ISO/TS 22332:2021
(Main)Security and resilience — Business continuity management systems — Guidelines for developing business continuity plans and procedures
Security and resilience — Business continuity management systems — Guidelines for developing business continuity plans and procedures
This document provides guidelines for developing and maintaining business continuity plans and procedures. It is applicable to all organizations regardless of type, size and nature, whether in the private, public, or not-for-profit sectors, that wish to develop effective business continuity plans and procedures in a consistent manner.
Sécurité et résilience — Systèmes de management de la continuité d’activité — Lignes directrices pour le développement des plans et procédures de continuité d’activité
Le présent document fournit des lignes directrices pour le développement et la maintenance des plans et procédures de continuité d’activité. Il s’applique à tous les organismes quels que soient leur type, leur taille et leur nature appartenant au secteur privé, public ou associatif, qui souhaitent développer de façon cohérente des plans et procédures efficaces de continuité d’activité.
General Information
Standards Content (Sample)
TECHNICAL ISO/TS
SPECIFICATION 22332
First edition
2021-05
Security and resilience — Business
continuity management systems —
Guidelines for developing business
continuity plans and procedures
Reference number
©
ISO 2021
© ISO 2021
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2021 – All rights reserved
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Prerequisites . 1
4.1 General . 1
4.2 Interested parties . 1
4.3 Identify approved business continuity strategies and solutions . 2
4.4 Business continuity plan development, roles and competencies . 2
4.5 Resources for developing and maintaining business continuity plans and procedures . 2
5 Response . 3
5.1 General . 3
5.2 Response structure . 3
5.3 Competence of team members . 4
6 Types of business continuity team plans and procedures . 4
6.1 General . 4
6.2 Strategic team plan . 5
6.2.1 Purpose . 5
6.2.2 Team composition . 5
6.2.3 Owner . 5
6.3 Tactical teams’ plans . 5
6.3.1 Purpose . 5
6.3.2 Team composition . 6
6.3.3 Owner . 6
6.4 Operational teams’ plans . 6
6.4.1 Purpose . 6
6.4.2 Team composition . 6
6.4.3 Owner . 6
7 Content of business continuity plan and procedures . 6
7.1 General . 6
7.2 Common sections . 7
7.2.1 Purpose . 7
7.2.2 Objectives . 7
7.2.3 Assumptions . 7
7.2.4 Activating and assembling the team . 7
7.2.5 Team member roles and responsibilities . 7
7.2.6 Tasks . 8
7.2.7 Communications . 8
7.2.8 Interrelationships with other plans . 8
7.2.9 Standing down the team . 8
7.2.10 Resource information . 8
7.2.11 Contact information . 9
7.2.12 Appendices . . . 9
7.2.13 Version control . 9
7.2.14 Plan control and distribution . 9
7.3 Specific procedures .10
7.3.1 Emergency response procedures .10
7.3.2 Communications procedures .10
7.3.3 Information and Communication Technology (ICT) procedures .11
7.3.4 Alternative facilities setup procedures .11
7.3.5 Alternative resource procedures .11
8 Plans for response to specific disruptions .12
8.1 General .12
8.2 Pandemic (global) and epidemic (regional) .12
8.3 Cyber-attack .13
9 Guidance on documenting plans .13
9.1 Clarity .13
9.2 Clarity .13
9.3 Completeness .13
10 Plan controls, storage and availability .14
11 Next steps after documenting business continuity plans and procedures .14
11.1 Awareness .14
11.2 Exercising and testing .14
12 Monitoring and reviewing business continuity plans and procedures .15
12.1 Performance review .15
12.2 Maintenance .15
12.3 Management review .15
Annex A (informative) Procedures for maintenance of a business continuity capability .16
Bibliography .20
iv © ISO 2021 – All rights reserved
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www .iso .org/
iso/ foreword .html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
Introduction
This document provides guidelines for developing and maintaining business continuity plans and
procedures. This document is consistent with the requirements in ISO 22301 and the guidance in
ISO 22313, and is applicable to the performance of any business continuity plan development, or as part
of a business continuity management system (BCMS).
A business continuity plan provides guidance and information to assist teams responding to a
disruption (ISO 22301:2019, 8.4.1) in order to meet expectations regarding delivery of products and
services. The organization should create plans and procedures to address communications, emergency
management, incident response, crisis management, recovery and restoration.
Business continuity plans and procedures should be consistent with organizational goals and objectives
and business continuity objectives (see ISO 22301:2019, 3.4) and detail the actions that teams will take
during a disruption in order to:
— activate the response;
— manage the immediate consequences of a disruption;
— continue or recover prioritized activities within predetermined time frames utilizing, if appropriate,
the agreed business continuity strategies and solutions;
— monitor the impact of the disruption and the organization’s response to it;
— deliver products and services at agreed capacity.
Figure 1 presents the flow between the different components that constitute business continuity
management. The business continuity strategy and solutions process (ISO 22301:2019, 8.3) provides
the input for identifying, developing and maintaining business continuity plans and procedures
(ISO 22301:2019, 8.4). In turn, the business continuity plans and procedures are a prerequisite for
coordinating and performing business continuity exercises and tests (ISO 22301:2019, 8.5).
SOURCE ISO 22313:2020.
Figure 1 — Elements of business continuity management
vi © ISO 2021 – All rights reserved
The purpose of this document is to provide organizations with:
— detailed methods to develop business continuity plans and procedures;
— a structured approach to collect and organize information to develop plans and procedures;
— advice for maintaining plans and procedures over time to establish a continual improvement
environment.
Following these guidelines will lead to the:
— establishment of a management structure to respond to a disruption, appointing competent and
responsible personnel and teams with the authority to manage the response;
— implementation and maintenance of response processes addressing the protection of life and assets;
— establishment of command and control of the recovery effort following the onset of the disruption;
— implementation and maintenance of communication and warning procedures, including those
necessary to manage the media response and coordination with other interested parties throughout
a disruption;
— continuity or recovery of disrupted business activities and unavailable resources within
predetermined time frames, including procedures necessary to return business activities from the
temporary measures adopted during the incident to normal operations;
— recovery of disrupted technology assets;
— establishment of procedures to maintain capabilities and response readiness such as cross-training
and exercising.
TECHNICAL SPECIFICATION ISO/TS 22332:2021(E)
Security and resilience — Business continuity management
systems — Guidelines for developing business continuity
plans and procedures
1 Scope
This document provides guidelines for developing and maintaining business continuity plans and
procedures. It is applicable to all organizations regardless of type, size and nature, whether in the
private, public, or not-for-profit sectors, that wish to develop effective business continuity plans and
procedures in a consistent manner.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Security and resilience — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
4 Prerequisites
4.1 General
Although these guidelines are consistent with ISO 22301, they can be used to develop and maintain
business continuity plans and procedures when aligning or subscribing to other standards, obligations
or regulatory requirements. Regardless of approach, several prerequisites need to be addressed. The
organization should:
— understand the needs and expectations of interested parties (4.2);
— complete strategy determination and selection (4.3);
— define and communicate roles and responsibilities of those required to develop plans (4.4);
— allocate adequate resources to develop and maintain plans (4.5).
4.2 Interested parties
Business continuity should address the needs and expectations of interested parties. Therefore, the
organization should identify its interested parties and determine their requirements for the response
and recovery effort during a disruption.
4.3 Identify approved business continuity strategies and solutions
Prior to developing business continuity plans and procedures, the organization should have completed
the determination, selection and approval of business continuity strategies and solutions, including
identification of:
— alternate working arrangements to address the loss or inaccessibility of premises;
— arrangements to address the unavailability of personnel;
— capabilities to recover disrupted technology assets and services, including data and communications;
— alternate means to deliver products and services when faced with a supplier disruption.
NOTE See ISO 22301 and ISO 22331.
4.4 Business continuity plan development, roles and competencies
Top management should assign someone with the appropriate authority to oversee a team to develop
the business continuity plans and procedures to cover the scope of the business continuity management
system (BCMS).
Roles or tasks that are relevant to developing business continuity plans and procedures can include:
— managing business continuity planning projects;
— designing a plan template to ensure consistency;
— contributing content to business continuity plans and procedures;
— approving business continuity plans and procedures.
The organization should ensure the competence of persons leading or participating in developing and
maintaining business continuity plans and procedures. Competences should include:
— understanding the organization;
— project planning, management and collaboration;
— information gathering;
— understanding organizational processes and workflows;
— effective oral and written communication;
— methods and techniques necessary to manage the response to a disruption.
4.5 Resources for developing and maintaining business continuity plans and
procedures
The organization should determine and provide the resources needed for developing and maintaining
business continuity plans and procedures that will enable it to:
— comply with its business continuity policy and achieve its business continuity objectives;
— activate its response and recovery strategies and solutions in a timely manner;
— maintain the readiness of its response;
— provide for the continual improvement of its business continuity plans and procedures (e.g.
conducting regular tests).
2 © ISO 2021 – All rights reserved
Resources include personnel time and financial resources necessary to document and maintain
business continuity plans and procedures.
5 Response
5.1 General
During a disruption, business continuity plans and procedures should:
— enable the organization to make timely decisions;
— be sufficiently flexible to accommodate unanticipated and evolving situations;
— focus on minimizing the anticipated impacts of disruptions;
— make use, where appropriate, of the prepared business continuity strategies and solutions to
minimize impacts;
— identify roles and assign responsibilities for all response activities;
— have available resources required to support response activities.
5.2 Response structure
The organization should establish a response structure consisting of one or more teams, each supported
by a set of documented plans and procedures. Working together during a disruption, these teams will
enable the organization to:
— identify, escalate and manage the incident;
— manage the needs of all interested parties;
— resume the delivery of products and services within predetermined time frames at acceptable
capacity.
If the nature of the incident threatens life or property, immediate actions to protect these can be
initiated.
A hierarchical team structure can be created comprising:
— Strategic team: a top management team that will, if required, manage the strategic issues of the
incident, in particular those external to the organization such as communication, regulatory and
reputation. Top management can choose to delegate the delivery of internal and external messages
to a separate communication team.
— Tactical team(s): a management team, or a number of teams, that manage the internal response
to the incident and recovery of activities. Tactical team(s) analyse the impact of the incident and
direct the operational teams to implement the appropriate solutions from those available, ensure
the timely resumption of product and service delivery and provide progress updates to the strategic
team.
— Operational teams: each department or business unit can have plans which, depending on its
function, describes how it will respond to disruptions. It operates under the direction of a tactical
team and reports progress to them.
In a small organization, one team can be appropriate to manage all aspects of the response.
5.3 Competence of team members
In order to meet the objectives of the teams, careful consideration should be given to the selection of
team members. Table 1 highlights characteristics that members of each of the teams should have.
Table 1 — Characteristics of team members
Team level Team member competence
Strategic team — understand the strategic goals of the organization;
— knowledge of their responsibilities and capability to execute;
— provide oversight to teams;
— decisive under pressure;
— ability to anticipate possible impact(s) to the organization.
Tactical team — knowledge of their responsibilities and capability to execute;
— understand relationships among all teams and plans;
— ability to coordinate multiple activities at the same time and communicate with
strategic, tactical and operational teams;
— understand complexities of the organization and consequences of decisions;
— ability to work and make decisions under pressure;
— demonstrate pragmatic problem solving;
— ability to challenge decisions.
Operational team — knowledge of their responsibilities and capability to execute;
— ability to work accurately and methodically under pressure;
— disciplined to follow instructions;
— ability to escalate concerns or problems.
6 Types of business continuity team plans and procedures
6.1 General
Procedures are documented in plans.
Each team requires a plan to ensure the team:
— understands its scope, objectives and responsibilities;
— has the information immediately available that will enable it to perform its assigned tasks.
The content of each plan will therefore be different, though there should be a common structure across
all the organization’s plans to make them easier to understand, maintain and ensure consistency.
4 © ISO 2021 – All rights reserved
6.2 Strategic team plan
6.2.1 Purpose
The strategic team plan ensures that the organization’s response to an incident is coordinated and
effective, as well as timely. The procedures should include the basis for managing all possible issues
facing the organization during an incident. Strategic plans assist top management in managing:
— strategic direction of the organization during the incident;
— monitoring the severity of the disruption;
— maintaining its reputation through internal and external communications to interested parties;
— continued compliance of the organization with statutory and regulatory requirements.
6.2.2 Team composition
The strategic team will consist of top management. Additional expertise can be brought in, depending
on the nature of the disruption and the competency required.
The responsibility for initiating and leading the response can be given to a member of the top
management team, as it requires the following attributes:
— ability to be decisive under pressure;
— make decisions when current information can be inadequate, erroneous or delayed;
— manage people who are operating under stress.
Some, more complex organizations can establish local, regional or global strategic teams.
The strategic team should have appropriate administrative support.
6.2.3 Owner
A member of top management should own the strategic plan.
6.3 Tactical teams’ plans
6.3.1 Purpose
Tactical teams’ plans provide guidance to manage and coordinate the continuity of the processes
and activities required to deliver products and services and ensure that resources are allocated
appropriately. Tactical teams’ plans are more general or broader than operational plans. Each team's
plan should clearly define their member's interrelationships with the organization
...
SPÉCIFICATION ISO/TS
TECHNIQUE 22332
Première édition
2021-05
Sécurité et résilience — Systèmes
de management de la continuité
d’activité — Lignes directrices pour
le développement des plans et
procédures de continuité d’activité
Security and resilience — Business continuity management systems
— Guidelines for developing business continuity plans and procedures
Numéro de référence
©
ISO 2021
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2021
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2021 – Tous droits réservés
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Prérequis . 1
4.1 Généralités . 1
4.2 Parties intéressées . 2
4.3 Identifier les stratégies et solutions de continuité d’activité approuvées . 2
4.4 Développement du plan de continuité d’activité, rôles et compétences . 2
4.5 Ressources pour le développement et la maintenance des plans et procédures de
continuité d’activité . 3
5 Réponse . 3
5.1 Généralités . 3
5.2 Structure de réponse . 3
5.3 Compétence des membres des équipes . 4
6 Types de plans et procédures des équipes de continuité d’activité .4
6.1 Généralités . 4
6.2 Plan de l’équipe stratégique . 5
6.2.1 Objet. 5
6.2.2 Composition de l’équipe . 5
6.2.3 Propriétaire . 5
6.3 Plans des équipes tactiques . 5
6.3.1 Objet. 5
6.3.2 Composition de l’équipe . 6
6.3.3 Propriétaire . 6
6.4 Plans des équipes opérationnelles. 6
6.4.1 Objet. 6
6.4.2 Composition de l’équipe . 6
6.4.3 Propriétaire . 6
7 Contenu du plan et des procédures de continuité d’activité . 7
7.1 Généralités . 7
7.2 Sections communes . 7
7.2.1 Objet. 7
7.2.2 Objectifs . 7
7.2.3 Présupposés . 7
7.2.4 Activation et convocation de l’équipe . 7
7.2.5 Rôles et responsabilités des membres de l’équipe . 8
7.2.6 Tâches . 8
7.2.7 Communications . 8
7.2.8 Interrelations avec les autres plans . 8
7.2.9 Démobilisation de l’équipe . 8
7.2.10 Informations sur les ressources . 9
7.2.11 Informations de contact . 9
7.2.12 Annexes . 9
7.2.13 Contrôle de version . 9
7.2.14 Contrôle et distribution du plan .10
7.3 Procédures spécifiques .10
7.3.1 Procédures de réponse d’urgence.10
7.3.2 Procédures de communication .10
7.3.3 Procédures des technologies de l’information et de la communication (TIC) .11
7.3.4 Procédures de mise en place d’installations alternatives.12
7.3.5 Procédures d’approvisionnement en ressources alternatives .12
8 Plans de réponse aux perturbations spécifiques .12
8.1 Généralités .12
8.2 Pandémie (mondiale) et épidémie (régionale) .12
8.3 Cyberattaque .13
9 Recommandations sur la rédaction des plans .13
9.1 Généralités .13
9.2 Clarté .14
9.3 Exhaustivité .14
10 Contrôles, stockage et disponibilité du plan .14
11 Étapes suivant la rédaction des plans et procédures de continuité d’activité .15
11.1 Sensibilisation .15
11.2 Exercices et tests .15
12 Surveillance et revue des plans et procédures de continuité d’activité .15
12.1 Revue de performance .15
12.2 Maintenance .15
12.3 Revue de direction .16
Annexe A (informative) Procédures de maintenance de la capacité de continuité d’activité .17
Bibliographie .21
iv © ISO 2021 – Tous droits réservés
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .htm.
Introduction
Le présent document fournit des lignes directrices pour le développement et la maintenance des plans
et procédures de continuité d’activité. Il est cohérent avec les exigences de la norme ISO 22301 et
s’applique au développement de tout plan de continuité d’activité, ou comme partie d’un système de
management de la continuité d’activité (SMCA).
Un plan de continuité d’activité fournit des recommandations et des informations destinées à aider
les équipes à répondre à une perturbation (ISO 22301:2019, 8.4.1) afin de satisfaire aux attentes de
livraison des produits et de fourniture des services. Il convient que l’organisme crée des plans et
procédures permettant de traiter les communications, la gestion des situations d’urgence, la réponse à
incident, la gestion de crise, le rétablissement et la restauration.
Il convient de mettre les plans et procédures de continuité d’activité en cohérence avec les buts et
objectifs de l’organisme, ainsi qu’avec ses objectifs de continuité d’activité (voir ISO 22301:2019, 3.4) et
de détailler les actions que les équipes vont accomplir pendant une perturbation afin:
— d’activer la réponse;
— de gérer les conséquences immédiates d’une perturbation;
— de continuer ou rétablir les activités prioritaires dans des délais prédéterminés à l’aide des stratégies
et solutions de continuité d’activité convenues si celles-ci sont appropriées;
— de surveiller l’impact de la perturbation et la réponse de l’organisme à celle-ci;
— de livrer les produits et fournir les services au niveau de capacité convenu.
La Figure 1 représente les flux entre les différents composants du management de la continuité
d’activité. Le processus de la stratégie et des solutions de continuité d’activité (ISO 22301:2019, 8.3)
permet d’identifier, de développer et de maintenir les plans et procédures de continuité d’activité
(ISO 22301:2019, 8.4). Les plans et procédures de continuité d’activité sont quant à eux indispensables
pour coordonner et exécuter les exercices et tests de continuité d’activité (ISO 22301:2019, 8.5).
vi © ISO 2021 – Tous droits réservés
SOURCE: ISO 22313:2020.
Figure 1 — Éléments de management de la continuité d’activité
Le présent document a pour but de fournir aux organismes:
— des méthodes détaillées de développement des plans et procédures de continuité d’activité;
— une approche structurée de collecte et d’organisation des informations nécessaires au développement
des plans et des procédures;
— des conseils sur la maintenance des plans et procédures dans le temps en vue d’établir un
environnement d’amélioration continue.
En suivant ces lignes directrices, il sera possible d’atteindre les résultats suivants:
— établissement d’une structure de management pour répondre à une perturbation, désignation d’un
personnel et d’équipes compétentes et responsables disposant de l’autorité nécessaire pour gérer la
réponse;
— mise en œuvre et maintenance de processus de réponse concernant la protection de la vie et des
actifs;
— établissement d’un commandement et d’un contrôle des opérations dans l'effort de rétablissement
engagé après le début de la perturbation;
— mise en œuvre et maintenance de procédures de communication et d’avertissement y compris celles
nécessaires pour gérer la réponse aux médias et la coordination avec les autres parties intéressées
pendant toute la durée de la perturbation;
— continuité ou rétablissement des activités professionnelles perturbées et des ressources
indisponibles dans des délais prédéterminés, y compris les procédures nécessaires au retour des
activités professionnelles depuis les mesures temporaires adoptées pendant l’incident jusqu’au
fonctionnement normal;
— rétablissement des actifs technologiques perturbés;
— établissement de procédures de maintenance des capacités et de mobilisation de la réponse telles
que la formation croisée et les exercices.
viii © ISO 2021 – Tous droits réservés
SPÉCIFICATION TECHNIQUE ISO/TS 22332:2021(F)
Sécurité et résilience — Systèmes de management de
la continuité d’activité — Lignes directrices pour le
développement des plans et procédures de continuité
d’activité
1 Domaine d’application
Le présent document fournit des lignes directrices pour le développement et la maintenance des plans
et procédures de continuité d’activité. Il s’applique à tous les organismes quels que soient leur type, leur
taille et leur nature appartenant au secteur privé, public ou associatif, qui souhaitent développer de
façon cohérente des plans et procédures efficaces de continuité d’activité.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO 22300 s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l'adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
4 Prérequis
4.1 Généralités
Bien que les présentes lignes directrices soient cohérentes avec l'ISO 22301, elles peuvent être utilisées
pour développer et maintenir les plans et procédures de continuité d’activité visant à s’aligner sur
d’autres normes, obligations ou exigences réglementaires ou à y souscrire. Quelle que soit l'approche
retenue, plusieurs prérequis doivent être satisfaits. Il convient que l’organisme:
— comprenne les besoins et les attentes des parties intéressées (4.2);
— détermine et sélectionne une stratégie (4.3);
— définisse et communique les rôles et responsabilités des personnes devant développer les plans (4.4);
— alloue les ressources adéquates au développement et à la maintenance des plans (4.5).
4.2 Parties intéressées
Il convient de traiter les besoins et les attentes des parties intéressées dans le cadre de la continuité
d’activité. C’est pourquoi il convient que l’organisme identifie ses parties intéressées et détermine leurs
exigences concernant la réponse et l'effort de rétablissement pendant une perturbation.
4.3 Identifier les stratégies et solutions de continuité d’activité approuvées
Avant de développer des plans et procédures de continuité d’activité, il convient que l’organisme
ait déterminé, sélectionné et approuvé des stratégies et solutions de continuité d’activité incluant
l’identification:
— de modalités de travail alternatives pour faire face à la perte ou à l’inaccessibilité des locaux;
— de dispositions pour faire face à une indisponibilité de personnel;
— des capacités de rétablissement des actifs et services de technologie perturbés, y compris les
données et les communications;
— de moyens alternatifs permettant de livrer les produits et fournir les services en cas de perturbation
d'un fournisseur.
NOTE Voir ISO 22301 et ISO 22331.
4.4 Développement du plan de continuité d’activité, rôles et compétences
Il convient que la direction affecte une personne dotée de l’autorité appropriée à la supervision d’une
équipe chargée d’élaborer les plans et procédures de continuité d’activité englobant le domaine
d’application du système de management de la continuité d’activité (SMCA).
Les rôles ou tâches nécessaires à l’élaboration des plans et procédures de continuité d’activité peuvent
inclure:
— la gestion des projets de planification de la continuité d’activité;
— la conception d’un modèle de plan permettant d’assurer une cohérence;
— l’apport de contenu aux plans et procédures de continuité d’activité;
— l’approbation des plans et procédures de continuité d’activité.
Il convient que l’organisme s’assure de la compétence des personnes qui dirigent le développement et
la maintenance des plans et procédures de continuité d’activité ainsi que de celles qui y participent. Il
convient que ces compétences incluent:
— une bonne compréhension de l’organisme;
— la planification, la gestion et la collaboration de projets;
— le rassemblement d’informations;
— la compréhension des processus de l'organisme et des flux;
— une communication orale et écrite efficace;
— les méthodes et techniques nécessaires pour gérer la réponse à une perturbation.
2 © ISO 2021 – Tous droits réservés
4.5 Ressources pour le développement et la maintenance des plans et procédures de
continuité d’activité
Il convient que l’organisme détermine et apporte les ressources nécessaires pour développer et
maintenir les plans et procédures de continuité d’activité qui lui permettront:
— de se conformer à sa propre politique de continuité d’activité et d’atteindre ses objectifs de continuité
d’activité;
— d'activer au moment opportun ses stratégies et solutions de réponse et de rétablissement;
— de maintenir la mobilisation de la réponse;
— d'assurer l’amélioration continue de ses plans et procédures de continuité d’activité (en effectuant
régulièrement des tests, par exemple).
Les ressources incluent le temps de personnel et les ressources financières nécessaires pour documenter
et maintenir les plans et procédures de continuité d’activité.
5 Réponse
5.1 Généralités
Pendant une perturbation, il convient que les plans et procédures de continuité d’activité:
— permettent à l’organisme de prendre des décisions en temps utile;
— soient suffisamment flexibles pour s’adapter à des situations imprévues et évolutives;
— se focalisent sur l'objectif de minimiser les effets anticipés des perturbations;
— fassent usage, dans les cas appropriés, des stratégies et solutions de continuité d’activité préparées
pour réduire le plus possible les impacts;
— identifient les rôles et attribuent les responsabilités pour toutes les activités de réponse;
— disposent des ressources disponibles nécessaires pour soutenir les activités de réponse.
5.2 Structure de réponse
Il convient que l’organisme établisse une structure de réponse consistant en une ou plusieurs équipes,
chacune soutenue par un ensemble de plans et procédures documentés. En collaborant entre elles
pendant une perturbation, ces équipes permettront à l’organisme:
— d’identifier, de faire remonter et de gérer l’incident;
— de gérer les besoins de toutes les parties intéressées;
— de reprendre la livraison des produits et la fourniture des services dans des délais prédéterminés à
un niveau acceptable.
Si la nature de l’incident menace des vies ou des actifs, des actions immédiates peuvent être engagées
pour les protéger.
Une structure hiérarchique d’équipes peut être créée, comprenant:
— Une équipe stratégique: équipe de la direction, qui, si nécessaire, gère les problèmes stratégiques
de l’incident, notamment ceux extérieurs à l’organisme, tels que la communication, l’aspect
réglementaire et la réputation. La direction peut choisir de déléguer à une équipe de communication
séparée l’envoi des messages internes et externes.
— Une ou plusieurs équipes tactiques: une équipe de management, ou plusieurs équipes, qui gèrent la
réponse interne à l’incident et le rétablissement des activités. La ou les équipes tactiques analysent
l’impact de l’incident et dirigent les équipes opérationnelles dans la mise en œuvre des solutions
appropriées parmi celles disponibles, assurent la reprise en temps utile de la livraison des produits
et de la fourniture des services et rendent compte à l’équipe stratégique de leur progression.
— Équipes opérationnelles: chaque service ou unité fonctionnelle peut disposer de plans qui, selon sa
fonction, décrivent la manière dont l’équipe répondra aux perturbations. Elles fonctionnent sous la
direction d’une équipe tactique, à qui elles rendent compte de leur progression.
Dans un organisme de petite taille, une équipe unique peut suffire à gérer tous les aspects de la réponse.
5.3 Compétence des membres des équipes
Pour satisfaire aux objectifs des équipes, il convient d’accorder une grande attention à la sélection de
leurs membres. Le Tableau 1 souligne les qualités nécessaires aux membres de chaque équipe.
Tableau 1 — Caractéristiques des membres des équipes
Niveau Compétence des membres
Équipe stratégique — comprendre les buts stratégiques de l’organisme;
— connaître leurs responsabilités et être aptes à les exercer;
— assurer la supervision des équipes;
— être capable de prendre des décisions sous la pression;
— être apte à anticiper le ou les impacts possibles sur l’organisme.
Équipe tactique — connaître leurs responsabilités et être aptes à les exercer;
— comprendre les relations entre les équipes et les plans;
— savoir coordonner des activités multiples au même moment et communiquer avec les
équipes stratégiques, tactiques et opérationnelles;
— comprendre les complexités de l’organisme et les conséquences des décisions;
— être apte à travailler et prendre des décisions sous la pression;
— démontrer une capacité de résolution pragmatique des problèmes;
— savoir remettre en question les décisions.
Équipe opération- — connaître leurs responsabilités et être aptes à les exercer;
nelle
— être apte à travailler avec précision et méthode sous la pression;
— suivre les instructions avec discipline;
— être aptes à faire remonter les préoccupations ou les problèmes.
6 Types de plans et procédures des équipes de continuité d’activité
6.1 Généralités
Les procédures sont documentées dans des plans.
Chaque équipe a besoin d’un plan pour s'assurer qu’elle:
— comprend son domaine d’action, ses objectifs et ses responsabilités;
4 © ISO 2021 – Tous droits réservés
— a immédiatement les informations disponibles qui lui permettront d’exécuter les tâches qui lui sont
assignées.
Le contenu de chaque plan sera donc différent, même s'il convient qu'une structure commune à tous les
plans de l’organisme soit disponible pour faciliter leur compréhension et leur maintenance et assurer
leur cohérence.
6.2 Plan de l’équipe stratégique
6.2.1 Objet
Le plan de l’équipe stratégique assure que la réponse de l’organisme à un incident est coordonnée,
efficace et menée en temps utile. Il convient que les procédures incluent la base pour gérer tous les
problèmes auxquels l’organisme peut être confronté lors d’un incident. Les plans stratégiques aident la
direction à:
— gérer la direction stratégique de l’organisme pendant l’incident;
— surveiller la gravité de la perturbation;
— maintenir sa réputation par des communications internes et externes en direction des parties
intéressées;
— assurer une conformité continue de l’organisme aux exigences réglementaires et juridiques.
6.2.2 Composition de l’équipe
L’équipe stratégique est composée de la direction. Une expertise additionnelle peut être apportée selon
la nature de la perturbation et la compétence requise.
La responsabilité d'initier et diriger la réponse peut être confiée à un membre de la direction en
impliquant les caractéristiques suivantes:
— aptitude à prendre des décisions sous la pression;
— prendre des décisions alors que les informations présentes peuvent être déficientes, erronées ou
retardées;
— gérer des personnes travaillant sous stress.
Certains organismes plus complexes peuvent mettre en place des équipes stratégiques locales,
régionales ou mondiales.
Il convient que l’équipe stratégique bénéficie d’un support administratif approprié.
6.2.3 Propriétaire
Il convient d’attribuer la propriété du plan stratégique à un membre de la direction.
6.3 Plans des équipes tactiques
6.3.1 Objet
Les plans des équipes tactiques fournissent des recommandations pour gérer et coordonner la
continuité des processus et activités nécessaires à la livraison des produits et à la fourniture des
services, ainsi que pour assurer que les ressources sont allouées de façon appropriée. Les plans des
équipes tactiques sont plus généraux ou de portée plus large que les plans opérationnels. Il convient
que chaque plan d’équipe définisse clairement les interrelations des membres de l’équipe avec les plans
stratégiques et opérationnels. Les organismes moins complexes peuvent définir tous leurs plans comme
des plans opérationnels.
Un exemple de plan tactique inclut la coordination:
— de la manière dont le personnel de plusieurs unités fonctionnelles sera transporté vers un site
alternatif;
— des ressources nécessaires pour soutenir plusieurs unités fonctionnelles;
— avec d’autres équipes tactiques pour assurer que les activités prioritaires fonctionnent comme
définies dans les plans opérationnels et qu’elles peuvent être rétablies.
6.3.2 Composition de l’équipe
Une équipe tactique sera constituée de cadres supérieurs ou de responsables d’unités fonctionnelles
qui se réunissent pour prendre des décisions sur plusieurs plans opérationnels. Certains organismes
plus complexes peuvent établir des plans tactiques dirigés par des chefs de division ou des chefs de
produits et services responsables des domaines traités par le plan.
6.3.3 Propriétaire
Il convient d’attribuer la propriété et la maintenance du plan d’une équipe tactique à la personne ayant
l’autorité pour prendre les décisions pour le compte du domaine qui fait l’objet de la coordination.
6.4 Plans des équipes opérationnelles
6.4.1 Objet
Les plans des équipes opérationnelles fournissent des recommandations axées sur l’action et des
informations aidant chaque équipe à répondre aux effets immédiats d’une perturbation en la contenant
dans la mesure du possible et en en gérant les conséquences directes pour assurer la livraison des
produits et la fourniture des services. Il convient que chaque plan d’équipe définisse clairement les
interrelations des membres de l’équipe avec les plans stratégiques et tactiques de l’organisme.
Un exemple de plan opérationnel peut inclure:
— un plan de réponse d'urgence décrivant les tâches et les étapes nécessaires à la réponse visant à
protéger la sécurité des personnes et à sécuriser l’installation;
— un plan de rétablissement de l’unité fonctionnelle décrivant les étapes permettant de se rétablir et
de reprendre les activités commerciales;
— un plan de rétablissement de la technologie décrivant les étapes permettant de restaurer
l’infrastructure technologique.
6.4.2 Composition de l’équipe
Une équipe opérationnelle peut être dirigée par le chef de l’unité fonctionnelle (ou son délégué) et
comprendre des membres sélectionnés parmi le personnel de cette unité fonctionnelle.
6.4.3 Propriétaire
Il convient que le propriétaire d’un plan opérationnel soit le chef de l’unité fonctionnelle ou un autre
membre du personnel ayant une connaissance pratique détaillée des activités nécessaires à la reprise
des opérations, ainsi que de l’exécution du plan et des procédures. Le propriétaire est également
responsable de la maintenance du plan.
6 © ISO 2021 – Tous droits réservés
7 Contenu du plan et des procédures de continuité d’activité
7.1 Généralités
Les équipes auront des responsabilités communes, et les membres d’une équipe peuvent avoir des
rôles spécifiques, c’est pourquoi le plan de chaque équipe peut être créé en incorporant les sections
pertinentes parmi celles décrites aux paragraphes 7.2 et 7.3. Ces sections seront:
a) soit communes à tous les plans ou à la plupart d’entre eux;
b) soit spécifiques à un plan ou à quelques-uns.
Tout plan peut comprendre toutes les sections communes de 7.2 et les procédures spécifiques
pertinentes de 7.3. Il convient d’ordonner les sections du plan de manière à faciliter son utilisation.
7.2 Sections communes
7.2.1 Objet
Il convient que l’objet du plan soit un énoncé court indiquant le but du plan, son domaine d’application et
les exclusions éventuelles. L’introduction peut également fournir une vue d'ensemble des responsabilités
assignées pour l’exécution du plan et des procédures.
7.2.2 Objectifs
Il convient que chaque plan de continuité d’activité contienne une liste d’objectifs qui définissent les
résultats à atteindre lors de l'utilisation du plan.
Des exemples d’objectifs peuvent être les suivants:
— assurer la sûreté et la sécurité des personnes et des actifs;
— rétablir les activités selon des objectifs de délais de reprise convenus;
— fournir des informations sur les solutions de lieux de travail alternatifs;
— rétablir les applications, les données et la connectivité;
— fournir des communications aux parties intéressées;
— protéger l’image et la réputation de l’organisme.
7.2.3 Présupposés
Chaque plan est fondé sur le postulat que les solutions qu’il décrit sont disponibles lorsqu’il est activé.
Des exemples de postulats peuvent être les suivants:
— les financements sont disponibles;
— un lieu de travail alternatif est disponible;
— le personnel affecté est formé.
7.2.4 Activation et convocation de l’équipe
Il convient d’inclure dans chaque plan des critères d’activation de l’équipe et une procédure de
notification et de mobilisation de ses membres.
7.2.5 Rôles et responsabilités des membres de l’équipe
Les rôles et responsabilités de l’équipe peuvent être assignés individuellement à ses membres. Des
membres suppléants devraient également être déterminés pour chaque rôle. Il convient d’attribuer
des titres ou des noms d'organisme à chaque rôle. Dans les organismes dont l’activité est répartie sur
plusieurs sites, on peut aussi envisager la désignation d’un suppléant provenant d’un site différent et
pour un deuxième ou troisième rôle.
Des exemples de rôles et de responsabilités au sein d’un plan de continuité d’activité peuvent être les
suivants:
— Propriétaire du plan: Assure que le plan est en place, qu’il est à jour et qu’il fait l’objet d’exercices. Ce
rôle peut devenir celui du chef d’équipe au moment d'un incident.
— Chef d’équipe: Coordonne et supervise l’équipe dans l’exécution des procédures de rétablissement
documentées.
— Membre d'équipe: Exécute les procédures de continuité d’activité en rétablissant les activités
professionnelles et les ressources dans le cadre des objectifs de délai de rétablissement convenus.
7.2.6 Tâches
Il convient que les tâches traitent les actions destinées à atteindre les objectifs du plan. Il convient
qu’elles fassent référence à d’autres documents ou procédures lorsque nécessaire. Il convient également
qu’elles permettent une flexibilité en cas d’événements imprévus.
7.2.7 Communications
Il convient que le plan inclue des mécanismes qui seront utilisés pour communiquer entre les membres
de l’équipe et avec les autres équipes. Cela inclut les rapports aux échelons supérieurs et inférieurs au
sein de la hiérarchie des équipes de réponse et de rétablissement.
Il convient d’inclure dans les plans des procédures traitant les aspects suivants:
— communication entre les membres de l’équipe lorsqu’ils sont répartis sur des sites séparés;
— rapports réguliers sur la situation de l’équipe;
— remontée des problèmes, par exemple l’indisponibilité de ressources;
— protocoles de communication avec les parties intéressées;
— moyens de communication alternatifs.
7.2.8 Interrelations avec les autres plans
Il convient d’identifier les interrelations et les dépendances entre plans.
Lors du développement des plans, il convient que l'organisme prenne en compte la manière dont ils
affectent d'autres plans et procédures, par exemple:
— phasage (c’est-à-dire quelle procédure est nécessaire avant de pouvoir réaliser une autre procédure);
— impact sur les parties intéressées de l’organisme.
7.2.9 Démobilisation de l’équipe
Il convient que le plan comporte une procédure de démobilisation formelle de l’équipe selon des critères
prédéfinis.
8 © ISO 2021 – Tous droits réservés
7.2.10 Informations sur les ressources
Il convient d’inclure dans le plan les ressources, les solutions alternatives et les voies de contournement
dont dispose l’équipe pour atteindre les objectifs fixés. Il peut s’agir des éléments suivants:
— locaux;
— personnes;
— technologie;
— fournisseurs;
— sources d’information;
— transports.
Il convient d’identifier la quantité de ressources nécessaires dans la durée et il peut être nécessaire de
procéder à une quantification par emplacement.
7.2.11 Informations de contact
Il convient d’inclure dans les informations de contact:
— les membres de l’équipe et les suppléants;
— les autres équipes qui sont en interdépendance;
Certains plans peuvent inclure des informations de contact sur:
— le personnel de l’unité fonctionnelle;
— les sources d’alerte et d’information, les services d’urgence, les services publics;
— les juristes, les régulateurs, les autorités locales;
— les fournisseurs, les prestataires;
— les contacts avec les médias;
— d'autres parties intéressées.
NOTE L’enregistrement et le stockage sécurisé des informations de contact peuvent être soumis à des
réglementations sur le respect de la vie privée. L’organisme devra assurer leur réelle disponibilité pendant une
perturbation.
7.2.12 Annexes
Le plan peut comporter des annexes telles que:
— un journal des événements vierge à remplir lors d’une perturbation;
— des cartes des emplacements alternatifs;
— le contenu de la boîte à outils de l’équipe;
— des listes de contrôle;
— un agenda des réunions.
7.2.13 Contrôle de version
Il convient d’inclure un contrôle de version dans le plan.
Il convient de mettre en place une procédure pour assurer que le plan le plus récent est en usage qu'il
est distribué aux membres de l’équipe.
7.2.14 Contrôle et distribution du plan
Il convient d’identifier dans chaque plan:
— le propriétaire du plan;
— la personne chargée de la maintenance du plan;
— les personnes ayant accès au plan en lecture ou en mise à jour;
— la classification de la confidentialité de sécurité;
— la manière dont la circulation est contrôlée.
7.3 Procédures spécifiques
7.3.1 Procédures de réponse d’urgence
Les procédures de réponse d’urgence peuvent inclure:
— la réponse aux systèmes d’avertissement;
— l’évaluation des impacts par rapport à des critères d’escalade;
— l'assurance que la première priorité est la sécurité des vies;
— les procédures prévenant ou réduisant au minimum les dommages à l’organisme et à ses actifs;
— les réponses spécifiques à un événement (des risques différents déclenchent des réponses différentes,
par exemple séisme, incendie, évacuation);
— la restauration des installations endommagées.
7.3.2 Procédures de communication
Les procédures de communication interne peuvent inclure:
— les méthodes de communication interne (par exemple intranet, message préenregistré
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...