spcifies de manire dtaille l'Article 8.
Pr
l'Article 7 est une partie du thme Planifier . Il vient l'appui des oprations du SMCA relatives la
dtermination des comptences et l'tablissement de communications avec les parties intresses, sur
une base rcurrente/au besoin, tout en documentant, contrlant, tenant jour et conservant la
documentation requise.
l'Article 8 est une partie du thme Faire . Il dfinit les exigences relatives la continuit d'activit,
dtermine la manire de les traiter et dveloppe les procdures afin de grer un incident perturbateur.
l'Article 9 est une partie du thme Contrler . Il rsume les exigences ncessaires pour mesurer la
performance du management de la continuit d'activit, la conformit du SMCA la prsente Norme
internationale et aux attentes de la Direction, et recherche les retours d'information de la direction
concernant les attentes.
l'Article 10 est une partie du thme Agir . Il identifie et intervient sur une non-conformit du SMCA par
le biais d'une action corrective.
vii
Pr
e
oj
et
d
no
e
rm
nn
rie
oi
iv
ur
po
en
qu
pu
bl
iq
ue
NORME INTERNATIONALE
ISO 22301:2012(F)
Domaine dapplication
pu
bl
iq
ue
La prsente Norme internationale relative la gestion de la continuit d'activit spcifie les exigences pour
planifier, tablir, mettre en place et en uvre, contrler, rviser, maintenir et amliorer de manire continue
un systme de management document afin de se protger
otger des incidents perturbateurs, rduire leur
probabilit de survenance, s'y prparer, y rpondre
e et de sen rtablir lorsqu'ils surviennent.
qu
nn
po
ur
en
La prsente Norme internationale ne vise pas uniformiser la structure d'un systme de management de la
continuit d'activit (SMCA), mais permettre une organisation de concevoir un SMCA qui soit adapt
ses besoins et qui satisfasse aux exigences des parties intresses. Ces besoins sont faonns par les
exigences juridiques, rglementaires, organisationnelles et industrielles, les produits et les services, les
l'organisa
et les exigences des parties intresses.
processus employs, la taille et la structure de l'organisation
iv
oi
rie
La prsente Norme internationale est applicable tous les types et toutes les tailles d'organisations
souhaitant :
rm
no
oj
et
d
Pr
d) faire certifier/enregistrer so
son SMCA par un organisme de certification tiers et accrdit ; ou
e) raliser une autovaluation et une auto-dclaration de conformit la prsente Norme internationale.
La prsente Norme internationale peut tre utilise pour valuer la capacit d'une organisation satisfaire ses
propres besoins et obligations en matire de continuit.
Rfrences normatives
Les documents ci-aprs, dans leur intgralit ou non, sont des rfrences normatives indispensables
l'application du prsent document. Pour les rfrences dates, seule l'dition cite s'applique. Pour les
rfrences non dates, la dernire dition du document de rfrence s'applique (y compris les ventuels
amendements).
Il n'y a aucune rfrence normative.
ISO 22301:2012(F)
Termes et dfinitions
Pour les besoins du prsent document, les termes et dfinitions suivants s'appliquent.
3.1
activit
processus ou ensemble de processus excuts par une organisation (ou pour son compte) qui ralise ou aide
raliser un ou plusieurs produits et services
EXEMPLE
De tels processus comprennent la comptabilit, les centres d'appel, les technologies de l'information (IT),
la fabrication, la distribution.
3.2
audit
processus systmatique, indpendant et document permettant d'obtenir des preuves d'audit et de les
valuer de manire objective pour dterminer dans quelle mesure les critres d'audit sont satisfaits
NOTE 2
pu
bl
iq
ue
NOTE 1
Un audit peut tre interne (de premire partie) ou externe (de seconde ou tierce partie), et il peut tre combin
(s'il associe deux disciplines ou plus).
ur
en
qu
3.3
continuit d'activit
capacit de l'organisation poursuivre la fourniture de produits ou la prestation de services des niveaux
acceptables et pralablement dfinis aprs un incident perturbateur
po
no
rm
iv
oi
rie
nn
3.4
gestion de la continuit d'activit
processus de management holistique qui identifie les menaces potentielles pour une organisation ainsi que
les impacts que ces menaces, si elles se concrtisent, peuvent avoir sur les oprations lies l'activit de
l'organisation, et qui fournit un cadre pour construire la rsilience de l'organisation avec une capacit de
rponse efficace prservant les intrts de ses principal
principales parties prenantes, sa rputation, sa marque et ses
activits productrices de valeur
Pr
oj
et
d
3.5
systme de management de la continuit d'activit
SMCA
partie du systme de management global qui tablit, met en uvre, opre, contrle, rvise, maintient et
amliore la continuit d'activit
NOTE
Le systme de management comprend la structure organisationnelle, les politiques, les planifications, les
responsabilits, les procdures, les processus et les ressources.
3.6
plan de continuit d'activit
procdures documentes servant de guide aux organisations pour rpondre, rtablir, reprendre et retrouver
un niveau de fonctionnement prdfini la suite d'une perturbation
NOTE
Ce plan couvre gnralement les ressources, les services et les activits requis pour assurer la continuit des
fonctions critiques.
3.7
programme de continuit d'activit
processus continu de management et de gouvernance soutenu par la direction et dot de ressources
appropries pour mettre en uvre et maintenir le management de la continuit d'activit
ISO 22301:2012(F)
3.8
analyse dimpact sur l'activit
processus d'analyse des activits et de l'effet qu'une perturbation de l'activit peut avoir sur elles
[SOURCE : ISO 22300]
3.9
comptence
aptitude mettre en pratique des connaissances et un savoir-faire pour obtenir les rsultats escompts
3.10
conformit
satisfaction dune exigence
[SOURCE : ISO 22300]
pu
bl
iq
ue
3.11
amlioration continue
activit rcurrente visant amliorer les performances
ur
en
qu
3.12
correction
action visant liminer une non-conformit dtecte
po
oi
rie
nn
3.13
action corrective
action visant liminer la cause d'une non-conformit
-conformit et viter sa rapparition
no
rm
iv
NOTE
Dans le cas d'autres rsultats indsirables, il est ncessaire d'entreprendre une action visant rduire au
minimum ou liminer les causes et rduire leur impact ou viter leur rapparition. De telles actions ne relvent pas du
concept d'action corrective au sens de la prsente dfinition.
oj
et
d
Pr
3.14
document
support d'information et l'information qu'il contient
NOTE 1
Le support peut tre du papier, un disque informatique magntique, lectronique ou optique, une
photographie ou une configuration de rfrence, ou une combinaison de ceux-ci.
NOTE 2
Un ensemble de documents, par exemple des spcifications et des enregistrements, est souvent appel
documentation .
3.15
information documente
information qui ncessite d'tre contrle et tenue jour par une organisation et support sur lequel elle est
contenue
NOTE 1
source.
Les informations documentes peuvent se prsenter dans tout format et sur tout support et provenir de toute
ISO 22301:2012(F)
NOTE 2
3.16
efficacit
niveau de ralisation des activits planifies et dobtention des rsultats escompts
[SOURCE : ISO 22300]
pu
bl
iq
ue
3.17
vnement
occurrence ou changement d'un ensemble particulier de circonstances
Un vnement peut tre unique ou se reproduire et peut avoir plusieurs causes.
NOTE 2
NOTE 3
qu
NOTE 1
ur
en
NOTE 4
Un vnement sans consquences peut galement
nt tre appel quasi-accident ou incident ou
presque succs .
po
iv
oi
rie
nn
3.18
exercice
processus visant se former, valuer, mettre en pratique et amliorer les performances au sein d'une
organisation
oj
et
d
no
rm
Pr
NOTE 2
Un test est un type unique et particulier d'exercice qui intgre l'attente de la russite ou de l'chec dun
lment parmi les buts ou les objectifs de l'exercice planifi.
ISO 22301:2012(F)
3.21
partie intresse
partie prenante
personne ou organisation qui peut avoir une incidence sur, tre affecte ou se sentir affecte par une dcision
ou une activit
NOTE
Il peut s'agir d'un individu ou d'un groupe ayant un intrt dans les dcisions ou activits d'une organisation.
3.22
audit interne
audit ralis par, ou pour le compte de, lorganisation elle-mme pour la revue de direction et dautres besoins
internes et qui peut servir de base lautodclaration de conformit de lorganisation
NOTE
Dans de nombreux cas et en particulier pour les petites organisations, lindpendance peut tre dmontre
par labsence de responsabilit vis--vis de lactivit auditer.
pu
bl
iq
ue
3.23
dclenchement
acte consistant dclarer que les dispositions en matire
re de continuit d'activit d'une organisation doivent
tre mises en uvre afin de poursuivre la livraison de produits cls ou la prestation de services cls
en
qu
3.24
systme de management
ifs d'une organisation, utiliss pour tablir des politiques et des
ensemble d'lments corrls ou interactifs
objectifs, et de processus pour atteindre ces objectifs
ur
po
NOTE 1
rie
nn
NOTE 2
Les lments du systme comprennent la structure
structur organisationnelle, les rles et responsabilits, la
planification, le fonctionnement, etc.
iv
oi
NOTE 3
Le primtre d'un systme de management peut comprendre
co
l'ensemble de l'organisation, des fonctions
spcifiques et identifies
es de l'organisation, des sections spcifiques et identifies de l'organisation, ou une ou plusieurs
fonctions dans un groupe d'organisations.
Pr
NOTE
oj
et
d
no
rm
3.25
dure maximale dinterruption acceptable
DMIA [en anglais: MAO (maximum acceptable outage)]
temps ncessaire pour que les impacts dfavorables pouvant rsulter de la non fourniture d'un produit/service
ou de la non ralisation d'une activit,
deviennent inacceptables
ac
3.26
dure maximale tolrable de perturbation
DMTP [en anglais: MTPD (maximum tolerable period of disruption)]
temps ncessaire pour que les impacts dfavorables pouvant rsulter de la non fourniture d'un produit/service
ou de la non ralisation d'une activit, deviennent inacceptables
NOTE
3.27
mesurage
processus visant dterminer une valeur
3.28
objectif minimal de continuit d'activit
OMCA [en anglais: MBCO (minimum business continuity objective)]
niveau minimal de services et/ou de produits acceptable par l'organisation pour atteindre ses objectifs mtier
pendant une perturbation
ISO 22301:2012(F)
3.29
supervision
dtermination de l'tat d'un systme, d'un processus ou d'une activit
NOTE
Pour dterminer cet tat, il peut tre ncessaire de vrifier, surveiller ou observer avec une vision critique.
3.30
accord d'entraide mutuel
entente pralable entre deux entits ou plus par laquelle chacune d'elles s'engage fournir assistance aux
autres
[SOURCE : ISO 22300]
3.31
non-conformit
non-satisfaction dune exigence
pu
bl
iq
ue
t
qu
en
NOTE 1
3.32
objectif
rsultat atteindre
po
ur
oi
rie
nn
NOTE 3
Un objectif peut tre exprim autrement, par exemple sous forme de rsultat
escompt, de mission, de critre
r
oprationnel, en tant qu'objectif de scurit socitale ou par le biais d'un autre terme ayant un sens similaire (par exemple
finalit, but, cible).
no
rm
iv
NOTE 4
Dans le contexte des normes de systmes de management
de la scurit socitale, les objectifs encadrs par
managem
la norme sont tablis par l'organisation, en cohrence avec sa politique de scurit socitale, en vue d'obtenir des
rsultats spcifiques.
Pr
oj
et
d
3.33
organisation
personne ou groupe de personnes ayant leur propre structure fonctionnelle avec des responsabilits,
autorits et relations en vue d'atteindre ses objectifs
NOTE 1
Le concept d'organisation comprend, sans sy limiter, les notions de travailleur indpendant, compagnie,
socit, firme, entreprise, autorit, groupement, organisation caritative ou institution, ou une partie ou une combinaison
des organisations prcdentes, responsabilit limite ou sous un autre statut, de droit public ou priv.
NOTE 2
Pour les organisations ayant plusieurs units d'exploitation, une seule unit d'exploitation peut tre dfinie en
tant qu'organisation.
3.34
externaliser
passer un accord en vertu duquel une organisation externe effectue une partie de la fonction ou met en
uvre une partie du processus de lorganisation
NOTE
L'organisation externe n'est pas incluse dans le primtre du systme de management, contrairement la
fonction ou au processus externalis qui en fait bien partie.
ISO 22301:2012(F)
3.35
performance
rsultat mesurable
NOTE 1
NOTE 2
La performance peut concerner le management d'activits, de processus, de produits (y compris services), de
systmes ou dorganisations.
3.36
valuation de la performance
processus visant dterminer des rsultats mesurables
3.37
personnel
personnes travaillant pour l'organisation et sous le contrle de celle-ci
pu
bl
iq
ue
NOTE
Le concept de personnel inclut, sans toutefois s'y limiter, les employs, le personnel temps partiel et le
personnel intrimaire.
en
po
ur
3.39
procdure
manire spcifie d'effectuer une activit ou un processus
qu
3.38
politique
elles sont officiellement formules par sa direction
intentions et orientations d'une organisation, telles qu'elles
rie
nn
3.40
processus
ensemble d'activits corrles ou interactives qui transforme
des lments d'entre en lments de sortie
tr
no
rm
iv
oi
3.41
produits et services
rsultats fournis par une organisation au bnfice de ses clients, ses destinataires et les parties intresses
(par exemple des articles manufacturs, une assurance automobile et des soins infirmiers communautaires)
Pr
oj
et
d
3.42
activits prioritaires
activits auxquelles priorit doit tre donne la suite d'un incident afin d'en attnuer les impacts
NOTE
Les termes couramment utiliss pour dcrire les activits
de ce groupe comprennent : critiques, essentielles,
acti
vitales, urgentes et cls.
ISO 22301:2012(F)
3.45
objectif de dlai de reprise
RTO
dure aprs un incident durant laquelle :
un produit ou un service doit tre repris, ou
une activit doit tre reprise, ou
des ressources doivent tre rtablies
NOTE
Pour les produits, les services et les activits, l'objectif de dlai de reprise doit tre infrieur au temps quil
faudrait pour que les impacts dfavorables qui rsulteraient du dfaut de fourniture d'un produit/service ou de labsence de
ralisation d'une activit, deviennent inacceptables.
pu
bl
iq
ue
3.46
exigence
besoin ou attente qui est formul, gnralement implicite ou obligatoire
Une exigence spcifie est une exigence tablie, par exemple dans une information documente.
qu
NOTE 2
rie
oi
iv
rm
no
NOTE 1
3.48
risque
effet de lincertitude sur l'atteinte des objectifs
nn
po
ur
en
3.47
ressources
formations, de la technologie (y compris l'usine et
ensemble des biens, du personnel, des comptences, des informations,
rmations (qu'elles soient lectroniques ou non) dont
ses quipements), des locaux et des fournitures et informations
doit disposer une organisation, au moment requis, pour fonctionner et atteindre son objectif
Pr
oj
et
d
NOTE 2
Les objectifs peuvent avoir diffrents aspects (par exemple enjeux financiers, sanitaires et de scurit, ou
environnementaux) et peuvent concerner diffrents niveaux (stratgie,
projet, produit et processus ou organisation toute
(s
re exprim autrement, par exemple sous forme de rsultat escompt, de mission ou de critre
entire). Un objectif peut tre
oprationnel, en tant qu'objectif de continuit d'activit ou par le biais d'un autre terme ayant un sens similaire (par
exemple finalit, but, cible).
NOTE 3
Un risque est souvent caractris en rfrence des vnements potentiels (Guide ISO 73, 3.5.1.3) et des
consquences potentielles (Guide ISO 73, 3.6.1.3) ou une combinaison des deux.
NOTE 4
Un risque est souvent exprim en termes de combinaison des consquences d'un vnement (y compris des
changements de circonstances) et de sa vraisemblance (Guide ISO 73, 3.6.1.1).
NOTE 5
L'incertitude est l'tat, mme partiel, de dfaut d'information concernant la comprhension ou la connaissance
d'un vnement, de ses consquences ou de sa vraisemblance.
NOTE 6
Dans le contexte des normes de systmes de management de la continuit d'activit, les objectifs de
continuit dactivit sont fixs par l'organisation, en cohrence avec sa politique de continuit dactivit, en vue d'atteindre
des rsultats spcifiques. Lorsque les termes management du risque et des composantes du risque sappliquent, il
convient de l'associer aux objectifs de l'organisation qui comprennent, sans toutefois s'y limiter, les objectifs de continuit
d'activit spcifis en 6.2.
ISO 22301:2012(F)
3.49
apptence au risque
niveau et type de risque qu'une organisation est prte accepter
3.50
apprciation du risque
ensemble du processus d'identification des risques, d'analyse du risque et d'valuation du risque
[SOURCE : ISO Guide 73]
3.51
management du risque
activits coordonnes dans le but de diriger et piloter une organisation vis--vis du risque
[SOURCE : ISO Guide 73]
NOTE 2
qu
NOTE 1
pu
bl
iq
ue
3.52
test
mthode d'valuation ; moyen de dterminer la prsence, la qualit ou la vracit de quelque chose
en
rie
La direction a le pouvoir de dlguer son autorit et de fournir des ressources au sein de l'organisation.
oi
NOTE 1
nn
po
ur
3.53
direction
personne ou groupe de personnes qui dirige et contrle une organisation au plus haut niveau
rm
iv
NOTE 2
Si le primtre du systme de management couvre uniquement une partie de lorganisation, alors la direction
se rfre ceux qui dirigent et contrlent
ontrlent cette partie de lorganisation.
oj
et
d
no
3.54
vrification
confirmation, par des preuves, que les exigences spcifies ont t satisfaites
Pr
3.55
environnement de travail
ensemble des conditions dans lesquelles un travail est effectu
NOTE
Les conditions comprennent des facteurs physiques, sociaux, psychologiques et environnementaux (tels que
la temprature, les systmes de reconnaissance, l'ergonomie et la composition de l'air).
Contexte de l'organisation
ISO 22301:2012(F)
les activits de l'organisation, ses fonctions, ses services, ses produits, ses partenariats, les chanes
d'approvisionnement, ses relations avec les parties intresses, et l'impact potentiel li un incident
perturbateur ;
b)
les liens entre la politique de continuit d'activit et les objectifs de l'organisation ainsi que les autres
politiques, y compris sa stratgie globale de management du risque ; et
c)
2)
dfinir les facteurs externes et internes l'origine de l'incertitude qui engendre un risque ;
3)
4)
pu
bl
iq
ue
1)
qu
ur
en
4.2.1 Gnralits
po
Lors de l'tablissement
lissement de son SMCA, l'organisation doit dterminer :
les parties intresses qui sont concernes par le SMCA ; et
b)
iv
oi
rie
nn
a)
no
rm
Pr
oj
et
d
L'organisation
n doit tablir, mettre en uvre et tenir jjour une (des) procdure(s) lui permettant d'identifier,
d'avoir accs et d'valuer les exigences lgales et rgl
rglementaires applicables auxquelles elle se soumet, en
ce qui concerne la continuit de ses oprations, produits et services, ainsi que les intrts des parties
intresses concernes.
L'organisation doit sassurer que les exigences lgal
lgales, rglementaires ou toutes autres en vigueur
auxquelles elle est soumise sont prises en compte lorsqu'elle tablit, met en uvre et tient jour son SMCA.
L'organisation doit documenter ces informations et les tenir jour. Toute nouveaut ou modification des
exigences lgales et rglementaires et des autres exigences doit tre communique aux employs concerns
et toutes les autres parties intresses.
10
ISO 22301:2012(F)
b)
dfinir les exigences relatives au SMCA, compte tenu de la mission de l'organisation, de ses buts, de ses
obligations internes et externes (y compris celles
lles lies aux parties intresses) et de ses responsabilits
lgales et rglementaires ;
c)
d)
prendre en compte les besoins et les intrts des parties intresses, tels que les clients, les
investisseurs, les actionnaires, la chane d'approvisionnement, les suggestions
et besoins, les attentes et
suggesti
les intrts du public et/ou de la communaut (lorsque ncessaire) ; et
e)
po
ur
en
qu
pu
bl
iq
ue
a)
rm
iv
oi
rie
nn
no
Pr
oj
et
d
L'organisation doit tablir, mettre en uvre, tenir jour et continuellement amliorer un SMCA, y compris les
processus ncessaires et leurs interactions, c
conformment aux exigences de la prsente Norme
internationale.
Leadership
11
ISO 22301:2012(F)
pu
bl
iq
ue
en
qu
po
ur
NOTE 1
Dans la prsente Norme internationale,
nale, il convient d'interprter le terme mtier au sens large, cest--dire
comme se rfrant aux activits lies lexistence mme de l'organisation.
oi
rie
nn
La direction doit fournir des preuves de son engagement en faveur de l'tablissement, de la mise en uvre,
de l'exploitation, de la surveillance, de la revue, de la tenue jour et de l'amlioration du SMCA en :
iv
no
rm
oj
et
d
Pr
dsignant une ou plusieurs personnes en tant que responsables du SMCA, ces personnes ayant
assumer la responsabilit de la mise en uvre et de la
l'autorit et les comptences appropries pour assume
mise jour du SMCA.
NOTE 2
La Direction doit sassurer que les responsabilits et autorits des autres managers concerns sont attribues
et communiques au sein de lorganisation en :
dfinissant les critres d'acceptation des risques et les niveaux de risque acceptables ;
s'engageant activement dans des exercices et des tests ;
s'assurant que des audits internes du SMCA sont mens ;
menant des revues de direction du SMCA ; et
dmontrant son engagement uvrer pour l'amlioration continue.
12
ISO 22301:2012(F)
5.3 Politique
La Direction doit tablir une politique de continuit d'activit qui :
a)
b)
c)
d)
pu
bl
iq
ue
qu
faire l'objet d'une revue, des intervalles dfinis et en cas de modifications significatives, afin de
s'assurer qu'elle est toujours approprie.
en
L'organisation doit conserver des informations documentes sur la politique de continuit d'activit.
po
ur
rie
nn
iv
oi
b)
Planification
de
no
rm
a)
13
ISO 22301:2012(F)
dintgrer et de mettre en uvre ces actions au sein des processus du SMCA (voir 8.1) ; et
2)
pu
bl
iq
ue
b)
c)
tre mesurables ;
d)
e)
po
ur
en
qu
a)
rie
nn
L'organisation doit conserver des informations documentes sur les objectifs de continuit d'activit.
iv
oi
rm
no
de
Support
7.1 Ressources
L'organisation doit identifier et fournir les ressources ncessaires l'tablissement, la mise en uvre, la mise
jour et l'amlioration continue du SMCA.
14
ISO 22301:2012(F)
7.2 Comptences
L'organisation doit :
a)
dterminer les comptences ncessaires de la ou des personnes effectuant, sous son contrle, un travail
qui a une incidence sur ses performances ;
b)
sassurer que ces personnes sont comptentes sur la base d'une formation initiale ou professionnelle et
d'une exprience appropries ;
c)
le cas chant, mener des actions pour acqurir les comptences ncessaires et valuer l'efficacit des
actions entreprises ;
d)
pu
bl
iq
ue
NOTE
Les actions envisageables peuvent notamment inclure la formation, l'encadrement ou la raffectation du
personnel actuellement employ ; le recrutement ou la signature dun contrat avec des personnes comptentes.
7.3 Sensibilisation
b)
c)
d)
oi
rie
nn
po
ur
en
qu
a)
rm
iv
7.4 Communication
no
L'organisation doit dterminer les besoins de communication interne et externe pertinents pour le SMCA, et
notamment :
sur quels sujets communiquer ;
b)
c)
Pr
oj
et
d
a)
L'organisation doit tablir, mettre en uvre et tenir jour une ou des procdures pour :
la communication interne entre les parties intresses et les employs au sein de l'organisation ;
la communication externe avec les clients, les entits partenaires, les collectivits locales et les autres
parties intresses, y compris les mdias ;
la rception, la documentation et la rponse une communication manant de parties intresses ;
15
ISO 22301:2012(F)
l'adaptation et l'intgration d'un systme consultatif national ou rgional sur les menaces, ou d'un
systme quivalent, dans la planification et l'exploitation, le cas chant ;
la garantie d'une disponibilit des moyens de communication au cours d'un incident perturbateur ;
la facilitation d'une communication structure avec les autorits appropries et l'assurance de
l'interoprabilit des multiples organismes et personnel d'intervention, le cas chant ; et
le fonctionnement et les tests des capacits de communication devant tre utiliss pendant une
perturbation des communications normales.
NOTE
pu
bl
iq
ue
7.5.1 Gnralits
Le SMCA de l'organisation doit inclure :
qu
ur
en
NOTE
Ltendue des informations documentes dans le cadre d'un SMCA peut diffrer selon l'organisation en
fonction de :
la taille de l'organisation, ses domaines d'activit
t et ses processus, produits et services ;
iv
oi
rie
nn
po
rm
oj
et
d
no
b)
Pr
a)
b) qu'elles sont correctement protges (par exemple, de toute perte de confidentialit, utilisation
inapproprie ou perte d'intgrit).
16
ISO 22301:2012(F)
Pour matriser les informations documentes, l'organisation doit s'intresser aux activits suivantes, quand
elles lui sont applicables :
distribution, accs, rcupration et utilisation ;
stockage et conservation, y compris prservation de la lisibilit ;
matrise des modifications (par exemple, contrle des versions) ;
dure de conservation et suppression des informations ;
extraction et utilisation ;
prservation de la lisibilit (c'est--dire suffisamment claires pour tre lues) ; et
pu
bl
iq
ue
en
qu
Lorsque l'organisation met en place la matrise des informations documentes, elle doit s'assurer de
l'existence d'une protection adquate des informations documentes (par exemple protection contre la
compromission, la modification non autorise ou la suppression).
po
ur
NOTE
L'accs implique une dcision concernant l'autorisation
isation de consulter les informations documentes, ou
l'autorisation et l'autorit
orit de consulter et modifier les informations documentes, etc.
nn
Fonctionnement
rie
iv
oi
no
rm
L'organisation doit planifier, mettre en uvre et matriser les processus ncessaires la satisfaction des
exigences et la ralisation des actions dtermines en 6.1, en :
tablissant des critres pour ces processus ;
b)
c)
Pr
oj
et
d
a)
L'organisation doit matriser les modifications prvues, analyser les consquences des modifications
imprvues et, si ncessaire, mener des actions pour limiter tout effet ngatif.
L'organisation doit sassurer que les processus externaliss sont matriss.
17
ISO 22301:2012(F)
b)
tient compte des exigences lgales et de toutes les autres exigences auxquelles lorganisation se
soumet ;
c)
comprend une analyse systmatique, l'tablissement de priorits dans les traitements du risque et leurs
cots associs ;
d)
e)
pu
bl
iq
ue
a)
qu
en
rie
nn
po
ur
iv
oi
L'analyse des impacts sur l'activit doit comprendre les lments suivants :
fourniture de produits et la prestation de services ;
identification des activits de support la fournitu
b)
valuation des impacts dans le temps en cas de non ralisation de ces activits ;
c)
dtermination des dlais, par ordre de priorit, de rreprise de ces activits un niveau minimal acceptable
spcifi, en tenant compte de la dure au-del de laquelle les impacts d'une absence de reprise de ces
activits deviendraient inacceptables ; et
d)
identification des dpendances et des ressources de support de ces activits, y compris les fournisseurs,
les partenaires externes et les autres parties intresses concernes.
Pr
oj
et
d
no
rm
a)
18
ISO 22301:2012(F)
L'organisation doit :
a)
identifier les risques de perturbation pour les activits prioritaires de l'organisation, ainsi que pour les
processus, les systmes, les informations, les personnes, les biens, les partenaires externes et les autres
ressources qui les soutiennent ;
b)
c)
d)
identifier les traitements proportionns aux objectifs de continuit d'activit et lapptence au risque de
l'organisation.
pu
bl
iq
ue
NOTE
L'organisation doit avoir conscience que certaines obligations financires et gouvernementales exigent la
communication de ces risques divers niveaux de dtail. De plus, certains besoins socitaux peuvent galement justifier
un partage de ces informations un niveau de dtail appropri.
en
qu
La dtermination et le choix d'une stratgie doivent tre bass sur les conclusions de l'analyse dimpact sur
l'activit et de l'apprciation du risque.
ur
b)
stabiliser, poursuivre, reprendre ou rtablir les activits prioritaires ainsi que leurs dpendances et
ressources de support ; et
c)
iv
oi
rie
nn
po
a)
no
rm
de
L'organisation doit raliser des valuations de la ccapacit de continuit d'activit des fournisseurs.
8.3.2 tablissement des exigences concernant les ressources
L'organisation
n doit dterminer les exigences concernant les ressources pour mettre en uvre les stratgies
choisies. Les types de ressources considrs doivent comprendre, sans toutefois s'y limiter :
a)
les personnes ;
b)
c)
d)
e)
f)
le transport ;
g)
le financement ; et
h)
19
ISO 22301:2012(F)
b)
c)
L'organisation doit choisir et mettre en uvre des traitements du risque appropris en fonction de son
apptence au risque.
pu
bl
iq
ue
8.4.1 Gnralits
L'organisation doit tablir, mettre en uvre et tenir jour des procdures de continuit d'activit lui permettant
de grer un incident perturbateur et de poursuivre ses activits, selon les objectifs de reprise identifis lors de
l'analyse des impacts sur l'activit.
en
qu
po
ur
b)
c)
d)
e)
tre dveloppes sur la base d'hypothses tablies et d'une analyse des interdpendances ; et
f)
Pr
oj
et
d
no
rm
iv
oi
rie
nn
a)
b)
valuer la nature et l'tendue d'un incident perturbateur ainsi que son impact potentiel ;
c)
20
ISO 22301:2012(F)
d)
e)
disposer des ressources disponibles pour soutenir les processus et les procdures de gestion d'un
incident perturbateur afin d'en rduire au minimum l'impact ; et
f)
communiquer avec les parties intresses et les autorits ainsi qu'avec les mdias.
En considrant la scurit des personnes comme la premire priorit et en consultation avec les parties
intresses concernes, lorganisation doit dcider de communiquer ou non, en externe, sur ces risques et
impacts significatifs et tayer sa dcision par des documents. Si l'organisation dcide de communiquer, elle
doit alors tablir et mettre en uvre des procdures pour cette communication externe, des alertes et des
avertissements auprs des mdias si besoin.
8.4.3 Avertissement et communication
pu
bl
iq
ue
b)
c)
d)
e)
f)
g)
no
rm
iv
oi
rie
nn
po
ur
en
qu
a)
oj
et
d
Pr
21
ISO 22301:2012(F)
les rles et les responsabilits dfinis des personnes et des quipes ayant autorit pendant et aprs un
incident ;
b)
c)
les dtails permettant de grer les consquences immdiates d'un incident perturbateur en tenant
dment compte
1)
2)
3)
pu
bl
iq
ue
en
les dtails de la rponse de l'organisation aux mdias la suite d'un incident, y compris :
une stratgie de communication ;
2)
3)
4)
iv
oi
rie
nn
po
ur
1)
f)
qu
no
rm
oj
et
d
les objectifs ;
Pr
22
ISO 22301:2012(F)
8.4.5 Reprise
L'organisation doit disposer de procdures documentes lui permettant de rtablir et de reprendre ses
activits en sappuyant sur des mesures temporaires adoptes pour rpondre aux exigences mtier
habituelles aprs un incident.
b)
reposent sur des scnarios appropris qui sont bien planifis avec des buts et des objectifs clairement
dfinis ;
c)
cumuls au fil du temps, valident l'ensemble de ses dispositions en matire de continuit d'activit, en
impliquant les parties concernes ;
d)
e)
f)
g)
sont mens des intervalles planifis et lorsque des changements significatifs interviennent au sein de
l'organisation ou dans l'environnement dans lequel elle opre.
no
rm
iv
oi
rie
nn
po
ur
en
qu
pu
bl
iq
ue
a)
9.1.1 Gnralits
oj
et
d
Pr
L'organisation
n doit dterminer :
a)
b)
les mthodes de supervision, de mesurage, d'analyse et d'valuation, selon le cas, pour assurer la
validit des rsultats ;
c)
d)
Lorganisation doit conserver des informations documentes pertinentes comme preuves des rsultats.
L'organisation doit valuer les performances du SMCA, ainsi que lefficacit du SMCA.
23
ISO 22301:2012(F)
pu
bl
iq
ue
qu
d'enregistrer les donnes et les rsultats de la surveillance et des mesures pour faciliter les actions
correctives ultrieures.
po
ur
en
NOTE
Les performances insuffisantes peuvent comprendre une non-conformit, des quasi-accidents, des fausses
alertes et des incidents rels.
L'organisation
procdures et de ses capacits en matire de continuit
sation doit mener des valuations de ses procd
d'activit pour s'assurer qu'elles demeurent pertinentes, adquates et efficaces ;
b)
ces valuations doivent tre ralises par le biais de revues priodiques, d'exercices, de tests, de
rapports post-incident et d'valuations des performances. Les changements significatifs intervenus
doivent tre pris en compte en temps opportun dans la ou les procdures ;
c)
d)
Pr
oj
et
d
no
rm
iv
oi
rie
nn
a)
Lorsqu'un incident perturbateur se produit et entrane l'activation de ses procdures de continuit d'activit,
l'organisation doit procder une revue aprs l'incident et enregistrer les rsultats.
est conforme :
1)
2)
24
ISO 22301:2012(F)
L'organisation doit :
planifier, tablir, mettre en uvre et tenir jour un (des) programme(s) d'audit, couvrant notamment la
frquence, les mthodes, les responsabilits, les exigences de planification et de comptes rendus. Le(s)
programme(s) daudit doi(ven)t tenir compte de l'importance des processus concerns et des rsultats
des audits prcdents,
dfinir les critres daudit et le primtre de chaque audit ;
slectionner des auditeurs et raliser des audits pour assurer l'objectivit et l'impartialit du processus
d'audit ;
sassurer quil est rendu compte des rsultats des audits la Direction concerne ; et
pu
bl
iq
ue
conserver des informations documentes comme preuves de la mise en uvre du programme daudit et
des rsultats daudit.
qu
po
ur
en
Le management responsable du domaine audit doit assurer que toutes les corrections et actions correctives
ncessaires sont entreprises sans dlai indu pour liminer les non-conformits dtectes et leurs causes. Les
s entreprises et le compte-rendu des rsultats de cette
actions de suivi doivent inclure la vrification des actions
vrification.
rie
nn
iv
oi
des intervalles planifis, la Direction doit procder la rvision du SMCA de lorganisation, des intervalles
planifis afin de sassurer quil est toujours appropri, adapt et efficace.
oj
et
d
a)
no
rm
Pr
2)
3)
25
ISO 22301:2012(F)
Les revues de direction doivent prendre en compte les performances de l'organisation, y compris :
le suivi des actions dcides lors des revues de direction prcdentes ;
la ncessit d'apporter des modifications au SMCA, y compris la politique et les objectifs ;
les axes damlioration ;
les rsultats des audits et des rvisions du SMCA, y compris ceux des fournisseurs et partenaires cls le
cas chant ;
les techniques, les produits ou les procdures, qui pourraient tre utiliss dans lorganisation pour
amliorer les performances et l'efficacit du SMCA ;
l'tat d'avancement des actions correctives ;
pu
bl
iq
ue
les risques ou les questions qui n'ont pas t traits de manire approprie lors d'une prcdente
valuation des risques ;
en
qu
ur
l'adquation de la politique ;
po
rie
nn
iv
oi
no
rm
Les conclusions de la revue de direction doivent inclure les dcisions relatives aux axes d'amlioration
ncessaires apporter au SMCA, et comprendre les lments
continue et aux ventuels changements ncessaire
suivants :
oj
et
d
Pr
26
1)
2)
3)
4)
5)
obligations contractuelles ;
6)
7)
8)
ISO 22301:2012(F)
10 Amlioration
10.1 Non-conformit et actions correctives
a)
pu
bl
iq
ue
2)
qu
po
ur
en
1)
nn
2)
3)
4)
5)
6)
7)
de
no
rm
iv
oi
rie
1)
27
ISO 22301:2012(F)
Les actions correctives doivent tre la mesure des effets des non-conformits rencontres.
L'organisation doit conserver des informations documentes comme preuves :
de la nature des non-conformits et de toute action subsquente ; et
des rsultats de toute action corrective.
Pr
oj
et
d
no
rm
iv
oi
rie
nn
po
ur
en
qu
pu
bl
iq
ue
NOTE
L'organisation peut utiliser les processus du SMCA tels que le leadership, la planification et l'valuation des
performances, afin d'aboutir une amlioration.
28
ISO 22301:2012(F)
Bibliographie
[2]
ISO 14001, Systmes de management environnemental Exigences et lignes directrices pour son
utilisation
[3]
[4]
[5]
[6]
ISO/PAS 22399, Scurit socitale Lignes directrices pour tre prpar un incident et gestion de
continuit oprationnelle.
[7]
ISO/CEI 24762, Technologies de l'information Techniques de scurit Lignes directrices pour les
services de secours en cas de catastrophe dans les technologies de l'information et des
communications
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
SI 24001, Security and continuity management systems Requirements and guidance for use
use,
Standards Institution of Israel
[16]
[17]
Business Continuity Plan Drafting Guideline, Ministry of Economy, Trade and Industry (Japan), 2005
[18]
Business Continuity Guideline, Central Disaster Management Council, Cabinet Office, Government of
Japan, 2005
[19]
[20]
[21]
ANSI/ASIS/BSI BCM.01, Business Continuity Management Systems: Requirements with Guidance for
Use
de
scurit
Systmes
de
Pr
oj
et
d
no
rm
iv
oi
rie
nn
po
ur
en
qu
pu
bl
iq
ue
[1]
29
Pr
oj
et
d
no
rm
iv
oi
rie
nn
po
ur
en
qu
pu
bl
iq
ue
ISO 22301:2012(F)
ICS 03.100.01
Prix bas sur 24 pages