ISO 22301:2012

INTERNATIONAL ISO
STANDARD 22301
First edition
2012-05-15
Corrected version
2012-06-15
Societal security — Business continuity
management systems — Requirements
Sécurité sociétale — Gestion de la continuité des affaires — Exigences
Reference number
ISO 22301:2012(E)
©
ISO 2012

---------------------- Page: 1 ----------------------
ISO 22301:2012(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2012
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or ISO’s
member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2012 – All rights reserved

---------------------- Page: 2 ----------------------
ISO 22301:2012(E)
Contents Page
Foreword .iv
0 Introduction . v
0.1 General . v
0.2 The Plan-Do-Check-Act (PDCA) model. v
0.3 Components of PDCA in this International Standard . vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization . 8
4.1 Understanding of the organization and its context. 8
4.2 Understanding the needs and expectations of interested parties . 9
4.3 Determining the scope of the business continuity management system . 9
4.4 Business continuity management system .10
5 Leadership .10
5.1 Leadership and commitment .10
5.2 Management commitment .10
5.3 Policy . 11
5.4 Organizational roles, responsibilities and authorities . 11
6 Planning .12
6.1 Actions to address risks and opportunities .12
6.2 Business continuity objectives and plans to achieve them .12
7 Support .12
7.1 Resources .12
7.2 Competence .13
7.3 Awareness .13
7.4 Communication .13
7.5 Documented information .14
8 Operation .15
8.1 Operational planning and control .15
8.2 Business impact analysis and risk assessment .15
8.3 Business continuity strategy .16
8.4 Establish and implement business continuity procedures .17
8.5 Exercising and testing .19
9 Performance evaluation .19
9.1 Monitoring, measurement, analysis and evaluation .19
9.2 Internal audit .20
9.3 Management review .21
10 Improvement .22
10.1 Nonconformity and corrective action .22
10.2 Continual improvement .23
Bibliography .24
© ISO 2012 – All rights reserved iii

---------------------- Page: 3 ----------------------
ISO 22301:2012(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International
Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 22301 was prepared by Technical Committee ISO/TC 223, Societal security.
This corrected version of ISO 22301:2012 incorporates the following corrections:
— first list in 6.1 changed from a numbered to an unnumbered list;
— commas added at the end of list items in 7.5.3 and 8.3.2;
— bibliography items [19] and [20] separated, which were merged in the original;
— font size adjusted in several places.
iv © ISO 2012 – All rights reserved

---------------------- Page: 4 ----------------------
ISO 22301:2012(E)
0 Introduction
0.1 General
This International Standard specifies requirements for setting up and managing an effective Business Continuity
Management System (BCMS).
A BCMS emphasizes the importance of
— understanding the organization’s needs and the necessity for establishing business continuity management
policy and objectives,
— implementing and operating controls and measures for managing an organization’s overall capability to
manage disruptive incidents,
— monitoring and reviewing the performance and effectiveness of the BCMS, and
— continual improvement based on objective measurement.
A BCMS, like any other management system, has the following key components:
a) a policy;
b) people with defined responsibilities;
c) management processes relating to
1) policy,
2) planning,
3) implementation and operation,
4) performance assessment,
5) management review, and
6) improvement;
d) documentation providing auditable evidence; and
e) any business continuity management processes relevant to the organization.
Business continuity contributes to a more resilient society. The wider community and the impact of the
organization’s environment on the organization and therefore other organizations may need to be involved in
the recovery process.
0.2 The Plan-Do-Check-Act (PDCA) model
This International Standard applies the “Plan-Do-Check-Act” (PDCA) model to planning, establishing,
implementing, operating, monitoring, reviewing, maintaining and continually improving the effectiveness of an
organization’s BCMS.
This ensures a degree of consistency with other management systems standards, such as ISO 9001 Quality
management systems, ISO 14001, Environmental management systems, ISO/IEC 27001, Information security
management systems, ISO/IEC 20000-1, Information technology — Service management, and ISO 28000,
Specification for security management systems for the supply chain, thereby supporting consistent and
integrated implementation and operation with related management systems.
Figure 1 illustrates how a BCMS takes as inputs interested parties, requirements for continuity management
and, through the necessary actions and processes, produces continuity outcomes (i.e. managed business
continuity) that meet those requirements.
© ISO 2012 – All rights reserved v

---------------------- Page: 5 ----------------------
ISO 22301:2012(E)
Continual improvement of business continuity
management system (BCMS)
Establish
(Plan)
Interested
Interested
parties
parties
Maintain and Implement
improve and operate
(Act) (Do)
Requirements
Managed
for business
business
continuity
Monitor and
continuity
review
(Check)
Figure 1 — PDCA model applied to BCMS processes
Table 1 — Explanation of PDCA model
Plan Establish business continuity policy, objectives, targets, controls, processes and
(Establish) procedures relevant to improving business continuity in order to deliver results that align
with the organization’s overall policies and objectives.
Do Implement and operate the business continuity policy, controls, processes and
(Implement and operate) procedures.
Check Monitor and review performance against business continuity policy and objectives,
(Monitor and review) report the results to management for review, and determine and authorize actions for
remediation and improvement.
Act Maintain and improve the BCMS by taking corrective action, based on the results of
(Maintain and improve) management review and reappraising the scope of the BCMS and business continuity
policy and objectives.
0.3 Components of PDCA in this International Standard
In the Plan-Do-Check-Act model as shown in Table 1, Clause 4 through Clause 10 in this International Standard
cover the following components.
— Clause 4 is a component of Plan. It introduces requirements necessary to establish the context of the
BCMS as it applies to the organization, as well as needs, requirements, and scope.
— Clause 5 is a component of Plan. It summarizes the requirements specific to top management’s role in the
BCMS, and how leadership articulates its expectations to the organization via a policy statement.
— Clause 6 is a component of Plan. It describes requirements as it relates to establishing strategic objectives
and guiding principles for the BCMS as a whole. The content of Clause 6 differs from establishing risk
treatment opportunities stemming from risk assessment, as well as business impact analysis (BIA) derived
recovery objectives.
vi © ISO 2012 – All rights reserved

---------------------- Page: 6 ----------------------
ISO 22301:2012(E)
NOTE The business impact analysis and risk assessment process requirements are detailed in Clause 8.
— Clause 7 is a component of Plan. It supports BCMS operations as they relate to establishing competence
and communication on a recurring/as-needed basis with interested parties, while documenting, controlling,
maintaining and retaining required documentation.
— Clause 8 is a component of Do. It defines business continuity requirements, determines how to address
them and develops the procedures to manage a disruptive incident.
— Clause 9 is a component of Check. It summarizes requirements necessary to measure business continuity
management performance, BCMS compliance with this International Standard and management’s
expectations, and seeks feedback from management regarding expectations.
— Clause 10 is a component of Act. It identifies and acts on BCMS non-conformance through corrective action.
© ISO 2012 – All rights reserved vii

---------------------- Page: 7 ----------------------
INTERNATIONAL STANDARD ISO 22301:2012(E)
Societal security — Business continuity management
systems — Requirements
1 Scope
This International Standard for business continuity management specifies requirements to plan, establish,
implement, operate, monitor, review, maintain and continually improve a documented management system
to protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive
incidents when they arise.
The requirements specified in this International Standard are generic and intended to be applicable to all
organizations, or parts thereof, regardless of type, size and nature of the organization. The extent of application
of these requirements depends on the organization’s operating environment and complexity.
It is not the intent of this International Standard to imply uniformity in the structure of a Business Continuity
Management System (BCMS), but for an organization to design a BCMS that is appropriate to its needs and
that meets its interested parties’ requirements. These needs are shaped by legal, regulatory, organizational
and industry requirements, the products and services, the processes employed, the size and structure of the
organization, and the requirements of its interested parties.
This International Standard is applicable to all types and sizes of organizations that wish to
a) establish, implement, maintain and improve a BCMS,
b) ensure conformity with stated business continuity policy,
c) demonstrate conformity to others,
d) seek certification/registration of its BCMS by an accredited third party certification body, or
e) make a self-determination and self-declaration of conformity with this International Standard.
This International Standard can be used to assess an organization’s ability to meet its own continuity needs
and obligations.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are indispensable
for its application. For dated references, only the edition cited applies. For undated references, the latest edition
of the referenced document (including any amendments) applies.
There are no normative references.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
activity
process or set of processes undertaken by an organization (or on its behalf) that produces or supports one or
more products and services
EXAMPLE Such processes include accounts, call centre, IT, manufacture, distribution.
© ISO 2012 – All rights reserved 1

---------------------- Page: 8 ----------------------
ISO 22301:2012(E)
3.2
audit
systematic, independent and documented process for obtaining audit evidence and evaluating it objectively to
determine the extent to which the audit criteria are fulfilled
NOTE 1 An audit can be an internal audit (first party) or an external audit (second party or third party), and it can be a
combined audit (combining two or more disciplines).
NOTE 2 “Audit evidence” and “audit criteria” are defined in ISO 19011.
3.3
business continuity
capability of the organization to continue delivery of products or services at acceptable predefined levels
following disruptive incident
[SOURCE: ISO 22300]
3.4
business continuity management
holistic management process that identifies potential threats to an organization and the impacts to business
operations those threats, if realized, might cause, and which provides a framework for building organizational
resilience with the capability of an effective response that safeguards the interests of its key stakeholders,
reputation, brand and value-creating activities
3.5
business continuity management system
BCMS
part of the overall management system that establishes, implements, operates, monitors, reviews, maintains
and improves business continuity
NOTE The management system includes organizational structure, policies, planning activities, responsibilities,
procedures, processes and resources.
3.6
business continuity plan
documented procedures that guide organizations to respond, recover, resume, and restore to a pre-defined
level of operation following disruption
NOTE Typically this covers resources, services and activities required to ensure the continuity of critical business functions.
3.7
business continuity programme
ongoing management and governance process supported by top management and appropriately resourced to
implement and maintain business continuity management
3.8
business impact analysis
process of analyzing actitivites and the effect that a business disruption might have upon them
[SOURCE: ISO 22300]
3.9
competence
ability to apply knowledge and skills to achieve intended results
3.10
conformity
fulfilment of a requirement
[SOURCE: ISO 22300]
2 © ISO 2012 – All rights reserved

---------------------- Page: 9 ----------------------
ISO 22301:2012(E)
3.11
continual improvement
recurring activity to enhance performance
[SOURCE: ISO 22300]
3.12
correction
action to eliminate a detected nonconformity
[SOURCE: ISO 22300]
3.13
corrective action
action to eliminate the cause of a nonconformity and to prevent recurrence
NOTE In the case of other undesirable outcomes, action is necessary to minimize or eliminate causes and to reduce
impact or prevent recurrence. Such actions fall outside the concept of “corrective action” in the sense of this definition.
[SOURCE: ISO 22300]
3.14
document
information and its supporting medium
NOTE 1 The medium can be paper, magnetic, electronic or optical computer disc, photograph or master sample, or a
combination thereof.
NOTE 2 A set of documents, for example specifications and records, is frequently called “documentation”.
3.15
documented information
information required to be controlled and maintained by an organization and the medium on which it is contained
NOTE 1 Documented information can be in any format and on any media from any source.
NOTE 2 Documented information can refer to
— the management system, including related processes;
— information created in order for the organization to operate (documentation);
— evidence of results achieved (records).
3.16
effectiveness
extent to which planned activities are realized and planned results achieved
[SOURCE: ISO 22300]
3.17
event
occurrence or change of a particular set of circumstances
NOTE 1 An event can be one or more occurrences, and can have several causes.
NOTE 2 An event can consist of something not happening.
NOTE 3 An event can sometimes be referred to as an “incident” or “accident”.
NOTE 4 An event without consequences may also be referred to as a “near miss”, “incident”, “near hit”, “close call”.
[SOURCE: ISO/IEC Guide 73]
© ISO 2012 – All rights reserved 3

---------------------- Page: 10 ----------------------
ISO 22301:2012(E)
3.18
exercise
process to train for, assess, practice, and improve performance in an organization
NOTE 1 Exercises can be used for: validating policies, plans, procedures, training, equipment, and inter-organizational
agreements; clarifying and training personnel in roles and responsibilities; improving inter-organizational coordination
and communications; identifying gaps in resources; improving individual performance; and identifying opportunities for
improvement, and controlled opportunity to practice improvisation.
NOTE 2 A test is a unique and particular type of exercise, which incorporates an expectation of a pass or fail element
within the goal or objectives of the exercise being planned.
[SOURCE: ISO 22300]
3.19
incident
situation that might be, or could lead to, a disruption, loss, emergency or crisis
[SOURCE: ISO 22300]
3.20
infrastructure
system of facilities, equipment and services needed for the operation of an organization
3.21
interested party
stakeholder
person or organization that can affect, be affected by, or perceive themselves to be affected by a decision or activity
NOTE This can be an individual or group that has an interest in any decision or activity of an organization.
3.22
internal audit
audit conducted by, or on behalf of, the organization itself for management review and other internal purposes,
and which might form the basis for an organization’s self-declaration of conformity
NOTE In many cases, particularly in smaller organizations, independence can be demonstrated by the freedom from
responsibility for the activity being audited.
3.23
invocation
act of declaring that an organization’s business continuity arrangements need to be put into effect in order to
continue delivery of key products or services
3.24
management system
set of interrelated or interacting elements of an organization to establish policies and objectives, and processes
to achieve those objectives
NOTE 1 A management system can address a single discipline or several disciplines.
NOTE 2 The system elements include the organization’s structure, roles and responsibilities, planning, operation, etc.
NOTE 3 The scope of a management system can include the whole of the organization, specific and identified
functions of the organization, specific and identified sections of the organization, or one or more functions across a group
of organizations.
4 © ISO 2012 – All rights reserved

---------------------- Page: 11 ----------------------
ISO 22301:2012(E)
3.25
maximum acceptable outage
MAO
time it would take for adverse impacts, which might arise as a result of not providing a product/service or
performing an activity, to become unacceptable
NOTE See also maximum tolerable period of disruption.
3.26
maximum tolerable period of disruption
MTPD
time it would take for adverse impacts, which might arise as a result of not providing a product/service or
performing an activity, to become unacceptable
NOTE See also maximum acceptable outage.
3.27
measurement
process to determine a value
3.28
minimum business continuity objective
MBCO
minimum level of services and/or products that is acceptable to the organization to achieve its business
objectives during a disruption
3.29
monitoring
determining the status of a system, a process or an activity
NOTE To determine the status there may be a need to check, supervise or critically observe.
3.30
mutual aid agreement
pre-arranged understanding between two or more entities to render assistance to each other
[SOURCE: ISO 22300]
3.31
nonconformity
non-fulfilment of a requirement
[SOURCE: ISO 22300]
3.32
objective
result to be achieved
NOTE 1 An objective can be strategic, tactical or operational.
NOTE 2 Objectives can relate to different disciplines (such as financial, health and safety, and environmental goals)
and can apply at different levels [such as strategic, organization-wide, project, product and process).
NOTE 3 An objective can be expressed in other ways, e.g. as an intended outcome, a purpose, an operational criterion,
as a societal security objective or by the use of other words with similar meaning (e.g. aim, goal, or target).
NOTE 4 In the context of societal security management systems standards, societal security objectives are set by the
organization, consistent with the societal security policy, to achieve specific results.
© ISO 2012 – All rights reserved 5

---------------------- Page: 12 ----------------------
ISO 22301:2012(E)
3.33
organization
person or group of people that has its own functions with responsibilities, authorities and relationships to
achieve its objectives
NOTE 1 The concept of organization includes, but is not limited to, sole-trader, company, corporation, firm, enterprise,
authority, partnership, charity or institution, or part or combination thereof, whether incorporated or not, public or private.
NOTE 2 For organizations with more than one operating unit, a single operating unit can be defined as an organization.
3.34
outsource (verb)
make an arrangement where an external organization performs part of an organization’s function or process
NOTE An external organization is outside the scope of the management system, although the outsourced function or
process is within the scope.
3.35
performance
measurable result
NOTE 1 Performance can relate either to quantitative or qualitative findings.
NOTE 2 Performance can relate to the management of activities, processes, products (including services), systems or
organizations.
3.36
performance evaluation
process of determining measurable results
3.37
personnel
people working for and under the control of the organization
NOTE The concept of personnel includes, but is not limited to employees, part-time staff, and agency staff.
3.38
policy
intentions and direction of an organization as formally expressed by its top management
3.39
procedure
specified way to carry out an activity or a process
3.40
process
set of interrelated or interacting activities which transforms inputs into outputs
3.41
products and services
beneficial outcomes provided by an organization to its customers, recipients and interested parties, e.g.
manufactured items, car insurance and community nursing
3.42
prioritized activities
activities to which priority must be given following an incident in order to mitigate impacts
NOTE Terms in common use to describe activities within this group include: critical, essential, vital, urgent and key.
[SOURCE: ISO 22300]
6 © ISO 2012 – All rights reserved

---------------------- Page: 13 ----------------------
ISO 22301:2012(E)
3.43
record
statement of results achieved or evidence of activities performed
3.44
recovery point objective
RPO
point to which information used by an activity must be restored to enable the activity to operate on resumption
NOTE Can also be referred to as “maximum data loss”.
3.45
recovery time objective
RTO
period of time following an incident within which
— product or service must be resumed, or
— activity must be resumed, or
— resources must be recovered
NOTE For products, services and activities, the recovery time objective must be less than the time it would take for
the adverse impacts that would arise as a result of not providing a product/service or performing an activity to become
unacceptable.
3.46
requirement
need or expectation that is stated, generally implied or obligatory
NOTE 1 “Generally implied” means that it is a customary or common practice for the organization and interested
parties that the need or expectation under consideration is implied.
NOTE 2 A specified requirement is one that is stated, for example in documented information.
3.47
resources
all assets, people, skills, information, technology (including plant and equipment), premises, and supplies and
information (whether electronic or not) that an organization has to have available to use, when needed, in order
to operate and meet its objective
3.48
risk
effect of uncertainty on objectives
NOTE 1 An effect is a deviation from the expected — positive or negative.
NOTE 2 Objectives can have different aspects (such as financial, health and safety, and environmental goals) and
ca
...

NORME ISO
INTERNATIONALE 22301
Première édition
2012-05-15


Sécurité sociétale — Systèmes de
management de la continuité d'activité —
Exigences
Societal security — Business continuity management systems —
Requirements




Numéro de référence
ISO 22301:2012(F)
©
ISO 2012

---------------------- Page: 1 ----------------------
ISO 22301:2012(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT


©  ISO 2012
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56  CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse

ii © ISO 2012 – Tous droits réservés

---------------------- Page: 2 ----------------------
ISO 22301:2012(F)
Sommaire Page
Avant-propos . iv
0  Introduction . v
0.1  Généralités . v
0.2  Le modèle Planifier-Déployer-Contrôler-Agir (Plan-Do-Check-Act, PDCA) . vi
0.3  Éléments du modèle PDCA dans la présente Norme internationale . vii
1  Domaine d’application . 1
2  Références normatives . 1
3  Termes et définitions . 2
4  Contexte de l'organisation . 9
4.1  Compréhension de l'organisation et de son contexte . 9
4.2  Compréhension des besoins et attentes des parties intéressées . 10
4.3  Détermination du domaine d’application du système de management de la continuité
d'activité . 10
4.4  Système de management de la continuité d'activité . 11
5  Leadership . 11
5.1  Leadership et engagement . 11
5.2  Engagement de la direction . 12
5.3  Politique . 13
5.4  Rôles, responsabilités et autorités au sein de l’organisation . 13
6  Planification . 13
6.1  Actions face aux risques et opportunités . 13
6.2  Objectifs de continuité d'activité et plans pour les atteindre . 14
7  Support . 14
7.1  Ressources . 14
7.2  Compétences . 15
7.3  Sensibilisation . 15
7.4  Communication . 15
7.5  Informations documentées. 16
8  Fonctionnement . 17
8.1  Planification opérationnelle et maîtrise . 17
8.2  Analyse des impacts sur l'activité et appréciation du risque . 18
8.3  Stratégie de continuité d'activité . 19
8.4  Établissement et mise en œuvre de procédures de continuité d'activité . 20
8.5  Exercices et tests . 23
9  Évaluation des performances . 23
9.1  Supervision, mesurage, analyse et évaluation . 23
9.2  Audit interne . 24
9.3  Revue de direction . 25
10  Amélioration . 27
10.1  Non-conformité et actions correctives . 27
10.2  Amélioration continue . 28
Bibliographie . 29

© ISO 2012 – Tous droits réservés iii

---------------------- Page: 3 ----------------------
ISO 22301:2012(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 22301 a été élaborée par le comité technique ISO/TC 223, Sécurité sociétale.
La présente version française de l'ISO 22301 correspond à la version anglaise publiée le 2012-05-15 et
corrigée le 2012-06-15.
iv © ISO 2012 – Tous droits réservés

---------------------- Page: 4 ----------------------
ISO 22301:2012(F)
0 Introduction
0.1 Généralités
La présente Norme internationale spécifie les exigences relatives à l'établissement et au management d'un
Système de Management de la Continuité d'Activité (SMCA) efficace.
Un SMCA souligne l'importance :
— d'une compréhension des besoins de l'organisation et de la nécessité de mettre en place une politique et
des objectifs en matière de management de la continuité d'activité ;
— de la mise en œuvre et de l'exploitation de contrôles et de mesures de gestion de la capacité globale
d'une organisation à gérer des incidents perturbateurs ;
— d'une surveillance et d'une revue des performances et de l'efficacité du SMCA ; et
— d'une amélioration continue sur la base de mesures objectives.
Comme tout autre système de management, un SMCA intègre les éléments clés suivants :
a) une politique ;
b) des personnes ayant des responsabilités définies ;
c) des processus de management se rapportant à :
1) la politique ;
2) la planification ;
3) la mise en œuvre et le fonctionnement ;
4) l'évaluation des performances ;
5) la revue de direction ; et
6) l'amélioration ;
d) une documentation fournissant des preuves tangibles ; et
e) tous les processus de management de la continuité d'activité pertinents pour l'organisation.
La continuité d'activité contribue à rendre la société plus résiliente. Il est possible qu’il faille impliquer dans le
processus de reprise la communauté dans son ensemble, ainsi que l'impact de l'environnement de
l'organisation et donc l’impact des autres organisations sur l’organisation elle-même.
© ISO 2012 – Tous droits réservés v

---------------------- Page: 5 ----------------------
ISO 22301:2012(F)
0.2 Le modèle Planifier-Déployer-Contrôler-Agir (Plan-Do-Check-Act, PDCA)
La présente Norme internationale applique le modèle PDCA à la planification, l'établissement, la mise en
œuvre, le fonctionnement, la surveillance, la revue, le maintien et l'amélioration continue de l'efficacité du
SMCA d'une organisation.
Ceci assure un degré de cohérence avec d'autres normes de système de management, telles que l'ISO 9001,
Systèmes de management de la qualité, l'ISO 14001, Systèmes de management environnemental,
l'ISO/CEI 27001, Systèmes de management de la sécurité de l'information, l'ISO/CEI 20000-1, Technologies
de l'information — Gestion des services et l'ISO 28000, Spécifications relatives aux systèmes de
management de la sûreté de la chaîne d'approvisionnement, permettant ainsi une mise en œuvre et un
fonctionnement cohérents et intégrés avec les systèmes de management associés.
La Figure 1 illustre comment un SMCA prend pour entrées les parties intéressées, les exigences de
management de la continuité et comment, via les actions et les processus nécessaires, il produit des sorties
en matière de continuité (c'est-à-dire une continuité de l'activité gérée) qui satisfont à ces exigences.

Figure 1 — Modèle PDCA appliqué aux processus d'un SMCA
vi © ISO 2012 – Tous droits réservés

---------------------- Page: 6 ----------------------
ISO 22301:2012(F)
Tableau 1 — Explication du modèle PDCA
Planifier Établir une politique, des objectifs, des cibles, des contrôles, des processus et des
procédures de continuité d'activité pertinents pour améliorer la continuité d'activité afin
(Établir)
d’obtenir des résultats alignés avec les politiques et les objectifs globaux de l'organisation.
Déployer Mettre en œuvre et rendre opérationnels la politique, les contrôles, les processus et les
procédures de continuité d'activité.
(Mettre en place et en
œuvre)
Contrôler Superviser et revoir les performances par rapport à la politique et aux objectifs de
continuité d'activité, rendre compte des résultats à la direction pour revue et déterminer et
(Superviser et réviser)
autoriser des actions correctives et d'amélioration.
Agir Maintenir et améliorer le SMCA en entreprenant des actions correctives, sur la base des
résultats de la revue de direction, et en reconsidérant le périmètre du SMCA ainsi que la
(Maintenir et améliorer)
politique et les objectifs de continuité d'activité.
0.3 Éléments du modèle PDCA dans la présente Norme internationale
Dans le modèle PDCA présenté dans le Tableau 1, les Articles 4 à 10 de la présente Norme internationale
traitent des éléments suivants :
— l'Article 4 est une partie du thème « Planifier ». Il introduit les exigences nécessaires pour établir le
contexte du SMCA tel qu'il s'applique à l'organisation, ainsi que les besoins, les exigences et le
périmètre.
— l'Article 5 est une partie du thème « Planifier ». Il résume les exigences spécifiques au rôle joué par la
Direction dans le SMCA, et la manière dont la Direction communique ses attentes à l'organisation par le
biais d'une déclaration de politique.
— l'Article 6 est une partie du thème « Planifier ». Il décrit les exigences relatives à l'établissement des
objectifs stratégiques et des principes directeurs du SMCA dans son ensemble. Le contenu de l'Article 6
ne consiste pas à mettre en place les solutions de traitement des risques découlant de l'appréciation des
risques, ni à établir les objectifs de reprise issus de l'analyse d’impact sur l'activité.
NOTE Les exigences relatives à l'analyse d’impact sur l'activité et au processus d'appréciation du risque sont
spécifiées de manière détaillée à l'Article 8.
— l'Article 7 est une partie du thème « Planifier ». Il vient à l'appui des opérations du SMCA relatives à la
détermination des compétences et à l'établissement de communications avec les parties intéressées, sur
une base récurrente/au besoin, tout en documentant, contrôlant, tenant à jour et conservant la
documentation requise.
— l'Article 8 est une partie du thème « Faire ». Il définit les exigences relatives à la continuité d'activité,
détermine la manière de les traiter et développe les procédures afin de gérer un incident perturbateur.
— l'Article 9 est une partie du thème « Contrôler ». Il résume les exigences nécessaires pour mesurer la
performance du management de la continuité d'activité, la conformité du SMCA à la présente Norme
internationale et aux attentes de la Direction, et recherche les retours d'information de la direction
concernant les attentes.
— l'Article 10 est une partie du thème « Agir ». Il identifie et intervient sur une non-conformité du SMCA par
le biais d'une action corrective.
© ISO 2012 – Tous droits réservés vii

---------------------- Page: 7 ----------------------
NORME INTERNATIONALE ISO 22301:2012(F)

Sécurité sociétale — Systèmes de management de la continuité
d'activité — Exigences
1 Domaine d’application
La présente Norme internationale relative à la gestion de la continuité d'activité spécifie les exigences pour
planifier, établir, mettre en place et en œuvre, contrôler, réviser, maintenir et améliorer de manière continue
un système de management documenté afin de se protéger des incidents perturbateurs, réduire leur
probabilité de survenance, s'y préparer, y répondre et de s’en rétablir lorsqu'ils surviennent.
Les exigences spécifiées dans la présente Norme internationale sont génériques et prévues pour être
applicables à toutes les organisations, ou parties de celles-ci, indépendamment du type, de la taille et de la
nature de l'organisation. Le champ d'application de ces exigences dépend de l'environnement et de la
complexité de fonctionnement de l'organisation.
La présente Norme internationale ne vise pas à uniformiser la structure d'un système de management de la
continuité d'activité (SMCA), mais à permettre à une organisation de concevoir un SMCA qui soit adapté à
ses besoins et qui satisfasse aux exigences des parties intéressées. Ces besoins sont façonnés par les
exigences juridiques, réglementaires, organisationnelles et industrielles, les produits et les services, les
processus employés, la taille et la structure de l'organisation et les exigences des parties intéressées.
La présente Norme internationale est applicable à tous les types et toutes les tailles d'organisations
souhaitant :
a) établir, mettre en œuvre, maintenir et améliorer un SMCA ;
b) assurer la conformité à la politique de continuité d'activité établie ;
c) démontrer cette conformité à des tiers ;
d) faire certifier/enregistrer son SMCA par un organisme de certification tiers et accrédité ; ou
e) réaliser une autoévaluation et une auto-déclaration de conformité à la présente Norme internationale.
La présente Norme internationale peut être utilisée pour évaluer la capacité d'une organisation à satisfaire ses
propres besoins et obligations en matière de continuité.
2 Références normatives
Les documents ci-après, dans leur intégralité ou non, sont des références normatives indispensables à
l'application du présent document. Pour les références datées, seule l'édition citée s'applique. Pour les
références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
Il n'y a aucune référence normative.
© ISO 2012 – Tous droits réservés 1

---------------------- Page: 8 ----------------------
ISO 22301:2012(F)
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquent.
3.1
activité
processus ou ensemble de processus exécutés par une organisation (ou pour son compte) qui réalise ou aide
à réaliser un ou plusieurs produits et services
EXEMPLE De tels processus comprennent la comptabilité, les centres d'appel, les technologies de l'information (IT),
la fabrication, la distribution.
3.2
audit
processus systématique, indépendant et documenté permettant d'obtenir des preuves d'audit et de les
évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits
NOTE 1 Un audit peut être interne (de première partie) ou externe (de seconde ou tierce partie), et il peut être combiné
(s'il associe deux disciplines ou plus).
NOTE 2 Les termes « preuves d’audit » et « critères d'audit » sont définis dans l'ISO 19011.
3.3
continuité d'activité
capacité de l'organisation à poursuivre la fourniture de produits ou la prestation de services à des niveaux
acceptables et préalablement définis après un incident perturbateur
[SOURCE : ISO 22300]
3.4
gestion de la continuité d'activité
processus de management holistique qui identifie les menaces potentielles pour une organisation ainsi que
les impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à l'activité de
l'organisation, et qui fournit un cadre pour construire la résilience de l'organisation avec une capacité de
réponse efficace préservant les intérêts de ses principales parties prenantes, sa réputation, sa marque et ses
activités productrices de valeur
3.5
système de management de la continuité d'activité
SMCA
partie du système de management global qui établit, met en œuvre, opère, contrôle, révise, maintient et
améliore la continuité d'activité
NOTE Le système de management comprend la structure organisationnelle, les politiques, les planifications, les
responsabilités, les procédures, les processus et les ressources.
3.6
plan de continuité d'activité
procédures documentées servant de guide aux organisations pour répondre, rétablir, reprendre et retrouver
un niveau de fonctionnement prédéfini à la suite d'une perturbation
NOTE Ce plan couvre généralement les ressources, les services et les activités requis pour assurer la continuité des
fonctions critiques.
3.7
programme de continuité d'activité
processus continu de management et de gouvernance soutenu par la direction et doté de ressources
appropriées pour mettre en œuvre et maintenir le management de la continuité d'activité
2 © ISO 2012 – Tous droits réservés

---------------------- Page: 9 ----------------------
ISO 22301:2012(F)
3.8
analyse d’impact sur l'activité
processus d'analyse des activités et de l'effet qu'une perturbation de l'activité peut avoir sur elles
[SOURCE : ISO 22300]
3.9
compétence
aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats escomptés
3.10
conformité
satisfaction d’une exigence
[SOURCE : ISO 22300]
3.11
amélioration continue
activité récurrente visant à améliorer les performances
[SOURCE : ISO 22300]
3.12
correction
action visant à éliminer une non-conformité détectée
[SOURCE : ISO 22300]
3.13
action corrective
action visant à éliminer la cause d'une non-conformité et à éviter sa réapparition
NOTE Dans le cas d'autres résultats indésirables, il est nécessaire d'entreprendre une action visant à réduire au
minimum ou éliminer les causes et à réduire leur impact ou éviter leur réapparition. De telles actions ne relèvent pas du
concept « d'action corrective » au sens de la présente définition.
[SOURCE : ISO 22300]
3.14
document
support d'information et l'information qu'il contient
NOTE 1 Le support peut être du papier, un disque informatique magnétique, électronique ou optique, une
photographie ou une configuration de référence, ou une combinaison de ceux-ci.
NOTE 2 Un ensemble de documents, par exemple des spécifications et des enregistrements, est souvent appelé
« documentation ».
3.15
information documentée
information qui nécessite d'être contrôlée et tenue à jour par une organisation et support sur lequel elle est
contenue
NOTE 1 Les informations documentées peuvent se présenter dans tout format et sur tout support et provenir de toute
source.
© ISO 2012 – Tous droits réservés 3

---------------------- Page: 10 ----------------------
ISO 22301:2012(F)
NOTE 2 Les informations documentées peuvent se référer :
— au système de management, y compris les processus associés ;
— aux informations générées en vue du fonctionnement de l'organisation (documentation) ;
— aux preuves des résultats obtenus (enregistrements).
3.16
efficacité
niveau de réalisation des activités planifiées et d’obtention des résultats escomptés
[SOURCE : ISO 22300]
3.17
événement
occurrence ou changement d'un ensemble particulier de circonstances
NOTE 1 Un événement peut être unique ou se reproduire et peut avoir plusieurs causes.
NOTE 2 Un événement peut consister en quelque chose qui ne se produit pas.
NOTE 3 Un événement peut parfois être qualifié « d'incident » ou « d'accident ».
NOTE 4 Un événement sans conséquences peut également être appelé « quasi-accident » ou « incident » ou
« presque succès ».
[SOURCE : ISO/CEI Guide 73]
3.18
exercice
processus visant à se former, évaluer, mettre en pratique et améliorer les performances au sein d'une
organisation
NOTE 1 Des exercices peuvent être utilisés pour : valider des politiques, des plans, des procédures, une formation, un
équipement et des accords entre organisations ; clarifier et former le personnel à des rôles et des responsabilités ;
améliorer la coordination et les communications entre organisations ; identifier les lacunes en matière de ressources ;
améliorer les performances individuelles et identifier les opportunités d'amélioration et les opportunités contrôlées
d'improvisation.
NOTE 2 Un test est un type unique et particulier d'exercice qui intègre l'attente de la réussite ou de l'échec d’un
élément parmi les buts ou les objectifs de l'exercice planifié.
[SOURCE : ISO 22300]
3.19
incident
situation qui peut être, ou conduire à, une perturbation, une perte, une urgence ou une crise
[SOURCE : ISO 22300]
3.20
infrastructure
système d'installations, d'équipements et de services nécessaire au fonctionnement d'une organisation
4 © ISO 2012 – Tous droits réservés

---------------------- Page: 11 ----------------------
ISO 22301:2012(F)
3.21
partie intéressée
partie prenante
personne ou organisation qui peut avoir une incidence sur, être affectée ou se sentir affectée par une décision
ou une activité
NOTE Il peut s'agir d'un individu ou d'un groupe ayant un intérêt dans les décisions ou activités d'une organisation.
3.22
audit interne
audit réalisé par, ou pour le compte de, l’organisation elle-même pour la revue de direction et d’autres besoins
internes et qui peut servir de base à l’autodéclaration de conformité de l’organisation
NOTE Dans de nombreux cas et en particulier pour les petites organisations, l’indépendance peut être démontrée
par l’absence de responsabilité vis-à-vis de l’activité à auditer.
3.23
déclenchement
acte consistant à déclarer que les dispositions en matière de continuité d'activité d'une organisation doivent
être mises en œuvre afin de poursuivre la livraison de produits clés ou la prestation de services clés
3.24
système de management
ensemble d'éléments corrélés ou interactifs d'une organisation, utilisés pour établir des politiques et des
objectifs, et de processus pour atteindre ces objectifs
NOTE 1 Un système de management peut concerner une seule ou plusieurs disciplines.
NOTE 2 Les éléments du système comprennent la structure organisationnelle, les rôles et responsabilités, la
planification, le fonctionnement, etc.
NOTE 3 Le périmètre d'un système de management peut comprendre l'ensemble de l'organisation, des fonctions
spécifiques et identifiées de l'organisation, des sections spécifiques et identifiées de l'organisation, ou une ou plusieurs
fonctions dans un groupe d'organisations.
3.25
durée maximale d’interruption acceptable
DMIA [en anglais: MAO (maximum acceptable outage)]
temps nécessaire pour que les impacts défavorables pouvant résulter de la non fourniture d'un produit/service
ou de la non réalisation d'une activité, deviennent inacceptables
NOTE Voir aussi « durée maximale tolérable de perturbation ».
3.26
durée maximale tolérable de perturbation
DMTP [en anglais: MTPD (maximum tolerable period of disruption)]
temps nécessaire pour que les impacts défavorables pouvant résulter de la non fourniture d'un produit/service
ou de la non réalisation d'une activité, deviennent inacceptables
NOTE Voir aussi « durée maximale d’interruption acceptable ».
3.27
mesurage
processus visant à déterminer une valeur
3.28
objectif minimal de continuité d'activité
OMCA [en anglais: MBCO (minimum business continuity objective)]
niveau minimal de services et/ou de produits acceptable par l'organisation pour atteindre ses objectifs métier
pendant une perturbation
© ISO 2012 – Tous droits réservés 5

---------------------- Page: 12 ----------------------
ISO 22301:2012(F)
3.29
supervision
détermination de l'état d'un système, d'un processus ou d'une activité
NOTE Pour déterminer cet état, il peut être nécessaire de vérifier, surveiller ou observer avec une vision critique.
3.30
accord d'entraide mutuel
entente préalable entre deux entités ou plus par laquelle chacune d'elles s'engage à fournir assistance aux
autres
[SOURCE : ISO 22300]
3.31
non-conformité
non-satisfaction d’une exigence
[SOURCE : ISO 22300]
3.32
objectif
résultat à atteindre
NOTE 1 Un objectif peut être stratégique, tactique ou opérationnel.
NOTE 2 Les objectifs peuvent se rapporter à différentes disciplines (telles que la finance, les enjeux sanitaires et de
sécurité, et les enjeux environnementaux) et ils peuvent s'appliquer à divers niveaux [tels que stratégie, organisation dans
son ensemble, projet, produit et processus].
NOTE 3 Un objectif peut être exprimé autrement, par exemple sous forme de résultat escompté, de mission, de critère
opérationnel, en tant qu'objectif de sécurité sociétale ou par le biais d'un autre terme ayant un sens similaire (par exemple
finalité, but, cible).
NOTE 4 Dans le contexte des normes de systèmes de management de la sécurité sociétale, les objectifs encadrés par
la norme sont établis par l'organisation, en cohérence avec sa politique de sécurité sociétale, en vue d'obtenir des
résultats spécifiques.
3.33
organisation
personne ou groupe de personnes ayant leur propre structure fonctionnelle avec des responsabilités,
autorités et relations en vue d'atteindre ses objectifs
NOTE 1 Le concept d'organisation comprend, sans s’y limiter, les notions de travailleur indépendant, compagnie,
société, firme, entreprise, autorité, groupement, organisation caritative ou institution, ou une partie ou une combinaison
des organisations précédentes, à responsabilité limitée ou sous un autre statut, de droit public ou privé.
NOTE 2 Pour les organisations ayant plusieurs unités d'exploitation, une seule unité d'exploitation peut être définie en
tant qu'organisation.
3.34
externaliser
passer un accord en vertu duquel une organisation externe effectue une partie de la fonction ou met en
œuvre une partie du processus de l’organisation
NOTE L'organisation externe n'est pas incluse dans le périmètre du système de management, contrairement à la
fonction ou au processus externalisé qui en fait bien partie.
6 © ISO 2012 – Tous droits réservés

----------------------
...