Security and resilience -- Business continuity management systems -- Guidance on the use of ISO 22301

This document gives guidance and recommendations for applying the requirements of the business continuity management system (BCMS) given in ISO 22301. The guidance and recommendations are based on good international practice. This document is applicable to organizations that: a) implement, maintain and improve a BCMS; b) seek to ensure conformity with stated business continuity policy; c) need to be able to continue to deliver products and services at an acceptable predefined capacity during a disruption; d) seek to enhance their resilience through the effective application of the BCMS. The guidance and recommendations are applicable to all sizes and types of organizations, including large, medium and small organizations operating in industrial, commercial, public and not-for-profit sectors. The approach adopted depends on the organization's operating environment and complexity.

Sécurité et résilience -- Systèmes de management de la continuité d'activité -- Lignes directrices sur l'utilisation de l'ISO 22301

Le présent document donne des lignes directrices et recommandations relatives ŕ l'application des exigences pour le systčme de management de la continuité d'activité (SMCA) de l'ISO 22301. Ces lignes directrices et recommandations sont basées sur la bonne pratique internationale. Le présent document s'applique aux organismes qui: a) mettent en œuvre, maintiennent et améliorent un SMCA; b) cherchent ŕ assurer la conformité ŕ la politique de continuité d'activité déclarée; c) ont besoin d'ętre aptes ŕ poursuivre la livraison de produits et la fourniture de services ŕ un niveau de capacité acceptable et préalablement défini durant une perturbation; d) cherchent ŕ améliorer leur résilience ŕ travers l'application efficace du SMCA. Les lignes directrices et recommandations s'appliquent ŕ toute taille et tout type d'organismes, qu'ils soient grands, moyens ou petits et qu'ils fonctionnent dans les secteurs industriels, commerciaux, publics ou ŕ but non lucratif. L'approche adoptée dépend de l'environnement et de la complexité de fonctionnement de l'organisme.

General Information

Status
Published
Publication Date
19-Feb-2020
Current Stage
6060 - International Standard published
Start Date
19-Jan-2020
Completion Date
20-Feb-2020
Ref Project

RELATIONS

Buy Standard

Standard
ISO 22313:2020 - Security and resilience -- Business continuity management systems -- Guidance on the use of ISO 22301
English language
55 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 22313:2020 - Sécurité et résilience -- Systemes de management de la continuité d'activité -- Lignes directrices sur l'utilisation de l'ISO 22301
French language
58 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (sample)

INTERNATIONAL ISO
STANDARD 22313
Second edition
2020-02
Security and resilience — Business
continuity management systems —
Guidance on the use of ISO 22301
Sécurité et résilience — Systèmes de management de la continuité
d'activité — Lignes directrices sur l'utilisation de l'ISO 22301
Reference number
ISO 22313:2020(E)
ISO 2020
---------------------- Page: 1 ----------------------
ISO 22313:2020(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2020

All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may

be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting

on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address

below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 22313:2020(E)
Contents Page

Foreword ..........................................................................................................................................................................................................................................v

Introduction ................................................................................................................................................................................................................................vi

1 Scope ................................................................................................................................................................................................................................. 1

2 Normative references ...................................................................................................................................................................................... 1

3 Terms and definitions ..................................................................................................................................................................................... 1

4 Context of the organization ....................................................................................................................................................................... 2

4.1 Understanding the organization and its context ....................................................................................................... 2

4.2 Understanding the needs and expectations of interested parties .............................................................. 3

4.2.1 General...................................................................................................................................................................................... 3

4.2.2 Legal and regulatory requirements ................................................................................................................. 3

4.3 Determining the scope of the business continuity management system ............................................. 4

4.3.1 General...................................................................................................................................................................................... 4

4.3.2 Scope of the business continuity management system .................................................................. 4

4.3.3 Exclusions to scope ........................................................................................................................................................ 4

4.4 Business continuity management system ....................................................................................................................... 5

5 Leadership .................................................................................................................................................................................................................. 5

5.1 Leadership and commitment ..................................................................................................................................................... 5

5.1.1 General...................................................................................................................................................................................... 5

5.1.2 Top management ............................................................................................................................................................. 5

5.1.3 Other managerial roles ............................................................................................................................................... 6

5.2 Policy ............................................................................................................................................................................................................... 6

5.2.1 Establishing the business continuity policy ............................................................................................. 6

5.2.2 Communicating the business continuity policy .................................................................................... 7

5.3 Roles, responsibilities and authorities ............................................................................................................................... 7

6 Planning ......................................................................................................................................................................................................................... 9

6.1 Actions to address risks and opportunities ................................................................................................................... 9

6.1.1 Determining risks and opportunities ............................................................................................................ 9

6.1.2 Addressing risks and opportunities ................................................................................................................ 9

6.2 Business continuity objectives and planning to achieve them ...................................................................10

6.2.1 Establishing business continuity objectives .........................................................................................10

6.2.2 Determining business continuity objectives.........................................................................................10

6.3 Planning changes to the business continuity management system .......................................................10

7 Support ........................................................................................................................................................................................................................11

7.1 Resources ..................................................................................................................................................................................................11

7.1.1 General...................................................................................................................................................................................11

7.1.2 BCMS resources .............................................................................................................................................................11

7.2 Competence ............................................................................................................................................................................................11

7.3 Awareness ................................................................................................................................................................................................13

7.4 Communication ...................................................................................................................................................................................14

7.5 Documented information ............................................................................................................................................................15

7.5.1 General...................................................................................................................................................................................15

7.5.2 Creating and updating ..............................................................................................................................................16

7.5.3 Control of documented information ............................................................................................................16

8 Operation ..................................................................................................................................................................................................................17

8.1 Operational planning and control .......................................................................................................................................17

8.1.1 General...................................................................................................................................................................................17

8.1.2 Business continuity management ..................................................................................................................18

8.1.3 Maintaining business continuity .....................................................................................................................19

8.2 Business impact analysis and risk assessment ........................................................................................................20

8.2.1 General...................................................................................................................................................................................20

8.2.2 Business impact analysis .......................................................................................................................................20

© ISO 2020 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 22313:2020(E)

8.2.3 Risk assessment ...................................................................... .......................................................................................23

8.3 Business continuity strategies and solutions ............................................................................................................25

8.3.1 General...................................................................................................................................................................................25

8.3.2 Identification of strategies and solutions ................................................................................................25

8.3.3 Selection of strategies and solutions ...........................................................................................................28

8.3.4 Resource requirements ...........................................................................................................................................28

8.3.5 Implementation of solutions ..............................................................................................................................34

8.4 Business continuity plans and procedures ..................................................................................................................35

8.4.1 General...................................................................................................................................................................................35

8.4.2 Response structure .....................................................................................................................................................35

8.4.3 Warning and communication ............................................................................................................................36

8.4.4 Business continuity plans .....................................................................................................................................38

8.4.5 Recovery ...............................................................................................................................................................................43

8.5 Exercise programme .......................................................................................................................................................................44

8.5.1 General...................................................................................................................................................................................44

8.5.2 Design of the exercise programme ................................................................................................................44

8.5.3 Exercising business continuity plans ..........................................................................................................45

8.6 Evaluation of business continuity documentation and capabilities ......................................................48

8.6.1 General...................................................................................................................................................................................48

8.6.2 Measuring effectiveness .........................................................................................................................................49

8.6.3 Outcomes .............................................................................................................................................................................49

9 Performance evaluation ............................................................................................................................................................................50

9.1 Monitoring, measurement, analysis and evaluation ............................................................................................50

9.1.1 General...................................................................................................................................................................................50

9.1.2 Retention of evidence ...............................................................................................................................................50

9.1.3 Performance evaluation..........................................................................................................................................50

9.2 Internal audit .........................................................................................................................................................................................51

9.2.1 General...................................................................................................................................................................................51

9.2.2 Audit programme(s) ..................................................................................................................................................51

9.3 Management review ........................................................................................................................................................................51

9.3.1 General...................................................................................................................................................................................51

9.3.2 Management review input ...................................................................................................................................51

9.3.3 Management review outputs .............................................................................................................................52

10 Improvement .........................................................................................................................................................................................................52

10.1 Nonconformity and corrective action ..............................................................................................................................52

10.1.1 General...................................................................................................................................................................................52

10.1.2 Occurrence of nonconformity ............................................................................................................................53

10.1.3 Retention of documented information ......................................................................................................53

10.2 Continual improvement ...............................................................................................................................................................53

Bibliography .............................................................................................................................................................................................................................55

iv © ISO 2020 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 22313:2020(E)
Foreword

ISO (the International Organization for Standardization) is a worldwide federation of national standards

bodies (ISO member bodies). The work of preparing International Standards is normally carried out

through ISO technical committees. Each member body interested in a subject for which a technical

committee has been established has the right to be represented on that committee. International

organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.

ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of

electrotechnical standardization.

The procedures used to develop this document and those intended for its further maintenance are

described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the

different types of ISO documents should be noted. This document was drafted in accordance with the

editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).

Attention is drawn to the possibility that some of the elements of this document may be the subject of

patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of

any patent rights identified during the development of the document will be in the Introduction and/or

on the ISO list of patent declarations received (see www .iso .org/ patents).

Any trade name used in this document is information given for the convenience of users and does not

constitute an endorsement.

For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and

expressions related to conformity assessment, as well as information about ISO’s adherence to the

World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso .org/

iso/ foreword .html.

This document was prepared by Technical Committee ISO/TC 292, Security and resilience.

This second edition cancels and replaces the first edition (ISO 22313:2012), which has been technically

revised. The main changes compared with the previous edition are as follows:

— structural and content alterations have been made to align this document with the latest edition of

ISO 22301;
— additional guidance has been added to explain key concepts and terms;

— content has been removed from 8.4 that will be included in ISO/TS 22332 (under development).

Any feedback or questions on this document should be directed to the user’s national standards body. A

complete listing of these bodies can be found at www .iso .org/ members .html.
© ISO 2020 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO 22313:2020(E)
Introduction
0.1 General

This document provides guidance, where appropriate, on the requirements specified in ISO 22301. It

is not the intention of this document to provide general guidance on all aspects of business continuity.

This document includes the same clause headings as ISO 22301 but does not restate the requirements

and related terms and definitions.

The intention of the guidance is to explain and clarify the meaning and purpose of the requirements

of ISO 22301 and assist in the resolution of any issues of interpretation. Other International Standards

and Technical Specifications that provide additional guidance, and to which reference is made in this

document, are ISO/TS 22317, ISO/TS 22318, ISO 22322, ISO/TS 22330, ISO/TS 22331 and ISO 22398.

The scope of these documents can extend beyond the requirements of ISO 22301. Organizations should

therefore always refer to ISO 22301 to verify the requirements to be met.

To provide further clarification and explanation of key points, this document includes several figures.

The figures are for illustrative purposes only and the related text in the body of this document takes

precedence.
A business continuity management system (BCMS) emphasizes the importance of:

— establishing business continuity policy and objectives that align with the organization’s objectives;

— operating and maintaining processes, capabilities and response structures for ensuring the

organization will survive disruptions;
— monitoring and reviewing the performance and effectiveness of the BCMS;
— continual improvement based on qualitative and quantitative measurement.
A BCMS, like any other management system, includes the following components:
a) a policy;
b) competent people with defined responsibilities;
c) management processes relating to:
1) policy;
2) planning;
3) implementation and operation;
4) performance assessment;
5) management review;
6) continual improvement;

d) documented information supporting operational control and enabling performance evaluation.

Business continuity is generally specific to an organization. However, its implementation can have far

reaching implications on the wider community and other third parties. An organization is likely to

have external organizations that it depends upon and there will be others that depend on it. Effective

business continuity therefore contributes to a more resilient society.
vi © ISO 2020 – All rights reserved
---------------------- Page: 6 ----------------------
ISO 22313:2020(E)
0.2 Benefits of a business continuity management system

A BCMS increases the organization’s level of preparedness to continue to operate during disruptions. It

also results in improved understanding of the organization’s internal and external relationships, better

communication with interested parties and the creation of a continual improvement environment.

There are potentially many additional benefits to implementing a BCMS in accordance with the

recommendations contained in this document and in accordance with the requirements of ISO 22301.

— Following the recommendations in Clause 4 (“context of the organization”) involves the organization:

— reviewing its strategic objectives to ensure that the BCMS supports them;
— reconsidering the needs, expectations and requirements of interested parties;
— being aware of applicable legal, regulatory and other obligations.
— Clause 5 (“leadership”) involves the organization:
— reconsidering management roles and responsibilities;
— promoting a culture of continual improvement;
— allocating responsibility for performance monitoring and reporting.
— Clause 6 (“planning”) involves the organization:

— re-examining its risks and opportunities and identifying actions to address and take advantage

of them;
— establishing effective change management.
— Clause 7 (“support”) involves the organization:

— establishing effective management of its BCMS resources, including competence management;

— improving employee awareness of matters that are important to management;
— having effective mechanisms for internal and external communications;
— managing its documentation effectively.
— Clause 8 (“operation”) results in the organization considering:
— the unintended consequences of change;
— business continuity priorities and requirements;
— dependencies;
— vulnerabilities from an impact perspective;
— risks of disruption and identifying how best to address them;
— alternative solutions for running the business with limited resources;
— effective structures and procedures for dealing with disruptions;
— responsibilities to the community and other interested parties.
— Clause 9 (“performance evaluation”) involves the organization:

— having effective mechanisms for monitoring, measuring and evaluating performance;

© ISO 2020 – All rights reserved vii
---------------------- Page: 7 ----------------------
ISO 22313:2020(E)

— involving management in monitoring the performance and contributing to the effectiveness of

the BCMS.
— Clause 10 (“improvement”) involves the organization:
— having procedures for monitoring performance and improving effectiveness;
— benefitting from continual improvement of its management systems.
As a result, implementation of the BCMS can:
a) protect life, assets and the environment;
b) protect and enhance the organization’s reputation and credibility;

c) contribute to the organization’s competitive advantage by enabling it to operate during disruptions;

d) reduce costs arising from disruptions and improving the organization’s capability to remain

effective during them;
e) contribute to the organization’s overall organizational resilience;

f) assist in making interested parties more confident in the organization’s success;

g) reduce the organization’s legal and financial exposure;

h) demonstrate the organization’s ability to manage risk and address operational vulnerabilities.

0.3 Plan-Do-Check-Act (PDCA) cycle

This document applies the Plan-Do-Check-Act (PDCA) cycle to planning, establishing, implementing,

operating, monitoring, reviewing, maintaining and continually improving the effectiveness of an

organization’s BCMS. An explanation of the PDCA cycle is given in Table 1.

Figure 1 illustrates how the BCMS takes interested parties’ requirements as inputs for business

continuity management and, through the required actions and processes, produces business continuity

outcomes (i.e. managed business continuity) that meet those requirements.
Table 1 — Explanation of PDCA cycle

Plan Establish business continuity policy, objectives, controls, processes and procedures

(Establish) relevant to improving business continuity in order to deliver results that align with

the organization’s overall policies and objectives.
Do Implement and operate the business continuity policy, controls, processes and
(Implement and operate) procedures.

Check Monitor and review performance against business continuity policy and objectives,

(Monitor and review) report the results to management for review, and determine and authorize actions

for remediation and improvement.

Act Maintain and improve the BCMS by taking corrective actions, based on the results

(Maintain and improve) of management review and re-appraising the scope of the BCMS and business

continuity policy and objectives.
viii © ISO 2020 – All rights reserved
---------------------- Page: 8 ----------------------
ISO 22313:2020(E)
Figure 1 — PDCA cycle applied to BCMS processes
0.4 Components of PDCA in this document

Table 2 shows the direct relationship between the content of Figure 1 and the clauses of this document.

Table 2 — Relationship between the PDCA cycle and Clauses 4 to 10
PDCA component Clause addressing PDCA component

Plan Clause 4 (“context of the organization”) sets out what the organization should do in

(Establish) order to make sure that the BCMS meets its requirements, taking into account all

relevant external and internal factors, including:
— the needs and expectations of interested parties;
— its legal and regulatory obligations;
— the required scope of the BCMS.

Clause 5 (“leadership”) sets out the role of management in terms of demonstrating

commitment, defining policy and establishing roles, responsibilities and authorities.

Clause 6 (“planning”) describes the actions for establishing strategic objectives and

guiding principles for the implementation of the BCMS.

Clause 7 (“support”) identifies the BCMS elements that should be in place, namely:

resources, competence, awareness, communication and documented information.

Do Clause 8 (“operation”) identifies the processes for establishing and maintaining

(Implement and operate) business continuity.

Check Clause 9 (“performance evaluation”) provides the basis for improving the BCMS

(Monitor and review) through measurement and evaluating its performance.
Act Clause 10 (“improvement”) covers the corrective action for addressing
(Maintain and improve) nonconformity identified through performance evaluation.
0.5 Contents of this document

It is not the intent of this document to imply uniformity in the structure of a BCMS but for an

organization to design a BCMS that is appropriate to its needs and that meets the requirements of its

interested parties, particularly customers and employees. These needs are shaped by legal, regulatory,

organizational and industry requirements, the products and services, the processes employed, the

© ISO 2020 – All rights
...

NORME ISO
INTERNATIONALE 22313
Deuxième édition
2020-02
Sécurité et résilience — Systèmes
de management de la continuité
d'activité — Lignes directrices sur
l'utilisation de l'ISO 22301
Security and resilience — Business continuity management systems
— Guidance on the use of ISO 22301
Numéro de référence
ISO 22313:2020(F)
ISO 2020
---------------------- Page: 1 ----------------------
ISO 22313:2020(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020

Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette

publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,

y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut

être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.

ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 22313:2020(F)
Sommaire Page

Avant-propos ................................................................................................................................................................................................................................v

Introduction ................................................................................................................................................................................................................................vi

1 Domaine d’application ................................................................................................................................................................................... 1

2 Références normatives ................................................................................................................................................................................... 1

3 Termes et définitions ....................................................................................................................................................................................... 1

4 Contexte de l’organisme ................................................................................................................................................................................ 2

4.1 Compréhension de l’organisme et de son contexte ................................................................................................. 2

4.2 Comprendre les besoins et attentes des parties intéressées .......................................................................... 3

4.2.1 Généralités ............................................................................................................................................................................ 3

4.2.2 Exigences réglementaires et juridiques ....................................................................................................... 3

4.3 Détermination du domaine d’application du système de management de la

continuité d’activité ............................................................................................................................................................................ 4

4.3.1 Généralités ............................................................................................................................................................................ 4

4.3.2 Domaine d’application du système de management de la continuité d’activité ....... 4

4.3.3 Exclusions du domaine d’application ............................................................................................................ 5

4.4 Système de management de la continuité d’activité .............................................................................................. 5

5 Leadership .................................................................................................................................................................................................................. 6

5.1 Leadership et engagement............................................................................................................................................................ 6

5.1.1 Généralités ............................................................................................................................................................................ 6

5.1.2 Direction générale .......................................................................................................................................................... 6

5.1.3 Autres rôles de management ................................................................................................................................ 6

5.2 Politique ........................................................................................................................................................................................................ 7

5.2.1 Établissement de la politique de continuité d’activité .................................................................... 7

5.2.2 Communication de la politique de continuité d’activité ................................................................ 7

5.3 Rôles, responsabilités et autorités ......................................................................................................................................... 8

6 Planification ...........................................................................................................................................................................................................10

6.1 Actions face aux risques et opportunités ......................................................................................................................10

6.1.1 Détermination des risques et opportunités ..........................................................................................10

6.1.2 Gestion des risques et opportunités ............................................................................................................10

6.2 Objectifs de continuité d’activité et planification pour les atteindre ....................................................10

6.2.1 Établissement des objectifs de continuité d’activité ......................................................................10

6.2.2 Détermination des objectifs de continuité d’activité .....................................................................11

6.3 Planification des modifications au système de management de la continuité d’activité .....11

7 Support ........................................................................................................................................................................................................................12

7.1 Ressources ...............................................................................................................................................................................................12

7.1.1 Généralités .........................................................................................................................................................................12

7.1.2 Ressources du SMCA..................................................................................................................................................12

7.2 Compétences ..........................................................................................................................................................................................12

7.3 Sensibilisation (prise de conscience) ...............................................................................................................................14

7.4 Communication ...................................................................................................................................................................................15

7.5 Informations documentées .......................................................................................................................................................16

7.5.1 Généralités .........................................................................................................................................................................16

7.5.2 Création et mise à jour .............................................................................................................................................17

7.5.3 Maîtrise des informations documentées ..................................................................................................17

8 Fonctionnement .................................................................................................................................................................................................18

8.1 Planification et maîtrise opérationnelles ......................................................................................................................18

8.1.1 Généralités .........................................................................................................................................................................18

8.1.2 Management de la continuité d’activité ....................................................................................................19

8.1.3 Maintien de la continuité d’activité ..............................................................................................................20

8.2 Bilan d’impact sur l’activité et appréciation du risque......................................................................................21

8.2.1 Généralités .........................................................................................................................................................................21

© ISO 2020 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 22313:2020(F)

8.2.2 Bilan d’impact sur l’activité .................................................................................................................................21

8.2.3 Appréciation du risque ............................................................................................................................................25

8.3 Stratégies et solutions de continuité d’activité ........................................................................................................26

8.3.1 Généralités .........................................................................................................................................................................26

8.3.2 Identification des stratégies et solutions .................................................................................................26

8.3.3 Sélection des stratégies et solutions ............................................................................................................29

8.3.4 Exigences de ressources .........................................................................................................................................29

8.3.5 Mise en œuvre des solutions ..............................................................................................................................36

8.4 Plans et procédures de continuité d’activité ..............................................................................................................37

8.4.1 Généralités .........................................................................................................................................................................37

8.4.2 Structure de réponse .................................................................................................................................................37

8.4.3 Avertissement et communication ..................................................................................................................38

8.4.4 Plans de continuité d’activité .............................................................................................................................40

8.4.5 Rétablissement ...............................................................................................................................................................46

8.5 Programme d’exercices.................................................................................................................................................................47

8.5.1 Généralités .........................................................................................................................................................................47

8.5.2 Conception du programme d’exercices .....................................................................................................47

8.5.3 Exercices sur les plans de continuité d’activité ..................................................................................48

8.6 Évaluation de la documentation et des capacités de continuité d’activité .......................................51

8.6.1 Généralités .........................................................................................................................................................................51

8.6.2 Mesurage de l’efficacité ...........................................................................................................................................52

8.6.3 Résultats ...............................................................................................................................................................................52

9 Évaluation de la performance ..............................................................................................................................................................53

9.1 Surveillance, mesurage, analyse et évaluation .........................................................................................................53

9.1.1 Généralités .........................................................................................................................................................................53

9.1.2 Conservation des preuves .....................................................................................................................................53

9.1.3 Évaluation de la performance ............................................................................................................................53

9.2 Audit interne ..........................................................................................................................................................................................54

9.2.1 Généralités .........................................................................................................................................................................54

9.2.2 Programme(s) d’audit ..............................................................................................................................................54

9.3 Revue de direction ............................................................................................................................................................................54

9.3.1 Généralités .........................................................................................................................................................................54

9.3.2 Éléments d’entrée de la revue de direction ...........................................................................................54

9.3.3 Éléments de sortie de la revue de direction .........................................................................................55

10 Amélioration ..........................................................................................................................................................................................................56

10.1 Non-conformité et actions correctives ............................................................................................................................56

10.1.1 Généralités .........................................................................................................................................................................56

10.1.2 Apparition de non-conformités........................................................................................................................56

10.1.3 Conservation des informations documentées .....................................................................................56

10.2 Amélioration continue ...................................................................................................................................................................57

Bibliographie ...........................................................................................................................................................................................................................58

iv © ISO 2020 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 22313:2020(F)
Avant-propos

L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes

nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est

en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude

a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,

gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.

L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui

concerne la normalisation électrotechnique.

Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont

décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents

critères d'approbation requis pour les différents types de documents ISO. Le présent document a été

rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www

.iso .org/ directives).

L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de

droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable

de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant

les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de

l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de

brevets reçues par l'ISO (voir www .iso .org/ brevets).

Les appellations commerciales éventuellement mentionnées dans le présent document sont données

pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un

engagement.

Pour une explication de la nature volontaire des normes, la signification des termes et expressions

spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion

de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles

techniques au commerce (OTC), voir www .iso .org/ avant -propos.

Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.

Cette deuxième édition annule et remplace la première édition (ISO 22313:2012) qui a fait l’objet d’une

révision technique. Les principales modifications par rapport à l’édition précédente sont les suivantes:

— modification de la structure et du contenu pour aligner le présent document sur la dernière édition

de l’ISO 22301;

— ajout de lignes directrices supplémentaires expliquant les concepts et termes clés;

— suppression du contenu de 8.4, qui figurera dans l’ISO/TS 22332 (en cours d’élaboration).

Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent

document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes

se trouve à l’adresse www .iso .org/ fr/ members .html.
© ISO 2020 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO 22313:2020(F)
Introduction
0.1 Généralités

Le présent document fournit des lignes directrices, lorsque c’est opportun, applicables aux exigences

spécifiées dans l’ISO 22301. Il n’est pas prévu que le présent document fournisse des lignes directrices

sur tous les aspects de la continuité d’activité.

Le présent document comprend les mêmes rubriques que l’ISO 22301 sans toutefois répéter les

exigences ou les termes et définitions qui s’y rapportent.

Ces lignes directrices ont pour vocation d’expliquer et de clarifier la signification et le but des exigences

de l’ISO 22301 et d’aider à la résolution de tout problème lié à leur interprétation. D’autres Normes

internationales et Spécifications techniques apportant des lignes directrices supplémentaires, et

citées dans le présent document, sont l’ISO/TS 22317, l’ISO/TS 22318, l’ISO 22322, l’ISO/TS 22330,

l’ISO/TS 22331 et l’ISO 22398. Le domaine d’application de ces documents peut s’étendre au-delà des

exigences de l’ISO 22301. Il convient donc que les organismes fassent systématiquement référence à

l’ISO 22301 afin de vérifier quelles exigences sont à satisfaire.

Le présent document comprend plusieurs figures permettant de donner des éclaircissements et des

explications sur certains points clés. Ces figures ne sont fournies qu’à titre d’exemple, et c’est le texte

associé faisant partie du corps du texte du présent document qui a la priorité.

Un système de management de la continuité d’activité (SMCA) insiste sur l’importance:

— d’établir une politique et des objectifs de de continuité d’activité qui correspondent aux objectifs de

l'organisation;

— du fonctionnement et de la maintenance des processus, capacités et structures de réponse afin

d’assurer que l’organisme survivra aux perturbations;
— de surveiller et passer en revue la performance et l’efficacité du SMCA;

— d’une amélioration continue sur la base de mesures qualitatives et quantitatives.

À l’instar de tout autre système de management, un SMCA comprend les composantes suivantes:

a) une politique;
b) des personnes compétentes ayant des responsabilités définies;
c) des processus de management concernant:
1) la politique;
2) la planification;
3) la mise en œuvre et le fonctionnement;
4) l’appréciation de la performance;
5) la revue de direction;
6) l’amélioration continue;

d) des informations documentées venant en support de la maîtrise opérationnelle et permettant de

réaliser l’évaluation de la performance.

En général, la continuité d’activité est spécifique à un organisme. Néanmoins, sa mise en œuvre peut

avoir des implications pouvant s’étendre à une plus large communauté et à d’autres tiers. Un organisme

est susceptible d’avoir des organismes externes dont il dépend et d’autres qui dépendent de lui. Par

conséquent, une continuité d’activité efficace contribue à une société plus résiliente.

vi © ISO 2020 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO 22313:2020(F)
0.2 Bénéfices d’un système de management de la continuité d’activité

Un SMCA améliore le niveau de préparation d’un organisme pour lui permettre de continuer à

fonctionner pendant des perturbations. Il permet également une meilleure compréhension des relations

internes et externes de l’organisme, une meilleure communication avec les parties intéressées, et la

création d’un environnement d’amélioration continue. Il y a un grand nombre d’avantages potentiels

supplémentaires à mettre en œuvre un SMCA conformément aux recommandations données dans le

présent document et en conformité avec les exigences de l’ISO 22301.

— Le respect des recommandations de l’Article 4 («Contexte de l’organisme») appelle l’organisme:

— à réviser ses objectifs stratégiques afin de s’assurer que le SMCA les supporte;

— à reconsidérer les besoins, les attentes et les exigences des parties intéressées;

— à avoir conscience des obligations réglementaires et juridiques, ainsi que des autres obligations

applicables.
— L’Article 5 («Leadership») appelle l’organisme:
— à reconsidérer les rôles et responsabilités du management;
— à promouvoir une culture d’amélioration continue;

— à répartir les responsabilités concernant la surveillance des performances et les rapports.

— L’Article 6 («Planification») appelle l’organisme:

— à réexaminer ses risques et opportunités, et à identifier les actions à mener pour y faire face et

en tirer parti;
— à établir une gestion efficace des changements.
— L’Article 7 («Support») appelle l’organisme:

— à établir une gestion efficace des ressources du SMCA, y compris la gestion des compétences;

— à renforcer la sensibilisation (prise de conscience) des employés vis-à-vis de questions

considérées comme importantes pour le management;

— à disposer de mécanismes efficaces pour les communications internes et externes;

— à gérer efficacement sa documentation.
— L’Article 8 («Fonctionnement») appelle l’organisme à considérer:
— les conséquences imprévues du changement;
— les priorités et exigences de continuité d’activité;
— les dépendances;
— les vulnérabilités du point de vue de leur impact;

— les risques de perturbations et à identifier la meilleure manière d’y faire face;

— les solutions alternatives pour poursuivre l’activité avec des ressources limitées;

— les structures et procédures efficaces pour faire face aux perturbations;
© ISO 2020 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
ISO 22313:2020(F)
— ses responsabilités envers la communauté et les autres parties intéressées.
— L’Article 9 («Évaluation de la performance») appelle l’organisme:

— à disposer de mécanismes efficaces de surveillance, de mesurage et d’évaluation de la

performance;

— à impliquer le management pour surveiller la performance et contribuer à l’efficacité du SMCA.

— L’Article 10 («Amélioration») appelle l’organisme:

— à disposer de procédures de surveillance de la performance et d’amélioration de l’efficacité;

— à tirer parti de l’amélioration continue de ses systèmes de management.
En conséquence, la mise en œuvre du SMCA peut:
a) protéger la vie, les biens et l’environnement;
b) protéger et accroître la réputation et la crédibilité de l’organisme;

c) contribuer à l’avantage compétitif de l’organisme en lui permettant de fonctionner durant les

perturbations;

d) réduire les coûts dus aux perturbations et améliorer la capacité de l’organisme à rester efficace

durant ces perturbations;
e) contribuer à la résilience organisationnelle globale de l’organisme;
f) renforcer la confiance des parties intéressées en la réussite de l’organisme;
g) réduire l’exposition juridique et financière de l’organisme;

h) démontrer la capacité de l’organisme à gérer les risques et à faire face aux vulnérabilités

opérationnelles.
0.3 Cycle «Planifier-Exécuter-Vérifier-Réagir» (Plan-Do-Check-Act, PDCA)

Le présent document applique le cycle «Planifier-Exécuter-Vérifier-Réagir» (PDCA) à la planification,

l’établissement, la mise en œuvre, le fonctionnement, la surveillance, la revue, la maintenance et

l’amélioration continue de l’efficacité du SMCA d’un organisme. Le cycle PDCA est expliqué dans le

Tableau 1.
Tableau 1 — Explication du cycle PDCA

Planifier Établir une politique de continuité d’activité, des objectifs, des moyens de maîtrise,

(Établir) des processus et des procédures pertinents pour améliorer la continuité d’activité

afin de fournir des résultats en ligne avec les politiques et objectifs généraux de

l’organisme.

Exécuter Mettre en œuvre et faire fonctionner la politique de continuité d’activité, les

(Mettre en œuvre et faire moyens de maîtrise, les processus et les procédures.
fonctionner)

Vérifier Surveiller et passer en revue la performance par rapport à la politique et aux

(Surveiller et passer en objectifs de continuité d’activité, rendre compte des résultats au management

revue) pour la revue de direction, déterminer et autoriser des actions de correction et

d’amélioration.

Réagir Maintenir et améliorer le SMCA en prenant des actions correctives, basées sur

(Maintenir et améliorer) les résultats de la revue de direction et en réévaluant le domaine d’application du

SMCA, la politique et les objectifs de continuité d’activité.
viii © ISO 2020 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO 22313:2020(F)

La Figure 1 montre comment le SMCA prend les exigences des parties intéressées comme éléments

d’entrée pour le management de la continuité d’activité et, par l’intermédiaire des actions et des

processus requis, produit des résultats en matière de continuité d’activité (c’est-à-dire une continuité

d’activité managée) qui satisfont à ces exigences.
Figure 1 — Cycle PDCA appliqué aux processus SMCA
0.4 Composantes du cycle PDCA dans le présent document

Le Tableau 2 montre la relation directe entre le contenu de la Figure 1 et les articles du présent

document.
Tableau 2 — Relation entre le cycle PDCA et les Articles 4 à 10
Composante PDCA Article concernant la composante PDCA

Planifier L’Article 4 («Contexte de l’organisme») définit ce qu’il convient que l’organisme

(Établir) fasse afin d’assurer que le SMCA satisfait aux exigences, en tenant compte de tous

les facteurs externes et internes pertinents, notamment:
— les besoins et
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.