Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines to establish and monitor a protection plan and its implementation

This document gives guidelines for assessing product security-related threats, risks and countermeasures by developing a suitable protection plan, supporting its implementation and monitoring its effectiveness after implementation. This includes consideration of impacts and modifications to, for example, product life cycle, supply chain, manufacturing, data management, brand perception and costs so as to adapt the protection plan accordingly. This document is applicable to all types and sizes of organizations that want to ensure authenticity and integrity in order to support the trustworthiness of products, including documents, data and services related to products. This document supports organizations setting up a process to assess risks and to select and combine individual measures for developing a product protection plan.

Sécurité et résilience — Authenticité, intégrité et confiance pour les produits et les documents — Lignes directrices pour l'établissement et la surveillance d'un plan de prévention et sa mise en œuvre

Le présent document donne des lignes directrices pour l'appréciation des menaces, des risques et des contre-mesures liés à la sécurité du produit, en développant un plan de prévention adéquat, en aidant à sa mise en œuvre et en surveillant son efficacité après la mise en œuvre. Cela inclut la prise en compte des impacts et des modifications, par exemple, du cycle de vie du produit, de la chaîne d'approvisionnement, de la fabrication, de la gestion des données, de la perception de la marque et des coûts, de manière à les adapter au plan de prévention. Le présent document s'applique aux organismes de tous types et de toutes tailles souhaitant garantir l'authenticité et l'intégrité de leurs produits, notamment les documents, données et services liés aux produits, afin de préserver leur fiabilité. Le présent document aide les organismes à élaborer un processus pour l'appréciation des risques et pour choisir et combiner les mesures individuelles, afin de développer un plan de prévention pour les produits.

General Information

Status
Published
Publication Date
25-Oct-2020
Current Stage
6060 - International Standard published
Start Date
26-Oct-2020
Due Date
05-Mar-2020
Completion Date
26-Oct-2020
Ref Project

Buy Standard

Standard
ISO 22384:2020 - Security and resilience -- Authenticity, integrity and trust for products and documents -- Guidelines to establish and monitor a protection plan and its implementation
English language
16 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 22384:2020 - Sécurité et résilience -- Authenticité, intégrité et confiance pour les produits et les documents -- Lignes directrices pour l'établissement et la surveillance d'un plan de prévention et sa mise en œuvre
French language
18 pages
sale 15% off
Preview
sale 15% off
Preview
Draft
ISO/FDIS 22384:Version 24-apr-2020 - Security and resilience -- Authenticity, integrity and trust for products and documents -- Guidelines to establish and monitor a protection plan and its implementation
English language
16 pages
sale 15% off
Preview
sale 15% off
Preview
Draft
ISO/FDIS 22384:Version 29-avg-2020 - Sécurité et résilience -- Authenticité, intégrité et confiance pour les produits et les documents -- Lignes directrices pour l'établissement et la surveillance d'un plan de prévention et sa mise en ouvre
French language
18 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)

INTERNATIONAL ISO
STANDARD 22384
First edition
2020-10
Security and resilience — Authenticity,
integrity and trust for products and
documents — Guidelines to establish
and monitor a protection plan and its
implementation
Sécurité et résilience — Authenticité, intégrité et confiance pour les
produits et les documents — Lignes directrices pour l'établissement et
la surveillance d'un plan de prévention et sa mise en œuvre
Reference number
ISO 22384:2020(E)
©
ISO 2020

---------------------- Page: 1 ----------------------
ISO 22384:2020(E)

COPYRIGHT PROTECTED DOCUMENT
© ISO 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved

---------------------- Page: 2 ----------------------
ISO 22384:2020(E)

Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 General . 2
5 Generic procedure model . 2
5.1 Establish project team . 2
5.2 Identify assets to protect . 3
5.3 Define protection objectives . . 3
5.4 Perform risk assessment . 4
5.5 Specify selection criteria for protection measures . 4
5.6 Select appropriate measures . 5
5.7 Combine and reconcile measures for protection plan . 7
5.8 Specify protection plan and prepare implementation . 7
5.9 Validate protection plan . 7
5.10 Implement protection plan . 8
5.11 Evaluate effectiveness of deployed protection plan . 8
5.12 Maintain protection plan . 9
Annex A (informative) Common product-related threats and risks .10
Annex B (informative) Product life cycle view .13
Annex C (informative) Supply chain view .15
Bibliography .16
© ISO 2020 – All rights reserved iii

---------------------- Page: 3 ----------------------
ISO 22384:2020(E)

Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso .org/
iso/ foreword .html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
iv © ISO 2020 – All rights reserved

---------------------- Page: 4 ----------------------
ISO 22384:2020(E)

Introduction
Due to the increasing level of interconnection of the global economy and the growing availability of
complex manufacturing processes as well as globalized trade relations, there is a growing motivation
and ability for counterfeiting, unfair trade and other product-related threats. This is shown, for example,
by the continually growing number of product confiscations related to brand piracy and counterfeiting.
To become more resilient, manufacturers have to introduce organizational and technical measures as
part of a protection plan to withstand physical or digital attacks and other product-related threats.
In order to introduce protection measures in a precise and effective way, organizations should
implement a systematic evaluation process for the selection of appropriate organizational, technical
and legal measures, depending on the respective threat. Protection measures offered on the market
can represent only a partial solution.
For an effective and long-term protection, a reasonable and systematic combination of individual
measures, and their proper evaluation and implementation is necessary. The procedure can be
represented as a Plan-Do-Check-Act (PDCA) cycle, see Figure 1.
Figure 1 — Generic procedure model for the implementation of a protection plan (PDCA)
© ISO 2020 – All rights reserved v

---------------------- Page: 5 ----------------------
ISO 22384:2020(E)

Product-related threats affect rights owners, manufacturers, distributors, service providers and
consumers in many ways. The potential damage of such threats includes:
— loss of innovation leadership;
— decreased sales;
— damage to reputation or brand equity;
— loss of jobs;
— tax losses;
— danger to the health and safety of consumers;
— environmental issues.
vi © ISO 2020 – All rights reserved

---------------------- Page: 6 ----------------------
INTERNATIONAL STANDARD ISO 22384:2020(E)
Security and resilience — Authenticity, integrity and trust
for products and documents — Guidelines to establish and
monitor a protection plan and its implementation
1 Scope
This document gives guidelines for assessing product security-related threats, risks and
countermeasures by developing a suitable protection plan, supporting its implementation and
monitoring its effectiveness after implementation.
This includes consideration of impacts and modifications to, for example, product life cycle, supply
chain, manufacturing, data management, brand perception and costs so as to adapt the protection plan
accordingly.
This document is applicable to all types and sizes of organizations that want to ensure authenticity and
integrity in order to support the trustworthiness of products, including documents, data and services
related to products.
This document supports organizations setting up a process to assess risks and to select and combine
individual measures for developing a product protection plan.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Security and resilience — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at http:// www .electropedia .org/
3.1
brand
intangible asset, including but not limited to, names, terms, signs, symbols, logos and designs, or a
combination of these, intended to identify goods, services or entities, or a combination of these,
creating distinctive images and associations in the minds of stakeholders, thereby generating
economic benefit/values
[SOURCE: ISO 20671:2019, 3.1]
3.2
brand piracy
use of a brand (3.1) without the brand owner’s permission
© ISO 2020 – All rights reserved 1

---------------------- Page: 7 ----------------------
ISO 22384:2020(E)

3.3
counterfeiting
act of simulating, reproducing or modifying an asset without authorization
Note 1 to entry: Assets can be a material good or its packaging, related documents, data and services.
3.4
plagiarism
inadmissible reproduction of a product without using the brand (3.1) of the original equipment
manufacturer with the aim to imitate the characteristics of the product
3.5
protection plan
set of coordinated measures to treat risks to an asset or a set of assets
4 General
The organization should follow the generic procedure for the preparation of a protection plan. The
model given in Figure 1 provides a framework for such a generic procedure. The design of the individual
steps, explained in detail in Clause 5, depends on the respective field of application.
The steps illustrated do not necessarily have to be carried out successively. The steps can partially
overlap and be followed in an iterative way.
5 Generic procedure model
5.1 Establish project team
The organization should set up the work on developing product protection measures as a project.
The organization should select a project team that includes internal stakeholders from all stages in the
product life cycle. This can include personnel from the following areas:
— design;
— development;
— procurement;
— manufacturing/assembly;
— information technology (IT);
— operational technology (OT);
— IT-security/OT-security;
— logistics;
— sales;
— marketing;
— warehousing;
— legal;
— other relevant stakeholders.
2 © ISO 2020 – All rights reserved

---------------------- Page: 8 ----------------------
ISO 22384:2020(E)

Any external support should:
— be involved on a need-to-know basis, depending on the sensitivity of the issue;
— provide relevant experience in assessing or evaluating threats and risks;
— support the development of effective measures.
The organization should:
— decide where the project team is located within the organization (e.g. marketing, manufacturing,
design, IT);
— appoint a team leader responsible for meeting timelines and budget;
— apply project management best practices.
5.2 Identify assets to protect
The organization should specify what assets need protection. These assets can include:
— know-how;
— products;
— procedures;
— licensing models;
— consumer health and safety;
— relationships with stakeholders;
— operating concept;
— liability claims;
— image/reputation/brand value.
The organization should prioritize the protection of the assets according to its strategy and any
applicable regulations, while considering the scope of the products and market need, as well as the
timeframe.
5.3 Define protection objectives
The organization should:
— define and quantitively describe the objectives of the protection plan;
— where possible, provide protection objectives that can be quantitatively measurable;
— use the objectives to evaluate the success of the protection plan.
Protection objectives can be of a different nature and can include:
— legal and intellectual property (IP)-protection;
— compliance with regulations and conformity to standards;
— asset integrity;
— consumer protection;
— reputation and competitive advantage;
© ISO 2020 – All rights reserved 3

---------------------- Page: 9 ----------------------
ISO 22384:2020(E)

— cyber resilience;
— business and financial aspects;
— compliance with requirements from stakeholders;
— contractual compliance by stakeholders.
The organization should use methods to identify and define the objectives (e.g. Delphi, Design Thinking).
5.4 Perform risk assessment
The organization should assess the product-related threats and risks in detail by considering Annex A.
NOTE A risk assessment can be supported by standardized methods as described in IEC 31010, e.g. SWOT
analysis, FMEA, balanced score card or other methods. For fraud-specific assessment, see ISO 22380.
The organization should identify and map threats and risks in relation to the following domains:
— time (expected product life);
— location (country of production, distribution);
— product life cycle (see Annex B);
— product supply chain (see Annex C).
5.5 Specify selection criteria for protection measures
The organization should specify criteria for the selection of suitable protection measures at an early
stage. The set of measures should:
— be suitable to achieve the defined protection objectives;
— supplement the already available protection plan to allow the acceptance of all residual risks after
their implementation;
— observe framework conditions such as feasibility and available resources;
— be verifiable from an effectiveness and efficiency point of view.
Selection criteria should be prioritized and can include:
— sourcing of protection elements and related tools;
— compatibility with existing measures;
— compliance with regulations and conformity to standards;
— cost;
— evolutionary path (upgradability);
— existing references;
— impact on brand reputation and perception;
— impact on manufacturing and distribution;
— integration constraints;
— scalability;
— security robustness of technology;
4 © ISO 2020 – All rights reserved

---------------------- Page: 10 ----------------------
ISO 22384:2020(E)

— technical feasibility;
— time to market;
— usability;
— risk criteria and metrics.
NOTE Measures can be of an organizational, technical or legal nature.
The organization should consider that the efficacy of security mechanisms can be temporary and
certain security technologies can become obsolete, e.g. cryptographic cipher suites.
5.6 Select appropriate measures
The organization should select appropriate measures for each identified action required along the value
chain. Measures can be of different categories (see Table 1). Measures can interplay in certain ways (see
Figure 2).
Table 1 — Classification of measures
Measure category Description Example
Strategic Long-term oriented, early in Products containing valuable know-how are
product engineeri
...

NORME ISO
INTERNATIONALE 22384
Première édition
2020-10
Sécurité et résilience — Authenticité,
intégrité et confiance pour les
produits et les documents — Lignes
directrices pour l'établissement et la
surveillance d'un plan de prévention
et sa mise en œuvre
Security and resilience — Authenticity, integrity and trust for
products and documents — Guidelines to establish and monitor a
protection plan and its implementation
Numéro de référence
ISO 22384:2020(F)
©
ISO 2020

---------------------- Page: 1 ----------------------
ISO 22384:2020(F)

DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés

---------------------- Page: 2 ----------------------
ISO 22384:2020(F)

Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Généralités . 2
5 Modèle de procédure générique . 2
5.1 Création de l'équipe du projet . 2
5.2 Identification des actifs à protéger . 3
5.3 Définition des objectifs de protection . 3
5.4 Réalisation de l'appréciation du risque . 4
5.5 Spécification des critères de sélection des mesures de protection . 4
5.6 Choix des mesures appropriées . 5
5.7 Combinaison et rapprochement des mesures du plan de prévention . 8
5.8 Spécification du plan de prévention et préparation de sa mise en œuvre . 8
5.9 Validation du plan de prévention . 8
5.10 Mise en œuvre du plan de prévention . 8
5.11 Évaluation de l'efficacité du plan de prévention déployé. 9
5.12 Maintien du plan de prévention . 9
Annexe A (informative) Menaces et risques courants liés aux produits .11
Annexe B (informative) Vue du cycle de vie du produit .14
Annexe C (informative) Vue de la chaîne d'approvisionnement .17
Bibliographie .18
© ISO 2020 – Tous droits réservés iii

---------------------- Page: 3 ----------------------
ISO 22384:2020(F)

Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
iv © ISO 2020 – Tous droits réservés

---------------------- Page: 4 ----------------------
ISO 22384:2020(F)

Introduction
Du fait d'un niveau d'interconnexion toujours plus important au sein de l'économie mondiale et de la
disponibilité croissante de procédés de fabrication complexes, ainsi que des relations commerciales
mondialisées, les motivations et les aptitudes relatives à la contrefaçon, au commerce déloyal et
à d'autres menaces concernant les produits sont en pleine croissance. La constante augmentation
du nombre de confiscations de produits liées à des piratages de marques ou à des contrefaçons en
est un exemple. Afin de devenir plus résilients, les fabricants doivent mettre en place des mesures
administratives et techniques dans le cadre d'un plan de prévention visant à résister aux attaques
physiques et numériques, ainsi qu'aux autres menaces liées aux produits.
Pour une mise en place précise et efficace des mesures de protection, il convient que les organismes
mettent en œuvre un processus d'évaluation systématique lors du choix des mesures administratives,
techniques et juridiques, en fonction de la menace visée. Les mesures de protection proposées sur le
marché ne peuvent constituer qu'une solution partielle.
Pour une prévention efficace à long terme, il est nécessaire qu'une combinaison raisonnable et
systématique de mesures individuelles soit associée à une évaluation et à une mise en œuvre adéquates.
La procédure peut être représentée sous la forme d'un cycle PDCA (Plan-Do-Check-Act) (voir Figure 1).
Figure 1 — Procédure générique type pour la mise en œuvre d'un plan de prévention (PDCA)
© ISO 2020 – Tous droits réservés v

---------------------- Page: 5 ----------------------
ISO 22384:2020(F)

Les menaces liées aux produits affectent les propriétaires des droits, les fabricants, les distributeurs,
les prestataires de services et les consommateurs de nombreuses manières. Les préjudices possibles
dus à ces menaces comprennent:
— la perte de position dominante en matière d'innovation;
— la baisse des ventes;
— les préjudices pour la réputation ou la valeur de la marque;
— les pertes d'emploi;
— les pertes fiscales;
— les dangers pour la santé et la sécurité des consommateurs;
— les problèmes environnementaux.
vi © ISO 2020 – Tous droits réservés

---------------------- Page: 6 ----------------------
NORME INTERNATIONALE ISO 22384:2020(F)
Sécurité et résilience — Authenticité, intégrité et confiance
pour les produits et les documents — Lignes directrices
pour l'établissement et la surveillance d'un plan de
prévention et sa mise en œuvre
1 Domaine d'application
Le présent document donne des lignes directrices pour l'appréciation des menaces, des risques et des
contre-mesures liés à la sécurité du produit, en développant un plan de prévention adéquat, en aidant à
sa mise en œuvre et en surveillant son efficacité après la mise en œuvre.
Cela inclut la prise en compte des impacts et des modifications, par exemple, du cycle de vie du produit,
de la chaîne d'approvisionnement, de la fabrication, de la gestion des données, de la perception de la
marque et des coûts, de manière à les adapter au plan de prévention.
Le présent document s'applique aux organismes de tous types et de toutes tailles souhaitant garantir
l'authenticité et l'intégrité de leurs produits, notamment les documents, données et services liés aux
produits, afin de préserver leur fiabilité.
Le présent document aide les organismes à élaborer un processus pour l'appréciation des risques et
pour choisir et combiner les mesures individuelles, afin de développer un plan de prévention pour les
produits.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l'ISO 22300 ainsi que les suivants
s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
3.1
marque
actifs incorporels, y compris, mais sans s'y limiter les noms, les termes, les signes, les symboles, les
logos et le design, ou une combinaison de ces éléments, dans le but d'identifier des biens, des services ou
des entités, ou une combinaison de ces éléments, en créant des images/associations qui les distinguent
de façon à ce qu'ils soient ancrés dans l'esprit des parties prenantes, générant ainsi des avantages
économiques/de la valeur
[SOURCE: ISO 20671:2019, 3.1 modifié]
© ISO 2020 – Tous droits réservés 1

---------------------- Page: 7 ----------------------
ISO 22384:2020(F)

3.2
piratage de marque
utilisation d'une marque (3.1) sans permission de son propriétaire
3.3
contrefaçon
acte de simuler, reproduire à l'identique ou modifier un actif sans autorisation
Note 1 à l'article: Les actifs peuvent être des biens matériels ou leurs emballages, des documents attachés, des
données et des services.
3.4
plagiat
reproduction inadmissible d'un produit sans utiliser la marque (3.1) du fabricant d'origine dans le but
d'imiter les caractéristiques du produit
3.5
plan de prévention
ensemble de mesures coordonnées pour traiter les risques visant un actif ou un ensemble d'actifs
4 Généralités
Il convient que l'organisme suive la procédure générique pour la préparation de son plan de prévention.
Le modèle donné en Figure 1 fournit un cadre pour cette procédure générique. La conception de chaque
étape, expliquée en détails à l'Article 5, dépend du champ d'application concerné.
Les étapes présentées ne doivent pas nécessairement être suivies l'une après l'autre. Elles peuvent se
chevaucher partiellement et être suivies de manière itérative.
5 Modèle de procédure générique
5.1 Création de l'équipe du projet
Il convient que l'organisme coordonne le travail d'élaboration des mesures de protection des produits
sous la forme d'un projet.
Il convient que l'organisme mette en place une équipe de projet qui inclue des acteurs internes
appartenant à toutes les étapes du cycle de vie du produit. Il peut s'agir de personnel des services
suivants:
— conception;
— développement;
— approvisionnement;
— fabrication/assemblage;
— technologies de l'information (TI);
— technologies opérationnelles (TO);
— sécurité des TI/sécurité des TO;
— logistique;
— ventes;
— marketing;
— entrepôts;
2 © ISO 2020 – Tous droits réservés

---------------------- Page: 8 ----------------------
ISO 22384:2020(F)

— juridique;
— autres parties prenantes pertinentes.
Il convient que l'aide extérieure:
— soit impliquée selon le principe du besoin d'en connaître, en fonction de la sensibilité du sujet;
— apporte une expérience pertinente en matière d'appréciation ou d'évaluation des menaces et des
risques;
— soutienne l'élaboration de mesures efficaces.
Il convient que l'organisme:
— décide du lieu d'implantation de l'équipe du projet au sein de l'organisme (par exemple, marketing,
fabrication, conception, TI);
— désigne un chef d'équipe responsable du respect des délais et du budget;
— applique les meilleures pratiques en matière de management de projet.
5.2 Identification des actifs à protéger
Il convient que l'organisme spécifie quels actifs ont besoin d'une protection. Ces actifs peuvent inclure
les éléments suivants:
— des savoir-faire;
— des produits;
— des procédures;
— des modèles d'octroi de licences;
— la santé et la sécurité des consommateurs;
— les relations avec les parties prenantes;
— des concepts de fonctionnement;
— des mises en cause de la responsabilité;
— l'image/la réputation/la valeur de la marque.
Il convient que l'organisme fixe un ordre de priorité pour la protection des actifs selon la stratégie
d'entreprise et les réglementations applicables, en tenant compte de l'éventail de produits et des besoins
du marché, ainsi que du calendrier établi.
5.3 Définition des objectifs de protection
Il convient que l'organisme:
— définisse et décrive d'un point de vue quantitatif les objectifs du plan de prévention;
— si possible, fixe des objectifs de protection mesurables d'un point de vue quantitatif;
— utilise les objectifs pour évaluer le succès du plan de prévention.
Les objectifs de protection peuvent être de différentes natures et inclure:
— une protection juridique et une protection de la propriété intellectuelle;
— le respect de la réglementation et la conformité aux normes;
© ISO 2020 – Tous droits réservés 3

---------------------- Page: 9 ----------------------
ISO 22384:2020(F)

— l'intégrité des actifs;
— la protection des consommateurs;
— la réputation et les avantages concurrentiels;
— la cyberrésilience;
— les aspects commerciaux et financiers;
— le respect des exigences des parties prenantes;
— le respect par les parties prenantes de leurs engagements contractuels.
Il convient que l'organisme utilise des méthodes permettant d'identifier et de définir les objectifs (par
exemple, Delphi, Design Thinking).
5.4 Réalisation de l'appréciation du risque
Il convient que l'organisme évalue en détail les menaces et les risques liés aux produits en se référant à
l'Annexe A.
NOTE L'appréciation du risque peut être réalisée à l'aide des méthodes normalisées décrites dans l'IEC 31010,
par exemple, l'analyse FFOM, l'AMDEC, le tableau de bord ou d'autres méthodes. Pour une appréciation spécifique
à la fraude, voir l'ISO 22380.
Il convient que l'organisme identifie les menaces et les risques et en réalise une cartographie en fonction
des domaines suivants:
— temps (durée de vie attendue du produit);
— lieu (pays de fabrication, distribution);
— cycle de vie du produit (voir Annexe B);
— chaîne d'approvisionnement du produit (voir Annexe C).
5.5 Spécification des critères de sélection des mesures de protection
Il convient que l'organisme spécifie les critères de sélection des mesures de protection adéquates dès
les premières étapes. Il convient que l'ensemble de mesures:
— soit adéquat pour atteindre les objectifs de protection définis;
— complète le plan de prévention déjà disponible pour rendre acceptables les risques résiduels à la
suite de sa mise en œuvre;
— respecte les conditions cadres comme la faisabilité et les ressources disponibles;
— soit vérifiable du point de vue de l'efficacité et de l'efficience.
Il convient de fixer l'ordre des priorités pour les critères de sélection, lesquels peuvent inclure:
— l'origine des éléments de protection et des outils associés;
— la compatibilité avec les mesures existantes;
— le respect de la réglementation et la conformité aux normes;
— le coût;
— le trajet évolutif (évolutivité);
— les références existantes;
4 © ISO 2020 – Tous droits réservés

---------------------- Page: 10 ----------------------
ISO 22384:2020(F)

— l'impact sur la réputation et la perception de la marque;
— l'impact sur la fabrication et la distribution;
— les contraintes d'intégration;
— l'extensibilité;
— la robustesse de la technologie en matière de sécurité;
— la faisabilité technique;
— le délai de commercialisation;
— la facilité d'utilisation;
— les critères de risque et les paramètres.
NOTE Les mesures peuvent être de nature administrative, technique ou juridique.
Il convient que l'organisme tienne compte du fait que l'efficacité des mécanismes de sécurité puisse être
temporaire et que certaines technologies de sécurité puissent devenir obsolètes, comme par exemple
les suites de solutions cryptographiques.
5.6 Choix des mesures appropriées
Il convient que l'organisme choisisse des mesures appropriées pour chaque action exigée identifiée
dans la chaîne de valeur. Les mesures peuvent être issues de différentes catégories (voir Tableau 1). Les
mesures peuvent interagir de certaines manières (voir Figure 2).
Tableau 1 — Classification des mesures
Catégorie de mesures Description Exemple
Stratégiques Orientées vers le long terme, Les produits qui contiennent un savoir-faire
dès le début de l'étude de pro- précieux sont fabriqués dans un environnement
duit, selon les décisions de la sécurisé (par exemple, le site, le lieu, le domaine).
direction.
Les fabricants cherchent à atteindre un haut
Les mesures stratégiques sont le niveau d'intégration verticale dans la fabrication
socle des plans de prévention. qui réduit les risques dans la chaîne d'approvi-
sionnement.
Modification de la stratégie de vente au détail et
de distribution des logiciels en passant de la vente
à la location (logiciel à la demande).
Fondées sur le produit Mesures physiquement ou Application d'éléments authentifiants ou utilisa-
numériquement intégrées/liées tion d'attributs intrinsèques.
au produit pour empêcher:
Gravure laser des boîtes de circuits intégrés pour
masquer les détails de fabrication.
— la rétro-ingénierie;
Utilisation de composants ou de matériaux per-
— l'insertion de matériel; sonnalisés pour renforcer les barrières à l'accès
au marché pour les contrefaçons.
— l'extraction des secrets de
fabrication.
© ISO 2020 – Tous droits réservés 5

---------------------- Page: 11 ----------------------
ISO 22384:2020(F)

Tableau 1 (suite)
Catégorie de mesures Description Exemple
Fondées sur les procédés Protection des procédés de fa
...

DRAFT INTERNATIONAL STANDARD
ISO/DIS 22384
ISO/TC 292 Secretariat: SIS
Voting begins on: Voting terminates on:
2019-09-03 2019-11-26
Security and resilience — Authenticity, integrity and trust
for products and documents — Guidelines to establish and
monitor a protection plan and its implementation
ICS: 03.100.01
THIS DOCUMENT IS A DRAFT CIRCULATED
FOR COMMENT AND APPROVAL. IT IS
THEREFORE SUBJECT TO CHANGE AND MAY
NOT BE REFERRED TO AS AN INTERNATIONAL
STANDARD UNTIL PUBLISHED AS SUCH.
IN ADDITION TO THEIR EVALUATION AS
BEING ACCEPTABLE FOR INDUSTRIAL,
This document is circulated as received from the committee secretariat.
TECHNOLOGICAL, COMMERCIAL AND
USER PURPOSES, DRAFT INTERNATIONAL
STANDARDS MAY ON OCCASION HAVE TO
BE CONSIDERED IN THE LIGHT OF THEIR
POTENTIAL TO BECOME STANDARDS TO
WHICH REFERENCE MAY BE MADE IN
Reference number
NATIONAL REGULATIONS.
ISO/DIS 22384:2019(E)
RECIPIENTS OF THIS DRAFT ARE INVITED
TO SUBMIT, WITH THEIR COMMENTS,
NOTIFICATION OF ANY RELEVANT PATENT
RIGHTS OF WHICH THEY ARE AWARE AND TO
©
PROVIDE SUPPORTING DOCUMENTATION. ISO 2019

---------------------- Page: 1 ----------------------
ISO/DIS 22384:2019(E)

COPYRIGHT PROTECTED DOCUMENT
© ISO 2019
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2019 – All rights reserved

---------------------- Page: 2 ----------------------
ISO/DIS 22384:2019(E)

Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 General . 2
5 Generic procedure model . 2
5.1 Establish a project team . 2
5.2 Identify the assets to protect . 3
5.3 Define the protection objectives . 3
5.4 Perform risk assessment . 4
5.5 Specify selection criteria for protection measures . 4
5.6 Select appropriate measures . 5
5.7 Combine and reconcile measures for the protection plan . 8
5.8 Specify the protection plan and prepare its implementation . 8
5.9 Validate the protection plan . 8
5.10 Implement the protection plan . 8
5.11 Evaluate the effectiveness of the deployed protection plan . 9
5.12 Maintain the protection plan . 9
Annex A (informative) Common product related threats and risks .10
Annex B (informative) Product Life Cycle View .13
Annex C (informative) Supply Chain View.15
Bibliography .16
© ISO 2019 – All rights reserved iii

---------------------- Page: 3 ----------------------
ISO/DIS 22384:2019(E)

Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www .iso
.org/iso/foreword .html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
iv © ISO 2019 – All rights reserved

---------------------- Page: 4 ----------------------
ISO/DIS 22384:2019(E)

Introduction
Due to the increasing level of interconnection of the global economy and the growing availability of
complex manufacturing processes as well as globalised trade relations, there is a growing motivation
and ability for counterfeiting, unfair trade and other product related threats. This is shown for example
by the continually growing numbers of confiscations of brand piracy and counterfeits. Therefore,
manufacturers, to become more resilient, introduce organizational and technical measures as part of a
protection plan to withstand physical or digital attacks and other product related threats. A protection
plan is a set of measures specific to a company to improve overall product robustness against threats.
In order to introduce protection measures in a precise and effective way, organizations should
implement a systematic evaluation process for the selection of the appropriate organizational, technical
and legal measures, depending on the respective threat. Protection measures offered on the market may
represent only a partial solution. For an effective and long-term protection, the reasonable combination
of individual measures, their proper evaluation and implementation is necessary (see Figure 1).
Figure 1 — Generic procedure model for the implementation of a protection plan (PDCA)
Product related threats affect rights owners, manufacturers, distributors, service providers and
consumers in many ways. The potential damage of such threats includes:
— danger to health and safety of consumers,
— decreased sales,
— damage to reputation or brand equity
© ISO 2019 – All rights reserved v

---------------------- Page: 5 ----------------------
ISO/DIS 22384:2019(E)

— loss of innovation leadership,
— loss of jobs,
— tax losses and
— environmental issues.
After the risk assessment, the reasonable combination of individual risk treatment measures in
conjunction with the varying business or legal requirements and their successful evaluation is
necessary for effective protection.
vi © ISO 2019 – All rights reserved

---------------------- Page: 6 ----------------------
DRAFT INTERNATIONAL STANDARD ISO/DIS 22384:2019(E)
Security and resilience — Authenticity, integrity and trust
for products and documents — Guidelines to establish and
monitor a protection plan and its implementation
1 Scope
This document gives guidelines for assessing product security related threats, risks and
countermeasures by development of a suitable protection plan, supporting its implementation and
monitoring its effectiveness after implementation.
This includes consideration of impacts and modifications to, for example, product life cycle, supply
chain, manufacturing, data management, brand perception, costs so as to adapt the protection plan
accordingly.
This document is intended for all types and sizes of organizations that want to ensure authenticity
and integrity in order to support the trustworthiness of products. This includes documents, data and
services related to products.
This document supports organizations to set up a process to assess risks and to select and combine
individual measures for developing a product protection plan.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 12931:2012, Performance criteria for authentication solutions used to combat counterfeiting of
material goods
ISO 16678:2014, Guidelines for interoperable object identification and related authentication systems to
deter counterfeiting and illicit trade
ISO 22300:2018, Security and resilience — Vocabulary
ISO 22380:2018, Security and resilience — Authenticity, integrity and trust for products and documents —
General principles for product fraud risk and countermeasures
ISO 31010:2009, Risk management -- Risk assessment techniques
3 Terms and definitions
For the purpose of this document, the terms and definitions given in ISO 22300 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— IEC Electropedia: available at http: //www .electropedia .org/
— ISO Online browsing platform: available at http: //www .iso .org/obp
© ISO 2019 – All rights reserved 1

---------------------- Page: 7 ----------------------
ISO/DIS 22384:2019(E)

3.1
brand
intangible asset, including but not limited to, names, terms, signs, symbols, logos and designs, or a
combination of these, intended to identify goods, services or entities, or a combination of these,
creating distinctive images and associations in the minds of stakeholders, thereby generating
economic benefit/values
[SOURCE: ISO 20671:2019]
3.2
brand piracy
use of a brand without brand owner’s permission
3.3
counterfeit
simulating, reproducing or modifying an asset without authorization
Note 1 to entry: Assets can be material goods or its packaging, related documents, data and services.
3.4
imitation
inadmissible reproduction of products by using the brand of the original equipment manufacturer with
the aim to consider them as originals
3.5
plagiarism
inadmissible reproduction of products without using the brand of the original equipment manufacturer
with the aim to imitate the characteristics of the product
3.6
protection plan
set of coordinated measures to treat risks to an asset or a set of assets
4 General
The organization should follow the generic procedure for the preparation of a protection plan. The
model introduced in Figure 1 provides a framework for such a generic procedure. The design of the
individual steps, explained in detail in clause 5, depends on the respective field of application.
The steps illustrated do not necessarily have to be carried out successively. The steps can partially
overlap and be followed in an iterative way.
5 Generic procedure model
5.1 Establish a project team
The organization should set up the work on developing product protection measures as a project.
The organization should select a project team which include internal stakeholders from all stages in the
product life cycle. This can include personnel from:
— Design;
— Development;
— Procurement;
— Manufacturing / Assembly;
— Information Technology (IT);
2 © ISO 2019 – All rights reserved

---------------------- Page: 8 ----------------------
ISO/DIS 22384:2019(E)

— Operational Technology (OT);
— IT-Security / OT-Security;
— Logistics;
— Sales;
— Marketing;
— Warehousing;
— Legal; and
— Other relevant stakeholders.
The organization should limit as far as possible the involvement of external partners, depending on the
sensitivity of the issue recognizing that complex tasks may require external support from specialists
and consultants.
Note External support should be involved on a need-to-know basis and provide relevant experience in
assessing or evaluating threats and risks, supporting the development of effective measures.
The organization should:
— decide where the project team is located within the organization (e.g. marketing, manufacturing,
design, IT),
— appoint a team leader responsible for meeting timelines and budget, and
— apply project management best-practices.
5.2 Identify the assets to protect
The organization should specify what assets need protection. These assets can include:
— product;
— procedure;
— licensing models;
— consumer health and safety;
— operating concept;
— liability claims;
— image/reputation/brand value; and
— know-how.
The organization should prioritize the protection of the assets according to the company’s strategy and
applicable regulations, considering the scope of products and markets need as well as the time frame.
5.3 Define the protection objectives
The organization should:
— define and quantitively describe the objectives of the protection plan;
— where possible, provide protection objectives that can be quantitatively measurable; and
— use the objectives to evaluate the success of the protection plan.
© ISO 2019 – All rights reserved 3

---------------------- Page: 9 ----------------------
ISO/DIS 22384:2019(E)

Protection objectives can be of different nature and can include:
— legal and IP-protection;
— conformity and compliance to regulations and standards;
— asset integrity;
— consumer protection;
— reputation and competitive advantage;
— cyber resilience;
— business and financial aspects.
The organization should use methods to identify and define the objectives (for example, Delphi, Design
Thinking).
5.4 Perform risk assessment
The organization should analyse the product-related business case in detail considering the following
classification:
— infringement of proprietary rights;
— information leakage and know-how outflow;
— reverse engineering related threats;
— cyber threats.
See Annex A for a list of common product related threats and risks.
Note: A risk assessment can be supported by standardized methods as described in ISO 31010 (Risk
assessment techniques), e.g. SWOT analysis, FMEA, Balanced Score Card or other methods.
The organization should identify and map threats and risks in relation to the following domains:
— time (expected product life);
— location (Country of production, distribution);
— pro
...

PROJET
NORME ISO/FDIS
FINAL
INTERNATIONALE 22384
ISO/TC 292
Sécurité et résilience — Authenticité,
Secrétariat: SIS
intégrité et confiance pour les
Début de vote:
2020-07-24 produits et les documents — Lignes
directrices pour l'établissement et la
Vote clos le:
2020-09-18
surveillance d'un plan de prévention
et sa mise en œuvre
Security and resilience — Authenticity, integrity and trust for
products and documents — Guidelines to establish and monitor a
protection plan and its implementation
LES DESTINATAIRES DU PRÉSENT PROJET
SONT INVITÉS À PRÉSENTER, AVEC LEURS
OBSERVATIONS, NOTIFICATION DES DROITS
DE PROPRIÉTÉ DONT ILS AURAIENT
ÉVENTUELLEMENT CONNAISSANCE ET À
FOURNIR UNE DOCUMENTATION EXPLICATIVE.
OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
ÉTABLIR S’ILS SONT ACCEPTABLES À DES FINS
INDUSTRIELLES, TECHNOLOGIQUES ET COM-
Numéro de référence
MERCIALES, AINSI QUE DU POINT DE VUE
ISO/FDIS 22384:2020(F)
DES UTILISATEURS, LES PROJETS DE NORMES
INTERNATIONALES DOIVENT PARFOIS ÊTRE
CONSIDÉRÉS DU POINT DE VUE DE LEUR POSSI-
BILITÉ DE DEVENIR DES NORMES POUVANT
SERVIR DE RÉFÉRENCE DANS LA
©
RÉGLEMENTATION NATIONALE. ISO 2020

---------------------- Page: 1 ----------------------
ISO/FDIS 22384:2020(F)

DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés

---------------------- Page: 2 ----------------------
ISO/FDIS 22384:2020(F)

Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Généralités . 2
5 Modèle de procédure générique . 2
5.1 Création de l'équipe du projet . 2
5.2 Identification des actifs à protéger . 3
5.3 Définition des objectifs de protection . 3
5.4 Réalisation de l'appréciation du risque . 4
5.5 Spécification des critères de sélection des mesures de protection . 4
5.6 Choix des mesures appropriées . 5
5.7 Combinaison et rapprochement des mesures du plan de prévention . 8
5.8 Spécification du plan de prévention et préparation de sa mise en œuvre . 8
5.9 Validation du plan de prévention . 8
5.10 Mise en œuvre du plan de prévention . 8
5.11 Évaluation de l'efficacité du plan de prévention déployé. 9
5.12 Maintien du plan de prévention . 9
Annexe A (informative) Menaces et risques courants liés aux produits .11
Annexe B (informative) Vue du cycle de vie du produit .14
Annexe C (informative) Vue de la chaîne d'approvisionnement .17
Bibliographie .18
© ISO 2020 – Tous droits réservés iii

---------------------- Page: 3 ----------------------
ISO/FDIS 22384:2020(F)

Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www .iso .org/ iso/ fr/ avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www .iso .org/ fr/ members .html.
iv © ISO 2020 – Tous droits réservés

---------------------- Page: 4 ----------------------
ISO/FDIS 22384:2020(F)

Introduction
Du fait d'un niveau d'interconnexion toujours plus important au sein de l'économie mondiale et de la
disponibilité croissante de procédés de fabrication complexes, ainsi que des relations commerciales
mondialisées, les motivations et les aptitudes relatives à la contrefaçon, au commerce déloyal et
à d'autres menaces concernant les produits sont en pleine croissance. La constante augmentation
du nombre de confiscations de produits liées à des piratages de marques ou à des contrefaçons en
est un exemple. Afin de devenir plus résilients, les fabricants doivent mettre en place des mesures
administratives et techniques dans le cadre d'un plan de prévention visant à résister aux attaques
physiques et numériques, ainsi qu'aux autres menaces liées aux produits.
Pour une mise en place précise et efficace des mesures de protection, il convient que les organismes
mettent en œuvre un processus d'évaluation systématique lors du choix des mesures administratives,
techniques et juridiques, en fonction de la menace visée. Les mesures de protection proposées sur le
marché ne peuvent constituer qu'une solution partielle.
Pour une prévention efficace à long terme, il est nécessaire qu'une combinaison raisonnable et
systématique de mesures individuelles soit associée à une évaluation et à une mise en œuvre adéquates.
La procédure peut être représentée sous la forme d'un cycle PDCA (Plan-Do-Check-Act) (voir Figure 1).
Figure 1 — Procédure générique type pour la mise en œuvre d'un plan de prévention (PDCA)
© ISO 2020 – Tous droits réservés v

---------------------- Page: 5 ----------------------
ISO/FDIS 22384:2020(F)

Les menaces liées aux produits affectent les propriétaires des droits, les fabricants, les distributeurs,
les prestataires de services et les consommateurs de nombreuses manières. Les préjudices possibles
dus à ces menaces comprennent:
— la perte de position dominante en matière d'innovation;
— la baisse des ventes;
— les préjudices pour la réputation ou la valeur de la marque;
— les pertes d'emploi;
— les pertes fiscales;
— les dangers pour la santé et la sécurité des consommateurs;
— les problèmes environnementaux.
vi © ISO 2020 – Tous droits réservés

---------------------- Page: 6 ----------------------
PROJET FINAL DE NORME INTERNATIONALE ISO/FDIS 22384:2020(F)
Sécurité et résilience — Authenticité, intégrité et confiance
pour les produits et les documents — Lignes directrices
pour l'établissement et la surveillance d'un plan de
prévention et sa mise en œuvre
1 Domaine d'application
Le présent document donne des lignes directrices pour l'appréciation des menaces, des risques et des
contre-mesures liés à la sécurité du produit, en développant un plan de prévention adéquat, en aidant à
sa mise en œuvre et en surveillant son efficacité après la mise en œuvre.
Cela inclut la prise en compte des impacts et des modifications, par exemple, du cycle de vie du produit,
de la chaîne d'approvisionnement, de la fabrication, de la gestion des données, de la perception de la
marque et des coûts, de manière à les adapter au plan de prévention.
Le présent document s'applique aux organismes de tous types et de toutes tailles souhaitant garantir
l'authenticité et l'intégrité de leurs produits, notamment les documents, données et services liés aux
produits, afin de préserver leur fiabilité.
Le présent document aide les organismes à élaborer un processus pour l'appréciation des risques et
pour choisir et combiner les mesures individuelles, afin de développer un plan de prévention pour les
produits.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions donnés dans l'ISO 22300 ainsi que
les suivants s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l'adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l'adresse http:// www .electropedia .org/
3.1
marque
actifs incorporels, y compris, mais sans s'y limiter les noms, les termes, les signes, les symboles, les
logos et le design, ou une combinaison de ces éléments, dans le but d'identifier des biens, des services ou
des entités, ou une combinaison de ces éléments, en créant des images/associations qui les distinguent
de façon à ce qu'ils soient ancrés dans l'esprit des parties prenantes, générant ainsi des avantages
économiques/de la valeur
[SOURCE: ISO 20671:2019, 3.1 modifié]
© ISO 2020 – Tous droits réservés 1

---------------------- Page: 7 ----------------------
ISO/FDIS 22384:2020(F)

3.2
piratage de marque
utilisation d'une marque (3.1) sans permission de son propriétaire
3.3
contrefaçon
acte de simuler, reproduire à l'identique ou modifier un actif sans autorisation
Note 1 à l'article: Les actifs peuvent être des biens matériels ou leurs emballages, des documents attachés, des
données et des services.
3.4
plagiat
reproduction inadmissible d'un produit sans utiliser la marque (3.1) du fabricant d'origine dans le but
d'imiter les caractéristiques du produit
3.5
plan de prévention
ensemble de mesures coordonnées pour traiter les risques visant un actif ou un ensemble d'actifs
4 Généralités
Il convient que l'organisme suive la procédure générique pour la préparation de son plan de prévention.
Le modèle donné en Figure 1 fournit un cadre pour cette procédure générique. La conception de chaque
étape, expliquée en détails à l'Article 5, dépend du champ d'application concerné.
Les étapes présentées ne doivent pas nécessairement être suivies l'une après l'autre. Elles peuvent se
chevaucher partiellement et être suivies de manière itérative.
5 Modèle de procédure générique
5.1 Création de l'équipe du projet
Il convient que l'organisme coordonne le travail d'élaboration des mesures de protection des produits
sous la forme d'un projet.
Il convient que l'organisme mette en place une équipe de projet qui inclue des acteurs internes
appartenant à toutes les étapes du cycle de vie du produit. Il peut s'agir de personnel des services
suivants:
— conception;
— développement;
— approvisionnement;
— fabrication/assemblage;
— technologies de l'information (TI);
— technologies opérationnelles (TO);
— sécurité des TI/sécurité des TO;
— logistique;
— ventes;
— marketing;
— entrepôts;
2 © ISO 2020 – Tous droits réservés

---------------------- Page: 8 ----------------------
ISO/FDIS 22384:2020(F)

— juridique;
— autres parties prenantes pertinentes.
Il convient que l'aide extérieure:
— soit impliquée selon le principe du besoin d'en connaître, en fonction de la sensibilité du sujet;
— apporte une expérience pertinente en matière d'appréciation ou d'évaluation des menaces et des
risques;
— soutienne l'élaboration de mesures efficaces.
Il convient que l'organisme:
— décide du lieu d'implantation de l'équipe du projet au sein de l'organisme (par exemple, marketing,
fabrication, conception, TI);
— désigne un chef d'équipe responsable du respect des délais et du budget;
— applique les meilleures pratiques en matière de management de projet.
5.2 Identification des actifs à protéger
Il convient que l'organisme spécifie quels actifs ont besoin d'une protection. Ces actifs peuvent inclure
les éléments suivants:
— des savoir-faire;
— des produits;
— des procédures;
— des modèles d'octroi de licences;
— la santé et la sécurité des consommateurs;
— les relations avec les parties prenantes;
— des concepts de fonctionnement;
— des mises en cause de la responsabilité;
— l'image/la réputation/la valeur de la marque.
Il convient que l'organisme fixe un ordre de priorité pour la protection des actifs selon la stratégie
d'entreprise et les réglementations applicables, en tenant compte de l'éventail de produits et des besoins
du marché, ainsi que du calendrier établi.
5.3 Définition des objectifs de protection
Il convient que l'organisme:
— définisse et décrive d'un point de vue quantitatif les objectifs du plan de prévention;
— si possible, fixe des objectifs de protection mesurables d'un point de vue quantitatif;
— utilise les objectifs pour évaluer le succès du plan de prévention.
Les objectifs de protection peuvent être de différentes natures et inclure:
— une protection juridique et une protection de la propriété intellectuelle;
— le respect de la réglementation et la conformité aux normes;
© ISO 2020 – Tous droits réservés 3

---------------------- Page: 9 ----------------------
ISO/FDIS 22384:2020(F)

— l'intégrité des actifs;
— la protection des consommateurs;
— la réputation et les avantages concurrentiels;
— la cyberrésilience;
— les aspects commerciaux et financiers;
— le respect des exigences des parties prenantes;
— le respect par les parties prenantes de leurs engagements contractuels.
Il convient que l'organisme utilise des méthodes permettant d'identifier et de définir les objectifs (par
exemple, Delphi, Design Thinking).
5.4 Réalisation de l'appréciation du risque
Il convient que l'organisme évalue en détail les menaces et les risques liés aux produits en se référant à
l'Annexe A.
NOTE L'appréciation du risque peut être réalisée à l'aide des méthodes normalisées décrites dans l'IEC 31010,
par exemple, l'analyse FFOM, l'AMDEC, le tableau de bord ou d'autres méthodes. Pour une appréciation spécifique
à la fraude, voir l'ISO 22380.
Il convient que l'organisme identifie les menaces et les risques et en réalise une cartographie en fonction
des domaines suivants:
— temps (durée de vie attendue du produit);
— lieu (pays de fabrication, distribution);
— cycle de vie du produit (voir Annexe B);
— chaîne d'approvisionnement du produit (voir Annexe C).
5.5 Spécification des critères de sélection des mesures de protection
Il convient que l'organisme spécifie les critères de sélection des mesures de protection adéquates dès
les premières étapes. Il convient que l'ensemble de mesures:
— soit adéquat pour atteindre les objectifs de protection définis;
— complète le plan de prévention déjà disponible pour rendre acceptables les risques résiduels à la
suite de sa mise en œuvre;
— respecte les conditions cadres comme la faisabilité et les ressources disponibles;
— soit vérifiable du point de vue de l'efficacité et de l'efficience.
Il convient de fixer l'ordre des priorités pour les critères de sélection, lesquels peuvent inclure:
— l'origine des éléments de protection et des outils associés;
— la compatibilité avec les mesures existantes;
— le respect de la réglementation et la conformité aux normes;
— le coût;
— le trajet évolutif (évolutivité);
— les références existantes;
4 © ISO 2020 – Tous droits réservés

---------------------- Page: 10 ----------------------
ISO/FDIS 22384:2020(F)

— l'impact sur la réputation et la perception de la marque;
— l'impact sur la fabrication et la distribution;
— les contraintes d'intégration;
— l'extensibilité;
— la robustesse de la technologie en matière de sécurité;
— la faisabilité technique;
— le délai de commercialisation;
— la facilité d'utilisation;
— les critères de risque et les paramètres.
NOTE Les mesures peuvent être de nature administrative, technique ou juridique.
Il convient que l'organisme tienne compte du fait que l'efficacité des mécanismes de sécurité puisse être
temporaire et que certaines technologies de sécurité puissent devenir obsolètes, comme par exemple
les suites de solutions cryptographiques.
5.6 Choix des mesures appropriées
Il convient que l'organisme choisisse des mesures appropriées pour chaque action exigée identifiée
dans la chaîne de valeur. Les mesures peuvent être issues de différentes catégories (voir Tableau 1). Les
mesures peuvent interagir de certaines manières (voir Figure 2).
Tableau 1 — Classification des mesures
Catégorie de mesures Description Exemple
Stratégiques Orientées vers le long terme, Les produits qui contiennent un savoir-faire
dès le début de l'étude de précieux sont fabriqués dans un environnement
produit, selon les décisions de la sécurisé (par exemple, le site, le lieu, le domaine).
direction.
Les fabricants cherchent à atteindre un
Les mesures stratégiques sont le haut niveau d'intégration verticale dans la
socle des plans de prévention. fabrication qui réduit les risques dans la chaîne
d'approvisionnement.
Modification de la stratégie de vente au détail et
de distribution des logiciels en passant de la vente
à la location (logiciel à la demande).
Fondées sur le produit Mesures physiquement ou Application d'éléments authentifiants ou
numériquement intégrées/liées utilisation d'attributs intrinsèques.
au produit pour empêcher:
Gravure laser des boîtes de circuits i
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.