EURUSD
Your shopping cart is empty.
ISO

ISO 22313:2020

(Main)

Security and resilience — Business continuity management systems — Guidance on the use of ISO 22301

Security and resilience — Business continuity management systems — Guidance on the use of ISO 22301

This document gives guidance and recommendations for applying the requirements of the business continuity management system (BCMS) given in ISO 22301. The guidance and recommendations are based on good international practice. This document is applicable to organizations that: a) implement, maintain and improve a BCMS; b) seek to ensure conformity with stated business continuity policy; c) need to be able to continue to deliver products and services at an acceptable predefined capacity during a disruption; d) seek to enhance their resilience through the effective application of the BCMS. The guidance and recommendations are applicable to all sizes and types of organizations, including large, medium and small organizations operating in industrial, commercial, public and not-for-profit sectors. The approach adopted depends on the organization's operating environment and complexity.

Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices sur l'utilisation de l'ISO 22301

Le présent document donne des lignes directrices et recommandations relatives à l'application des exigences pour le système de management de la continuité d'activité (SMCA) de l'ISO 22301. Ces lignes directrices et recommandations sont basées sur la bonne pratique internationale. Le présent document s'applique aux organismes qui: a) mettent en œuvre, maintiennent et améliorent un SMCA; b) cherchent à assurer la conformité à la politique de continuité d'activité déclarée; c) ont besoin d'être aptes à poursuivre la livraison de produits et la fourniture de services à un niveau de capacité acceptable et préalablement défini durant une perturbation; d) cherchent à améliorer leur résilience à travers l'application efficace du SMCA. Les lignes directrices et recommandations s'appliquent à toute taille et tout type d'organismes, qu'ils soient grands, moyens ou petits et qu'ils fonctionnent dans les secteurs industriels, commerciaux, publics ou à but non lucratif. L'approche adoptée dépend de l'environnement et de la complexité de fonctionnement de l'organisme.

General Information

Status
Published
Publication Date
19-Feb-2020
ICS
03.100.01 - Company organization and management in general
03.100.70 - Management systems
Technical Committee
ISO/TC 292 - Security and resilience
Drafting Committee
ISO/TC 292/WG 2 - Continuity and organizational resilience
Current Stage
9093 - International Standard confirmed
Start Date
06-Oct-2025
Completion Date
07-Dec-2025
Ref Project

Relations

Consolidates
ISO 8727:1997/Amd 1:2015 - Mechanical vibration and shock — Human exposure — Biodynamic coordinate systems — Amendment 1
Effective Date
06-Jun-2022
Consolidated By
ISO 5771:2024 - Rubber hoses and hose assemblies for transferring anhydrous ammonia — Specification
Effective Date
06-Jun-2022
Revises
ISO 22313:2012 - Societal security — Business continuity management systems — Guidance
Effective Date
15-Dec-2017
ISO 22313:2020 - Security and resilience — Business continuity management systems — Guidance on the use of ISO 22301 Released:2/20/2020ISO 22313:2020 - Security and resilience — Business continuity management systems — Guidance on the use of ISO 22301 Released:2/20/2020
PreviousNext
Standard
ISO 22313:2020 - Security and resilience — Business continuity management systems — Guidance on the use of ISO 22301 Released:2/20/2020
English language
55 pages
sale 15% off
Preview
sale 15% off
Preview
ISO 22313:2020 - Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices sur l'utilisation de l'ISO 22301 Released:2/20/2020ISO 22313:2020 - Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices sur l'utilisation de l'ISO 22301 Released:2/20/2020
PreviousNext
Standard
ISO 22313:2020 - Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices sur l'utilisation de l'ISO 22301 Released:2/20/2020
French language
58 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)


INTERNATIONAL ISO
STANDARD 22313
Second edition
2020-02
Security and resilience — Business
continuity management systems —
Guidance on the use of ISO 22301
Sécurité et résilience — Systèmes de management de la continuité
d'activité — Lignes directrices sur l'utilisation de l'ISO 22301
Reference number
©
ISO 2020
© ISO 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved

Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization . 2
4.1 Understanding the organization and its context . 2
4.2 Understanding the needs and expectations of interested parties . 3
4.2.1 General. 3
4.2.2 Legal and regulatory requirements . 3
4.3 Determining the scope of the business continuity management system . 4
4.3.1 General. 4
4.3.2 Scope of the business continuity management system . 4
4.3.3 Exclusions to scope . 4
4.4 Business continuity management system . 5
5 Leadership . 5
5.1 Leadership and commitment . 5
5.1.1 General. 5
5.1.2 Top management . 5
5.1.3 Other managerial roles . 6
5.2 Policy . 6
5.2.1 Establishing the business continuity policy . 6
5.2.2 Communicating the business continuity policy . 7
5.3 Roles, responsibilities and authorities . 7
6 Planning . 9
6.1 Actions to address risks and opportunities . 9
6.1.1 Determining risks and opportunities . 9
6.1.2 Addressing risks and opportunities . 9
6.2 Business continuity objectives and planning to achieve them .10
6.2.1 Establishing business continuity objectives .10
6.2.2 Determining business continuity objectives.10
6.3 Planning changes to the business continuity management system .10
7 Support .11
7.1 Resources .11
7.1.1 General.11
7.1.2 BCMS resources .11
7.2 Competence .11
7.3 Awareness .13
7.4 Communication .14
7.5 Documented information .15
7.5.1 General.15
7.5.2 Creating and updating .16
7.5.3 Control of documented information .16
8 Operation .17
8.1 Operational planning and control .17
8.1.1 General.17
8.1.2 Business continuity management .18
8.1.3 Maintaining business continuity .19
8.2 Business impact analysis and risk assessment .20
8.2.1 General.20
8.2.2 Business impact analysis .20
8.2.3 Risk assessment . .23
8.3 Business continuity strategies and solutions .25
8.3.1 General.25
8.3.2 Identification of strategies and solutions .25
8.3.3 Selection of strategies and solutions .28
8.3.4 Resource requirements .28
8.3.5 Implementation of solutions .34
8.4 Business continuity plans and procedures .35
8.4.1 General.35
8.4.2 Response structure .35
8.4.3 Warning and communication .36
8.4.4 Business continuity plans .38
8.4.5 Recovery .43
8.5 Exercise programme .44
8.5.1 General.44
8.5.2 Design of the exercise programme .44
8.5.3 Exercising business continuity plans .45
8.6 Evaluation of business continuity documentation and capabilities .48
8.6.1 General.48
8.6.2 Measuring effectiveness .49
8.6.3 Outcomes .49
9 Performance evaluation .50
9.1 Monitoring, measurement, analysis and evaluation .50
9.1.1 General.50
9.1.2 Retention of evidence .50
9.1.3 Performance evaluation.50
9.2 Internal audit .51
9.2.1 General.51
9.2.2 Audit programme(s) .51
9.3 Management review .51
9.3.1 General.51
9.3.2 Management review input .51
9.3.3 Management review outputs .52
10 Improvement .52
10.1 Nonconformity and corrective action .52
10.1.1 General.52
10.1.2 Occurrence of nonconformity .53
10.1.3 Retention of documented information .53
10.2 Continual improvement .53
Bibliography .55
iv © ISO 2020 – All rights reserved

Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso .org/
iso/ foreword .html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
This second edition cancels and replaces the first edition (ISO 22313:2012), which has been technically
revised. The main changes compared with the previous edition are as follows:
— structural and content alterations have been made to align this document with the latest edition of
ISO 22301;
— additional guidance has been added to explain key concepts and terms;
— content has been removed from 8.4 that will be included in ISO/TS 22332 (under development).
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
Introduction
0.1  General
This document provides guidance, where appropriate, on the requirements specified in ISO 22301. It
is not the intention of this document to provide general guidance on all aspects of business continuity.
This document includes the same clause headings as ISO 22301 but does not restate the requirements
and related terms and definitions.
The intention of the guidance is to explain and clarify the meaning and purpose of the requirements
of ISO 22301 and assist in the resolution of any issues of interpretation. Other International Standards
and Technical Specifications that provide additional guidance, and to which reference is made in this
document, are ISO/TS 22317, ISO/TS 22318, ISO 22322, ISO/TS 22330, ISO/TS 22331 and ISO 22398.
The scope of these documents can extend beyond the requirements of ISO 22301. Organizations should
therefore always refer to ISO 22301 to verify the requirements to be met.
To provide further clarification and explanation of key points, this document includes several figures.
The figures are for illustrative purposes only and the related text in the body of this document takes
precedence.
A business continuity management system (BCMS) emphasizes the importance of:
— establishing business continuity policy and objectives that align with the organization’s objectives;
— operating and maintaining processes, capabilities and response structures for ensuring the
organization will survive disruptions;
— monitoring and reviewing the performance and effectiveness of the BCMS;
— continual improvement based on qualitative and quantitative measurement.
A BCMS, like any other management system, includes the following components:
a) a policy;
b) competent people with defined responsibilities;
c) management processes relating to:
1) policy;
2) planning;
3) implementation and operation;
4) performance assessment;
5) management review;
6) continual improvement;
d) documented information supporting operational control and enabling performance evaluation.
Business continuity is generally specific to an organization. However, its implementation can have far
reaching implications on the wider community and other third parties. An organization is likely to
have external organizations that it depends upon and there will be others that depend on it. Effective
business continuity therefore contributes to a more resilient society.
vi © ISO 2020 – All rights reserved

0.2 Benefits of a business continuity management system
A BCMS increases the organization’s level of preparedness to continue to operate during disruptions. It
also results in improved understanding of the organization’s internal and external relationships, better
communication with interested parties and the creation of a continual improvement environment.
There are potentially many additional benefits to implementing a BCMS in accordance with the
recommendations contained in this document and in accordance with the requirements of ISO 22301.
— Following the recommendations in Clause 4 (“context of the organization”) involves the organization:
— reviewing its strategic objectives to ensure that the BCMS supports them;
— reconsidering the needs, expectations and requirements of interested parties;
— being aware of applicable legal, regulatory and other obligations.
— Clause 5 (“leadership”) involves the organization:
— reconsidering management roles and responsibilities;
— promoting a culture of continual improvement;
— allocating responsibility for performance monitoring and reporting.
— Clause 6 (“planning”) involves the organization:
— re-examining its risks and opportunities and identifying actions to address and take advantage
of them;
— establishing effective change management.
— Clause 7 (“support”) involves the organization:
— establishing effective management of its BCMS resources, including competence management;
— improving employee awareness of matters that are important to management;
— having effective mechanisms for internal and external communications;
— managing its documentation effectively.
— Clause 8 (“operation”) results in the organization considering:
— the unintended consequences of change;
— business continuity priorities and requirements;
— dependencies;
— vulnerabilities from an impact perspective;
— risks of disruption and identifying how best to address them;
— alternative solutions for running the business with limited resources;
— effective structures and procedures for dealing with disruptions;
— responsibilities to the community and other interested parties.
— Clause 9 (“performance evaluation”) involves the organization:
— having effective mechanisms for monitoring, measuring and evaluating performance;
— involving management in monitoring the performance and contributing to the effectiveness of
the BCMS.
— Clause 10 (“improvement”) involves the organization:
— having procedures for monitoring performance and improving effectiveness;
— benefitting from continual improvement of its management systems.
As a result, implementation of the BCMS can:
a) protect life, assets and the environment;
b) protect and enhance the organization’s reputation and credibility;
c) contribute to the organization’s competitive advantage by enabling it to operate during disruptions;
d) reduce costs arising from disruptions and improving the organization’s capability to remain
effective during them;
e) contribute to the organization’s overall organizational resilience;
f) assist in making interested parties more confident in the organization’s success;
g) reduce the organization’s legal and financial exposure;
h) demonstrate the organization’s ability to manage risk and address operational vulnerabilities.
0.3  Plan-Do-Check-Act (PDCA) cycle
This document applies the Plan-Do-Check-Act (PDCA) cycle to planning, establishing, implementing,
operating, monitoring, reviewing, maintaining and continually improving the effectiveness of an
organization’s BCMS. An explanation of the PDCA cycle is given in Table 1.
Figure 1 illustrates how the BCMS takes interested parties’ requirements as inputs for business
continuity management and, through the required actions and processes, produces business continuity
outcomes (i.e. managed business continuity) that meet those requirements.
Table 1 — Explanation of PDCA cycle
Plan Establish business continuity policy, objectives, controls, processes and procedures
(Establish) relevant to improving business continuity in order to deliver results that align with
the organization’s overall policies and objectives.
Do Implement and operate the business continuity policy, controls, processes and
(Implement and operate) procedures.
Check Monitor and review performance against business continuity policy and objectives,
(Monitor and review) report the results to management for review, and determine and authorize actions
for remediation and improvement.
Act Maintain and improve the BCMS by taking corrective actions, based on the results
(Maintain and improve) of management review and re-appraising the scope of the BCMS and business
continuity policy and objectives.

viii © ISO 2020 – All rights reserved

Figure 1 — PDCA cycle applied to BCMS processes
0.4  Components of PDCA in this document
Table 2 shows the direct relationship between the content of Figure 1 and the clauses of this document.
Table 2 — Relationship between the PDCA cycle and Clauses 4 to 10
PDCA component Clause addressing PDCA component
Plan Clause 4 (“context of the organization”) sets out what the organization should do in
(Establish) order to make sure that the BCMS meets its requirements, taking into account all
relevant external and internal factors, including:
— the needs and expectations of interested parties;
— its legal and regulatory obligations;
— the required scope of the BCMS.
Clause 5 (“leadership”) sets out the role of management in terms of demonstrating
commitment, defining policy and establishing roles, responsibilities and authorities.
Clause 6 (“planning”) describes the actions for establishing strategic objectives and
guiding principles for the implementation of the BCMS.
Clause 7 (“support”) identifies the BCMS elements that should be in place, namely:
resources, competence, awareness, communication and documented information.
Do Clause 8 (“operation”) identifies the processes for establishing and maintaining
(Implement and operate) business continuity.
Check Clause 9 (“performance evaluation”) provides the basis for improving the BCMS
(Monitor and review) through measurement and evaluating its performance.
Act Clause 10 (“improvement”) covers the corrective action for addressing
(Maintain and improve) nonconformity identified through performance evaluation.
0.5  Contents of this document
It is not the intent of this document to imply uniformity in the structure of a BCMS but for an
organization to design a BCMS that is appropriate to its needs and that meets the requirements of its
interested parties, particularly customers and employees. These needs are shaped by legal, regulatory,
organizational and industry requirements, the products and services, the processes employed, the
environment in which it operates, the size and structure of the organization and the requirements of its
interested parties.
This document is not intended to be used to assess an organization’s ability to meet its own business
continuity needs, or any customer, legal or regulatory needs. Organizations wishing to do so can use
the requirements in ISO 22301.
Clauses 1 to 3 in this document set out the scope, normative references and terms and definitions
that apply to the use of this document. Clauses 4 to 10 contain guidance on the requirements given in
ISO 22301.
In this document, the following verbal forms are used:
a) “should” indicates a recommendation;
b) “may” indicates a permission;
c) “can” indicates a possibility or a capability.
0.6  Business continuity
Business continuity is the capability of the organization to continue delivery of products or services at
acceptable predefined capacities following a disruption. Business continuity management is the process
of implementing and maintaining business continuity (see 8.1.2 and Figure 5) in order to prevent loss
and prepare for, mitigate and manage disruptions.
Establishing a BCMS enables the organization to control, evaluate and continually improve its business
continuity.
In this document, the word “business” is used as an all-embracing term for the operations and services
performed by an organization in pursuit of its objectives, goals or mission. As such, it is equally
applicable to large, medium and small organizations operating in industrial, commercial, public and
not-for-profit sectors.
Disruptions have the potential to interrupt the organization’s entire operations and its ability to
deliver products and services. However, implementing a BCMS before a disruption occurs, rather
than responding in an unplanned manner after the incident, will enable the organization to resume
operations before unacceptable levels of impact arise.
Business continuity management involves:
a) identifying the organization’s products and services and the activities that deliver them;
b) analysing the impacts of not resuming the activities and the resources they depend on;
c) understanding the risk of disruption;
d) determining priorities, time frames, capacities and strategies for resuming the delivery of products
and services;
e) having solutions and plans in place to resume the activities within the required time frames
following a disruption;
f) making sure that these arrangements are routinely reviewed and updated so that they will be
effective in all circumstances.
The organization’s approach to business continuity management and its documented information
should be appropriate to its context (e.g. operating environment, complexity, needs, resources).
Business continuity can be effective in dealing with both sudden disruptions (e.g. explosions) and
gradual ones (e.g. pandemics).
x © ISO 2020 – All rights reserved

Activities can be disrupted by a wide variety of incidents, many of which are difficult to predict or
analyse. By focusing on the impact of disruption rather than the cause, business continuity enables an
organization to identify activities that are essential to it being able to meet its obligations. Through
business continuity, an organization can recognize what is to be done to protect its resources (e.g.
people, premises, technology, information), supply chain, interested parties and reputation before a
disruption occurs. With that recognition, the organization can put in place a response structure, so that
it can be confident of managing the impacts of a disruption.
Figure 2 and Figure 3 illustrate conceptually how business continuity can be effective in mitigating
impacts in certain situations. No particular timescales are implied by the relative distance between the
stages depicted in either diagram.

Figure 2 — Illustration of business continuity being effective for sudden disruption
Figure 3 — Illustration of business continuity being effective for gradual disruption
(e.g. approaching pandemic)
xii © ISO 2020 – All rights reserved

INTERNATIONAL STANDARD ISO 22313:2020(E)
Security and resilience — Business continuity
management systems — Guidance on the use of ISO 22301
1 Scope
This document gives guidance and recommendations for applying the requirements of the business
continuity management system (BCMS) given in ISO 22301. The guidance and recommendations are
based on good international practice.
This document is applicable to organizations that:
a) implement, maintain and improve a BCMS;
b) seek to ensure conformity with stated business continuity policy;
c) need to be able to continue to deliver products and services at an acceptable predefined capacity
during a disruption;
d) seek to enhance their resilience through the effective application of the BCMS.
The guidance and recommendations are applicable to all sizes and types of organizations, including
large, medium and small organizations operating in industrial, commercial, public and not-for-profit
sectors. The approach adopted depends on the organization’s operating environment and complexity.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Security and resilience — Vocabulary
ISO 22301, Security and resilience — Business continuity management systems — Requirements
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300, ISO 22301 and the
following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at http:// www .electropedia .org/
3.1
business continuity management
process of implementing and maintaining business continuity
4 Context of the organization
4.1 Understanding the organization and its context
This clause provides recommendations for understanding the context of the organization in relation to
the BCMS. Recommendations for establishing and maintaining business continuity are addressed in 8.1.
The organization should evaluate and understand the external and internal issues (including positive
and negative factors or conditions for consideration) that are relevant to its overall objectives, its
products and services, and the amount and type of risk that it may or may not take. This information
should be taken into account when implementing and maintaining the organization’s BCMS and
assigning priorities.
The organization’s external context includes, where relevant, the following:
— the political, legal and regulatory environment, whether international, national, regional or local;
— social and cultural aspects;
— the financial, technological, economic, natural and competitive environment, whether international,
national, regional or local;
— supply chain commitments and relationships (see also ISO/TS 22318);
— drivers (e.g. risk, technology) and trends having impact on the objectives and operation of the
organization;
— relationships with, and perceptions and values of, interested parties outside the organization;
— communication channels, including social media, used for ascertaining and forming such
relationships.
The organization’s internal context includes, where relevant, the following:
— products and services, activities, resources, supply chains and relationships with interested parties;
— capabilities in terms of resources and knowledge (e.g. capital, time, people, processes, systems,
technologies);
— existing management systems;
— information and data (stored in physical or electronic form) and decision-making processes (formal
and otherwise);
— interested parties within the organization, including internal suppliers [consideration of service
level agreements (SLAs), assessed resiliency and recovery arrangements], see ISO/TS 22318;
— policies and objectives, and the business strategies that are in place to achieve them;
— future opportunities and business priorities;
— perceptions, values and culture;
— standards and reference models adopted by the organization;
— structures (e.g. governance, roles, accountabilities);
— internal communication channels used for the exchange of information within the workforce (e.g.
social media).
2 © ISO 2020 – All rights reserved

4.2 Understanding the needs and expectations of interested parties
4.2.1 General
The organization owes a duty of care to a wide range of people within and outside the organization (see
also ISO/TS 22330). When establishing its BCMS, the organization should ensure that the needs and
requirements of all interested parties are taken into consideration.
The organization should identify all interested parties that are of relevance to its BCMS (see Figure 4)
and, based on their needs and expectations, should determine their requirements. It is important to
identify not only obligatory and stated requirements, but also any that are implied.
When planning and implementing the BCMS, it is important to identify actions that are appropriate in
relation to interested parties but differentiate between them. For example, while it can be appropriate
to communicate with all interested parties following a disruption, it may not be appropriate to
communicate with all interested parties when implementing and maintaining business continuity
management (see 8.1.2).
Figure 4 — Examples of interested parties in public and private sectors
4.2.2 Legal and regulatory requirements
The application of this document pre-supposes an awareness of the applicable legal and regulatory
requirements.
Requirements can be implied, stated or obligatory. The information regarding these requirements
should be documented and kept up to date. New requirements or changes to existing requirements
should be communicated to affected employees and other interested parties.
The organization should show that it has access to current and pending legal and regulatory
requirements that are relevant to its operations and how these requirements are met. Requirements
can include:
a) incident response, including emergency management and other relevant legislation;
b) business continuity, which can dictate the scope of the programme or the extent or speed of
recovery;
c) risk, requirements defining the scope or methods of risk management;
d) hazards (e.g. operating requirements relating to dangerous materials stored at the location).
Organizations operating in multiple locations may need to satisfy requirements of different
jurisdictions.
4.3 Determining the scope of the business continuity management system
4.3.1 General
The purpose of determining the scope of the BCMS is to identify its boundaries and applicability to
ensure coverage of all relevant products and services, activities, locations, resources, suppliers and
other dependencies.
The scope should address the issues identified in 4.1, the requirements of interested parties determined
in 4.2, and the organization’s mission, goals and obligations.
The organization should prepare a statement that sets out the scope of the BCMS in a manner and in
terms appropriate to the size, nature and complexity of the organization. The statement should be
available to interested parties.
4.3.2 Scope of the business continuity management system
The organization should:
a) establish, by reference to products and services, the parts of the organization that are included
within or excluded from the scope of the BCMS, for example:
1) only including delivery of a specific product to a country or region;
2) excluding a product that is no longer viable or is of low value to the organization;
3) only including a sub-set of products and services;
b) identify the organization’s products and services in a manner that enables all related activities,
resources and supply chains to be identified.
The scope may:
— include an indication of the scale or magnitude of incident that the BCMS will address;
— identify how the BCMS fits into the organization’s business strategy and approach to risk
management.
4.3.3 Exclusions to scope
The scope determines the locations, products and services, activities and resources to which the BCMS
applies. It follows that all dependencies will be in scope even if they have not been explicitly identified
in the scope statement. For example, if a manufacturing company includes a product in its BCMS
scope, then the supply of raw materials, processing, delivery and any support functions (such as data
4 © ISO 2020 – All rights reserved

processing, purchasing and human resources) at any location that are involved directly or indirectly in
its delivery to the customer will be included.
Exclusions should not affect the organization’s ability to meet business continuity requirements as
determined by the business impact analysis (see 8.2.2). Activities, resources and supply chains that are
required to deliver in-scope products and services cannot be excluded.
Exclusions from the scope of the BCMS should be documented and the justification for them explained.
If the BCMS is being integrated into an existing management system, the organization should ensure
that all elements of the BCMS are included.
4.4 Business continuity management system
The purpose of this subclause is to emphasize the need for the organization to implement and maintain
processes that will enable the BCMS to meet the requirements of ISO 22301, including interactions
between the processes.
In determining the processes and their application throughout the organization, the organization should:
a) determine the inputs required and the outputs expected from these processes;
b) determine the sequence and interaction of these processes;
c) determine and apply the criteria and methods (including monitoring, measurements and related
performance indicators) needed to ensure the effective operation and control of these processes;
d) determine the resources needed for
...


NORME ISO
INTERNATIONALE 22313
Deuxième édition
2020-02
Sécurité et résilience — Systèmes
de management de la continuité
d'activité — Lignes directrices sur
l'utilisation de l'ISO 22301
Security and resilience — Business continuity management systems
— Guidance on the use of ISO 22301
Numéro de référence
©
ISO 2020
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés

Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Contexte de l’organisme . 2
4.1 Compréhension de l’organisme et de son contexte . 2
4.2 Comprendre les besoins et attentes des parties intéressées . 3
4.2.1 Généralités . 3
4.2.2 Exigences réglementaires et juridiques . 3
4.3 Détermination du domaine d’application du système de management de la
continuité d’activité . 4
4.3.1 Généralités . 4
4.3.2 Domaine d’application du système de management de la continuité d’activité . 4
4.3.3 Exclusions du domaine d’application . 5
4.4 Système de management de la continuité d’activité . 5
5 Leadership . 6
5.1 Leadership et engagement. 6
5.1.1 Généralités . 6
5.1.2 Direction générale . 6
5.1.3 Autres rôles de management . 6
5.2 Politique . 7
5.2.1 Établissement de la politique de continuité d’activité . 7
5.2.2 Communication de la politique de continuité d’activité . 7
5.3 Rôles, responsabilités et autorités . 8
6 Planification .10
6.1 Actions face aux risques et opportunités .10
6.1.1 Détermination des risques et opportunités .10
6.1.2 Gestion des risques et opportunités .10
6.2 Objectifs de continuité d’activité et planification pour les atteindre .10
6.2.1 Établissement des objectifs de continuité d’activité .10
6.2.2 Détermination des objectifs de continuité d’activité .11
6.3 Planification des modifications au système de management de la continuité d’activité .11
7 Support .12
7.1 Ressources .12
7.1.1 Généralités .12
7.1.2 Ressources du SMCA.12
7.2 Compétences .12
7.3 Sensibilisation (prise de conscience) .14
7.4 Communication .15
7.5 Informations documentées .16
7.5.1 Généralités .16
7.5.2 Création et mise à jour .17
7.5.3 Maîtrise des informations documentées .17
8 Fonctionnement .18
8.1 Planification et maîtrise opérationnelles .18
8.1.1 Généralités .18
8.1.2 Management de la continuité d’activité .19
8.1.3 Maintien de la continuité d’activité .20
8.2 Bilan d’impact sur l’activité et appréciation du risque.21
8.2.1 Généralités .21
8.2.2 Bilan d’impact sur l’activité .21
8.2.3 Appréciation du risque .25
8.3 Stratégies et solutions de continuité d’activité .26
8.3.1 Généralités .26
8.3.2 Identification des stratégies et solutions .26
8.3.3 Sélection des stratégies et solutions .29
8.3.4 Exigences de ressources .29
8.3.5 Mise en œuvre des solutions .36
8.4 Plans et procédures de continuité d’activité .37
8.4.1 Généralités .37
8.4.2 Structure de réponse .37
8.4.3 Avertissement et communication .38
8.4.4 Plans de continuité d’activité .40
8.4.5 Rétablissement .46
8.5 Programme d’exercices.47
8.5.1 Généralités .47
8.5.2 Conception du programme d’exercices .47
8.5.3 Exercices sur les plans de continuité d’activité .48
8.6 Évaluation de la documentation et des capacités de continuité d’activité .51
8.6.1 Généralités .51
8.6.2 Mesurage de l’efficacité .52
8.6.3 Résultats .52
9 Évaluation de la performance .53
9.1 Surveillance, mesurage, analyse et évaluation .53
9.1.1 Généralités .53
9.1.2 Conservation des preuves .53
9.1.3 Évaluation de la performance .53
9.2 Audit interne .54
9.2.1 Généralités .54
9.2.2 Programme(s) d’audit .54
9.3 Revue de direction .54
9.3.1 Généralités .54
9.3.2 Éléments d’entrée de la revue de direction .54
9.3.3 Éléments de sortie de la revue de direction .55
10 Amélioration .56
10.1 Non-conformité et actions correctives .56
10.1.1 Généralités .56
10.1.2 Apparition de non-conformités.56
10.1.3 Conservation des informations documentées .56
10.2 Amélioration continue .57
Bibliographie .58
iv © ISO 2020 – Tous droits réservés

Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Cette deuxième édition annule et remplace la première édition (ISO 22313:2012) qui a fait l’objet d’une
révision technique. Les principales modifications par rapport à l’édition précédente sont les suivantes:
— modification de la structure et du contenu pour aligner le présent document sur la dernière édition
de l’ISO 22301;
— ajout de lignes directrices supplémentaires expliquant les concepts et termes clés;
— suppression du contenu de 8.4, qui figurera dans l’ISO/TS 22332 (en cours d’élaboration).
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
Introduction
0.1  Généralités
Le présent document fournit des lignes directrices, lorsque c’est opportun, applicables aux exigences
spécifiées dans l’ISO 22301. Il n’est pas prévu que le présent document fournisse des lignes directrices
sur tous les aspects de la continuité d’activité.
Le présent document comprend les mêmes rubriques que l’ISO 22301 sans toutefois répéter les
exigences ou les termes et définitions qui s’y rapportent.
Ces lignes directrices ont pour vocation d’expliquer et de clarifier la signification et le but des exigences
de l’ISO 22301 et d’aider à la résolution de tout problème lié à leur interprétation. D’autres Normes
internationales et Spécifications techniques apportant des lignes directrices supplémentaires, et
citées dans le présent document, sont l’ISO/TS 22317, l’ISO/TS 22318, l’ISO 22322, l’ISO/TS 22330,
l’ISO/TS 22331 et l’ISO 22398. Le domaine d’application de ces documents peut s’étendre au-delà des
exigences de l’ISO 22301. Il convient donc que les organismes fassent systématiquement référence à
l’ISO 22301 afin de vérifier quelles exigences sont à satisfaire.
Le présent document comprend plusieurs figures permettant de donner des éclaircissements et des
explications sur certains points clés. Ces figures ne sont fournies qu’à titre d’exemple, et c’est le texte
associé faisant partie du corps du texte du présent document qui a la priorité.
Un système de management de la continuité d’activité (SMCA) insiste sur l’importance:
— d’établir une politique et des objectifs de de continuité d’activité qui correspondent aux objectifs de
l'organisation;
— du fonctionnement et de la maintenance des processus, capacités et structures de réponse afin
d’assurer que l’organisme survivra aux perturbations;
— de surveiller et passer en revue la performance et l’efficacité du SMCA;
— d’une amélioration continue sur la base de mesures qualitatives et quantitatives.
À l’instar de tout autre système de management, un SMCA comprend les composantes suivantes:
a) une politique;
b) des personnes compétentes ayant des responsabilités définies;
c) des processus de management concernant:
1) la politique;
2) la planification;
3) la mise en œuvre et le fonctionnement;
4) l’appréciation de la performance;
5) la revue de direction;
6) l’amélioration continue;
d) des informations documentées venant en support de la maîtrise opérationnelle et permettant de
réaliser l’évaluation de la performance.
En général, la continuité d’activité est spécifique à un organisme. Néanmoins, sa mise en œuvre peut
avoir des implications pouvant s’étendre à une plus large communauté et à d’autres tiers. Un organisme
est susceptible d’avoir des organismes externes dont il dépend et d’autres qui dépendent de lui. Par
conséquent, une continuité d’activité efficace contribue à une société plus résiliente.
vi © ISO 2020 – Tous droits réservés

0.2 Bénéfices d’un système de management de la continuité d’activité
Un SMCA améliore le niveau de préparation d’un organisme pour lui permettre de continuer à
fonctionner pendant des perturbations. Il permet également une meilleure compréhension des relations
internes et externes de l’organisme, une meilleure communication avec les parties intéressées, et la
création d’un environnement d’amélioration continue. Il y a un grand nombre d’avantages potentiels
supplémentaires à mettre en œuvre un SMCA conformément aux recommandations données dans le
présent document et en conformité avec les exigences de l’ISO 22301.
— Le respect des recommandations de l’Article 4 («Contexte de l’organisme») appelle l’organisme:
— à réviser ses objectifs stratégiques afin de s’assurer que le SMCA les supporte;
— à reconsidérer les besoins, les attentes et les exigences des parties intéressées;
— à avoir conscience des obligations réglementaires et juridiques, ainsi que des autres obligations
applicables.
— L’Article 5 («Leadership») appelle l’organisme:
— à reconsidérer les rôles et responsabilités du management;
— à promouvoir une culture d’amélioration continue;
— à répartir les responsabilités concernant la surveillance des performances et les rapports.
— L’Article 6 («Planification») appelle l’organisme:
— à réexaminer ses risques et opportunités, et à identifier les actions à mener pour y faire face et
en tirer parti;
— à établir une gestion efficace des changements.
— L’Article 7 («Support») appelle l’organisme:
— à établir une gestion efficace des ressources du SMCA, y compris la gestion des compétences;
— à renforcer la sensibilisation (prise de conscience) des employés vis-à-vis de questions
considérées comme importantes pour le management;
— à disposer de mécanismes efficaces pour les communications internes et externes;
— à gérer efficacement sa documentation.
— L’Article 8 («Fonctionnement») appelle l’organisme à considérer:
— les conséquences imprévues du changement;
— les priorités et exigences de continuité d’activité;
— les dépendances;
— les vulnérabilités du point de vue de leur impact;
— les risques de perturbations et à identifier la meilleure manière d’y faire face;
— les solutions alternatives pour poursuivre l’activité avec des ressources limitées;
— les structures et procédures efficaces pour faire face aux perturbations;
— ses responsabilités envers la communauté et les autres parties intéressées.
— L’Article 9 («Évaluation de la performance») appelle l’organisme:
— à disposer de mécanismes efficaces de surveillance, de mesurage et d’évaluation de la
performance;
— à impliquer le management pour surveiller la performance et contribuer à l’efficacité du SMCA.
— L’Article 10 («Amélioration») appelle l’organisme:
— à disposer de procédures de surveillance de la performance et d’amélioration de l’efficacité;
— à tirer parti de l’amélioration continue de ses systèmes de management.
En conséquence, la mise en œuvre du SMCA peut:
a) protéger la vie, les biens et l’environnement;
b) protéger et accroître la réputation et la crédibilité de l’organisme;
c) contribuer à l’avantage compétitif de l’organisme en lui permettant de fonctionner durant les
perturbations;
d) réduire les coûts dus aux perturbations et améliorer la capacité de l’organisme à rester efficace
durant ces perturbations;
e) contribuer à la résilience organisationnelle globale de l’organisme;
f) renforcer la confiance des parties intéressées en la réussite de l’organisme;
g) réduire l’exposition juridique et financière de l’organisme;
h) démontrer la capacité de l’organisme à gérer les risques et à faire face aux vulnérabilités
opérationnelles.
0.3 Cycle «Planifier-Exécuter-Vérifier-Réagir» (Plan-Do-Check-Act, PDCA)
Le présent document applique le cycle «Planifier-Exécuter-Vérifier-Réagir» (PDCA) à la planification,
l’établissement, la mise en œuvre, le fonctionnement, la surveillance, la revue, la maintenance et
l’amélioration continue de l’efficacité du SMCA d’un organisme. Le cycle PDCA est expliqué dans le
Tableau 1.
Tableau 1 — Explication du cycle PDCA
Planifier Établir une politique de continuité d’activité, des objectifs, des moyens de maîtrise,
(Établir) des processus et des procédures pertinents pour améliorer la continuité d’activité
afin de fournir des résultats en ligne avec les politiques et objectifs généraux de
l’organisme.
Exécuter Mettre en œuvre et faire fonctionner la politique de continuité d’activité, les
(Mettre en œuvre et faire moyens de maîtrise, les processus et les procédures.
fonctionner)
Vérifier Surveiller et passer en revue la performance par rapport à la politique et aux
(Surveiller et passer en objectifs de continuité d’activité, rendre compte des résultats au management
revue) pour la revue de direction, déterminer et autoriser des actions de correction et
d’amélioration.
Réagir Maintenir et améliorer le SMCA en prenant des actions correctives, basées sur
(Maintenir et améliorer) les résultats de la revue de direction et en réévaluant le domaine d’application du
SMCA, la politique et les objectifs de continuité d’activité.
viii © ISO 2020 – Tous droits réservés

La Figure 1 montre comment le SMCA prend les exigences des parties intéressées comme éléments
d’entrée pour le management de la continuité d’activité et, par l’intermédiaire des actions et des
processus requis, produit des résultats en matière de continuité d’activité (c’est-à-dire une continuité
d’activité managée) qui satisfont à ces exigences.
Figure 1 — Cycle PDCA appliqué aux processus SMCA
0.4  Composantes du cycle PDCA dans le présent document
Le Tableau 2 montre la relation directe entre le contenu de la Figure 1 et les articles du présent
document.
Tableau 2 — Relation entre le cycle PDCA et les Articles 4 à 10
Composante PDCA Article concernant la composante PDCA
Planifier L’Article 4 («Contexte de l’organisme») définit ce qu’il convient que l’organisme
(Établir) fasse afin d’assurer que le SMCA satisfait aux exigences, en tenant compte de tous
les facteurs externes et internes pertinents, notamment:
— les besoins et attentes des parties intéressées;
— ses obligations réglementaires et juridiques;
— le domaine d’application exigé pour le SMCA.
L’Article 5 («Leadership») définit le rôle du management en matière de
démonstration d’engagement, de définition de politique et d’établissement des
rôles, responsabilités et autorités.
L’Article 6 («Planification») décrit les actions pour établir des objectifs stratégiques
et des principes d’orientation pour la mise en œuvre du SMCA.
L’Article 7 («Support») identifie les éléments du SMCA dont il convient de disposer,
à savoir: les ressources, les compétences, la sensibilisation (prise de conscience), la
communication et les informations documentées.
Exécuter L’Article 8 («Fonctionnement») identifie les processus pour établir et maintenir la
(Mettre en œuvre et faire continuité d’activité.
fonctionner)
Tableau 2 (suite)
Composante PDCA Article concernant la composante PDCA
Vérifier L’Article 9 («Évaluation de la performance») donne la base pour améliorer le SMCA
(Surveiller et passer en par le mesurage et pour évaluer sa performance.
revue)
Réagir L’Article 10 («Amélioration») couvre les actions correctives pour faire face aux non-
(Maintenir et améliorer) conformités identifiées par l’évaluation de la performance.
0.5  Contenu du présent document
Ce n’est pas l’intention du présent document d’uniformiser la structure d’un SMCA, mais plutôt de
permettre à un organisme de concevoir un SMCA qui soit approprié à ses besoins et qui satisfasse
aux exigences des parties intéressées, particulièrement les clients et les employés. Ces besoins sont
conditionnés par les exigences réglementaires et juridiques, organisationnelles et industrielles, par les
produits et services, les processus employés, l’environnement dans lequel l’organisme fonctionne, la
taille et la structure de ce dernier et les exigences des parties intéressées.
Le présent document n’est pas destiné à être utilisé pour apprécier l’aptitude d’un organisme à satisfaire
ses propres besoins de continuité d’activité, ni les besoins de clients ou de nature réglementaire ou
juridique. Les organismes désireux de le faire peuvent utiliser les exigences de l’ISO 22301.
Les Articles 1 à 3 du présent document décrivent le domaine d’application, les références normatives et
les termes et définitions qui s’appliquent à l’utilisation du présent document. Les Articles 4 à 10 donnent
des lignes directrices relatives aux exigences de l’ISO 22301.
Dans le présent document, les formes verbales suivantes sont utilisées:
a) «il convient» est utilisé pour indiquer une recommandation;
b) «peut» («may» en anglais) est utilisé pour indiquer une autorisation;
c) «peut» («can» en anglais) est utilisé pour indiquer une possibilité ou une capacité.
0.6  Continuité d’activité
La continuité d’activité est la capacité de l’organisme à continuer de livrer des produits ou fournir des
services avec un niveau prédéfini de capacité acceptable à la suite d’une perturbation. Le management
de la continuité d’activité est le processus de mise en œuvre et de maintien de la continuité d’activité
(voir 8.1.2 et Figure 5) afin de prévenir les pertes et de se préparer à des perturbations, de les atténuer
et de les gérer.
L’établissement d’un SMCA permet à l’organisme de maîtriser, d’évaluer et de constamment améliorer
sa continuité d’activité.
Dans le présent document, le terme «activité» est utilisé comme un terme de portée générale englobant
les opérations et services accomplis par un organisme dans le cadre de ses objectifs, ses buts ou sa
mission. Il s’applique à la fois aux grands, moyens et petits organismes fonctionnant dans les secteurs
industriels, commerciaux, publics ou à but non lucratif.
Les perturbations peuvent potentiellement interrompre l’ensemble du fonctionnement de l’organisme
ainsi que sa capacité à livrer des produits et fournir des services. Néanmoins, le fait de mettre en œuvre
un SMCA avant qu’une perturbation ne se produise, plutôt que de répondre de manière non planifiée
après l’incident, permettra à l’organisme de reprendre son fonctionnement avant d’en arriver à des
niveaux d’impact inacceptables.
Le management de la continuité d’activité implique:
a) d’identifier les produits et services de l’organisme et les activités qui permettent de les fournir;
b) d’analyser les impacts d’une non-reprise des activités et les ressources dont ces dernières
dépendent;
x © ISO 2020 – Tous droits réservés

c) de comprendre le risque de perturbation;
d) de déterminer les priorités, délais, capacités et stratégies pour la reprise de la livraison des produits
et de la fourniture des services;
e) d’avoir des solutions et des plans en place de façon à reprendre les activités dans les délais requis à
la suite d’une perturbation;
f) de s’assurer que ces dispositions sont régulièrement passées en revue et mises à jour de manière à
être efficaces en toutes circonstances.
Il convient que la démarche de l’organisme pour le management de la continuité d’activité et
ses informations documentées soient appropriées à son contexte (par exemple: environnement
opérationnel, complexité, besoins et ressources).
La continuité d’activité peut être efficace pour traiter à la fois les perturbations soudaines (telles que
les explosions) et graduelles (telles que les pandémies).
Les activités peuvent être perturbées par une grande variété d’incidents, dont beaucoup sont difficiles
à prévoir ou à analyser. En se concentrant sur l’impact de la perturbation plutôt que sur sa cause, la
continuité d’activité permet à l’organisme d’identifier les activités essentielles pour pouvoir remplir
ses obligations. Par la continuité d’activité, un organisme peut reconnaître ce qu’il est nécessaire
de faire pour protéger ses ressources (par exemple: les personnes, les emplacements, la technologie
et l’information), sa chaîne d’approvisionnement, les parties intéressées et sa réputation avant la
survenance d’une perturbation. Ayant reconnu cela, l’organisme peut mettre en place une structure de
réponse lui permettant de gérer les impacts d’une perturbation en confiance.
La Figure 2 et la Figure 3 illustrent conceptuellement la manière dont la continuité d’activité peut être
efficace en atténuant les impacts dans certaines situations. La distance relative entre les différents
stades représentés sur chacun des schémas ne représente aucune échelle de temps particulière.

Figure 2 — Illustration de l’efficacité de la continuité d’activité en cas de perturbation soudaine
Figure 3 — Illustration de l’efficacité de la continuité d’activité en cas de perturbation graduelle
(par exemple, l’approche d’une pandémie)
xii © ISO 2020 – Tous droits réservés

NORME INTERNATIONALE ISO 22313:2020(F)
Sécurité et résilience — Systèmes de management de la
continuité d'activité — Lignes directrices sur l'utilisation
de l'ISO 22301
1 Domaine d’application
Le présent document donne des lignes directrices et recommandations relatives à l’application des
exigences pour le système de management de la continuité d’activité (SMCA) de l’ISO 22301. Ces lignes
directrices et recommandations sont basées sur la bonne pratique internationale.
Le présent document s’applique aux organismes qui:
a) mettent en œuvre, maintiennent et améliorent un SMCA;
b) cherchent à assurer la conformité à la politique de continuité d’activité déclarée;
c) ont besoin d’être aptes à poursuivre la livraison de produits et la fourniture de services à un niveau
de capacité acceptable et préalablement défini durant une perturbation;
d) cherchent à améliorer leur résilience à travers l’application efficace du SMCA.
Les lignes directrices et recommandations s’appliquent à toute taille et tout type d’organismes, qu’ils
soient grands, moyens ou petits et qu’ils fonctionnent dans les secteurs industriels, commerciaux,
publics ou à but non lucratif. L’approche adoptée dépend de l’environnement et de la complexité de
fonctionnement de l’organisme.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
ISO 22301, Sécurité et résilience — Systèmes de management de la continuité d'activité — Exigences
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 22300, l’ISO 22301 ainsi que
les suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
3.1
management de la continuité d’activité
processus de mise en œuvre et de maintien de la continuité d’activité
4 Contexte de l’organisme
4.1 Compréhension de l’organisme et de son contexte
Le présent article fournit des recommandations pour la compréhension du contexte de l’organisme dans
le cadre du SMCA. Les recommandations pour l’établissement et le maintien de la continuité d’activité
sont traitées en 8.1.
Il convient que l’organisme évalue et comprenne les questions externes et internes (pouvant comprendre
des facteurs positifs et négatifs ou des conditions à considérer) pertinentes pour ses objectifs globaux,
pour ses produits et services, ainsi que pour le niveau et le type de risque qu’il peut prendre ou non. Il
convient de tenir compte de ces informations lors de la mise en œuvre et de la maintenance du SMCA de
l’organisme, et lors de l’attribution de priorités.
Le contexte externe de l’organisme contient, lorsque c’est pertinent, les éléments suivants:
— l’environnement politique, réglementaire et juridique, qu’il soit international, national, régional
ou local;
— les aspects sociaux et culturels;
— l’environnement financier, technologique, économique, naturel et concurrentiel, qu’il soit
international, national, régional ou local;
— les engagements et relations de la chaîne d’approvisionnement (voir également l’ISO/TS 22318);
— les moteurs (par exemple: risque, technologie) et tendances ayant un impact sur les objectifs et le
fonctionnement de l’organisme;
— les relations avec les parties intéressées externes à l’organisme, ainsi que leurs perceptions et leurs
valeurs;
— les voies de communication, y compris les réseaux sociaux, utilisées pour constater et former ces
relations.
Le contexte interne de l’organisme contient, lorsque c’est pertinent, les éléments suivants:
— les produits et services, activités, ressources, chaînes d’approvisionnement et relations avec les
parties intéressées;
— les aptitudes, en matière de ressources et de connaissances (par exemple: capital, temps, personnels,
processus, systèmes, technologies);
— les systèmes de management existants;
— les informations et données (stockées sous forme physique ou électronique) et les processus de
prise de décision (formels et autres);
— les parties intéressées au sein de l’organisme, y compris les fournisseurs internes [considération des
accords sur les niveaux de services (SLA), résilience appréciée et dispositions de rétablissement],
voir l’ISO/TS 22318;
— les politiques et objectifs et les stratégies d’activité mises en place pour les atteindre;
— les futures opportunités et priorités d’activité;
— les perceptions, les valeurs et la culture;
— les normes et modèles de référence adoptés par l’organisme;
— les structures (par exemple: gouvernance, rôles, responsabilités);
2 © ISO 2020 – Tous droits réservés

— les voies de communication internes utilisées pour l’échange d’informations au sein du personnel
(par exemple: les réseaux sociaux).
4.2 Comprendre les besoins et attentes des parties intéressées
4.2.1 Généralités
L’organisme a un devoir de diligence envers de nombreuses personnes dans l’organisme et en dehors
(voir également l’ISO/TS 22330). Lorsqu’il établit son SMCA, il convient que l’organisme s’assure que les
besoins et les exigences de toutes les parties intéressées sont bien pris en considération.
Il convient que l’organisme identifie toutes les parties intéressées qui sont pertinentes pour son
SMCA (voir Figure 4) et qu’il détermine leurs exigences sur la base de leurs besoins et attentes. Il est
important d’identifier non seulement les exigences obligatoires et déclarées, mais aussi toutes celles qui
sont implicites.
Lors de la planification et de la mise en œuvre du SMCA, il est important d’identifier les actions qui sont
appropriées vis-à-vis des parties intéressées, mais aussi de les différencier entre elles. Par exemple,
alors qu’il peut être approprié de communiquer avec toutes les parties intéressées à la suite d’une
perturbation, il peut ne pas être approprié de communiquer avec toutes les parties intéressées lors de
la mise en œuvre et de la maintenance du management de la continuité d’activité (voir 8.1.2).
Figure 4 — Exemples de parties intéressées dans les secteurs public et privé
4.2.2 Exigences réglementaires et juridiques
L’application du présent document présuppose une sensibilisation (prise de conscience) aux exigences
réglementaires et juridiques applicables.
Les exigences peuvent être implicites, déclarées ou obligatoires. Il convient que les informations
relatives à ces exigences soient documentées et maintenues à jour. Il convient que les nouvelles
exigences ou les changements aux exigences existantes soient communiqués aux employés affectés et
aux autres parties intéressées.
Il convient que l’organisme démontre qu’il a accès aux exigences réglementaires et juridiques en cours et
imminentes, qui sont pertinentes pour son fonctionnement, et comment ces exigences sont satisfaites.
Les exigences peuvent inclure:
a) la réponse aux incidents: incluant la gestion des urgences et autre législation pertinente;
b) la continuité d’activité: ce qui peut spécifier le domaine d’application du programme ou l’étendue ou
la rapidité du rétablissement;
c) le risque: les exigences définissant le domaine d’applic
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

This May Also Interest You

ISO
ISO 28000:2022/Amd 1:2024(Amendment)
Security and resilience — Security management systems — Requirements — Amendment 1: Climate action changes
  • Standard
    1 page
    English language
    sale 15% off
ISO
ISO 22301:2019/Amd 1:2024(Amendment)
Security and resilience — Business continuity management systems — Requirements — Amendment 1: Climate action changes
  • Standard
    1 page
    English language
    sale 15% off
  • Standard
    1 page
    French language
    sale 15% off
  • Standard
    1 page
    French language
    sale 15% off
ISO
ISO 28000:2022(Main)
Security and resilience — Security management systems — Requirements
SIST ISO 28000:2023

This document specifies requirements for a security management system, including aspects relevant to the supply chain. This document is applicable to all types and sizes of organizations (e.g. commercial enterprises, government or other public agencies and non-profit organizations) which intend to establish, implement, maintain and improve a security management system. It provides a holistic and common approach and is not industry or sector specific. This document can be used throughout the life of the organization and can be applied to any activity, internal or external, at all levels.

  • Standard
    27 pages
    English language
    sale 10% off
    e-Library read for
    1 day
  • Standard
    20 pages
    English language
    sale 15% off
ISO
ISO 22301:2019(Main)
Security and resilience — Business continuity management systems — Requirements

This document specifies requirements to implement, maintain and improve a management system to protect against, reduce the likelihood of the occurrence of, prepare for, respond to and recover from disruptions when they arise. The requirements specified in this document are generic and intended to be applicable to all organizations, or parts thereof, regardless of type, size and nature of the organization. The extent of application of these requirements depends on the organization's operating environment and complexity. This document is applicable to all types and sizes of organizations that: a) implement, maintain and improve a BCMS; b) seek to ensure conformity with stated business continuity policy; c) need to be able to continue to deliver products and services at an acceptable predefined capacity during a disruption; d) seek to enhance their resilience through the effective application of the BCMS. This document can be used to assess an organization's ability to meet its own business continuity needs and obligations.

  • Standard
    21 pages
    English language
    sale 15% off
  • Standard
    21 pages
    English language
    sale 15% off
  • Standard
    22 pages
    French language
    sale 15% off
  • Standard
    22 pages
    French language
    sale 15% off
  • Standard
    22 pages
    French language
    sale 15% off
ISO
ISO/TS 22331:2018(Main)
Security and resilience — Business continuity management systems — Guidelines for business continuity strategy

This document gives guidance for business continuity strategy determination and selection. It is applicable to all organizations regardless of type, size and nature, whether in the private, public or not-for-profit sectors. It is intended for use by those responsible for, or participating in, strategy determination and selection.

  • Technical specification
    25 pages
    English language
    sale 15% off
  • Technical specification
    28 pages
    French language
    sale 15% off
ISO
ISO/TS 22330:2018(Main)
Security and resilience — Business continuity management systems — Guidelines for people aspects of business continuity

This document gives guidelines for the planning and development of policies, strategies and procedures for the preparation and management of people affected by an incident. This includes: — preparation through awareness, analysis of needs, and learning and development; — coping with the immediate effects of the incident (respond); — managing people during the period of disruption (recover); — continuing to support the workforce after returning to business as usual (restore). The management of people relating to civil emergencies or other societal disruption is out of the scope of this document.

  • Technical specification
    38 pages
    English language
    sale 15% off
ISO
ISO 28004-3:2014(Main)
Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 3: Additional specific guidance for adopting ISO 28000 for use by medium and small businesses (other than marine ports)

ISO 28004-3:2014 has been developed to supplement ISO 28004-1 by providing additional guidance to medium and small businesses (other than marine ports) that wish to adopt ISO 28000. The additional guidance in ISO 28004-3:2014, while amplifying the general guidance provided in the main body of ISO 28004-1, does not conflict with the general guidance, nor does it amend ISO 28000.

  • Standard
    15 pages
    English language
    sale 15% off
  • Standard
    15 pages
    Russian language
    sale 15% off
  • Standard
    18 pages
    Russian language
    sale 15% off
ISO
ISO 28004-4:2014(Main)
Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 4: Additional specific guidance on implementing ISO 28000 if compliance with ISO 28001 is a management objective

ISO 28004-4:2014 provides additional guidance for organizations adopting ISO 28000 that also wish to incorporate the Best Practices identified in ISO 28001 as a management objective on their international supply chains. The Best Practices in ISO 28001 both help organizations establish and document levels of security within an international supply chain and facilitate validation in national Authorized Economic Operator (AEO) programmes that are designed in accordance with the World Customs Organization (WCO) Framework of Standards. ISO 28004-4:2014 is not designed as a standalone document. The main body of ISO 28004-1 provides significant guidance pertaining to required inputs, processes, outputs and other elements required by ISO 28000. ISO 28004-4:2014 provides additional specific guidance on implementing ISO 28000 if compliance with ISO 28001 is a management objective.

  • Standard
    6 pages
    English language
    sale 15% off
  • Standard
    6 pages
    Russian language
    sale 15% off
ISO
ISO 28001:2007(Main)
Security management systems for the supply chain — Best practices for implementing supply chain security, assessments and plans — Requirements and guidance

ISO 28001:2007 provides requirements and guidance for organizations in international supply chains to develop and implement supply chain security processes; establish and document a minimum level of security within a supply chain(s) or segment of a supply chain; assist in meeting the applicable authorized economic operator (AEO) criteria set forth in the World Customs Organization Framework of Standards and conforming national supply chain security programmes. In addition, ISO 28001:2007 establishes certain documentation requirements that would permit verification. Users of ISO 28001:2007 will define the portion of an international supply chain within which they have established security; conduct security assessments on that portion of the supply chain and develop adequate countermeasures; develop and implement a supply chain security plan; train security personnel in their security related duties.

  • Standard
    27 pages
    English language
    sale 15% off
  • Standard
    35 pages
    Russian language
    sale 15% off
ISO
ISO 28004-1:2007(Main)
Security management systems for the supply chain — Guidelines for the implementation of ISO 28000 — Part 1: General principles

ISO 28004:2007 provides generic advice on the application of ISO 28000:2007, Specification for security management systems for the supply chain. It explains the underlying principles of ISO 28000 and describes the intent, typical inputs, processes and typical outputs for each requirement of ISO 28000. This is to aid the understanding and implementation of ISO 28000. ISO 28004:2007 does not create additional requirements to those specified in ISO 28000, nor does it prescribe mandatory approaches to the implementation of ISO 28000.

  • Standard
    56 pages
    English language
    sale 15% off
  • Standard
    61 pages
    French language
    sale 15% off
  • Standard
    80 pages
    Russian language
    sale 15% off