ISO 22342:2023
(Main)Security and resilience — Protective security — Guidelines for the development of a security plan for an organization
Security and resilience — Protective security — Guidelines for the development of a security plan for an organization
This document gives guidance on developing and maintaining security plans. The security plan describes how an organization establishes effective security planning and how it can integrate security within organizational risk management practices. This document is applicable to all organizations regardless of type, size and nature, whether in the private, public or not-for-profit sectors, that wish to develop effective security plans in a consistent manner. This document is applicable to any organization intending to implement measures designed to protect their assets against malicious acts and mitigate their associated risks. This document does not provide specific criteria for identifying the need to implement or enhance prevention and protection measures against malicious acts. It does not apply to services and operations delivered by private security companies.
Sécurité et résilience — Sûreté préventive — Lignes directrices pour l'élaboration d'un plan de sûreté destiné à un organisme
Le présent document fournit des recommandations pour l’élaboration et la tenue à jour des plans de sûreté. Le plan de sûreté décrit comment un organisme établit une planification de la sûreté efficace et comment il peut intégrer la sûreté dans les pratiques organisationnelles de management du risque. Le présent document s’applique à tous les organismes, quels que soient leur type, leur taille et leur nature, qu’ils appartiennent au secteur privé, au secteur public ou au secteur non lucratif, qui souhaitent élaborer des plans de sûreté efficaces de manière cohérente. Le présent document s’applique à tout organisme qui souhaite implémenter des mesures destinées à protéger ses actifs contre les actes de malveillance et à atténuer les risques associés. Le présent document ne fournit pas de critères spécifiques permettant d’identifier la nécessité d’implémenter ou d’améliorer les mesures de prévention et de protection contre les actes de malveillance. Il ne s’applique ni aux services ni aux opérations fournis par les sociétés de sécurité privées.
General Information
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 22342
First edition
2023-04
Security and resilience —
Protective security — Guidelines for
the development of a security plan
for an organization
Sécurité et résilience — Sûreté préventive — Lignes directrices pour
l'élaboration d'un plan de sûreté destiné à un organisme
Reference number
© ISO 2023
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Security planning . 1
5 Components of the security plan .2
5.1 General . 2
5.2 Governance . 2
5.2.1 General . 2
5.2.2 Security objectives . 2
5.2.3 Scope of the security plan . 3
5.2.4 Leadership. 3
5.2.5 Legal and regulatory. 3
5.2.6 Roles, accountabilities and responsibilities . 4
5.2.7 Communication. 4
5.2.8 Documented information . 4
5.2.9 Reporting . 4
5.2.10 Evaluation . 4
5.2.11 Continuous improvement . 5
5.3 Management of risk . 5
5.3.1 General . 5
5.3.2 Security risk scope, context and criteria . 6
5.3.3 Assessment . 6
5.3.4 Treatment . 6
5.3.5 Acceptance level for residual security risk . 6
5.3.6 Communication and consultation . 7
5.3.7 Monitoring and review . 7
5.3.8 Documentation management and recording . 7
5.4 Security controls . 7
5.4.1 General . 7
5.4.2 Levels of protection . 7
5.4.3 Procedures for security controls . 8
5.4.4 Operational level controls and treatments . 8
5.4.5 Contingency planning for low likelihood and unforeseen situations. 9
5.4.6 Timelines for security activities. 9
5.5 Security controls process . 9
5.5.1 General . 9
5.5.2 Selection . 9
5.5.3 Implementation, testing and evaluation . 9
5.5.4 Monitoring activities . 10
5.5.5 Determining effectiveness . 10
Bibliography .11
iii
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO document should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
ISO draws attention to the possibility that the implementation of this document may involve the use
of (a) patent(s). ISO takes no position concerning the evidence, validity or applicability of any claimed
patent rights in respect thereof. As of the date of publication of this document, ISO had not received
notice of (a) patent(s) which may be required to implement this document. However, implementers are
cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents. ISO shall not be held responsible for identifying any or all
such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
iv
Introduction
All organizations seek to manage security risks in their environment to ensure appropriate protection
levels of their assets, to preserve the interests of interested parties and to achieve their objectives.
Organizations sometimes need to establish and maintain a structured approach to security.
The purpose of a security plan is to ensure that all the appropriate actions and controls are in place to
protect the organization from threats to its security.
This document gives guidance on the implementation of a security plan whose structure includes the
guidance for protective security architecture. Thus, the security plan can be effectively integrated into
an existing management system.
Integrating the organization’s risk management processes into the security plan model supports proper
management of security. The security plan is designed to allocate accountability and responsibility, and
to guide the application of controls to protect the organization from security risks.
A planned approach that is adaptive and agile makes it possible to provide solutions to unplanned
situations. Security threats are dynamic and often unforeseen; therefore, this document introduces
both technical and human-related elements for an adaptive and agile planned approach.
The intent of the document is to provide the fundamental elements necessary to improve and sustain
the protection of an organization.
v
INTERNATIONAL STANDARD ISO 22342:2023(E)
Security and resilience — Protective security — Guidelines
for the development of a security plan for an organization
1 Scope
This document gives guidance on developing and maintaining security plans. The security plan
describes how an organization establishes effective security planning and how it can integrate security
within organizational risk management practices.
This document is applicable to all organizations regardless of type, size and nature, whether in the
private, public or not-for-profit sectors, that wish to develop effective security plans in a consistent
manner.
This document is applicable to any organization intending to implement measures designed to protect
their assets against malicious acts and mitigate their associated risks.
This document does not provide specific criteria for identifying the need to implement or enhance
prevention and protection measures against malicious acts. It does not apply to services and operations
delivered by private security companies.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Security and resilience — Vocabulary
ISO 31000, Risk management — Guidelines
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300, ISO 31000 and the
following apply.
ISO and IEC ma
...
NORME ISO
INTERNATIONALE 22342
Première édition
2023-04
Sécurité et résilience — Sûreté
préventive — Lignes directrices pour
l'élaboration d'un plan de sûreté
destiné à un organisme
Security and resilience — Protective security — Guidelines for the
development of a security plan for an organization
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2023
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 1
4 Planification de la sûreté . 2
5 Composants du plan de sûreté . 2
5.1 Généralités . 2
5.2 Gouvernance . 2
5.2.1 Généralités . 2
5.2.2 Objectifs de sûreté . 3
5.2.3 Domaine d’application du plan de sûreté . 3
5.2.4 Direction . 3
5.2.5 Aspect réglementaire et juridique . 4
5.2.6 Rôles, imputabilités et responsabilités . 4
5.2.7 Communication. 4
5.2.8 Informations documentées . 4
5.2.9 Établissement des rapports . 5
5.2.10 Évaluation . 5
5.2.11 Amélioration continue . 5
5.3 Management du risque . 5
5.3.1 Généralités . 5
5.3.2 Domaine d’application, contexte et critères du risque de sûreté . 6
5.3.3 Appréciation . 6
5.3.4 Traitement . 6
5.3.5 Niveaux d’acceptation du risque de sûreté résiduel . 7
5.3.6 Communication et consultation . 7
5.3.7 Surveillance et revue . 7
5.3.8 Gestion et enregistrement de la documentation . 7
5.4 Contrôles de sûreté . 8
5.4.1 Généralités . 8
5.4.2 Niveaux de protection . 8
5.4.3 Procédures relatives aux contrôles de sûreté . 8
5.4.4 Contrôles et traitements au niveau opérationnel. 8
5.4.5 Planification d’urgence pour les situations peu vraisemblables et
inattendues . 9
5.4.6 Calendriers des activités de sûreté . 10
5.5 Processus relatif aux contrôles de sûreté . 10
5.5.1 Généralités . 10
5.5.2 Sélection . 10
5.5.3 Implémentation, essai et évaluation . 10
5.5.4 Activités de surveillance . 10
5.5.5 Détermination de l’efficacité . 11
Bibliographie .12
iii
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’ISO attire l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO ne prend pas position quant à la preuve, à la validité
et à l’applicabilité de tout droit de brevet revendiqué à cet égard. À la date de publication du présent
document, l’ISO n’avait pas reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires à sa
mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l’adresse www.iso.org/brevets. L’ISO ne saurait être tenue pour responsable de ne
pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
iv
Introduction
Tous les organismes cherchent à gérer les risques de sûreté dans leur environnement afin d’assurer des
niveaux de protection appropriés de leurs actifs, de préserver les intérêts des parties intéressées et
d’atteindre leurs objectifs.
Les organismes ont parfois besoin d’établir et de tenir à jour une approche structurée de la sûreté.
L’objectif d’un plan de sûreté est d’assurer que toutes les actions et tous les contrôles appropriés sont en
place pour protéger l’organisme contre les menaces à sa sécurité.
Le présent document donne des lignes directrices pour l’implémentation d’un plan de sûreté dont la
structure inclut les recommandations pour une architecture de sûreté préventive. Ainsi, le plan de
sûreté peut être intégré efficacement dans un système de management existant.
L’intégration des processus de management du risque de l’organisme au modèle de plan de sûreté,
contribue à une gestion appropriée de la sûreté. Ce plan de sûreté est conçu pour attribuer l’imputabilité
et la responsabilité de même pour guider la mise en œuvre des contrôles afin de protéger l’organisme
contre les risques de sûreté.
Une approche planifiée, adaptative et agile permet d’apporter des solutions à des situations non
anticipées. Les menaces pour la sûreté sont dynamiques et souvent inattendues; par conséquent, le
présent document introduit des éléments à la fois techniques et humains pour une approche planifiée
adaptative et agile.
L’objet de ce document est de fournir les éléments fondamentaux nécessaires pour améliorer et soutenir
la protection d’un organisme.
v
NORME INTERNATIONALE ISO 22342:2023(F)
Sécurité et résilience — Sûreté préventive — Lignes
directrices pour l'élaboration d'un plan de sûreté destiné à
un organisme
1 Domaine d’application
Le présent document fournit des recommandations pour l’élaboration et la tenue à jour des plans de
sûreté.
Le plan de sûreté décrit comment un organisme établit une planification de la sûreté efficace et
comment il peut intégrer la sûreté dans les pratiques organisationnelles de management du risque.
Le présent document s’applique à tous les organismes, quels que soient leur type, leur taille et leur
nature, qu’ils appartiennent au secteur privé, au secteur public ou au secteur non lucratif, qui souhaitent
élaborer des plans de sûreté efficaces de manière cohérente.
Le présent document s’applique à tout organisme qui souhaite implémenter des mesures destinées à
protéger ses actifs contre les actes de malveillance et à atténuer les risques associés.
Le présent document ne fournit pas de critères spécifiques permettant d’identifier la nécessité
d’implémenter ou
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.