ISO/TS 22331:2018
(Main)Security and resilience — Business continuity management systems — Guidelines for business continuity strategy
Security and resilience — Business continuity management systems — Guidelines for business continuity strategy
This document gives guidance for business continuity strategy determination and selection. It is applicable to all organizations regardless of type, size and nature, whether in the private, public or not-for-profit sectors. It is intended for use by those responsible for, or participating in, strategy determination and selection.
Sécurité et résilience — Systèmes de management de la continuité des activités — Lignes directrices relatives à la stratégie de continuité d'activité
Le présent document fournit des recommandations pour la détermination et la sélection d'une stratégie de continuité d'activité. Il s'applique à tous les organismes, quels que soient leur type, leur taille et leur nature, qu'ils appartiennent au secteur privé, au secteur public ou au secteur non lucratif. Il est destiné aux personnes qui sont responsables du processus de détermination et de sélection d'une stratégie ou qui y participent.
General Information
Standards Content (Sample)
TECHNICAL ISO/TS
SPECIFICATION 22331
First edition
2018-10
Security and resilience — Business
continuity management systems —
Guidelines for business continuity
strategy
Sécurité et résilience — Systèmes de gestion de la poursuite des
activités — Lignes directrices relatives à la stratégie de poursuite des
activités
Reference number
©
ISO 2018
© ISO 2018
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2018 – All rights reserved
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Prerequisites . 1
4.1 General . 1
4.2 Context of the organization . 2
4.3 Interested parties . 2
4.4 Business continuity roles, authorities and competencies . 2
4.4.1 General. 2
4.4.2 Business continuity strategy roles . 2
4.4.3 Business continuity strategy authorities . 3
4.4.4 Business continuity strategy competencies . 3
4.5 Top management commitment . 3
4.6 Business continuity strategy resources . 4
4.7 Business impact analysis and risk assessment . 4
5 Performing business continuity strategy determination and selection .4
5.1 General . 4
5.2 Principles . 4
5.3 Planning and management . 6
5.3.1 Overview . 6
5.3.2 Initial strategy design considerations . 7
5.3.3 Strategy monitoring and continual improvement . 7
5.4 Business continuity strategy gap analysis . 7
5.5 Determining business continuity strategies . 8
5.5.1 Overview . 8
5.5.2 Business continuity strategy consolidation. 8
5.5.3 Business continuity strategy categories . 8
5.5.4 Business continuity strategy types for activities and resources . 9
5.6 Selecting business continuity strategies .17
5.6.1 General.17
5.6.2 Strategies for protecting prioritized activities and resources .17
5.6.3 Strategies for resuming and recovering prioritized activities and resources .18
5.6.4 Approval of selected strategies.21
6 Next steps after determining and selecting business continuity strategies .22
6.1 Implementing business continuity strategies .22
6.2 Establishing and implementing business continuity procedures .22
7 Monitoring and reviewing business continuity strategies .22
7.1 Performance review .22
7.2 Management review .22
Annex A (informative) Business continuity strategy within an ISO 22301 business
continuity management system .24
Bibliography .25
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso
.org/iso/foreword .html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/members .html.
iv © ISO 2018 – All rights reserved
Introduction
This document provides detailed guidelines for business continuity strategy determination and
selection. It is consistent with the requirements of ISO 22301. It is applicable to the performance of any
business continuity strategy determination and selection effort, whether part of a business continuity
management system (BCMS) or a business continuity programme. Hereafter, the term “business
continuity programme” means either a BCMS or a business continuity programme.
The organization’s business continuity strategy determination and selection should include strategy
options for:
— protecting prioritized activities;
— stabilizing, continuing, resuming and recovering prioritized activities;
— mitigating, responding to and managing impacts (see ISO 22301:2012, 8.3).
NOTE In this document, business continuity strategy options has the same meaning as solutions and
capabilities.
Figure 1 notes the relationship of the business continuity strategy determination and selection process
to the business continuity programme as a whole. The business impact analysis and risk assessment
provide the requirements for a range of business continuity strategies. The determination and selection
of a business continuity strategy is the basis for the development of effective business continuity
procedures.
NOTE Source: ISO 22313:2012, Figure 5.
Figure 1 — Elements of business continuity management
Business impact analysis identifies the product/service delivery requirements and the prioritized
timeframes for activity and resource recovery. The business impact analysis enables the organization
to determine the resources needed to perform priority activities (e.g. facilities, people, equipment,
information, communication and technology assets, supplies and financing). The business impact
analysis also identifies interdependencies between activities and dependencies on supply chains,
partners and other interested parties.
The risk assessment identifies, analyses and evaluates the risk of disruption and identifies risk
treatment options.
Business continuity strategy addresses the outcomes of the business impact analysis and risk
assessment and determines how the organization can become more resilient and capable of dealing
with a wide range of disruptive incidents.
The purpose of this document is to provide guidance that will enable organizations to:
— identify a range of business continuity strategy options;
— select appropriate capabilities based on business continuity requirements;
— ensure the ongoing suitability of business continuity strategies;
— coordinate business continuity strategy determination and selection effectively within the
overarching business continuity programme.
Business continuity strategy determination and selection outcomes include:
— measures to attempt to decrease the frequency of disruptive incidents and the impact associated
with these disruptive incidents;
— identification of the financial resources needed to respond to a disruptive incident;
— effective internal and external communications capabilities;
— alternate workspace capabilities to address the loss or inaccessibility of premises;
— arrangements to address the unavailability of personnel;
— alternative methods of maintaining, fixing and replacing resources for performing activities in the
event of loss;
— capabilities to recover lost information and communications technology (ICT) assets, including data;
— alternate means to deliver products and services when faced with a supply chain disruption.
Figure 2 displays the business continuity strategy determination and selection process, together with
prerequisites and its relationship to the creation of business continuity procedures.
Figure 2 — Business continuity strategy determination, selection and implementation
approach
vi © ISO 2018 – All rights reserved
TECHNICAL SPECIFICATION ISO/TS 22331:2018(E)
Security and resilience — Business continuity
management systems — Guidelines for business continuity
strategy
1 Scope
This document gives guidance for business continuity strategy determination and selection. It is
applicable to all organizations regardless of type, size and nature, whether in the private, public or not-
for-profit sectors.
It is intended for use by those responsible for, or participating in, strategy determination and selection.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Security and resilience — Vocabulary
ISO Guide 73, Risk management — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and ISO Guide 73 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https: //www .iso .org/obp
— IEC Electropedia: available at http: //www .electropedia .org/
4 Prerequisites
4.1 General
Although this document is consistent with ISO 22301, it can also be used for business continuity
strategy determination and selection when aligning or subscribing to other standards, obligations or
regulatory requirements. Regardless of the approach, there are several prerequisites that should be
addressed.
Before starting the business continuity strategy determination and selection process, the
organization should:
— define the context and scope (4.2);
— understand the needs and expectations of interested parties (4.3);
— define and communicate roles and responsibilities (4.4);
— obtain leadership and management commitment (4.5);
— allocate adequate resources (4.6);
— complete a business impact analysis process (4.7);
— complete a risk assessment (4.7).
NOTE See Annex A for a mapping of each strategy determination and selection process prerequisite or task
to ISO 22301.
4.2 Context of the organization
Aspects of context that are particularly relevant to business continuity strategy include:
— the organization’s external environment, because of the influence it has on the organization’s ability
to recover delivery of its products and services to customers;
— laws, regulations and other legal obligations that specify mandatory requirements or influence
business continuity strategy in other ways.
4.3 Interested parties
To be effective, business continuity should address the needs and expectations of interested parties.
The organization should therefore identify its interested parties and determine their requirements
based on analysis of their needs and expectations.
4.4 Business continuity roles, authorities and competencies
4.4.1 General
Top management should determine the roles needed for business continuity strategy determination
and selection to ensure that responsibilities and authorities are assigned and communicated within the
organization.
4.4.2 Business continuity strategy roles
Roles that are relevant to determining business continuity strategy include:
— sponsoring the business continuity programme and the strategy determination and selection
process;
— overseeing the implementation and ongoing monitoring of the business continuity programme;
— managing the business continuity strategy determination and selection process;
— managing business continuity strategy projects.
Specific tasks that may need to be assigned include:
— provision of ongoing advice and guidance on the conduct of the business continuity strategy
determination and selection process;
— selection of methods and identification of required outcomes;
— decision-making regarding resource requirements and risk treatments;
— determination of the competencies required for business continuity strategy determination and
selection;
— ensuring that business continuity requirements are met.
2 © ISO 2018 – All rights reserved
4.4.3 Business continuity strategy authorities
The determination of business continuity strategies can be challenging and complicated. It requires a
good understanding of how to go about it and detailed knowledge of the organization and its processes.
Selected strategies may also require significant resourcing and capital expenditure.
It is therefore important that those responsible for determining and selecting strategies have the full
support of top management and include persons who:
— have an organization-wide perspective;
— have knowledge of the current and future business strategy;
— have decision-making authority;
— have a detailed understanding of the organization’s products, services, processes, activities and
resources;
— are familiar with the organization’s decision-making and capital expenditure requirements;
— understand the outputs of the business impact analysis and risk assessment; and understand the
business continuity strategy determination and selection process.
4.4.4 Business continuity strategy competencies
The organization should ensure the competence of persons leading or participating in the business
continuity strategy determination and selection process. Competences should include skills and
abilities related to:
— project/programme planning and management;
— information gathering;
— analysis, including problem solving and cost-benefit analysis;
— effective communication and collaboration;
— translating organizational objectives and business continuity requirements and resource needs to
business continuity strategies;
— applying business continuity principles in determining strategy within the organization’s context;
— knowledge of the organization, its products and services, processes, activities and resources, as
well as the outputs of the business impact analysis and risk assessment.
4.5 Top management commitment
Top management commitment is vital for:
— ensuring the organization selects the most appropriate business continuity strategies based on
management-approved business continuity requirements;
— ensuring the organization meets its legal, regulatory and contractual obligations before and
following the onset of a disruptive incident.
Examples of how top management could demonstrate its commitment include:
— ensuring that the necessary resources are provided;
— participating in selecting the most appropriate business continuity strategies.
4.6 Business continuity strategy resources
The organization should determine and provide the resources needed for business continuity strategy
and selection that will enable it to:
— comply with its business continuity policy and achieve its business continuity objectives;
— provide for monitoring and continual improvement of its business continuity strategies.
Resources and their allocation should be identified in business plans and reviewed periodically to
ensure their adequacy. It may be appropriate to involve top management in this review.
4.7 Business impact analysis and risk assessment
The organization should complete business impact analysis and risk assessment to determine business
continuity requirements of products, services, processes and activities, including their:
— priority;
— timescales for resumption;
— minimum levels of operation;
— resource requirements;
— interdependencies;
— dependencies on external suppliers.
For prioritized activities, business impact analysis and risk assessment should also identify:
— data backup requirements, including the currency of data;
— risks to the activity and its dependencies;
— risk treatments already in place.
5 Performing business continuity strategy determination and selection
5.1 General
The business continuity strategy determination and selection process results in capabilities that the
organization can implement and improve over time to mitigate the effects of disruption-related risk
and to improve the ability to respond and recover from a disruptive incident, consistent with business
continuity requirements.
The organization should have in place a mechanism for business continuity strategy determination
and selection, including a review and approval of recommended solutions. This clause describes the
determination and selection process, as well as the principles and assumptions necessary to determine
and select the most appropriate capabilities.
5.2 Principles
The guidelines in this clause are based on the following principles.
— Strategies are required for:
— protecting prioritized activities from disruption;
4 © ISO 2018 – All rights reserved
— stabilizing, continuing, resuming and recovering prioritized activities, dependencies and
resources that have been disrupted.
— The determination and selection of business continuity strategies should be based on the outputs
from the business impact analysis and risk assessment.
— Strategies should deliver the business continuity requirements needed to achieve business
continuity objectives:
— the recovery time objective (RTO) for a resource may be longer than the RTO for an activity due
to business requirements, which may include the availability of workarounds;
— the RTO for a resource may be shorter than the RTO for an activity if there is a significant set-up
time or if it is shared with other activities with more demanding RTOs.
— In general, the higher the priority (and the shorter the RTO) that has been assigned to a product,
service, process or activity in the business impact analysis, the more complex and expensive the
appropriate strategy to recover it.
— Doing nothing:
— is an acceptable strategy when there is sufficient time after a disruption to source the required
resources and to resume the activity before the non-delivery of products and services leads to
unacceptable impacts on the organization;
— is not an acceptable strategy if management decides not to implement appropriate capabilities
and this inaction would prevent the delivery of products or services beyond their RTO; in this
case, these products and services should be explicitly excluded from the scope of the BCMS.
— The business context in which the organization operates may also determine the applicability of
strategy options for their products and services. For example:
— a public sector organization (such as local emergency services) could rely on similar neighbouring
organizations to provide the service if it is unable to do so (this may be called “mutual aid”);
— a commercial organization could similarly consider employing outsourcing to provide its
products and services during a disruption. However, directing clients towards a competitor
could lead to a long-term loss of business. Therefore, the commercial organization might decide
to keep its recovery capability in-house.
— There might be statutory or regulatory rules prohibiting outsourcing to other organizations where
this strategy might reduce the overall resilience of the sector or could lead to breaches of information
security.
— Consideration should be made of the most severe disruptions that the organization is prepared to
cope with through its business continuity programme, without compromising its current objectives.
— Any alternate resource should be located at a sufficient separation distance from the primary
resource. There is no specific or prescribed distance separation for all organizations and resources.
The distance could be based on the perceived likelihood of large scale destructive events from
which the organization seeks to protect itself. Factors may include:
— climatic events;
— environmental quality;
— geological stability;
— infrastructure resilience;
— political stability.
— Diversity of resources, including suppliers, can provide some protection.
— The evaluation of strategies should include consideration of the following aspects.
— Reliability: Will the strategy work? Will it be possible to test the effectiveness of the strategy
before an incident?
— Agility: How flexible or adaptable is the strategy to changing circumstances?
— Risk: What is the risk of the strategy being ineffective due to resources not being available?
— Cost-benefit: Does the strategy meet business continuity objectives for a justifiable cost?
— Context: Does the strategy address human, cultural, political and technical factors?
— Where strategies depend on key suppliers, the business continuity of those suppliers should be
evaluated.
— There should be sufficient resources to implement the selected strategy options.
— The organization should have a mechanism in place for the review and approval of recommended
solutions.
5.3 Planning and management
5.3.1 Overview
Project planning and management of business continuity strategy determination and selection allows
the organization to optimize and coordinate resources and timelines. The organization should identify
a wide range of strategy options and then implement the chosen strategy as one or more projects.
Tasks may include:
— deciding on the scope of the business continuity strategy determination and selection process;
— communicating expectations to strategy determination and selection participants;
— identifying the person sponsoring strategy determination and selection and top management
participation;
— specifying competencies for strategy determination and selection responsibilities;
— establishing the project plan;
— allocating resources for strategy determination and selection;
— gaining acceptance of the project approach and plan;
— establishing or sourcing the skills necessary to meet strategy process objectives;
— developing periodic reports on the determination and selection status to improve performance in
line with top management expectations;
— performing modifications of the strategy approach and scope to meet top management expectations
and external (regulatory, statutory, customer, contractual) requirements;
— collecting and reviewing lessons learned;
— making recommendations regarding strategy determination and selection approach improvement
for future use.
6 © ISO 2018 – All rights reserved
5.3.2 Initial strategy design considerations
An organization undertaking a strategy determination and selection process for the first time should
plan time to:
— create awareness;
— negotiate business continuity requirements;
— perform gap analysis;
— identify available strategy options;
— perform cost/benefit analysis.
5.3.3 Strategy monitoring and continual improvement
Once an organization selects and implements business continuity strategies, the organization should
monitor performance to ensure that strategies continue to meet business continuity requirements.
If strategies do not meet requirements, the organization should perform the strategy determination
and selection process again, with the aim of adjusting strategy capabilities to meet business continuity
requirements.
Additionally, after the organization performs the business impact analysis, the organization should
ensure those strategies that meet business continuity requirements are the best possible option and
that no better options exist. As time goes on, the organization may find strategies that:
— are more suitable or cost effective;
— require less resources to execute;
— result in a faster or easier recovery;
— are better able to meet the needs of the organization.
5.4 Business continuity strategy gap analysis
Following the business impact analysis and risk assessment, the organization should perform a gap
analysis comparing its approved business continuity requirements (time and capability) to current-
state response and recovery capabilities.
The organization should confirm current capabilities meet business continuity requirements by
performing the following actions.
a) Sequencing the output of the business impact analysis by RTO for products/services, processes,
activities and resources.
b) Summarizing the performance of current-state business continuity strategies, including the ability
to meet time and capability expectations.
c) Comparing the performance of business continuity strategies to business continuity requirements.
1) Business continuity strategy performance may be determined based on results from disruptive
incidents and exercises, and possibly based on service level agreements or contractual
obligations if a third party is enabling the strategy.
d) Determining where current-state response and recovery performance fall short (meaning
downtime is greater and/or capability is less than required), which will indicate gaps in meeting
interested party expectations.
e) Determining where current-state response and recovery performance is greater (meaning
downtime is shorter and/or capability is less than required), which will indicate an over-investment
in meeting interested party expectations.
f) Presenting and seeking management acknowledgement of gaps and over-investment prior to
determining business continuity strategies. Where gaps exist, management should request business
continuity strategies be investigated based on the anticipated impact to the organization. In the
instance of over-investment, management may request alternate business continuity strategies be
investigated.
g) Prioritizing the implementation of business continuity strategies based on management
acknowledgement of gaps or over-investment.
5.5 Determining business continuity strategies
5.5.1 Overview
The organization should determine which strategy options are available to the organization to close
gaps and reduce over-investment and, where possible, should provide additional benefits in a business-
as-usual situation.
The results of strategy determination at the product, service, process or activity levels may mean
there is no need to progress to strategies for resources. For example, if the strategy is to outsource the
delivery of a service to a third-party organization, then the recovery of the associated capability may
be managed by that third-party arrangement while the organization focuses on restoring the affected
resources (e.g. a facility rebuild).
5.5.2 Business continuity strategy consolidation
If a specific resource (e.g. a software system) is required by many activities, then the organization may
develop a consolidated business continuity strategy to meet the business continuity requirements of
the activity with the highest priority (and the shortest RTO).
Similarly, if many activities are to adopt the same business continuity strategy (e.g. ten activities
on floor 7 of building A are to relocate to floor 3 of building B), then the organization may develop a
consolidated business continuity strategy rather than replicate the strategy multiple times.
There may also be a need to select different strategies over time after an incident. For example, people
may be able to work from home for a few days after an incident but the organization may then need to
provide an alternative work area.
5.5.3 Business continuity strategy categories
Organizations may use a framework that categorizes or groups business continuity strategies for
recovering resources, based on defined RTO ranges, which links appropriate strategies to activity and
resource RTOs. The categories are only a naming convention used to organize strategy options used by
an organization in conversation. Categorization examples include:
— Category A, B, C and D;
— Platinum, Gold, Silver and Bronze;
— Tier 1, 2, 3 and 4.
If categorization is used by an organization, it is important to avoid category names that could invoke
an emotional response by the business continuity programme interested party, which then could lead
to inappropriate strategy selection. For example, using “critical” as a category name.
If categorization is used, the organization should nominate a specific timeframe for each category.
8 © ISO 2018 – All rights reserved
Figure 3 gives an example of a conceptual framework addressing strategy categories over time.
This framework aligns to the key principles of business continuity, urgency, meaning continuity and
restoration requirements based on how urgent each product, service, process, activity and resource
is to interested parties. Shorter RTOs (Category A) require capabilities and arrangements that are
significantly more complex, detailed and expensive compared with those that can tolerate a longer RTO
(Category D).
Figure 3 — Strategy categories over time
The organization should determine the number of categories and the period of coverage each category
will span on a timeline. Categories will overlap, i.e. a strategy that satisfies the time requirement of
Category A will also satisfy those of Categories B, C and D. Those of Category B will also satisfy C and D,
and so on.
5.5.4 Business continuity strategy types for activities and resources
The following business continuity strategy category framework can be applied to activities and
resources.
The organization should, as a prerequisite for determining viable strategy options, identify
considerations that need to be addressed for the strategy to be feasible. The tables and information in
the following clauses provide examples that may be a useful prompt and starting point.
The objective of the strategies summarized in Tables 1 to 8 is to ensure each activity or resource will
continue, and that the re-provision, repair, replacement or delivery of alternate resources is achieved,
in accordance with the approved business continuity requirements of the specific activity they support.
Each table provides examples of strategy options that are categorized by the approximate minimum
time in which they can be operational after the onset of a disruptive incident and include some
prerequisites for consideration during pre-incident planning.
Table 1 — People
Effective minimum
Examples of strategy options Prerequisites
recovery time
Other staff at same location with — Cross-train staff working at same
required skills/capability take over location
— Document business-as-usual business
processes
Staff at non-affected location with the — Cross-train staff working at an alternate
required skills/capability take over as location
Within an hour
a result of the activity transferring to
— Document business-as-usual business
a non-affected location
processes
Succession planning for key roles — Nomination and training of replacements
Alternate delegated authorities are — Nominate and bestow delegated
available authority to nominated managers
Confirm other staff with the required — Cross-train staff working at different
skills/capability are on site and can locations/sites/regions
take over
— Geographically separate staff with the
same skills
Transfer roles to contracted suppliers — Resources with the required skills
or partners supplied by an external provider/
Within hours
supplier are on site and can take over
— Set-up/prepare the process to transfer
(or outsource) the activity to an external
party or supplier
Engage external people with the — Identify external suppliers able to deliver
required skills the required skills set
Nominate available staff on-site from — Develop training material for each
activities that can tolerate downtime skill set and deliver the training to
and provide training before nominated staff
transitioning work
Within days
Nominate staff at non-affected — Develop training material for each
locations from activities that can skill set and deliver the training to
tolerate downtime and provide nominated staff
training before
— Develop staff selection criteria
transitioning work
Contact former employees and engage — Maintain lists of former employees with
on short-term contracts the necessary skills
Within a week
Search and engage temporary/ — Develop training material for each skill
contract staff via external agency(ies) set and deliver the training to nominated
staff when they arrive on-site
Recruit replacement staff from the None
market via external agencies
Within weeks/months
Recruit replacement staff from None
competitors via external agencies
NOTE For additional information, see ISO/TS 22330.
10 © ISO 2018 – All rights reserved
Table 2 — Information and data
Effective minimum
Examples of strategy options Prerequisites
recovery time
Data availability from online — Establish an off-site replicated data
replication storage facility or contract a third-party
service provider
Within an hour
Paper-based information is available — Establish a process and facility to scan
from online storage media paper-based documents as processed
during business-as-usual and store data
off-site
Data is restored from remote storage — Establish or contract an off-site data
storage facility (data or document storage
Request originator of documents to — Maintain a register of document
send a copy upon request originators with contact details and
an approved method/channel for
Within days
transmitting documents
Data is rekeyed from source — Determine the location/owner of
documentation source documentation and establish
an agreement for the provision of the
required information
Identify a processor to source original — Determine resource levels and facilities
documentation and rekey required to rekey information
Within weeks
the information into the system
— Consider insurance cover for this
capability
With respect to information and data, additional considerations include:
— all external environments, including third-party service providers and personnel working from
home, should satisfy the organization’s information security management policies, including:
— required levels of confidentiality, integrity, accountability and currency of each data category
to be stored/accessed off-site;
— required currency of information;
— logical and physical access control;
— data and information transport;
— appropriate destruction of confidential information and deletion of data;
— sovereignty, including where the data is physically stored.
Table 3 — Buildings, work environment and associated utilities
Effective minimum
Examples of strategy options Prerequisites
recovery time
Split the activity’s work across — Run the activity at other location(s) at
multiple locations all times
Have the capability and skills to — Practise the transfer of work regularly
transfer the activity to another to maintain capability
Within an hour
location
Prepare and activate on-site utility — Install self-gen or co-gen capabilities
replacement technology (e.g. on-site (e.g. on-site power generator)
generator, solar)
Table 3 (continued)
Effective minimum
Examples of strategy options Prerequisites
recovery time
Displace lower priority activities — Agree displacement priorities and
(those with higher RTOs) with location within the site with the
personnel from high priority departments affected
activities (those with lower RTOs)
Within a day
within the site
Reconfigure buildings or work — Do preparatory work or make plans to
environment (e.g. meeting rooms, facilitate this
cafeteria) within the location
Displace lower priority activities — Document prioritized preferences for
(those with higher RTOs) with alternate work areas and agree them
personnel from high priority with affected departments
activities (those with lower RTOs) at
— Consider staff issues on relocation
another location
— Identify which additional resources are
required to enable the activity to restart
at the alternate location
Reconfigure buildings or work — Document prioritized preferences for
environment (e.g. meeting rooms, off-site alternate work areas
cafeteria) at an off-site location/site/
— Consider staff issues on relocation
region for relocation or transfer then
activate the facility
— Identify which additional resources are
Within days
required to enable the activity to restart
Relocate activity to a partner or — Establish an agreement with another
a commercial work area recovery organization or contract with a third-
provider party commercial service work area
recovery provider
Relocate the activity to staff’s own — Inspect the work area/space of each
residences nominated home to confirm compliance
with appropriate health and safety and
security policies
— Confirm insurance coverage and liability
Contract a supply of temporary — Contract to supply power, water,
utility feeds heating, lighti
...
SPÉCIFICATION ISO/TS
TECHNIQUE 22331
Première édition
2018-10
Sécurité et résilience — Systèmes
de management de la continuité des
activités — Lignes directrices relatives
à la stratégie de continuité d'activité
Security and resilience — Business continuity management systems
— Guidelines for business continuity strategy
Numéro de référence
©
ISO 2018
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2018
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2018 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Prérequis . 1
4.1 Généralités . 1
4.2 Contexte de l'organisme . 2
4.3 Parties intéressées . 2
4.4 Rôles, autorités et compétences en matière de continuité d'activité . 2
4.4.1 Généralités . 2
4.4.2 Rôles dans la stratégie de continuité d'activité . 2
4.4.3 Autorités dans la stratégie de continuité d'activité . 3
4.4.4 Compétences dans la stratégie de continuité d'activité . 3
4.5 Engagement de la direction . 3
4.6 Ressources pour la stratégie de continuité d'activité . 4
4.7 Bilan d'impact sur l'activité et appréciation du risque . 4
5 Déroulement de la détermination et de la sélection d'une stratégie de continuité
d'activité . 4
5.1 Généralités . 4
5.2 Principes . 5
5.3 Planification et gestion. 6
5.3.1 Vue d'ensemble . 6
5.3.2 Considérations relatives à la conception initiale de la stratégie . 7
5.3.3 Surveillance et amélioration continue de la stratégie . 7
5.4 Analyse des écarts de la stratégie de continuité d'activité . 8
5.5 Détermination des stratégies de continuité d'activité . 8
5.5.1 Vue d'ensemble . 8
5.5.2 Consolidation de la stratégie de continuité d'activité . 9
5.5.3 Catégories de stratégies de continuité d'activité . 9
5.5.4 Types de stratégies de continuité d'activité pour les activités et ressources .10
5.6 Sélection de stratégies de continuité d'activité .20
5.6.1 Généralités .20
5.6.2 Stratégies de protection des activités et ressources prioritaires .20
5.6.3 Stratégies de reprise et de rétablissement des activités et ressources
prioritaires .20
5.6.4 Approbation des stratégies sélectionnées .24
6 Étapes suivantes après la détermination et la sélection de stratégies de continuité
d'activité .25
6.1 Mise en œuvre des stratégies de continuité d'activité .25
6.2 Établissement et mise en œuvre de procédures de continuité d'activité .25
7 Surveillance et passage en revue des stratégies de continuité d'activité .25
7.1 Revue des performances .25
7.2 Revue de direction .26
Annexe A (informative) Stratégie de continuité d'activité dans un système de management
de la continuité d'activité ISO 22301 .27
Bibliographie .28
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www .iso .org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/fr/members .html.
iv © ISO 2018 – Tous droits réservés
Introduction
Le présent document fournit des lignes directrices détaillées pour la détermination et la sélection d'une
stratégie de continuité d'activité. Il est cohérent avec les exigences de l'ISO 22301. Il s'applique aux
performances de tout effort de détermination et de sélection d'une stratégie de continuité d'activité,
qui s'inscrit soit dans le cadre d'un système de management de la continuité d'activité (SMCA), soit dans
le cadre d'un programme de continuité d'activité. Au sens du présent document, le terme «programme
de continuité d'activité» se réfère à un SMCA ou à un programme de continuité d'activité.
Il convient que l'organisme, pour la détermination et la sélection d'une stratégie de continuité d'activité,
prévoie des options de stratégie pour:
— protéger les activités prioritaires;
— stabiliser, poursuivre, reprendre et rétablir les activités prioritaires;
— atténuer les impacts, y répondre et les gérer (voir l'ISO 22301:2012, 8.3).
NOTE Dans le présent document, les options de stratégie de continuité d'activité ont la même signification
que les termes «solutions» et «capacités».
La Figure 1 décrit la manière dont le processus de détermination et de sélection d'une stratégie de
continuité d'activité s'inscrit dans le programme de continuité d'activité dans son ensemble. Le bilan
d'impact sur l'activité et l'appréciation du risque fournissent les exigences applicables à une diversité
de stratégies de continuité d'activité. La détermination et la sélection d'une stratégie de continuité
d'activité sont à la base de l'élaboration de procédures efficaces en matière de continuité d'activité.
NOTE Source: ISO 22313:2012, Figure 5.
Figure 1 — Éléments de management de la continuité d'activité
Le bilan d'impact sur l'activité consiste à identifier les exigences de délivrance des produits/services
et les délais prioritaires pour le rétablissement de l'activité et des ressources. Le bilan d'impact sur
l'activité permet à l'organisme de déterminer les ressources nécessaires à l'exécution des activités
prioritaires (par exemple: installations, personnes, équipements, information, ressources liées aux
technologies de l'information et des communications, fournitures et financement). Le bilan d'impact
sur l'activité identifie également les interdépendances entre les activités et les dépendances vis-à-vis
des chaînes d'approvisionnement, des partenaires et des autres parties intéressées.
L'appréciation du risque consiste à identifier, analyser et évaluer le risque de perturbation de l'activité,
ainsi qu'à identifier les options de traitement du risque.
La stratégie de continuité d'activité traite les résultats issus du bilan d'impact sur l'activité et de
l'appréciation du risque, et détermine la manière dont l'organisme peut renforcer sa résilience et sa
capacité à faire face à une grande diversité d'incidents perturbateurs.
Le présent document vise à fournir des recommandations qui permettront aux organismes:
— d'identifier une diversité d'options de stratégie de continuité d'activité;
— de sélectionner les capacités appropriées sur la base des exigences de continuité d'activité;
— d'assurer durablement l'adéquation de leurs stratégies de continuité d'activité;
— de coordonner efficacement la détermination et la sélection d'une stratégie de continuité d'activité
au sein du programme global de continuité d'activité.
La détermination et la sélection d'une stratégie de continuité d'activité ont pour résultats:
— des mesures pour tenter de diminuer la fréquence des incidents perturbateurs et l'impact associé à
de tels incidents;
— l'identification des ressources financières nécessaires pour répondre à un incident perturbateur;
— des capacités efficaces de communications internes et externes;
— des capacités alternatives d'espaces de travail pour faire face à la perte ou à l'inaccessibilité des locaux;
— des dispositifs pour faire face à une indisponibilité du personnel;
— des méthodes alternatives pour maintenir, fixer et remplacer les ressources nécessaires à l'exécution
des activités en cas de perte;
— des capacités permettant, en cas de perte, de rétablir les ressources de technologie de l'information
et de la communication (TIC), y compris les données;
— des moyens alternatifs de délivrer des produits et services en cas de perturbation de la chaîne
d'approvisionnement.
La Figure 2 décrit le processus de détermination et de sélection d'une stratégie de continuité d'activité,
ainsi que ses prérequis et sa relation avec l'élaboration de procédures de continuité d'activité.
Figure 2 — Approche de la détermination, de la sélection et de la mise en œuvre d'une stratégie
de continuité d'activité
vi © ISO 2018 – Tous droits réservés
SPÉCIFICATION TECHNIQUE ISO/TS 22331:2018(F)
Sécurité et résilience — Systèmes de management de la
continuité des activités — Lignes directrices relatives à la
stratégie de continuité d'activité
1 Domaine d'application
Le présent document fournit des recommandations pour la détermination et la sélection d'une stratégie
de continuité d'activité. Il s'applique à tous les organismes, quels que soient leur type, leur taille et leur
nature, qu'ils appartiennent au secteur privé, au secteur public ou au secteur non lucratif.
Il est destiné aux personnes qui sont responsables du processus de détermination et de sélection d'une
stratégie ou qui y participent.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
Guide ISO 73, Management du risque — Vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l'ISO 22300 et le Guide ISO 73
s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https: //www .iso .org/obp
— IEC Electropedia: disponible à l’adresse http: //www .electropedia .org/
4 Prérequis
4.1 Généralités
Bien que le présent document soit cohérent avec l'ISO 22301, il peut également être utilisé pour la
détermination et la sélection d'une stratégie de continuité d'activité visant à s'aligner sur ou souscrire à
d'autres normes, obligations ou exigences réglementaires. Quelle que soit l'approche retenue, il convient
de satisfaire à un certain nombre de prérequis.
Avant d'entreprendre le processus de détermination et de sélection d'une stratégie de continuité
d'activité, il convient que l'organisme:
— définisse le contexte et le domaine d'application (4.2);
— comprenne les besoins et les attentes des parties intéressées (4.3);
— définisse et communique les rôles et les responsabilités (4.4);
— obtienne un engagement de leadership et de management (4.5);
— affecte les ressources adéquates (4.6);
— réalise un bilan d'impact sur l'activité (4.7);
— réalise une appréciation du risque (4.7).
NOTE Voir l'Annexe A pour une mise en correspondance de chaque prérequis ou tâche du processus de
détermination et de sélection d'une stratégie avec l'ISO 22301.
4.2 Contexte de l'organisme
Les aspects de contexte qui ont une importance particulière du point de vue de la stratégie de continuité
d'activité sont notamment:
— l'environnement extérieur de l'organisme, en raison de son influence sur l'aptitude de l'organisme à
rétablir la délivrance des produits et services à ses clients;
— les lois, réglementations et autres obligations légales qui spécifient des exigences obligatoires ou
influencent d'une quelque autre manière la stratégie de continuité d'activité.
4.3 Parties intéressées
Pour être efficace, il convient que la continuité d'activité réponde aux besoins et attentes des parties
intéressées. Il convient, par conséquent, que l'organisme identifie ses parties intéressées et détermine
leurs exigences sur la base d'une analyse de leurs besoins et de leurs attentes.
4.4 Rôles, autorités et compétences en matière de continuité d'activité
4.4.1 Généralités
Il convient que la direction détermine les rôles nécessaires pour la détermination et la sélection
d'une stratégie de continuité d'activité afin de s'assurer que les responsabilités et autorités sont bien
attribuées et communiquées au sein de l'organisme.
4.4.2 Rôles dans la stratégie de continuité d'activité
Les rôles pertinents pour la détermination d'une stratégie de continuité d'activité sont notamment de:
— promouvoir le programme de continuité d'activité et le processus de détermination et de sélection
d'une stratégie;
— superviser la mise en œuvre et surveiller en continu le programme de continuité d'activité;
— gérer le processus de détermination et de sélection d'une stratégie de continuité d'activité;
— gérer les projets de stratégie de continuité d'activité.
À cet égard, il peut être nécessaire d'affecter certaines tâches, notamment:
— fournir des conseils et des recommandations en continu quant à la conduite du processus de
détermination et de sélection d'une stratégie de continuité d'activité;
— sélectionner des méthodes et identifier les résultats exigés;
— prendre des décisions concernant les exigences en matière de ressources et le traitement des
risques;
— déterminer les compétences requises pour la détermination et la sélection d'une stratégie de
continuité d'activité;
2 © ISO 2018 – Tous droits réservés
— s'assurer que les exigences de continuité d'activité sont satisfaites.
4.4.3 Autorités dans la stratégie de continuité d'activité
La détermination de stratégies de continuité d'activité peut se révéler difficile et compliquée. Elle exige
de bien comprendre la manière de s'y prendre et de connaître en détail l'organisme et ses processus. Les
stratégies sélectionnées peuvent également exiger des ressources et des dépenses en immobilisations
conséquentes.
Il est donc important que les responsables de la détermination et de la sélection des stratégies
bénéficient de l'appui total de la direction et qu'ils incluent des personnes qui:
— ont une perspective couvrant l'ensemble de l'organisme;
— connaissent la stratégie métier actuelle et future;
— disposent d'une autorité décisionnelle;
— comprennent de manière détaillée les produits, services, processus, activités et ressources de
l'organisme;
— soient familiarisées avec le processus décisionnel de l'organisme et ses exigences pour les dépenses
en immobilisations;
— comprennent les résultats du bilan d'impact sur l'activité et de l'appréciation du risque, et
comprennent le processus de détermination et de sélection d'une stratégie de continuité d'activité.
4.4.4 Compétences dans la stratégie de continuité d'activité
Il convient que l'organisme s'assure de la compétence des personnes qui pilotent le processus de
détermination et de sélection d'une stratégie de continuité d'activité ou qui y prennent part. Il convient
que les compétences comprennent des qualifications et des aptitudes liées aux aspects suivants:
— planification et gestion de projet/programme;
— collecte d'informations;
— analyse, y compris résolution des problèmes et analyse coût/bénéfice;
— communication et collaboration efficaces;
— traduction des objectifs organisationnels, des exigences relatives à la continuité d'activité et des
besoins en ressources en stratégies de continuité d'activité;
— application des principes de la continuité d'activité dans la détermination d'une stratégie adaptée
au contexte de l'organisme;
— connaissance de l'organisme, de ses produits et services, de ses processus, activités et ressources,
ainsi que des résultats du bilan d'impact sur l'activité et de l'appréciation du risque.
4.5 Engagement de la direction
L'engagement de la direction est vital pour:
— s'assurer que l'organisme sélectionne les stratégies de continuité d'activité les plus appropriées sur
la base des exigences de continuité d'activité qui ont été approuvées;
— s'assurer que l'organisme satisfait à ses obligations légales, réglementaires et contractuelles avant
et après l'apparition d'un incident perturbateur.
La direction peut démontrer son engagement de différentes manières, par exemple:
— s'assurer que les ressources nécessaires soient mobilisées;
— participer à la sélection des stratégies de continuité d'activité les plus appropriées.
4.6 Ressources pour la stratégie de continuité d'activité
Il convient que l'organisme détermine et fournisse les ressources nécessaires pour la détermination et
la sélection d'une stratégie de continuité d'activité, ce afin:
— de se conformer à sa propre politique de continuité d'activité et d'atteindre ses objectifs en matière
de continuité d'activité;
— d'assurer la surveillance et l'amélioration continue de ses stratégies de continuité d'activité.
Il convient d'identifier les ressources et leur affectation dans les plans d'activité et de les passer en
revue périodiquement afin de s'assurer de leur adéquation. Il peut être approprié d'impliquer la
direction dans ce passage en revue.
4.7 Bilan d'impact sur l'activité et appréciation du risque
Il convient que l'organisme réalise un bilan d'impact sur l'activité et une appréciation du risque en vue
de déterminer les exigences de continuité d'activité de ses produits, services, processus et activités,
notamment:
— leur priorité;
— leurs délais de reprise;
— leurs niveaux de service minimaux;
— les ressources exigées;
— leurs interdépendances;
— leurs dépendances vis-à-vis des fournisseurs externes.
Pour les activités prioritaires, il convient également d'identifier les aspects suivants au cours du bilan
d'impact sur l'activité et de l'appréciation du risque:
— les exigences en matière de sauvegarde de données, y compris la tenue à jour des données;
— les risques pour l'activité et ses dépendances;
— les traitements de risques déjà en place.
5 Déroulement de la détermination et de la sélection d'une stratégie de
continuité d'activité
5.1 Généralités
Le processus de détermination et de sélection d'une stratégie de continuité d'activité a pour résultat
des capacités que l'organisme peut mettre en œuvre et améliorer au fil du temps afin d'atténuer les
effets d'un risque de perturbation de l'activité et d'améliorer son aptitude à répondre à un incident
perturbateur et à se rétablir, en cohérence avec les exigences de continuité d'activité.
Il convient que l'organisme ait en place un mécanisme de détermination et de sélection d'une stratégie
de continuité d'activité comprenant le passage en revue et l'approbation des solutions recommandées.
4 © ISO 2018 – Tous droits réservés
Le présent article décrit le processus de détermination et de sélection, ainsi que les principes et
hypothèses nécessaires pour déterminer et sélectionner les capacités les plus appropriées.
5.2 Principes
Les lignes directrices contenues dans le présent article sont basées sur les principes suivants.
— Il est exigé d'établir des stratégies pour:
— protéger les activités prioritaires contre les perturbations;
— stabiliser, poursuivre, reprendre et rétablir les activités prioritaires, les dépendances et les
ressources qui ont été perturbées.
— Il convient que la détermination et la sélection de stratégies de continuité d'activité se basent sur les
résultats du bilan d'impact sur l'activité et sur l'appréciation du risque.
— Il convient que les stratégies délivrent les exigences de continuité d'activité qui sont nécessaires à la
réalisation des objectifs de continuité d'activité:
— l'objectif de délai de rétablissement (RTO) pour une ressource peut être plus long que celui
établi pour une activité, en raison des exigences métiers qui peuvent inclure la disponibilité de
solutions de contournement;
— le RTO d'une ressource peut être plus court que celui d'une activité si la ressource implique une
longue période de configuration ou si elle est partagée avec d'autres activités ayant des RTO
plus stricts.
— En règle générale, plus la priorité sera élevée (et donc plus le RTO sera court) pour un produit,
service, processus ou activité selon le bilan d'impact sur l'activité, plus la stratégie de rétablissement
appropriée sera complexe et coûteuse.
— Ne rien faire:
— est une stratégie acceptable lorsque le temps est suffisant, après une perturbation, pour
trouver les ressources requises et reprendre l'activité avant que la non-délivrance de produits
et services n'ait des impacts inacceptables sur l'organisme;
— n'est pas une stratégie acceptable si le management décide de ne pas mettre en œuvre les
capacités appropriées, et si cette inaction peut empêcher de délivrer les produits ou services
en deçà de leur RTO; dans ce cas, il convient d'exclure explicitement ces produits et services du
domaine d'application du SMCA.
— Le contexte professionnel dans lequel l'organisme évolue peut également déterminer l'applicabilité
des options de stratégie pour ses produits et services. Par exemple:
— un organisme du secteur public (tel qu'un service d'urgence local) peut s'appuyer sur des
organismes voisins similaires afin d'assurer sa prestation de services s'il se trouve dans
l'incapacité de le faire (ce qu'on peut appeler «l'assistance mutuelle»);
— un organisme commercial peut, de manière similaire, envisager de recourir à l'externalisation
afin de fournir ses produits et services pendant une perturbation. Le fait de diriger des clients
vers un concurrent peut cependant, à long terme, se traduire par une perte d'affaires. L'organisme
commercial peut donc décider de conserver sa capacité de rétablissement en interne.
— Certaines règles statutaires ou réglementaires peuvent interdire l'externalisation à d'autres
organismes si une telle stratégie peut réduire la résilience globale du secteur ou entraîner des failles
au niveau de la sécurité de l'information.
— Il convient de considérer les cas de perturbation les plus graves auxquels l'organisme est préparé
à faire face par le biais de son programme de continuité d'activité sans compromettre ses objectifs
courants.
— Il convient que toute ressource alternative soit localisée à une distance de séparation suffisante de
la ressource primaire. Il n'y a pas de distance de séparation spécifique ou spécifiée pour l'ensemble
des organismes et ressources. La distance peut être déterminée sur la base de la vraisemblance
perçue des événements destructeurs à grande échelle dont l'organisme cherche à se protéger. Les
facteurs à prendre en compte peuvent inclure:
— les événements climatiques;
— la qualité de l'environnement;
— la stabilité géologique;
— la résilience de l'infrastructure;
— la stabilité politique.
— La diversité des ressources, et notamment des fournisseurs, peut assurer une certaine protection.
— Il convient que l'évaluation des stratégies prenne en considération les aspects suivants.
— Fiabilité: la stratégie va-t-elle fonctionner? Sera-t-il possible de soumettre à essai l'efficacité de
la stratégie avant qu'un incident ne se produise?
— Agilité: la stratégie est-elle suffisamment flexible ou adaptable pour faire face à des changements
de circonstances?
— Risque: quel est le risque que la stratégie soit inefficace en raison de l'indisponibilité des
ressources?
— Coût/bénéfice: la stratégie satisfait-elle aux objectifs de continuité d'activité moyennant un
coût justifiable?
— Contexte: la stratégie tient-elle compte des facteurs humains, culturels, politiques et techniques?
— Lorsque des stratégies dépendent de fournisseurs clés, il convient d'évaluer la continuité de l'activité
de ces fournisseurs.
— Il convient de mobiliser des ressources suffisantes pour mettre en œuvre les options de stratégie
sélectionnées.
— Il convient que l'organisme ait en place un mécanisme pour le passage en revue et l'approbation des
solutions recommandées.
5.3 Planification et gestion
5.3.1 Vue d'ensemble
La planification et la gestion du projet de détermination et de sélection d'une stratégie de continuité
d'activité permettent à l'organisme d'optimiser et de coordonner les ressources et les délais. Il convient
que l'organisme identifie une grande diversité d'options de stratégie puis mette en œuvre la stratégie
choisie sous la forme d'un ou plusieurs projets.
Les tâches à cet égard peuvent inclure:
— la décision sur le domaine d'application du processus de détermination et de sélection de la stratégie
de continuité d'activité;
— la communication des attentes auprès des participants au processus de détermination et de sélection
de la stratégie;
— l'identification de la personne chargée de promouvoir la détermination et la sélection de la stratégie,
et la participation de la direction;
6 © ISO 2018 – Tous droits réservés
— la spécification des compétences pour les responsabilités en matière de détermination et de sélection
de la stratégie;
— l'établissement du plan du projet;
— l'affectation des ressources pour la détermination et la sélection de la stratégie;
— l'obtention de l'acceptation de l'approche et du plan du projet;
— le développement en interne ou la recherche à l'extérieur de l'expertise nécessaire à la réalisation
des objectifs du processus de détermination et de sélection de la stratégie;
— l'élaboration de rapports périodiques sur l'état d'avancement du processus de détermination et
de sélection de la stratégie, en vue d'améliorer les performances en ligne avec les attentes de la
direction;
— l'ajustement de l'approche et du domaine d'application du processus de détermination et de sélection
de la stratégie, afin de répondre aux attentes de la direction ainsi qu'aux exigences externes
(obligations réglementaires, statutaires, venant des clients et contractuelles);
— la collecte et le passage en revue des enseignements tirés;
— la formulation de recommandations en vue d'améliorer pour le futur l'approche de la détermination
et de la sélection de la stratégie.
5.3.2 Considérations relatives à la conception initiale de la stratégie
Il convient qu'un organisme qui entreprend pour la première fois un processus de détermination et de
sélection d'une stratégie prévoie du temps pour:
— créer un état de conscience;
— négocier les exigences de continuité d'activité;
— réaliser une analyse des écarts;
— identifier les options de stratégie disponibles;
— entreprendre une analyse coût/bénéfice.
5.3.3 Surveillance et amélioration continue de la stratégie
Une fois qu'un organisme sélectionne et met en œuvre des stratégies de continuité d'activité, il
convient qu'il en surveille les performances pour s'assurer que les stratégies continuent de satisfaire
aux exigences de continuité d'activité. Si les stratégies ne satisfont pas aux exigences, il convient que
l'organisme reprenne le processus de détermination et de sélection de la stratégie afin d'ajuster les
capacités de la stratégie pour satisfaire aux exigences de continuité d'activité.
En outre, une fois que l'organisme a effectué le bilan d'impact sur l'activité, il convient qu'il s'assure que
les stratégies retenues pour satisfaire aux exigences de continuité d'activité constituent la meilleure
option possible et qu'il n'existe aucune meilleure option. Au fil du temps, l'organisme peut trouver des
stratégies qui:
— se révèlent plus adaptées ou plus économiques;
— exigent moins de ressources;
— assurent un rétablissement plus rapide ou plus aisé;
— sont plus aptes à répondre aux besoins de l'organisme.
5.4 Analyse des écarts de la stratégie de continuité d'activité
Après le bilan d'impact sur l'activité et l'appréciation du risque, il convient que l'organisme effectue une
analyse des écarts en comparant ses exigences de continuité d'activité approuvées (temps et capacité) à
ses capacités de réponse et de rétablissement actuelles.
Il convient que l'organisme confirme que les capacités actuelles satisfont aux exigences de continuité
d'activité en exécutant les actions suivantes:
a) séquencer les résultats du bilan d'impact sur l'activité en fonction du RTO des produits/services,
processus, activités et ressources;
b) résumer les performances des stratégies de continuité d'activité actuelles, y compris l'aptitude à
répondre aux attentes de délai et de capacité;
c) comparer les performances des stratégies de continuité d'activité aux exigences de continuité
d'activité;
1) Les performances de la stratégie de continuité d'activité peuvent être déterminées sur la
base des résultats obtenus lors d'incidents perturbateurs ainsi qu'au cours d'exercices, et
éventuellement sur la base des accords de niveau de service ou des obligations contractuelles si
la stratégie est assurée par une tierce partie.
d) déterminer les domaines dans lesquels les performances de réponse et de rétablissement actuelles
sont insuffisantes (autrement dit, là où la durée de l'interruption est supérieure et/ou la capacité
inférieure au niveau exigé), révélant des écarts par rapport aux attentes des parties intéressées;
e) déterminer les domaines dans lesquels les performances de réponse et de rétablissement actuelles
dépassent les attentes (autrement dit, là où la durée de l'interruption est inférieure et/ou la capacité
supérieure au niveau exigé), révélant un surinvestissement par rapport aux attentes des parties
intéressées;
f) présenter les écarts et les surinvestissements identifiés, et les faire reconnaître par le management,
avant de déterminer les stratégies de continuité d'activité. En cas d'écarts, il convient que le
management demande à ce que les stratégies de continuité d'activité fassent l'objet d'investigations
sur la base de l'impact anticipé sur l'organisme. En cas de surinvestissement, le management peut
demander que soient étudiées des stratégies alternatives de continuité d'activité;
g) prioriser la mise en œuvre des stratégies de continuité d'activité sur la base des écarts ou
surinvestissements reconnus par le management.
5.5 Détermination des stratégies de continuité d'activité
5.5.1 Vue d'ensemble
Il convient que l'organisme détermine les options de stratégie disponibles pour l'organisme afin de
combler les écarts et de réduire les surinvestissements, et que, si possible, ces options apportent des
bénéfices supplémentaires dans les conditions normales d'activité.
Il se peut que les résultats de la détermination de la stratégie au niveau des produits, services,
processus ou activités signifient qu'il n'est pas nécessaire de développer des stratégies de recherche
de ressources. Par exemple, si la stratégie consiste à externaliser la délivrance d'un service auprès d'un
organisme tierce partie, le rétablissement de la capacité associée peut être géré par le dispositif de
la tierce partie, pendant que l'organisme se centre sur la restauration des ressources affectées (par
exemple, la reconstruction d'une installation).
8 © ISO 2018 – Tous droits réservés
5.5.2 Consolidation de la stratégie de continuité d'activité
Si un grand nombre d'activités exigent une ressource spécifique (par exemple, un système logiciel),
l'organisme peut élaborer une stratégie de continuité d'activité consolidée afin de satisfaire aux
exigences de continuité de l'activité la plus prioritaire (associée au plus court RTO).
De la même manière, si un grand nombre d'activités sont supposées adopter la même stratégie de
continuité d'activité (par exemple, dix activités à l'étage 7 du bâtiment A à déménager à l'étage 3 du
bâtiment B), l'organisme peut élaborer une stratégie de continuité d'activité consolidée plutôt que de
reproduire plusieurs fois la même stratégie.
Il peut également se révéler nécessaire de sélectionner des stratégies différentes au fur et à mesure
après un incident. Par exemple, certaines personnes peuvent être en mesure de travailler à domicile
quelques jours à la suite d'un incident, mais l'organisme peut avoir besoin de fournir un espace de
travail alternatif.
5.5.3 Catégories de stratégies de continuité d'activité
Les organismes peuvent utiliser un cadre pour classer en catégories ou en groupes les stratégies de
continuité d'activité destinées à rétablir les ressources, sur la base des plages de RTO définies, ce qui
aligne les stratégies appropriées sur les RTO d'activités et de ressources. Les catégories ne sont qu'une
convention de dénomination utilisée pour organiser les options de stratégie qu'emploie un organisme
dans la conversation. Exemples de catégorisation:
— Catégories A, B, C et D;
— Platine, Or, Argent et Bronze;
— Niveaux 1, 2, 3 et 4.
Si un organisme a recours à la catégorisation, il est important d'éviter les noms de catégories qui
peuvent évoquer une réponse émotionnelle chez une partie intéressée du programme de continuité
d'activité, ce qui pourrait conduire à sélectionner une stratégie inappropriée. Par exemple, attribuer le
nom «critique» à une catégorie.
En cas de recours à la catégorisation, il convient que l'organisme désigne un délai spécifique pour
chaque catégorie.
La Figure 3 donne un exemple de cadre conceptuel couvrant les catégories de stratégies au fil du temps.
Ce cadre est aligné sur les principes clés des exigences de continuité d'activité, d'urgence, autrement dit
de continuité et de restauration, sur la base du degré d'urgence de chaque produit, service, processus,
activité ou ressource du point de vue des parties intéressées. Les RTO les plus courts (Catégorie A)
exigent des capacités et des dispositifs bien plus complexes, détaillés et coûteux comparativement
aux produits, services, processus, activités ou ressources qui peuvent tolérer le RTO le plus long
(Catégorie D).
Figure 3 — Catégories de stratégies au fil du temps
Il convient que l'organisme détermine le nombre de catégories et la période de temps couverts par
chaque catégorie. Les catégories se chevauchent, c'est-à-dire qu'une stratégie qui satisfait aux exigences
de temps de la Catégorie A satisfera également à celles des Catégories B, C et D; que celles de la
Catégorie B satisferont également à celles des Catégories C et D, et ainsi de suite.
5.5.4 Types de stratégies de continuité d'activité pour les activités et ressources
Le cadre suivant pour catégoriser les stratégies de continuité d'activité peut être appliqué aux activités
et ressources.
Il convient que l'organisme, en prérequis pour déterminer des options de stratégie viables, identifie
les points à résoudre pour assurer la faisabilité de sa stratégie. Les tableaux et informations des
paragraphes ci-dessous donnent des exemples pouvant servir de point de départ utile et rapide.
L'objectif des stratégies résumées dans les Tableaux 1 à 8 est de s'assurer que chaque activité ou
ressource soit maintenue, et que le réapprovisionnement, la réparation, le remplacement ou la
délivrance de ressources alternatives soient obtenus conformément aux exigences de continuité
d'activité approuvées pour l'activité spécifique concernée. Chaque tableau fournit des exemples
d'options de stratégie classées en catégories en fonction du temps minimal approximatif pendant lequel
elles peuvent fonctionner après le début d'un incident perturbateur; il fournit certains prérequis à
prendre en considération pour la planification en amont d'un incident.
Tableau 1 — Personnes
Temps de
rétablissement Exemples d'options de stratégie Prérequis
minimal efficace
Un autre personnel sur le même lieu, — Assurer une formation polyvalente au
possédant les compétences/capacités personnel travaillant sur le même lieu
requises, prend le relais
— Documenter les processus métiers
habituels
Un personnel travaillant sur un — Assurer une formation polyvalente
lieu non affecté, possédant les au personnel travaillant sur un lieu
compét
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.