ISO 22301 – La norme de gestion de la continuité des activités, simplifiée

Qu'est-ce que la norme ISO 22301 et pourquoi en avez-vous besoin ?

Dans un monde où les cyberattaques, les violations de données et les catastrophes naturelles peuvent interrompre la continuité des activités et nuire rapidement à leur réputation, les organisations et les entreprises doivent mettre en œuvre, maintenir et continuer à affiner leur système de gestion de la continuité des activités (BCMS). La certification ISO 22301 de leur gestion de la continuité garantit qu'ils le font.

La norme ISO 22301 aide les organisations à identifier et à prioriser les menaces. Cela leur permet de mettre en œuvre efficacement leur système de gestion de la continuité des activités afin d'être prêts à répondre aux incidents et à s'en remettre avec le moins de perturbations possible pour leurs activités.

Des études ont montré que près d’une organisation sur cinq subit chaque année des perturbations importantes de ses activités. Par conséquent, une organisation robuste et résiliente est une organisation qui peut évoluer avec le temps, qui comprend où se situent ses vulnérabilités et qui a mis en place des plans pour atténuer les risques et réagir si nécessaire. La conformité ou la certification à la gestion de la continuité des activités ISO 1 permet à votre organisation de réaliser tout ce qui précède de manière simple et structurée.

La dernière version de la norme

Le 31 octobre 2019, la dernière version de la norme ISO 22301 a été publiée – ISO 22301:2019. Il s'agit d'une version révisée de la norme ISO 22301:2012. Son objectif est de rendre la norme « plus simple et plus pratique », selon l'ISO. Selon le service d'accréditation du Royaume-Uni (UKAS), les entreprises pourront passer de la norme ISO 22301:2012 à la norme ISO 22301:2019 jusqu'au 30 avril 2023. Le délai a été exceptionnellement prolongé en raison de la situation liée au Covid-19. La version 2019 a été généralement bien accueillie et les transitions de l’ancienne vers la nouvelle version de la norme sont considérées comme un exercice de valeur ajoutée pas trop onéreux.

Vous pouvez trouver la documentation de la norme de gestion de la continuité d'activité ISO 22301 sur le site site officiel de l'ISO.

ISO 22301:2019 fournit aux entreprises la certification de sécurité et de résilience la plus à jour pour s'assurer que leurs systèmes de gestion de la continuité des activités répondent à la norme internationale établie par l'ISO.

La relation avec ISO 22301:2012

Il n'y a pas de différence radicale entre ISO 22301:2012 et ISO 22301:2019. Les deux versions nécessitent la participation de la haute direction, et le modèle mis à jour reflète ce qui est nécessaire pour maintenir un BCMS réussi.

Cette durabilité devient beaucoup plus confortable avec des systèmes de gestion de la continuité des activités basés sur la technologie tels que ISMS.online.

La norme ISO 22301 :2012 a été publiée en mai 2012 et modifiée en juin de la même année. Les exigences du système de gestion établies dans la norme ISO 22301 sur la gestion de la continuité des activités étaient censées s'étendre à toutes les organisations. Le degré de mise en œuvre des critères dépend de l'environnement opérationnel et de la portée de l'organisation, de la même manière que l'on développerait leur gamme pour d'autres normes de système de management comme ISO 27001.

Bien que plusieurs concepts et terminologies de gestion de la continuité des activités aient été révisés pour élargir le contexte et refléter les procédures établies, l'article 8 ; L'exploitation est le principal domaine dans lequel des changements ont eu lieu.

ISMS.online propose des cadres de gestion de la continuité des activités ISO 22301 au sein de ses services packagés. Cela signifie que les organisations qui souhaitent migrer leurs systèmes de gestion de la continuité d'activité existants peuvent le faire, tout comme celles qui se lancent dans la norme ISO 22301 pour la première fois.

Qu’est-ce que la gestion de la continuité des activités ?

Si votre entreprise était touchée par une catastrophe ou une crise, votre activité pourrait-elle continuer ? Lorsque des incidents et des catastrophes naturelles surviennent, on dispose de peu de temps pour préparer une structure d’intervention, en particulier lorsque les personnes clés, les processus, les réseaux, les infrastructures et autres services essentiels sont perturbés.

Une catastrophe n'a pas de limites. Cela pourrait avoir un impact sur la continuité de vos activités en interne et en externe, affectant également vos clients et la chaîne d'approvisionnement. Que vous soyez une petite ou une grande entreprise, vous pouvez faire face à des impacts. L'objectif premier de la gestion de la continuité des activités est de réduire la probabilité de menaces et de garantir que l'entreprise réagit aux perturbations importantes susceptibles de mettre en danger son avenir.

La gestion de la continuité des activités repose sur un leadership responsable et efficace. Il doit fournir une base pour développer la résilience aux incidents ainsi que la capacité à réagir avec succès, en protégeant les intérêts de vos principales parties prenantes, la réputation et les opérations créatrices de valeur de votre entreprise.

Une stratégie de continuité des activités avec un système de gestion documenté doit garantir que les travailleurs sont conscients de leurs rôles et responsabilités. En cas d’imprévu, il est essentiel de pouvoir s’adapter aux processus établis et aux procédures approuvées.

Les avantages de la gestion de la continuité des activités

La gestion de la continuité des activités aide les organisations à réduire la probabilité et l'impact des interruptions et des temps d'arrêt, à protéger les actifs en cas de problème, à poursuivre leurs activités malgré l'interruption et à se remettre le plus rapidement possible de tout incident qui se produit. La mise en place de plans de continuité des activités aidera votre organisation des manières suivantes :

Se conformer aux exigences légales

La norme ISO 22301 est utilisée pour la certification légale et réglementaire de la gestion de la continuité, garantissant que tous les éléments requis d'un système de gestion de la continuité des activités sont respectés.

Obtenez un avantage marketing

La réputation d’une marque est précieuse pour toute organisation et doit être protégée à tout prix. Avec un système de gestion de la continuité, il est possible de renforcer la confiance des clients, réduisant ainsi la probabilité d'un désastre de relations publiques qui pourrait nuire aux relations avec les parties prenantes, notamment les clients et les fournisseurs.

Réduire la dépendance aux individus

Grâce à la planification, à la formation, aux programmes de sensibilisation et aux tests, tous les membres d’une organisation doivent comprendre ce que l’on attend d’eux. Cela renforce la confiance dans la capacité des plans de continuité des activités à fonctionner en cas de perturbation.

Prévenir les dégâts à grande échelle

Il est essentiel de maintenir votre activité commerciale pendant et après un incident. En rétablissant rapidement les opérations commerciales après des interruptions, il est possible de réduire le coût des incidents dommageables, de protéger la réputation de l'organisation et même de sauver des vies si des événements dangereux, tels qu'un incendie ou une inondation, se produisent.

Résilience opérationnelle

Les incidents et les événements imprévus varient en ampleur, en vitesse et en impact, touchant parfois un seul service ou un seul site. L’identification et la planification d’éventuels problèmes à plus petite échelle qui pourraient dégénérer en difficultés opérationnelles majeures pour l’ensemble de l’organisation permettront de faire tourner les roues.

Risque de continuité des activités

La gestion de la continuité des activités à l'aide d'un système de gestion bien documenté vous aide à mieux identifier et à réduire la probabilité d'incidents perturbateurs ou à gérer les risques liés à la continuité des activités. La gestion de la continuité des activités conduit à la croissance d'un environnement plus stable, même si les entreprises ne disposant pas de systèmes de gestion de la continuité des activités efficaces augmenteront considérablement leurs chances. Un plan de continuité des activités (PCA) bien développé, organisé et répété peut aider l'entreprise à se remettre d'un incident le plus rapidement possible.

Toutes vos procédures doivent être à jour, précises et efficaces. Les méthodes incluent, sans s'y limiter, les évaluations des risques d'entreprise, les examens des risques liés à la sécurité de l'information et le traitement de vos politiques de santé et de sécurité, ainsi que de votre plan de gestion de la continuité.

Voici des exemples de risques liés à la continuité des activités :

• Cyberattaques et violations de données
• Pannes informatiques et télécoms imprévues
• Interruption de l'approvisionnement des services publics
• Conditions météorologiques défavorables et autres causes environnementales
• Pandémies et épidémies
• Actes de terrorisme
• Incidents de sécurité
• Incendie
• Inondation
• Perte de personnel clé
• Destruction de biens physiques ou perte matérielle

Préparation aux urgences

La gestion de la continuité des activités détaille les mesures que vous devez prendre en cas d'urgence sous la forme d'un plan de reprise après sinistre (DRP). Un plan de reprise après sinistre est une stratégie de continuité des activités documentée et organisée qui montre comment réagir aux incidents perturbateurs.

Le plan de reprise après sinistre commence sa formation après une analyse d'impact commercial plus détaillée, qui permet de démontrer où se situent l'impact et les conséquences les plus significatifs d'un événement. ISMS.online vous offre les outils dont vous avez besoin pour gérer votre analyse d'impact sur votre entreprise, vos plans de reprise après sinistre et bien plus encore à l'aide des technologies de l'information.

Votre DRP doit inclure un arrangement à court terme pour réparer et reconstruire les systèmes commerciaux critiques, ainsi qu'un plan pour résoudre les problèmes tels que l'identification des causes profondes et une approche de prévention à long terme. Il existe de nombreuses options disponibles pour garantir qu’une organisation dispose d’un système de contingence offrant la meilleure solution.

Par exemple, le système de récupération sur site garantirait que les données puissent être récupérées plus efficacement grâce à des sauvegardes de données et d'autres moyens. Vos mesures de prévention doivent également protéger contre les pannes potentielles du serveur et prendre en compte le risque des sous-traitants externes. Vous élaborerez ensuite des plans d'urgence et des stratégies alternatives de continuité des activités en cas d'absence de fournitures vitales pour les opérations commerciales, bien avant qu'elles ne deviennent un problème de reprise après sinistre.

Qu'est-ce qu'un BCMS ?

Un système de gestion de la continuité des activités, en termes très simples, est une approche reconnue pour garantir qu'une organisation peut poursuivre ses opérations commerciales et répondre efficacement aux incidents perturbateurs.

La norme ISO 22301 fournit une méthode constante et établie d'analyse de l'impact sur les entreprises avec un cadre basé sur de bonnes pratiques reconnues. Toute personne mettant en œuvre et obtenant la certification d'un système de gestion de la continuité des activités basé sur la norme ISO 22301 trouvera une reconnaissance et une compréhension instantanées de la part de clients influents, notamment d'experts qualifiés, d'auditeurs et d'autres parties intéressées.

Lorsqu'elle s'appuie sur la norme ISO 22301, l'ISO elle-même souligne l'importance des systèmes de gestion de la continuité des activités :

• Montrer que l'organisation comprend les besoins et la nécessité d'une politique et d'objectifs déclarés en matière de continuité des activités.
• Mise en œuvre et exécution de processus, de mécanismes de réponse aux incidents et d'autres interventions pour garantir que l'organisation survit à une perturbation
• Suivi et amélioration continue du système de gestion de la continuité des activités

Démontrer les bonnes pratiques pour la gestion de la continuité des activités

Suivre la norme ISO 22301 comme base pour votre BCMS fournira la preuve que l'entreprise a pris les mesures nécessaires pour répondre aux exigences réglementaires en plus des bonnes pratiques reconnues.

Une bonne pratique en matière de continuité d'activité intègre le cycle de vie de la gestion de la continuité d'activité, car vous pouvez permettre de maximiser l'efficacité et la qualité de vos systèmes de gestion de la continuité d'activité. La norme ISO 22301 fournit un cadre concernant les meilleures pratiques internationales sur le concept bien compris de Planifier/Faire/Vérifier/Agir. Ce concept s'applique aux organisations qui mettent en œuvre, maintiennent et améliorent leurs systèmes de gestion de la continuité des activités, qui cherchent à assurer le respect de la politique déclarée en matière de continuité des activités.

Avec un système de gestion de la continuité des activités basé sur les exigences de la norme ISO 22301, les parties intéressées internes et externes peuvent être informées que l'organisation applique de bonnes pratiques en matière de gestion de la continuité des activités.

Reprise après sinistre et BCMS

En élaborant des plans de continuité d’activité efficaces, une organisation sera bien placée pour mettre en œuvre des pratiques qui réduisent la probabilité d’incidents et de dommages pour l’organisation. De plus, des plans de continuité d’activité efficaces vous aident à mieux comprendre votre organisation et à la gérer plus efficacement.

Les directives ISO aident les organisations à identifier et à gérer la conformité, généralement à l'aide d'une série de procédures, de politiques, de diagrammes de processus ou similaires. Ces conseils les aident à planifier et à rebondir face aux perturbations de leurs activités commerciales. Cependant, il est toujours préférable de les éviter complètement, même si cela n'est pas toujours possible ou faisable financièrement ou techniquement. Il est également essentiel de clarifier les priorités si un incident survient, par exemple : quel est l'objectif du temps de récupération ? Quel est le temps d’arrêt supportable le plus élevé ? Vous pouvez utiliser la réponse à ces questions pour préparer votre plan de reprise après sinistre. La rapidité de récupération doit être prise en compte. Un système de gestion de la continuité des activités conforme à la norme ISO 22301 comprendra des plans de reprise après sinistre et de continuité des activités efficaces pour aider votre entreprise à rétablir ses opérations critiques le plus rapidement possible.

BCMS et cyber-résilience

La mise en œuvre d'un système de gestion de la continuité des activités (BCMS) est impérative pour développer la cyber-résilience dans l'environnement de cybersécurité actuel. Une partie de la norme de sécurité de l'information ISO 27001 contient une clause sur la continuité des activités – la norme ISO 22301 satisfait largement à cette exigence de la norme ISO 27001.

Les cyberattaques ont régulièrement fait la une des journaux au cours de la dernière décennie. Par exemple, la tristement célèbre attaque mondiale du ransomware WannaCry en mai 2017 a laissé une trace dévastatrice, les organisations se voyant refuser l’accès à leurs propres données et contraintes d’interrompre leurs activités jusqu’à ce que d’importantes rançons soient payées.

De tels incidents démontrent l'importance de garantir que votre entreprise puisse répondre aux perturbations et s'en remettre, en mettant en œuvre un système de gestion de la continuité des activités (BCMS) efficace.

Les avantages d'ISO 22301

La norme ISO 22301 présente de nombreux avantages, notamment le retour de l'organisation au « statu quo » avec un minimum de perturbations dues à une crise.

Résilience opérationnelle

Avoir la capacité de poursuivre ses activités indépendamment de tout incident mineur ou majeur devient de plus en plus important pour les entreprises de tous les secteurs. Un système de gestion de la continuité des activités (BCMS) permet à une entreprise de planifier ces incidents. Cela conduit à une plus grande compétitivité et réduit le temps d’arrêt opérationnel d’une entreprise en cas d’imprévu.

Préparation aux urgences

La norme ISO 22301 donne aux entreprises et aux organisations la capacité de réagir de manière appropriée en cas d'incidents perturbateurs et d'éviter le gaspillage ou les pertes inutiles. En évaluant de manière proactive les effets de la perturbation, la gestion de la continuité des activités reconnaît les produits et services essentiels à la survie de l'organisation. Il cherche à déterminer quelles solutions et quels plans d'urgence seront nécessaires si un incident devait se produire.

Gouvernement d'entreprise

La conformité à la norme ISO 22301 contribue à répondre aux exigences de gouvernance d'entreprise. Essentiellement, la norme peut fournir la preuve que l'organisation a pris les mesures nécessaires pour se conformer aux exigences réglementaires qui nécessitent un programme efficace de gestion de la continuité des activités.

Gestion de crise

La gestion de crise (CM) fait référence à la coordination globale de la réponse d'une organisation à une crise, de manière efficace et opportune. Pour les responsables de la gestion des crises, l'objectif est d'éviter ou du moins de minimiser les dommages causés à la rentabilité, à la réputation ou à la capacité de fonctionnement de l'organisation. Le respect de la norme ISO 22301 confirme que les mesures appropriées sont en place pour que cela se produise.

Reprise après sinistre

Les activités de reprise après sinistre se concentrent sur le retour de l’organisation au « statu quo » après un événement traumatisant et sur la mise sur la voie d’un rétablissement complet. Il est important de reconnaître que cela est différent de la gestion de la continuité des activités, qui consiste à garantir que l'entreprise peut continuer à réduire la probabilité de catastrophes naturelles et à fonctionner pendant une crise.

Protection de la réputation en cas de crise

La certification ISO 22301 montre aux parties prenantes que votre capacité de continuité d'activité est adaptée à l'échelle et à la portée de votre organisation. Comme l’ISO 27001, elle suscite davantage de confiance, surtout lorsqu’elle est certifiée par un organisme de certification indépendant. Il vous aide à comprendre les besoins de votre entreprise en identifiant les échecs et les risques potentiels. Les entreprises peuvent alors démontrer aux parties prenantes, aux consommateurs, aux fournisseurs et aux régulateurs, qu'elles disposent d'un système et de processus solides de gestion de la continuité des activités. La norme ISO 22301 augmentera également la confiance des parties prenantes dans la capacité de l'organisation à répondre aux incidents et événements perturbateurs et à maintenir des niveaux critiques. processus opérationnels en cas de catastrophe.

Préparation aux échecs technologiques

De la panne des télécommunications à la perte d'accès aux données stockées, les pannes technologiques peuvent être extrêmement préjudiciables à la rentabilité et à la réputation d'une organisation. La norme ISO 22301 garantit que toutes les mesures sont en place pour atténuer de telles perturbations et garantir que tous les services sont préparés au pire des cas.

Réduisez les coûts de l’assurance contre les pertes d’exploitation

Avec un BCMS conforme à la norme ISO 22301, une organisation dispose d’informations plus significatives sur les impacts d’une catastrophe potentielle. Cela permet à l’entreprise de mieux évaluer le type et la valeur de la couverture d’assurance dont elle a besoin, réduisant ainsi potentiellement les coûts à long terme.

Planifiez la perte soudaine de ressources critiques

Il s’ensuit que si l’impact d’une perturbation est identifié de manière proactive, une organisation sera en position de force pour maintenir la continuité de ses activités. Les systèmes de gestion de la continuité des activités aident à établir les réponses qui seront nécessaires en cas de perturbation et la norme ISO 22301 offre en outre la capacité de réagir de manière adéquate en cas de perturbation de ce type.

Une fois votre mise en œuvre terminée, il est essentiel d'entreprendre des audits réguliers du système de gestion de la continuité des activités. Les audits internes sont également obligatoires pour obtenir une certification indépendante du BCMS. Les évaluations de performance complètent également les audits internes pour garantir que vos systèmes de gestion fonctionnent à tout moment comme prévu.

L’auditeur ISO s’attend également à voir un enregistrement des améliorations apportées par votre organisation au fil du temps. Disposer d’une méthode pour traiter les non-conformités, les actions correctives et autres améliorations est une exigence cruciale.

Premiers pas avec ISO 22301

Nous encourageons les organisations à acheter la norme internationale ISO et à l’assimiler pour comprendre pleinement les exigences des normes du système de management ISO. Nous vous recommandons de commencer par le début (4.1 comprendre l'organisation et son contexte) et d'éviter de vous lancer dans l'élaboration de plans de réponse aux incidents avant d'avoir pris en compte la portée, les risques et les impacts.

ISMS.online est également préconfiguré avec une gamme d'outils qui facilitent le suivi du processus et vous permettent de rester concentré sur l'entreprise. Il s'intègre également aux outils et fonctionnalités plus complets définis pour la norme ISO 27001, ce qui signifie que vous pouvez également répondre à de nombreuses exigences des systèmes de management ISO 22301. Vous serez en mesure de gérer des tâches telles que les audits, les évaluations de performances, les réunions de direction, la formation du personnel, etc. en même temps.

Vous réduirez les coûts, simplifierez la formation du personnel et rendrez l’administration du système de gestion d’entreprise dans son ensemble encore plus confortable. Les auditeurs externes trouvent également cela beaucoup plus efficace et ont une grande confiance lorsqu'ils constatent des pratiques opérationnelles cohérentes dans l'ensemble des normes ISO.

Nous résumons ici le cadre défini dans la norme ISO 22301 :

Comportementale

Le cadre ISO 22301 s'adresse à tous les types et tailles d'organisations qui mettent en œuvre, maintiennent et améliorent un BCMS. Il doit être adopté comme intention stratégique par toute entreprise souhaitant se conformer à la politique de continuité des activités déclarée et s'engageant à renforcer la résilience grâce à l'application efficace des systèmes de gestion de la continuité des activités.

Préproduction

Fondamentalement, la planification des systèmes de gestion de la continuité des activités commence par l'évaluation et la détermination des risques et des opportunités concernant la gestion de la continuité des activités. L'organisation doit également établir des objectifs de continuité des activités pour les fonctions et les niveaux concernés. Ces objectifs doivent être surveillés, clairement communiqués et mis à jour le cas échéant.

Leadership

Dans chaque secteur, il est essentiel que l'équipe de direction puisse faire preuve de leadership et d'engagement envers le BCMS. Cela peut être réalisé en « veillant à ce que la politique de continuité des activités et les objectifs de continuité des activités soient établis et soient compatibles avec l'orientation stratégique de l'organisation », déclare l'ISO. Les dirigeants doivent utiliser les canaux de communication pour montrer à leurs collaborateurs et à leurs partenaires l'importance d'une continuité d'activité efficace et de se conformer aux exigences des systèmes de gestion de la continuité d'activité. La stratégie de leadership doit également promouvoir l'amélioration continue et le développement d'une culture de continuité des activités.

Opération

La stratégie de continuité des activités repose sur la mise en place de processus opérationnels pour la préparation et la réponse aux incidents dans toutes les fonctions de l'entreprise. Cela signifie établir des critères pour les processus et mettre en œuvre un contrôle des processus conformément aux critères convenus. De la mise en place d'une stratégie média et de communication à la gestion étroite des risques sur le site à la suite d'incidents perturbateurs, la reprise après sinistre repose sur des plans de continuité. Une étape cruciale consiste à conserver des informations documentées dans le but de prouver que les processus et les tests BC ont été effectués comme prévu et améliorés si nécessaire.

Évaluation des performances

L’évaluation des performances signifie que l’on peut tirer beaucoup d’enseignements des incidents qui se produisent. En surveillant les réussites et les limites, les connaissances s’accumulent. Les parties intéressées ont la responsabilité de tenir des registres et d’utiliser les résultats des audits pour les aider à prendre les bonnes décisions sur la manière de gérer les perturbations des activités à l’avenir. En établissant un programme d'audit, l'organisation peut garantir que toutes les mesures correctives nécessaires sont prises. L’objectif est d’éliminer les non-conformités détectées et leurs causes.

Formation

L'amélioration continue est au cœur de la norme documentée du système de gestion définie par la norme ISO 22301. Toute révision et amélioration de la manière dont le BCMS est géré améliorera le plan de gestion de la continuité des activités au fil du temps.

Politiques et procédures ISO 22301

Les politiques et procédures d’un projet de conformité à la gestion de la continuité des activités ISO 22301 doivent être gérées avec soin.

Une organisation doit démontrer sa conformité à la norme ISO de continuité des activités en fournissant la documentation appropriée. Cela comprend un champ d'application, une politique détaillée de continuité des activités, une procédure formelle d'évaluation des risques et des plans de continuité des activités qui montrent comment l'organisation réagira et se remettra d'une perturbation.

Termes et définitions

La norme parle en détail de la sécurité et de la résilience. Il utilise un large éventail de termes techniques spécialisés ou de termes courants ayant une signification spécifique dans un contexte de sécurité et de résilience.

Pour vous aider à les comprendre, il comprend les définitions des 31 plus importantes. Il vous oriente également vers « ISO 22301 Sécurité et résilience – Vocabulaire », qui répertorie et définit près de 300 termes de sécurité et de résilience.

Il existe certains documents de lignes directrices associés qui ajoutent plus de détails aux exigences de la norme ISO 22301. Certains d'entre eux sont répertoriés dans la norme ISO 27001, les guides les plus remarquables sont :

ISO 22313 – Guide pour l'utilisation de l'ISO 22301
ISO 22317 – Lignes directrices pour l'analyse d'impact sur les entreprises (BIA)
Si vous avez besoin de comprendre un terme qui n'est pas répertorié ici, vous devez consulter la norme ISO 22301 pour voir ce que cela signifie.

Vous pouvez également trouver des termes et des définitions en ligne.

L'ISO et la CEI maintiennent des bases de données terminologiques destinées à la normalisation aux adresses suivantes :

• Plateforme de navigation en ligne ISO
• Électropédie CEI

Comprendre ces termes est très important. Pour ceux qui ne sont pas encore experts dans ce domaine, ils peuvent être un peu difficiles à maîtriser.

Si vous choisissez de travailler avec nous, nous veillerons à ce que vous les compreniez. Nous les expliquons dans nos propres supports et si vous avez besoin d'une aide plus ciblée, nous pouvons soit répondre nous-mêmes à vos questions, soit trouver le bon partenaire indépendant pour travailler avec vous.

Audit et conformité

Un audit est un processus de collecte de preuves dans le but d’évaluer dans quelle mesure les critères clés sont respectés. Les audits doivent être objectifs, impartiaux et indépendants, et le processus d'audit doit être à la fois systématique et documenté.

Les audits internes sont une partie obligatoire d’un BCMS certifié. De plus, l'organisme de certification choisi entreprendra des audits « externes » périodiques afin de certifier d'abord le BCMS, puis de s'assurer qu'il reste conforme à la norme. Il est également possible de réaliser des audits combinés. C'est lorsque deux ou plusieurs systèmes de gestion documentés de disciplines différentes sont audités ensemble en même temps.
Un auditeur ISO s’attendra à voir un enregistrement des améliorations apportées par votre organisation au fil du temps. Disposer d’une méthode pour traiter les non-conformités, les actions correctives et autres améliorations sont des exigences cruciales.

L’importance de tester les arrangements BC

Il existe différentes manières de tester les dispositions et plans documentés contenus dans le BCMS. Les exemples incluent des exercices sur table, des exercices à grande échelle ou à échelle partielle et également l’exploitation des enseignements tirés d’événements réels. La norme ISO 22301 exige que ces processus soient effectués régulièrement, en fonction des activités et du profil de risque de votre organisation.

Conformité

Après avoir obtenu la certification, vous devez mettre en place un plan de maintenance pour garantir le maintien de la conformité à la norme ISO 22301. Chez ISMS.online, nous possédons une expertise particulière dans ce domaine.

Nous comprenons également que l'amélioration continue est un élément important du maintien d'une certification ISO 22301. L'article 10 se concentre sur ce point, couvrant toutes les actions prises au sein d'une organisation pour :

Atteindre plus efficacement les objectifs de continuité des activités
Augmenter la fiabilité des procédures et contrôles de sécurité
Créer des avantages de sécurité accrus pour l’organisation et ses parties prenantes

Exigences ISO 22301

L'ISO 22301:2019 met en œuvre le cadre, le texte fondamental et les définitions de l'Annexe L, anciennement Annexe SL. L'Annexe L établit un cadre de haut niveau pour les normes ISO sur les systèmes de management. L'annexe a été rédigée pour incorporer un texte de base similaire ainsi qu'une terminologie et des concepts communs.

À l'exception de l'Article 8, les exigences de l'Annexe L abordent bon nombre des mêmes domaines que les exigences fondamentales de l'ISO 27001, couvertes dans les sections 4.1 à 10.2.

• ISO 22301 : la norme de continuité des activités
• Article 1 – Champ d'application
• Article 2 – Références normatives
• Article 3 - Termes et définitions
• Article 4 – Contexte de l'Organisation
• Article 6 – Planification
• Article 7 – Prise en charge
• Article 8 – Opérations
• Article 9 – Évaluation des performances
• Article 10 – Amélioration