ISO 22384:2020
(Main)Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines to establish and monitor a protection plan and its implementation
Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines to establish and monitor a protection plan and its implementation
This document gives guidelines for assessing product security-related threats, risks and countermeasures by developing a suitable protection plan, supporting its implementation and monitoring its effectiveness after implementation. This includes consideration of impacts and modifications to, for example, product life cycle, supply chain, manufacturing, data management, brand perception and costs so as to adapt the protection plan accordingly. This document is applicable to all types and sizes of organizations that want to ensure authenticity and integrity in order to support the trustworthiness of products, including documents, data and services related to products. This document supports organizations setting up a process to assess risks and to select and combine individual measures for developing a product protection plan.
Sécurité et résilience — Authenticité, intégrité et confiance pour les produits et les documents — Lignes directrices pour l'établissement et la surveillance d'un plan de prévention et sa mise en œuvre
Le présent document donne des lignes directrices pour l'appréciation des menaces, des risques et des contre-mesures liés à la sécurité du produit, en développant un plan de prévention adéquat, en aidant à sa mise en œuvre et en surveillant son efficacité après la mise en œuvre. Cela inclut la prise en compte des impacts et des modifications, par exemple, du cycle de vie du produit, de la chaîne d'approvisionnement, de la fabrication, de la gestion des données, de la perception de la marque et des coûts, de manière à les adapter au plan de prévention. Le présent document s'applique aux organismes de tous types et de toutes tailles souhaitant garantir l'authenticité et l'intégrité de leurs produits, notamment les documents, données et services liés aux produits, afin de préserver leur fiabilité. Le présent document aide les organismes à élaborer un processus pour l'appréciation des risques et pour choisir et combiner les mesures individuelles, afin de développer un plan de prévention pour les produits.
General Information
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 22384
First edition
2020-10
Security and resilience — Authenticity,
integrity and trust for products and
documents — Guidelines to establish
and monitor a protection plan and its
implementation
Sécurité et résilience — Authenticité, intégrité et confiance pour les
produits et les documents — Lignes directrices pour l'établissement et
la surveillance d'un plan de prévention et sa mise en œuvre
Reference number
©
ISO 2020
© ISO 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 General . 2
5 Generic procedure model . 2
5.1 Establish project team . 2
5.2 Identify assets to protect . 3
5.3 Define protection objectives . . 3
5.4 Perform risk assessment . 4
5.5 Specify selection criteria for protection measures . 4
5.6 Select appropriate measures . 5
5.7 Combine and reconcile measures for protection plan . 7
5.8 Specify protection plan and prepare implementation . 7
5.9 Validate protection plan . 7
5.10 Implement protection plan . 8
5.11 Evaluate effectiveness of deployed protection plan . 8
5.12 Maintain protection plan . 9
Annex A (informative) Common product-related threats and risks .10
Annex B (informative) Product life cycle view .13
Annex C (informative) Supply chain view .15
Bibliography .16
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso .org/
iso/ foreword .html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
iv © ISO 2020 – All rights reserved
Introduction
Due to the increasing level of interconnection of the global economy and the growing availability of
complex manufacturing processes as well as globalized trade relations, there is a growing motivation
and ability for counterfeiting, unfair trade and other product-related threats. This is shown, for example,
by the continually growing number of product confiscations related to brand piracy and counterfeiting.
To become more resilient, manufacturers have to introduce organizational and technical measures as
part of a protection plan to withstand physical or digital attacks and other product-related threats.
In order to introduce protection measures in a precise and effective way, organizations should
implement a systematic evaluation process for the selection of appropriate organizational, technical
and legal measures, depending on the respective threat. Protection measures offered on the market
can represent only a partial solution.
For an effective and long-term protection, a reasonable and systematic combination of individual
measures, and their proper evaluation and implementation is necessary. The procedure can be
represented as a Plan-Do-Check-Act (PDCA) cycle, see Figure 1.
Figure 1 — Generic procedure model for the implementation of a protection plan (PDCA)
Product-related threats affect rights owners, manufacturers, distributors, service providers and
consumers in many ways. The potential damage of such threats includes:
— loss of innovation leadership;
— decreased sales;
— damage to reputation or brand equity;
— loss of jobs;
— tax losses;
— danger to the health and safety of consumers;
— environmental issues.
vi © ISO 2020 – All rights reserved
INTERNATIONAL STANDARD ISO 22384:2020(E)
Security and resilience — Authenticity, integrity and trust
for products and documents — Guidelines to establish and
monitor a protection plan and its implementation
1 Scope
This document gives guidelines for assessing product security-related threats, risks and
countermeasures by developing a suitable protection plan, supporting its implementation and
monitoring its effectiveness after implementation.
This includes consideration of impacts and modifications to, for example, product life cycle, supply
chain, manufacturing, data management, brand perception and costs so as to adapt the protection plan
accordingly.
This document is applicable to all types and sizes of organizations that want to ensure authenticity and
integrity in order to support the trustworthiness of products, including documents, data and services
related to products.
This document supports organizations setting up a process to assess risks and to select and combine
individual measures for developing a product protection plan.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Security and resilience — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at http:// www .electropedia .org/
3.1
brand
intangible asset, including but not limited to, names, terms, signs, symbols, logos and designs, or a
combination of these, intended to identify goods, services or entities, or a combination of these,
creating distinctive images and associations in the minds of stakeholders, thereby generating
economic benefit/values
[SOURCE: ISO 20671:2019, 3.1]
3.2
brand piracy
use of a brand (3.1) without the brand owner’s permission
3.3
counterfeiting
act of simulating, reproducing or modifying an asset without authorization
Note 1 to entry: Assets can be a material good or its packaging, related documents, data and services.
3.4
plagiarism
inadmissible reproduction of a product without using the brand (3.1) of the original equipment
manufacturer with the aim to imitate the characteristics of the product
3.5
protection plan
set of coordinated measures to treat risks to an asset or a set of assets
4 General
The organization should follow the generic procedure for the preparation of a protection plan. The
model given in Figure 1 provides a framework for such a generic procedure. The design of the individual
steps, explained in detail in Clause 5, depends on the respective field of application.
The steps illustrated do not necessarily have to be carried out successively. The steps can partially
overlap and be followed in an iterative way.
5 Generic procedure model
5.1 Establish project team
The organization should set up the work on developing product protection measures as a project.
The organization should select a project team that includes internal stakeholders from all stages in the
product life cycle. This can include personnel from the following areas:
— design;
— development;
— procurement;
— manufacturing/assembly;
— information technology (IT);
— operational technology (OT);
— IT-security/OT-security;
— logistics;
— sales;
— marketing;
— warehousing;
— legal;
— other relevant stakeholders.
2 © ISO 2020 – All rights reserved
Any external support should:
— be involved on a need-to-know basis, depending on the sensitivity of the issue;
— provide relevant experience in assessing or evaluating threats and risks;
— support the development of effective measures.
The organization should:
— decide where the project team is located within the organization (e.g. marketing, manufacturing,
design, IT);
— appoint a team leader responsible for meeting timelines and budget;
— apply project management best practices.
5.2 Identify assets to protect
The organization should specify what assets need protection. These assets can include:
— know-how;
— products;
— procedures;
— licensing models;
— consumer health and safety;
— relationships with stakeholders;
— operating concept;
— liability claims;
— image/reputation/brand value.
The organization should prioritize the protection of the assets according to its strategy and any
applicable regulations, while considering the scope of the products
...
NORME ISO
INTERNATIONALE 22384
Première édition
2020-10
Sécurité et résilience — Authenticité,
intégrité et confiance pour les
produits et les documents — Lignes
directrices pour l'établissement et la
surveillance d'un plan de prévention
et sa mise en œuvre
Security and resilience — Authenticity, integrity and trust for
products and documents — Guidelines to establish and monitor a
protection plan and its implementation
Numéro de référence
©
ISO 2020
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Généralités . 2
5 Modèle de procédure générique . 2
5.1 Création de l'équipe du projet . 2
5.2 Identification des actifs à protéger . 3
5.3 Définition des objectifs de protection . 3
5.4 Réalisation de l'appréciation du risque . 4
5.5 Spécification des critères de sélection des mesures de protection . 4
5.6 Choix des mesures appropriées . 5
5.7 Combinaison et rapprochement des mesures du plan de prévention . 8
5.8 Spécification du plan de prévention et préparation de sa mise en œuvre . 8
5.9 Validation du plan de prévention . 8
5.10 Mise en œuvre du plan de prévention . 8
5.11 Évaluation de l'efficacité du plan de prévention déployé. 9
5.12 Maintien du plan de prévention . 9
Annexe A (informative) Menaces et risques courants liés aux produits .11
Annexe B (informative) Vue du cycle de vie du produit .14
Annexe C (informative) Vue de la chaîne d'approvisionnement .17
Bibliographie .18
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
iv © ISO 2020 – Tous droits réservés
Introduction
Du fait d'un niveau d'interconnexion toujours plus important au sein de l'économie mondiale et de la
disponibilité croissante de procédés de fabrication complexes, ainsi que des relations commerciales
mondialisées, les motivations et les aptitudes relatives à la contrefaçon, au commerce déloyal et
à d'autres menaces concernant les produits sont en pleine croissance. La constante augmentation
du nombre de confiscations de produits liées à des piratages de marques ou à des contrefaçons en
est un exemple. Afin de devenir plus résilients, les fabricants doivent mettre en place des mesures
administratives et techniques dans le cadre d'un plan de prévention visant à résister aux attaques
physiques et numériques, ainsi qu'aux autres menaces liées aux produits.
Pour une mise en place précise et efficace des mesures de protection, il convient que les organismes
mettent en œuvre un processus d'évaluation systématique lors du choix des mesures administratives,
techniques et juridiques, en fonction de la menace visée. Les mesures de protection proposées sur le
marché ne peuvent constituer qu'une solution partielle.
Pour une prévention efficace à long terme, il est nécessaire qu'une combinaison raisonnable et
systématique de mesures individuelles soit associée à une évaluation et à une mise en œuvre adéquates.
La procédure peut être représentée sous la forme d'un cycle PDCA (Plan-Do-Check-Act) (voir Figure 1).
Figure 1 — Procédure générique type pour la mise en œuvre d'un plan de prévention (PDCA)
Les menaces liées aux produits affectent les propriétaires des droits, les fabricants, les distributeurs,
les prestataires de services et les consommateurs de nombreuses manières. Les préjudices possibles
dus à ces menaces comprennent:
— la perte de position dominante en matière d'innovation;
— la baisse des ventes;
— les préjudices pour la réputation ou la valeur de la marque;
— les pertes d'emploi;
— les pertes fiscales;
— les dangers pour la santé et la sécurité des consommateurs;
— les problèmes environnementaux.
vi © ISO 2020 – Tous droits réservés
NORME INTERNATIONALE ISO 22384:2020(F)
Sécurité et résilience — Authenticité, intégrité et confiance
pour les produits et les documents — Lignes directrices
pour l'établissement et la surveillance d'un plan de
prévention et sa mise en œuvre
1 Domaine d'application
Le présent document donne des lignes directrices pour l'appréciation des menaces, des risques et des
contre-mesures liés à la sécurité du produit, en développant un plan de prévention adéquat, en aidant à
sa mise en œuvre et en surveillant son efficacité après la mise en œuvre.
Cela inclut la prise en compte des impacts et des modifications, par exemple, du cycle de vie du produit,
de la chaîne d'approvisionnement, de la fabrication, de la gestion des données, de la perception de la
marque et des coûts, de manière à les adapter au plan de prévention.
Le présent document s'applique aux organismes de tous types et de toutes tailles souhaitant garantir
l'authenticité et l'intégrité de leurs produits, notamment les documents, données et services liés aux
produits, afin de préserver leur fiabilité.
Le présent document aide les organismes à élaborer un processus pour l'appréciation des risques et
pour choisir et combiner les mesures individuelles, afin de développer un plan de prévention pour les
produits.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l'ISO 22300 ainsi que les suivants
s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
3.1
marque
actifs incorporels, y compris, mais sans s'y limiter les noms, les termes, les signes, les symboles, les
logos et le design, ou une combinaison de ces éléments, dans le but d'identifier des biens, des services ou
des entités, ou une combinaison de ces éléments, en créant des images/associations qui les distinguent
de façon à ce qu'ils soient ancrés dans l'esprit des parties prenantes, générant ainsi des avantages
économiques/de la valeur
[SOURCE: ISO 20671:2019, 3.1 modifié]
3.2
piratage de marque
utilisation d'une marque (3.1) sans permission de son propriétaire
3.3
contrefaçon
acte de simuler, reproduire à l'identique ou modifier un actif sans autorisation
Note 1 à l'article: Les actifs peuvent être des biens matériels ou leurs emballages, des documents attachés, des
données et des services.
3.4
plagiat
reproduction inadmissible d'un produit sans utiliser la marque (3.1) du fabricant d'origine dans le but
d'imiter les caractéristiques du produit
3.5
plan de prévention
ensemble de mesures coordonnées pour traiter les risques visant un actif ou un ensemble d'actifs
4 Généralités
Il convient que l'organisme suive la procédure générique pour la préparation de son plan de prévention.
Le modèle donné en Figure 1 fournit un cadre pour cette procédure générique. La conception de chaque
étape, expliquée en détails à l'Article 5, dépend du champ d'application concerné.
Les étapes présentées ne doivent pas nécessairement être suivies l'une après l'autre. Elles peuvent se
chevaucher partiellement et être suivies de manière itérative.
5 Modèle de procédure générique
5.1 Création de l'équipe du projet
Il convient que l'organisme coordonne le travail d'élaboration des mesures de protection des produits
sous la forme d'un projet.
Il convient que l'organisme mette en place une équipe de projet qui inclue des acteurs internes
appartenant à toutes les étapes du cycle de vie du produit. Il peut s'agir de personnel des services
suivants:
— conception;
— développement;
— approvisionnement;
— fabrication/assemblage;
— technol
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.