ISO 22301:2019

INTERNATIONAL ISO
STANDARD 22301
Redline version
compares Second edition to
First edition
Security and resilience — Business
continuity management systems —
Requirements
Sécurité et résilience — Systèmes de management de la continuité
d'activité — Exigences
Reference number
ISO 22301:redline:2019(E)
©
ISO 2019
ISO 22301:redline:2019(E)
IMPORTANT
This marked-up version uses the following colour-coding in the marked-up text:
Text example 1 — Text has been added (in green)
— Text has been deleted (in red)
Text example 2
— Graphic figure has been added
— Graphic figure has been deleted
1.x . — If there are changes in a clause/subclause, the corresponding clause/
subclause number is highlighted in yellow in the Table of contents
DISCLAIMER
This marked-up version highlights the main changes in this edition of the document
compared with the previous edition. It does not focus on details (e.g. changes in
punctuation).
This marked-up version does not constitute the official ISO document and is not intended to
be used for implementation purposes.
© ISO 2019
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2019 – All rights reserved

ISO 22301:redline:2019(E)
Contents Page
Foreword .v
Introduction .vi
0.1 General .vi
0.2 The Plan-Do-Check-Act (PDCA) model.vi
0.3 Components of PDCA in this International Standard . vii
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization .11
4.1 Understanding of  the organization and its context .11
4.2 Understanding the needs and expectations of interested parties .11
4.2.1 General.11
4.2.2 Legal and regulatory requirements .11
4.3 Determining the scope of the business continuity management system .12
4.3.1 General.12
4.3.2 Scope of the BCMS business continuity management system .12
4.4 Business continuity management system .13
5 Leadership .13
5.1 Leadership and commitment .13
5.2 5.1 Management Leadership and commitment .13
5.3 5.2 Policy .14
5.2.1 Establishing the business continuity policy .14
5.2.2 Communicating the business continuity policy .14
5.4 5.3 Organizational roles Roles, responsibilities and authorities .14
6 Planning .15
6.1 Actions to address risks and opportunities .15
6.1.1 Determining risks and opportunities .15
6.1.2 Addressing risks and opportunities .15
6.2 Business continuity objectives and plans planning to achieve them .15
6.2.1 Establishing business continuity objectives .16
6.2.2 Determining business continuity objectives.16
6.3 Planning changes to the business continuity management system .17
7 Support .17
7.1 Resources .17
7.2 Competence .17
7.3 Awareness .17
7.4 Communication .17
7.5 Documented information .18
7.5.1 General.18
7.5.2 Creating and updating .18
7.5.3 Control of documented information .19
8 Operation .20
8.1 Operational planning and control .20
8.2 Business impact analysis and risk assessment .20
8.2.1 General.20
8.2.2 Business impact analysis .20
8.2.3 Risk assessment . .21
8.3 Business continuity strategy strategies and solutions .21
8.3.1 Determination and selection General .21
8.3.2 Identification of strategies and solutions .22
8.3.3 Selection of strategies and solutions .22
ISO 22301:redline:2019(E)
8.3.2 8.3.4 Establishing resource Resource requirements .22
8.3.3 8.3.5 Protection and mitigation Implementation of solutions .22
8.4 Establish and implement business continuity Business continuity plans and procedures 23
8.4.1 General.23
8.4.2 Incident response Response structure .23
8.4.3 Warning and communication .24
8.4.4 Business continuity plans .25
8.4.5 Recovery .27
8.5 Exercising and testing Exercise programme .27
8.6 Evaluation of business continuity documentation and capabilities .27
9 Performance evaluation .28
9.1 Monitoring, measurement, analysis and evaluation .28
9.1.1 General.28
9.1.2 Evaluation of business continuity procedures .28
9.2 Internal audit .29
9.2.1 General.30
9.2.2 Audit programme(s) .30
9.3 Management review .30
9.3.1 General.32
9.3.2 Management review input .32
9.3.3 Management review outputs .32
10 Improvement .33
10.1 Nonconformity and corrective action .33
10.2 Continual improvement .34
Bibliography .35
iv © ISO 2019 – All rights reserved

ISO 22301:redline:2019(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
International Standards areThe procedures used to develop this document and those intended for its
further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval
criteria needed for the different types of ISO documents should be noted. This document was drafted
in accordance with the rules given ineditorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/
directives).
The main task of technical committees is to prepare International Standards. Draft International
Standards adopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the member bodies
casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso .org/
iso/ foreword .html.
ISO 22301This document was prepared by Technical Committee ISO/TC 223292, Societal securitySecurity
and resilience.
This corrected version of second edition cancels and replaces the first edition (ISO 22301:2012
incorporates the following corrections), which has been technically revised. The main changes
compared with the previous edition are as follows:
— first list in 6.1 changed from a numbered to an unnumbered listISO’s requirements for management
system standards, which have evolved since 2012, have been applied;
— commas added at the end of list items in 7.5.3 and 8.3.2requirements have been clarified, with no
new requirements added;
— discipline-specific business continuity requirements are now almost entirely within Clause 8;
— bibliography items [19] and [20] separated, which were merged inClause 8 the originalhas been re-
structured to provide a clearer understanding of the key requirements;
— font size adjusted in several placesa number of discipline-specific business continuity terms have
been modified to improve clarity and to reflect current thinking.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
ISO 22301:redline:2019(E)
Introduction
0.1 General
This International Standard specifies requirements for setting up and managing an effective Business
Continuity Management System (BCMS).
A BCMS emphasizes the importance of
— understanding the organization's needs and the necessity for establishing business continuity
management policy and objectives,
— implementing and operating controls and measures for managing an organization's overall
capability to manage disruptive incidents,
— monitoring and reviewing the performance and effectiveness of the BCMS, and
— continual improvement based on objective measurement.
A BCMS, like any other management system, has the following key components:
a) a policy;
b) people with defined responsibilities;
c) management processes relating to
1) policy,
2) planning,
3) implementation and operation,
4) performance assessment,
5) management review, and
6) improvement;
d) documentation providing auditable evidence; and
e) any business continuity management processes relevant to the organization.
Business continuity contributes to a more resilient society. The wider community and the impact of
the organization's environment on the organization and therefore other organizations may need to be
involved in the recovery process.
0.2 The Plan-Do-Check-Act (PDCA) model
This International Standard applies the “Plan-Do-Check-Act” (PDCA) model to planning, establishing,
implementing, operating, monitoring, reviewing, maintaining and continually improving the
effectiveness of an organization's BCMS.
This ensures a degree of consistency with other management systems standards, such as ISO 9001
Quality management systems, ISO 14001, Environmental management systems, ISO/IEC 27001, Information
security management systems, ISO/IEC 20000-1, Information technology — Service management, and
ISO 28000, Specification for security management systems for the supply chain, thereby supporting
consistent and integrated implementation and operation with related management systems.
Figure 1 illustrates how a BCMS takes as inputs interested parties, requirements for continuity
management and, through the necessary actions and processes, produces continuity outcomes (i.e.
managed business continuity) that meet those requirements.
vi © ISO 2019 – All rights reserved

ISO 22301:redline:2019(E)
Figure 1 — PDCA model applied to BCMS processes
Table 1 — Explanation of PDCA model
Plan Establish business continuity policy, objectives, targets, controls, processes and
(Establish) procedures relevant to improving business continuity in order to deliver results that
align with the organization's overall policies and objectives.
Do Implement and operate the business continuity policy, controls, processes and pro-
(Implement and operate) cedures.
Check Monitor and review performance against business continuity policy and objectives,
(Monitor and review) report the results to management for review, and determine and authorize actions
for remediation and improvement.
Act Maintain and improve the BCMS by taking corrective action, based on the results of
(Maintain and improve) management review and reappraising the scope of the BCMS and business continuity
policy and objectives.
0.3 Components of PDCA in this International Standard
In the Plan-Do-Check-Act model as shown in Table 1, Clause 4 through Clause 10 in this International
Standard cover the following components.
— Clause 4 is a component of Plan. It introduces requirements necessary to establish the context of the
BCMS as it applies to the organization, as well as needs, requirements, and scope.
— Clause 5 is a component of Plan. It summarizes the requirements specific to top management's
role in the BCMS, and how leadership articulates its expectations to the organization via a policy
statement.
— Clause 6 is a component of Plan. It describes requirements as it relates to establishing strategic
objectives and guiding principles for the BCMS as a whole. The content of Clause 6 differs from
establishing risk treatment opportunities stemming from risk assessment, as well as business
impact analysis (BIA) derived recovery objectives.
NOTE The business impact analysis and risk assessment process requirements are detailed in Clause 8.
— Clause 7 is a component of Plan. It supports BCMS operations as they relate to establishing
competence and communication on a recurring/as-needed basis with interested parties, while
documenting, controlling, maintaining and retaining required documentation.
ISO 22301:redline:2019(E)
— Clause 8 is a component of Do. It defines business continuity requirements, determines how to
address them and develops the procedures to manage a disruptive incident.
— Clause 9 is a component of Check. It summarizes requirements necessary to measure business
continuity management performance, BCMS compliance with this International Standard and
management's expectations, and seeks feedback from management regarding expectations.
— Clause 10 is a component of Act. It identifies and acts on BCMS non-conformance through
corrective action.
0.1  General
This document specifies the structure and requirements for implementing and maintaining a business
continuity management system (BCMS) that develops business continuity appropriate to the amount
and type of impact that the organization may or may not accept following a disruption.
The outcomes of maintaining a BCMS are shaped by the organization’s legal, regulatory, organizational
and industry requirements, products and services provided, processes employed, size and structure of
the organization, and the requirements of its interested parties.
A BCMS emphasizes the importance of:
— understanding the organization’s needs and the necessity for establishing business continuity
policies and objectives;
— operating and maintaining processes, capabilities and response structures for ensuring the
organization will survive disruptions;
— monitoring and reviewing the performance and effectiveness of the BCMS;
— continual improvement based on qualitative and quantitative measures.
A BCMS, like any other management system, includes the following components:
a) a policy;
b) competent people with defined responsibilities;
c) management processes relating to:
1) policy;
2) planning;
3) implementation and operation;
4) performance assessment;
5) management review;
6) continual improvement;
d) documented information supporting operational control and enabling performance evaluation.
0.2 Benefits of a business continuity management system
The purpose of a BCMS is to prepare for, provide and maintain controls and capabilities for managing
an organization’s overall ability to continue to operate during disruptions. In achieving this, the
organization is:
a) from a business perspective:
1) supporting its strategic objectives;
viii © ISO 2019 – All rights reserved

ISO 22301:redline:2019(E)
2) creating a competitive advantage;
3) protecting and enhancing its reputation and credibility;
4) contributing to organizational resilience;
b) from a financial perspective:
1) reducing legal and financial exposure;
2) reducing direct and indirect costs of disruptions;
c) from the perspective of interested parties:
1) protecting life, property and the environment;
2) considering the expectations of interested parties;
3) providing confidence in the organization’s ability to succeed;
d) from an internal processes perspective:
1) improving its capability to remain effective during disruptions;
2) demonstrating proactive control of risks effectively and efficiently;
3) addressing operational vulnerabilities.
0.3  Plan-Do-Check-Act (PDCA) cycle
This document applies the Plan (establish), Do (implement and operate), Check (monitor and review)
and Act (maintain and improve) (PDCA) cycle to implement, maintain and continually improve the
effectiveness of an organization’s BCMS.
This ensures a degree of consistency with other management systems standards, such as ISO 9001,
ISO 14001, ISO/IEC 20000-1, ISO/IEC 27001 and ISO 28000, thereby supporting consistent and
integrated implementation and operation with related management systems.
In accordance with the PDCA cycle, Clauses 4 to 10 cover the following components.
— Clause 4 introduces the requirements necessary to establish the context of the BCMS applicable to
the organization, as well as needs, requirements and scope.
— Clause 5 summarizes the requirements specific to top management’s role in the BCMS, and how
leadership articulates its expectations to the organization via a policy statement.
— Clause 6 describes the requirements for establishing strategic objectives and guiding principles for
the BCMS as a whole.
— Clause 7 supports BCMS operations related to establishing competence and communication on a
recurring/as-needed basis with interested parties, while documenting, controlling, maintaining
and retaining required documented information.
— Clause 8 defines business continuity needs, determines how to address them and develops
procedures to manage the organization during a disruption.
— Clause 9 summarizes the requirements necessary to measure business continuity performance,
BCMS conformity with this document, and to conduct management review.
— Clause 10 identifies and acts on BCMS nonconformity and continual improvement through
corrective action.
ISO 22301:redline:2019(E)
0.5  Contents of this document
This document conforms to ISO’s requirements for management system standards. These requirements
include a high level structure, identical core text and common terms with core definitions, designed to
benefit users implementing multiple ISO management system standards.
This document does not include requirements specific to other management systems, though its
elements can be aligned or integrated with those of other management systems.
This document contains requirements that can be used by an organization to implement a BCMS and to
assess conformity. An organization that wishes to demonstrate conformity to this document can do so by:
— making a self-determination and self-declaration; or
— seeking confirmation of its conformity by parties having an interest in the organization, such as
customers; or
— seeking confirmation of its self-declaration by a party external to the organization; or
— seeking certification/registration of its BCMS by an external organization.
Clauses 1 to 3 in this document set out the scope, normative references and terms and definitions
that apply to the use of this document. Clauses 4 to 10 contain the requirements to be used to assess
conformity to this document.
In this document, the following verbal forms are used:
a) “shall” indicates a requirement;
b) “should” indicates a recommendation;
c) “may” indicates a permission;
d) “can” indicates a possibility or a capability.
Information marked as “NOTE” is for guidance in understanding or clarifying the associated
requirement. “Notes to entry” used in Clause 3 provide additional information that supplements the
terminological data and can contain provisions relating to the use of a term.
x © ISO 2019 – All rights reserved

INTERNATIONAL STANDARD ISO 22301:redline:2019(E)
Security and resilience — Business continuity
management systems — Requirements
1 Scope
This International Standard for business continuity managementdocument specifies requirements
to plan, establish, implement, operate, monitor, review, maintain and continually improve a
documentedimplement, maintain and improve a management system to protect against, reduce the
likelihood of the occurrence of, prepare for, respond to and recover from disruptive incidentsdisruptions
when they arise.
The requirements specified in this International Standarddocument are generic and intended to be
applicable to all organizations, or parts thereof, regardless of type, size and nature of the organization.
The extent of application of these requirements depends on the organization'sorganization’s operating
environment and complexity.
It is not the intent of this International Standard to imply uniformity in the structure of a Business
Continuity Management System (BCMS), but for an organization to design a BCMS that is appropriate
to its needs and that meets its interested parties' requirements. These needs are shaped by legal,
regulatory, organizational and industry requirements, the products and services, the processes
employed, the size and structure of the organization, and the requirements of its interested parties.
This International Standarddocument is applicable to all types and sizes of organizations that wish to:
a) establish, implement, maintain and improve a BCMS,;
b) seek to ensure conformity with stated business continuity policy,;
c) demonstrate conformity to others,need to be able to continue to deliver products and services at an
acceptable predefined capacity during a disruption;
d) seek certification/registration of its BCMS by an accredited third party certification body, orto
enhance their resilience through the effective application of the BCMS.
e) make a self-determination and self-declaration of conformity with this International Standard.
This International Standarddocument can be used to assess an organization'sorganization’s ability to
meet its own business continuity needs and obligations.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are
indispensable for its application are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
There are no normative references.
ISO 22300, Security and resilience — Vocabulary
3 Terms and definitions
For the purposes of this document, the following terms and definitions given in ISO 22300 and the
following apply.
ISO 22301:redline:2019(E)
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https: // www .iso .org/ obp
— IEC Electropedia: available at http: // www .electropedia .org/
NOTE The terms and definitions given below supersede those given in ISO 22300:2018.
3.1
activity
process or set of processes undertaken by an organization (or on its behalf) that produces or supports set
of one or more products and services tasks with a defined output
EXAMPLE Such processes include accounts, call centre, IT, manufacture, distribution.
[SOURCE: ISO 22300:2018, 3.1, modified — The definition has been replaced and the example has been
deleted.]
3.2
audit
systematic, independent and documented process process (3.26) for obtaining audit evidence and
evaluating it objectively to determine the extent to which the audit criteria are fulfilled
Note 1 to entry: An audit can be an internal audit (first party) or an external audit (second party or third party),
and it can be a combined audit (combining two or more disciplines).
Note 2 to entry: An internal audit is conducted by the organization (3.21) itself, or by an external party on its behalf.
Note 3 to entry: “Audit evidence” and “audit criteria” are defined in ISO 19011.
Note 4 to entry: The fundamental elements of an audit include the determination of the conformity (3.7) of an
object according to a procedure carried out by personnel not being responsible for the object audited.
Note 5 to entry: An internal audit can be for management review and other internal purposes and can form the
basis for an organization’s declaration of conformity. Independence can be demonstrated by the freedom from
responsibility for the activity (3.1) being audited. External audits include second- and third-party audits. Second-
party audits are conducted by parties having an interest in the organization, such as customers, or by other
persons on their behalf. Third-party audits are conducted by external, independent auditing organizations, such
as those providing certification/registration of conformity or government agencies.
Note 6 to entry: This constitutes one of the common terms and core definitions of the high level structure for ISO
management system standards. The original definition has been modified by adding Notes 4 and 5 to entry.
3.3
business continuity
capability of the organization an organization (3.21) to continue the delivery of products or
services  products and services (3.27)at acceptable predefined levels following disruptive incident
within acceptable time frames at predefined capacity during a disruption (3.10)
[SOURCE: ISO 22300:2018, 3.24, modified — The definition has been replaced.]
3.4
business continuity management plan
holistic management process  documented information (3.11) that identifies potential threats guides an
organization (3.21) to an organization and the impacts to business operations those threats, if realized,
might cause, and which provides a framework for building organizational resilience with respond to
a disruption (3.10) the capability of an effective response that safeguards the interests of and resume,
recover and restore the delivery of products and services (3.27)its key stakeholders, reputation, brand
and value-creating activities  consistent with its business continuity (3.3) objectives (3.20)
[SOURCE: ISO 22300:2018, 3.27, modified — The definition has been replaced and Note 1 to entry has
been deleted.]
2 © ISO 2019 – All rights reserved

ISO 22301:redline:2019(E)
3.5
business continuity management system
BCMS
part of the overall management system that establishes, implements, operates, monitors, reviews,
maintains and improves business continuity
Note 1 to entry: The management system includes organizational structure, policies, planning activities,
responsibilities, procedures, processes and resources.
3.6
business continuity plan
documented procedures that guide organizations to respond, recover, resume, and restore to a pre-
defined level of operation following disruption
Note 1 to entry: Typically this covers resources, services and activities required to ensure the continuity of
critical business functions.
3.7
business continuity programme
ongoing management and governance process supported by top management and appropriately
resourced to implement and maintain business continuity management
3.8 3.5
business impact analysis
process process (3.26) of analyzing actitivites and the effect that analysing the impact (3.13) a business
disruption might have upon them over time of a disruption (3.10) on the organization (3.21)
Note 1 to entry: The outcome is a statement and justification of business continuity (3.3) requirements (3.28).
[SOURCE: ISO 22300:2018, 3.29, modified — The definition has been replaced and Note 1 to entry has
been added.]
3.9 3.6
competence
ability to apply knowledge and skills to achieve intended results
Note 1 to entry: This constitutes one of the common terms and core definitions of the high level structure for ISO
management system standards.
3.10 3.7
conformity
fulfilment of a requirement requirement (3.28)
[SOURCE: ISO 22300]
Note 1 to entry: This constitutes one of the common terms and core definitions of the high level structure for ISO
management system standards.
3.11 3.8
continual improvement
recurring activity activity (3.1) to enhance performance performance (3.23)
[SOURCE: ISO 22300]
Note 1 to entry: This constitutes one of the common terms and core definitions of the high level structure for ISO
management system standards.
3.12
correction
action to eliminate a detected nonconformity
[SOURCE: ISO 22300]
ISO 22301:redline:2019(E)
3.13 3.9
corrective action
action to eliminate the cause(s) of a nonconformity nonconformity (3.19) and to prevent recurrence
Note 1 to entry: In the case of other undesirable outcomes, action is necessary to minimize or eliminate causes
and to reduce impact or prevent recurrence. Such actions fall outside the concept of “corrective action” in the
sense of this definition This constitutes one of the common terms and core definitions of the high level structure
for ISO management system standards.
[SOURCE: ISO 22300]
3.14 3.10
document disruption
information and its supporting medium incident (3.14), whether anticipated or unanticipated, that
causes an unplanned, negative deviation from the expected delivery of products and services (3.27)
according to an organization’s (3.21) objectives (3.20)
Note 1 to entry: The medium can be paper, magnetic, electronic or optical computer disc, photograph or master
sample, or a combination thereof.
Note 2 to entry: A set of documents, for example specifications and records, is frequently called “documentation”.
[SOURCE: ISO 22300:2018, 3.70, modified — The definition has been replaced.]
3.15 3.11
documented information
information required to be controlled and maintained by an organization organization (3.21) and the
medium on which it is contained
Note 1 to entry: Documented information can be in any format and on any media media, and from any source.
Note 2 to entry: Documented information can refer to:
— the management systemmanagement system (3.16), including related processesprocesses (3.26);
— information created in order for the organization to operate (documentation);
— evidence of results achieved (records).
Note 3 to entry: This constitutes one of the common terms and core definitions of the high level structure for ISO
management system standards.
3.16 3.12
effectiveness
extent to which planned activities activities (3.1) are realized and planned results achieved
[SOURCE: ISO 22300]
Note 1 to entry: This constitutes one of the common terms and core definitions of the high level structure for ISO
management system standards.
3.17
event
occurrence or change of a particular set of circumstances
Note 1 to entry: An event can be one or more occurrences, and can have several causes.
Note 2 to entry: An event can consist of something not happening.
Note 3 to entry: An event can sometimes be referred to as an “incident” or “accident”.
Note 4 to entry: An event without consequences may also be referred to as a “near miss”, “incident”, “near hit”,
“close call”.
4 © ISO 2019 – All rights reserved

ISO 22301:redline:2019(E)
[SOURCE: ISO/IEC Guide 73]
3.18 3.13
exercise impact
process to train for, assess, practice, and improve performance in an organization outcome of a
disruption (3.10) affecting objectives (3.20)
Note 1 to entry: Exercises can be used for: validating policies, plans, procedures, training, equipment, and
inter-organizational agreements; clarifying and training personnel in roles and responsibilities; improving
inter-organizational coordination and communications; identifying gaps in resources; improving individual
performance; and identifying opportunities for improvement, and controlled opportunity to practice
improvisation.
Note 2 to entry: A test is a unique and particular type of exercise, which incorporates an expectation of a pass or
fail element within the goal or objectives of the exercise being planned.
[SOURCE: ISO 22300:2018, 3.107, modified — The definition has been replaced.]
3.19 3.14
incident
situation that might event that can be, or could lead to, a disruption disruption (3.10), loss, emergency
or crisis
[SOURCE: ISO 22300:2018, 3.111, modified — The definition has been replaced.]
3.20
infrastructure
system of facilities, equipment and services needed for the operation of an organization
3.21 3.15
interested party (preferred term)
stakeholder (admitted term)
person or organization organization (3.21) that can affect, be affected by, or perceive themselves itself to
be affected by a decision or activity activity (3.1)
EXAMPLE Customers, owners, personnel, providers, bankers, regulators, unions, partners or society that
can include competitors or opposing pressure groups.
Note 1 to entry: This A decision maker can be an individual or group that has an interest in any decision or activity
of an organization interested party.
Note 2 to entry: Impacted communities and local populations are considered to be interested parties.
Note 3 to entry: This constitutes one of the common terms and core definitions of the high level structure for
ISO management system standards. The original definition has been modified by adding an example and Notes 1
and 2 to entry.
3.22
internal audit
audit conducted by, or on behalf of, the organization itself for management review and other internal
purposes, and which might form the basis for an organization's self-declaration of conformity
Note 1 to entry: In many cases, particularly in smaller organizations, independence can be demonstrated by the
freedom from responsibility for the activity being audited.
3.23
invocation
act of declaring that an organization's business continuity arrangements need to be put into effect in
order to continue delivery of key products or services
ISO 22301:redl
...

NORME ISO
INTERNATIONALE 22301
Deuxième édition
2019-10
Sécurité et résilience — Systèmes
de management de la continuité
d'activité — Exigences
Security and resilience — Business continuity management systems
— Requirements
Numéro de référence
©
ISO 2019
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2019
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2019 – Tous droits réservés

Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Contexte de l’organisme . 7
4.1 Compréhension de l’organisme et de son contexte . 7
4.2 Compréhension des besoins et attentes des parties intéressées . 7
4.2.1 Généralités . 7
4.2.2 Exigences réglementaires et juridiques . 8
4.3 Détermination du domaine d’application du système de management de la
continuité d’activité . 8
4.3.1 Généralités . 8
4.3.2 Domaine d’application du système de management de la continuité d’activité . 8
4.4 Système de management de la continuité d’activité . 8
5 Leadership . 8
5.1 Leadership et engagement. 8
5.2 Politique . 9
5.2.1 Établissement de la politique de continuité d’activité . 9
5.2.2 Communication de la politique de continuité d’activité . 9
5.3 Rôles, responsabilités et autorités . 9
6 Planification .10
6.1 Actions face aux risques et opportunités .10
6.1.1 Détermination des risques et opportunités .10
6.1.2 Gestion des risques et opportunités .10
6.2 Objectifs de continuité d’activité et planification pour les atteindre .10
6.2.1 Établissement des objectifs de continuité d’activité .10
6.2.2 Détermination des objectifs de continuité d’activité .10
6.3 Planification des modifications du système de management de la continuité d’activité .11
7 Support .11
7.1 Ressources .11
7.2 Compétences .11
7.3 Sensibilisation (prise de conscience) .11
7.4 Communication .12
7.5 Informations documentées .12
7.5.1 Généralités .12
7.5.2 Création et mise à jour .12
7.5.3 Maîtrise des informations documentées .12
8 Fonctionnement .13
8.1 Planification opérationnelle et maîtrise .13
8.2 Bilan d’impact sur l’activité et appréciation du risque.13
8.2.1 Généralités .13
8.2.2 Bilan d’impact sur l’activité .13
8.2.3 Appréciation du risque .14
8.3 Stratégies et solutions de continuité d’activité .14
8.3.1 Généralités .14
8.3.2 Identification des stratégies et solutions .14
8.3.3 Sélection des stratégies et solutions .15
8.3.4 Exigences de ressources .15
8.3.5 Mise en œuvre des solutions .15
8.4 Plans et procédures de continuité d’activité .15
8.4.1 Généralités .15
8.4.2 Structure de réponse .16
8.4.3 Avertissement et communication .16
8.4.4 Plans de continuité d’activité .17
8.4.5 Rétablissement .18
8.5 Programme d’exercices.18
8.6 Évaluation de la documentation et des capacités de continuité d’activité .18
9 Évaluation de la performance .19
9.1 Surveillance, mesurage, analyse et évaluation .19
9.2 Audit interne .19
9.2.1 Généralités .19
9.2.2 Programme(s) d’audit .19
9.3 Revue de direction .20
9.3.1 Généralités .20
9.3.2 Éléments d’entrée de la revue de direction .20
9.3.3 Éléments de sortie de la revue de direction .20
10 Amélioration .21
10.1 Non-conformité et actions correctives .21
10.2 Amélioration continue .21
Bibliographie .22
iv © ISO 2019 – Tous droits réservés

Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Cette deuxième édition annule et remplace la première édition (ISO 22301:2012), qui a fait l’objet d’une
révision technique. Les principales modifications par rapport à l’édition précédente sont les suivantes:
— application des exigences de l’ISO en matière de normes de système de management, qui ont évolué
depuis 2012;
— clarification des exigences, sans ajout de nouvelles exigences;
— inclusion dans l’Article 8 de la quasi-totalité des exigences de continuité d’activité en lien avec des
disciplines spécifiques;
— restructuration de l’Article 8 pour faciliter la compréhension des exigences essentielles;
— modification d’un certain nombre de termes relatifs à la continuité d’activité en lien avec des
disciplines spécifiques pour en améliorer la clarté et refléter les pensées actuelles.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
Introduction
0.1  Généralités
Le présent document spécifie la structure et les exigences relatives à la mise en œuvre et à la
maintenance d’un Système de Management de la Continuité d’Activité (SMCA) qui développe une
continuité d’activité en fonction de l’importance et du type d’impact que l’organisme peut ou non
accepter suite à une perturbation.
Les résultats de la maintenance d’un SMCA sont façonnés par les exigences réglementaires, juridiques,
organisationnelles et sectorielles de l’organisme, les produits et services offerts, les processus employés,
la taille et la structure de l’organisme et les exigences de ses parties intéressées.
Un SMCA souligne l’importance:
— d’une compréhension des besoins de l’organisme et de la nécessité d’établir des politiques et des
objectifs de continuité d’activité;
— du fonctionnement et de la maintenance des processus, capacités et structures de réponse afin
d’assurer que l’organisme survivra aux perturbations;
— de surveiller et passer en revue la performance et l’efficacité du SMCA;
— d’une amélioration continue sur la base de mesures qualitatives et quantitatives.
À l’instar de tout autre système de management, un SMCA comprend les composantes suivantes:
a) une politique;
b) des personnes compétentes ayant des responsabilités définies;
c) des processus de management concernant:
1) la politique;
2) la planification;
3) la mise en œuvre et le fonctionnement;
4) l’appréciation des performances;
5) la revue de direction;
6) l’amélioration continue;
d) des informations documentées venant en support de la maîtrise opérationnelle et permettant de
réaliser l’évaluation de la performance.
0.2 Bénéfices d’un système de management de la continuité d’activité
Un SMCA sert à préparer, fournir et maintenir les moyens de maîtrise et les capacités pour gérer
l’aptitude globale d’un organisme à continuer à fonctionner pendant les perturbations. En atteignant ce
but, l’organisme:
a) du point de vue de l’activité métier:
1) contribue à ses objectifs stratégiques;
2) acquiert un avantage concurrentiel;
3) protège et renforce sa réputation et sa crédibilité;
vi © ISO 2019 – Tous droits réservés

4) contribue à la résilience de l’organisme;
b) d’un point de vue financier:
1) réduit l’exposition juridique et financière;
2) diminue les coûts directs et indirects des perturbations;
c) du point de vue des parties intéressées:
1) protège la vie, la propriété et l’environnement;
2) prend en considération les attentes des parties intéressées;
3) renforce leur confiance en sa capacité de réussite;
d) du point de vue des processus internes:
1) améliore sa capacité à rester efficace pendant les perturbations;
2) démontre une maîtrise proactive des risques de façon efficace et efficiente;
3) traite les vulnérabilités opérationnelles.
0.3 Cycle PDCA (Plan-Do-Check-Act/Planifier–Déployer–Contrôler-Agir)
Le présent document applique le cycle PDCA [Planifier (établir), Déployer (mettre en œuvre et exécuter),
Contrôler (surveiller et réexaminer) et Agir (maintenir et améliorer)] pour assurer la mise en œuvre, la
maintenance et l’amélioration continue de l’efficacité du SMCA d’un organisme.
Cela assure un degré de cohérence avec d’autres normes de système de management, telles que
l’ISO 9001, l’ISO 14001, l’ISO/IEC 20000-1, l’ISO/IEC 27001 et l’ISO 28000, permettant ainsi une mise en
œuvre et un fonctionnement cohérents et intégrés avec les systèmes de management associés.
Conformément au cycle PDCA, les Articles 4 à 10 traitent des éléments suivants.
— L’Article 4 introduit les exigences nécessaires pour établir le contexte du SMCA applicable à
l’organisme, ainsi que les besoins, les exigences et le domaine d’application.
— L’Article 5 résume les exigences spécifiques au rôle de la Direction générale dans le SMCA, et la
manière dont le leadership communique ses attentes à l’organisme par le biais d’une déclaration de
politique.
— L’Article 6 décrit les exigences pour établir des objectifs stratégiques et des principes d’orientation
pour le SMCA dans sa globalité.
— L’Article 7 vient à l’appui des opérations du SMCA en lien avec la détermination des compétences et
la communication avec les parties intéressées, sur une base récurrente ou en tant que de besoin,
tout en documentant, maîtrisant, maintenant et conservant les informations documentées requises.
— L’Article 8 définit les besoins de continuité d’activité, détermine la manière de les traiter et développe
les procédures afin de gérer l’organisme durant une perturbation.
— L’Article 9 résume les exigences nécessaires pour mesurer la performance de la continuité d’activité,
la conformité du SMCA au présent document et le pilotage de la revue de direction.
— L’Article 10 identifie et intervient sur une non-conformité du SMCA et sur l’amélioration continue
par le biais d’une action corrective.
0.4  Contenu du présent document
Le présent document se conforme aux exigences de l’ISO relatives aux normes de systèmes de
management. Ces exigences comprennent une structure-cadre, un texte de base identique et des termes
communs avec des définitions clés, élaborés à l’attention des utilisateurs mettant en œuvre plusieurs
normes ISO de systèmes de management.
Le présent document ne comporte pas d’exigences spécifiques à d’autres systèmes de management, bien
que ses éléments puissent être alignés ou intégrés avec ceux d’autres systèmes de management.
Le présent document contient des exigences qui peuvent être utilisées par un organisme pour mettre
en œuvre un SMCA et en apprécier la conformité. Un organisme souhaitant démontrer la conformité au
présent document peut le faire:
— en réalisant une auto-évaluation et une auto-déclaration; ou
— en recherchant la confirmation de sa conformité par des parties ayant un intérêt dans l’organisme,
telles que les clients; ou
— en recherchant la confirmation de son auto-déclaration par une partie externe à l’organisme; ou
— en recherchant la certification/l’enregistrement de son SMCA par un organisme externe.
Les Articles 1 à 3 décrivent le domaine d’application, les références normatives et les termes et
définitions qui s’appliquent à l’utilisation du présent document. Les Articles 4 à 10 contiennent les
exigences à utiliser pour apprécier la conformité au présent document.
Dans le présent document, les formes verbales suivantes sont utilisées:
a) le verbe «devoir» indique une exigence;
b) l’expression «il convient de» indique une recommandation;
c) le verbe «pouvoir» (may) indique une permission;
d) le verbe «pouvoir» (can) indique une possibilité ou capacité.
Les informations sous forme de «NOTE» sont fournies pour faciliter la compréhension de l’exigence
associée ou la clarifier. Les «Notes à l’article» employées à l’Article 3 fournissent des informations
supplémentaires qui viennent compléter les données terminologiques et peuvent contenir des
dispositions concernant l’usage d’un terme.
viii © ISO 2019 – Tous droits réservés

NORME INTERNATIONALE ISO 22301:2019(F)
Sécurité et résilience — Systèmes de management de la
continuité d'activité — Exigences
1 Domaine d’application
Le présent document spécifie les exigences pour mettre en œuvre, maintenir et améliorer un système de
management afin de se protéger contre les perturbations, réduire la vraisemblance de leur survenance,
s’y préparer, y répondre et se rétablir lorsqu’elles se produisent.
Les exigences spécifiées dans le présent document sont génériques et prévues pour être applicables à
tous les organismes, ou à des parties de ceux-ci, indépendamment du type, de la taille et de la nature de
l’organisme. Le champ d’application de ces exigences dépend de l’environnement et de la complexité de
fonctionnement de l’organisme.
Le présent document est applicable à tous les types et toutes les tailles d’organismes qui:
a) mettent en œuvre, maintiennent et améliorent un SMCA;
b) cherchent à assurer la conformité à la politique de continuité d’activité déclarée;
c) ont besoin d’être aptes à poursuivre la livraison de produits et la fourniture de services à un niveau
de capacité acceptable et préalablement défini durant une perturbation;
d) cherchent à améliorer leur résilience à travers l’application efficace du SMCA.
Le présent document peut être utilisé pour apprécier l’aptitude d’un organisme à satisfaire ses propres
besoins et obligations en matière de continuité d’activité.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 22300 ainsi que les suivants
s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
NOTE Les termes et définitions ci-dessous remplacent ceux donnés dans l’ISO 22300:2018.
3.1
activité
ensemble d’une ou plusieurs tâches ayant une finalité définie
[SOURCE: ISO 22300:2018, 3.1, modifiée — La définition a été remplacée et l’exemple a été supprimé.]
3.2
audit
processus (3.26) méthodique, indépendant et documenté en vue d’obtenir des preuves d’audit et de les
évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit sont satisfaits
Note 1 à l'article: Un audit peut être interne (audit de première partie), externe (audit de seconde ou de tierce
partie) ou combiné (combinant deux disciplines ou plus).
Note 2 à l'article: Un audit interne est réalisé par l’organisme (3.21) lui-même ou par une partie externe pour le
compte de celui-ci.
Note 3 à l'article: Les termes «preuves d’audit» et «critères d’audit» sont définis dans l’ISO 19011.
Note 4 à l'article: Les éléments fondamentaux d’un audit comprennent la détermination de la conformité (3.7)
d’un objet selon une procédure réalisée par du personnel n’étant pas responsable de l’objet audité.
Note 5 à l'article: Un audit interne peut être réalisé pour une revue de direction et d’autres besoins internes
et peut servir de base à la déclaration de conformité de l’organisme. L’indépendance peut être démontrée par
l’absence de responsabilité vis-à-vis de l’activité (3.1) à auditer. Les audits externes comprennent les audits de
seconde et de tierce partie. Les audits de seconde partie sont réalisés par des parties ayant un intérêt à l’égard
de l’organisme, comme les clients, ou d’autres personnes agissant en leur nom. Les audits de tierce partie sont
réalisés par des organismes d’audit externes et indépendants tels que ceux qui octroient la certification/
l’enregistrement de conformité ou des organismes publics.
Note 6 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO. La définition initiale a été modifiée par l’ajout des
Notes 4 et 5 à l’article.
3.3
continuité d’activité
capacité d’un organisme (3.21) à poursuivre la livraison de produits et la fourniture de services (3.27)
dans des délais acceptables à une capacité prédéfinie durant une perturbation (3.10)
[SOURCE: ISO 22300:2018, 3.24, modifiée — La définition a été remplacée.]
3.4
plan de continuité d’activité
informations documentées (3.11) servant de guide à un organisme (3.21) pour répondre à une
perturbation (3.10) et reprendre, rétablir et restaurer la livraison de produits et la fourniture de services
(3.27) en cohérence avec ses objectifs (3.20) de continuité d’activité (3.3)
[SOURCE: ISO 22300:2018, 3.27, modifiée — La définition a été remplacée et la Note 1 à l’article a été
supprimée.]
3.5
bilan d’impact sur l’activité
processus (3.26) d’analyse de l’impact (3.13) dans le temps d’une perturbation (3.10) sur l’organisme (3.21)
Note 1 à l'article: Le résultat est un inventaire des exigences (3.28) de continuité d’activité (3.3) et leur justification.
[SOURCE: ISO 22300:2018, 3.29, modifiée — La définition a été remplacée et la Note 1 à l’article a été
ajoutée.]
3.6
compétence
aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats escomptés
Note 1 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
2 © ISO 2019 – Tous droits réservés

3.7
conformité
satisfaction d’une exigence (3.28)
Note 1 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.8
amélioration continue
activité (3.1) récurrente permettant d’améliorer les performances (3.23)
Note 1 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.9
action corrective
action visant à éliminer la ou les cause(s) d’une non-conformité (3.19) et à éviter sa réapparition
Note 1 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.10
perturbation
incident (3.14), anticipé ou non, qui entraîne un écart négatif non planifié par rapport à la livraison de
produits et à la fourniture de services (3.27) prévues selon les objectifs (3.20) d’un organisme (3.21)
[SOURCE: ISO 22300:2018, 3.70, modifiée — La définition a été remplacée.]
3.11
information documentée
information devant être maîtrisée et tenue à jour par un organisme (3.21) ainsi que le support sur lequel
elle figure
Note 1 à l'article: Les informations documentées peuvent se présenter sous n’importe quel format et sur tous
supports et peuvent provenir de toute source.
Note 2 à l'article: Les informations documentées peuvent se rapporter:
— au système de management (3.16), y compris aux processus (3.26) connexes;
— aux informations créées en vue du fonctionnement de l’organisme (documentation);
— aux preuves des résultats obtenus (enregistrements).
Note 3 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.12
efficacité
niveau de réalisation des activités (3.1) planifiées et d’obtention des résultats escomptés
Note 1 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.13
impact
résultat d’une perturbation (3.10) affectant les objectifs (3.20)
[SOURCE: ISO 22300:2018, 3.107, modifiée — La définition a été remplacée.]
3.14
incident
événement qui peut être, ou conduire à, une perturbation (3.10), une perte, une urgence ou une crise
[SOURCE: ISO 22300:2018, 3.111, modifiée — La définition a été remplacée.]
3.15
partie intéressée (terme recommandé)
partie prenante (terme admis)
personne ou organisme (3.21) qui peut affecter une décision ou une activité (3.1), ou être affecté ou
s’estimer affecté par une décision ou une activité (3.1)
EXEMPLE Clients, propriétaires, personnel, prestataires, établissements financiers, autorités
réglementaires, syndicats, partenaires ou société pouvant inclure des concurrents ou des groupes de pression
d’opposition.
Note 1 à l'article: Un décideur peut être une partie intéressée.
Note 2 à l'article: Les communautés impactées et les populations locales sont considérées comme des parties
intéressées.
Note 3 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO. La définition initiale a été modifiée par l’ajout d’un
exemple et des Notes 1 et 2 à l’article.
3.16
système de management
ensemble d’éléments corrélés ou en interaction d’un organisme (3.21), utilisés pour établir des politiques
(3.24), des objectifs (3.20) et des processus (3.26) de façon à atteindre ces objectifs
Note 1 à l'article: Un système de management peut traiter d’une seule ou de plusieurs disciplines.
Note 2 à l'article: Les éléments du système comprennent la structure, les rôles et responsabilités, la planification
et le fonctionnement de l’organisme.
Note 3 à l'article: Le domaine d’application d’un système de management peut comprendre l’ensemble de
l’organisme, des fonctions spécifiques et identifiées de l’organisme, des sections spécifiques et identifiées de
l’organisme, ou une ou plusieurs fonctions dans un groupe d’organismes.
Note 4 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.17
mesurage
processus (3.26) visant à déterminer une valeur
Note 1 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.18
surveillance
détermination de l’état d’un système, d’un processus (3.26) ou d’une activité (3.1)
Note 1 à l'article: Pour déterminer l’état, il peut être nécessaire de vérifier, superviser ou observer de manière
critique.
Note 2 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
4 © ISO 2019 – Tous droits réservés

3.19
non-conformité
non-satisfaction d’une exigence (3.28)
Note 1 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.20
objectif
résultat à atteindre
Note 1 à l'article: Un objectif peut être stratégique, tactique ou opérationnel.
Note 2 à l'article: Les objectifs peuvent se rapporter à différentes disciplines (par exemple, buts financiers, de
santé et de sécurité, ou environnementaux) et peuvent concerner différents niveaux (par exemple, au niveau
stratégique, à l’échelle de l’organisme, au niveau d’un projet, d’un produit et d’un processus) [3.26]).
Note 3 à l'article: Un objectif peut être exprimé autrement, par exemple soit comme un résultat escompté, une
mission, un critère opérationnel, soit comme un objectif de continuité d’activité (3.3), ou encore à l’aide d’autres
mots ayant un sens similaire (par exemple finalité, but, cible).
Note 4 à l'article: Dans le contexte des systèmes de management de la continuité d’activité (3.16), les objectifs de
continuité d’activité sont fixés par l’organisme (3.21), en cohérence avec sa politique (3.24) de continuité d’activité,
en vue d’atteindre des résultats spécifiques.
Note 5 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.21
organisme
organisation (Belgique, Canada)
personne ou groupe de personnes ayant ses propres fonctions, avec des responsabilités, des autorités et
des relations lui permettant d’atteindre ses objectifs (3.20)
Note 1 à l'article: Le concept d’organisme englobe sans s’y limiter, les travailleurs indépendants, les compagnies,
les sociétés, les firmes, les entreprises, les administrations, les partenariats, les organisations caritatives ou les
institutions, ou bien une partie ou une combinaison des entités précédentes, à responsabilité limitée ou ayant un
autre statut, de droit public ou privé.
Note 2 à l'article: Pour les organismes ayant plusieurs unités d’exploitation, une seule unité d’exploitation peut
être définie en tant qu’organisme.
Note 3 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO. La définition initiale a été modifiée par l’ajout de la
Note 2 à l’article.
3.22
externaliser
passer un accord selon lequel un organisme (3.21) externe assure une partie de la fonction ou met en
œuvre une partie du processus (3.26) d’un organisme
Note 1 à l'article: L’organisme externe est en-dehors du domaine d’application du système de management (3.16),
bien que la fonction ou le processus externalisé en fasse partie intégrante.
Note 2 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.23
performance
résultat mesurable
Note 1 à l'article: La performance peut être liée à des constats quantitatifs ou qualitatifs.
Note 2 à l'article: La performance peut se rapporter au management des activités (3.1), des processus (3.26), des
produits (y compris les services), des systèmes ou des organismes (3.21).
Note 3 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.24
politique
intentions et orientations d’un organisme (3.21), telles qu’elles sont officiellement formulées par sa
Direction générale (3.31)
Note 1 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.25
activité prioritaire
activité (3.1) à laquelle l’urgence est donnée afin d’éviter des impacts (3.13) inacceptables sur l’activité
durant une perturbation (3.10)
[SOURCE: ISO 22300:2018, 3.176, modifiée — La définition a été remplacée et la Note 1 à l’article a été
supprimée.]
3.26
processus
ensemble d’activités (3.1) corrélées ou interactives qui transforme des éléments d’entrée en éléments
de sortie
Note 1 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.27
produit et service
élément de sortie ou résultat fourni par un organisme (3.21) au bénéfice des parties intéressées (3.15)
EXEMPLE Articles manufacturés, assurance automobile et soins infirmiers communautaires.
[SOURCE: ISO 22300:2018, 3.181, modifiée — Le terme «produit et service» a remplacé «produit ou
service» et la définition a été remplacée.]
3.28
exigence
besoin ou attente qui est formulé, généralement implicite ou obligatoire
Note 1 à l'article: «Généralement implicite» signifie qu’il est habituel ou courant, pour l’organisme (3.21) et les
parties intéressées (3.15), que le besoin ou l’attente en question soit implicite.
Note 2 à l'article: Une exigence spécifiée est une exigence formulée, par exemple dans une information
documentée (3.11).
Note 3 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.29
ressource
ensemble des biens (y compris l’usine et ses équipements), du personnel, des compétences, de la
technologie, des locaux, et des fournitures et informations (qu’elles soient électroniques ou non) dont
doit disposer un organisme (3.21), au moment requis, pour fonctionner et atteindre son objectif (3.20)
[SOURCE: ISO 22300:2018, 3.193, modifiée — La définition a été remplacée.]
6 © ISO 2019 – Tous droits réservés

3.30
risque
effet de l’incertitude sur les objectifs (3.20)
Note 1 à l'article: Un effet est un écart par rapport à une attente - positif ou négatif.
Note 2 à l'article: L’incertitude est l’état, même partiel, de défaut d’information concernant la compréhension ou
la connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
Note 3 à l'article: Un risque est souvent caractérisé par référence à des «événements» potentiels (tels que définis
dans le Guide ISO 73) et à des «conséquences» potentielles (telles que définies dans le Guide ISO 73), ou par
référence à une combinaison des deux.
Note 4 à l'article: Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement
(y compris des changements de circonstances) et de la «vraisemblance» de son occurrence (telle que définie dans
le Guide ISO 73).
Note 5 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO. La définition a été modifiée par l’ajout de «sur les
objectifs» afin d’assurer la cohérence avec ISO 31000.
3.31
Direction générale
Haute direction (Canada)
personne ou groupe de personnes qui oriente et dirige un organisme (3.21) au plus haut niveau
Note 1 à l'article: La Direction générale a le pouvoir de déléguer son autorité et de fournir des ressources (3.29) au
sein de l’organisme.
Note 2 à l'article: Si le domaine d’application du système de management (3.16) ne couvre qu’une partie de
l’organisme, alors la Direction générale concerne ceux qui orientent et dirigent cette partie de l’organisme.
Note 3 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
4 Contexte de l’organisme
4.1 Compréhension de l’organisme et de son contexte
L’organisme doit déterminer les questions externes et internes pertinentes par rapport à sa finalité, et
qui affectent sa capacité à atteindre le ou les résultats attendus de son SMCA.
NOTE Ces questions seront influencées par les objectifs globaux de l’organisme, ses produits et services et le
niveau et le type de risque qu’il peut prendre ou non.
4.2 Compréhension des besoins et attentes des parties intéressées
4.2.1 Généralités
Lors de l’établissement de son SMCA, l’organisme doit déterminer:
a) les parties intéressées qui sont pertinentes pour le SMCA;
b) les exigences de ces parties intéressées.
4.2.2 Exigences réglementaires et juridiques
L’organisme doit:
a) mettre en œuvre et maintenir un processus lui permettant d’identifier les exigences réglementaires
et juridiques concernant la continuité de ses produits et services, activités et ressources, d’y avoir
accès et de les évaluer;
b) s’assurer que les exigences réglementaires et juridiques ou autres, applicables, sont prises en
compte lorsqu’il met en œuvre et maintient son SMCA;
c) documenter ces informations et les tenir à jour.
4.3 Détermination du domaine d’application du système de management de la
continuité d’activité
4.3.1 Généralités
Pour établir le domaine d’application du SMCA, l’organisme doit en déterminer les limites et
l’applicabilité.
a) Lorsqu’il établit ce domaine d’application, il doit prendre en
...

NORME ISO
INTERNATIONALE 22301
Redline version
compare la Deuxième édition
à la Première édition
Sécurité et résilience — Systèmes
de management de la continuité
d'activité — Exigences
Security and resilience — Business continuity management systems
— Requirements
Numéro de référence
ISO 22301:redline:2019(F)
©
ISO 2019
ISO 22301:redline:2019(F)
IMPORTANT
Exemple de texte 1 — Texte ayant été ajouté (en vert)
Exemple de texte 2 — Texte ayant été supprimé (en rouge)
— Figure graphique ayant été ajoutée
— Figure graphique ayant été supprimée
1.x . — Si des modifications ont été apportées à un article/paragraphe, l’arti-
cle/le paragraphe est mis en évidence en jaune dans le Sommaire
AVERTISSEMENT
Cette version marquée met en évidence les principales modifications dans la présente
édition du document comparée à l’édition précédente. Elle ne reflète pas les détails (par
exemple les changements de ponctuation).
Cette version marquée ne constitue pas le document ISO officiel et n’est pas destinée à être
utilisée à des fins de mise en œuvre.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2019
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en oeuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2019 – Tous droits réservés

ISO 22301:redline:2019(F)
Sommaire Page
Avant-propos .v
Introduction .vii
0.1 Généralités . vii
0.2 Le modèle Planifier-Déployer-Contrôler-Agir (Plan-Do-Check-Act, PDCA) . vii
0.3 Éléments du modèle PDCA dans la présente Norme internationale .viii
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 2
4 Contexte de l'organisation l’organisme .12
4.1 Compréhension de l'organisation l’organisme et de son contexte .12
4.2 Compréhension des besoins et attentes des parties intéressées .12
4.2.1 Généralités .12
4.2.2 Exigences légales et réglementaires réglementaires et juridiques .12
4.3 Détermination du domaine d’application du système de management de la
continuité d'activité d’activité.13
4.3.1 Généralités .13
4.3.2 Domaine d’application du SMCA système de management de la continuité
d’activité .13
4.4 Système de management de la continuité d'activité d’activité .14
5 Leadership .14
5.1 Leadership et engagement.14
5.2 5.1 Engagement de la direction Leadership et engagement .14
5.3 5.2 Politique .15
5.2.1 Établissement de la politique de continuité d’activité .15
5.2.2 Communication de la politique de continuité d’activité .16
5.4 5.3 Rôles, responsabilités et autorités au sein de l’organisation  .16
6 Planification .16
6.1 Actions face aux risques et opportunités .16
6.1.1 Détermination des risques et opportunités .16
6.1.2 Gestion des risques et opportunités .17
6.2 Objectifs de continuité d'activité et plans d’activité et planification pour les atteindre .17
6.2.1 Établissement des objectifs de continuité d’activité .17
6.2.2 Détermination des objectifs de continuité d’activité .18
6.3 Planification des modifications du système de management de la continuité d’activité .18
7 Support .18
7.1 Ressources .18
7.2 Compétences .18
7.3 Sensibilisation (prise de conscience) .19
7.4 Communication .19
7.5 Informations documentées .20
7.5.1 Généralités .20
7.5.2 Création et mise à jour .20
7.5.3 Maîtrise des informations documentées .20
8 Fonctionnement .21
8.1 Planification opérationnelle et maîtrise .21
8.2 Analyse des impacts sur l'activité Bilan d’impact sur l’activité et appréciation du
risque . .22
8.2.1 Généralités .22
8.2.2 Analyse des impacts sur l'activité Bilan d’impact sur l’activité .22
8.2.3 Appréciation du risque .23
ISO 22301:redline:2019(F)
8.3 Stratégie Stratégies et solutions de continuité d'activité d’activité .23
8.3.1 Généralités .23
8.3.1 8.3.2 Détermination et choix Identification des stratégies et solutions .23
8.3.3 Sélection des stratégies et solutions .24
8.3.2 8.3.4 Établissement des exigences concernant les Exigences de ressources .24
8.3.3 8.3.5 Protection et atténuation Mise en œuvre des solutions .24
8.4 Établissement et mise en œuvre de Plans et procédures de continuité d'activité
d’activité .25
8.4.1 Généralités .25
8.4.2 Structure de réponse à un incident  .25
8.4.3 Avertissement et communication .26
8.4.4 Plans de continuité d'activité d’activité .27
8.4.5 Reprise Rétablissement .29
8.5 Exercices et tests Programme d’exercices .29
8.6 Évaluation de la documentation et des capacités de continuité d’activité .30
9 Évaluation des performances de la performance .30
9.1 Supervision Surveillance, mesurage, analyse et évaluation .30
9.1.1 Généralités .30
9.1.2 Évaluation des procédures de continuité d'activité .31
9.2 Audit interne .31
9.2.1 Généralités .32
9.2.2 Programme(s) d’audit .32
9.3 Revue de direction .33
9.3.1 Généralités .34
9.3.2 Éléments d’entrée de la revue de direction .34
9.3.3 Éléments de sortie de la revue de direction .35
10 Amélioration .35
10.1 Non-conformité et actions correctives .35
10.2 Amélioration continue .37
Bibliographie .38
iv © ISO 2019 – Tous droits réservés

ISO 22301:redline:2019(F)
Avant-propos
L'ISOL’ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
d’organismes nationaux de normalisation (comités membres de l'ISOl’ISO). L'élaborationL’élaboration
des Normes internationales est en général confiée aux comités techniques de l'ISOl’ISO. Chaque
comité membre intéressé par une étude a le droit de faire partie du comité technique créé à cet
effet. Les organisations internationales, gouvernementales et non gouvernementales, en liaison avec
l'ISOl’ISO participent également aux travaux. L'ISOL’ISO collabore étroitement avec la Commission
électrotechnique internationale (CEIIEC) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigéesprocédures utilisées pour élaborer le présent document
et celles destinées à sa mise à jour sont décrites dans les Directives ISO/IEC, Partie 1. Il convient, en
particulier, de prendre note des différents critères d’approbation requis pour les différents types de
documents ISO. Le présent document a été rédigé conformément aux règles de rédaction données dans
les Directives ISO/CEIIEC, Partie 2 (voir www .iso .org/ directives).
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de
Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des
comités membres votants.
L'attention est appeléeL’attention est attirée sur le fait que certains des éléments du présent document
peuvent faire l'objetl’objet de droits de propriété intellectuelle ou de droits analogues. L'ISOL’ISO ne
saurait être tenue pour responsable de ne pas avoir identifié de tels droits de propriété et averti de leur
existence. Les détails concernant les références aux droits de propriété intellectuelle ou autres droits
analogues identifiés lors de l’élaboration du document sont indiqués dans l’Introduction et/ou dans la
liste des déclarations de brevets reçues par l’ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
L'ISO 22301Le présent document a été élaboréeélaboré par le comité technique ISO/TC 223292, Sécurité
sociétaleet résilience.
La présente version française de l'Cette deuxième édition annule et remplace la première édition
(ISO 22301:2012 correspond à la version anglaise publiée le 2012-05-15 et corrigée le 2012-06-15.), qui
a fait l’objet d’une révision technique. Les principales modifications par rapport à l’édition précédente
sont les suivantes:
— application des exigences de l’ISO en matière de normes de système de management, qui ont évolué
depuis 2012;
— clarification des exigences, sans ajout de nouvelles exigences;
— inclusion dans l’Article 8 de la quasi-totalité des exigences de continuité d’activité en lien avec des
disciplines spécifiques;
— restructuration de l’Article 8 pour faciliter la compréhension des exigences essentielles;
— modification d’un certain nombre de termes relatifs à la continuité d’activité en lien avec des
disciplines spécifiques pour en améliorer la clarté et refléter les pensées actuelles.
ISO 22301:redline:2019(F)
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
vi © ISO 2019 – Tous droits réservés

ISO 22301:redline:2019(F)
Introduction
0.1 Généralités
La présente Norme internationale spécifie les exigences relatives à l'établissement et au management
d'un Système de Management de la Continuité d'Activité (SMCA) efficace.
Un SMCA souligne l'importance :
- d'une compréhension des besoins de l'organisation et de la nécessité de mettre en place une politique
et des objectifs en matière de management de la continuité d'activité ;
- de la mise en œuvre et de l'exploitation de contrôles et de mesures de gestion de la capacité globale
d'une organisation à gérer des incidents perturbateurs ;
- d'une surveillance et d'une revue des performances et de l'efficacité du SMCA ; et
- d'une amélioration continue sur la base de mesures objectives.
Comme tout autre système de management, un SMCA intègre les éléments clés suivants :
a) une politique ;
b) des personnes ayant des responsabilités définies ;
c) des processus de management se rapportant à :
1) la politique ;
2) la planification ;
3) la mise en œuvre et le fonctionnement ;
4) l'évaluation des performances ;
5) la revue de direction ; et
6) l'amélioration ;
d) une documentation fournissant des preuves tangibles ; et
e) tous les processus de management de la continuité d'activité pertinents pour l'organisation.
La continuité d'activité contribue à rendre la société plus résiliente. Il est possible qu’il faille impliquer
dans le processus de reprise la communauté dans son ensemble, ainsi que l'impact de l'environnement
de l'organisation et donc l’impact des autres organisations sur l’organisation elle-même.
0.2 Le modèle Planifier-Déployer-Contrôler-Agir (Plan-Do-Check-Act, PDCA)
La présente Norme internationale applique le modèle PDCA à la planification, l'établissement, la mise en
œuvre, le fonctionnement, la surveillance, la revue, le maintien et l'amélioration continue de l'efficacité
du SMCA d'une organisation.
Ceci assure un degré de cohérence avec d'autres normes de système de management, telles que
l'ISO 9001, Systèmes de management de la qualité, l'ISO 14001, Systèmes de management environnemental,
l'ISO/CEI 27001, Systèmes de management de la sécurité de l'information, l'ISO/CEI 20000-1, Technologies
de l'information — Gestion des services et l'ISO 28000, Spécifications relatives aux systèmes de management
de la sûreté de la chaîne d'approvisionnement, permettant ainsi une mise en œuvre et un fonctionnement
cohérents et intégrés avec les systèmes de management associés.
La Figure 1 illustre comment un SMCA prend pour entrées les parties intéressées, les exigences de
management de la continuité et comment, via les actions et les processus nécessaires, il produit des
ISO 22301:redline:2019(F)
sorties en matière de continuité (c'est-à-dire une continuité de l'activité gérée) qui satisfont à ces
exigences.
Figure 1 — Modèle PDCA appliqué aux processus d'un SMCA
Tableau 1 — Explication du modèle PDCA
Planifier Établir une politique, des objectifs, des cibles, des contrôles, des processus et des
procédures de continuité d'activité pertinents pour améliorer la continuité d'acti-
(Établir)
vité afin d’obtenir des résultats alignés avec les politiques et les objectifs globaux de
l'organisation.
Déployer Mettre en œuvre et rendre opérationnels la politique, les contrôles, les processus et
les procédures de continuité d'activité.
(Mettre en place et en
œuvre)
Contrôler Superviser et revoir les performances par rapport à la politique et aux objectifs de
continuité d'activité, rendre compte des résultats à la direction pour revue et déter-
(Superviser et réviser)
miner et autoriser des actions correctives et d'amélioration.
Agir Maintenir et améliorer le SMCA en entreprenant des actions correctives, sur la base
des résultats de la revue de direction, et en reconsidérant le périmètre du SMCA ainsi
(Maintenir et améliorer)
que la politique et les objectifs de continuité d'activité.
0.3 Éléments du modèle PDCA dans la présente Norme internationale
Dans le modèle PDCA présenté dans le Tableau 1, les Articles 4 à 10 de la présente Norme internationale
traitent des éléments suivants :
- l'Article 4 est une partie du thème « Planifier ». Il introduit les exigences nécessaires pour établir
le contexte du SMCA tel qu'il s'applique à l'organisation, ainsi que les besoins, les exigences et le
périmètre.
- l'Article 5 est une partie du thème « Planifier ». Il résume les exigences spécifiques au rôle joué par
la Direction dans le SMCA, et la manière dont la Direction communique ses attentes à l'organisation
par le biais d'une déclaration de politique.
- l'Article 6 est une partie du thème « Planifier ». Il décrit les exigences relatives à l'établissement
des objectifs stratégiques et des principes directeurs du SMCA dans son ensemble. Le contenu de
l'Article 6 ne consiste pas à mettre en place les solutions de traitement des risques découlant de
l'appréciation des risques, ni à établir les objectifs de reprise issus de l'analyse d’impact sur l'activité.
NOTE Les exigences relatives à l'analyse d’impact sur l'activité et au processus d'appréciation du risque
sont spécifiées de manière détaillée à l'Article 8.
viii © ISO 2019 – Tous droits réservés

ISO 22301:redline:2019(F)
- l'Article 7 est une partie du thème « Planifier ». Il vient à l'appui des opérations du SMCA relatives à la
détermination des compétences et à l'établissement de communications avec les parties intéressées,
sur une base récurrente/au besoin, tout en documentant, contrôlant, tenant à jour et conservant la
documentation requise.
- l'Article 8 est une partie du thème « Faire ». Il définit les exigences relatives à la continuité
d'activité, détermine la manière de les traiter et développe les procédures afin de gérer un incident
perturbateur.
- l'Article 9 est une partie du thème « Contrôler ». Il résume les exigences nécessaires pour mesurer la
performance du management de la continuité d'activité, la conformité du SMCA à la présente Norme
internationale et aux attentes de la Direction, et recherche les retours d'information de la direction
concernant les attentes.
- l'Article 10 est une partie du thème « Agir ». Il identifie et intervient sur une non-conformité du
SMCA par le biais d'une action corrective.
0.1  Généralités
Le présent document spécifie la structure et les exigences relatives à la mise en œuvre et à la
maintenance d’un Système de Management de la Continuité d’Activité (SMCA) qui développe une
continuité d’activité en fonction de l’importance et du type d’impact que l’organisme peut ou non
accepter suite à une perturbation.
Les résultats de la maintenance d’un SMCA sont façonnés par les exigences réglementaires, juridiques,
organisationnelles et sectorielles de l’organisme, les produits et services offerts, les processus employés,
la taille et la structure de l’organisme et les exigences de ses parties intéressées.
Un SMCA souligne l’importance:
— d’une compréhension des besoins de l’organisme et de la nécessité d’établir des politiques et des
objectifs de continuité d’activité;
— du fonctionnement et de la maintenance des processus, capacités et structures de réponse afin
d’assurer que l’organisme survivra aux perturbations;
— de surveiller et passer en revue la performance et l’efficacité du SMCA;
— d’une amélioration continue sur la base de mesures qualitatives et quantitatives.
À l’instar de tout autre système de management, un SMCA comprend les composantes suivantes:
a) une politique;
b) des personnes compétentes ayant des responsabilités définies;
c) des processus de management concernant:
1) la politique;
2) la planification;
3) la mise en œuvre et le fonctionnement;
4) l’appréciation des performances;
5) la revue de direction;
6) l’amélioration continue;
d) des informations documentées venant en support de la maîtrise opérationnelle et permettant de
réaliser l’évaluation de la performance.
ISO 22301:redline:2019(F)
0.2 Bénéfices d’un système de management de la continuité d’activité
Un SMCA sert à préparer, fournir et maintenir les moyens de maîtrise et les capacités pour gérer
l’aptitude globale d’un organisme à continuer à fonctionner pendant les perturbations. En atteignant ce
but, l’organisme:
a) du point de vue de l’activité métier:
1) contribue à ses objectifs stratégiques;
2) acquiert un avantage concurrentiel;
3) protège et renforce sa réputation et sa crédibilité;
4) contribue à la résilience de l’organisme;
b) d’un point de vue financier:
1) réduit l’exposition juridique et financière;
2) diminue les coûts directs et indirects des perturbations;
c) du point de vue des parties intéressées:
1) protège la vie, la propriété et l’environnement;
2) prend en considération les attentes des parties intéressées;
3) renforce leur confiance en sa capacité de réussite;
d) du point de vue des processus internes:
1) améliore sa capacité à rester efficace pendant les perturbations;
2) démontre une maîtrise proactive des risques de façon efficace et efficiente;
3) traite les vulnérabilités opérationnelles.
0.3 Cycle PDCA (Plan-Do-Check-Act/Planifier–Déployer–Contrôler-Agir)
Le présent document applique le cycle PDCA [Planifier (établir), Déployer (mettre en œuvre et exécuter),
Contrôler (surveiller et réexaminer) et Agir (maintenir et améliorer)] pour assurer la mise en œuvre, la
maintenance et l’amélioration continue de l’efficacité du SMCA d’un organisme.
Cela assure un degré de cohérence avec d’autres normes de système de management, telles que
l’ISO 9001, l’ISO 14001, l’ISO/IEC 20000-1, l’ISO/IEC 27001 et l’ISO 28000, permettant ainsi une mise en
œuvre et un fonctionnement cohérents et intégrés avec les systèmes de management associés.
Conformément au cycle PDCA, les Articles 4 à 10 traitent des éléments suivants.
— L’Article 4 introduit les exigences nécessaires pour établir le contexte du SMCA applicable à
l’organisme, ainsi que les besoins, les exigences et le domaine d’application.
— L’Article 5 résume les exigences spécifiques au rôle de la Direction générale dans le SMCA, et la
manière dont le leadership communique ses attentes à l’organisme par le biais d’une déclaration de
politique.
— L’Article 6 décrit les exigences pour établir des objectifs stratégiques et des principes d’orientation
pour le SMCA dans sa globalité.
— L’Article 7 vient à l’appui des opérations du SMCA en lien avec la détermination des compétences et
la communication avec les parties intéressées, sur une base récurrente ou en tant que de besoin,
tout en documentant, maîtrisant, maintenant et conservant les informations documentées requises.
x © ISO 2019 – Tous droits réservés

ISO 22301:redline:2019(F)
— L’Article 8 définit les besoins de continuité d’activité, détermine la manière de les traiter et développe
les procédures afin de gérer l’organisme durant une perturbation.
— L’Article 9 résume les exigences nécessaires pour mesurer la performance de la continuité d’activité,
la conformité du SMCA au présent document et le pilotage de la revue de direction.
— L’Article 10 identifie et intervient sur une non-conformité du SMCA et sur l’amélioration continue
par le biais d’une action corrective.
0.4  Contenu du présent document
Le présent document se conforme aux exigences de l’ISO relatives aux normes de systèmes de
management. Ces exigences comprennent une structure-cadre, un texte de base identique et des termes
communs avec des définitions clés, élaborés à l’attention des utilisateurs mettant en œuvre plusieurs
normes ISO de systèmes de management.
Le présent document ne comporte pas d’exigences spécifiques à d’autres systèmes de management, bien
que ses éléments puissent être alignés ou intégrés avec ceux d’autres systèmes de management.
Le présent document contient des exigences qui peuvent être utilisées par un organisme pour mettre
en œuvre un SMCA et en apprécier la conformité. Un organisme souhaitant démontrer la conformité au
présent document peut le faire:
— en réalisant une auto-évaluation et une auto-déclaration; ou
— en recherchant la confirmation de sa conformité par des parties ayant un intérêt dans l’organisme,
telles que les clients; ou
— en recherchant la confirmation de son auto-déclaration par une partie externe à l’organisme; ou
— en recherchant la certification/l’enregistrement de son SMCA par un organisme externe.
Les Articles 1 à 3 décrivent le domaine d’application, les références normatives et les termes et
définitions qui s’appliquent à l’utilisation du présent document. Les Articles 4 à 10 contiennent les
exigences à utiliser pour apprécier la conformité au présent document.
Dans le présent document, les formes verbales suivantes sont utilisées:
a) le verbe «devoir» indique une exigence;
b) l’expression «il convient de» indique une recommandation;
c) le verbe «pouvoir» (may) indique une permission;
d) le verbe «pouvoir» (can) indique une possibilité ou capacité.
Les informations sous forme de «NOTE» sont fournies pour faciliter la compréhension de l’exigence
associée ou la clarifier. Les «Notes à l’article» employées à l’Article 3 fournissent des informations
supplémentaires qui viennent compléter les données terminologiques et peuvent contenir des
dispositions concernant l’usage d’un terme.
NORME INTERNATIONALE ISO 22301:redline:2019(F)
Sécurité et résilience — Systèmes de management de la
continuité d'activité — Exigences
1 Domaine d’application
La présente Norme internationale relative à la gestion de la continuité d'activitéLe présent document
spécifie les exigences pour planifier, établir, mettre en place et en œuvre, contrôler, réviser, maintenir
et améliorer de manière continue un système de management documenté afin de se protéger des
incidents perturbateurs, réduire leur probabilité de survenance, s'ycontre les perturbations, réduire la
vraisemblance de leur survenance, s’y préparer, y répondre et de s’en rétablir lorsqu'ils surviennentse
rétablir lorsqu’elles se produisent.
Les exigences spécifiées dans la présente Norme internationalele présent document sont génériques et
prévues pour être applicables à toutes les organisations, ou parties de cellestous les organismes, ou à
des parties de ceux-ci, indépendamment du type, de la taille et de la nature de l'organisationl’organisme.
Le champ d'applicationd’application de ces exigences dépend de l'environnementl’environnement et de
la complexité de fonctionnement de l'organisationl’organisme.
La présente Norme internationale ne vise pas à uniformiser la structure d'un système de management
de la continuité d'activité (SMCA), mais à permettre à une organisation de concevoir un SMCA qui soit
adapté à ses besoins et qui satisfasse aux exigences des parties intéressées. Ces besoins sont façonnés
par les exigences juridiques, réglementaires, organisationnelles et industrielles, les produits et les
services, les processus employés, la taille et la structure de l'organisation et les exigences des parties
intéressées.
La présente Norme internationaleLe présent document est applicable à tous les types et toutes les
tailles d'organisations souhaitant d’organismes qui:
a) établir, mettremettent en œuvre, maintenir et améliorermaintiennent et améliorent un SMCA;
b) cherchent à assurer la conformité à la politique de continuité d'activité établie d’activité déclarée;
c) démontrer cette conformité à des tiers ont besoin d’être aptes à poursuivre la livraison de produits
et la fourniture de services à un niveau de capacité acceptable et préalablement défini durant une
perturbation;
d) faire certifier/enregistrer son SMCA par un organisme de certification tiers et accrédité ;
oucherchent à améliorer leur résilience à travers l’application efficace du SMCA.
e) réaliser une autoévaluation et une auto-déclaration de conformité à la présente Norme
internationale.
La présente Norme internationale peut être utilisée pour évaluer la capacité d'une organisationLe
présent document peut être utilisé pour apprécier l’aptitude d’un organisme à satisfaire ses propres
besoins et obligations en matière de continuité d’activité.
2 Références normatives
Les documents ci-après, dans leur intégralité ou non, sont des références normatives indispensables
à l'applicationsuivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de
leur contenu, des exigences du présent document. Pour les références datées, seule l'édition citée
s'appliquel’édition citée s’applique. Pour les références non datées, la dernière édition du document de
référence s'appliques’applique (y compris les éventuels amendements).
ISO 22301:redline:2019(F)
Il n'y a aucune référence normative.
ISO 22300, Sécurité et résilience — Vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions les définitions de l’ISO 22300suivants
s'appliquent ainsi que les suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https: // www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http: // www .electropedia .org/
NOTE Les termes et définitions ci-dessous remplacent ceux donnés dans l’ISO 22300:2018.
3.1
activité
processus ou ensemble de processus exécutés par une organisation (ou pour son compte) qui réalise
ou aide à réaliser un ou plusieurs produits et services ensemble d’une ou plusieurs tâches ayant une
finalité définie
EXEMPLE De tels processus comprennent la comptabilité, les centres d'appel, les technologies de
l'information (IT), la fabrication, la distribution.
[SOURCE: ISO 22300:2018, 3.1, modifiée — La définition a été remplacée et l’exemple a été supprimé.]
3.2
audit
processus systématique processus (3.26) méthodique, indépendant et documenté permettant
d'obtenir en vue d’obtenir des preuves d'audit d’audit et de les évaluer de manière objective pour
déterminer dans quelle mesure les critères d'audit d’audit sont satisfaits
Note 1 à l'article: Un audit peut être interne (audit de première partie) ou , externe (audit de seconde ou de tierce
partie), et il peut être combiné (s'il associe  ou combiné (combinant deux disciplines ou plus).
Note 2 à l'article: Un audit interne est réalisé par l’organisme (3.21) lui-même ou par une partie externe pour le
compte de celui-ci.
Note 3 à l'article: Les termes «preuves d’audit» et «critères d'audit  d’audit» sont définis dans l’ISO 19011.
Note 4 à l'article: Les éléments fondamentaux d’un audit comprennent la détermination de la conformité (3.7)
d’un objet selon une procédure réalisée par du personnel n’étant pas responsable de l’objet audité.
Note 5 à l'article: Un audit interne peut être réalisé pour une revue de direction et d’autres besoins internes
et peut servir de base à la déclaration de conformité de l’organisme. L’indépendance peut être démontrée par
l’absence de responsabilité vis-à-vis de l’activité (3.1) à auditer. Les audits externes comprennent les audits de
seconde et de tierce partie. Les audits de seconde partie sont réalisés par des parties ayant un intérêt à l’égard
de l’organisme, comme les clients, ou d’autres personnes agissant en leur nom. Les audits de tierce partie sont
réalisés par des organismes d’audit externes et indépendants tels que ceux qui octroient la certification/
l’enregistrement de conformité ou des organismes publics.
Note 6 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO. La définition initiale a été modifiée par l’ajout des
Notes 4 et 5 à l’article.
2 © ISO 2019 – Tous droits réservés

ISO 22301:redline:2019(F)
3.3
continuité d'activité d’activité
capacité de l'organisation d’un organisme (3.21) à poursuivre la livraison de produits etfourniture de
produits ou la prestation de services à  la fourniture de services (3.27) dans des niveaux acceptables
et préalablement définis après un incident perturbateur délais acceptables à une capacité prédéfinie
durant une perturbation (3.10)
[SOURCE: ISO 22300:2018, 3.24, modifiée — La définition a été remplacée.]
3.4
gestion de la continuité d'activité
processus de management holistique qui identifie les menaces potentielles pour une organisation
ainsi que les impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées
à l'activité de l'organisation, et qui fournit un cadre pour construire la résilience de l'organisation
avec une capacité de réponse efficace préservant les intérêts de ses principales parties prenantes, sa
réputation, sa marque et ses activités productrices de valeur
3.5
système de management de la continuité d'activité
SMCA
partie du système de management global qui établit, met en œuvre, opère, contrôle, révise, maintient et
améliore la continuité d'activité
Note 1 à l'article: Le système de management comprend la structure organisationnelle, les politiques, les
planifications, les responsabilités, les procédures, les processus et les ressources.
3.6 3.4
plan de continuité d'activité d’activité
procédures documentées  informations documentées (3.11) servant de guide aux organisations à un
organisme (3.21) pour répondre à une perturbation (3.10) et reprendre, rétablir, reprendre et retrouver
un niveau  et restaurer la livraison de produits etfonctionnement prédéfini à la suite d'une perturbation
la fourniture de services (3.27) en cohérence avec ses objectifs (3.20) de continuité d’activité (3.3)
Note 1 à l'article: Ce plan couvre généralement les ressources, les services et les activités requis pour assurer la
continuité des fonctions critiques.
[SOURCE: ISO 22300:2018, 3.27, modifiée — La définition a été remplacée et la Note 1 à l’article a été
supprimée.]
3.7
programme de continuité d'activité
processus continu de management et de gouvernance soutenu par la direction et doté de ressources
appropriées pour mettre en œuvre et maintenir le management de la continuité d'activité
3.8 3.5
analyse bilan d’impact sur l'activité l’activité
processus d'analyse des activités et  processus (3.26)de l'effet qu'une perturbation de l'activité peut
avoir  d’analyse de l’impact (3.13) dans le temps d’une perturbation (3.10) sur elles l’organisme (3.21)
Note 1 à l'article: Le résultat est un inventaire des exigences (3.28) de continuité d’activité (3.3) et leur justification.
[SOURCE: ISO 22300:2018, 3.29, modifiée — La définition a été remplacée et la Note 1 à l’article a été
ajoutée.]
3.9 3.6
compétence
aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats escomptés
Note 1 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
ISO 22301:redline:2019(F)
3.10 3.7
conformité
satisfaction d’une exigence exigence (3.28)
[SOURCE: ISO 22300]
Note 1 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.11 3.8
amélioration continue
activité activité (3.1) récurrente visant à améliorer les performances permettant d’améliorer les
performances (3.23)
[SOURCE: ISO 22300]
Note 1 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.12
correction
action visant à éliminer une non-conformité détectée
[SOURCE: ISO 22300]
3.13 3.9
action corrective
action visant à éliminer la cause ou les cause(s) d’une non-conformité (3.19) d'une non-conformité  et à
éviter sa réapparition
Note 1 à l'article: Dans le cas d'autres résultats indésirables, il est nécessaire d'entreprendre une action visant
à réduire au minimum ou éliminer les causes et à réduire leur impact ou éviter leur réapparition. De telles
actions ne relèvent pas du concept « d'action corrective » au sens de la présente définition Cela constitue l’un
des termes communs et l’une des définitions essentielles de la structure-cadre (HLS) des normes de système de
management ISO.
[SOURCE: ISO 22300]
3.14 3.10
document perturbation
support d'information  incident (3.14), anticipé ou non, qui entraîne un écart négatif non planifié par
rapport à la livraison de produits et à la fourniture de services (3.27) prévues selon les objectifs (3.20)
d’un organisme (3.21) l'information qu'il contient
Note 1 à l'article: Le support peut êtr
...

NORME ISO
INTERNATIONALE 22301
Redline version
compare la Deuxième édition
à la Première édition
Sécurité et résilience — Systèmes
de management de la continuité
d'activité — Exigences
Security and resilience — Business continuity management systems
— Requirements
Numéro de référence
ISO 22301:redline:2019(F)
©
ISO 2019
ISO 22301:redline:2019(F)
IMPORTANT
Exemple de texte 1 — Texte ayant été ajouté (en vert)
Exemple de texte 2 — Texte ayant été supprimé (en rouge)
— Figure graphique ayant été ajoutée
— Figure graphique ayant été supprimée
1.x . — Si des modifications ont été apportées à un article/paragraphe, l’arti-
cle/le paragraphe est mis en évidence en jaune dans le Sommaire
AVERTISSEMENT
Cette version marquée met en évidence les principales modifications dans la présente
édition du document comparée à l’édition précédente. Elle ne reflète pas les détails (par
exemple les changements de ponctuation).
Cette version marquée ne constitue pas le document ISO officiel et n’est pas destinée à être
utilisée à des fins de mise en œuvre.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2019
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en oeuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2019 – Tous droits réservés

ISO 22301:redline:2019(F)
Sommaire Page
Avant-propos .v
Introduction .vii
0.1 Généralités . vii
0.2 Le modèle Planifier-Déployer-Contrôler-Agir (Plan-Do-Check-Act, PDCA) . vii
0.3 Éléments du modèle PDCA dans la présente Norme internationale .viii
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 2
4 Contexte de l'organisation l’organisme .12
4.1 Compréhension de l'organisation l’organisme et de son contexte .12
4.2 Compréhension des besoins et attentes des parties intéressées .12
4.2.1 Généralités .12
4.2.2 Exigences légales et réglementaires réglementaires et juridiques .12
4.3 Détermination du domaine d’application du système de management de la
continuité d'activité d’activité.13
4.3.1 Généralités .13
4.3.2 Domaine d’application du SMCA système de management de la continuité
d’activité .13
4.4 Système de management de la continuité d'activité d’activité .14
5 Leadership .14
5.1 Leadership et engagement.14
5.2 5.1 Engagement de la direction Leadership et engagement .14
5.3 5.2 Politique .15
5.2.1 Établissement de la politique de continuité d’activité .15
5.2.2 Communication de la politique de continuité d’activité .16
5.4 5.3 Rôles, responsabilités et autorités au sein de l’organisation  .16
6 Planification .16
6.1 Actions face aux risques et opportunités .16
6.1.1 Détermination des risques et opportunités .16
6.1.2 Gestion des risques et opportunités .17
6.2 Objectifs de continuité d'activité et plans d’activité et planification pour les atteindre .17
6.2.1 Établissement des objectifs de continuité d’activité .17
6.2.2 Détermination des objectifs de continuité d’activité .18
6.3 Planification des modifications du système de management de la continuité d’activité .18
7 Support .18
7.1 Ressources .18
7.2 Compétences .18
7.3 Sensibilisation (prise de conscience) .19
7.4 Communication .19
7.5 Informations documentées .20
7.5.1 Généralités .20
7.5.2 Création et mise à jour .20
7.5.3 Maîtrise des informations documentées .20
8 Fonctionnement .21
8.1 Planification opérationnelle et maîtrise .21
8.2 Analyse des impacts sur l'activité Bilan d’impact sur l’activité et appréciation du
risque . .22
8.2.1 Généralités .22
8.2.2 Analyse des impacts sur l'activité Bilan d’impact sur l’activité .22
8.2.3 Appréciation du risque .23
ISO 22301:redline:2019(F)
8.3 Stratégie Stratégies et solutions de continuité d'activité d’activité .23
8.3.1 Généralités .23
8.3.1 8.3.2 Détermination et choix Identification des stratégies et solutions .23
8.3.3 Sélection des stratégies et solutions .24
8.3.2 8.3.4 Établissement des exigences concernant les Exigences de ressources .24
8.3.3 8.3.5 Protection et atténuation Mise en œuvre des solutions .24
8.4 Établissement et mise en œuvre de Plans et procédures de continuité d'activité
d’activité .25
8.4.1 Généralités .25
8.4.2 Structure de réponse à un incident  .25
8.4.3 Avertissement et communication .26
8.4.4 Plans de continuité d'activité d’activité .27
8.4.5 Reprise Rétablissement .29
8.5 Exercices et tests Programme d’exercices .29
8.6 Évaluation de la documentation et des capacités de continuité d’activité .30
9 Évaluation des performances de la performance .30
9.1 Supervision Surveillance, mesurage, analyse et évaluation .30
9.1.1 Généralités .30
9.1.2 Évaluation des procédures de continuité d'activité .31
9.2 Audit interne .31
9.2.1 Généralités .32
9.2.2 Programme(s) d’audit .32
9.3 Revue de direction .33
9.3.1 Généralités .34
9.3.2 Éléments d’entrée de la revue de direction .34
9.3.3 Éléments de sortie de la revue de direction .35
10 Amélioration .35
10.1 Non-conformité et actions correctives .35
10.2 Amélioration continue .37
Bibliographie .38
iv © ISO 2019 – Tous droits réservés

ISO 22301:redline:2019(F)
Avant-propos
L'ISOL’ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
d’organismes nationaux de normalisation (comités membres de l'ISOl’ISO). L'élaborationL’élaboration
des Normes internationales est en général confiée aux comités techniques de l'ISOl’ISO. Chaque
comité membre intéressé par une étude a le droit de faire partie du comité technique créé à cet
effet. Les organisations internationales, gouvernementales et non gouvernementales, en liaison avec
l'ISOl’ISO participent également aux travaux. L'ISOL’ISO collabore étroitement avec la Commission
électrotechnique internationale (CEIIEC) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigéesprocédures utilisées pour élaborer le présent document
et celles destinées à sa mise à jour sont décrites dans les Directives ISO/IEC, Partie 1. Il convient, en
particulier, de prendre note des différents critères d’approbation requis pour les différents types de
documents ISO. Le présent document a été rédigé conformément aux règles de rédaction données dans
les Directives ISO/CEIIEC, Partie 2 (voir www .iso .org/ directives).
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de
Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des
comités membres votants.
L'attention est appeléeL’attention est attirée sur le fait que certains des éléments du présent document
peuvent faire l'objetl’objet de droits de propriété intellectuelle ou de droits analogues. L'ISOL’ISO ne
saurait être tenue pour responsable de ne pas avoir identifié de tels droits de propriété et averti de leur
existence. Les détails concernant les références aux droits de propriété intellectuelle ou autres droits
analogues identifiés lors de l’élaboration du document sont indiqués dans l’Introduction et/ou dans la
liste des déclarations de brevets reçues par l’ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
L'ISO 22301Le présent document a été élaboréeélaboré par le comité technique ISO/TC 223292, Sécurité
sociétaleet résilience.
La présente version française de l'Cette deuxième édition annule et remplace la première édition
(ISO 22301:2012 correspond à la version anglaise publiée le 2012-05-15 et corrigée le 2012-06-15.), qui
a fait l’objet d’une révision technique. Les principales modifications par rapport à l’édition précédente
sont les suivantes:
— application des exigences de l’ISO en matière de normes de système de management, qui ont évolué
depuis 2012;
— clarification des exigences, sans ajout de nouvelles exigences;
— inclusion dans l’Article 8 de la quasi-totalité des exigences de continuité d’activité en lien avec des
disciplines spécifiques;
— restructuration de l’Article 8 pour faciliter la compréhension des exigences essentielles;
— modification d’un certain nombre de termes relatifs à la continuité d’activité en lien avec des
disciplines spécifiques pour en améliorer la clarté et refléter les pensées actuelles.
ISO 22301:redline:2019(F)
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
vi © ISO 2019 – Tous droits réservés

ISO 22301:redline:2019(F)
Introduction
0.1 Généralités
La présente Norme internationale spécifie les exigences relatives à l'établissement et au management
d'un Système de Management de la Continuité d'Activité (SMCA) efficace.
Un SMCA souligne l'importance :
- d'une compréhension des besoins de l'organisation et de la nécessité de mettre en place une politique
et des objectifs en matière de management de la continuité d'activité ;
- de la mise en œuvre et de l'exploitation de contrôles et de mesures de gestion de la capacité globale
d'une organisation à gérer des incidents perturbateurs ;
- d'une surveillance et d'une revue des performances et de l'efficacité du SMCA ; et
- d'une amélioration continue sur la base de mesures objectives.
Comme tout autre système de management, un SMCA intègre les éléments clés suivants :
a) une politique ;
b) des personnes ayant des responsabilités définies ;
c) des processus de management se rapportant à :
1) la politique ;
2) la planification ;
3) la mise en œuvre et le fonctionnement ;
4) l'évaluation des performances ;
5) la revue de direction ; et
6) l'amélioration ;
d) une documentation fournissant des preuves tangibles ; et
e) tous les processus de management de la continuité d'activité pertinents pour l'organisation.
La continuité d'activité contribue à rendre la société plus résiliente. Il est possible qu’il faille impliquer
dans le processus de reprise la communauté dans son ensemble, ainsi que l'impact de l'environnement
de l'organisation et donc l’impact des autres organisations sur l’organisation elle-même.
0.2 Le modèle Planifier-Déployer-Contrôler-Agir (Plan-Do-Check-Act, PDCA)
La présente Norme internationale applique le modèle PDCA à la planification, l'établissement, la mise en
œuvre, le fonctionnement, la surveillance, la revue, le maintien et l'amélioration continue de l'efficacité
du SMCA d'une organisation.
Ceci assure un degré de cohérence avec d'autres normes de système de management, telles que
l'ISO 9001, Systèmes de management de la qualité, l'ISO 14001, Systèmes de management environnemental,
l'ISO/CEI 27001, Systèmes de management de la sécurité de l'information, l'ISO/CEI 20000-1, Technologies
de l'information — Gestion des services et l'ISO 28000, Spécifications relatives aux systèmes de management
de la sûreté de la chaîne d'approvisionnement, permettant ainsi une mise en œuvre et un fonctionnement
cohérents et intégrés avec les systèmes de management associés.
La Figure 1 illustre comment un SMCA prend pour entrées les parties intéressées, les exigences de
management de la continuité et comment, via les actions et les processus nécessaires, il produit des
ISO 22301:redline:2019(F)
sorties en matière de continuité (c'est-à-dire une continuité de l'activité gérée) qui satisfont à ces
exigences.
Figure 1 — Modèle PDCA appliqué aux processus d'un SMCA
Tableau 1 — Explication du modèle PDCA
Planifier Établir une politique, des objectifs, des cibles, des contrôles, des processus et des
procédures de continuité d'activité pertinents pour améliorer la continuité d'acti-
(Établir)
vité afin d’obtenir des résultats alignés avec les politiques et les objectifs globaux de
l'organisation.
Déployer Mettre en œuvre et rendre opérationnels la politique, les contrôles, les processus et
les procédures de continuité d'activité.
(Mettre en place et en
œuvre)
Contrôler Superviser et revoir les performances par rapport à la politique et aux objectifs de
continuité d'activité, rendre compte des résultats à la direction pour revue et déter-
(Superviser et réviser)
miner et autoriser des actions correctives et d'amélioration.
Agir Maintenir et améliorer le SMCA en entreprenant des actions correctives, sur la base
des résultats de la revue de direction, et en reconsidérant le périmètre du SMCA ainsi
(Maintenir et améliorer)
que la politique et les objectifs de continuité d'activité.
0.3 Éléments du modèle PDCA dans la présente Norme internationale
Dans le modèle PDCA présenté dans le Tableau 1, les Articles 4 à 10 de la présente Norme internationale
traitent des éléments suivants :
- l'Article 4 est une partie du thème « Planifier ». Il introduit les exigences nécessaires pour établir
le contexte du SMCA tel qu'il s'applique à l'organisation, ainsi que les besoins, les exigences et le
périmètre.
- l'Article 5 est une partie du thème « Planifier ». Il résume les exigences spécifiques au rôle joué par
la Direction dans le SMCA, et la manière dont la Direction communique ses attentes à l'organisation
par le biais d'une déclaration de politique.
- l'Article 6 est une partie du thème « Planifier ». Il décrit les exigences relatives à l'établissement
des objectifs stratégiques et des principes directeurs du SMCA dans son ensemble. Le contenu de
l'Article 6 ne consiste pas à mettre en place les solutions de traitement des risques découlant de
l'appréciation des risques, ni à établir les objectifs de reprise issus de l'analyse d’impact sur l'activité.
NOTE Les exigences relatives à l'analyse d’impact sur l'activité et au processus d'appréciation du risque
sont spécifiées de manière détaillée à l'Article 8.
viii © ISO 2019 – Tous droits réservés

ISO 22301:redline:2019(F)
- l'Article 7 est une partie du thème « Planifier ». Il vient à l'appui des opérations du SMCA relatives à la
détermination des compétences et à l'établissement de communications avec les parties intéressées,
sur une base récurrente/au besoin, tout en documentant, contrôlant, tenant à jour et conservant la
documentation requise.
- l'Article 8 est une partie du thème « Faire ». Il définit les exigences relatives à la continuité
d'activité, détermine la manière de les traiter et développe les procédures afin de gérer un incident
perturbateur.
- l'Article 9 est une partie du thème « Contrôler ». Il résume les exigences nécessaires pour mesurer la
performance du management de la continuité d'activité, la conformité du SMCA à la présente Norme
internationale et aux attentes de la Direction, et recherche les retours d'information de la direction
concernant les attentes.
- l'Article 10 est une partie du thème « Agir ». Il identifie et intervient sur une non-conformité du
SMCA par le biais d'une action corrective.
0.1  Généralités
Le présent document spécifie la structure et les exigences relatives à la mise en œuvre et à la
maintenance d’un Système de Management de la Continuité d’Activité (SMCA) qui développe une
continuité d’activité en fonction de l’importance et du type d’impact que l’organisme peut ou non
accepter suite à une perturbation.
Les résultats de la maintenance d’un SMCA sont façonnés par les exigences réglementaires, juridiques,
organisationnelles et sectorielles de l’organisme, les produits et services offerts, les processus employés,
la taille et la structure de l’organisme et les exigences de ses parties intéressées.
Un SMCA souligne l’importance:
— d’une compréhension des besoins de l’organisme et de la nécessité d’établir des politiques et des
objectifs de continuité d’activité;
— du fonctionnement et de la maintenance des processus, capacités et structures de réponse afin
d’assurer que l’organisme survivra aux perturbations;
— de surveiller et passer en revue la performance et l’efficacité du SMCA;
— d’une amélioration continue sur la base de mesures qualitatives et quantitatives.
À l’instar de tout autre système de management, un SMCA comprend les composantes suivantes:
a) une politique;
b) des personnes compétentes ayant des responsabilités définies;
c) des processus de management concernant:
1) la politique;
2) la planification;
3) la mise en œuvre et le fonctionnement;
4) l’appréciation des performances;
5) la revue de direction;
6) l’amélioration continue;
d) des informations documentées venant en support de la maîtrise opérationnelle et permettant de
réaliser l’évaluation de la performance.
ISO 22301:redline:2019(F)
0.2 Bénéfices d’un système de management de la continuité d’activité
Un SMCA sert à préparer, fournir et maintenir les moyens de maîtrise et les capacités pour gérer
l’aptitude globale d’un organisme à continuer à fonctionner pendant les perturbations. En atteignant ce
but, l’organisme:
a) du point de vue de l’activité métier:
1) contribue à ses objectifs stratégiques;
2) acquiert un avantage concurrentiel;
3) protège et renforce sa réputation et sa crédibilité;
4) contribue à la résilience de l’organisme;
b) d’un point de vue financier:
1) réduit l’exposition juridique et financière;
2) diminue les coûts directs et indirects des perturbations;
c) du point de vue des parties intéressées:
1) protège la vie, la propriété et l’environnement;
2) prend en considération les attentes des parties intéressées;
3) renforce leur confiance en sa capacité de réussite;
d) du point de vue des processus internes:
1) améliore sa capacité à rester efficace pendant les perturbations;
2) démontre une maîtrise proactive des risques de façon efficace et efficiente;
3) traite les vulnérabilités opérationnelles.
0.3 Cycle PDCA (Plan-Do-Check-Act/Planifier–Déployer–Contrôler-Agir)
Le présent document applique le cycle PDCA [Planifier (établir), Déployer (mettre en œuvre et exécuter),
Contrôler (surveiller et réexaminer) et Agir (maintenir et améliorer)] pour assurer la mise en œuvre, la
maintenance et l’amélioration continue de l’efficacité du SMCA d’un organisme.
Cela assure un degré de cohérence avec d’autres normes de système de management, telles que
l’ISO 9001, l’ISO 14001, l’ISO/IEC 20000-1, l’ISO/IEC 27001 et l’ISO 28000, permettant ainsi une mise en
œuvre et un fonctionnement cohérents et intégrés avec les systèmes de management associés.
Conformément au cycle PDCA, les Articles 4 à 10 traitent des éléments suivants.
— L’Article 4 introduit les exigences nécessaires pour établir le contexte du SMCA applicable à
l’organisme, ainsi que les besoins, les exigences et le domaine d’application.
— L’Article 5 résume les exigences spécifiques au rôle de la Direction générale dans le SMCA, et la
manière dont le leadership communique ses attentes à l’organisme par le biais d’une déclaration de
politique.
— L’Article 6 décrit les exigences pour établir des objectifs stratégiques et des principes d’orientation
pour le SMCA dans sa globalité.
— L’Article 7 vient à l’appui des opérations du SMCA en lien avec la détermination des compétences et
la communication avec les parties intéressées, sur une base récurrente ou en tant que de besoin,
tout en documentant, maîtrisant, maintenant et conservant les informations documentées requises.
x © ISO 2019 – Tous droits réservés

ISO 22301:redline:2019(F)
— L’Article 8 définit les besoins de continuité d’activité, détermine la manière de les traiter et développe
les procédures afin de gérer l’organisme durant une perturbation.
— L’Article 9 résume les exigences nécessaires pour mesurer la performance de la continuité d’activité,
la conformité du SMCA au présent document et le pilotage de la revue de direction.
— L’Article 10 identifie et intervient sur une non-conformité du SMCA et sur l’amélioration continue
par le biais d’une action corrective.
0.4  Contenu du présent document
Le présent document se conforme aux exigences de l’ISO relatives aux normes de systèmes de
management. Ces exigences comprennent une structure-cadre, un texte de base identique et des termes
communs avec des définitions clés, élaborés à l’attention des utilisateurs mettant en œuvre plusieurs
normes ISO de systèmes de management.
Le présent document ne comporte pas d’exigences spécifiques à d’autres systèmes de management, bien
que ses éléments puissent être alignés ou intégrés avec ceux d’autres systèmes de management.
Le présent document contient des exigences qui peuvent être utilisées par un organisme pour mettre
en œuvre un SMCA et en apprécier la conformité. Un organisme souhaitant démontrer la conformité au
présent document peut le faire:
— en réalisant une auto-évaluation et une auto-déclaration; ou
— en recherchant la confirmation de sa conformité par des parties ayant un intérêt dans l’organisme,
telles que les clients; ou
— en recherchant la confirmation de son auto-déclaration par une partie externe à l’organisme; ou
— en recherchant la certification/l’enregistrement de son SMCA par un organisme externe.
Les Articles 1 à 3 décrivent le domaine d’application, les références normatives et les termes et
définitions qui s’appliquent à l’utilisation du présent document. Les Articles 4 à 10 contiennent les
exigences à utiliser pour apprécier la conformité au présent document.
Dans le présent document, les formes verbales suivantes sont utilisées:
a) le verbe «devoir» indique une exigence;
b) l’expression «il convient de» indique une recommandation;
c) le verbe «pouvoir» (may) indique une permission;
d) le verbe «pouvoir» (can) indique une possibilité ou capacité.
Les informations sous forme de «NOTE» sont fournies pour faciliter la compréhension de l’exigence
associée ou la clarifier. Les «Notes à l’article» employées à l’Article 3 fournissent des informations
supplémentaires qui viennent compléter les données terminologiques et peuvent contenir des
dispositions concernant l’usage d’un terme.
NORME INTERNATIONALE ISO 22301:redline:2019(F)
Sécurité et résilience — Systèmes de management de la
continuité d'activité — Exigences
1 Domaine d’application
La présente Norme internationale relative à la gestion de la continuité d'activitéLe présent document
spécifie les exigences pour planifier, établir, mettre en place et en œuvre, contrôler, réviser, maintenir
et améliorer de manière continue un système de management documenté afin de se protéger des
incidents perturbateurs, réduire leur probabilité de survenance, s'ycontre les perturbations, réduire la
vraisemblance de leur survenance, s’y préparer, y répondre et de s’en rétablir lorsqu'ils surviennentse
rétablir lorsqu’elles se produisent.
Les exigences spécifiées dans la présente Norme internationalele présent document sont génériques et
prévues pour être applicables à toutes les organisations, ou parties de cellestous les organismes, ou à
des parties de ceux-ci, indépendamment du type, de la taille et de la nature de l'organisationl’organisme.
Le champ d'applicationd’application de ces exigences dépend de l'environnementl’environnement et de
la complexité de fonctionnement de l'organisationl’organisme.
La présente Norme internationale ne vise pas à uniformiser la structure d'un système de management
de la continuité d'activité (SMCA), mais à permettre à une organisation de concevoir un SMCA qui soit
adapté à ses besoins et qui satisfasse aux exigences des parties intéressées. Ces besoins sont façonnés
par les exigences juridiques, réglementaires, organisationnelles et industrielles, les produits et les
services, les processus employés, la taille et la structure de l'organisation et les exigences des parties
intéressées.
La présente Norme internationaleLe présent document est applicable à tous les types et toutes les
tailles d'organisations souhaitant d’organismes qui:
a) établir, mettremettent en œuvre, maintenir et améliorermaintiennent et améliorent un SMCA;
b) cherchent à assurer la conformité à la politique de continuité d'activité établie d’activité déclarée;
c) démontrer cette conformité à des tiers ont besoin d’être aptes à poursuivre la livraison de produits
et la fourniture de services à un niveau de capacité acceptable et préalablement défini durant une
perturbation;
d) faire certifier/enregistrer son SMCA par un organisme de certification tiers et accrédité ;
oucherchent à améliorer leur résilience à travers l’application efficace du SMCA.
e) réaliser une autoévaluation et une auto-déclaration de conformité à la présente Norme
internationale.
La présente Norme internationale peut être utilisée pour évaluer la capacité d'une organisationLe
présent document peut être utilisé pour apprécier l’aptitude d’un organisme à satisfaire ses propres
besoins et obligations en matière de continuité d’activité.
2 Références normatives
Les documents ci-après, dans leur intégralité ou non, sont des références normatives indispensables
à l'applicationsuivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de
leur contenu, des exigences du présent document. Pour les références datées, seule l'édition citée
s'appliquel’édition citée s’applique. Pour les références non datées, la dernière édition du document de
référence s'appliques’applique (y compris les éventuels amendements).
ISO 22301:redline:2019(F)
Il n'y a aucune référence normative.
ISO 22300, Sécurité et résilience — Vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions les définitions de l’ISO 22300suivants
s'appliquent ainsi que les suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https: // www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http: // www .electropedia .org/
NOTE Les termes et définitions ci-dessous remplacent ceux donnés dans l’ISO 22300:2018.
3.1
activité
processus ou ensemble de processus exécutés par une organisation (ou pour son compte) qui réalise
ou aide à réaliser un ou plusieurs produits et services ensemble d’une ou plusieurs tâches ayant une
finalité définie
EXEMPLE De tels processus comprennent la comptabilité, les centres d'appel, les technologies de
l'information (IT), la fabrication, la distribution.
[SOURCE: ISO 22300:2018, 3.1, modifiée — La définition a été remplacée et l’exemple a été supprimé.]
3.2
audit
processus systématique processus (3.26) méthodique, indépendant et documenté permettant
d'obtenir en vue d’obtenir des preuves d'audit d’audit et de les évaluer de manière objective pour
déterminer dans quelle mesure les critères d'audit d’audit sont satisfaits
Note 1 à l'article: Un audit peut être interne (audit de première partie) ou , externe (audit de seconde ou de tierce
partie), et il peut être combiné (s'il associe  ou combiné (combinant deux disciplines ou plus).
Note 2 à l'article: Un audit interne est réalisé par l’organisme (3.21) lui-même ou par une partie externe pour le
compte de celui-ci.
Note 3 à l'article: Les termes «preuves d’audit» et «critères d'audit  d’audit» sont définis dans l’ISO 19011.
Note 4 à l'article: Les éléments fondamentaux d’un audit comprennent la détermination de la conformité (3.7)
d’un objet selon une procédure réalisée par du personnel n’étant pas responsable de l’objet audité.
Note 5 à l'article: Un audit interne peut être réalisé pour une revue de direction et d’autres besoins internes
et peut servir de base à la déclaration de conformité de l’organisme. L’indépendance peut être démontrée par
l’absence de responsabilité vis-à-vis de l’activité (3.1) à auditer. Les audits externes comprennent les audits de
seconde et de tierce partie. Les audits de seconde partie sont réalisés par des parties ayant un intérêt à l’égard
de l’organisme, comme les clients, ou d’autres personnes agissant en leur nom. Les audits de tierce partie sont
réalisés par des organismes d’audit externes et indépendants tels que ceux qui octroient la certification/
l’enregistrement de conformité ou des organismes publics.
Note 6 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO. La définition initiale a été modifiée par l’ajout des
Notes 4 et 5 à l’article.
2 © ISO 2019 – Tous droits réservés

ISO 22301:redline:2019(F)
3.3
continuité d'activité d’activité
capacité de l'organisation d’un organisme (3.21) à poursuivre la livraison de produits etfourniture de
produits ou la prestation de services à  la fourniture de services (3.27) dans des niveaux acceptables
et préalablement définis après un incident perturbateur délais acceptables à une capacité prédéfinie
durant une perturbation (3.10)
[SOURCE: ISO 22300:2018, 3.24, modifiée — La définition a été remplacée.]
3.4
gestion de la continuité d'activité
processus de management holistique qui identifie les menaces potentielles pour une organisation
ainsi que les impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées
à l'activité de l'organisation, et qui fournit un cadre pour construire la résilience de l'organisation
avec une capacité de réponse efficace préservant les intérêts de ses principales parties prenantes, sa
réputation, sa marque et ses activités productrices de valeur
3.5
système de management de la continuité d'activité
SMCA
partie du système de management global qui établit, met en œuvre, opère, contrôle, révise, maintient et
améliore la continuité d'activité
Note 1 à l'article: Le système de management comprend la structure organisationnelle, les politiques, les
planifications, les responsabilités, les procédures, les processus et les ressources.
3.6 3.4
plan de continuité d'activité d’activité
procédures documentées  informations documentées (3.11) servant de guide aux organisations à un
organisme (3.21) pour répondre à une perturbation (3.10) et reprendre, rétablir, reprendre et retrouver
un niveau  et restaurer la livraison de produits etfonctionnement prédéfini à la suite d'une perturbation
la fourniture de services (3.27) en cohérence avec ses objectifs (3.20) de continuité d’activité (3.3)
Note 1 à l'article: Ce plan couvre généralement les ressources, les services et les activités requis pour assurer la
continuité des fonctions critiques.
[SOURCE: ISO 22300:2018, 3.27, modifiée — La définition a été remplacée et la Note 1 à l’article a été
supprimée.]
3.7
programme de continuité d'activité
processus continu de management et de gouvernance soutenu par la direction et doté de ressources
appropriées pour mettre en œuvre et maintenir le management de la continuité d'activité
3.8 3.5
analyse bilan d’impact sur l'activité l’activité
processus d'analyse des activités et  processus (3.26)de l'effet qu'une perturbation de l'activité peut
avoir  d’analyse de l’impact (3.13) dans le temps d’une perturbation (3.10) sur elles l’organisme (3.21)
Note 1 à l'article: Le résultat est un inventaire des exigences (3.28) de continuité d’activité (3.3) et leur justification.
[SOURCE: ISO 22300:2018, 3.29, modifiée — La définition a été remplacée et la Note 1 à l’article a été
ajoutée.]
3.9 3.6
compétence
aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats escomptés
Note 1 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
ISO 22301:redline:2019(F)
3.10 3.7
conformité
satisfaction d’une exigence exigence (3.28)
[SOURCE: ISO 22300]
Note 1 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.11 3.8
amélioration continue
activité activité (3.1) récurrente visant à améliorer les performances permettant d’améliorer les
performances (3.23)
[SOURCE: ISO 22300]
Note 1 à l'article: Cela constitue l’un des termes communs et l’une des définitions essentielles de la structure-
cadre (HLS) des normes de système de management ISO.
3.12
correction
action visant à éliminer une non-conformité détectée
[SOURCE: ISO 22300]
3.13 3.9
action corrective
action visant à éliminer la cause ou les cause(s) d’une non-conformité (3.19) d'une non-conformité  et à
éviter sa réapparition
Note 1 à l'article: Dans le cas d'autres résultats indésirables, il est nécessaire d'entreprendre une action visant
à réduire au minimum ou éliminer les causes et à réduire leur impact ou éviter leur réapparition. De telles
actions ne relèvent pas du concept « d'action corrective » au sens de la présente définition Cela constitue l’un
des termes communs et l’une des définitions essentielles de la structure-cadre (HLS) des normes de système de
management ISO.
[SOURCE: ISO 22300]
3.14 3.10
document perturbation
support d'information  incident (3.14), anticipé ou non, qui entraîne un écart négatif non planifié par
rapport à la livraison de produits et à la fourniture de services (3.27) prévues selon les objectifs (3.20)
d’un organisme (3.21) l'information qu'il contient
Note 1 à l'article: Le support peut êtr
...