ISO 22340:2024
(Main)Security and resilience - Protective security - Guidelines for an enterprise protective security architecture and framework
Security and resilience - Protective security - Guidelines for an enterprise protective security architecture and framework
This document provides guidance on the enterprise protective security architecture and the framework of protective security policies, processes and types of controls necessary to mitigate and manage security risks across the protective security domains, including: a) security governance; b) personnel security; c) information security; d) cybersecurity; e) physical security. This document is applicable for any organization.
Sécurité et résilience — Sûreté préventive — Lignes directrices pour une architecture et un cadre de sûreté préventive de l’entreprise
Le présent document fournit des recommandations relatives à l’architecture de sûreté préventive de l’entreprise et au cadre des politiques, processus et types de contrôles en matière de sûreté préventive, nécessaires pour atténuer et gérer les risques liés à la sûreté dans l’ensemble des domaines de la sûreté préventive, y compris: a) la gouvernance de la sûreté; b) la sûreté du personnel; c) la sécurité de l’information; d) la cybersécurité; e) la sûreté physique. Le présent document est applicable à tout organisme.
General Information
Overview
ISO 22340:2024 - Security and resilience - Protective security - Guidelines for an enterprise protective security architecture and framework - provides high‑level guidance for designing an enterprise protective security architecture and an integrated protective security framework. The standard explains how organizations can align security governance, policies, processes and controls with business objectives using a risk‑based approach. It is applicable to any organization and focuses on coordination across five core protective security domains: security governance, personnel security, information security, cybersecurity, and physical security.
Key Topics
- Enterprise protective security architecture: structure and elements for documenting governance arrangements and the security framework that delivers protective security outcomes.
- Protective security domains: clear coverage of governance, personnel, information, cyber and physical security and how they integrate.
- Risk‑based principles: emphasis on understanding business impact, applying risk management and selecting controls proportionate to risk.
- Security governance: roles and responsibilities including the responsible security executive, security management structures and implementation oversight.
- Personnel security: eligibility, suitability checks, ongoing assessment, separation processes and HR–security cooperation.
- Information security: classification of information, business impact analysis and access control to organizational information.
- Cybersecurity: defining systems, selecting and evaluating cyber controls, system authorization and ongoing monitoring; considerations for rapid digital change.
- Physical security: protecting organizational assets and facilities through policy, procedures and controls.
- Security maturity & continuous improvement: guidance on developing organizational security capability and measuring progress.
- Scope & limitations: provides strategic guidance rather than detailed technical or operational procedures.
Applications
ISO 22340:2024 is intended for managers, security leaders, risk officers and consultants who need to:
- Build or revise an enterprise protective security framework that integrates multiple security disciplines.
- Align security controls with business objectives and risk appetite.
- Define governance structures and clear security roles and responsibilities.
- Guide procurement of security services and design of cross‑domain security programs.
- Improve organizational security maturity and foster a security‑aware culture.
Practical uses include strategic security planning, policy harmonization, vendor requirements for integrated security services, and as a reference when developing organization‑wide protective security roadmaps.
Related standards
- ISO 22300 (Security and resilience - Vocabulary) is referenced for terminology and complements ISO 22340:2024.
- ISO 22340:2024 is designed to complement national and sectoral security best practices and risk‑management frameworks.
Standards Content (Sample)
International
Standard
ISO 22340
First edition
Security and resilience — Protective
2024-11
security — Guidelines for an
enterprise protective security
architecture and framework
Sécurité et résilience — Sûreté préventive — Lignes directrices
pour une architecture et un cadre de sûreté préventive de
l’entreprise
Reference number
© ISO 2024
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Enterprise protective security architecture . 4
4.1 General .4
4.2 Integration.5
4.3 Elements of the architecture .5
5 Protective security principles and domains . 6
5.1 Protective security principles .6
5.2 Protective security domains .7
6 Security governance domain . 7
6.1 Objective.7
6.2 Security controls .8
6.2.1 The responsible security executive .8
6.2.2 Security management structure .9
6.3 Implementation . .19
7 Personnel security domain .20
7.1 Objective. 20
7.2 Security controls . 20
7.2.1 General . 20
7.2.2 Eligibility and suitability of personnel .21
7.2.3 Ongoing assessment of personnel .21
7.2.4 Separating personnel .21
7.2.5 Cooperation between human resources and security in applying controls .21
7.3 Implementation . .21
8 Information security domain .22
8.1 Objective. 22
8.2 Security controls . 23
8.2.1 Business impact and security classification of information . 23
8.2.2 Control access to the organization’s information . 23
8.3 Implementation . .24
9 Cybersecurity domain . .24
9.1 Objective.24
9.2 Security controls . 25
9.2.1 Defining the system and selecting security controls . 25
9.2.2 Implementing and evaluating security controls . 25
9.2.3 Authorizing cyber systems . 25
9.2.4 M onitoring cyber systems . 25
9.3 Implementation . 26
9.4 Rapid development of the digital domain . 26
10 Physical security domain . .26
10.1 Objective. 26
10.2 Security controls .27
10.2.1 Organizational physical assets .27
10.2.2 Organizational facilities.27
10.3 Implementation . .27
11 Developing the organization’s security maturity .28
Bibliography .31
iii
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out through
ISO technical committees. Each member body interested in a subject for which a technical committee
has been established has the right to be represented on that committee. International organizations,
governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely
with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of ISO document should be noted. This document was drafted in accordance with the editorial rules of the
ISO/IEC Directives, Part 2 (see www.iso.org/directives).
ISO draws attention to the possibility that the implementation of this document may involve the use of (a)
patent(s). ISO takes no position concerning the evidence, validity or applicability of any claimed patent
rights in respect thereof. As of the date of publication of this document, ISO had not received notice of (a)
patent(s) which may be required to implement this document. However, implementers are cautioned that
this may not represent the latest information, which may be obtained from the patent database available at
www.iso.org/patents. ISO shall not be held responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
iv
Introduction
This document aims to meet a global need for organizations to formulate and integrate their protective
security controls in a way that is based on risk management principles and strategically aligned with the
interests of the organization. It details an enterprise architecture and integrated framework within which a
diverse suite of security-related policy, processes and practices can be coordinated.
Clarity on what protective security is, what it means, how it can be implemented, and how its benefits can
be measured, will be helpful to managers, regardless of the sector. This is particularly important for the
many organizations that have expended substantial resources on various security measures that have not
necessarily been coordinated or informed by the full range of security risk. In an increasingly complex
security environment, this document aims to provide clarity in this regard and to provide a basis for better
enterprise security outcomes as a result.
This document:
a) Provides guidance on how organizations and their managers can implement and manage coherent
protective security arrangements.
b) Demonstrates the critically important idea that effective security management is based on an
understanding of risk and the application of risk management principles, and that the form and
implementation of security controls (that protect an organization’s assets) are integral to the long-term
success of the organization. Security is a business enabler, not an overhead cost to the organization.
c) Defines and details the elements of protective security, outlines an enterprise protective security
governance model and defines the roles and responsibilities necessary in delivering protective security
outcomes.
d) Demonstrates the critical importance of establishing and sustaining an organizational culture
supporting positive security behaviours: where all personnel and interested parties have a sense
of shared ownership of security outcomes; and where all are authorized and competent to act in the
security interests of the organization and invested in the security of the organization.
e) Outlines the importance of continuous improvement in relation to an organization’s protective security.
This document is applicable for any organization and will be particularly useful for those that have had
difficulty implementing risk-based frameworks appropriate to their security context. Organizations with
such difficulties can be guided by this document in identifying and procuring appropriately competent
services to assist.
The guidelines contained in this document do not provide detailed procedures at the technical or operational
level. Where standards are not available at this level, organizations should formulate and implement
procedures based on the high-level guidance contained in this document and according to best practices at
international and national levels.
v
International Standard ISO 22340:2024(en)
Security and resilience — Protective security — Guidelines
for an enterprise protective security architecture and
framework
1 Scope
This document provides guidance on the enterprise protective security architecture and the framework
of protective security policies, processes and types of controls necessary to mitigate and manage security
risks across the protective security domains, including:
a) security governance;
b) personnel security;
c) information security;
d) cybersecurity;
e) physical security.
This document is applicable for any organization.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes
requirements of this document. For dated references, only the edition cited applies. For undated references,
the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Security and resilience — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1
asset owner
person within the organization who is responsible for a given asset
3.2
business impact
impact on an organization’s or sector’s ability to operate resulting from the compromise of confidentiality,
integrity or availability of assets
3.3
culture
shared values and attitudes that are applied within an organization by its personnel and interested parties
Note 1 to entry: This recognizes that an organization has a culture that, to varying degrees, supports and accepts
security as part of business as usual; and that fostering this element of the organization’s culture should be the aim of
top management in delivering protective security outcomes.
3.4
cybersecurity
protection of the confidentiality, integrity, and availability of digital systems (hardware, software and
associated infrastructure) from unauthorized digital access, harm or misuse, or attack scenarios that involve
deliberate exploitation of computer systems, digitally-dependent enterprise networks and control systems
Note 1 to entry: This relates to a range of technical domains (3.5), including but not necessarily limited to information
and communications technology (ICT) (3.9) and operational technology (OT).
3.5
domain
defined sphere of protective security (3.17) activity or knowledge
3.6
enterprise protective security architecture
documented structure comprising governance arrangements and the security framework elements by which
protective security functions are performed and strategically aligned with the aims of the organization
3.7
framework
structure of policies, processes and specifications designed to support the accomplishment of an objective
Note 1 to entry: In this connection, a protective security framework consists of and aligns all elements of protective
security policy and processes, including security governance (3.8), personnel security (3.15), information security
(3.12), cybersecurity (3.4) and physical security (3.16).
3.8
governance
system of directing and controlling
Note 1 to entry: The processes by which organizations are directed, controlled and held to account, encompassing
authority, accountability, stewardship, leadership, direction and control exercised in the organization.
3.9
information and communications technology
ICT
technology for gathering, storing, retrieving, processing, analysing and transmitting information
[SOURCE: ISO/IEC 30071-1:2019, 3.2.5]
3.10
information asset
knowledge or data that have value for the individual or organization (including intellectual property), which
are defined and managed so it can be understood, shared, protected and used
3.11
information life cycle
process whereby information is managed over time, from the point of creation, receipt, distribution, use,
maintenance and final disposal (disposition, destruction or archiving) according to the business impact of
reduction or loss of the confidentiality, integrity or availability of information
3.12
information security
protection and preservation of the confidentiality, integrity and availability of all information assets (3.10),
including information in transit (e.g. transactional security), digital security and cybersecurity (3.4)
Note 1 to entry: Information security relates to the security of information in all its forms (including hard copy and
verbal communications), digital systems, information and communications technology (ICT) (3.10) and operational
technology (OT).
Note 2 to entry: Additional properties, such as authenticity, accountability, non-repudiation and reliability, can be
included.
[SOURCE: ISO/IEC 27000:2018, 3.28, modified — definition has been extended and note 1 to entry has
been added.]
3.13
measure
action or means to eliminate hazards or reduce risks
[SOURCE: ISO/IEC Guide 51:2014, 3.13, modified — example has been removed]
3.14
need-to-know
need to access specific information based on a business or operational requirement according to an active
process of determining the security level of information and who has the right to access the information
3.15
personnel security
process of gaining and maintaining assurance of a person’s eligibility and suitability (honesty,
trustworthiness, maturity, resilience, loyalty and security competence) to access organizational assets
3.16
physical security
combination of physical security controls (3.19) to reduce the risk of unauthorized access, to safeguard assets
and to protect from a potential security incident
3.17
protective security
processes and activities that protect assets from malicious acts, the impact of unintentional incidents and
other events that can cause harm
Note 1 to entry: Protective security includes the following domains: security governance (3.8), personnel security
(3.15), information security (3.12), cybersecurity (3.4) and physical security (3.16).
3.18
responsible security executive
RSE
person assigned within the organization’s top management as the single point of responsibility for managing
the organization’s security risk (3.21)
Note 1 to entry: Having responsibility for managing the organization’s security risk, the RSE is accountable to top
management for the performance of that task. Top management is in turn accountable for the overall performance of
the organization in general.
Note 2 to entry: The RSE is responsible for ensuring that the organization’s security function is effectively managed
and provides assurance to top management that security risks are being actively managed.
Note 3 to entry: Proper governance (3.8) requires that the RSE has the authority, resources and competence necessary
to exercise this responsibility; and is part of, or has effective access to, top management.
3.19
security control
policy, process, or tangible or intangible risk reduction application which, on the basis of assessment, is
implemented to treat risk by reducing or maintaining the likelihood of a security-related risk being realised,
within specific levels or ranges
Note 1 to entry: This includes but is not limited to digital and physical access controls, alarms, active and passive
surveillance, vetting and other personnel assessment tools.
Note 2 to entry: A security treatment is the actual application or implementation of one or more security controls to
achieve an acceptable level of risk.
3.20
security in depth
defence in depth
protection in depth
use of multiple protective security controls (3.19) in layers across the enterprise to protect assets
Note 1 to entry: This recognizes that the strength of any system is no greater than its weakest link and ensures that if
one control element fails, other defensive measures (3.13) are in place to continue providing protection.
3.21
security risk
potential that malicious actors (or any unintentional action or event) could harm or result in compromise,
loss or unavailability of an organization’s assets or reduce the effectiveness of security controls (3.19)
Note 1 to entry: See security threat (3.22).
Note 2 to entry: This definition draws on the definition of risk according to ISO 31000:2018, 3.1, in the context of
security risk, where uncertainty in relation to the intent and capability of malicious actors and vulnerability to their
actions can impact objectives.
3.22
security threat
threat that arises when the intentions and capabilities of malicious actors are committed to action
and intersect with the vulnerabilities of protective security controls (3.19) or the intrinsic systems of an
organization
Note 1 to entry: A vulnerability can be inherent in an asset or process or be caused by any event or circumstance,
including a natural event or accident.
Note 2 to entry: Threat is sometimes considered as analogous to hazard (potential source of harm), although in the
security context, hazard typically refers to materials or tools pre-existing in the operating environment that can be
used by a malicious actor, such as explosives, malware, etc.
3.23
security vetting
processes designed to verify the identity of personnel and to provide assurance that they are eligible and
suitable to access organizational assets
4 Enterprise protective security architecture
4.1 General
Protective security is optimized when it is aligned with protective security principles and led by
the organization’s top management. In that respect, the organization should implement governance
arrangements that provide enterprise-level appreciation of security and deliver a framework of protective
security policies, processes and specifications that are strategically aligned within the business.
4.2 Integration
Governance arrangements inform a security management programme which in turn should be incorporated
within business operations in order to achieve the organization’s security objectives.
The enterprise protective security architecture outlined in this document consists of the principles,
governance arrangements and structural elements within which the framework of protective security
policies, processes and specifications are implemented and managed.
Organizing security management along these lines requires support throughout the entire organization and
strong leadership from top management and asset owners in particular. Also, since effective security risk
management is key to security outcomes, the organization should undertake risk processes consistent with
ISO 31000:2018, Clause 6 and ensure that all elements of security governance operate consistently with
ISO 31000 in general.
Organizations should identify specific technical standards according to the need or, if these are not available,
formulate and implement procedures based on the guidance contained in this document and according to
best international and national practice.
Controls not directly related to security, but which can mitigate or accentuate security risk (emergency
management and response, business continuity, crisis management, safety and privacy for example), should
also be aligned within this enterprise protective security architecture.
4.3 Elements of the architecture
The organization should implement an enterprise protective security architecture consisting of the elements
specified in Table 1.
Table 1 — Elements of the enterprise protective security architecture
Level Description
1 Governance level: The principles that drive strategy, objectives, resourcing and review of
protective security at the organizational leadership and governance level.
Protective security principles
2 Management level: The domains of security practice that achieve these guiding principles in
terms of the security of the organization’s assets.
Protective security domains
3 Implementation, operations and The management of security risks enabling delivery of the objectives of the
review level: organization.
Security risk management Controls are implemented to mitigate/modify/treat security risk in
relation to each of the security domains: security governance, personnel
security, information security, cybersecurity, and physical security. A con-
verged approach ensures that application of controls is complementary to
the required security outcomes.
Processes for measuring performance and for continuous improvement are
included at this level.
NOTE Monitoring performance is expanded upon in 6.2.2.7 and 6.2.2.8 and Clause 11.
Elements of the enterprise protective security architecture can be expanded to align with the more detailed
framework of organizational arrangements for security as outlined in Figure 1. Relevant technical standards
can also assist in applying risk treatments. If these are not available, the organization should formulate and
implement procedures based on this document.
Figure 1 — Expanded architecture and framework view
5 Protective security principles and domains
5.1 Protective security principles
The organization should be guided by the following protective security principles when formulating and
executing security strategies, policies, procedures, processes and operations:
a) Security is everyone’s responsibility: a positive culture, where everyone has an active role to play, is
critical to security.
b) Security enables business: security supports the organization’s mission and the delivery of its products
and services.
c) Security management is based on risk management principles and methodology: security controls are
applied proportionately to protect the organization’s assets according to the organization’s overall
assessed risk.
NOTE 1 An asset is anything that is of value to the organization, such as human, physical, information,
intangible, environmental and infrastructure resources. Human assets include employees, contractors or other
interested parties. Assets do not necessarily have to belong to the organization.
d) Top management is accountable for the organization’s security: top management owns the risks of their
organization, invests in and sponsors the organization’s security, delegates responsibility according to
competence and resources; and holds accountable those to whom responsibility has been delegated.
e) Security is integrated into all levels of the organization’s activity: security risk is managed through
protective security controls that are coordinated across the organization.
f) Security is delivered within a life cycle of continual improvement: a cycle of action, evaluation and
learning is implemented to identify improvement opportunities, to assess and reassess the effectiveness
of controls and to define options for corrective actions.
The organization should integrate security principles, thinking and practice into all levels of decision making
and activity to enable effective management of security risk. Responsibility for the day-to-day management
of security should be delegated by the RSE according to competence and resources.
NOTE 2 Although not necessarily personally involved, top management remains accountable for the overall
performance of the organization, including its security.
5.2 Protective security domains
The above protective security principles are delivered by managing security risks to the organization
through the application of controls in the following domains:
a) security governance;
b) personnel security;
c) information security;
d) cybersecurity;
e) physical security.
As reflected in Figures 1 and 2, these domains are not mutually exclusive. They are connected and impact
one another. In applying risk management, the organization should ensure that security risk is assessed
and managed within a framework of coordinated planning and implementation of security controls across
all of these domains. In addition to implementing the processes to deliver this coordinated approach, the
organization should develop the supporting policy, procedures and processes needed to implement, operate,
and test each control.
Figure 2 — Convergence of security domains to protect assets
6 Security governance domain
6.1 Objective
Effective governance of security ensures that the enterprise protective security architecture delivers
security outcomes that protect the organization’s assets, enabling the organization to achieve its objectives.
In the security governance domain, the organization should aim to:
— manage security risks and support a positive security approach in the organization’s culture, ensuring
clear accountabilities and lines of responsibility, effective planning, proper integration and coordination,
assurance, review and improvement processes and proportionate reporting.
The organization’s top management (the board, chief executive officer, head of agency, etc.) should delegate
responsibility for the organization’s security to the responsible security executive (RSE). While delegating
this responsibility, top management nonetheless retains accountability for the outcome of the delegated
work. This means that top management is accountable for the outcomes of the application of security
management, and that those given responsibilities for implementing controls will be held accountable for
the outcomes of those controls.
The RSE should be a member of, or have authoritative access to, top management. Also, the organization
should ensure effective reporting and communication of security risk occurs between top management and
the RSE.
The RSE has final authority in defining the organization’s security footing. Also, in coordination with top
management and asset owners, the RSE is primarily responsible for ensuring that the organization’s security
risk is managed and its security outcomes are delivered.
The RSE should have adequate operational resources to lead, promote and manage the security of the
organization. Depending on the size of the organization, other executives or managers should be assigned
to security functions under the RSE to manage organizational security. Security managers may hold other
managerial roles but should be professionally competent in security and have the capacity to fulfil their
roles effectively.
In small organizations, the security function may be conducted by proportionately smaller management
structures. However, an RSE should still be appointed and identified.
6.2 Security controls
6.2.1 The responsible security executive
In implementing the organization’s framework of protective security policies, the roles and responsibilities
of the RSE include, but are not necessarily limited to:
a) understanding the organization’s business and being able to engage effectively with top management
and oversight bodies, as applicable, to enable effective management of security risk;
b) using security expertise to guide asset owners through the security risk management decision-making
process for their respective assets;
c) understanding, managing and reporting on the implications that risk management decisions may have
on other organizations and sharing this information where appropriate;
d) promoting an understanding throughout the organization that security is everyone’s business, and
that all personnel, contractors and any other people working on behalf of the organization, share
responsibility for maintaining a secure workplace;
e) being competent and knowledgeable regarding the ethical considerations of security and how risk
management fits within the whole-of-organization context;
f) defining and implementing an organizational culture that accepts and supports security processes;
g) ensuring personnel contractors and any other people working on behalf of the organization, are
provided with sufficient information and training to support their shared responsibility;
h) ensuring that security risk management is integrated with the organization’s security principles at the
enterprise level;
i) facilitating agreement on the amount and type of security risk that can potentially be taken by the
organization;
j) managing and reporting on the security risks of their organization, including briefing the CEO, board
and/or audit and risk committee (or equivalent) on the security of the organization and proposing,
leading and managing appropriate security risk management action.
6.2.2 Security management structure
6.2.2.1 General
The organization should implement an appropriately resourced security management structure to be
managed by the RSE. The work that this group does should be based upon risk management as detailed in
6.2.2.2 and 6.2.2.3.
6.2.2.2 Managing security risk
The RSE should ensure that a risk management process is applied consistently across the protective security
domains, and in a way that is appropriate to the security risk context of the organization. Risks in relation
to these domains should be included in security risk assessments of specific parts of the organization’s
business (e.g. major projects, sensitive operations, transactions, transportation, organizational resilience).
Security plans and corresponding controls should be implemented as part of this process.
The organization should be proactive in managing risk by gathering, analysing and responding to
information on threats. Threat actors can originate internationally, nationally and in the community
in which the organization is located and from which it draws its personnel. Organizations have intrinsic
intelligence capabilities: their people and networks in their interested party communities that can be
utilized for gaining an appreciation of emerging threats and in managing the associated risks. In addition,
the organization’s understanding of threat should be informed by a range of other inputs, such as security
incident reporting provided by related organizations and information flows from government agencies and
law enforcement authorities.
This should also be informed by the assessed vulnerability of assets to attack and their value to the business.
The organization should implement protective measures commensurate with the value of assets in terms of
the business impact of compromise or loss.
Management of enterprise security on the basis of risk requires a programme of work in which security risk
is consistently assessed on an ongoing basis, giving rise to a single and coordinated picture of the security-
related risks to the organization. Accordingly, the organization should be able to be informed of relevant
security risks in its decision-making process. Guidelines on how this can be achieved are outlined in 6.2.2.3.
6.2.2.3 Security programme
6.2.2.3.1 General
In developing the programme by which security risk will be managed, the organization should use the
security risk management process model derived from ISO 31000, including the range of elements that relate
to the organization’s internal and external environment and its management requirements (see Figures 3 to
8 and the associated lists of attributes).
Figure 3 — ISO 31000 risk management process
6.2.2.3.2 Scope
The scope of the organization’s security programme and the risk management processes implemented to
deliver it should be informed by following attributes:
a) Requirements to achieve organizational objectives
Known and potential sources of security risk and their likely impact on the achievement of organizational
objectives.
b) Governance, policy and processes
Existing arrangements for accountability and responsibility in relation to the organization’s security
and the security-related policies and implementing processes, and their respective impact in relation to
security risk and the security programme itself.
6.2.2.3.3 Context
The organization should maintain a detailed and up-to-date understanding of its security context, including:
a) Organizational operating environment
Examine the security in the operating environment, including local, national and geopolitical
considerations.
b) Organizational management
Understand the effectiveness of the alignment between organizational management practices and
procedures with the management and delivery of security objectives.
c) The organization’s assets
Identify the assets critical to the organization’s objectives that can be vulnerable to a security-related threat.
d) Validation of internal and external interested parties
Confirm the parties that are required to participate, provide resources in support of, or who can be
impacted by, the organization’s response to security risk.
6.2.2.3.4 Criteria
In delivering effective risk management, the organization should develop a clear understanding of the
criteria by which it will understand, plan for and respond to risk. This requires the organization to determine
the amount and type of security-related risks to its objectives that it may or may not take. Conversely, an
outcome of risk management is to identify the responses and controls that will be required to treat security-
related risks that are assessed as having impacts on objectives within the organization’s risk tolerance.
These risks can be accepted by the organization.
Figure 4 — Security risk management scope, context and criteria
6.2.2.3.5 Communication and consultation
Communication and consultation with stakeholders are critically important in understanding, analysing
and managing security-related risk. Attributes of effective communication and consultation include:
a) Communications strategy
In consideration of communications and consultation, there should be a planned approach to engage
with all those validated as internal and external interested parties.
b) Client and interested party requirements
As a result of the communication and consultation process, consideration of the security requirements
of those parties should be included in the assessment and management processes.
c) Privacy
The privacy of all participants should be respected and where personal information is relevant to the
assessments, appropriate protections should be implemented.
d) Confidentiality
Information required for, or gathered during, the assessment phase, should be allocated an appropriate
level of confidentiality to reflect the participants and their contribution and to ensure actions
recommended by the assessment cannot be accessed by those who are a source of security risk.
e) Consent
Consent of participants should be confirmed to ensure that they are aware of the individual and
collective consequences arising from the assessment.
f) Sources of validation
Sources of validation for an assessment include, but are not necessarily limited to, existing policies
...
Norme
internationale
ISO 22340
Première édition
Sécurité et résilience — Sûreté
2024-11
préventive — Lignes directrices
pour une architecture et un cadre
de sûreté préventive de l’entreprise
Security and resilience — Protective security — Guidelines for an
enterprise protective security architecture and framework
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2024
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Architecture de sûreté préventive de l’entreprise . 5
4.1 Généralités .5
4.2 Intégration.5
4.3 Éléments de l’architecture .5
5 Principes et domaines de la sûreté préventive . 6
5.1 Principes de sûreté préventive .6
5.2 Domaines de la sûreté préventive .7
6 Domaine de gouvernance de la sûreté . 8
6.1 Objectif.8
6.2 Contrôles de sûreté .8
6.2.1 Le responsable de la sûreté .8
6.2.2 Structure de management de la sûreté .9
6.3 Mise en œuvre .19
7 Domaine de la sûreté du personnel .20
7.1 Objectif. 20
7.2 Contrôles de sûreté .21
7.2.1 Généralités .21
7.2.2 Éligibilité et adéquation du personnel .21
7.2.3 Évaluation continue du personnel .21
7.2.4 Départ du personnel.21
7.2.5 Coopération entre les ressources humaines et la sûreté dans l’application des
contrôles .21
7.3 Mise en œuvre . 22
8 Domaine de la sécurité de l’information .23
8.1 Objectif. 23
8.2 Contrôles de sûreté . 23
8.2.1 Classification des informations en fonction de l’impact sur l’activité et de la
sûreté . 23
8.2.2 Contrôler l’accès aux informations de l’organisme .24
8.3 Mise en œuvre .24
9 Domaine de la cybersécurité .25
9.1 Objectif. 25
9.2 Contrôles de sûreté . 25
9.2.1 Définition du système et sélection des contrôles de sûreté . 25
9.2.2 Mise en œuvre et évaluation des contrôles de sûreté . 25
9.2.3 Autorisation des cybersystèmes . 26
9.2.4 Surveillance des cybersystèmes. 26
9.3 Mise en œuvre . 26
9.4 Développement rapide du domaine du numérique .27
10 Domaine de la sûreté physique .27
10.1 Objectif.27
10.2 Contrôles de sûreté . 28
10.2.1 Actifs matériels de l’organisme . 28
10.2.2 Installations organisationnelles . 28
10.3 Mise en œuvre . 28
iii
11 Développer la maturité de l’organisme en matière de sûreté .29
Bibliographie .31
iv
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux
de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général
confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire
partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (IEC) en ce qui concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’ISO attire l’attention sur le fait que la mise en application du présent document peut entraîner l’utilisation
d’un ou de plusieurs brevets. L’ISO ne prend pas position quant à la preuve, à la validité et à l’applicabilité de
tout droit de brevet revendiqué à cet égard. À la date de publication du présent document, l’ISO n'avait pas
reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires à sa mise en application. Toutefois,
il y a lieu d’avertir les responsables de la mise en application du présent document que des informations
plus récentes sont susceptibles de figurer dans la base de données de brevets, disponible à l'adresse
www.iso.org/brevets. L’ISO ne saurait être tenue pour responsable de ne pas avoir identifié tout ou partie de
tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de
l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au
commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/fr/members.html.
v
Introduction
Le présent document vise à répondre à un besoin global des organismes de formuler et d’intégrer leurs
contrôles de sûreté préventive d’une manière qui soit fondée sur les principes de management du risque
et stratégiquement alignée sur les intérêts de l’organisme. Il décrit en détail une architecture d’entreprise
et un cadre intégré au sein desquels un ensemble divers de politiques, de processus et de pratiques liés à la
sûreté peuvent être coordonnés.
La clarification de ce qu’est la sûreté préventive, de ce qu’elle signifie, de la manière dont elle peut être mise
en œuvre et de la manière dont ses avantages peuvent être mesurés, sera utile aux membres du management,
quel que soit leur secteur d’activité. Cela est particulièrement important pour les nombreux organismes qui
ont consacré des ressources importantes à diverses mesures de sûreté qui n’ont pas nécessairement été
coordonnées ou sous-tendues par l’ensemble des risques liés à la sûreté. Dans un environnement de sûreté
de plus en plus complexe, le présent document vise à apporter des éclaircissements à cet égard et à fournir
une base permettant d’obtenir de meilleurs résultats en matière de sûreté de l’entreprise.
Le présent document:
a) fournit des recommandations sur la manière dont les organismes et leurs membres du management
peuvent mettre en œuvre et gérer des dispositifs de sûreté préventive cohérents;
b) démontre l’idée essentielle qu’un management efficace de la sûreté repose sur une compréhension du
risque et l’application des principes de management du risque, et que la forme et la mise en œuvre des
contrôles de sûreté (qui protègent les actifs d’un organisme) font partie intégrante du succès à long
terme de l’organisme. La sûreté est un moteur de l’activité, et non un coût indirect pour l’organisme;
c) définit et détaille les éléments de la sûreté préventive, décrit un modèle de gouvernance de la sûreté
préventive de l’entreprise et définit les rôles et responsabilités nécessaires pour obtenir des résultats en
matière de sûreté préventive;
d) démontre l’importance cruciale de l’établissement et du maintien d’une culture organisationnelle
soutenant des comportements positifs en matière de sûreté: où l’ensemble du personnel et des parties
intéressées ont un sentiment d’appropriation partagée des résultats en matière de sûreté; et où tous
sont autorisés et compétents pour agir dans l’intérêt de la sûreté de l’organisme et s’investissent dans la
sûreté de l’organisme;
e) souligne l’importance de l’amélioration continue en ce qui concerne la sûreté préventive d’un organisme.
Le présent document s’applique à tout organisme et sera particulièrement utile à ceux qui ont éprouvé
des difficultés à mettre en œuvre des cadres fondés sur le risque et adaptés à leur contexte de sûreté.
Les organismes confrontés à de telles difficultés peuvent s’inspirer du présent document pour identifier et
obtenir l’aide de services dûment compétents.
Les lignes directrices contenues dans le présent document ne fournissent pas de procédures détaillées
au niveau technique ou opérationnel. En l’absence de normes à ce niveau, il convient que les organismes
élaborent et mettent en œuvre des procédures sur la base des recommandations générales contenues dans
le présent document et conformément aux meilleures pratiques aux niveaux national et international.
vi
Norme internationale ISO 22340:2024(fr)
Sécurité et résilience — Sûreté préventive — Lignes
directrices pour une architecture et un cadre de sûreté
préventive de l’entreprise
1 Domaine d’application
Le présent document fournit des recommandations relatives à l’architecture de sûreté préventive de
l’entreprise et au cadre des politiques, processus et types de contrôles en matière de sûreté préventive,
nécessaires pour atténuer et gérer les risques liés à la sûreté dans l’ensemble des domaines de la sûreté
préventive, y compris:
a) la gouvernance de la sûreté;
b) la sûreté du personnel;
c) la sécurité de l’information;
d) la cybersécurité;
e) la sûreté physique.
Le présent document est applicable à tout organisme.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique. Pour
les références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l'ISO 22300 ainsi que les suivants
s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
propriétaire d’un actif
personne qui, au sein de l’organisme, est responsable d’un actif donné
3.2
impact sur l’activité
impact sur la capacité d’un organisme ou d’un secteur à fonctionner résultant du fait que la confidentialité,
l’intégrité ou la disponibilité des actifs ont été compromises
3.3
culture
valeurs et attitudes communes appliquées au sein d’un organisme par son personnel et les parties intéressées
Note 1 à l'article: Il est reconnu qu’un organisme a une culture qui, à des degrés divers, soutient et accepte la sûreté
comme faisant partie des activités habituelles; et il convient que la promotion de cet élément de la culture de
l’organisme soit l’objectif de la direction pour obtenir des résultats en matière de sûreté préventive.
3.4
cybersécurité
protection de la confidentialité, de l’intégrité et de la disponibilité des systèmes numériques
(matériels, logiciels et infrastructures associées) contre les accès numériques non autorisés, les dommages
ou les utilisations abusives, ou les scénarios d’attaque qui impliquent l’exploitation délibérée des systèmes
informatiques, des réseaux d’entreprise dépendant du numérique et des systèmes de contrôle
Note 1 à l'article: Ceci concerne une série de domaines (3.5) techniques, y compris, mais sans s’y limiter nécessairement,
les technologies de l’information et de la communication (TIC) (3.9) et les technologies opérationnelles (TO).
3.5
domaine
sphère définie d’activité ou de connaissance en matière de sûreté préventive (3.17)
3.6
architecture de sûreté préventive de l’entreprise
structure documentée comprenant les modalités de gouvernance et les éléments du cadre de sûreté par
lesquels les fonctions de sûreté préventive sont assurées et alignées stratégiquement sur les objectifs de
l’organisme
3.7
cadre
structure de politiques, de processus et de spécifications conçue pour soutenir la réalisation d’un objectif
Note 1 à l'article: Dans cette optique, un cadre de sûreté préventive comprend et aligne tous les éléments de la politique
et des processus de sûreté préventive, y compris la gouvernance (3.8) de la sûreté, la sûreté du personnel (3.15), la
sécurité de l’information (3.12), la cybersécurité (3.4) et la sûreté physique (3.16).
3.8
gouvernance
système permettant de diriger et de contrôler
Note 1 à l'article: Il s’agit des processus par lesquels les organismes sont dirigés, contrôlés et tenus de rendre des
comptes, englobant l’autorité, l’imputabilité, la gérance, le leadership, l’orientation et le contrôle exercés au sein de
l’organisme.
3.9
technologies de l’information et de la communication
TIC
technologie d’extraction, de stockage, d’accès, d’analyse et de transmission des informations
[SOURCE: ISO/IEC 30071-1:2019, 3.2.5]
3.10
actif informationnel
connaissances ou données ayant de la valeur pour l’individu ou l’organisme (y compris la propriété
intellectuelle), et qui sont définies et gérées de manière à pouvoir être comprises, partagées, protégées et
utilisées
3.11
cycle de vie de l’information
processus par lequel l’information est gérée dans le temps, depuis sa création jusqu’à son élimination
finale (élimination, destruction ou archivage), en passant par sa réception, sa distribution, son utilisation
et sa tenue à jour, en fonction de l’impact sur l’activité de la réduction ou de la perte de la confidentialité,
de l’intégrité ou de la disponibilité de l’information
3.12
sécurité de l’information
protection et préservation de la confidentialité, de l’intégrité et de la disponibilité de tous les actifs
informationnels (3.10), y compris les informations en transit (par exemple, la sécurité transactionnelle),
la sécurité numérique et la cybersécurité (3.4)
Note 1 à l'article: La sécurité de l’information concerne la sécurité des informations sous toutes leurs formes (y compris
les communications écrites et orales), les systèmes numériques, les technologies de l’information et de la communication
(TIC) (3.10) et les technologies opérationnelles (TO).
Note 2 à l'article: D’autres propriétés, telles que l’authenticité, l’imputabilité, la non-répudiation et la fiabilité, peuvent
être incluses.
[SOURCE: ISO/IEC 27000:2018, 3.28, modifié — La définition a été élargie et la Note 1 à l’article a été ajoutée.]
3.13
mesure
action ou moyens permettant d’éliminer les dangers ou de réduire les risques
[SOURCE: Guide ISO/IEC 51:2014, 3.13, modifié — L’exemple a été supprimé.]
3.14
besoin de savoir
nécessité d’accéder à des informations spécifiques pour répondre à une exigence commerciale ou
opérationnelle, conformément à un processus actif de détermination du niveau de sûreté des informations
et des personnes ayant le droit d’accéder à ces informations
3.15
sûreté du personnel
processus permettant d’obtenir et de conserver l’assurance qu’une personne est éligible et apte (honnêteté,
fiabilité, maturité, résilience, loyauté et compétence en matière de sûreté) à accéder aux actifs de l’organisme
3.16
sûreté physique
combinaison de contrôles de sûreté (3.19) physiques visant à réduire le risque d’accès non autorisé, à protéger
les actifs et à se prémunir contre un éventuel incident de sûreté
3.17
sûreté préventive
processus et activités qui protègent les actifs contre les actes de malveillance, l’impact des incidents non
intentionnels et d’autres événements susceptibles de causer des dommages
Note 1 à l'article: La sûreté préventive comprend les domaines suivants: la gouvernance (3.8) de la sûreté, la sûreté du
personnel (3.15), la sécurité de l’information (3.12), la cybersécurité (3.4) et la sûreté physique (3.16).
3.18
responsable de la sûreté
RS
personne désignée au sein de la direction de l’organisme comme unique responsable de la gestion du risque
lié à la sûreté (3.21) de l’organisme
Note 1 à l'article: Ayant la responsabilité de la gestion du risque lié à la sûreté de l’organisme, le RS rend compte à la
direction de l’exécution de cette tâche. La direction rend compte à son tour des performances globales de l’organisme
en général.
Note 2 à l'article: Le RS est chargé de veiller à ce que la fonction de sûreté de l’organisme soit gérée efficacement et
donne à la direction l’assurance que les risques liés à la sûreté sont gérés de manière active.
Note 3 à l'article: Une gouvernance (3.8) appropriée exige que le RS dispose de l’autorité, des ressources et des
compétences nécessaires pour exercer cette responsabilité; et qu’il soit membre de la direction ou qu’il ait un accès
effectif à celle-ci.
3.19
contrôle de sûreté
politique, processus, ou application tangible ou intangible d’une réduction du risque qui, sur la base d’une
évaluation, est mis en œuvre pour traiter le risque en réduisant ou en maintenant la probabilité qu’un risque
lié à la sûreté se réalise, à des niveaux ou dans des fourchettes spécifiques
Note 1 à l'article: Cela comprend, sans s’y limiter, les contrôles d’accès numérique et physique, les alarmes,
la surveillance active et passive, la vérification et autres outils d’évaluation du personnel.
Note 2 à l'article: Un traitement en matière de sûreté est l’application ou la mise en œuvre effective d’un ou plusieurs
contrôles de sûreté dans le but d’atteindre un niveau de risque acceptable.
3.20
sûreté en profondeur
défense en profondeur
protection en profondeur
utilisation de multiples contrôles de sûreté (3.19) préventive par couches dans l’ensemble de l’entreprise afin
de protéger les actifs
Note 1 à l'article: Cette approche reconnaît que la force d’un système n’est pas plus grande que son point le plus faible
et garantit qu’en cas de défaillance d’un élément de contrôle, d’autres mesures (3.13) de défense sont en place pour
continuer à assurer la protection.
3.21
risque lié à la sûreté
possibilité que des acteurs malveillants (ou toute action ou tout événement non intentionnel) portent atteinte
aux actifs d’un organisme ou aboutissent à les compromettre, à les perdre ou à les rendre indisponibles, ou
réduisent l’efficacité des contrôles de sûreté (3.19)
Note 1 à l'article: Voir menace pour la sûreté (3.22).
Note 2 à l'article: Cette définition est inspirée de la définition du risque selon l’ISO 31000:2018, 3.1, dans le contexte
du risque lié à la sûreté, en ce que l’incertitude relative à l’intention et à la capacité des acteurs malveillants et la
vulnérabilité à leurs actions peuvent avoir une incidence sur les objectifs.
3.22
menace pour la sûreté
menace qui survient lorsque les intentions et les capacités d’acteurs malveillants sont mises en œuvre et
se heurtent aux vulnérabilités des contrôles de sûreté (3.19) préventive ou des systèmes intrinsèques d’un
organisme
Note 1 à l'article: Une vulnérabilité peut être inhérente à un actif ou à un processus ou être causée par un événement
ou une circonstance quelconque, y compris un événement naturel ou un accident.
Note 2 à l'article: La menace est parfois considérée comme analogue au danger (source potentielle de dommage),
bien que dans le contexte de la sûreté, le danger se réfère généralement à des matériaux ou des outils préexistants
dans l’environnement d’exploitation qui peuvent être utilisés par un acteur malveillant, tels que des explosifs, des
logiciels malveillants, etc.
3.23
vérification de sûreté
processus visant à vérifier l’identité du personnel et à fournir l’assurance qu’il est éligible et apte à accéder
aux actifs de l’organisme
4 Architecture de sûreté préventive de l’entreprise
4.1 Généralités
La sûreté préventive est optimisée lorsqu’elle est alignée sur les principes de sûreté préventive et pilotée par
la direction de l’organisme. Dans cette optique, il convient que l’organisme mette en œuvre des modalités
de gouvernance qui permettent d’apprécier la sûreté au niveau de l’entreprise et fournissent un cadre de
politiques, de processus et de spécifications en matière de sûreté préventive qui sont stratégiquement
alignés au sein de l’entreprise.
4.2 Intégration
Les modalités de gouvernance servent de base à un programme de management de la sûreté qu’il convient
d’intégrer à son tour dans les activités opérationnelles afin d’atteindre les objectifs de sûreté de l’organisme.
L’architecture de sûreté préventive de l’entreprise décrite dans le présent document comprend les principes,
les modalités de gouvernance et les éléments structurels selon lesquels est mis en œuvre et géré le cadre des
politiques, des processus et des spécifications en matière de sûreté préventive.
L’organisation du management de la sûreté selon ces axes nécessite le soutien de l’ensemble de l’organisme et
un leadership fort de la part de la direction et des propriétaires d’actifs en particulier. De plus, étant donné
qu’un management efficace des risques liés à la sûreté est essentiel pour obtenir des résultats en matière de
sûreté, il convient que l’organisme mette en œuvre des processus de management du risque en cohérence
avec l’ISO 31000:2018, Article 6 et s’assure que tous les éléments de gouvernance de la sûreté fonctionnent
en accord avec l’ISO 31000 en général.
Il convient que les organismes identifient des normes techniques spécifiques en fonction des besoins ou,
en l’absence de celles-ci, élaborent et mettent en œuvre des procédures sur la base des recommandations
contenues dans le présent document et conformément aux meilleures pratiques nationales et internationales.
Il convient également d’aligner les contrôles non directement liés à la sûreté, mais qui peuvent atténuer
ou accentuer le risque lié à la sûreté (gestion et réponse d’urgence, continuité d’activité, gestion de crise,
sûreté et vie privée, par exemple) dans cette architecture de sûreté préventive de l’entreprise.
4.3 Éléments de l’architecture
Il convient que l’organisme mette en œuvre une architecture de sûreté préventive de l’entreprise comprenant
les éléments spécifiés dans le Tableau 1.
Tableau 1 — Éléments de l’architecture de sûreté préventive de l’entreprise
Niveau Description
1 Niveau de la gouvernance: Les principes qui régissent la stratégie, les objectifs, les ressources et la
revue de la sûreté préventive au niveau du leadership et de la gouvernance
Principes de sûreté préventive
de l’organisme.
2 Niveau managérial: Les domaines de pratique de la sûreté qui respectent ces principes direc-
teurs en matière de sûreté des actifs de l’organisme.
Domaines de la sûreté préventive
3 Niveau de la mise en œuvre, des Le management des risques liés à la sûreté permettant d’atteindre les
opérations et de la revue: objectifs de l’organisme.
Management des risques liés à la Des contrôles sont mis en œuvre pour atténuer/modifier/traiter le risque
sûreté lié à la sûreté dans chacun des domaines de la sûreté: gouvernance de la
sûreté, sûreté du personnel, sécurité de l’information, cybersécurité et
sûreté physique. Une approche convergente garantit que l’application des
contrôles est complémentaire aux résultats exigés en matière de sûreté.
Des processus de mesure des performances et d’amélioration continue
sont inclus à ce niveau.
NOTE La surveillance des performances est développée en 6.2.2.7 et 6.2.2.8 et à l’Article 11.
Les éléments de l’architecture de sûreté préventive de l’entreprise peuvent être étendus pour s’aligner sur le
cadre plus détaillé des dispositifs de sûreté de l’organisme, tel que décrit à la Figure 1. L’existence de normes
techniques pertinentes peut également faciliter l’application des traitements des risques. En l’absence de
telles normes, il convient que l’organisme élabore et mette en œuvre des procédures sur la base du présent
document.
Figure 1 — Architecture étendue et vue du cadre
5 Principes et domaines de la sûreté préventive
5.1 Principes de sûreté préventive
Il convient que l’organisme soit guidé par les principes de sûreté préventive suivants lors de l’élaboration et
de l’exécution des stratégies, politiques, procédures, processus et opérations de sûreté:
a) la sûreté est la responsabilité de tous: une culture positive, dans laquelle chacun a un rôle actif à jouer,
est essentielle pour la sûreté;
b) la sûreté est au service de l’activité: la sûreté soutient la mission de l’organisme et la fourniture de ses
produits et services;
c) le management de la sûreté repose sur les principes et la méthodologie de management du risque:
les contrôles de sûreté sont appliqués de manière proportionnée pour protéger les actifs de l’organisme
en fonction du risque global évalué par l’organisme;
NOTE 1 Un actif est un élément qui a de la valeur pour l’organisme, tel que les ressources humaines,
matérielles, informationnelles, intangibles, environnementales et en matière d’infrastructure. Les actifs
humains comprennent les employés, les sous-traitants ou d’autres parties intéressées. Les actifs ne doivent pas
nécessairement appartenir à l’organisme.
d) la direction est comptable de la sûreté de l’organisme: la direction assume les risques de son organisme,
investit dans la sûreté de l’organisme et la sponsorise, délègue les responsabilités en fonction des
compétences et des ressources, et demande des comptes aux personnes à qui les responsabilités ont été
déléguées;
e) la sûreté est intégrée à tous les niveaux d’activité de l’organisme: le risque lié à la sûreté est géré par des
contrôles de sûreté préventive qui sont coordonnés dans l’ensemble de l’organisme;
f) la sûreté s’inscrit dans un cycle d’amélioration continue: un cycle d’action, d’évaluation et d’apprentissage
est mis en œuvre pour identifier les opportunités d’amélioration, pour évaluer et réévaluer l’efficacité
des contrôles et pour définir des options d’actions correctives.
Il convient que l’organisme intègre les principes, la réflexion et les pratiques en matière de sûreté à tous
les niveaux de prise de décision et d’activité afin de permettre un management efficace du risque lié à la
sûreté. Il convient que le RS délègue la responsabilité du management quotidien de la sûreté en fonction des
compétences et des ressources.
NOTE 2 Bien qu’elle ne soit pas nécessairement impliquée personnellement, la direction reste comptable des
performances globales de l’organisme, y compris de sa sûreté.
5.2 Domaines de la sûreté préventive
Les principes de sûreté préventive ci-dessus sont mis en œuvre en gérant les risques liés à la sûreté de
l’organisme par l’application de contrôles dans les domaines suivants:
a) la gouvernance de la sûreté;
b) la sûreté du personnel;
c) la sécurité de l’information;
d) la cybersécurité;
e) la sûreté physique.
Comme le montrent les Figures 1 et 2, ces domaines ne sont pas mutuellement exclusifs. Ils sont liés et
s’impactent entre eux. Lors de l’application du management du risque, il convient que l’organisme s’assure que
le risque lié à la sûreté est évalué et géré dans un cadre de planification et de mise en œuvre coordonnées des
contrôles de sûreté dans tous ces domaines. Outre la mise en œuvre des processus permettant d’appliquer
cette approche coordonnée, il convient que l’organisme élabore la politique, les procédures et les processus
de soutien nécessaires à la mise en œuvre, au fonctionnement et à l’essai de chaque contrôle.
Figure 2 — Convergence des domaines de sûreté pour protéger les actifs
6 Domaine de gouvernance de la sûreté
6.1 Objectif
Une gouvernance efficace de la sûreté garantit que l’architecture de sûreté préventive de l’entreprise
donne des résultats de sûreté permettant de protéger les actifs de l’organisme, ce qui permet à l’organisme
d’atteindre ses objectifs.
Dans le domaine de la gouvernance de la sûreté, il convient que l’organisme cherche à:
— gérer les risques liés à la sûreté et soutenir une approche de sûreté positive dans la culture de l’organisme,
en garantissant des redevabilités et des chaînes de responsabilités claires, une planification efficace, une
intégration et une coordination appropriées, des processus d’assurance, de revue et d’amélioration et
des rapports proportionnés.
Il convient que la direction de l’organisme (le conseil d’administration, le directeur général, le chef d’agence,
etc.) délègue la responsabilité de la sûreté de l’organisme au responsable de la sûreté (RS). Tout en déléguant
cette responsabilité, la direction reste néanmoins comptable du résultat du travail délégué. Cela signifie que
la direction est comptable des résultats de l’application du management de la sûreté et que les personnes
chargées de mettre en œuvre les contrôles seront tenues responsables des résultats de ces contrôles.
Il convient que le RS soit membre de la direction ou qu’il ait un accès privilégié à celle-ci. Par ailleurs,
il convient que l’organisme s’assure que des rapports et une communication efficaces sur les risques liés à la
sûreté ont lieu entre la direction et le RS.
Le RS a l’autorité finale pour définir les bases de la sûreté de l’organisme. De plus, en coordination avec la
direction et les propriétaires d’actifs, le RS est principalement chargé de s’assurer que le risque lié à la sûreté
de l’organisme est géré et que les résultats escomptés en matière de sûreté sont atteints.
Il convient que le RS dispose des ressources opérationnelles adéquates pour diriger, promouvoir et gérer la
sûreté de l’organisme. En fonction de la taille de l’organisme, il convient que d’autres cadres ou responsables
soient affectés à des fonctions de sûreté relevant du RS afin de gérer la sûreté de l’organisme. Les responsables
de la sûreté peuvent occuper d’autres rôles managériaux, mais il convient qu’ils soient professionnellement
compétents en matière de sûreté et qu’ils aient la capacité de remplir efficacement leurs rôles.
Dans les petits organismes, la fonction de sûreté peut être assurée par des structures de management
proportionnellement plus petites. Il convient toutefois de nommer et d’identifier un RS.
6.2 Contrôles de sûreté
6.2.1 Le responsable de la sûreté
Dans la mise en œuvre du cadre des politiques de sûreté préventive de l’organisme, les rôles et responsabilités
du RS incluent, sans nécessairement s’y limiter:
a) comprendre les activités de l’organisme et être en mesure de dialoguer efficacement avec la direction et
les organes de surveillance, selon le cas, pour permettre un management efficace du risque lié à la sûreté;
b) utiliser l’expertise en matière de sûreté pour guider les propriétaires d’actifs à travers le processus
décisionnel relatif au management des risques liés à la sûreté pour leurs actifs respectifs;
c) comprendre, gérer et rendre compte des implications que les décisions de management du risque
peuvent avoir sur d’autres organismes et partager ces informations le cas échéant;
d) promouvoir une compréhension dans l’ensemble de l’organisme que la sûreté est l’affaire de tous et
que l’ensemble du personnel, des sous-traitants et des autres personnes travaillant pour le compte de
l’organisme, partagent la responsabilité de maintenir un lieu de travail sûr;
e) être compétent et bien informé en ce qui concerne les aspects éthiques de la sûreté et la manière dont le
management du risque s’inscrit dans le contexte de l’ensemble de l’organisme;
f) définir et mettre en œuvre une culture organisationnelle qui accepte et soutient les processus de sûreté;
g) s’assurer que le personnel, les sous-traitants et toute autre personne travaillant pour le compte de
l’organisme, reçoivent suffisamment d’informations et de formation pour assumer leur responsabilité
partagée;
h) s’assurer que le management des risques liés à la sûreté est intégré aux principes de sûreté de
l’organisme au niveau de l’entreprise;
i) faciliter l’accord sur la quantité et le type de risque lié à la sûreté que peut potentiellement prendre
l’organisme;
j) gérer et rendre compte des risques liés à la sûreté de leur organisme, y compris informer le PDG, le conseil
d’administration et/ou le comité d’audit et de risque (ou l’équivalent) de la sûreté de l’organisme et
proposer, diriger et gérer les actions appropriées de management des risques liés à la sûreté.
6.2.2 Structure de management de la sûreté
6.2.2.1 Généralités
Il convient que l’organisme mette en œuvre une structure de management de la sûreté dotée de ressources
appropriées et destinée à être gérée par le RS. Il convient que le travail de ce groupe se fonde sur le
management du risque, tel que détaillé en 6.2.2.2 et 6.2.2.3.
6.2.2.2 Gérer les risques liés à la sûreté
Il convient que le RS s’assure qu’un processus de management du risque est appliqué de manière cohérente
dans les domaines de la sûreté préventive, et d’une manière appropriée au contexte de l’organisme en
matière de risque lié à la sûreté. Il convient d’inclure les risques liés à ces domaines dans l’appréciation
du risque lié à la sûreté de parties spécifiques des activités de l’organisme (par exemple, projets majeurs,
opérations sensibles, transactions, transport, résilience de l’organisme). Il convient que les plans de sûreté
et les contrôles correspondants soient mis en œuvre dans le cadre de ce processus.
Il convient que l’organisme soit proactif dans le management du risque en recueillant, en analysant et
en répondant aux informations sur les menaces. Les acteurs des menaces peuvent avoir une origine
internationale, nationale et dans la communauté dans laquelle l’organisme se situe et d’où il tire son
personnel. Les organismes disposent de capacités d’intelligence intrinsèques: leur personnel et leurs réseaux
au sein de leurs communautés de parties intéressées, qui peuvent être utilisés pour apprécier les menaces
émergentes et gérer les risques qui y sont associés. En outre, il convient que la compréhension de la menace
par l’organisme soit alimentée par une série d’autres éléments d’entrée, tels que les rapports d’incidents
de sûreté fournis par des organismes associés et les flux d’informations provenant des administrations
publiques et des autorités chargées de l’application de la loi.
Il convient également de tenir compte de l’évaluation de la vulnérabilité des actifs aux attaques et de
leur valeur pour les activités de l’organisme. Il convient que l’organisme mette en œuvre des mesures de
protection proportionnelles à la valeur des actifs en matière d’impact sur l’activité dans le cas où ceux-ci
seraient compromis ou perdus.
Le management de la sûreté de l’entreprise sur la base du risque nécessite un programme de travail dans
lequel le risque lié à la sûreté est évalué de
...
Frequently Asked Questions
ISO 22340:2024 is a standard published by the International Organization for Standardization (ISO). Its full title is "Security and resilience - Protective security - Guidelines for an enterprise protective security architecture and framework". This standard covers: This document provides guidance on the enterprise protective security architecture and the framework of protective security policies, processes and types of controls necessary to mitigate and manage security risks across the protective security domains, including: a) security governance; b) personnel security; c) information security; d) cybersecurity; e) physical security. This document is applicable for any organization.
This document provides guidance on the enterprise protective security architecture and the framework of protective security policies, processes and types of controls necessary to mitigate and manage security risks across the protective security domains, including: a) security governance; b) personnel security; c) information security; d) cybersecurity; e) physical security. This document is applicable for any organization.
ISO 22340:2024 is classified under the following ICS (International Classification for Standards) categories: 03.100.01 - Company organization and management in general; 13.310 - Protection against crime. The ICS classification helps identify the subject area and facilitates finding related standards.
You can purchase ISO 22340:2024 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...