ISO 22301:2012
(Main)Societal security - Business continuity management systems - Requirements
Societal security - Business continuity management systems - Requirements
ISO 22301:2012 specifies requirements to plan, establish, implement, operate, monitor, review, maintain and continually improve a documented management system to protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive incidents when they arise. The requirements specified in ISO 22301:2012 are generic and intended to be applicable to all organizations, or parts thereof, regardless of type, size and nature of the organization. The extent of application of these requirements depends on the organization's operating environment and complexity.
Sécurité sociétale — Systèmes de management de la continuité d'activité — Exigences
L'ISO 22301:2012 spécifie les exigences pour planifier, établir, mettre en place et en ?uvre, contrôler, réviser, maintenir et améliorer de manière continue un système de management documenté afin de se protéger des incidents perturbateurs, réduire leur probabilité de survenance, s'y préparer, y répondre et de s'en rétablir lorsqu'ils surviennent. Les exigences spécifiées dans l'ISO 22301:2012 sont génériques et prévues pour être applicables à toutes les organisations, ou parties de celles-ci, indépendamment du type, de la taille et de la nature de l'organisation. Le champ d'application de ces exigences dépend de l'environnement et de la complexité de fonctionnement de l'organisation.
General Information
Relations
Frequently Asked Questions
ISO 22301:2012 is a standard published by the International Organization for Standardization (ISO). Its full title is "Societal security - Business continuity management systems - Requirements". This standard covers: ISO 22301:2012 specifies requirements to plan, establish, implement, operate, monitor, review, maintain and continually improve a documented management system to protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive incidents when they arise. The requirements specified in ISO 22301:2012 are generic and intended to be applicable to all organizations, or parts thereof, regardless of type, size and nature of the organization. The extent of application of these requirements depends on the organization's operating environment and complexity.
ISO 22301:2012 specifies requirements to plan, establish, implement, operate, monitor, review, maintain and continually improve a documented management system to protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive incidents when they arise. The requirements specified in ISO 22301:2012 are generic and intended to be applicable to all organizations, or parts thereof, regardless of type, size and nature of the organization. The extent of application of these requirements depends on the organization's operating environment and complexity.
ISO 22301:2012 is classified under the following ICS (International Classification for Standards) categories: 03.100.01 - Company organization and management in general; 03.100.70 - Management systems. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO 22301:2012 has the following relationships with other standards: It is inter standard links to ISO 22301:2019. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO 22301:2012 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 22301
First edition
2012-05-15
Corrected version
2012-06-15
Societal security — Business continuity
management systems — Requirements
Sécurité sociétale — Gestion de la continuité des affaires — Exigences
Reference number
©
ISO 2012
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or ISO’s
member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2012 – All rights reserved
Contents Page
Foreword .iv
0 Introduction . v
0.1 General . v
0.2 The Plan-Do-Check-Act (PDCA) model. v
0.3 Components of PDCA in this International Standard . vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization . 8
4.1 Understanding of the organization and its context. 8
4.2 Understanding the needs and expectations of interested parties . 9
4.3 Determining the scope of the business continuity management system . 9
4.4 Business continuity management system .10
5 Leadership .10
5.1 Leadership and commitment .10
5.2 Management commitment .10
5.3 Policy . 11
5.4 Organizational roles, responsibilities and authorities . 11
6 Planning .12
6.1 Actions to address risks and opportunities .12
6.2 Business continuity objectives and plans to achieve them .12
7 Support .12
7.1 Resources .12
7.2 Competence .13
7.3 Awareness .13
7.4 Communication .13
7.5 Documented information .14
8 Operation .15
8.1 Operational planning and control .15
8.2 Business impact analysis and risk assessment .15
8.3 Business continuity strategy .16
8.4 Establish and implement business continuity procedures .17
8.5 Exercising and testing .19
9 Performance evaluation .19
9.1 Monitoring, measurement, analysis and evaluation .19
9.2 Internal audit .20
9.3 Management review .21
10 Improvement .22
10.1 Nonconformity and corrective action .22
10.2 Continual improvement .23
Bibliography .24
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International
Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 22301 was prepared by Technical Committee ISO/TC 223, Societal security.
This corrected version of ISO 22301:2012 incorporates the following corrections:
— first list in 6.1 changed from a numbered to an unnumbered list;
— commas added at the end of list items in 7.5.3 and 8.3.2;
— bibliography items [19] and [20] separated, which were merged in the original;
— font size adjusted in several places.
iv © ISO 2012 – All rights reserved
0 Introduction
0.1 General
This International Standard specifies requirements for setting up and managing an effective Business Continuity
Management System (BCMS).
A BCMS emphasizes the importance of
— understanding the organization’s needs and the necessity for establishing business continuity management
policy and objectives,
— implementing and operating controls and measures for managing an organization’s overall capability to
manage disruptive incidents,
— monitoring and reviewing the performance and effectiveness of the BCMS, and
— continual improvement based on objective measurement.
A BCMS, like any other management system, has the following key components:
a) a policy;
b) people with defined responsibilities;
c) management processes relating to
1) policy,
2) planning,
3) implementation and operation,
4) performance assessment,
5) management review, and
6) improvement;
d) documentation providing auditable evidence; and
e) any business continuity management processes relevant to the organization.
Business continuity contributes to a more resilient society. The wider community and the impact of the
organization’s environment on the organization and therefore other organizations may need to be involved in
the recovery process.
0.2 The Plan-Do-Check-Act (PDCA) model
This International Standard applies the “Plan-Do-Check-Act” (PDCA) model to planning, establishing,
implementing, operating, monitoring, reviewing, maintaining and continually improving the effectiveness of an
organization’s BCMS.
This ensures a degree of consistency with other management systems standards, such as ISO 9001 Quality
management systems, ISO 14001, Environmental management systems, ISO/IEC 27001, Information security
management systems, ISO/IEC 20000-1, Information technology — Service management, and ISO 28000,
Specification for security management systems for the supply chain, thereby supporting consistent and
integrated implementation and operation with related management systems.
Figure 1 illustrates how a BCMS takes as inputs interested parties, requirements for continuity management
and, through the necessary actions and processes, produces continuity outcomes (i.e. managed business
continuity) that meet those requirements.
Continual improvement of business continuity
management system (BCMS)
Establish
(Plan)
Interested
Interested
parties
parties
Maintain and Implement
improve and operate
(Act) (Do)
Requirements
Managed
for business
business
continuity
Monitor and
continuity
review
(Check)
Figure 1 — PDCA model applied to BCMS processes
Table 1 — Explanation of PDCA model
Plan Establish business continuity policy, objectives, targets, controls, processes and
(Establish) procedures relevant to improving business continuity in order to deliver results that align
with the organization’s overall policies and objectives.
Do Implement and operate the business continuity policy, controls, processes and
(Implement and operate) procedures.
Check Monitor and review performance against business continuity policy and objectives,
(Monitor and review) report the results to management for review, and determine and authorize actions for
remediation and improvement.
Act Maintain and improve the BCMS by taking corrective action, based on the results of
(Maintain and improve) management review and reappraising the scope of the BCMS and business continuity
policy and objectives.
0.3 Components of PDCA in this International Standard
In the Plan-Do-Check-Act model as shown in Table 1, Clause 4 through Clause 10 in this International Standard
cover the following components.
— Clause 4 is a component of Plan. It introduces requirements necessary to establish the context of the
BCMS as it applies to the organization, as well as needs, requirements, and scope.
— Clause 5 is a component of Plan. It summarizes the requirements specific to top management’s role in the
BCMS, and how leadership articulates its expectations to the organization via a policy statement.
— Clause 6 is a component of Plan. It describes requirements as it relates to establishing strategic objectives
and guiding principles for the BCMS as a whole. The content of Clause 6 differs from establishing risk
treatment opportunities stemming from risk assessment, as well as business impact analysis (BIA) derived
recovery objectives.
vi © ISO 2012 – All rights reserved
NOTE The business impact analysis and risk assessment process requirements are detailed in Clause 8.
— Clause 7 is a component of Plan. It supports BCMS operations as they relate to establishing competence
and communication on a recurring/as-needed basis with interested parties, while documenting, controlling,
maintaining and retaining required documentation.
— Clause 8 is a component of Do. It defines business continuity requirements, determines how to address
them and develops the procedures to manage a disruptive incident.
— Clause 9 is a component of Check. It summarizes requirements necessary to measure business continuity
management performance, BCMS compliance with this International Standard and management’s
expectations, and seeks feedback from management regarding expectations.
— Clause 10 is a component of Act. It identifies and acts on BCMS non-conformance through corrective action.
INTERNATIONAL STANDARD ISO 22301:2012(E)
Societal security — Business continuity management
systems — Requirements
1 Scope
This International Standard for business continuity management specifies requirements to plan, establish,
implement, operate, monitor, review, maintain and continually improve a documented management system
to protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive
incidents when they arise.
The requirements specified in this International Standard are generic and intended to be applicable to all
organizations, or parts thereof, regardless of type, size and nature of the organization. The extent of application
of these requirements depends on the organization’s operating environment and complexity.
It is not the intent of this International Standard to imply uniformity in the structure of a Business Continuity
Management System (BCMS), but for an organization to design a BCMS that is appropriate to its needs and
that meets its interested parties’ requirements. These needs are shaped by legal, regulatory, organizational
and industry requirements, the products and services, the processes employed, the size and structure of the
organization, and the requirements of its interested parties.
This International Standard is applicable to all types and sizes of organizations that wish to
a) establish, implement, maintain and improve a BCMS,
b) ensure conformity with stated business continuity policy,
c) demonstrate conformity to others,
d) seek certification/registration of its BCMS by an accredited third party certification body, or
e) make a self-determination and self-declaration of conformity with this International Standard.
This International Standard can be used to assess an organization’s ability to meet its own continuity needs
and obligations.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are indispensable
for its application. For dated references, only the edition cited applies. For undated references, the latest edition
of the referenced document (including any amendments) applies.
There are no normative references.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
activity
process or set of processes undertaken by an organization (or on its behalf) that produces or supports one or
more products and services
EXAMPLE Such processes include accounts, call centre, IT, manufacture, distribution.
3.2
audit
systematic, independent and documented process for obtaining audit evidence and evaluating it objectively to
determine the extent to which the audit criteria are fulfilled
NOTE 1 An audit can be an internal audit (first party) or an external audit (second party or third party), and it can be a
combined audit (combining two or more disciplines).
NOTE 2 “Audit evidence” and “audit criteria” are defined in ISO 19011.
3.3
business continuity
capability of the organization to continue delivery of products or services at acceptable predefined levels
following disruptive incident
[SOURCE: ISO 22300]
3.4
business continuity management
holistic management process that identifies potential threats to an organization and the impacts to business
operations those threats, if realized, might cause, and which provides a framework for building organizational
resilience with the capability of an effective response that safeguards the interests of its key stakeholders,
reputation, brand and value-creating activities
3.5
business continuity management system
BCMS
part of the overall management system that establishes, implements, operates, monitors, reviews, maintains
and improves business continuity
NOTE The management system includes organizational structure, policies, planning activities, responsibilities,
procedures, processes and resources.
3.6
business continuity plan
documented procedures that guide organizations to respond, recover, resume, and restore to a pre-defined
level of operation following disruption
NOTE Typically this covers resources, services and activities required to ensure the continuity of critical business functions.
3.7
business continuity programme
ongoing management and governance process supported by top management and appropriately resourced to
implement and maintain business continuity management
3.8
business impact analysis
process of analyzing actitivites and the effect that a business disruption might have upon them
[SOURCE: ISO 22300]
3.9
competence
ability to apply knowledge and skills to achieve intended results
3.10
conformity
fulfilment of a requirement
[SOURCE: ISO 22300]
2 © ISO 2012 – All rights reserved
3.11
continual improvement
recurring activity to enhance performance
[SOURCE: ISO 22300]
3.12
correction
action to eliminate a detected nonconformity
[SOURCE: ISO 22300]
3.13
corrective action
action to eliminate the cause of a nonconformity and to prevent recurrence
NOTE In the case of other undesirable outcomes, action is necessary to minimize or eliminate causes and to reduce
impact or prevent recurrence. Such actions fall outside the concept of “corrective action” in the sense of this definition.
[SOURCE: ISO 22300]
3.14
document
information and its supporting medium
NOTE 1 The medium can be paper, magnetic, electronic or optical computer disc, photograph or master sample, or a
combination thereof.
NOTE 2 A set of documents, for example specifications and records, is frequently called “documentation”.
3.15
documented information
information required to be controlled and maintained by an organization and the medium on which it is contained
NOTE 1 Documented information can be in any format and on any media from any source.
NOTE 2 Documented information can refer to
— the management system, including related processes;
— information created in order for the organization to operate (documentation);
— evidence of results achieved (records).
3.16
effectiveness
extent to which planned activities are realized and planned results achieved
[SOURCE: ISO 22300]
3.17
event
occurrence or change of a particular set of circumstances
NOTE 1 An event can be one or more occurrences, and can have several causes.
NOTE 2 An event can consist of something not happening.
NOTE 3 An event can sometimes be referred to as an “incident” or “accident”.
NOTE 4 An event without consequences may also be referred to as a “near miss”, “incident”, “near hit”, “close call”.
[SOURCE: ISO/IEC Guide 73]
3.18
exercise
process to train for, assess, practice, and improve performance in an organization
NOTE 1 Exercises can be used for: validating policies, plans, procedures, training, equipment, and inter-organizational
agreements; clarifying and training personnel in roles and responsibilities; improving inter-organizational coordination
and communications; identifying gaps in resources; improving individual performance; and identifying opportunities for
improvement, and controlled opportunity to practice improvisation.
NOTE 2 A test is a unique and particular type of exercise, which incorporates an expectation of a pass or fail element
within the goal or objectives of the exercise being planned.
[SOURCE: ISO 22300]
3.19
incident
situation that might be, or could lead to, a disruption, loss, emergency or crisis
[SOURCE: ISO 22300]
3.20
infrastructure
system of facilities, equipment and services needed for the operation of an organization
3.21
interested party
stakeholder
person or organization that can affect, be affected by, or perceive themselves to be affected by a decision or activity
NOTE This can be an individual or group that has an interest in any decision or activity of an organization.
3.22
internal audit
audit conducted by, or on behalf of, the organization itself for management review and other internal purposes,
and which might form the basis for an organization’s self-declaration of conformity
NOTE In many cases, particularly in smaller organizations, independence can be demonstrated by the freedom from
responsibility for the activity being audited.
3.23
invocation
act of declaring that an organization’s business continuity arrangements need to be put into effect in order to
continue delivery of key products or services
3.24
management system
set of interrelated or interacting elements of an organization to establish policies and objectives, and processes
to achieve those objectives
NOTE 1 A management system can address a single discipline or several disciplines.
NOTE 2 The system elements include the organization’s structure, roles and responsibilities, planning, operation, etc.
NOTE 3 The scope of a management system can include the whole of the organization, specific and identified
functions of the organization, specific and identified sections of the organization, or one or more functions across a group
of organizations.
4 © ISO 2012 – All rights reserved
3.25
maximum acceptable outage
MAO
time it would take for adverse impacts, which might arise as a result of not providing a product/service or
performing an activity, to become unacceptable
NOTE See also maximum tolerable period of disruption.
3.26
maximum tolerable period of disruption
MTPD
time it would take for adverse impacts, which might arise as a result of not providing a product/service or
performing an activity, to become unacceptable
NOTE See also maximum acceptable outage.
3.27
measurement
process to determine a value
3.28
minimum business continuity objective
MBCO
minimum level of services and/or products that is acceptable to the organization to achieve its business
objectives during a disruption
3.29
monitoring
determining the status of a system, a process or an activity
NOTE To determine the status there may be a need to check, supervise or critically observe.
3.30
mutual aid agreement
pre-arranged understanding between two or more entities to render assistance to each other
[SOURCE: ISO 22300]
3.31
nonconformity
non-fulfilment of a requirement
[SOURCE: ISO 22300]
3.32
objective
result to be achieved
NOTE 1 An objective can be strategic, tactical or operational.
NOTE 2 Objectives can relate to different disciplines (such as financial, health and safety, and environmental goals)
and can apply at different levels [such as strategic, organization-wide, project, product and process).
NOTE 3 An objective can be expressed in other ways, e.g. as an intended outcome, a purpose, an operational criterion,
as a societal security objective or by the use of other words with similar meaning (e.g. aim, goal, or target).
NOTE 4 In the context of societal security management systems standards, societal security objectives are set by the
organization, consistent with the societal security policy, to achieve specific results.
3.33
organization
person or group of people that has its own functions with responsibilities, authorities and relationships to
achieve its objectives
NOTE 1 The concept of organization includes, but is not limited to, sole-trader, company, corporation, firm, enterprise,
authority, partnership, charity or institution, or part or combination thereof, whether incorporated or not, public or private.
NOTE 2 For organizations with more than one operating unit, a single operating unit can be defined as an organization.
3.34
outsource (verb)
make an arrangement where an external organization performs part of an organization’s function or process
NOTE An external organization is outside the scope of the management system, although the outsourced function or
process is within the scope.
3.35
performance
measurable result
NOTE 1 Performance can relate either to quantitative or qualitative findings.
NOTE 2 Performance can relate to the management of activities, processes, products (including services), systems or
organizations.
3.36
performance evaluation
process of determining measurable results
3.37
personnel
people working for and under the control of the organization
NOTE The concept of personnel includes, but is not limited to employees, part-time staff, and agency staff.
3.38
policy
intentions and direction of an organization as formally expressed by its top management
3.39
procedure
specified way to carry out an activity or a process
3.40
process
set of interrelated or interacting activities which transforms inputs into outputs
3.41
products and services
beneficial outcomes provided by an organization to its customers, recipients and interested parties, e.g.
manufactured items, car insurance and community nursing
3.42
prioritized activities
activities to which priority must be given following an incident in order to mitigate impacts
NOTE Terms in common use to describe activities within this group include: critical, essential, vital, urgent and key.
[SOURCE: ISO 22300]
6 © ISO 2012 – All rights reserved
3.43
record
statement of results achieved or evidence of activities performed
3.44
recovery point objective
RPO
point to which information used by an activity must be restored to enable the activity to operate on resumption
NOTE Can also be referred to as “maximum data loss”.
3.45
recovery time objective
RTO
period of time following an incident within which
— product or service must be resumed, or
— activity must be resumed, or
— resources must be recovered
NOTE For products, services and activities, the recovery time objective must be less than the time it would take for
the adverse impacts that would arise as a result of not providing a product/service or performing an activity to become
unacceptable.
3.46
requirement
need or expectation that is stated, generally implied or obligatory
NOTE 1 “Generally implied” means that it is a customary or common practice for the organization and interested
parties that the need or expectation under consideration is implied.
NOTE 2 A specified requirement is one that is stated, for example in documented information.
3.47
resources
all assets, people, skills, information, technology (including plant and equipment), premises, and supplies and
information (whether electronic or not) that an organization has to have available to use, when needed, in order
to operate and meet its objective
3.48
risk
effect of uncertainty on objectives
NOTE 1 An effect is a deviation from the expected — positive or negative.
NOTE 2 Objectives can have different aspects (such as financial, health and safety, and environmental goals) and
can apply at different levels (such as strategic, organization-wide, project, product and process). An objective can be
expressed in other ways, e.g. as an intended outcome, a purpose, an operational criterion, as a business continuity
objective or by the use of other words with similar meaning (e.g. aim, goal, or target).
NOTE 3 Risk is often characterized by reference to potential events (Guide 73, 3.5.1.3) and consequences (Guide 73,
3.6.1.3), or a combination of these.
NOTE 4 Risk is often expressed in terms of a combination of the consequences of an event (including changes in
circumstances) and the associated likelihood (Guide 73, 3.6.1.1) of occurrence.
NOTE 5 Uncertainty is the state, even partial, of deficiency of information related to, understanding or knowledge of, an
event, its consequence, or likelihood.
NOTE 6 In the context of business continuity management system standards, business continuity objectives are set
by the organization, consistent with the business continuity policy, to achieve specific results. When applying the term risk
and components of risk management, this should be related to the objectives of the organization that include, but are not
limited to the business continuity objectives as specified in 6.2.
[SOURCE: ISO/IEC Guide 73]
3.49
risk appetite
amount and type of risk that an organization is willing to pursue or retain
3.50
risk assessment
overall process of risk identification, risk analysis and risk evaluation
[SOURCE: ISO Guide 73]
3.51
risk management
coordinated activities to direct and control an organization with regard to risk
[SOURCE: ISO Guide 73]
3.52
testing
procedure for evaluation; a means of determining the presence, quality, or veracity of something
NOTE 1 Testing may be referred to a “trial”.
NOTE 2 Testing is often applied to supporting plans.
[SOURCE: ISO 22300]
3.53
top management
person or group of people who directs and controls an organization at the highest level
NOTE 1 Top management has the power to delegate authority and provide resources within the organization.
NOTE 2 If the scope of the management system covers only part of an organization then top management refers to
those who direct and control that part of the organization.
3.54
verification
confirmation, through the provision of evidence, that specified requirements have been fulfilled
3.55
work environment
set of conditions under which work is performed
NOTE Conditions include physical, social, psychological and environmental factors (such as temperature, recognition
schemes, ergonomics and atmospheric composition.
[SOURCE: ISO 22300]
4 Context of the organization
4.1 Understanding of the organization and its context
The organization shall determine external and internal issues that are relevant to its purpose and that affect its
ability to achieve the intended outcome(s) of its BCMS.
8 © ISO 2012 – All rights reserved
These issues shall be taken into account when establishing, implementing and maintaining the organization’s BCMS.
The organization shall identify and document the following:
a) the organization’s activities, functions, services, products, partnerships, supply chains, relationships with
interested parties, and the potential impact related to a disruptive incident;
b) links between the business continuity policy and the organization’s objectives and other policies, including
its overall risk management strategy; and
c) the organization’s risk appetite.
In establishing the context, the organization shall
1) articulate its objectives, including those concerned with business continuity,
2) define the external and internal factors that create the uncertainty that gives rise to risk,
3) set risk criteria taking into account the risk appetite, and
4) define the purpose of the BCMS.
4.2 Understanding the needs and expectations of interested parties
4.2.1 General
When establishing its BCMS, the organization shall determine
a) the interested parties that are relevant to the BCMS, and
b) the requirements of these interested parties (i.e. their needs and expectations whether stated, generally
implied or obligatory).
4.2.2 Legal and regulatory requirements
The organization shall establish, implement and maintain a procedure(s) to identify, have access to, and assess
the applicable legal and regulatory requirements to which the organization subscribes related to the continuity
of its operations, products and services, as well as the interests of relevant interested parties.
The organization shall ensure that these applicable legal, regulatory and other requirements to which the
organization subscribes are taken into account in establishing, implementing and maintaining its BCMS.
The organization shall document this information and keep it up-to-date. New or variations to legal, regulatory
and other requirements shall be communicated to affected employees and other interested parties.
4.3 Determining the scope of the business continuity management system
4.3.1 General
The organization shall determine the boundaries and applicability of the BCMS to establish its scope.
When determining this scope, the organization shall consider
— the external and internal issues referred to in 4.1, and
— the requirements referred to in 4.2.
The scope shall be available as documented information.
4.3.2 Scope of the BCMS
The organization shall
a) establish the parts of the organization to be included in the BCMS,
b) establish BCMS requirements, considering the organization’s mission, goals, internal and external
obligations (including those related to interested parties), and legal and regulatory responsibilities,
c) identify products and services and all related activities within the scope of the BCMS,
d) take into account interested parties’ needs and interests, such as customers, investors, shareholders, the
supply chain, public and/or community input and needs, expectations and interests (as appropriate), and
e) define the scope of the BCMS in terms of and appropriate to the size, nature and complexity of the
organization.
When defining the scope, the organization shall document and explain exclusions; any such exclusions shall
not affect the organization’s ability and responsibility to provide continuity of business and operations that meet
the BCMS requirements, as determined by business impact analysis or risk assessment and applicable legal
or regulatory requirements.
4.4 Business continuity management system
The organization shall establish, implement, maintain and continually improve a BCMS, including the processes
needed and their interactions, in accordance with the requirements of this International Standard.
5 Leadership
5.1 Leadership and commitment
Persons in top management and other relevant management roles throughout the organization shall demonstrate
leadership with respect to the BCMS.
EXAMPLE This leadership and commitment can be shown by motivating and empowering persons to contribute to
the effectiveness of the BCMS.
5.2 Management commitment
Top management shall demonstrate leadership and commitment with respect to the BCMS by
— ensuring that policies and objectives are established for the business continuity management system and
are compatible with the strategic direction of the organization,
— ensuring the integration of the business continuity management system requirements into the organization’s
business processes,
— ensuring that the resources needed for the business continuity management system are available,
— communicating the importance of effective business continuity management and conforming to the BCMS
requirements,
— ensuring that the BCMS achieves its intended outcome(s),
— directing and supporting persons to contribute to the effectiveness of the BCMS,
— promoting continual improvement, and
— supporting other relevant management roles to demonstrate their leadership and commitment as it applies
to their areas of responsibility.
10 © ISO 2012 – All rights reserved
NOTE 1 Reference to “business” in this International Standard is intended to be interpreted broadly to mean those
activities that are core to the purposes of the organization’s existence.
Top management shall provide evidence of its commitment to the establishment, implementation, operation,
monitoring, review, maintenance, and improvement of the BCMS by
— establishing a business continuity policy,
— ensuring that BCMS objectives and plans are established,
— establishing roles, responsibilities, and competencies for business continuity management, and
— appointing one or more persons to be responsible for the BCMS with the appropriate authority and
competencies to be accountable for the implementation and maintenance of the BCMS.
NOTE 2 These persons can hold other responsibilities within the organization.
Top management shall ensure that the responsibilities and authorities for relevant roles are assigned and
communicated within the organization by
— defining the criteria for accepting risks and the acceptable levels of risk,
— actively engaging in exercising and testing,
— ensuring that internal audits of the BCMS are conducted,
— conducting management reviews of the BCMS, and
— demonstrating its commitment to continual improvement.
5.3 Policy
Top management shall establish a business continuity policy that
a) is appropriate to the purpose of the organization,
b) provides a framework for setting business continuity objectives,
c) includes a commitment to satisfy applicable requirements,
d) includes a commitment to continual improvement of the BCMS.
The BCMS policy shall
— be available as documented information,
— be communicated within the organization,
— be available to interested parties, as appropriate,
— be reviewed for continuing suitability at defined intervals and when significant changes occur
The organization shall retain documented information on the business continuity policy.
5.4 Organizational roles, responsibilities and authorities
Top management shall ensure that the responsibilities and authorities for relevant roles are assigned and
communicated within the organization.
Top management shall assign the responsibility and authority for
a) ensuring that the management system conforms to the requirements of this International Standard, and
b) reporting on the performance of the BCMS to top management.
6 Planning
6.1 Actions to address risks and opportunities
When planning for the BCMS, the organization shall consider the issues referred to in 4.1 and the requirements
referred to in 4.2 and determine the risks and opportunities that need to be addressed to
— ensure the management system can achieve its intended outcome(s),
— prevent, or reduce, undesired effects,
— achieve continual improvement.
The organization shall plan
a) actions to address these risks and opportunities,
b) how to
1) integrate and implement the actions into its BCMS processes (see 8.1),
2) evaluate the effectiveness of these actions (see 9.1).
6.2 Business continuity objectives and plans to achieve them
Top management shall ensure that business continuity objectives are established and communicated for
relevant functions and levels within the organization.
The business continuity objectives shall
a) be consistent with the business continuity policy,
b) take account of the minimum level of products and services that is acceptable to the organization to
achieve its objectives,
c) be measurable,
d) take into account applicable requirements, and
e) be monitored and updated as appropriate.
The organization shall retain documented information on the business continuity objectives.
To achieve its business continuity objectives, the organization shall determine
— who will be responsible,
— what will be done,
— what resources will be required,
— when it will be completed, and
— how the results will be evaluated.
7 Support
7.1 Resources
The organization shall determine and provide the resources needed for the establishment, implementation,
maintenance and continual improvement of the BCMS.
12 © ISO 2012 – All rights reserved
7.2 Competence
The organization shall
a) determine the necessary competence of person(s) doing work under its control that affects its performance,
b) ensure that these persons are competent on the basis of appropriate education, training, and experience,
c) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of
the actions taken, and
d) retain appropriate documented information as evidence of competence.
NOTE Applicable actions can include, for example: the provision of training to, the mentoring of, or the reassignment
of current employed persons; or the hiring or contracting of competent persons.
7.3 Awareness
Persons doing work under the organization’s control shall be aware of
a) the business continuity policy,
b) their contribution to the effectiveness of the BCMS, including the benefits of improved business continuity
management performance,
c) the implications of not conforming with the BCMS requirements, and
d) their own role during disruptive incidents.
7.4 Communication
The organization shall determine the need for internal and external communications relevant to the BCMS including
a) on what it will communicate,
b) when to communicate,
c) with whom to communicate.
The organization shall establish, implement, and maintain procedure(s) for
— internal communication amongst interested parties and employees within the organization,
— external communication with customers, partner entities, local community, and other interested parties,
including the media,
— receiving, documenting, and responding to communication from interested parties,
— adapting and integrating a national or regional threat advisory system, or equivalent, into planning and
operational use, if appropriate,
— ensuring availability of the means of communication during a disruptive incident,
— facilitating structured communication with appropriate authorities and ensuring the interoperability of
multiple responding organizations and personnel, where appropriate, and
— operating and testing of communications capabilities intended for use during disruption of normal
communications.
NOTE Further requirements for communication in response to an incident are specified in 8.4.3.
...
NORME ISO
INTERNATIONALE 22301
Première édition
2012-05-15
Sécurité sociétale — Systèmes de
management de la continuité d'activité —
Exigences
Societal security — Business continuity management systems —
Requirements
Numéro de référence
©
ISO 2012
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2012
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2012 – Tous droits réservés
Sommaire Page
Avant-propos . iv
0 Introduction . v
0.1 Généralités . v
0.2 Le modèle Planifier-Déployer-Contrôler-Agir (Plan-Do-Check-Act, PDCA) . vi
0.3 Éléments du modèle PDCA dans la présente Norme internationale . vii
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 2
4 Contexte de l'organisation . 9
4.1 Compréhension de l'organisation et de son contexte . 9
4.2 Compréhension des besoins et attentes des parties intéressées . 10
4.3 Détermination du domaine d’application du système de management de la continuité
d'activité . 10
4.4 Système de management de la continuité d'activité . 11
5 Leadership . 11
5.1 Leadership et engagement . 11
5.2 Engagement de la direction . 12
5.3 Politique . 13
5.4 Rôles, responsabilités et autorités au sein de l’organisation . 13
6 Planification . 13
6.1 Actions face aux risques et opportunités . 13
6.2 Objectifs de continuité d'activité et plans pour les atteindre . 14
7 Support . 14
7.1 Ressources . 14
7.2 Compétences . 15
7.3 Sensibilisation . 15
7.4 Communication . 15
7.5 Informations documentées. 16
8 Fonctionnement . 17
8.1 Planification opérationnelle et maîtrise . 17
8.2 Analyse des impacts sur l'activité et appréciation du risque . 18
8.3 Stratégie de continuité d'activité . 19
8.4 Établissement et mise en œuvre de procédures de continuité d'activité . 20
8.5 Exercices et tests . 23
9 Évaluation des performances . 23
9.1 Supervision, mesurage, analyse et évaluation . 23
9.2 Audit interne . 24
9.3 Revue de direction . 25
10 Amélioration . 27
10.1 Non-conformité et actions correctives . 27
10.2 Amélioration continue . 28
Bibliographie . 29
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 22301 a été élaborée par le comité technique ISO/TC 223, Sécurité sociétale.
La présente version française de l'ISO 22301 correspond à la version anglaise publiée le 2012-05-15 et
corrigée le 2012-06-15.
iv © ISO 2012 – Tous droits réservés
0 Introduction
0.1 Généralités
La présente Norme internationale spécifie les exigences relatives à l'établissement et au management d'un
Système de Management de la Continuité d'Activité (SMCA) efficace.
Un SMCA souligne l'importance :
— d'une compréhension des besoins de l'organisation et de la nécessité de mettre en place une politique et
des objectifs en matière de management de la continuité d'activité ;
— de la mise en œuvre et de l'exploitation de contrôles et de mesures de gestion de la capacité globale
d'une organisation à gérer des incidents perturbateurs ;
— d'une surveillance et d'une revue des performances et de l'efficacité du SMCA ; et
— d'une amélioration continue sur la base de mesures objectives.
Comme tout autre système de management, un SMCA intègre les éléments clés suivants :
a) une politique ;
b) des personnes ayant des responsabilités définies ;
c) des processus de management se rapportant à :
1) la politique ;
2) la planification ;
3) la mise en œuvre et le fonctionnement ;
4) l'évaluation des performances ;
5) la revue de direction ; et
6) l'amélioration ;
d) une documentation fournissant des preuves tangibles ; et
e) tous les processus de management de la continuité d'activité pertinents pour l'organisation.
La continuité d'activité contribue à rendre la société plus résiliente. Il est possible qu’il faille impliquer dans le
processus de reprise la communauté dans son ensemble, ainsi que l'impact de l'environnement de
l'organisation et donc l’impact des autres organisations sur l’organisation elle-même.
0.2 Le modèle Planifier-Déployer-Contrôler-Agir (Plan-Do-Check-Act, PDCA)
La présente Norme internationale applique le modèle PDCA à la planification, l'établissement, la mise en
œuvre, le fonctionnement, la surveillance, la revue, le maintien et l'amélioration continue de l'efficacité du
SMCA d'une organisation.
Ceci assure un degré de cohérence avec d'autres normes de système de management, telles que l'ISO 9001,
Systèmes de management de la qualité, l'ISO 14001, Systèmes de management environnemental,
l'ISO/CEI 27001, Systèmes de management de la sécurité de l'information, l'ISO/CEI 20000-1, Technologies
de l'information — Gestion des services et l'ISO 28000, Spécifications relatives aux systèmes de
management de la sûreté de la chaîne d'approvisionnement, permettant ainsi une mise en œuvre et un
fonctionnement cohérents et intégrés avec les systèmes de management associés.
La Figure 1 illustre comment un SMCA prend pour entrées les parties intéressées, les exigences de
management de la continuité et comment, via les actions et les processus nécessaires, il produit des sorties
en matière de continuité (c'est-à-dire une continuité de l'activité gérée) qui satisfont à ces exigences.
Figure 1 — Modèle PDCA appliqué aux processus d'un SMCA
vi © ISO 2012 – Tous droits réservés
Tableau 1 — Explication du modèle PDCA
Planifier Établir une politique, des objectifs, des cibles, des contrôles, des processus et des
procédures de continuité d'activité pertinents pour améliorer la continuité d'activité afin
(Établir)
d’obtenir des résultats alignés avec les politiques et les objectifs globaux de l'organisation.
Déployer Mettre en œuvre et rendre opérationnels la politique, les contrôles, les processus et les
procédures de continuité d'activité.
(Mettre en place et en
œuvre)
Contrôler Superviser et revoir les performances par rapport à la politique et aux objectifs de
continuité d'activité, rendre compte des résultats à la direction pour revue et déterminer et
(Superviser et réviser)
autoriser des actions correctives et d'amélioration.
Agir Maintenir et améliorer le SMCA en entreprenant des actions correctives, sur la base des
résultats de la revue de direction, et en reconsidérant le périmètre du SMCA ainsi que la
(Maintenir et améliorer)
politique et les objectifs de continuité d'activité.
0.3 Éléments du modèle PDCA dans la présente Norme internationale
Dans le modèle PDCA présenté dans le Tableau 1, les Articles 4 à 10 de la présente Norme internationale
traitent des éléments suivants :
— l'Article 4 est une partie du thème « Planifier ». Il introduit les exigences nécessaires pour établir le
contexte du SMCA tel qu'il s'applique à l'organisation, ainsi que les besoins, les exigences et le
périmètre.
— l'Article 5 est une partie du thème « Planifier ». Il résume les exigences spécifiques au rôle joué par la
Direction dans le SMCA, et la manière dont la Direction communique ses attentes à l'organisation par le
biais d'une déclaration de politique.
— l'Article 6 est une partie du thème « Planifier ». Il décrit les exigences relatives à l'établissement des
objectifs stratégiques et des principes directeurs du SMCA dans son ensemble. Le contenu de l'Article 6
ne consiste pas à mettre en place les solutions de traitement des risques découlant de l'appréciation des
risques, ni à établir les objectifs de reprise issus de l'analyse d’impact sur l'activité.
NOTE Les exigences relatives à l'analyse d’impact sur l'activité et au processus d'appréciation du risque sont
spécifiées de manière détaillée à l'Article 8.
— l'Article 7 est une partie du thème « Planifier ». Il vient à l'appui des opérations du SMCA relatives à la
détermination des compétences et à l'établissement de communications avec les parties intéressées, sur
une base récurrente/au besoin, tout en documentant, contrôlant, tenant à jour et conservant la
documentation requise.
— l'Article 8 est une partie du thème « Faire ». Il définit les exigences relatives à la continuité d'activité,
détermine la manière de les traiter et développe les procédures afin de gérer un incident perturbateur.
— l'Article 9 est une partie du thème « Contrôler ». Il résume les exigences nécessaires pour mesurer la
performance du management de la continuité d'activité, la conformité du SMCA à la présente Norme
internationale et aux attentes de la Direction, et recherche les retours d'information de la direction
concernant les attentes.
— l'Article 10 est une partie du thème « Agir ». Il identifie et intervient sur une non-conformité du SMCA par
le biais d'une action corrective.
NORME INTERNATIONALE ISO 22301:2012(F)
Sécurité sociétale — Systèmes de management de la continuité
d'activité — Exigences
1 Domaine d’application
La présente Norme internationale relative à la gestion de la continuité d'activité spécifie les exigences pour
planifier, établir, mettre en place et en œuvre, contrôler, réviser, maintenir et améliorer de manière continue
un système de management documenté afin de se protéger des incidents perturbateurs, réduire leur
probabilité de survenance, s'y préparer, y répondre et de s’en rétablir lorsqu'ils surviennent.
Les exigences spécifiées dans la présente Norme internationale sont génériques et prévues pour être
applicables à toutes les organisations, ou parties de celles-ci, indépendamment du type, de la taille et de la
nature de l'organisation. Le champ d'application de ces exigences dépend de l'environnement et de la
complexité de fonctionnement de l'organisation.
La présente Norme internationale ne vise pas à uniformiser la structure d'un système de management de la
continuité d'activité (SMCA), mais à permettre à une organisation de concevoir un SMCA qui soit adapté à
ses besoins et qui satisfasse aux exigences des parties intéressées. Ces besoins sont façonnés par les
exigences juridiques, réglementaires, organisationnelles et industrielles, les produits et les services, les
processus employés, la taille et la structure de l'organisation et les exigences des parties intéressées.
La présente Norme internationale est applicable à tous les types et toutes les tailles d'organisations
souhaitant :
a) établir, mettre en œuvre, maintenir et améliorer un SMCA ;
b) assurer la conformité à la politique de continuité d'activité établie ;
c) démontrer cette conformité à des tiers ;
d) faire certifier/enregistrer son SMCA par un organisme de certification tiers et accrédité ; ou
e) réaliser une autoévaluation et une auto-déclaration de conformité à la présente Norme internationale.
La présente Norme internationale peut être utilisée pour évaluer la capacité d'une organisation à satisfaire ses
propres besoins et obligations en matière de continuité.
2 Références normatives
Les documents ci-après, dans leur intégralité ou non, sont des références normatives indispensables à
l'application du présent document. Pour les références datées, seule l'édition citée s'applique. Pour les
références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
Il n'y a aucune référence normative.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquent.
3.1
activité
processus ou ensemble de processus exécutés par une organisation (ou pour son compte) qui réalise ou aide
à réaliser un ou plusieurs produits et services
EXEMPLE De tels processus comprennent la comptabilité, les centres d'appel, les technologies de l'information (IT),
la fabrication, la distribution.
3.2
audit
processus systématique, indépendant et documenté permettant d'obtenir des preuves d'audit et de les
évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits
NOTE 1 Un audit peut être interne (de première partie) ou externe (de seconde ou tierce partie), et il peut être combiné
(s'il associe deux disciplines ou plus).
NOTE 2 Les termes « preuves d’audit » et « critères d'audit » sont définis dans l'ISO 19011.
3.3
continuité d'activité
capacité de l'organisation à poursuivre la fourniture de produits ou la prestation de services à des niveaux
acceptables et préalablement définis après un incident perturbateur
[SOURCE : ISO 22300]
3.4
gestion de la continuité d'activité
processus de management holistique qui identifie les menaces potentielles pour une organisation ainsi que
les impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à l'activité de
l'organisation, et qui fournit un cadre pour construire la résilience de l'organisation avec une capacité de
réponse efficace préservant les intérêts de ses principales parties prenantes, sa réputation, sa marque et ses
activités productrices de valeur
3.5
système de management de la continuité d'activité
SMCA
partie du système de management global qui établit, met en œuvre, opère, contrôle, révise, maintient et
améliore la continuité d'activité
NOTE Le système de management comprend la structure organisationnelle, les politiques, les planifications, les
responsabilités, les procédures, les processus et les ressources.
3.6
plan de continuité d'activité
procédures documentées servant de guide aux organisations pour répondre, rétablir, reprendre et retrouver
un niveau de fonctionnement prédéfini à la suite d'une perturbation
NOTE Ce plan couvre généralement les ressources, les services et les activités requis pour assurer la continuité des
fonctions critiques.
3.7
programme de continuité d'activité
processus continu de management et de gouvernance soutenu par la direction et doté de ressources
appropriées pour mettre en œuvre et maintenir le management de la continuité d'activité
2 © ISO 2012 – Tous droits réservés
3.8
analyse d’impact sur l'activité
processus d'analyse des activités et de l'effet qu'une perturbation de l'activité peut avoir sur elles
[SOURCE : ISO 22300]
3.9
compétence
aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats escomptés
3.10
conformité
satisfaction d’une exigence
[SOURCE : ISO 22300]
3.11
amélioration continue
activité récurrente visant à améliorer les performances
[SOURCE : ISO 22300]
3.12
correction
action visant à éliminer une non-conformité détectée
[SOURCE : ISO 22300]
3.13
action corrective
action visant à éliminer la cause d'une non-conformité et à éviter sa réapparition
NOTE Dans le cas d'autres résultats indésirables, il est nécessaire d'entreprendre une action visant à réduire au
minimum ou éliminer les causes et à réduire leur impact ou éviter leur réapparition. De telles actions ne relèvent pas du
concept « d'action corrective » au sens de la présente définition.
[SOURCE : ISO 22300]
3.14
document
support d'information et l'information qu'il contient
NOTE 1 Le support peut être du papier, un disque informatique magnétique, électronique ou optique, une
photographie ou une configuration de référence, ou une combinaison de ceux-ci.
NOTE 2 Un ensemble de documents, par exemple des spécifications et des enregistrements, est souvent appelé
« documentation ».
3.15
information documentée
information qui nécessite d'être contrôlée et tenue à jour par une organisation et support sur lequel elle est
contenue
NOTE 1 Les informations documentées peuvent se présenter dans tout format et sur tout support et provenir de toute
source.
NOTE 2 Les informations documentées peuvent se référer :
— au système de management, y compris les processus associés ;
— aux informations générées en vue du fonctionnement de l'organisation (documentation) ;
— aux preuves des résultats obtenus (enregistrements).
3.16
efficacité
niveau de réalisation des activités planifiées et d’obtention des résultats escomptés
[SOURCE : ISO 22300]
3.17
événement
occurrence ou changement d'un ensemble particulier de circonstances
NOTE 1 Un événement peut être unique ou se reproduire et peut avoir plusieurs causes.
NOTE 2 Un événement peut consister en quelque chose qui ne se produit pas.
NOTE 3 Un événement peut parfois être qualifié « d'incident » ou « d'accident ».
NOTE 4 Un événement sans conséquences peut également être appelé « quasi-accident » ou « incident » ou
« presque succès ».
[SOURCE : ISO/CEI Guide 73]
3.18
exercice
processus visant à se former, évaluer, mettre en pratique et améliorer les performances au sein d'une
organisation
NOTE 1 Des exercices peuvent être utilisés pour : valider des politiques, des plans, des procédures, une formation, un
équipement et des accords entre organisations ; clarifier et former le personnel à des rôles et des responsabilités ;
améliorer la coordination et les communications entre organisations ; identifier les lacunes en matière de ressources ;
améliorer les performances individuelles et identifier les opportunités d'amélioration et les opportunités contrôlées
d'improvisation.
NOTE 2 Un test est un type unique et particulier d'exercice qui intègre l'attente de la réussite ou de l'échec d’un
élément parmi les buts ou les objectifs de l'exercice planifié.
[SOURCE : ISO 22300]
3.19
incident
situation qui peut être, ou conduire à, une perturbation, une perte, une urgence ou une crise
[SOURCE : ISO 22300]
3.20
infrastructure
système d'installations, d'équipements et de services nécessaire au fonctionnement d'une organisation
4 © ISO 2012 – Tous droits réservés
3.21
partie intéressée
partie prenante
personne ou organisation qui peut avoir une incidence sur, être affectée ou se sentir affectée par une décision
ou une activité
NOTE Il peut s'agir d'un individu ou d'un groupe ayant un intérêt dans les décisions ou activités d'une organisation.
3.22
audit interne
audit réalisé par, ou pour le compte de, l’organisation elle-même pour la revue de direction et d’autres besoins
internes et qui peut servir de base à l’autodéclaration de conformité de l’organisation
NOTE Dans de nombreux cas et en particulier pour les petites organisations, l’indépendance peut être démontrée
par l’absence de responsabilité vis-à-vis de l’activité à auditer.
3.23
déclenchement
acte consistant à déclarer que les dispositions en matière de continuité d'activité d'une organisation doivent
être mises en œuvre afin de poursuivre la livraison de produits clés ou la prestation de services clés
3.24
système de management
ensemble d'éléments corrélés ou interactifs d'une organisation, utilisés pour établir des politiques et des
objectifs, et de processus pour atteindre ces objectifs
NOTE 1 Un système de management peut concerner une seule ou plusieurs disciplines.
NOTE 2 Les éléments du système comprennent la structure organisationnelle, les rôles et responsabilités, la
planification, le fonctionnement, etc.
NOTE 3 Le périmètre d'un système de management peut comprendre l'ensemble de l'organisation, des fonctions
spécifiques et identifiées de l'organisation, des sections spécifiques et identifiées de l'organisation, ou une ou plusieurs
fonctions dans un groupe d'organisations.
3.25
durée maximale d’interruption acceptable
DMIA [en anglais: MAO (maximum acceptable outage)]
temps nécessaire pour que les impacts défavorables pouvant résulter de la non fourniture d'un produit/service
ou de la non réalisation d'une activité, deviennent inacceptables
NOTE Voir aussi « durée maximale tolérable de perturbation ».
3.26
durée maximale tolérable de perturbation
DMTP [en anglais: MTPD (maximum tolerable period of disruption)]
temps nécessaire pour que les impacts défavorables pouvant résulter de la non fourniture d'un produit/service
ou de la non réalisation d'une activité, deviennent inacceptables
NOTE Voir aussi « durée maximale d’interruption acceptable ».
3.27
mesurage
processus visant à déterminer une valeur
3.28
objectif minimal de continuité d'activité
OMCA [en anglais: MBCO (minimum business continuity objective)]
niveau minimal de services et/ou de produits acceptable par l'organisation pour atteindre ses objectifs métier
pendant une perturbation
3.29
supervision
détermination de l'état d'un système, d'un processus ou d'une activité
NOTE Pour déterminer cet état, il peut être nécessaire de vérifier, surveiller ou observer avec une vision critique.
3.30
accord d'entraide mutuel
entente préalable entre deux entités ou plus par laquelle chacune d'elles s'engage à fournir assistance aux
autres
[SOURCE : ISO 22300]
3.31
non-conformité
non-satisfaction d’une exigence
[SOURCE : ISO 22300]
3.32
objectif
résultat à atteindre
NOTE 1 Un objectif peut être stratégique, tactique ou opérationnel.
NOTE 2 Les objectifs peuvent se rapporter à différentes disciplines (telles que la finance, les enjeux sanitaires et de
sécurité, et les enjeux environnementaux) et ils peuvent s'appliquer à divers niveaux [tels que stratégie, organisation dans
son ensemble, projet, produit et processus].
NOTE 3 Un objectif peut être exprimé autrement, par exemple sous forme de résultat escompté, de mission, de critère
opérationnel, en tant qu'objectif de sécurité sociétale ou par le biais d'un autre terme ayant un sens similaire (par exemple
finalité, but, cible).
NOTE 4 Dans le contexte des normes de systèmes de management de la sécurité sociétale, les objectifs encadrés par
la norme sont établis par l'organisation, en cohérence avec sa politique de sécurité sociétale, en vue d'obtenir des
résultats spécifiques.
3.33
organisation
personne ou groupe de personnes ayant leur propre structure fonctionnelle avec des responsabilités,
autorités et relations en vue d'atteindre ses objectifs
NOTE 1 Le concept d'organisation comprend, sans s’y limiter, les notions de travailleur indépendant, compagnie,
société, firme, entreprise, autorité, groupement, organisation caritative ou institution, ou une partie ou une combinaison
des organisations précédentes, à responsabilité limitée ou sous un autre statut, de droit public ou privé.
NOTE 2 Pour les organisations ayant plusieurs unités d'exploitation, une seule unité d'exploitation peut être définie en
tant qu'organisation.
3.34
externaliser
passer un accord en vertu duquel une organisation externe effectue une partie de la fonction ou met en
œuvre une partie du processus de l’organisation
NOTE L'organisation externe n'est pas incluse dans le périmètre du système de management, contrairement à la
fonction ou au processus externalisé qui en fait bien partie.
6 © ISO 2012 – Tous droits réservés
3.35
performance
résultat mesurable
NOTE 1 La performance peut porter sur des constatations quantitatives ou qualitatives.
NOTE 2 La performance peut concerner le management d'activités, de processus, de produits (y compris services), de
systèmes ou d’organisations.
3.36
évaluation de la performance
processus visant à déterminer des résultats mesurables
3.37
personnel
personnes travaillant pour l'organisation et sous le contrôle de celle-ci
NOTE Le concept de personnel inclut, sans toutefois s'y limiter, les employés, le personnel à temps partiel et le
personnel intérimaire.
3.38
politique
intentions et orientations d'une organisation, telles qu'elles sont officiellement formulées par sa direction
3.39
procédure
manière spécifiée d'effectuer une activité ou un processus
3.40
processus
ensemble d'activités corrélées ou interactives qui transforme des éléments d'entrée en éléments de sortie
3.41
produits et services
résultats fournis par une organisation au bénéfice de ses clients, ses destinataires et les parties intéressées
(par exemple des articles manufacturés, une assurance automobile et des soins infirmiers communautaires)
3.42
activités prioritaires
activités auxquelles priorité doit être donnée à la suite d'un incident afin d'en atténuer les impacts
NOTE Les termes couramment utilisés pour décrire les activités de ce groupe comprennent : critiques, essentielles,
vitales, urgentes et clés.
[SOURCE : ISO 22300]
3.43
enregistrement
déclaration des résultats obtenus ou preuves des activités réalisées
3.44
point de récupération des données
RPO
Point à partie duquel les informations utilisées par une activité doivent être restaurées afin de permettre son
fonctionnement à la reprise
NOTE Il peut également être désigné en tant que « perte maximale de données ».
3.45
objectif de délai de reprise
RTO
durée après un incident durant laquelle :
— un produit ou un service doit être repris, ou
— une activité doit être reprise, ou
— des ressources doivent être rétablies
NOTE Pour les produits, les services et les activités, l'objectif de délai de reprise doit être inférieur au temps qu’il
faudrait pour que les impacts défavorables qui résulteraient du défaut de fourniture d'un produit/service ou de l’absence de
réalisation d'une activité, deviennent inacceptables.
3.46
exigence
besoin ou attente qui est formulé, généralement implicite ou obligatoire
NOTE 1 « Généralement implicite » signifie qu’il est habituel ou de pratique courante pour l'organisation et les parties
intéressées que le besoin ou l’attente à prendre en considération soit implicite.
NOTE 2 Une exigence spécifiée est une exigence établie, par exemple dans une information documentée.
3.47
ressources
ensemble des biens, du personnel, des compétences, des informations, de la technologie (y compris l'usine et
ses équipements), des locaux et des fournitures et informations (qu'elles soient électroniques ou non) dont
doit disposer une organisation, au moment requis, pour fonctionner et atteindre son objectif
3.48
risque
effet de l’incertitude sur l'atteinte des objectifs
NOTE 1 Un effet est un écart, positif ou négatif, par rapport à une attente.
NOTE 2 Les objectifs peuvent avoir différents aspects (par exemple enjeux financiers, sanitaires et de sécurité, ou
environnementaux) et peuvent concerner différents niveaux (stratégie, projet, produit et processus ou organisation toute
entière). Un objectif peut être exprimé autrement, par exemple sous forme de résultat escompté, de mission ou de critère
opérationnel, en tant qu'objectif de continuité d'activité ou par le biais d'un autre terme ayant un sens similaire (par
exemple finalité, but, cible).
NOTE 3 Un risque est souvent caractérisé en référence à des événements potentiels (Guide ISO 73, 3.5.1.3) et des
conséquences potentielles (Guide ISO 73, 3.6.1.3) ou à une combinaison des deux.
NOTE 4 Un risque est souvent exprimé en termes de combinaison des conséquences d'un événement (y compris des
changements de circonstances) et de sa vraisemblance (Guide ISO 73, 3.6.1.1).
NOTE 5 L'incertitude est l'état, même partiel, de défaut d'information concernant la compréhension ou la connaissance
d'un événement, de ses conséquences ou de sa vraisemblance.
NOTE 6 Dans le contexte des normes de systèmes de management de la continuité d'activité, les objectifs de
continuité d’activité sont fixés par l'organisation, en cohérence avec sa politique de continuité d’activité, en vue d'atteindre
des résultats spécifiques. Lorsque les termes « management du risque et des composantes du risque » s’appliquent, il
convient de l'associer aux objectifs de l'organisation qui comprennent, sans toutefois s'y limiter, les objectifs de continuité
d'activité spécifiés en 6.2.
[SOURCE : ISO/CEI Guide 73]
8 © ISO 2012 – Tous droits réservés
3.49
appétence au risque
niveau et type de risque qu'une organisation est prête à accepter
3.50
appréciation du risque
ensemble du processus d'identification des risques, d'analyse du risque et d'évaluation du risque
[SOURCE : ISO Guide 73]
3.51
management du risque
activités coordonnées dans le but de diriger et piloter une organisation vis-à-vis du risque
[SOURCE : ISO Guide 73]
3.52
test
méthode d'évaluation ; moyen de déterminer la présence, la qualité ou la véracité de quelque chose
NOTE 1 Les tests peuvent se référer à un « essai ».
NOTE 2 Les tests sont souvent appliqués à des plans de continuité.
[SOURCE : ISO 22300]
3.53
direction
personne ou groupe de personnes qui dirige et contrôle une organisation au plus haut niveau
NOTE 1 La direction a le pouvoir de déléguer son autorité et de fournir des ressources au sein de l'organisation.
NOTE 2 Si le périmètre du système de management couvre uniquement une partie de l’organisation, alors la direction
se réfère à ceux qui dirigent et contrôlent cette partie de l’organisation.
3.54
vérification
confirmation, par des preuves, que les exigences spécifiées ont été satisfaites
3.55
environnement de travail
ensemble des conditions dans lesquelles un travail est effectué
NOTE Les conditions comprennent des facteurs physiques, sociaux, psychologiques et environnementaux (tels que
la température, les systèmes de reconnaissance, l'ergonomie et la composition de l'air).
[SOURCE : ISO 22300]
4 Contexte de l'organisation
4.1 Compréhension de l'organisation et de son contexte
L'organisation doit déterminer les enjeux externes et internes pertinents vis-à-vis de sa mission, et qui influent
sur sa capacité à obtenir le(s) résultat(s) attendu(s) de son SMCA.
Ces enjeux doivent être pris en compte lors de l'établissement, de la mise en œuvre et du maintien du SMCA
de l'organisation.
L'organisation doit identifier et documenter les éléments suivants :
a) les activités de l'organisation, ses fonctions, ses services, ses produits, ses partenariats, les chaînes
d'approvisionnement, ses relations avec les parties intéressées, et l'impact potentiel lié à un incident
perturbateur ;
b) les liens entre la politique de continuité d'activité et les objectifs de l'organisation ainsi que les autres
politiques, y compris sa stratégie globale de management du risque ; et
c) l’appétence au risque de l'organisation.
Lors de l'établissement du contexte, l'organisation doit :
1) exprimer clairement ses objectifs, y compris ceux liés à la continuité d'activité ;
2) définir les facteurs externes et internes à l'origine de l'incertitude qui engendre un risque ;
3) établir les critères de risque en prenant en compte le goût du risque ; et
4) définir la finalité du SMCA.
4.2 Compréhension des besoins et attentes des parties intéressées
4.2.1 Généralités
Lors de l'établissement de son SMCA, l'organisation doit déterminer :
a) les parties intéressées qui sont concernées par le SMCA ; et
b) les exigences de ces parties intéressées (c'est-à-dire leurs besoins et leurs attentes, que ceux-ci soient
formulés, généralement de manière implicite, ou obligatoires).
4.2.2 Exigences légales et réglementaires
L'organisation doit établir, mettre en œuvre et tenir à jour une (des) procédure(s) lui permettant d'identifier,
d'avoir accès et d'évaluer les exigences légales et réglementaires applicables auxquelles elle se soumet, en
ce qui concerne la continuité de ses opérations, produits et services, ainsi que les intérêts des parties
intéressées concernées.
L'organisation doit s’assurer que les exigences légales, réglementaires ou toutes autres en vigueur
auxquelles elle est soumise sont prises en compte lorsqu'elle établit, met en œuvre et tient à jour son SMCA.
L'organisation doit documenter ces informations et les tenir à jour. Toute nouveauté ou modification des
exigences légales et réglementaires et des autres exigences doit être communiquée aux employés concernés
et à toutes les autres parties intéressées.
4.3 Détermination du domaine d’application du système de management de la continuité
d'activité
4.3.1 Généralités
Pour établir le domaine d’application du SMCA, l'organisation doit en déterminer les limites et l'applicabilité.
10 © ISO 2012 – Tous droits réservés
Lorsqu'elle établit ce domaine d’application, l’organisation doit prendre en compte :
— les enjeux externes et internes auxquels il est fait référence en 4.1 ; et
— les exigences auxquelles il est fait référence en 4.2.
Le périmètre doit être disponible sous forme d'information documentée.
4.3.2 Domaine d’application du SMCA
L'organisation doit :
a) déterminer les parties de l'organisation à inclure dans le SMCA ;
b) définir les exigences relatives au SMCA, compte tenu de la mission de l'organisation, de ses buts, de ses
obligations internes et externes (y compris celles liées aux parties intéressées) et de ses responsabilités
légales et réglementaires ;
c) identifier les produits, les services et toutes activités associées entrant dans le domaine d’application du
SMCA ;
d) prendre en compte les besoins et les intérêts des parties intéressées, tels que les clients, les
investisseurs, les actionnaires, la chaîne d'approvisionnement, les suggestions et besoins, les attentes et
les intérêts du public et/ou de la communauté (lorsque nécessaire) ; et
e) définir le domaine d’application du SMCA en termes et en fonction de la taille, de la nature et de la
complexité de l'organisation.
Lors de la définition du domaine d’application, l'organisation doit documenter et expliquer les exclusions. De
telles exclusions ne doivent pas affecter la capacité et la responsabilité de l'organisation à assurer la
continuité de l'activité et des opérations conformément d’une part aux exigences du SMCA, telles que
déterminées par l'analyse des impacts sur l'activité ou l'appréciation du risque, et d’autre part aux exigences
légales ou réglementaires applicables.
4.4 Système de management de la continuité d'activité
L'organisation doit établir, mettre en œuvre, tenir à jour et continuellement améliorer un SMCA, y compris les
processus nécessaires et leurs interactions, conformément aux exigences de la présente Norme
internationale.
5 Leadership
5.1 Leadership et engagement
Les membres de la Direction et les autres managers concernés au sein de l'organisation doivent faire preuve
de leadership en ce qui concerne le SMCA.
EXEMPLE Ce leadership et cet engagement peuvent être démontrés en incitant et en responsabilisant les
personnes pour qu’elles contribuent à l'efficacité du SMCA.
5.2 Engagement de la direction
La direction doit faire preuve de leadership et affirmer son engagement en faveur du SMCA en :
— s'assurant que des politiques et des objectifs du SMCA sont établis et sont compatibles avec l'orientation
stratégique de l'organisation ;
— s'assurant que les exigences liées au système de management de la continuité d'activité sont intégrées
aux processus métier de l'organisation ;
— s’assurant que les ressources nécessaires pour le système de management de la continuité d'activité
sont disponibles ;
— communiquant sur l’importance de disposer d'un système de management de la continuité d'activité
efficace et de se conformer aux exigences liées à ce système ;
— s'assurant que le SMCA atteint le ou les résultats escomptés ;
— orientant et soutenant les personnes pour qu'elles contribuent à l'efficacité du SMCA ;
— promouvant l’amélioration continue ; et
— aidant les autres managers concernés à faire également preuve de leadership et d'engagement dès lors
que cela s'applique à leurs domaines de responsabilité.
NOTE 1 Dans la présente Norme internationale, il convient d'interpréter le terme « métier » au sens large, c’est-à-dire
comme se référant aux activités liées à l’existence même de l'organisation.
La direction doit fournir des preuves de son engagement en faveur de l'établissement, de la mise en œuvre,
de l'exploitation, de la surveillance, de la revue, de la tenue à jour et de l'amélioration du SMCA en :
— établissant une politique de continuité d'activité ;
— s'assurant que les objectifs et les plans du SMCA sont établis ;
— établissant les rôles, les responsabilités et les compétences en matière de management de la continuité
d'activité ; et
— désignant une ou plusieurs personnes en tant que responsables du SMCA, ces personnes ayant
l'autorité et les compétences appropriées pour assumer la responsabilité de la mise en œuvre et de la
mise à jour du SMCA.
NOTE 2 Ces personnes peuvent assumer d'autres responsabilités au sein de l'organisation.
La Direction doit s’assurer que les responsabilités et autorités des autres managers concernés sont attribuées
et communiquées au sein de l’organisation en :
— définissant les critères d'acceptation des risques et les niveaux de risque acceptables ;
— s'engageant activement dans des exercices et des tests ;
— s'assurant que des audits internes du SMCA sont menés ;
— menant des revues de direction du SMCA ; et
— démontrant son engagement à œuvrer pour l'amélioration continue.
12 © ISO 2012 – Tous droits réservés
5.3 Politique
La Direction doit établir une politique de continuité d'activité qui :
a) est adaptée à la mission de l'organisation ;
b) fournit un cadre pour l’établissement d’objectifs de continuité d'activité ;
c) inclut l'engagement de satisfaire aux exigences applicables ;
d) incl
...
٢٢٣٠١ وزـــيأ ةيلودلا ةيسايقلا ةفصاوملا
ةيمسرلا ةمجرتلا
Official translation
Traductionofficielle
تابلطتملا - لامعلأا ةيرارمتسا ةرادإ مظن – يعمتجملا نملأا
Societal security -- Business continuity management systems ---
Requirements(E)
ةمئاقلا رظنا ) ةمجرتلا ةقد تدمتعأ يتلاISO يف ءاضعأ تائيھ١٠نع ةبانلإاب ةيمسر ةيبرع ةمجرتك ارسيوس ،فينج يف ISO ةيزكرملا ةناملأا يف تعبط
.( ii ةحفص يف
ىعجرملا مقرلا
ISO 22301/2012 (A)
ةيمسرلا ةمجرتلا
©ISO 2012
( ع) ٢٠١٢/٢٢٣٠١ وزيأ
(هيونت) ةيلوئسم ءلاخإ
اذھ ةعابط نكمي هنإف Adobe ـل صيخرتلا ةسايس بجومبو ، ةجمدُم طوطخ ىلع (PDF) فلملا اذھ يوتحي دق
بو�ساحلا ي�ف ة�ل ﱠمح ُم و ة�صخرُمھيف ة�جمدُملا طو�طخلا ن�كت م�ل ا�م ه�ليدعت مت�ي ﱠلاأ ى�لع ، هيلع علاطلإا وأ فلملا
ـ�ل صيخر�تلا ة�سايسب للا�خلإا مد�ع ةيلوئسم - فلملا اذھ ليزنت دنع - فارطلأا لمحتت و . ليدعتلا هيف متي يذلا
. لاجملا اذھ لايح ةينوناق ةيلوئسم يأ لمحتت لا وزيلآلةماعلا ةيراتركسلا نأنيح يف،Adobe
.Adobeـلا مظنل ةدحتملا ةكرشلل ةلجسم ةيراجت ةملاع Adobe ـلا دعت
ة�ماعلا تا�مولعملا ن�م ف�لملا اذ�ھ ءا�شنإ ي�ف ةمدخت�سملا جماربلا�ب ة�صاخلا لي�صافتلا ع�يمج ي�لع لوصحلا نكمي
نو�كي نأ ي�عوُر ثيح ،(PDF) ءاشنإ يف ةلخادلا تاريغتملا تن ﱢسُح دقف ةعابطلا لجلأو ، (PDF)فلمب ةقلعتملا
، ف�لملا اذ�ھب ق�لعتت ةلك�شم يأ ثود�ح ة�لاح ي�فو ، سي�يقتلل ة�يلودلا ة�مظنملا ءاضعلأ امئلام فلملا اذھ مادختسا
.هاندأ لجسملا ناونعلا ىلع ةماعلا ةيراتركسلا غلابإ ىجرُي
ةفصاوملا تدمتعأ يتلا ةيبرعلا سييقتلا تاھج
ندرلأا
ةيندرلأا سيياقملاو تافصاوملا ةسسؤم
تاراملإا
سيياقملاو تافصاوملل تاراملإا ةئيھ
رئازجلا
سييقتلل يرئازجلا دھعملا
ةيدوعسلا
سيياقملاو تافصاوملل ةيدوعسلا ةئيھلا
قارعلا
ةيعونلا ةرطيسلاو سييقتلل يزكرملا زاھجلا
تيوكلا
ةعانصلل ةماعلا ةئيھلا
نادوسلا
سيياقملاو تافصاوملل ةينادوسلا ةئيھلا
نميلا
ةدوجلا طبضو سيياقملاو تافصاوملل ةينميلا ةئيھلا
سنوت
ةيعانصلا ةيكلملاو تافصاوملل ىنطولا دھعملا
ايروس
ةيروسلا ةيبرعلا سيياقملاو تافصاوملا ةئيھ
ايبيل
ةيسايقلا ريياعملاو تافصاوملل ىنطولا زكرملا
رصم
ةدوجلاو تافصاوملل ةماعلا ةيرصملا ةئيھلا
رشنلاو عبطلا قوقح ةيامح ةقيثو
©٢٠١٢وزيأ
ةليسو يأب وأ لكش يأب همادختسا وأ رادصلإا اذھ نم ءزج يأ جاتنإ ةداعإ زوجي لا ،كلذ فلاخ دري كل امو .ةظوفحم قوقحلا عيمج
دحا وأ هاندأ ناونعلا ىلع سييقتلل ةيلودلا ةمظنملا نم امإ يطخ نذإ نود ةقيقدلا ملافلأاو خسنلا كلذ يف امب ةيكيناكيم وأ ةينورتكلا
.ةبلاطلا ةھجلا ةلود يف سييقتلل ةيلودلا ةمظنملا يف ءاضعلأا تائيھلا
سييقتلل ةيلودلا ةمظنملا ةيكلم قوقح بتكم
٢٠ فينج - Ch-1211- ٥٦ :يديربلا زمرلا
٠٠٤١٢٢٧٤٩٠١١١ :فتاھ
٠٠٤١٢٢٧٤٩٠٩٤٧ :سكاف
copyright@iso.org :ينورتكلا ديرب
www.iso.org :ينورتكللاا عقوملا
٢٠١٥ يف ةيبرعلا ةخسنلارشن مت
ارسيوس يف رشنلا مت
(ع) ٢٠١٢/٢٢٣٠١ وزيأ
تايوتحملا
III.ديھمت
IV.ةمدقم ٠
IV.ماع ١/٠
IV."ءارجإ ذختإ – ققحت – لعفأ – ططخ" جذومن ٢/٠
VI.ةيلودلا ةفصاوملا هذھ يف "ءارجإ ذختا – ققحت – لعفأ – ططخ" جذومن تانوكم ٣/٠
١ .لاجملا - ١
١. . ةيرايعملا عجارملا - ٢
١. . . تافيرعتلاو تاحلطصملا - ٣
٩. ةأشنملا قايس - ٤
٩. اھقايسو ةأشنملا مھفت ١/٤
١٠.……….…………………………….ةينعملا تائفلا تاعقوتو تاجايتحا مھف ٢/٤
١٠.……………. . … لامعلأا ةيرارمتسا ةرادإ مظن لاجم ديدحت ٣/٤
١١.لامعلأا ةيرارمتسا ةرادإ ماظن ٤/٤
١١. ةدايقلا - ٥
١١. مازتللإاو ةدايقلا ١/٥
١١. ةرادلإا مازتلإ ٢/٥
١٢. . ةسايسلا ٣/٥
١٢. ةيسسؤملا تاطلسلاو تايلوئسملاو راودلأا ٤/٥
١٣. طيطختلا - ٦
١٣. صرفلاو رطاخملا ةجلاعمل تاءارجلإا ١/٦
١٣. اھقيقحتل ةمزلالا ططخلاو لامعلأا ةيرارمتسا فادھأ ٢/٦
١٤. معدلا - ٧
١٤. دراوملا ١/٧
١٤. ةءافكلا ٢/٧
١٤ . ةيعوتلا ٣/٧
١٤. لصاوتلا ٤/٧
١٥. ةقثوملا تامولعملا ٥/٧
١٦. ليغشتلا - ٨
١٦. طبضلاو يليغشتلا طيطختلا ١/٨
١٧. رطاخملا ليلحتو لامعلأا رثأ ليلحت ٢/٨
١٨. لامعلأا ةيرارمتسلأ ةيجيتارتسلأا ةطخلا ٣/٨
١٩. لامعلأا ةيرارمتسلأ تاءارجلأا ذيفنتو عضو ٤/٨
٢١. رابتخلأاو ةسرامملا ٥/٨
٢١. ءادلأا مييقت - ٩
٢١. مييقتلاو ليلحتلاو سايقلاو ةبقارملا ١/٩
٢٢. يلخادلا قيقدتلا ٢/٩
٢٣. ةرادلأا ةعجارم ٣/٩
٢٥. نيسحتلا ١٠
٢٥. يحيحصتلا ءارجلإاو ةقباطملا مدع ١/١٠
٢٦. رمتسملا نيسحتلا ٢/١٠
٢٧ . عجارملا تبث
iii
ISO 2012 © ةظوفحم قوقحلا عيمج
( ع) ٢٠١٢/٢٢٣٠١ وزيأ
ديھمت
يف يسايقلا ديحوتلل صصختم ماظن (IEC) ةينقتورھكلا ةيلودلا ةنجللاو (ISO) سييقتلل ةيلودلا ةمظنملا لكشت
تافصاوملا دادعا ةيلمع يف IEC وأ ISO نيتمظنملا يف ءاضعلأا ةينطولا تائيھلا كراشتو.ملاعلا ءاحنأ عيمج
نواعتتو. ينفلا طاشنلا نم ةنيعم تلااجم عم لماعتلل ةينعملا ةمظنملا اھأشنت يتلا ةينفلا ناجللا للاخ نم ةيلودلا
لمعلا يف كراشي امك .كرتشملا مامتھلاا تاذ تلااجملا يف IEC و ISO نم لكل ةعباتلا ةينفلا ناجللا
، ةقباطملا مييقت لاجم يفو ISO , IEC. يتمظنمب ةلصلا تاذ ،ةيموكحلا ريغ و ةيموكحلاو ةيلودلا تامظنملا
ةيلودلا ةيداشرلاا ةلدلأا و تافصاوملا دادعإ نع ةلوئسملا يھ (وكساك) ةقباطملا مييقتب ةصاخلا وزيلأا ةنجل نإف
.
ءزجلا ،ISO / IEC نم لاك نع ةرداصلا تاھيجوتلا يف ةدراولا حئاولل اقفو ةيلودلا تافصاوملا تغيص دقو
.يناثلا
عيراشملا هذھ رادصا بلطتي و . تيوصتلل ةينطولا تائيھلا ىلع ةيلودلا تافصاوملا عيراشم عيزوت متي و
.تيوصتلا اھل قحي يتلا ةينطولا تائيھلا نم لقلأا ىلع %٧٥ ةقفاوم ةيلود تافصاومك
ﻝـﻣﺣﺗﺗ نـﻟ و.عارﺗﺧﻻا ةءارﺑ قوﻘﺣﻟ ﺔﻌﺿﺎﺧ ﺔﻘﻳﺛوﻟا ﻩذﻫ رﺻﺎﻧﻋ ضﻌﺑ نوﻛﺗ نأ ﺔﻳﻟﺎﻣﺗﺣا ﻰﻟإ ﻩﺎﺑﺗﻧﻻا تﻔﻟ دوﻧ و
. ﺎﻬﻌﻳﻣﺟ وأ قوﻘﺣﻟا ﻩذﻫ نﻣ يأ دﻳدﺣﺗ ﺔﻳﻟوؤﺳﻣ (ISO) سﻳﻳﻘﺗﻠﻟ ﺔﻳﻟودﻟا ﺔﻣظﻧﻣﻟا
ّ
.يعمتجملا نملأاب ةصاخلا ISO/TC 223 ةيلودلا ةينفلا ةنجللا لبق نم ٢٢٣٠١ وزيلأا ةفصاوم دادعإ مت دقل
(ع) ٢٠١٢/٢٢٣٠١ وزيأ
ةمدقم ٠
ماع ١/٠
ماظنلا اذھ دكؤيو ،لامعلأا ةيرارمتسلإ لعاف ةرادإ ماظن ةرادإو عضول تابلطتملا ةيلودلا ةفصاوملا هذھ ددحت
: ةيمھأ يلع
.لامعلأا ةيرارمتسا ةرادلإ فادھأو ةسايس عضو ةرورضو ةأشنملا تاجايتحا مھف -
.ةيبيرختلا ثداوحلا ةرادلإ ةأشنملل ةلماشلا ةردقلا ةرادلإ تاءارجإو طباوض ليغشتو ذيفنت -
.لامعلأا ةيرارمتسا ةرادإ ماظن ةيلعافو ءادأ ةعجارمو ةبقارم -
.يعوضوملا سايقلا يلع ادانتسا رمتسملا نيسحتلا -
:ةيلاتلا ةيسيئرلا تانوكملا نم – يرخلأا ةرادلأا مظن لثم – لامعلأا ةيرارمتسا ماظن نوكتي
ةسايس – أ
.ةددحم تايلوئسم وذ دارفأ – ب
:يتلأاب قلعتت ةرادإ تايلمع – ج
ةسايس .١
طيطخت .٢
ليغشتو ذيفنت .٣
ءادلأا مييقت .٤
ةرادلأا ةعجارم .٥
نيسحتلا .٦
.قيقدتلل ةلباق ةلدأ ميدقت للاخ نم قيثوت – د
.ةأشنملاب ةلصلا تاذ لامعلأا ةيرارمتسإ ةرادإ تايلمعةيأ - ـھ
يئيبلا رثلأاو لمشلأا عمتجملا جاتحي دقو . ةنورم رثكأ عمتجم يلإ لوصولا يف لامعلأا ةيرارمتسا مھست
.حلاصلإا ةيلمع يف مھكارشإ متي نلأ يرخلأا تآشنملاو ةأشنملا يلع
"ءارجإ ذختإ – ققحت – لعفأ – ططخ" جذومن ٢/٠
ذيفنتو عضوو طيطختلا يف "ءارجإ ذختإ – ققحت – لعفأ – ططخ " جذومن ةيلودلا ةفصاوملا هذھ قبطت
.ةأشنملاب لمعلا ةيرارمتسا ةرادإ ماظن ةيلعافل رمتسملا نيسحتلاو يلع ظافحلاو ةعجارمو ةبقارمو ليغشتو
مظنب ةصاخلا ISO 9001 ةفصاوم لثم ىرخلأا ةرادلأا مظن تافصاوم عم قباطتلا نم ةجرد كلذ نمضيو
وزيلأا ةمظنم نم لك نع نيترداصلا نيتفصاوملا ،ةئيبلا ةرادإ مظنب ةصاخلا ISO 14001 ،ةدوجلا ةرادإ
ISO/IEC 20000 – ،يتامولعملا نملأا ةرادإ مظنب ةصاخلا ISO/IEC 27001 ةينقتورھكلا ةيلودلا ةنجللاو
ةلسلسل نملأا ةرادإ مظنب ةصاخلا ٢٨٠٠٠ وزيلأا ةفصاوم ،ةمدخلا ةرادإ – تامولعملا ايجولونكتب ةصاخلا 1
ةلصلا تاذ يرخلأا ةرادلإا مظن عم لماكتملاو قستملا ليغشتلاو ذيفنتلا يتيلمع معدي امم دادملإا
v
ISO 2012 © ةظوفحم قوقحلا عيمج
( ع) ٢٠١٢/٢٢٣٠١ وزيأ
لامعلأا ةيرارمتسإ ةرادإ ماظن يلع ُقبط ي يذلا " رارق ذختا – ققحت – لعفأ – ططخ " جذومنل (١) لكشلا
" رارق ذختا – ققحت – لعفأ – ططخ " جذومن ريسفت – (١) لودجلا
ططخ
تايلمعلاو طباوضلاو ىدملا ةليوطو ةريصق فادھلأا ديدحتو لامعلأا ةيرارمتسلإ عضو م
(عضي)
عم يشامتت جئاتن يلا لوصولا فدھب لامعلاا ةيرارمتسا نيسحتب ةلصلا تاذ تاءارجلااو
ةأشنملل ةماعلا فادھلااو تاسايسلا
لعفأ
.تاءارجلإاو تايلمعلاو طباوضلاو لامعلأا ةيرارمتسا ةسايس ليغشتو ذيفنت متي
) ( لغشيو ذفني
ققحت
ً جئاتنلاب ريرقت ميدقت ،لامعلأا ةيرارمتسا فادھأو ةسايسل اقفو ءادلأا ةعجارمو ةبقارم متي
(عجاريو بقاري)
.نيسحتلاو ةجلاعملل تاءارجلإا رارقإو ديدحت ،اھتعجارمل ةرادلأل
ءارجإ ذختإ
يحيحصت ءارجإ ذاختإ للاخ نم لامعلأا ةيرارمتسا ةرادإ ماظن نيسحتو يلع ظفحلا متي
(نسحيو يلع ظفاحي)
ً لامعلأا ةيرارمتسا ةرادإ ماظن لاجم مييقت ةداعإو ةرادلأا ةعجارم جئاتن يلع ادانتسا
.لامعلأا ةيرارمتسا فادھأو ةسايسو
(ع) ٢٠١٢/٢٢٣٠١ وزيأ
ةيلودلا ةفصاوملا هذھ يف "ءارجإ ذختا – ققحت – لعفأ – ططخ" جذومن تانوكم ٣/٠
١٠ يلإ ٤ نم دونبلا نإف (١) لودجلا يف حضوم وھ امك " ءارجإ ذختا – ققحت – لعفأ – ططخ " جذومن يف
:ةيلاتلا تانوكملا يطغت ةيلودلا ةفصاوملا هذھب
لامعلأا ةيرارمتسا ةرادإ ماظن قايس عضول ةمزلالا تابلطتملا ضرعتسي وھف، طيطختلا لوانتي : (٤) دنبلا -
.لاجملاو تابلطتملاو تاجايتحلإا اذكو ةأشنملا يلع قبطني يذلا
ةيرارمتسا ةرادإ ماظن يف ايلعلا ةرادلإا رودب ةصاخلا تابلطتملا زجوي وھف ،طيطختلا لوانتي : (٥) دنبلا -
ةماعلا ةسايسلا نايب للاخ نم ةأشنملل اھتاعقوت ةدايقلا حضوت فيكو لامعلأا
ماظنل ةيھيجوت ءيدابمو ةيجيتارتسا فادھأ عضوب ةطبترملا تابلطتملا حرشي وھف ،طيطختلا لوانتي : (٦) دنبلا -
ةمجانلا رطاخملا ةجلاعم صرف عضو نع (٦) دنبلا ىوتحم فلتخيو .لكك لامعلأا ةيرارمتسا ةرادإ
.لامعلأا رثأ ليلحت نم ةذوخأملا حلاصلإا فادھأ كلذكو رطاخملا مييقت نع
.(٨) دنبلا يف لامعلأا رثأ ليلحتو رطاخملا مييقت ةيلمع تابلطتمل يليصفت حرش كانھ : ةظوحلم
تاصاصتخلأا ديدحتب ةطبترملا لامعلأا ةيرارمتسا ةرادإ ماظن تايلمع معدي وھف ،طيطختلا لوانتي : (٧) دنبلا -
قئاثولا يلع ظافحلاو ةبقارمو قيثوت عم ةينعملا فارطلأا عم بولطم وھ امك / يرود لكشب لصاوتلاو
.ةبولطملا
تاءارجلإا عضوو مھتجلاعم ةيفيك ررقيو لامعلأا ةيرارمتسا تابلطتم ددحي وھف ،لعفلا لوانتي : (٨) دنبلا -
.يبيرخت ثدح يأ ةرادلإ
قفاوت يدمو لامعلأا ةيرارمتسا ةرادإ ءادآ سايقل ةمزلالا تابلطتملا زجوي وھف ،ققحتلا لوانتي : (٩) دنبلا -
يلع لوصحلل يعسيو ةرادلإا تاعقوتو ةيلودلا ةفصاوملا هذھ عم لامعلأا ةيرارمتسا ةرادإ ماظن
.مھتاعقوت صخي اميف ةرادلإا نم ةدترملا ءارلأا
نم لامعلأا ةيرارمتسا ةرادإ ماظن ةقباطم مدع يلع لمعيو ددحي وھف ،تاءارجلإا ذاختا لوانتي : (١٠) دنبلا -
ةيحيحصتلا تاءارجلإا للاخ
vii
ISO 2012 © ةظوفحم قوقحلا عيمج
(ع) ٢٠١٢/٢٢٣٠١ وزيأ
تابلطتملا – لامعلأا ةيرارمتسا ةرادإ مظن – يعمتجملا نملأا
لاجملا-١
طيطختلل ةمزلالا تابلطتملا لامعلأا ةيرارمتسا ةرادإب ةصاخلا ةيلودلا ةيسايقلا ةفصاوملا هذھ ددحت يصوي
نم ةيامحلل قثوملا ةرادلإا ماظنل رمتسملا نيسحتلاو يلع ظافحلاو ةعجارمو ةبقارمو ليغشتو ذيفنتو عضوو
.اھثودح لاح –يفاعتلاو اھتھجاومو اھل دادعتسلإاو اھثودح ةيلامتحا ليلقتو ةيبيرختلا ثداوحلا
وأ تآشنملا ةفاكب اھقيبطت ةيناكمإ وھ اھنم فدھلاو ةماع ةيلودلا ةيسايقلا ةفصاوملا هذھ يف ةدراولا تابلطتملا نإ
ليغشتلا ةئيب يلع تابلطتملا هذھ قيبطت ىدم دمتعيو ،اھتعيبطو اھمجحو اھعون نع رظنلا ضغب اھنم ءازجأ
.اھتاديقعتو ةأشنملاب
دعاست اھنكل لامعلأا ةيرارمتسا ةرادإ ماظن لكيھ يف لثامتلا ضارتفلإ ةيلودلا ةيسايقلا ةفصاوملا هذھ فدھت لاو
تاجايتحلأا هذھ لكشتو ،ةينعملا اھفارطأ تابلطتم يبليو اھتاجايتحا عم بسانتي PCMs ميمصت يلع تآشنملا
مجح ،ةمدختسملا تايلمعلا ،تامدخلاو تاجتنملا نع لاضف ،ةيعانصو ةيعيرشتو ةيميظنتو ةينوناق تابلطتم
.ةينعملا اھفارطأ تابلطتمو ةأشنملا لكيھو
:يف بغرت يتلا اھماجحأو اھعاونأ فلاتخإ يلع تآشنملا ةفاكب ةيلودلا ةيسايقلا ةفصاوملا هذھ قيبطت نكمي
.لامعلأا ةيرارمتسا ةرادإ ماظن نيسحتو يلع ظافحلاو قيبطتو عضو – أ
.لامعلأا ةيرارمتسلإ ةنلعملا ةسايسلا عم ةقباطملا نامض - ب
.نيرخلآل ةقباطملا تابثا – ج
ةھج لبق نم اھب لامعلأا ةيرارمتسا ةرادإ ماظن ليجست / ةداھش يلع لوصحلل يعسلا – د
.تاداھشلا حنمل ةدمتعم ةيجراخ
.ةيلودلا ةيسايقلا ةفصاوملا هذھ عم ةقباطملاب يتاذ نلاعإو يتاذ ديدحتب مايقلا - ـھ
نمض اھتامازتلاو اھتاجايتحاب يفت يكل ةأشنملا ةردق مييقتل ةيلودلا ةيسايقلا ةفصاوملا هذھ مادختسا نكميو
.ةيرارمتسلإا
ةيليمكتلا عجارملا-٢
ًًً قيبطتل اھنع ءانغتسلأا نكمي لاو ةفصاوملا هذھ يف ايرايعم اھيلإ راشم – ايئزج وأ ايلك – ةيلاتلا قئاثولا نإ
ةخرؤملا ريغ عجارملل ةبسنلاب امأ هنع هونملا رادصلإا طقف قبطي هنإف ةخرؤم عجارم يلع لوصحللو .ةفصاوملا
.ةيرايعم عجارم ةيأ دجويلاو .(تلايدعت ةيأ ةلماش) اھيلإ راشملا ةقيثولا نم رادصإ ثدحأ قبطي هنإف
فيراعتلاو تاحلطصملا -٣
:ةيلاتلا فيراعتلاو تاحلطصملا مادختسا متي ةيسايقلا ةفصاوملا هذھ ضارغلأ
طاشن ١/٣
١
ISO 2012 © ةظوفحم قوقحلا عيمج
( ع) ٢٠١٢/٢٢٣٠١ وزيأ
.رثكأ وأ ةمدخو جتنم معدت وأ جتنت يتلا (اھنع بوني نم وأ) ةأشنملا اھب موقت تايلمعلا نم ةعومجم وأ ةيلمع
.عيزوتلا ،عينصتلا ،تامولعملا ايجولونكت ،لاصتا زكرم ،تاباسح تايلمعلا هذھ نمضتت : لاثم
قيقدتلا ٢/٣
.قيقدتلا ريياعمب ءافولا ىدم ديدحتل ةيعوضومب اھمييقتو قيقدتلا ةلدأ يلع لوصحلل ةقثومو ةلقتسمو ةمظتنم ةيلمع
نوكت نأ نكميو (ثلاث فرط وأ يناث فرط) ايجراخ وأ (لوأ فرط) ةيلخاد قيقدتلا ةيلمع نوكت نأ نكمي : (١) ةظوحلم
. ةمظنلأا نم رثكأ وأ نينثأ نم جيزم قيقدتلا ةيلمع
." ١٩٠١١ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا يف " قيقدتلا ريياعم "و " قيقدتلا ةلدأ " ديدحت مت : (٢) ةظوحلم
لامعلأا ةيرارمتسا ٣/٣
.يوضوف ثداح بقع ًاقبسم ةددحم ،ةلوبقم تايوتسمب تامدخ وأ تاجتنم ميدقت يف رارمتسلأا يلع ةأشنملا ةردق
("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا : ردصملا)
لامعلأا ةيرارمتسا ةرادإ ٤/٣
اھثودح لاح – تاديدھتلا كلت اھببست دق يتلا راثلأاو ةأشنملل ةلمتحملا تاديدھتلا ددحت يتلا ةلماش ةرادإ ةيلمع
يمحت يتلا ةلاعفلا ةباجتسلإا يلع ةردقلا عم ةيميظنت ةنورم ءانبل لمع راطإ مدقت يتلاو ةيراجتلا تايلمعلا يلع
.ةميقلا قلخل اھتطشنأ ،ةيراجتلا اھتملاع ،اھتعمس ،نييسيئرلا ةينعملا اھفارطأ حلاصم
لمعلا ةيرارمتسا ةرادإ ماظن ٥/٣
.لامعلأا ةيرارمتسا نسحيو ظفاحيو عجاريو بقاريو لغشيو ذفنيو عضي يذلا لماشلا ةرادلإا ماظن نم ءزج
.دراوم ،تايلمع ،تاءارجإ ،تايلوئسم ،طيطخت ةطشنأ ،تاسايس ،يميظنتلا لكيھلا ةرادلأا ماظن نمضتي : ةظوحلم
لامعلأا ةيرارمتسا ةطخ ٦/٣
قبس ليغشتلا نم ىوتسمل عوجرلاو فانئتسلإاو ةداعتسلإاو ةباجتسلأا يلع تآشنملا دعاست يتلا ةقثوم تاءارجإ
.ىضوفلا بقع هديدحت
.ةماھلا لامعلأا فئاظو ةيرارمتسا نامضل ةبولطملا ةطشنلأا ،تامدخلا ،دراوملا كلذ يطغي ام ةداع : ةظوحلم
لامعلأا ةيرارمتسا جمانرب ٧/٣
ةرادإ يلع ظافحلاو ذيفنتل بسانم لكشب دراوملاب لومتو ايلعلا ةرادلإا اھمعدت ةمكوحلاو ةرادلإل ةرمتسم ةيلمع
.لامعلأا ةيرارمتسا
لامعلأا ريثأت ليلحت ٨/٣
ةيلودلا ةيسايقلا ةفصاوملا :ردصملا) .لامعلأا لطعت نع ًامجان مھيلع رثؤي دق يذلا رثلأاو ةطشنلأل ليلحت ةيلمع
("٢٢٣٠٠ وزيأ"
ةءافكلا ٩/٣
.ةوجرملا جئاتنلا يلإ لوصولل تاراھملاو ةفرعملا قيبطت يلع ةردقلا
(ع) ٢٠١٢/٢٢٣٠١ وزيأ
ةقباطملا ١٠/٣
("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا :ردصملا) طرش قيقحت
رمتسملا نيسحتلا ١١/٣
("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا :ردصملا) ءادلآا زيزعتل طاشنلا راركت
حيحصتلا١٢/٣
("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا :ردصملا) .اھفاشتكإ متي يتلا ةقباطملا مدع يلع ءاضقلل ذختي ءارجإ
يحيحصت ءارجإ١٣/٣
.ثودحلا راركت عنمو ةقباطملا مدعل يدؤملا ببسلا يلع ءاضقلل ذختي ءارجإ
بابسلأا يلع ءاضقلا وأ ليلقتل ءارجإ ذاختإ مزلتسي رملأا نإف اھيف بوغرم ريغ ىرخأ جئاتن ثودح ةلاح يف : ةظوحلم
اذھ يف دراو وھ امك "يحيحصتلا ءارجلإا" موھفم جراخ عقت تاءارجلإا هذھ لثمو ،ثودحلا راركت عنم وأ رثلأا ليلقتلو
("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا :ردصملا) .فيرعتلا
ةقيثو ١٤/٣
.اھل معادلا (ةئيبلا) طيحملاو تامولعم
ةروص وأ يئوضلا رتويبمكلا صرق وأ ينورتكيلإ ،يسيطانغم ،يقرو طيحملا اذھ نوكي نأ نكمي : (١) ةظوحلم
ً. اعيمج مھنم جيزم وأ ةيسيئر ةنيع وأ ةيفارغوتوف
.(قيثوت) حلطصم – تلاجسلاو ةينفلا تافصاوملا لاثملا ليبس يلع –قئاثولا ةعومجم يلع ًابلاغ قلطي : (٢) ةظوحلم
ةقثوملا تامولعملا١٥/٣
.اھنمضتي يتلا (ةئيبلا) طيحملاو ةأشنملا لبق نم اھيلع ظافحلاو اھتبقارم بلطتت تامولعم
.ردصم يأ نم ةيملاعإ ةليسو يأ يلع ةحاتمو لكش يأ يف ةقثوملا تامولعملا نوكي نأ نكمي : (١) ةظوحلم
:يلإ ةقثوملا تامولعملا ريشت نأ نكمي : (٢) ةظوحلم
،ةلصلا تاذ تايلمعلا ًلاماش ةرادلأا ماظن -
،(قيثوتلا) ليغشتلا نم ةأشنملا نيكمتل اھقلخ مت يتلا تامولعملا -
.(تلاجسلا) اھيلإ لوصولا مت يتلا جئاتنلا يلع ةلدأ -
ةيلعافلا ١٦/٣
.اھل ططخملا جئاتنلاو ةطشنلأا ذيفنتو قيقحت يدم
ثدحلا ١٧/٣
فورظلا نم ةنيعم ةعومجم رييغت وأ ثودح
.بابسأ ةدع نع جتني نأ نكميو ،رثكأ وأ ًارمأ ثدحلا نوكي نأ نكمي : (١) ةظوحلم
٣
ISO 2012 © ةظوفحم قوقحلا عيمج
( ع) ٢٠١٢/٢٢٣٠١ وزيأ
.ثدحي لا ام ءيش نم ثدحلا نوكتي نأ نكمي : (٢) ةظوحلم
.ثداح وأ ةيضرع ةلاحك – نايحلأا ضعب يف – ثدحلا يلإ راشي نأ نكمي : (٣) ةظوحلم
نم برقلا" ، "ثداح" ، "توملا نم برقلا" هنأ يلع جئاتن ةيأ هنع مجني مل يذلا ثدحلا يلإ راشي دق : (٤) ةظوحلم
"ةبيرق ةملاكم" ، "برضلا
(٧٣ مقر ةينقتورھكلا ةيلودلا ةنجللا و وزيلأا ةمظنم نم لك نع رداصلا يداشرلأا ليلدلا :ردصملا)
ةسرامم ١٨/٣
.ةأشنملاب ءادلأا نيسحتو ةسراممو مييقتو بيردتل ةيلمع
نيب ةكرتشم تاقافتا ،تازيھجت ،بيردت ،تاءارجإ ،ططخ ،تاسايسلا رارقلإ تاسرامملا مادختسا نكمي : (١) ةظوحلم
تأشنملا نيب قيسنتلا نيسحتو مھنم ةبولطملا تايلوئسملاو راودلأا يلع ةيرشبلا رداوكلا بيردتو حيضوتو تآشنملا
ً ةبقارمو نيسحتلل صرفلا ديدحت نع لاضف يدرفلا ءادلآا نيسحتو دراوملا يف تاوجفلا ديدحتو مھنيب اميف لصاوتلاو
.لاجترلأا ةسراممل ةصرفلا
فادھأ وأ فدھ نمض رصنع لشف وأ ريرمت عقوت جمدت يتلا ةسرامملا نم صاخو ديرف عون وھ رابتخلأا : (٢) ةظوحلم
.("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا :ردصملا) .اھل طيطختلا متي يتلا ةسرامملا
ثداح ١٩/٣
:ردصملا) .ةمزأ وأ ءيراوط ةلاح وأ نادقفلا وأ ىضوفلا نم ةلاح يلإ يدؤي نأ نكمي وأ يلإ يدؤي دق فقوم
.("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا
ةيتحتلا ةينبلا ٢٠/٣
.ةأشنملا ليغشتل ةبولطملا تامدخلاو تازيھجتلاو قفارملا ماظن
ينعم فرط ٢١/٣
طاشن وأ رارقب رثأتت وأ يف رثؤت نأ اھنكمي يتلا ةأشنم وأ صخش
.ةأشنملا هب موقت طاشن وأ رارق يأ هاجت ةحلصم اھيدل ةعومجم وأ درف ينعملا فرطلا نوكي نأ نكمي : ةظوحلم
(ةيلخاد ةعجارم) يلخاد قيقدت ٢٢/٣
ىرخلأا ةيلخادلا ضارغلأاو ةرادلإا ةعجارمل اھنع بوني نم وأ اھسفن ةأشنملا اھب موقت (ةعجارم) قيقدت ةيلمع
.ةقباطملاب ةأشنملل يتاذلا نلاعلإل ساسلأا لكشت يتلاو
نم ررحتلا للاخ نم ةيللاقتسلاا تابثإ نكمي هنإف – رغصلأا تآشنملا يف ةصاخ – تلااحلا نم ديدعلا يف : ةظوحلم
.(هتعجارم) هقيقدت يرجي يذلا طاشنلا هاجت ةيلوئسملا
(ةدعاسملا بلط) ءاعدتسا ٢٣/٣
تاجتنملا ميدقت يف رارمتسلأا فدھب ذيفنتلا زيح اھلوخدب ةأشنملاب لامعلأا ةيرارمتسا تابيترت ةجاح نع نلاعإ
.ةيسيئرلا تامدخلا وأ
ةرادلإا ماظن ٢٤/٣
كلت قيقحتل تايلمعلا نع ًلاضف فادھلأاو تايايسلا عضول ةأشنملاب ةلعافتملا وأ ةطبارتملا رصانعلا نم ةعومجم
.فادھلأا
(ع) ٢٠١٢/٢٢٣٠١ وزيأ
.ةمظنأ ةدع وأ دحاو ماظن ةرادلإا ماظن لوانتي نأ نكمي : (١) ةظوحلم
...... ،ليغشتلا ،طيطختلا ، تايلوئسملاو راودلأا ،ةأشنملا لكيھ ماظنلا رصانع نمضتت : (٢) ةظوحلم
ةددحمو ةنيعم ماسقأ وأ ةأشنملل ةددحمو ةنيعم ماھم وأ اھلمكأب ةأشنملا ةرادلإا ماظن لاجم نمضتي نأ نكمي : (٣) ةظوحلم
.تآشنملا نم تاعومجمل رثكأ وأ ةمھم وأ ةأشنملاب
لوبقملا عاطقنلإل ىصقلأا دحلا ٢٥/٣
.لوبقم ريغ طاشنب مايقلا وأ ةمدخ / جتنم ميدقت مدع ةجيتن أشنت دق يتلا ةيسكعلا راثلأل قرغتسملا تقولا
.ىضوفلل ةلوبقم ةرتف رثكأب صاخلا فيرعتلا ًاضيأ رظنأ : (١) ةظوحلم
ىضوفلل ةلوبقم ةرتف رثكأ ٢٦/٣
لوبقم ريغ طاشنب مايقلا وأ ةمدخ / جتنم ميدقت مدع ةجيتن أشنت دق يتلا ةيسكعلا راثلأل قرغتسملا تقولا
.لوبقملا عاطقنلأل ىصقلأا دحلاب صاخلا فيرعتلا ًاضيأ رظنأ : (١) ةظوحلم
سايقلا ٢٧/٣
ةميقلا ديدحتل ةيلمع
لامعلأا ةيرارمتسا فدھل ىندلأا دحلا ٢٨/٣
.ىضوفلا ةرتف ءانثأ اھلامعأ فادھأ قيقحتل ةأشنملا ىدل لوبقملا تاجتنملا وأ/و تامدخلا ىوتسمل يندلأا دحلا
ةبقارملا ٢٩/٣
طاشن وأ ةيلمع وأ ماظن ةلاح ديدحت
ةمساحلا ةبقارملا وأ فارشلأا وأ ققحتلا رملأا بلطتي دق ةلاح ديدحتل : ةظوحلم
ةلدابتملا ةنوعملا قافتا ٣٠/٣
مھنم لكل ةدعاسملا ميدقتل رثكأ وأ نيتھج نيب قبسم مھفت
("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا :ردصملا)
ةقباطملا مدع ٣١/٣
("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا :ردصملا) (طرش) (تاطارتشا) تابلطتمب ءافولا مدع
فدھلا ٣٢/٣
اھقيقحت بولطملا ةجيتنلا
(تايلمعلاب ةقلاع وذ)ً ايليغشت و ًايكيتكت و ًايجيتارتسا فدھلا نوكي نأ نكمي : (١) ةظوحلم
يلع اھقيبطت نكميو (ةيئيب ،ةملاسو ةحص ،ةيلام فادھأ لثم) ةفلتخم ةمظنأب فادھلأا طبترت نأ نكمي : (٢) ةظوحلم
(تايلمعلا ،تاجتنملا ،تاعورشملا ،ةأشنملا قاطن يلع ةيجيتارتسلأا تاعورشملا لثم) تايوتسملا فلتخم
٥
ISO 2012 © ةظوفحم قوقحلا عيمج
( ع) ٢٠١٢/٢٢٣٠١ وزيأ
نملأل فادھأك ، ىليغشت رايعم ، ضرغ ، ةوجرم ةجيتن " لثم ىرخأ قرطب فدھلا نع ريبعتلا نكمي : (٣) ةظوحلم
.(فدھتسم ، ضرغ ، ةياغ : لاثملا ليبس ىلع) ةھباشم يناعمب ىرخأ تاملك مادختسإب وأ ىعمتجملا
ىعمتجملا نملأاب قلعتي اميف اھفادھأ ددحت ىتلا ىھ ةأشنملا نإف ىعمتجملا نملأا ةرادإ تافصاوم قايس ىف : (٤) ةظوحلم
.ةنيعم جئاتن قيقحتل ىعمتجملا نملأا ةسايس عم ىشامتي امب
ةأشنملا ٣٣/٣
.اھفادھأ قيقحتل تاقلاعو تاطلسو تايلوئسمو ماھم مھل صاخشلأا نم ةعومجم وأ صخش
ةسسؤم ، ةكارش ، ةئيھ ، عورشم ، ةكرش ، ديحو رجات – ىلع رصتقي نأ نود – ةأشنملا موھفم لمتشي : (١) ةظوحلم
.صاخلا وأ ماعلا عاطقلا نم لا مأ ةدحتم ءاوس اھنم جيزم وأ ءزج وأ ةسسؤم وأ ةيريخ
.ةأشنمك ةدحاولا ليغشتلا ةدحو فيرعت نكمي ةنإف ةدحاو ليغشت ةدحو نم رثكأ مضت ىتلا تآشنملل ةبسنلاب : (٢) ةظوحلم
ةيجراخ رداصمب ةناعتسلإا ٣٤/٣
.ةأشنملا تايلمع وأ ماھم نم ءزجب مايقلاب ةيجراخ ةأشنم هللاخ نم موقت بيترت لمع
اھللاخ نم مت ىتلا ةيلمعلا وأ ةفيظولا نأ نم مغرلا ىلع ةرادلإا ماظن لاجم جراخ ةيجراخلا ةأشنملا نوكت : ةظوحلم
.لاجملا لخاد عقت ةيجراخ رداصمب ةناعتسلإا
ءادلأا ٣٥/٣
اھسايق نكمي ةجيتن
.ةيعون وأ ةيمك جئاتنب امإ ءادلأا طبتري نأ نكمي : (١) ةظوحلم
.تآشنملا وأ مظنلا وأ (تامدخلا ةلماش) تاجتنملا وأ تايلمعلا وأ ةطشنلأا ةرادإب ءادلأا طبتري نأ نكمي : (٢) ةظوحلم
ءادلأا مييقت ٣٦/٣
.اھسايق نكمي جئاتن ديدحت ةيلمع
ةيرشبلا رداوكلا ٣٧/٣
.اھتدايق تحتو ةأشنملاب نولمعي نيذلا دارفلأا
.ةلاكولا ىفظوم ، تقولا نم ءزج نيلماعلا ، نيفظوملا – ىلع رصتقي نأ نود – ةيرشبلا رداوكلا موھفم نمضتي : ةظوحلم
ةسايس ٣٨/٣
. ايلعلا ةرادلإا لبق نم ىمسر لكشب اھنع ريبعتلا متي ىتلا ةأشنملا تاھجوتو اياون
ءارجإ ٣٩/٣
. ةيلمع وأ طاشنب مايقلل ةددحم ةقيرط
ةيلمع ٤٠/٣
.تاجرخم ىلإ تلاخدملا لوحت ىتلا ةلعافتملا وأ ةطبارتملا ةطشنلأا نم ةعومجم
(ع) ٢٠١٢/٢٢٣٠١ وزيأ
تامدخو تاجتنم ٤١/٣
نيمأتلا ، ةعنصملا دونبلا " لاثملا ليبس ىلع ةينعملا فارطلأاو نيديفتسملاو اھنئابزل ةأشنملا اھمدقت ةديفم جئاتن
."عمتجملا ةياعر ،تارايسلا ىلع
ةيولولأا تاذ ةطشنلأا ٤٢/٣
.ةمجانلا راثلأا ليلقت فدھب ةثداح ثودح بقع ةيولولأا اھئاطعإ بجي ىتلا ةطشنلأا
، ةحلم ، ةيويح ، ةيرھوج ، ةساسح " ةعومجملا هذھ لخاد ةطشنلأا حرشل ةعئاشلا تاحلطصملا نمضتت : ةظوحلم
."ةيسيئر
("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا :ردصملا)
لجس ٤٣/٣
.اھب مايقلا مت ىتلا ةطشنلأا ليلد وأ اھقيقحت مت ىتلا جئاتنلاب نايب
دادرتسلإا ةطقن فدھ ٤٤/٣
.رارمتسإب ليغشتلا نم طاشنلا نيكمتل اھتداعتسإ بجي ىتلاو طاشنلا لبق نم اھب تامولعملا مادختسإ متي ةطقن
." تانايبلا دقفل ىصقلأا دحلا " هنأ ىلع ًاضيأ هيلإ راشي نأ نكمي : ةظوحلم
دادرتسلإا تقو فدھ ٤٥/٣
: اھللاخ نم متي ىتلا ةثداح ثودح بقع تقولا نم ةرتف
ةمدخلا وأ جتنملا ةداعتسإ -
طاشن فانئتسإ -
دراوملا ةداعتسإ -
قرغتسملا تقولا نم لقأ دادرتسلأا تقو فدھ نوكي نأ ىغبني ةنإف ةطشنلأاو تامدخلاو تاجتنملل ةبسنلاب : ةظوحلم
.لوبقم ريغ طاشنب مايقلا وأ ةمدخ / جتنم ميدقت مدعل ةجيتنك أشنتس ىتلا ةيسكعلا راثلأل
بلطم ٤٦/٣
ىمازلإ وأ ماع هجوب ًاينمض موھفم وأ نلعم عقوت وأ ةجاح
ً ةجاحلا نأ ةينعملا فارطلأاو ةأشنملل ةتسرامم عئاشلا وأ داتعملا نم هنأ ماع هجوب اينمض موھفملاب دصقي : (١) ةظوحلم
ً اينمض ةموھفم ثحبلا ديق عقوتلا وأ
."ةقثوملا تامولعملا ىف" لاثملا ليبس ىلع – هيلع صوصنملا بلطملا وھ ددحملا بلطملا نإ : (٢) ةظوحلم
دراوملا ٤٧/٣
، ىنابملا ، تادعملا ، عنصملا ةلماش ) ايجولونكتلا ، تامولعملا ، تاراھملا ، دارفلأا ، تاكلتمملا عيمج
ضارغلأ – ةجاحلا دنع اھمادختسلإ ةأشنملل اھرفاوت ىغنبي ىتلا " لا مأ ةينورتكلإ ءاوس" تامولعملاو تادادملإا
.فدھلا قيقحتو ليغشتلا
٧
ISO 2012 © ةظوفحم قوقحلا عيمج
( ع) ٢٠١٢/٢٢٣٠١ وزيأ
رطخلا ٤٨/٣
.فادھلأا ىلع نيقيلالا ريثأت
.ىبلس وأ ىباجيإ – عقوتم وھ امع فارحنإ وھ ريثأتلا : (١) ةظوحلم
ىلع اھقيبطت نكميو ، ةيئيب ، ةملاسو ةحص ، ةيلام فادھأ لثم) ةفلتخم بناوج فادھلأل نوكي نأ نكمي : (٢) ةظوحلم
ىرخأ قرطب فدھلا نع ريبعتلا نكمي ( تايلمعلا ، تاجتنملا ، ةأشنملل ةيجيتارتسلإا تاعورشملا لثم) تايوتسملا فلتخم
ىنعلا سفنب ىرخأ تاملك مادختسإ للاخ نم وأ لامعلأا رارمتسلإ فدھ ، ىليغشت رايعم ، ضرغ ، ةوجرم ةجيتنك" لثم
."فدھ وأ ضرغو ةياغ : لاثملا ليبس ىلع"
.٥ .٣ ةرقفلا (٧٣) مقر ىداشرإ "ليلد" ةلمتحملا ثادحلأا ىلإ ةراشلإا للاخ نم رطخلا فصوي ام ًابلاغ : (٣) ةظوحلم
.امھنيب جيزم وأ ٣.٦.١.٣ ةرقفلا (٧٣) مقر ىداشرإ "ليلد" جئاتنلاو ٣ .١
ً ةيلامتحلإاو (فورظلا ىف تاريغتلا ةلماش) ثدحلا جئاتن عمج للاخ نم رطخلا نع ريبعتلا متي ام ابلاغ : (٤) ةظوحلم
.روھظلل ٣.٦.١.١ ةرقفلا (٧٣) مقر ىداشرإ "ليلد" ةبحاصملا
وأ ةجئاتنو ثدحب ةفرعملا وأ مھفب ةقلعتملا تامولعملا صقن نم – ةيئزج ولو ىتح – ةلاح وھ نيقيلالا : (٥) ةظوحلم
.ةثودح ةيلامتحإ
ةيرارمتسإب قلعتي اميف اھفادھأ ددحت ىتلا ىھ ةأشنملا نأف لامعلأا رارمتسإ ةرادإ مظن تافصاوم قايس ىف : (٦) ةظوحلم
ىتلا ةأشنملا فادھأب كلذ طبتري نأ ىغبنيف رطاخملا ةرادإ تانوكمو رطخ حلطصم قيبطت دنع .ةنيعم جئاتن قيقحتل لامعلأا
.٦.٢ دنبلا ىف ةددحم ىھ امك لامعلأا ةيرارمتسإ فادھأ – ىلع رصتقت نأ نود – نمضتت
.( (٧٣) مقر ةينقتورھكلا ةيلودلا ةنجللاو وزيلأا ةمظنم نم لك نع رداصلا ىداشرلأا ليلدلا ردصملا)
ةرطاخملا ىف ةبغرلا ٤٩/٣
.هظفح وأ هبقعتل دادعتسإ ىلع ةأشنملا نوكت ىذلا رطخلا عونو رادقم
رطاخملا مييقت ٥٠/٣
.رطاخملا مييقتو ليلحتو ةلماشلا ةيلمعلا
.( (٧٣) مقر وزيلأا ةمظنم نم رداصلا ىداشرلأا ليلدلا : ردصملا )
رطاخملا ةرادإ ٥١/٣
. رطاخملاب قلعتي اميف ةأشنملا طبضو هيجوتل ةقسنملا ةطشنلأا
.((٧٣) مقر وزيلأا ةمظنم نم رداصلا ىداشرلأا ليلدلا : ردصملا )
رابتخلإا ٥٢/٣
.ام ئش ةقد وأ ةدوج وأ دوجو ديدحتل ةليسوو مييقتلل ءارجإ
.رابتخإ هنإ ىلع رابتخلإا ىلإ راشي دق : (١) ةظوحلم
.ةمعادلا ططخلا ىلع رابتخلإا قطني ام ًابلاغ : (٢) ةظوحلم
.("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا : ردصملا )
(ع) ٢٠١٢/٢٢٣٠١ وزيأ
ايلعلا ةرادلإا ٥٣/٣
. ىوتسم ىلعأ ىلع اھيف نومكحتيو ةأشنملا نوھجوي نيذلا صاخشلأا نم ةعومجم وأ صخش
.ةأشنملا لخاد دراوملا ميدقتو ةطلسلا ضيوفتل ةطلسلا ايلعلا ةرادلإا ىدل نوكي : (١) ةظوحلم
ءلاؤھ ىلإ ريشي ايلعلا ةرادلإا حلطصم نإف ةأشنملا نم ءزج طقف ىطغي ةرادلإا ماظن لاجم نأ ةلاح ىف : (٢) ةظوحلم
.ةأشنملا نم ءزجلا اذھ ىف نومكحتيو نوھجوي نيذلا
ققحتلا ٥٤/٣
.ةددحم تابلطتمب ءافولا مت هنأ ىلع ليلدلا ميدقت للاخ نم ديكأتلا
لمعلا ةئيب ٥٥/٣
. فورظلا هذھ تحت لمعلا زاجنإ متي ىتلا فورظلا نم ةعومجم
ةئيب ،زيمتلا جمارب ، ةرارحلا ةجرد لثم ) ةيئيبلاو ةيسفنلاو ةيعامتجلإاو ةيندبلا لماوعلا فورظلا نمضتت : ةظوحلم
.ىوجلا فلاغلا نيوكت ، لمعلا
("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا : ردصملا)
ةأشنملا قايس - ٤
اھقايسو ةأشنملا مھفت ١/٤
جئاتنلا قيقحتل اھتردق ىلع رثؤت ىتلاو اھضرغب ةلصلا تاذ ةيجراخلاو ةيلخادلا اياضقلا ديدحت ةأشنملا ىلع ىغبني
قيبطتو عضو دنع رابتعلإا ىف اياضقلا هذھ ذخأ ىغبنيو .اھب لامعلأا ةيرارمتسإ ةرادإ ماظن نم ةوجرملا
.ةأشنملاب ةصاخلا لامعلأا ةيرارمتسإ ةرادإ ماظن ىلع ظافحلاو
: ىتلآا قيثوتو ديدحت ةأشنملا ىلع ىغبني -
ةصاخلا دادملإا لسلاسو نيرخلآا عم اھتاكارشو اھمدقت ىتلا تاجتنملاو تامدخلاو اھماھمو ةأشنملا ةطشنأ (١
.ىوضوف ثداح ثودح نع جتانلا لمتحملا رثلأاو ةينعملا فارطلأا نم اھتاقلاعو اھب
ةيجيتارتسلإا اھتطخ ةلماش ىرخلأا اھتاسايسو ةأشنملا فادھأو لامعلأا ةيرارمتسإ ةسايس نيب تاقلاعلا (٢
.رطاخملا ةرادلإ ةلماشلا
.ةرطاخملا ىف ةأشنملا ةبغر (٣
: نأ ةأشنملا ىلع ىغبني قايسلا عضو دنعو
.لامعلأا ةيرارمتسإب ةقلعتملا كلت ةلماش اھفادھأ حضوت -
.رطاخملا ريثي ىذلا نيقيلالا ببست ىتلا ةيجراخلاو ةيلخادلا لماوعلا ددحت -
.ةرطاخملا ىف ةبغرلا رابتعلإا ىف ذخلأا نم رطاخملا ريياعم ددحت -
.لامعلأا ةيرارمتسإ ةرادإ ماظن نم ضرغلا ددحت -
ةينعملا فارطلأا تاعقوتو تاجايتحا مھف ٢/٤
٩
ISO 2012 © ةظوفحم قوقحلا عيمج
( ع) ٢٠١٢/٢٢٣٠١ وزيأ
ماع ١/٢/٤
: ديدحت ةأشنملا ىلع ىغبني ةأشنملاب لامعلأا ةيرارمتسإ ةرادإ ماظن عضو دنع
.لامعلأا ةيرارمتسإ ةرادإ ماظنب ةلصلا تاذ ةينعملا فارطلأا (١
وأ ماع هجوب ًاينمض ةموھفم وأ ةنلعم ءاوس مھتاعقوتو مھتاجايتحإ ىھو) ةينعملا فارطلأا هذھ تابلطتم (٢
.(ةيمازلإ
ةيميظنتلاو ةينوناقلا تابلط
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...