ISO 22301:2019
(Main)Security and resilience — Business continuity management systems — Requirements
Security and resilience — Business continuity management systems — Requirements
This document specifies requirements to implement, maintain and improve a management system to protect against, reduce the likelihood of the occurrence of, prepare for, respond to and recover from disruptions when they arise. The requirements specified in this document are generic and intended to be applicable to all organizations, or parts thereof, regardless of type, size and nature of the organization. The extent of application of these requirements depends on the organization's operating environment and complexity. This document is applicable to all types and sizes of organizations that: a) implement, maintain and improve a BCMS; b) seek to ensure conformity with stated business continuity policy; c) need to be able to continue to deliver products and services at an acceptable predefined capacity during a disruption; d) seek to enhance their resilience through the effective application of the BCMS. This document can be used to assess an organization's ability to meet its own business continuity needs and obligations.
Sécurité et résilience — Systèmes de management de la continuité d'activité — Exigences
Le présent document spécifie les exigences pour mettre en œuvre, maintenir et améliorer un système de management afin de se protéger contre les perturbations, réduire la vraisemblance de leur survenance, s'y préparer, y répondre et se rétablir lorsqu'elles se produisent. Les exigences spécifiées dans le présent document sont génériques et prévues pour être applicables à tous les organismes, ou à des parties de ceux-ci, indépendamment du type, de la taille et de la nature de l'organisme. Le champ d'application de ces exigences dépend de l'environnement et de la complexité de fonctionnement de l'organisme. Le présent document est applicable à tous les types et toutes les tailles d'organismes qui: a) mettent en œuvre, maintiennent et améliorent un SMCA; b) cherchent à assurer la conformité à la politique de continuité d'activité déclarée; c) ont besoin d'être aptes à poursuivre la livraison de produits et la fourniture de services à un niveau de capacité acceptable et préalablement défini durant une perturbation; d) cherchent à améliorer leur résilience à travers l'application efficace du SMCA. Le présent document peut être utilisé pour apprécier l'aptitude d'un organisme à satisfaire ses propres besoins et obligations en matière de continuité d'activité.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 22301
Second edition
2019-10
Security and resilience — Business
continuity management systems —
Requirements
Sécurité et résilience — Systèmes de management de la continuité
d'activité — Exigences
Reference number
©
ISO 2019
© ISO 2019
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2019 – All rights reserved
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization . 7
4.1 Understanding the organization and its context . 7
4.2 Understanding the needs and expectations of interested parties . 7
4.2.1 General. 7
4.2.2 Legal and regulatory requirements . 7
4.3 Determining the scope of the business continuity management system . 7
4.3.1 General. 7
4.3.2 Scope of the business continuity management system . 8
4.4 Business continuity management system . 8
5 Leadership . 8
5.1 Leadership and commitment . 8
5.2 Policy . 8
5.2.1 Establishing the business continuity policy . 8
5.2.2 Communicating the business continuity policy . 9
5.3 Roles, responsibilities and authorities . 9
6 Planning . 9
6.1 Actions to address risks and opportunities . 9
6.1.1 Determining risks and opportunities . 9
6.1.2 Addressing risks and opportunities . 9
6.2 Business continuity objectives and planning to achieve them . 9
6.2.1 Establishing business continuity objectives . 9
6.2.2 Determining business continuity objectives.10
6.3 Planning changes to the business continuity management system .10
7 Support .10
7.1 Resources .10
7.2 Competence .10
7.3 Awareness .11
7.4 Communication .11
7.5 Documented information .11
7.5.1 General.11
7.5.2 Creating and updating .11
7.5.3 Control of documented information .12
8 Operation .12
8.1 Operational planning and control .12
8.2 Business impact analysis and risk assessment .12
8.2.1 General.12
8.2.2 Business impact analysis .13
8.2.3 Risk assessment . .13
8.3 Business continuity strategies and solutions .13
8.3.1 General.13
8.3.2 Identification of strategies and solutions .13
8.3.3 Selection of strategies and solutions .14
8.3.4 Resource requirements .14
8.3.5 Implementation of solutions .14
8.4 Business continuity plans and procedures .14
8.4.1 General.14
8.4.2 Response structure .15
8.4.3 Warning and communication .15
8.4.4 Business continuity plans .16
8.4.5 Recovery .17
8.5 Exercise programme .17
8.6 Evaluation of business continuity documentation and capabilities .17
9 Performance evaluation .17
9.1 Monitoring, measurement, analysis and evaluation .17
9.2 Internal audit .18
9.2.1 General.18
9.2.2 Audit programme(s) .18
9.3 Management review .18
9.3.1 General.18
9.3.2 Management review input .18
9.3.3 Management review outputs .19
10 Improvement .19
10.1 Nonconformity and corrective action .19
10.2 Continual improvement .20
Bibliography .21
iv © ISO 2019 – All rights reserved
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see ww
...
INTERNATIONAL ISO
STANDARD 22301
Second edition
2019-10
Security and resilience — Business
continuity management systems —
Requirements
Sécurité et résilience — Systèmes de management de la continuité
d'activité — Exigences
Reference number
©
ISO 2019
© ISO 2019
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2019 – All rights reserved
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization . 7
4.1 Understanding the organization and its context . 7
4.2 Understanding the needs and expectations of interested parties . 7
4.2.1 General. 7
4.2.2 Legal and regulatory requirements . 7
4.3 Determining the scope of the business continuity management system . 7
4.3.1 General. 7
4.3.2 Scope of the business continuity management system . 8
4.4 Business continuity management system . 8
5 Leadership . 8
5.1 Leadership and commitment . 8
5.2 Policy . 8
5.2.1 Establishing the business continuity policy . 8
5.2.2 Communicating the business continuity policy . 9
5.3 Roles, responsibilities and authorities . 9
6 Planning . 9
6.1 Actions to address risks and opportunities . 9
6.1.1 Determining risks and opportunities . 9
6.1.2 Addressing risks and opportunities . 9
6.2 Business continuity objectives and planning to achieve them . 9
6.2.1 Establishing business continuity objectives . 9
6.2.2 Determining business continuity objectives.10
6.3 Planning changes to the business continuity management system .10
7 Support .10
7.1 Resources .10
7.2 Competence .10
7.3 Awareness .11
7.4 Communication .11
7.5 Documented information .11
7.5.1 General.11
7.5.2 Creating and updating .11
7.5.3 Control of documented information .12
8 Operation .12
8.1 Operational planning and control .12
8.2 Business impact analysis and risk assessment .12
8.2.1 General.12
8.2.2 Business impact analysis .13
8.2.3 Risk assessment . .13
8.3 Business continuity strategies and solutions .13
8.3.1 General.13
8.3.2 Identification of strategies and solutions .13
8.3.3 Selection of strategies and solutions .14
8.3.4 Resource requirements .14
8.3.5 Implementation of solutions .14
8.4 Business continuity plans and procedures .14
8.4.1 General.14
8.4.2 Response structure .15
8.4.3 Warning and communication .15
8.4.4 Business continuity plans .16
8.4.5 Recovery .17
8.5 Exercise programme .17
8.6 Evaluation of business continuity documentation and capabilities .17
9 Performance evaluation .17
9.1 Monitoring, measurement, analysis and evaluation .17
9.2 Internal audit .18
9.2.1 General.18
9.2.2 Audit programme(s) .18
9.3 Management review .18
9.3.1 General.18
9.3.2 Management review input .18
9.3.3 Management review outputs .19
10 Improvement .19
10.1 Nonconformity and corrective action .19
10.2 Continual improvement .20
Bibliography .21
iv © ISO 2019 – All rights reserved
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see ww
...
INTERNATIONAL ISO
STANDARD 22301
Redline version
compares Second edition to
First edition
Security and resilience — Business
continuity management systems —
Requirements
Sécurité et résilience — Systèmes de management de la continuité
d'activité — Exigences
Reference number
ISO 22301:redline:2019(E)
©
ISO 2019
ISO 22301:redline:2019(E)
IMPORTANT
This marked-up version uses the following colour-coding in the marked-up text:
Text example 1 — Text has been added (in green)
— Text has been deleted (in red)
Text example 2
— Graphic figure has been added
— Graphic figure has been deleted
1.x . — If there are changes in a clause/subclause, the corresponding clause/
subclause number is highlighted in yellow in the Table of contents
DISCLAIMER
This marked-up version highlights the main changes in this edition of the document
compared with the previous edition. It does not focus on details (e.g. changes in
punctuation).
This marked-up version does not constitute the official ISO document and is not intended to
be used for implementation purposes.
© ISO 2019
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2019 – All rights reserved
ISO 22301:redline:2019(E)
Contents Page
Foreword .v
Introduction .vi
0.1 General .vi
0.2 The Plan-Do-Check-Act (PDCA) model.vi
0.3 Components of PDCA in this International Standard . vii
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization .11
4.1 Understanding of the organization and its context .11
4.2 Understanding the needs and expectations of interested parties .11
4.2.1 General.11
4.2.2 Legal and regulatory requirements .11
4.3 Determining the scope of the business continuity management system .12
4.3.1 General.12
4.3.2 Scope of the BCMS business continuity management system .12
4.4 Business continuity management system .13
5 Leadership .13
5.1 Leadership and commitment .13
5.2 5.1 Management Leadership and commitment .13
5.3 5.2 Policy .14
5.2.1 Establishing the business continuity policy .14
5.2.2 Communicating the business continuity policy .14
5.4 5.3 Organizational roles Roles, responsibilities and authorities .14
6 Planning .15
6.1 Actions to address risks and opportunities .15
6.1.1 Determining risks and opportunities .15
6.1.2 Addressing risks and opportunities .15
6.2 Business continuity objectives and plans planning to achieve them .15
6.2.1 Establishing business continuity objectives .16
6.2.2 Determining business continuity objectives.16
6.3 Planning changes to the business continuity management system .17
7 Support .17
7.1 Resources .17
7.2 Competence .17
7.3 Awareness .17
7.4 Communication .17
7.5 Documented information .18
7.5.1 General.18
7.5.2 Creating and updating .18
7.5.3 Control of documented information .19
8 Operation .20
8.1 Operational planning and control .20
8.2 Business impact analysis and risk assessment .20
8.2.1 General.20
8.2.2 Business impact analysis .20
8.2.3 Risk assessment . .21
8.3 Business continuity strategy strategies and solutions .21
8.3.1 Determination and selection General .21
8.3.2 Identification of strategies and solutions .22
8.3.3 Selection of strategies and solutions .22
ISO 22301:redline:2019(E)
8.3.2 8.3.4 Establishing resource Resource requirements .22
8.3.3 8.3.5 Protection and mitigation Implementation of solutions .22
8.4 Establish and implement business continuity Business continuity plans and procedures 23
8.4.1 General.23
8.4.2 Incident response Response structure .23
8.4.3 Warning and communication .24
8.4.4 Business continuity plans .25
8.4.5 Recovery .27
8.5 Exercising and testing Exercise programme .27
8.6 Evaluation of business continuity documentation and capabilities .27
9 Performance evaluation .28
9.1 Monitoring, measurement, analysis and evaluation .28
9.1.1 General.28
9.1.2 Evaluation of business continuity procedures .28
9.2 Internal audit .29
9.2.1 General.30
9.2.2 Audit programme(s) .30
9.3 Management review .30
9.3.1 General.32
9.3.2 Management review input .32
9.3.3 Management review outputs .32
10 Improvement .33
10.1 Nonconformity and corrective action .33
10.2 Continual improvement .
...
INTERNATIONAL ISO
STANDARD 22301
Redline version
compares Second edition to
First edition
Security and resilience — Business
continuity management systems —
Requirements
Sécurité et résilience — Systèmes de management de la continuité
d'activité — Exigences
Reference number
ISO 22301:redline:2019(E)
©
ISO 2019
ISO 22301:redline:2019(E)
IMPORTANT
This marked-up version uses the following colour-coding in the marked-up text:
Text example 1 — Text has been added (in green)
— Text has been deleted (in red)
Text example 2
— Graphic figure has been added
— Graphic figure has been deleted
1.x . — If there are changes in a clause/subclause, the corresponding clause/
subclause number is highlighted in yellow in the Table of contents
DISCLAIMER
This marked-up version highlights the main changes in this edition of the document
compared with the previous edition. It does not focus on details (e.g. changes in
punctuation).
This marked-up version does not constitute the official ISO document and is not intended to
be used for implementation purposes.
© ISO 2019
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2019 – All rights reserved
ISO 22301:redline:2019(E)
Contents Page
Foreword .v
Introduction .vi
0.1 General .vi
0.2 The Plan-Do-Check-Act (PDCA) model.vi
0.3 Components of PDCA in this International Standard . vii
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization .11
4.1 Understanding of the organization and its context .11
4.2 Understanding the needs and expectations of interested parties .11
4.2.1 General.11
4.2.2 Legal and regulatory requirements .11
4.3 Determining the scope of the business continuity management system .12
4.3.1 General.12
4.3.2 Scope of the BCMS business continuity management system .12
4.4 Business continuity management system .13
5 Leadership .13
5.1 Leadership and commitment .13
5.2 5.1 Management Leadership and commitment .13
5.3 5.2 Policy .14
5.2.1 Establishing the business continuity policy .14
5.2.2 Communicating the business continuity policy .14
5.4 5.3 Organizational roles Roles, responsibilities and authorities .14
6 Planning .15
6.1 Actions to address risks and opportunities .15
6.1.1 Determining risks and opportunities .15
6.1.2 Addressing risks and opportunities .15
6.2 Business continuity objectives and plans planning to achieve them .15
6.2.1 Establishing business continuity objectives .16
6.2.2 Determining business continuity objectives.16
6.3 Planning changes to the business continuity management system .17
7 Support .17
7.1 Resources .17
7.2 Competence .17
7.3 Awareness .17
7.4 Communication .17
7.5 Documented information .18
7.5.1 General.18
7.5.2 Creating and updating .18
7.5.3 Control of documented information .19
8 Operation .20
8.1 Operational planning and control .20
8.2 Business impact analysis and risk assessment .20
8.2.1 General.20
8.2.2 Business impact analysis .20
8.2.3 Risk assessment . .21
8.3 Business continuity strategy strategies and solutions .21
8.3.1 Determination and selection General .21
8.3.2 Identification of strategies and solutions .22
8.3.3 Selection of strategies and solutions .22
ISO 22301:redline:2019(E)
8.3.2 8.3.4 Establishing resource Resource requirements .22
8.3.3 8.3.5 Protection and mitigation Implementation of solutions .22
8.4 Establish and implement business continuity Business continuity plans and procedures 23
8.4.1 General.23
8.4.2 Incident response Response structure .23
8.4.3 Warning and communication .24
8.4.4 Business continuity plans .25
8.4.5 Recovery .27
8.5 Exercising and testing Exercise programme .27
8.6 Evaluation of business continuity documentation and capabilities .27
9 Performance evaluation .28
9.1 Monitoring, measurement, analysis and evaluation .28
9.1.1 General.28
9.1.2 Evaluation of business continuity procedures .28
9.2 Internal audit .29
9.2.1 General.30
9.2.2 Audit programme(s) .30
9.3 Management review .30
9.3.1 General.32
9.3.2 Management review input .32
9.3.3 Management review outputs .32
10 Improvement .33
10.1 Nonconformity and corrective action .33
10.2 Continual improvement .
...
NORME ISO
INTERNATIONALE 22301
Deuxième édition
2019-10
Sécurité et résilience — Systèmes
de management de la continuité
d'activité — Exigences
Security and resilience — Business continuity management systems
— Requirements
Numéro de référence
©
ISO 2019
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2019
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2019 – Tous droits réservés
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Contexte de l’organisme . 7
4.1 Compréhension de l’organisme et de son contexte . 7
4.2 Compréhension des besoins et attentes des parties intéressées . 7
4.2.1 Généralités . 7
4.2.2 Exigences réglementaires et juridiques . 8
4.3 Détermination du domaine d’application du système de management de la
continuité d’activité . 8
4.3.1 Généralités . 8
4.3.2 Domaine d’application du système de management de la continuité d’activité . 8
4.4 Système de management de la continuité d’activité . 8
5 Leadership . 8
5.1 Leadership et engagement. 8
5.2 Politique . 9
5.2.1 Établissement de la politique de continuité d’activité . 9
5.2.2 Communication de la politique de continuité d’activité . 9
5.3 Rôles, responsabilités et autorités . 9
6 Planification .10
6.1 Actions face aux risques et opportunités .10
6.1.1 Détermination des risques et opportunités .10
6.1.2 Gestion des risques et opportunités .10
6.2 Objectifs de continuité d’activité et planification pour les atteindre .10
6.2.1 Établissement des objectifs de continuité d’activité .10
6.2.2 Détermination des objectifs de continuité d’activité .10
6.3 Planification des modifications du système de management de la continuité d’activité .11
7 Support .11
7.1 Ressources .11
7.2 Compétences .11
7.3 Sensibilisation (prise de conscience) .11
7.4 Communication .12
7.5 Informations documentées .12
7.5.1 Généralités .12
7.5.2 Création et mise à jour .12
7.5.3 Maîtrise des informations documentées .12
8 Fonctionnement .13
8.1 Planification opérationnelle et maîtrise .13
8.2 Bilan d’impact sur l’activité et appréciation du risque.13
8.2.1 Généralités .13
8.2.2 Bilan d’impact sur l’activité .13
8.2.3 Appréciation du risque .14
8.3 Stratégies et solutions de continuité d’activité .14
8.3.1 Généralités .14
8.3.2 Identification des stratégies et solutions .14
8.3.3 Sélection des stratégies et solutions .15
8.3.4 Exigences de ressources .15
8.3.5 Mise en œuvre des solutions .15
8.4 Plans et procédures de continuité d’activité .15
8.4.1 Généralités .15
8.4.2 Structure de réponse .16
8.4.3 Avertissement et communication .16
8.4.4 Plans de continuité d’activité .17
8.4.5 Rétablissement .18
8.5 Programme d’exercices.18
8.6 Évaluation de la documentation et des capacités de continuité d’activité .18
9 Évaluation de la performance .19
9.1 Surveillance, mesurage, analyse et évaluation .19
9.2 Audit interne .19
9.2.1 Généralités .19
9.2.2 Programme(s) d’audit .19
9.3 Revue de direction .20
9.3.1 Généralités .20
9.3.2 Éléments d’entrée de la revue de direction .20
9.3.3 Éléments de sortie de la revue de direction .20
10 Amélioration .21
10.1 Non-conformité et actions correctives .21
10.2 Amélioration continue .21
Bibliographie .22
iv © ISO 2019 – Tous droits réservés
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuve
...
NORME ISO
INTERNATIONALE 22301
Deuxième édition
2019-10
Sécurité et résilience — Systèmes
de management de la continuité
d'activité — Exigences
Security and resilience — Business continuity management systems
— Requirements
Numéro de référence
©
ISO 2019
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2019
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2019 – Tous droits réservés
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Contexte de l’organisme . 7
4.1 Compréhension de l’organisme et de son contexte . 7
4.2 Compréhension des besoins et attentes des parties intéressées . 7
4.2.1 Généralités . 7
4.2.2 Exigences réglementaires et juridiques . 8
4.3 Détermination du domaine d’application du système de management de la
continuité d’activité . 8
4.3.1 Généralités . 8
4.3.2 Domaine d’application du système de management de la continuité d’activité . 8
4.4 Système de management de la continuité d’activité . 8
5 Leadership . 8
5.1 Leadership et engagement. 8
5.2 Politique . 9
5.2.1 Établissement de la politique de continuité d’activité . 9
5.2.2 Communication de la politique de continuité d’activité . 9
5.3 Rôles, responsabilités et autorités . 9
6 Planification .10
6.1 Actions face aux risques et opportunités .10
6.1.1 Détermination des risques et opportunités .10
6.1.2 Gestion des risques et opportunités .10
6.2 Objectifs de continuité d’activité et planification pour les atteindre .10
6.2.1 Établissement des objectifs de continuité d’activité .10
6.2.2 Détermination des objectifs de continuité d’activité .10
6.3 Planification des modifications du système de management de la continuité d’activité .11
7 Support .11
7.1 Ressources .11
7.2 Compétences .11
7.3 Sensibilisation (prise de conscience) .11
7.4 Communication .12
7.5 Informations documentées .12
7.5.1 Généralités .12
7.5.2 Création et mise à jour .12
7.5.3 Maîtrise des informations documentées .12
8 Fonctionnement .13
8.1 Planification opérationnelle et maîtrise .13
8.2 Bilan d’impact sur l’activité et appréciation du risque.13
8.2.1 Généralités .13
8.2.2 Bilan d’impact sur l’activité .13
8.2.3 Appréciation du risque .14
8.3 Stratégies et solutions de continuité d’activité .14
8.3.1 Généralités .14
8.3.2 Identification des stratégies et solutions .14
8.3.3 Sélection des stratégies et solutions .15
8.3.4 Exigences de ressources .15
8.3.5 Mise en œuvre des solutions .15
8.4 Plans et procédures de continuité d’activité .15
8.4.1 Généralités .15
8.4.2 Structure de réponse .16
8.4.3 Avertissement et communication .16
8.4.4 Plans de continuité d’activité .17
8.4.5 Rétablissement .18
8.5 Programme d’exercices.18
8.6 Évaluation de la documentation et des capacités de continuité d’activité .18
9 Évaluation de la performance .19
9.1 Surveillance, mesurage, analyse et évaluation .19
9.2 Audit interne .19
9.2.1 Généralités .19
9.2.2 Programme(s) d’audit .19
9.3 Revue de direction .20
9.3.1 Généralités .20
9.3.2 Éléments d’entrée de la revue de direction .20
9.3.3 Éléments de sortie de la revue de direction .20
10 Amélioration .21
10.1 Non-conformité et actions correctives .21
10.2 Amélioration continue .21
Bibliographie .22
iv © ISO 2019 – Tous droits réservés
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuve
...
NORME ISO
INTERNATIONALE 22301
Redline version
compare la Deuxième édition
à la Première édition
Sécurité et résilience — Systèmes
de management de la continuité
d'activité — Exigences
Security and resilience — Business continuity management systems
— Requirements
Numéro de référence
ISO 22301:redline:2019(F)
©
ISO 2019
ISO 22301:redline:2019(F)
IMPORTANT
Exemple de texte 1 — Texte ayant été ajouté (en vert)
Exemple de texte 2 — Texte ayant été supprimé (en rouge)
— Figure graphique ayant été ajoutée
— Figure graphique ayant été supprimée
1.x . — Si des modifications ont été apportées à un article/paragraphe, l’arti-
cle/le paragraphe est mis en évidence en jaune dans le Sommaire
AVERTISSEMENT
Cette version marquée met en évidence les principales modifications dans la présente
édition du document comparée à l’édition précédente. Elle ne reflète pas les détails (par
exemple les changements de ponctuation).
Cette version marquée ne constitue pas le document ISO officiel et n’est pas destinée à être
utilisée à des fins de mise en œuvre.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2019
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en oeuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2019 – Tous droits réservés
ISO 22301:redline:2019(F)
Sommaire Page
Avant-propos .v
Introduction .vii
0.1 Généralités . vii
0.2 Le modèle Planifier-Déployer-Contrôler-Agir (Plan-Do-Check-Act, PDCA) . vii
0.3 Éléments du modèle PDCA dans la présente Norme internationale .viii
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 2
4 Contexte de l'organisation l’organisme .12
4.1 Compréhension de l'organisation l’organisme et de son contexte .12
4.2 Compréhension des besoins et attentes des parties intéressées .12
4.2.1 Généralités .12
4.2.2 Exigences légales et réglementaires réglementaires et juridiques .12
4.3 Détermination du domaine d’application du système de management de la
continuité d'activité d’activité.13
4.3.1 Généralités .13
4.3.2 Domaine d’application du SMCA système de management de la continuité
d’activité .13
4.4 Système de management de la continuité d'activité d’activité .14
5 Leadership .14
5.1 Leadership et engagement.14
5.2 5.1 Engagement de la direction Leadership et engagement .14
5.3 5.2 Politique .15
5.2.1 Établissement de la politique de continuité d’activité .15
5.2.2 Communication de la politique de continuité d’activité .16
5.4 5.3 Rôles, responsabilités et autorités au sein de l’organisation .16
6 Planification .16
6.1 Actions face aux risques et opportunités .16
6.1.1 Détermination des risques et opportunités .16
6.1.2 Gestion des risques et opportunités .17
6.2 Objectifs de continuité d'activité et plans d’activité et planification pour les atteindre .17
6.2.1 Établissement des objectifs de continuité d’activité .17
6.2.2 Détermination des objectifs de continuité d’activité .18
6.3 Planification des modifications du système de management de la continuité d’activité .18
7 Support .18
7.1 Ressources .18
7.2 Compétences .18
7.3 Sensibilisation (prise de conscience) .19
7.4 Communication .19
7.5 Informations documentées .20
7.5.1 Généralités .20
7.5.2 Création et mise à jour .20
7.5.3 Maîtrise des informations documentées .20
8 Fonctionnement .21
8.1 Planification opérationnelle et maîtrise .21
8.2 Analyse des impacts sur l'activité Bilan d’impact sur l’activité et appréciation du
risque . .22
8.2.1 Généralités .22
8.2.2 Analyse des impacts sur l'activité Bilan d’impact sur l’activité .22
8.2.3 Appréciation du risque .23
ISO 22301:redline:2019(F)
8.3 Stratégie Stratégies et solutions de continuité d'activité d’activité .23
8.3.1 Généralités .23
8.3.1 8.3.2 Détermination et choix Identification des stratégies et solutions .23
8.3.3 Sélection des stratégies et solutions .24
8.3.2 8.3.4 Établissement des exigences concernant les Exigences de ressources .24
8.3.3 8.3.5 Protection et atténuation Mise en œuvre des solutions .24
8.4 Établissement et mise en œuvre de Plans et procédures de continuité d'activité
d’activité .25
8.4.1 Généralités .25
8.4.2 Structure de réponse à un incident .25
8.4.3 Avertissement et communication .26
8.4.4 Plans de continuité d'activité d’activité .27
8.4.5 Reprise Rétablissement .29
8.5 Exercices et tests Programme d’exercices .29
8.6 Évaluation de la documentation et des capacités de continuité d’activité .30
9 Évaluation des performances de la performance .30
9.1 Supervision Surveillance, mesurage, analyse et évaluation .30
9.1.1 Généralités .30
9.1.2 Évaluation des procédures de continuité d'activité .31
9.2 Audit interne .31
9.2.1 Généralités .32
9.2.2 Programme(s) d’audit .32
9.3 Revue de direction .33
9.3.1 Généralités .34
9.3.2 Éléments d’entrée de la revue de direction .34
9.3.3 Éléments de sortie de la revue de direction .35
10 Amélioration .35
10.1 Non-conformité et actions correctives .35
10.2 Amélioration continue .
...
NORME ISO
INTERNATIONALE 22301
Redline version
compare la Deuxième édition
à la Première édition
Sécurité et résilience — Systèmes
de management de la continuité
d'activité — Exigences
Security and resilience — Business continuity management systems
— Requirements
Numéro de référence
ISO 22301:redline:2019(F)
©
ISO 2019
ISO 22301:redline:2019(F)
IMPORTANT
Exemple de texte 1 — Texte ayant été ajouté (en vert)
Exemple de texte 2 — Texte ayant été supprimé (en rouge)
— Figure graphique ayant été ajoutée
— Figure graphique ayant été supprimée
1.x . — Si des modifications ont été apportées à un article/paragraphe, l’arti-
cle/le paragraphe est mis en évidence en jaune dans le Sommaire
AVERTISSEMENT
Cette version marquée met en évidence les principales modifications dans la présente
édition du document comparée à l’édition précédente. Elle ne reflète pas les détails (par
exemple les changements de ponctuation).
Cette version marquée ne constitue pas le document ISO officiel et n’est pas destinée à être
utilisée à des fins de mise en œuvre.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2019
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en oeuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2019 – Tous droits réservés
ISO 22301:redline:2019(F)
Sommaire Page
Avant-propos .v
Introduction .vii
0.1 Généralités . vii
0.2 Le modèle Planifier-Déployer-Contrôler-Agir (Plan-Do-Check-Act, PDCA) . vii
0.3 Éléments du modèle PDCA dans la présente Norme internationale .viii
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 2
4 Contexte de l'organisation l’organisme .12
4.1 Compréhension de l'organisation l’organisme et de son contexte .12
4.2 Compréhension des besoins et attentes des parties intéressées .12
4.2.1 Généralités .12
4.2.2 Exigences légales et réglementaires réglementaires et juridiques .12
4.3 Détermination du domaine d’application du système de management de la
continuité d'activité d’activité.13
4.3.1 Généralités .13
4.3.2 Domaine d’application du SMCA système de management de la continuité
d’activité .13
4.4 Système de management de la continuité d'activité d’activité .14
5 Leadership .14
5.1 Leadership et engagement.14
5.2 5.1 Engagement de la direction Leadership et engagement .14
5.3 5.2 Politique .15
5.2.1 Établissement de la politique de continuité d’activité .15
5.2.2 Communication de la politique de continuité d’activité .16
5.4 5.3 Rôles, responsabilités et autorités au sein de l’organisation .16
6 Planification .16
6.1 Actions face aux risques et opportunités .16
6.1.1 Détermination des risques et opportunités .16
6.1.2 Gestion des risques et opportunités .17
6.2 Objectifs de continuité d'activité et plans d’activité et planification pour les atteindre .17
6.2.1 Établissement des objectifs de continuité d’activité .17
6.2.2 Détermination des objectifs de continuité d’activité .18
6.3 Planification des modifications du système de management de la continuité d’activité .18
7 Support .18
7.1 Ressources .18
7.2 Compétences .18
7.3 Sensibilisation (prise de conscience) .19
7.4 Communication .19
7.5 Informations documentées .20
7.5.1 Généralités .20
7.5.2 Création et mise à jour .20
7.5.3 Maîtrise des informations documentées .20
8 Fonctionnement .21
8.1 Planification opérationnelle et maîtrise .21
8.2 Analyse des impacts sur l'activité Bilan d’impact sur l’activité et appréciation du
risque . .22
8.2.1 Généralités .22
8.2.2 Analyse des impacts sur l'activité Bilan d’impact sur l’activité .22
8.2.3 Appréciation du risque .23
ISO 22301:redline:2019(F)
8.3 Stratégie Stratégies et solutions de continuité d'activité d’activité .23
8.3.1 Généralités .23
8.3.1 8.3.2 Détermination et choix Identification des stratégies et solutions .23
8.3.3 Sélection des stratégies et solutions .24
8.3.2 8.3.4 Établissement des exigences concernant les Exigences de ressources .24
8.3.3 8.3.5 Protection et atténuation Mise en œuvre des solutions .24
8.4 Établissement et mise en œuvre de Plans et procédures de continuité d'activité
d’activité .25
8.4.1 Généralités .25
8.4.2 Structure de réponse à un incident .25
8.4.3 Avertissement et communication .26
8.4.4 Plans de continuité d'activité d’activité .27
8.4.5 Reprise Rétablissement .29
8.5 Exercices et tests Programme d’exercices .29
8.6 Évaluation de la documentation et des capacités de continuité d’activité .30
9 Évaluation des performances de la performance .30
9.1 Supervision Surveillance, mesurage, analyse et évaluation .30
9.1.1 Généralités .30
9.1.2 Évaluation des procédures de continuité d'activité .31
9.2 Audit interne .31
9.2.1 Généralités .32
9.2.2 Programme(s) d’audit .32
9.3 Revue de direction .33
9.3.1 Généralités .34
9.3.2 Éléments d’entrée de la revue de direction .34
9.3.3 Éléments de sortie de la revue de direction .35
10 Amélioration .35
10.1 Non-conformité et actions correctives .35
10.2 Amélioration continue .
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.