BS 25999-1:2006 NORME BRITANNIQUE Management de la continuité d’activité - Partie 1: Code de bonne pratique in (CETTE PUBLICATION NE PEUT ETRE REPRODUITE A L’EXCEPTION DE CE QU'AUTORISE LA LOI SUR LE DROIT D'AUTEUR,BS 25999-1:2006 NORME BRITANNIQUE Information relative a Iédition et au droit d'auteur La notice de droit d'auteur de BSI figurant dans ce document indique la date de la demiére édition de ce document. © 8512010 ISBN 978 0 580 62939 6 ICS 03.100.01 Les références BSI suivantes se rapportent au travail réalisé sur la présente norme: Référence de la commission BCM/1 Avant-projet pour observations 06/30139869 DC Précédentes éditions Premiére édition novembre 2006 ‘Amendements apportés a la premiere édition ‘Amend. N° Date Texte concernéNORME BRITANNIQUE 12006 Summaire Avant-propos Objet et domaine d'application 1 Termes et définitions 1 Présentation générale du MCA 5 Politique de MCA 10 Gestion du programme du MCA 12 Compréhension de 'organisme 15 Détermination de la stratégie de continuité d'activité 27 Développement et mise en ceuvre des réponses dans le cadre duMca 27 9 Exercice, maintenance et revue des dispositions du MCA 37 10 _Intégration du MCA dans la culture de organisme 42 Bibliographie 45 ist of figures jure 1=Le cycle de vieduMCA & Figure 2-Chronologie de l'incident 28 List of tables Tableau 1 ~ Types et méthodes d’exercices des stratégies de MCA 39 eNauawNne Synthase des pages Ce document comprend une page de couverture, une deuxiéme de couverture, les pages i a iy, les pages 1 8 46, une troisiéme de couverture et une quatriéme de couverture, ©Bsi20I0 + iBS 25999-1:2006 NORME BRITANNIQUE ii + @8si2010 Cette page est laissée délibérément en blancNORME BRITANNIQUE BS 25999-1:2006 Avant-propos Information relative a I'édition La présente Norme britannique a été publiée par BSI et est entrée en vigueur le 30 novembre 2006. Elle a été concue par la Commission Technique BCM/1, Management de la continuité dactivité. Les organismes représentés au sein de ce comité sont: Association of British Certification Bodies (Associ ‘Organismes de Certification Britanniques) Association of British Insurers (Associ d’Assurance Britanniques) Association of Chief Police Officers (Association des Officiers Supérieurs de Police) Association of Insurance Risk Managers (Association des Gestionnaires d’Assurances des Risques) Business Continuity Institute (Institut de la Continuité d’Activité) Cabinet Office Chief Fire Officers’ Association (CFOA) (Association des Offici Supérieurs des Pompiers) Continuity Forum (Forum de la Continuité) Coventry University (Université de Coventry) Department of Trade and Industry (Ministre du Commerce et de Vindustrie) Emergency Planning Society (Société de Planification des Mesures d'Urgence) Federation of Smalll Businesses (Fédération des Petites Entreprises) jon des fon des Compagnies Financial Services Authority (Direction des Services Financiers) Independent International Organization for Certification {Organisation Internationale de Certification indépendante) Institute of Directors (Institut des Administrateurs) Institute of Emergency Management (Institut de la Ge: Urgences) Institute of Internal Auditors (Institut des Auditeurs Internes) n des Institute of Risk Management (Institut de la Gestion des Risques) Intellect Metropolitan Police Securities Industry Business Continuity Manageme! (SIBCMG) (Groupe du Management de la Continui Vindustrie des Valeurs Mobiligres) Group d'Activité de Society of industrial Emergency Services Officers (SIESO) (Société des Cadres des Services d'Urgence Industriels) Survive La présente Norme britannique a été élaborée par des juristes qui appartiennent a ensemble de la communauté du secteur de la continuité d’activité en mettant profit leurs expériences universitaires, ‘techniques et pratiques en matiére de management de la continuité diactivité (MCA). Elle a &t8 créée afin de proposer un systéme basé eBsi2010 « iiiiv BS 25999-1:2006 * © 8512010 NORME BRITANNIQUE sur les bonnes pratiques en matiere de management de la continuité d'activité. Elle prétend servir de point de référence unique dans la plupart des situations oi le management de la continuité dactivité est pratiqué et peut étre utilisée par les organismes de grande, moyenne et petite tailles des secteurs industriels, commercial, public et du bénévolat. Ce document constitue la Partie 1 de la BS 25999, Au moment de la publication, la Partie 2 était en préparation et elle précisera les exigences du management de la continuité dactivité. Utilisation de ce document En tant que code de bonne pratique, la présente Norme britannique prend la forme d’orientations et de recommandations. I! est recommandé de ne pas la désigner comme s'il s'agissait d’une spécification et une attention particuliére doit étre portée peur s‘assurer qu'une déclaration de conformité ne soit pas mal interprétée. On attend que les utilisateurs déclarant la conformité a la présente Norme britannique soient capables de justifier tout plan d'action qui s‘€carterait de ses recommandations. Conventions de style Les stipulations de la présente Norme sont des recommandations formulées par des phrases dans lesquelles le verbe aur principal est «il convient de ». Larticle 3 ne comporte aucune recommandation, ‘mais plutét des informations de base utiles sur le management de la continuité dactivité (bien que la Norme ne soit pas destinée a servir de guide du management de la continuité d’activité pour les débutants).. Le mot « permettre » est utilisé dans le texte pour exprimer Vautorisation, par ex,, d'une alternative & la recommendation nominale de Varticle, Le mot « peut » est utilisé pour exprimer la possibilité, par ex,, une conséquence dune action ou d'un événement. Les commentaires complémentaires, les explications et les données d'information générale sont présentés en caractéres italiques plus petits et ne constituent pas des éléments normatifs. Considérations contractuelles et légales La présente publication n’a pas la prétention de comprendre toutes les dispositions essentielles d'un contrat. Les utilisateurs sont responsables de son emploi convenable. Le respect de la Norme britannique obligations légales. iplique pas l'exonération desNORME BRITANNIQUE 2 Termes et défini 2.2 continuité d’acti BS 25999-1:2006 1 Objet et domaine d‘application La présente Norme britannique établit le processus, les principes et la terminologie du management de la continuité d'activité (MCA). Uobjectif de cette Norme est de fournir les bases de la connaissance, du développement et de la mise en ceuvre de la continuité d'activité au sein d'un organisme et de permettre que les transactions assurées par Vorganisme avec les clients et d'autres organismes se déroulent dans un climat de confiance. Elle sert aussi a l'organisme car il pourra mesurer ses compétences de MCA de maniére cohérente faisant suite ‘Aun accord, La présente Norme propose un systéme basé sur les bonnes pratiques du McA. La présente Norme a été concue pour étre utilisée par toute personne assumant des responsabilités d'exploitation d'activité ou de prestations de services, depuis la direction a son plus haut niveau jusqu’a tous les niveaux de l'organisme; tant ceux gérant un site unique que ceux ayant une présence a I'échelle mondiale; tant les entrepreneurs individuels et les petites et moyennes entreprises que les organismes employant des milliers de personnes. Elle est done valable pour quiconque est responsable d'une exploitation et, par conséquent, de la continuité de cette exploitation. La présente Norme ne recouvre pas les activités du plan d'urgence dans la mesure oli ce sujet concerne les mesures d’urgence civiles. NOTE En fin de compte, quels que soient les efforts ou les ressources investis dans le MCA, un organisme pourrait toujours étre affecté par un incident ou une conjonction dincidents qu'il n’a pas prévu. ions Pour les besoins de cette partie de la BS 25999, les définitions suivantes s‘appliquent. 2.4 activité Processus ou ensemble de processus engagé par un organisme (ou en son nom) qui produit ou soutient un ou plusieurs produits ou services NOTE Des exemples de ces processus sont le service comptable, le centre d'appels, le service des technologies de information (Ti), la fabrication, la distribution. ‘capacité stratégique et tactique de 'organisme a prévoir les incidents ct les interruptions d'activité et a y répondre afin de poursuivre exploitation d'activité & un niveau prédéfini admissible 2.3. management de la continuité d'activité (MCA) processus global de management qui identifie les menaces potentielles sur un organisme et les impacts sur l'exploitation d'activité que ces menaces, si elles se réalisaient, pourraient avoir, et qui offre une structure afin de fournir une faculté de récupération par 'organisme avec la capacité de répondre de maniére efficace pour sauvegarder les intéréts de ses parties prenantes clés, sa réputation, ses activités de marque et de création de valeurs NOTE Le MCA implique la gestion de la reprise ou de la continuation des activités métier en cas ‘interruption de celles-ci, et le management eBsi2010 + 1BS 25999-1:2006 2 © ©8s12010 24 25 26 27 28 29 2.10 20 2.12 NORME BRITANNIQUE du programme dans son ensemble par la formation, les exercices et les revisions afin d’assurer que le(s) plan(s) de continuité a‘activité demeure(nt) ’actualité et tenu(s) a jour. cycle de vie du management de la continuité d’activité série d’activités de continuité d’activité qui couvre de maniére collective ‘tous les aspects et toutes les phases du programme de MCA NOTE Le cycle de vie du MCA est illustré 4 la Figure 1. programme du management de continuité d’activité processus de management et de conduite permanent soutenu par la .ction a son plus haut niveau et financé de facon appropriée afin d'assurer que les mesures nécessaires ont été prises pour identifier Vimpact des pertes potentielles, la maintenance des stratégies et des plans de reprise viables et assurer la continuité des produits et services par la formation, l'exercice, la maintenance et la revue plan de continuité d’activité (PCA) ensemble documenté de procédures et d'informations qui est développé, rassemblé et conservé en prévision d'une utilisation en cas diincident afin de permettre un organisme de continuer a liver ses activités critiques 4 un niveau prédéfini admissible stratégie de la continuité d’activité approche par un organisme qui assurera sa reprise et sa continuité face a une catastrophe ou tout autre incident majeur ou interruption diactivité analyse d'impact sur l'activité (AIA) ité et de l"influence que pourrait avoir une interruy sur ces fonctions situation d'urgence a caractére événement ou situation qui menace de faire subir de graves dommages a l'état de santé des hommes dans tout lieu du Royaume-Uni, a environnement de tout lieu du Royaume-Uni ou ala sécurité du Royaume-Uni ou de tout lieu du Royaume-Uni [Loi britannique Civil Contingencies 2004 (1)] conséquence résultat d'un incident qui aura un impact sur les objectifs de l'organisme NOTE 1 Un incident peut entratner une série de conséquences. NOTE2 Une conséquence peut étre certaine ou incertaine et peut avoir tun impact positif ou négative sur les objectifs. analyse de rentabilité technique financiére qui mesure le coat de la mise en ceuvre d'une solution particuligre et qui compare celui-ci avec les bénéfices genérés par cette solution NOTE lest permis de définir les avantages en termes financiers, réglementaires, touchant a la réputation, 4 la fourniture de services, ou tout autre terme approprié & organisme. activités critiques les activités qui sont a réaliser de facon & livrer les produits et services clés qui permettront a un organisme datteindre ses objectifs les plus importants et les plus urgentsNORME BRITANNIQUE 2.13 2.14 245 2.16 247 2.18 2.19 2.20 2.21 BS 25999-1:2006 interruption événement, soit attendu (par ex., gréve du travail ou ouragan) soit inattendu (par ex,, panne de courant ou tremblement de terre), ‘occasionnant un changement d'orientation imprévu et négatif par rapport 8 la livraison prévue des produits et services conformément aux objectifs de lorganisme plan d’urgence développement et maintenance des procédures convenues pour éviter, réduire, contréler, atténuer et prendre d’autres mesures dans le cas de situation d’urgence a caractére civil exercice activité au cours de laquelle le(s) plan(s) de continuité d’activité est(sont) répété(s) en partie ou en totalité afin d’assurer que le(s) plan(s) contient(contiennent) les informations appropriées et Produit(sent) le résultat désiré lorsqu'il(s) est(sont) appliqué(s) NOTE Un exercice peut impliquer le déclenchement des procédures de continuité o‘activité, mais a plus de chances d'impliquer fa simulation d'un incident relat la continuité dactivité, qu'elle soit annoncée ou pas, au cours de laquelle les participants font un jeu de réle de facon & déterminer quels problémes pourraient surgi ceci préalablement 8 un déclenchement réel. gain conséquence positive impact conséquence évaluée d'un résultat particulier incident situation qui pourrait étre ou pourrait causer une interruption dactivité, tune perte, une urgence ou une crise plan de gestion des incidents (PGI) plan d'action clairement défini et documenté & utiliser au moment de incident, englobant généralement le personnel clé, es ressources, les services et actions nécessaires pour mettre en ceuvre le processus de gestion des incidents déclenchement acte de déclaration par lequel un PCA doit entrer en vigueur de fagon a reprendre la fourniture des produits ou services clés, vraisemblance probabilité que quelque chose survienne, que ce soit défini, mesuré ou évalué objectivement ou subjectivement, ou, en termes de descripteurs généraux (comme rare, peu probable, probable, presque certain), les fréquences ou probabilités mathématiques NOTE 1 La vraisemblance peut s‘exprimer de maniére qualitative ou quantitative. NOTE 2 Le terme « probabilité » peut étre utilisé & la place de «vraisemblance » pour certaines langues, autres que anglais, qui n’ont pas d’équivalent direct. Parce que « probabilité » est souvent interprété de maniére plus formelle comme un terme mathématique en anglais, « vraisemblance » est utilisé dans toute la présente Norme avec pour propos de lui donner le méme sens large que « probabilité ». @psi20I0 + 3BS 25999-1:2006 4 © ©Bsi2010 2.22 2.23 2.24 2.25 2.26 2.27 2.28 NORME BRITANNIQUE perte conséquence négative durée d'interruption maximum admissible (DIMA) durée de temps aprés laquelle la viabilité d'un organisme sera menacée de maniere irrévocable sila fourniture des produits et services ne peut reprendre organisme ‘groupe de personnes et d’équipements bénéficiant d'une structure de responsabilités, d'autorités et de relations EXEMPLE Compagnie, société, firme, entreprise, institution, organisation caritative, entrepreneur individuel ou association, ou des parties ou des combinaisons de ceuxcc. NOTE 1 La structure est généralement organisée. NOTE 2 Lorganisme peut étre public ou privé. [BS EN ISO 9000:2005)] produits et services valeurs fournies par l'organisme a ses clients, prestataires et parties prenantes, par ex., articles manufacturés, assurances voitures, conformité a la réglementation et soins infirmiers de proximité objectif du temps de reprise (OTR) objectif de délai fixé pour: + la reprise de la fourniture d'un produit ou d’un service suite a un incident; ou © la reprise de la réalisation d’une activité suite a un incident; ou © lareprise d’un systéme ou d’une application des TI suite a un incident NOTE L/OTR de reprise doit étre moins important que la DIMA. faculté de récupération d'un organisme de se récupérer lorsque celui est touché par un incident risque événement qui pourrait survenir et son(ses) effet(s) sur la réalisation des objectifs NOTE 1 Le terme « risque » est utilisé familiérement de diverses ‘maniéres: comme nom (« un risque » ou, au pluriel, « des risques »), comme verbe (« risquer » [quelque chose] ou « exposer 4 un risque ») ou bien encore comme adjectf («risqué »). Utilisé comme nom, le terme «risque » peut se rapporter & un événement potential, & ses causes, & la possibilité (vraisemblance) que quelque chose survienne, ou aux effets de ces événements. Dans la gestion des risques (voir 6.5), il est important de faire une distinction nette entre les nombreux emplois du mot « risque ». NOTE2 Le risque est défini lorsqu'll est lié un objectit particulier; en conséquence, lorsqu'll est question de plusieurs objectifs, cela implique réventualité de plus d'une mesure de risque en relation avec toute source de risque. NOTE 3_ Le risque est souvent quantifié en tant qu’effet moyen en totalisant les effets combinés de toutes les conséquences possibles avant pondération par les vraisemblances associées de chaque conséquence de facon a obtenir une « valeur attendue ». Cependant, les distributions desNORME BRITANNIQUE 2.29 230 231 2.32 2.33 34 BS 25999-1:2006 probabilités sont nécessaires pour quantifier les perceptions de la gamme des conséquences possibles. I! est egalement permis d'utiliser des calculs rapides de statistiques, comme I’écart-type, en plus de la valeur attendue. tolérance aux risques quantité totale de risque qu'un organisme est préparé a accepter, & tolérer ou a s‘exposer a un certain moment évaluation des risques ensemble du processus d’identification, d‘analyse et d'appréciation des risques gestion des risques développement structuré et application de la culture, de la politique, des procédures et des pratiques de management aux taches d'identification, d’analyse, d'évaluation et de contréle visant a répondre au risque parties prenantes parties possédant des intéréts particuliers dans la réalisation des activités d'un organisme NOTE Dans un sens large, le terme englobe, sans limitation, les employés internes et « externalisés », les clients, les fournisseurs, les partenaires, les salariés, les distributeurs, les investisseurs, les assureurs, les actionnaires, les propriétaires, le gouvernement et les autorités de réglementation. direction a son plus haut niveau personne ou groupe de personnes qui dirige et contréle un organisme au plus haut niveau [BS EN ISO 9000:2005) NOTE La direction a son plus haut niveau, en particulier dans une grande structure multinationale, peut ne pas étre investie de responsabilité directe quoique I'obligation de rendre compte de son action par la voie higrarchique soit évidente. Dans une petite structure, la direction & son plus haut niveau peut étre le propriétaire ou entrepreneur individuel. Présentation générale du MCA Qu’est le MCA? Le management de la continuité d'activité (MCA) est un processus en relation avec I'activité et mis en ceuvre par cette derniére établissant une structure adaptée au but qui lui est assigné, stratégique et opérationnelle, qui ‘+ _améliore de maniare préventive la faculté de récupération d'un organisme face a l'interruption de sa capacité a atteindre ses objectifs clés; ‘+ propose une méthode répétée de reconstituer la capacité d'un organisme a fournir ses produits et ser convenu dans un délai convenu apras une interruption; et ‘+ offre une aptitude avérée a gérer une interruption diactivité et & préserver la réputation et la marque de l'organisme. Alors que les processus individuels de la continuité d’activité peuvent évoluer avec la taille, les structures et les responsabilités de Forganisme, les principes de base restent exactement les mémes pour les organismes des secteurs associatif, privé et public quels que soient leur taille, leur domaine dactivité ou leur complexi eBsi20I0 + 5BS 25999-1:2006 32 33 34 6 + @Bsi2010 NORME BRITANNIQUE MCA et stratégie organisationnelle Tous les organismes, qu'ils soient grands ou petits, ont des buts et des objectifs qui sont de se développer, de fournir des services et d’acquérir d'autres entreprises. Ces buts et ces objectifs sont généralement atteints par le biais de plans stratégiques afin que l'organisme réalise des buts & court, moyen et long terme. La compréhension du MCA au plus haut niveau de 'organisme garantira que ces buts et objectifs ne seront pas compromis par des interruptions inattendus. Les conséquences d’un incident sont variables et peuvent étre considérables. Ces conséquences pourraient se caractériser par de nombreuses victimes, la perte de capitaux ou de recettes, ou Vincapacité de fournir des produits et services dont pourraient dépendre la stratégie, la réputation ou méme la survie de 'organisme. Le MCA devrait reconnattre 'importance stratégique des parties prenantes connues. En outre, comme conséquence de la révélation d'une interruption, de nouvelles parties prenantes apparaissent et ont un impact direct sur I’étendue éventuelle des dommage. Par exemple, il se peut que des groupes tentent d'exercer une pression sur Vorganisme qui fait face a une interruption. Tous ces problémes sont d'intérét stratégique pour lorganisme. MCA - Ie lien avec la gestion des risques Le MCA est complémentaire a la structure de la gestion des risques qui établit la connaissance des risques de l'exploitation ou des activités et les conséquences de ces risques. La gestion des risques tente de gérer le risque relatif aux produits et services clés qu'un organisme fournit. La fourniture des produits et services peut étre perturbée par des incidents trés variés dont il est difficile pour la plupart de prédire ou d’analyser la cause. En se concentrant sur I'impact de I'interruption, le MCA identtfie les produits et services précis dont dépend I'organisme pour sa survie et peut identifier ce dont nécessite l'organisme pour continuer & satisfaire a ses obligations. Grace au MCA, un organisme peut déceler ce qui doit étre fait avant qu’un incident ne survienne pour protéger son personnel, ses installations, sa technologie, ses informations, sa chaine logistique, ses parties prenantes et sa réputation. ‘Avec cette prise de conscience, l'organisme peut alors avoir une vision réaliste des réponses qui devront vraisemblablement etre apportées au fur et mesure de la survenue d'une interruption de sorte qu'il peut se sentir assuré qu'il fera face aux conséquences sans retard inacceptable dans la fourniture de ses produits et services. Un organisme avec des mesures appropriées de MCA en place pourrait étre capable de tirer parti des opportunités qui présentent un risque élevé. Pourquoi il convient qu‘un organisme entreprenne le MCA. Le MCA est un élément important de la bonne gestion des affaires, de la prestation de services et de la prudence dans la gestion d'entreprise.NORME BRITANNIQUE 35 3.6 BS 25999-1:2006 jeants et les propriétaires ont la responsabilité de préserver la capacité de fonctionnement de l'organisme sans qu'ily ait des interruptions. Les organismes prennent sans cesse des engagements ou ont la mission de fournir des produits et services; c'est-2-dire, ils concluent des contrats et suscitent & d‘autres titres des attentes, Tous les organismes ont des responsabilités morales et sociales, en particulier 18 oi ils fournissent une réponse d'urgence ou dans un service public ou le secteur associatif. Dans certains cas, es organismes ont des obligations statutaires ou réglementaires pour engager le MCA. Toute activité métier est sujette aux interruptions tels que les défaillances technologiques, les inondations, les interruptions des services publics et le terrorisme. Le MCA donne les moyens de fournir une réponse adéquate aux interruptions opérationnelles tout en préservant la santé et la sécurité, I convient que le MCA soit a présent considéré non pas comme un processus de planification cotiteux, mais comme un processus qui ajoute de la valeur & 'organisme. Les avantages d’un programme de MCA efficace Les avantages d'un programme de MCA efficace sont que l’organisme: * est capable d’anticiper les impacts d'une interruption d'exploitation; * dispose d'une réponse efficace aux interruptions ce qui minimise Vimpact sur organisme; © conserve une capacité & gérer les risques inassurables; * encourage le travail inter-équipes; * est capable de faire la démonstration d'une réponse crédible par le processus des exercices; * peut renforcer sa réputation; et © peut conquérir un avantage concurrentiel conféré par la capacité démontrée de maintenir les prestations. Les résultats d‘un programme de MCA efficace Les résultats d'un programme de MCA efficace sont que: les produits et services clés sont identifiés et protégés assurant ainsi leur continuité; ‘+ lacompétence de gestion des incidents est activée pour fournir une réponse efficace; ‘+ la compréhension par l'organisme de lui-méme et de ses relations avec les autres organismes, des autorités de réglementation ou des administrations compétentes, des collectivités territoriales et des services d'urgence est correctement développée, documentée et percue; ‘+ les membres du personnel sont formés pour répondre de maniare efficace a un incident ou & une interruption en utilisant les exercices appropriés; + les exigences des parties prenantes sont comprises et en mesure d'etre satisfaites; eBsi2010 + 7| BS 25999-1:2006 37 Figure 1 8 + epsi2010 NORME BRITANNIQUE ‘+ les membres du personnel bénéficient d'une assistance adéquate ‘et de communications dans I'éventualité d'une interruption; + lachaine logistique de 'organisme est garantie; + laréputation de l'organisme est préservée; et ‘+ organisme continue a respecter ses obligations légales et réglementaires. Eléments du cycle de vie du MCA Le cycle de vie du MCA comprend six éléments tels qu’illustrés & la Figure 1. Ces éléments peuvent étre mis en ceuvre par des organismes de toutes tailles et dans tous les secteurs: public, privé, & but non lucratif, de l'éducation, de la production, etc. L'envergure et la structure d'un programme de MCA peuvent varier et les efforts déployés seront adaptés aux besoins de chaque organisme, mais ces éléments essentiels sont tout de méme a engager. Le cycle de vie du MCA. a) Gestion du programme de MCA (voir Article 5) La gestion du programme permet a la compétence de continuité d'activité d’étre a la fois établie (si nécessaire) et maintenue de facon 4 ce qu'elle soit appropriée a la taille et & la complexité de l'organisme.NORME BRITANNIQUE COMMENTAIRE SUR 3.74) Le terme « incident » est utilisé dans ensemble de la présente Norme pour traduire Nextensibilité des événements, du plus petit au plus grand, qui peuvent affecter un organisme. Un incident unique ou une série d'incidents peut provoquer des interruptions graves quant 4 fa capacité de Forganisme a satisfaire ses obligations. Si un incident est correctement géré, il se peut que la situation ne se transforme pas en une situation de crise. Néanmoins, certains événements perturbent si gravement les objectifs de Forganisme que la situation est immeédiatement considérée comme une situation de crise. Un incident peut dépasser les mesures préventives d’un ‘organisme méme s‘il a étudié avec soin les mesures de réponse par rapport a un niveau de dommage prévu. Il est par conséquent impératif que la direction et ses structures d’exécution ne s’en tiennent pas de maniére obstinée 4 un plan existant, mais décident en fonction des circonstances. Un PCA ne se substitue jamais & un processus décisionnel de gestion éclairé et avert. BS 25999-1:2006 b) Compréhension de orga Les activités associées a « Compréhension de l'organisme » fournissent des informations qui permettent la priorisation des produits et services d'un organisme et 'urgence des activités nécessaires pour les fournir. Ceci fixe les exigences qui détermineront la sélection des stratégies de MCA appropriées. ) Détermination de la stratégie de continuité d'activité (voir Article 7) sme (voir Article 6) La détermination de la stratégie de continuité d'activité donne occasion d'évaluer de nombreuses stratégies. Ceci permet de sélectionner la réponse appropriée a chaque produit ou service de sorte que l'organisme puisse continuer & fournir ces produits et services: + Aunniveau acceptable de fonctionnement; et + dans un délai acceptable au cours et a la suite de l'interruption. Le choix retenu devra tenir compte des options de faculté de récupération et de contre-mesurers déja misent en place au sein de l'organisme. ) Développement et mise en couvre des réponses dans le cadre du MCA (voir Article 8) Le développement et la mise en ceuvre des réponses dans le cadre ‘du MCA se traduisent par la création d'un cadre de référence de management et d'une structure de gestion des incidents, des plans de continuité d’activité et de reprise d’activité décrivant de fagon détaillée les mesures & prendre au cours et a la suite de l'incident pour maintenir ou reprendre les processus d’activité. positions du MCA (voir ) Exercice, maintenance et revue des. Article 9) Lexercice, la maintenance, la revue et I'audit du MCA débouchent sur la capacité de organisme & + prouver dans quelles proportions ses stratégies et plans sont complets, actuels et précis; et + identifier les opportunités d’amélioration. f) Intégration du MCA dans la culture de Vorganisme (voir Article 10) Lintégration du MCA dans la culture de 'organisme permet au MCA de faire partie des valeurs fondamentales de l'organisme et suscite la confiance de toutes les parties prenantes en la capacité de l'orgat a faire face aux interruptions. epsi2010 + 9BS 25999-1:2006 4 41 COMMENTAIRE SUR 4.1 Linstauration d'une politique de MCA a pour objectif: 10 d'assurer que toutes les activités du MCA sont menées et réalisées de maniére concertée et maitrisée; de parvenir a une compétence de continuité d'activité qui soit capable de satistaire les exigences d'activité en constante évolution et appropriée & la taille, 81a complexité et ala nature de Vorganisme; et de mettre en place une structure clairement définie pour la capacité continuelle. 42 43 © ©BsI2010 NORME BRITANNIQUE Politique de MCA Présentation générale 4.1.1 La politique de MCA définit les processus suivants: + les activités d’organisation afin d'instaurer une compétence de continuité d’activité; et © lagestion et la maintenance de la continuité d’activité en routine. 4.1.2 Les activités d’organisation comprennent la spécification, la conception du début a la fin, 'élaboration, la mise en ceuvre et les exercices initiaux de la compétence de continuité d'activit. 4.1.3 Les activités de maintenance et de management continus comprennent I"intégration de la continuité d’activité au sein de Vorganisme, l'exercice régulier des plans et leur actualisation et communication en particulier lorsque des changements importants ont lieu concernant les installations, le personnel, le processus, le marché, la technologie ou la structure organisationnelle. Contexte I convient que l'organisme s‘assure que sa politique de MCA est adaptée a la nature, & 'ampleur, a la complexité, & la géographie et au niveau de risque de ses activités métier et qu'elle illustre sa culture, ses dépendances et son environnement d’exploitation. La Politique de MCA définit les exigences du processus afin d'assurer que les dispositions de la continuité d’activité continuent a répondre aux exigences de l'organisme dans 'éventualité d'un incident. I convient que cette politique assure la valorisation de la compétence de la continuité d'activité dans la culture de l'organisme. Il convient diintégrer la compétence du MCA dans l'activité de la gestion des changements de sorte qu’elle s“insére dans la croissance et le développement des produits et services de l'organisme. Développement de la politique de continuité d’activité Il convient que l’organisme développe sa politique de continuité d’activité énoncant les objectifs du MCA au sein de l'organisme. Au départ, une déclaration d‘intention de haut niveau qui sera affinée ‘et enrichie au fur et 4 mesure du développement de sa compétence est permise. I convient que la politique de continuité d’activité dote lorganisme de principes documentés auxquels il aspirera et par rapport auxquels il convient de mesurer sa compétence de continuité d’activité. I convient que la politique de continuité d’activité soit reconnue & haut niveau, par exemple, un directeur de conseil d’administration ou un élu.NORME BRITANNIQUE 44 45 BS 25999. Lorganisme peut tenir compte de ce qui suit au moment de développer sa politique de MCA: * définir le domaine d’application du MCA au sein de organise; * financer le MCA; + définir les principes, les orientations et les normes minimales du MCA pour lorganisme; ‘+ référencer les normes, les réglementations ou les politiques pertinentes qui sont a intégrer ou peuvent étre utilisées comme modales. convient que lorganisme maintienne et revoie de maniére réguligre sa politique, ses stratégies, ses plans et ses solutions de MCA en fonction des exigences de lorganisme. Uconvient que les limitations ou les exclusions en vigueur, par exemple, les exclusions géographiques ou de produit soient clairement déi dans le domaine d'application de la politique de MCA. Domaine d’application du programme du MCA lest permis a la direction a son plus haut niveau de déterminer le domaine d’application du programme du MCA en identifiant les produits et services clés qui soutiennent les objectifs, les obligations et les missions statutaires de l'organisme. Il convient que la détermination de ce qui joue un réle essentiel soit compatible a "AIA décrite au paragraphe 6.2 quoique a un haut niveau de considération. Activités externalisées Si un produit, un service ou une activité a été confié a un prestataire extérieur, la responsabilité des risques relative & ce produit, ace service ou a cette activité reste attribuée & lorganisme. En consequence, il convient qu'un organisme s‘assure que ses fournisseurs privilégiés ou ses partenaires extérieurs sont dotés de dispositions efficaces de MCA en place. Pour ce faire, une méthode est d’obtenir des preuves auditées de la viabilité des plans de continuité des fournisseurs privilégiés et de leurs programmes dexercices et de maintenance. ©Bsi2010 + 11BS 25999-1:2006 12 + ©8si2010 NORME BRITANNIQUE 5 Gestion du programme du MCA 51 52 La gestion du programme est au cceur du processus duu MCA. La gestion efficace du programme détermine l'approche de organisme de la continuité d'activité. La participation de la direction & son plus haut niveau est essentielle ppour assurer que le processus de MCA est correctement mis en place, Convenablement soutenu et instauré dans le cadre de la culture de Vorganisme. Présentation générale I convient que le programme du MCA soit mis en place afin d'atteindre les objectifs définis dans la politique de MCA (voir 4.3). La gestion du programme du MCA comprend trois étapes: + attribution des responsabilités (voir 5.2); © lamise en ceuvre de la continuité d’activité au sein de l'organisme (voir 5.3); et + lagestion permanente de la continuité d'activité (voir 5.4). Attribution des responsabilités (gouvernance) 5.2.1 Il convient que la direction de l'organisme: neté et une ique et de la ‘+ nomme ou désigne une personne ayant une anci autorité appropriées pour rendre compte de la poli mise en ceuvre du MCA; et * nomme ou désigne une ou plusieurs personnes pour mettre en ‘ceuvre et maintenifr le programme du MCA. COMMENTAIRE SUR 5.2.1 Les personnes chargées de la mise en ceuvre et de la maintenance du programme de continuité peuvent oeuvrer au sein de plusiers secteurs de l'organisme en fonction de sa taille, de son domaine dactivité et de sa complexité. Il est cependant indispensable qu'une personne investie de autorité appropriée (par ex., un directeur de conseil d’administration ou un élu) ait la responsabilité globale du MCA et soit directement responsable d’assurer le succés constant de cette compétence.NORME BRITANNIQUE 53 54 5.4.1 5.2.2 Sila structure de 'organisme le manifeste il convient de la direction a son plus haut niveau peut désigner des représentants cchoisis au sein de toute l'entreprise par fonction ou localisation pour aider a la mise en ceuvre du programme du MCA. convient d'intégrer les taches, les obligations de rendre des comptes, les responsabilités et les autorités dans les descriptions de poste et ensemble des savoir-faire. convient que ces responsabilités soient revues dans le processus d'audit de lorganisme. lest permis que celles-ci soient renforcées en les englobant dans la politique d’évaluation, de gratification et de reconnaissance de Vorganisme. COMMENTAIRE SUR 5.2.2 Dans les grands organismes, il peut y avoir nécessité d'une équipe de représentants de continuité d’activité assurant des taches et des responsabilités totalement différentes. Dans de plus petits organismes, la responsabilité de la continuité dactivité peut repose sur une ou plusieurs personnes. Mise en ceuvre de la continuité d’activité au sein de l’organisme 5.3.1 Il convient que les activités pour mettre en ceuvre un programme de continuité dactivité comprennent la conception, ''élaboration et la mise en ceuvre du programme. I convient que l'organisme: + communique le programme aux parties prenantes; * organise ou délivre la formation aux membres du personnel la formation appropriée; et + exerce la compétence de la continuité d'activité (voir Article 9) 5.32 Ilest permis a lorganisme d’adopter une méthode de ‘management de projet agréée afin d'assurer que la mise en couvre soit efficacement gérée. Management continu Présentation générale convient que les activités de management continu assurent que la continuité d'activité est intégrée dans lorganisme. I! convient que chaque élément de la compétence de la continuité d'activité d'un corganisme soit réguliérement revu, exercé et mis jour. En outre il convient que les dispositions et les plans de continuité diactivité soient également revus et mis a jour a chaque fois qu'un changement important a lieu dans 'environnement d’exploitation, le personnel, les processus ou la technologie de l'organisme et qu’un exercice ou un incident fait apparaitre des déficiences. ©Bs12010 = 13BS 25999-1:2006 NORME BRITANNIQUE 5.4.2 Maintien continu Quelle que soit la fagon dont le MCA est aliments, il existe des activités qu'il convient de réaliser a la fois au tout début et de maniére ue. Ces activités peuvent étre: ‘© définir le domaine d’application, les taches et les responsabilités en vue du MCA; + désigner la personne ou l'équipe approprige pour gérer le savoir-faire de MCA continu; + tenir a jour le programme de continuité d'activité grace aux bonnes pratiques; © favoriser la continuité d'activité au sein de tout 'organisme et au-dela le cas échéant; ‘+ gérer le programme d'exercices; © coordonner la revue et I'actualisation réguligres de la compétence de continuité dactivité, y compris reviser ou retravailler les évaluations des risques et les AIAs; ‘© conserver la documentation adaptée a la taille et 4 la complexité de lorganisme (voir 5.5); + surveiller la performance de la capacité de la continuité dactivité; * gérer les coiits associés & la capacité de la continuité d’activité; et + établir et surveiller les systémes de gestion des changements et de la gestion des versions. 5.5 Documentation du MCA I convient que les personnes chargées du maintien de la continuité d'activité créent et conservent les documents. Ceci peut comprendre ce quisuit: a) politique de MCA: + énoncé du domaine d'application du MCA, + cahier des charges du MCA; b) AIA; ©) évaluation des risques et des menaces; d)_stratégie(s) de MCA; ©) programme de sensibilisation; f) cours de formation; 9) plans de gestion des incidents; h) plans de continuité d'activité; ’) plans de reprise diactivité; }) calendrier et comptes rendus des exercices; k)__ accords et contrats sur les niveaux de service. 14 + eBsi2010NORME BRITANNIQUE 64 6.2 BS 25999-1:2006 Get élément du cycle de vie du MCA a pour but de faclite la compréhension de Vorganisme par le bias de Identification de ses produits et services clés et des activités critiques et des ressources qui les soutiennent. Cet élément garantit que le programme du MCA est en conformité avec les objectifs, les ‘obligations et les missions statutaires de Forganisme. Introduction 6.1.1 Dans une situation de continuité d'activité, la compréhension de l'organisme découle de: * identification des objectifs de l'organisme, des obligations des parties prenantes, des missions statutaires et de l'environnement dans lequel l'organisme exerce ses activités; + Tidentification des activités, des actifs et des ressources, y compris ceux se trouvant a l'extérieur de l'organisme, qui soutiennent la fourniture de ces produits et services; + évaluation de I'impact et des conséquences au fil du temps de la défaillance de ces activités, actifs et ressources (voir 6.2); * identification et Févaluation des menaces percues qui pourraient perturber les produits et services clés de lorganisme et les, activités critiques, les actifs et les ressources qui les so (voir 6.5), 6.1.2 Il est important que l'organisme considére: a) les interdépendances de ses activités, et b) la dépendance a 'égard d’organismes externes et la dépendance d'autres organismes vis-a-vis de lui. Analyse d'impact sur I'activité (AIA) 6.2.1 II convient que l'organisme détermine et constate impact d'une interruption sur les activités qui soutiennent les produits et services clés, Ce processus est couramment dénommeé une AIA. © 8512010 + 15BS 25999-1:2006 NORME BRITANNIQUE COMMENTAIRE SUR 6.2.26) 6.2.2 Pour chaque activité soutenant la fourniture des produits et Lors d'une interruption, les impacts services clés dans le cadre de son programme du MCA, il convient que généralement augmentent au organism fil du temps et portent atteinte js ‘ oer 3 chaque activité de maniére a) évalue au fil du temps les impacts qui se produiraient si activité différente. Les impacts peuvent était interrompue; aussi varier en fonction dujour du) établisse la DIMA pour chaque activité en identifiant: mois ou du moment du cycle de vie ; de activité. + lapériode maximale de temps aprés le début d'une interruption pendant laquelle l'activité est 4 reprendre, © leniveau minimum d'activité a atteindre lors de la reprise, la durée de temps nécessaire pour que des niveaux normaux de fonctionnement reprennent; ©) identifie les activités interdépendantes, les actifs, les infrastructures ou ressources de soutien qui sont également & maintenir continuellement ou a reprendre au fil du temps. 6.2.3 Au moment de I’évaluation des impacts, il convient que Vorganisme prenne en considération ceux concernent ses buts et objectifs de métier et ses parties prenantes. Ces impacts peuvent inclure: ‘* impact sur l'état de santé des membres du personnel ou du public; pact des dommages causés aux installations, technologies ou informations, ou la perte de celles-ci; + Fimpact des manquements aux obligations statutaires ou exigences réglementaires; ‘© les dommages causés 8 la réputatior © lesdommages causés 8 la viabilité financiére; * la détérioration de la qualité du produit ou du service; ‘+ ladégradation de l'environnement. convient que 'organisme fournisse la documentation relative & son approche de I’évaluation de I'impact de linterruption et a ses observations et conclusions. 16 + ©8si2010NORME BRITANNIQUE 63 COMMENTAIRE SUR 6.3 La période maximale de temps pour que les activités reprennent peut aller de quelques secondes 4 plusieurs mois selon la nature de Factivité. Les activités qui sont urgentes nécessitent d'étre spécifiées avec une grande récision, c’est-d-dire a la minute ou 4 I’heure prés. Les activités qui sont moins urgentes nécessitent ‘moins de précision. La DIMA aura une influence sur robjectif du temps de reprise de chaque activité au moment de determiner les stratégies de MCA (voir Article 7) 64 COMMENTAIRE SUR 6.4 La technologie signifie utilisation d’équipement dans le sens le plus large et tel quil correspond 4 Vorganisme. La technologie peut englober notamment, mais pas exclusivement, les logiciels et matériels des T, équipement de télécommunication, les tours, les machines pour la préparation des aliments, les machines pour soudure sous vide ou tout autre util industriel ou machine indispensable aux moyens de fabrication et de production. Si les enregistrements ou les informations des travaux en cours ne sont pas disponibles ‘ou ne sont pas suffisamment actualisés, ceci pourrait empécher ou retarder gravement la reprise des activités. Les exigences pour la communication de ces informations sont utilisées pour élaborer une assistance appropriée et des stratégies de management denregistrements au moment de déterminer les stratégies de MCA (voir Article 7). 65 COMMENTAIRE SUR 6.5 Ml pourrait étre utile de consulter les registres des risques qui ont déja été mis en place ailleurs dans lorganisme ou par des entités externes, Identification des activités critiques Lors de I'évaluation des impacts, il convient que l'organisme classifie ses activities en fonction de la priorité de récupération de celles-ci Nest permis de nommer comme « activités critiques », ces activités, dont la perte, telle qu’identifiée durant I'AIA, occasionnerait le plus grand impact dans la durée de temps la plus courte et qui seraient & eprendre le plus rapidement. Chaque activité critique soutient un ou plusieurs produits ou services clés. lest permis a l'organisme d’axer ses activités de planification sur les activités critiques. Néanmoins, il convient d’étre conscient que les autres activités ont également besoin de reprendre dans leur DIMA et peuvent aussi exiger que des dispositions préalables soient en place. Détermination des exigences de continuité {convient que 'organisme estime les ressources dont chaque activité aura besoin lors de la reprise. Ces ressources peuvent inclure: ) les ressources en personnel, y compris en ce qui concerne le nombre, les qualifications et les acquis (personnes); b) le lieu de travail et les infrastructures nécessaires (installations); la technologie, l'appareil de production et I'équipement d'appoint (technologie); 4) la communication d’informations (électroniques ou sur support Papier) concernant les travaux précédents ou les travaux en cours actuels, toutes ces informations devant étre suffisamment actualisées et précises pour permettre a l'activité de se poursuivre avec efficacité au niveau convenu (informations); et €) les services et fournisseurs externes (fournitures). convient que lorganisme tienne compte des exigences des parties prenantes au moment oii il détermine les niveaux des ressources. Evaluation des menaces sur les activités critiques (engager une évaluation des risques) 6.5.1 Dans une situation de MCA, il convient de considérer le niveau de risque particuligrement par rapport aux activités critiques de Vorganisme et au risque d'interruption envers ces derniéres. Les activités critiques ont pour fondements les ressources telles que les personnes, les installations, la technologie, les informations, les fournitures et les parties prenantes. Il convient que l'organisme ©8si2010 + 17BS 25999-1:2006 NORME BRITANNIQUE considére les menaces sur ces ressources, les vulnérabilités de chaque ressource et l'impact qui se produirait si une menace devenait un incident et occasionnait une interruption d'activité 6.5.2 Cest bien a 'organisme de choisir approche de I'évaluation des risques, mais il est important que l'approche soit adéquate et appropriée pour faire face & toutes les exigences de l'organisme. 6.5.3 La BS ISO/IEC 27001 pose le cadre de référence pour I'approche de l’évaluation des risques a choisir en décrivant les éléments obligatoires du processus de I'évaluation des risques. Les éléments typiques sont les suivants. * Détermination des criteres pour l'acceptation des risques. Ces critéres décrivent les conditions dans lesquelles l'organisme est prét 8 accepter des risques. ‘+ Identification des niveaux de risques acceptables. Quelle que / soit ‘approche de I'évaluation des risques choisie, l'organisme a besoin d'identifier les niveaux de risques qu'il considere comme acceptables. © Analyse des risques. Il est essentiel que l'approche de I'évaluation des risques de l'organisme aborde toutes les notions examinées dans 6.5.4, 6.5.5 et 6.5.6. 6.5.4 Il est permis de décrire les menaces spécifiques comme des événements ou des actions qui pourraient, a un certain moment, produire un impact sur les ressources, par ex,, des menaces telles que le feu, inondation, la panne de courant, la perte de personnel, Vabsentéisme du personnel, es virus informatiques et la panne de matériel. 65.5 Les vulnérabilités pourraient apparaitre comme des faiblesses dans les ressources et peuvent étre, & un certain moment, exploitées par les menaces, par ex, les points de défaillance uniques, les déficiences dans la protection contre I'incendie, la résistance électrique, les niveaux des effectifs la sécurité des Tlet la résistance des Tl 6.5.6 Les impacts (voir 6.2.3) peuvent étre la conséquence de exploitation des vulnérabilités par les menaces. 6.6 Détermination des choix 66.1 Présentation générale Alasuite de AIA et de I'évaluation des risques, il convient que Forganisme identifie les mesures qui © réduisent la vr smblance d'une interruption; © raccourcissent la durée de interruption; et + limitent "impact d'une interrup dlés de lorganisme. n sur les produits et services Ces mesures sont connues sous le nom d’atténuation de la perte et du traitement du risque. Les stratégies de I'atténuation de la perte peuvent étre ut combinaison avec d’autres options car tous les risques ne peuvent pas étre évités ou réduits 8 un niveau acceptable. Lorganisme peut 18 + e@Bsi2010NORME BRITANNIQUE 6.6.2 6.6.3 BS 25999-1:2006 intégrer une ou plusieurs stratégies ou toutes les stratégies indiquées de 6.6.2 8 6.6.5 pour chaque activité critique. Continuité d‘activité Sila stratégie choisie pour un produit ou un service clé est celle de la continuité d’activité, il convient d'établir un OTR et d’évaluer les stratégies de continuité énoncées dans |'Article 7 par rapport A cet objectif. Les stratégies de continuité cherchent a améliorer la faculté de récupération d'un organisme face & une interruption en assurant ue les activités critiques se poursuivent ou reprennent a un niveau minimal acceptable et dans des délais spécifiés dans AIA. Tolérance Un risque pourrait étre toléré sans qu'il y ait d’autres interventions. Méme si cela n’est pas satisfaisant, la capacité de faire quelque chose devant certains risques peut étre limitée ou le coat de la moindre intervention disproportionné par rapport a 'avantage potentiel retiré, Dans ces cas, il est permis que la réponse soit de tolérer le niveau actuel de risques sila direction a son plus haut niveau considére le risque acceptable et dans les limites de la tolérance aux risques de Forganisme. impact d'un risque peut étre, dans certaines conditions, au-dela de la tolérance aux risques courant d'un organisme mais, en raison de la faible vraisemblance de la survenue d'un risque et/ou du coat du contréle non rentable, il est permis que la direction & son plus haut niveau accepte le risque. lest permis que I’acceptation soit complétée par un plan pour le traitement des impacts qui surviendraient si le risque se réalisat. Transfert Pour certains risques, la meilleure réponse peut étre de les transférer. Ceci peut se faire par le biais d’une assurance classique ou par accord contractuel, ou bien ceci peut se faire en payant un tiers pour traiter le risque d'une autre maniére. Cette option est particuligrement intéressante pour atténuer les risques financiers ou les risques touchant aux actfs. Il est permis que les risques soient transférés afin de réduire exposition de l'organisme au risque ou parce qu'un autre organisme est plus apte a gérer le risque avec plus d'efficacité. Il est important de noter que certains risques ne sont pas (totalement) transférables; en particulier, il n’est généralement pas possible de transférer les risques liés a la réputation méme si la prestation d’un service est sous-traitée. Hest permis a la stratégie de traitement du risque d’inclure achat d'une assurance. Cet achat offrira une récompense financiére pour certaines pertes. Cependant, toutes les pertes ne sont pas entigrement assurables (par ex., les incidents non assurés, les dommages causés 4 la marque ou a la réputation, la perte de la valeur partenariale, la réduction des parts de marché et les conséquences humaines). Un accord financier seul a peu de chances de protéger complétement Vorganisme de telle maniére qu'il satisfasse aux attentes des parties Prenantes. La garantie d'assurance a plus de chances d’étre utilisée conjointement avec une ou plusieurs autres stratégies. @Bsi2010 + 1920 + @Bsi2010 6.6.5 67 NORME BRITANNIQUE Changer, suspendre ou terminer Dans certaines circonstances, il pourrait étre opportun de changer, suspendre ou cesser le service, le produit, 'activité, la fonction ou le processus. Cette option ne devrait étre envisagée que lorsquiil existe aucun conflit avec les objectifs de organisme, les conformités statutaires et les attentes des parties prenantes, Cette approche est trés probablement a envisager lorsqu’un service, un produit, une activité, une fonction ou un processus a une durée de vie limitée. NOTE. Les quatre points ci-dessus sont parfois dénommeés le « modéle des 4T »: « Traiter » (continuité d‘activité), « Tolérer » (accepter le risque), « Transférer » et « Terminer ». Validation II convient que la direction a son plus haut niveau valide la liste documentée de produits et services clés, I'AIA et I'évaluation des risques pour s'assurer que les travaux sont appropriés et sont, expression fidele de organisme.NORME BRITANNIQUE 7 mM COMMENTAIRE SUR 7.1 LArticle 7 et les articles suivants se rapportent a ces services et produits clés pour lesquels la continuité dactivité est option retenue. Dans tous les autres cas (Cest-d-dire la suspension, la cessation, acceptation du risque), le produit ou service n‘est pas couvert par la méthode du MCA et ne peut pas &tre estimé conforme a la présente Norme. 72 Détermination de la stratégie de continuité d’activité Cet élément du cycle de: ique de « Compréhension de lorganisme ». Ala suite de lanalyse précédente, ln organisme sera en mesure de choisir les stratégies de continuité appropriées afin de lui permettre d'atteindre ses objectifs. Introduction I convient que la méthode de l'organisme pour déterminer les strategies de MCA soit de: a) mettre en ceuvre les mesures pertinentes pour réduire la vraisemblance des incidents qui surviennent et/ou de réduire les effets potentiels de ces incidents; b) _tenir compte, de facon appropriée, des mesures de récupération et d’atténuation; ©) _assurer la continuité pour ses activités critiques au cours et & la suite de l'incident; et d)_tenir compte de ces activités q qu’activités critiques. ji n‘ont pas été identifiées en tant Options de stratégie 7.2.1 II convient que l'organisme examine des options de stratégie pour ses activités critiques et les ressources que chaque activité nécessitera lors de sa reprise. La stratégie ou les stratégies les plus approprige(s) dépendront d'une série de facteurs tels que: * la DIMA de lactivité critique: ‘+ les coats de la mise en ceuvre de la stratégie ou des stratégies; et + les conséquences de linaction. 7.2.2 Des stratégies peuvent étre nécessaires pour les ressources organisationnelles: © personnes (voir 7.3); + installations (voir 7.4); easi2010 + 21BS 25999-1:2006 73 14 COMMENTAIRE SUR 7.4 Les stratégies du lieu de travail peuvent varier considérablement et tout un ensemble d'options peut étre disponible. Les différents types d'incicents ou de menaces peuvent demander la mise en ceuvre de différentes ou de nombreuses options de lieu de travail. Les stratégies convenables seront déterminées, en partie, par Ja taille, le secteur et I’éventail des activités de Vorganisme, par les parties prenantes, et par une base géographique. Par ex, les administrations publiques auront besoin de maintenir des services de premiere ligne parmi leurs populations locales. 22 + eBsi2010 NORME BRITANNIQUE * technologie (voir 7.5); * informations (voir 7. © fournitures (voir 7.7); et * parties prenantes (voir 7.8). Dans chaque cas, il convient que l'organisme minimise la vraisemblance de la mise en ceuvre de la solution de la continuité dactivité qui pourrait étre visée par le méme incident qui occasionne l'interruption dractivité. Personnes I convient que 'organisme identifie les stratégies appropriées afin d'entretenir les compétences et les connaissances de coeur de métier. Il convient de développer cette analyse au-dela des employés de prendre en compte les prestataires extérieurs et les autres parties prenantes qui ont de vastes compétences et connaissances spécialisées. Les stratégies qui ont pour but de protéger ou d’assurer ces compétences peuvent étre: a) _ladocumentation indiquant la maniére dont les ac sont réalisées; b) a formation a qualifications multiples pour les membres du personnel et les prestataires extérieurs; ©) ladissociation des compétences centrales afin de réduire la concentration des risques (ceci pourrait entrainer la division des membres du personnel avec des compétences centrales ou assurer que plus d'une personne posséde les compétences centrales requises); d) le recours & des tiers; e) le plan de relave; et f)_ la conservation et la gestion des connaissances. Installations I convient que organisme élabore une stratégie afin de réduire Vimpact de I'indisponibilité de son(ses) lieu(x) de travail normal(aux). yeut comprendre un ou plusieurs éléments suivants: a) des installations (emplacements) de substitution au sein de Vorganisme, y compris le déplacement d'autres activités; b) des installations de substitution fournies par d’autres organismes (quil s'agisse ou non d'ententes de réciprocité); ©) des installations de substitution fournies par des tiers spécialistes; d) le travail a domicile ou sur des sites éloignés; €) d'autres installations adéquates ayant fait l'objet d'un accord; et f) utilisation d'un effectif de subst NOTE 1 Sile personnel est 4 déménager dans des installations de substitution, il convient que ces installations soient suffisamment proches de sorte que le personnel soit disposé et capable de s’y déplacer tout en tenant compte des difficultés éventuelles causées par Mincident. Cependant, il convient que les installations de substitution ne soient pas trop proches pour qu'il n'y ait pas de probabilité qu’elles soient affectées par le méme incident. ition dans un site établi.NORME BRITANNIQUE 75 COMMENTAIRE SUR 7.5.1 Les strategies de technologie varient considérablement entre les organismes selon la taille, Ja nature et la complexité de activité. Des stratégies spécifiques sont & élaborer pour sauvegarder, remplacer ou rétablir des technologies spécialisées ou personnalisées 4 long délai de mise en ceuvre. Lorganisme peut avoir besoin de prévoir des opérations manuelles avant que les services complets de technologie ne reprennent. BS 25999-1:2006 NOTE 2 II convient d’accompagner l'utilisation d'installations de substitution pour des motifs de continuité d’une déclaration claire indiquant que les installations de substitution seront utilisées uniquement par Forganisme. Si les installations de substitution sont partagées avec d'autres organismes, il convient d’élaborer et de documenter un plan pour limiter la non-disponibilité des ces installations. NOTE3 Ilse peut qu'l soit pertinent de déménager la charge de travail plutot que le personnel, c’est-a-dire une chaine de fabrication ou la charge de travail d'un centre d'appels. Technologie 7.5.1 Les stratégies de technologie dépendront de la nature de la technologie utilisée et de ses relations avec les activités critiques, mais, d'une maniére générale, elles seront un des éléments suivants ou une association de ceux-ci: + prestation réalisée au sein de l'organisme; + services fournis & lorganisme; et + services assurés en externe par un tiers. 7.5.2 llest permis que les stratégies de technologie incluent: + larépartition géographique de la technologie, c‘est-&-dire maintenir la méme technologie dans différents emplacements qui ne seront pas affectés par la méme interruption diactivité; + laconservation des équipements plus anciens comme matériel de remplacement d'urgence ou piéces de rechange; et + Fatténuation complémentaire des risques pour un équipement unique ou a long délai de mise en ceuvre, 7.5.3 Les services des technologies de l'information (TI) ont bien souvent besoin de stratégies de continuité complexes. La ou ces stratégies sont nécessaires, il convient de prendre en considération: * les OTR pour les systémes et applications qui soutiennent les activités clés identifies dans 'AIA; + emplacement et la distance entre les sites technologiques; © le nombre de sites technologiques; © Vaccés a distance; ‘+ utilisation de sites sans personnel (sans employés) par opposition aux sites avec personnel; + laconnectivité des communications et lacheminement excédentaire; ‘+ lanature du « basculement » (qu'une intervention manuelle soit nécessaire pour activer la fourniture auxiliaire des TI ou que ceci demande d’étre assuré automatiquement); et + laconnectivité de tiers et liens externes. NOTE 1 Siune stratégie de « basculement » d'un site a un autre est adoptée, la distance du chemin d'accés du réseau entre les deux sites est 4 étudier avec soin car la distance entre les sites pourrait avoir un impact négatif sur la facon dont les systémes des TI fonctionnent. © 8512010 + 23BS 25999-1:2006 NORME BRITANNIQUE NOTE 2 La ou plus d'un site héberge les TI d'un organisme, il est permis d’avoir une stratégie réciproque de reprise des TI de sorte que les systemes, le réseau et le stockage d'un site ont une capacité permettant de répondre au trafic et au travail conjugués de(s) lautre(des autres) en plus de son propre travail. NNOTE3 Une autre solution au probléme de I'affectation des personnes dans des installations de substitution est de leur fournir un acces & distance aux IT par les lignes commutées ou par internet utilisant le | Réseau Privé Virtuel (RPV) ou une technologie similare. NOTE 4 On peut trouver des informations complémentaires sur la continuité pour les Tl et le matériel des télécommunications dans les documents suivants: PAS 77, BS ISONIEC 27001 et BS ISOIIEC 20000 (deux parties). 7.6 Informations I convient que les stratégies d'informations soient telles qu’elles assurent que les informations fondamentales pour le fonctionnement de l'organisme soient protégées et récupérables en fonction des délais, décrits dans AIA. NOTE 1 _Des informations complémentaires sont fournies dans BBS ISOIIEC 27001. 1! convient que le stockage et la récupération de ces informations soient en conformité avec la législation correspondante. I convient que les informations nécessaires & la livraison des activités critiques de 'organisme soient mises a jour et caractérisées par: + laconfidentialité; + Hintegrite; et + ladisponibilite I convient de documenter les stratégies d'informations en vue de la récupération des informations qui n’ont pas encore été copiées ou sauvegardées dans un lieu sar. I convient d’étendre les stratégies d'informations pour comprendr © les formats physiques (copie papier); et * les formats virtuels (électroniques), etc. NOTE 2 Dans tous les cas, es informations ont besoin d’étre récupérées & un moment qui est connu et admis par la direction & son plus haut niveau. Mest permis d’effectuer des copies, comme suit: comme les sauvegardes électroniques ou sur bande magnétique, la microfiche, les photocopies, la création de copies doubles au moment de la production et ainsi de suite. Ce point de récupération connu est souvent dénommé « lobjectif du point de récupération >. 7.7 Fournitures COMMENTAIRE SUR 7.7 7.7.1 Ilconvient que 'organisme identifie et conserve un stock Dans des environnements du des fournitures centrales qui soutiennent les activités critiques. Les secteur du bureau, les fournitures _stratégies qui soutiennent ceci peuvent comprendre: peuvent étre les chéques, etc. Drautres industries peuvent + stockage de fournitures complémentaires dans un autre identifier les marchandises au détail emplacement; ‘ou les fournitures juste-d-temps ou 6 accords avec des tiers pour la livraison des stocks dans un court i les carburants pour véhicules. Teach + ledéroutage des livraisons juste-8-temps vers d'autres emplacements; 24 » ©8s12010NORME BRITANNIQUE 78 79 BS 25999-1:2006 + ladétention de matériaux dans des entrepéts ou sites d'expédition; + letransfert des opérations de sous-ensembles dans un emplacement de substitution qui posséde des fournitures; et ‘+ identification des fournitures de substitution/remplacement. 7.7.2 La oles activités critiques sont tributaires des fournitures spécialisées, il convient que l'organisme identifie les fournisseurs clés et les sources uniques d’approvisionnement. Les stratégies pour la gestion de la continuité des fournitures peuvent comprendre: + augmenter le nombre de fournisseurs; * inciter les fournisseurs ou leur demander d'avoir une compétence de continuité d’activité validée; + conclure un accord sur les niveaux contractuels et/ou de service avec les fournisseurs clés; ou + identifier les fournisseurs auxiliaires et compétents. Parties prenantes 7.8.1 Au moment de déterminer les stratégies adéquates de MCA, il convient que l'organisme prenne en considération et préserve les intéréts de ses parties prenantes clés. II convient que ces stratégies tiennent compte des considérations sociales et culturelles pertinentes. 7.8.2 II convient que lorganisme identifie les stratégies adéquates pour gérer les relations avec les parties prenantes clés, les partenaires metier ou de services et les prestataires extérieurs. Il se peut que chaque groupe ait besoin de considérations particuliéres. Il est permis que les stratégies pour préserver les intéréts des parties prenantes clés comprennent des dispositions spéciales qui garantissent l'état de santé des parties prenantes avec des besoins spécifiques tels que le handicap, la maladie ou la grossesse. 7.83 Il convient que 'organisme identifie une ou des personnes qui se chargeront des problames sociaux apparus suite & un incident. Situations d’urgence a caractére civil 7.9.1 Il convient que les organismes cherchant 4 déterminer, mettre en ceuvre ou valider les stratégies pour la gestion des incidents et le MCA connaissent bien les intervenants officiels locaux ds le début. Ces intervenants locaux sont chargés des activités d’anticipation, d’évaluation, de prévention, de préparation, d’intervention et de rétablissement par rapport aux situations d'urgence a caractere ci ayant lieu au sein de leurs communautés. NOTE Au Royaume-Uni, ces intervenants peuvent étre connus sous le nom de forums locaux de résilience. 7.9.2 Les intervenants clés joueront un réle important dans la déclaration officielle d'une situation d’urgence a caractare civil et la mise en place: + diinformations en amont ou en aval de l'incident (par ex, les Evaluations des risques); * des procédures d'avertissement et d'information; et + des dispositions de rétablissement des communautés a la suite d'une situation d’urgence a caractére civ @psi20I0 + 25BS 25999-1:2006 26 + eBsi2010 7.10 NORME BRITANNIQUE NOTE 1 Les situations d'urgence 4 caractere civil peuvent entrainer des décés et des dommages corporels; elles peuvent avoir un impact profond et 4 long terme sur la vie psychologique, sociale et économique des personnes et de leurs communautés. Les situations d'urgence peuvent rapidement provoquer des perturbations importantes sur les services de transport public, les réseaux de communication, les infrastructures critiques et la Circulation simple des marchandises, des services et des matériels. Compte tenu de ces éventuelles perturbations, il se peut que les organismes souhaitent se familiariser avec les dispositions de planification de leur forum local de résilience respectif. NOTE 2_ En conformité avec la Loi britannique Civil Contingencies (2004) [1], la lo fait obligation aux autorités locales de fournir des recommandations cet des orientations en matiére de continuité d’activité aux organismes commerciaux et du secteur associatif relevant de leur compétence. Validation I convient que la direction & son plus haut niveau valide les stratégies documentées afin de confirmer que la détermination des stratégies de continuité a été convenablement engagée et prend en charge les causes et les effets probables d’interruption et que les stratégies choisies conviennent afin d’atteindre les objectifs de 'organisme dans le cadre de la tolérance aux risques de l'organisme.NORME BRITANNIQUE BS 25999-1:2006 8 Développement et mise en ceuvre des réponses dans le cadre du MCA Cet élément du cycle de vie du MCA porte sur le développement et la mise en ceuvre des plans et des dispositions appropriés afin d'assurer la ccontinuité des activités critiques et la gestion d'un incident. 8.1 Introduction Larticle 6 et l'article 7 décrivent comment + identifie ses activités critiques; ant que Forganisme: © évalue les menaces sur ces activités cri + choisisse les stratégies adéquates afin de réduire la vraisemblance et les impacts des incidents; et + choisisse les stratégies adéquates qui assurent la continuité ou la | reprise de ses activités critiques. convient que la panoplie des menaces a prévoir soit déterminée par la tolérance aux risques de 'organisme. 82 Structure de réponse a l’incident COMMENTAIRE SUR 8.2 8.2.1 Il convient que l'organisme définisse une structure de réponse Dans les petits organismes lest. _ incident permettant ainsi une réponse efficace et une reprise suite permis que la responsabilité de aux interruptions. Vincident et du MCA repose sur une seule personne. Il est permis 8.2.2 Dans toute situation d'incident il convient d’avoir une structure que les plus grands organises _ simple et rapidement constituée qui permettra a l'organisme: élaborent une approche a plusieurs» de confirmer la nature et 'ampleur de l'incident, niveaux et forment plusieurs équipes qui axeront leur action * _d’avoir le controle de la situation, sur la gestion des incidents, + demattriser Vincident, et Ja continuité dactivité et les questions de reprise d’activté © decommuniquer avec les parties prenantes, Dans certains cas, ces équipes l-convient que la méme structure déclenche une réponse appropriée peuvent étre appuyées par d'autres Equipes ayant des responsabilités dans des activités telles que les questions liées 4 la communication dans les médias et aux personnes. dans le cadre de la continuité d'activité. Il est permis d’appeler cette structure « équipe de gestion des incidents » ou « équipe de gestion des crises » e@psi2010 + 27BS 25999-1:2006 NORME BRITANNIQUE 8.2.3 Il convient que I'équipe bénéficie de plans, de processus et de procédures de gestion dun incident et il convient que ces plans, processus et procédures soient soutenus par des outils de continuité d'activité afin de permettre la continuité et la reprise des activités critiques. 8.2.4 Il convient que I'équipe bénéficie de plans pour lactivation, le fonctionnement, la coordination et la communication de la réponse A incident. La Figure 2 illustre les trois phases principales de la durée de vie d’un incident et le rapport entre la gestion de I'incident et la continuité d'activité. NOTE Dans certains cas, activation par lorganisme de la gestion de ses incidents, de la continuité d’activité et des plans de reprise d'activité peut étre mise en ceuvre l'un aprés autre ou simultanément. Figure 2 Chronologie de I ident Objectif de reprise d'ensembie: Retour la normale aussi -—" rapidement que possible ~~ | Yatecs pron en charge ae eqataus mae & GEE ‘victimes maitriserfimiter les. E a orsmages vate es dommages de conte contacter fe personne ls lors, [De quoguessoranes 6 qualqies rom! réparaionremplacement des donmages reaecation as feu do raat permanent sscupération des dépensesaupros 8.2.5 Il est permis aux organismes d’élaborer des plans spécifiques pour reprendre ou rétablir une exploitation a un état « normal » (plans de reprise). Cependant, lors de certains incidents, il se peut qu'il ne soit pas possible de définir ce quest un état « normal » avant un certain temps aprés incident de sorte qu'il n'est pas possible de mettre en ceuvre les plans de reprise immédiatement. En. conséquence, les organismes peuvent souhaiter s‘assurer que les plans de continuité d’activité permettent une exploitation élargies donnant le temps a I'élaboration de plans de reprise (« retour a la normale »). 28 + ©8si2010NORME BRITANNIQUE 83 83.1 COMMENTAIRE SUR 8.3.1 Mest permis qu'un petit organisme ait un plan unique qui englobe toutes les exigences de I'activité et qui recouvre la totalité de ses exploitations. Il est permis qu’un trés grand organisme ait plusieurs plans dont chacun précise en détail Ta reprise: — d'un volet particulier de son activité; — de sses installations particuliéres; ou — d'un scénario particulier et, — comprend et une documentation distincte concernant les phases de incident, de la continuité et de la reprise. 8.3.2 COMMENTAIRE SUR 8.3.2 Chaque plan peut exposer dlairement ce qu'il ne prétend pas réaliser et pourquoi. 833 COMMENTAIRE SUR 8.3.3 Les plans peuvent aussi comprendre, si nécessaire, les procédures et les lstes de controle qui soutiennent le processus de revue post-incident. BS 25999-1:2006 Contenu des plans Introduction I convient que tous les plans, que ce soient les plans de gestion des incidents, les plans de continuité d’activité ou les plans de reprise d'activité, soient concis et accessibles aux personnes assurant les responsabilités définies dans les plans. Il convient que les plans comprennent les éléments énoncés de 8.3.2 4 8.3.6, Objet et domaine d’application I convient que l'objet et le domaine d'application de chaque plan spécifique soient définis, approuvés par la direction a son plus haut niveau et percus par ceux qui mettront Ie plan en ceuvre. Il convient que tout lien avec d'autres plans ou documents pertinents de Forganisme soit clairement référencé et que la maniére d'obtenir et davoir accds 8 ces plans soit décrte. I convient que chaque PGI, de continuité d‘activité et de reprise dlactivité énonce les objectifs classés par ordre de priorité au regard: + des activités critiques a reprendre; © des délais nécessaires pour qu’elles reprennent; + des niveaux de reprise nécessaires pour chaque activité critique; et * della situation dans laquelle chaque plan peut étre utilisé. Réles et responsabilités I convient que les taches et les responsabilités des personnes et des équipes faisant autorité (2 la fois en termes de prise de décision et dautorité a employer) au cours et & la suite d’un incident soient clairement documentées. HI convient que les personnes ou les groupes englobés dans un plan soient clairement définis. ©BsI2010 + 29BS 25999-1:2006 83.4 COMMENTAIRE SUR 8.3.4 Le temps perdu pendant une réponse ne peut jamais étre récupéré. Il est préférable de ‘mobiliser léquipe de réponse et de la dissoudre par la suite plutt que de manquer l'occasion de Imaitriser un incident t6t et d’éviter escalade. Les organismes peuvent tenir compte des phases d’escalade deéfinies et admises au plan international conformément aux orientations claires d'autres spécialistes, par exemple Organisation Mondiale de la Santé pour les pandémies. 83.5 83.6 COMMENTAIRE SUR 8.3.6 Les enregistrements des informations de contact peuvent comprendre les coordonnées «hors bureau >. Cependant, lorsque les plans mentionnent des informations aussi privées, Ie respect de la protection des données doit étre une considération primordiale. 30 +» ©Bsi2010 NORME BRITANNIQUE Déclenchement du plan I convient de documenter clairement la méthode utilisée pour le déclenchement d'un PGI, de continuité d'activité ou de reprise d'activité. II convient que ce processus tienne compte des plans pertinents ou des parties de ces plans afin d’étre déclenchés dans le délai le plus court possible suite & la survenue d'une interruption dactivité. I convient que l'organisme établisse et documente des lignes directrices claires et un ensemble de critéres qui indiqueront quelles sont la(es) personne(s) qui aura(ont) qualité pour déclencher le(s) plan(s) et dans quelles conditions. lest permis que le processus de déclenchement nécessite la mobilisation immédiate des ressources de l'organisme. II convient que ce plan comprenne une description claire et précise: + dela maniere dont on mo! era l'équipe ou les équipes; des points de rendez-vous immédiats; et des futurs lieux de réunion d'équipes et des informations des lieux de réunion de substitution (dans de grands organismes, il est permis que ces lieux de réunion soient nommeés « des centres de gestion des incidents » ou « de commande »). convient que l'organisme établisse un processus clair de fagon a dissoudre I'équipe ou les €quipes une fois incident terminé et reprendre les activités comme d’habitude. Propriétaire et responsable de la maintenance du document I convient que l'organisme désigne le principal propriétaire du plan et identifie et documente qui est responsable de la revue, des modifications et de l'actualisation du plan a intervalles réguliers. convient d'utiliser un systéme de contréle de versions et de notifier les changements dans les régles a toutes les parties intéressées avec un plan formel d’enregistrements de distribution entretenu et mis & jour. Coordonnées de contact convient que chaque plan contienne ou fournisse une référence aux coordonnées de contact essentielles de toutes les parties prenantes clés.NORME BRITANNIQUE 84 a5 8.5.1 85.2 8.5.3 COMMENTAIRE SUR 8.5.3 En fonction de Vimportance de Vorganisme et de la dimension de incident, un certain nombre de personnes compétentes et formées peuvent étre nécessaires pour répondre par téléphone aux demandes concernant lincident. BS 25999-1:2006 Plan de gestion des incidents (PGI) objet d'un PGI est de permettre a l'organisme de gérer la phase Initiale (critique) d'un incident. convient que le PGI: a) soit flexible, réalisable et pertinent; b) soit facile a lire et & comprendre; et 0) fournisse la base pour la gestion de tous les problames éventuels, y compris les problemes liés aux parties prenantes et les problaémes externes, auxquels un organisme fait face au cours d'un incident. convient aussi que le PGI: 1) _bénéficie de aide des cadres supérieurs, y compris un appui issu du conseil d’administration sily a lieu; et 2) soit soutenu par un budget approprié en vue du développement, de la maintenance et de la formation. Contenu du PGI Généralités Outre le contenu recommandé dans 8. les informations énoncées de 8.5.2 4 8.5.8. convient qu'un PGI contienne Listes des taches et des actions I convient que le PGI comprenne les listes des taches et les listes de contréle des actions qui seront utilisées pour gérer les conséquences immeédiates d’une interruption d’activité. II convient que ces taches: ‘+ assurent que la sécurité des personnes est la premiére préoccupation; + soient basées sur les résultats de I'AIA de organisme; + soient organisées de maniére a offrir les options stratégiques et tactiques choisies par l'organisme (telles qu’elles sont décrites a Varticle 7); et + permettent de prévenir une perte ou une indisponibilité supplémentaire des activités critiques et des ressources de soutien tel que défini a 'Ar Contacts de secours !I convient de comprendre une description de la maniére et des conditions dans lesquelles l'organisme entrera en contact avec les membres du personnel et leurs familles, leurs amis et les contacts de secours. Dans certains cas, il serait opportun d’inclure le détail sur un document séparé. II convient de tenir a jour et disponibles pour une utilisation rapide les informations des contacts de secours et des proches parents de tout le personnel. 8512010 » 31BS 25999-1:2006 NORME BRITANNIQUE 8.5.4 Activités des personnes COMMENTAIRE SUR 8.5.4 Ii convient que le PGI réponde aux intéréts des personnes dont Les organismes ont la rétat de santé pourrait étre mis en danger suite 4 un incident tout responsabilité directe de en prenant en compte les considérations sociales et culturelles sauvegarder ’état de santé de pertinentes (voir 7.82). leurs employés, prestataires ° extérieurs, visiteurs et clients il convient que le PGI identife l(les) personne(s) qui assumera(ont) forsqu‘un incident présente un _des responsabilités quant aux problémes de santé découlant d'un risque direct pour leur vie leur __incident (voir 7.83), y compris: source de revenus et leur santé. 2) yacuation du site (les activités d’hébergement sur site sera nécessaire d'accorder une attention particuliére aux groupes ayant des handicaps ou des besoins b) la mobilisation des équipes d’assistance chargées de la sécurité, internes comprises); spécifiques (par ex, grossesse, des secours d'urgence ou de I'évacuation; invalidité temporaire due a un — | accident, ete). Prévoir afin de ©) la localisation et la recherche des personnes qui se trouvaient sur répondre & ces exigences peut le site ou dans les environs immédiats; réduire le risque et rassurerles. —_d)_|es réunions permanentes dinformation sur la sécurité concernant personnes concernées. les employés/clients. Les impacts & long terme des incidents ne peuvent pas étre sous-estimés. Le développement I-convient que l'organisme mette en place des membres du personnel ayant des niveaux d’autorité adéquats pour assurer la liaison avec les services d'urgence si besoin est. des strategies appropriées au service de la santé de I’homme NOTE Les services d'urgence jouent un r6le primordial dans la protection peut directement favoriser de la vie et le soulagement des sourfrances pendant les situations d'urgence. la récupération physique En conséquence, la coordination anticipée de liaison, préétablie et en et émotionnelle au sein de temps rée! de Incident entre Iorganisme et ses premiers intervenants et les Vorganisme. services d’urgence peut améliorer Iefficacité d'une réponse & un incident. lest permis & lorganisme d'engager un service afin d'interroger et ent. I est permis que ces services soient assurés en externe ou en tant que service supplémentaire aux programmes de protection contre les risques professionnels et d'aide au personnel. 855 Réponse a attention des médias COMMENTAIRE SUR 8.5.5 Il convient de documenter la réponse & I'attention des medias dans le Les informations préparées PGlet comprendre: bien 3 lavance peuvent étre ; ; ‘incident: helenae ocdes _@)_lastratégie de communication de Vincident; premiéres phases d'un incident. __b) interface privilégiée de lorganisme avec les médias; 3 Forganisme de : Fennec renelgnonenrar © untexte de référence ou un modéle pour larédaction d'un fegineeriessctinspendant communiqué & fournir aux médias dés que cela sera posible suite ue des précisions sur lncident a Vincident; sontsurle point'étre mises en__gy_le nombre approprié de porte-paroles formés et compétents et place. 1! est permis a un organisme ayant été habilités pour communiquer les informations aux médias; diatiliser tous les moyens en vigueur pour partager les €) l’établissement, quand cela est possible, d’un lieu adéquat pour informations au cours et a la suite assurer le contact avec les médias ou tout autre groupe de parties d'un incident. Par exemple via des prenantes. Stesinteret,desporteparoles, bans certains cas, il peut éte pertinent des exposés de présentation * de fournir des informations complémentaires dans un document. dfennrepise géneriques ce + de rassembler un nombre adéquat de personnes compétentes et formées pour répondre par téléphone aux demandes de renseignements de la presse; 32 + @Bsi2010NORME BRITANNIQUE COMMENTAIRE SUR 8.5.6 M pourrait étre utile de tenir compte des groupes de pression ou d'action de proximité qui, d'une maniére collective, exercent un pouvoir ou une influence sur Vorganisme. 85. COMMENTAIRE SUR 8.5.7 Un lieu de gestion des incidents est un point central partir duquel incident peut étre géré. Mest important de recueillr et de partager les informations clés ainsi que de fixer les objectifs, d'assigner des taches, de gérer des ressources, didentifier et de localiser les problemes et de prendre les décisions reposant sur des informations appropriées. De bonnes communications sont cessentielles. utilisation d’un point de rencontre remporte sur les situations ou les réseaux téléphoniques sont saturés. Le lieu peut étre une simple chambre d'hétel ou la maison d'un membre du personnel. Mais ilfpeut étre aussi un « centre de commande » spécial avec des PC, visioconférence et plusieurs téléphones. Au début, i! serait nécessaire de tenir une réunion virtuelle ou hors site, par exemple par téléphone, par téléconférence ou visioconférence, pour que la prise de décision soit rapide. 858 BS 25999-1:2006 * de produire des documents d'information relatifs l'organisme et & son fonctionnement (il convient que ces informations aient fait objet d’un pré-accord en vue de leur diffusion); * d'assurer que les informations destinées aux medias sont mises & disposition sans délai excess. Gestion des parties prenantes convient d'inclure un processus visant 8 identifier et a hiérarchiser les communications avec d’autres parties prenantes clés. II peut étre nécessaire d’élaborer un plan distinct de gestion des parties prenantes afin d'offrir des critéres pour mettre en place des priorités et assigner une personne a chaque partie prenante ou groupe de parties prenantes. Lieu de gestion des incidents convient que organisme définisse un lieu, une piéce ou un espace polyvalent et prédéterminé a partir duquel se déroulera la gestion d'un incident. Une fois établi, il convient que le lieu soit le point central de la réponse de 'organisme. II convient aussi de désigner un point de rencontre de substitution dans un autre lieu dans le cas ott raceés au lieu principal est impossible. II convient que chaque lieu permette I'accés aux ressources appropriées grace auxquelles I'équipe chargée des incidents peut entamer sans délai des activités efficaces de gestion des incidents. convient d’adapter le lieu choisi au but qui lui est assigné et ‘comprendre: a) des moyens de communication principaux et secondaires efficaces; b) des équipements pour I'accés et le partage d’informations, y compris le suivi des organismes d'information. Annexes I convient que le PGI comprenne les coordonnées de contact et de mobilisation tenues a jour des agences, organismes et ressources concernés qui pourraient étre requis pour soutenir les stratégi réponses de l'organisme. de © 8512010 + 33BS 25999-1:2006 a6 COMMENTAIRE SUR 8.6 Les éléments et le contenu des PCA varient selon les organismes et présentent des caractéristiques différentes en fonction de a taille, de renvironnement, de la culture cet de la complexité technique de Forganisme. Les grands organismes peuvent exiger des documents séparés pour chacune de leurs activités critiques tandis que des organismes plus petits peuvent étre capables de couvrir tout ce qui est considéré critique pour eux dans un document unique. a7 87.1 34 * eBsi2010 NORME BRITANNIQUE I convient que le PGI comprenne des registres ou des formulaires sur lesquels sont inscrites les informations indispensables concernant incident, telles que la chronologie de l'incident, les renseignements se rapportant aux victimes, les décisions prises, les sommes d‘argent engagées, les estimations des dommages, les communications diffusées et toute autre information jugée indispensable par Vorganisme au soutien de la revue post-incident. lest permis au PGI de comprendre ou de mentionner: a) les cartes, les tableaux, les plans, les photographies et toute autre information qui pourrait étre pertinente dans I'éventualité d'un incident; b) les stratégies de réponses documentées ayant fait objet d'un accord avec des tiers et déclarées opportunes (partenaires de coentreprises, prestataires extérieurs, fournisseurs, etc.); les données relatives aux zones d'entreposage de matériels et diattente de départ; d) les plans d'accés aux sites; et ©) une procédure de gestion des interruptions qui assure que toutes les demandes d‘indemnités auprés des assurances et de la justice en faveur ou contre l'organisme répondent aux exigences réglementaires et contractuelles. Plan(s) de continuité d’activité (PCA) Un PCA a pour objet de permettre a l'organisme de reprendre ou d’entretenir ses activités dans 'éventualité d'une interruption de exploitation normale des activités. Les PCA sont activés (déclenchés) afin de soutenir les activités critiques nécessaires pour atteindre les objectifs de l'organisme. Il est permis de déclencher les PCA en totalité ou en partie et a n‘importe quelle étape de la réponse a l'incident. Contenu du PCA Généralités Outre les éléments recommandés dans 8.3, il convient qu'un PCA contienne les informations énoncées de 8.7.2 88.7.5.NORME BRITANNIQUE 87.2 COMMENTAIRE SUR 8.7.2 es points sont conformes 8 la Loi britannique Civil Contingencies [1], Article 6.20. Les plans mentionneront les personnes, les installations, les technologies, les informations, les fournitures et les parties prenantes identifiées dans la Phase de stratégie (voir Article 7) I faudra y inclure les hypotheses et les données claires de toutes les ressources nécessaires & la mise en ceuvre des plans. Dans Te cas ou le défaut de service ou de ressource rend les objectifs du plan irréalisables, il faudra définir tune procédure claire pour faire ‘monter le probléme 4 un échelon supérieur. 873 BS 25999-1:2006 Plan d’action/liste des taches I convient que le plan d'action comprenne une liste de controle structurée des actions et des taches, dans l'ordre de priorité, tout en faisant apparaitre: a) lamaniére dont le plan d'activité est déclenché; b) _la(es) personne(s) responsable(s) du déclenchement du PCA; la procédure qu'il convient de suivre lors de la prise de décision; 4d) la(es) personne(s) qu'il convient de consulter avant qu'une telle décision ne soit prise; €) _la(es) personne(s) qu'il convient de prévenir une fois la décision prise; ) quiva ou et quand; 9) quels services sont disponibles, oi et quand, y compris la maniére dont organisme mobilise les ressources externes et tierces; h) comment et quand ces informations sont transmises; et siily a lieu, les procédures détaillant les solutions de rechange manuelles, les techniques de remise en état d'un systéme, etc. Exigences de ressources Il convient d'identifier les ressources nécessaires pour la continuité d'activité et la reprise d’activité a différents moments dans le temps. It est permis que ces ressources comprennent: a) _les personnes qui peuvent faire partie: + dela sécurité, + dela logistique des transports, * des besoins de santé, et des dépenses lies aux services de secours; b) les installations; Q_lestechnologies, y compris les communications; 4) _les informations qui peuvent englober: * les données financiéres (par ex., la masse salariale), * les livres comptables clients, + les données relatives aux fournisseurs et parties prenantes, + les documents juridiques (par ex., les contrats, les polices d'assurance, les titres de propriété, etc.) et * les autres documents relatifs aux services (par ex, les accords sur les niveaux de service); e) les fournitures; et f) la gestion des parties prenantes et la communication avec ces dernieres. @Bsi2010 + 35BS 25999-1:2006 87.4 COMMENTAIRE SUR 8.7.4 Dans de nombreux cas, i est permis que lorganisme designe la(les) méme(s) personne(s) identifiée(s) dans le PGI et la(les) charge de gérer les problémes & plus long terme. 87.5 COMMENTAIRE SUR 8.7.5 Mest permis que le plan comprenne aussi des formulaires sur lesquels sont inscrites des données administratives, par ex. les ressources utilisées, les dépenses lies au matériel d'enregistrement; les cartes, les dessins, les plans de situation et de bureaux, en particulier ceux relatifs aux installations de substitution telles que les zones de reprise de l'espace de travail et les emplacements de stockage. 36 * ©8512010 NORME BRITANNIQUE Personne(s) responsable(s) M convient que l'organisme identifie une(des) personne(s) désignée(s) pour assurer la gestion des phases de la continuité d'activité et de la reprise d'activité suite a une interruption. Formulaires et annexes convient que le PCA comprenne, le cas échéant, les coordonnées de contact tenues & jour des agences, organismes et prestataires concemés, qu'ils soient internes ou externes, qui pourraient étre requis pour soutenir l'organisme. I convient que le PCA comprenne un registre des incidents ou des formulaires sur lesquels sont inscrites les informations indispensables, plus particuliérement concernant les décisions prises.NORME BRITANNIQUE 9 91 92 ‘COMMENTAIRE SUR 9.2 Les exercices apportent la preuve incontestable de la compétence et de aptitude du MCA et de la gestion des incidents. Le temps et Tes ressources employés & mettre & répreuve les stratégies du MCA en exergant les PCA conduisent & une aptitude adaptée au but qui lui est assigné. Sans considération de la qualité de la conception et du soin avec lequel une stratégie de MCA ou un PCA est élaboré, une série drexercices polyvalents et réalistes identifiera les zones qui nécessitent des modifications. BS 25999-1:2006 Exercice, maintenance et revue des dispositions du MCA oo Cet élément du cycle de vie du MCA assure que les dispositions du MCA, d'un organisme sont validées par lexercice et la revue et qu’elles sont mises a jour. Introduction Les dispositions du MCA et des incidents ne peuvent pas étre considérées sGres tant qu’elles n‘ont pas &té testées et que leur actualisation ne soit effectuée. L'exercice est indispensable au développement du travail d'équipe, des compétences, de la confiance et des connaissances, ce qui est capital au moment de l'incident. lI convient de vérifier les dispositions par l'exercice, l'audit et les processus d’auto-évaluation afin d’assurer qu’elles sont adaptées au but qui leur est assigné. Programme d’exercices I convient qu’un programme d'exercices corresponde au domaine d'application du(des) plan(s) de continuité d’activité dans le respect de la législation et de la réglementation pertinentes. Il est permis que les, exercices: + anticipent un résultat prédéterming, par ex. est établi et exploré en avance; ou ‘* permettent a lorganisme de développer des solutions innovantes. II convient de mettre au point un programme d’exercices de telle sorte qu'il aboutisse, sur une certaine période de temps, & l'assurance objective que le PCA fonctionnera comme prévu selon le besoin. II convient que le programme: ‘+ teste les syst@mes opérationnels techniques, logistiques, administratifs, procéduraux et autres du PCA; ‘+ teste les dispositions et les infrastructures du MCA (y compris les r6les, responsabilités et tous lieux et zones de travail de gestion des incidents, etc.); ©8s12010 + 37BS 25999-1:2006 93 COMMENTAIRE SUR 9.3.4 Les exercices qui présentent de graves déficiences ou inexactitudes dans le cadre du PCA sont a recommencer aprés que des actions correctives ont été apportées. Une série de méthodes d’exercices se repportant aux strategies de MCA est indiquée au Tableau 1. 38 + @Bsi2010 NORME BRITANNIQUE ‘* _valide la récupération de technologie et de télécommunications, y compris la disponibilité et le transfert de lieu d’affectation du personnel. Par ailleurs, il peut aboutir a I'amélioration du MCA en: ‘+ mettant en pratique la capacité de l'organisme a récupérer suite & un incident; © vérifiant que le PCA englobe toutes les activités critiques de Vorganisme et leurs dépendances et priorités; * _attirant 'attention sur les hypothéses qu'il faut remettre en cause; spirant la confiance parmi les participants aux exercices; © sensibilisant l'ensemble de lorganisme a la continuité d’activité par la diffusion de l'exercice; * _validant lefficacité et le respect des délais quant au rétablissement des activités critiques * faisant la démonstration de la compétence des éq principales chargées des réponses et de celles de remplacement. Exercice des dispositions du MCA 9.3.1 Il convient que les exercices soient réalistes, soigneusement préparés et élaborés d'un commun accord avec les parties prenantes de fagon a ce quill y ait un risque minimal de perturbation par rapport aux processus d’activité. Il convient de programmer un exercice de sorte que le risque de la survenue d'un incident en tant que conséquence directe de l'exercice soit minimisé. 9.3.2 Il convient que chaque exercice présente des buts et objectifs clairement définis. II convient d’entreprendre une synthase et une analyse post-exercice qui examineront la réalisation des buts et des objectifs de l'exercice. Il convient de présenter un compte-rendu post-exercice qui comprendra les recommandations et un calendrier pour leur application, 9.3.3 Il convient que le volume et la complexité des exercices répondent aux objectifs de reprise de 'organisme. 9.3.4 Il convient d’exercer les plans de continuité d’activité et de gestion des incidents de maniére a assurer qu'ils peuvent étre convenablement mis a exécution et qu'ils contiennent les informations et instructions appropriées. 93.5 Il convient que le programme d’exercices prenne en considération les rdles de toutes les parties, y compris es tiers prestataires clés, les partenaires extérieurs et les autres qui seraient ‘censés participer aux activités de reprise. Il est permis qu'un organisme englobe ces parties dans ses exercices.NORME BRITANNIQUE BS 25999-1:2006 Tableau 1 Types et méthodes d’exercices des stratégies de MCA Complexité Exercice Processus Variantes Fréquence des bonnes pratiques” Simple «Vérification sur Revue/modification du Actualisation/ ‘Au moins une fois table » contenu validation par an Contestation du contenu Auditvérification_Une fois par an du PCA Moyenne Vérification Contestation du contenu Inclut interaction et Une fois par an as a pas du PCA valide les roles des participants Simulation Utilisation de situation _Englobe les plans __Une fois ou deux «artificielle » pour associés fois par an valider que le() plan(s) de continuité d'activité contient (contiennent) les informations a la fois nécessaires et suffisantes pour réussir la reprise Exercer les Déclenchement dans une _Opérations définies Une fois par an ou activités critiques situation souscontréle ——d'unsite de moins souvent quine porte pas préjudice substitution pour a lactivité dans son une période de fonctionnement normal __ temps fixée Complexe Exercerle PCA __Exercice quis’étend & Une fois par an ou complet, y la zone d'exclusion du moins souvent compris la gestion batimenticampus des incidents IWeonvient que la fréquence des exercices dépende 8 la fois des besoins de Vorganisme, de environnement dans lequel il exerce ses activités et des exigences des parties prenantes. II convient cependant que le programme des exercices soit flexible et tienne compte du taux de changement au sein de lorganisme et des résultats des exercices précédents. Les méthodes d’exercices indiquées plus haut peuvent étre utilisées pour des parties déterminées de plan et des plans uniques ou multiples. oe 94 Maintenance de dispositions du MCA COMMENTAIRE SUR UI convient de mettre en place un programme de maintenance du Le processus de maintien du MCA clairement défini et documenteé. Il convient que ce programme MCA & pour objet d’assurer que _assure que tout changement (interne ou externe) qui a un impact sur les compétences et ‘aptitude du _Yorganisme est revu par rapport au MCA et quill identifie aussi tout MCA de l'organisme demeurent nouveau produit et service et leurs activités périphériques qui ont cfficaces, adaptées au but qui leur in a’ i aes aa ens ereneaueaneel besoin d’étre comprises dans le programme de maintenance du En conséquence du programme de maintenance du MCA, il convient Le but des activités de Tere ‘maintenance est de modifier les. ue organisme: programmes d’exercices actuels. *_revoie et conteste toutes les hypothéses avancées dans tous les forsquiilsindiquent qu’ily a eu éléments du MCA de l'ensemble de l'organisme; et tun changement important dans i . ; fa strategie, la solution ou le ‘+ diffuse auprés des personnels clé la politique, les stratégies, les processus d'activité solutions, les processus et les plans actualisés, modifiés ou changés du MCA selon un processus de contréle de changement formel, NOTE Sides changements majeurs ont été apportés, alors une révision de I’AIA est a entreprendre. I! est permis que les autres éléments du programme du MCA soient modifiés pour tenir compte de ces changements. ©Bs12010 + 39BS 25999-1:2006 95 COMMENTAIRE SUR 9.5.3 Dans une situation d’amélioration continue, Vorganisme peut acquérir des connaissances sur les nouvelles technologies et pratiques liées au MCA, y compris Tes nouveaux outils et techniques et ces demiers sont 4 évaluer pour établir leurs avantages éventuels pour 'organisme. 40 + @8si2010 NORME BRITANNIQUE convient que les résultats du processus de maintenance du MCA comprennent: * les preuves documentées de la gestion et de la gouvernance proactives du programme de continuité d’activité de l'organisme; ‘+ lavérification que les personnes clés qui ont la tache de mettre en ceuvre la stratégie et les plans du MCA sont formées et compétentes; + lavérification de la surveillance et du contréle des risques du MCA auxquels fait face l'organisme; et + les preuves documentées que les changements importants apportés 2 la structure, aux produits et services, aux activi Vobjet, au personnel et aux objectives de l'organisme ont été \corporés aux plans de MCA et de la gestion des incidents. Revue des dispositions du MCA 9.5.1 II convient que la direction & son plus haut niveau de l'organisme 8 intervalles que l'organisme juge appropriés, "aptitude du MCA de l'organisme pour assurer qu'elle demeure pertinente, ace. II convient de documenter cette revue. 9.5.2 II convient que la revue vérifie que le respect de la politique de MCA de l'organisme assure la conformité a toutes les lois applicables, normes, stratégies, cadres de référence et principes généraux de bonne pratique. 9.5.3 Il convient que la revue se penche sur les besoins éventuels de changements touchant & la politique, a la stratégie, aux objectifs et 4 d'autres éléments du systéme de management de gestion du MCA sur la base des résultats d'exercices, de diverses circonstances et la volonté d'une amélioration continue. 9.5.4 La revue peut prendre la forme d’audits internes ou externes ou d’auto-évaluations. La fréquence et la détermination du moment favorable des revues peuvent étre influencées par les lois et les réglementations en fonction de la taille, de la nature et du statut juridique de lorganisme. Elles peuvent également étre influencées par les exigences des parties prenantes. I convient qu'un audit ou une auto-évaluation du programme de MCA de l'organisme vérifie que: * tous les produits et services clés et leurs activités critiques et ressources de soutien ont été identifiés et englobés dans la stratégie de MCA de lorganisme; + la politique, les stratégies, le cadre de référence et les plans de MCA de lorganisme reflétent fidélement les priorités et exigences de l'organisme (les objectifs de l'organisme); + les compétences du MCA de l'organisme et son aptitude de MCA. sont efficaces et adaptées au but qui leur est assigné et elles permettront la gestion, la maitrise, le contrdle et la coordination d'un incident; + les solutions de MCA de l'organisme sont efficaces, mises a jour et adaptées au but qui leur est assigné et elles sont également appropriées au niveau du risque auquel fait face organisme; + les programmes de maintenance et d’exercice du MCA de Norganisme ont été efficacement appliquées;NORME BRITANNIQUE 95.6 BS 25999- 2006 les stratégies et les plans de MCA englobent les améliorations identifies au cours des incidents et des exercices et dans le programme de maintenance; ‘+ Vorganisme bénéficie d'un programme continu de formation et de sensibilisation au MCA; ‘+ les procédures de MCA ont été efficacement transmises aux membres du personnel concernés et que ceux-ci ont une totale compréhension de leurs rdles et responsabilités; et * les processus de contréle de changement sont en place et fonctionnent efficace ment. Audit convient que lorganisme assure un audit externe de ses compétences et de son aptitude du MCA afin d'identifier les imperfections réelles et potentielles. Il convient d’établir, mettre en ceuvre et maintenir les procédures de traitement de ces imperfections. Il convient de mener les audits externes par des personnes compétentes soit en interne soit enexterne, Auto-évaluation Un processus d’auto-évaluation du MCA joue un réle qui est d’assurer qu'un organisme a des compétences et une aptitude de MCA solides, efficaces et adaptées au but qui leur est assigné. II permet la Verification qualitative de la capacité d'un organisme a récupérer suite un incident. II convient de mener l'auto-évaluation par rapport aux objectifs de lorganisme. Il convient aussi de prendre en compte les Rormes et les bonnes pratiques pertinentes du secteur. @Bsi2010 « 41BS 25999- COMMENTAIRE SUR 10.1 2006 10 10.1 Créer et intégrer une culture de MCA au sein d'un organisme peut savérer tre un processus long et difficile qui pourrait rencontrer un niveau de résistance qui n’avait pas été prévu. Une compréhension de fa culture actuelle au sein de l'organisme facilitera le développement d'un programme de culture de MCA appropriée. Tous les membres du personnel doivent comprendre que le MCA est une question sérieuse pour Forganisme et qu'ils ont un réle important & jouer pour la maintenance de la fourniture des Produits et services 4 leurs clients. 42 * ©Bsi2010 NORME BRITANNIQUE Intégration du MCA dans la culture de l’organisme Pour tre performante, la continuité d'activité doit faire partie de la méthode de gestion dun organisme quel que soit sa talle ou son secteur. Acchaque étape du processus du MCA, il existe des occasions pour introduire et développer une culture du MCA de Vorganisme. Généralités Constituer, favoriser et intégrer une culture du MCA au sein de Vorganisme assure qu’elle fait partie des valeurs fondamentales et de la gestion efficace de lorganisme. Un organisme doté d'une culture positive de MCA: + développera un programme de MCA avec plus d’efficacit ‘+ inspirera la confiance chez ses parties prenantes (en particulier les membres du personnel et les clients) quant a sa capacité a faire face aux interruptions d'activité; + accroitra sa faculté de récupération au fil du temps en assurant. que les implications du MCA sont étudiées dans les décisions & tous les niveaux; et ‘+ minimisera la vraisemblance et I'impact des interruptions. Le développement d'une culture du MCA est soutenu par: ‘+ ladirection assurée par les cadres supérieurs de lorganisme; attribution des responsabilités (voir 5.2); la prise de conscience; + la formation de quali ations; et + Mexercice des plans.NORME BRITANNIQUE 10.2 COMMENTAIRE SUR 10.2 La prise de conscience du MCA et son maintien par l'ensemble du personnel de organise sont importants pour assurer {que les membres du personnel sont conscients de la raison pour laquelle le MCA est important pour organisme. ils auront besoin qu’on leur explique que ceci est Une initiative durable qui bénéficie du soutien permanent de la direction & son plus haut niveau. 103 BS 25999-1:2006 cation et I'exécution des exigences de sensit de l'organisme ainsi que pour l’évaluation de I'efficacité de cette réalisation. II convient que les membres du personnel s‘informent en externe sur le MCA. Ceci peut se faire conjointement avec la recherche d'orientations auprés des services de secours, des autorités locales et les autorités de réglementation. convient que I'organisme suscite, développe et maintienne la sensibilisation en entretenant un programme continu d’éducation et d'information de MCA destiné a tous les membres du personnel, lest permis que ce programme comprenne: ‘* un processus de concertation avec le personnel de l'ensemble de Vorganisme concernant la mise en ceuvre du programme du MCA; * des discussions au sujet du MCA dans les bulletins d'information, les réunions d'information, le programme d'accueil a I'entrée en service ou les bulletins de I'organisme; + lamise en place du MCA dans les pages Web ou les sites intranets appropriés; * les legons tirées des incidents internes et externes; * le MCA en tant que question traitée dans les réunions de personnel; + Mexercice des plans de continuité dans un lieu de substitution (par ex, un site de récupération); et * les visites au lieu de substitution préalablement défi un site de récupération). lest permis que l'organisme étende son programme de sensibilisation au MCA a ses fournisseurs et autres parties prenantes. (par ex, Formation de qualifications M convient que l'organisme bénéficie d'un processus d'identification et de réalisation des exigences de formation du MCA de la part des Participants concernés et d’évaluation de l'efficacité de cette réalisation. convient que organise engage la formation: a) des membres du personnel du MCA concernant des taches telles que: ‘+ lagestion du programme de MCA, + laconduite d'une AIA, I'élaboration et la mise en ceuvre de plans de continuité dacti ‘* organisation d'un programme d'exercices dans le cadre du PCA, + Vévaluation des risques et des menaces, et * les communications dans les médias; © 8512010 + 4344 + @8si2010 NORME BRITANNIQUE b) des membres du personnel ne relevant pas du MCA nécessitant des qualifications pour assumer leurs fonctions attribuées en matiére de réponses aux incidents ou a la reprise d’activité. II convient de développer par un stage comprenant une participation active aux exercices les qualifications et les compétences en matiére de réponse dans l'ensemble de l'organisme.NORME BRITANNIQUE BS 25999-1:2006 iographie Normes publiées BS EN ISO 9000:2008, Systémes de management de la qualité — Principes essentiels et vocabulaire BS ISO/IEC 20000 (les deux parties), Technologies de l'information — Gestion de services BS ISO/EC 27001, Technologies de I’information - Techniques de sécurité - Systémes de gestion de de la de l'information - Exigences PAS 71, IT Service Continuity Management ‘Autres publications [1] _ Loi britannique Civil Contingencies 2004, Londres: TSO @asi2010 + 45BS 25999-1:2006 British Standards Institution (BSI) BSI est l‘organisme national indépendant responsable de la préparation des Normes britanniques et autres publications, informations, et services liés a la normalisation. I donne l’opinion du Royaume-Uni sur les normes en Europe et au niveau international. Il est rattaché a la Chartre Royale. Révisions Les Norms britanniques sont mises @ jour par des amendements ou des revisions I convient que les utsateurs des Normes britanniquessassurent {Quis possédent les deriers menderents ou édtions. ‘ABS1 nous avons object constant dalorer fa qualité de nos procs tet services, Nous serions reconnassants a qucondue, ors de utssation de a présente Norme britannique, qui ttowerait une inexacttude ou une ‘mbiguite en informe le Secétae du comite ternique resparsable dont ident se rowve sur la dewseme de couverture. ‘Tél. +44 (0)20 8996 9001 Faxc +44 (0)20 8996 7001 283 fournt a ses marbres un servic indhiduel tru 3 jour et appelé PLUS qui permet ses abonnes de recewr autoratiquerent es toutes denies Kins ces mores. ‘Tel: +44 (0)20 8996 7669 Fax: +44 (0)20 8996 7001 Email plus@bsigroup.com Achat des normes ‘ous pouvez dectement commande ls versions PDF au papier des normes par cate de cea a Boutique en ign de 8S Sule te wowsibsigroup.comshop Daute part ls commandes de publications de normes nationals, internationales et trangeres peuvent ee adresses au Serie lent de 8 ‘Tél: +4 (0)20 8996 9001 Fax: +44 0)20 8996 7001 Ema orders@bsigroup.com. Enréponse aux commandes des normes internationales, a pltique de BS tds foun es normes qui sont appicaton de cles qui sort pubes Sous le nom de Normesbrtannques sau ncaon conta Informations sut es normes S5ifourt dees nombrewses informations sures noes nationals, furopéernes et internationales parle Bai des Cente de RESOUreS Tal: +46 (020.8996 7004. Fac +48 (0320 8996 7005 Email knowledgecentre@bsigroup.com raising standards worldwide” Plsieussenices d'information électroniques BS! sont également {sponibles pour fournir des renseignements sur tous Ses produits et series. Tél: +44 (0)20 8996 7111 Fax: +44 (0)20 8996 7048 Ema: infosbsigroup.com Les membres abonnés 2 SI sont tus informés des darirs développements sur es normes et beneficent de reises substantils Sule prc achat des ormes, Pour de plus amples renseignements sur ces avantages ou autres, veullez contacter Administration des adhesions. Tél: +44 (0)20 8996 7002. Fax: +44 (0)20 8996 7001 Ema: membership@bsigroup.com. es informations concernant Faccts en ligne des Normes brtanniques ia British Standares Onin sont disponibles Sure site wunwbsigroup.com/BSOL es informations complémentare sur BSI sont disponible sur le ste Web desl \wun.bsigroup.comistandards Droit d’auteur Le droit auteur existe pour tous les ouvrages publi par BSI Sl est {également thulave au Reyaume-Uni du dro auteur Sur ls ouvrages ‘ubes par ls orgaismesinternaionaux de normalisation. Sauf avtorsé par ls dispositions de la Copyright, Designs and Patents Act de 1988, aucun ‘extrait ne peut tre reprodut, enregisté dans un syste d'extracon | ‘ou transmis sous quelque forme que ce sot ou par aucun procédé,

Vous aimerez peut-être aussi

• The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good Life

  

  D'Everand

  The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good Life

  Mark Manson

  Évaluation : 4 sur 5 étoiles

  4/5 (5819)
• The 7 Habits of Highly Effective People

  

  D'Everand

  The 7 Habits of Highly Effective People

  Stephen R. Covey

  Évaluation : 4 sur 5 étoiles

  4/5 (353)
• The Art of War: A New Translation

  

  D'Everand

  The Art of War: A New Translation

  Sun Tzu

  Évaluation : 4 sur 5 étoiles

  4/5 (3045)
• • Magazines
  • Podcasts
  • Partition
• The Iliad: The Fitzgerald Translation

  

  D'Everand

  The Iliad: The Fitzgerald Translation

  Robert Fitzgerald

  Évaluation : 4 sur 5 étoiles

  4/5 (5646)
• The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good Life

  

  D'Everand

  The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good Life

  Mark Manson

  Évaluation : 4.5 sur 5 étoiles

  4.5/5 (20105)
• The Handmaid's Tale

  

  D'Everand

  The Handmaid's Tale

  Margaret Atwood

  Évaluation : 4 sur 5 étoiles

  4/5 (13281)
• Pride and Prejudice: Bestsellers and famous Books

  

  D'Everand

  Pride and Prejudice: Bestsellers and famous Books

  Jane Austen

  Évaluation : 4.5 sur 5 étoiles

  4.5/5 (20479)
• Good Omens: A Full Cast Production

  

  D'Everand

  Good Omens: A Full Cast Production

  Neil Gaiman

  Évaluation : 4.5 sur 5 étoiles

  4.5/5 (10971)
• Never Split the Difference: Negotiating As If Your Life Depended On It

  

  D'Everand

  Never Split the Difference: Negotiating As If Your Life Depended On It

  Chris Voss

  Évaluation : 4.5 sur 5 étoiles

  4.5/5 (3313)
• Wuthering Heights Complete Text with Extras

  

  D'Everand

  Wuthering Heights Complete Text with Extras

  Emily Bronte

  Évaluation : 4 sur 5 étoiles

  4/5 (9991)
• The Picture of Dorian Gray (The Original 1890 Uncensored Edition + The Expanded and Revised 1891 Edition)

  

  D'Everand

  The Picture of Dorian Gray (The Original 1890 Uncensored Edition + The Expanded and Revised 1891 Edition)

  Oscar Wilde

  Évaluation : 4 sur 5 étoiles

  4/5 (9054)
• Art of War: The Definitive Interpretation of Sun Tzu's Classic Book of Strategy

  

  D'Everand

  Art of War: The Definitive Interpretation of Sun Tzu's Classic Book of Strategy

  Stephen F. Kaufman

  Évaluation : 4 sur 5 étoiles

  4/5 (3321)
• Oscar Wilde: The Unrepentant Years

  

  D'Everand

  Oscar Wilde: The Unrepentant Years

  Nicholas Frankel

  Évaluation : 4 sur 5 étoiles

  4/5 (10370)
• Anna Karenina: Bestsellers and famous Books

  

  D'Everand

  Anna Karenina: Bestsellers and famous Books

  Leo Tolstoy

  Évaluation : 4 sur 5 étoiles

  4/5 (7503)
• The 7 Habits of Highly Effective People: The Infographics Edition

  

  D'Everand

  The 7 Habits of Highly Effective People: The Infographics Edition

  Stephen R. Covey

  Évaluation : 4 sur 5 étoiles

  4/5 (2487)
• The Hobbit

  

  D'Everand

  The Hobbit

  J. R. R. Tolkien

  Évaluation : 4.5 sur 5 étoiles

  4.5/5 (25894)
• Orgueil et Préjugés - Edition illustrée: Pride and Prejudice

  

  D'Everand

  Orgueil et Préjugés - Edition illustrée: Pride and Prejudice

  Jane Austen

  Évaluation : 4.5 sur 5 étoiles

  4.5/5 (20391)
• Freakonomics Rev Ed

  

  D'Everand

  Freakonomics Rev Ed

  Steven D. Levitt

  Évaluation : 4 sur 5 étoiles

  4/5 (7879)
• Habit 1 Be Proactive: The Habit of Choice

  

  D'Everand

  Habit 1 Be Proactive: The Habit of Choice

  Stephen R. Covey

  Évaluation : 4 sur 5 étoiles

  4/5 (2559)
• Habit 3 Put First Things First: The Habit of Integrity and Execution

  

  D'Everand

  Habit 3 Put First Things First: The Habit of Integrity and Execution

  Stephen R. Covey

  Évaluation : 4 sur 5 étoiles

  4/5 (2508)
• Wuthering Heights (Seasons Edition -- Winter)

  

  D'Everand

  Wuthering Heights (Seasons Edition -- Winter)

  Emily Bronte

  Évaluation : 4 sur 5 étoiles

  4/5 (9975)
• Habit 6 Synergize: The Habit of Creative Cooperation

  

  D'Everand

  Habit 6 Synergize: The Habit of Creative Cooperation

  Stephen R. Covey

  Évaluation : 4 sur 5 étoiles

  4/5 (2499)
• American Gods: The Tenth Anniversary Edition

  

  D'Everand

  American Gods: The Tenth Anniversary Edition

  Neil Gaiman

  Évaluation : 4 sur 5 étoiles

  4/5 (12956)
• The 7 Habits of Highly Effective People

  

  D'Everand

  The 7 Habits of Highly Effective People

  Stephen R. Covey

  Évaluation : 4 sur 5 étoiles

  4/5 (2572)
• How To Win Friends And Influence People

  

  D'Everand

  How To Win Friends And Influence People

  Dale Carnegie

  Évaluation : 4.5 sur 5 étoiles

  4.5/5 (6699)
• Life of Pi: A Novel

  

  D'Everand

  Life of Pi: A Novel

  Yann Martel

  Évaluation : 4 sur 5 étoiles

  4/5 (13495)
• The Iliad: A New Translation by Caroline Alexander

  

  D'Everand

  The Iliad: A New Translation by Caroline Alexander

  Homer

  Évaluation : 4 sur 5 étoiles

  4/5 (5734)
• The Picture of Dorian Gray: Classic Tales Edition

  

  D'Everand

  The Picture of Dorian Gray: Classic Tales Edition

  Oscar Wilde

  Évaluation : 4 sur 5 étoiles

  4/5 (9765)