ISO 22301:2012
(Main)Societal security — Business continuity management systems — Requirements
Societal security — Business continuity management systems — Requirements
ISO 22301:2012 specifies requirements to plan, establish, implement, operate, monitor, review, maintain and continually improve a documented management system to protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive incidents when they arise. The requirements specified in ISO 22301:2012 are generic and intended to be applicable to all organizations, or parts thereof, regardless of type, size and nature of the organization. The extent of application of these requirements depends on the organization's operating environment and complexity.
Sécurité sociétale — Systèmes de management de la continuité d'activité — Exigences
L'ISO 22301:2012 spécifie les exigences pour planifier, établir, mettre en place et en ?uvre, contrôler, réviser, maintenir et améliorer de manière continue un système de management documenté afin de se protéger des incidents perturbateurs, réduire leur probabilité de survenance, s'y préparer, y répondre et de s'en rétablir lorsqu'ils surviennent. Les exigences spécifiées dans l'ISO 22301:2012 sont génériques et prévues pour être applicables à toutes les organisations, ou parties de celles-ci, indépendamment du type, de la taille et de la nature de l'organisation. Le champ d'application de ces exigences dépend de l'environnement et de la complexité de fonctionnement de l'organisation.
General Information
Relations
Buy Standard
Standards Content (Sample)
٢٢٣٠١ وزـــيأ ةيلودلا ةيسايقلا ةفصاوملا
ةيمسرلا ةمجرتلا
Official translation
Traductionofficielle
تابلطتملا - لامعلأا ةيرارمتسا ةرادإ مظن – يعمتجملا نملأا
Societal security -- Business continuity management systems ---
Requirements(E)
ةمئاقلا رظنا ) ةمجرتلا ةقد تدمتعأ يتلاISO يف ءاضعأ تائيھ١٠نع ةبانلإاب ةيمسر ةيبرع ةمجرتك ارسيوس ،فينج يف ISO ةيزكرملا ةناملأا يف تعبط
.( ii ةحفص يف
ىعجرملا مقرلا
ISO 22301/2012 (A)
ةيمسرلا ةمجرتلا
©ISO 2012
---------------------- Page: 1 ----------------------
( ع) ٢٠١٢/٢٢٣٠١ وزيأ
(هيونت) ةيلوئسم ءلاخإ
اذھ ةعابط نكمي هنإف Adobe ـل صيخرتلا ةسايس بجومبو ، ةجمدُم طوطخ ىلع (PDF) فلملا اذھ يوتحي دق
بو�ساحلا ي�ف ة�ل ﱠمح ُم و ة�صخرُمھيف ة�جمدُملا طو�طخلا ن�كت م�ل ا�م ه�ليدعت مت�ي ﱠلاأ ى�لع ، هيلع علاطلإا وأ فلملا
ـ�ل صيخر�تلا ة�سايسب للا�خلإا مد�ع ةيلوئسم - فلملا اذھ ليزنت دنع - فارطلأا لمحتت و . ليدعتلا هيف متي يذلا
. لاجملا اذھ لايح ةينوناق ةيلوئسم يأ لمحتت لا وزيلآلةماعلا ةيراتركسلا نأنيح يف،Adobe
.Adobeـلا مظنل ةدحتملا ةكرشلل ةلجسم ةيراجت ةملاع Adobe ـلا دعت
ة�ماعلا تا�مولعملا ن�م ف�لملا اذ�ھ ءا�شنإ ي�ف ةمدخت�سملا جماربلا�ب ة�صاخلا لي�صافتلا ع�يمج ي�لع لوصحلا نكمي
نو�كي نأ ي�عوُر ثيح ،(PDF) ءاشنإ يف ةلخادلا تاريغتملا تن ﱢسُح دقف ةعابطلا لجلأو ، (PDF)فلمب ةقلعتملا
، ف�لملا اذ�ھب ق�لعتت ةلك�شم يأ ثود�ح ة�لاح ي�فو ، سي�يقتلل ة�يلودلا ة�مظنملا ءاضعلأ امئلام فلملا اذھ مادختسا
.هاندأ لجسملا ناونعلا ىلع ةماعلا ةيراتركسلا غلابإ ىجرُي
ةفصاوملا تدمتعأ يتلا ةيبرعلا سييقتلا تاھج
ندرلأا
ةيندرلأا سيياقملاو تافصاوملا ةسسؤم
تاراملإا
سيياقملاو تافصاوملل تاراملإا ةئيھ
رئازجلا
سييقتلل يرئازجلا دھعملا
ةيدوعسلا
سيياقملاو تافصاوملل ةيدوعسلا ةئيھلا
قارعلا
ةيعونلا ةرطيسلاو سييقتلل يزكرملا زاھجلا
تيوكلا
ةعانصلل ةماعلا ةئيھلا
نادوسلا
سيياقملاو تافصاوملل ةينادوسلا ةئيھلا
نميلا
ةدوجلا طبضو سيياقملاو تافصاوملل ةينميلا ةئيھلا
سنوت
ةيعانصلا ةيكلملاو تافصاوملل ىنطولا دھعملا
ايروس
ةيروسلا ةيبرعلا سيياقملاو تافصاوملا ةئيھ
ايبيل
ةيسايقلا ريياعملاو تافصاوملل ىنطولا زكرملا
رصم
ةدوجلاو تافصاوملل ةماعلا ةيرصملا ةئيھلا
رشنلاو عبطلا قوقح ةيامح ةقيثو
©٢٠١٢وزيأ
ةليسو يأب وأ لكش يأب همادختسا وأ رادصلإا اذھ نم ءزج يأ جاتنإ ةداعإ زوجي لا ،كلذ فلاخ دري كل امو .ةظوفحم قوقحلا عيمج
دحا وأ هاندأ ناونعلا ىلع سييقتلل ةيلودلا ةمظنملا نم امإ يطخ نذإ نود ةقيقدلا ملافلأاو خسنلا كلذ يف امب ةيكيناكيم وأ ةينورتكلا
.ةبلاطلا ةھجلا ةلود يف سييقتلل ةيلودلا ةمظنملا يف ءاضعلأا تائيھلا
سييقتلل ةيلودلا ةمظنملا ةيكلم قوقح بتكم
٢٠ فينج - Ch-1211- ٥٦ :يديربلا زمرلا
٠٠٤١٢٢٧٤٩٠١١١ :فتاھ
٠٠٤١٢٢٧٤٩٠٩٤٧ :سكاف
copyright@iso.org :ينورتكلا ديرب
www.iso.org :ينورتكللاا عقوملا
٢٠١٥ يف ةيبرعلا ةخسنلارشن مت
ارسيوس يف رشنلا مت
© ISO 2012 - ةظوفحم قوقحلا عيمج ii
---------------------- Page: 2 ----------------------
(ع) ٢٠١٢/٢٢٣٠١ وزيأ
تايوتحملا
III.ديھمت
IV.ةمدقم ٠
IV.ماع ١/٠
IV."ءارجإ ذختإ – ققحت – لعفأ – ططخ" جذومن ٢/٠
VI.ةيلودلا ةفصاوملا هذھ يف "ءارجإ ذختا – ققحت – لعفأ – ططخ" جذومن تانوكم ٣/٠
١ .لاجملا - ١
١. . ةيرايعملا عجارملا - ٢
١. . . تافيرعتلاو تاحلطصملا - ٣
٩. ةأشنملا قايس - ٤
٩. اھقايسو ةأشنملا مھفت ١/٤
١٠.……….…………………………….ةينعملا تائفلا تاعقوتو تاجايتحا مھف ٢/٤
١٠.……………. . … لامعلأا ةيرارمتسا ةرادإ مظن لاجم ديدحت ٣/٤
١١.لامعلأا ةيرارمتسا ةرادإ ماظن ٤/٤
١١. ةدايقلا - ٥
١١. مازتللإاو ةدايقلا ١/٥
١١. ةرادلإا مازتلإ ٢/٥
١٢. . ةسايسلا ٣/٥
١٢. ةيسسؤملا تاطلسلاو تايلوئسملاو راودلأا ٤/٥
١٣. طيطختلا - ٦
١٣. صرفلاو رطاخملا ةجلاعمل تاءارجلإا ١/٦
١٣. اھقيقحتل ةمزلالا ططخلاو لامعلأا ةيرارمتسا فادھأ ٢/٦
١٤. معدلا - ٧
١٤. دراوملا ١/٧
١٤. ةءافكلا ٢/٧
١٤ . ةيعوتلا ٣/٧
١٤. لصاوتلا ٤/٧
١٥. ةقثوملا تامولعملا ٥/٧
١٦. ليغشتلا - ٨
١٦. طبضلاو يليغشتلا طيطختلا ١/٨
١٧. رطاخملا ليلحتو لامعلأا رثأ ليلحت ٢/٨
١٨. لامعلأا ةيرارمتسلأ ةيجيتارتسلأا ةطخلا ٣/٨
١٩. لامعلأا ةيرارمتسلأ تاءارجلأا ذيفنتو عضو ٤/٨
٢١. رابتخلأاو ةسرامملا ٥/٨
٢١. ءادلأا مييقت - ٩
٢١. مييقتلاو ليلحتلاو سايقلاو ةبقارملا ١/٩
٢٢. يلخادلا قيقدتلا ٢/٩
٢٣. ةرادلأا ةعجارم ٣/٩
٢٥. نيسحتلا ١٠
٢٥. يحيحصتلا ءارجلإاو ةقباطملا مدع ١/١٠
٢٦. رمتسملا نيسحتلا ٢/١٠
٢٧ . عجارملا تبث
iii
ISO 2012 © ةظوفحم قوقحلا عيمج
---------------------- Page: 3 ----------------------
( ع) ٢٠١٢/٢٢٣٠١ وزيأ
ديھمت
يف يسايقلا ديحوتلل صصختم ماظن (IEC) ةينقتورھكلا ةيلودلا ةنجللاو (ISO) سييقتلل ةيلودلا ةمظنملا لكشت
تافصاوملا دادعا ةيلمع يف IEC وأ ISO نيتمظنملا يف ءاضعلأا ةينطولا تائيھلا كراشتو.ملاعلا ءاحنأ عيمج
نواعتتو. ينفلا طاشنلا نم ةنيعم تلااجم عم لماعتلل ةينعملا ةمظنملا اھأشنت يتلا ةينفلا ناجللا للاخ نم ةيلودلا
لمعلا يف كراشي امك .كرتشملا مامتھلاا تاذ تلااجملا يف IEC و ISO نم لكل ةعباتلا ةينفلا ناجللا
، ةقباطملا مييقت لاجم يفو ISO , IEC. يتمظنمب ةلصلا تاذ ،ةيموكحلا ريغ و ةيموكحلاو ةيلودلا تامظنملا
ةيلودلا ةيداشرلاا ةلدلأا و تافصاوملا دادعإ نع ةلوئسملا يھ (وكساك) ةقباطملا مييقتب ةصاخلا وزيلأا ةنجل نإف
.
ءزجلا ،ISO / IEC نم لاك نع ةرداصلا تاھيجوتلا يف ةدراولا حئاولل اقفو ةيلودلا تافصاوملا تغيص دقو
.يناثلا
عيراشملا هذھ رادصا بلطتي و . تيوصتلل ةينطولا تائيھلا ىلع ةيلودلا تافصاوملا عيراشم عيزوت متي و
.تيوصتلا اھل قحي يتلا ةينطولا تائيھلا نم لقلأا ىلع %٧٥ ةقفاوم ةيلود تافصاومك
ﻝـﻣﺣﺗﺗ نـﻟ و.عارﺗﺧﻻا ةءارﺑ قوﻘﺣﻟ ﺔﻌﺿﺎﺧ ﺔﻘﻳﺛوﻟا ﻩذﻫ رﺻﺎﻧﻋ ضﻌﺑ نوﻛﺗ نأ ﺔﻳﻟﺎﻣﺗﺣا ﻰﻟإ ﻩﺎﺑﺗﻧﻻا تﻔﻟ دوﻧ و
. ﺎﻬﻌﻳﻣﺟ وأ قوﻘﺣﻟا ﻩذﻫ نﻣ يأ دﻳدﺣﺗ ﺔﻳﻟوؤﺳﻣ (ISO) سﻳﻳﻘﺗﻠﻟ ﺔﻳﻟودﻟا ﺔﻣظﻧﻣﻟا
ّ
.يعمتجملا نملأاب ةصاخلا ISO/TC 223 ةيلودلا ةينفلا ةنجللا لبق نم ٢٢٣٠١ وزيلأا ةفصاوم دادعإ مت دقل
© ISO 2012 - ةظوفحم قوقحلا عيمج iv
---------------------- Page: 4 ----------------------
(ع) ٢٠١٢/٢٢٣٠١ وزيأ
ةمدقم ٠
ماع ١/٠
ماظنلا اذھ دكؤيو ،لامعلأا ةيرارمتسلإ لعاف ةرادإ ماظن ةرادإو عضول تابلطتملا ةيلودلا ةفصاوملا هذھ ددحت
: ةيمھأ يلع
.لامعلأا ةيرارمتسا ةرادلإ فادھأو ةسايس عضو ةرورضو ةأشنملا تاجايتحا مھف -
.ةيبيرختلا ثداوحلا ةرادلإ ةأشنملل ةلماشلا ةردقلا ةرادلإ تاءارجإو طباوض ليغشتو ذيفنت -
.لامعلأا ةيرارمتسا ةرادإ ماظن ةيلعافو ءادأ ةعجارمو ةبقارم -
.يعوضوملا سايقلا يلع ادانتسا رمتسملا نيسحتلا -
:ةيلاتلا ةيسيئرلا تانوكملا نم – يرخلأا ةرادلأا مظن لثم – لامعلأا ةيرارمتسا ماظن نوكتي
ةسايس – أ
.ةددحم تايلوئسم وذ دارفأ – ب
:يتلأاب قلعتت ةرادإ تايلمع – ج
ةسايس .١
طيطخت .٢
ليغشتو ذيفنت .٣
ءادلأا مييقت .٤
ةرادلأا ةعجارم .٥
نيسحتلا .٦
.قيقدتلل ةلباق ةلدأ ميدقت للاخ نم قيثوت – د
.ةأشنملاب ةلصلا تاذ لامعلأا ةيرارمتسإ ةرادإ تايلمعةيأ - ـھ
يئيبلا رثلأاو لمشلأا عمتجملا جاتحي دقو . ةنورم رثكأ عمتجم يلإ لوصولا يف لامعلأا ةيرارمتسا مھست
.حلاصلإا ةيلمع يف مھكارشإ متي نلأ يرخلأا تآشنملاو ةأشنملا يلع
"ءارجإ ذختإ – ققحت – لعفأ – ططخ" جذومن ٢/٠
ذيفنتو عضوو طيطختلا يف "ءارجإ ذختإ – ققحت – لعفأ – ططخ " جذومن ةيلودلا ةفصاوملا هذھ قبطت
.ةأشنملاب لمعلا ةيرارمتسا ةرادإ ماظن ةيلعافل رمتسملا نيسحتلاو يلع ظافحلاو ةعجارمو ةبقارمو ليغشتو
مظنب ةصاخلا ISO 9001 ةفصاوم لثم ىرخلأا ةرادلأا مظن تافصاوم عم قباطتلا نم ةجرد كلذ نمضيو
وزيلأا ةمظنم نم لك نع نيترداصلا نيتفصاوملا ،ةئيبلا ةرادإ مظنب ةصاخلا ISO 14001 ،ةدوجلا ةرادإ
ISO/IEC 20000 – ،يتامولعملا نملأا ةرادإ مظنب ةصاخلا ISO/IEC 27001 ةينقتورھكلا ةيلودلا ةنجللاو
ةلسلسل نملأا ةرادإ مظنب ةصاخلا ٢٨٠٠٠ وزيلأا ةفصاوم ،ةمدخلا ةرادإ – تامولعملا ايجولونكتب ةصاخلا 1
ةلصلا تاذ يرخلأا ةرادلإا مظن عم لماكتملاو قستملا ليغشتلاو ذيفنتلا يتيلمع معدي امم دادملإا
v
ISO 2012 © ةظوفحم قوقحلا عيمج
---------------------- Page: 5 ----------------------
( ع) ٢٠١٢/٢٢٣٠١ وزيأ
لامعلأا ةيرارمتسإ ةرادإ ماظن يلع ُقبط ي يذلا " رارق ذختا – ققحت – لعفأ – ططخ " جذومنل (١) لكشلا
" رارق ذختا – ققحت – لعفأ – ططخ " جذومن ريسفت – (١) لودجلا
ططخ
تايلمعلاو طباوضلاو ىدملا ةليوطو ةريصق فادھلأا ديدحتو لامعلأا ةيرارمتسلإ عضو م
(عضي)
عم يشامتت جئاتن يلا لوصولا فدھب لامعلاا ةيرارمتسا نيسحتب ةلصلا تاذ تاءارجلااو
ةأشنملل ةماعلا فادھلااو تاسايسلا
لعفأ
.تاءارجلإاو تايلمعلاو طباوضلاو لامعلأا ةيرارمتسا ةسايس ليغشتو ذيفنت متي
) ( لغشيو ذفني
ققحت
ً جئاتنلاب ريرقت ميدقت ،لامعلأا ةيرارمتسا فادھأو ةسايسل اقفو ءادلأا ةعجارمو ةبقارم متي
(عجاريو بقاري)
.نيسحتلاو ةجلاعملل تاءارجلإا رارقإو ديدحت ،اھتعجارمل ةرادلأل
ءارجإ ذختإ
يحيحصت ءارجإ ذاختإ للاخ نم لامعلأا ةيرارمتسا ةرادإ ماظن نيسحتو يلع ظفحلا متي
(نسحيو يلع ظفاحي)
ً لامعلأا ةيرارمتسا ةرادإ ماظن لاجم مييقت ةداعإو ةرادلأا ةعجارم جئاتن يلع ادانتسا
.لامعلأا ةيرارمتسا فادھأو ةسايسو
© ISO 2012 - ةظوفحم قوقحلا عيمج vi
---------------------- Page: 6 ----------------------
(ع) ٢٠١٢/٢٢٣٠١ وزيأ
ةيلودلا ةفصاوملا هذھ يف "ءارجإ ذختا – ققحت – لعفأ – ططخ" جذومن تانوكم ٣/٠
١٠ يلإ ٤ نم دونبلا نإف (١) لودجلا يف حضوم وھ امك " ءارجإ ذختا – ققحت – لعفأ – ططخ " جذومن يف
:ةيلاتلا تانوكملا يطغت ةيلودلا ةفصاوملا هذھب
لامعلأا ةيرارمتسا ةرادإ ماظن قايس عضول ةمزلالا تابلطتملا ضرعتسي وھف، طيطختلا لوانتي : (٤) دنبلا -
.لاجملاو تابلطتملاو تاجايتحلإا اذكو ةأشنملا يلع قبطني يذلا
ةيرارمتسا ةرادإ ماظن يف ايلعلا ةرادلإا رودب ةصاخلا تابلطتملا زجوي وھف ،طيطختلا لوانتي : (٥) دنبلا -
ةماعلا ةسايسلا نايب للاخ نم ةأشنملل اھتاعقوت ةدايقلا حضوت فيكو لامعلأا
ماظنل ةيھيجوت ءيدابمو ةيجيتارتسا فادھأ عضوب ةطبترملا تابلطتملا حرشي وھف ،طيطختلا لوانتي : (٦) دنبلا -
ةمجانلا رطاخملا ةجلاعم صرف عضو نع (٦) دنبلا ىوتحم فلتخيو .لكك لامعلأا ةيرارمتسا ةرادإ
.لامعلأا رثأ ليلحت نم ةذوخأملا حلاصلإا فادھأ كلذكو رطاخملا مييقت نع
.(٨) دنبلا يف لامعلأا رثأ ليلحتو رطاخملا مييقت ةيلمع تابلطتمل يليصفت حرش كانھ : ةظوحلم
تاصاصتخلأا ديدحتب ةطبترملا لامعلأا ةيرارمتسا ةرادإ ماظن تايلمع معدي وھف ،طيطختلا لوانتي : (٧) دنبلا -
قئاثولا يلع ظافحلاو ةبقارمو قيثوت عم ةينعملا فارطلأا عم بولطم وھ امك / يرود لكشب لصاوتلاو
.ةبولطملا
تاءارجلإا عضوو مھتجلاعم ةيفيك ررقيو لامعلأا ةيرارمتسا تابلطتم ددحي وھف ،لعفلا لوانتي : (٨) دنبلا -
.يبيرخت ثدح يأ ةرادلإ
قفاوت يدمو لامعلأا ةيرارمتسا ةرادإ ءادآ سايقل ةمزلالا تابلطتملا زجوي وھف ،ققحتلا لوانتي : (٩) دنبلا -
يلع لوصحلل يعسيو ةرادلإا تاعقوتو ةيلودلا ةفصاوملا هذھ عم لامعلأا ةيرارمتسا ةرادإ ماظن
.مھتاعقوت صخي اميف ةرادلإا نم ةدترملا ءارلأا
نم لامعلأا ةيرارمتسا ةرادإ ماظن ةقباطم مدع يلع لمعيو ددحي وھف ،تاءارجلإا ذاختا لوانتي : (١٠) دنبلا -
ةيحيحصتلا تاءارجلإا للاخ
vii
ISO 2012 © ةظوفحم قوقحلا عيمج
---------------------- Page: 7 ----------------------
(ع) ٢٠١٢/٢٢٣٠١ وزيأ
تابلطتملا – لامعلأا ةيرارمتسا ةرادإ مظن – يعمتجملا نملأا
لاجملا-١
طيطختلل ةمزلالا تابلطتملا لامعلأا ةيرارمتسا ةرادإب ةصاخلا ةيلودلا ةيسايقلا ةفصاوملا هذھ ددحت يصوي
نم ةيامحلل قثوملا ةرادلإا ماظنل رمتسملا نيسحتلاو يلع ظافحلاو ةعجارمو ةبقارمو ليغشتو ذيفنتو عضوو
.اھثودح لاح –يفاعتلاو اھتھجاومو اھل دادعتسلإاو اھثودح ةيلامتحا ليلقتو ةيبيرختلا ثداوحلا
وأ تآشنملا ةفاكب اھقيبطت ةيناكمإ وھ اھنم فدھلاو ةماع ةيلودلا ةيسايقلا ةفصاوملا هذھ يف ةدراولا تابلطتملا نإ
ليغشتلا ةئيب يلع تابلطتملا هذھ قيبطت ىدم دمتعيو ،اھتعيبطو اھمجحو اھعون نع رظنلا ضغب اھنم ءازجأ
.اھتاديقعتو ةأشنملاب
دعاست اھنكل لامعلأا ةيرارمتسا ةرادإ ماظن لكيھ يف لثامتلا ضارتفلإ ةيلودلا ةيسايقلا ةفصاوملا هذھ فدھت لاو
تاجايتحلأا هذھ لكشتو ،ةينعملا اھفارطأ تابلطتم يبليو اھتاجايتحا عم بسانتي PCMs ميمصت يلع تآشنملا
مجح ،ةمدختسملا تايلمعلا ،تامدخلاو تاجتنملا نع لاضف ،ةيعانصو ةيعيرشتو ةيميظنتو ةينوناق تابلطتم
.ةينعملا اھفارطأ تابلطتمو ةأشنملا لكيھو
:يف بغرت يتلا اھماجحأو اھعاونأ فلاتخإ يلع تآشنملا ةفاكب ةيلودلا ةيسايقلا ةفصاوملا هذھ قيبطت نكمي
.لامعلأا ةيرارمتسا ةرادإ ماظن نيسحتو يلع ظافحلاو قيبطتو عضو – أ
.لامعلأا ةيرارمتسلإ ةنلعملا ةسايسلا عم ةقباطملا نامض - ب
.نيرخلآل ةقباطملا تابثا – ج
ةھج لبق نم اھب لامعلأا ةيرارمتسا ةرادإ ماظن ليجست / ةداھش يلع لوصحلل يعسلا – د
.تاداھشلا حنمل ةدمتعم ةيجراخ
.ةيلودلا ةيسايقلا ةفصاوملا هذھ عم ةقباطملاب يتاذ نلاعإو يتاذ ديدحتب مايقلا - ـھ
نمض اھتامازتلاو اھتاجايتحاب يفت يكل ةأشنملا ةردق مييقتل ةيلودلا ةيسايقلا ةفصاوملا هذھ مادختسا نكميو
.ةيرارمتسلإا
ةيليمكتلا عجارملا-٢
ًًً قيبطتل اھنع ءانغتسلأا نكمي لاو ةفصاوملا هذھ يف ايرايعم اھيلإ راشم – ايئزج وأ ايلك – ةيلاتلا قئاثولا نإ
ةخرؤملا ريغ عجارملل ةبسنلاب امأ هنع هونملا رادصلإا طقف قبطي هنإف ةخرؤم عجارم يلع لوصحللو .ةفصاوملا
.ةيرايعم عجارم ةيأ دجويلاو .(تلايدعت ةيأ ةلماش) اھيلإ راشملا ةقيثولا نم رادصإ ثدحأ قبطي هنإف
فيراعتلاو تاحلطصملا -٣
:ةيلاتلا فيراعتلاو تاحلطصملا مادختسا متي ةيسايقلا ةفصاوملا هذھ ضارغلأ
طاشن ١/٣
١
ISO 2012 © ةظوفحم قوقحلا عيمج
---------------------- Page: 8 ----------------------
( ع) ٢٠١٢/٢٢٣٠١ وزيأ
.رثكأ وأ ةمدخو جتنم معدت وأ جتنت يتلا (اھنع بوني نم وأ) ةأشنملا اھب موقت تايلمعلا نم ةعومجم وأ ةيلمع
.عيزوتلا ،عينصتلا ،تامولعملا ايجولونكت ،لاصتا زكرم ،تاباسح تايلمعلا هذھ نمضتت : لاثم
قيقدتلا ٢/٣
.قيقدتلا ريياعمب ءافولا ىدم ديدحتل ةيعوضومب اھمييقتو قيقدتلا ةلدأ يلع لوصحلل ةقثومو ةلقتسمو ةمظتنم ةيلمع
نوكت نأ نكميو (ثلاث فرط وأ يناث فرط) ايجراخ وأ (لوأ فرط) ةيلخاد قيقدتلا ةيلمع نوكت نأ نكمي : (١) ةظوحلم
. ةمظنلأا نم رثكأ وأ نينثأ نم جيزم قيقدتلا ةيلمع
." ١٩٠١١ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا يف " قيقدتلا ريياعم "و " قيقدتلا ةلدأ " ديدحت مت : (٢) ةظوحلم
لامعلأا ةيرارمتسا ٣/٣
.يوضوف ثداح بقع ًاقبسم ةددحم ،ةلوبقم تايوتسمب تامدخ وأ تاجتنم ميدقت يف رارمتسلأا يلع ةأشنملا ةردق
("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا : ردصملا)
لامعلأا ةيرارمتسا ةرادإ ٤/٣
اھثودح لاح – تاديدھتلا كلت اھببست دق يتلا راثلأاو ةأشنملل ةلمتحملا تاديدھتلا ددحت يتلا ةلماش ةرادإ ةيلمع
يمحت يتلا ةلاعفلا ةباجتسلإا يلع ةردقلا عم ةيميظنت ةنورم ءانبل لمع راطإ مدقت يتلاو ةيراجتلا تايلمعلا يلع
.ةميقلا قلخل اھتطشنأ ،ةيراجتلا اھتملاع ،اھتعمس ،نييسيئرلا ةينعملا اھفارطأ حلاصم
لمعلا ةيرارمتسا ةرادإ ماظن ٥/٣
.لامعلأا ةيرارمتسا نسحيو ظفاحيو عجاريو بقاريو لغشيو ذفنيو عضي يذلا لماشلا ةرادلإا ماظن نم ءزج
.دراوم ،تايلمع ،تاءارجإ ،تايلوئسم ،طيطخت ةطشنأ ،تاسايس ،يميظنتلا لكيھلا ةرادلأا ماظن نمضتي : ةظوحلم
لامعلأا ةيرارمتسا ةطخ ٦/٣
قبس ليغشتلا نم ىوتسمل عوجرلاو فانئتسلإاو ةداعتسلإاو ةباجتسلأا يلع تآشنملا دعاست يتلا ةقثوم تاءارجإ
.ىضوفلا بقع هديدحت
.ةماھلا لامعلأا فئاظو ةيرارمتسا نامضل ةبولطملا ةطشنلأا ،تامدخلا ،دراوملا كلذ يطغي ام ةداع : ةظوحلم
لامعلأا ةيرارمتسا جمانرب ٧/٣
ةرادإ يلع ظافحلاو ذيفنتل بسانم لكشب دراوملاب لومتو ايلعلا ةرادلإا اھمعدت ةمكوحلاو ةرادلإل ةرمتسم ةيلمع
.لامعلأا ةيرارمتسا
لامعلأا ريثأت ليلحت ٨/٣
ةيلودلا ةيسايقلا ةفصاوملا :ردصملا) .لامعلأا لطعت نع ًامجان مھيلع رثؤي دق يذلا رثلأاو ةطشنلأل ليلحت ةيلمع
("٢٢٣٠٠ وزيأ"
ةءافكلا ٩/٣
.ةوجرملا جئاتنلا يلإ لوصولل تاراھملاو ةفرعملا قيبطت يلع ةردقلا
© ISO 2012 - ةظوفحم قوقحلا عيمج ٢
---------------------- Page: 9 ----------------------
(ع) ٢٠١٢/٢٢٣٠١ وزيأ
ةقباطملا ١٠/٣
("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا :ردصملا) طرش قيقحت
رمتسملا نيسحتلا ١١/٣
("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا :ردصملا) ءادلآا زيزعتل طاشنلا راركت
حيحصتلا١٢/٣
("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا :ردصملا) .اھفاشتكإ متي يتلا ةقباطملا مدع يلع ءاضقلل ذختي ءارجإ
يحيحصت ءارجإ١٣/٣
.ثودحلا راركت عنمو ةقباطملا مدعل يدؤملا ببسلا يلع ءاضقلل ذختي ءارجإ
بابسلأا يلع ءاضقلا وأ ليلقتل ءارجإ ذاختإ مزلتسي رملأا نإف اھيف بوغرم ريغ ىرخأ جئاتن ثودح ةلاح يف : ةظوحلم
اذھ يف دراو وھ امك "يحيحصتلا ءارجلإا" موھفم جراخ عقت تاءارجلإا هذھ لثمو ،ثودحلا راركت عنم وأ رثلأا ليلقتلو
("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا :ردصملا) .فيرعتلا
ةقيثو ١٤/٣
.اھل معادلا (ةئيبلا) طيحملاو تامولعم
ةروص وأ يئوضلا رتويبمكلا صرق وأ ينورتكيلإ ،يسيطانغم ،يقرو طيحملا اذھ نوكي نأ نكمي : (١) ةظوحلم
ً. اعيمج مھنم جيزم وأ ةيسيئر ةنيع وأ ةيفارغوتوف
.(قيثوت) حلطصم – تلاجسلاو ةينفلا تافصاوملا لاثملا ليبس يلع –قئاثولا ةعومجم يلع ًابلاغ قلطي : (٢) ةظوحلم
ةقثوملا تامولعملا١٥/٣
.اھنمضتي يتلا (ةئيبلا) طيحملاو ةأشنملا لبق نم اھيلع ظافحلاو اھتبقارم بلطتت تامولعم
.ردصم يأ نم ةيملاعإ ةليسو يأ يلع ةحاتمو لكش يأ يف ةقثوملا تامولعملا نوكي نأ نكمي : (١) ةظوحلم
:يلإ ةقثوملا تامولعملا ريشت نأ نكمي : (٢) ةظوحلم
،ةلصلا تاذ تايلمعلا ًلاماش ةرادلأا ماظن -
،(قيثوتلا) ليغشتلا نم ةأشنملا نيكمتل اھقلخ مت يتلا تامولعملا -
.(تلاجسلا) اھيلإ لوصولا مت يتلا جئاتنلا يلع ةلدأ -
ةيلعافلا ١٦/٣
.اھل ططخملا جئاتنلاو ةطشنلأا ذيفنتو قيقحت يدم
ثدحلا ١٧/٣
فورظلا نم ةنيعم ةعومجم رييغت وأ ثودح
.بابسأ ةدع نع جتني نأ نكميو ،رثكأ وأ ًارمأ ثدحلا نوكي نأ نكمي : (١) ةظوحلم
٣
ISO 2012 © ةظوفحم قوقحلا عيمج
---------------------- Page: 10 ----------------------
( ع) ٢٠١٢/٢٢٣٠١ وزيأ
.ثدحي لا ام ءيش نم ثدحلا نوكتي نأ نكمي : (٢) ةظوحلم
.ثداح وأ ةيضرع ةلاحك – نايحلأا ضعب يف – ثدحلا يلإ راشي نأ نكمي : (٣) ةظوحلم
نم برقلا" ، "ثداح" ، "توملا نم برقلا" هنأ يلع جئاتن ةيأ هنع مجني مل يذلا ثدحلا يلإ راشي دق : (٤) ةظوحلم
"ةبيرق ةملاكم" ، "برضلا
(٧٣ مقر ةينقتورھكلا ةيلودلا ةنجللا و وزيلأا ةمظنم نم لك نع رداصلا يداشرلأا ليلدلا :ردصملا)
ةسرامم ١٨/٣
.ةأشنملاب ءادلأا نيسحتو ةسراممو مييقتو بيردتل ةيلمع
نيب ةكرتشم تاقافتا ،تازيھجت ،بيردت ،تاءارجإ ،ططخ ،تاسايسلا رارقلإ تاسرامملا مادختسا نكمي : (١) ةظوحلم
تأشنملا نيب قيسنتلا نيسحتو مھنم ةبولطملا تايلوئسملاو راودلأا يلع ةيرشبلا رداوكلا بيردتو حيضوتو تآشنملا
ً ةبقارمو نيسحتلل صرفلا ديدحت نع لاضف يدرفلا ءادلآا نيسحتو دراوملا يف تاوجفلا ديدحتو مھنيب اميف لصاوتلاو
.لاجترلأا ةسراممل ةصرفلا
فادھأ وأ فدھ نمض رصنع لشف وأ ريرمت عقوت جمدت يتلا ةسرامملا نم صاخو ديرف عون وھ رابتخلأا : (٢) ةظوحلم
.("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا :ردصملا) .اھل طيطختلا متي يتلا ةسرامملا
ثداح ١٩/٣
:ردصملا) .ةمزأ وأ ءيراوط ةلاح وأ نادقفلا وأ ىضوفلا نم ةلاح يلإ يدؤي نأ نكمي وأ يلإ يدؤي دق فقوم
.("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا
ةيتحتلا ةينبلا ٢٠/٣
.ةأشنملا ليغشتل ةبولطملا تامدخلاو تازيھجتلاو قفارملا ماظن
ينعم فرط ٢١/٣
طاشن وأ رارقب رثأتت وأ يف رثؤت نأ اھنكمي يتلا ةأشنم وأ صخش
.ةأشنملا هب موقت طاشن وأ رارق يأ هاجت ةحلصم اھيدل ةعومجم وأ درف ينعملا فرطلا نوكي نأ نكمي : ةظوحلم
(ةيلخاد ةعجارم) يلخاد قيقدت ٢٢/٣
ىرخلأا ةيلخادلا ضارغلأاو ةرادلإا ةعجارمل اھنع بوني نم وأ اھسفن ةأشنملا اھب موقت (ةعجارم) قيقدت ةيلمع
.ةقباطملاب ةأشنملل يتاذلا نلاعلإل ساسلأا لكشت يتلاو
نم ررحتلا للاخ نم ةيللاقتسلاا تابثإ نكمي هنإف – رغصلأا تآشنملا يف ةصاخ – تلااحلا نم ديدعلا يف : ةظوحلم
.(هتعجارم) هقيقدت يرجي يذلا طاشنلا هاجت ةيلوئسملا
(ةدعاسملا بلط) ءاعدتسا ٢٣/٣
تاجتنملا ميدقت يف رارمتسلأا فدھب ذيفنتلا زيح اھلوخدب ةأشنملاب لامعلأا ةيرارمتسا تابيترت ةجاح نع نلاعإ
.ةيسيئرلا تامدخلا وأ
ةرادلإا ماظن ٢٤/٣
كلت قيقحتل تايلمعلا نع ًلاضف فادھلأاو تايايسلا عضول ةأشنملاب ةلعافتملا وأ ةطبارتملا رصانعلا نم ةعومجم
.فادھلأا
© ISO 2012 - ةظوفحم قوقحلا عيمج ٤
---------------------- Page: 11 ----------------------
(ع) ٢٠١٢/٢٢٣٠١ وزيأ
.ةمظنأ ةدع وأ دحاو ماظن ةرادلإا ماظن لوانتي نأ نكمي : (١) ةظوحلم
. ،ليغشتلا ،طيطختلا ، تايلوئسملاو راودلأا ،ةأشنملا لكيھ ماظنلا رصانع نمضتت : (٢) ةظوحلم
ةددحمو ةنيعم ماسقأ وأ ةأشنملل ةددحمو ةنيعم ماھم وأ اھلمكأب ةأشنملا ةرادلإا ماظن لاجم نمضتي نأ نكمي : (٣) ةظوحلم
.تآشنملا نم تاعومجمل رثكأ وأ ةمھم وأ ةأشنملاب
لوبقملا عاطقنلإل ىصقلأا دحلا ٢٥/٣
.لوبقم ريغ طاشنب مايقلا وأ ةمدخ / جتنم ميدقت مدع ةجيتن أشنت دق يتلا ةيسكعلا راثلأل قرغتسملا تقولا
.ىضوفلل ةلوبقم ةرتف رثكأب صاخلا فيرعتلا ًاضيأ رظنأ : (١) ةظوحلم
ىضوفلل ةلوبقم ةرتف رثكأ ٢٦/٣
لوبقم ريغ طاشنب مايقلا وأ ةمدخ / جتنم ميدقت مدع ةجيتن أشنت دق يتلا ةيسكعلا راثلأل قرغتسملا تقولا
.لوبقملا عاطقنلأل ىصقلأا دحلاب صاخلا فيرعتلا ًاضيأ رظنأ : (١) ةظوحلم
سايقلا ٢٧/٣
ةميقلا ديدحتل ةيلمع
لامعلأا ةيرارمتسا فدھل ىندلأا دحلا ٢٨/٣
.ىضوفلا ةرتف ءانثأ اھلامعأ فادھأ قيقحتل ةأشنملا ىدل لوبقملا تاجتنملا وأ/و تامدخلا ىوتسمل يندلأا دحلا
ةبقارملا ٢٩/٣
طاشن وأ ةيلمع وأ ماظن ةلاح ديدحت
ةمساحلا ةبقارملا وأ فارشلأا وأ ققحتلا رملأا بلطتي دق ةلاح ديدحتل : ةظوحلم
ةلدابتملا ةنوعملا قافتا ٣٠/٣
مھنم لكل ةدعاسملا ميدقتل رثكأ وأ نيتھج نيب قبسم مھفت
("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا :ردصملا)
ةقباطملا مدع ٣١/٣
("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا :ردصملا) (طرش) (تاطارتشا) تابلطتمب ءافولا مدع
فدھلا ٣٢/٣
اھقيقحت بولطملا ةجيتنلا
(تايلمعلاب ةقلاع وذ)ً ايليغشت و ًايكيتكت و ًايجيتارتسا فدھلا نوكي نأ نكمي : (١) ةظوحلم
يلع اھقيبطت نكميو (ةيئيب ،ةملاسو ةحص ،ةيلام فادھأ لثم) ةفلتخم ةمظنأب فادھلأا طبترت نأ نكمي : (٢) ةظوحلم
(تايلمعلا ،تاجتنملا ،تاعورشملا ،ةأشنملا قاطن يلع ةيجيتارتسلأا تاعورشملا لثم) تايوتسملا فلتخم
٥
ISO 2012 © ةظوفحم قوقحلا عيمج
---------------------- Page: 12 ----------------------
( ع) ٢٠١٢/٢٢٣٠١ وزيأ
نملأل فادھأك ، ىليغشت رايعم ، ضرغ ، ةوجرم ةجيتن " لثم ىرخأ قرطب فدھلا نع ريبعتلا نكمي : (٣) ةظوحلم
.(فدھتسم ، ضرغ ، ةياغ : لاثملا ليبس ىلع) ةھباشم يناعمب ىرخأ تاملك مادختسإب وأ ىعمتجملا
ىعمتجملا نملأاب قلعتي اميف اھفادھأ ددحت ىتلا ىھ ةأشنملا نإف ىعمتجملا نملأا ةرادإ تافصاوم قايس ىف : (٤) ةظوحلم
.ةنيعم جئاتن قيقحتل ىعمتجملا نملأا ةسايس عم ىشامتي امب
ةأشنملا ٣٣/٣
.اھفادھأ قيقحتل تاقلاعو تاطلسو تايلوئسمو ماھم مھل صاخشلأا نم ةعومجم وأ صخش
ةسسؤم ، ةكارش ، ةئيھ ، عورشم ، ةكرش ، ديحو رجات – ىلع رصتقي نأ نود – ةأشنملا موھفم لمتشي : (١) ةظوحلم
.صاخلا وأ ماعلا عاطقلا نم لا مأ ةدحتم ءاوس اھنم جيزم وأ ءزج وأ ةسسؤم وأ ةيريخ
.ةأشنمك ةدحاولا ليغشتلا ةدحو فيرعت نكمي ةنإف ةدحاو ليغشت ةدحو نم رثكأ مضت ىتلا تآشنملل ةبسنلاب : (٢) ةظوحلم
ةيجراخ رداصمب ةناعتسلإا ٣٤/٣
.ةأشنملا تايلمع وأ ماھم نم ءزجب مايقلاب ةيجراخ ةأشنم هللاخ نم موقت بيترت لمع
اھللاخ نم مت ىتلا ةيلمعلا وأ ةفيظولا نأ نم مغرلا ىلع ةرادلإا ماظن لاجم جراخ ةيجراخلا ةأشنملا نوكت : ةظوحلم
.لاجملا لخاد عقت ةيجراخ رداصمب ةناعتسلإا
ءادلأا ٣٥/٣
اھسايق نكمي ةجيتن
.ةيعون وأ ةيمك جئاتنب امإ ءادلأا طبتري نأ نكمي : (١) ةظوحلم
.تآشنملا وأ مظنلا وأ (تامدخلا ةلماش) تاجتنملا وأ تايلمعلا وأ ةطشنلأا ةرادإب ءادلأا طبتري نأ نكمي : (٢) ةظوحلم
ءادلأا مييقت ٣٦/٣
.اھسايق نكمي جئاتن ديدحت ةيلمع
ةيرشبلا رداوكلا ٣٧/٣
.اھتدايق تحتو ةأشنملاب نولمعي نيذلا دارفلأا
.ةلاكولا ىفظوم ، تقولا نم ءزج نيلماعلا ، نيفظوملا – ىلع رصتقي نأ نود – ةيرشبلا رداوكلا موھفم نمضتي : ةظوحلم
ةسايس ٣٨/٣
. ايلعلا ةرادلإا لبق نم ىمسر لكشب اھنع ريبعتلا متي ىتلا ةأشنملا تاھجوتو اياون
ءارجإ ٣٩/٣
. ةيلمع وأ طاشنب مايقلل ةددحم ةقيرط
ةيلمع ٤٠/٣
.تاجرخم ىلإ تلاخدملا لوحت ىتلا ةلعافتملا وأ ةطبارتملا ةطشنلأا نم ةعومجم
© ISO 2012 - ةظوفحم قوقحلا عيمج ٦
---------------------- Page: 13 ----------------------
(ع) ٢٠١٢/٢٢٣٠١ وزيأ
تامدخو تاجتنم ٤١/٣
نيمأتلا ، ةعنصملا دونبلا " لاثملا ليبس ىلع ةينعملا فارطلأاو نيديفتسملاو اھنئابزل ةأشنملا اھمدقت ةديفم جئاتن
."عمتجملا ةياعر ،تارايسلا ىلع
ةيولولأا تاذ ةطشنلأا ٤٢/٣
.ةمجانلا راثلأا ليلقت فدھب ةثداح ثودح بقع ةيولولأا اھئاطعإ بجي ىتلا ةطشنلأا
، ةحلم ، ةيويح ، ةيرھوج ، ةساسح " ةعومجملا هذھ لخاد ةطشنلأا حرشل ةعئاشلا تاحلطصملا نمضتت : ةظوحلم
."ةيسيئر
("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا :ردصملا)
لجس ٤٣/٣
.اھب مايقلا مت ىتلا ةطشنلأا ليلد وأ اھقيقحت مت ىتلا جئاتنلاب نايب
دادرتسلإا ةطقن فدھ ٤٤/٣
.رارمتسإب ليغشتلا نم طاشنلا نيكمتل اھتداعتسإ بجي ىتلاو طاشنلا لبق نم اھب تامولعملا مادختسإ متي ةطقن
." تانايبلا دقفل ىصقلأا دحلا " هنأ ىلع ًاضيأ هيلإ راشي نأ نكمي : ةظوحلم
دادرتسلإا تقو فدھ ٤٥/٣
: اھللاخ نم متي ىتلا ةثداح ثودح بقع تقولا نم ةرتف
ةمدخلا وأ جتنملا ةداعتسإ -
طاشن فانئتسإ -
دراوملا ةداعتسإ -
قرغتسملا تقولا نم لقأ دادرتسلأا تقو فدھ نوكي نأ ىغبني ةنإف ةطشنلأاو تامدخلاو تاجتنملل ةبسنلاب : ةظوحلم
.لوبقم ريغ طاشنب مايقلا وأ ةمدخ / جتنم ميدقت مدعل ةجيتنك أشنتس ىتلا ةيسكعلا راثلأل
بلطم ٤٦/٣
ىمازلإ وأ ماع هجوب ًاينمض موھفم وأ نلعم عقوت وأ ةجاح
ً ةجاحلا نأ ةينعملا فارطلأاو ةأشنملل ةتسرامم عئاشلا وأ داتعملا نم هنأ ماع هجوب اينمض موھفملاب دصقي : (١) ةظوحلم
ً اينمض ةموھفم ثحبلا ديق عقوتلا وأ
."ةقثوملا تامولعملا ىف" لاثملا ليبس ىلع – هيلع صوصنملا بلطملا وھ ددحملا بلطملا نإ : (٢) ةظوحلم
دراوملا ٤٧/٣
، ىنابملا ، تادعملا ، عنصملا ةلماش ) ايجولونكتلا ، تامولعملا ، تاراھملا ، دارفلأا ، تاكلتمملا عيمج
ضارغلأ – ةجاحلا دنع اھمادختسلإ ةأشنملل اھرفاوت ىغنبي ىتلا " لا مأ ةينورتكلإ ءاوس" تامولعملاو تادادملإا
.فدھلا قيقحتو ليغشتلا
٧
ISO 2012 © ةظوفحم قوقحلا عيمج
---------------------- Page: 14 ----------------------
( ع) ٢٠١٢/٢٢٣٠١ وزيأ
رطخلا ٤٨/٣
.فادھلأا ىلع نيقيلالا ريثأت
.ىبلس وأ ىباجيإ – عقوتم وھ امع فارحنإ وھ ريثأتلا : (١) ةظوحلم
ىلع اھقيبطت نكميو ، ةيئيب ، ةملاسو ةحص ، ةيلام فادھأ لثم) ةفلتخم بناوج فادھلأل نوكي نأ نكمي : (٢) ةظوحلم
ىرخأ قرطب فدھلا نع ريبعتلا نكمي ( تايلمعلا ، تاجتنملا ، ةأشنملل ةيجيتارتسلإا تاعورشملا لثم) تايوتسملا فلتخم
ىنعلا سفنب ىرخأ تاملك مادختسإ للاخ نم وأ لامعلأا رارمتسلإ فدھ ، ىليغشت رايعم ، ضرغ ، ةوجرم ةجيتنك" لثم
."فدھ وأ ضرغو ةياغ : لاثملا ليبس ىلع"
.٥ .٣ ةرقفلا (٧٣) مقر ىداشرإ "ليلد" ةلمتحملا ثادحلأا ىلإ ةراشلإا للاخ نم رطخلا فصوي ام ًابلاغ : (٣) ةظوحلم
.امھنيب جيزم وأ ٣.٦.١.٣ ةرقفلا (٧٣) مقر ىداشرإ "ليلد" جئاتنلاو ٣ .١
ً ةيلامتحلإاو (فورظلا ىف تاريغتلا ةلماش) ثدحلا جئاتن عمج للاخ نم رطخلا نع ريبعتلا متي ام ابلاغ : (٤) ةظوحلم
.روھظلل ٣.٦.١.١ ةرقفلا (٧٣) مقر ىداشرإ "ليلد" ةبحاصملا
وأ ةجئاتنو ثدحب ةفرعملا وأ مھفب ةقلعتملا تامولعملا صقن نم – ةيئزج ولو ىتح – ةلاح وھ نيقيلالا : (٥) ةظوحلم
.ةثودح ةيلامتحإ
ةيرارمتسإب قلعتي اميف اھفادھأ ددحت ىتلا ىھ ةأشنملا نأف لامعلأا رارمتسإ ةرادإ مظن تافصاوم قايس ىف : (٦) ةظوحلم
ىتلا ةأشنملا فادھأب كلذ طبتري نأ ىغبنيف رطاخملا ةرادإ تانوكمو رطخ حلطصم قيبطت دنع .ةنيعم جئاتن قيقحتل لامعلأا
.٦.٢ دنبلا ىف ةددحم ىھ امك لامعلأا ةيرارمتسإ فادھأ – ىلع رصتقت نأ نود – نمضتت
.( (٧٣) مقر ةينقتورھكلا ةيلودلا ةنجللاو وزيلأا ةمظنم نم لك نع رداصلا ىداشرلأا ليلدلا ردصملا)
ةرطاخملا ىف ةبغرلا ٤٩/٣
.هظفح وأ هبقعتل دادعتسإ ىلع ةأشنملا نوكت ىذلا رطخلا عونو رادقم
رطاخملا مييقت ٥٠/٣
.رطاخملا مييقتو ليلحتو ةلماشلا ةيلمعلا
.( (٧٣) مقر وزيلأا ةمظنم نم رداصلا ىداشرلأا ليلدلا : ردصملا )
رطاخملا ةرادإ ٥١/٣
. رطاخملاب قلعتي اميف ةأشنملا طبضو هيجوتل ةقسنملا ةطشنلأا
.((٧٣) مقر وزيلأا ةمظنم نم رداصلا ىداشرلأا ليلدلا : ردصملا )
رابتخلإا ٥٢/٣
.ام ئش ةقد وأ ةدوج وأ دوجو ديدحتل ةليسوو مييقتلل ءارجإ
.رابتخإ هنإ ىلع رابتخلإا ىلإ راشي دق : (١) ةظوحلم
.ةمعادلا ططخلا ىلع رابتخلإا قطني ام ًابلاغ : (٢) ةظوحلم
.("٢٢٣٠٠ وزيأ" ةيلودلا ةيسايقلا ةفصاوملا : ردصملا )
© ISO 2012 - ةظوفحم قوقحلا عيمج ٨
---------------------- Page: 15 ----------------------
(ع) ٢٠١٢/٢٢٣٠١ وزيأ
...
INTERNATIONAL ISO
STANDARD 22301
First edition
2012-05-15
Corrected version
2012-06-15
Societal security — Business continuity
management systems — Requirements
Sécurité sociétale — Gestion de la continuité des affaires — Exigences
Reference number
ISO 22301:2012(E)
©
ISO 2012
---------------------- Page: 1 ----------------------
ISO 22301:2012(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2012
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or ISO’s
member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2012 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 22301:2012(E)
Contents Page
Foreword .iv
0 Introduction . v
0.1 General . v
0.2 The Plan-Do-Check-Act (PDCA) model. v
0.3 Components of PDCA in this International Standard . vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization . 8
4.1 Understanding of the organization and its context. 8
4.2 Understanding the needs and expectations of interested parties . 9
4.3 Determining the scope of the business continuity management system . 9
4.4 Business continuity management system .10
5 Leadership .10
5.1 Leadership and commitment .10
5.2 Management commitment .10
5.3 Policy . 11
5.4 Organizational roles, responsibilities and authorities . 11
6 Planning .12
6.1 Actions to address risks and opportunities .12
6.2 Business continuity objectives and plans to achieve them .12
7 Support .12
7.1 Resources .12
7.2 Competence .13
7.3 Awareness .13
7.4 Communication .13
7.5 Documented information .14
8 Operation .15
8.1 Operational planning and control .15
8.2 Business impact analysis and risk assessment .15
8.3 Business continuity strategy .16
8.4 Establish and implement business continuity procedures .17
8.5 Exercising and testing .19
9 Performance evaluation .19
9.1 Monitoring, measurement, analysis and evaluation .19
9.2 Internal audit .20
9.3 Management review .21
10 Improvement .22
10.1 Nonconformity and corrective action .22
10.2 Continual improvement .23
Bibliography .24
© ISO 2012 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 22301:2012(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International
Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 22301 was prepared by Technical Committee ISO/TC 223, Societal security.
This corrected version of ISO 22301:2012 incorporates the following corrections:
— first list in 6.1 changed from a numbered to an unnumbered list;
— commas added at the end of list items in 7.5.3 and 8.3.2;
— bibliography items [19] and [20] separated, which were merged in the original;
— font size adjusted in several places.
iv © ISO 2012 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 22301:2012(E)
0 Introduction
0.1 General
This International Standard specifies requirements for setting up and managing an effective Business Continuity
Management System (BCMS).
A BCMS emphasizes the importance of
— understanding the organization’s needs and the necessity for establishing business continuity management
policy and objectives,
— implementing and operating controls and measures for managing an organization’s overall capability to
manage disruptive incidents,
— monitoring and reviewing the performance and effectiveness of the BCMS, and
— continual improvement based on objective measurement.
A BCMS, like any other management system, has the following key components:
a) a policy;
b) people with defined responsibilities;
c) management processes relating to
1) policy,
2) planning,
3) implementation and operation,
4) performance assessment,
5) management review, and
6) improvement;
d) documentation providing auditable evidence; and
e) any business continuity management processes relevant to the organization.
Business continuity contributes to a more resilient society. The wider community and the impact of the
organization’s environment on the organization and therefore other organizations may need to be involved in
the recovery process.
0.2 The Plan-Do-Check-Act (PDCA) model
This International Standard applies the “Plan-Do-Check-Act” (PDCA) model to planning, establishing,
implementing, operating, monitoring, reviewing, maintaining and continually improving the effectiveness of an
organization’s BCMS.
This ensures a degree of consistency with other management systems standards, such as ISO 9001 Quality
management systems, ISO 14001, Environmental management systems, ISO/IEC 27001, Information security
management systems, ISO/IEC 20000-1, Information technology — Service management, and ISO 28000,
Specification for security management systems for the supply chain, thereby supporting consistent and
integrated implementation and operation with related management systems.
Figure 1 illustrates how a BCMS takes as inputs interested parties, requirements for continuity management
and, through the necessary actions and processes, produces continuity outcomes (i.e. managed business
continuity) that meet those requirements.
© ISO 2012 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO 22301:2012(E)
Continual improvement of business continuity
management system (BCMS)
Establish
(Plan)
Interested
Interested
parties
parties
Maintain and Implement
improve and operate
(Act) (Do)
Requirements
Managed
for business
business
continuity
Monitor and
continuity
review
(Check)
Figure 1 — PDCA model applied to BCMS processes
Table 1 — Explanation of PDCA model
Plan Establish business continuity policy, objectives, targets, controls, processes and
(Establish) procedures relevant to improving business continuity in order to deliver results that align
with the organization’s overall policies and objectives.
Do Implement and operate the business continuity policy, controls, processes and
(Implement and operate) procedures.
Check Monitor and review performance against business continuity policy and objectives,
(Monitor and review) report the results to management for review, and determine and authorize actions for
remediation and improvement.
Act Maintain and improve the BCMS by taking corrective action, based on the results of
(Maintain and improve) management review and reappraising the scope of the BCMS and business continuity
policy and objectives.
0.3 Components of PDCA in this International Standard
In the Plan-Do-Check-Act model as shown in Table 1, Clause 4 through Clause 10 in this International Standard
cover the following components.
— Clause 4 is a component of Plan. It introduces requirements necessary to establish the context of the
BCMS as it applies to the organization, as well as needs, requirements, and scope.
— Clause 5 is a component of Plan. It summarizes the requirements specific to top management’s role in the
BCMS, and how leadership articulates its expectations to the organization via a policy statement.
— Clause 6 is a component of Plan. It describes requirements as it relates to establishing strategic objectives
and guiding principles for the BCMS as a whole. The content of Clause 6 differs from establishing risk
treatment opportunities stemming from risk assessment, as well as business impact analysis (BIA) derived
recovery objectives.
vi © ISO 2012 – All rights reserved
---------------------- Page: 6 ----------------------
ISO 22301:2012(E)
NOTE The business impact analysis and risk assessment process requirements are detailed in Clause 8.
— Clause 7 is a component of Plan. It supports BCMS operations as they relate to establishing competence
and communication on a recurring/as-needed basis with interested parties, while documenting, controlling,
maintaining and retaining required documentation.
— Clause 8 is a component of Do. It defines business continuity requirements, determines how to address
them and develops the procedures to manage a disruptive incident.
— Clause 9 is a component of Check. It summarizes requirements necessary to measure business continuity
management performance, BCMS compliance with this International Standard and management’s
expectations, and seeks feedback from management regarding expectations.
— Clause 10 is a component of Act. It identifies and acts on BCMS non-conformance through corrective action.
© ISO 2012 – All rights reserved vii
---------------------- Page: 7 ----------------------
INTERNATIONAL STANDARD ISO 22301:2012(E)
Societal security — Business continuity management
systems — Requirements
1 Scope
This International Standard for business continuity management specifies requirements to plan, establish,
implement, operate, monitor, review, maintain and continually improve a documented management system
to protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive
incidents when they arise.
The requirements specified in this International Standard are generic and intended to be applicable to all
organizations, or parts thereof, regardless of type, size and nature of the organization. The extent of application
of these requirements depends on the organization’s operating environment and complexity.
It is not the intent of this International Standard to imply uniformity in the structure of a Business Continuity
Management System (BCMS), but for an organization to design a BCMS that is appropriate to its needs and
that meets its interested parties’ requirements. These needs are shaped by legal, regulatory, organizational
and industry requirements, the products and services, the processes employed, the size and structure of the
organization, and the requirements of its interested parties.
This International Standard is applicable to all types and sizes of organizations that wish to
a) establish, implement, maintain and improve a BCMS,
b) ensure conformity with stated business continuity policy,
c) demonstrate conformity to others,
d) seek certification/registration of its BCMS by an accredited third party certification body, or
e) make a self-determination and self-declaration of conformity with this International Standard.
This International Standard can be used to assess an organization’s ability to meet its own continuity needs
and obligations.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are indispensable
for its application. For dated references, only the edition cited applies. For undated references, the latest edition
of the referenced document (including any amendments) applies.
There are no normative references.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
activity
process or set of processes undertaken by an organization (or on its behalf) that produces or supports one or
more products and services
EXAMPLE Such processes include accounts, call centre, IT, manufacture, distribution.
© ISO 2012 – All rights reserved 1
---------------------- Page: 8 ----------------------
ISO 22301:2012(E)
3.2
audit
systematic, independent and documented process for obtaining audit evidence and evaluating it objectively to
determine the extent to which the audit criteria are fulfilled
NOTE 1 An audit can be an internal audit (first party) or an external audit (second party or third party), and it can be a
combined audit (combining two or more disciplines).
NOTE 2 “Audit evidence” and “audit criteria” are defined in ISO 19011.
3.3
business continuity
capability of the organization to continue delivery of products or services at acceptable predefined levels
following disruptive incident
[SOURCE: ISO 22300]
3.4
business continuity management
holistic management process that identifies potential threats to an organization and the impacts to business
operations those threats, if realized, might cause, and which provides a framework for building organizational
resilience with the capability of an effective response that safeguards the interests of its key stakeholders,
reputation, brand and value-creating activities
3.5
business continuity management system
BCMS
part of the overall management system that establishes, implements, operates, monitors, reviews, maintains
and improves business continuity
NOTE The management system includes organizational structure, policies, planning activities, responsibilities,
procedures, processes and resources.
3.6
business continuity plan
documented procedures that guide organizations to respond, recover, resume, and restore to a pre-defined
level of operation following disruption
NOTE Typically this covers resources, services and activities required to ensure the continuity of critical business functions.
3.7
business continuity programme
ongoing management and governance process supported by top management and appropriately resourced to
implement and maintain business continuity management
3.8
business impact analysis
process of analyzing actitivites and the effect that a business disruption might have upon them
[SOURCE: ISO 22300]
3.9
competence
ability to apply knowledge and skills to achieve intended results
3.10
conformity
fulfilment of a requirement
[SOURCE: ISO 22300]
2 © ISO 2012 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 22301:2012(E)
3.11
continual improvement
recurring activity to enhance performance
[SOURCE: ISO 22300]
3.12
correction
action to eliminate a detected nonconformity
[SOURCE: ISO 22300]
3.13
corrective action
action to eliminate the cause of a nonconformity and to prevent recurrence
NOTE In the case of other undesirable outcomes, action is necessary to minimize or eliminate causes and to reduce
impact or prevent recurrence. Such actions fall outside the concept of “corrective action” in the sense of this definition.
[SOURCE: ISO 22300]
3.14
document
information and its supporting medium
NOTE 1 The medium can be paper, magnetic, electronic or optical computer disc, photograph or master sample, or a
combination thereof.
NOTE 2 A set of documents, for example specifications and records, is frequently called “documentation”.
3.15
documented information
information required to be controlled and maintained by an organization and the medium on which it is contained
NOTE 1 Documented information can be in any format and on any media from any source.
NOTE 2 Documented information can refer to
— the management system, including related processes;
— information created in order for the organization to operate (documentation);
— evidence of results achieved (records).
3.16
effectiveness
extent to which planned activities are realized and planned results achieved
[SOURCE: ISO 22300]
3.17
event
occurrence or change of a particular set of circumstances
NOTE 1 An event can be one or more occurrences, and can have several causes.
NOTE 2 An event can consist of something not happening.
NOTE 3 An event can sometimes be referred to as an “incident” or “accident”.
NOTE 4 An event without consequences may also be referred to as a “near miss”, “incident”, “near hit”, “close call”.
[SOURCE: ISO/IEC Guide 73]
© ISO 2012 – All rights reserved 3
---------------------- Page: 10 ----------------------
ISO 22301:2012(E)
3.18
exercise
process to train for, assess, practice, and improve performance in an organization
NOTE 1 Exercises can be used for: validating policies, plans, procedures, training, equipment, and inter-organizational
agreements; clarifying and training personnel in roles and responsibilities; improving inter-organizational coordination
and communications; identifying gaps in resources; improving individual performance; and identifying opportunities for
improvement, and controlled opportunity to practice improvisation.
NOTE 2 A test is a unique and particular type of exercise, which incorporates an expectation of a pass or fail element
within the goal or objectives of the exercise being planned.
[SOURCE: ISO 22300]
3.19
incident
situation that might be, or could lead to, a disruption, loss, emergency or crisis
[SOURCE: ISO 22300]
3.20
infrastructure
system of facilities, equipment and services needed for the operation of an organization
3.21
interested party
stakeholder
person or organization that can affect, be affected by, or perceive themselves to be affected by a decision or activity
NOTE This can be an individual or group that has an interest in any decision or activity of an organization.
3.22
internal audit
audit conducted by, or on behalf of, the organization itself for management review and other internal purposes,
and which might form the basis for an organization’s self-declaration of conformity
NOTE In many cases, particularly in smaller organizations, independence can be demonstrated by the freedom from
responsibility for the activity being audited.
3.23
invocation
act of declaring that an organization’s business continuity arrangements need to be put into effect in order to
continue delivery of key products or services
3.24
management system
set of interrelated or interacting elements of an organization to establish policies and objectives, and processes
to achieve those objectives
NOTE 1 A management system can address a single discipline or several disciplines.
NOTE 2 The system elements include the organization’s structure, roles and responsibilities, planning, operation, etc.
NOTE 3 The scope of a management system can include the whole of the organization, specific and identified
functions of the organization, specific and identified sections of the organization, or one or more functions across a group
of organizations.
4 © ISO 2012 – All rights reserved
---------------------- Page: 11 ----------------------
ISO 22301:2012(E)
3.25
maximum acceptable outage
MAO
time it would take for adverse impacts, which might arise as a result of not providing a product/service or
performing an activity, to become unacceptable
NOTE See also maximum tolerable period of disruption.
3.26
maximum tolerable period of disruption
MTPD
time it would take for adverse impacts, which might arise as a result of not providing a product/service or
performing an activity, to become unacceptable
NOTE See also maximum acceptable outage.
3.27
measurement
process to determine a value
3.28
minimum business continuity objective
MBCO
minimum level of services and/or products that is acceptable to the organization to achieve its business
objectives during a disruption
3.29
monitoring
determining the status of a system, a process or an activity
NOTE To determine the status there may be a need to check, supervise or critically observe.
3.30
mutual aid agreement
pre-arranged understanding between two or more entities to render assistance to each other
[SOURCE: ISO 22300]
3.31
nonconformity
non-fulfilment of a requirement
[SOURCE: ISO 22300]
3.32
objective
result to be achieved
NOTE 1 An objective can be strategic, tactical or operational.
NOTE 2 Objectives can relate to different disciplines (such as financial, health and safety, and environmental goals)
and can apply at different levels [such as strategic, organization-wide, project, product and process).
NOTE 3 An objective can be expressed in other ways, e.g. as an intended outcome, a purpose, an operational criterion,
as a societal security objective or by the use of other words with similar meaning (e.g. aim, goal, or target).
NOTE 4 In the context of societal security management systems standards, societal security objectives are set by the
organization, consistent with the societal security policy, to achieve specific results.
© ISO 2012 – All rights reserved 5
---------------------- Page: 12 ----------------------
ISO 22301:2012(E)
3.33
organization
person or group of people that has its own functions with responsibilities, authorities and relationships to
achieve its objectives
NOTE 1 The concept of organization includes, but is not limited to, sole-trader, company, corporation, firm, enterprise,
authority, partnership, charity or institution, or part or combination thereof, whether incorporated or not, public or private.
NOTE 2 For organizations with more than one operating unit, a single operating unit can be defined as an organization.
3.34
outsource (verb)
make an arrangement where an external organization performs part of an organization’s function or process
NOTE An external organization is outside the scope of the management system, although the outsourced function or
process is within the scope.
3.35
performance
measurable result
NOTE 1 Performance can relate either to quantitative or qualitative findings.
NOTE 2 Performance can relate to the management of activities, processes, products (including services), systems or
organizations.
3.36
performance evaluation
process of determining measurable results
3.37
personnel
people working for and under the control of the organization
NOTE The concept of personnel includes, but is not limited to employees, part-time staff, and agency staff.
3.38
policy
intentions and direction of an organization as formally expressed by its top management
3.39
procedure
specified way to carry out an activity or a process
3.40
process
set of interrelated or interacting activities which transforms inputs into outputs
3.41
products and services
beneficial outcomes provided by an organization to its customers, recipients and interested parties, e.g.
manufactured items, car insurance and community nursing
3.42
prioritized activities
activities to which priority must be given following an incident in order to mitigate impacts
NOTE Terms in common use to describe activities within this group include: critical, essential, vital, urgent and key.
[SOURCE: ISO 22300]
6 © ISO 2012 – All rights reserved
---------------------- Page: 13 ----------------------
ISO 22301:2012(E)
3.43
record
statement of results achieved or evidence of activities performed
3.44
recovery point objective
RPO
point to which information used by an activity must be restored to enable the activity to operate on resumption
NOTE Can also be referred to as “maximum data loss”.
3.45
recovery time objective
RTO
period of time following an incident within which
— product or service must be resumed, or
— activity must be resumed, or
— resources must be recovered
NOTE For products, services and activities, the recovery time objective must be less than the time it would take for
the adverse impacts that would arise as a result of not providing a product/service or performing an activity to become
unacceptable.
3.46
requirement
need or expectation that is stated, generally implied or obligatory
NOTE 1 “Generally implied” means that it is a customary or common practice for the organization and interested
parties that the need or expectation under consideration is implied.
NOTE 2 A specified requirement is one that is stated, for example in documented information.
3.47
resources
all assets, people, skills, information, technology (including plant and equipment), premises, and supplies and
information (whether electronic or not) that an organization has to have available to use, when needed, in order
to operate and meet its objective
3.48
risk
effect of uncertainty on objectives
NOTE 1 An effect is a deviation from the expected — positive or negative.
NOTE 2 Objectives can have different aspects (such as financial, health and safety, and environmental goals) and
ca
...
NORME ISO
INTERNATIONALE 22301
Première édition
2012-05-15
Sécurité sociétale — Systèmes de
management de la continuité d'activité —
Exigences
Societal security — Business continuity management systems —
Requirements
Numéro de référence
ISO 22301:2012(F)
©
ISO 2012
---------------------- Page: 1 ----------------------
ISO 22301:2012(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2012
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2012 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 22301:2012(F)
Sommaire Page
Avant-propos . iv
0 Introduction . v
0.1 Généralités . v
0.2 Le modèle Planifier-Déployer-Contrôler-Agir (Plan-Do-Check-Act, PDCA) . vi
0.3 Éléments du modèle PDCA dans la présente Norme internationale . vii
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 2
4 Contexte de l'organisation . 9
4.1 Compréhension de l'organisation et de son contexte . 9
4.2 Compréhension des besoins et attentes des parties intéressées . 10
4.3 Détermination du domaine d’application du système de management de la continuité
d'activité . 10
4.4 Système de management de la continuité d'activité . 11
5 Leadership . 11
5.1 Leadership et engagement . 11
5.2 Engagement de la direction . 12
5.3 Politique . 13
5.4 Rôles, responsabilités et autorités au sein de l’organisation . 13
6 Planification . 13
6.1 Actions face aux risques et opportunités . 13
6.2 Objectifs de continuité d'activité et plans pour les atteindre . 14
7 Support . 14
7.1 Ressources . 14
7.2 Compétences . 15
7.3 Sensibilisation . 15
7.4 Communication . 15
7.5 Informations documentées. 16
8 Fonctionnement . 17
8.1 Planification opérationnelle et maîtrise . 17
8.2 Analyse des impacts sur l'activité et appréciation du risque . 18
8.3 Stratégie de continuité d'activité . 19
8.4 Établissement et mise en œuvre de procédures de continuité d'activité . 20
8.5 Exercices et tests . 23
9 Évaluation des performances . 23
9.1 Supervision, mesurage, analyse et évaluation . 23
9.2 Audit interne . 24
9.3 Revue de direction . 25
10 Amélioration . 27
10.1 Non-conformité et actions correctives . 27
10.2 Amélioration continue . 28
Bibliographie . 29
© ISO 2012 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 22301:2012(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 22301 a été élaborée par le comité technique ISO/TC 223, Sécurité sociétale.
La présente version française de l'ISO 22301 correspond à la version anglaise publiée le 2012-05-15 et
corrigée le 2012-06-15.
iv © ISO 2012 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 22301:2012(F)
0 Introduction
0.1 Généralités
La présente Norme internationale spécifie les exigences relatives à l'établissement et au management d'un
Système de Management de la Continuité d'Activité (SMCA) efficace.
Un SMCA souligne l'importance :
— d'une compréhension des besoins de l'organisation et de la nécessité de mettre en place une politique et
des objectifs en matière de management de la continuité d'activité ;
— de la mise en œuvre et de l'exploitation de contrôles et de mesures de gestion de la capacité globale
d'une organisation à gérer des incidents perturbateurs ;
— d'une surveillance et d'une revue des performances et de l'efficacité du SMCA ; et
— d'une amélioration continue sur la base de mesures objectives.
Comme tout autre système de management, un SMCA intègre les éléments clés suivants :
a) une politique ;
b) des personnes ayant des responsabilités définies ;
c) des processus de management se rapportant à :
1) la politique ;
2) la planification ;
3) la mise en œuvre et le fonctionnement ;
4) l'évaluation des performances ;
5) la revue de direction ; et
6) l'amélioration ;
d) une documentation fournissant des preuves tangibles ; et
e) tous les processus de management de la continuité d'activité pertinents pour l'organisation.
La continuité d'activité contribue à rendre la société plus résiliente. Il est possible qu’il faille impliquer dans le
processus de reprise la communauté dans son ensemble, ainsi que l'impact de l'environnement de
l'organisation et donc l’impact des autres organisations sur l’organisation elle-même.
© ISO 2012 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO 22301:2012(F)
0.2 Le modèle Planifier-Déployer-Contrôler-Agir (Plan-Do-Check-Act, PDCA)
La présente Norme internationale applique le modèle PDCA à la planification, l'établissement, la mise en
œuvre, le fonctionnement, la surveillance, la revue, le maintien et l'amélioration continue de l'efficacité du
SMCA d'une organisation.
Ceci assure un degré de cohérence avec d'autres normes de système de management, telles que l'ISO 9001,
Systèmes de management de la qualité, l'ISO 14001, Systèmes de management environnemental,
l'ISO/CEI 27001, Systèmes de management de la sécurité de l'information, l'ISO/CEI 20000-1, Technologies
de l'information — Gestion des services et l'ISO 28000, Spécifications relatives aux systèmes de
management de la sûreté de la chaîne d'approvisionnement, permettant ainsi une mise en œuvre et un
fonctionnement cohérents et intégrés avec les systèmes de management associés.
La Figure 1 illustre comment un SMCA prend pour entrées les parties intéressées, les exigences de
management de la continuité et comment, via les actions et les processus nécessaires, il produit des sorties
en matière de continuité (c'est-à-dire une continuité de l'activité gérée) qui satisfont à ces exigences.
Figure 1 — Modèle PDCA appliqué aux processus d'un SMCA
vi © ISO 2012 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO 22301:2012(F)
Tableau 1 — Explication du modèle PDCA
Planifier Établir une politique, des objectifs, des cibles, des contrôles, des processus et des
procédures de continuité d'activité pertinents pour améliorer la continuité d'activité afin
(Établir)
d’obtenir des résultats alignés avec les politiques et les objectifs globaux de l'organisation.
Déployer Mettre en œuvre et rendre opérationnels la politique, les contrôles, les processus et les
procédures de continuité d'activité.
(Mettre en place et en
œuvre)
Contrôler Superviser et revoir les performances par rapport à la politique et aux objectifs de
continuité d'activité, rendre compte des résultats à la direction pour revue et déterminer et
(Superviser et réviser)
autoriser des actions correctives et d'amélioration.
Agir Maintenir et améliorer le SMCA en entreprenant des actions correctives, sur la base des
résultats de la revue de direction, et en reconsidérant le périmètre du SMCA ainsi que la
(Maintenir et améliorer)
politique et les objectifs de continuité d'activité.
0.3 Éléments du modèle PDCA dans la présente Norme internationale
Dans le modèle PDCA présenté dans le Tableau 1, les Articles 4 à 10 de la présente Norme internationale
traitent des éléments suivants :
— l'Article 4 est une partie du thème « Planifier ». Il introduit les exigences nécessaires pour établir le
contexte du SMCA tel qu'il s'applique à l'organisation, ainsi que les besoins, les exigences et le
périmètre.
— l'Article 5 est une partie du thème « Planifier ». Il résume les exigences spécifiques au rôle joué par la
Direction dans le SMCA, et la manière dont la Direction communique ses attentes à l'organisation par le
biais d'une déclaration de politique.
— l'Article 6 est une partie du thème « Planifier ». Il décrit les exigences relatives à l'établissement des
objectifs stratégiques et des principes directeurs du SMCA dans son ensemble. Le contenu de l'Article 6
ne consiste pas à mettre en place les solutions de traitement des risques découlant de l'appréciation des
risques, ni à établir les objectifs de reprise issus de l'analyse d’impact sur l'activité.
NOTE Les exigences relatives à l'analyse d’impact sur l'activité et au processus d'appréciation du risque sont
spécifiées de manière détaillée à l'Article 8.
— l'Article 7 est une partie du thème « Planifier ». Il vient à l'appui des opérations du SMCA relatives à la
détermination des compétences et à l'établissement de communications avec les parties intéressées, sur
une base récurrente/au besoin, tout en documentant, contrôlant, tenant à jour et conservant la
documentation requise.
— l'Article 8 est une partie du thème « Faire ». Il définit les exigences relatives à la continuité d'activité,
détermine la manière de les traiter et développe les procédures afin de gérer un incident perturbateur.
— l'Article 9 est une partie du thème « Contrôler ». Il résume les exigences nécessaires pour mesurer la
performance du management de la continuité d'activité, la conformité du SMCA à la présente Norme
internationale et aux attentes de la Direction, et recherche les retours d'information de la direction
concernant les attentes.
— l'Article 10 est une partie du thème « Agir ». Il identifie et intervient sur une non-conformité du SMCA par
le biais d'une action corrective.
© ISO 2012 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
NORME INTERNATIONALE ISO 22301:2012(F)
Sécurité sociétale — Systèmes de management de la continuité
d'activité — Exigences
1 Domaine d’application
La présente Norme internationale relative à la gestion de la continuité d'activité spécifie les exigences pour
planifier, établir, mettre en place et en œuvre, contrôler, réviser, maintenir et améliorer de manière continue
un système de management documenté afin de se protéger des incidents perturbateurs, réduire leur
probabilité de survenance, s'y préparer, y répondre et de s’en rétablir lorsqu'ils surviennent.
Les exigences spécifiées dans la présente Norme internationale sont génériques et prévues pour être
applicables à toutes les organisations, ou parties de celles-ci, indépendamment du type, de la taille et de la
nature de l'organisation. Le champ d'application de ces exigences dépend de l'environnement et de la
complexité de fonctionnement de l'organisation.
La présente Norme internationale ne vise pas à uniformiser la structure d'un système de management de la
continuité d'activité (SMCA), mais à permettre à une organisation de concevoir un SMCA qui soit adapté à
ses besoins et qui satisfasse aux exigences des parties intéressées. Ces besoins sont façonnés par les
exigences juridiques, réglementaires, organisationnelles et industrielles, les produits et les services, les
processus employés, la taille et la structure de l'organisation et les exigences des parties intéressées.
La présente Norme internationale est applicable à tous les types et toutes les tailles d'organisations
souhaitant :
a) établir, mettre en œuvre, maintenir et améliorer un SMCA ;
b) assurer la conformité à la politique de continuité d'activité établie ;
c) démontrer cette conformité à des tiers ;
d) faire certifier/enregistrer son SMCA par un organisme de certification tiers et accrédité ; ou
e) réaliser une autoévaluation et une auto-déclaration de conformité à la présente Norme internationale.
La présente Norme internationale peut être utilisée pour évaluer la capacité d'une organisation à satisfaire ses
propres besoins et obligations en matière de continuité.
2 Références normatives
Les documents ci-après, dans leur intégralité ou non, sont des références normatives indispensables à
l'application du présent document. Pour les références datées, seule l'édition citée s'applique. Pour les
références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
Il n'y a aucune référence normative.
© ISO 2012 – Tous droits réservés 1
---------------------- Page: 8 ----------------------
ISO 22301:2012(F)
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquent.
3.1
activité
processus ou ensemble de processus exécutés par une organisation (ou pour son compte) qui réalise ou aide
à réaliser un ou plusieurs produits et services
EXEMPLE De tels processus comprennent la comptabilité, les centres d'appel, les technologies de l'information (IT),
la fabrication, la distribution.
3.2
audit
processus systématique, indépendant et documenté permettant d'obtenir des preuves d'audit et de les
évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits
NOTE 1 Un audit peut être interne (de première partie) ou externe (de seconde ou tierce partie), et il peut être combiné
(s'il associe deux disciplines ou plus).
NOTE 2 Les termes « preuves d’audit » et « critères d'audit » sont définis dans l'ISO 19011.
3.3
continuité d'activité
capacité de l'organisation à poursuivre la fourniture de produits ou la prestation de services à des niveaux
acceptables et préalablement définis après un incident perturbateur
[SOURCE : ISO 22300]
3.4
gestion de la continuité d'activité
processus de management holistique qui identifie les menaces potentielles pour une organisation ainsi que
les impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à l'activité de
l'organisation, et qui fournit un cadre pour construire la résilience de l'organisation avec une capacité de
réponse efficace préservant les intérêts de ses principales parties prenantes, sa réputation, sa marque et ses
activités productrices de valeur
3.5
système de management de la continuité d'activité
SMCA
partie du système de management global qui établit, met en œuvre, opère, contrôle, révise, maintient et
améliore la continuité d'activité
NOTE Le système de management comprend la structure organisationnelle, les politiques, les planifications, les
responsabilités, les procédures, les processus et les ressources.
3.6
plan de continuité d'activité
procédures documentées servant de guide aux organisations pour répondre, rétablir, reprendre et retrouver
un niveau de fonctionnement prédéfini à la suite d'une perturbation
NOTE Ce plan couvre généralement les ressources, les services et les activités requis pour assurer la continuité des
fonctions critiques.
3.7
programme de continuité d'activité
processus continu de management et de gouvernance soutenu par la direction et doté de ressources
appropriées pour mettre en œuvre et maintenir le management de la continuité d'activité
2 © ISO 2012 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO 22301:2012(F)
3.8
analyse d’impact sur l'activité
processus d'analyse des activités et de l'effet qu'une perturbation de l'activité peut avoir sur elles
[SOURCE : ISO 22300]
3.9
compétence
aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats escomptés
3.10
conformité
satisfaction d’une exigence
[SOURCE : ISO 22300]
3.11
amélioration continue
activité récurrente visant à améliorer les performances
[SOURCE : ISO 22300]
3.12
correction
action visant à éliminer une non-conformité détectée
[SOURCE : ISO 22300]
3.13
action corrective
action visant à éliminer la cause d'une non-conformité et à éviter sa réapparition
NOTE Dans le cas d'autres résultats indésirables, il est nécessaire d'entreprendre une action visant à réduire au
minimum ou éliminer les causes et à réduire leur impact ou éviter leur réapparition. De telles actions ne relèvent pas du
concept « d'action corrective » au sens de la présente définition.
[SOURCE : ISO 22300]
3.14
document
support d'information et l'information qu'il contient
NOTE 1 Le support peut être du papier, un disque informatique magnétique, électronique ou optique, une
photographie ou une configuration de référence, ou une combinaison de ceux-ci.
NOTE 2 Un ensemble de documents, par exemple des spécifications et des enregistrements, est souvent appelé
« documentation ».
3.15
information documentée
information qui nécessite d'être contrôlée et tenue à jour par une organisation et support sur lequel elle est
contenue
NOTE 1 Les informations documentées peuvent se présenter dans tout format et sur tout support et provenir de toute
source.
© ISO 2012 – Tous droits réservés 3
---------------------- Page: 10 ----------------------
ISO 22301:2012(F)
NOTE 2 Les informations documentées peuvent se référer :
— au système de management, y compris les processus associés ;
— aux informations générées en vue du fonctionnement de l'organisation (documentation) ;
— aux preuves des résultats obtenus (enregistrements).
3.16
efficacité
niveau de réalisation des activités planifiées et d’obtention des résultats escomptés
[SOURCE : ISO 22300]
3.17
événement
occurrence ou changement d'un ensemble particulier de circonstances
NOTE 1 Un événement peut être unique ou se reproduire et peut avoir plusieurs causes.
NOTE 2 Un événement peut consister en quelque chose qui ne se produit pas.
NOTE 3 Un événement peut parfois être qualifié « d'incident » ou « d'accident ».
NOTE 4 Un événement sans conséquences peut également être appelé « quasi-accident » ou « incident » ou
« presque succès ».
[SOURCE : ISO/CEI Guide 73]
3.18
exercice
processus visant à se former, évaluer, mettre en pratique et améliorer les performances au sein d'une
organisation
NOTE 1 Des exercices peuvent être utilisés pour : valider des politiques, des plans, des procédures, une formation, un
équipement et des accords entre organisations ; clarifier et former le personnel à des rôles et des responsabilités ;
améliorer la coordination et les communications entre organisations ; identifier les lacunes en matière de ressources ;
améliorer les performances individuelles et identifier les opportunités d'amélioration et les opportunités contrôlées
d'improvisation.
NOTE 2 Un test est un type unique et particulier d'exercice qui intègre l'attente de la réussite ou de l'échec d’un
élément parmi les buts ou les objectifs de l'exercice planifié.
[SOURCE : ISO 22300]
3.19
incident
situation qui peut être, ou conduire à, une perturbation, une perte, une urgence ou une crise
[SOURCE : ISO 22300]
3.20
infrastructure
système d'installations, d'équipements et de services nécessaire au fonctionnement d'une organisation
4 © ISO 2012 – Tous droits réservés
---------------------- Page: 11 ----------------------
ISO 22301:2012(F)
3.21
partie intéressée
partie prenante
personne ou organisation qui peut avoir une incidence sur, être affectée ou se sentir affectée par une décision
ou une activité
NOTE Il peut s'agir d'un individu ou d'un groupe ayant un intérêt dans les décisions ou activités d'une organisation.
3.22
audit interne
audit réalisé par, ou pour le compte de, l’organisation elle-même pour la revue de direction et d’autres besoins
internes et qui peut servir de base à l’autodéclaration de conformité de l’organisation
NOTE Dans de nombreux cas et en particulier pour les petites organisations, l’indépendance peut être démontrée
par l’absence de responsabilité vis-à-vis de l’activité à auditer.
3.23
déclenchement
acte consistant à déclarer que les dispositions en matière de continuité d'activité d'une organisation doivent
être mises en œuvre afin de poursuivre la livraison de produits clés ou la prestation de services clés
3.24
système de management
ensemble d'éléments corrélés ou interactifs d'une organisation, utilisés pour établir des politiques et des
objectifs, et de processus pour atteindre ces objectifs
NOTE 1 Un système de management peut concerner une seule ou plusieurs disciplines.
NOTE 2 Les éléments du système comprennent la structure organisationnelle, les rôles et responsabilités, la
planification, le fonctionnement, etc.
NOTE 3 Le périmètre d'un système de management peut comprendre l'ensemble de l'organisation, des fonctions
spécifiques et identifiées de l'organisation, des sections spécifiques et identifiées de l'organisation, ou une ou plusieurs
fonctions dans un groupe d'organisations.
3.25
durée maximale d’interruption acceptable
DMIA [en anglais: MAO (maximum acceptable outage)]
temps nécessaire pour que les impacts défavorables pouvant résulter de la non fourniture d'un produit/service
ou de la non réalisation d'une activité, deviennent inacceptables
NOTE Voir aussi « durée maximale tolérable de perturbation ».
3.26
durée maximale tolérable de perturbation
DMTP [en anglais: MTPD (maximum tolerable period of disruption)]
temps nécessaire pour que les impacts défavorables pouvant résulter de la non fourniture d'un produit/service
ou de la non réalisation d'une activité, deviennent inacceptables
NOTE Voir aussi « durée maximale d’interruption acceptable ».
3.27
mesurage
processus visant à déterminer une valeur
3.28
objectif minimal de continuité d'activité
OMCA [en anglais: MBCO (minimum business continuity objective)]
niveau minimal de services et/ou de produits acceptable par l'organisation pour atteindre ses objectifs métier
pendant une perturbation
© ISO 2012 – Tous droits réservés 5
---------------------- Page: 12 ----------------------
ISO 22301:2012(F)
3.29
supervision
détermination de l'état d'un système, d'un processus ou d'une activité
NOTE Pour déterminer cet état, il peut être nécessaire de vérifier, surveiller ou observer avec une vision critique.
3.30
accord d'entraide mutuel
entente préalable entre deux entités ou plus par laquelle chacune d'elles s'engage à fournir assistance aux
autres
[SOURCE : ISO 22300]
3.31
non-conformité
non-satisfaction d’une exigence
[SOURCE : ISO 22300]
3.32
objectif
résultat à atteindre
NOTE 1 Un objectif peut être stratégique, tactique ou opérationnel.
NOTE 2 Les objectifs peuvent se rapporter à différentes disciplines (telles que la finance, les enjeux sanitaires et de
sécurité, et les enjeux environnementaux) et ils peuvent s'appliquer à divers niveaux [tels que stratégie, organisation dans
son ensemble, projet, produit et processus].
NOTE 3 Un objectif peut être exprimé autrement, par exemple sous forme de résultat escompté, de mission, de critère
opérationnel, en tant qu'objectif de sécurité sociétale ou par le biais d'un autre terme ayant un sens similaire (par exemple
finalité, but, cible).
NOTE 4 Dans le contexte des normes de systèmes de management de la sécurité sociétale, les objectifs encadrés par
la norme sont établis par l'organisation, en cohérence avec sa politique de sécurité sociétale, en vue d'obtenir des
résultats spécifiques.
3.33
organisation
personne ou groupe de personnes ayant leur propre structure fonctionnelle avec des responsabilités,
autorités et relations en vue d'atteindre ses objectifs
NOTE 1 Le concept d'organisation comprend, sans s’y limiter, les notions de travailleur indépendant, compagnie,
société, firme, entreprise, autorité, groupement, organisation caritative ou institution, ou une partie ou une combinaison
des organisations précédentes, à responsabilité limitée ou sous un autre statut, de droit public ou privé.
NOTE 2 Pour les organisations ayant plusieurs unités d'exploitation, une seule unité d'exploitation peut être définie en
tant qu'organisation.
3.34
externaliser
passer un accord en vertu duquel une organisation externe effectue une partie de la fonction ou met en
œuvre une partie du processus de l’organisation
NOTE L'organisation externe n'est pas incluse dans le périmètre du système de management, contrairement à la
fonction ou au processus externalisé qui en fait bien partie.
6 © ISO 2012 – Tous droits réservés
----------------------
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.