iSO 22301
Systèmes de management de la continuité d'activité : Exigences
Avec la norme volontaire ISO 22301, les organisations disposent d’un outil utile pour anticiper et gérer la continuité de leurs activités. Elle délivre des lignes directrices pour la mise en place d’un système de management spécifique et efficace.
Elaborée par et pour les professionnels, la norme ISO 22301 permet de répondre à un enjeu crucial pour toutes organisations : continuer à offrir leurs services, ou du moins les rétablir dans un temps relativement court, après la survenue d’un arrêt des activités. Il s’agit d’un document de référence visant à garantir le fonctionnement et la sécurité d’une l’organisation mais également celle du consommateur.
Basées sur le modèle PDCA (Planifier-Déployer-Contrôler-Agir), les lignes directrices guident les organisations dans la planification, l'établissement, la mise en œuvre, le fonctionnement, la surveillance, la revue, le maintien et l'amélioration continue de l'efficacité d’un système de management de la continuité d’activité (SMCA).
La norme précise les objectifs de continuité d’activité, les plans à mettre en place pour les atteindre, les supports sur lesquels s’appuyer (ressources, compétences, sensibilisation…), le fonctionnement d’un SMCA et le processus d’évaluation des performances.
Politique de continuité d’activité, engagement, responsabilités au sein de l’organisation… des lignes directrices propres au leadership de l’organisation sont également précisées. Comment assurer une continuité d’activité ?
Comment rétablir la situation le plus rapidement possible ?
Comment anticiper et réduire les risques ?
La norme iSO 22301 répond à toutes ces questions et permet aux organisations d’être mieux armées face aux menaces de tous horizons.
iSO 22313
Lignes directrices
L'ISO 22313 relative aux systèmes de management de la continuité d'activité fournit des lignes directrices basées sur une bonne pratique internationale pour la planification, l'établissement, la mise en oe?uvre, l'exploitation, la surveillance, le réexamen, la mise à jour et l'amélioration constante d'un système de management documenté permettant aux organisations de se préparer aux incidents perturbateurs, d'y répondre et de reprendre leurs activités lorsqu'ils surviennent.
Elle ne prétend pas uniformiser la structure d'un SMCA, mais permettre à une organisation de définir un SMCA qui convienne à ses besoins et qui réponde aux exigences des parties concernées. Ces besoins sont conditionnés par les exigences légales, réglementaires, organisationnelles et industrielles, par les produits et les services, les processus employés, l'environnement dans lequel l'organisation fonctionne, la taille et la structure de cette dernière et les exigences des parties concernées.
Elle est générique et s'applique à toute taille et tout type d'organisations, qu'elles soient grandes, moyennes ou petites et qu'elles interviennent dans les secteurs industriels, commerciaux, publics et à but non lucratif, dans la mesure où elles souhaitent :
- établir, mettre en oeuvre, maintenir et améliorer un Système de Management de la Continuité d'Activité,
- assurer la conformité avec la politique de continuité d'activité de l'organisation,
- procéder à une autodétermination et effectuer une auto-déclaration de conformité avec la présente Norme internationale.
FD X50-259
Plan de Continuité d'Activité :
Démarche de mise en place et de maintien
Comment mettre en œuvre un plan de continuité d’activité ?
Le fascicule de documentation FD X 50-259 propose une véritable méthode pour la mise en œuvre d’un plan de continuité d’activité afin d’anticiper les risques divers qui peuvent survenir au sein des organisations ou de rétablir la situation dans des délais acceptables.
Les impacts des risques au sein des organisations sont multiples : financiers, relation client, visibilité… Peu importe la taille de l’entreprise, cette dernière doit pouvoir faire face et répondre rapidement aux problèmes en tout genre qu’ils soient techniques, naturels (inondations), accidentels...
Mettre en place une stratégie de continuité, c’est notamment anticiper les risques par la mise en place d’un Plan de Continuité d’Activité (PCA). En d’autres termes, c’est prévoir, un ensemble de solutions de secours (organisationnelles, techniques, humaines…) et décrire les instances décisionnelles et les moyens qui permettront à un organisme de réagir efficacement à un incident, d’assurer le maintien des activités essentielles de l’entreprise et de rétablir dès que possible son activité pour un retour à une situation optimale.
Le FD X 50-259 fournit des recommandations, pour toutes les organisations, concernant l’implémentation, la mise en œuvre et la maintenance d’un PCA. Organiser le projet, analyser les besoins de continuité, définir une stratégie de continuité. Chaque étape de mise en œuvre est présentée. Des informations clés sur le maintien en condition opérationnelle du PCA et son déclenchement sont précisées.
Les bénéfices d’un PCA sont nombreux pour l’organisation: être conforme à la réglementation, rassurer les collaborateurs sur la pérennité de leurs emplois, fidéliser les clients, promouvoir une culture de risque, rassurer les actionnaires sur la préservation de leurs actifs…
Le fascicule AFNOR se veut être un outil d’aide pour les organisations désireuses de se préparer aux risques en adoptant la mise en place d’un PCA. Il répond à certaines des exigences d’un système de management tel que défini par l’ISO 22301 « Système de management de la continuité d’activité » publiée en 2012. Il est également à mettre en relation avec la norme ISO 31000 « Management du risque – principes et lignes directrices » publiée en 2009, qui vise à promouvoir une approche globale de gestion des risques, transverse à tout l’organisme.
à paraître
iSO 22316 - Organisational resilience - Guidance and principles
iSO 22317 - Business continuity management systems - Business impact Analysis (BiA)
iSO 22318 - Supply Chain Continuity Management
iSO 22351 - Disaster and emergency management - Shared situation awareness
d'autres textes pratiques
En lien direct avec les notions & aspects du Système de Management de la Continuité d’Activité développés dans les normes et fascicules ci-dessus, un certain nombre de guides et normes peut vous aider dans la mise en place de votre démache 22301 :
Guide SGDSN
Le Secrétariat Général de la Défense et de la Sécurité Nationale a proposé en 2013 un guide pratique gratuit très complet pour élaborer et mettre en œuvre sa démarche de PCA.
Pour permettre au plus grand nombre d’organisations de disposer d’une démarche méthodologique concrète et fiable dans l’élaboration de son PCA, le SGDSN a élaboré ce guide qui comprend deux parties.
La première partie donne une vision synthétique et globale de l’approche méthodologique et précise le contenu du PCA, l’organisation et les étapes de la démarche d’élaboration.
La deuxième partie est constituée de 27 fiches pratiques décrivant de manière détaillée les modalités d’élaboration et de maintenance d’un plan de continuité d’activité, depuis le lancement de la démarche jusqu’au maintien en conditions opérationnelles du PCA ou la mesure de son efficience.
Enfin le guide contient en annexe un lexique de terminologie normalisée, des références, des exemples et des fiches modèles.
iSO 22315
Évacuation de masse
Lignes directrices pour la planification
iSO 22320
Gestion des urgences
Exigences relatives aux réponses aux incidents
iSO 22397
Lignes directrices pour l'établissement d'accords de partenariat
iSO 22398
Lignes directrices pour exercice
Les normes de la gestion des risques
Depuis 2009, la gestion des risques bénéficie d'une normalisation au travers de textes que sont l'iSO 31000 et ses déclinaisons.
Leur application nécessitant, par définiton, d’être adaptée à chaque cas particulier (organisation, service, projet,...) , il a été considéré comme totalement inapproprié d'imposer une procédure de certification aux acteurs de la gestion des risques.
Tant l'iSO 31000 que la NF EN 62198 ne sont donc pas certifiables.
Elles constitutent cependant, avec leurs annexes, une véritable "boite à outils" pour le Risks Manager et pour le Responsable de Plan de Continuité d'Activité.