ISO 22301:2019

Sécurité et résilience — Systèmes de gestion de la continuité des activités — Exigences

Jetons un coup d'œil aux exigences de la norme ISO 22301, qui sont données dans les articles 4 à 10.

Clause 4 – Contexte : Les organisations doivent comprendre qui elles sont, ce qu'elles font et quels processus et résultats elles doivent maintenir. Ils doivent également déterminer qui a un intérêt dans la continuité des opérations – les parties intéressées – et quelles sont leurs attentes. De plus, les exigences légales et réglementaires doivent être identifiées et documentées. Grâce à ces informations, l'organisation établit et documente son champ d'application ISO 22301. Lors de la détermination de la portée, les emplacements, les missions, les objectifs, les produits et les services de l’organisation doivent être pris en compte.

Article 5 – Leadership : Pour une mise en œuvre réussie de la norme ISO 22301, les organisations ont besoin du soutien et du leadership continus de la haute direction. Pour montrer leur engagement, la haute direction de l'organisation doit développer, documenter et communiquer une politique au sein de l'organisation et avec les parties intéressées tout en mettant des ressources à disposition, en dirigeant et en dirigeant les employés pour qu'ils contribuent à l'efficacité.

l’efficacité de la norme ISO 22301. À cette fin, les rôles organisationnels doivent être clairement définis avec des responsabilités, des autorités et des compétences pour chaque rôle.

Clause 6 – Planification : Pour planifier la continuité des activités, les organisations doivent comprendre quelles perturbations pourraient potentiellement survenir et comment ces incidents affectent l'activité. Les organisations doivent considérer les conséquences des risques, leur impact et les avantages des opportunités en fonction de leur contexte et planifier des actions pour y répondre. La norme oblige également les organisations à fixer des objectifs BCMS mesurables pour garantir les produits ou services minimum viables, ainsi que le respect de toute exigence légale ou réglementaire. Ces objectifs doivent être documentés et communiqués. Pour les atteindre, les organisations doivent disposer de plans d’action dans un délai précis, avec des responsabilités assignées.

Article 7 – Soutien : Aucune organisation ne peut avancer sans ressources et sans soutien. Les organisations doivent prendre en compte leurs besoins en ressources et les fournir pour atteindre leurs objectifs BCMS. Ces ressources peuvent inclure l’infrastructure, la technologie, la communication, les compétences, la sensibilisation et les informations documentées. La norme exige des preuves documentées de compétence pour les rôles définis, telles que les dossiers de formation, l'éducation et l'expérience professionnelle.

Article 8 - Fonctionnement : Cette section de la norme décrit les activités qui doivent être réalisées pour atteindre les objectifs du BCMS et revenir au mode de fonctionnement normal de l'organisation. Les activités clés comprennent :

Réaliser et documenter une analyse d’impact sur les affaires (BIA) et une évaluation des risques. Le BIA devrait identifier les impacts opérationnels, juridiques et financiers résultant de la perturbation. Lors de la réalisation du BIA, la durée de la perturbation est un élément important pour déterminer les impacts et, plus tard, le temps de rétablissement. L'évaluation des risques permet à l'organisation d'analyser la probabilité de perturbation de ses activités et de ses ressources. Apprenez-en davantage sur le BIA dans l’article Comment mettre en œuvre l’analyse d’impact métier (BIA) selon la norme ISO 22301.

Développer une stratégie de continuité des activités Les entreprises sont tenues de développer une stratégie de continuité en utilisant les informations recueillies à partir de l'évaluation des risques et de l'analyse de l'impact sur les activités. La stratégie de continuité des activités signifie essentiellement le développement d’options et la sélection des actions les plus appropriées, y compris l’atténuation, la réponse et le rétablissement. Vous pouvez en savoir plus sur l’importance de la reprise dans l’article La stratégie de continuité d’activité peut-elle vous faire économiser de l’argent ?.

Établir et mettre en œuvre des procédures de continuité d'activité. Les organisations sont tenues de documenter les plans et procédures de continuité des activités en fonction des résultats de leur stratégie. Les plans et procédures doivent comporter des étapes claires et spécifiques pour gérer les perturbations, des rôles et des besoins en ressources bien définis et une communication organisée. Pour plus d’informations sur l’élaboration de plans et de procédures, lisez l’article Plan de continuité des activités : Comment le structurer selon la norme ISO 22301.

Exercer et tester les procédures de continuité des activités. La norme ISO 22301 exige des tests périodiques des plans et des procédures pour vérifier s'ils sont appropriés et efficaces. Les résultats des tests doivent être examinés et rapportés pour des recommandations et des améliorations. L'article Comment effectuer des exercices et des tests de continuité d'activité selon la norme ISO 22301 explique plus en détail l'objectif et les modalités des exercices et des tests, ainsi que la manière de se préparer et les personnes à inclure.

Article 9 – Évaluation des performances : les organisations doivent prendre en compte des indicateurs et des mesures de performance ; les surveiller, les mesurer, les analyser et les évaluer ; puis documentez les résultats. Des audits internes planifiés doivent être menés pour mesurer le niveau de conformité à la norme et aux propres exigences de l’organisation. Le programme et les résultats de l'audit doivent être documentés. Enfin, la haute direction devrait examiner l'efficacité du BCMS à intervalles planifiés et documenter les résultats de ces examens.

Article 10 - Amélioration : Les organisations doivent disposer d'une méthodologie pour traiter les non-conformités, avec les causes profondes et les actions correctives, ainsi que des stratégies d'amélioration sur une base continue. La norme exige des informations documentées pour l’évaluation des actions correctives. L'organisation doit prendre en compte les résultats de l'analyse et de l'évaluation, ainsi que les résultats de la revue de direction, pour déterminer s'il existe des besoins ou des opportunités.

Voici quatre avantages commerciaux essentiels qu’une entreprise peut obtenir grâce à la mise en œuvre de cette norme de continuité des activités :

Se conformer aux exigences légales. De plus en plus de pays définissent des lois et des réglementations exigeant le respect de la continuité des activités. Et au-delà des intérêts gouvernementaux, les entreprises privées (par exemple les institutions financières) exigent également de leurs fournisseurs et partenaires qu'ils mettent en œuvre des solutions de continuité d'activité. Et la bonne nouvelle est que la norme ISO 22301 fournit un cadre et une méthodologie parfaits pour soutenir le respect de ces exigences – en réduisant les efforts administratifs et opérationnels, ainsi que le nombre de pénalités à payer. Lisez l'article Lois et réglementations sur la sécurité de l'information et la continuité des activités pour consulter une liste des législations sur la continuité des activités dans le monde.

Obtenez un avantage marketing. Si votre entreprise est certifiée ISO 22301 et que vos concurrents ne le sont pas, vous aurez un avantage sur eux lorsqu'il s'agira de clients soucieux de maintenir la continuité de leurs opérations et la livraison de leurs produits et services. De plus, une telle certification peut améliorer votre réputation et vous aider à attirer de nouveaux clients, en permettant de démontrer plus facilement que vous êtes parmi les meilleurs du secteur, ce qui entraîne une augmentation de la part de marché et des bénéfices.

Réduire la dépendance aux individus. Le plus souvent, les activités critiques d’une entreprise reposent sur quelques personnes difficiles à remplacer – une situation qui se manifeste douloureusement lorsque ces personnes quittent l’organisation. Les dirigeants qui en sont conscients peuvent recourir à des pratiques de continuité d'activité pour devenir beaucoup moins dépendants de ces personnes (soit grâce aux solutions de remplacement mises en œuvre, soit en documentant les tâches associées), ce qui signifie que vous pouvez éviter bien des maux de tête lorsque quelqu'un quitte l'organisation.

Prévenir les dommages à grande échelle. Dans un monde de services et de transactions en temps réel, chaque minute d’arrêt de service coûte de l’argent – beaucoup d’argent. Et même si votre entreprise n’est pas si sensible aux petites périodes d’indisponibilité, les incidents perturbateurs vous coûteront cher. En mettant en œuvre des pratiques de continuité d’activité conformes à la norme ISO 22301, vous disposerez d’une sorte de police d’assurance. Que ce soit en empêchant les incidents perturbateurs de se produire ou en devenant capable d'une reprise plus rapide, votre entreprise économisera de l'argent. Et le meilleur dans tout cela est que votre investissement dans la norme ISO 22301 est bien inférieur aux économies que vous réaliserez.