Publiée en juin 2012, la norme ISO 22301, Sécurité sociétale – Systèmes de management de la continuité d’activité – Exigences, devrait permettre à toute
organisation, quelle que soit sa taille ou son secteur d’activité, de structurer sa résilience face aux événements non souhaités.
Quel est le but de la norme iso 22301 ?
La présente Norme internationale relative à la gestion de la continuité d’activité spécifie les exigences pour planifier, établir, mettre en place et en œuvre, contrôler, réviser, maintenir et améliorer de manière continue un système de management documenté afin de se protéger des incidents perturbateurs, réduire leur probabilité de survenance, s’y préparer, y répondre et de s’en rétablir lorsqu’ils surviennent.
Les exigences spécifiées dans la présente Norme internationale sont génériques et prévues pour être applicables à toutes les organisations, ou parties de celles-ci, indépendamment du type, de la taille et de la nature de l’organisation. Le champ d’application de ces exigences dépend de l’environnement et de la complexité de fonctionnement de l’organisation.
La présente Norme internationale ne vise pas à uniformiser la structure d’un système de management de la continuité d’activité (SMCA), mais à permettre à une organisation de concevoir un SMCA qui soit adapté à ses besoins et qui satisfasse aux exigences des parties intéressées. Ces besoins sont façonnés par les exigences juridiques, réglementaires, organisationnelles et industrielles, les produits et les services, les processus employés, la taille et la structure de l’organisation et les exigences des parties intéressées.
La norme permet aux organisations d’avoir une démarche structurée et reconnue, elle fournit un cadre de référence en matière de SMCA et spécifie formellement un ensemble d’exigences. Celles-ci portent sur la conception, le développement, la mise en œuvre et le maintien en
conditions opérationnelles dans une logique d’amélioration continue (cycle PDCA). Comme toute norme de système de management, l’ISO 22301 est auditable et peut aboutir à l’obtention d’une certification.
Structure de la norme iso 22301:2012
Les étapes clé d’une démarche conforme à l’ISO 22301 sont :
- la compréhension des besoins de l’organisation et des parties prenantes via une approche systémique globale (4.2 et 4.3);
- l’implication et l’engagement plein et entier de la direction générale dans le SMCA (5.1 & 5.2);
- la définition et la mise en place des moyens et des plans (7, 8.1, 8.3, 8.4) qui sont listés et détaillés dans l’ISO 22313, ainsi que les tests et exercices (8.5);
- le développement de la culture de la continuité au sein de l’organisation (7.2 à 7.4);
- l’évaluation de la performance des moyens mis en œuvre et de l’efficacité du SMCA (9);
- l’amélioration continue dans la durée (10).
Quels sont les exigences de la norme iso 22301 ?
Iso 22301 t applique le modèle PDCA » Planifier-Déployer-Contrôler-Agir » à la planification, l’établissement, la mise en œuvre, le fonctionnement, la surveillance, la revue, la maintenance et l’amélioration continue de l’efficacité du SMCA de l’ntreprise.
Cela assure un degré de cohérence avec d’autres système de management, telles que l’ISO 9001, Systèmes de management de la qualité, l’ISO 14001, Systèmes de management environnemental, l’ISO/IEC 27001, Systèmes de management de la sécurité de l’information, l’ISO/IEC 20000-1, Technologies
de l’information — Gestion des services, et l’ISO 28000, Spécifications relatives aux systèmes de management de la sûreté de la chaîne d’approvisionnement, permettant ainsi une mise en œuvre et un fonctionnement cohérents et intégrés avec les systèmes de management associés.
Ses exigences sont génériques et s’adressent à toutes les organisations (ou parties de celles-ci), indépendamment de leur type, de leur taille ou de leur nature.
Elles sont traitées dans les chapitres 4 à 10 de la norme. Le chapitre 8 « Opérations » traite des processus spécifiques à la continuité des activités tels que l’analyse des impacts métier (BIA), l’appréciation des risques, la définition des stratégies de continuité, le développement et la mise en œuvre des réponses et plans, ainsi que la conduite de tests et exercices. Les autres chapitres reprennent les exigences relatives au système de management semblables.
Le PCA dans le cadre de l’ISO 22301
La multiplication et la complexité des crises, l’évolution permanente des organisations, l’augmentation et la globalisation des échanges, les dépendances roissantes aux technologies contribuent à créer des environnements de plus en plus instables pouvant mettre en difficulté les organisations publiques et privées.
Face à ces réalités, l’ISO a ouvert un nouveau comité technique traitant de la sécurité sociétale, c’est-à-dire la sécurité en général dans la société, le TC 223. Ce dernier a développé un Publiée en juin 2012, ISO 22301, Sécurité sociétale – Systèmes de management de la continuité d’activité – Exigences, devrait permettre à toute organisation, quelle que soit sa taille ou son secteur d’activité, de structurer sa résilience face aux événements non souhaités.
Cette nouvelle norme internationale sur les Systèmes de management de la continuité d’activité (SMCA) a été publiée en juin 2012.
Avatages d’un SMCA conforme à l’iso 22301
Les bénéfices apportés par la mise en place d’un Système de management de la continuité d’activité selon l’ISO 22301 sont nombreux :
- une compréhension améliorée du métier et des fonctions supports de l’organisation (obtenue durant le BIA et l’appréciation des risques);
- la protection des actifs physiques et informationnels des métiers;
- la réactivité et l’efficacité de l’organisation face aux crises: prises de décisions améliorées par la connaissance du risque;
- la réduction des impacts en cas de crise réelle;
- le renforcement de la conformité réglementaire;
- la préservation des marchés par l’assurance d’un SMCA opérant et continu;
- un apport de confiance aux parties prenantes sur la résilience de l’organisation;
- une augmentation indirecte du niveau de résilience, bgrâce au principe d’amélioration continue.
L’édition 2019 de la norme ISO 22301
L’édition 2019 de l’a norme’ ISO 22301, publiée le 31 octobre 2019, est une révision de l’édition précédente datant de 2012. Cette deuxième édition a pour but d’adapter la norme aux évolutions du domaine de la continuité d’activité et offrir plus de valeur ajoutée aux utilisateurs.
Les principales modifications apportées à cette édition sont axées sur :
- L’amélioration de la structure du Système de Management de la Continuité d’Activité (SMCA).
- L’optimisation des exigences pour la mise en œuvre, la maintenance et l’amélioration du SMCA.