EURUSD
Your shopping cart is empty.
ISO

ISO/TS 22317:2021

(Main)

Security and resilience — Business continuity management systems — Guidelines for business impact analysis

Security and resilience — Business continuity management systems — Guidelines for business impact analysis

This document gives guidelines for an organization to implement and maintain a formal and documented business impact analysis (BIA) process appropriate to its needs. It does not prescribe a uniform process for performing a BIA. This document is applicable to all organizations regardless of type, size and nature, whether in the private, public or not-for-profit sectors. The guidance can be adapted to the needs, objectives, resources and constraints of the organization.

Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices pour le bilan d'impact sur l'activité

Le présent document fournit des lignes directrices visant à permettre à un organisme de mettre en œuvre et de maintenir un processus formel et documenté de bilan d’impact sur l’activité (BIA), adapté à ses besoins. Il n’impose pas de processus unique pour l’exécution d’un BIA. Le présent document est applicable à tous les organismes, quels que soient leur type, leur taille et leur nature, qu’ils appartiennent au secteur privé ou au secteur public et qu’ils soient à but non lucratif ou non. Les lignes directrices peuvent être adaptées en fonction des besoins, objectifs, ressources et contraintes de l’organisme.

General Information

Status
Published
Publication Date
16-Nov-2021
ICS
03.100.01 - Company organization and management in general
Technical Committee
ISO/TC 292 - Security and resilience
Drafting Committee
ISO/TC 292/WG 2 - Continuity and organizational resilience
Current Stage
9093 - International Standard confirmed
Start Date
08-Oct-2025
Completion Date
07-Dec-2025
Ref Project

Relations

Revises
ISO/TS 22317:2015 - Societal security — Business continuity management systems — Guidelines for business impact analysis (BIA)
Effective Date
23-Apr-2020
ISO/TS 22317:2021 - Security and resilience — Business continuity management systems — Guidelines for business impact analysis Released:11/17/2021ISO/TS 22317:2021 - Security and resilience — Business continuity management systems — Guidelines for business impact analysis Released:11/17/2021
PreviousNext
Technical specification
ISO/TS 22317:2021 - Security and resilience — Business continuity management systems — Guidelines for business impact analysis Released:11/17/2021
English language
36 pages
sale 15% off
Preview
sale 15% off
Preview
ISO/TS 22317:2021 - Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices pour le bilan d'impact sur l'activité Released:12/9/2021ISO/TS 22317:2021 - Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices pour le bilan d'impact sur l'activité Released:12/9/2021
PreviousNext
Technical specification
ISO/TS 22317:2021 - Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices pour le bilan d'impact sur l'activité Released:12/9/2021
French language
37 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)


TECHNICAL ISO/TS
SPECIFICATION 22317
Second edition
2021-11
Security and resilience — Business
continuity management systems
— Guidelines for business impact
analysis
Sécurité et résilience — Systèmes de management de la continuité
d'activité — Lignes directrices pour l'analyse d'impact sur l'activité
Reference number
© ISO 2021
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Prerequisites . 1
4.1 General . 1
4.2 Context and scope . 2
4.2.1 Context . 2
4.2.2 Scope . 2
4.3 Roles and responsibilities . 2
4.3.1 General . 2
4.3.2 BIA leader . 2
4.3.3 Activity owners . 3
4.4 Commitment . 3
5 The BIA process.3
5.1 Fundamentals . 3
5.2 Plan BIA . . 4
5.3 Agree approach for undertaking BIA process . 4
5.3.1 Understand impacts . 4
5.3.2 Define impact types and criteria . 5
5.3.3 Define time frames . 7
5.3.4 Define methodology . 7
5.4 Determine products and services’ priorities with top management . 8
5.4.1 Overview . 8
5.4.2 Inputs . 8
5.4.3 Product and service priority determination . 8
5.4.4 Outcomes . 9
5.5 Determine the prioritized activities . 9
5.5.1 Overview . 9
5.5.2 Inputs . 9
5.5.3 Identify activities . 9
5.5.4 Set RTO for the activities . 9
5.5.5 Define the prioritized activities. 10
5.5.6 Results . 10
5.6 Identify resources and other dependencies . 10
5.6.1 Identify resource and other dependency requirements . 10
5.6.2 Resource requirements . 11
5.7 Analyse and consolidate BIA results. 11
5.8 Obtain top management approval for BIA results .12
6 Review BIA .12
6.1 Review BIA process and methodology .12
6.2 Review BIA results .12
Annex A (informative) BIA within the BCMS of ISO 22301:2019 .14
Annex B (informative) BIA information collection methods .15
Annex C (informative) Other uses for the BIA process .22
Annex D (informative) Examples for performing a BIA .25
Bibliography .36
iii
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
This second edition cancels and replaces the first edition (ISO/TS 22317:2015), which has been
technically revised. The main changes are as follows:
— the document has been updated to align with ISO 22301:2019;
— the document structure has been updated to improve the description of the business impact analysis
(BIA) process;
— more focus has been placed on the BIA process and less on the business continuity programme;
— BIA and the BIA process have been clearly differentiated;
— BIA process roles have been consolidated to BIA leader and activity owners;
— the section “Initial BIA considerations” has been removed and the guidance redistributed;
— the section “Strategy selection” has been removed as it is part of ISO/TS 22331;
— the annex on terminology has been removed;
— the annex on BIA information collection methods has been enhanced;
— a new annex with examples for performing a BIA has been included.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
iv
Introduction
This document provides detailed guidelines for implementing and maintaining a business impact
analysis (BIA) process consistent with ISO 22301. This document is applicable to the performance of
any BIA process.
The terminology used is consistent with ISO 22300 and ISO 22301, but an organization can use different
terms provided they are clearly understood.
Figure 1 notes the relationship of the BIA process to the business continuity management system
(BCMS) as a whole. The organization should complete a cycle of the BIA process before business
continuity strategies and solutions are selected.
NOTE Source: ISO 22313:2020, Figure 5.
Figure 1 — Elements of business continuity management
The BIA process analyses the effects of a disruption on the organization. The outcome is a statement
and justification of business continuity priorities and requirements.
The first step in the BIA is the prioritization of products and services, which is followed by a number of
process BIAs (optional) and activity BIAs. The scope of each of these BIAs can be limited, but together
they should cover the entire BCMS scope. Organizations should review and perform the BIA process on
a periodic basis (e.g. annually) and whenever there are significant changes within the organization or
its context.
In this document, the terms “BIA” and “BIA process” are used as well as “result” and “outcome”. Figure 2
depicts how these terms are used.
v
Figure 2 — Understanding BIA, BIA process, results and outcomes
The purpose of this document is to:
— provide a basis for implementing an effective BIA process within an organization;
— assist the organization with planning, conducting and reporting on the BIA process in a consistent
manner.
This document provides examples for performing the BIA. It is important to note that these examples,
individually or in combination, can help an organization achieve BIA outcomes. The selection of the
most appropriate method will be influenced by the organization’s size, sector, geography or context.
The outcomes of the BIA process include:
a) endorsement or modification of the organization’s BCMS scope;
b) identification of legal, regulatory, and contractual requirements (obligations) and their effect on
business continuity priorities and requirements;
c) evaluation of the impact of a disruption over time on the organization, which serves as the
justification for business continuity priorities and requirements;
d) estimation of the time it would take for adverse impacts to products and services to become
unacceptable [maximum tolerable period of disruption (MTPD)] following a disruption;
e) identification of the requirements [MTPD and recovery time objective (RTO)] for the prioritized
activities;
f) identification of the resources needed to perform prioritized activities following a disruption,
including their dependencies, and requirements, specifying RTOs and applicable recovery point
objectives (RPOs);
g) identification of dependencies including suppliers, partners and other interested parties;
h) identification of the interdependencies of prioritized activities.
Figure 3 shows the BIA process, along with its prerequisites and its relationship to the selection of
business continuity strategies and solutions. The clauses referred to in the diagram correspond to
subclauses of this document.
vi
Figure 3 — BIA process
The organization should use the statement of business continuity priorities and requirements to select
business continuity strategies and solutions.
The BIA can cause the organization to reconsider how it delivers its products and services.
The BIA depends on information being provided by many people across an organization who can have
different perspectives on how the organization operates, what is time-critical or what impacts can
occur following a disruption. Commonly, some overstate their requirements, while others understate
theirs. This document seeks to define an approach that provides sufficient objectivity and minimizes
these issues to produce effective outcomes.
vii
TECHNICAL SPECIFICATION ISO/TS 22317:2021(E)
Security and resilience — Business continuity
management systems — Guidelines for business impact
analysis
1 Scope
This document gives guidelines for an organization to implement and maintain a formal and documented
business impact analysis (BIA) process appropriate to its needs. It does not prescribe a uniform process
for performing a BIA.
This document is applicable to all organizations regardless of type, size and nature, whether in the
private, public or not-for-profit sectors. The guidance can be adapted to the needs, objectives, resources
and constraints of the organization.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Security and resilience — Vocabulary
ISO 22301, Security and resilience — Business continuity management systems — Requirements
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and ISO 22301 apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
4 Prerequisites
4.1 General
While this document is consistent with the requirements of ISO 22301, it can be used to implement and
review any BIA process.
Before commencing the BIA process, the organization should:
— define the context and scope of the BIA process (see 4.2);
— define and communicate roles and responsibilities (see 4.3);
— obtain leadership commitment and allocate adequate resources (see 4.4).
NOTE See Annex A for a mapping of each clause to ISO 22301.
4.2 Context and scope
4.2.1 Context
The outcomes of the BIA process are dependent on the organization’s understanding of the following, so
that it can achieve its purpose by delivering its products and services to customers:
— the external environment (including suppliers, statutory and regulatory bodies) in which it operates;
— the internal operating environment, inclusive of business processes, activities and resources, as
well as the potential impact caused by disruption to the delivery of products and services;
NOTE In organizations operating within a non-commercial environment, the “customer” can be the public or
an overseeing authority, such as the government.
4.2.2 Scope
The BIA process should cover the whole of the BCMS scope. The organization should have defined
and documented the scope of the BCMS in terms of its products and services. The outcomes of the
BIA process can require the organization to reconsider the scope of the BCMS by adding or removing
products and services.
The organization should first prioritize all products and services in scope which can include internal
strategic services (see 5.4.3). Those with higher priorities can be addressed first.
4.3 Roles and responsibilities
4.3.1 General
Top management should ensure:
— responsibilities and authorities for relevant roles are assigned and communicated within the
organization;
— that persons leading the BIA process are competent;
— resources necessary to perform the BIA process are provided.
Top management should ensure that the following roles (other roles can be appropriate) to perform the
BIA process are appointed:
a) BIA leader (this can be the same person as the BCMS manager) (see 4.3.2);
b) activity owners (see 4.3.3).
4.3.2 BIA leader
The BIA leader is responsible for the BIA process and should:
— ensure people with the required competencies are available to enable the BIA process;
— prepare and deliver the BIA methodology;
— plan and manage the BIA process;
— make sure that the information provided by the activity owners is consistent throughout the
organization;
— undertake consolidation and analysis of the information provided by the activity owners;
— present the outcomes to top management for approval.
4.3.3 Activity owners
Activity owners should:
— provide a detailed understanding of the activity for which they are responsible, including all of the
resources that enable the activity to operate;
— provide information regarding existing workarounds, business processes and resources that
influence the business continuity priorities and requirements;
— apply BIA methodology and provide the relevant information to the BIA leader.
4.4 Commitment
Top management commitment to the BIA process is necessary to ensure effective participation. They
should:
a) communicate the value of the BIA process;
b) provide ongoing support for the BIA process;
c) provide sufficient resources for the BIA process to:
1) fulfil BIA process-specific roles and responsibilities, as well as training and awareness
requirements, in adequate time;
2) meet the changing requirements of the organization;
d) agree on the BIA methods, priorities and time frames;
e) ensure an environment that enables continual improvement within the organization;
f) approve the outcomes of the BIA that ensure:
1) business continuity priorities and requirements are aligned with organization’s objectives and
strategic direction;
2) the organization meets its legal, contractual and customer requirements during a disruption;
3) products and services, business processes, activities and resources are appropriately aligned;
g) ensure that BIA outcomes are available when selecting business continuity strategies and solutions.
5 The BIA process
5.1 Fundamentals
The BIA process prioritizes activities and resources so that product and service delivery can be resumed
in a predetermined time frame and at a predefined capacity following a disruption, to the satisfaction
of interested parties. The outcomes are the business continuity priorities and requirements.
The quality of the BIA process and its outcomes is key to selecting appropriate business continuity
strategies and solutions.
The timeliness of achieving quality BIA outcomes is key to minimizing impacts in case of a disruption.
If some information is incomplete, unavailable, confidential or withheld, these challenges should not
delay the progression and completion of the BIA process. A balance between quality and timeliness
should be found.
5.2 Plan BIA
Planning tasks can include:
a) allocating necessary resources, including competent people to lead and participate in the BIA
process;
b) grouping products and services together when they have similar characteristics, e.g. they can be
grouped by type, by geographic area or by line of business;
c) identifying the organization’s structure and the teams or individuals that can provide information
about products and services, activities and resources;
d) communicating expectations to all participants in the BIA process;
e) establishing the plan, including activities for:
1) obtaining top management’s agreement on the approach for undertaking the BIA process (see
5.3);
2) organizing meeting(s) with top management to determine products and services’ priorities
(see 5.4);
3) identifying and selecting the information collection methods (see Annex B);
4) defining a template or tool to record the information collected (see 5.5);
5) gathering information from the activity owners (see 5.5 and 5.6);
6) analysing and consolidating the information received (see 5.7);
7) obtaining top management approval for the results (see 5.8);
f) gaining approval of the planned BIA process.
5.3 Agree approach for undertaking BIA process
5.3.1 Understand impacts
The BIA process explores, in a consistent manner, the organizational impact resulting from the
disruption to the delivery of products and services. Disruption can come from within, from the supply
chain or from other external sources – all of which can result in a disruption to the delivery of one or
more products and services to customers and other interested parties.
The impacts on the organization resulting from the reactions of interested parties can include the
examples given in Table 1.
Table 1 — Impacts due to interested parties
Interested party Examples of the impact
Existing customers and clients Loss of revenue and market share
Increasing complaints
Contract penalties or litigation
Community Loss of confidence
Potential customers and clients Loss of potential business opportunities
Partner organizations Reduced willingness and ability to continue to cooperate
Media and society Negative effect on reputation, brand value and public opinion
Shareholders Negative effect on current share price and future investment
Table 1 (continued)
Interested party Examples of the impact
Creditors Negative effect on debt payments and future finance requirements
Competitors Loss of market share as competitors take advantage of the situation
Staff Loss of key personnel (temporary or permanent)
Regulators and government Penalties and rule changes
Loss of license to operate
5.3.2 Define impact types and criteria
The organization can experience different types of impacts such as damage to reputation or business
objectives, financial losses and litigation. Impact types are not the same as consequence types or
categories as used in risk management. Impact is the result of a disruption on the organization. To
compare and assess impacts that are very different in a consistent manner, the organization should
define impact types and criteria.
The organization should define impact types to understand the impact over time of a disruption to
the delivery of products and services. Top management should approve the proposed impact types and
criteria.
The choice of impact types and criteria are influenced by the organization’s sector, context and the
nature of its activities, as well as organizational culture. The selection of one or more impact types and
criteria, including the need for quantitative and qualitative impact information and the level of detail
collected, should be suitable for the organization to select or justify business continuity priorities and
requirements.
Impact types to be considered can include:
— business objectives;
— environmental;
— financial;
— health and safety;
— legal, regulatory and contractual;
— market share;
— operational;
— reputational.
An organization can consolidate impact types, for example, to the following:
— business objectives;
— financial;
— legal, regulatory and contractual;
— reputational.
To assess different types of impacts and their effect on the business, the organization can choose to
define thresholds when the impact becomes unacceptable (see the examples in Table 2) or to define an
impact matrix with defined criteria for each impact level and type (see the examples in Table 3). The
criteria should be as objective and measurable as possible.
NOTE Table 3 shows five levels but the number of levels can be adapted to the organization’s needs.
Table 2 — Examples of thresholds for impact types
Impact type Description MTPD threshold
Business Failure to deliver on objectives or take Negative deviation by x % on business
objectives advantage of opportunities objectives
Financial Financial losses due to fines, penalties, Viability threatened by loss higher than USD x
lost profits or diminished market share in revenue or cost
Legal and Litigation liability and withdrawal of Regulator suspends operating licence
regulatory license to trade
Market share Loss of clients moving to competitors New orders drop x %
Reputational Negative opinion or brand damage Leading news story
Table 3 — Examples of impact level criteria
Level of impact
Impact type 0 1 2 3 4 5
Financial None Loss of < USD x Loss of ≥ USD x Loss of ≥ USD y Loss of ≥ USD z Loss of ≥ USD t
in revenue or and < USD y and < USD z and < USD t in revenue or
expense in revenue or in revenue or in revenue or expense
expense expense expense
Market share None Loss of < x % Loss of ≥ x % Loss of ≥ y % Loss of ≥ z % Business failure
customers to and < y % and < z % and < t % due to loss of
opposition customers to customers to customers to ≥ t % customers
opposition opposition opposition to opposition
Customer (e.g. None Loss of Loss of Loss of Loss of Business failure
electricity electricity electricity electricity electricity due to loss
supply supply to < x % supply to ≥ x % supply ≥ y % supply to ≥ z % of electricity
company) customers and < y % and < z % and < t % supply to x zone
customers customers customers or ≥ t %
customers
Liability None Liability < USD x Liability ≥ USD x Liability ≥ USD y Liability ≥ USD z Liability ≥ USD t
(inclusive of and < USD y and < USD z and < USD t
< x claims ≥ t claims
legal costs)
≥ x and < y ≥ y and < z ≥ z and < t
claims claims claims
Class action Multiple class Multiple class
lawsuit action lawsuits action lawsuits
Regulatory None Little interest Regulator takes Regulator on Suspension of Business failure
from regulator an interest site requesting licence due to loss of
requesting formal report licence
Possible request Fines ≥ USD y
regular
for a summary Fines > USD x
updates
report post and ≤ USD y
disruption Public warning
issued
Possible
warning issued
to public
Table 3 (continued)
Level of impact
Impact type 0 1 2 3 4 5
Reputational None Some negative Negative Temporary Negative Consistent
attention in attention negative re- national negative media
local press or reported via gional attention attention attention from
in social media traditional reported via extensive traditional and
not requiring a news channels news channels enough to social media
response not requiring a requiring engage external
Business failure
response response communica-
due to
tions experts
Social media Social media perceived
for tradition-
complaints complaints incompetence
al and social
requiring requiring or loss of faith
media
response dedicated in the
response Requires top organization
team management to
be included in
the response
Pushing
response video
of top manage-
ment through
social media
channels
Business None Negative Negative Negative Negative Negative
objectives deviation < x % deviation ≥ x % deviation ≥ y % deviation ≥ z % deviation ≥ t %
on business and < y % on and < z % on and < t % on on business
objectives business business business objectives
objectives objectives objectives
5.3.3 Define time frames
Impacts almost always increase over time. However, impacts do not always increase at the same rate.
For instance, financial impacts can arise as contract penalties are incurred or as customers are lost,
while reputational damage can occur suddenly at a point during the disruption.
To assess the magnitude of the impact over time, the organization can choose a set number of time
frames at which to consider the magnitude of the impact (e.g. at 1 hour, at 6 hours, at 24 hours, at
3 days, at 1 week) or a set number of time frames within which to consider the increasing magnitude of
impact (e.g. 0 to 1 hour, 1 to 6 hours, 6 to 24 hours). The chosen ranges can vary between organizations
depending on their context.
5.3.4 Define methodology
A methodology should be defined to ensure that the same principles and criteria are applied when
assessing all products, services and activities, regardless of when the assessment is done or the team
responsible for the assessment.
The methodology should include the following:
a) How to assess impacts over time using the agreed impact types, criteria and time frames. When
assessing impacts over time, the analysis should assume that the disruption occurs at the worst
possible moment, e.g. the peak operating period, the end of the financial month or the busiest time
of year. The worst case should be documented.
b) Identification of the time frame when a disruption becomes unacceptable to the organization
(e.g. when at least one of the thresholds in Table 2, or an unacceptable level of impact in Table 3, is
reached). This can be referred to as the MTPD.
c) A set time frame for recovery of disrupted activities with a specified minimum acceptable capacity.
This time frame can be referred to as the RTO and cannot be longer than the MTPD.
The outcomes described in this methodology are the minimum required to be consistent with
ISO 22301. The organization can add additional tasks to the BIA process, such as collecting additional
information or identifying single points of failure, as part of the information gathering sessions (see
Annex C).
NOTE Examples can be found in Annex D.
5.4 Determine products and services’ priorities with top management
5.4.1 Overview
Top management should determine the priorities of products and services that the organization
provides to its customers. This prioritization can be done by discussion, although other sources of input
can be available. For example, it is possible that product and service prioritization have been previously
performed as part of enterprise risk management. In these situations, the BIA process can consider
those conclusions.
It is top management’s responsibility to prioritize products and services because they:
a) set the objectives of the organization;
b) have the ultimate responsibility for ensuring the continuity of the organization and the fulfilment
of its objectives;
c) have the widest view of the entire organization from which to assess priorities;
d) can choose to override contractual and other obligations in setting priorities in exceptional
circumstances;
e) are aware of planned future changes and other factors which can affect the business continuity
priorities and requirements.
5.4.2 Inputs
To make decisions, top management should consider the following information:
a) mission, objectives and strategic direction of the organization;
b) BCMS scope;
c) assessment of product and service priorities from a previous top management review;
d) legal and regulatory requirements to which the organization, or specific products and services, are
subject (as well as an assessment of the impact of breaching each requirement);
e) contractual requirements, including penalties for failure to deliver products and services;
f) expectations of customers and other interested parties;
g) assessment of impacts for failure to deliver (see impact types in 5.3.2);
h) lessons learned from past disruptions and exercises.
5.4.3 Product and service priority determination
Based on the impact types and criteria (see 5.3.2), the defined time frames (see 5.3.3) and the agreed
methodology (see 5.3.4), top management should decide, for each group of products and services, the
time after which continued failure to deliver them becomes unacceptable to the organization. This
determines the minimum acceptable capacity for initial recovery and how quickly it will need to return
to full capacity.
When necessary, top management should also agree on the priority of internal services, such as payroll
and other employee-facing services. Some organizations can choose to treat internal services similarly
to externally facing products and services.
The organization should retain documented information describing the reasons why decisions have
been made.
5.4.4 Outcomes
The outcomes should be a list of prioritized products and services and their continuity requirements
which will be used in activity prioritization (see 5.5).
The outcome of the product and service prioritization can result in the modification of the organization’s
BCMS scope.
5.5 Determine the prioritized activities
5.5.1 Overview
It is important to understand the relationship between products and services, business processes and
activities before setting the RTOs of the activities.
The priority of products and services influences the priority of their related activities. In cases where an
activity is part of a business process, it is possible that the activity needs to be analysed together with
the remaining activities in the business process. This can result in changes to the RTOs of activities.
5.5.2 Inputs
The inputs required to undertake activity prioritization include:
a) scope of the BIA process;
b) impact types and criteria (see 5.3.2);
c) priorities for the products and services defined by top management (see 5.4);
d) known dependencies;
e) legal, regulatory, and contractual requirements (obligations).
5.5.3 Identify activities
For each product and service within the scope of the BIA process, the related activities should be
identified by their activity owners.
5.5.4 Set RTO for the activities
Based on the impact types and criteria (see 5.3.2), the defined time frames (see 5.3.3) and the agreed
methodology (see 5.3.4), activity owners should assess the impacts over time resulting from a
disruption, identify the MTPD and set the RTO in combination with the minimum acceptable capacity
for each activity. This capacity can be represented as a metric such as a percentage or ratio of a level of
service, or quantity of product.
The information collection methods that have been identified during planning (see 5.2) and the selected
template or tool should be used to document the analysis.
Each activity should be analysed, taking into consideration:
a) fluctuations in demand or peak operating periods;
b) additional factors that can affect the determination of business continuity priorities and
requirements (e.g. backlogs or legal and regulatory requirements);
c) the interdependencies on other activities (internal or external).
A list of activities sorted in ascending RTO order should be created.
5.5.5 Define the prioritized activities
Based on the activities’ RTO, an organization should create a list of prioritized activities. Prioritized
activities will require strategies and solutions. This requires information about resources and
dependencies to be collected.
Making this selection will reduce the information to be collected but can result in no recovery solutions
being defined for non-prioritized activities. In subsequent iterations of the BIA, the list of prioritized
activities can be expanded.
Top management should sign off on the selection of prioritized activities.
5.5.6 Results
The results should be:
a) the approved list of prioritized activities;
b) for each activity:
1) identification of interdependencies and relationships between products and services, and
activities;
2) impacts over time;
3) corresponding MTPD;
4) corresponding RTO;
5) minimum acceptable capacity.
5.6 Identify resources and other dependencies
5.6.1 Identify resource and other dependency requirements
After determining the prioritized activities, the organization should obtain a detailed understanding
of day-to-day resource requirements, to identify the resources necessary to recover or maintain
prioritized activities. These include, but are not limited to:
a) people;
b) information and data (including vital records);
c) physical infrastructure such as buildings, workplaces or other facilities and associated utilities;
d) equipment (e.g. office equipment, manufacturing equipment, special tools, spare parts and
components) and consumables (e.g. raw materials);
e) information and communication technology (ICT) systems (e.g. applications, cloud services, remote
access);
f) transportation and logistics;
g) finance;
h) partners and suppliers.
5.6.2 Resource requirements
For the resources identified, the following information should be collected:
a) Quantity, i.e. the amount or number of resources needed over time, and based on the activity RTO,
the activity owner can determine to start their activity with the following:
1) a decrease in the quantity of resources, e.g. recognizing that the activity can recommence with
a reduced capacity; the activity owner must then increase the quantity of resources over time
so that the activity eventually returns to its business as usual;
2) the business as usual quantity;
3) an increase in the quantity of resources, e.g. to resolve the backlog accumulated over the period
that the business activity was disrupted or to respond to an anticipated spike in demand;
consideration should be given to estimate the period of time the supplemental quantity of
resources is to be released to return the activity to its business as usual level;
b) time frame(s) in which the resources need to be available;
c) characteristics of the resource: the information to be gathered in this case depends on the type of
resource, e.g.:
1) for staff and contractors, the minimum acceptable level for required service, knowledge, skills,
authority or qualifications required should be defined;
2) specification of IT equipment;
3) current location;
d) maximum tolerable data loss for information resources (the RPOs should not be greater than the
maximum tolerable data loss);
e) dependencies on other resources;
f) applicable legal or regulatory requirements.
NOTE This information gathering can be carried out when setting the RTO for the activities.
Limitations imposed on resources, e.g. by logistics, should be taken into account when defining
requirements.
During the resources requirements analysis, single points of failure can be discovered and should be
documented and reported appropriately.
5.7 Analyse and consolidate BIA results
While analysis occurs throughout the BIA process, the organization should perform a final analysis (or
consolidation of analyses). This involves reviewing validated and approved information gathered from
all levels of the BIA process and drawing conclusions that lead to business continuity priorities and
requirements.
The organization should choose the appropriate quantitative an
...


SPÉCIFICATION ISO/TS
TECHNIQUE 22317
Deuxième édition
2021-11
Sécurité et résilience — Systèmes
de management de la continuité
d'activité — Lignes directrices pour le
bilan d'impact sur l'activité
Security and resilience — Business continuity management systems
— Guidelines for business impact analysis
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2021
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .iv
Introduction . vi
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 1
4 Conditions préalables . 1
4.1 Généralités . 1
4.2 Contexte et domaine d’application . 2
4.2.1 Contexte . 2
4.2.2 Domaine d’application . 2
4.3 Rôles et responsabilités . 2
4.3.1 Généralités . 2
4.3.2 Pilote du BIA . 2
4.3.3 Propriétaires d’activité . . 3
4.4 Engagement . 3
5 Le processus de BIA . 3
5.1 Fondamentaux . 3
5.2 Planifier le BIA . 4
5.3 Convenir de l’approche pour engager le processus de BIA . 4
5.3.1 Comprendre les impacts . 4
5.3.2 Définir les types d’impacts et les critères . 5
5.3.3 Définir les délais . 7
5.3.4 Définir une méthodologie . 8
5.4 Déterminer les priorités attribuées aux produits et services avec la direction
générale . 8
5.4.1 Vue d’ensemble . 8
5.4.2 Données d’entrée . 9
5.4.3 Détermination des priorités pour les produits et services . 9
5.4.4 Aboutissements . 9
5.5 Déterminer les activités prioritaires . 9
5.5.1 Vue d’ensemble . 9
5.5.2 Données d’entrée . 10
5.5.3 Identifier les activités . 10
5.5.4 Établir les RTO des activités . 10
5.5.5 Définir les activités prioritaires . 10
5.5.6 Résultats . 10
5.6 Identifier les ressources et les autres dépendances . 11
5.6.1 Identifier les exigences en matière de ressources et autres dépendances . 11
5.6.2 Exigences en termes de ressources . 11
5.7 Analyser et consolider les résultats du BIA .12
5.8 Obtenir l’approbation de la direction générale pour les résultats du BIA .13
6 Passer en revue le BIA .13
6.1 Passer en revue le processus et la méthodologie de BIA .13
6.2 Passer en revue les résultats du BIA . 13
Annexe A (informative) Le BIA au sein du SMCA de l’ISO 22301:2019 .15
Annexe B (informative) Méthodes de collecte des informations relatives au BIA .16
Annexe C (informative) Autres utilisations du processus de BIA .23
Annexe D (informative) Exemples de réalisation de BIA .26
Bibliographie .37
iii
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Cette deuxième édition annule et remplace la première édition (ISO/TS 22317:2015), qui a fait l’objet
d’une révision technique. Les principales modifications sont les suivantes:
— le document a été mis à jour pour être aligné sur l’ISO 22301:2019;
— la structure du document a été mise à jour afin d’améliorer la description du processus relatif au
bilan d’impact sur l’activité (BIA);
— l’accent a été davantage mis sur le processus relatif au BIA et moins sur le programme de continuité
d’activité;
— le BIA et le processus de BIA ont été clairement différenciés;
— les rôles relatifs au processus du BIA ont été consolidés au niveau du pilote du BIA et des propriétaires
d’activité;
— le paragraphe «Considérations initiales relatives au BIA» a été retiré et les lignes directrices
redistribuées;
— le paragraphe «Sélectionner la stratégie» a été retiré, car il fait partie de l’ISO/TS 22331;
— l’annexe sur la terminologie a été retirée;
— l’annexe sur les méthodes de collecte des informations du BIA a été améliorée;
— une nouvelle annexe accompagnée d’exemples de réalisation de BIA a été incluse.
iv
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
v
Introduction
Le présent document fournit des lignes directrices détaillées pour la mise en œuvre et le maintien d’un
processus de bilan d’impact sur l’activité (BIA) qui soit cohérent avec l’ISO 22301. Ce document est
applicable à la réalisation de tout processus de BIA.
La terminologie utilisée est cohérente avec l’ISO 22300 et l’ISO 22301, mais un organisme peut utiliser
des termes différents à condition qu’ils soient clairement compris.
La Figure 1 montre la relation entre le processus de BIA et le système de management de la continuité
d’activité (SMCA) dans son ensemble. Il convient que l’organisme réalise un cycle complet de processus
de BIA avant de sélectionner les stratégies et solutions de continuité d’activité.
NOTE Source: ISO 22313:2020, Figure 5.
Figure 1 — Éléments de management de la continuité d’activité
Le processus de BIA analyse les effets d’une perturbation sur un organisme. L’aboutissement est un
inventaire des priorités et des exigences relatives à la continuité d’activité et leur justification.
La première étape d’un BIA est la priorisation des produits et services, suivie par un certain nombre
de BIA de processus (en option) et de BIA d’activités. Le domaine d’application de chacun de ces BIA
peut être limité, mais il convient qu’ils couvrent ensemble la totalité du domaine d’application du SMCA.
Il convient que les organismes revoient et effectuent régulièrement (par exemple annuellement) le
processus du BIA et à chaque fois que des modifications importantes sont apportées à l’organisme ou à
son contexte.
Dans le présent document, les termes «BIA» et «processus de BIA» sont utilisés, ainsi que les termes
«résultat» et «aboutissement». La Figure 2 décrit comment ces termes sont utilisés.
vi
Figure 2 — Comprendre BIA, processus de BIA, résultats et aboutissements
L’objet du présent document est de:
— fournir une base pour la mise en œuvre d’un processus de BIA efficace au sein d’un organisme;
— soutenir l’organisme dans la planification, la conduite et le reporting du processus de BIA de manière
cohérente.
Le présent document donne des exemples de réalisation de BIA. Il est important de noter que ces
exemples, individuels ou combinés, peuvent aider un organisme à arriver à des aboutissements en
matière de BIA. La sélection de la méthode la plus appropriée sera influencée par la taille de l’organisme,
son secteur, la géographie ou le contexte.
Les aboutissements du processus de BIA comprennent les éléments suivants:
a) approbation ou modification du domaine d’application du SMCA de l’organisme;
b) identification des exigences (obligations) réglementaires, juridiques et contractuelles et de leur
effet sur les priorités et les exigences relatives à la continuité d’activité;
c) évaluation de l’impact d’une perturbation sur l’organisme dans le temps, qui sert de justification
aux priorités et exigences relatives à la continuité d’activité;
d) estimation du temps que prendraient les impacts adverses pour rendre les produits et services
inacceptables [durée maximale tolérable de perturbation (DMTP)] après une perturbation;
e) identification des exigences [DMTP et objectifs de délai de rétablissement (RTO)] pour les activités
prioritaires;
f) identification des ressources nécessaires pour réaliser les activités prioritaires à la suite d’une
perturbation, y compris leurs dépendances, et exigences, en spécifiant les RTO et les points de
rétablissement des données (RPO);
g) identification des dépendances, y compris les fournisseurs, partenaires et autres parties
intéressées;
h) identification des interdépendances des activités prioritaires.
La Figure 3 montre le processus de BIA, ainsi que ses conditions préalables et sa relation avec la
sélection de stratégies et de solutions de continuité d’activité. Les chiffres indiqués dans le schéma
correspondent aux paragraphes du présent document.
vii
Figure 3 — Processus de BIA
Il convient que l’organisme utilise la déclaration sur les priorités et les exigences de continuité d’activité
afin de sélectionner les stratégies et les solutions de continuité d’activité.
Le BIA peut amener l’organisme à reconsidérer la manière dont il livre ses produits et fournit ses
services.
Le BIA dépend des informations fournies par de nombreuses personnes à travers l’organisme qui
peuvent avoir des perspectives différentes sur la manière dont l’organisme fonctionne, sur ce qui est
critique en termes de temps, ou sur les impacts qui peuvent survenir à la suite d’une perturbation. Il est
courant que certaines personnes exagèrent leurs exigences alors que d’autres les minorent. Le présent
document cherche à définir une approche qui fournisse suffisamment d’objectivité et minimise ces
questions dans le but d’arriver à des aboutissements efficaces.
viii
SPÉCIFICATION TECHNIQUE ISO/TS 22317:2021(F)
Sécurité et résilience — Systèmes de management de la
continuité d'activité — Lignes directrices pour le bilan
d'impact sur l'activité
1 Domaine d’application
Le présent document fournit des lignes directrices visant à permettre à un organisme de mettre en
œuvre et de maintenir un processus formel et documenté de bilan d’impact sur l’activité (BIA), adapté à
ses besoins. Il n’impose pas de processus unique pour l’exécution d’un BIA.
Le présent document est applicable à tous les organismes, quels que soient leur type, leur taille et leur
nature, qu’ils appartiennent au secteur privé ou au secteur public et qu’ils soient à but non lucratif
ou non. Les lignes directrices peuvent être adaptées en fonction des besoins, objectifs, ressources et
contraintes de l’organisme.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
ISO 22301, Sécurité et résilience — Systèmes de management de la continuité d’activité — Exigences
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l’ISO 22300 et l’ISO 22301
s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
4 Conditions préalables
4.1 Généralités
Bien que le présent document soit en cohérence avec les exigences de l’ISO 22301, il peut être utilisé
pour mettre en œuvre et passer en revue tout processus de BIA.
Avant de commencer un processus de BIA, il convient que l’organisme:
— définisse le contexte et le domaine d’application du processus de BIA (voir 4.2);
— définisse et communique les rôles et les responsabilités (voir 4.3);
— obtienne un engagement du leadership et alloue les ressources adéquates (voir 4.4);
NOTE Voir l’Annexe A pour une mise en correspondance de chaque article avec l’ISO 22301.
4.2 Contexte et domaine d’application
4.2.1 Contexte
Les aboutissements du processus de BIA dépendent de la compréhension de l’organisme vis-à-vis des
éléments suivants, pour qu’il puisse remplir son objet en livrant ses produits et fournissant ses services
à ses clients:
— l’environnement externe (comprenant les fournisseurs, les organes statutaires et réglementaires)
dans lequel il fonctionne;
— l’environnement opérationnel interne, y compris les processus métier, activités et ressources, ainsi
que l’impact potentiel d’une perturbation sur la livraison des produits et la fourniture des services.
NOTE Pour les organismes opérant dans un environnement non commercial, le «client» peut être le public
ou une autorité de tutelle telle que l’administration.
4.2.2 Domaine d’application
Il convient que le processus de BIA couvre l’ensemble du domaine d’application du SMCA. Il convient
que l’organisme définisse et documente le domaine d’application du SMCA en termes de produits et de
services. Les aboutissements du processus de BIA peuvent requérir de l’organisme qu’il reconsidère le
domaine d’application du SMCA par l’ajout ou la suppression de certains produits et services.
Il convient d’abord que l’organisme priorise tous les produits et services du domaine d’application, qui
peuvent comprendre des services stratégiques internes (voir 5.4.3). Ceux dont les priorités sont les plus
élevées peuvent être traités en premier.
4.3 Rôles et responsabilités
4.3.1 Généralités
Il convient que la direction générale s’assure que:
— les responsabilités et l’autorité des rôles pertinents sont attribuées et communiquées au sein de
l’organisme;
— les personnes pilotant le processus de BIA sont compétentes;
— les ressources nécessaires à l’exécution du processus de BIA sont pourvues.
Il convient que la direction générale s’assure que les rôles suivants (d’autres rôles peuvent être
concernés) relatifs à l’exécution du processus de BIA sont attribués:
a) le pilote du BIA (cela peut être la même personne que le responsable SMCA) (voir 4.3.2);
b) les propriétaires d’activité (voir 4.3.3).
4.3.2 Pilote du BIA
Le pilote du BIA est responsable du processus de BIA et il convient qu’il:
— s’assure que des personnes ayant les compétences requises sont disponibles pour réaliser le
processus de BIA;
— prépare et fournisse la méthodologie du BIA;
— planifie et gère le processus de BIA;
— s’assure que les informations fournies par les propriétaires d’activité sont cohérentes au sein de
l’organisme;
— entreprenne la consolidation et l’analyse des informations fournies par les propriétaires d’activité;
— présente les aboutissements à la direction générale pour approbation.
4.3.3 Propriétaires d’activité
Il convient que les propriétaires d’activité:
— fournissent une compréhension approfondie de l’activité dont ils sont responsables, y compris de
l’ensemble des ressources qui permettent à l’activité d’être réalisée;
— fournissent des informations concernant les solutions de contournement, les processus métier et les
ressources existants, qui influent sur les priorités et exigences relatives à la continuité d’activité;
— appliquent la méthodologie du BIA et fournissent les informations pertinentes au pilote du BIA.
4.4 Engagement
L’engagement de la direction générale en faveur du processus de BIA est nécessaire pour assurer une
participation efficace. Il convient que la direction générale:
a) communique la valeur du processus de BIA;
b) apporte un soutien continu au processus de BIA;
c) fournisse suffisamment de ressources pour le processus de BIA afin de:
1) remplir les rôles et responsabilités spécifiques au processus de BIA, ainsi que les exigences
relatives à la formation et à la sensibilisation (prise de conscience), en temps opportun;
2) répondre à l’évolution des exigences de l’organisme;
d) donne son accord sur les méthodes, priorités et délais relatifs au BIA;
e) s’assure que l’environnement permet de réaliser des améliorations continues au sein de l’organisme;
f) approuvent les aboutissements du BIA qui assurent:
1) que les priorités et les exigences relatives à la continuité d’activité sont alignées sur les objectifs
et la direction stratégique de l’organisme;
2) que l’organisme respecte ses obligations juridiques et contractuelles et les exigences des clients
en cas de perturbation;
3) que les produits et services, les processus métier, les activités et ressources sont alignés de
façon appropriée;
g) assure que les aboutissements du BIA sont disponibles lors de la sélection des stratégies et solutions
de continuité d’activité.
5 Le processus de BIA
5.1 Fondamentaux
Le processus de BIA priorise les activités et les ressources, de sorte que, à la suite d’une perturbation,
la livraison de produits et la fourniture de services puissent reprendre dans un délai prédéterminé et
avec une capacité prédéfinie, de façon satisfaisante pour les parties intéressées. Les aboutissements en
sont les priorités et les exigences relatives à la continuité d’activité.
La qualité du processus de BIA et de ses aboutissements est essentielle pour sélectionner les stratégies
et solutions appropriées de continuité d’activité.
La rapidité pour obtenir des aboutissements de qualité pour le BIA est essentielle pour minimiser les
impacts en cas de perturbation. Si certaines informations sont incomplètes, indisponibles, confidentielles
ou retenues, il convient que ces difficultés ne retardent pas la progression et l’achèvement du processus
de BIA. Il convient de trouver un équilibre entre la qualité et la rapidité.
5.2 Planifier le BIA
Les tâches de planification peuvent inclure:
a) l’allocation des ressources nécessaires, y compris les personnes compétentes pour piloter le
processus de BIA ou y prendre part;
b) le regroupement des produits et services lorsque leurs caractéristiques sont similaires, il est
possible par exemple de les regrouper par type, par zone géographique ou par secteur d’activité;
c) l’identification de la structure de l’organisme et des équipes ou individus pouvant fournir des
informations sur les produits et services, les activités et les ressources;
d) la communication des attentes à tous les participants du processus de BIA;
e) l’établissement du plan, incluant les activités menées pour:
1) obtenir l’accord de la direction générale quant à l’approche utilisée pour entreprendre le
processus de BIA (voir 5.3);
2) organiser une ou des réunion(s) avec la direction générale pour déterminer les priorités
relatives aux produits et services (voir 5.4);
3) identifier et sélectionner des méthodes de collecte des informations (voir Annexe B);
4) définir un modèle ou un outil pour enregistrer les informations collectées (voir 5.5);
5) rassembler les informations provenant des propriétaires d’activité (voir 5.5 et 5.6);
6) analyser et consolider les informations reçues (voir 5.7);
7) obtenir l’approbation de la direction générale concernant les résultats (voir 5.8);
f) l’obtention d’une approbation concernant le processus de BIA planifié.
5.3 Convenir de l’approche pour engager le processus de BIA
5.3.1 Comprendre les impacts
Le processus de BIA explore, de manière cohérente, les impacts sur l’organisme résultant d’une
perturbation dans la livraison des produits et la fourniture des services. La perturbation peut venir de
l’intérieur, de la chaîne d’approvisionnement ou d’autres sources externes – de chacun de ces éléments
peut résulter une perturbation dans la livraison d’un ou plusieurs produits et services aux clients et aux
autres parties intéressées.
Les impacts sur l’organisme résultant des réactions des parties intéressées peuvent inclure les exemples
donnés au Tableau 1.
Tableau 1 — Impacts dus aux parties intéressées
Partie intéressée Exemples d’impacts
Consommateurs et clients existants Perte de revenus et de parts de marché
Plaintes accrues
Pénalités contractuelles ou contentieux
Communauté Perte de confiance
Consommateurs et clients potentiels Perte d’opportunités commerciales potentielles
Organismes partenaires Volonté et capacité réduites de poursuivre la coopération
Média et société Effet négatif sur la réputation, l’image de marque et l’opinion publique
Parties prenantes Effet négatif sur le cours actuel de l’action et les investissements futurs
Créancier Effet négatif sur les paiements des dettes et les exigences financières
futures
Concurrents Perte de parts de marché si les concurrents profitent de la situation
Personnel Perte de personnel clé (temporaire ou permanente)
Régulateurs et gouvernement Pénalités et modifications des règles
Perte de licence d’exploitation
5.3.2 Définir les types d’impacts et les critères
L’organisme peut expérimenter différents types d’impact tels que les atteintes à la réputation ou aux
objectifs métiers, les pertes financières et les litiges. Les types d’impact ne sont pas les mêmes que les
types ou catégories de conséquences utilisés en management des risques. L’impact est le résultat d’une
perturbation sur l’organisme. Pour comparer et apprécier de manière cohérente des impacts qui sont
très différents, il convient que l’organisme définisse des types d’impacts et des critères.
Il convient que l’organisme définisse les types d’impact afin de comprendre les impacts dans le temps à
la suite d’une perturbation dans la livraison des produits ou la fourniture des services. Il convient que
la direction générale approuve les types d’impact proposés et les critères.
Le choix des types d’impact et des critères est influencé par le secteur, le contexte et la nature des
activités de l’organisme, ainsi que par la culture organisationnelle. Il convient que la sélection d’un ou
plusieurs types d’impact et de critères, y compris le besoin d’avoir des informations quantitatives et
qualitatives concernant l’impact, ainsi que le niveau de détails recueillis, conviennent à l’organisme
pour sélectionner ou justifier les priorités et les exigences en matière de continuité d’activité.
Les types d’impact à prendre en compte peuvent comprendre:
— les objectifs métiers;
— les aspects environnementaux;
— les aspects financiers;
— la santé et la sécurité des personnes;
— les aspects réglementaires, juridiques et contractuels;
— les parts de marché;
— les aspects opérationnels;
— les aspects de réputation.
Un organisme peut consolider les types d’impact, par exemple:
— les objectifs métiers;
— les aspects financiers;
— les aspects réglementaires, juridiques et contractuels;
— les aspects de réputation.
Pour apprécier les différents types d’impact et leurs effets sur l’activité, l’organisme peut choisir de
définir des seuils lorsque l’impact devient inacceptable (voir les exemples du Tableau 2) ou de définir
une matrice d’impacts avec des critères définis pour chaque niveau et type d’impact (voir les exemples
du Tableau 3). Il convient que les critères soient aussi objectifs et mesurables que possible.
NOTE Le Tableau 3 donne cinq niveaux, mais le nombre de niveaux peut être adapté aux besoins de
l’organisme.
Tableau 2 — Exemples de seuils pour les types d’impact
Type d’impact Description Seuil DMTP
Objectifs métiers Échec à atteindre les objectifs ou à tirer parti Écart négatif de x % sur les objectifs métiers
des opportunités
Financier Pertes financières dues à des amendes, Viabilité menacée par des pertes supérieures
des pénalités, des pertes de bénéfices ou à USD x en chiffres d’affaires ou coûts
une diminution des parts de marché
Réglementaire et Responsabilité contentieuse et retrait de Le régulateur suspend la licence
juridique licence d’exploitation d’exploitation
Part de marché Perte de clients passés à la concurrence Nouvelle chute des commandes de x %
Réputation Opinion négative ou atteinte à l’image de Article dans les principales actualités
marque
Tableau 3 — Exemples de critères de niveau d’impact
Niveau d’impact
Type d’impact 0 1 2 3 4 5
Financier Aucun Pertes < à Pertes ≥ à USD x Pertes ≥ à USD y Pertes ≥ à USD z Pertes ≥ à USD t
USD x en et < à USD y et < à USD z et < à USD t en chiffres
chiffres en chiffres en chiffres en chiffres d’affaires ou
d’affaires ou d’affaires ou d’affaires ou d’affaires ou dépenses
dépenses dépenses dépenses dépenses
Part de marché Aucun Pertes < à x % Pertes ≥ à x % Pertes ≥ à y % Pertes ≥ à z % Insuffisance
de clients au et < à y % de et < à z % de et < à t % de d’activité due
profit de la clients au profit clients au profit clients au profit à des pertes
concurrence de la concur- de la concur- de la concur- de ≥ t % de
rence rence rence clients au profit
de la concur-
rence
Client Aucun Rupture Rupture Rupture Rupture Insuffisance
(par exemple d’approvi- d’approvision- d’approvision- d’approvision- d’activité due
fournisseur sionnement nement en nement en nement en à une rupture
d’électricité) en électricité électricité ≥ x % électricité ≥ y % électricité ≥ z % d’approvision-
pour < x % de et < y % de et < z % de et < t % de nement en
clients clients clients clients électricité de
zone x ou ≥ t %
de clients
Tableau 3 (suite)
Niveau d’impact
Type d’impact 0 1 2 3 4 5
Responsabilité Aucun Responsabilité Responsabi- Responsabi- Responsabi- Responsabilité
(coûts < USD x lité ≥ USD x lité ≥ USD y lité ≥ USD z ≥ USD t
juridiques et < USD y et < USD z et < USD t
< x réclama- ≥ t réclamations
inclus)
tions ≥ x et < y récla- ≥ y et < z récla- ≥ z et < t récla-
mations mations mations
Recours Recours collec- Recours collec-
collectif tifs multiples tifs multiples
Réglementaire Aucun Faible intérêt Intérêt du Régulateur Suspension de Insuffisance
du régulateur régulateur qui sur place qui licence d’activité due
demande des demande des à une perte de
Demande Amendes
informations rapports for- licence
possible d’un ≥ USD y
régulières mels
rapport de
synthèse post- Avertissement Amendes
perturbation émis à l’atten- > USD x
tion du public et ≤ USD y
Possible aver-
tissement à
l’attention du
public
Réputation Aucun Légère Couverture Couverture Couverture né- Couverture
couverture négative de la négative tempo- gative nationale, négative cohé-
négative dans part des chaînes raire au niveau suffisamment rente de la part
la presse locale d’information régional de la large pour enga- des médias
ou les médias traditionnelles, part des chaînes ger des experts traditionnels et
sociaux, n’exi- n’exigeant pas d’information, en communi- sociaux
geant pas de de réponse exigeant une cation externe
Insuffisance
réponse réponse pour les médias
Plaintes sur les d’activité due à
traditionnels et
médias sociaux, Plaintes sur les une incompé-
sociaux
exigeant une médias sociaux tence perçue ou
réponse exigeant une La direction à une perte de
équipe dédiée à générale doit confiance dans
la réponse être incluse l’organisme
dans la réponse
Pression pour
une vidéo de
réponse de la
direction géné-
rale à mettre
sur les chaînes
de médias
sociaux
Objectifs Aucun Écart négatif Écart négatif Écart négatif Écart négatif Écart négatif
métiers < à x % sur ≥ x % et < y % ≥ y % et < z % ≥ z % et < t % ≥ t % sur les
les objectifs sur les objectifs sur les objectifs sur les objectifs objectifs
métiers métiers métiers métiers métiers
5.3.3 Définir les délais
Les impacts augmentent presque toujours dans le temps. Toutefois, les impacts n’augmentent pas
toujours au même rythme. Par exemple, les impacts financiers peuvent survenir avec l’application
de pénalités contractuelles ou la perte de clients, tandis que l’atteinte à la réputation peut survenir
soudainement à un certain moment au cours de la perturbation.
Pour évaluer l’ampleur de l’impact dans le temps, l’organisme peut choisir une série de délais pour
lesquels on considère l’ampleur de l’impact (par exemple à 1 heure, à 6 heures, à 24 heures, à 3 jours,
à 1 semaine) ou une série de délais entre lesquels on considère l’augmentation de l’ampleur de l’impact
(par exemple de 0 à 1 heure, de 1 à 6 heures, de 6 à 24 heures). Les fourchettes choisies peuvent être
différentes entre organismes, selon leur contexte.
5.3.4 Définir une méthodologie
Il convient de définir une méthodologie pour s’assurer que les mêmes principes et critères sont
appliqués lors de l’appréciation de tous les produits, services et activités, indépendamment du moment
où l’appréciation est effectuée ou de l’équipe responsable de l’appréciation.
Il convient que la méthodologie comprenne les éléments suivants:
a) la manière d’apprécier les impacts dans le temps à l’aide de types d’impact prédéfinis, critères et
délais convenus. Lors de l’appréciation des impacts dans le temps, il convient que l’analyse suppose
que la perturbation a lieu au pire moment possible, par exemple pendant un pic d’activité, à la fin
d’une période financière d’un mois ou pendant la période la plus chargée de l’année. Il convient que
le cas le plus défavorable soit documenté;
b) l’identification de la durée pour laquelle une perturbation devient inacceptable pour l’organisme
(par exemple lorsqu’au moins un des seuils du Tableau 2, ou un niveau d’impact inacceptable du
Tableau 3, est atteint). Cette durée peut être appelée DMTP;
c) une série de délais établis pour rétablir les activités perturbées avec une capacité minimale
acceptable spécifiée. Ces délais peuvent être appelés le RTO et ne peuvent pas être plus longs que la
DMTP.
Les aboutissements décrits dans la présente méthodologie sont le minimum requis pour être en
cohérence avec l’ISO 22301. L’organisme peut ajouter des tâches supplémentaires au processus de BIA,
comme la collecte d’informations supplémentaires ou l’identification des points de défaillance uniques,
dans le cadre de sessions de rassemblement des informations (voir Annexe C).
NOTE Des exemples sont disponibles dans l’Annexe D.
5.4 Déterminer les priorités attribuées aux produits et services avec la direction
générale
5.4.1 Vue d’ensemble
Il convient que la direction générale détermine les priorités attribuées aux produits et services que
l’organisme livre et fournit à ses clients. Cette priorisation peut être faite par voie de discussion, mais
d’autres sources peuvent être disponibles pour les données d’entrée. Par exemple, il est possible que la
priorisation des produits et services ait été précédemment réalisée dans le cadre du management des
risques de l’entreprise. Dans ces situations, le processus de BIA peut en considérer les conclusions.
Il est de la responsabilité de la direction générale de prioriser les produits et services parce que:
a) elle définit les objectifs de l’organisme;
b) c’est à elle que revient la responsabilité finale de s’assurer de la continuité de l’organisme et de la
réalisation de ses objectifs;
c) elle a le point de vue le plus large de l’ensemble de l’organisme pour apprécier les priorités;
d) elle peut choisir d’ignorer des obligations contractuelles et autres au moment de définir les priorités
dans des circonstances exceptionnelles;
e) elle a conscience des changements futurs planifiés et des autres facteurs qui peuvent affecter les
priorités et les exigences relatives à la continuité d’activité.
5.4.2 Données d’entrée
Pour prendre les décisions, il convient que la direction générale considère les informations suivantes:
a) mission, objectifs et orientation stratégique de l’organisme;
b) domaine d’application du SMCA;
c) appréciation des priorités attribuées aux produits et services issue d’un passage en revue antérieur
de direction générale;
d) exigences réglementaires et juridiques auxquelles l’organisme, ou des produits et services
spécifiques, sont assujettis (ainsi qu’une appréciation des impacts du non-respect de chaque
exigence);
e) exigences contractuelles, y compris les pénalités en cas de non-livraison des produits ou non-
fourniture des services;
f) attentes des clients et des autres parties intéressées;
g) appréciation des impacts en cas de défaillance à livrer/fournir (voir les types d’impact au 5.3.2);
h) enseignements tirés des perturbations et exercices antérieurs.
5.4.3 Détermination des priorités pour les produits et services
À partir des types d’impacts et des critères (voir 5.3.2), des délais définis (voir 5.3.3) et de la
méthodologie convenue (voir 5.3.4), il convient que la direction générale décide, pour chaque groupe
de produits et services, du délai après lequel l’incapacité continue à fournir/livrer devient inacceptable
pour l’organisme. Cela détermine la capacité minimale acceptable pour le rétablissement initial et la
vitesse à laquelle la capacité totale devra être retrouvée.
Si nécessaire, il convient que la direction générale donne également son accord sur la priorité des
services internes, tels que le paiement des salaires et autres services aux employés. Certains organismes
peuvent choisir de traiter les services internes de manière similaire aux produits et services fournis en
externe.
Il convient que l’organisme conserve les informations documentées décrivant les raisons pour lesquelles
les décisions ont été prises.
5.4.4 Aboutissements
Il convient que les aboutissements se composent d’une liste de produits et services prioritaires et de
leurs exigences de continuité, qui seront utilisées pour la priorisation des activités (voir 5.5).
L’aboutissement de la priorisation des produits et services peut résulter en la modification du domaine
d’application du SMCA de l’organisme.
5.5 Déterminer les activités prioritaires
5.5.1 Vue d’ensemble
Il est important de comprendre la relation entre les produits et services, les processus métier et les
activités avant d’établir les RTO des activités.
Les priorités attribuées aux produits et services influencent les priorités attribuées aux activités
associées. Si une activité fait partie d’un processus métier, il est possible que cette activité ait besoin
d’être analysée avec les activités restantes dans le processus métier. Cela peut résulter en des
modifications des RTO des activités.
5.5.2 Données d’entrée
Les données d’entrée requises pour entreprendre la priorisation des activités comprennent:
a) le domaine d’application du processus de BIA;
b) les types d’impact et les critères (voir 5.3.2);
c) les priorités pour les produits et services, définies par la direction générale (voir 5.4);
d) les dépendances connues;
e) les exigences réglementaires, juridiqu
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

This May Also Interest You

ISO
ISO 22373:2025(Main)
Security and resilience — Authenticity, integrity and trust for products and documents — Framework for establishing trustworthy supply and value chains

This document establishes a framework to support stakeholders in supply and value chains to ensure the chain of trustworthiness regarding the properties of their products and production processes. This document provides guidelines to identify information relevant to trustworthiness to be exchanged between supply and value chain stakeholders. It also provides an interoperable data structure that is required for supply and value chain stakeholders to negotiate and exchange information relevant to trustworthiness. The guidelines set out in this document are generic and are intended to be applicable to all organizations and products, regardless of type, size or nature.

  • Standard
    23 pages
    English language
    sale 15% off
ISO
ISO 22372:2025(Main)
Security and resilience — Community resilience — Guidelines for infrastructure resilience

This document provides guidelines for establishing, maintaining, monitoring and improving infrastructure resilience to help ensure the continuity and robustness of essential services. It supports collaborative decision-making across many stakeholders in diverse organizations. It can be used for engaging stakeholders at all levels responsible for, or having influence on, infrastructure resilience matters. This document is intended to be applicable to all types and sizes of organizations which have a role in infrastructure resilience.

  • Standard
    33 pages
    English language
    sale 15% off
ISO
ISO 22300:2025(Main)
Security and resilience — Vocabulary

This document defines terms related to security and resilience topics.

  • Standard
    16 pages
    English language
    sale 15% off
  • Standard
    17 pages
    French language
    sale 15% off
ISO
ISO 22341-2:2025(Main)
Security and resilience — Protective security — Part 2: Guidelines for crime prevention through environmental design for residential facilities

This document provides guidelines to organizations for establishing general and specific strategies to prevent and reduce crime and the fear of crime at new or existing residential facilities, in single or multiple units. This document builds on the concepts and processes described in ISO 22341, in the context of residential facilities. It provides recommendations on countermeasures and actions to address crime and security risks to people and property, in dwellings and their immediate surroundings, by implementing crime prevention through environmental design (CPTED) strategies in an effective and efficient manner. Within this document, the term “security” is used in a broad manner to include all crime, safety and security-specific applications. Therefore, this document is applicable to public and private organizations, regardless of type, size or nature. This document applies to organizations responsible for the residential facility including a real estate company, developer or landlord.

  • Standard
    14 pages
    English language
    sale 15% off
ISO
ISO 22371:2024(Main)
Security and resilience — Community resilience — Principles, framework and guidelines on urban resilience

This document provides principles, framework and guidelines on how to enhance urban resilience to protect communities, people and organizations and improve residents' quality of life. It describes: a) how to build capacity to better manage change and disruptive events, minimizing the impacts on the residents, including the most disadvantaged and vulnerable persons; b) the benefits of urban resilience; c) how to organize, assess, plan, implement and continually improve urban resilience. This document is applicable to all urban contexts, governance structures and stakeholders for all identified levels of risk. It is intended to be used by all organizations that have accountability for resilience of services in urban communities.

  • Standard
    37 pages
    English language
    sale 15% off
ISO
ISO 22340:2024(Main)
Security and resilience — Protective security — Guidelines for an enterprise protective security architecture and framework

This document provides guidance on the enterprise protective security architecture and the framework of protective security policies, processes and types of controls necessary to mitigate and manage security risks across the protective security domains, including: a) security governance; b) personnel security; c) information security; d) cybersecurity; e) physical security. This document is applicable for any organization.

  • Standard
    31 pages
    English language
    sale 15% off
  • Standard
    31 pages
    French language
    sale 15% off
ISO
ISO 22328-2:2024(Main)
Security and resilience — Emergency management — Part 2: Guidelines for the implementation of a community-based early warning system for landslides

This document gives guidelines for the implementation of a community-based disaster early warning system (EWS) for landslides. It complements the generic guidelines in ISO 22328-1. It describes the methods and procedures, implementation methods and activities specifically related to landslides. This document is applicable to communities vulnerable to landslides, without taking secondary/indirect effects into consideration.

  • Standard
    14 pages
    English language
    sale 15% off
ISO
ISO 22336:2024(Main)
Security and resilience — Organizational resilience — Guidelines for resilience policy and strategy

This document provides guidelines on the design and development of an organizational resilience policy and strategy. It includes: — how to design and formulate a resilience policy; — how to design strategy to achieve the objectives of a resilience policy; — how to determine priorities for implementation of the organization’s resilience initiatives; — how to establish a cooperative and coordinated capability to enhance resilience. This document is applicable to organizations seeking to enhance resilience. It is not specific to any industry or sector. It can be applied throughout the life of an organization to enhance resilience. This document does not provide guidance on the development of an organizational resilience capability.

  • Standard
    21 pages
    English language
    sale 15% off
ISO
ISO/TS 22386:2024(Main)
Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines for brand protection and enforcement procedures

This document provides guidelines for establishing and enforcing respective measures for brand protection. It supports the development of a brand protection strategy and describes a brand protection framework for the development, production, and distribution of products and documents. Applying these guidelines throughout the product lifecycle can facilitate interaction between individuals and organizations involved in brand protection activities and can make brand protection procedures more effective and efficient. This document is intended to support the brand owner’s business resilience, brand reputation, and brand value, by protecting products, documents, and associated services from counterfeiting and other infringements.

  • Technical specification
    17 pages
    English language
    sale 15% off
ISO
ISO/TS 22360:2024(Main)
Security and resilience — Crisis management — Concepts, principles and framework

This document provides an outline of crisis concepts and the principles that inform and support contemporary thinking on the circumstances and conditions under which crises can develop. It specifies: — concepts and principles, governing crises; — the social-ecological system (SES) framework in which crises develop; — factors that contribute to crises; — the progression and evolution of a crisis; — a structure for classifying crises; — the relationship between issues, incidents, emergencies, disasters, and crises; — a crisis taxonomy for the systematic development of policies, strategies, and standards, relevant to crisis management (see Annex A). This document does not provide guidance on how organizations can: — manage physiological or psychological aspects of human reactions to personal crises; — manage personal health or public health crisis affecting individuals, communities, or having broader impacts on society; — design, develop or implement crisis management programs or plans; — develop a strategic capability for crisis management; — apply crisis management techniques to specific crisis situations. This document is applicable to all organizations. It can also be applied by standards users and standards writers and educators. It encourages a better understanding of crisis concepts and the interconnected characteristics of factors that contribute to crises through referencing the crisis controls and effects social-ecological system model. The application of the principles described in this document can encourage consistency in the use of crises related terms and definitions and complements other ISO standards for crisis management.

  • Technical specification
    26 pages
    English language
    sale 15% off
  • Technical specification
    29 pages
    French language
    sale 15% off