Le quiz “Exigences de l’ISO 22301 version 2019” vous aidera à assimiler les principales exigences de la norme.
Les questions (exigences) de ce quiz sont 161, pas de panique. Les exigences de la norme sont 242 mais ces 161 exigences sont parmi les plus importantes, alors n’hésitez pas à apprendre de façon ludique !
Ne pensez pas que vous pouvez terminer ce quiz en moins d’une heure, voire deux heures, sauf bien sûr si vous êtes un petit génie !
Nouveautés sur la norme cotinuité d’activité ISO 22301 version 2019
Les 242 exigences (doit, doivent, en anglais shall) des articles 4 à 10 sont réparties comme suit:
.jpg)
Les exigences dans les articles et paragraphes de la norme ISO 22301
Le cycle PDCA de Deming
Remarque. Toute exigence normalement commence par “L’organisation doit …”. Pour simplifier nous présentons les exigences directement en commençant avec le verbe.
| ISO 22301 – Exigences et commentaires | ||||
| N° | Paragraphe | Exigence | Cycle PDCA, liens, commentaires | |
| 4 | Contexte | Planifier | ||
| 4.1 | L’entreprise et son contexte | |||
| 1 | 4.1 | Déterminer les enjeux externes et internes | Comprendre tout ce qui peut influer sur la finalité (la mission) de l’entreprise et sa capacité à obtenir les résultats attendus du SMCA. Cf. paragraphe 6.1 | |
| 4.2 | Parties prenantes | |||
| 4.2.1 | Généralités | |||
| 2 | 4.2.1 a | Déterminer les parties prenantes | Qui peuvent influer sur le SMCA de l’entreprise | |
| 3 | 4.2.1 b | Déterminer les exigences des parties prenantes | Besoins et désirs explicites ou implicites | |
| 4.2.2 | Exigences légales et réglementaires | |||
| 4 | 4.2.2 a | Appliquer un processus afin d’identifier les exigences légales et réglementaires | Concernant la continuité d’activité de l’entreprise | |
| 5 | 4.2.2 b | S’assurer que les exigences légales ou autres sont prises en compte | Besoins et attentes relatives aux exigences et obligations de continuité d’activité | |
| 6 | 4.2.2 c | Documenter ces informations | Et les tenir à jour, cf. paragraphe 7.5.1 | |
| 4.3 | Domaine d’application | |||
| 4.3.1 | Généralités | |||
| 7 | 4.3.1 | Déterminer le domaine d’application du SMCA | Limites (administratives) et applicabilité | |
| 8 | 4.3.1 a | Prendre en compte les enjeux externes et internes | “Identifier les dangers c’est diminuer les risques”. Cf. paragraphe 4.1 | |
| 9 | 4.3.1 b | Prendre en compte les exigences des parties prenantes | Et les exigences légales et autres. Cf. paragraphe 4.2 | |
| 10 | 4.3.1 c | Prendre en compte la mission, les buts | Et les obligations internes et externes de l’entreprise | |
| 11 | 4.3.1 | Rendre le domaine d’application disponible | Sous forme de document, cf. paragraphe 7.5.1 | |
| 4.3.2 | Domaine d’application du SMCA | |||
| 12 | 4.3.2 a | Déterminer les parties de l’entreprise à inclure dans le SMCA | En considérant leur emplacement, taille, nature et complexité | |
| 13 | 4.3.2 b | Identifier les produits et services | Qui seront inclus dans le SMCA | |
| 14 | 4.3.2 | Documenter et justifier les exclusions | Conserver un enregistrement, cf. paragraphe 7.5.1 | |
| 15 | 4.3.2 | Ne pas affecter l’aptitude et la responsabilité de l’entreprise à assurer la continuité d’activité | Comme déterminé par le bilan d’impact sur l’activité ou l’appréciation du risque et par les exigences légales applicables | |
| 4.4 | Système de management de la continuité d’activité | |||
| 16 | 4.4 | Établir, appliquer, tenir à jour et améliorer en continu le SMCA | Y compris les processus nécessaires et leurs interactions. “Si vous ne pouvez pas décrire ce que vous faites en tant que processus, vous ne savez pas ce que vous faites”. Edwards DemingProcessus spécifiques (* obligatoire) : .jpg){kind=small} identifier les exigences légales (paragraphe 4.2.2) *analyser le bilan d’impact (paragraphe 8.2.1) *apprécier le risque (paragraphe 8.2.3) *restaurer les activités (paragraphe 8.4.5) *auditer en interne (paragraphe 9.2.2) * | |
| 5 | Leadership | Planifier | ||
| 5.1 | Leadership et engagement | |||
| 17 | 5.1 a | S’assurer que la politique et les objectifs de continuité d’activité sont établis | “Un escalier se balaie en commençant par le haut. Proverbe roumain.” S’assurer de la compatibilité avec l’orientation stratégique. La direction fait preuve de leadership. Affirmer l’engagement de la direction en faveur du SMCA | |
| 18 | 5.1 b | S’assurer que les exigences du SMCA sont intégrés aux processus métier | Faire preuve de leadership | |
| 19 | 5.1 c | S’assurer que les ressources nécessaires au SMCA sont disponibles | Ressources pour établir, appliquer, tenir à jour et améliorer le SMCA. Cf. paragraphe 4.4 | |
| 20 | 5.1 d | Communiquer sur l’importance d’un SMCA efficace | Et se conformer aux exigences du SMCA | |
| 21 | 5.1 e | S’assurer que le SMCA atteint les résultats attendus | Engagement, réactivité et soutien actif de la direction | |
| 22 | 5.1 f | Orienter et soutenir le personnel | Afin qu’il contribue à la performance du SMCA | |
| 23 | 5.1 g | Promouvoir l’amélioration continue | “Les employés d’abord, les clients ensuite. Vineet Nayar.” Faire preuve de leadership. Cf. article 10 | |
| 24 | 5.1 h | Aider les personnes concernées à faire preuve de leadership | Quand cela est nécessaire à leur domaine de responsabilité | |
| 5.2 | Politique | |||
| 5.2.1 | Etablissement de la politique | |||
| 25 | 5.2.1 a | Établir la politique de continuité d’activité | Qui est appropriée à la mission de l’entreprise | |
| 26 | 5.2.1 b | Fournir un cadre | Afin d’établir les objectifs de continuité d’activité, cf. paragraphe 6.2.1 | |
| 27 | 5.2.1 c | S’engager à satisfaire aux exigences | Applicables, cf. 4.2.2 | |
| 28 | 5.2.1 d | S’engager à améliorer en continu le SMCA | Cf. article 10 | |
| 5.2.2 | Politique | |||
| 29 | 5.2.2 a | Rendre disponible la politique de continuité d’activité | Sous forme de document, cf. paragraphe 7.5.1 | |
| 30 | 5.2.2 b | Communiquer la politique | En interne | |
| 31 | 5.2.2 c | Rendre disponible la politique aux parties prenantes | Cf. paragraphe 4.2 | |
| 5.3 | Rôles, responsabilités et autorités | |||
| 32 | 5.3 | S’assurer que les responsabilité et autorités du SMCA sont attribuées | Et communiquées à tous les niveaux de l’entreprise. “La responsabilité ne peut pas être partagée. Robert Heinlein”. Cf. paragraphe 7.5.1 | |
| 33 | 5.3 a | S’assurer que le SMCA respecte les exigences de la norme ISO 22301 | Exigences des articles 4 à 10 | |
| 34 | 5.3 b | Présenter des rapports sur la performance du SMCA à la direction | De manière régulière, cf. paragraphe 7.5.1 | |
| 6 | Planification | Planifier | ||
| 6.1 | Actions face aux risques | |||
| 6.1.1 | Détermination des risques | |||
| 35 | 6.1.1 | Déterminer les risques et opportunités | La gestion des risques est basée sur la norme ISO 31000 (cf la formation F 51). Afin de s’assurer que le SMCA peut atteindre les résultats prévus. Cf. le paragraphe 4.1 pour les enjeux et le paragraphe 4.2 pour les exigences. Un état des lieux est toujours utile avant la planification. “Toute décision comporte un risque. Peter Barge” | |
| 36 | 6.1.1 a | S’assurer que le SMCA peut atteindre les résultats escomptés | Afin de faire face aux risques | |
| 37 | 6.1.1 b | Limiter les effets indésirables | Afin de faire face aux risques | |
| 38 | 6.1.1 c | Obtenir une démarche d’amélioration continue | Cf. paragraphe 10.2 | |
| 6.1.2 | Gestion des risques | |||
| 39 | 6.1.2 a | Planifier les actions à mener face aux risques | Et opportunités, cf. paragraphe 8.2 | |
| 40 | 6.1.2 b 1 | Planifier la manière d’intégrer ces actions | Dans les processus du SMCA, cf. paragraphe 8.1 | |
| 41 | 6.1.2 b 2 | Planifier la manière d’évaluer l’efficacité de ces actions | Cf. paragraphe 9.1 | |
| 6.2 | Objectifs de continuité d’activité | |||
| 6.2.1 | Etablissement des objectifs | |||
| 42 | 6.2.1 | Établir les objectifs de continuité d’activité | Pour toutes les fonctions et niveaux dans l’entreprise | |
| 43 | 6.2.1 a | Déterminer des objectifs de continuité d’activité | Cohérents avec la politique de l’entreprise, cf. paragraphe 5.2 | |
| 44 | 6.2.1 b | Déterminer des objectifs de continuité d’activité | Mesurables, si possible | |
| 45 | 6.2.1 c | Déterminer des objectifs de continuité d’activité | En tenant compte des exigences applicables, cf. paragraphes 4.1 et 4.2 | |
| 46 | 6.2.1 d | Déterminer des objectifs de continuité d’activité | Et les surveiller, cf. paragraphe 9.1 | |
| 47 | 6.2.1 e | Déterminer des objectifs de continuité d’activité | Et les communiquer, cf. paragraphe 7.4 | |
| 48 | 6.2.1 f | Déterminer des objectifs de continuité d’activité | Et les mettre à jour régulièrement | |
| 49 | 6.2.1 | Conserver les objectifs de continuité d’activité | Cf. paragraphe 7.5 | |
| 6.2.2 | Détermination des objectifs | |||
| 50 | 6.2.2 a | Déterminer lors de la planification des objectifs de continuité d’activité | Ce qui sera fait | |
| 51 | 6.2.2 b | Déterminer lors de la planification des objectifs de continuité d’activité | Les ressources nécessaires | |
| 52 | 6.2.2 c | Déterminer lors de la planification des objectifs de continuité d’activité | Le responsable | |
| 53 | 6.2.2 d | Déterminer lors de la planification des objectifs de continuité d’activité | Les échéances | |
| 54 | 6.2.2 e | Déterminer lors de la planification des objectifs de continuité d’activité | Comment les résultats seront évalués | |
| 6.3 | Planification des changements | |||
| 55 | 6.3 | Planifier les changements du SMCA | Avant de les appliquer, y compris les changements de l’article 10 | |
| 56 | 6.3 a | Prendre en compte | L’objet des changement et les conséquences potentielles | |
| 57 | 6.3 b | Prendre en compte | L’intégrité du SMCA | |
| 58 | 6.3 c | Prendre en compte | Les ressources disponibles | |
| 59 | 6.3 d | Prendre en compte | Les respnsabilité et autorités attribuées | |
| 7 | Support | Planifier, Dérouler | ||
| 7.1 | Ressources | |||
| 60 | 7.1 | Identifier et fournir les ressources nécessaires | Afin d’établir, appliquer, tenir à jour et améliorer le SMCA | |
| 7.2 | Compétence | |||
| 61 | 7.2 a | Déterminer les compétences nécessaires des personnes concernées | Les personnes concernées peuvent influer sur les performances de la continuité d’activité | |
| 62 | 7.2 b | S’assurer que ces personnes sont compétentes | Sur la base d’une formation initiale et professionnelle et de l’expérience | |
| 63 | 7.2 c | Mener des actions pour acquérir et tenir à jour les compétences nécessaires | Et évaluer l’efficacité de ces actions. Les actions incluent la formation, mais aussi l’encadrement, la réaffectation et le recrutement de personnes compétentes | |
| 64 | 7.2 d | Conserver les compétences | Sous forme d’enregistrements, cf. paragraphe 7.5.1 | |
| 7.3 | Sensibilisation | |||
| 65 | 7.3 a | Sensibiliser le personnel à la politique et objectifs de continuité d’activité | Cf. paragraphes 5.2, 6.2 et 7.5.1 | |
| 66 | 7.3 b | Sensibiliser le personnel à l’importance de leur contribution à l’efficacité du SMCA | Et des effets bénéfiques de la performance améliorée du SMCA | |
| 67 | 7.3 c | Sensibiliser le personnel aux répercussions et aux conséquences du non-respect des exigences du SMCA | Ne pas oublier les conséquences potentielles sur toutes les activités professionnelles | |
| 68 | 7.3 d | Sensibiliser le personnel à leur rôle et responsabilité | Avant, durant et après une perturbation | |
| 7.4 | Communication | |||
| 69 | 7.4 a | Déterminer les besoins de communication interne et externe | Y compris sur quels sujets, cf. paragraphe 7.5.1 | |
| 70 | 7.4 b | Déterminer les besoins de communication interne et externe | Y compris quand communiquer | |
| 71 | 7.4 c | Déterminer les besoins de communication interne et externe | Y compris avec qui communiquer | |
| 72 | 7.4 d | Déterminer les besoins de communication interne et externe | Y compris comment communiquer | |
| 73 | 7.4 e | Déterminer les besoins de communication interne et externe | Y compris celui qui communiquera | |
| 7.5 | Documentation | |||
| 7.5.1 | Généralités | |||
| 74 | 7.5.1 a | Inclure dans le SMCA les documents (informations documentées) exigés par l’ISO 22301 | Procédures (documentées), * oobligatoires : exigences légales (paragraphe 4.2.2) gestion documentaire (paragraphe 7.5)sauvegarde (paragraphe 8.1)continuité d’activité (paragraphe 8.4.1) *réponse aux perturbations (paragraphe 8.4.2)avertissement et communication (paragraphe 8.4.3) *plan de continuité d’activité (paragraphe 8.4.4) *exercice et test (paragraphe 8.5)audit interne (paragraphe 9.2.2)actions correctives (paragraphe 10.1.3)Politique, * obligatoire :.jpg){kind=small} continuité d’activité (paragraphe 5.2) *Enregistrements, * obligatoire : contexte de l’entreprise (paragraphe 4.1) liste des exigences légales (paragraphe 4.2.2) *domaine d’application (paragraphe 4.3.1) *responsabilités et autorités (paragraphe 5.3)objectifs de continuité d’activité (paragraphe 6.2.1) *plan pour atteindre les objectifs (paragraphe 6.2.2)compétences (paragraphe 7.2) *programme de formation (paragraphe 7.3)plan de communication (paragraphe 7.4)liste des documents d’origine externe (paragraphe 7.5.3.2)maîtrise opérationnelle (paragraphe 8.1)changements (paragraphe 8.1)processus externalisés (paragraphe 8.1)bilan d’impact (paragraphe 8.2.2)traitement du risque (paragraphe 8.2.3)stratégies et solutions (paragraphe 8.3.3) communication sur les risques (paragraphe 8.4.3) *perturbations, actions et décisions (paragraphe 8.4.3.1) *plans de continuité d’activité (paragraphe 8.4.4) *programme d’exercices (paragraphe 8.5)scénarios d’incidents (paragraphe 8.5)résultats d’exercices (paragraphe 8.5)revue des capacités de continuité d’activité (paragraphe 8.6)évaluation de la performance (paragraphe 9.1) *méthodes de surveillance, mesure, analyse et évaluation (paragraphe 9.1)plan de maintenance du SMCA (paragraphe 9.1)audit interne, programme, rapport (paragraphe 9.2.2) *revue de direction, résultats (paragraphe 9.3.3.2) *non-conformités et actions correctives (paragraphe 10.1.3) *rapport d’amélioration (paragraphe 10.2) | |
| 75 | 7.5.1 b | Inclure les documents jugés nécessaires à l’efficacité du SMCA | Ces documents sont spécifiques par rapport à la taille de l’entreprise, au domaine d’activité, à la complexité des processus et leurs interactions, à la compétence du personnel | |
| 7.5.2 | Création et mise à jour | |||
| 76 | 7.5.2 a | Identifier et décrire les documents de façon appropriée | Lors de leur création et mise à jour. Comme titre, auteur, date, codification | |
| 77 | 7.5.2 b | S’assurer que le format et le support des documents sont appropriés | Exemples de formats : langue, version du logiciel et des graphiques. Exemples de supports : papier, électronique | |
| 78 | 7.5.2 c | Passer en revue et valider les documents de façon appropriée | Afin de vérifier leur pertinence et adéquation | |
| 7.5.3 | Maîtrise des documents | |||
| 79 | 7.5.3.1 a | Rendre les documents disponibles et propres à être utilisés | Quand nécessaire et à l’endroit voulu. Selon les exigences du SMCA et de la norme ISO 22301 | |
| 80 | 7.5.3.1 b | Protéger convenablement les documents | Comme perte de confidentialité, utilisation inappropriée ou perte d’intégrité | |
| 81 | 7.5.3.2 a | Appliquer des activités de distribution, d’accès, de récupération et d’utilisation | Afin de maîtriser les documents | |
| 82 | 7.5.3.2 b | Appliquer des activités de stockage et de protection | Y compris la préservation de la lisibilité des documents | |
| 83 | 7.5.3.2 c | Appliquer des activités de maîtrise des changements | Comme la maîtrise des versions | |
| 84 | 7.5.3.2 d | Appliquer des activités de conservation et d’élimination | En déterminant pour chaque document la durée de conservation et la manière d’élimination | |
| 85 | 7.5.3.2 | Identifier et maîtriser les documents d’origine externe | Liste des documents jugés nécessaires à la planification et au fonctionnement du SMCA, cf. paragraphe 7.5.1 | |
| 8 | Réalisation | Dérouler | ||
| 8.1 | Planification et maîtrise | |||
| 86 | 8.1 a | Planifier, appliquer, maîtriser et tenir à jour des processus nécessaires afin de respecter les exigences du SMCA | En établissant des critères pour ces processus et en réalisant des actions déterminées dans le paragraphe 6.1 | |
| 87 | 8.1 b | Planifier, appliquer, maîtriser et tenir à jour des processus nécessaires afin de respecter les exigences du SMCA | En appliquant la maîtrise des processus conformément aux critères | |
| 88 | 8.1 c | Conserver les documents sur les processus nécessaires | Afin de s’assurer que les processus sont réalisés comme prévu. Cf. paragraphe 7.5.1 | |
| 89 | 8.1 | Maîtriser les changements prévus et analyser ceux qui sont imprévus | En menant des actions pour limiter tout impact négatif. Cf. paragraphe 7.5.1 | |
| 90 | 8.1 | S’assurer que les processus externalisés sont maîtrisés et pertinents | Y compris la chaîne d’approvisionnement | |
| 8.2 | Bilan d’impact des risques | |||
| 8.2.1 | Généralités | |||
| 91 | 8.2.1 a | Appliquer des processus systématiques | Concernant le bilan d’impact sur l’activité et l’appréciation des risques de perturbation, cf le paragraphe 6.3 | |
| 92 | 8.2.1 b | Passer en revue le bilan d’impact sur l’activité et l’appréciation du risque | A des intervalles planifiés et suite à des changements significatifs dans l’entreprise ou son contexte | |
| 8.2.2 | Bilan d’impact sur l’activité | |||
| 93 | 8.2.2 | Utiliser le processus de bilan d’impact sur l’activité | Afin de déterminer les priorités et les exigences de continuité d’activité | |
| 94 | 8.2.2 a | Définir les types d’impacts | Et les critères pertinents | |
| 95 | 8.2.2 b | Identifier les activités | Liés avec la livraison des produits et la fourniture des services | |
| 96 | 8.2.2 c | Utiliser les types et critères d’impact afin d’apprécier les impacts dans le temps | Durant la perturbation de ces activités | |
| 97 | 8.2.2 d | Identifier la durée au-dela de laquelle les impacts d’une non-reprise des activités poserait problème | Et deviendrait inacceptable pour l’entreprise. Cette durée peut être appelée DMTP (durée maximale tolérable de pérturbation) | |
| 98 | 8.2.2 e | Déterminer les délais par ordre de priorité | A l’intérieur de la DMTP pour reprendre les activités avec une capacité minimale. Ce délai peut être appelé ODR (objectif de délai de rétablissement | |
| 99 | 8.2.2 f | Utiliser ce bilan | Afin d’identifier les activités prioritaires | |
| 100 | 8.2.2 g | Déterminer les ressources nécessaires | Afin de soutenir les activités prioritaires | |
| 101 | 8.2.2 h | Déterminer les dépendances par rapport aux activités prioritaires | Y compris les partenaires et fournisseurs | |
| 8.2.3 | Appréciation du risque | |||
| 102 | 8.2.3 | Appliquer un processus d’appréciation du risque | Cf. paragraphe 6.1 et la formation F 51v18 | |
| 103 | 8.2.3 a | Identifier les risques de perturbation | Concernant les activités prioritaires de l’entreprise et les ressources nécessaires | |
| 104 | 8.2.3 b | Analyser les risques identifiés | Et évaluer ces risques | |
| 105 | 8.2.3 c | Déterminer quels risques demandent un traitement | Actions préventives à mettre en place pour les risques liés aux perturbation des activités métier | |
| 8.3 | Stratégies et solutions | |||
| 8.3.1 | Généralités | |||
| 106 | 8.3.1 | Identifier et sélectionner les stratégies de continuité d’activité | Conformément aux options d’avant, pendant et après une perturbation. Se baser sur le bilan d’impact de l’activité et de l’appréciation du risque, cf. paragraphe 8.2 | |
| 107 | 8.3.1 | Inclure plus d’une solution | Pour chaque stratégie de continuité d’activité | |
| 8.3.2 | Identification des stratégies et solutions | |||
| 108 | 8.3.2 a | Prendre en compte, lors de l’identification, dans quelle mesure les stratégies et solutions | Satisfont aux exigences afin de rétablir, les activités, dans les délais identifiés et au niveau de capacité convenu | |
| 109 | 8.3.2 b | Prendre en compte, lors de l’identification, dans quelle mesure les stratégies et solutions | Protégent les activités prioritaires | |
| 110 | 8.3.2 c | Prendre en compte, lors de l’identification, dans quelle mesure les stratégies et solutions | Réduisent la vraisemblance des perturbations | |
| 111 | 8.3.2 d | Prendre en compte, lors de l’identification, dans quelle mesure les stratégies et solutions | Raccourcissent la prériode de perturbation | |
| 112 | 8.3.2 e | Prendre en compte, lors de l’identification, dans quelle mesure les stratégies et solutions | Limitent les impacts de la perturbation | |
| 113 | 8.3.2 f | Prendre en compte, lors de l’identification, dans quelle mesure les stratégies et solutions | Assurent la disponibilité des ressoures adéquates | |
| 8.3.3 | Sélection des stratégies et solutions | |||
| 114 | 8.3.3 a | Prendre en compte, lors de la sélection, dans quelle mesure les stratégies et solutions | Satisfont aux exigences afin de rétablir, les activités, dans les délais identifiés et au niveau de capacité convenu | |
| 115 | 8.3.3 b | Prendre en compte, lors de la sélection, dans quelle mesure les stratégies et solutions | Prennent en compte la quantité et le type de risque que l’entreprise peut prendre | |
| 116 | 8.3.3 c | Prendre en compte, lors de la sélection, dans quelle mesure les stratégies et solutions | Prennent en compte les coûts et bénéfices associés | |
| 8.3.4 | Exigences de ressources | |||
| 117 | 8.3.4 | Déterminer les exigences de ressources | Afin de mettre en place les solutions de continuité d’activité sélectionnées | |
| 118 | 8.3.4 a | Inclure dans les types de ressources considérés | Les personnes | |
| 119 | 8.3.4 b | Inclure dans les types de ressources considérés | Les informations et données | |
| 120 | 8.3.4 c | Inclure dans les types de ressources considérés | L’infrastructure comme bâtiments, lieux de travail, installations et utilités | |
| 121 | 8.3.4 d | Inclure dans les types de ressources considérés | Les équipements et les consommables | |
| 122 | 8.3.4 e | Inclure dans les types de ressources considérés | Les systèmes informatiques (technologies de l’information et de la communication) | |
| 123 | 8.3.4 f | Inclure dans les types de ressources considérés | Le transport et la logistique | |
| 124 | 8.3.4 g | Inclure dans les types de ressources considérés | Le financement | |
| 125 | 8.3.4 h | Inclure dans les types de ressources considérés | Les partenaires et les fournisseurs | |
| 8.3.5 | Mise en place des solutions | |||
| 126 | 8.3.5 | Mettre en place et maintenir les solutions de continuité d’activité sélectionnées | Afin d’être disponibles au moment opportun | |
| 8.4 | Plans et procédures de continuité d’activité | |||
| 8.4.1 | Généralités | |||
| 127 | 8.4.1 | Appliquer une structure de réponse | Afin de permettre d’avertir les parties prenantes pertinentes et de communiquer avec elles | |
| 128 | 8.4.1 | Fournir des plans et procédures | Afin de gérer l’entreprise durant une perturbation. Les procédures font partie du plan de continuité d’activité (PCA) | |
| 129 | 8.4.1 | Utiliser les plans et procédures à temps | Afin d’activer les solutions de continuité d’activité | |
| 130 | 8.4.1 | Identifier et documenter les plans et procédures de continuité d’activité | En se basant sur les résultats des stratégies et solutions retenues, cf. paragraphe 7.5 | |
| 131 | 8.4.1 a | Utiliser des procédures précises | Concernant les mesures immédiates lors d’une perturbation | |
| 132 | 8.4.1 b | Utiliser des procédures souples | Afin de répondre aux changements de conditions d’une perturbation | |
| 133 | 8.4.1 c | Se concentrer sur l’impact d’incidents | Menant potentiellement à une perturbation | |
| 134 | 8.4.1 d | Utiliser des procédures efficaces | Afin de réduire l’impact des solutions appliquées | |
| 135 | 8.4.1 e | Attribuer les rôles et responsabilités | Pour les tâches concernées | |
| 8.4.2 | Structure de réponse | |||
| 136 | 8.4.2.1 | Mettre en place et maintenir une structure identifiant une ou plusieurs équipes | Responsables de répondre aux perturbations | |
| 137 | 8.4.2.2 | Etablir clairement les rôles et responsabilités de chaque équipe | Y compris les relations entre les équipes | |
| 138 | 8.4.2.3 a | Désigner des équipes collectivement compétentes | Afin d’apprécier la nature et l’étendue d’une perturbation et son impact potentiel | |
| 139 | 8.4.2.3 b | Désigner des équipes collectivement compétentes | Afin d’apprécier l’impact par rapport aux seuils prédéfinis et lancer une réponse formelle | |
| 140 | 8.4.2.3 c | Désigner des équipes collectivement compétentes | Afin d’activer une réponse appropriée pour la continuité d’activité | |
| 141 | 8.4.2.3 d | Désigner des équipes collectivement compétentes | Afin de planifier les actions à entreprendre | |
| 142 | 8.4.2.3 e | Désigner des équipes collectivement compétentes | Afin d’établir les priorités (la première étant la vie humaine) | |
| 143 | 8.4.2.3 f | Désigner des équipes collectivement compétentes | Afin de surveiller les effets de la perturbation et la réponse de l’entreprise | |
| 144 | 8.4.2.3 g | Désigner des équipes collectivement compétentes | Afin d’activer les solutions de continuité d’activité | |
| 145 | 8.4.2.3 h | Désigner des équipes collectivement compétentes | Afin de communiquer avec les parties prenantes, les autorités et les médias | |
| 146 | 8.4.2.4 a | Avoir dans chaque équipe | Un personnel identifié, avec la responsabilité, l’autorité et la compétence nécessaires | |
| 147 | 8.4.2.4 b | Avoir dans chaque équipe | Des procédures documentées pour guider les actions, cf. 8.4.4 | |
| 8.4.3 | Avertissement et communication | |||
| 148 | 8.4.3.1 a | Documenter et maintenir des procédures | Afin de communiquer avec les parties prenantes, cf. paragraphe 7.4 | |
| 149 | 8.4.3.1 b | Documenter et maintenir des procédures | Afin de gérer la réception, la documentation et la réponse concernant les parties prenantes comme un système de conseil national | |
| 150 | 8.4.3.1 c | Documenter et maintenir des procédures | Afin d’assurer la disponibilité des moyens de communication durant une perturbation | |
| 151 | 8.4.3.1 d | Documenter et maintenir des procédures | Afin de fournir après un incident, une stratégie de communication avec les médias | |
| 152 | 8.4.3.1 e | Documenter et maintenir des procédures | Afin d’enregistrer les informations de la perturbation, des décisions prises et des actions menées | |
| 153 | 8.4.3.1 f | Documenter et maintenir des procédures | Afin d’être disponibles au moment opportun | |
| 154 | 8.4.3.2 a | Alerter les parties prenantes potentiellement impactées | Par une perturbation réelle ou imminente | |
| 155 | 8.4.3.2 b | Assurer une coordination et communication | Entre les différents organismes concernés | |
| 156 | 8.4.3.2 | Réaliser des exercices des procédures d’avertissement et de communication | Cf. paragraphe 8.5 | |
| 8.4.4 | Plans de continuité d’activité | |||
| 157 | 8.4.4.1 | Documenter et maintenir des plans et procédures de continuité d’activité | Afin d’être disponibles au moment opportun | |
| 158 | 8.4.4.1 | Fournir des recommandations et des informations dans les plans de continuité d’activité (PCA) | Afin d’aider les équipes à répondre à une perturbation et aider l’entreprise à se rétablir | |
| 159 | 8.4.4.2 a 1 | Inclure dans les plans de continuité d’activité les détails des actions à mener | Afin de continuer ou rétablir les activités prioritaires dans les délais déterminés | |
| 160 | 8.4.4.2 a 2 | Inclure dans les plans de continuité d’activité les détails des actions à mener | Afin de surveiller l’impact de la perturbation et la réponse apportée | |
| 161 | 8.4.4.2 b | Inclure dans les plans de continuité d’activité | La référence aux seuils prédéfinis et aux processus de réponse | |
| 162 | 8.4.4.2 c | Inclure dans les plans de continuité d’activité | Les procédures des livraison des produits et fourniture de services au niveau de capacité convenu | |
| 163 | 8.4.4.2 d 1 | Inclure dans les plans de continuité d’activité | Les détails de gestion des conséquences immédiates d’une perturbation en tenant compte du bien-être du personnel | |
| 164 | 8.4.4.2 d 2 | Inclure dans les plans de continuité d’activité | Les détails de gestion des conséquences immédiates d’une perturbation en tenant compte de la prévention d’une perte d’activités prioritaires | |
| 165 | 8.4.4.2 d 3 | Inclure dans les plans de continuité d’activité | Les détails de gestion des conséquences immédiates d’une perturbation en tenant compte dee l’impact environnemental | |
| 166 | 8.4.4.3 a | Inclure dans chaque PCA | Le but, le domaine d’application et les objectifs | |
| 167 | 8.4.4.3 b | Inclure dans chaque PCA | Les rôles et responsabilités des membres de l’équipe qui appliquera le plan | |
| 168 | 8.4.4.3 c | Inclure dans chaque PCA | Les actions pour appliquer les solutions | |
| 169 | 8.4.4.3 d | Inclure dans chaque PCA | Les informations de support nécessaires pour activer, coordonnet et communiquer les actions du plan | |
| 170 | 8.4.4.3 e | Inclure dans chaque PCA | Les interdépendances internes et externes | |
| 171 | 8.4.4.3 f | Inclure dans chaque PCA | Les exigences concernant les ressources | |
| 172 | 8.4.4.3 g | Inclure dans chaque PCA | Les exigences concernant le rapport | |
| 173 | 8.4.4.3 h | Inclure dans chaque PCA | Le processus de sortie | |
| 174 | 8.4.4.3 | Rendre disponible chaque plan | Au moment opportun et à la place requise | |
| 8.4.5 | Rétablissement | |||
| 175 | 8.4.5 | Disposer de processus documentés | Afin de restaurer et revenir aux activités métier après une perturbation | |
| 8.5 | Programme d’exercices | |||
| 176 | 8.5 | Mettre en place et maintenir un programme d’exercices et de tests | Afin de valider l’efficacité des stratégies et solutions de continuité d’activité | |
| 177 | 8.5 a | Mener des exercices et des tests | Cohérents avec les objectifs de continuité d’activité, cf. paragraphe 6.2 | |
| 178 | 8.5 b | Mener des exercices et des tests | Basés sur des scénarios planifiés avec des buts et objectifs définis | |
| 179 | 8.5 c | Mener des exercices et des tests | Qui développent le travail d’équipe, les compétences, la confiance et les connaissances des membres de l’équipe | |
| 180 | 8.5 d | Mener des exercices et des tests | Qui valident au fil du temps les stratégies et solutions de continuité | |
| 181 | 8.5 e | Mener des exercices et des tests | Qui permettent d’établir des rapports post-exercices contenant les actions d’amélioration, cf. paragraphe 10.2 | |
| 182 | 8.5 f | Mener des exercices et des tests | Afin de les passer en revue dans une démarche d’amélioration continue, cf. paragraphe 10.2 | |
| 183 | 8.5 g | Mener des exercices et des tests | A des intervalles planifiés et lors de changements significatifs de l’entreprise ou du contexte | |
| 184 | 8.5 | Agir en fonction des résultats des exercices et tests | Afin de mettre en place des changements et améliorations, cf. paragraphe 10.2 | |
| 8.6 | Evaluation de la documentation et des capacités | |||
| 185 | 8.6 a | Evaluer l’adaptation, l’adéquation et l’efficacité de l’entreprise | Concernant l’impact sur l’activité, l’appréciation des risques, les stratégies, les solutions, les plans et procédures, cf. paragraphes 8.2, 8.3 et 8.4 | |
| 186 | 8.6 b | Réaliser les évaluations | Au moyen de revues, d’anlyses, d’exercices, de tests, de rapports post-incident et de mesures d’efficacité | |
| 187 | 8.6 c | Soumettre à une évaluation des capacités de continuité d’activité | Les partenaires et fournisseurs significatifs | |
| 188 | 8.6 d | Evaluer la conformité au exigences légales et autres | Aux meilleures pratiques et à la politique et objectifs de continuité d’activité de l’entreprise | |
| 189 | 8.6 e | Mettre à jour la documentation | Au moment opportun | |
| 190 | 8.6 | Réaliser les évaluations à des intervalles planifiés | Après un incident, un exercice ou un changement significatif dans l’entreprise | |
| 9 | Performance | Comparer | ||
| 9.1 | Inspection | |||
| 191 | 9.1 a | Déterminer ce qu’il est nécessaire d’inspecter (surveiller et mesurer) | Y compris les processus et les PCA | |
| 192 | 9.1 b | Déterminer les méthodes d’inspection | Y compris l’analyse et l’évaluation afin d’assurer la validité des résultats. Tout résultat valable est comparable et reproductible | |
| 193 | 9.1 c | Déterminer le moment d’inspection | Et la personne responsable de l’inspection. Y compris les points où la surveillance et la mesure sont réalisées | |
| 194 | 9.1 d | Déterminer quand et par qui les résultats de l’inspection sont analysés | Et évalués | |
| 195 | 9.1 | Conserver les résultats de l’inspection | Comme preuves, cf. paragraphe 7.5.1 | |
| 196 | 9.1 | Evaluer la performance du SMCA | Y compris l’efficacité du SMCA | |
| 9.2 | Audit interne | |||
| 9.2.1 | Généralités | |||
| 197 | 9.2.1 a 1 | Conduire des audits internes à des intervalles planifiés afin de vérifier si le SMCA respecte les exigences de l’entreprise | Y compris à la politique et les objectifs, cf. paragraphes 5.2 et 6.2 | |
| 198 | 9.2.1 a 2 | Conduire des audits internes à des intervalles planifiés afin de vérifier si le SMCA respecte les exigences de la norme ISO 22301 | Exigences dans les articles 4 à 10 de la norme | |
| 199 | 9.2.1 b | Conduire des audits internes à des intervalles planifiés afin de vérifier si le SMCA est appliqué efficacement | Cf. la revue de direction, paragraphe 9.3 | |
| 9.2.2 | Programme d’audit | |||
| 200 | 9.2.2 a | Planifier, établir, appliquer et tenir à jour le programme d’audit | Incluant la fréquence, les méthodes, les responsabilités, les exigences de planification et de rapport. Suivre les recommandation de l’ISO 19011 | |
| 201 | 9.2.2 a | Tenir compte dans le programme d’audit de l’importance des processus | Et des résultats des audits précédents | |
| 202 | 9.2.2 b | Définir les critères d’audit | Et le périmètre de chaque audit | |
| 203 | 9.2.2 c | Sélectionner les auditeurs | Afin de conduire des audits objectifs et impartiaux | |
| 204 | 9.2.2 d | S’assurer que les résultats des audits sont communiqués | A la direction concernée | |
| 205 | 9.2.2 e | Conserver les documents sur l’application du programme d’audit | Et les résultats d’audit, cf. paragraphe 7.5.1 | |
| 206 | 9.2.2 f | S’assurer que les actions correctives sont entreprises au moment opportun | Afin d’éliminer les non-conformités et leurs causes premières, cf. paragraphe 10.1 | |
| 207 | 9.2.2 g | S’assurer que le suivi des actions correctives inclut la vérification de leur efficacité | Et les résultats de la vérification sont enregistrés, cf. paragraphe 7.5.1 | |
| 9.3 | Revue de direction | |||
| 9.3.1 | Généralités | |||
| 208 | 9.3.1 | Passer en revue le SMCA à des intervalles planifiés | Afin de s’assurer que le SMCA est toujours approprié, adéquat et efficace. “Aucun système n’est parfait” | |
| 9.3.2 | Eléments d’entrée | |||
| 209 | 9.3.2 a | Prendre en considération l’avancement des actions décidées au cours de la revue de direction précédente | Utiliser le dernier rapport de la revue de direction | |
| 210 | 9.3.2 b | Prendre en considération les changements des enjeux du SMCA | Cf. paragraphe 4.1 | |
| 211 | 9.3.2 c 1 | Prendre en considération les informations sur la performance du SMCA et les tendances | Concernant les non-conformités et actions correctives, cf. paragraphe 10.1 | |
| 212 | 9.3.2 c 2 | Prendre en considération les informations sur la performance du SMCA et les tendances | Concernant les résultats de l’évaluation de l’inspection, cf. paragraphe 9.1 | |
| 213 | 9.3.2 c 3 | Prendre en considération les informations sur la performance du SMCA et les tendances | Concernant les résultats des audits, cf. paragraphe 9.2 | |
| 214 | 9.3.2 d | Prendre en considération les retours d’information des parties prenantes | Cf. paragraphe 4.2 | |
| 215 | 9.3.2 e | Prendre en considération le besoin de changer le SMCA | Y compris la politique et les objectifs, cf. paragraphes 5.2 et 6.2 | |
| 216 | 9.3.2 f | Prendre en considération les procédures et ressources | Qui pourraient être utilisées pour améliorer le SMCA, cf. paragraphe 10.2 | |
| 217 | 9.3.2 g | Prendre en considération les résultats du bilan d’impact et l’appréciation du risque | Cf. paragraphe 8.2 | |
| 218 | 9.3.2 h | Prendre en considération les résultats de l’évaluation de la documentation et des capacités de continuité d’activité | Cf. paragraphe 8.6 | |
| 219 | 9.3.2 i | Prendre en considération les risques et enjeux non traités de manière appropriée | Lors d’une précédente appréciation du risque | |
| 220 | 9.3.2 j | Prendre en considération les leçons tirées et les actions entreprises | Découlant d’incidents évités de justesse et de perturbations | |
| 221 | 9.3.2 k | Prendre en considération les opportunités d’amélioration continue | Cf. paragraphe 10.2 | |
| 9.3.3 | Eléments de sortie | |||
| 222 | 9.3.3.1 a | Inclure dans les résultats de la revue de direction les décisions d’amélioration continue et les éventuels changements du SMCA | Y compris les variations de son domaine d’application, cf. paragraphe 10.2 | |
| 223 | 9.3.3.1 b | Inclure dans les résultats de la revue de direction les décisions d’amélioration continue et les éventuels changements du SMCA | Y compris la mise à jour du bilan d’impact sur l’activité, l’appréciation du risque, les stratégies et solutions et les plans de continuité d’activité, cf. paragraphes 8.2, 8.3 et 8.4 | |
| 224 | 9.3.3.1 c | Inclure dans les résultats de la revue de direction les décisions d’amélioration continue et les éventuels changements du SMCA | Y compris les changements de procédures et les moyens de maîtrise pour répondre aux enjeux internes et externes | |
| 225 | 9.3.3.1 d | Inclure dans les résultats de la revue de direction les décisions d’amélioration continue et les éventuels changements du SMCA | Y compris la manière dont l’efficacité des moyens de maîtrise sera mesurée | |
| 226 | 9.3.3.2 | Conserver les documents des revues de direction | Comme preuve des résultats, cf. paragraphe 7.5.1 | |
| 227 | 9.3.3.1 a | Communiquer les résultats de la revue de direction | Aux parties prenantes | |
| 228 | 9.3.3.1 b | Entreprendre les actions appropriées | En fonction des résultats de la revue de direction | |
| 10 | Amélioration | Agir | ||
| 10.1 | Non-conformité et actions correctives | |||
| 229 | 10.1.1 | Déterminer les opportunités d’amélioration | Et appliquer les actions afin d’atteindre les résultats attendus du SMCA | |
| 230 | 10.1.2 a 1 | Réagir à la non-conformité en agissant sur elle | Afin de la maîtriser et la corriger | |
| 231 | 10.1.2 a 2 | Réagir à la non-conformité en faisant face aux conséquences | Pouvant influer sur l’efficacité du SMCA | |
| 232 | 10.1.2 b 1 | Evaluer le besoin d’agir afin d’éliminer les causes premières | En passant en revue la non-conformité | |
| 233 | 10.1.2 b 2 | Evaluer le besoin d’agir afin d’éliminer les causes premières | En déterminant les causes premières | |
| 234 | 10.1.2 b 3 | Evaluer le besoin d’agir afin d’éliminer les causes premières | En déterminant si des non-conformités similaires existent ou pourraient se produire | |
| 235 | 10.1.2 c | Appliquer toute action nécessaire | De sorte que la non-conformité ne se reproduise pas | |
| 236 | 10.1.2 d | Passer en revue toute action corrective entreprise | Afin de vérifier l’efficacité de l’action | |
| 237 | 10.1.2 e | Apporter des changements au SMCA | Quand cela est nécessaire | |
| 238 | 10.1.2 | Entreprendre des actions correctives | Proportionnelles aux impacts des non-conformités | |
| 239 | 10.1.3 a | Conserver les enregistrements | Sur la nature des non-conformités et des actions entreprises, cf. paragraphe 7.5.1 | |
| 240 | 10.1.3 b | Conserver les enregistrements | Sur l’efficacité des actions entreprises, cf. paragraphe 7.5.1 | |
| 10.2 | Amélioration continue et actions correctives | |||
| 241 | 10.2 | Améliorer en continu l’adaptation, l’adéquation et l’efficacité du SMCA | En se basant sur des données qualitatives et quantitatives | |
| 242 | 10.2 | Prendre en compte les résultats de l’analyse et de l’évaluation et les décisions de la revue de direction | Afin de déterminer s’il existe des besoins ou des opportunités d’amélioration, cf. paragraphes 5.1, 6.1, 8.2, 9.1 et 9.3 | |
