ISO/TS 22318:2021
(Main)Security and resilience — Business continuity management systems — Guidelines for supply chain continuity management
Security and resilience — Business continuity management systems — Guidelines for supply chain continuity management
This document gives guidance on methods for understanding and extending the principles of business continuity embodied in ISO 22301 and ISO 22313 to the management of supplier relationships. It enables an organization to develop and document the strategy to be better prepared to manage supply chain continuity. This document is generic and applicable to all organizations. It is applicable to suppliers of products, services and resources, both upstream and downstream. Supply chain continuity management (SCCM) specifically considers the issues faced by an organization which relies on the continuity of supply of resources as well as the ability to continue delivery of its products and services. The objective of SCCM is to protect the organization’s business activities from supply chain disruption.
Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices pour le management de la continuité de la chaîne d'approvisionnement
Le présent document fournit des lignes directrices sur les méthodes permettant de comprendre et d’étendre les principes de la continuité d’activité contenus dans l’ISO 22301 et l’ISO 22313 au management des relations avec les fournisseurs. Il permet à un organisme de développer et de documenter la stratégie pour être mieux préparé à manager la continuité de la chaîne d’approvisionnement. Le présent document est générique et applicable à tous les organismes. Il s’applique aux fournisseurs de produits, de services et de ressources, tant en amont qu’en aval. Le management de la continuité de la chaîne d’approvisionnement (SCCM) prend spécifiquement en considération les questions auxquelles est confronté un organisme qui s’appuie sur la continuité de l’approvisionnement en ressources ainsi que sur la capacité à poursuivre la fourniture de ses produits et services. L’objectif du SCCM est de protéger les activités commerciales de l’organisme contre les perturbations de la chaîne d’approvisionnement.
General Information
Relations
Buy Standard
Standards Content (Sample)
TECHNICAL ISO/TS
SPECIFICATION 22318
Second edition
2021-12
Security and resilience — Business
continuity management systems —
Guidelines for supply chain continuity
management
Reference number
ISO/TS 22318:2021(E)
© ISO 2021
---------------------- Page: 1 ----------------------
ISO/TS 22318:2021(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2021
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO 2021 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/TS 22318:2021(E)
Contents Page
Foreword .v
Introduction . vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 The value of supply chain continuity management . 1
4.1 The supply chain . 1
4.1.1 General . 1
4.1.2 Supply chain model . 2
4.2 Supply chain continuity management . 3
4.2.1 General . 3
4.2.2 Embedding SCCM . 4
4.2.3 Benefits and opportunities . 5
4.3 Risk ownership . . 5
4.4 SCCM ownership . 5
5 BCMS prerequisites for SCCM .6
5.1 General . 6
5.2 Obtain top management commitment . 6
5.2.1 Accountability and responsibility . 6
5.2.2 Resources for managing SCCM . 6
5.2.3 SCCM framework . 6
5.2.4 Performance evaluation programme . 7
5.3 Promulgate business continuity principles throughout the supply chain . 7
5.4 Analyse continuity requirements and assess risk . 7
5.4.1 General . 7
5.4.2 Continuity requirements. 8
5.4.3 Risk assessment . 8
6 Effective SCCM .9
6.1 General . 9
6.2 Identify strategies and solutions . 9
6.2.1 General . 9
6.2.2 Option 1 — Reduce dependency and impact . 10
6.2.3 Option 2 — Rely on the organization’s business continuity strategies and
solutions . 10
6.2.4 Option 3 — Rely on the supplier’s business continuity strategies and
solutions . 11
6.2.5 Option 4 — Do nothing and retain the risk by informed decision .12
6.3 Assess suppliers’ continuity compliance .12
6.4 Establish contractual obligations .12
6.4.1 General .12
6.4.2 Principles to establish the continuity requirements in the contract .12
6.4.3 Continuity requirements. 13
6.5 Review and update . 14
7 Maintenance, performance and continual improvement .14
7.1 General . 14
7.2 Maintenance . 14
7.3 Performance evaluation . 15
7.4 Continual improvement .15
Annex A (informative) Example of general questions to be sent to priority suppliers .17
Annex B (informative) Managing priority suppliers’ disruptions .18
iii
© ISO 2021 – All rights reserved
---------------------- Page: 3 ----------------------
ISO/TS 22318:2021(E)
Annex C (informative) Examples of joint exercises with suppliers .19
Bibliography .20
iv
© ISO 2021 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/TS 22318:2021(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
This second edition cancels and replaces the first edition (ISO/TS 22318:2015), which has been
technically revised. The main changes are as follows:
— the document has been updated to reflect changes made to ISO 22301:2019;
— the upstream and downstream relationships within the supply chain have been clarified;
— the title has been updated;
— “key points” have been deleted as their concepts are included in the clauses;
— new diagrams have been inserted;
— annexes have been inserted.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
v
© ISO 2021 – All rights reserved
---------------------- Page: 5 ----------------------
ISO/TS 22318:2021(E)
Introduction
The focus of this document is on establishing appropriate levels of continuity within an organization’s
supply chain. It assumes that the organization seeking to establish supply chain continuity management
(SCCM) is aware of the principles of business continuity. It is intended to be useful to those with
responsibility for the continuity of the supply chain for resources required by the organization to
produce and deliver its products and services. The guidelines given in this document also have relevance
when the organization is the supplier as the organization can then prepare to meet the continuity
expectations of its customers as well as consider vulnerabilities which can arise when dependent on a
single customer.
This document considers the continuity implications to the organization if its suppliers do not have
adequate continuity in place.
Organizations rely on resources to be delivered on time and at an agreed quality and cost. These include,
for example, materials, labour, information and data, workplace, facilities and associated utilities,
equipment, consumables, information communication technology (ICT) systems, transportation,
logistics, finance and other services required to support the business activities of the organization.
This is referred to as “upstream”.
Organizations also rely on being able to deliver their products and services to their customers,
whether they are the next link in the supply chain or the end customer. Product and service delivery
(e.g. transportation, logistics, implementation services, machinery installation services) is performed
by the organization or by a third party under the organization’s responsibility. This is referred to as
“downstream”.
An organization needs to recognize the potential impact of not resuming activities within an acceptable
time frame due to supply chain disruption. Failure by a supplier to deliver resources on time at an
agreed quality and cost can trigger a business disruption. The organization needs to take account
of and manage conflicting objectives such as reducing supply chain cost by reducing cycle times or
buffer stock and managing the supply chain continuity risk arising from a single source and just-in-
time supply approaches. The organization needs to achieve an acceptable balance between risks and
continuity measures.
The criticality of suppliers and the required recovery time is determined during the business impact
analysis (BIA) (see ISO/TS 22317) phase of the business continuity management system (BCMS).
Priority suppliers are those who support prioritized activities and are identified as having the greatest
impact if they fail to deliver resources, thereby impacting the organization’s ability to deliver its own
products or services.
The “supplier tier” defines the supplier’s relationship with the organization. A contracted supplier
(Tier 1) has a direct relationship with the organization, while an indirect supplier (Tier 2 and beyond)
provides resources to a contracted supplier and, as a result, is more difficult to control. Suppliers should
be encouraged to implement SCCM within their own supply chain, which will improve the continuity of
the whole supply chain.
This document expressly excludes:
— customer management issues, such as retention and impact as a result of new or lost clients;
— supply chain activities within the organization; internal suppliers within the scope of the BCMS
should be identified as dependencies or interdependencies and their ability to continue their
deliveries should be part of the organization’s BCMS.
Following the guidance of this document will be beneficial to the supply chain. Suppliers can also
choose to conform to the requirements of the ISO 28000 family of standards for security management
within the supply chain. Conforming to these standards will give organizations further confidence in
the resilience of their supply chain and potentially reduce the risk of disruption when buying resources.
vi
© ISO 2021 – All rights reserved
---------------------- Page: 6 ----------------------
TECHNICAL SPECIFICATION ISO/TS 22318:2021(E)
Security and resilience — Business continuity
management systems — Guidelines for supply chain
continuity management
1 Scope
This document gives guidance on methods for understanding and extending the principles of business
continuity embodied in ISO 22301 and ISO 22313 to the management of supplier relationships. It
enables an organization to develop and document the strategy to be better prepared to manage supply
chain continuity.
This document is generic and applicable to all organizations. It is applicable to suppliers of products,
services and resources, both upstream and downstream.
Supply chain continuity management (SCCM) specifically considers the issues faced by an organization
which relies on the continuity of supply of resources as well as the ability to continue delivery of its
products and services. The objective of SCCM is to protect the organization’s business activities from
supply chain disruption.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Security and resilience — Vocabulary
ISO 22301, Security and resilience — Business continuity management systems — Requirements
ISO 22313, Security and resilience — Business continuity management systems — Guidance on the use of
ISO 22301
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300, ISO 22301 and
ISO 22313 apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
4 The value of supply chain continuity management
4.1 The supply chain
4.1.1 General
Supply chains are growing in length and complexity. Effective SCCM requires the organization to ensure
that each link in its supply chain has effective continuity measures in place.
1
© ISO 2021 – All rights reserved
---------------------- Page: 7 ----------------------
ISO/TS 22318:2021(E)
Supply chains extend beyond the organization’s direct control, with many factors determining the
degree of control including relative size and leverage, geography and the number and type of suppliers.
Besides direct disruptions in the supply chain, the organization should also consider impacts on supply
and demand based on global or local events as well as market dynamics which can result in:
— excessive demand over supply which can cause resource constraints;
— widespread excess of supply which can cause a collapse in demand for the products and services
that the organization provides.
Supply chains have extended due to:
— global access at relatively low cost provided by evolving technology;
— cost-effective international transport;
— changing international trade barriers and the free movement of capital;
— availability of educated and relatively low-cost skilled workers across the world.
Organizations have become more interdependent due to the focus on core value-adding activities and
the trend is to outsource activities, such as logistics, distribution, payroll, catering, cleaning, security
and IT.
4.1.2 Supply chain model
A broad view of a supply chain includes the provision of resources by suppliers to the organization
(upstream), and the delivery of products and services of the organization to its customers (downstream).
It applies to organizations of all types and sizes. Figure 1 illustrates a simple supply chain model and
also shows the relationships and direct influence of the organization, which is within the scope of this
document.
Key
in scope
out of scope
Figure 1 — Supply chain model
2
© ISO 2021 – All rights reserved
---------------------- Page: 8 ----------------------
ISO/TS 22318:2021(E)
NOTE 1 Resources include materials, labour, information and data, workplace, facilities and associated
utilities, equipment, consumables, ICT systems, transportation, logistics, finance and other services required for
the activities of the organization.
NOTE 2 Products and services delivery includes transportation, logistics, implementation, machinery
installation services, etc. performed by the organization or by a third party under the organization’s
responsibility.
It is possible that the end user is not the immediate customer of the products and services. In some
circumstances, the organization needs to consider that post-delivery use and consequences of the
provision of their products and services, beyond the immediate customer, can impact brand and
reputation. The organization can consider contracts to control subsequent use or implement end-user
agreements to limit further downstream transfer.
A supply chain exists where the provision of resources depends on other organizations that are not
under the direct management or control of the organization.
There are different types of relationships that an organization can have:
— upstream relationships:
— long term for recurring resources such as raw material, workspace, professional services;
— one time for infrequent resource acquisition such as special projects;
— professional association such as franchises, supplier associations;
— downstream relationships:
— business-to-business (wholesalers and retailers);
— business-to-customer.
The basis for all these relationships is commitments to meet interested parties’ expectations. These
commitments can either be explicit (e.g. contract or purchase order) or implicit (e.g. what can be
reasonably expected).
Organizations in the supply chain should take into account that the degree of flexibility and the related
control on essential services and heavily regulated suppliers can be constrained, e.g. national electric
companies, telecommunications, internet providers.
NOTE The above relationship types provide examples only and are not intended to be complete.
4.2 Supply chain continuity management
4.2.1 General
SCCM is a management process that identifies potential impacts to an organization from disruption to
its supply chain and provides an approach to manage this. Continuity of the supply chain is important
to all organizations, enabling them to deliver products and services. Disruption to the supply chain can
impact or even prevent the organization from delivering those products and services with consequent
negative effects to its revenue, market share and reputation. Effective SCCM enables the organization to
avoid or minimize the consequences of disruption.
There can be conflict between SCCM and the objectives of supply chain management such as the need to
reduce costs, avoid excessive inventory and optimization of lead times. Organizations should recognize
that effectively managing the supply of resources will lead to increased control of the supply chain,
improved efficiency and help to avoid severe disruptions.
SCCM seeks to identify those suppliers who can significantly impact the organization and ensure
that the organization has implemented strategies and solutions to address these. Formal agreements
with suppliers should ensure appropriate business continuity provisions are made that satisfy the
3
© ISO 2021 – All rights reserved
---------------------- Page: 9 ----------------------
ISO/TS 22318:2021(E)
organization’s requirements. For some suppliers, this will not be possible, e.g. where a large supplier
insists on using its own standard contract terms, and in these cases the organization should develop
strategies and solutions.
Supply chains extend beyond the organization’s direct control. The organization can be vulnerable to
disruptions in suppliers who are remote from the direct contractual relationship (i.e. in Tiers 2, 3, etc.)
and therefore SCCM seeks to promote continuity provisions to those organizations beyond its direct
control.
Effective SCCM, therefore, needs to be embedded in the organization’s own supply chain management;
continuity requirements need to be understood; strategies and solutions defined and implemented;
additional contractual obligations agreed with suppliers and promulgated further where necessary;
checks made that these obligations are met and then ensure that this is all monitored and updated as
required.
4.2.2 Embedding SCCM
For SCCM to be successful it must be effectively embedded within the organization’s existing
processes. Suppliers’ contracts exist within a life cycle of acquisition, operation, review and renewal or
discontinuation. Entry into a new contract or renewing an existing contract presents an opportunity
for the organization to influence future supplier behaviour through the contract and/or service level
changes. Conversely, long-term contractual commitments and high supplier-switching costs can
shift the leverage between the organization and its suppliers, creating resistance to changing future
suppliers’ behaviour. The analysis of the supply chain (see 5.4) will help to identify high-priority
relationships and the requirements and opportunities for implementing SCCM. See Figure 2.
Figure 2 — Embedding SCCM
To embed SCCM, the following are essential:
— prerequisites:
— obtain top management commitment to ensure SCCM is an integral part of the BCMS (see 5.2);
— promulgate business continuity principles throughout the supply chain to promote awareness
and improve effectiveness (see 5.3);
4
© ISO 2021 – All rights reserved
---------------------- Page: 10 ----------------------
ISO/TS 22318:2021(E)
— analyse continuity requirements, as obtained during the BIA process, and assess risks to the
organization (see 5.4);
— SCCM execution:
— identify SCCM-specific strategies and solutions (see 6.2);
— assess priority suppliers’ continuity compliance and ensure that their contracts reflect agreed
continuity measures (see 6.3);
— establish contractual obligations that meet the organization’s requirements (see 6.4);
— review and update the continuity requirements agreed with each supplier (see 6.5).
4.2.3 Benefits and opportunities
Potential benefits for all parties of effective SCCM include:
— better understanding of the supply chain and the impact of potential disruptions;
— improved supplier relationship management to reduce the impact of supply chain disruption;
— improved response to supply chain disruptions resulting from effective collaboration with suppliers;
— identification and mitigation of supply chain risks;
— improved planning, due diligence, assurance and working relationships with suppliers;
— competitive advantage over competitors who do not have effective SCCM.
SCCM presents several opportunities, including:
— improved ability to provide management with information to make effective decisions to allocate
necessary personnel and resources to maintain SCCM;
— effective integration of SCCM responsibilities across the organization through the SCCM owner (see
4.4);
— understanding the suppliers’ continuity capabilities and their requirements of the organization;
— establishment of performance metrics;
— engagement to enhance understanding and strategy relating to suppliers beyond Tier 1.
4.3 Risk ownership
The organization owns and retains the risk that it is not always able to deliver its products and services
to its customers as a consequence of a disruption in its supply chain. It is responsible for mitigating this
risk by being prepared to respond to a supply chain disruption. Customers hold the organization, not its
suppliers, responsible for failure to deliver products and services. For example, an organization’s brand
and reputation are at risk of damage if there is a problem within its supply chain.
4.4 SCCM ownership
The organization should identify those with responsibility for supplier relationship management and
for securing and monitoring supply chain continuity assurance.
SCCM ownership should be delegated to personnel responsible for contracting and purchasing
operations. The responsibility should be closely linked to the wider arrangements for business
continuity within the organization.
5
© ISO 2021 – All rights reserved
---------------------- Page: 11 ----------------------
ISO/TS 22318:2021(E)
The SCCM owner is responsible for:
— ap
...
SPÉCIFICATION ISO/TS
TECHNIQUE 22318
Deuxième édition
2021-12
Sécurité et résilience — Systèmes
de management de la continuité
d'activité — Lignes directrices pour
le management de la continuité de la
chaîne d'approvisionnement
Security and resilience — Business continuity management systems
— Guidelines for supply chain continuity management
Numéro de référence
ISO/TS 22318:2021(F)
© ISO 2021
---------------------- Page: 1 ----------------------
ISO/TS 22318:2021(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2021
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO 2021 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/TS 22318:2021(F)
Sommaire Page
Avant-propos .v
Introduction . vi
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 1
4 La valeur du management de la continuité de la chaîne d’approvisionnement (SCCM) .2
4.1 La chaîne d’approvisionnement . 2
4.1.1 Généralités . 2
4.1.2 Modèle de la chaîne d’approvisionnement . 2
4.2 Management de la continuité de la chaîne d’approvisionnement (SCCM) . 4
4.2.1 Généralités . 4
4.2.2 Intégration du management de la continuité de la chaîne
d’approvisionnement (SCCM). 4
4.2.3 Bénéfices et opportunités . 5
4.3 Propriété du risque . 6
4.4 Propriété du management de la continuité de la chaîne d’approvisionnement
(SCCM). 6
5 Prérequis du système de management de la continuité d’activité (SMCA) pour le
management de la continuité de la chaîne d’approvisionnement (SCCM) .7
5.1 Généralités . 7
5.2 Obtenir l’engagement de la direction générale . 7
5.2.1 Responsabilité . 7
5.2.2 Ressources pour le management de la continuité de la chaîne
d’approvisionnement (SCCM). 7
5.2.3 Cadre du management de la continuité de la chaîne d’approvisionnement
(SCCM) . 7
5.2.4 Programme d’évaluation de la performance . 8
5.3 Promulguer les principes de continuité d’activité dans l’ensemble de la chaîne
d’approvisionnement . 8
5.4 Analyser les exigences de continuité et apprécier le risque . 8
5.4.1 Généralités . 8
5.4.2 Exigences de continuité . 9
5.4.3 Appréciation du risque . 9
6 Un management de la continuité de la chaîne d’approvisionnement (SCCM) efficace .10
6.1 Généralités . 10
6.2 Identifier les stratégies et les solutions . 10
6.2.1 Généralités . 10
6.2.2 Option 1 — Réduire la dépendance et l’impact . 11
6.2.3 Option 2 — S’appuyer sur les stratégies et solutions de continuité d’activité
de l’organisme .12
6.2.4 Option 3 — S’appuyer sur les stratégies et solutions de continuité d’activité
du fournisseur . 13
6.2.5 Option 4 — Ne rien faire et conserver le risque par décision informée .13
6.3 Évaluer la conformité des fournisseurs en matière de continuité .13
6.4 Établir des obligations contractuelles . 14
6.4.1 Généralités . 14
6.4.2 Principes pour établir les exigences de continuité dans le contrat. 14
6.4.3 Exigences de continuité . . 14
6.5 Revue et mise à jour . 16
7 Maintien, performance et amélioration continue .16
7.1 Généralités . 16
7.2 Maintien . 16
iii
© ISO 2021 – Tous droits réservés
---------------------- Page: 3 ----------------------
ISO/TS 22318:2021(F)
7.3 Évaluation de la performance . 17
7.4 Amélioration continue . 17
Annexe A (informative) Exemple de questions générales à envoyer aux fournisseurs
prioritaires .19
Annexe B (informative) Management des perturbations de fournisseurs prioritaires .21
Annexe C (informative) Exemples d’exercices conjoints avec les fournisseurs .22
Bibliographie .23
iv
© ISO 2021 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/TS 22318:2021(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Cette deuxième édition annule et remplace la première édition (ISO/TS 22318:2015), qui a fait l’objet
d’une révision technique. Les principales modifications sont les suivantes:
— le document a été mis à jour afin de refléter les modifications apportées à l’ISO 22301:2019;
— les relations amont et aval au sein de la chaîne d’approvisionnement ont été clarifiées;
— le titre a été mis à jour;
— les «points clés» ont été supprimés, car leurs concepts sont inclus dans les articles et paragraphes;
— de nouveaux schémas ont été ajoutés;
— des annexes ont été ajoutées.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
v
© ISO 2021 – Tous droits réservés
---------------------- Page: 5 ----------------------
ISO/TS 22318:2021(F)
Introduction
Le présent document se focalise sur l’établissement de niveaux de continuité appropriés au sein de
la chaîne d’approvisionnement d’un organisme. Il suppose que l’organisme qui cherche à établir un
management de la continuité de la chaîne d’approvisionnement (SCCM) a conscience des principes
de la continuité d’activité. Il est destiné à être utile aux personnes responsables de la continuité de
la chaîne d’approvisionnement pour les ressources requises par l’organisme pour produire et livrer
ses produits et fournir ses services. Les lignes directrices données dans le présent document sont
également pertinentes lorsque l’organisme est le fournisseur, car il peut alors se préparer à satisfaire
aux attentes de ses clients en matière de continuité et prendre en considération les vulnérabilités qui
peuvent survenir lorsqu’il dépend d’un unique client.
Le présent document prend en considération les implications en matière de continuité pour l’organisme
si ses fournisseurs n’ont pas mis en place une continuité adéquate.
Les organismes s’attendent à ce que les ressources soient livrées dans les délais et au prix et à la qualité
convenus. Il s’agit, par exemple, des matériaux, de la main-d’œuvre, des informations et des données, du
lieu de travail, des installations et des services publics associés, des équipements, des consommables,
des systèmes de technologies de l’information et de la communication (TIC), du transport, de la
logistique, des finances et d’autres services nécessaires pour soutenir les activités de l’organisme. C’est
ce qu’on appelle «l’amont».
Les organismes s’attendent également à être en mesure de livrer leurs produits et fournir leurs services
à leurs clients, qu’ils soient le prochain maillon de la chaîne d’approvisionnement ou le client final. La
fourniture des produits et des services (par exemple: le transport, la logistique, les services de mise
en œuvre, les services d’installation de machines) est effectuée par l’organisme ou par un tiers sous la
responsabilité de l’organisme. C’est ce qu’on appelle «l’aval».
Un organisme a besoin de reconnaître l’impact potentiel d’une non-reprise des activités dans un délai
acceptable en raison d’une perturbation de la chaîne d’approvisionnement. L’incapacité d’un fournisseur
à fournir des ressources, dans les délais et au niveau de qualité et au prix convenus, peut entraîner
une perturbation de l’activité. Il est nécessaire pour l’organisme de prendre en considération et de
gérer des objectifs contradictoires tels que la réduction du coût de la chaîne d’approvisionnement en
réduisant les temps de cycle ou les stocks tampons et la gestion du risque pour la continuité de la chaîne
d’approvisionnement provenant d’une source unique et d’approches d’approvisionnement en juste-à-
temps. L’organisme a besoin de trouver un juste équilibre entre les risques et les mesures de continuité.
La criticité des fournisseurs et le délai de rétablissement requis sont déterminés lors de la phase du
bilan d’impact sur l’activité (BIA) (voir l’ISO/TS 22317) du système de management de la continuité
d’activité (SMCA). Les fournisseurs prioritaires sont ceux qui soutiennent les activités prioritaires
et sont identifiés comme ayant l’impact le plus important s’ils échouent à livrer les ressources, ce qui
impacte l’aptitude de l’organisme à livrer ses propres produits ou à fournir ses services.
Le «rang du fournisseur» définit la relation du fournisseur avec l’organisme. Un fournisseur sous
contrat (Rang 1) a une relation directe avec l’organisme, tandis qu’un fournisseur indirect (Rang 2
et au-delà) fournit des ressources à un fournisseur sous contrat et, par conséquent, est plus difficile
à maîtriser. Il convient que les fournisseurs soient encouragés à mettre en œuvre le SCCM au sein de
leur propre chaîne d’approvisionnement, ce qui améliorera la continuité de l’ensemble de la chaîne
d’approvisionnement.
Le présent document exclut expressément:
— les questions liées à la gestion de la clientèle, telles que la fidélisation et l’impact résultant de la
perte de clients ou de l’arrivée de nouveaux clients;
— les activités de la chaîne d’approvisionnement au sein de l’organisme; il convient que les fournisseurs
internes relevant du domaine d’application du SMCA soient identifiés comme des dépendances ou
des interdépendances et il convient que leur capacité à poursuivre leurs livraisons fasse partie du
SMCA de l’organisme.
vi
© ISO 2021 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO/TS 22318:2021(F)
Le respect des lignes directrices du présent document sera bénéfique à la chaîne d’approvisionnement.
Les fournisseurs peuvent également choisir de se conformer aux exigences de la famille de normes
ISO 28000 pour le management de la sûreté de la chaîne d’approvisionnement. La conformité
à ces normes confèrera aux organismes une confiance accrue dans la résilience de leur chaîne
d’approvisionnement et réduira potentiellement le risque de perturbation lors de l’achat de ressources.
vii
© ISO 2021 – Tous droits réservés
---------------------- Page: 7 ----------------------
SPÉCIFICATION TECHNIQUE ISO/TS 22318:2021(F)
Sécurité et résilience — Systèmes de management
de la continuité d'activité — Lignes directrices
pour le management de la continuité de la chaîne
d'approvisionnement
1 Domaine d’application
Le présent document fournit des lignes directrices sur les méthodes permettant de comprendre et
d’étendre les principes de la continuité d’activité contenus dans l’ISO 22301 et l’ISO 22313 au management
des relations avec les fournisseurs. Il permet à un organisme de développer et de documenter la
stratégie pour être mieux préparé à manager la continuité de la chaîne d’approvisionnement.
Le présent document est générique et applicable à tous les organismes. Il s’applique aux fournisseurs de
produits, de services et de ressources, tant en amont qu’en aval.
Le management de la continuité de la chaîne d’approvisionnement (SCCM) prend spécifiquement en
considération les questions auxquelles est confronté un organisme qui s’appuie sur la continuité de
l’approvisionnement en ressources ainsi que sur la capacité à poursuivre la fourniture de ses produits
et services. L’objectif du SCCM est de protéger les activités commerciales de l’organisme contre les
perturbations de la chaîne d’approvisionnement.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
ISO 22301, Sécurité et résilience — Systèmes de management de la continuité d’activité — Exigences
ISO 22313, Sécurité et résilience — Systèmes de management de la continuité d’activité — Lignes directrices
sur l’utilisation de l’ISO 22301
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 22300, l’ISO 22301 et
l’ISO 22313 s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
1
© ISO 2021 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO/TS 22318:2021(F)
4 La valeur du management de la continuité de la chaîne d’approvisionnement
(SCCM)
4.1 La chaîne d’approvisionnement
4.1.1 Généralités
Les chaînes d’approvisionnement sont de plus en plus longues et complexes. Un SCCM efficace exige de
l’organisme qu’il s’assure que chaque lien de sa chaîne d’approvisionnement a mis en place des mesures
de continuité efficaces.
Les chaînes d’approvisionnement s’étendent au-delà de la maîtrise directe de l’organisme, et de
nombreux facteurs déterminent le degré de maîtrise, dont la taille et l’influence relatives, la géographie
ainsi que le nombre et le type de fournisseurs.
Outre les perturbations directes de la chaîne d’approvisionnement, il convient que l’organisme
considère également les impacts sur l’offre et la demande provenant d’événements mondiaux ou locaux
ainsi que la dynamique du marché, qui peuvent générer:
— une demande excessive par rapport à l’offre, ce qui peut entraîner des contraintes sur les ressources;
— un excès généralisé de l’offre, qui peut provoquer un effondrement de la demande pour les produits
et les services que l’organisme fournit.
Les chaînes d’approvisionnement se sont allongées en raison:
— d’un accès mondial à un coût relativement faible grâce aux évolutions technologiques;
— d’un transport international économique;
— de la modification des obstacles au commerce international et de la libre circulation des capitaux;
— de la disponibilité de travailleurs qualifiés, compétents et relativement peu coûteux, dans le monde
entier.
Les organismes sont devenus plus interdépendants en raison de l’accent mis sur la valeur ajoutée des
activités de cœur de métier et la tendance est à l’externalisation des activités, telles que la logistique, la
distribution, la paie, la restauration, le nettoyage, la sécurité et l’informatique.
4.1.2 Modèle de la chaîne d’approvisionnement
Une vue d’ensemble de la chaîne d’approvisionnement inclut l’apport de ressources par les fournisseurs
à l’organisme (amont) et la fourniture de produits et de services de l’organisme à ses clients (aval). Cela
s’applique aux organismes de toute taille et de tout type. La Figure 1 illustre un modèle de la chaîne
d’approvisionnement simple et montre également les relations et l’influence directe de l’organisme qui
relèvent du domaine d’application du présent document.
2
© ISO 2021 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO/TS 22318:2021(F)
Légende
relève du domaine d’application
ne relève pas du domaine d’application
Figure 1 — Modèle de la chaîne d’approvisionnement
NOTE 1 Les ressources incluent les matériaux, la main-d’œuvre, les informations et données, le lieu de travail,
les installations et les services publics associés, les équipements, les consommables, les systèmes des TIC, le
transport, la logistique, les finances et les autres services nécessaires aux activités de l’organisme.
NOTE 2 La fourniture des produits et des services inclut le transport, la logistique, la mise en œuvre, les
services d’installation de machines, etc. effectués par l’organisme ou par un tiers sous la responsabilité de
l’organisme.
Il est possible que l’utilisateur final ne soit pas le client immédiat des produits et des services. Dans
certaines situations, l’organisme a besoin de prendre en considération le fait que l’utilisation après la
livraison et les conséquences de la fourniture de ses produits et services, au-delà du client immédiat,
peuvent avoir un impact sur la marque et la réputation. L’organisme peut envisager de recourir à des
contrats pour maîtriser l’utilisation ultérieure ou mettre en œuvre des contrats d’utilisateur final afin
de limiter les transferts aval supplémentaires.
Une chaîne d’approvisionnement existe lorsque l’apport de ressources dépend d’autres organismes qui
ne sont pas sous la gestion ou la maîtrise directe de l’organisme.
Un organisme peut avoir différents types de relations:
— relations amont:
— à long terme pour les ressources régulières telles que les matières premières, le lieu de travail,
les services professionnels;
— ponctuelles pour l’acquisition de ressources occasionnelles telles que les projets spéciaux;
— associations professionnelles telles que les franchises, les associations de fournisseurs;
— relations aval:
— relations interentreprises (grossistes et détaillants);
— commerce grand public.
3
© ISO 2021 – Tous droits réservés
---------------------- Page: 10 ----------------------
ISO/TS 22318:2021(F)
La base de toutes ces relations est l’engagement à satisfaire aux attentes des parties intéressées.
Ces engagements peuvent être explicites (par exemple: contrat ou bon de commande) ou implicites
(par exemple: ce qui peut raisonnablement être attendu).
Il convient que les organismes de la chaîne d’approvisionnement prennent en compte le fait que le degré
de flexibilité et la maîtrise associée sur les services essentiels et les fournisseurs fortement réglementés
peuvent être contraints, par exemple: les compagnies nationales d’électricité, les télécommunications,
les fournisseurs Internet.
NOTE Les types de relations ci-dessus sont donnés à titre d’exemple et ne sont pas exhaustifs.
4.2 Management de la continuité de la chaîne d’approvisionnement (SCCM)
4.2.1 Généralités
Le SCCM est un processus de management qui identifie les impacts potentiels pour un organisme
de la perturbation de sa chaîne d’approvisionnement et fournit une approche permettant de les
manager. La continuité de la chaîne d’approvisionnement est importante pour tous les organismes,
en leur permettant de livrer leurs produits et fournir leurs services. Une perturbation de la chaîne
d’approvisionnement peut avoir un impact sur l’organisme, ou même l’empêcher de fournir ces produits
et services, avec des effets négatifs conséquents sur ses revenus, sa part de marché et sa réputation.
Un SCCM efficace permet à l’organisme d’éviter ou de réduire au minimum les conséquences d’une
perturbation.
Il peut y avoir un conflit entre le SCCM et les objectifs du management de la chaîne d’approvisionnement,
tels que la nécessité de réduire les coûts, d’éviter les stocks excessifs et d’optimiser les délais. Il
convient que les organismes reconnaissent qu’un management efficace de l’approvisionnement en
ressources amènera à une maîtrise accrue et une meilleure efficacité de la chaîne d’approvisionnement,
et contribuera à éviter de graves perturbations.
Le SCCM cherche à identifier les fournisseurs qui peuvent avoir un impact significatif sur l’organisme
et à s’assurer que l’organisme a mis en place des stratégies et des solutions pour y faire face. Il convient
que des accords formels avec les fournisseurs assurent la prise de dispositions de continuité d’activité
appropriées, qui satisfont aux exigences de l’organisme. Pour certains fournisseurs, cela ne sera pas
possible, par exemple lorsqu’un fournisseur majeur insiste pour utiliser ses propres conditions
contractuelles standard, et dans ces cas, il convient que l’organisme développe des stratégies et des
solutions.
Les chaînes d’approvisionnement s’étendent au-delà de la maîtrise directe de l’organisme. L’organisme
peut être vulnérable aux perturbations chez les fournisseurs qui sont éloignés de la relation
contractuelle directe (c’est-à-dire aux Rangs 2, 3, etc.) et, par conséquent, le SCCM cherche à favoriser
des dispositions de continuité pour ces organismes qui sont au-delà de sa maîtrise directe.
Pour qu’il soit efficace, il est donc nécessaire que le SCCM soit intégré dans le management de la chaîne
d’approvisionnement de l’organisme, que les exigences de continuité soient comprises, que des stratégies
et des solutions soient définies et mises en œuvre, que des obligations contractuelles supplémentaires
soient convenues avec les fournisseurs et promues au-delà si nécessaire, que des vérifications soient
effectuées pour s’assurer que ces obligations sont respectées, et que tout cela soit surveillé et mis à jour
si nécessaire.
4.2.2 Intégration du man
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.