EXIGENCES DE LA NORME ISO 22301 CONTINUITÉ D’ACTIVITÉ VERSION 2019

06/02/2024

[quizze id= »97″]

Le quiz « Exigences de l’ISO 22301 version 2019 » vous aidera à assimiler les principales exigences de la norme.

Les questions (exigences) de ce quiz sont 161, pas de panique. Les exigences de la norme sont 242 mais ces 161 exigences sont parmi les plus importantes, alors n’hésitez pas à apprendre de façon ludique !

Ne pensez pas que vous pouvez terminer ce quiz en moins d’une heure, voire deux heures, sauf bien sûr si vous êtes un petit génie !

Nouveautés sur la norme cotinuité d’activité ISO 22301 version 2019

Les 242 exigences (doit, doivent, en anglais shall) des articles 4 à 10 sont réparties comme suit:

Exigences ISO 22301 version 2019 copyleft
Article
cycle PDCA
Exigences N°
Nombre
4
Contexte Planifier
1 ÷ 16
16
5 Leadership Planifier
17 ÷ 34
18
6 Planification Planifier
35 ÷ 59
25
7 Support PlanifierDérouler
60 ÷ 85
26
8 Réalisation Dérouler
86 ÷ 190
105
9 Performance Comparer 191 ÷ 228 38
10 Amélioration Agir 229 ÷ 242 14
Total
242

exigences iso 22301

Les exigences dans les articles et paragraphes de la norme ISO 22301

PDCA

Le cycle PDCA de Deming

Remarque. Toute exigence normalement commence par « L’organisation doit … ». Pour simplifier nous présentons les exigences directement en commençant avec le verbe. 

ISO 22301 – Exigences et commentaires
Paragraphe
Exigence
Cycle PDCA, liens, commentaires
4
Contexte
 
4.1
L’entreprise et son contexte
1
4.1
Déterminer les enjeux externes et internes Comprendre tout ce qui peut influer sur la finalité (la mission) de l’entreprise et sa capacité à obtenir les résultats attendus du SMCA. Cf. paragraphe 6.1
 
4.2
Parties prenantes
 
4.2.1
Généralités
2
4.2.1 a
Déterminer les parties prenantes Qui peuvent influer sur le SMCA de l’entreprise
3
4.2.1 b
Déterminer les exigences des parties prenantes Besoins et désirs explicites ou implicites
4.2.2
Exigences légales et réglementaires
4
4.2.2 a
Appliquer un processus afin d’identifier les exigences légales et réglementaires Concernant la continuité d’activité de l’entreprise
5 4.2.2 b S’assurer que les exigences légales ou autres sont prises en compte Besoins et attentes relatives aux exigences et obligations de continuité d’activité
6 4.2.2 c Documenter ces informations Et les tenir à jour, cf. paragraphe 7.5.1
 
 4.3
Domaine d’application
 
 4.3.1
Généralités
 up
7
4.3.1
Déterminer le domaine d’application du SMCA Limites (administratives) et applicabilité
8  4.3.1 a Prendre en compte les enjeux externes et internes « Identifier les dangers c’est diminuer les risques ». Cf. paragraphe 4.1
9  4.3.1 b Prendre en compte les exigences des parties prenantes Et les exigences légales et autres. Cf. paragraphe 4.2
10 4.3.1 c Prendre en compte la mission, les buts Et les obligations internes et externes de l’entreprise
11
4.3.1
Rendre le domaine d’application disponible Sous forme de document, cf. paragraphe 7.5.1
 
 4.3.2
Domaine d’application du SMCA
12  4.3.2 a Déterminer les parties de l’entreprise à inclure dans le SMCA En considérant leur emplacement, taille, nature et complexité
13 4.3.2 b Identifier les produits et services Qui seront inclus dans le SMCA
14 4.3.2 Documenter et justifier les exclusions Conserver un enregistrement, cf. paragraphe 7.5.1
15 4.3.2 Ne pas affecter l’aptitude et la responsabilité de l’entreprise à assurer la continuité d’activité Comme déterminé par le bilan d’impact sur l’activité ou l’appréciation du risque et par les exigences légales applicables
4.4
Système de management de la continuité d’activité
16  4.4 Établir, appliquer, tenir à jour et améliorer en continu le SMCA Y compris les processus nécessaires et leurs interactions. « Si vous ne pouvez pas décrire ce que vous faites en tant que processus, vous ne savez pas ce que vous faites ». Edwards Deming

Processus spécifiques (* obligatoire) :  processus

  • identifier les exigences légales (paragraphe 4.2.2) *
  • analyser le bilan d’impact (paragraphe 8.2.1) *
  • apprécier le risque (paragraphe 8.2.3) *
  • restaurer les activités (paragraphe 8.4.5) *
  • auditer en interne (paragraphe 9.2.2) *
5
Leadership
5.1
Leadership et engagement
up
17 5.1 a S’assurer que la politique et les objectifs de continuité d’activité sont établis « Un escalier se balaie en commençant par le haut. Proverbe roumain. » S’assurer de la compatibilité avec l’orientation stratégique. La direction fait preuve de leadership. Affirmer l’engagement de la direction en faveur du SMCA
18 5.1 b S’assurer que les exigences du SMCA sont intégrés aux processus métier Faire preuve de leadership
19 5.1 c S’assurer que les ressources nécessaires au SMCA sont disponibles Ressources pour établir, appliquer, tenir à jour et améliorer le SMCA. Cf. paragraphe 4.4
20 5.1 d Communiquer sur l’importance d’un SMCA efficace Et se conformer aux exigences du SMCA
21 5.1 e S’assurer que le SMCA atteint les résultats attendus Engagement, réactivité et soutien actif de la direction
22 5.1 f Orienter et soutenir le personnel Afin qu’il contribue à la performance du SMCA
23 5.1 g Promouvoir l’amélioration continue « Les employés d’abord, les clients ensuite. Vineet Nayar. » Faire preuve de leadership. Cf. article 10
24 5.1 h Aider les personnes concernées à faire preuve de leadership Quand cela est nécessaire à leur domaine de responsabilité
 
5.2
Politique
 
5.2.1
Etablissement de la politique
25 5.2.1 a Établir la politique de continuité d’activité Qui est appropriée à la mission de l’entreprise
26 5.2.1 b Fournir un cadre Afin d’établir les objectifs de continuité d’activité, cf. paragraphe 6.2.1
27 5.2.1 c S’engager à satisfaire aux exigences Applicables, cf. 4.2.2
28 5.2.1 d S’engager à améliorer en continu le SMCA Cf. article 10
 
5.2.2
Politique
 up
29 5.2.2 a Rendre disponible la politique de continuité d’activité Sous forme de document, cf. paragraphe 7.5.1
30 5.2.2 b Communiquer la politique En interne
31 5.2.2 c Rendre disponible la politique aux parties prenantes Cf. paragraphe 4.2
5.3
Rôles, responsabilités et autorités
32 5.3 S’assurer que les responsabilité et autorités du SMCA sont attribuées Et communiquées à tous les niveaux de l’entreprise. « La responsabilité ne peut pas être partagée. Robert Heinlein ». Cf. paragraphe 7.5.1
33 5.3 a S’assurer que le SMCA respecte les exigences de la norme ISO 22301 Exigences des articles 4 à 10
34 5.3 b Présenter des rapports sur la performance du SMCA à la direction De manière régulière, cf. paragraphe 7.5.1
6
Planification
 
6.1
Actions face aux risques
 
6.1.1
Détermination des risques
35 6.1.1 Déterminer les risques et opportunités La gestion des risques est basée sur la norme ISO 31000 (cf la formation F 51). Afin de s’assurer que le SMCA peut atteindre les résultats prévus. Cf. le paragraphe 4.1 pour les enjeux et le paragraphe 4.2 pour les exigences. Un état des lieux est toujours utile avant la planification. « Toute décision comporte un risque. Peter Barge »
36 6.1.1 a S’assurer que le SMCA peut atteindre les résultats escomptés Afin de faire face aux risques
37  6.1.1 b Limiter les effets indésirables Afin de faire face aux risques
38 6.1.1 c Obtenir une démarche d’amélioration continue Cf. paragraphe 10.2
 
6.1.2
Gestion des risques
up
39 6.1.2 a Planifier les actions à mener face aux risques Et opportunités, cf. paragraphe 8.2
40 6.1.2 b 1 Planifier la manière d’intégrer ces actions Dans les processus du SMCA, cf. paragraphe 8.1
41 6.1.2 b 2 Planifier la manière d’évaluer l’efficacité de ces actions Cf. paragraphe 9.1
6.2
Objectifs de continuité d’activité
 
6.2.1
Etablissement des objectifs
42 6.2.1 Établir les objectifs de continuité d’activité Pour toutes les fonctions et niveaux dans l’entreprise
43 6.2.1 a Déterminer des objectifs de continuité d’activité Cohérents avec la politique de l’entreprise, cf. paragraphe 5.2
44 6.2.1 b Déterminer des objectifs de continuité d’activité Mesurables, si possible
45 6.2.1 c Déterminer des objectifs de continuité d’activité En tenant compte des exigences applicables, cf. paragraphes 4.1 et 4.2
46 6.2.1 d Déterminer des objectifs de continuité d’activité Et les surveiller, cf. paragraphe 9.1
47 6.2.1 e Déterminer des objectifs de continuité d’activité Et les communiquer, cf. paragraphe 7.4
48 6.2.1 f Déterminer des objectifs de continuité d’activité Et les mettre à jour régulièrement
49 6.2.1 Conserver les objectifs de continuité d’activité Cf. paragraphe 7.5
6.2.2
Détermination des objectifs
50 6.2.2 a Déterminer lors de la planification des objectifs de continuité d’activité Ce qui sera fait
51 6.2.2 b Déterminer lors de la planification des objectifs de continuité d’activité Les ressources nécessaires
52 6.2.2 c Déterminer lors de la planification des objectifs de continuité d’activité Le responsable
53 6.2.2 d Déterminer lors de la planification des objectifs de continuité d’activité Les échéances
54 6.2.2 e Déterminer lors de la planification des objectifs de continuité d’activité Comment les résultats seront évalués
 
6.3
Planification des changements
55 6.3 Planifier les changements du SMCA Avant de les appliquer, y compris les changements de l’article 10
56 6.3 a Prendre en compte L’objet des changement et les conséquences potentielles
57 6.3 b Prendre en compte L’intégrité du SMCA
58 6.3 c Prendre en compte Les ressources disponibles
59 6.3 d Prendre en compte Les respnsabilité et autorités attribuées
 7
Support
 
7.1
Ressources
up
60
7.1
Identifier et fournir les ressources nécessaires Afin d’établir, appliquer, tenir à jour et améliorer le SMCA
 
7.2
Compétence
61  7.2 a Déterminer les compétences nécessaires des personnes concernées Les personnes concernées peuvent influer sur les performances de la continuité d’activité
62 7.2 b S’assurer que ces personnes sont compétentes Sur la base d’une formation initiale et professionnelle et de l’expérience
63 7.2 c Mener des actions pour acquérir et tenir à jour les compétences nécessaires Et évaluer l’efficacité de ces actions. Les actions incluent la formation, mais aussi l’encadrement, la réaffectation et le recrutement de personnes compétentes
64 7.2 d Conserver les compétences Sous forme d’enregistrements, cf. paragraphe 7.5.1
 
7.3
Sensibilisation
65
7.3 a
Sensibiliser le personnel à la politique et objectifs de continuité d’activité Cf. paragraphes 5.26.2 et 7.5.1
66 7.3 b Sensibiliser le personnel à l’importance de leur contribution à l’efficacité du SMCA Et des effets bénéfiques de la performance améliorée du SMCA
67 7.3 c Sensibiliser le personnel aux répercussions et aux conséquences du non-respect des exigences du SMCA Ne pas oublier les conséquences potentielles sur toutes les activités professionnelles
68 7.3 d Sensibiliser le personnel à leur rôle et responsabilité Avant, durant et après une perturbation
7.4
Communication
69 7.4 a Déterminer les besoins de communication interne et externe Y compris sur quels sujets, cf. paragraphe 7.5.1
70 7.4 b Déterminer les besoins de communication interne et externe Y compris quand communiquer
71 7.4 c Déterminer les besoins de communication interne et externe Y compris avec qui communiquer
72 7.4 d Déterminer les besoins de communication interne et externe Y compris comment communiquer
73 7.4 e Déterminer les besoins de communication interne et externe Y compris celui qui communiquera
7.5
Documentation
7.5.1
Généralités
up
74 7.5.1 a Inclure dans le SMCA les documents (informations documentées) exigés par l’ISO 22301 Procédures (documentées), * oobligatoires : procédure

  • exigences légales (paragraphe 4.2.2)
  • gestion documentaire (paragraphe 7.5)
  • sauvegarde (paragraphe 8.1)
  • continuité d’activité (paragraphe 8.4.1) *
  • réponse aux perturbations (paragraphe 8.4.2)
  • avertissement et communication (paragraphe 8.4.3) *
  • plan de continuité d’activité (paragraphe 8.4.4) *
  • exercice et test  (paragraphe 8.5)
  • audit interne (paragraphe 9.2.2)
  • actions correctives (paragraphe 10.1.3)

Politique, * obligatoire :politique

  • continuité d’activité (paragraphe 5.2) *

Enregistrements, * obligatoire : enregistrement

  • contexte de l’entreprise (paragraphe 4.1)
  • liste des exigences légales (paragraphe 4.2.2) *
  • domaine d’application (paragraphe 4.3.1) *
  • responsabilités et autorités (paragraphe 5.3)
  • objectifs de continuité d’activité (paragraphe 6.2.1) *
  • plan pour atteindre les objectifs (paragraphe 6.2.2)
  • compétences (paragraphe 7.2) *
  • programme de formation (paragraphe 7.3)
  • plan de communication (paragraphe 7.4)
  • liste des documents d’origine externe (paragraphe 7.5.3.2)
  • maîtrise opérationnelle (paragraphe 8.1)
  • changements (paragraphe 8.1)
  • processus externalisés (paragraphe 8.1)
  • bilan d’impact (paragraphe 8.2.2)
  • traitement du risque (paragraphe 8.2.3)
  • stratégies et solutions (paragraphe 8.3.3)
  • communication sur les risques (paragraphe 8.4.3) *
  • perturbations, actions et décisions (paragraphe 8.4.3.1) *
  • plans de continuité d’activité (paragraphe 8.4.4) *
  • programme d’exercices (paragraphe 8.5)
  • scénarios d’incidents (paragraphe 8.5)
  • résultats d’exercices (paragraphe 8.5)
  • revue des capacités de continuité d’activité (paragraphe 8.6)
  • évaluation de la performance (paragraphe 9.1) *
  • méthodes de surveillance, mesure, analyse et évaluation (paragraphe 9.1)
  • plan de maintenance du SMCA (paragraphe 9.1)
  • audit interne, programme, rapport (paragraphe 9.2.2) *
  • revue de direction, résultats (paragraphe 9.3.3.2) *
  • non-conformités et actions correctives (paragraphe 10.1.3) *
  • rapport d’amélioration (paragraphe 10.2)
75 7.5.1 b Inclure les documents jugés nécessaires à l’efficacité du SMCA Ces documents sont spécifiques par rapport à la taille de l’entreprise, au domaine d’activité, à la complexité des processus et leurs interactions, à la compétence du personnel
7.5.2
Création et mise à jour
up
76 7.5.2 a Identifier et décrire les documents de façon appropriée Lors de leur création et mise à jour. Comme titre, auteur, date, codification
77 7.5.2 b S’assurer que le format et le support des documents sont appropriés Exemples de formats : langue, version du logiciel et des graphiques. Exemples de supports : papier, électronique
78 7.5.2 c Passer en revue et valider les documents de façon appropriée Afin de vérifier leur pertinence et adéquation
 
7.5.3
Maîtrise des documents
79 7.5.3.1 a Rendre les documents disponibles et propres à être utilisés Quand nécessaire et à l’endroit voulu. Selon les exigences du SMCA et de la norme ISO 22301
80 7.5.3.1 b Protéger convenablement les documents Comme perte de confidentialité, utilisation inappropriée ou perte d’intégrité
81 7.5.3.2 a Appliquer des activités de distribution, d’accès, de récupération et d’utilisation Afin de maîtriser les documents
82 7.5.3.2 b Appliquer des activités de stockage et de protection Y compris la préservation de la lisibilité des documents
83 7.5.3.2 c Appliquer des activités de maîtrise des changements Comme la maîtrise des versions
84 7.5.3.2 d Appliquer des activités de conservation et d’élimination En déterminant pour chaque document la durée de conservation et la manière d’élimination
85 7.5.3.2 Identifier et maîtriser les documents d’origine externe Liste des documents jugés nécessaires à la planification et au fonctionnement du SMCA, cf. paragraphe 7.5.1
8
Réalisation
Dérouler
 
8.1 
Planification et maîtrise
up
86
8.1 a Planifier, appliquer, maîtriser et tenir à jour des processus nécessaires afin de respecter les exigences du SMCA En établissant des critères pour ces processus et en réalisant des actions déterminées dans le paragraphe 6.1
87 8.1 b Planifier, appliquer, maîtriser et tenir à jour des processus nécessaires afin de respecter les exigences du SMCA En appliquant la maîtrise des processus conformément aux critères
88 8.1 c Conserver les documents sur les processus nécessaires Afin de s’assurer que les processus sont réalisés comme prévu. Cf. paragraphe 7.5.1
89 8.1 Maîtriser les changements prévus et analyser ceux qui sont imprévus En menant des actions pour limiter tout impact négatif. Cf. paragraphe 7.5.1
90 8.1 S’assurer que les processus externalisés sont maîtrisés et pertinents Y compris la chaîne d’approvisionnement
8.2
Bilan d’impact des risques
8.2.1
Généralités
91 8.2.1 a Appliquer des processus systématiques Concernant le bilan d’impact sur l’activité et l’appréciation des risques de perturbation, cf le paragraphe 6.3
92 8.2.1 b Passer en revue le bilan d’impact sur l’activité et l’appréciation du risque A des intervalles planifiés et suite à des changements significatifs dans l’entreprise ou son contexte
8.2.2
Bilan d’impact sur l’activité
93 8.2.2 Utiliser le processus de bilan d’impact sur l’activité Afin de déterminer les priorités et les exigences de continuité d’activité
94 8.2.2 a Définir les types d’impacts Et les critères pertinents
95 8.2.2 b Identifier les activités Liés avec la livraison des produits et la fourniture des services
96 8.2.2 c Utiliser les types et critères d’impact afin d’apprécier les impacts dans le temps Durant la perturbation de ces activités
97 8.2.2 d Identifier la durée au-dela de laquelle les impacts d’une non-reprise des activités poserait problème Et deviendrait inacceptable pour l’entreprise. Cette durée peut être appelée DMTP (durée maximale tolérable de pérturbation)
98 8.2.2 e Déterminer les délais par ordre de priorité A l’intérieur de la DMTP pour reprendre les activités avec une capacité minimale. Ce délai peut être appelé ODR (objectif de délai de rétablissement
99 8.2.2 f Utiliser ce bilan Afin d’identifier  les activités prioritaires
100 8.2.2 g Déterminer les ressources nécessaires Afin de soutenir les activités prioritaires
101 8.2.2 h Déterminer les dépendances par rapport aux activités prioritaires Y compris les partenaires et fournisseurs
8.2.3
Appréciation du risque
up
102 8.2.3 Appliquer un processus d’appréciation du risque Cf. paragraphe 6.1 et la formation F 51v18
103 8.2.3 a Identifier les risques de perturbation Concernant les activités prioritaires de l’entreprise et les ressources nécessaires
104 8.2.3 b Analyser les risques identifiés Et évaluer ces risques
105 8.2.3 c Déterminer quels risques demandent un traitement Actions préventives à mettre en place pour les risques liés aux perturbation des activités métier
 
8.3
Stratégies et solutions
 
8.3.1
Généralités
106 8.3.1 Identifier et sélectionner les stratégies de continuité d’activité Conformément aux options d’avant, pendant et après une perturbation. Se baser sur le bilan d’impact de l’activité et de l’appréciation du risque, cf. paragraphe 8.2
107 8.3.1 Inclure plus d’une solution Pour chaque stratégie de continuité d’activité
 
8.3.2
Identification des stratégies et solutions
108 8.3.2 a Prendre en compte, lors de l’identification, dans quelle mesure les stratégies et solutions Satisfont aux exigences afin de rétablir, les activités, dans les délais identifiés et au niveau de capacité convenu
109 8.3.2 b Prendre en compte, lors de l’identification, dans quelle mesure les stratégies et solutions Protégent les activités prioritaires
110 8.3.2 c Prendre en compte, lors de l’identification, dans quelle mesure les stratégies et solutions Réduisent la vraisemblance des perturbations
111 8.3.2 d Prendre en compte, lors de l’identification, dans quelle mesure les stratégies et solutions Raccourcissent la prériode de perturbation
112 8.3.2 e Prendre en compte, lors de l’identification, dans quelle mesure les stratégies et solutions Limitent les impacts de la perturbation
113 8.3.2 f Prendre en compte, lors de l’identification, dans quelle mesure les stratégies et solutions Assurent la disponibilité des ressoures adéquates
 
8.3.3
Sélection des stratégies et solutions
114 8.3.3 a Prendre en compte, lors de la sélection, dans quelle mesure les stratégies et solutions Satisfont aux exigences afin de rétablir, les activités, dans les délais identifiés et au niveau de capacité convenu
115 8.3.3 b Prendre en compte, lors de la sélection, dans quelle mesure les stratégies et solutions Prennent en compte la quantité et le type de risque que l’entreprise peut prendre
116 8.3.3 c Prendre en compte, lors de la sélection, dans quelle mesure les stratégies et solutions Prennent en compte les coûts et bénéfices associés
 
8.3.4
Exigences de ressources
up
117 8.3.4 Déterminer les exigences de ressources Afin de mettre en place les solutions de continuité d’activité sélectionnées
118 8.3.4 a Inclure dans les types de ressources considérés Les personnes
119 8.3.4 b Inclure dans les types de ressources considérés Les informations et données
120 8.3.4 c Inclure dans les types de ressources considérés L’infrastructure comme bâtiments, lieux de travail, installations et utilités
121 8.3.4 d Inclure dans les types de ressources considérés Les équipements et les consommables
122 8.3.4 e Inclure dans les types de ressources considérés Les systèmes informatiques (technologies de l’information et de la communication)
123 8.3.4 f Inclure dans les types de ressources considérés Le transport et la logistique
124 8.3.4 g Inclure dans les types de ressources considérés Le financement
125 8.3.4 h Inclure dans les types de ressources considérés Les partenaires et les fournisseurs
8.3.5
Mise en place des solutions
126 8.3.5 Mettre en place et maintenir les solutions de continuité d’activité sélectionnées Afin d’être disponibles au moment opportun
 
8.4
Plans et procédures de continuité d’activité
 
8.4.1
Généralités
127 8.4.1 Appliquer une structure de réponse Afin de permettre d’avertir les parties prenantes pertinentes et de communiquer avec elles
128 8.4.1 Fournir des plans et procédures Afin de gérer l’entreprise durant une perturbation. Les procédures font partie du plan de continuité d’activité (PCA)
129 8.4.1 Utiliser les plans et procédures à temps Afin d’activer les solutions de continuité d’activité
130 8.4.1 Identifier et documenter les plans et procédures de continuité d’activité En se basant sur les résultats des stratégies et solutions retenues, cf. paragraphe 7.5
131 8.4.1 a Utiliser des procédures précises Concernant les mesures immédiates lors d’une perturbation
132 8.4.1 b Utiliser des procédures souples Afin de répondre aux changements de conditions d’une perturbation
133 8.4.1 c Se concentrer sur l’impact d’incidents Menant potentiellement à une perturbation
134 8.4.1 d Utiliser des procédures efficaces Afin de réduire l’impact des solutions appliquées
135 8.4.1 e Attribuer les rôles et responsabilités Pour les tâches concernées
 
8.4.2
Structure de réponse
up
136 8.4.2.1 Mettre en place et maintenir une structure identifiant une ou plusieurs équipes Responsables de répondre aux perturbations
137 8.4.2.2 Etablir clairement les rôles et responsabilités de chaque équipe Y compris les relations entre les équipes
138 8.4.2.3 a Désigner des équipes collectivement compétentes Afin d’apprécier la nature et l’étendue d’une perturbation et son impact potentiel
139 8.4.2.3 b Désigner des équipes collectivement compétentes Afin d’apprécier l’impact par rapport aux seuils prédéfinis et lancer une réponse formelle
140 8.4.2.3 c Désigner des équipes collectivement compétentes Afin d’activer une réponse appropriée pour la continuité d’activité
141 8.4.2.3 d Désigner des équipes collectivement compétentes Afin de planifier les actions à entreprendre
142 8.4.2.3 e Désigner des équipes collectivement compétentes Afin d’établir les priorités (la première étant la vie humaine)
143 8.4.2.3 f Désigner des équipes collectivement compétentes Afin de surveiller les effets de la perturbation et la réponse de l’entreprise
144 8.4.2.3 g Désigner des équipes collectivement compétentes Afin d’activer les solutions de continuité d’activité
145 8.4.2.3 h Désigner des équipes collectivement compétentes Afin de communiquer avec les parties prenantes, les autorités et les médias
146 8.4.2.4 a Avoir dans chaque équipe Un personnel identifié, avec la responsabilité, l’autorité et la compétence nécessaires
147 8.4.2.4 b Avoir dans chaque équipe Des procédures documentées pour guider les actions, cf. 8.4.4
 
8.4.3
Avertissement et communication
148 8.4.3.1 a Documenter et maintenir des procédures Afin de communiquer avec les parties prenantes, cf. paragraphe 7.4
149 8.4.3.1 b Documenter et maintenir des procédures Afin de gérer la réception, la documentation et la réponse concernant les parties prenantes comme un système de conseil national
150 8.4.3.1 c Documenter et maintenir des procédures Afin d’assurer la disponibilité des moyens de communication durant une perturbation
151 8.4.3.1 d Documenter et maintenir des procédures Afin de fournir après un incident, une stratégie de communication avec les médias
152 8.4.3.1 e Documenter et maintenir des procédures Afin d’enregistrer les informations de la perturbation, des décisions prises et des actions menées
153 8.4.3.1 f Documenter et maintenir des procédures Afin d’être disponibles au moment opportun
154 8.4.3.2 a Alerter les parties prenantes potentiellement impactées Par une perturbation réelle ou imminente
155 8.4.3.2 b Assurer une coordination et communication Entre les différents organismes concernés
156 8.4.3.2 Réaliser des exercices des procédures d’avertissement et de communication Cf. paragraphe 8.5
 
8.4.4
Plans de continuité d’activité
up
157 8.4.4.1 Documenter et maintenir des plans et procédures de continuité d’activité Afin d’être disponibles au moment opportun
158 8.4.4.1 Fournir des recommandations et des informations dans les plans de continuité d’activité (PCA) Afin d’aider les équipes à répondre à une perturbation et aider l’entreprise à se rétablir
159 8.4.4.2 a 1 Inclure dans les plans de continuité d’activité les détails des actions à mener Afin de continuer ou rétablir les activités prioritaires dans les délais déterminés
160 8.4.4.2 a 2 Inclure dans les plans de continuité d’activité les détails des actions à mener Afin de surveiller l’impact de la perturbation et la réponse apportée
161 8.4.4.2 b Inclure dans les plans de continuité d’activité La référence aux seuils prédéfinis et aux processus de réponse
162 8.4.4.2 c Inclure dans les plans de continuité d’activité Les procédures des livraison des produits et fourniture de services au niveau de capacité convenu
163 8.4.4.2 d 1 Inclure dans les plans de continuité d’activité Les détails de gestion des conséquences immédiates d’une perturbation en tenant compte du bien-être du personnel
164 8.4.4.2 d 2 Inclure dans les plans de continuité d’activité Les détails de gestion des conséquences immédiates d’une perturbation en tenant compte de la prévention d’une perte d’activités prioritaires
165 8.4.4.2 d 3 Inclure dans les plans de continuité d’activité Les détails de gestion des conséquences immédiates d’une perturbation en tenant compte dee l’impact environnemental
166 8.4.4.3 a Inclure dans chaque PCA Le but, le domaine d’application et les objectifs
167 8.4.4.3 b Inclure dans chaque PCA Les rôles et responsabilités des membres de l’équipe qui appliquera le plan
168 8.4.4.3 c Inclure dans chaque PCA Les actions pour appliquer les solutions
169 8.4.4.3 d Inclure dans chaque PCA Les informations de support nécessaires pour activer, coordonnet et communiquer les actions du plan
170 8.4.4.3 e Inclure dans chaque PCA Les interdépendances internes et externes
171 8.4.4.3 f Inclure dans chaque PCA Les exigences concernant les ressources
172 8.4.4.3 g Inclure dans chaque PCA Les exigences concernant le rapport
173 8.4.4.3 h Inclure dans chaque PCA Le processus de sortie
174 8.4.4.3 Rendre disponible chaque plan Au moment opportun et à la place requise
 
8.4.5
Rétablissement
175 8.4.5 Disposer de processus documentés Afin de restaurer et revenir aux activités métier après une perturbation
 
8.5
Programme d’exercices
up
176 8.5 Mettre en place et maintenir un programme d’exercices et de tests Afin de valider l’efficacité des stratégies et solutions de continuité d’activité
177 8.5 a Mener des exercices et des tests Cohérents avec les objectifs de continuité d’activité, cf. paragraphe 6.2
178 8.5 b Mener des exercices et des tests Basés sur des scénarios planifiés avec des buts et objectifs définis
179 8.5 c Mener des exercices et des tests Qui développent le travail d’équipe, les compétences, la confiance et les connaissances des membres de l’équipe
180 8.5 d Mener des exercices et des tests Qui valident au fil du temps les stratégies et solutions de continuité
181 8.5 e Mener des exercices et des tests Qui permettent d’établir des rapports post-exercices contenant les actions d’amélioration, cf. paragraphe 10.2
182 8.5 f Mener des exercices et des tests Afin de les passer en revue dans une démarche d’amélioration continue, cf. paragraphe 10.2
183 8.5 g Mener des exercices et des tests A des intervalles planifiés et lors de changements significatifs de l’entreprise ou du contexte
184 8.5 Agir en fonction des résultats des exercices et tests Afin de mettre en place des changements et améliorations, cf. paragraphe 10.2
 
8.6
Evaluation de la documentation et des capacités
185 8.6 a Evaluer l’adaptation, l’adéquation et l’efficacité de l’entreprise Concernant l’impact sur l’activité, l’appréciation des risques, les stratégies, les solutions, les plans et procédures, cf. paragraphes 8.2, 8.3 et 8.4
186 8.6 b Réaliser les évaluations Au moyen de revues, d’anlyses, d’exercices, de tests, de rapports post-incident et de mesures d’efficacité
187 8.6 c Soumettre à une évaluation des capacités de continuité d’activité Les partenaires et fournisseurs significatifs
188 8.6 d Evaluer la conformité au exigences légales et autres Aux meilleures pratiques et à la politique et objectifs de continuité d’activité de l’entreprise
189 8.6 e Mettre à jour la documentation Au moment opportun
190 8.6 Réaliser les évaluations à des intervalles planifiés Après un incident, un exercice ou un changement significatif dans l’entreprise
9
Performance
9.1
Inspection
up
191 9.1 a Déterminer ce qu’il est nécessaire d’inspecter (surveiller et mesurer) Y compris les processus et les PCA
192 9.1 b Déterminer les méthodes d’inspection Y compris l’analyse et l’évaluation afin d’assurer la validité des résultats. Tout résultat valable est comparable et reproductible
193 9.1 c Déterminer le moment d’inspection Et la personne responsable de l’inspection. Y compris les points où la surveillance et la mesure sont réalisées
194 9.1 d Déterminer quand et par qui les résultats de l’inspection sont analysés Et évalués
195 9.1 Conserver les résultats de l’inspection Comme preuves, cf. paragraphe 7.5.1
196 9.1 Evaluer la performance du SMCA Y compris l’efficacité du SMCA
9.2
Audit interne
9.2.1
Généralités
197 9.2.1 a 1 Conduire des audits internes à des intervalles planifiés afin de vérifier si le SMCA respecte les exigences de l’entreprise Y compris à la politique et les objectifs, cf. paragraphes 5.2 et 6.2
198 9.2.1 a 2 Conduire des audits internes à des intervalles planifiés afin de vérifier si le SMCA respecte les exigences de la norme ISO 22301 Exigences dans les articles 4 à 10 de la norme
199 9.2.1 b Conduire des audits internes à des intervalles planifiés afin de vérifier si le SMCA est appliqué efficacement Cf. la revue de direction, paragraphe 9.3
9.2.2
Programme d’audit
200 9.2.2 a Planifier, établir, appliquer et tenir à jour le programme d’audit Incluant la fréquence, les méthodes, les responsabilités, les exigences de planification et de rapport. Suivre les recommandation de l’ISO 19011
201 9.2.2 a Tenir compte dans le programme d’audit de l’importance des processus Et des résultats des audits précédents
202 9.2.2 b Définir les critères d’audit Et le périmètre de chaque audit
203 9.2.2 c Sélectionner les auditeurs Afin de conduire des audits objectifs et impartiaux
204 9.2.2 d S’assurer que les résultats des audits sont communiqués A la direction concernée
205 9.2.2 e Conserver les documents sur l’application du programme d’audit Et les résultats d’audit, cf. paragraphe 7.5.1
206 9.2.2 f S’assurer que les actions correctives sont entreprises au moment opportun Afin d’éliminer les non-conformités et leurs causes premières, cf. paragraphe 10.1
207 9.2.2 g S’assurer que le suivi des actions correctives inclut la vérification de leur efficacité Et les résultats de la vérification sont enregistrés, cf. paragraphe 7.5.1
 
9.3
Revue de direction
up
9.3.1
Généralités
208 9.3.1 Passer en revue le SMCA à des intervalles planifiés Afin de s’assurer que le SMCA est toujours approprié, adéquat et efficace. « Aucun système n’est parfait »
9.3.2
Eléments d’entrée
209 9.3.2 a Prendre en considération l’avancement des actions décidées au cours de la revue de direction précédente Utiliser le dernier rapport de la revue de direction
210 9.3.2 b Prendre en considération les changements des enjeux du SMCA Cf. paragraphe 4.1
211 9.3.2 c 1 Prendre en considération les informations sur la performance du SMCA et les tendances Concernant les non-conformités et actions correctives, cf. paragraphe 10.1
212 9.3.2 c 2 Prendre en considération les informations sur la performance du SMCA et les tendances Concernant les résultats de l’évaluation de l’inspection, cf. paragraphe 9.1
213 9.3.2 c 3 Prendre en considération les informations sur la performance du SMCA et les tendances Concernant les résultats des audits, cf. paragraphe 9.2
214 9.3.2 d Prendre en considération les retours d’information des parties prenantes Cf. paragraphe 4.2
215 9.3.2 e Prendre en considération le besoin de changer le SMCA Y compris la politique et les objectifs, cf. paragraphes 5.2 et 6.2 
216 9.3.2 f Prendre en considération les procédures et ressources Qui pourraient être utilisées pour améliorer le SMCA, cf. paragraphe 10.2
217 9.3.2 g Prendre en considération les résultats du bilan d’impact et l’appréciation du risque Cf. paragraphe 8.2
218 9.3.2 h Prendre en considération les résultats de l’évaluation de la documentation et des capacités de continuité d’activité Cf. paragraphe 8.6
219 9.3.2 i Prendre en considération les risques et enjeux non traités de manière appropriée Lors d’une précédente appréciation du risque
220 9.3.2 j Prendre en considération les leçons tirées et les actions entreprises Découlant d’incidents évités de justesse et de perturbations
221 9.3.2 k Prendre en considération les opportunités d’amélioration continue Cf. paragraphe 10.2
9.3.3
Eléments de sortie
222 9.3.3.1 a Inclure dans les résultats de la revue de direction les décisions d’amélioration continue et les éventuels changements du SMCA Y compris les variations de son domaine d’application, cf. paragraphe 10.2
223 9.3.3.1 b Inclure dans les résultats de la revue de direction les décisions d’amélioration continue et les éventuels changements du SMCA Y compris la mise à jour du bilan d’impact sur l’activité, l’appréciation du risque, les stratégies et solutions et les plans de continuité d’activité, cf. paragraphes 8.28.3 et 8.4
224 9.3.3.1 c Inclure dans les résultats de la revue de direction les décisions d’amélioration continue et les éventuels changements du SMCA Y compris les changements de procédures et les moyens de maîtrise pour répondre aux enjeux internes et externes
225 9.3.3.1 d Inclure dans les résultats de la revue de direction les décisions d’amélioration continue et les éventuels changements du SMCA Y compris la manière dont l’efficacité des moyens de maîtrise sera mesurée
226 9.3.3.2 Conserver les documents des revues de direction Comme preuve des résultats, cf. paragraphe 7.5.1
227 9.3.3.1 a Communiquer les résultats de la revue de direction Aux parties prenantes
228 9.3.3.1 b Entreprendre les actions appropriées En fonction des résultats de la revue de direction
10
Amélioration
 
10.1
Non-conformité et actions correctives
up
229 10.1.1 Déterminer les opportunités d’amélioration Et appliquer les actions afin d’atteindre les résultats attendus du SMCA
230 10.1.2 a 1 Réagir à la non-conformité en agissant sur elle Afin de la maîtriser et la corriger
231 10.1.2 a 2 Réagir à la non-conformité en faisant face aux conséquences Pouvant influer sur l’efficacité du SMCA
232 10.1.2 b 1 Evaluer le besoin d’agir afin d’éliminer les causes premières En passant en revue la non-conformité
233 10.1.2 b 2 Evaluer le besoin d’agir afin d’éliminer les causes premières En déterminant les causes premières
234 10.1.2 b 3 Evaluer le besoin d’agir afin d’éliminer les causes premières En déterminant si des non-conformités similaires existent ou pourraient se produire
235 10.1.2 c Appliquer toute action nécessaire De sorte que la non-conformité ne se reproduise pas
236 10.1.2 d Passer en revue toute action corrective entreprise Afin de vérifier l’efficacité de l’action
237 10.1.2 e Apporter des changements au SMCA Quand cela est nécessaire
238 10.1.2 Entreprendre des actions correctives Proportionnelles aux impacts des non-conformités
239 10.1.3 a Conserver les enregistrements Sur la nature des non-conformités et des actions entreprises, cf. paragraphe 7.5.1
240 10.1.3 b Conserver les enregistrements Sur l’efficacité des actions entreprises, cf. paragraphe 7.5.1
10.2
 Amélioration continue et actions correctives
241 10.2 Améliorer en continu l’adaptation, l’adéquation et l’efficacité du SMCA En se basant sur des données qualitatives et quantitatives
242 10.2 Prendre en compte les résultats de l’analyse et de l’évaluation et les décisions de la revue de direction Afin de déterminer s’il existe des besoins ou des opportunités d’amélioration, cf. paragraphes 5.1, 6.1, 8.2, 9.1 et 9.3
up

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *