Security and resilience — Business continuity management systems — Guidelines for business impact analysis

This document gives guidelines for an organization to implement and maintain a formal and documented business impact analysis (BIA) process appropriate to its needs. It does not prescribe a uniform process for performing a BIA. This document is applicable to all organizations regardless of type, size and nature, whether in the private, public or not-for-profit sectors. The guidance can be adapted to the needs, objectives, resources and constraints of the organization.

Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices pour le bilan d'impact sur l'activité

Le présent document fournit des lignes directrices visant à permettre à un organisme de mettre en œuvre et de maintenir un processus formel et documenté de bilan d’impact sur l’activité (BIA), adapté à ses besoins. Il n’impose pas de processus unique pour l’exécution d’un BIA. Le présent document est applicable à tous les organismes, quels que soient leur type, leur taille et leur nature, qu’ils appartiennent au secteur privé ou au secteur public et qu’ils soient à but non lucratif ou non. Les lignes directrices peuvent être adaptées en fonction des besoins, objectifs, ressources et contraintes de l’organisme.

General Information

Status
Published
Publication Date
16-Nov-2021
Current Stage
6060 - International Standard published
Start Date
17-Nov-2021
Due Date
10-Jul-2021
Completion Date
17-Nov-2021
Ref Project

Relations

Buy Standard

Technical specification
ISO/TS 22317:2021 - Security and resilience -- Business continuity management systems -- Guidelines for business impact analysis
English language
36 pages
sale 15% off
Preview
sale 15% off
Preview
Technical specification
ISO/TS 22317:2021 - Sécurité et résilience -- Systèmes de management de la continuité d'activité -- Lignes directrices pour le bilan d'impact sur l'activité
French language
37 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)

TECHNICAL ISO/TS
SPECIFICATION 22317
Second edition
2021-11
Security and resilience — Business
continuity management systems
— Guidelines for business impact
analysis
Sécurité et résilience — Systèmes de management de la continuité
d'activité — Lignes directrices pour l'analyse d'impact sur l'activité
Reference number
ISO/TS 22317:2021(E)
© ISO 2021

---------------------- Page: 1 ----------------------
ISO/TS 22317:2021(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2021
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
  © ISO 2021 – All rights reserved

---------------------- Page: 2 ----------------------
ISO/TS 22317:2021(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Prerequisites . 1
4.1 General . 1
4.2 Context and scope . 2
4.2.1 Context . 2
4.2.2 Scope . 2
4.3 Roles and responsibilities . 2
4.3.1 General . 2
4.3.2 BIA leader . 2
4.3.3 Activity owners . 3
4.4 Commitment . 3
5 The BIA process.3
5.1 Fundamentals . 3
5.2 Plan BIA . . 4
5.3 Agree approach for undertaking BIA process . 4
5.3.1 Understand impacts . 4
5.3.2 Define impact types and criteria . 5
5.3.3 Define time frames . 7
5.3.4 Define methodology . 7
5.4 Determine products and services’ priorities with top management . 8
5.4.1 Overview . 8
5.4.2 Inputs . 8
5.4.3 Product and service priority determination . 8
5.4.4 Outcomes . 9
5.5 Determine the prioritized activities . 9
5.5.1 Overview . 9
5.5.2 Inputs . 9
5.5.3 Identify activities . 9
5.5.4 Set RTO for the activities . 9
5.5.5 Define the prioritized activities. 10
5.5.6 Results . 10
5.6 Identify resources and other dependencies . 10
5.6.1 Identify resource and other dependency requirements . 10
5.6.2 Resource requirements . 11
5.7 Analyse and consolidate BIA results. 11
5.8 Obtain top management approval for BIA results .12
6 Review BIA .12
6.1 Review BIA process and methodology .12
6.2 Review BIA results .12
Annex A (informative) BIA within the BCMS of ISO 22301:2019 .14
Annex B (informative) BIA information collection methods .15
Annex C (informative) Other uses for the BIA process .22
Annex D (informative) Examples for performing a BIA .25
Bibliography .36
iii
© ISO 2021 – All rights reserved

---------------------- Page: 3 ----------------------
ISO/TS 22317:2021(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
This second edition cancels and replaces the first edition (ISO/TS 22317:2015), which has been
technically revised. The main changes are as follows:
— the document has been updated to align with ISO 22301:2019;
— the document structure has been updated to improve the description of the business impact analysis
(BIA) process;
— more focus has been placed on the BIA process and less on the business continuity programme;
— BIA and the BIA process have been clearly differentiated;
— BIA process roles have been consolidated to BIA leader and activity owners;
— the section “Initial BIA considerations” has been removed and the guidance redistributed;
— the section “Strategy selection” has been removed as it is part of ISO/TS 22331;
— the annex on terminology has been removed;
— the annex on BIA information collection methods has been enhanced;
— a new annex with examples for performing a BIA has been included.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
iv
  © ISO 2021 – All rights reserved

---------------------- Page: 4 ----------------------
ISO/TS 22317:2021(E)
Introduction
This document provides detailed guidelines for implementing and maintaining a business impact
analysis (BIA) process consistent with ISO 22301. This document is applicable to the performance of
any BIA process.
The terminology used is consistent with ISO 22300 and ISO 22301, but an organization can use different
terms provided they are clearly understood.
Figure 1 notes the relationship of the BIA process to the business continuity management system
(BCMS) as a whole. The organization should complete a cycle of the BIA process before business
continuity strategies and solutions are selected.
NOTE Source: ISO 22313:2020, Figure 5.
Figure 1 — Elements of business continuity management
The BIA process analyses the effects of a disruption on the organization. The outcome is a statement
and justification of business continuity priorities and requirements.
The first step in the BIA is the prioritization of products and services, which is followed by a number of
process BIAs (optional) and activity BIAs. The scope of each of these BIAs can be limited, but together
they should cover the entire BCMS scope. Organizations should review and perform the BIA process on
a periodic basis (e.g. annually) and whenever there are significant changes within the organization or
its context.
In this document, the terms “BIA” and “BIA process” are used as well as “result” and “outcome”. Figure 2
depicts how these terms are used.
v
© ISO 2021 – All rights reserved

---------------------- Page: 5 ----------------------
ISO/TS 22317:2021(E)
Figure 2 — Understanding BIA, BIA process, results and outcomes
The purpose of this document is to:
— provide a basis for implementing an effective BIA process within an organization;
— assist the organization with planning, conducting and reporting on the BIA process in a consistent
manner.
This document provides examples for performing the BIA. It is important to note that these examples,
individually or in combination, can help an organization achieve BIA outcomes. The selection of the
most appropriate method will be influenced by the organization’s size, sector, geography or context.
The outcomes of the BIA process include:
a) endorsement or modification of the organization’s BCMS scope;
b) identification of legal, regulatory, and contractual requirements (obligations) and their effect on
business continuity priorities and requirements;
c) evaluation of the impact of a disruption over time on the organization, which serves as the
justification for business continuity priorities and requirements;
d) estimation of the time it would take for adverse impacts to products and services to become
unacceptable [maximum tolerable period of disruption (MTPD)] following a disruption;
e) identification of the requirements [MTPD and recovery time objective (RTO)] for the prioritized
activities;
f) identification of the resources needed to perform prioritized activities following a disruption,
including their dependencies, and requirements, specifying RTOs and applicable recovery point
objectives (RPOs);
g) identification of dependencies including suppliers, partners and other interested parties;
h) identification of the interdependencies of prioritized activities.
Figure 3 shows the BIA process, along with its prerequisites and its relationship to the selection of
business continuity strategies and solutions. The clauses referred to in the diagram correspond to
subclauses of this document.
vi
  © ISO 2021 – All rights reserved

---------------------- Page: 6 ----------------------
ISO/TS 22317:2021(E)
Figure 3 — BIA process
The organization should use the statement of business continuity priorities and requirements to select
business continuity strategies and solutions.
The BIA can cause the organization to reconsider how it delivers its products and services.
The BIA depends on information being provided by many people across an organization who can have
different perspectives on how the organization operates, what is time-critical or what impacts can
occur following a disruption. Commonly, some overstate their requirements, while others understate
theirs. This document seeks to define an approach that provides sufficient objectivity and minimizes
these issues to produce effective outcomes.
vii
© ISO 2021 – All rights reserved

---------------------- Page: 7 ----------------------
TECHNICAL SPECIFICATION ISO/TS 22317:2021(E)
Security and resilience — Business continuity
management systems — Guidelines for business impact
analysis
1 Scope
This document gives guidelines for an organization to implement and maintain a formal and documented
business impact analysis (BIA) process appropriate to its needs. It does not prescribe a uniform process
for performing a BIA.
This document is applicable to all organizations regardless of type, size and nature, whether in the
private, public or not-for-profit sectors. The guidance can be adapted to the needs, objectives, resources
and constraints of the organization.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Security and resilience — Vocabulary
ISO 22301, Security and resilience — Business continuity management systems — Requirements
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and ISO 22301 apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
4 Prerequisites
4.1 General
While this document is consistent with the requirements of ISO 22301, it can be used to implement and
review any BIA process.
Before commencing the BIA process, the organization should:
— define the context and scope of the BIA process (see 4.2);
— define and communicate roles and responsibilities (see 4.3);
— obtain leadership commitment and allocate adequate resources (see 4.4).
NOTE See Annex A for a mapping of each clause to ISO 22301.
1
© ISO 2021 – All rights reserved

---------------------- Page: 8 ----------------------
ISO/TS 22317:2021(E)
4.2 Context and scope
4.2.1 Context
The outcomes of the BIA process are dependent on the organization’s understanding of the following, so
that it can achieve its purpose by delivering its products and services to customers:
— the external environment (including suppliers, statutory and regulatory bodies) in which it operates;
— the internal operating environment, inclusive of business processes, activities and resources, as
well as the potential impact caused by disruption to the delivery of products and services;
NOTE In organizations operating within a non-commercial environment, the “customer” can be the public or
an overseeing authority, such as the government.
4.2.2 Scope
The BIA process should cover the whole of the BCMS scope. The organization should have defined
and documented the scope of the BCMS in terms of its products and services. The outcomes of the
BIA process can require the organization to reconsider the scope of the BCMS by adding or removing
products and services.
The organization should first prioritize all products and services in scope which can include internal
strategic services (see 5.4.3). Those with higher priorities can be addressed first.
4.3 Roles and responsibilities
4.3.1 General
Top management should ensure:
— responsibilities and authorities for relevant roles are assigned and communicated within the
organization;
— that persons leading the BIA process are competent;
— resources necessary to perform the BIA process are provided.
Top management should ensure that the following roles (other roles can be appropriate) to perform the
BIA process are appointed:
a) BIA leader (this can be the same person as the BCMS manager) (see 4.3.2);
b) activity owners (see 4.3.3).
4.3.2 BIA leader
The BIA leader is responsible for the BIA process and should:
— ensure people with the required competencies are available to enable the BIA process;
— prepare and deliver the BIA methodology;
— plan and manage the BIA process;
— make sure that the information provided by the activity owners is consistent throughout the
organization;
— undertake consolidation and analysis of the information provided by the activity owners;
— present the outcomes to top management for approval.
2
  © ISO 2021 – All rights reserved

---------------------- Page: 9 ----------------------
ISO/TS 22317:2021(E)
4.3.3 Activity owners
Activity owners should:
— provide a detailed understanding of the activity for which they are responsible, including all of the
resources that enable the activity to operate;
— provide information regarding existing workarounds, business processes and resources that
influence the business continuity priorities and requirements;
— apply BIA methodology and provide the relevant information to the BIA leader.
4.4 Commitment
Top management commitment to the BIA process is necessary to ensure effective participation. They
should:
a) communicate the value of the BIA process;
b) provide ongoing support for the BIA process;
c) provide sufficient resources for the BIA process to:
1) fulfil BIA process-specific roles and responsibilities, as well as training and awareness
requirements, in adequate time;
2) meet the changing requirements of the organization;
d) agree on the BIA methods, priorities and time frames;
e) ensure an environment that enables continual improvement within the organization;
f) approve the outcomes of the BIA that ensure:
1) business continuity priorities and requirements are aligned with organization’s objectives and
strategic direction;
2) the organization meets its legal, contractual and customer requirements during a disruption;
3) products and services, business processes, activities and resources are appropriately aligned;
g) ensure that BIA outcomes are available when selecting business continuity strategies and solutions.
5 The BIA process
5.1 Fundamentals
The BIA process prioritizes activities and resources so that product and service delivery can be resumed
in a predetermined time frame and at a predefined capacity following a disruption, to the satisfaction
of interested parties. The outcomes are the business continuity priorities and requirements.
The quality of the BIA process and its outcomes is key to selecting appropriate business continuity
strategies and solutions.
The timeliness of achieving quality BIA outcomes is key to minimizing impacts in case of a disruption.
If some information is incomplete, unavailable, confidential or withheld, these challenges should not
delay the progression and completion of the BIA process. A balance between quality and timeliness
should be found.
3
© ISO 2021 – All rights reserved

---------------------- Page: 10 ----------------------
ISO/TS 22317:2021(E)
5.2 Plan BIA
Planning tasks can include:
a) allocating necessary resources, including competent people to lead and participate in the BIA
process;
b) grouping products and services together when they have similar characteristics, e.g. they can be
grouped by type, by geographic area or by line of business;
c) identifying the organization’s structure and the teams or individuals that can provide information
about products and services, activities and resources;
d) communicating expectations to all participants in the BIA process;
e) establishing the plan, including activities for:
1) obtaining top management’s agreement on the approach for undertaking the BIA process (see
5.3);
2) organizing meeting(s) with top management to determine products and services’ priorities
(see 5.4);
3) identifying and selecting the information collection methods (see Annex B);
4) defining a template or tool to record the information collected (see 5.5);
5) gathering information from the activity owners (see 5.5 and 5.6);
6) analysing and consolidating the information received (see 5.7);
7) obtaining top management approval for the results (see 5.8);
f) gaining approval of the planned BIA process.
5.3 Agree approach for undertaking BIA process
5.3.1 Understand impacts
The BIA process explores, in a consistent manner, the organizational impact resulting from the
disruption to the delivery of products and services. Disruption can come from within, from the supply
chain or from other external sources – all of which can result in a disruption to the delivery of one or
more products and services to customers and other interested parties.
The impacts on the organization resulting from the reactions of interested parties can include the
examples given in Table 1.
Table 1 — Impacts due to interested parties
Interested party Examples of the impact
Existing customers and clients Loss of revenue and market share
Increasing complaints
Contract penalties or litigation
Community Loss of confidence
Potential customers and clients Loss of potential business opportunities
Partner organizations Reduced willingness and ability to continue to cooperate
Media and society Negative effect on reputation, brand value and public opinion
Shareholders Negative effect on current share price and future investment
4
  © ISO 2021 – All rights reserved

---------------------- Page: 11 ----------------------
ISO/TS 22317:2021(E)
Table 1 (continued)
Interested party Examples of the impact
Creditors Negative effect on debt payments and future finance requirements
Competitors Loss of market share as competitors take advantage of the situation
Staff Loss of key personnel (temporary or permanent)
Regulators and government Penalties and rule changes
Loss of license to operate
5.3.2 Define impact types and criteria
The organization can experience different types of impacts such as damage to reputation or business
objectives, financial losses and litigation. Impact types are not the same as consequence types or
categories as used in risk management. Impact is the result of a disruption on the organization. To
compare and assess impacts that are very different in a consistent manner, the organization should
define impact types and criteria.
The organization should define impact types to understand the impact over time of a disruption to
the delivery of products and services. Top management should approve the proposed impact types and
criteria.
The choice of impact types and criteria are influenced by the organization’s sector, context and the
nature of its activities, as well as organizational culture. The selection of one or more impact types and
criteria, including the need for quantitative and qualitative impact information and the level of detail
collected, should be suitable for the organization to select or justify business continuity priorities and
requirements.
Impact types to be considered can include:
— business objectives;
— environmental;
— financial;
— health and safety;
— legal, regulatory and contractual;
— market share;
— operational;
— reputational.
An organization can consolidate impact types, for example, to the following:
— business objectives;
— financial;
— legal, regulatory and contractual;
— reputational.
To assess different types of impacts and their effect on the business, the organization can choose to
define thresholds when the impact becomes unacceptable (see the examples in Table 2) or to define an
impact matrix with defined criteria for each impact level and type (see the examples in Table 3). The
criteria should be as objective and measurable as possible.
NOTE Table 3 shows five levels but the number of levels can be adapted to the organization’s needs.
5
© ISO 2021 – All rights reserved

---------------------- Page: 12 ----------------------
ISO/TS 22317:2021(E)
Table 2 — Examples of thresholds for impact types
Impact type Description MTPD threshold
Business Failure to deliver on objectives or take Negative deviation by x % on business
objectives advantage of opportunities objectives
Financial Financial losses due to fines, penalties, Viability threatened by loss higher than USD x
lost pro
...

SPÉCIFICATION ISO/TS
TECHNIQUE 22317
Deuxième édition
2021-11
Sécurité et résilience — Systèmes
de management de la continuité
d'activité — Lignes directrices pour le
bilan d'impact sur l'activité
Security and resilience — Business continuity management systems
— Guidelines for business impact analysis
Numéro de référence
ISO/TS 22317:2021(F)
© ISO 2021

---------------------- Page: 1 ----------------------
ISO/TS 22317:2021(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2021
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
  © ISO 2021 – Tous droits réservés

---------------------- Page: 2 ----------------------
ISO/TS 22317:2021(F)
Sommaire Page
Avant-propos .iv
Introduction . vi
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 1
4 Conditions préalables . 1
4.1 Généralités . 1
4.2 Contexte et domaine d’application . 2
4.2.1 Contexte . 2
4.2.2 Domaine d’application . 2
4.3 Rôles et responsabilités . 2
4.3.1 Généralités . 2
4.3.2 Pilote du BIA . 2
4.3.3 Propriétaires d’activité . . 3
4.4 Engagement . 3
5 Le processus de BIA . 3
5.1 Fondamentaux . 3
5.2 Planifier le BIA . 4
5.3 Convenir de l’approche pour engager le processus de BIA . 4
5.3.1 Comprendre les impacts . 4
5.3.2 Définir les types d’impacts et les critères . 5
5.3.3 Définir les délais . 7
5.3.4 Définir une méthodologie . 8
5.4 Déterminer les priorités attribuées aux produits et services avec la direction
générale . 8
5.4.1 Vue d’ensemble . 8
5.4.2 Données d’entrée . 9
5.4.3 Détermination des priorités pour les produits et services . 9
5.4.4 Aboutissements . 9
5.5 Déterminer les activités prioritaires . 9
5.5.1 Vue d’ensemble . 9
5.5.2 Données d’entrée . 10
5.5.3 Identifier les activités . 10
5.5.4 Établir les RTO des activités . 10
5.5.5 Définir les activités prioritaires . 10
5.5.6 Résultats . 10
5.6 Identifier les ressources et les autres dépendances . 11
5.6.1 Identifier les exigences en matière de ressources et autres dépendances . 11
5.6.2 Exigences en termes de ressources . 11
5.7 Analyser et consolider les résultats du BIA .12
5.8 Obtenir l’approbation de la direction générale pour les résultats du BIA .13
6 Passer en revue le BIA .13
6.1 Passer en revue le processus et la méthodologie de BIA .13
6.2 Passer en revue les résultats du BIA . 13
Annexe A (informative) Le BIA au sein du SMCA de l’ISO 22301:2019 .15
Annexe B (informative) Méthodes de collecte des informations relatives au BIA .16
Annexe C (informative) Autres utilisations du processus de BIA .23
Annexe D (informative) Exemples de réalisation de BIA .26
Bibliographie .37
iii
© ISO 2021 – Tous droits réservés

---------------------- Page: 3 ----------------------
ISO/TS 22317:2021(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Cette deuxième édition annule et remplace la première édition (ISO/TS 22317:2015), qui a fait l’objet
d’une révision technique. Les principales modifications sont les suivantes:
— le document a été mis à jour pour être aligné sur l’ISO 22301:2019;
— la structure du document a été mise à jour afin d’améliorer la description du processus relatif au
bilan d’impact sur l’activité (BIA);
— l’accent a été davantage mis sur le processus relatif au BIA et moins sur le programme de continuité
d’activité;
— le BIA et le processus de BIA ont été clairement différenciés;
— les rôles relatifs au processus du BIA ont été consolidés au niveau du pilote du BIA et des propriétaires
d’activité;
— le paragraphe «Considérations initiales relatives au BIA» a été retiré et les lignes directrices
redistribuées;
— le paragraphe «Sélectionner la stratégie» a été retiré, car il fait partie de l’ISO/TS 22331;
— l’annexe sur la terminologie a été retirée;
— l’annexe sur les méthodes de collecte des informations du BIA a été améliorée;
— une nouvelle annexe accompagnée d’exemples de réalisation de BIA a été incluse.
iv
  © ISO 2021 – Tous droits réservés

---------------------- Page: 4 ----------------------
ISO/TS 22317:2021(F)
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
v
© ISO 2021 – Tous droits réservés

---------------------- Page: 5 ----------------------
ISO/TS 22317:2021(F)
Introduction
Le présent document fournit des lignes directrices détaillées pour la mise en œuvre et le maintien d’un
processus de bilan d’impact sur l’activité (BIA) qui soit cohérent avec l’ISO 22301. Ce document est
applicable à la réalisation de tout processus de BIA.
La terminologie utilisée est cohérente avec l’ISO 22300 et l’ISO 22301, mais un organisme peut utiliser
des termes différents à condition qu’ils soient clairement compris.
La Figure 1 montre la relation entre le processus de BIA et le système de management de la continuité
d’activité (SMCA) dans son ensemble. Il convient que l’organisme réalise un cycle complet de processus
de BIA avant de sélectionner les stratégies et solutions de continuité d’activité.
NOTE Source: ISO 22313:2020, Figure 5.
Figure 1 — Éléments de management de la continuité d’activité
Le processus de BIA analyse les effets d’une perturbation sur un organisme. L’aboutissement est un
inventaire des priorités et des exigences relatives à la continuité d’activité et leur justification.
La première étape d’un BIA est la priorisation des produits et services, suivie par un certain nombre
de BIA de processus (en option) et de BIA d’activités. Le domaine d’application de chacun de ces BIA
peut être limité, mais il convient qu’ils couvrent ensemble la totalité du domaine d’application du SMCA.
Il convient que les organismes revoient et effectuent régulièrement (par exemple annuellement) le
processus du BIA et à chaque fois que des modifications importantes sont apportées à l’organisme ou à
son contexte.
Dans le présent document, les termes «BIA» et «processus de BIA» sont utilisés, ainsi que les termes
«résultat» et «aboutissement». La Figure 2 décrit comment ces termes sont utilisés.
vi
  © ISO 2021 – Tous droits réservés

---------------------- Page: 6 ----------------------
ISO/TS 22317:2021(F)
Figure 2 — Comprendre BIA, processus de BIA, résultats et aboutissements
L’objet du présent document est de:
— fournir une base pour la mise en œuvre d’un processus de BIA efficace au sein d’un organisme;
— soutenir l’organisme dans la planification, la conduite et le reporting du processus de BIA de manière
cohérente.
Le présent document donne des exemples de réalisation de BIA. Il est important de noter que ces
exemples, individuels ou combinés, peuvent aider un organisme à arriver à des aboutissements en
matière de BIA. La sélection de la méthode la plus appropriée sera influencée par la taille de l’organisme,
son secteur, la géographie ou le contexte.
Les aboutissements du processus de BIA comprennent les éléments suivants:
a) approbation ou modification du domaine d’application du SMCA de l’organisme;
b) identification des exigences (obligations) réglementaires, juridiques et contractuelles et de leur
effet sur les priorités et les exigences relatives à la continuité d’activité;
c) évaluation de l’impact d’une perturbation sur l’organisme dans le temps, qui sert de justification
aux priorités et exigences relatives à la continuité d’activité;
d) estimation du temps que prendraient les impacts adverses pour rendre les produits et services
inacceptables [durée maximale tolérable de perturbation (DMTP)] après une perturbation;
e) identification des exigences [DMTP et objectifs de délai de rétablissement (RTO)] pour les activités
prioritaires;
f) identification des ressources nécessaires pour réaliser les activités prioritaires à la suite d’une
perturbation, y compris leurs dépendances, et exigences, en spécifiant les RTO et les points de
rétablissement des données (RPO);
g) identification des dépendances, y compris les fournisseurs, partenaires et autres parties
intéressées;
h) identification des interdépendances des activités prioritaires.
La Figure 3 montre le processus de BIA, ainsi que ses conditions préalables et sa relation avec la
sélection de stratégies et de solutions de continuité d’activité. Les chiffres indiqués dans le schéma
correspondent aux paragraphes du présent document.
vii
© ISO 2021 – Tous droits réservés

---------------------- Page: 7 ----------------------
ISO/TS 22317:2021(F)
Figure 3 — Processus de BIA
Il convient que l’organisme utilise la déclaration sur les priorités et les exigences de continuité d’activité
afin de sélectionner les stratégies et les solutions de continuité d’activité.
Le BIA peut amener l’organisme à reconsidérer la manière dont il livre ses produits et fournit ses
services.
Le BIA dépend des informations fournies par de nombreuses personnes à travers l’organisme qui
peuvent avoir des perspectives différentes sur la manière dont l’organisme fonctionne, sur ce qui est
critique en termes de temps, ou sur les impacts qui peuvent survenir à la suite d’une perturbation. Il est
courant que certaines personnes exagèrent leurs exigences alors que d’autres les minorent. Le présent
document cherche à définir une approche qui fournisse suffisamment d’objectivité et minimise ces
questions dans le but d’arriver à des aboutissements efficaces.
viii
  © ISO 2021 – Tous droits réservés

---------------------- Page: 8 ----------------------
SPÉCIFICATION TECHNIQUE ISO/TS 22317:2021(F)
Sécurité et résilience — Systèmes de management de la
continuité d'activité — Lignes directrices pour le bilan
d'impact sur l'activité
1 Domaine d’application
Le présent document fournit des lignes directrices visant à permettre à un organisme de mettre en
œuvre et de maintenir un processus formel et documenté de bilan d’impact sur l’activité (BIA), adapté à
ses besoins. Il n’impose pas de processus unique pour l’exécution d’un BIA.
Le présent document est applicable à tous les organismes, quels que soient leur type, leur taille et leur
nature, qu’ils appartiennent au secteur privé ou au secteur public et qu’ils soient à but non lucratif
ou non. Les lignes directrices peuvent être adaptées en fonction des besoins, objectifs, ressources et
contraintes de l’organisme.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
ISO 22301, Sécurité et résilience — Systèmes de management de la continuité d’activité — Exigences
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l’ISO 22300 et l’ISO 22301
s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
4 Conditions préalables
4.1 Généralités
Bien que le présent document soit en cohérence avec les exigences de l’ISO 22301, il peut être utilisé
pour mettre en œuvre et passer en revue tout processus de BIA.
Avant de commencer un processus de BIA, il convient que l’organisme:
— définisse le contexte et le domaine d’application du processus de BIA (voir 4.2);
— définisse et communique les rôles et les responsabilités (voir 4.3);
— obtienne un engagement du leadership et alloue les ressources adéquates (voir 4.4);
1
© ISO 2021 – Tous droits réservés

---------------------- Page: 9 ----------------------
ISO/TS 22317:2021(F)
NOTE Voir l’Annexe A pour une mise en correspondance de chaque article avec l’ISO 22301.
4.2 Contexte et domaine d’application
4.2.1 Contexte
Les aboutissements du processus de BIA dépendent de la compréhension de l’organisme vis-à-vis des
éléments suivants, pour qu’il puisse remplir son objet en livrant ses produits et fournissant ses services
à ses clients:
— l’environnement externe (comprenant les fournisseurs, les organes statutaires et réglementaires)
dans lequel il fonctionne;
— l’environnement opérationnel interne, y compris les processus métier, activités et ressources, ainsi
que l’impact potentiel d’une perturbation sur la livraison des produits et la fourniture des services.
NOTE Pour les organismes opérant dans un environnement non commercial, le «client» peut être le public
ou une autorité de tutelle telle que l’administration.
4.2.2 Domaine d’application
Il convient que le processus de BIA couvre l’ensemble du domaine d’application du SMCA. Il convient
que l’organisme définisse et documente le domaine d’application du SMCA en termes de produits et de
services. Les aboutissements du processus de BIA peuvent requérir de l’organisme qu’il reconsidère le
domaine d’application du SMCA par l’ajout ou la suppression de certains produits et services.
Il convient d’abord que l’organisme priorise tous les produits et services du domaine d’application, qui
peuvent comprendre des services stratégiques internes (voir 5.4.3). Ceux dont les priorités sont les plus
élevées peuvent être traités en premier.
4.3 Rôles et responsabilités
4.3.1 Généralités
Il convient que la direction générale s’assure que:
— les responsabilités et l’autorité des rôles pertinents sont attribuées et communiquées au sein de
l’organisme;
— les personnes pilotant le processus de BIA sont compétentes;
— les ressources nécessaires à l’exécution du processus de BIA sont pourvues.
Il convient que la direction générale s’assure que les rôles suivants (d’autres rôles peuvent être
concernés) relatifs à l’exécution du processus de BIA sont attribués:
a) le pilote du BIA (cela peut être la même personne que le responsable SMCA) (voir 4.3.2);
b) les propriétaires d’activité (voir 4.3.3).
4.3.2 Pilote du BIA
Le pilote du BIA est responsable du processus de BIA et il convient qu’il:
— s’assure que des personnes ayant les compétences requises sont disponibles pour réaliser le
processus de BIA;
— prépare et fournisse la méthodologie du BIA;
— planifie et gère le processus de BIA;
2
  © ISO 2021 – Tous droits réservés

---------------------- Page: 10 ----------------------
ISO/TS 22317:2021(F)
— s’assure que les informations fournies par les propriétaires d’activité sont cohérentes au sein de
l’organisme;
— entreprenne la consolidation et l’analyse des informations fournies par les propriétaires d’activité;
— présente les aboutissements à la direction générale pour approbation.
4.3.3 Propriétaires d’activité
Il convient que les propriétaires d’activité:
— fournissent une compréhension approfondie de l’activité dont ils sont responsables, y compris de
l’ensemble des ressources qui permettent à l’activité d’être réalisée;
— fournissent des informations concernant les solutions de contournement, les processus métier et les
ressources existants, qui influent sur les priorités et exigences relatives à la continuité d’activité;
— appliquent la méthodologie du BIA et fournissent les informations pertinentes au pilote du BIA.
4.4 Engagement
L’engagement de la direction générale en faveur du processus de BIA est nécessaire pour assurer une
participation efficace. Il convient que la direction générale:
a) communique la valeur du processus de BIA;
b) apporte un soutien continu au processus de BIA;
c) fournisse suffisamment de ressources pour le processus de BIA afin de:
1) remplir les rôles et responsabilités spécifiques au processus de BIA, ainsi que les exigences
relatives à la formation et à la sensibilisation (prise de conscience), en temps opportun;
2) répondre à l’évolution des exigences de l’organisme;
d) donne son accord sur les méthodes, priorités et délais relatifs au BIA;
e) s’assure que l’environnement permet de réaliser des améliorations continues au sein de l’organisme;
f) approuvent les aboutissements du BIA qui assurent:
1) que les priorités et les exigences relatives à la continuité d’activité sont alignées sur les objectifs
et la direction stratégique de l’organisme;
2) que l’organisme respecte ses obligations juridiques et contractuelles et les exigences des clients
en cas de perturbation;
3) que les produits et services, les processus métier, les activités et ressources sont alignés de
façon appropriée;
g) assure que les aboutissements du BIA sont disponibles lors de la sélection des stratégies et solutions
de continuité d’activité.
5 Le processus de BIA
5.1 Fondamentaux
Le processus de BIA priorise les activités et les ressources, de sorte que, à la suite d’une perturbation,
la livraison de produits et la fourniture de services puissent reprendre dans un délai prédéterminé et
avec une capacité prédéfinie, de façon satisfaisante pour les parties intéressées. Les aboutissements en
sont les priorités et les exigences relatives à la continuité d’activité.
3
© ISO 2021 – Tous droits réservés

---------------------- Page: 11 ----------------------
ISO/TS 22317:2021(F)
La qualité du processus de BIA et de ses aboutissements est essentielle pour sélectionner les stratégies
et solutions appropriées de continuité d’activité.
La rapidité pour obtenir des aboutissements de qualité pour le BIA est essentielle pour minimiser les
impacts en cas de perturbation. Si certaines informations sont incomplètes, indisponibles, confidentielles
ou retenues, il convient que ces difficultés ne retardent pas la progression et l’achèvement du processus
de BIA. Il convient de trouver un équilibre entre la qualité et la rapidité.
5.2 Planifier le BIA
Les tâches de planification peuvent inclure:
a) l’allocation des ressources nécessaires, y compris les personnes compétentes pour piloter le
processus de BIA ou y prendre part;
b) le regroupement des produits et services lorsque leurs caractéristiques sont similaires, il est
possible par exemple de les regrouper par type, par zone géographique ou par secteur d’activité;
c) l’identification de la structure de l’organisme et des équipes ou individus pouvant fournir des
informations sur les produits et services, les activités et les ressources;
d) la communication des attentes à tous les participants du processus de BIA;
e) l’établissement du plan, incluant les activités menées pour:
1) obtenir l’accord de la direction générale quant à l’approche utilisée pour entreprendre le
processus de BIA (voir 5.3);
2) organiser une ou des réunion(s) avec la direction générale pour déterminer les priorités
relatives aux produits et services (voir 5.4);
3) identifier et sélectionner des méthodes de collecte des informations (voir Annexe B);
4) définir un modèle ou un outil pour enregistrer les informations collectées (voir 5.5);
5) rassembler les informations provenant des propriétaires d’activité (voir 5.5 et 5.6);
6) analyser et consolider les informations reçues (voir 5.7);
7) obtenir l’approbation de la direction générale concernant les résultats (voir 5.8);
f) l’obtention d’une approbation concernant le processus de BIA planifié.
5.3 Convenir de l’approche pour engager le processus de BIA
5.3.1 Comprendre les impacts
Le processus de BIA explore, de manière cohérente, les impacts sur l’organisme résultant d’une
perturbation dans la livraison des produits et la fourniture des services. La perturbation peut venir de
l’intérieur, de la chaîne d’approvisionnement ou d’autres sources externes – de chacun de ces éléments
peut résulter une perturbation dans la livraison d’un ou plusieurs produits et services aux clients et aux
autres parties intéressées.
Les impacts sur l’organisme résultant des réactions des parties intéressées peuvent inclure les exemples
donnés au Tableau 1.
4
  © ISO 2021 – Tous droits réservés

---------------------- Page: 12 ----------------------
ISO/TS 22317:2021(F)
Tableau 1 — Impacts dus aux parties intéressées
Partie intéressée Exemples d’impacts
Consommateurs et clients existants Perte de revenus et de parts de marché
Plaintes accrues
Pénalités contractuelles o
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.