ISO 22313:2020
(Main)Security and resilience — Business continuity management systems — Guidance on the use of ISO 22301
Security and resilience — Business continuity management systems — Guidance on the use of ISO 22301
This document gives guidance and recommendations for applying the requirements of the business continuity management system (BCMS) given in ISO 22301. The guidance and recommendations are based on good international practice. This document is applicable to organizations that: a) implement, maintain and improve a BCMS; b) seek to ensure conformity with stated business continuity policy; c) need to be able to continue to deliver products and services at an acceptable predefined capacity during a disruption; d) seek to enhance their resilience through the effective application of the BCMS. The guidance and recommendations are applicable to all sizes and types of organizations, including large, medium and small organizations operating in industrial, commercial, public and not-for-profit sectors. The approach adopted depends on the organization's operating environment and complexity.
Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices sur l'utilisation de l'ISO 22301
Le présent document donne des lignes directrices et recommandations relatives à l'application des exigences pour le système de management de la continuité d'activité (SMCA) de l'ISO 22301. Ces lignes directrices et recommandations sont basées sur la bonne pratique internationale. Le présent document s'applique aux organismes qui: a) mettent en œuvre, maintiennent et améliorent un SMCA; b) cherchent à assurer la conformité à la politique de continuité d'activité déclarée; c) ont besoin d'être aptes à poursuivre la livraison de produits et la fourniture de services à un niveau de capacité acceptable et préalablement défini durant une perturbation; d) cherchent à améliorer leur résilience à travers l'application efficace du SMCA. Les lignes directrices et recommandations s'appliquent à toute taille et tout type d'organismes, qu'ils soient grands, moyens ou petits et qu'ils fonctionnent dans les secteurs industriels, commerciaux, publics ou à but non lucratif. L'approche adoptée dépend de l'environnement et de la complexité de fonctionnement de l'organisme.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 22313
Second edition
2020-02
Security and resilience — Business
continuity management systems —
Guidance on the use of ISO 22301
Sécurité et résilience — Systèmes de management de la continuité
d'activité — Lignes directrices sur l'utilisation de l'ISO 22301
Reference number
©
ISO 2020
© ISO 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization . 2
4.1 Understanding the organization and its context . 2
4.2 Understanding the needs and expectations of interested parties . 3
4.2.1 General. 3
4.2.2 Legal and regulatory requirements . 3
4.3 Determining the scope of the business continuity management system . 4
4.3.1 General. 4
4.3.2 Scope of the business continuity management system . 4
4.3.3 Exclusions to scope . 4
4.4 Business continuity management system . 5
5 Leadership . 5
5.1 Leadership and commitment . 5
5.1.1 General. 5
5.1.2 Top management . 5
5.1.3 Other managerial roles . 6
5.2 Policy . 6
5.2.1 Establishing the business continuity policy . 6
5.2.2 Communicating the business continuity policy . 7
5.3 Roles, responsibilities and authorities . 7
6 Planning . 9
6.1 Actions to address risks and opportunities . 9
6.1.1 Determining risks and opportunities . 9
6.1.2 Addressing risks and opportunities . 9
6.2 Business continuity objectives and planning to achieve them .10
6.2.1 Establishing business continuity objectives .10
6.2.2 Determining business continuity objectives.10
6.3 Planning changes to the business continuity management system .10
7 Support .11
7.1 Resources .11
7.1.1 General.11
7.1.2 BCMS resources .11
7.2 Competence .11
7.3 Awareness .13
7.4 Communication .14
7.5 Documented information .15
7.5.1 General.15
7.5.2 Creating and updating .16
7.5.3 Control of documented information .16
8 Operation .17
8.1 Operational planning and control .17
8.1.1 General.17
8.1.2 Business continuity management .18
8.1.3 Maintaining business continuity .19
8.2 Business impact analysis and risk assessment .20
8.2.1 General.20
8.2.2 Business impact analysis .20
8.2.3 Risk assessment . .23
8.3 Business continuity strategies and solutions .25
8.3.1 General.25
8.3.2 Identification of strategies and solutions .25
8.3.3 Selection of strategies and solutions .28
8.3.4 Resource requirements .28
8.3.5 Implementation of solutions .34
8.4 Business continuity plans and procedures .35
8.4.1 General.35
8.4.2 Response structure .35
8.4.3 Warning and communication .36
8.4.4 Business continuity plans .38
8.4.5 Recovery .43
8.5 Exercise programme .44
8.5.1 General.44
8.5.2 Design of the exercise programme .44
8.5.3 Exercising business continuity plans .45
8.6 Evaluation of business continuity documentation and capabilities .48
8.6.1 General.48
8.6.2 Measuring effectiveness .49
8.6.3 Outcomes .49
9 Performance evaluation .50
9.1 Monitoring, measurement, analysis and evaluation .50
9.1.1 General.50
9.1.2 Retention of evidence .50
9.1.3 Performance evaluation.
...
INTERNATIONAL ISO
STANDARD 22313
Second edition
2020-02
Security and resilience — Business
continuity management systems —
Guidance on the use of ISO 22301
Sécurité et résilience — Systèmes de management de la continuité
d'activité — Lignes directrices sur l'utilisation de l'ISO 22301
Reference number
©
ISO 2020
© ISO 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization . 2
4.1 Understanding the organization and its context . 2
4.2 Understanding the needs and expectations of interested parties . 3
4.2.1 General. 3
4.2.2 Legal and regulatory requirements . 3
4.3 Determining the scope of the business continuity management system . 4
4.3.1 General. 4
4.3.2 Scope of the business continuity management system . 4
4.3.3 Exclusions to scope . 4
4.4 Business continuity management system . 5
5 Leadership . 5
5.1 Leadership and commitment . 5
5.1.1 General. 5
5.1.2 Top management . 5
5.1.3 Other managerial roles . 6
5.2 Policy . 6
5.2.1 Establishing the business continuity policy . 6
5.2.2 Communicating the business continuity policy . 7
5.3 Roles, responsibilities and authorities . 7
6 Planning . 9
6.1 Actions to address risks and opportunities . 9
6.1.1 Determining risks and opportunities . 9
6.1.2 Addressing risks and opportunities . 9
6.2 Business continuity objectives and planning to achieve them .10
6.2.1 Establishing business continuity objectives .10
6.2.2 Determining business continuity objectives.10
6.3 Planning changes to the business continuity management system .10
7 Support .11
7.1 Resources .11
7.1.1 General.11
7.1.2 BCMS resources .11
7.2 Competence .11
7.3 Awareness .13
7.4 Communication .14
7.5 Documented information .15
7.5.1 General.15
7.5.2 Creating and updating .16
7.5.3 Control of documented information .16
8 Operation .17
8.1 Operational planning and control .17
8.1.1 General.17
8.1.2 Business continuity management .18
8.1.3 Maintaining business continuity .19
8.2 Business impact analysis and risk assessment .20
8.2.1 General.20
8.2.2 Business impact analysis .20
8.2.3 Risk assessment . .23
8.3 Business continuity strategies and solutions .25
8.3.1 General.25
8.3.2 Identification of strategies and solutions .25
8.3.3 Selection of strategies and solutions .28
8.3.4 Resource requirements .28
8.3.5 Implementation of solutions .34
8.4 Business continuity plans and procedures .35
8.4.1 General.35
8.4.2 Response structure .35
8.4.3 Warning and communication .36
8.4.4 Business continuity plans .38
8.4.5 Recovery .43
8.5 Exercise programme .44
8.5.1 General.44
8.5.2 Design of the exercise programme .44
8.5.3 Exercising business continuity plans .45
8.6 Evaluation of business continuity documentation and capabilities .48
8.6.1 General.48
8.6.2 Measuring effectiveness .49
8.6.3 Outcomes .49
9 Performance evaluation .50
9.1 Monitoring, measurement, analysis and evaluation .50
9.1.1 General.50
9.1.2 Retention of evidence .50
9.1.3 Performance evaluation.
...
NORME ISO
INTERNATIONALE 22313
Deuxième édition
2020-02
Sécurité et résilience — Systèmes
de management de la continuité
d'activité — Lignes directrices sur
l'utilisation de l'ISO 22301
Security and resilience — Business continuity management systems
— Guidance on the use of ISO 22301
Numéro de référence
©
ISO 2020
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Contexte de l’organisme . 2
4.1 Compréhension de l’organisme et de son contexte . 2
4.2 Comprendre les besoins et attentes des parties intéressées . 3
4.2.1 Généralités . 3
4.2.2 Exigences réglementaires et juridiques . 3
4.3 Détermination du domaine d’application du système de management de la
continuité d’activité . 4
4.3.1 Généralités . 4
4.3.2 Domaine d’application du système de management de la continuité d’activité . 4
4.3.3 Exclusions du domaine d’application . 5
4.4 Système de management de la continuité d’activité . 5
5 Leadership . 6
5.1 Leadership et engagement. 6
5.1.1 Généralités . 6
5.1.2 Direction générale . 6
5.1.3 Autres rôles de management . 6
5.2 Politique . 7
5.2.1 Établissement de la politique de continuité d’activité . 7
5.2.2 Communication de la politique de continuité d’activité . 7
5.3 Rôles, responsabilités et autorités . 8
6 Planification .10
6.1 Actions face aux risques et opportunités .10
6.1.1 Détermination des risques et opportunités .10
6.1.2 Gestion des risques et opportunités .10
6.2 Objectifs de continuité d’activité et planification pour les atteindre .10
6.2.1 Établissement des objectifs de continuité d’activité .10
6.2.2 Détermination des objectifs de continuité d’activité .11
6.3 Planification des modifications au système de management de la continuité d’activité .11
7 Support .12
7.1 Ressources .12
7.1.1 Généralités .12
7.1.2 Ressources du SMCA.12
7.2 Compétences .12
7.3 Sensibilisation (prise de conscience) .14
7.4 Communication .15
7.5 Informations documentées .16
7.5.1 Généralités .16
7.5.2 Création et mise à jour .17
7.5.3 Maîtrise des informations documentées .17
8 Fonctionnement .18
8.1 Planification et maîtrise opérationnelles .18
8.1.1 Généralités .18
8.1.2 Management de la continuité d’activité .19
8.1.3 Maintien de la continuité d’activité .20
8.2 Bilan d’impact sur l’activité et appréciation du risque.21
8.2.1 Généralités .21
8.2.2 Bilan d’impact sur l’activité .21
8.2.3 Appréciation du risque .25
8.3 Stratégies et solutions de continuité d’activité .26
8.3.1 Généralités .26
8.3.2 Identification des stratégies et solutions .26
8.3.3 Sélection des stratégies et solutions .29
8.3.4 Exigences de ressources .29
8.3.5 Mise en œuvre des solutions .36
8.4 Plans et procédures de continuité d’activité .37
8.4.1 Généralités .37
8.4.2 Structure de réponse .37
8.4.3 Avertissement et communication .38
8.4.4 Plans de continuité d’activité .40
8.4.5 Rétablissement .46
8.5 Programme d’exercices.47
8.5.1 Généralités .47
8.5.2 Conception du programme d’exercices .47
8.5.3 Exercices sur les plans de continuité d’activité .48
8.6 Évaluation de la documentation et des capacités de continuité d’activité .51
8.6.1 Généralités .51
8.6.2 Mesurage de l’efficacité .52
8.6.3 Résultats .52
9 Évaluation de la performance .53
9.1 Surveillance, mesurage, analyse et évaluation .53
9.1.1 Généralités .53
9.1.2 Conservation des preuves .53
9.1.3 Évaluation de la performance .53
9.2 Audit interne .
...
NORME ISO
INTERNATIONALE 22313
Deuxième édition
2020-02
Sécurité et résilience — Systèmes
de management de la continuité
d'activité — Lignes directrices sur
l'utilisation de l'ISO 22301
Security and resilience — Business continuity management systems
— Guidance on the use of ISO 22301
Numéro de référence
©
ISO 2020
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Contexte de l’organisme . 2
4.1 Compréhension de l’organisme et de son contexte . 2
4.2 Comprendre les besoins et attentes des parties intéressées . 3
4.2.1 Généralités . 3
4.2.2 Exigences réglementaires et juridiques . 3
4.3 Détermination du domaine d’application du système de management de la
continuité d’activité . 4
4.3.1 Généralités . 4
4.3.2 Domaine d’application du système de management de la continuité d’activité . 4
4.3.3 Exclusions du domaine d’application . 5
4.4 Système de management de la continuité d’activité . 5
5 Leadership . 6
5.1 Leadership et engagement. 6
5.1.1 Généralités . 6
5.1.2 Direction générale . 6
5.1.3 Autres rôles de management . 6
5.2 Politique . 7
5.2.1 Établissement de la politique de continuité d’activité . 7
5.2.2 Communication de la politique de continuité d’activité . 7
5.3 Rôles, responsabilités et autorités . 8
6 Planification .10
6.1 Actions face aux risques et opportunités .10
6.1.1 Détermination des risques et opportunités .10
6.1.2 Gestion des risques et opportunités .10
6.2 Objectifs de continuité d’activité et planification pour les atteindre .10
6.2.1 Établissement des objectifs de continuité d’activité .10
6.2.2 Détermination des objectifs de continuité d’activité .11
6.3 Planification des modifications au système de management de la continuité d’activité .11
7 Support .12
7.1 Ressources .12
7.1.1 Généralités .12
7.1.2 Ressources du SMCA.12
7.2 Compétences .12
7.3 Sensibilisation (prise de conscience) .14
7.4 Communication .15
7.5 Informations documentées .16
7.5.1 Généralités .16
7.5.2 Création et mise à jour .17
7.5.3 Maîtrise des informations documentées .17
8 Fonctionnement .18
8.1 Planification et maîtrise opérationnelles .18
8.1.1 Généralités .18
8.1.2 Management de la continuité d’activité .19
8.1.3 Maintien de la continuité d’activité .20
8.2 Bilan d’impact sur l’activité et appréciation du risque.21
8.2.1 Généralités .21
8.2.2 Bilan d’impact sur l’activité .21
8.2.3 Appréciation du risque .25
8.3 Stratégies et solutions de continuité d’activité .26
8.3.1 Généralités .26
8.3.2 Identification des stratégies et solutions .26
8.3.3 Sélection des stratégies et solutions .29
8.3.4 Exigences de ressources .29
8.3.5 Mise en œuvre des solutions .36
8.4 Plans et procédures de continuité d’activité .37
8.4.1 Généralités .37
8.4.2 Structure de réponse .37
8.4.3 Avertissement et communication .38
8.4.4 Plans de continuité d’activité .40
8.4.5 Rétablissement .46
8.5 Programme d’exercices.47
8.5.1 Généralités .47
8.5.2 Conception du programme d’exercices .47
8.5.3 Exercices sur les plans de continuité d’activité .48
8.6 Évaluation de la documentation et des capacités de continuité d’activité .51
8.6.1 Généralités .51
8.6.2 Mesurage de l’efficacité .52
8.6.3 Résultats .52
9 Évaluation de la performance .53
9.1 Surveillance, mesurage, analyse et évaluation .53
9.1.1 Généralités .53
9.1.2 Conservation des preuves .53
9.1.3 Évaluation de la performance .53
9.2 Audit interne .
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.