Vous êtes sur la page 1sur 41

PROJET DE NORME IVOIRIENNE

PNI ISO 22301 : 2012

bl
iq
u

01 B. P. : 1872 Abidjan 01
Tl. : 22 41 67 58 / 20 01 26 70
Fax : 22 41 52 97
info@codinorm.org
www.codinorm.org

Pr

oj
et

de

no
r

iv
oi
rie
nn
e

po
ur

en
qu
t
e

pu

Scurit socitaleSystmes de
management de la
continuit dactivitexigences
Arrt d'homologation n
du ..

Imprim par le Centre dInformation sur les


Normes et la Rglementation de CODINORM

1re dition

Droits de reproduction et de traduction


rservs tous pays.

PNI ISO 22301 : 2012


COMMISSION DE NORMALISATION

CT 18 : Scurit Socitale
PRESIDENCE
Organisme: Ministre de lIntrieur
Reprsentant : M. DJAMAN Djama Albert

SECRETARIAT TECHNIQUE
Organisme : CODINORM
Reprsentants : M. AHOTI YAPO Franois
M. KOFFI Jean Jacques

Pr

oj
et

de

bl
iq
u

pu

en
qu
t
e
po
ur
iv
oi
rie
nn
e

no
r

ELIAMON Noel
Lt YAO K. Marc
Lt TA Bou Bi
Lt KOFFI Brou Daniel
Lieutenant OUATTARA Aziz
S. Ch. LOBA Calixte
Kra K. Michel
Capitaine SYLLA Morry

DIBI Koffi Bruno

Armand KOIDIANE Jean

OUFFOUE Honor
AGBO Patrik Wilfried
Ousmane TRAORE
ODOU Marie
BINI Yao
NDJEMON Djoman Mathias
OBROU Hermann
NZI FAUSTIN YAO

REPRESENTANTS
AERIA
AGEPE
AGEROUTE
BNETD
DIEM
DIEM
DIEM
DGH/MMPE
DIRECTION GENERALE DE
LA POLICE NATIONALE
DOUANES IVOIRIENNES
EMG/BSTIC
EMG/BSTIC
EMG/BSTIC
GSPM
GSPM
GESTOCI
GSPR
MINISTERE DE
LENVIRONNEMENT ET DU
DEVELOPPEMENT DURABLE
MINISTERE DE LA
CONSTRUCTION ET DE
LURBANISME
MINISTERE DES
TRANSPORTS
MINISTERE DES
TRANSPORTS
MINISTERE DU TOURISME
ONI
OSER
SOTRA
DIRECTION DE LHYGIENE

MEMBRES
DE MESSE Franck
NDRI Philippe
ALLA Augustin
LAUBOUET Augustin
BLAY Ne ASSIE Solange
MBO Olivier Daniel
BOUE Taha Bi prosper
YANGUE Herv

PNI ISO 22301 : 2012


(INHP)
AERIA
MINISTERES DES
TRANSPORTS
SOTRA
DIRECTION DES
HYDROCARBURES
POLICE
PORT

GOUA THOMAS NDRI


AGBO Patrik Wilfried
OBROU Hermann
YANGUE Herv
DIBI Koffi Bruno
TOURE Zoumana
Mahadi KONATE

ATCI

KOFFI Kouadio Bertin

ATCI

DOUA Pascal

MARINE NATIONALE
stre de la sant
Ministre

pu

ONI

en
qu
t
e

SICTA

po
ur

Kouadio Kumassi Philippe


Armand KOIDIANE Jean

iv
oi
rie
nn
e

SARE Abdoulaye
KOUAME Nyancou

NDRI Philippe

oj
et

de

no
r

OUFFOUE Honor
S. Ch. LOBA Calixte

Lieutenant OUATTARA Aziz


Kra K. Michel
ELIAMON Noel
Lt YAO K. Marc
Lt TA Bou Bi
Lt KOFFI Brou Daniel
ODOU Marie

Pr

bl
iq
u

KAKOU THIERRY
KRAMO Brou Denis
NEBOUT ANICET
BINI Yao
YAYA Agui
ASSOHOUN Daniel

MINISTERE DE
LENVIRONNEMENT
MINISTERE DE
LENVIRONNEMENT
CIAPOL
MINISTERE DE LA
CONSTRUCTION
AGEPE
MINISTERE DE LA
CONSTRUCTION ET DE
LURBANISME
GSPM

GESTOCI
DOUANES IVOIRIENNES
EMG/BSTIC
EMG/BSTIC
EMG/BSTIC
MINISTERE DU TOURISME

PNI ISO 22301 : 2012


PRESENTATION DE CODINORM
CODINORM est une association but non lucratif et reconnue dutilit publique cre
le 24 septembre 1992 par le secteur priv aprs une autorisation du Gouvernement ivoirien en
Conseil des Ministres le 26 aot 1992. Elle est gre par un Conseil dAdministration de 23
membres dont 14 issus du secteur priv et 9 du secteur public.
Les missions de CODINORM sont :

Pr

oj
et

de

no
r

iv
oi
rie
nn
e

po
ur

en
qu
t
e

pu

bl
iq
u

Normalisation ;
Certification ;
Promotion de la gestion de la qualit ;
Information et documentation ;
Reprsentation de la Cte dIvoire dans les instances rgionales et
internationales de normalisation.

PNI ISO 22301 : 2012


AVANT PROPOS NATIONAL

La Norme Ivoirienne NI ISO 22301 : 2012 a t adopte par le Comit Technique 18


Scurit Socitale le 31 Janvier 2013.

Pr

oj
et

de

no
r

iv
oi
rie
nn
e

po
ur

en
qu
t
e

pu

bl
iq
u

La Norme Ivoirienne NI ISO 22301 :2012 a le statut dune Norme Ivoirienne. Elle reproduit
Intgralement la norme internationale ISO 22301 :2012

ISO 22301:2012(F)

Sommaire

Page

Avant-propos ..................................................................................................................................................... iv
Introduction ............................................................................................................................................ v
Gnralits ............................................................................................................................................. v
Le modle Planifier-Dployer-Contrler-Agir (Plan-Do-Check-Act, PDCA) ................................... vi
lments du modle PDCA dans la prsente Norme internationale ............................................. vii

Domaine dapplication .......................................................................................................................... 1

Rfrences normatives ......................................................................................................................... 1

Termes et dfinitions
finitions ............................................................................................................................
.........................................................................................................
2

4
4.1
4.2
4.3
4.4

Contexte de l'organisation
organisation ...................................................................................................................
....................................................................................................
9
Comprhension de l'organisation et de son contexte....................................................................... 9
Comprhension des besoins et attentes des parties
rties intresses ................................................. 10
Dtermination du domaine dapplication du systme de management de la continuit
............................................................................................................................................... 10
d'activit ....................................................................................................................
Systme de management de la continuit d'activit
activit ....................................................................... 11

5
5.1
5.2
5.3
5.4

Leadership ....................................................................................................................
........................................................................................................................................... 11
Leadership et engagement ......................................................................................................
................................................................................................................. 11
Engagement de la direction ...............................................................................................................
....................................................................................................
12
Politique .....................................................................................................................
............................................................................................................................................... 13
Rles, responsabilits et autorits au sein de lo
lorganisation ........................................................ 13

6
6.1
6.2

Planification .................................................................................................................
......................................................................................................................................... 13
Actions face aux risques
ques et opportunits
opportunits .........................................................................................
...................................................................................... 13
Objectifs de continuit d'activit
d'activit et plans pour les
le atteindre ......................................................... 14

7
7.1
7.2
7.3
7.4
7.5

Support .......................................................................................................................
................................................................................................................................................. 14
Ressources ....................................................................................................................
.......................................................................................................................................... 14
Comptences ...................................................................................................................
....................................................................................................................................... 15
Sensibilisation
on .....................................................................................................................................
...............................................................................................................
15
Communication .................................................................................................................
................................................................................................................................... 15
Informations documentes.................................................................................................................
documentes.......................................................................................................
16

8
8.1
8.2
8.3
8.4
8.5

Fonctionnement................................................................................................................
................................................................................................................................... 17
Planification opration
oprationnelle et matrise ............................................................................................ 17
Analyse des impacts sur l'activit et apprciation du risque ......................................................... 18
Stratgie de continuit d'activit ....................................................................................................... 19
tablissement et mise en uvre de procdures de continuit d'activit ..................................... 20
Exercices et tests ................................................................................................................................ 23

9
9.1
9.2
9.3

valuation des performances ............................................................................................................ 23


Supervision, mesurage, analyse et valuation ................................................................................ 23
Audit interne ........................................................................................................................................ 24
Revue de direction .............................................................................................................................. 25

10
10.1
10.2

Amlioration ......................................................................................................................................... 27
Non-conformit et actions correctives.............................................................................................. 27
Amlioration continue......................................................................................................................... 28

Pr

oj
et
d

no

rm

iv

oi

rie

nn

po

ur

en

qu

pu
bl
iq
ue

0
0.1
0.2
0.3

Bibliographie ..................................................................................................................................................... 29

ISO 2012 Tous droits rservs

iii

ISO 22301:2012(F)

Avant-propos
L'ISO (Organisation internationale de normalisation) est une fdration mondiale d'organismes nationaux de
normalisation (comits membres de l'ISO). L'laboration des Normes internationales est en gnral confie
aux comits techniques de l'ISO. Chaque comit membre intress par une tude a le droit de faire partie du
comit technique cr cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent galement aux travaux. L'ISO collabore troitement avec
la Commission lectrotechnique internationale (CEI) en ce qui concerne la normalisation lectrotechnique.
Les Normes internationales sont rdiges conformment aux rgles donnes dans les Directives ISO/CEI,
Partie 2.

pu
bl
iq
ue

La tche principale des comits techniques est d'laborer les Normes internationales. Les projets de Normes
internationales adopts par les comits techniques sont soumis aux comits membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comits membres
votants.

en

qu

L'attention est appele sur le fait que certains des lments


ments du prsent document peuvent faire l'objet de
droits de proprit intellectuelle ou de droits analogues. L'ISO ne saurait tre tenue pour responsable de ne
pas avoir identifi de tels droits de proprit et averti de leur existence.

po

ur

socitale.
L'ISO 22301 a t labore par le comit technique ISO/TC 223, Scurit socitale

Pr

oj
et
d

no

rm

iv

oi

rie

nn

La prsente version franaise de l'ISO 22301 correspond la version anglaise publie le 2012-05-15 et
corrige le 2012-06-15.

iv

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

0 Introduction
0.1

Gnralits

La prsente Norme internationale spcifie les exigences relatives l'tablissement et au management d'un
Systme de Management de la Continuit d'Activit (SMCA) efficace.
Un SMCA souligne l'importance :

pu
bl
iq
ue

d'une comprhension des besoins de l'organisation et de la ncessit de mettre en place une politique et
des objectifs en matire de management de la continuit d'activit ;
rles et de mesures de gestion de la capacit globale
de la mise en uvre et de l'exploitation de contrles
d'une organisation grer des incidents perturbateurs ;

mances et de l'efficacit du SMCA ; et


d'une surveillance et d'une revue des performances

en

qu

d'une amlioration continue sur la base de mesures objectives.

ur

Comme tout autre systme de management, un SMCA intgre les lments cls suivants :

po

a) une politique ;

rie

nn

b) des personnes ayant des responsabilits dfinies ;

iv

oi

c) des processus de management se rapportant :


la politique ;

2)

la planification ;

3)

la mise en uvre et le fonctionnement ;

4)

l'valuation des performances ;

5)

la revue de direction ; et

6)

l'amlioration ;

Pr

oj
et
d

no

rm

1)

d) une documentation fournissant des preuves tangibles ; et


e) tous les processus de management de la continuit d'activit pertinents pour l'organisation.
La continuit d'activit contribue rendre la socit plus rsiliente. Il est possible quil faille impliquer dans le
processus de reprise la communaut dans son ensemble, ainsi que l'impact de l'environnement de
l'organisation et donc limpact des autres organisations sur lorganisation elle-mme.

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

0.2

Le modle Planifier-Dployer-Contrler-Agir (Plan-Do-Check-Act, PDCA)

La prsente Norme internationale applique le modle PDCA la planification, l'tablissement, la mise en


uvre, le fonctionnement, la surveillance, la revue, le maintien et l'amlioration continue de l'efficacit du
SMCA d'une organisation.
Ceci assure un degr de cohrence avec d'autres normes de systme de management, telles que l'ISO 9001,
Systmes de management de la qualit, l'ISO 14001, Systmes de management environnemental,
l'ISO/CEI 27001, Systmes de management de la scurit de l'information, l'ISO/CEI 20000-1, Technologies
de l'information Gestion des services et l'ISO 28000, Spcifications relatives aux systmes de
management de la sret de la chane d'approvisionnement, permettant ainsi une mise en uvre et un
fonctionnement cohrents et intgrs avec les systmes de management associs.

Pr
oj
et
d

no

rm
e

iv
oi
rie
nn
e

po
ur
e

nq
u
te

pu
bl
iq
ue

La Figure 1 illustre comment un SMCA prend pour entres les parties intresses, les exigences de
management de la continuit et comment, via les actions et les processus ncessaires, il produit des sorties
en matire de continuit (c'est--dire une continuit de l'activit gre) qui satisfont ces exigences.

Figure 1 Modle PDCA appliqu aux processus d'un SMCA

vi

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

Tableau 1 Explication du modle PDCA


Planifier

tablir une politique, des objectifs, des cibles, des contrles, des processus et des
procdures de continuit d'activit pertinents pour amliorer la continuit d'activit afin
dobtenir des rsultats aligns avec les politiques et les objectifs globaux de l'organisation.

(tablir)
Dployer
(Mettre en place et en
uvre)
Contrler
(Superviser et rviser)
Agir
(Maintenir et amliorer)

Superviser et revoir les performances par rapport la politique et aux objectifs de


continuit d'activit, rendre compte des rsultats la direction pour revue et dterminer et
autoriser des actions correctives et d'amlioration.
Maintenir et amliorer le SMCA en entreprenant des actions correctives, sur la base des
rsultats de la revue de direction, et en reconsidrant le primtre du SMCA ainsi que la
politique et les objectifs de continuit d'activit.

lments du modle PDCA dans la prsente Norme internationale

pu
bl
iq
ue

0.3

Mettre en uvre et rendre oprationnels la politique, les contrles, les processus et les
procdures de continuit d'activit.

Dans le modle PDCA prsent dans le Tableau 1, les Articles 4 10 de la prsente Norme internationale
traitent des lments suivants :

ur

en

qu

l'Article 4 est une partie du thme Planifier . Il introduit les exigences ncessaires pour tablir le
contexte du SMCA tel qu'il s'applique l'organisation,
tion, ainsi que les besoins, les exigences et le
primtre.

nn

po

l'Article 5 est une partie du thme Planifier . Il rsume les exigences spcifiques au rle jou par la
Direction communique ses attentes l'organisation par le
Direction dans le SMCA, et la manire dont la Direction
biais d'une dclaration de politique.

rm

iv

oi

rie

l'Article 6 est une partie du thme Planifier . Il dcrit les exigences relatives l'tablissement des
cipes directeurs du SMCA dans son ensemble. Le contenu de l'Article 6
objectifs stratgiques et des principes
traitement des risques dcoulant de l'apprciation des
ne consiste pas mettre en place les solutions de tr
risques, ni tablir les objectifs de reprise issus de l'analyse dimpact sur l'activit.

oj
et
d

no

NOTE
Les exigences relatives l'analyse dimpact sur l'l'activit et au processus d'apprciation du risque sont
spcifies de manire dtaille l'Article 8.

Pr

l'Article 7 est une partie du thme Planifier . Il vient l'appui des oprations du SMCA relatives la
dtermination des comptences et l'tablissement de communications avec les parties intresses, sur
une base rcurrente/au besoin, tout en documentant, contrlant, tenant jour et conservant la
documentation requise.
l'Article 8 est une partie du thme Faire . Il dfinit les exigences relatives la continuit d'activit,
dtermine la manire de les traiter et dveloppe les procdures afin de grer un incident perturbateur.
l'Article 9 est une partie du thme Contrler . Il rsume les exigences ncessaires pour mesurer la
performance du management de la continuit d'activit, la conformit du SMCA la prsente Norme
internationale et aux attentes de la Direction, et recherche les retours d'information de la direction
concernant les attentes.
l'Article 10 est une partie du thme Agir . Il identifie et intervient sur une non-conformit du SMCA par
le biais d'une action corrective.

ISO 2012 Tous droits rservs

vii

Pr
e

oj
et
d
no
e

rm

nn

rie

oi

iv

ur

po
en
qu

pu
bl
iq
ue

NORME INTERNATIONALE

ISO 22301:2012(F)

Scurit socitale Systmes de management de la continuit


d'activit Exigences

Domaine dapplication

pu
bl
iq
ue

La prsente Norme internationale relative la gestion de la continuit d'activit spcifie les exigences pour
planifier, tablir, mettre en place et en uvre, contrler, rviser, maintenir et amliorer de manire continue
un systme de management document afin de se protger
otger des incidents perturbateurs, rduire leur
probabilit de survenance, s'y prparer, y rpondre
e et de sen rtablir lorsqu'ils surviennent.

qu

Les exigences spcifies dans la prsente Norme internationale


gnriques et prvues pour tre
ternationale sont gnrique
applicables toutes les organisations, ou parties de celles-ci,
lles-ci, indpendamment du type, de la taille et de la
nature de l'organisation. Le champ d'application de ces exigences dpend de l'environnement et de la
complexit de fonctionnement de l'organisation.

nn

po

ur

en

La prsente Norme internationale ne vise pas uniformiser la structure d'un systme de management de la
continuit d'activit (SMCA), mais permettre une organisation de concevoir un SMCA qui soit adapt
ses besoins et qui satisfasse aux exigences des parties intresses. Ces besoins sont faonns par les
exigences juridiques, rglementaires, organisationnelles et industrielles, les produits et les services, les
l'organisa
et les exigences des parties intresses.
processus employs, la taille et la structure de l'organisation

iv

oi

rie

La prsente Norme internationale est applicable tous les types et toutes les tailles d'organisations
souhaitant :

rm

a) tablir, mettre en uvre, maintenir et amliorer un SMCA ;

no

politique de continuit d'activit tablie ;


b) assurer la conformit la politique

oj
et
d

c) dmontrer cette conformit des tiers ;

Pr

d) faire certifier/enregistrer so
son SMCA par un organisme de certification tiers et accrdit ; ou
e) raliser une autovaluation et une auto-dclaration de conformit la prsente Norme internationale.
La prsente Norme internationale peut tre utilise pour valuer la capacit d'une organisation satisfaire ses
propres besoins et obligations en matire de continuit.

Rfrences normatives

Les documents ci-aprs, dans leur intgralit ou non, sont des rfrences normatives indispensables
l'application du prsent document. Pour les rfrences dates, seule l'dition cite s'applique. Pour les
rfrences non dates, la dernire dition du document de rfrence s'applique (y compris les ventuels
amendements).
Il n'y a aucune rfrence normative.

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

Termes et dfinitions

Pour les besoins du prsent document, les termes et dfinitions suivants s'appliquent.
3.1
activit
processus ou ensemble de processus excuts par une organisation (ou pour son compte) qui ralise ou aide
raliser un ou plusieurs produits et services
EXEMPLE
De tels processus comprennent la comptabilit, les centres d'appel, les technologies de l'information (IT),
la fabrication, la distribution.

3.2
audit
processus systmatique, indpendant et document permettant d'obtenir des preuves d'audit et de les
valuer de manire objective pour dterminer dans quelle mesure les critres d'audit sont satisfaits

res d'audit sont dfinis dans l'ISO 19011.


Les termes preuves daudit et critres

NOTE 2

pu
bl
iq
ue

NOTE 1
Un audit peut tre interne (de premire partie) ou externe (de seconde ou tierce partie), et il peut tre combin
(s'il associe deux disciplines ou plus).

ur

en

qu

3.3
continuit d'activit
capacit de l'organisation poursuivre la fourniture de produits ou la prestation de services des niveaux
acceptables et pralablement dfinis aprs un incident perturbateur

po

[SOURCE : ISO 22300]

no

rm

iv

oi

rie

nn

3.4
gestion de la continuit d'activit
processus de management holistique qui identifie les menaces potentielles pour une organisation ainsi que
les impacts que ces menaces, si elles se concrtisent, peuvent avoir sur les oprations lies l'activit de
l'organisation, et qui fournit un cadre pour construire la rsilience de l'organisation avec une capacit de
rponse efficace prservant les intrts de ses principal
principales parties prenantes, sa rputation, sa marque et ses
activits productrices de valeur

Pr

oj
et
d

3.5
systme de management de la continuit d'activit
SMCA
partie du systme de management global qui tablit, met en uvre, opre, contrle, rvise, maintient et
amliore la continuit d'activit
NOTE
Le systme de management comprend la structure organisationnelle, les politiques, les planifications, les
responsabilits, les procdures, les processus et les ressources.

3.6
plan de continuit d'activit
procdures documentes servant de guide aux organisations pour rpondre, rtablir, reprendre et retrouver
un niveau de fonctionnement prdfini la suite d'une perturbation
NOTE
Ce plan couvre gnralement les ressources, les services et les activits requis pour assurer la continuit des
fonctions critiques.

3.7
programme de continuit d'activit
processus continu de management et de gouvernance soutenu par la direction et dot de ressources
appropries pour mettre en uvre et maintenir le management de la continuit d'activit

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

3.8
analyse dimpact sur l'activit
processus d'analyse des activits et de l'effet qu'une perturbation de l'activit peut avoir sur elles
[SOURCE : ISO 22300]
3.9
comptence
aptitude mettre en pratique des connaissances et un savoir-faire pour obtenir les rsultats escompts
3.10
conformit
satisfaction dune exigence
[SOURCE : ISO 22300]

pu
bl
iq
ue

3.11
amlioration continue
activit rcurrente visant amliorer les performances

[SOURCE : ISO 22300]

ur

en

qu

3.12
correction
action visant liminer une non-conformit dtecte

po

[SOURCE : ISO 22300]

oi

rie

nn

3.13
action corrective
action visant liminer la cause d'une non-conformit
-conformit et viter sa rapparition

no

rm

iv

NOTE
Dans le cas d'autres rsultats indsirables, il est ncessaire d'entreprendre une action visant rduire au
minimum ou liminer les causes et rduire leur impact ou viter leur rapparition. De telles actions ne relvent pas du
concept d'action corrective au sens de la prsente dfinition.

oj
et
d

[SOURCE : ISO 22300]

Pr

3.14
document
support d'information et l'information qu'il contient
NOTE 1
Le support peut tre du papier, un disque informatique magntique, lectronique ou optique, une
photographie ou une configuration de rfrence, ou une combinaison de ceux-ci.
NOTE 2
Un ensemble de documents, par exemple des spcifications et des enregistrements, est souvent appel
documentation .

3.15
information documente
information qui ncessite d'tre contrle et tenue jour par une organisation et support sur lequel elle est
contenue
NOTE 1
source.

Les informations documentes peuvent se prsenter dans tout format et sur tout support et provenir de toute

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

NOTE 2

Les informations documentes peuvent se rfrer :

au systme de management, y compris les processus associs ;

aux informations gnres en vue du fonctionnement de l'organisation (documentation) ;

aux preuves des rsultats obtenus (enregistrements).

3.16
efficacit
niveau de ralisation des activits planifies et dobtention des rsultats escompts
[SOURCE : ISO 22300]

pu
bl
iq
ue

3.17
vnement
occurrence ou changement d'un ensemble particulier de circonstances
Un vnement peut tre unique ou se reproduire et peut avoir plusieurs causes.

NOTE 2

Un vnement peut consister en quelque chose qui ne se produit pas.

NOTE 3

lifi d'incident ou d'accident .


Un vnement peut parfois tre qualifi

qu

NOTE 1

ur

en

NOTE 4
Un vnement sans consquences peut galement
nt tre appel quasi-accident ou incident ou
presque succs .

po

[SOURCE : ISO/CEI Guide 73]

iv

oi

rie

nn

3.18
exercice
processus visant se former, valuer, mettre en pratique et amliorer les performances au sein d'une
organisation

oj
et
d

no

rm

de politiques, des plans, des procdures, une formation, un


NOTE 1
Des exercices peuvent tre utiliss pour : valider des
quipement et des accords entre organisations ; clarifier et former le personnel des rles et des responsabilits ;
organi
amliorer la coordination et les communications entre organisations
; identifier les lacunes en matire de ressources ;
opp
amliorer les performances individuelles et identifier les opportunits
d'amlioration et les opportunits contrles
d'improvisation.

Pr

NOTE 2
Un test est un type unique et particulier d'exercice qui intgre l'attente de la russite ou de l'chec dun
lment parmi les buts ou les objectifs de l'exercice planifi.

[SOURCE : ISO 22300]


3.19
incident
situation qui peut tre, ou conduire , une perturbation, une perte, une urgence ou une crise
[SOURCE : ISO 22300]
3.20
infrastructure
systme d'installations, d'quipements et de services ncessaire au fonctionnement d'une organisation

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

3.21
partie intresse
partie prenante
personne ou organisation qui peut avoir une incidence sur, tre affecte ou se sentir affecte par une dcision
ou une activit
NOTE

Il peut s'agir d'un individu ou d'un groupe ayant un intrt dans les dcisions ou activits d'une organisation.

3.22
audit interne
audit ralis par, ou pour le compte de, lorganisation elle-mme pour la revue de direction et dautres besoins
internes et qui peut servir de base lautodclaration de conformit de lorganisation
NOTE
Dans de nombreux cas et en particulier pour les petites organisations, lindpendance peut tre dmontre
par labsence de responsabilit vis--vis de lactivit auditer.

pu
bl
iq
ue

3.23
dclenchement
acte consistant dclarer que les dispositions en matire
re de continuit d'activit d'une organisation doivent
tre mises en uvre afin de poursuivre la livraison de produits cls ou la prestation de services cls

en

qu

3.24
systme de management
ifs d'une organisation, utiliss pour tablir des politiques et des
ensemble d'lments corrls ou interactifs
objectifs, et de processus pour atteindre ces objectifs

ur

Un systme de management peut concerner une seule ou plusieurs disciplines.

po

NOTE 1

rie

nn

NOTE 2
Les lments du systme comprennent la structure
structur organisationnelle, les rles et responsabilits, la
planification, le fonctionnement, etc.

iv

oi

NOTE 3
Le primtre d'un systme de management peut comprendre
co
l'ensemble de l'organisation, des fonctions
spcifiques et identifies
es de l'organisation, des sections spcifiques et identifies de l'organisation, ou une ou plusieurs
fonctions dans un groupe d'organisations.

Voir aussi dure maximale tolrable de perturbation .

Pr

NOTE

oj
et
d

no

rm

3.25
dure maximale dinterruption acceptable
DMIA [en anglais: MAO (maximum acceptable outage)]
temps ncessaire pour que les impacts dfavorables pouvant rsulter de la non fourniture d'un produit/service
ou de la non ralisation d'une activit,
deviennent inacceptables
ac

3.26
dure maximale tolrable de perturbation
DMTP [en anglais: MTPD (maximum tolerable period of disruption)]
temps ncessaire pour que les impacts dfavorables pouvant rsulter de la non fourniture d'un produit/service
ou de la non ralisation d'une activit, deviennent inacceptables
NOTE

Voir aussi dure maximale dinterruption acceptable .

3.27
mesurage
processus visant dterminer une valeur
3.28
objectif minimal de continuit d'activit
OMCA [en anglais: MBCO (minimum business continuity objective)]
niveau minimal de services et/ou de produits acceptable par l'organisation pour atteindre ses objectifs mtier
pendant une perturbation

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

3.29
supervision
dtermination de l'tat d'un systme, d'un processus ou d'une activit
NOTE

Pour dterminer cet tat, il peut tre ncessaire de vrifier, surveiller ou observer avec une vision critique.

3.30
accord d'entraide mutuel
entente pralable entre deux entits ou plus par laquelle chacune d'elles s'engage fournir assistance aux
autres
[SOURCE : ISO 22300]
3.31
non-conformit
non-satisfaction dune exigence

pu
bl
iq
ue

[SOURCE : ISO 22300]

t
qu

Un objectif peut tre stratgique, tactique ou oprationnel.

en

NOTE 1

3.32
objectif
rsultat atteindre

po

ur

plines (telles que la finance, les enjeux sanitaires et de


NOTE 2
Les objectifs peuvent se rapporter diffrentes disciplines
uer divers niveaux [tels que stratgie, organisation dans
scurit, et les enjeux environnementaux) et ils peuvent s'appliquer
son ensemble, projet, produit et processus].

oi

rie

nn

NOTE 3
Un objectif peut tre exprim autrement, par exemple sous forme de rsultat
escompt, de mission, de critre
r
oprationnel, en tant qu'objectif de scurit socitale ou par le biais d'un autre terme ayant un sens similaire (par exemple
finalit, but, cible).

no

rm

iv

NOTE 4
Dans le contexte des normes de systmes de management
de la scurit socitale, les objectifs encadrs par
managem
la norme sont tablis par l'organisation, en cohrence avec sa politique de scurit socitale, en vue d'obtenir des
rsultats spcifiques.

Pr

oj
et
d

3.33
organisation
personne ou groupe de personnes ayant leur propre structure fonctionnelle avec des responsabilits,
autorits et relations en vue d'atteindre ses objectifs
NOTE 1
Le concept d'organisation comprend, sans sy limiter, les notions de travailleur indpendant, compagnie,
socit, firme, entreprise, autorit, groupement, organisation caritative ou institution, ou une partie ou une combinaison
des organisations prcdentes, responsabilit limite ou sous un autre statut, de droit public ou priv.
NOTE 2
Pour les organisations ayant plusieurs units d'exploitation, une seule unit d'exploitation peut tre dfinie en
tant qu'organisation.

3.34
externaliser
passer un accord en vertu duquel une organisation externe effectue une partie de la fonction ou met en
uvre une partie du processus de lorganisation
NOTE
L'organisation externe n'est pas incluse dans le primtre du systme de management, contrairement la
fonction ou au processus externalis qui en fait bien partie.

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

3.35
performance
rsultat mesurable
NOTE 1

La performance peut porter sur des constatations quantitatives ou qualitatives.

NOTE 2
La performance peut concerner le management d'activits, de processus, de produits (y compris services), de
systmes ou dorganisations.

3.36
valuation de la performance
processus visant dterminer des rsultats mesurables
3.37
personnel
personnes travaillant pour l'organisation et sous le contrle de celle-ci

pu
bl
iq
ue

NOTE
Le concept de personnel inclut, sans toutefois s'y limiter, les employs, le personnel temps partiel et le
personnel intrimaire.

en

po

ur

3.39
procdure
manire spcifie d'effectuer une activit ou un processus

qu

3.38
politique
elles sont officiellement formules par sa direction
intentions et orientations d'une organisation, telles qu'elles

rie

nn

3.40
processus
ensemble d'activits corrles ou interactives qui transforme
des lments d'entre en lments de sortie
tr

no

rm

iv

oi

3.41
produits et services
rsultats fournis par une organisation au bnfice de ses clients, ses destinataires et les parties intresses
(par exemple des articles manufacturs, une assurance automobile et des soins infirmiers communautaires)

Pr

oj
et
d

3.42
activits prioritaires
activits auxquelles priorit doit tre donne la suite d'un incident afin d'en attnuer les impacts
NOTE
Les termes couramment utiliss pour dcrire les activits
de ce groupe comprennent : critiques, essentielles,
acti
vitales, urgentes et cls.

[SOURCE : ISO 22300]


3.43
enregistrement
dclaration des rsultats obtenus ou preuves des activits ralises
3.44
point de rcupration des donnes
RPO
Point partie duquel les informations utilises par une activit doivent tre restaures afin de permettre son
fonctionnement la reprise
NOTE

Il peut galement tre dsign en tant que perte maximale de donnes .

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

3.45
objectif de dlai de reprise
RTO
dure aprs un incident durant laquelle :
un produit ou un service doit tre repris, ou
une activit doit tre reprise, ou
des ressources doivent tre rtablies
NOTE
Pour les produits, les services et les activits, l'objectif de dlai de reprise doit tre infrieur au temps quil
faudrait pour que les impacts dfavorables qui rsulteraient du dfaut de fourniture d'un produit/service ou de labsence de
ralisation d'une activit, deviennent inacceptables.

pu
bl
iq
ue

3.46
exigence
besoin ou attente qui est formul, gnralement implicite ou obligatoire

Une exigence spcifie est une exigence tablie, par exemple dans une information documente.

qu

NOTE 2

l'organisation et les parties


NOTE 1
Gnralement implicite signifie quil est habituel ou de pratique courante pour l'organisation
intresses que le besoin ou lattente prendre en considration soit implicite.

rie
oi
iv

rm

Un effet est un cart, positif ou ngatif, par rapport une attente.

no

NOTE 1

3.48
risque
effet de lincertitude sur l'atteinte des objectifs

nn

po

ur

en

3.47
ressources
formations, de la technologie (y compris l'usine et
ensemble des biens, du personnel, des comptences, des informations,
rmations (qu'elles soient lectroniques ou non) dont
ses quipements), des locaux et des fournitures et informations
doit disposer une organisation, au moment requis, pour fonctionner et atteindre son objectif

Pr

oj
et
d

NOTE 2
Les objectifs peuvent avoir diffrents aspects (par exemple enjeux financiers, sanitaires et de scurit, ou
environnementaux) et peuvent concerner diffrents niveaux (stratgie,
projet, produit et processus ou organisation toute
(s
re exprim autrement, par exemple sous forme de rsultat escompt, de mission ou de critre
entire). Un objectif peut tre
oprationnel, en tant qu'objectif de continuit d'activit ou par le biais d'un autre terme ayant un sens similaire (par
exemple finalit, but, cible).
NOTE 3
Un risque est souvent caractris en rfrence des vnements potentiels (Guide ISO 73, 3.5.1.3) et des
consquences potentielles (Guide ISO 73, 3.6.1.3) ou une combinaison des deux.
NOTE 4
Un risque est souvent exprim en termes de combinaison des consquences d'un vnement (y compris des
changements de circonstances) et de sa vraisemblance (Guide ISO 73, 3.6.1.1).
NOTE 5
L'incertitude est l'tat, mme partiel, de dfaut d'information concernant la comprhension ou la connaissance
d'un vnement, de ses consquences ou de sa vraisemblance.
NOTE 6
Dans le contexte des normes de systmes de management de la continuit d'activit, les objectifs de
continuit dactivit sont fixs par l'organisation, en cohrence avec sa politique de continuit dactivit, en vue d'atteindre
des rsultats spcifiques. Lorsque les termes management du risque et des composantes du risque sappliquent, il
convient de l'associer aux objectifs de l'organisation qui comprennent, sans toutefois s'y limiter, les objectifs de continuit
d'activit spcifis en 6.2.

[SOURCE : ISO/CEI Guide 73]

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

3.49
apptence au risque
niveau et type de risque qu'une organisation est prte accepter
3.50
apprciation du risque
ensemble du processus d'identification des risques, d'analyse du risque et d'valuation du risque
[SOURCE : ISO Guide 73]
3.51
management du risque
activits coordonnes dans le but de diriger et piloter une organisation vis--vis du risque
[SOURCE : ISO Guide 73]

NOTE 2

Les tests sont souvent appliqus des plans de continuit.

Les tests peuvent se rfrer un essai .

qu

NOTE 1

pu
bl
iq
ue

3.52
test
mthode d'valuation ; moyen de dterminer la prsence, la qualit ou la vracit de quelque chose

en

[SOURCE : ISO 22300]

rie

La direction a le pouvoir de dlguer son autorit et de fournir des ressources au sein de l'organisation.

oi

NOTE 1

nn

po

ur

3.53
direction
personne ou groupe de personnes qui dirige et contrle une organisation au plus haut niveau

rm

iv

NOTE 2
Si le primtre du systme de management couvre uniquement une partie de lorganisation, alors la direction
se rfre ceux qui dirigent et contrlent
ontrlent cette partie de lorganisation.

oj
et
d

no

3.54
vrification
confirmation, par des preuves, que les exigences spcifies ont t satisfaites

Pr

3.55
environnement de travail
ensemble des conditions dans lesquelles un travail est effectu
NOTE
Les conditions comprennent des facteurs physiques, sociaux, psychologiques et environnementaux (tels que
la temprature, les systmes de reconnaissance, l'ergonomie et la composition de l'air).

[SOURCE : ISO 22300]

Contexte de l'organisation

4.1 Comprhension de l'organisation et de son contexte


L'organisation doit dterminer les enjeux externes et internes pertinents vis--vis de sa mission, et qui influent
sur sa capacit obtenir le(s) rsultat(s) attendu(s) de son SMCA.
Ces enjeux doivent tre pris en compte lors de l'tablissement, de la mise en uvre et du maintien du SMCA
de l'organisation.

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

L'organisation doit identifier et documenter les lments suivants :


a)

les activits de l'organisation, ses fonctions, ses services, ses produits, ses partenariats, les chanes
d'approvisionnement, ses relations avec les parties intresses, et l'impact potentiel li un incident
perturbateur ;

b)

les liens entre la politique de continuit d'activit et les objectifs de l'organisation ainsi que les autres
politiques, y compris sa stratgie globale de management du risque ; et

c)

lapptence au risque de l'organisation.

Lors de l'tablissement du contexte, l'organisation doit :


exprimer clairement ses objectifs, y compris ceux lis la continuit d'activit ;

2)

dfinir les facteurs externes et internes l'origine de l'incertitude qui engendre un risque ;

3)

tablir les critres de risque en prenant en compte le got du risque ; et

4)

dfinir la finalit du SMCA.

pu
bl
iq
ue

1)

qu

4.2 Comprhension des besoins et attentes des parties intresses

ur

en

4.2.1 Gnralits

po

Lors de l'tablissement
lissement de son SMCA, l'organisation doit dterminer :
les parties intresses qui sont concernes par le SMCA ; et

b)

les exigences de ces parties intresses (c'est--dire


(c'est--dir leurs besoins et leurs attentes, que ceux-ci soient
formuls, gnralement de manire implicite, ou obligatoires).

iv

oi

rie

nn

a)

no

rm

4.2.2 Exigences lgales et rglementaires

Pr

oj
et
d

L'organisation
n doit tablir, mettre en uvre et tenir jjour une (des) procdure(s) lui permettant d'identifier,
d'avoir accs et d'valuer les exigences lgales et rgl
rglementaires applicables auxquelles elle se soumet, en
ce qui concerne la continuit de ses oprations, produits et services, ainsi que les intrts des parties
intresses concernes.
L'organisation doit sassurer que les exigences lgal
lgales, rglementaires ou toutes autres en vigueur
auxquelles elle est soumise sont prises en compte lorsqu'elle tablit, met en uvre et tient jour son SMCA.
L'organisation doit documenter ces informations et les tenir jour. Toute nouveaut ou modification des
exigences lgales et rglementaires et des autres exigences doit tre communique aux employs concerns
et toutes les autres parties intresses.

4.3 Dtermination du domaine dapplication du systme de management de la continuit


d'activit
4.3.1 Gnralits
Pour tablir le domaine dapplication du SMCA, l'organisation doit en dterminer les limites et l'applicabilit.

10

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

Lorsqu'elle tablit ce domaine dapplication, lorganisation doit prendre en compte :


les enjeux externes et internes auxquels il est fait rfrence en 4.1 ; et
les exigences auxquelles il est fait rfrence en 4.2.
Le primtre doit tre disponible sous forme d'information documente.
4.3.2 Domaine dapplication du SMCA
L'organisation doit :
dterminer les parties de l'organisation inclure dans le SMCA ;

b)

dfinir les exigences relatives au SMCA, compte tenu de la mission de l'organisation, de ses buts, de ses
obligations internes et externes (y compris celles
lles lies aux parties intresses) et de ses responsabilits
lgales et rglementaires ;

c)

identifier les produits, les services et toutes activits associes entrant


rant dans le domaine dapplication du
SMCA ;

d)

prendre en compte les besoins et les intrts des parties intresses, tels que les clients, les
investisseurs, les actionnaires, la chane d'approvisionnement, les suggestions
et besoins, les attentes et
suggesti
les intrts du public et/ou de la communaut (lorsque ncessaire) ; et

e)

dfinir le domaine dapplication du SMCA en termes et en fonction de la taille, de la nature et de la


complexit de l'organisation.

po

ur

en

qu

pu
bl
iq
ue

a)

rm

iv

oi

rie

nn

l'organisation doit documenter et expliquer les exclusions. De


Lors de la dfinition du domaine dapplication, l'organisa
cter la capacit et la respons
telles exclusions ne doivent pas affecter
responsabilit de l'organisation assurer la
continuit de l'activit et des oprations conformment
du SMCA, telles que
conformment dune part aux exigences
ex
dtermines par l'analyse des impacts sur l'activit ou l'apprciation
du risque, et dautre part aux exigences
l
lgales ou rglementaires applicables.

no

4.4 Systme de management de la continuit d'activit

Pr

oj
et
d

L'organisation doit tablir, mettre en uvre, tenir jour et continuellement amliorer un SMCA, y compris les
processus ncessaires et leurs interactions, c
conformment aux exigences de la prsente Norme
internationale.

Leadership

5.1 Leadership et engagement


Les membres de la Direction et les autres managers concerns au sein de l'organisation doivent faire preuve
de leadership en ce qui concerne le SMCA.
EXEMPLE
Ce leadership et cet engagement peuvent tre dmontrs en incitant et en responsabilisant les
personnes pour quelles contribuent l'efficacit du SMCA.

ISO 2012 Tous droits rservs

11

ISO 22301:2012(F)

5.2 Engagement de la direction


La direction doit faire preuve de leadership et affirmer son engagement en faveur du SMCA en :
s'assurant que des politiques et des objectifs du SMCA sont tablis et sont compatibles avec l'orientation
stratgique de l'organisation ;
s'assurant que les exigences lies au systme de management de la continuit d'activit sont intgres
aux processus mtier de l'organisation ;
sassurant que les ressources ncessaires pour le systme de management de la continuit d'activit
sont disponibles ;
communiquant sur limportance de disposer d'un systme de management de la continuit d'activit
efficace et de se conformer aux exigences lies ce systme ;

pu
bl
iq
ue

s'assurant que le SMCA atteint le ou les rsultats escompts ;

orientant et soutenant les personnes pour qu'elles contribuent l'efficacit du SMCA ;

promouvant lamlioration continue ; et

en

qu

aidant les autres managers concerns faire galement


ent preuve de leadership et d'engagement ds lors
que cela s'applique leurs domaines de responsabilit.

po

ur

NOTE 1
Dans la prsente Norme internationale,
nale, il convient d'interprter le terme mtier au sens large, cest--dire
comme se rfrant aux activits lies lexistence mme de l'organisation.

oi

rie

nn

La direction doit fournir des preuves de son engagement en faveur de l'tablissement, de la mise en uvre,
de l'exploitation, de la surveillance, de la revue, de la tenue jour et de l'amlioration du SMCA en :

iv

tablissant une politique de continuit d'activit ;

no

rm

s'assurant que les objectifs et les plans du SMCA sont tablis ;

oj
et
d

tablissant les rles, les


s responsabilits et les comptences en matire de management de la continuit
d'activit ; et

Pr

dsignant une ou plusieurs personnes en tant que responsables du SMCA, ces personnes ayant
assumer la responsabilit de la mise en uvre et de la
l'autorit et les comptences appropries pour assume
mise jour du SMCA.
NOTE 2

Ces personnes peuvent assumer d'autres responsabilits au sein de l'organisation.

La Direction doit sassurer que les responsabilits et autorits des autres managers concerns sont attribues
et communiques au sein de lorganisation en :
dfinissant les critres d'acceptation des risques et les niveaux de risque acceptables ;
s'engageant activement dans des exercices et des tests ;
s'assurant que des audits internes du SMCA sont mens ;
menant des revues de direction du SMCA ; et
dmontrant son engagement uvrer pour l'amlioration continue.

12

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

5.3 Politique
La Direction doit tablir une politique de continuit d'activit qui :
a)

est adapte la mission de l'organisation ;

b)

fournit un cadre pour ltablissement dobjectifs de continuit d'activit ;

c)

inclut l'engagement de satisfaire aux exigences applicables ;

d)

inclut l'engagement d'uvrer pour l'amlioration continue du SMCA.

La politique du SMCA doit :


tre disponible sous forme dinformation documente ;

pu
bl
iq
ue

tre communique au sein de l'organisation ;

tre mise la disposition des parties intresses, le cas chant ;

qu

faire l'objet d'une revue, des intervalles dfinis et en cas de modifications significatives, afin de
s'assurer qu'elle est toujours approprie.

en

L'organisation doit conserver des informations documentes sur la politique de continuit d'activit.

po

ur

5.4 Rles, responsabilits et autorits au sein de lorganisation

rie

nn

La Direction doit sassurer que les responsabilits et autor


autorits des autres managers concerns sont attribues
et communiques au sein de lorganisation.

iv

oi

La Direction doit dsigner qui a la responsabilit et lautorit de :


sassurer que le systme de management est conforme aux exigences de la prsente Norme
internationale ; et

b)

rendre compte la Direction des performances du SMCA.

Planification

de

no

rm

a)

6.1 Actions face aux risques et opportunits


Lorsquelle conoit son SMCA, l'organisation doit tenir compte des enjeux auxquels il est fait rfrence en 4.1
et des exigences de 4.2 et dterminer les risques et opportunits qui ncessitent dtre abords pour :
s'assurer que le systme de management peut atteindre le ou les rsultats escompts ;
empcher ou limiter les effets indsirables ; et
appliquer une dmarche damlioration continue ;

ISO 2012 Tous droits rservs

13

ISO 22301:2012(F)

L'organisation doit planifier :


a) les actions menes du fait des risques et opportunits ;
b) la manire :
1)

dintgrer et de mettre en uvre ces actions au sein des processus du SMCA (voir 8.1) ; et

2)

dvaluer lefficacit de ces actions (voir 9.1).

6.2 Objectifs de continuit d'activit et plans pour les atteindre


La direction doit s'assurer que les objectifs de continuit d'activit sont tablis et communiqus aux fonctions
et niveaux concerns au sein de l'organisation.

pu
bl
iq
ue

Les objectifs de continuit d'activit doivent :


tre cohrents avec la politique de continuit d'activit ;

b)

tenir compte du niveau minimal de fourniture de produits


ts et services acceptable pour que l'organisation
atteigne ses objectifs ;

c)

tre mesurables ;

d)

tenir compte des exigences applicables ; et

e)

tre surveills et mis jour quand cest ncessaire.

po

ur

en

qu

a)

rie

nn

L'organisation doit conserver des informations documentes sur les objectifs de continuit d'activit.

iv

oi

Pour atteindre ses objectifs de continuit d'activit, l'organisation doit dterminer :

rm
no
de

ce qui sera fait ;

qui sera responsable ;

les ressources qui seront ncessaires ;


les chances ; et
la faon dont les rsultats seront valus.

Support

7.1 Ressources
L'organisation doit identifier et fournir les ressources ncessaires l'tablissement, la mise en uvre, la mise
jour et l'amlioration continue du SMCA.

14

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

7.2 Comptences
L'organisation doit :
a)

dterminer les comptences ncessaires de la ou des personnes effectuant, sous son contrle, un travail
qui a une incidence sur ses performances ;

b)

sassurer que ces personnes sont comptentes sur la base d'une formation initiale ou professionnelle et
d'une exprience appropries ;

c)

le cas chant, mener des actions pour acqurir les comptences ncessaires et valuer l'efficacit des
actions entreprises ;

d)

conserver des informations documentes appropries comme preuves de ces comptences.

pu
bl
iq
ue

NOTE
Les actions envisageables peuvent notamment inclure la formation, l'encadrement ou la raffectation du
personnel actuellement employ ; le recrutement ou la signature dun contrat avec des personnes comptentes.

7.3 Sensibilisation

Les personnes effectuant un travail sous le contrle de l'organisation doivent :


tre sensibilises la politique de continuit d'activit ;

b)

avoir conscience de leur contribution


bution l'efficacit du SMCA, y compris les effets positifs d'une
amlioration des performances du management de la continuit d'activit ;

c)

non-conformit aux exigences requises par le SMCA ; et


avoir conscience des implications de toute non-conformit

d)

avoir conscience de leur propre rle durant des incid


incidents perturbateurs.

oi

rie

nn

po

ur

en

qu

a)

rm

iv

7.4 Communication

no

L'organisation doit dterminer les besoins de communication interne et externe pertinents pour le SMCA, et
notamment :
sur quels sujets communiquer ;

b)

quels moments communiquer ;

c)

avec qui communiquer.

Pr

oj
et
d

a)

L'organisation doit tablir, mettre en uvre et tenir jour une ou des procdures pour :
la communication interne entre les parties intresses et les employs au sein de l'organisation ;
la communication externe avec les clients, les entits partenaires, les collectivits locales et les autres
parties intresses, y compris les mdias ;
la rception, la documentation et la rponse une communication manant de parties intresses ;

ISO 2012 Tous droits rservs

15

ISO 22301:2012(F)

l'adaptation et l'intgration d'un systme consultatif national ou rgional sur les menaces, ou d'un
systme quivalent, dans la planification et l'exploitation, le cas chant ;
la garantie d'une disponibilit des moyens de communication au cours d'un incident perturbateur ;
la facilitation d'une communication structure avec les autorits appropries et l'assurance de
l'interoprabilit des multiples organismes et personnel d'intervention, le cas chant ; et
le fonctionnement et les tests des capacits de communication devant tre utiliss pendant une
perturbation des communications normales.
NOTE

D'autres exigences relatives la communication en rponse un incident sont spcifies en 8.4.3.

7.5 Informations documentes

pu
bl
iq
ue

7.5.1 Gnralits
Le SMCA de l'organisation doit inclure :

les informations documentes exiges par la prsente Norme internationale ; et

qu

les informations documentes que l'organisation juge ncessaires l'efficacit du SMCA.

ur

en

NOTE
Ltendue des informations documentes dans le cadre d'un SMCA peut diffrer selon l'organisation en
fonction de :
la taille de l'organisation, ses domaines d'activit
t et ses processus, produits et services ;

la complexit des processus et de leurs interactions ; et

la comptence des personnes.

iv

oi

rie

nn

po

rm

7.5.2 Cration et mise jour

oj
et
d

no

Quand elle cre et met jour ses informations docum


documentes, l'organisation doit s'assurer que les lments
suivants sont appropris :
exemple titre, date, auteur, numro de rfrence) ;
identification et description (par exempl

b)

graphiques), support (par exemple papier, lectronique), et


format (par exemple langue, version logicielle, gr
revue et validation du caractre appropri et adquat des informations.

Pr

a)

7.5.3 Matrise des informations documentes


Les informations documentes exiges par le SMCA et par la prsente Norme internationale doivent tre
matrises pour sassurer :
a)

qu'elles sont disponibles et propres l'usage, o et quand elles sont ncessaires ;

b) qu'elles sont correctement protges (par exemple, de toute perte de confidentialit, utilisation
inapproprie ou perte d'intgrit).

16

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

Pour matriser les informations documentes, l'organisation doit s'intresser aux activits suivantes, quand
elles lui sont applicables :
distribution, accs, rcupration et utilisation ;
stockage et conservation, y compris prservation de la lisibilit ;
matrise des modifications (par exemple, contrle des versions) ;
dure de conservation et suppression des informations ;
extraction et utilisation ;
prservation de la lisibilit (c'est--dire suffisamment claires pour tre lues) ; et

pu
bl
iq
ue

prvention de lusage involontaire d'informations obsoltes.


Les informations documentes d'origine externe que l'organisation juge ncessaires la planification et au
fonctionnement du SMCA doivent tre identifies
ies comme il convient et matrises.

en

qu

Lorsque l'organisation met en place la matrise des informations documentes, elle doit s'assurer de
l'existence d'une protection adquate des informations documentes (par exemple protection contre la
compromission, la modification non autorise ou la suppression).

po

ur

NOTE
L'accs implique une dcision concernant l'autorisation
isation de consulter les informations documentes, ou
l'autorisation et l'autorit
orit de consulter et modifier les informations documentes, etc.

nn

Fonctionnement

rie

iv

oi

8.1 Planification oprationnelle et matrise

no

rm

L'organisation doit planifier, mettre en uvre et matriser les processus ncessaires la satisfaction des
exigences et la ralisation des actions dtermines en 6.1, en :
tablissant des critres pour ces processus ;

b)

processus conformment aux critres ; et


mettant en uvre la matrise de ces proc

c)

conservant des informations documentes dans un


une mesure suffisante pour avoir l'assurance que les
processus ont t suivis comme prvu.

Pr

oj
et
d

a)

L'organisation doit matriser les modifications prvues, analyser les consquences des modifications
imprvues et, si ncessaire, mener des actions pour limiter tout effet ngatif.
L'organisation doit sassurer que les processus externaliss sont matriss.

ISO 2012 Tous droits rservs

17

ISO 22301:2012(F)

8.2 Analyse des impacts sur l'activit et apprciation du risque


8.2.1 Gnralits
L'organisation doit tablir, mettre en uvre et tenir jour un processus formel et document d'analyse des
impacts sur l'activit et d'apprciation du risque qui :
tablit le contexte de l'apprciation, dfinit des critres et value l'impact potentiel d'un incident
perturbateur ;

b)

tient compte des exigences lgales et de toutes les autres exigences auxquelles lorganisation se
soumet ;

c)

comprend une analyse systmatique, l'tablissement de priorits dans les traitements du risque et leurs
cots associs ;

d)

dfinit le rsultat requis de l'analyse


'analyse des impacts sur l'activit et de l'apprciation du risque ; et

e)

spcifie les exigences de mise jour et de confidentialit de ces informations.

pu
bl
iq
ue

a)

qu

analyse des impacts sur l'activit et d'apprciation du risque qui dtermineront


NOTE
Il existe diffrentes mthodes d'analyse
l'ordre dans lequel elles seront effectues.

en

8.2.2 Analyse des impacts sur l'activit

rie

nn

po

ur

L'organisation doit dfinir, mettre en uvre et tenir jour


ur un processus d'valuation formel et document
permettant de dterminer les priorits, les objectifs et les
s cibles de continuit dactivit et de reprise. Ce
processus doit comprendre l'valuation
on des impacts d'une perturbation des activits de support la fourniture
des produits et des services de l'organisation.

iv

oi

L'analyse des impacts sur l'activit doit comprendre les lments suivants :
fourniture de produits et la prestation de services ;
identification des activits de support la fournitu

b)

valuation des impacts dans le temps en cas de non ralisation de ces activits ;

c)

dtermination des dlais, par ordre de priorit, de rreprise de ces activits un niveau minimal acceptable
spcifi, en tenant compte de la dure au-del de laquelle les impacts d'une absence de reprise de ces
activits deviendraient inacceptables ; et

d)

identification des dpendances et des ressources de support de ces activits, y compris les fournisseurs,
les partenaires externes et les autres parties intresses concernes.

Pr

oj
et
d

no

rm

a)

8.2.3 Apprciation du risque


L'organisation doit tablir, mettre en uvre et tenir jour un processus formel et document d'apprciation du
risque qui identifie, analyse et value de manire systmatique le risque d'incidents perturbateurs pour
l'organisation.
NOTE

18

Ce processus peut tre tabli conformment l'ISO 31000.

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

L'organisation doit :
a)

identifier les risques de perturbation pour les activits prioritaires de l'organisation, ainsi que pour les
processus, les systmes, les informations, les personnes, les biens, les partenaires externes et les autres
ressources qui les soutiennent ;

b)

analyser le risque de manire systmatique ;

c)

valuer les risques lis une perturbation qui ncessitent un traitement ; et

d)

identifier les traitements proportionns aux objectifs de continuit d'activit et lapptence au risque de
l'organisation.

pu
bl
iq
ue

NOTE
L'organisation doit avoir conscience que certaines obligations financires et gouvernementales exigent la
communication de ces risques divers niveaux de dtail. De plus, certains besoins socitaux peuvent galement justifier
un partage de ces informations un niveau de dtail appropri.

8.3 Stratgie de continuit d'activit

8.3.1 Dtermination et choix

en

qu

La dtermination et le choix d'une stratgie doivent tre bass sur les conclusions de l'analyse dimpact sur
l'activit et de l'apprciation du risque.

ur

L'organisation doit dterminer une stratgie de continuit d'activit approprie pour :


protger les activits prioritaires ;

b)

stabiliser, poursuivre, reprendre ou rtablir les activits prioritaires ainsi que leurs dpendances et
ressources de support ; et

c)

attnuer, rpondre aux impacts et les grer.

iv

oi

rie

nn

po

a)

no

rm

La dtermination de la stratgie doit inclure l'approbat


l'approbation des dlais de reprise des activits, par ordre de
priorit.

de

L'organisation doit raliser des valuations de la ccapacit de continuit d'activit des fournisseurs.
8.3.2 tablissement des exigences concernant les ressources
L'organisation
n doit dterminer les exigences concernant les ressources pour mettre en uvre les stratgies
choisies. Les types de ressources considrs doivent comprendre, sans toutefois s'y limiter :
a)

les personnes ;

b)

les informations et les donnes ;

c)

les btiments, l'environnement de travail et les utilits associes ;

d)

les installations, les quipements et les consommables ;

e)

les systmes de technologies de linformation et de la communication (TIC) ;

f)

le transport ;

g)

le financement ; et

h)

les partenaires et fournisseurs.

ISO 2012 Tous droits rservs

19

ISO 22301:2012(F)

8.3.3 Protection et attnuation


Pour les risques identifis ncessitant un traitement, l'organisation doit envisager des mesures proactives
qui :
a)

rduisent la probabilit de perturbation ;

b)

rduisent la dure de la perturbation ; et

c)

limitent l'impact de la perturbation sur les produits et services cls de l'organisation.

L'organisation doit choisir et mettre en uvre des traitements du risque appropris en fonction de son
apptence au risque.

8.4 tablissement et mise en uvre de procdures de continuit d'activit

pu
bl
iq
ue

8.4.1 Gnralits

L'organisation doit tablir, mettre en uvre et tenir jour des procdures de continuit d'activit lui permettant
de grer un incident perturbateur et de poursuivre ses activits, selon les objectifs de reprise identifis lors de
l'analyse des impacts sur l'activit.

en

qu

L'organisation doit documenter les procdures (y compris


ris les dispositions ncessaires) lui permettant
d'assurer la continuit des activits et le management d'un incident perturbateur.

po

ur

Les procdures doivent :

tablir un protocole de communications internes et externes appropri ;

b)

ates devant tre prises pendant une perturbation ;


tre prcis concernant les mesures immdiates

c)

tre souples pour rpondre des menaces non prvues


et des conditions internes et externes
pr
variables ;

d)

se concentrer sur l'impact d'vnements pouvant potentiellement perturber les oprations ;

e)

tre dveloppes sur la base d'hypothses tablies et d'une analyse des interdpendances ; et

f)

tre efficaces dans la rduction des consquences


consquence par la mise en uvre de stratgies d'attnuation
appropries.

Pr

oj
et
d

no

rm

iv

oi

rie

nn

a)

8.4.2 Structure de rponse un incident


L'organisation doit tablir, documenter et mettre en uvre des procdures et une structure de management
lui permettant de rpondre un incident perturbateur en faisant appel un personnel ayant les
responsabilits, l'autorit et les comptences ncessaires pour grer l'incident.
La structure de rponse doit :
a)

identifier les seuils d'impact justifiant le dclenchement d'une rponse formelle ;

b)

valuer la nature et l'tendue d'un incident perturbateur ainsi que son impact potentiel ;

c)

activer une rponse approprie en termes de continuit d'activit ;

20

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

d)

disposer de processus et de procdures pour l'activation, le fonctionnement, la coordination et la


communication de la rponse ;

e)

disposer des ressources disponibles pour soutenir les processus et les procdures de gestion d'un
incident perturbateur afin d'en rduire au minimum l'impact ; et

f)

communiquer avec les parties intresses et les autorits ainsi qu'avec les mdias.

En considrant la scurit des personnes comme la premire priorit et en consultation avec les parties
intresses concernes, lorganisation doit dcider de communiquer ou non, en externe, sur ces risques et
impacts significatifs et tayer sa dcision par des documents. Si l'organisation dcide de communiquer, elle
doit alors tablir et mettre en uvre des procdures pour cette communication externe, des alertes et des
avertissements auprs des mdias si besoin.
8.4.3 Avertissement et communication

pu
bl
iq
ue

n doit dfinir, mettre en uvre et tenir jour des procdures pour :


L'organisation
dtecter lincident ;

b)

surveiller rgulirement lincident ;

c)

grer la communication interne au sein de l'organisation


et la rponse
on et la rception, la documentation
doc
une communication manant des parties intresses ;

d)

grer la rception, la documentation


consultatif national ou rgional sur les
ation et la rponse un systme cons
risques ou un systme quivalent ;

e)

garantir la disponibilit des moyens de communication


mmunication au cours d'un incident perturbateur ;

f)

ure avec les services durgence ;


faciliter une communication structure

g)

effectuer l'enregistrement des informations


informations critiques concernant l'incident, les actions entreprises et les
dcisions prises, et les lments suivants doivent galement tre considrs et mis en uvre lorsque
cela est appropri :

no

rm

iv

oi

rie

nn

po

ur

en

qu

a)

oj
et
d

lalerte des parties intresses potentiellement touches


par un incident perturbateur rel ou imminent ;
touc

Pr

l'assurance de linteroprabilit des multiples services


durgence et le personnel de lorganisation ;
serv
le fonctionnement d'une installation de communication.
Les procdures de communication et d'avertissement doivent faire l'objet d'exercices rguliers.
8.4.4 Plans de continuit d'activit
L'organisation doit tablir des procdures documentes lui permettant de rpondre un incident perturbateur
et de poursuivre ou rtablir ses activits dans un dlai prdtermin. De telles procdures doivent concerner
les exigences applicables ceux qui les utiliseront.

ISO 2012 Tous droits rservs

21

ISO 22301:2012(F)

Les plans de continuit d'activit doivent gnralement contenir :


a)

les rles et les responsabilits dfinis des personnes et des quipes ayant autorit pendant et aprs un
incident ;

b)

un processus d'activation de la rponse ;

c)

les dtails permettant de grer les consquences immdiates d'un incident perturbateur en tenant
dment compte
1)

du bien-tre des individus ;

2)

des options stratgiques, tactiques et oprationnelles pour rpondre la perturbation ; et

3)

de la prvention de toute perte ou indisponibilit supplmentaire d'activits prioritaires ;

pu
bl
iq
ue

ances dans lesquelles l'organisation communiquera avec


d) les dtails concernant la manire et les circonstances
les employs et leurs proches, les parties intresses
resses cls et les personnes contacter en cas
d'urgence ;

en

les dtails de la rponse de l'organisation aux mdias la suite d'un incident, y compris :
une stratgie de communication ;

2)

l'interface prfre avec les mdias ;

3)

des lignes directrices ou un modle de rdaction


ction d'une dclaration pour les mdias ; et

4)

des porte-parole appropris ;

iv

oi

rie

nn

po

ur

1)

f)

qu

endra ses activits prioritaires dans les dlais


e) la manire dont l'organisation poursuivra ou reprendra
prdtermins ;

no

rm

g) un processus de sortie une fois


is que l'incident est termin.

oj
et
d

Chaque plan doit dfinir :

les objectifs ;

Pr

le but et le domaine d'application ;

les critres et les procdures d'activation ;


les procdures de mise en uvre ;
les rles, les responsabilits et les autorits ;
les exigences et les procdures de communication ;
les interdpendances et interactions internes et externes ;
les exigences en termes de ressources ; et
les processus relatifs au flux d'information et la documentation.

22

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

8.4.5 Reprise
L'organisation doit disposer de procdures documentes lui permettant de rtablir et de reprendre ses
activits en sappuyant sur des mesures temporaires adoptes pour rpondre aux exigences mtier
habituelles aprs un incident.

8.5 Exercices et tests


L'organisation doit procder des exercices et des tests de ses procdures de continuit d'activit afin de
s'assurer qu'elles sont cohrentes avec ses objectifs de continuit d'activit.
L'organisation doit mener des exercices et des tests qui :
sont cohrents avec le primtre et les objectifs du SMCA ;

b)

reposent sur des scnarios appropris qui sont bien planifis avec des buts et des objectifs clairement
dfinis ;

c)

cumuls au fil du temps, valident l'ensemble de ses dispositions en matire de continuit d'activit, en
impliquant les parties concernes ;

d)

minimisent le risque de perturbation des oprations ;

e)

permettent de produire, aprs les exercices, des rapports formalis


formaliss contenant les rsultats, des
recommandations et des actions pour mettre en uvre des amliorations ;

f)

sont revus dans le cadre d'une promotion de l'amlioration continue ; et

g)

sont mens des intervalles planifis et lorsque des changements significatifs interviennent au sein de
l'organisation ou dans l'environnement dans lequel elle opre.

valuation des performances

no

rm

iv

oi

rie

nn

po

ur

en

qu

pu
bl
iq
ue

a)

9.1.1 Gnralits

oj
et
d

9.1 Supervision, mesurage, analyse et valuation

Pr

L'organisation
n doit dterminer :
a)

ce quil est ncessaire de surveiller et mesurer ;

b)

les mthodes de supervision, de mesurage, d'analyse et d'valuation, selon le cas, pour assurer la
validit des rsultats ;

c)

quand la surveillance et la mesure doivent tre effectues ; et

d)

quand les rsultats de la surveillance et de la mesure doivent tre analyss et valus.

Lorganisation doit conserver des informations documentes pertinentes comme preuves des rsultats.
L'organisation doit valuer les performances du SMCA, ainsi que lefficacit du SMCA.

ISO 2012 Tous droits rservs

23

ISO 22301:2012(F)

En outre, l'organisation doit :


agir, lorsque cela est ncessaire, pour remdier aux volutions ou rsultats ngatifs avant l'apparition
d'une non-conformit ;
conserver des informations documentes appropries comme preuves des rsultats.
Les procdures de supervision des performances doivent prvoir :
d'tablir des mesures de performances adaptes aux besoins de l'organisation ;
de surveiller dans quelle mesure la politique, les objectifs et les cibles de continuit d'activit de
l'organisation sont respects/atteints ;
les performances des processus, des procdures et des fonctions qui protgent ses activits prioritaires ;

pu
bl
iq
ue

de surveiller la conformit la prsente Norme internationale


rnationale et aux objectifs de continuit d'activit ;
de surveiller les preuves historiques de performances insuffisantes
suffisantes du SMCA ; et

qu

d'enregistrer les donnes et les rsultats de la surveillance et des mesures pour faciliter les actions
correctives ultrieures.

po

9.1.2 valuation des procdures de continuit d'activit

ur

en

NOTE
Les performances insuffisantes peuvent comprendre une non-conformit, des quasi-accidents, des fausses
alertes et des incidents rels.

L'organisation
procdures et de ses capacits en matire de continuit
sation doit mener des valuations de ses procd
d'activit pour s'assurer qu'elles demeurent pertinentes, adquates et efficaces ;

b)

ces valuations doivent tre ralises par le biais de revues priodiques, d'exercices, de tests, de
rapports post-incident et d'valuations des performances. Les changements significatifs intervenus
doivent tre pris en compte en temps opportun dans la ou les procdures ;

c)

l'organisation doit valuer priodiquement la conformit


aux exigences lgales et rglementaires
co
applicables, aux meilleures pratiques de son secteur ainsi que la conformit sa propre politique de
continuit d'activit et aux objectifs associs ; et

d)

l'organisation doit mener des valuations des


de intervalles planifis et lorsque des changements
significatifs interviennent.

Pr

oj
et
d

no

rm

iv

oi

rie

nn

a)

Lorsqu'un incident perturbateur se produit et entrane l'activation de ses procdures de continuit d'activit,
l'organisation doit procder une revue aprs l'incident et enregistrer les rsultats.

9.2 Audit interne


L'organisation doit raliser des audits internes des intervalles planifis afin de recueillir des informations
permettant de dterminer si le systme de management de la continuit d'activit.
a)

est conforme :
1)

aux exigences propres de l'organisation concernant son SMCA ;

2)

aux exigences de la prsente Norme internationale ; et

b) est efficacement mis en uvre et tenu jour.

24

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

L'organisation doit :
planifier, tablir, mettre en uvre et tenir jour un (des) programme(s) d'audit, couvrant notamment la
frquence, les mthodes, les responsabilits, les exigences de planification et de comptes rendus. Le(s)
programme(s) daudit doi(ven)t tenir compte de l'importance des processus concerns et des rsultats
des audits prcdents,
dfinir les critres daudit et le primtre de chaque audit ;
slectionner des auditeurs et raliser des audits pour assurer l'objectivit et l'impartialit du processus
d'audit ;
sassurer quil est rendu compte des rsultats des audits la Direction concerne ; et

pu
bl
iq
ue

conserver des informations documentes comme preuves de la mise en uvre du programme daudit et
des rsultats daudit.

qu

Le programme d'audit, quel que soit le moment o il est conduit,


nduit, doit reposer sur les rsultats des valuations
du risque des activits de l'organisation et sur les rsultats des audits prcdents. Les procdures d'audit
doivent englober le primtre, la frquence, les mthodologies et les comptences, ainsi que les
responsabilits et les exigences applicables la conduite des audits et la rdaction dun rapport prsentant
les rsultats.

po

ur

en

Le management responsable du domaine audit doit assurer que toutes les corrections et actions correctives
ncessaires sont entreprises sans dlai indu pour liminer les non-conformits dtectes et leurs causes. Les
s entreprises et le compte-rendu des rsultats de cette
actions de suivi doivent inclure la vrification des actions
vrification.

rie

nn

9.3 Revue de direction

iv

oi

des intervalles planifis, la Direction doit procder la rvision du SMCA de lorganisation, des intervalles
planifis afin de sassurer quil est toujours appropri, adapt et efficace.

ltat d'avancement des actions dcides lors


lo des revues de direction prcdentes ;

oj
et
d

a)

no

rm

La revue de Direction doit prendre en compte :

Pr

b) les modifications des enjeux externes et intern


internes pertinents pour le systme de management de la
continuit d'activit ;
c) les informations sur les performances en matire de continuit d'activit, y compris les tendances
concernant :
1)

les non-conformits et les actions correctives ;

2)

les rsultats de l'valuation de la supervision et du mesurage ; et

3)

les rsultats des audits ;

d) les axes d'amlioration continue.

ISO 2012 Tous droits rservs

25

ISO 22301:2012(F)

Les revues de direction doivent prendre en compte les performances de l'organisation, y compris :
le suivi des actions dcides lors des revues de direction prcdentes ;
la ncessit d'apporter des modifications au SMCA, y compris la politique et les objectifs ;
les axes damlioration ;
les rsultats des audits et des rvisions du SMCA, y compris ceux des fournisseurs et partenaires cls le
cas chant ;
les techniques, les produits ou les procdures, qui pourraient tre utiliss dans lorganisation pour
amliorer les performances et l'efficacit du SMCA ;
l'tat d'avancement des actions correctives ;

pu
bl
iq
ue

les rsultats des exercices et des tests ;

les risques ou les questions qui n'ont pas t traits de manire approprie lors d'une prcdente
valuation des risques ;

en

qu

tous les changements pouvant affecter le SMCA, qu'ils


ls soient internes ou externes au primtre du
SMCA ;

ur

l'adquation de la politique ;

po

les recommandations d'amlioration ;

rie

nn

les leons tires et les actions dcoulant d'incidents perturbateurs ; et

iv

oi

les bonnes pratiques et lignes directrices qui apparaissent.

no

rm

Les conclusions de la revue de direction doivent inclure les dcisions relatives aux axes d'amlioration
ncessaires apporter au SMCA, et comprendre les lments
continue et aux ventuels changements ncessaire
suivants :

oj
et
d

a) les variations apportes au primtre du SMCA ;

Pr

b) l'amlioration de l'efficacit du SMCA ;


c) la mise jour de l'valuation des risques, du bila
bilan dimpact sur les activits, des plans de continuit
d'activit et des procdures associes ;
d) la modification des procdures et des contrles pour rpondre des vnements internes ou externes qui
peuvent influer sur le SMCA, y compris les changements apports aux :

26

1)

exigences mtier et oprationnelles ;

2)

exigences de rduction des risques et de scurit ;

3)

conditions et processus oprationnels ;

4)

exigences lgales et rglementaires ;

5)

obligations contractuelles ;

6)

niveaux de risque et/ou critres d'acceptation des risques,

7)

besoins en termes de ressources ;

8)

exigences en matire de financement et de budget ; et

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

e) la manire dont l'efficacit des contrles est mesure.


L'organisation doit conserver des informations documentes attestant des conclusions des revues de
direction.
L'organisation doit :
communiquer les conclusions de la revue de direction aux parties intresses concernes ; et
entreprendre l'action approprie en relation avec ces conclusions.

10 Amlioration
10.1 Non-conformit et actions correctives

a)

pu
bl
iq
ue

Lorsquune non-conformit se produit, lorganisation doit


identifier la non-conformit ;

faire face aux consquences ;

2)

qu

agir pour la matriser et la corriger ; et

po

ur

en

1)

b) ragir la non-conformit, et le cas chant :

nn

cessaire de mener une action pour liminer les caus


c) valuer sil est ncessaire
causes de la non-conformit, de sorte
quelles ne se reproduisent pas, au mme endroit ou ailleurs, en :
rvisant la non-conformit ;

2)

dterminant les causes de la non-conformit ; et

3)

dterminant si des non-conformits similaires existent,


ou pourraient potentiellement se produire ;
ex

4)

valuant le besoin d'entreprendre


d'entreprendr des actions correctives pour sassurer que les non-conformits ne
se reproduisent pas, au mme endroit ou ailleurs ;

5)

dterminant et mettant en uvre le


les actions correctives ncessaires ;

6)

rvisant l'efficacit de toute action corrective mise en uvre ; et

7)

modifiant, si ncessaire, le SMCA ;

de

no

rm

iv

oi

rie

1)

d) mettre en uvre toutes les actions ncessaires ;


e) rviser l'efficacit de toute action corrective mise en uvre ;
f)

modifier, si ncessaire, le systme de management de la continuit d'activit.

ISO 2012 Tous droits rservs

27

ISO 22301:2012(F)

Les actions correctives doivent tre la mesure des effets des non-conformits rencontres.
L'organisation doit conserver des informations documentes comme preuves :
de la nature des non-conformits et de toute action subsquente ; et
des rsultats de toute action corrective.

10.2 Amlioration continue


L'organisation doit continuellement amliorer la pertinence, l'adquation et l'efficacit du SMCA.

Pr

oj
et
d

no

rm

iv

oi

rie

nn

po

ur

en

qu

pu
bl
iq
ue

NOTE
L'organisation peut utiliser les processus du SMCA tels que le leadership, la planification et l'valuation des
performances, afin d'aboutir une amlioration.

28

ISO 2012 Tous droits rservs

ISO 22301:2012(F)

Bibliographie

ISO 9001, Systmes de management de la qualit Exigences

[2]

ISO 14001, Systmes de management environnemental Exigences et lignes directrices pour son
utilisation

[3]

ISO 19011, Lignes directrices pour l'audit des systmes de management

[4]

ISO/CEI 20000-1, Technologies de l'information Gestion des services Partie 1: Exigences du


systme de management des services

[5]

ISO 22300, Scurit socitale Terminologie

[6]

ISO/PAS 22399, Scurit socitale Lignes directrices pour tre prpar un incident et gestion de
continuit oprationnelle.

[7]

ISO/CEI 24762, Technologies de l'information Techniques de scurit Lignes directrices pour les
services de secours en cas de catastrophe dans les technologies de l'information et des
communications

[8]

ISO/CEI 27001, Technologies de l'information Techniques


management de la scurit de l'information Exigences

[9]

ISO/CEI 27031, Technologies de l'information Techniques de scurit Lignes directrices pour la


prparation des technologies de la communication et de l'information pour la continuit d'activit

[10]

ISO 31000, Management du risque Principes et lignes directrices

[11]

ISO/CEI 31010, Gestion des risques Techniques d'valuation des risques

[12]

ISO/CEI Guide 73, Management du risque Vocabulaire

[13]

BS 25999-1, Business continuity management Code of practice


practice, British Standards Institution (BSI)

[14]

BS 25999-2, Business continuity management Specification


Specification, British Standards Institution (BSI)

[15]

SI 24001, Security and continuity management systems Requirements and guidance for use
use,
Standards Institution of Israel

[16]

NFPA 1600, Standard on disaster/emergency management and business continuity programs,


National Fire Protection Association (USA)

[17]

Business Continuity Plan Drafting Guideline, Ministry of Economy, Trade and Industry (Japan), 2005

[18]

Business Continuity Guideline, Central Disaster Management Council, Cabinet Office, Government of
Japan, 2005

[19]

ANSI/ASIS SPC.1, Organizational Resilience: Security, Preparedness, and Continuity Managements


Systems Requirements with Guidance for Use

[20]

SS 540: 2008, Singapore Standard for Business Continuity Management

[21]

ANSI/ASIS/BSI BCM.01, Business Continuity Management Systems: Requirements with Guidance for
Use

de

scurit

Systmes

de

Pr

oj
et
d

no

rm

iv

oi

rie

nn

po

ur

en

qu

pu
bl
iq
ue

[1]

ISO 2012 Tous droits rservs

29

Pr

oj
et
d

no

rm

iv

oi

rie

nn

po

ur

en

qu

pu
bl
iq
ue

ISO 22301:2012(F)

ICS 03.100.01
Prix bas sur 24 pages

ISO 2012 Tous droits rservs