ISO 22313:2012
(Main)Societal security — Business continuity management systems — Guidance
Societal security — Business continuity management systems — Guidance
ISO 22313:2012 for business continuity management systems provides guidance based on good international practice for planning, establishing, implementing, operating, monitoring, reviewing, maintaining and continually improving a documented management system that enables organizations to prepare for, respond to and recover from disruptive incidents when they arise. It is not the intent of ISO 22313:2012 to imply uniformity in the structure of a BCMS but for an organization to design a BCMS that is appropriate to its needs and that meets the requirements of its interested parties. These needs are shaped by legal, regulatory, organizational and industry requirements, the products and services, the processes employed, the environment in which it operates, the size and structure of the organization and the requirements of its interested parties. ISO 22313 is generic and applicable to all sizes and types of organizations, including large, medium and small organizations operating in industrial, commercial, public and not-for-profit sectors that wish to: establish, implement, maintain and improve a BCMS; ensure conformance with the organization's business continuity policy; or make a self-determination and self-declaration of compliance with this International Standard.
Sécurité sociétale — Systèmes de management de la continuité d'activité — Lignes directrices
L'ISO 22313:2012 relative aux systèmes de management de la continuité d'activité fournit des lignes directrices basées sur une bonne pratique internationale pour la planification, l'établissement, la mise en ?uvre, l'exploitation, la surveillance, le réexamen, la mise à jour et l'amélioration constante d'un système de management documenté permettant aux organisations de se préparer aux incidents perturbateurs, d'y répondre et de reprendre leurs activités lorsqu'ils surviennent. L'ISO 22313:2012 ne prétend pas uniformiser la structure d'un SMCA, mais permettre à une organisation de définir un SMCA qui convienne à ses besoins et qui réponde aux exigences des parties concernées. Ces besoins sont conditionnés par les exigences légales, réglementaires, organisationnelles et industrielles, par les produits et les services, les processus employés, l'environnement dans lequel l'organisation fonctionne, la taille et la structure de cette dernière et les exigences des parties concernées. L'ISO 22313:2012 est générique et s'applique à toute taille et tout type d'organisations, qu'elles soient grandes, moyennes ou petites et qu'elles interviennent dans les secteurs industriels, commerciaux, publics et à but non lucratif, dans la mesure où elles souhaitent: a) établir, mettre en ?uvre, maintenir et améliorer un SMCA; b) assurer la conformité avec la politique de continuité d'activité de l'organisation; c) procéder à une autodétermination et effectuer une auto-déclaration de conformité avec la présente Norme internationale.
General Information
Relations
Buy Standard
Standards Content (Sample)
МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 22313
Первое издание
2012-12-15
Социальная безопасность. Системы
менеджмента устойчивости бизнеса.
Руководство
Societal security – Business continuity management systems —
Guidance
Ответственность за подготовку русской версии несѐт GOST R
(Российская Федерация) в соответствии со статьѐй 18.1 Устава ISO
Ссылочный номер
ISO 22313:2012(R)
©
ISO 2012
---------------------- Page: 1 ----------------------
ISO 22313:2012(R)
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или смотреть на экране, но его нельзя изменить, пока не будет получена
лицензия на установку интегрированных шрифтов в компьютере, на котором ведется редактирование. В случае загрузки
настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение лицензионных условий
фирмы Adobe. Центральный секретариат ISO не несет никакой ответственности в этом отношении.
Adobe – торговый знак Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованным для создания настоящего файла PDF, можно найти в
рубрике General Info файла; параметры создания PDF оптимизированы для печати. Были приняты во внимание все меры
предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами – членами ISO. В
редких случаях возникновения проблемы, связанной со сказанным выше, просим информировать Центральный секретариат
по адресу, приведенному ниже.
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ
© ISO 2012
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO по адресу ниже или членов ISO в стране регистрации пребывания.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2012– Все права сохраняются
---------------------- Page: 2 ----------------------
ISO 22313:2012(R)
Содержание Страница
Предисловие .iv
Введение .v
1 Область применения .1
2 Нормативные ссылки .1
3 Термины и определения .1
4 Контекст организации .2
4.1 Понимание организации и еѐ контекста .2
4.2 Понимание потребностей и ожиданий заинтересованных сторон .2
4.3 Определение области применения системы менеджмента .4
4.4 Система менеджмента устойчивости бизнеса.5
5 Лидерство .5
5.1 Лидерство и приверженность .5
5.2 Приверженность руководства .5
5.3 Политика .6
5.4 Организационные роли, ответственность и полномочия .7
6 Планирование .7
6.1 Действия в отношении рисков и возможностей .7
6.2 Цели устойчивости бизнеса и планы их достижения .8
8.2 Анализ последствий и оценка рисков . 19
8.4 Создание и внедрение процедур обеспечения устойчивости бизнеса . 31
8.5 Учения и испытания . 43
9 Оценка общей эффективности . 45
9.1 Мониторинг, измерение, анализ и оценка . 45
9.2 Внутренний аудит . 48
9.3 Анализ со стороны руководства . 49
10 Совершенствование . 50
10.1 Несоответствия и корректировочное действие . 50
10.2 Непрерывное улучшение . 50
Библиография . 52
© ISO 2012– Все права сохраняются iii
---------------------- Page: 3 ----------------------
ISO 22313:2012(R)
Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в
этом комитете. Международные правительственные и неправительственные организации, имеющие
связи с ISO, также принимают участие в работах. Что касается стандартизации в области
электротехники, то ISO работает в тесном сотрудничестве с Международной электротехнической
комиссией (IEC).
Проекты международных стандартов разрабатываются в соответствии с правилами Директив ISO/IEC,
Часть 2.
Основной задачей технических комитетов является подготовка международных стандартов. Проекты
международных стандартов, принятые техническими комитетами, рассылаются комитетам-членам на
голосование. Их опубликование в качестве международных стандартов требует одобрения не менее
75 % комитетов-членов, принимающих участие в голосовании.
Следует иметь в виду, что некоторые элементы настоящего международного стандарта могут быть
объектом патентных прав. Международная организация по стандартизации не может нести
ответственность за идентификацию какого-либо одного или всех патентных прав.
ISO 22313 был подготовлен Техническим комитетом ISO/TC 223, Социальная безопасность.
В целях исследования пользователям предлагается изложить свое мнение по поводу ISO 22313, а
также свои предпочтения для внесения изменений в последующие издания стандарта. Кликните адрес,
указанный внизу, чтобы принять участие в онлайновом обзоре:
http://www.surveymonkey.com/s/22313
iv © ISO 2012– Все права сохраняются
---------------------- Page: 4 ----------------------
ISO 22313:2012(R)
Введение
Общие положения
Настоящий международный стандарт содержит руководство, которое относится, если применимо, к
требованиям, приведенным в ISO 22301:2012, а также соответствующие им рекомендации (―следует‖)
и разрешения (―может‖). Обеспечение общего руководства по всем аспектам устойчивости бизнеса в
задачу настоящего международного стандарта не входит.
Этот международный стандарт имеет те же заголовки, что и стандарт ISO 22301, но не повторяет требований
к системе менеджмента устойчивости бизнеса и относящихся к ней терминов и определений. Организации,
желающие получить такую информацию, должны ознакомиться с ISO 22301 и ISO 22300.
Для дальнейшего уточнения и разъяснения ключевых вопросов в настоящий международный стандарт
включено также несколько рисунков. Все эти рисунки приведены только в качестве иллюстраций,
соответствующий текст в основной части стандарта имеет преимущественную силу.
Система менеджмента устойчивости бизнеса (BCMS) акцентирует внимание на:
― понимании потребностей организации и необходимости разработки политики, касающейся
непрерывности бизнеса и определения еѐ целей;
― внедрении и реализации средств контроля, а также мерах по управлению общим потенциалом
организации в целях преодоления разрушительных инцидентов;
― мониторинг и анализ результатов деятельности и эффективности BCMS, а также
― непрерывное улучшение на основе объективных измерений.
BCMS, как и любая другая система менеджмента, включает в себя следующие ключевые компоненты:
a) политику;
b) персонал, наделенный определенными обязанностями;
c) процессы менеджмента, относящиеся к:
1) политике;
2) планированию;
3) внедрению и функционированию;
4) оценке эффективности;
5) анализу со стороны руководства, а также
6) улучшению.
d) комплект документации, предоставляющий проверяемые данные, а также
e) любые процессы BCMS, относящиеся к организации.
Как правило, модель устойчивого бизнеса специфична для каждой организации, однако еѐ внедрение может
© ISO 2012– Все права сохраняются v
---------------------- Page: 5 ----------------------
ISO 22313:2012(R)
иметь далеко идущие последствия для более широкого сообщества и иных третьих сторон. За пределами
организации могут существовать организации, от которых она зависит, и также организации, зависящие от неѐ.
Следовательно, эффективная устойчивость бизнеса содействует повышению гибкости общества.
Цикл ―Планирование – Выполнение – Проверка – Действие‖
В настоящем международном стандарте для планирования, разработки, внедрения, функционирования,
мониторинга, анализа, корректировки, поддержания в рабочем состоянии и постоянного повышения
результативности BCMS организации использован цикл ―Планирование–Исполнение–Проверка–Действие‖
(PDCA).
На Рисунке 1 показано, как в BCMS учитываются требования заинтересованных сторон в качестве
входных данных для менеджмента устойчивости бизнеса (BCM) и, за счет использования необходимых
действий и процессов достигаются такие результаты устойчивости бизнеса (т.е. управляемой
устойчивости), которые отвечают этим требованиям.
Непрерывное улучшение системы менеджмента
устойчивости бизнеса (BCMS)
Установление
Заинтересован-
Заинтересова
(Планирование
ные cтороны
нные стороны
)
Требования к
устойчивости
Поддерживание Внедрение и
бизнеса
и улучшение
функциониро-
(Действие) вание
Управляемая
(Исполнение)
устойчивость
бизнеса
Мониторинг и
анализ
(Проверка)
Рисунок 1 — Модель PDCA, применяемая к процессам BCMS
Таблица 1 — Пояснения к модели PDCA
Планирование Установление политики устойчивого бизнеса, целей, средств управления,
(Разработка) процессов и процедур, относящихся к обеспечению устойчивости бизнеса и
получению результатов, отвечающим всей политике и целям организации.
Исполнение Внедрение и применение политики устойчивости бизнеса, средств
(Внедрение и применение) управления, процессов и процедур.
Проверка Мониторинг и анализ эффективности относительно целей и политики устойчивости
(Мониторинг и анализ) бизнеса, представление результатов руководству для корректировки, определение
и разрешение на действия по коррекции и усовершенствованию.
Действие Поддержание и улучшение BCMS путем принятия корректирующих действий,
(Поддерживание и основанных на результатах анализа со стороны руководства, пересмотра области
оптимизация) применения BCMS, a также политики и целей устойчивости бизнеса.
Составляющие PDCA в настоящем международном стандарте
Существует прямая взаимозависимость между содержанием Рисунка 1 и разделами настоящего
международного стандарта:
vi © ISO 2012– Все права сохраняются
---------------------- Page: 6 ----------------------
ISO 22313:2012(R)
Таблица 2 — Взаимосвязь между моделью PDCA и Разделами с 4 по 10
Составляющие PDCA Раздел, посвященный составляющему PDCA
Планирование Раздел 4 (Контекст организации) определяет, что организация должна
(Установление) сделать для того, чтобы удостовериться в соответствии BCMS требованиям,
принимая во внимание все относящиеся к этому вопросу внешние и
внутренние факторы, включая:
— Потребности и ожидания заинтересованных сторон.
— Их законодательные и регулятивные обязательства.
— Требуемую область применения PDCA.
Раздел 5 (Лидерство) устанавливает ключевую роль высшего руководства
с точки зрения демонстрации приверженности, определения политики и
распределения ролей, ответственности и полномочий.
Раздел 6 (Планирование) описывает действия, в целом необходимые для
постановки стратегических целей и руководящих принципов для BCMS в
целом. Они определяют контекст анализа последствий для бизнеса, оценки
риска (8.2) и стратегии устойчивости бизнеса (8.3).
Раздел 7 (Обеспечение) определяет ключевые элементы, которые должны
быть в наличии для обеспечения цикла PDCA, а именно: ресурсы,
компетенность персонала, информированность, коммуникации и
документированная информация.
Исполнение Раздел 8 (Функционирование) определяет элементы менеджмента
(Внедрение и устойчивости бизнеса (BCM), необходимые для достижения устойчивости
функционирование) бизнеса.
Проверка Раздел 9 (Оценка эффективности) обеспечивает основу для улучшения
(Мониторинг и анализ) BCMS с помощью измерений и оценки их эффективности.
Принятие мер Раздел 10 (Улучшение) охватывает корректирующие действия,
(Поддерживание и необходимые для устранения несоответствий, выявленных при оценке
улучшение) эффективности.
Устойчивость бизнеса
Устойчивость бизнеса – это способность организации после деструктивного инцидента продолжать
поставки продукции и предоставление услуг на приемлемом, заранее заданном уровне. Менеджмент
устойчивости бизнеса (BSM) – это процесс достижения устойчивости бизнеса, заключающийся в
подготовке организации к инцидентам, которые в иных обстоятельствах могли бы не позволить
компании достигнуть своих целей.
Включение BSM в структуру и практику системы менеджмента формирует систему менеджмента
устойчивости бизнеса (BCMS), позволяющую контролировать, оценивать и постоянно улучшать BSM.
В настоящем международном стандарте слово ―бизнес‖ применяется как всеобъемлющий термин для
операций и услуг, выполняемых организацией, реализующей свои цели и миссию. Как таковой этот
термин равно применим к крупным, средним и малым организациям, действующим в промышленном,
коммерческом, государственном и некоммерческом секторах.
Любой инцидент, крупный или мелкий, природный, случайный или умышленный способен вызвать
серьезные нарушения в функциональной деятельности организации и поставках еѐ товаров и услуг.
Однако, обеспечение устойчивости бизнеса до возникновения деструктивного инцидента вместо
ожидания, что таковой может произойти, позволит организации возобновить работу до того, как
последствия инцидента перейдут на недопустимый уровень.
BSM предполагает:
a) четкое представление о ключевых продуктах и услугах организации, а также об их
предоставлении;
b) понимание приоритетов при возобновлении деятельности в ее разных видах, а также
необходимых для этого ресурсов;
© ISO 2012– Все права сохраняются vii
---------------------- Page: 7 ----------------------
ISO 22313:2012(R)
c) ясное представление об угрозах этой деятельности в ее разных видах, в том числе их
взаимозависимостей, а также понимание последствий их не возобновления;
d) наличие проверенных и надежных мер для возобновления всех видов деятельности после
деструктивного инцидента; а также
e) гарантии того, что эти договоренности регулярно пересматриваются и модифицируются с тем,
чтобы они оставались годными при любых обстоятельствах.
Устойчивость бизнеса может быть эффективна как при внезапных деструктивных инцидентах
(например, взрывах), так и при развивающихся постепенно (например, эпидемиях гриппа).
Деятельность может быть прервана инцидентами самого различного характера, многие из которых
трудно предвидеть или проанализировать. Фокусируясь на последствиях, а не на причинах,
устойчивость бизнеса идентифицирует те виды деятельности, от которых зависит выживание
организации, и помогает организации определить, что ей требуется для дальнейшего выполнения
своих обязательств. С помощью устойчивости бизнеса, организация может определить, что
необходимо сделать для защиты еѐ ресурсов (т.е. персонала, служебных помещений, технологий и
информации), цепи поставок, заинтересованных сторон и репутации до деструктивного инцидента. С
таким пониманием организация получает возможность реалистично оценивать ответные действия,
которые, вероятно, потребуются, если и когда инцидент возникнет, и может быть уверена в
контролируемости последствий и избежании непремлемых воздействий.
Организация с надлежащей устойчивостью бизнеса может также воспользоваться такими
преимуществами, которые в ином случае рассматривались бы как слишком рискованные.
Следующие диаграммы (Рисунок 2 и 3) приведены для иллюстрации того, каким образом устойчивость
бизнеса может способствовать минимизации последствий в отдельных ситуациях. Никаких особых
временных рамок не подразумевается под относительным расстоянием между стадиями на
диаграммах.
viii © ISO 2012– Все права сохраняются
---------------------- Page: 8 ----------------------
ISO 22313:2012(R)
Минимизация воздействий путем эффективной устойчивости бизнеса – внезапный сбой
Рисунок 2 – Пример устойчивости бизнеса, эффективной при внезапном сбое
Минимизация воздействий путем эффективной устойчивости бизнеса – постепенный сбой
Рисунок 3 – Пример устойчивости бизнеса, эффективной при постепенном срыве (например,
приближающаяся эпидемия)
© ISO 2012– Все права сохраняются ix
---------------------- Page: 9 ----------------------
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 22313:2012(R)
Социальная безопасность. Системы менеджмента
устойчивости бизнеса. Руководство
1 Область применения
Настоящий международный стандарт на системы менеджмента устойчивости бизнеса содержит
руководство, основанное на лучшей международной практике планирования, установления, внедрения,
функционирования, мониторинга, оценки, поддерживания в рабочем состоянии и непрерывного
улучшения документированной системы менеджмента, которая дает организации возможность быть
готовой к деструктивным инцидентам, отреагировать на них и восстановиться после таких возникших
инцидентов.
В этом международном стандарте не предполагается никакой унифицированной структуры BCMS, он
позволяет организации разработать BCMS, соответствующую еѐ потребностям и требованиям
заинтересованных сторон. Эти потребности формируются под влиянием законодательных,
нормативных, организационных и производственных требований, продукции и услуг, используемых
процессов, окружающей среды, в которой действует организация, величины и структуры организации,
а также требований заинтересованных сторон.
Данный стандарт является универсальным. Он применим к организациям всех размеров и типов, в том
числе, к крупным, средним и малым предприятиям, действующим в промышленном, коммерческом,
государственном и некоммерческом секторах, которые намерены:
a) установить, внедрить, поддерживать в рабочем состоянии и улучшать BCMS;
b) обеспечивать соответствие политике в области устойчивости бизнеса организации; или
c) самой определить и декларировать свое соответствие настоящему международному стандарту.
Настоящий международный стандарт не может быть использован ни для оценки способности
организации соответствовать внутренним потребностям устойчивости бизнеса, ни для оценки
клиентских, законодательных или нормативных потребностей. Организации, желающие это сделать,
могут для демонстрации соответствия использовать требования ISO 22301 или подать заявку на
сертификацию своей BCMS в аккредитованный независимый орган по сертификации.
2 Нормативные ссылки
Следующие ссылочные документы обязательны для применения настоящего документа. Для
датированных ссылок применяется только цитируемое издание. Для недатированных ссылок
применяется последнее издание ссылочного документа, включая все изменения и дополнения.
ISO 22300, Социальная безопасность. Терминология
ISO 22301, Социальная безопасность. Системы менеджмента устойчивого бизнеса. Требования
3 Термины и определения
Для целей этого документа применяются термины и определения, приведенные в ISO 22300 и ISO 22301.
© ISO 2012– Все права сохраняются 1
---------------------- Page: 10 ----------------------
ISO 22313:2012(R)
4 Контекст организации
4.1 Понимание организации и еѐ контекста
Этот раздел посвящен пониманию контекста организации применительно к созданию и управлению
BCMS. Вопросы создания и управления BCM раскрыты в 8.1.
Организации следует оценить и понять внутренние и внешние факторы, имеющие отношение к еѐ
цели и деятельности. Эти сведения следует учесть при установлении, внедрении, поддерживании и
улучшении BCMS организации, а также при определении приоритетов.
В оценке внешнего контекста организации следует учесть, если они относятся к делу, такие факторы, как:
политическая, правовая и регулятивная среда, международная, национальная, региональная или локальная;
социальная, культурная, финансовая, технологическая, экономическая, природная и конкурентная
среда, международная, национальная, региональная или локальная;
обязательства и отношения в цепочке поставок;
рассмотрение внутренних исследований рисков с учетом соответствующих систем менеджмента
информации и, в более общем смысле, анализ любой информации от менеджмента знаний;
ключевые стимуляторы и тенденции, оказывающие влияние на цели и функционирование
организации; а также
отношения с заинтересованными сторонами вне организации, принимая во внимание их
восприятия и ценности.
В оценке внутреннего контекста организации следует, соответственно, учесть такие факторы, как:
продукция и услуги, виды деятельности, ресурсы, цепочки поставок и отношения с
заинтересованными сторонами;
возможности, понимаемые как ресурсы и знания (например, капитал, время, люди, процессы,
системы и технологии);
информационные системы, информационные потоки и процесс принятия решений (как
формальные, так и неформальные);
заинтересованные стороны внутри организации;
виды политики и цели, а также существующие стратегии для их достижения;
будущие возможности и приоритеты в бизнесе;
восприятия, ценности и культура;
стандарты и эталонные модели, принятые в организации; и
структуры (например, руководство, роли и подотчетность).
4.2 Понимание потребностей и ожиданий заинтересованных сторон
4.2.1 Общие положения
При установлении BCMS организации следует убедиться, что потребности и требования
заинтересованных сторон приняты во внимание.
2 © ISO 2012– Все права сохраняются
---------------------- Page: 11 ----------------------
ISO 22313:2012(R)
Организации следует идентифицировать все заинтересованные стороны, имеющие отношение к еѐ
BCMS, и, основываясь на их потребностях и ожиданиях, определить их требования. Важно
идентифицировать не только обязательные и заявленные, но также и все подразумеваемые
требования.
ПРИМЕЧАНИЕ Организации необходимо знать всех, кто проявляет к ней интерес, например, СМИ,
общественность, конкуренты и т.д.
При планировании и внедрении BCMS важно определить действия, которые соответствуют
заинтересованным сторонам, но различны по категориям. Например, после деструктивного инцидента
уместно связаться со всеми заинтересованными сторонами, но связываться со всеми
заинтересованными сторонами во время устранения инцидента и стабилизации положения BCM (8.1.1)
может быть неуместно.
Заинтересованные стороны
Рисунок 4 – Примеры заинтересованных сторон, которые должны быть учтены в
государственном и частном секторах
4.2.2 Законодательные и регламентные требования
Всем системам менеджмента следует функционировать в рамках законодательной и регламентной
среды, в которой функционирует организация. Организации следует, таким образом,
идентифицировать и ввести в свою BCMS все соответствующие применимые юридические и законные
требования, под которыми она подписалась, и требования заинтересованных сторон.
Информацию об этих требованиях следует документировать и поддерживать в актуальном состоянии.
Новые или измененные юридические и законные и другие требования следует довести до сведения
сотрудников, которых они касаются, и остальных заинтересованных сторон.
При установлении, внедрении и применении BCMS организации следует учитывать и документировать
действующие юридические требования, иные требования, под которыми организация подписалась, а
также требования заинтересованных сторон.
Организации следует убедиться в том, что еѐ BCMS функционирует в соответствии и в поддержание
еѐ договорных обязательств и существенных требований заинтересованных сторон.
© ISO 2012– Все права сохраняются 3
---------------------- Page: 12 ----------------------
ISO 22313:2012(R)
Организации следует удостовериться в том, что ее BCMS работает в рамках ее юридических
обязательств и в поддержку соответствующих требований заинтересованных сторон.
Организации следует проанализировать действующие и еще рассматриваемые юридические и
законные требования по месту их действия, которые могут распространяться на:
a) реагирование на инцидент: включая управление в чрезвычайной ситуации, законодательство в
области здравоохранения, безопасности и социальной защиты населения;
b) устойчивость: она может определять область применения программы или степень, или скорость
реагирования;
c) риск: требования, определяющие область или методы программ менеджмента рисков риском; а
также;
d) опасность: эксплуатационные требования к опасным материалам, хранящимся на объекте.
ПРИМЕЧАНИЕ Организациям, действующим на разных территориях, часто приходится соответствовать
требованиям разных юрисдикций.
4.3 Определение области применения системы менеджмента
4.3.1 Общие положения
Организации следует определить область применения BCMS и удостовериться в том, что она может
быть надлежащим образом доведена до сведения заинтересованных сторон. Важно, чтобы
ограничения и применимость BCMS были отчетливы и понятны, а в области применения учитывались
вопросы, приведенные в Разделе 4.1 и в Разделе 4.2.
В области применения определены продукция и услуги, места, функции, процессы и виды
деятельности, на которые она распространяется. Из этого следует, что в область применения будут
включены все отношения подчинения, даже если они в явном виде не определены в описании области
применения системы. Например, если ―вознаграждение сотрудника‖ определено в области применения,
то наличие средств, одобрение руководства и инструкции для финансовой службы на выплату по
умолчанию также будут включены в область применения.
Организации следует четко документировать область применения и контекст BCMS.
4.3.2 Область применения BCMS
Организации следует определить и документировать область применения BCMS тем способом и
такими словами, которые соответствуют еѐ размеру, характеру и сложности.
В области применения следует:
a) определить подразделения организации, включенные в BCMS;
b) установить требования BCMS для данной организации, принимая во внимание еѐ миссию, цели,
юридическую ответственность, а также внутренние и внешние обязательства;
c) идентифицировать продукцию и услуги организации таким способам, который бы способствовал
идентификации всех соответствующих видов деятельности, ресурсов и цепочек поставок, а также
d) учесть потребности и интересы заинтересованных сторон.
Область применения также может:
включать указание на масштаб инцидента, с которым должна справиться BCMS, а также на
уровень риска, приемлемого для организации; и
4 © ISO 2012– Все права сохраняются
---------------------- Page: 13 ----------------------
ISO 22313:2012(R)
идентифицировать, каким образом BCMS согласуется с общей стратегией менеджмента риска
организации (если такая существует).
В случаях, когда то или иное подразделение организации исключается из области применения ее
BCMS, такое исключение следует документировать и объяснить.
Цель определения области применения заключается в обеспечении охвата всех соответствующих
видов деятельности, местоположений и поставщиков (8.2.1, Рисунок 6).
4.4 Система менеджмента устойчивости бизнеса
Это нормативная ссылка на ISO 22301:2012, который содержит требования к BCMS. Руководство не
предусмотрено.
5 Лидерство
5.1 Лидерство и приверженность
Высшему руководству организации на всех уровнях следует демонстрировать приверженность и
лидерство при реализации целей и политики в области устойчивости бизнеса. Демонстрировать это
можно, используя мотивацию, вовлеченность и наделение полномочий.
5.2 Приверженность руководства
Высшее руководство должно демонстрировать приверженность BCMS.
Высшему руководству следует подтверж
...
INTERNATIONAL ISO
STANDARD 22313
First edition
2012-12-15
Societal security — Business continuity
management systems — Guidance
Sécurité sociétale — Systèmes de management de la continuité
d’activité — Lignes directrices
Reference number
ISO 22313:2012(E)
©
ISO 2012
---------------------- Page: 1 ----------------------
ISO 22313:2012(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2012
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any
means, electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the
address below or ISO’s member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2012 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 22313:2012(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization . 1
4.1 Understanding of the organization and its context . 1
4.2 Understanding the needs and expectations of interested parties . 2
4.3 Determining the scope of the management system . 4
4.4 Business continuity management system . 4
5 Leadership . 4
5.1 Leadership and commitment . 4
5.2 Management commitment . 5
5.3 Policy . 5
5.4 Organizational roles, responsibilities and authorities. 6
6 Planning . 7
6.1 Actions to address risks and opportunities . 7
6.2 Business continuity objectives and plans to achieve them . 7
7 Support . 7
7.1 Resources . 7
7.2 Competence . 8
7.3 Awareness .10
7.4 Communication .11
7.5 Documented information .12
8 Operation .14
8.1 Operational planning and control .14
8.2 Business impact analysis and risk assessment .17
8.3 Business continuity strategy .21
8.4 Establish and implement business continuity procedures .28
8.5 Exercising and testing .38
9 Performance evaluation .40
9.1 Monitoring, measurement, analysis and evaluation .40
9.2 Internal audit .42
9.3 Management review .43
10 Improvement .44
10.1 Nonconformity and corrective action .44
10.2 Continual improvement .45
Bibliography .46
© ISO 2012 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 22313:2012(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International
Standards adopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the member bodies
casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 22313 was prepared by Technical Committee ISO/TC 223, Societal security.
For the purposes of research, users are encouraged to share their views on ISO 22313:2012
and their priorities for changes to future editions of the document. Click on the link below to
take part in the online survey:
http://www.surveymonkey.com/s/22313
iv © ISO 2012 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 22313:2012(E)
Introduction
General
This International Standard provides guidance, where appropriate, on the requirements specified
in ISO 22301:2012 and provides recommendations (‘should’) and permissions (‘may’) in relation to
them. It is not the intention of this International Standard to provide general guidance on all aspects of
business continuity.
This International Standard includes the same headings as ISO 22301 but does not repeat the
requirements for business continuity management systems and its related terms and definitions.
Organizations wishing to be informed of these must therefore refer to ISO 22301 and ISO 22300.
To provide further clarification and explanation of key points, this International Standard includes a
number of figures. All such figures are for illustrative purposes only and the related text in the body of
this International Standard takes precedence.
A business continuity management system (BCMS) emphasizes the importance of:
— understanding the organization’s needs and the necessity for establishing business continuity
policy and objectives;
— implementing and operating controls and measures for managing an organization’s overall
capability to manage disruptive incidents;
— monitoring and reviewing the performance and effectiveness of the BCMS; and
— continual improvement based on objective measurement.
A BCMS, like any other management system, includes the following key components:
a) a policy;
b) people with defined responsibilities;
c) management processes relating to:
1) policy;
2) planning;
3) implementation and operation;
4) performance assessment;
5) management review; and
6) improvement.
d) a set of documentation providing auditable evidence; and
e) any BCMS processes relevant to the organization.
Business continuity is generally specific to an organization, however, its implementation can have far
reaching implications on the wider community and other third parties. An organization is likely to have
external organizations that it depends upon and there will be others that depend on it. Effective business
continuity therefore contributes to a more resilient society.
The Plan-Do-Check-Act cycle
This International Standard applies the ‘Plan-Do-Check-Act’ (PDCA) cycle to planning, establishing,
implementing, operating, monitoring, reviewing, maintaining and continually improving the
effectiveness of an organization’s BCMS.
© ISO 2012 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO 22313:2012(E)
Figure 1 illustrates how the BCMS takes interested parties’ requirements as inputs for business
continuity management (BCM) and, through the required actions and processes, produces business
continuity outcomes (i.e. managed business continuity) that meet those requirements.
Continual improvement of business continuity
management system (BCMS)
Establish
Interested
(Plan)
Interested parties
parties
Maintain and Implement
improve and operate
(Act) (Do)
Requirements
Managed
for business
business
continuity
continuity
Monitor and
review
(Check)
Figure 1 — PDCA model applied to BCMS processes
Table 1 — Explanation of PDCA model
Plan Establish business continuity policy, objectives, controls, processes and procedures
(Establish) relevant to improving business continuity in order to deliver results that align with
the organization’s overall policies and objectives.
Do Implement and operate the business continuity policy, controls, processes and
(Implement and operate) procedures.
Check Monitor and review performance against business continuity objectives and policy,
(Monitor and review) report the results to management for review, and determine and authorize actions
for remediation and improvement.
Act Maintain and improve the BCMS by taking corrective actions, based on the results
(Maintain and improve) of management review and re-appraising the scope of the BCMS and business conti-
nuity policy and objectives.
Components of PDCA in this International Standard
There is a direct relationship between the content of Figure 1 and the clauses of this International Standard:
vi © ISO 2012 – All rights reserved
---------------------- Page: 6 ----------------------
ISO 22313:2012(E)
Table 2 — Relationship between PDCA model and Clauses 4 to 10
PDCA component Clause addressing PDCA component
Plan Clause 4 (Context of the organization) sets out what the organization has to do
(Establish) in order to make sure that the BCMS meets its requirements, taking into account all
relevant external and internal factors, including:
— The needs and expectations of interested parties.
— Its legal and regulatory obligations.
— The required scope of the BCMS.
Clause 5 (Leadership) sets out the key role of management in terms of demon-
strating commitment, defining policy and establishing roles, responsibilities and
authorities.
Clause 6 (Planning) describes the actions required to establish strategic objec-
tives and guiding principles for the BCMS as a whole. These set the context for the
business impact analysis and risk assessment (8.2) and business continuity strat-
egy (8.3).
Clause 7 (Support) identifies the key elements that need to be in place to support
the BCMS, namely: resources, competence, awareness, communication and docu-
mented information.
Do Clause 8 (Operation) identifies the elements of business continuity management
(Implement and operate) (BCM) that are needed to achieve business continuity.
Check Clause 9 (Performance evaluation) provides the basis for improvement of the
(Monitor and review) BCMS through measurement and evaluation of its performance.
Act Clause 10 (Improvement) covers the corrective action needed to address noncon-
(Maintain and improve) formity identified through performance evaluation.
Business continuity
Business continuity is the capability of the organization to continue delivery of products or services at
acceptable predefined levels following a disruptive incident. Business continuity management (BCM)
is the process of achieving business continuity and is about preparing an organization to deal with
disruptive incidents that might otherwise prevent it from achieving its objectives.
Placing BCM within the framework and disciplines of a management system creates a business continuity
management system (BCMS) that enables BCM to be controlled, evaluated and continually improved.
In this International Standard, the word business is used as an all-embracing term for the operations
and services performed by an organization in pursuit of its objectives, goals or mission. As such it is
equally applicable to large, medium and small organizations operating in industrial, commercial, public
and not-for-profit sectors.
Any incident, large or small, natural, accidental or deliberate has the potential to cause major disruption
to the organization’s operations and its ability to deliver products and services. However, implementing
business continuity before a disruptive incident occurs, rather than waiting for this to happen will
enable the organization to resume operations before unacceptable levels of impact arise.
BCM involves:
a) being clear on the organization’s key products and services and the activities that deliver them;
b) knowing the priorities for resuming activities and the resources they require;
c) having a clear understanding of the threats to these activities, including their dependencies, and
knowing the impacts of not resuming them;
d) having tried and trusted arrangements in place to resume these activities following a disruptive
incident; and
© ISO 2012 – All rights reserved vii
---------------------- Page: 7 ----------------------
Incident
ISO 22313:2012(E)
e) making sure that these arrangements are routinely reviewed and updated so that they will be
effective in all circumstances.
Business continuity can be effective in dealing with both sudden disruptive incidents (e.g. explosions)
and gradual ones (e.g. flu pandemics).
Activities are disrupted by a wide variety of incidents, many of which are difficult to predict or analyse.
By focusing on the impact of disruption rather than the cause, business continuity identifies those
activities on which the organization depends for its survival, and enables the organization to determine
what is required to continue to meet its obligations. Through business continuity, an organization
can recognize what needs to be done to protect its resources (e.g. people, premises, technology and
information), supply chain, interested parties and reputation, before a disruptive incident occurs. With
that recognition, the organization is able to take a realistic view on the responses that are likely to be
needed as and when a disruption occurs, so that it can be confident of managing the consequences and
avoid unacceptable impacts.
An organization with appropriate business continuity in place can also take advantage of opportunities
that might otherwise be judged to be too high risk.
The following diagrams (Figures 2 and 3) are intended to illustrate conceptually how business continuity
can be effective in mitigating impacts in certain situations. No particular timescales are implied by the
relative distance between the stages depicted in either diagram.
Mitigating impacts through effective business continuity – sudden disruption
Resumption of activities at acceptable
level within acceptable timeframe
Recovery Time Objective
Time at which impacts become unacceptable
2. Shortened disruption
With business continuity
Minimum
1. Mitigating, responding
acceptable
to and managing impacts
level of
operations
Without business continuity
Time
Figure 2 — Illustration of business continuity being effective for sudden disruption
viii © ISO 2012 – All rights reserved
Level of operations
---------------------- Page: 8 ----------------------
Incident
ISO 22313:2012(E)
Mitigating impacts through effective business continuity – gradual disruption
Resumption of activities at acceptable
level within acceptable timeframe
Recovery Time Objective
Warningg
Time at which impacts become unacceptable
2. Shortened disruption
Controlled
response
With business continuity
Minimum
1. Mitigating, responding
acceptable
to and managing impacts
level of
operations
Without business continuity
Time
Figure 3 — Illustration of business continuity being effective for gradual disruption
(e.g. approaching pandemic)
© ISO 2012 – All rights reserved ix
Level of operations
---------------------- Page: 9 ----------------------
INTERNATIONAL STANDARD ISO 22313:2012(E)
Societal security — Business continuity management
systems — Guidance
1 Scope
This International Standard for business continuity management systems provides guidance based on
good international practice for planning, establishing, implementing, operating, monitoring, reviewing,
maintaining and continually improving a documented management system that enables organizations
to prepare for, respond to and recover from disruptive incidents when they arise.
It is not the intent of this International Standard to imply uniformity in the structure of a BCMS but
for an organization to design a BCMS that is appropriate to its needs and that meets the requirements
of its interested parties. These needs are shaped by legal, regulatory, organizational and industry
requirements, the products and services, the processes employed, the environment in which it operates,
the size and structure of the organization and the requirements of its interested parties.
This International Standard is generic and applicable to all sizes and types of organizations, including
large, medium and small organizations operating in industrial, commercial, public and not-for-profit
sectors that wish to:
a) establish, implement, maintain and improve a BCMS;
b) ensure conformance with the organization’s business continuity policy; or
c) make a self-determination and self-declaration of compliance with this International Standard.
This International Standard cannot be used to assess an organization’s ability to meet its own business
continuity needs, nor any customer, legal or regulatory needs. Organizations wishing to do so can use
the ISO 22301 requirements to demonstrate conformance to others or seek certification of its BCMS by
an accredited third party certification body.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 22300, Societal security — Terminology
ISO 22301, Societal security — Business continuity management systems — Requirements
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and ISO 22301 apply.
4 Context of the organization
4.1 Understanding of the organization and its context
This section is about understanding the context of the organization in relation to setting up and managing
the BCMS. The setting up and management of BCM is covered in 8.1.
© ISO 2012 – All rights reserved 1
---------------------- Page: 10 ----------------------
ISO 22313:2012(E)
The organization should evaluate and understand the internal and external factors that are relevant
to its purpose and operations. This information should be taken into account when establishing,
implementing, maintaining and improving the organization’s BCMS, and assigning priorities.
Evaluating the organization’s external context should include, where relevant, the following factors:
— the political, legal and regulatory environment whether international, national, regional or local;
— the social and cultural, financial, technological, economic, natural and competitive environment,
whether international, national, regional or local;
— supply chain commitments and relationships;
— consideration of internal studies on the risks, taking into account other relevant information
management systems and more generally any information from knowledge management;
— key drivers and trends having impact on the objectives and operation of the organization; and
— relationships with, and perceptions and values of, interested parties outside the organization.
Evaluating the organization’s internal context should include, where relevant, the following factors:
— products and services, activities, resources, supply chains, and relationships with interested parties;
— the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people,
processes, systems and technologies);
— information systems, information flows, and decision making processes (both formal and informal);
— interested parties within the organization;
— policies and objectives, and the strategies that are in place to achieve them;
— future opportunities and business priorities;
— perceptions, values and culture;
— standards and reference models adopted by the organization; and
— structures (e.g. governance, roles and accountabilities).
4.2 Understanding the needs and expectations of interested parties
4.2.1 General
When establishing its BCMS, the organization should ensure that the needs and requirements of
interested parties are taken into consideration.
The organization should identify all interested parties that are of relevance to its BCMS and based
on their needs and expectations, determine their requirements. It is important to identify not only
obligatory and stated requirements but also any that are implied.
NOTE The organization needs to be aware of all those who have an interest in the organization, such as the
media, the public nearby, competitors and so on.
When planning and implementing the BCMS, it is important to identify actions that are appropriate in
relation to interested parties but differentiate between the different categories. For example, while it
may be appropriate to communicate with all interested parties following a disruptive incident, it may not
be appropriate to communicate with all interested parties when setting up and managing BCM (8.1.1).
2 © ISO 2012 – All rights reserved
---------------------- Page: 11 ----------------------
ISO 22313:2012(E)
Interested parties
Competitors
The organization
Citizens
Media
Management
Customers
Top management
Commentators
Those who establish policies and objectives for the BCMS
Distributors
Trade groups
Those who set up and manage business continuity
Shareholders
Neighbours
Those who maintain business continuity procedures
Investors
Owners of business continuity procedures
Pressure groups
Owners
Incident response personnel
Insurers Emergency Services
Those with authority to invoke
Government Other response agencies
Appropriate spokespeople
Transport services
Regulators
Response teams
Recovery service
Dependants of staff
Other staff Contractors
suppliers
Figure 4 — Examples of interested parties to be considered in public and private sectors
4.2.2 Legal and regulatory requirements
All management systems should operate within the framework of the legal and regulatory environment
in which the organization operates. The organization should therefore identify and accommodate in its
BCMS all relevant and applicable legal and regulatory requirements to which it subscribes and needs of
interested parties.
The information regarding these requirements should be documented and kept up-to-date. New or
variations to legal, regulatory and other requirements should be communicated to affected employees
and other interested parties.
When establishing, implementing and maintaining the BCMS, the organization should take into account
and document applicable legal requirements, other requirements to which it subscribes and needs of
interested parties.
The organization should ensure that its BCMS works within and in support of its legal obligations and
relevant requirements of interested parties.
The organization should review current and pending statutory and regulatory requirements in their
locations which may include:
a) incident response: including emergency management and health, safety and welfare legislation;
b) continuity: which may specify the scope of the programme or the extent or speed of response;
c) risk: requirements defining the scope or methods of a risk management programme; and
d) hazards: operating requirements relating to dangerous materials stored at the location.
NOTE Organizations operating in multiple locations often have to satisfy the requirements of different
jurisdictions.
© ISO 2012 – All rights reserved 3
---------------------- Page: 12 ----------------------
ISO 22313:2012(E)
4.3 Determining the scope of the management system
4.3.1 General
The organization should determine the scope of the BCMS and ensure that it may be suitably
communicated to interested parties. It is important that the boundaries and applicability of the BCMS are
clearly apparent and that the scope takes into account the issues identified in Clause 4.1 and Clause 4.2.
The scope determines the products and services, locations, functions, processes and activities to which
the BCMS applies. It follows that all dependencies will be in the scope even if they have not been explicitly
identified in the scope statement. For example if ‘employee remuneration’ is specified in the scope, then
by default the availability of funds, management approval and instructions to the financial institution to
make payment would also be within the scope.
The organization should clearly document the scope and context of the BCMS.
4.3.2 Scope of the BCMS
The organization should, in a manner and in terms appropriate to the size, nature and complexity of the
organization, d
...
NORME ISO
INTERNATIONALE 22313
Première édition
2012-12-15
Sécurité sociétale — Systèmes
de management de la continuité
d’activité — Lignes directrices
Societal security — Business continuity management systems —
Guidance
Numéro de référence
ISO 22313:2012(F)
©
ISO 2012
---------------------- Page: 1 ----------------------
ISO 22313:2012(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2012
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2014
Publié en Suisse
ii © ISO 2012 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 22313:2012(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Contexte de l’organisation . 2
4.1 Comprendre l’organisation et son contexte . 2
4.2 Comprendre les besoins et les attentes des parties intéressées . 2
4.3 Déterminer le champ d’application du système de management. 4
4.4 Système de management de la continuité d’activité . 5
5 Leadership . 5
5.1 Leadership et engagement. 5
5.2 Engagement du management . 5
5.3 Politique . 6
5.4 Rôles, responsabilités et autorités au sein de l’organisation . 7
6 Planification . 7
6.1 Actions visant à traiter les risques et les opportunités . 7
6.2 Objectifs de continuité d’activité et plans pour les atteindre . 8
7 Soutien . 8
7.1 Ressources . 8
7.2 Compétence . 9
7.3 Sensibilisation .11
7.4 Communication .12
7.5 Informations documentées .13
8 Fonctionnement .15
8.1 Planification et maîtrise opérationnelles .15
8.2 Analyse des impacts sur les affaires et évaluation des risques .19
8.3 Stratégie de continuité d’activité .22
8.4 Établissement et mise en place de procédures de continuité d’activité .30
8.5 Exercices et tests .41
9 Évaluation de la performance .43
9.1 Surveillance, mesurage, analyse et évaluation .43
9.2 Audit interne .46
9.3 Revue de direction .47
10 Amélioration .48
10.1 Non-conformité et actions correctives .48
10.2 Amélioration continue .48
Bibliographie .50
© ISO 2012 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 22313:2012(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui concerne
la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les
références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l’élaboration
du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de brevets reçues par
l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation de
la conformité, ou pour toute information au sujet de l’adhésion de l’ISO aux principes de l’OMC concernant
les obstacles techniques au commerce (OTC), voir le lien suivant: Avant-propos — Informations
supplémentaires.
Le comité chargé de l’élaboration du présent document est l’ISO/TC 223, Sécurité sociétale.
iv © ISO 2012 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 22313:2012(F)
Introduction
Généralités
La présente Norme internationale fournit des lignes directrices, lorsque c’est opportun, applicables aux
exigences spécifiées dans l’ISO 22301:2012 et donne des recommandations (« il convient de ») et des
permissions (« peut ») en lien avec ces exigences. Il n’est pas prévu que la présente Norme internationale
fournisse des lignes directrices sur tous les aspects de la continuité d’activité.
La présente Norme internationale comprend les mêmes rubriques que l’ISO 22301, sans toutefois répéter
les exigences applicables aux systèmes de management de la continuité d’activité, ni ses termes et
définitions qui s’y rapportent. Les organisations souhaitant s’informer à ce sujet doivent par conséquent
se reporter aux normes ISO 22301 et ISO 22300.
La présente Norme internationale comprend un certain nombre de données permettant de donner des
éclaircissements et des explications sur certains points clés. Toutes ces données ne sont fournies qu’à titre
d’exemple et c’est le texte associé faisant partie du corps du texte de la présente Norme internationale
qui a la priorité.
Un système de management de la continuité d’activité (SMCA) insiste sur l’importance:
— de comprendre les besoins de l’organisation et la nécessité de définir une politique et des objectifs
de continuité d’activité;
— de mettre en place et d’employer des contrôles et des moyens de management de la capacité
d’ensemble d’une organisation à gérer les incidents perturbateurs;
— de surveiller et passer en revue les performances et l’efficacité du SMCA;
— d’améliorer en continu les processus sur la base de mesures objectives.
À l’instar de tout autre système de management, un SMCA comprend les composants essentiels suivants:
a) une politique;
b) des personnes ayant des responsabilités définies;
c) des processus de management concernant:
1) la politique;
2) la planification;
3) la mise en œuvre et le fonctionnement;
4) l’évaluation des performances;
5) la revue de direction;
6) les actions d’amélioration.
d) une documentation constituant une preuve vérifiable;
e) tout processus SMCA important pour l’organisation.
En général, la continuité d’activité est spécifique à une organisation. Néanmoins, sa mise en œuvre peut
avoir des implications pouvant s’étendre à la collectivité et à des tiers. Une organisation tend à avoir
des organisations externes dont elle dépend, tandis que d’autres dépendent d’elle. Par conséquent, une
continuité d’activité efficace contribue à renforcer la solidité d’une société.
Le cycle «Planifier-Déployer-Contrôler-Agir»
© ISO 2012 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO 22313:2012(F)
La présente Norme internationale applique le cycle «Planifier-Déployer-Contrôler-Agir» (PDCA) pour
planifier, définir, mettre en œuvre, exécuter, surveiller, réexaminer, mettre à jour et améliorer en continu
l’efficacité du SMCA d’une organisation.
La Figure 1 montre comment le SMCA prend les exigences des parties prenantes comme données d’entrée
pour le management de la continuité d’activité (MCA) et, par l’intermédiaire des actions requises et des
processus, produit des résultats en matière de continuité d’activité (c’est-à-dire une continuité d’activité
gérée) dans le respect de ces exigences.
Figure 1 — Modèle PDCA appliqué aux processus SMCA
Tableau 1 — Explication du modèle PDCA
Planifier Établir une politique de continuité d’activité, des objectifs, des contrôles, des processus et
(établir) des procédures importants pour améliorer la continuité d’activité afin de fournir des résul-
tats en accord avec les politiques et objectifs généraux de l’organisation.
Déployer Mettre en œuvre et exécuter la politique de continuité d’activité, les contrôles, processus et
(Mettre en œuvre et exécu- procédures.
ter)
Contrôler Surveiller et réexaminer les performances par rapport à des objectifs et à une politique de
(surveiller et réexaminer) continuité d’activité, rendre compte des résultats au management pour examen, déterminer
et autoriser des actions de correction et d’amélioration.
Agir Maintenir et améliorer le SMCA en prenant des actions correctives, basées sur les résultats
(Maintenir et améliorer) de la revue de direction et en réévaluant l’objet du SMCA et de la politique et des objectifs de
continuité d’activité.
Les composants du cycle PDCA dans la présente Norme internationale
Il existe une relation directe entre le contenu de la Figure 1 et les articles de la présente Norme
internationale.
vi © ISO 2012 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO 22313:2012(F)
Tableau 2 — Relation entre le modèle PDCA et les Articles 4 à 10
Composante PDCA Article concernant la composante PDCA
Planifier L’Article 4 (Contexte de l’organisation) définit ce que l’organisation doit faire afin de
(établir) s’assurer que le SMCA répond à ses exigences, en tenant compte de tous les facteurs externes
et internes concernés, notamment:
– les besoins et les attentes des parties intéressées;
– ses obligations légales et réglementaires;
– le périmètre d’application voulu du SMCA.
L’Article 5 (Leadership) définit le rôle clé du management en termes de démonstration
d’engagement, de définition de politique et d’établissement des rôles, responsabilités et
autorités.
L’Article 6 (Planification) décrit les actions nécessaires pour établir des objectifs straté-
giques et des principes d’orientation pour le SMCA dans sa globalité. Celles-ci définissent le
contexte de l’analyse d’impact sur les affaires et de l’évaluation des risques (8.2), ainsi que la
stratégie de continuité d’activité (8.3).
L’Article 7 (Appui) identifie les éléments clés devant être en place pour appuyer le SMCA,
à savoir: les ressources, la compétence, la sensibilisation, la communication et des informa-
tions documentées.
Déployer L’Article 8 (Exécution) identifie les éléments de management de la continuité d’activité
(Mettre en œuvre et exécu- (MCA) nécessaires pour assurer la continuité d’activité.
ter)
Contrôler L’Article 9 (Évaluation des performances) donne la base de l’amélioration du SMCA par la
(surveiller et réexaminer) mesure et l’évaluation de ses performances.
Agir L’Article 10 (Amélioration) couvre les actions correctives nécessaires pour résoudre les
(Maintenir et améliorer) non-conformités identifiées par l’évaluation des performances.
Continuité d’activité
La continuité d’activité est la capacité de l’organisation à continuer de livrer des produits ou des
services à des niveaux acceptables prédéfinis à la suite d’un incident perturbateur. Le management de
la continuité d’activité (MCA) est le processus assurant la continuité d’activité. Il consiste à préparer
une organisation à gérer les incidents perturbateurs qui, autrement, seraient susceptibles de l’empêcher
d’atteindre ses objectifs.
Le fait de placer le MCA dans le cadre et parmi les disciplines propres à un système de management
crée un système de management de la continuité d’activité (SMCA) permettant au MCA d’être contrôlée,
évaluée et constamment améliorée.
Dans la présente Norme internationale, le terme «affaires» est utilisé dans toutes les acceptions du terme
applicables aux opérations et services accomplis par une organisation dans la poursuite de ses objectifs,
buts ou mission. Il s’applique également aux grandes, moyennes et petites organisations intervenant
dans les secteurs industriels, commerciaux, publics et à but non lucratif.
Tout incident, grand ou petit, naturel, accidentel ou délibéré est susceptible de provoquer une perturbation
majeure sur le fonctionnement de l’organisation et sur son aptitude à livrer des produits ou des services.
Néanmoins, le fait de mettre en place une continuité d’activité avant qu’un incident perturbateur ne se
produise, plutôt que d’attendre qu’il arrive, permettra à l’organisation de reprendre son fonctionnement
avant d’en arriver à des niveaux d’impact inacceptables.
Le SMCA implique:
a) d’être bien clair sur les produits et services clés de l’organisation et sur les activités qui permettent
de les livrer;
b) de connaître les priorités pour la reprise des activités et les ressources que cela exige;
c) d’avoir une bonne compréhension des menaces pour ces activités, notamment de leurs dépendances,
et de connaître les impacts d’une absence de reprise;
© ISO 2012 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
ISO 22313:2012(F)
d) d’avoir mis en place des dispositions ayant été testées et fiables pour reprendre ces activités à la
suite d’un incident perturbateur;
e) de s’assurer que ces dispositions sont régulièrement réexaminées et mises à jour de manière à être
efficaces en toutes circonstances.
La continuité d’activité peut être efficace pour traiter à la fois les incidents perturbateurs soudains (tels
que les explosions) et graduels (tels que les pandémies de grippe).
Les activités sont perturbées par une large variété d’incidents, dont la plupart sont difficiles à
prévoir ou à analyser. En mettant l’accent sur l’impact de la perturbation plutôt que sur sa cause, la
continuité d’activité identifie les activités desquelles l’organisation dépend pour sa survie, et permet à
l’organisation de déterminer ce qu’il lui faut pour continuer de remplir ses obligations. Par la continuité
d’activité, une organisation peut reconnaître ce qui doit être fait pour protéger ses ressources (par
exemple les personnes, les locaux, la technologie et l’information), sa chaîne d’approvisionnement,
les parties prenantes et sa réputation avant la survenance d’un incident perturbateur. Ayant reconnu
cela, l’organisation est en mesure d’avoir une vision réaliste des réponses qui seront probablement
nécessaires lorsqu’un incident surviendra, afin d’être confiante dans la gestion des conséquences et
d’éviter les impacts inacceptables.
Une organisation avec une continuité d’activité appropriée en place peut également profiter
d’opportunités qui, autrement, pourraient être considérées comme trop risquées.
Les schémas suivants (Figures 2 et 3) ont pour but d’illustrer conceptuellement la manière dont la
continuité d’activité peut être efficace en réduisant les impacts dans certaines situations. La distance
relative entre les différents stades représentés sur chacun des schémas ne représente aucune échelle de
temps particulière.
Figure 2 — Illustration de l’efficacité de la continuité d’activité en cas de perturbation soudaine
viii © ISO 2012 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO 22313:2012(F)
Figure 3 — Illustration de l’efficacité de la continuité d’activité en cas de perturbation graduelle
(par exemple, l’approche d’une pandémie)
© ISO 2012 – Tous droits réservés ix
---------------------- Page: 9 ----------------------
NORME INTERNATIONALE ISO 22313:2012(F)
Sécurité sociétale — Systèmes de management de la
continuité d’activité — Lignes directrices
1 Domaine d’application
La présente Norme internationale relative aux systèmes de management de la continuité d’activité fournit
des lignes directrices basées sur une bonne pratique internationale pour la planification, l’établissement,
la mise en œuvre, l’exploitation, la surveillance, le réexamen, la mise à jour et l’amélioration constante
d’un système de management documenté permettant aux organisations de se préparer aux incidents
perturbateurs, d’y répondre et de reprendre leurs activités lorsqu’ils surviennent.
La présente Norme internationale ne prétend pas uniformiser la structure d’un SMCA, mais permettre à
une organisation de définir un SMCA qui convienne à ses besoins et qui réponde aux exigences des parties
concernées. Ces besoins sont conditionnés par les exigences légales, réglementaires, organisationnelles
et industrielles, par les produits et les services, les processus employés, l’environnement dans lequel
l’organisation fonctionne, la taille et la structure de cette dernière et les exigences des parties concernées.
La présente Norme internationale est générique et s’applique à toute taille et tout type d’organisations,
qu’elles soient grandes, moyennes ou petites et qu’elles interviennent dans les secteurs industriels,
commerciaux, publics et à but non lucratif, dans la mesure où elles souhaitent:
a) établir, mettre en œuvre, maintenir et améliorer un SMCA;
b) assurer la conformité avec la politique de continuité d’activité de l’organisation;
c) procéder à une autodétermination et effectuer une auto-déclaration de conformité avec la présente
Norme internationale.
La présente Norme internationale ne peut pas servir à évaluer l’aptitude d’une organisation à satisfaire
ses propres besoins de continuité d’activité, ni ses besoins commerciaux, légaux ou réglementaires.
Les organisations désireuses de le faire peuvent utiliser les exigences de l’ISO 22301 pour démontrer
leur conformité vis-à-vis d’autres exigences ou solliciter une certification de leur SMCA auprès d’un
organisme tiers de certification accrédité.
2 Références normatives
Les documents ci-après, dans leur intégralité ou non, sont des références normatives indispensables à
l’application du présent document. Pour les références datées, seule l’édition citée s’applique. Pour les
références non datées, la dernière édition du document de référence s’applique (y compris les éventuels
amendements).
ISO 22300, Sécurité sociétale — Terminologie.
ISO 22301, Sécurité sociétale — Systèmes de management de la continuité d’activité — Exigences.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l’ISO 22300 et l’ISO 22301
s’appliquent.
© ISO 2012 – Tous droits réservés 1
---------------------- Page: 10 ----------------------
ISO 22313:2012(F)
4 Contexte de l’organisation
4.1 Comprendre l’organisation et son contexte
Ce chapitre concerne la compréhension du contexte de l’organisation en lien avec la définition et la
gestion du SMCA. La définition et le management du MCA sont traitées en 8.1.
Il convient que l’organisation évalue et comprenne les facteurs internes et externes importants pour son
but et ses activités. Il est recommandé de tenir compte de ces informations lors de la planification, de la
mise en œuvre, de la mise à jour et de l’amélioration constante du SMCA de l’organisation, et lors de la
mise en place de priorités.
Il convient que l’évaluation du contexte externe de l’organisation contienne, lorsque c’est approprié, les
facteurs suivants:
— l’environnement politique, légal et réglementaire, qu’il soit international, national, régional ou local;
— l’environnement socioculturel, financier, technologique, économique, naturel et concurrentiel, qu’il
soit international, national, régional ou local;
— les engagements et relations de la chaîne d’approvisionnement;
— la prise en considération d’études internes sur les risques, en tenant compte d’autres systèmes
de gestion de l’information importants et, plus généralement, de toute information provenant du
management des connaissances;
— les facteurs et tendances ayant un impact déterminant sur les objectifs et le fonctionnement de
l’organisation;
— les relations avec les parties concernées externes à l’organisation, ainsi que leurs perceptions et
leurs valeurs.
Il convient que l’évaluation du contexte interne de l’organisation contienne, lorsque c’est approprié, les
facteurs suivants:
— les produits et services, activités, ressources, chaînes d’approvisionnement et relations avec les
parties concernées;
— les capacités, en termes de ressources et de connaissances (par exemple, capital, temps, personnel,
processus, systèmes et technologies);
— les systèmes d’information, les flux d’information et les processus de prise de décision (à la fois
formels et informels);
— les parties concernées au sein de l’organisation;
— les politiques, les objectifs et les stratégies mises en place pour atteindre ces derniers;
— les futures opportunités et priorités d’affaires;
— les perceptions, valeurs et cultures;
— les normes et modèles de référence adoptés par l’organisation;
— les structures (telles que gouvernance, rôles et responsabilités).
4.2 Comprendre les besoins et les attentes des parties intéressées
4.2.1 Généralités
Lorsqu’elle établit son SMCA, il est recommandé que l’organisation s’assure que les besoins et les
exigences des parties concernées sont bien pris en considération.
2 © ISO 2012 – Tous droits réservés
---------------------- Page: 11 ----------------------
ISO 22313:2012(F)
Il convient que l’organisation identifie toutes les parties concernées pour son SMCA et qu’elle détermine
leurs exigences, sur la base de leurs besoins et de leurs attentes. Il est important d’identifier non
seulement les exigences obligatoires et déclarées, mais aussi toutes celles qui sont implicites.
NOTE L’organisation doit avoir connaissance de toutes les instances ayant un intérêt dans l’organisation,
comme les médias, le public proche, les concurrents, etc.
Lors de la planification et de la mise en œuvre du SMCA, il est important d’identifier les actions
appropriées vis-à-vis des parties concernées, mais de faire la différence entre les différentes catégories.
Par exemple, alors qu’il peut être approprié de communiquer avec toutes les parties concernées à la
suite d’un incident perturbateur, il peut ne pas être approprié de communiquer avec toutes les parties
concernées lors de la définition et du pilotage du MCA (8.1.1).
Figure 4 — Exemples de parties concernées à considérer dans les secteurs public et privé
4.2.2 Exigences légales et réglementaires
Il convient que tous les systèmes de management fonctionnent dans le cadre de l’environnement légal
et réglementaire dans lequel l’organisation intervient. Par conséquent, il convient que l’organisation
identifie et incorpore à son SMCA toutes les exigences légales et réglementaires pertinentes et applicables
auxquelles elle souscrit, ainsi que les besoins des parties intéressées.
© ISO 2012 – Tous droits réservés 3
---------------------- Page: 12 ----------------------
ISO 22313:2012(F)
Il est recommandé que les informations relatives à ces exigences soient documentées et maintenues à
jour. Il est recommandé que les exigences légales, réglementaires ou autres, nouvelles ou soumises à des
variations, soient communiquées aux employés affectés et aux autres parties concernées.
Lors de l’établissement, de la mise en œuvre et de la mise à jour du SMCA, il convient que l’organisation
prenne en compte et documente les exigences légales applicables, les autres exigences auxquelles elle
souscrit et les besoins des parties concernées.
Il est recommandé que l’organisation s’assure que son SMCA fonctionne dans le cadre et à l’appui de ses
obligations légales et des exigences correspondantes des parties concernées.
Il convient que l’organisation passe en revue les exigences statutaires et réglementaires en cours et en
suspens dans ses différents sites, ce qui peut compre
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.