ISO 22313:2012
(Main)Societal security - Business continuity management systems - Guidance
Societal security - Business continuity management systems - Guidance
ISO 22313:2012 for business continuity management systems provides guidance based on good international practice for planning, establishing, implementing, operating, monitoring, reviewing, maintaining and continually improving a documented management system that enables organizations to prepare for, respond to and recover from disruptive incidents when they arise. It is not the intent of ISO 22313:2012 to imply uniformity in the structure of a BCMS but for an organization to design a BCMS that is appropriate to its needs and that meets the requirements of its interested parties. These needs are shaped by legal, regulatory, organizational and industry requirements, the products and services, the processes employed, the environment in which it operates, the size and structure of the organization and the requirements of its interested parties. ISO 22313 is generic and applicable to all sizes and types of organizations, including large, medium and small organizations operating in industrial, commercial, public and not-for-profit sectors that wish to: establish, implement, maintain and improve a BCMS; ensure conformance with the organization's business continuity policy; or make a self-determination and self-declaration of compliance with this International Standard.
Sécurité sociétale — Systèmes de management de la continuité d'activité — Lignes directrices
L'ISO 22313:2012 relative aux systèmes de management de la continuité d'activité fournit des lignes directrices basées sur une bonne pratique internationale pour la planification, l'établissement, la mise en ?uvre, l'exploitation, la surveillance, le réexamen, la mise à jour et l'amélioration constante d'un système de management documenté permettant aux organisations de se préparer aux incidents perturbateurs, d'y répondre et de reprendre leurs activités lorsqu'ils surviennent. L'ISO 22313:2012 ne prétend pas uniformiser la structure d'un SMCA, mais permettre à une organisation de définir un SMCA qui convienne à ses besoins et qui réponde aux exigences des parties concernées. Ces besoins sont conditionnés par les exigences légales, réglementaires, organisationnelles et industrielles, par les produits et les services, les processus employés, l'environnement dans lequel l'organisation fonctionne, la taille et la structure de cette dernière et les exigences des parties concernées. L'ISO 22313:2012 est générique et s'applique à toute taille et tout type d'organisations, qu'elles soient grandes, moyennes ou petites et qu'elles interviennent dans les secteurs industriels, commerciaux, publics et à but non lucratif, dans la mesure où elles souhaitent: a) établir, mettre en ?uvre, maintenir et améliorer un SMCA; b) assurer la conformité avec la politique de continuité d'activité de l'organisation; c) procéder à une autodétermination et effectuer une auto-déclaration de conformité avec la présente Norme internationale.
General Information
Relations
Frequently Asked Questions
ISO 22313:2012 is a standard published by the International Organization for Standardization (ISO). Its full title is "Societal security - Business continuity management systems - Guidance". This standard covers: ISO 22313:2012 for business continuity management systems provides guidance based on good international practice for planning, establishing, implementing, operating, monitoring, reviewing, maintaining and continually improving a documented management system that enables organizations to prepare for, respond to and recover from disruptive incidents when they arise. It is not the intent of ISO 22313:2012 to imply uniformity in the structure of a BCMS but for an organization to design a BCMS that is appropriate to its needs and that meets the requirements of its interested parties. These needs are shaped by legal, regulatory, organizational and industry requirements, the products and services, the processes employed, the environment in which it operates, the size and structure of the organization and the requirements of its interested parties. ISO 22313 is generic and applicable to all sizes and types of organizations, including large, medium and small organizations operating in industrial, commercial, public and not-for-profit sectors that wish to: establish, implement, maintain and improve a BCMS; ensure conformance with the organization's business continuity policy; or make a self-determination and self-declaration of compliance with this International Standard.
ISO 22313:2012 for business continuity management systems provides guidance based on good international practice for planning, establishing, implementing, operating, monitoring, reviewing, maintaining and continually improving a documented management system that enables organizations to prepare for, respond to and recover from disruptive incidents when they arise. It is not the intent of ISO 22313:2012 to imply uniformity in the structure of a BCMS but for an organization to design a BCMS that is appropriate to its needs and that meets the requirements of its interested parties. These needs are shaped by legal, regulatory, organizational and industry requirements, the products and services, the processes employed, the environment in which it operates, the size and structure of the organization and the requirements of its interested parties. ISO 22313 is generic and applicable to all sizes and types of organizations, including large, medium and small organizations operating in industrial, commercial, public and not-for-profit sectors that wish to: establish, implement, maintain and improve a BCMS; ensure conformance with the organization's business continuity policy; or make a self-determination and self-declaration of compliance with this International Standard.
ISO 22313:2012 is classified under the following ICS (International Classification for Standards) categories: 03.100.01 - Company organization and management in general; 03.100.70 - Management systems. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO 22313:2012 has the following relationships with other standards: It is inter standard links to ISO 22313:2020. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO 22313:2012 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 22313
First edition
2012-12-15
Societal security — Business continuity
management systems — Guidance
Sécurité sociétale — Systèmes de management de la continuité
d’activité — Lignes directrices
Reference number
©
ISO 2012
© ISO 2012
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any
means, electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the
address below or ISO’s member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2012 – All rights reserved
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization . 1
4.1 Understanding of the organization and its context . 1
4.2 Understanding the needs and expectations of interested parties . 2
4.3 Determining the scope of the management system . 4
4.4 Business continuity management system . 4
5 Leadership . 4
5.1 Leadership and commitment . 4
5.2 Management commitment . 5
5.3 Policy . 5
5.4 Organizational roles, responsibilities and authorities. 6
6 Planning . 7
6.1 Actions to address risks and opportunities . 7
6.2 Business continuity objectives and plans to achieve them . 7
7 Support . 7
7.1 Resources . 7
7.2 Competence . 8
7.3 Awareness .10
7.4 Communication .11
7.5 Documented information .12
8 Operation .14
8.1 Operational planning and control .14
8.2 Business impact analysis and risk assessment .17
8.3 Business continuity strategy .21
8.4 Establish and implement business continuity procedures .28
8.5 Exercising and testing .38
9 Performance evaluation .40
9.1 Monitoring, measurement, analysis and evaluation .40
9.2 Internal audit .42
9.3 Management review .43
10 Improvement .44
10.1 Nonconformity and corrective action .44
10.2 Continual improvement .45
Bibliography .46
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International
Standards adopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the member bodies
casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 22313 was prepared by Technical Committee ISO/TC 223, Societal security.
For the purposes of research, users are encouraged to share their views on ISO 22313:2012
and their priorities for changes to future editions of the document. Click on the link below to
take part in the online survey:
http://www.surveymonkey.com/s/22313
iv © ISO 2012 – All rights reserved
Introduction
General
This International Standard provides guidance, where appropriate, on the requirements specified
in ISO 22301:2012 and provides recommendations (‘should’) and permissions (‘may’) in relation to
them. It is not the intention of this International Standard to provide general guidance on all aspects of
business continuity.
This International Standard includes the same headings as ISO 22301 but does not repeat the
requirements for business continuity management systems and its related terms and definitions.
Organizations wishing to be informed of these must therefore refer to ISO 22301 and ISO 22300.
To provide further clarification and explanation of key points, this International Standard includes a
number of figures. All such figures are for illustrative purposes only and the related text in the body of
this International Standard takes precedence.
A business continuity management system (BCMS) emphasizes the importance of:
— understanding the organization’s needs and the necessity for establishing business continuity
policy and objectives;
— implementing and operating controls and measures for managing an organization’s overall
capability to manage disruptive incidents;
— monitoring and reviewing the performance and effectiveness of the BCMS; and
— continual improvement based on objective measurement.
A BCMS, like any other management system, includes the following key components:
a) a policy;
b) people with defined responsibilities;
c) management processes relating to:
1) policy;
2) planning;
3) implementation and operation;
4) performance assessment;
5) management review; and
6) improvement.
d) a set of documentation providing auditable evidence; and
e) any BCMS processes relevant to the organization.
Business continuity is generally specific to an organization, however, its implementation can have far
reaching implications on the wider community and other third parties. An organization is likely to have
external organizations that it depends upon and there will be others that depend on it. Effective business
continuity therefore contributes to a more resilient society.
The Plan-Do-Check-Act cycle
This International Standard applies the ‘Plan-Do-Check-Act’ (PDCA) cycle to planning, establishing,
implementing, operating, monitoring, reviewing, maintaining and continually improving the
effectiveness of an organization’s BCMS.
Figure 1 illustrates how the BCMS takes interested parties’ requirements as inputs for business
continuity management (BCM) and, through the required actions and processes, produces business
continuity outcomes (i.e. managed business continuity) that meet those requirements.
Continual improvement of business continuity
management system (BCMS)
Establish
Interested
(Plan)
Interested parties
parties
Maintain and Implement
improve and operate
(Act) (Do)
Requirements
Managed
for business
business
continuity
continuity
Monitor and
review
(Check)
Figure 1 — PDCA model applied to BCMS processes
Table 1 — Explanation of PDCA model
Plan Establish business continuity policy, objectives, controls, processes and procedures
(Establish) relevant to improving business continuity in order to deliver results that align with
the organization’s overall policies and objectives.
Do Implement and operate the business continuity policy, controls, processes and
(Implement and operate) procedures.
Check Monitor and review performance against business continuity objectives and policy,
(Monitor and review) report the results to management for review, and determine and authorize actions
for remediation and improvement.
Act Maintain and improve the BCMS by taking corrective actions, based on the results
(Maintain and improve) of management review and re-appraising the scope of the BCMS and business conti-
nuity policy and objectives.
Components of PDCA in this International Standard
There is a direct relationship between the content of Figure 1 and the clauses of this International Standard:
vi © ISO 2012 – All rights reserved
Table 2 — Relationship between PDCA model and Clauses 4 to 10
PDCA component Clause addressing PDCA component
Plan Clause 4 (Context of the organization) sets out what the organization has to do
(Establish) in order to make sure that the BCMS meets its requirements, taking into account all
relevant external and internal factors, including:
— The needs and expectations of interested parties.
— Its legal and regulatory obligations.
— The required scope of the BCMS.
Clause 5 (Leadership) sets out the key role of management in terms of demon-
strating commitment, defining policy and establishing roles, responsibilities and
authorities.
Clause 6 (Planning) describes the actions required to establish strategic objec-
tives and guiding principles for the BCMS as a whole. These set the context for the
business impact analysis and risk assessment (8.2) and business continuity strat-
egy (8.3).
Clause 7 (Support) identifies the key elements that need to be in place to support
the BCMS, namely: resources, competence, awareness, communication and docu-
mented information.
Do Clause 8 (Operation) identifies the elements of business continuity management
(Implement and operate) (BCM) that are needed to achieve business continuity.
Check Clause 9 (Performance evaluation) provides the basis for improvement of the
(Monitor and review) BCMS through measurement and evaluation of its performance.
Act Clause 10 (Improvement) covers the corrective action needed to address noncon-
(Maintain and improve) formity identified through performance evaluation.
Business continuity
Business continuity is the capability of the organization to continue delivery of products or services at
acceptable predefined levels following a disruptive incident. Business continuity management (BCM)
is the process of achieving business continuity and is about preparing an organization to deal with
disruptive incidents that might otherwise prevent it from achieving its objectives.
Placing BCM within the framework and disciplines of a management system creates a business continuity
management system (BCMS) that enables BCM to be controlled, evaluated and continually improved.
In this International Standard, the word business is used as an all-embracing term for the operations
and services performed by an organization in pursuit of its objectives, goals or mission. As such it is
equally applicable to large, medium and small organizations operating in industrial, commercial, public
and not-for-profit sectors.
Any incident, large or small, natural, accidental or deliberate has the potential to cause major disruption
to the organization’s operations and its ability to deliver products and services. However, implementing
business continuity before a disruptive incident occurs, rather than waiting for this to happen will
enable the organization to resume operations before unacceptable levels of impact arise.
BCM involves:
a) being clear on the organization’s key products and services and the activities that deliver them;
b) knowing the priorities for resuming activities and the resources they require;
c) having a clear understanding of the threats to these activities, including their dependencies, and
knowing the impacts of not resuming them;
d) having tried and trusted arrangements in place to resume these activities following a disruptive
incident; and
Incident
e) making sure that these arrangements are routinely reviewed and updated so that they will be
effective in all circumstances.
Business continuity can be effective in dealing with both sudden disruptive incidents (e.g. explosions)
and gradual ones (e.g. flu pandemics).
Activities are disrupted by a wide variety of incidents, many of which are difficult to predict or analyse.
By focusing on the impact of disruption rather than the cause, business continuity identifies those
activities on which the organization depends for its survival, and enables the organization to determine
what is required to continue to meet its obligations. Through business continuity, an organization
can recognize what needs to be done to protect its resources (e.g. people, premises, technology and
information), supply chain, interested parties and reputation, before a disruptive incident occurs. With
that recognition, the organization is able to take a realistic view on the responses that are likely to be
needed as and when a disruption occurs, so that it can be confident of managing the consequences and
avoid unacceptable impacts.
An organization with appropriate business continuity in place can also take advantage of opportunities
that might otherwise be judged to be too high risk.
The following diagrams (Figures 2 and 3) are intended to illustrate conceptually how business continuity
can be effective in mitigating impacts in certain situations. No particular timescales are implied by the
relative distance between the stages depicted in either diagram.
Mitigating impacts through effective business continuity – sudden disruption
Resumption of activities at acceptable
level within acceptable timeframe
Recovery Time Objective
Time at which impacts become unacceptable
2. Shortened disruption
With business continuity
Minimum
1. Mitigating, responding
acceptable
to and managing impacts
level of
operations
Without business continuity
Time
Figure 2 — Illustration of business continuity being effective for sudden disruption
viii © ISO 2012 – All rights reserved
Level of operations
Incident
Mitigating impacts through effective business continuity – gradual disruption
Resumption of activities at acceptable
level within acceptable timeframe
Recovery Time Objective
Warningg
Time at which impacts become unacceptable
2. Shortened disruption
Controlled
response
With business continuity
Minimum
1. Mitigating, responding
acceptable
to and managing impacts
level of
operations
Without business continuity
Time
Figure 3 — Illustration of business continuity being effective for gradual disruption
(e.g. approaching pandemic)
Level of operations
INTERNATIONAL STANDARD ISO 22313:2012(E)
Societal security — Business continuity management
systems — Guidance
1 Scope
This International Standard for business continuity management systems provides guidance based on
good international practice for planning, establishing, implementing, operating, monitoring, reviewing,
maintaining and continually improving a documented management system that enables organizations
to prepare for, respond to and recover from disruptive incidents when they arise.
It is not the intent of this International Standard to imply uniformity in the structure of a BCMS but
for an organization to design a BCMS that is appropriate to its needs and that meets the requirements
of its interested parties. These needs are shaped by legal, regulatory, organizational and industry
requirements, the products and services, the processes employed, the environment in which it operates,
the size and structure of the organization and the requirements of its interested parties.
This International Standard is generic and applicable to all sizes and types of organizations, including
large, medium and small organizations operating in industrial, commercial, public and not-for-profit
sectors that wish to:
a) establish, implement, maintain and improve a BCMS;
b) ensure conformance with the organization’s business continuity policy; or
c) make a self-determination and self-declaration of compliance with this International Standard.
This International Standard cannot be used to assess an organization’s ability to meet its own business
continuity needs, nor any customer, legal or regulatory needs. Organizations wishing to do so can use
the ISO 22301 requirements to demonstrate conformance to others or seek certification of its BCMS by
an accredited third party certification body.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 22300, Societal security — Terminology
ISO 22301, Societal security — Business continuity management systems — Requirements
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and ISO 22301 apply.
4 Context of the organization
4.1 Understanding of the organization and its context
This section is about understanding the context of the organization in relation to setting up and managing
the BCMS. The setting up and management of BCM is covered in 8.1.
The organization should evaluate and understand the internal and external factors that are relevant
to its purpose and operations. This information should be taken into account when establishing,
implementing, maintaining and improving the organization’s BCMS, and assigning priorities.
Evaluating the organization’s external context should include, where relevant, the following factors:
— the political, legal and regulatory environment whether international, national, regional or local;
— the social and cultural, financial, technological, economic, natural and competitive environment,
whether international, national, regional or local;
— supply chain commitments and relationships;
— consideration of internal studies on the risks, taking into account other relevant information
management systems and more generally any information from knowledge management;
— key drivers and trends having impact on the objectives and operation of the organization; and
— relationships with, and perceptions and values of, interested parties outside the organization.
Evaluating the organization’s internal context should include, where relevant, the following factors:
— products and services, activities, resources, supply chains, and relationships with interested parties;
— the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people,
processes, systems and technologies);
— information systems, information flows, and decision making processes (both formal and informal);
— interested parties within the organization;
— policies and objectives, and the strategies that are in place to achieve them;
— future opportunities and business priorities;
— perceptions, values and culture;
— standards and reference models adopted by the organization; and
— structures (e.g. governance, roles and accountabilities).
4.2 Understanding the needs and expectations of interested parties
4.2.1 General
When establishing its BCMS, the organization should ensure that the needs and requirements of
interested parties are taken into consideration.
The organization should identify all interested parties that are of relevance to its BCMS and based
on their needs and expectations, determine their requirements. It is important to identify not only
obligatory and stated requirements but also any that are implied.
NOTE The organization needs to be aware of all those who have an interest in the organization, such as the
media, the public nearby, competitors and so on.
When planning and implementing the BCMS, it is important to identify actions that are appropriate in
relation to interested parties but differentiate between the different categories. For example, while it
may be appropriate to communicate with all interested parties following a disruptive incident, it may not
be appropriate to communicate with all interested parties when setting up and managing BCM (8.1.1).
2 © ISO 2012 – All rights reserved
Interested parties
Competitors
The organization
Citizens
Media
Management
Customers
Top management
Commentators
Those who establish policies and objectives for the BCMS
Distributors
Trade groups
Those who set up and manage business continuity
Shareholders
Neighbours
Those who maintain business continuity procedures
Investors
Owners of business continuity procedures
Pressure groups
Owners
Incident response personnel
Insurers Emergency Services
Those with authority to invoke
Government Other response agencies
Appropriate spokespeople
Transport services
Regulators
Response teams
Recovery service
Dependants of staff
Other staff Contractors
suppliers
Figure 4 — Examples of interested parties to be considered in public and private sectors
4.2.2 Legal and regulatory requirements
All management systems should operate within the framework of the legal and regulatory environment
in which the organization operates. The organization should therefore identify and accommodate in its
BCMS all relevant and applicable legal and regulatory requirements to which it subscribes and needs of
interested parties.
The information regarding these requirements should be documented and kept up-to-date. New or
variations to legal, regulatory and other requirements should be communicated to affected employees
and other interested parties.
When establishing, implementing and maintaining the BCMS, the organization should take into account
and document applicable legal requirements, other requirements to which it subscribes and needs of
interested parties.
The organization should ensure that its BCMS works within and in support of its legal obligations and
relevant requirements of interested parties.
The organization should review current and pending statutory and regulatory requirements in their
locations which may include:
a) incident response: including emergency management and health, safety and welfare legislation;
b) continuity: which may specify the scope of the programme or the extent or speed of response;
c) risk: requirements defining the scope or methods of a risk management programme; and
d) hazards: operating requirements relating to dangerous materials stored at the location.
NOTE Organizations operating in multiple locations often have to satisfy the requirements of different
jurisdictions.
4.3 Determining the scope of the management system
4.3.1 General
The organization should determine the scope of the BCMS and ensure that it may be suitably
communicated to interested parties. It is important that the boundaries and applicability of the BCMS are
clearly apparent and that the scope takes into account the issues identified in Clause 4.1 and Clause 4.2.
The scope determines the products and services, locations, functions, processes and activities to which
the BCMS applies. It follows that all dependencies will be in the scope even if they have not been explicitly
identified in the scope statement. For example if ‘employee remuneration’ is specified in the scope, then
by default the availability of funds, management approval and instructions to the financial institution to
make payment would also be within the scope.
The organization should clearly document the scope and context of the BCMS.
4.3.2 Scope of the BCMS
The organization should, in a manner and in terms appropriate to the size, nature and complexity of the
organization, define and document the scope of the BCMS.
The scope should:
a) identify the parts of the organization included in the BCMS;
b) establish the organization’s BCMS requirements taking into consideration its mission, goals, legal
responsibilities and internal and external obligations;
c) identify the organization’s products and services in a manner that enables all related activities,
resources and supply chains to be identified; and
d) take into account the needs and interests of interested parties.
The scope may also:
— include an indication of the scale of incident that the BCMS will address and the organization’s risk
appetite; and
— identify how the BCMS fits into the organization’s overall risk management strategy (if present).
Where part of an organization is excluded from the scope of its BCMS, the organization should document
and explain the exclusion.
The purpose of defining the scope is to ensure coverage of all relevant activities, locations and suppliers
(8.2.1, Figure 6).
4.4 Business continuity management system
This is normative reference to ISO 22301:2012 which specifies the requirements for a BCMS. No
guidance is provided.
5 Leadership
5.1 Leadership and commitment
All levels of relevant management throughout the organization should demonstrate commitment and
leadership in implementing business continuity policy and objectives. Demonstration may be achieved
using motivation, engagement and empowerment.
4 © ISO 2012 – All rights reserved
5.2 Management commitment
Top management should demonstrate its commitment to the BCMS.
Top management should provide evidence of its commitment to the development and implementation of
the BCMS and continually improving its effectiveness by:
a) complying with applicable legal requirements and with other requirements to which the organization
subscribes (4.2.2);
b) integrating BCMS processes into the organization’s established maintenance and review procedures;
c) establishing business continuity policy and objectives in line with the objectives, obligations and
strategic direction of the organization (5.3);
d) appointing one or more persons with the appropriate authority and competencies to be responsible
for the BCMS and accountable for its effective operation (5.4);
e) ensuring that BCMS roles, responsibilities and competencies are established (5.4);
f) ensuring the availability of sufficient resources, including appropriate levels of funding (7.1);
g) communicating to the organization the importance of fulfilling business continuity policy and
objectives (7.4);
h) actively engaging in exercising and testing (8.5);
i) ensuring that internal BCMS audits are conducted (9.2);
j) conducting effective management reviews of the BCMS (9.3); and
k) directing and supporting improvement of the BCMS (Clause 10).
Management commitment may also be demonstrated by:
— operational involvement through steering groups;
— inclusion of business continuity as a standing item at management meetings.
5.3 Policy
Top management should define the business continuity policy in terms of the organization’s objectives
and its obligations and make sure that it:
— is appropriate to the purpose of the organization (given its size, nature and complexity and in order
to reflect its culture, dependencies and operating environment);
— provides a framework for objective setting;
— includes clear commitments in relation to applicable requirements, including legal and regulatory
obligations and continual improvement of the BCMS;
— is communicated and understood within the organization;
— is complementary to other relevant policies; and
— is made available to interested parties as approved by management.
Suitable provisions should be made for approving the policy, retaining documented information on it
and reviewing it periodically (for example annually), and whenever significant changes to internal or
external factors occur (for example change in top management or introduction of new legislation). The
suitability of such provisions will depend on the size, complexity, nature and extent of the organization.
The policy should also:
— provide direction on scope and boundaries of the organization’s business continuity including
limitations and exclusions;
— identify any authorities and delegations required, including person or persons responsible for the
organization’s BCMS;
— establish the criteria for type and scale of incidents to be addressed; and
— include references to standards, guidelines, regulations or policies that the BCMS should consider
or comply with.
The business continuity policy may contain the following:
— key terms;
— funding commitment;
— references to other related policies;
— a requirement to implement business continuity;
— a commitment to exercise and maintain business continuity.
5.4 Organizational roles, responsibilities and authorities
Top management should ensure the assignment and communication of responsibilities and authorities
within the BCMS.
A member of top management should have overall responsibility and accountability for the BCMS.
The organization’s top management should appoint one or more specific management representatives
who, irrespective of other responsibilities, should have defined roles, responsibilities and authority for:
— ensuring that BCM is established, implemented and maintained in accordance with the business
continuity policy;
— reporting on the performance of BCM to top management for review and as the basis for improvement;
— promoting awareness of business continuity throughout the organization; and
— ensuring the effectiveness of procedures developed for incident response, but not necessarily in
their implementation during an incident.
The management representative may:
— be known as the ‘business continuity manager’;
— hold other responsibilities within the organization; and
— reside in many areas of an organization depending on its size, scale and complexity.
Representatives from each function or location of the organization may be identified to assist in the
implementation of the BCMS. Their roles, accountabilities, responsibilities and authorities should
be integrated into job descriptions which may be reinforced by including them in the organization’s
appraisal, reward and recognition policy.
Top management may appoint other bodies, for example, a steering committee, to oversee the
implementation and on-going monitoring of BCM.
All roles, responsibilities and authorities for BCM should be defined and documented and be subject to audit.
6 © ISO 2012 – All rights reserved
6 Planning
6.1 Actions to address risks and opportunities
The organization should determine how any issues identified in 4.1 and requirements in 4.2 will be addressed.
This should involve evaluating the need for a plan of action to:
— prevent unintended outcomes;
— take advantage of any opportunities to improve the BCMS.
If necessary it should also involve:
— integrating and implementing these actions into the BCMS process (8.1); and
— ensuring that documented information will be available to evaluate if the actions have been
effective (7.5).
6.2 Business continuity objectives and plans to achieve them
A plan for setting up and managing BCM (as set out in Clause 8) should be drawn up and should include
identifying responsibilities and setting appropriate and realistic targets for the completion of tasks. The
plan should be based on continuity objectives that have been set and communicated to relevant functions
and levels within the organization. Progress on the plan should be monitored and documented.
This plan should be reviewed and may need to be updated regularly as the BCMS evolves.
The following are examples of business continuity objectives that may, in certain circumstances, meet
the requirements specified in ISO 22301:
— ‘to set up a BCMS that is consistent with ISO 22313 by date’;
— ‘to achieve certification against ISO 22301:2012 by date’;
— ‘by date, we will have business continuity in place that meets our obligations to key customers’; and
— ‘to have BCM in place that protects key products and services by date’.
7 Support
7.1 Resources
7.1.1 General
The organization should determine and provide the resources needed for the BCMS that will:
a) achieve its business continuity policy and objectives;
b) meet the changing requirements of the organization;
c) enable effective communication on business continuity management system matters, internally and
externally; and
d) provide for the on-going operation and continual improvement of the business continuity
management system.
These should be provided in a timely and efficient manner.
7.1.2 BCMS resources
When identifying the resources required for the BCMS, the organization should make adequate
provision for:
a) people and people-related resources, including:
1) the time necessary to fulfil BCMS roles and responsibilities;
2) training, education, awareness and exercising;
3) management of BCMS personnel;
b) facilities, including appropriate work locations and infrastructure;
c) information and communications technology (ICT), including applications that support effective
and efficient programme management;
d) management and control of all forms of documented information;
e) communication with interested parties (see Figure 4); and
f) finance and funding.
Resources and their allocation should be reviewed periodically in order to ensure their adequacy. It may
be appropriate to involve top management in this review.
7.1.3 Incident response personnel
The organization should nominate incident response personnel with the necessary responsibility,
authority and competence to manage an incident.
The incident response personnel should form a group that is responsible for managing any disruptive
incident that significantly impacts or has the potential to significantly impact the organization.
Personnel may be assigned to teams according to their demonstrated competence of dealing with
different aspects of incident response, for example:
— Incident management/ strategic management (8.4.4.3.1);
— Communications (8.4.4.3.2);
— Safety and welfare (8.4.4.3.3);
— Salvage and security (8.4.4.3.4);
— Resuming activities (8.4.4.3.5);
— Recovery of ICT (8.4.4.3.6).
All personnel who are in these groups should have clearly defined responsibilities and authorities that
apply before, during and after an incident.
7.2 Competence
The organization should establish an appropriate and effective system for managing competence of
persons undertaking BCMS work under its control.
Management should determine the competences required for all BCMS roles and responsibilities and
the awareness, knowledge, understanding, skills and experience needed to fulfil them. All persons
assigned roles within the organization should demonstrate the competencies required and be provided
8 © ISO 2012 – All rights reserved
with training, education, development and other support needed to do so. This may be referred to as a
competence development programme that may include:
— assessment of competences for role(s) to be undertaken;
— creation of a personal development programme that identifies training, education, development
and other support needed to attain competences;
— provision of training and mentoring including selection of suitable methods and materials;
— knowledge sharing;
— job sharing;
— hiring or contracting competent persons;
— training of target groups;
— documentation and monitoring of training received;
— evaluation of training received against defined training needs and requirements in order to verify
conformity with BCMS training requirements; and
— improvement of development programme as needed.
The organization should have a process for identifying and delivering the business continuity training
requirements of all participants and evaluating the effectiveness of its delivery.
The type of training that may be appropriate for specific roles are as follows:
a) setting up and managing the BCMS:
1) set up and management of BCM;
2) conducting a business impact analysis;
3) risk assessment;
4) communications skills;
5) developing and implementing business continuity documentation; and
6) running an exercise programme.
b) incident response and business recovery:
1) incident assessment;
2) evacuation and shelter in place management, including check-in processes to account for employees;
3) arrangements at alternate worksites; and
4) handling of media enquiries.
Response skills and competence throughout the organization should be developed by practical training,
including active participation in exercises.
Response and recovery teams should receive education and training about their responsibilities and
duties including interactions with first responders and other interested parties. Teams should be trained
at regular intervals (at least annually), and new members should be trained when they join the response
structure. These teams should also receive training on prevention of incidents that may escalate into crises.
Changes in the business environment and operations affect the approach and manner in which business
continuity activities are planned, designed and implemented. The organization may demonstrate awareness
of BCM trends by, for example, actively participating in industry BCM activities which may include:
— membership of an industry interest group;
— membership of a conference organizing committee;
— delivering presentations at conferences and seminars; and
— attendance at local or global BCM conferences.
Demonstration of active participation may be in one or more of the following ways:
— membership of organizing committee of conferences and seminars; and
— presentation of paper at conferences and seminars.
Competence may be reinforced by any of the following:
— integration of BCMS achievements into the organization’s reward and recognition process;
— integration of BCMS achievements into the organization’s performance and appraisal process;
— integration of BCMS roles, accountabilities, responsibilities and authority within the organization’s
job descriptions and skills set; and
— active participation by business users and top management in rehearsals, exercises and tests.
The organization should establish training and awareness programmes for all current employees who
may be affected by a disruptive incident and re
...
NORME ISO
INTERNATIONALE 22313
Première édition
2012-12-15
Sécurité sociétale — Systèmes
de management de la continuité
d’activité — Lignes directrices
Societal security — Business continuity management systems —
Guidance
Numéro de référence
©
ISO 2012
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2012
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2014
Publié en Suisse
ii © ISO 2012 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Contexte de l’organisation . 2
4.1 Comprendre l’organisation et son contexte . 2
4.2 Comprendre les besoins et les attentes des parties intéressées . 2
4.3 Déterminer le champ d’application du système de management. 4
4.4 Système de management de la continuité d’activité . 5
5 Leadership . 5
5.1 Leadership et engagement. 5
5.2 Engagement du management . 5
5.3 Politique . 6
5.4 Rôles, responsabilités et autorités au sein de l’organisation . 7
6 Planification . 7
6.1 Actions visant à traiter les risques et les opportunités . 7
6.2 Objectifs de continuité d’activité et plans pour les atteindre . 8
7 Soutien . 8
7.1 Ressources . 8
7.2 Compétence . 9
7.3 Sensibilisation .11
7.4 Communication .12
7.5 Informations documentées .13
8 Fonctionnement .15
8.1 Planification et maîtrise opérationnelles .15
8.2 Analyse des impacts sur les affaires et évaluation des risques .19
8.3 Stratégie de continuité d’activité .22
8.4 Établissement et mise en place de procédures de continuité d’activité .30
8.5 Exercices et tests .41
9 Évaluation de la performance .43
9.1 Surveillance, mesurage, analyse et évaluation .43
9.2 Audit interne .46
9.3 Revue de direction .47
10 Amélioration .48
10.1 Non-conformité et actions correctives .48
10.2 Amélioration continue .48
Bibliographie .50
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui concerne
la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les
références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l’élaboration
du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de brevets reçues par
l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation de
la conformité, ou pour toute information au sujet de l’adhésion de l’ISO aux principes de l’OMC concernant
les obstacles techniques au commerce (OTC), voir le lien suivant: Avant-propos — Informations
supplémentaires.
Le comité chargé de l’élaboration du présent document est l’ISO/TC 223, Sécurité sociétale.
iv © ISO 2012 – Tous droits réservés
Introduction
Généralités
La présente Norme internationale fournit des lignes directrices, lorsque c’est opportun, applicables aux
exigences spécifiées dans l’ISO 22301:2012 et donne des recommandations (« il convient de ») et des
permissions (« peut ») en lien avec ces exigences. Il n’est pas prévu que la présente Norme internationale
fournisse des lignes directrices sur tous les aspects de la continuité d’activité.
La présente Norme internationale comprend les mêmes rubriques que l’ISO 22301, sans toutefois répéter
les exigences applicables aux systèmes de management de la continuité d’activité, ni ses termes et
définitions qui s’y rapportent. Les organisations souhaitant s’informer à ce sujet doivent par conséquent
se reporter aux normes ISO 22301 et ISO 22300.
La présente Norme internationale comprend un certain nombre de données permettant de donner des
éclaircissements et des explications sur certains points clés. Toutes ces données ne sont fournies qu’à titre
d’exemple et c’est le texte associé faisant partie du corps du texte de la présente Norme internationale
qui a la priorité.
Un système de management de la continuité d’activité (SMCA) insiste sur l’importance:
— de comprendre les besoins de l’organisation et la nécessité de définir une politique et des objectifs
de continuité d’activité;
— de mettre en place et d’employer des contrôles et des moyens de management de la capacité
d’ensemble d’une organisation à gérer les incidents perturbateurs;
— de surveiller et passer en revue les performances et l’efficacité du SMCA;
— d’améliorer en continu les processus sur la base de mesures objectives.
À l’instar de tout autre système de management, un SMCA comprend les composants essentiels suivants:
a) une politique;
b) des personnes ayant des responsabilités définies;
c) des processus de management concernant:
1) la politique;
2) la planification;
3) la mise en œuvre et le fonctionnement;
4) l’évaluation des performances;
5) la revue de direction;
6) les actions d’amélioration.
d) une documentation constituant une preuve vérifiable;
e) tout processus SMCA important pour l’organisation.
En général, la continuité d’activité est spécifique à une organisation. Néanmoins, sa mise en œuvre peut
avoir des implications pouvant s’étendre à la collectivité et à des tiers. Une organisation tend à avoir
des organisations externes dont elle dépend, tandis que d’autres dépendent d’elle. Par conséquent, une
continuité d’activité efficace contribue à renforcer la solidité d’une société.
Le cycle «Planifier-Déployer-Contrôler-Agir»
La présente Norme internationale applique le cycle «Planifier-Déployer-Contrôler-Agir» (PDCA) pour
planifier, définir, mettre en œuvre, exécuter, surveiller, réexaminer, mettre à jour et améliorer en continu
l’efficacité du SMCA d’une organisation.
La Figure 1 montre comment le SMCA prend les exigences des parties prenantes comme données d’entrée
pour le management de la continuité d’activité (MCA) et, par l’intermédiaire des actions requises et des
processus, produit des résultats en matière de continuité d’activité (c’est-à-dire une continuité d’activité
gérée) dans le respect de ces exigences.
Figure 1 — Modèle PDCA appliqué aux processus SMCA
Tableau 1 — Explication du modèle PDCA
Planifier Établir une politique de continuité d’activité, des objectifs, des contrôles, des processus et
(établir) des procédures importants pour améliorer la continuité d’activité afin de fournir des résul-
tats en accord avec les politiques et objectifs généraux de l’organisation.
Déployer Mettre en œuvre et exécuter la politique de continuité d’activité, les contrôles, processus et
(Mettre en œuvre et exécu- procédures.
ter)
Contrôler Surveiller et réexaminer les performances par rapport à des objectifs et à une politique de
(surveiller et réexaminer) continuité d’activité, rendre compte des résultats au management pour examen, déterminer
et autoriser des actions de correction et d’amélioration.
Agir Maintenir et améliorer le SMCA en prenant des actions correctives, basées sur les résultats
(Maintenir et améliorer) de la revue de direction et en réévaluant l’objet du SMCA et de la politique et des objectifs de
continuité d’activité.
Les composants du cycle PDCA dans la présente Norme internationale
Il existe une relation directe entre le contenu de la Figure 1 et les articles de la présente Norme
internationale.
vi © ISO 2012 – Tous droits réservés
Tableau 2 — Relation entre le modèle PDCA et les Articles 4 à 10
Composante PDCA Article concernant la composante PDCA
Planifier L’Article 4 (Contexte de l’organisation) définit ce que l’organisation doit faire afin de
(établir) s’assurer que le SMCA répond à ses exigences, en tenant compte de tous les facteurs externes
et internes concernés, notamment:
– les besoins et les attentes des parties intéressées;
– ses obligations légales et réglementaires;
– le périmètre d’application voulu du SMCA.
L’Article 5 (Leadership) définit le rôle clé du management en termes de démonstration
d’engagement, de définition de politique et d’établissement des rôles, responsabilités et
autorités.
L’Article 6 (Planification) décrit les actions nécessaires pour établir des objectifs straté-
giques et des principes d’orientation pour le SMCA dans sa globalité. Celles-ci définissent le
contexte de l’analyse d’impact sur les affaires et de l’évaluation des risques (8.2), ainsi que la
stratégie de continuité d’activité (8.3).
L’Article 7 (Appui) identifie les éléments clés devant être en place pour appuyer le SMCA,
à savoir: les ressources, la compétence, la sensibilisation, la communication et des informa-
tions documentées.
Déployer L’Article 8 (Exécution) identifie les éléments de management de la continuité d’activité
(Mettre en œuvre et exécu- (MCA) nécessaires pour assurer la continuité d’activité.
ter)
Contrôler L’Article 9 (Évaluation des performances) donne la base de l’amélioration du SMCA par la
(surveiller et réexaminer) mesure et l’évaluation de ses performances.
Agir L’Article 10 (Amélioration) couvre les actions correctives nécessaires pour résoudre les
(Maintenir et améliorer) non-conformités identifiées par l’évaluation des performances.
Continuité d’activité
La continuité d’activité est la capacité de l’organisation à continuer de livrer des produits ou des
services à des niveaux acceptables prédéfinis à la suite d’un incident perturbateur. Le management de
la continuité d’activité (MCA) est le processus assurant la continuité d’activité. Il consiste à préparer
une organisation à gérer les incidents perturbateurs qui, autrement, seraient susceptibles de l’empêcher
d’atteindre ses objectifs.
Le fait de placer le MCA dans le cadre et parmi les disciplines propres à un système de management
crée un système de management de la continuité d’activité (SMCA) permettant au MCA d’être contrôlée,
évaluée et constamment améliorée.
Dans la présente Norme internationale, le terme «affaires» est utilisé dans toutes les acceptions du terme
applicables aux opérations et services accomplis par une organisation dans la poursuite de ses objectifs,
buts ou mission. Il s’applique également aux grandes, moyennes et petites organisations intervenant
dans les secteurs industriels, commerciaux, publics et à but non lucratif.
Tout incident, grand ou petit, naturel, accidentel ou délibéré est susceptible de provoquer une perturbation
majeure sur le fonctionnement de l’organisation et sur son aptitude à livrer des produits ou des services.
Néanmoins, le fait de mettre en place une continuité d’activité avant qu’un incident perturbateur ne se
produise, plutôt que d’attendre qu’il arrive, permettra à l’organisation de reprendre son fonctionnement
avant d’en arriver à des niveaux d’impact inacceptables.
Le SMCA implique:
a) d’être bien clair sur les produits et services clés de l’organisation et sur les activités qui permettent
de les livrer;
b) de connaître les priorités pour la reprise des activités et les ressources que cela exige;
c) d’avoir une bonne compréhension des menaces pour ces activités, notamment de leurs dépendances,
et de connaître les impacts d’une absence de reprise;
d) d’avoir mis en place des dispositions ayant été testées et fiables pour reprendre ces activités à la
suite d’un incident perturbateur;
e) de s’assurer que ces dispositions sont régulièrement réexaminées et mises à jour de manière à être
efficaces en toutes circonstances.
La continuité d’activité peut être efficace pour traiter à la fois les incidents perturbateurs soudains (tels
que les explosions) et graduels (tels que les pandémies de grippe).
Les activités sont perturbées par une large variété d’incidents, dont la plupart sont difficiles à
prévoir ou à analyser. En mettant l’accent sur l’impact de la perturbation plutôt que sur sa cause, la
continuité d’activité identifie les activités desquelles l’organisation dépend pour sa survie, et permet à
l’organisation de déterminer ce qu’il lui faut pour continuer de remplir ses obligations. Par la continuité
d’activité, une organisation peut reconnaître ce qui doit être fait pour protéger ses ressources (par
exemple les personnes, les locaux, la technologie et l’information), sa chaîne d’approvisionnement,
les parties prenantes et sa réputation avant la survenance d’un incident perturbateur. Ayant reconnu
cela, l’organisation est en mesure d’avoir une vision réaliste des réponses qui seront probablement
nécessaires lorsqu’un incident surviendra, afin d’être confiante dans la gestion des conséquences et
d’éviter les impacts inacceptables.
Une organisation avec une continuité d’activité appropriée en place peut également profiter
d’opportunités qui, autrement, pourraient être considérées comme trop risquées.
Les schémas suivants (Figures 2 et 3) ont pour but d’illustrer conceptuellement la manière dont la
continuité d’activité peut être efficace en réduisant les impacts dans certaines situations. La distance
relative entre les différents stades représentés sur chacun des schémas ne représente aucune échelle de
temps particulière.
Figure 2 — Illustration de l’efficacité de la continuité d’activité en cas de perturbation soudaine
viii © ISO 2012 – Tous droits réservés
Figure 3 — Illustration de l’efficacité de la continuité d’activité en cas de perturbation graduelle
(par exemple, l’approche d’une pandémie)
NORME INTERNATIONALE ISO 22313:2012(F)
Sécurité sociétale — Systèmes de management de la
continuité d’activité — Lignes directrices
1 Domaine d’application
La présente Norme internationale relative aux systèmes de management de la continuité d’activité fournit
des lignes directrices basées sur une bonne pratique internationale pour la planification, l’établissement,
la mise en œuvre, l’exploitation, la surveillance, le réexamen, la mise à jour et l’amélioration constante
d’un système de management documenté permettant aux organisations de se préparer aux incidents
perturbateurs, d’y répondre et de reprendre leurs activités lorsqu’ils surviennent.
La présente Norme internationale ne prétend pas uniformiser la structure d’un SMCA, mais permettre à
une organisation de définir un SMCA qui convienne à ses besoins et qui réponde aux exigences des parties
concernées. Ces besoins sont conditionnés par les exigences légales, réglementaires, organisationnelles
et industrielles, par les produits et les services, les processus employés, l’environnement dans lequel
l’organisation fonctionne, la taille et la structure de cette dernière et les exigences des parties concernées.
La présente Norme internationale est générique et s’applique à toute taille et tout type d’organisations,
qu’elles soient grandes, moyennes ou petites et qu’elles interviennent dans les secteurs industriels,
commerciaux, publics et à but non lucratif, dans la mesure où elles souhaitent:
a) établir, mettre en œuvre, maintenir et améliorer un SMCA;
b) assurer la conformité avec la politique de continuité d’activité de l’organisation;
c) procéder à une autodétermination et effectuer une auto-déclaration de conformité avec la présente
Norme internationale.
La présente Norme internationale ne peut pas servir à évaluer l’aptitude d’une organisation à satisfaire
ses propres besoins de continuité d’activité, ni ses besoins commerciaux, légaux ou réglementaires.
Les organisations désireuses de le faire peuvent utiliser les exigences de l’ISO 22301 pour démontrer
leur conformité vis-à-vis d’autres exigences ou solliciter une certification de leur SMCA auprès d’un
organisme tiers de certification accrédité.
2 Références normatives
Les documents ci-après, dans leur intégralité ou non, sont des références normatives indispensables à
l’application du présent document. Pour les références datées, seule l’édition citée s’applique. Pour les
références non datées, la dernière édition du document de référence s’applique (y compris les éventuels
amendements).
ISO 22300, Sécurité sociétale — Terminologie.
ISO 22301, Sécurité sociétale — Systèmes de management de la continuité d’activité — Exigences.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l’ISO 22300 et l’ISO 22301
s’appliquent.
4 Contexte de l’organisation
4.1 Comprendre l’organisation et son contexte
Ce chapitre concerne la compréhension du contexte de l’organisation en lien avec la définition et la
gestion du SMCA. La définition et le management du MCA sont traitées en 8.1.
Il convient que l’organisation évalue et comprenne les facteurs internes et externes importants pour son
but et ses activités. Il est recommandé de tenir compte de ces informations lors de la planification, de la
mise en œuvre, de la mise à jour et de l’amélioration constante du SMCA de l’organisation, et lors de la
mise en place de priorités.
Il convient que l’évaluation du contexte externe de l’organisation contienne, lorsque c’est approprié, les
facteurs suivants:
— l’environnement politique, légal et réglementaire, qu’il soit international, national, régional ou local;
— l’environnement socioculturel, financier, technologique, économique, naturel et concurrentiel, qu’il
soit international, national, régional ou local;
— les engagements et relations de la chaîne d’approvisionnement;
— la prise en considération d’études internes sur les risques, en tenant compte d’autres systèmes
de gestion de l’information importants et, plus généralement, de toute information provenant du
management des connaissances;
— les facteurs et tendances ayant un impact déterminant sur les objectifs et le fonctionnement de
l’organisation;
— les relations avec les parties concernées externes à l’organisation, ainsi que leurs perceptions et
leurs valeurs.
Il convient que l’évaluation du contexte interne de l’organisation contienne, lorsque c’est approprié, les
facteurs suivants:
— les produits et services, activités, ressources, chaînes d’approvisionnement et relations avec les
parties concernées;
— les capacités, en termes de ressources et de connaissances (par exemple, capital, temps, personnel,
processus, systèmes et technologies);
— les systèmes d’information, les flux d’information et les processus de prise de décision (à la fois
formels et informels);
— les parties concernées au sein de l’organisation;
— les politiques, les objectifs et les stratégies mises en place pour atteindre ces derniers;
— les futures opportunités et priorités d’affaires;
— les perceptions, valeurs et cultures;
— les normes et modèles de référence adoptés par l’organisation;
— les structures (telles que gouvernance, rôles et responsabilités).
4.2 Comprendre les besoins et les attentes des parties intéressées
4.2.1 Généralités
Lorsqu’elle établit son SMCA, il est recommandé que l’organisation s’assure que les besoins et les
exigences des parties concernées sont bien pris en considération.
2 © ISO 2012 – Tous droits réservés
Il convient que l’organisation identifie toutes les parties concernées pour son SMCA et qu’elle détermine
leurs exigences, sur la base de leurs besoins et de leurs attentes. Il est important d’identifier non
seulement les exigences obligatoires et déclarées, mais aussi toutes celles qui sont implicites.
NOTE L’organisation doit avoir connaissance de toutes les instances ayant un intérêt dans l’organisation,
comme les médias, le public proche, les concurrents, etc.
Lors de la planification et de la mise en œuvre du SMCA, il est important d’identifier les actions
appropriées vis-à-vis des parties concernées, mais de faire la différence entre les différentes catégories.
Par exemple, alors qu’il peut être approprié de communiquer avec toutes les parties concernées à la
suite d’un incident perturbateur, il peut ne pas être approprié de communiquer avec toutes les parties
concernées lors de la définition et du pilotage du MCA (8.1.1).
Figure 4 — Exemples de parties concernées à considérer dans les secteurs public et privé
4.2.2 Exigences légales et réglementaires
Il convient que tous les systèmes de management fonctionnent dans le cadre de l’environnement légal
et réglementaire dans lequel l’organisation intervient. Par conséquent, il convient que l’organisation
identifie et incorpore à son SMCA toutes les exigences légales et réglementaires pertinentes et applicables
auxquelles elle souscrit, ainsi que les besoins des parties intéressées.
Il est recommandé que les informations relatives à ces exigences soient documentées et maintenues à
jour. Il est recommandé que les exigences légales, réglementaires ou autres, nouvelles ou soumises à des
variations, soient communiquées aux employés affectés et aux autres parties concernées.
Lors de l’établissement, de la mise en œuvre et de la mise à jour du SMCA, il convient que l’organisation
prenne en compte et documente les exigences légales applicables, les autres exigences auxquelles elle
souscrit et les besoins des parties concernées.
Il est recommandé que l’organisation s’assure que son SMCA fonctionne dans le cadre et à l’appui de ses
obligations légales et des exigences correspondantes des parties concernées.
Il convient que l’organisation passe en revue les exigences statutaires et réglementaires en cours et en
suspens dans ses différents sites, ce qui peut comprendre:
a) la réponse aux incidents: notamment la gestion des urgences et la législation en matière de santé, de
sécurité et de bien-être;
b) la continuité: peut spécifier l’objet du programme, la nature ou la rapidité de la réponse;
c) le risque: exigences définissant l’objet ou les méthodes d’un programme de gestion des risques;
d) les risques spécifiques: exigences opérationnelles relatives aux matières dangereuses stockées sur
le site.
NOTE Les organisations intervenant sur des sites multiples doivent souvent satisfaire les exigences de
juridictions différentes.
4.3 Déterminer le champ d’application du système de management
4.3.1 Généralités
Il est recommandé que l’organisation détermine le champ d’application du SMCA et s’assure qu’il peut
être communiqué de manière convenable aux parties concernées. Il est important que les limites et
l’application du SMCA apparaissent clairement et que le champ d’application prenne en compte les
éléments identifiés aux paragraphes 4.1 et 4.2.
Le domaine d’application détermine les produits et les services, les sites, les fonctions, processus et
activités auxquels le SMCA s’applique. Il s’ensuit que toutes les dépendances font partie du domaine
d’application, même si elles n’ont pas été identifiées de manière explicite dans la déclaration propre au
domaine d’application. Par exemple, si la«rémunération des employés» est spécifiée dans le domaine
d’application, alors la disponibilité des fonds, l’approbation du management et les instructions données
à l’organisme financier pour effectuer le paiement en font également partie.
Il est recommandé que l’organisation documente clairement le domaine d’application et le contexte du
SMCA.
4.3.2 Champ d’application du SMCA
Il convient que l’organisation, d’une façon et dans des termes appropriés à la taille, la nature et la
complexité de l’organisation, définisse et documente le domaine d’application du SMCA.
Il convient que le domaine d’application:
a) identifie les parties de l’organisation comprises dans le SMCA;
b) établisse les exigences SMCA de l’organisation en prenant en considération sa mission, ses buts, ses
responsabilités légales ainsi que les obligations internes et externes;
c) identifie les produits et services de l’organisation d’une manière qui permette d’identifier toutes les
activités, ressources et chaînes d’approvisionnement concernées;
4 © ISO 2012 – Tous droits réservés
d) tienne compte des besoins et des intérêts des parties concernées.
Le domaine d’application peut aussi:
— comporter une indication du degré d’incident que le SMCA va traiter et de la tendance de l’organisation
à la prise de risque;
— identifier comment le SMCA s’intègre dans la stratégie globale de gestion des risques de l’organisation
(le cas échéant).
Lorsqu’une partie de l’organisation est exclue du domaine d’application de son SMCA, il est recommandé
que l’organisation documente et explique cette exclusion.
L’objectif de la définition du domaine d’application est d’assurer que toutes les activités, tous les sites et
tous les fournisseurs pertinents sont bien couverts (8.2.1, Figure 6).
4.4 Système de management de la continuité d’activité
C’est une référence normative à l’ISO 22301:2012 qui spécifie les exigences applicables à un SMCA.
Aucune ligne directrice n’est fournie.
5 Leadership
5.1 Leadership et engagement
Il convient que tous les niveaux de management concernés à travers l’organisation fassent preuve
d’engagement et de leadership dans la mise en œuvre de la politique et des objectifs de continuité
d’activité. La démonstration peut en être faite en faisant appel à la motivation, à l’engagement et à la
responsabilisation.
5.2 Engagement du management
Il convient que la direction montre son engagement vis-à-vis du SMCA.
Afin de fournir la preuve de son engagement au développement et à la mise en œuvre du SMCA ainsi qu’à
l’amélioration continue de son efficacité, il convient que la direction:
a) se conforme aux exigences légales applicables et aux autres exigences auxquelles l’organisation
adhère (4.2.2);
b) intègre les processus SMCA au sein des procédures de maintenance et de réexamen établies dans
l’organisation;
c) établisse une politique et des objectifs de continuité d’activité en harmonie avec les objectifs, les
obligations et l’orientation stratégique de l’organisation (5.3);
d) délègue à une ou plusieurs personnes l’autorité et les compétences appropriées pour être
responsables du SMCA et rendre des comptes quant à l’efficacité de son fonctionnement (5.4);
e) s’assure que les rôles, responsabilités et compétences concernant le SMCA sont bien définis (5.4);
f) assure la disponibilité de ressources suffisantes, y compris les niveaux de financement appropriés
(7.1);
g) communique à l’organisation l’importance de satisfaire la politique et les objectifs de continuité
d’activité (7.4);
h) s’engage activement dans la conduite d’exercices et de tests (8.5);
i) assure la réalisation d’audits internes du SMCA (9.2);
j) procède à des revues de direction du SMCA (9.3);
k) oriente et soutienne l’amélioration du SMCA (Article 10).
L’engagement du management peut également être démontré par:
— l’implication opérationnelle dans des groupes de pilotage;
— le fait d’inclure systématiquement la continuité d’activité en tant que point standard des réunions
de direction.
5.3 Politique
Il convient que la direction définisse la politique de continuité d’activité en termes d’objectifs de
l’organisation et ses obligations, et qu’elle s’assure:
— qu’elle est bien appropriée à l’objet de l’organisation (compte tenu de sa taille, de sa nature et de sa
complexité, et afin de refléter sa culture, ses dépendances et son environnement opérationnel);
— de donner un cadre à la définition des objectifs;
— d’inclure des engagements clairs en lien avec les exigences applicables, y compris les obligations
légales et réglementaires, ainsi que l’amélioration continue du SMCA;
— qu’elle est bien communiquée et comprise au sein de l’organisation;
— qu’elle est complémentaire des autres politiques concernées;
— qu’elle est à la disposition des parties concernées dans sa version approuvée par le management.
Il convient que des dispositions adéquates soient prises pour approuver la politique, conserver les
informations documentées et les réexaminer périodiquement (par exemple annuellement) et, chaque
fois que des changements significatifs sont apportés à des facteurs internes ou externes (par exemple
un changement à la direction ou l’introduction d’une nouvelle législation). L’opportunité de telles
dispositions dépendra de la taille, de la complexité, de la nature et de l’étendue de l’organisation.
Il est également recommandé que la politique:
— donne une orientation sur le domaine et les limites d’application de la continuité d’activité de
l’organisation, notamment les limitations et les exclusions applicables;
— mentionne les autorités et délégations nécessaires, notamment la ou les personnes responsables du
SMCA de l’organisation;
— établisse les critères concernant le type et le degré des incidents à traiter;
— fasse des références aux normes, lignes directrices, règlements ou politiques qu’il convient que le
SMCA prenne en compte ou respecte.
La politique de continuité d’activité peut comporter les éléments suivants:
— termes clés;
— engagement de financement;
— références à d’autres politiques en rapport;
— une exigence relative à la mise en œuvre de la continuité d’activité;
— un engagement à appliquer et maintenir la continuité d’activité.
6 © ISO 2012 – Tous droits réservés
5.4 Rôles, responsabilités et autorités au sein de l’organisation
Il convient que la direction assure l’attribution et la communication des responsabilités et autorités
dans le cadre du SMCA.
Il est recommandé qu’un membre de la direction ait la responsabilité d’ensemble et qu’il rende des
comptes pour le SMCA.
Il est recommandé que la direction de l’organisation nomme un ou plusieurs représentants spécifiques
du management. Nonobstant d’autres responsabilités, il convient que ces représentants aient des rôles,
responsabilités et autorités définis pour:
— s’assurer que le SMCA est établi, mis en œuvre et tenu à jour en accord avec la politique de continuité
d’activité;
— rendre compte des performances du MCA à la direction pour réexamen et pour servir de base à
l’amélioration;
— promouvoir la sensibilisation à la continuité d’activité dans l’ensemble de l’organisation;
— s’assurer de l’efficacité des procédures mises en place pour la réponse aux incidents, mais pas
nécessairement de leur mise en œuvre lors d’un incident.
Le représentant du management peut:
— être appelé «responsable de la continuité d’activité»;
— détenir d’autres responsabilités au sein de l’organisation;
— appartenir à de nombreuses zones d’une organisation en fonction de sa taille, de son ampleur et de
sa complexité.
Des représentants de chaque fonction ou de chaque site de l’organisation peuvent être identifiés pour
aider à la mise en œuvre du SMCA. Il est recommandé que leurs rôles, obligations, responsabilités et
autorités soient intégrés dans leurs descriptifs de poste, ce qui peut être renforcé en les incluant dans la
politique d’appréciation, de récompense et de reconnaissance de l’organisation.
La direction peut nommer d’autres instances, par exemple un comité de pilotage, pour superviser la
mise en œuvre et la surveillance permanente du SMCA.
Il convient que tous les rôles, responsabilités et autorités pour le MCA soient définis, documentés et
audités.
6 Planification
6.1 Actions visant à traiter les risques et les opportunités
Il convient que l’organisation détermine comment traiter tout élément identifié en 4.1 et les exigences
selon 4.2.
Il est recommandé que cela comprenne l’évaluation du besoin d’un plan d’actions pour:
— prévenir les conséquences imprévues;
— tirer parti de toute opportunité d’amélioration du SMCA.
Si nécessaire, il est recommandé que cela implique également:
— d’intégrer et de mettre en œuvre ces actions dans le processus SMCA (8.1);
— de s’assurer que les informations documentées sont disponibles pour évaluer si les actions ont bien
été efficaces (7.5).
6.2 Objectifs de continuité d’activité et plans pour les atteindre
Il est recommandé d’élaborer un plan de mise en place et de pilotage du MCA (tel que défini à l’Article 8)
et que celui-ci comprenne les responsabilités et la définition d’objectifs appropriés et réalistes pour la
réalisation des tâches. Il est recommandé que le plan se base sur des objectifs de continuité ayant été
définis et communiqués aux fonctions et niveaux hiérarchiques concernés au sein de l’organisation. Il
convient de surveiller et de documenter l’avancement par rapport au plan.
Il convient que ce plan soit réexaminé et il peut avoir besoin d’être mis à jour régulièrement à mesure
que le MCA évolue.
Des exemples d’objectifs de continuité d’activité sont donnés ci-après. Ceux-ci peuvent, dans certaines
circonstances, respecter les exigences spécifiées dans l’ISO 22301:
— «mettre en place un SMCA cohérent avec l’ISO 22313, d’ici au date»;
— «réaliser la certification par rapport à l’ISO 22301:2012, d’ici au date»;
— «d’ici au date, mettre en place une continuité d’activité qui respecte les obligations à l’égard des
grands comptes»;
— «avoir mis en place une MCA qui protège les produits et services clés d’ici au date».
7 Soutien
7.1 Ressources
7.1.1 Généralités
Il est recommandé que l’organisation détermine et fournisse les ressources nécessaires au SMCA pour:
a) réaliser sa politique et ses objectifs de continuité d’activité;
b) satisfaire les exigences de changement de l’organisation;
c) permettre une communication efficace sur des sujets relatifs au système de management de la
continuité d’activité, à l’intérieur et à l’extérieur;
d) assurer le fonctionnement régulier et l’amélioration continue du système de management de la
continuité d’activité.
Il convient que cela se fasse en temps utile et de manière efficace.
7.1.2 Ressources SMCA
Lors de l’identification des ressources exigées pour le SMCA, il convient que l’organisation prenne les
dispositions adéquates pour:
a) le personnel et les ressources qui lui sont liées, notamment:
1) le temps nécessaire pour remplir les rôles et responsabilités SMCA;
2) la formation continue, la formation de base, la sensibilisation et l’entraînement;
3) la gestion du personnel dédié au SMCA.
b) les locaux, y compris des lieux de travail et des infrastructures appropriés;
c) les technologies de l’information et des communications (TIC), notamment les applications prenant
en charge la gestion efficace et efficiente des programmes;
8 © ISO 2012 – Tous droits réservés
d) la gestion et le contrôle de toutes les formes d’information documentée;
e) la communication avec les parties concernées (voir Figure 4);
f) le financement.
Il convient de réexaminer périodiquement les ressources et leur affectation afin de s’assurer de leur
adéquation. Il peut être approprié d’impliquer la direction dans ce réexamen.
7.1.3 Personnel chargé de la réponse aux incidents
Il convient que l’organisation nomme du personnel chargé de la réponse aux incidents, doté de la
responsabilité, de l’autorité et de la compétence nécessaires pour gérer un incident.
Il est recommandé que le personnel chargé de la réponse aux incidents forme un groupe chargé de gérer
un incident perturbateur ayant un impact significatif ou ayant potentiellement un tel impact.
Le personnel peut être affecté aux équipes selon la compétence dont il a fait preuve dans la gestion des
différents aspects d’une réponse à incident, comme par exemple:
— Gestion d’incident/Gestion stratégique (8.4.4.3.1);
— Communications (8.4.4.3.2);
— Sécurité et bien-être (8.4.4.3.3);
— Sauvetage et sécurité (8.4.4.3.4);
— Reprise des activités (8.4.4.3.5);
— Récupération des TIC (8.4.4.3.6).
Il est recommandé que tout le personnel faisant partie de ces groupes ait des responsabilités et autorités
clairement définies et les applique avant, pendant et après un incident.
7.2 Compétence
Il est recommandé que l’organisation établisse un système approprié et efficace pour gérer la compétence
des personnes réalisant un travail de SMCA sous son contrôle.
Il est recommandé que le management détermine les compétences requises pour tous les rôles et
responsabilités SMCA, ainsi que pour la sensibilisation, les connaissances, la compréhension, les
compétences techniques et l’expérienc
...
МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 22313
Первое издание
2012-12-15
Социальная безопасность. Системы
менеджмента устойчивости бизнеса.
Руководство
Societal security – Business continuity management systems —
Guidance
Ответственность за подготовку русской версии несѐт GOST R
(Российская Федерация) в соответствии со статьѐй 18.1 Устава ISO
Ссылочный номер
©
ISO 2012
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или смотреть на экране, но его нельзя изменить, пока не будет получена
лицензия на установку интегрированных шрифтов в компьютере, на котором ведется редактирование. В случае загрузки
настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение лицензионных условий
фирмы Adobe. Центральный секретариат ISO не несет никакой ответственности в этом отношении.
Adobe – торговый знак Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованным для создания настоящего файла PDF, можно найти в
рубрике General Info файла; параметры создания PDF оптимизированы для печати. Были приняты во внимание все меры
предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами – членами ISO. В
редких случаях возникновения проблемы, связанной со сказанным выше, просим информировать Центральный секретариат
по адресу, приведенному ниже.
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO по адресу ниже или членов ISO в стране регистрации пребывания.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2012– Все права сохраняются
Содержание Страница
Предисловие .iv
Введение .v
1 Область применения .1
2 Нормативные ссылки .1
3 Термины и определения .1
4 Контекст организации .2
4.1 Понимание организации и еѐ контекста .2
4.2 Понимание потребностей и ожиданий заинтересованных сторон .2
4.3 Определение области применения системы менеджмента .4
4.4 Система менеджмента устойчивости бизнеса.5
5 Лидерство .5
5.1 Лидерство и приверженность .5
5.2 Приверженность руководства .5
5.3 Политика .6
5.4 Организационные роли, ответственность и полномочия .7
6 Планирование .7
6.1 Действия в отношении рисков и возможностей .7
6.2 Цели устойчивости бизнеса и планы их достижения .8
8.2 Анализ последствий и оценка рисков . 19
8.4 Создание и внедрение процедур обеспечения устойчивости бизнеса . 31
8.5 Учения и испытания . 43
9 Оценка общей эффективности . 45
9.1 Мониторинг, измерение, анализ и оценка . 45
9.2 Внутренний аудит . 48
9.3 Анализ со стороны руководства . 49
10 Совершенствование . 50
10.1 Несоответствия и корректировочное действие . 50
10.2 Непрерывное улучшение . 50
Библиография . 52
Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в
этом комитете. Международные правительственные и неправительственные организации, имеющие
связи с ISO, также принимают участие в работах. Что касается стандартизации в области
электротехники, то ISO работает в тесном сотрудничестве с Международной электротехнической
комиссией (IEC).
Проекты международных стандартов разрабатываются в соответствии с правилами Директив ISO/IEC,
Часть 2.
Основной задачей технических комитетов является подготовка международных стандартов. Проекты
международных стандартов, принятые техническими комитетами, рассылаются комитетам-членам на
голосование. Их опубликование в качестве международных стандартов требует одобрения не менее
75 % комитетов-членов, принимающих участие в голосовании.
Следует иметь в виду, что некоторые элементы настоящего международного стандарта могут быть
объектом патентных прав. Международная организация по стандартизации не может нести
ответственность за идентификацию какого-либо одного или всех патентных прав.
ISO 22313 был подготовлен Техническим комитетом ISO/TC 223, Социальная безопасность.
В целях исследования пользователям предлагается изложить свое мнение по поводу ISO 22313, а
также свои предпочтения для внесения изменений в последующие издания стандарта. Кликните адрес,
указанный внизу, чтобы принять участие в онлайновом обзоре:
http://www.surveymonkey.com/s/22313
iv © ISO 2012– Все права сохраняются
Введение
Общие положения
Настоящий международный стандарт содержит руководство, которое относится, если применимо, к
требованиям, приведенным в ISO 22301:2012, а также соответствующие им рекомендации (―следует‖)
и разрешения (―может‖). Обеспечение общего руководства по всем аспектам устойчивости бизнеса в
задачу настоящего международного стандарта не входит.
Этот международный стандарт имеет те же заголовки, что и стандарт ISO 22301, но не повторяет требований
к системе менеджмента устойчивости бизнеса и относящихся к ней терминов и определений. Организации,
желающие получить такую информацию, должны ознакомиться с ISO 22301 и ISO 22300.
Для дальнейшего уточнения и разъяснения ключевых вопросов в настоящий международный стандарт
включено также несколько рисунков. Все эти рисунки приведены только в качестве иллюстраций,
соответствующий текст в основной части стандарта имеет преимущественную силу.
Система менеджмента устойчивости бизнеса (BCMS) акцентирует внимание на:
― понимании потребностей организации и необходимости разработки политики, касающейся
непрерывности бизнеса и определения еѐ целей;
― внедрении и реализации средств контроля, а также мерах по управлению общим потенциалом
организации в целях преодоления разрушительных инцидентов;
― мониторинг и анализ результатов деятельности и эффективности BCMS, а также
― непрерывное улучшение на основе объективных измерений.
BCMS, как и любая другая система менеджмента, включает в себя следующие ключевые компоненты:
a) политику;
b) персонал, наделенный определенными обязанностями;
c) процессы менеджмента, относящиеся к:
1) политике;
2) планированию;
3) внедрению и функционированию;
4) оценке эффективности;
5) анализу со стороны руководства, а также
6) улучшению.
d) комплект документации, предоставляющий проверяемые данные, а также
e) любые процессы BCMS, относящиеся к организации.
Как правило, модель устойчивого бизнеса специфична для каждой организации, однако еѐ внедрение может
иметь далеко идущие последствия для более широкого сообщества и иных третьих сторон. За пределами
организации могут существовать организации, от которых она зависит, и также организации, зависящие от неѐ.
Следовательно, эффективная устойчивость бизнеса содействует повышению гибкости общества.
Цикл ―Планирование – Выполнение – Проверка – Действие‖
В настоящем международном стандарте для планирования, разработки, внедрения, функционирования,
мониторинга, анализа, корректировки, поддержания в рабочем состоянии и постоянного повышения
результативности BCMS организации использован цикл ―Планирование–Исполнение–Проверка–Действие‖
(PDCA).
На Рисунке 1 показано, как в BCMS учитываются требования заинтересованных сторон в качестве
входных данных для менеджмента устойчивости бизнеса (BCM) и, за счет использования необходимых
действий и процессов достигаются такие результаты устойчивости бизнеса (т.е. управляемой
устойчивости), которые отвечают этим требованиям.
Непрерывное улучшение системы менеджмента
устойчивости бизнеса (BCMS)
Установление
Заинтересован-
Заинтересова
(Планирование
ные cтороны
нные стороны
)
Требования к
устойчивости
Поддерживание Внедрение и
бизнеса
и улучшение
функциониро-
(Действие) вание
Управляемая
(Исполнение)
устойчивость
бизнеса
Мониторинг и
анализ
(Проверка)
Рисунок 1 — Модель PDCA, применяемая к процессам BCMS
Таблица 1 — Пояснения к модели PDCA
Планирование Установление политики устойчивого бизнеса, целей, средств управления,
(Разработка) процессов и процедур, относящихся к обеспечению устойчивости бизнеса и
получению результатов, отвечающим всей политике и целям организации.
Исполнение Внедрение и применение политики устойчивости бизнеса, средств
(Внедрение и применение) управления, процессов и процедур.
Проверка Мониторинг и анализ эффективности относительно целей и политики устойчивости
(Мониторинг и анализ) бизнеса, представление результатов руководству для корректировки, определение
и разрешение на действия по коррекции и усовершенствованию.
Действие Поддержание и улучшение BCMS путем принятия корректирующих действий,
(Поддерживание и основанных на результатах анализа со стороны руководства, пересмотра области
оптимизация) применения BCMS, a также политики и целей устойчивости бизнеса.
Составляющие PDCA в настоящем международном стандарте
Существует прямая взаимозависимость между содержанием Рисунка 1 и разделами настоящего
международного стандарта:
vi © ISO 2012– Все права сохраняются
Таблица 2 — Взаимосвязь между моделью PDCA и Разделами с 4 по 10
Составляющие PDCA Раздел, посвященный составляющему PDCA
Планирование Раздел 4 (Контекст организации) определяет, что организация должна
(Установление) сделать для того, чтобы удостовериться в соответствии BCMS требованиям,
принимая во внимание все относящиеся к этому вопросу внешние и
внутренние факторы, включая:
— Потребности и ожидания заинтересованных сторон.
— Их законодательные и регулятивные обязательства.
— Требуемую область применения PDCA.
Раздел 5 (Лидерство) устанавливает ключевую роль высшего руководства
с точки зрения демонстрации приверженности, определения политики и
распределения ролей, ответственности и полномочий.
Раздел 6 (Планирование) описывает действия, в целом необходимые для
постановки стратегических целей и руководящих принципов для BCMS в
целом. Они определяют контекст анализа последствий для бизнеса, оценки
риска (8.2) и стратегии устойчивости бизнеса (8.3).
Раздел 7 (Обеспечение) определяет ключевые элементы, которые должны
быть в наличии для обеспечения цикла PDCA, а именно: ресурсы,
компетенность персонала, информированность, коммуникации и
документированная информация.
Исполнение Раздел 8 (Функционирование) определяет элементы менеджмента
(Внедрение и устойчивости бизнеса (BCM), необходимые для достижения устойчивости
функционирование) бизнеса.
Проверка Раздел 9 (Оценка эффективности) обеспечивает основу для улучшения
(Мониторинг и анализ) BCMS с помощью измерений и оценки их эффективности.
Принятие мер Раздел 10 (Улучшение) охватывает корректирующие действия,
(Поддерживание и необходимые для устранения несоответствий, выявленных при оценке
улучшение) эффективности.
Устойчивость бизнеса
Устойчивость бизнеса – это способность организации после деструктивного инцидента продолжать
поставки продукции и предоставление услуг на приемлемом, заранее заданном уровне. Менеджмент
устойчивости бизнеса (BSM) – это процесс достижения устойчивости бизнеса, заключающийся в
подготовке организации к инцидентам, которые в иных обстоятельствах могли бы не позволить
компании достигнуть своих целей.
Включение BSM в структуру и практику системы менеджмента формирует систему менеджмента
устойчивости бизнеса (BCMS), позволяющую контролировать, оценивать и постоянно улучшать BSM.
В настоящем международном стандарте слово ―бизнес‖ применяется как всеобъемлющий термин для
операций и услуг, выполняемых организацией, реализующей свои цели и миссию. Как таковой этот
термин равно применим к крупным, средним и малым организациям, действующим в промышленном,
коммерческом, государственном и некоммерческом секторах.
Любой инцидент, крупный или мелкий, природный, случайный или умышленный способен вызвать
серьезные нарушения в функциональной деятельности организации и поставках еѐ товаров и услуг.
Однако, обеспечение устойчивости бизнеса до возникновения деструктивного инцидента вместо
ожидания, что таковой может произойти, позволит организации возобновить работу до того, как
последствия инцидента перейдут на недопустимый уровень.
BSM предполагает:
a) четкое представление о ключевых продуктах и услугах организации, а также об их
предоставлении;
b) понимание приоритетов при возобновлении деятельности в ее разных видах, а также
необходимых для этого ресурсов;
c) ясное представление об угрозах этой деятельности в ее разных видах, в том числе их
взаимозависимостей, а также понимание последствий их не возобновления;
d) наличие проверенных и надежных мер для возобновления всех видов деятельности после
деструктивного инцидента; а также
e) гарантии того, что эти договоренности регулярно пересматриваются и модифицируются с тем,
чтобы они оставались годными при любых обстоятельствах.
Устойчивость бизнеса может быть эффективна как при внезапных деструктивных инцидентах
(например, взрывах), так и при развивающихся постепенно (например, эпидемиях гриппа).
Деятельность может быть прервана инцидентами самого различного характера, многие из которых
трудно предвидеть или проанализировать. Фокусируясь на последствиях, а не на причинах,
устойчивость бизнеса идентифицирует те виды деятельности, от которых зависит выживание
организации, и помогает организации определить, что ей требуется для дальнейшего выполнения
своих обязательств. С помощью устойчивости бизнеса, организация может определить, что
необходимо сделать для защиты еѐ ресурсов (т.е. персонала, служебных помещений, технологий и
информации), цепи поставок, заинтересованных сторон и репутации до деструктивного инцидента. С
таким пониманием организация получает возможность реалистично оценивать ответные действия,
которые, вероятно, потребуются, если и когда инцидент возникнет, и может быть уверена в
контролируемости последствий и избежании непремлемых воздействий.
Организация с надлежащей устойчивостью бизнеса может также воспользоваться такими
преимуществами, которые в ином случае рассматривались бы как слишком рискованные.
Следующие диаграммы (Рисунок 2 и 3) приведены для иллюстрации того, каким образом устойчивость
бизнеса может способствовать минимизации последствий в отдельных ситуациях. Никаких особых
временных рамок не подразумевается под относительным расстоянием между стадиями на
диаграммах.
viii © ISO 2012– Все права сохраняются
Минимизация воздействий путем эффективной устойчивости бизнеса – внезапный сбой
Рисунок 2 – Пример устойчивости бизнеса, эффективной при внезапном сбое
Минимизация воздействий путем эффективной устойчивости бизнеса – постепенный сбой
Рисунок 3 – Пример устойчивости бизнеса, эффективной при постепенном срыве (например,
приближающаяся эпидемия)
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 22313:2012(R)
Социальная безопасность. Системы менеджмента
устойчивости бизнеса. Руководство
1 Область применения
Настоящий международный стандарт на системы менеджмента устойчивости бизнеса содержит
руководство, основанное на лучшей международной практике планирования, установления, внедрения,
функционирования, мониторинга, оценки, поддерживания в рабочем состоянии и непрерывного
улучшения документированной системы менеджмента, которая дает организации возможность быть
готовой к деструктивным инцидентам, отреагировать на них и восстановиться после таких возникших
инцидентов.
В этом международном стандарте не предполагается никакой унифицированной структуры BCMS, он
позволяет организации разработать BCMS, соответствующую еѐ потребностям и требованиям
заинтересованных сторон. Эти потребности формируются под влиянием законодательных,
нормативных, организационных и производственных требований, продукции и услуг, используемых
процессов, окружающей среды, в которой действует организация, величины и структуры организации,
а также требований заинтересованных сторон.
Данный стандарт является универсальным. Он применим к организациям всех размеров и типов, в том
числе, к крупным, средним и малым предприятиям, действующим в промышленном, коммерческом,
государственном и некоммерческом секторах, которые намерены:
a) установить, внедрить, поддерживать в рабочем состоянии и улучшать BCMS;
b) обеспечивать соответствие политике в области устойчивости бизнеса организации; или
c) самой определить и декларировать свое соответствие настоящему международному стандарту.
Настоящий международный стандарт не может быть использован ни для оценки способности
организации соответствовать внутренним потребностям устойчивости бизнеса, ни для оценки
клиентских, законодательных или нормативных потребностей. Организации, желающие это сделать,
могут для демонстрации соответствия использовать требования ISO 22301 или подать заявку на
сертификацию своей BCMS в аккредитованный независимый орган по сертификации.
2 Нормативные ссылки
Следующие ссылочные документы обязательны для применения настоящего документа. Для
датированных ссылок применяется только цитируемое издание. Для недатированных ссылок
применяется последнее издание ссылочного документа, включая все изменения и дополнения.
ISO 22300, Социальная безопасность. Терминология
ISO 22301, Социальная безопасность. Системы менеджмента устойчивого бизнеса. Требования
3 Термины и определения
Для целей этого документа применяются термины и определения, приведенные в ISO 22300 и ISO 22301.
4 Контекст организации
4.1 Понимание организации и еѐ контекста
Этот раздел посвящен пониманию контекста организации применительно к созданию и управлению
BCMS. Вопросы создания и управления BCM раскрыты в 8.1.
Организации следует оценить и понять внутренние и внешние факторы, имеющие отношение к еѐ
цели и деятельности. Эти сведения следует учесть при установлении, внедрении, поддерживании и
улучшении BCMS организации, а также при определении приоритетов.
В оценке внешнего контекста организации следует учесть, если они относятся к делу, такие факторы, как:
политическая, правовая и регулятивная среда, международная, национальная, региональная или локальная;
социальная, культурная, финансовая, технологическая, экономическая, природная и конкурентная
среда, международная, национальная, региональная или локальная;
обязательства и отношения в цепочке поставок;
рассмотрение внутренних исследований рисков с учетом соответствующих систем менеджмента
информации и, в более общем смысле, анализ любой информации от менеджмента знаний;
ключевые стимуляторы и тенденции, оказывающие влияние на цели и функционирование
организации; а также
отношения с заинтересованными сторонами вне организации, принимая во внимание их
восприятия и ценности.
В оценке внутреннего контекста организации следует, соответственно, учесть такие факторы, как:
продукция и услуги, виды деятельности, ресурсы, цепочки поставок и отношения с
заинтересованными сторонами;
возможности, понимаемые как ресурсы и знания (например, капитал, время, люди, процессы,
системы и технологии);
информационные системы, информационные потоки и процесс принятия решений (как
формальные, так и неформальные);
заинтересованные стороны внутри организации;
виды политики и цели, а также существующие стратегии для их достижения;
будущие возможности и приоритеты в бизнесе;
восприятия, ценности и культура;
стандарты и эталонные модели, принятые в организации; и
структуры (например, руководство, роли и подотчетность).
4.2 Понимание потребностей и ожиданий заинтересованных сторон
4.2.1 Общие положения
При установлении BCMS организации следует убедиться, что потребности и требования
заинтересованных сторон приняты во внимание.
2 © ISO 2012– Все права сохраняются
Организации следует идентифицировать все заинтересованные стороны, имеющие отношение к еѐ
BCMS, и, основываясь на их потребностях и ожиданиях, определить их требования. Важно
идентифицировать не только обязательные и заявленные, но также и все подразумеваемые
требования.
ПРИМЕЧАНИЕ Организации необходимо знать всех, кто проявляет к ней интерес, например, СМИ,
общественность, конкуренты и т.д.
При планировании и внедрении BCMS важно определить действия, которые соответствуют
заинтересованным сторонам, но различны по категориям. Например, после деструктивного инцидента
уместно связаться со всеми заинтересованными сторонами, но связываться со всеми
заинтересованными сторонами во время устранения инцидента и стабилизации положения BCM (8.1.1)
может быть неуместно.
Заинтересованные стороны
Рисунок 4 – Примеры заинтересованных сторон, которые должны быть учтены в
государственном и частном секторах
4.2.2 Законодательные и регламентные требования
Всем системам менеджмента следует функционировать в рамках законодательной и регламентной
среды, в которой функционирует организация. Организации следует, таким образом,
идентифицировать и ввести в свою BCMS все соответствующие применимые юридические и законные
требования, под которыми она подписалась, и требования заинтересованных сторон.
Информацию об этих требованиях следует документировать и поддерживать в актуальном состоянии.
Новые или измененные юридические и законные и другие требования следует довести до сведения
сотрудников, которых они касаются, и остальных заинтересованных сторон.
При установлении, внедрении и применении BCMS организации следует учитывать и документировать
действующие юридические требования, иные требования, под которыми организация подписалась, а
также требования заинтересованных сторон.
Организации следует убедиться в том, что еѐ BCMS функционирует в соответствии и в поддержание
еѐ договорных обязательств и существенных требований заинтересованных сторон.
Организации следует удостовериться в том, что ее BCMS работает в рамках ее юридических
обязательств и в поддержку соответствующих требований заинтересованных сторон.
Организации следует проанализировать действующие и еще рассматриваемые юридические и
законные требования по месту их действия, которые могут распространяться на:
a) реагирование на инцидент: включая управление в чрезвычайной ситуации, законодательство в
области здравоохранения, безопасности и социальной защиты населения;
b) устойчивость: она может определять область применения программы или степень, или скорость
реагирования;
c) риск: требования, определяющие область или методы программ менеджмента рисков риском; а
также;
d) опасность: эксплуатационные требования к опасным материалам, хранящимся на объекте.
ПРИМЕЧАНИЕ Организациям, действующим на разных территориях, часто приходится соответствовать
требованиям разных юрисдикций.
4.3 Определение области применения системы менеджмента
4.3.1 Общие положения
Организации следует определить область применения BCMS и удостовериться в том, что она может
быть надлежащим образом доведена до сведения заинтересованных сторон. Важно, чтобы
ограничения и применимость BCMS были отчетливы и понятны, а в области применения учитывались
вопросы, приведенные в Разделе 4.1 и в Разделе 4.2.
В области применения определены продукция и услуги, места, функции, процессы и виды
деятельности, на которые она распространяется. Из этого следует, что в область применения будут
включены все отношения подчинения, даже если они в явном виде не определены в описании области
применения системы. Например, если ―вознаграждение сотрудника‖ определено в области применения,
то наличие средств, одобрение руководства и инструкции для финансовой службы на выплату по
умолчанию также будут включены в область применения.
Организации следует четко документировать область применения и контекст BCMS.
4.3.2 Область применения BCMS
Организации следует определить и документировать область применения BCMS тем способом и
такими словами, которые соответствуют еѐ размеру, характеру и сложности.
В области применения следует:
a) определить подразделения организации, включенные в BCMS;
b) установить требования BCMS для данной организации, принимая во внимание еѐ миссию, цели,
юридическую ответственность, а также внутренние и внешние обязательства;
c) идентифицировать продукцию и услуги организации таким способам, который бы способствовал
идентификации всех соответствующих видов деятельности, ресурсов и цепочек поставок, а также
d) учесть потребности и интересы заинтересованных сторон.
Область применения также может:
включать указание на масштаб инцидента, с которым должна справиться BCMS, а также на
уровень риска, приемлемого для организации; и
4 © ISO 2012– Все права сохраняются
идентифицировать, каким образом BCMS согласуется с общей стратегией менеджмента риска
организации (если такая существует).
В случаях, когда то или иное подразделение организации исключается из области применения ее
BCMS, такое исключение следует документировать и объяснить.
Цель определения области применения заключается в обеспечении охвата всех соответствующих
видов деятельности, местоположений и поставщиков (8.2.1, Рисунок 6).
4.4 Система менеджмента устойчивости бизнеса
Это нормативная ссылка на ISO 22301:2012, который содержит требования к BCMS. Руководство не
предусмотрено.
5 Лидерство
5.1 Лидерство и приверженность
Высшему руководству организации на всех уровнях следует демонстрировать приверженность и
лидерство при реализации целей и политики в области устойчивости бизнеса. Демонстрировать это
можно, используя мотивацию, вовлеченность и наделение полномочий.
5.2 Приверженность руководства
Высшее руководство должно демонстрировать приверженность BCMS.
Высшему руководству следует подтверждать свои намерения содействовать развитию и внедрению
BCMS, постоянному повышению еѐ эффективности за счет:
a) обеспечения соответствия действующим нормативным и иным требованиям, которыми
руководствуется организация (4.2.2);
b) интеграции процессов BCMS в действующие в организации процедуры обеспечения деятельности
и еѐ контроля;
c) разработки политики и целей в области устойчивости бизнеса в соответствии с целями,
обязательствами и стратегической направленностью организации (5.3);
d) назначения лиц, одного или более, с соответствующими полномочиями и компетентностью,
отвечающих за BCMS и еѐ эффективное функционирование (5.4);
e) уверенности в том, что роли, ответственность и компетентность в рамках BCMS определены (5.4);
f) уверенности в достаточности ресурсов, в том числе необходимого объема финансирования (7.1);
g) доведения до организации всей важности следования политике и целям устойчивости бизнеса (7.4);
h) активного участия в подготовке и испытаниях (8.5);
i) уверенности в том, что проводятся внутренние проверки BCMS (9.2);
j) проведения результативных анализов со стороны руководства BCMS (9.3) и
k) управления и поддержания BCMS (Раздел 10).
Приверженность руководства может также выражаться во:
вовлечении в работу через руководящие группы;
включении вопросов обеспечения устойчивости бизнеса в повестку дня совещаний руководства на
постоянной основе.
5.3 Политика
Высшее руководство компании должно разработать политику в области устойчивости бизнеса с учетом
целей организации и еѐ обязательств и убедиться в том, что эта политика:
согласуется с целью организации (с учетом еѐ величины, характера и сложности и отражает еѐ
культуру, взаимозависимости и бизнес-окружение;
обеспечивает основу для постановки целей и задач;
включает ясные обязательства в отношении применимых требований, в том числе правовые и
регламентные обязательства и постоянное совершенствования BCMS;
доводится до сведения сотрудников организации и понимается ими;
дополняет политику в других областях и
доступна заинтересованным сторонам после еѐ утверждения руководством.
Следует принять соответствующие меры для утверждения этой политики, составления
документированной информации по ней и еѐ регулярной актуализации (например, ежегодной), а также
во всех случаях при существенных изменениях внешних и внутренних факторов организации
(например, перестановках в высшем руководстве компании или внесении новых законопроектов).
Целесообразность подобных мер зависит от величины, сложности, характера и особенностей
организации.
В этой политике следует также:
обеспечивать рамки области применения и границы устойчивости бизнеса организации, включая
ограничения и исключения;
определять все необходимые компетенции и полномочия, в том числе лица или лиц,
ответственных за BCMS организации;
устанавливать критерии определения характера и масштаба рассматриваемых инцидентов и
содержать ссылки на стандарты, руководства, нормативные документы и политики, которые
следует учесть в BCMS или соответствие которым следует достичь.
Политика устойчивости бизнеса может включать следующее:
основные термины;
финансовые обязательства;
ссылки на другие связанные с ней политики;
требования к обеспечению устойчивости бизнеса;
обязательство по практикованию и поддержанию устойчивости бизнеса.
6 © ISO 2012– Все права сохраняются
5.4 Организационные роли, ответственность и полномочия
Высшему руководству следует обеспечить распределение и передачу ответственности и полномочий в
рамках BCMS.
Представителю высшего руководства следует нести общую ответственность подотчетность за BCMS.
Высшему руководству организации следует назначить одного или нескольких своих специальных,
которым, независимо от их прочих функций, следует иметь определенные роли и обязанности, а также
полномочия для:
проверки того, что BCM создана, внедрена и поддерживается в рабочем состоянии согласно )
политике в области устойчивости бизнеса;
предоставления отчета высшему руководству об эффективности BSM для анализа и в качестве
последующего улучшения;
содействия осведомленности об устойчивости бизнеса в пределах всей организации и
обеспечения результативности процедур, разработанных для реагирования на инцидент, но не
обязательно для их реализации во время инцидента.
Представители руководства могут:
именоваться ―менеджер по устойчивости бизнеса‖;
исполнять в рамках организации иные обязанности и
находиться в разных офисах организации, в зависимости от еѐ величины и сложности.
Представители всех служб или офисов организации могут назначаться в помощь внедрению BCMS. Их
роли, ответственность, обязанности и полномочия следует включить в должностные инструкции, что
может быть также подкреплено их включением в документацию, содержащую политику в области
аттестации, премий и признания заслуг сотрудников.
Для надзора за реализацией и текущим мониторингом BSM высшее руководство может назначить
другие органы, например, руководящий комитет.
Все роли, обязанности и полномочия для BSM следует определить, документировать и подвергать аудиту.
6 Планирование
6.1 Действия в отношении рисков и возможностей
Организации следует определить, какие меры будут приниматься в отношении факторов, в 4.1, и
требований в 4.2.
Сюда следует включить оценку необходимости плана действий по:
предотвращению непреднамеренных результатов;
использованию всех возможностей для совершенствования BCMS.
При необходимости в него можно также включать:
интегрирование и реализацию этих действий в процесса BCMS (8.1) и
проверка того, есть ли доступ к документированной информации для оценки результативности
предпринятых действий (7.5).
6.2 Цели устойчивости бизнеса и планы их достижения
План установления и управления BCMS (как изложено в Разделе 8) следует зафиксировать и включить
в него определенные обязанности и соответствующие реальные задачи для выполняемых работ. План
следует основывать на задачах устойчивости бизнеса и довести его до сведения соответствующих
подразделений на всех уровнях организации. Выполнение плана следует контролировать и
документировать.
План следует пересматривать и, возможно, периодически актуализировать по мере развертывания BCMS.
Ниже приведены примеры задач для обеспечения устойчивости бизнеса, которые могут, при
определенных обстоятельствах, соответствовать требованиям, приведенным в ISO 22301:
―установить BCMS, соответствующую ISO 22313, к (дата)‖;
―добиться сертификации в соответствии с ISO 22301:2012 к (дата)‖;
―к (дата) мы должны получить устойчивость бизнеса, соответствующую нашим обязательствам
перед основными клиентами‖ и
―к (дата) иметь BSM, защищающую основную продукцию и услуги‖.
7 Обеспечение
7.1 Ресурсы
7.1.1 Общие положения
Организации следует определить и обеспечить ресурсы, необходимые для BCMS, которые должны:
a) обеспечивать выполнение задач и политики устойчивости бизнеса;
b) отвечать изменяющимся потребностям организации;
c) содействовать эффективному обмену информацией по вопросам BCMS как внутри, так и вне
организации, и
d) обеспечивать условия для текущей деятельности и непрерывного улучшения системы
менеджмента устойчивости бизнеса.
Обеспечение ресурсами должно быть своевременным и эффективным.
7.1.2 Ресурсы для BCMS
При определении ресурсов, необходимых для BCMS, организации следует адекватно обеспечить:
a) людские и связанные с этим ресурсы, в том числе:
1) время, необходимое для выполнения ролей и обязанностей BCMS;
2) подготовку, обучение, осведомленность и испытания;
3) управление персоналом BCMS;
8 © ISO 2012– Все права сохраняются
b) помещения, включая надлежащие рабочие места и инфраструктуру;
c) информационные и коммуникационные технологии (ICT), в том числе прикладные технологии,
обеспечивающие надежное и эффективное программное управление;
d) руководство и управление всеми видами документированной информации;
e) обмен информацией с заинтересованными сторонами (см. Рисунок 4), а также
f) финансы и целевые субсидии.
Ресурсы и их распределение следует периодически пересматривать с тем, чтобы гарантировать их
достаточность. Участие высшего руководства в таком пересмотре может оказаться полезным.
7.1.3 Персонал чрезвычайного реагирования
Организации следует предложить кандидатов в группу реагирования на инцидент с соответствующими
обязанностями, полномочиями и компетенцией, которые позволят управлять возникшей ситуацией.
Персонал чрезвычайного реагирования должен сформировать группу, отвечающую за управление в
условиях любого деструктивного инцидента, существенно влияющего или способного существенно
повлиять на деятельность организации.
Сотрудники могут быть прикреплены к группам в соответствии с продемонстрированной ими
компетентностью в различных ситуациях, вызванных инцидентом, например,
― Управление инцидентом/стратегическое управление (8.4.4.3.1);
― Коммуникации (8.4.4.3.2);
― Безопасность жизнедеятельности и социальная защита (8.4.4.3.3);
― Спасательные работы и безопасность (8.4.4.3.4);
― Возобновление деятельности (8.4.4.3.5);
― Восстановление работоспособности ICT (8.4.4.3.6).
Весь персонал в группах должен иметь четко определенные обязанности и полномочия, которые
выполняются до, во время и после инцидента.
7.2 Компетентность
Организации следует определить надлежащую эффективную систему управления компетентностью
лиц, выполняющих работу в BCMS под ее контролем.
Высшему руководству следует выявить компетентность, необходимую для всех ролей и обязанностей
в BCMS, а также степень осведомленности, знаний, понимания, навыков и опыта, требуемых для их
выполнения. Всем лицам с определенными ролями следует демонстрировать требуемую
компетентность, и им должна быть предоставлена возможность подготовки, обучения, развития и
другая поддержка. Это можно рассматривать как программу развития компетентности, которая может
включать:
― оценку компетентности, необходимой для предполагаемой роли(ей);
― разработку персональной программы развития, в которой идентифицируются подготовка,
обучение развитие, и другие виды поддержки, необходимые для приобретения нужной
компетентности;
― обеспечение подготовки и наставничества, включая подбор подходящих методов и материалов;
― обмен знаниями;
― разделение работы;
― найм или заключение договоров с компетентными лицами;
― подготовку целевых групп;
― документирование и мониторинг получаемой тренировки;
― оценку полученной тренировки с точки зрения заявленных потребностей и требований, чтобы
подтвердить соответствие результатов требованиям к подготовке для BCMS и
― если надо, улучшение программы развития.
Организации следует наладить процесс для идентификации и выработки требований к подготовке в
области устойчивости бизнеса всех участников, а также к оценке результативности этой работы.
Типы подготовки, которые могут подойти для конкретных ролей, показаны ниже:
a) установление и менеджмент BCMS:
1) установка и управление BSM;
2) проведение анализа последствий для бизнеса;
3) оценивание рисков;
4) коммуникативные навыки;
5) разработка и внедрение документации по устйчивости бизнеса и
6) реализация программы подготовки.
b) реагирование на инциденты и восстановление бизнеса:
1) оценка инцидента;
2) управление эвакуацией и убежищами, готовыми к использованию, включая процессы
регистрации для подсчета сотрудников;
3) мероприятия на альтернативных производственных объектах и
4) обработка запросов СМИ.
В организации компетентность и навыки реагирования следует развивать в процессе практической,
подготовки, включая активное участие в учениях.
Командам реагирования и восстановления следует пройти обучение и подготовку, касающиеся их
ответственности и обязанностей, включая взаимодействие с первым эшелоном реагирования и
прочими заинтересованными сторонами. Командам следует проводить подготовку регулярно (не
менее одного раза в год), а новые члены команды начинают подготовку, когда присоединяются к этой
структуре. Этим командам следует также проходить подготовку по предотвращению инцидентов,
способных перерасти в кризис.
Изменения условий и функционирования бизнеса влияют на подход к планированию, разработке и
реализации устойчивости бизнеса и на способ их выполнения. Организация может демонстрировать
10 © ISO 2012– Все права сохраняются
осведомленность о тенденциях в BSM путем, например, активного участия в отраслевых мероприятиях
по BSM, включающих:
― членство в отраслевых группах по интересам;
― членство в оргкомитетах конференций;
― проведение презентаций на конференциях и семинарах и
― посещение региональных или международных конференций по вопросам BSM.
Активное участие может выражаться следующим образом:
― членство в организационных комитетах конференций и семинаров, а также
― представление отчетов и статей на конференциях и семинарах.
Компетентность может быть увеличена любым из следующих способов:
― интегрированием достижений в области BCMS в процесс признания и поощрения сотрудников
организации;
― интегрированием достижений в области BCMS в процесс оценки эффективности организации;
― включением ролей, подотчетности, обязанностей и полномочий BCMS в должностные инструкции
и профили компетентности, действующие в организации, а также
― активным участием корпоративных пользователей и высшего руководства в подготовительных
тренировках, учениях и тестах.
Организации следует разработать программы подготовок и повышения осведомленности для всех
действующих сотрудников, которые могут подвергнуться воздействию деструктивного инцидента, и
потребовать от контрагентов, действующих от их имени, чтобы их персонал демонстрировал
необходимую для BCMS компетентность и соответствовал ролям, которые они будут исполнять в
чрезвычайной ситуации.
7.3 Осведомленность
Лицам, работающим под контролем организации, следует быть соответствующим образом
осведомленными о BCMS.
Круг этих лиц может включать персонал компании, подрядчиков и поставщиков. Им следует знать о
политике устойчивости бизнес, а также о:
― своей роли и ответственности относительно предотвращения инцидента, его обнаружения,
минимизации, индивидуальной защите, эвакуации, реагировании, устойчивости бизнеса и
возобновлении деятельности;
― важности соответствия политике и процедурам обеспечения устойчивости бизнеса;
― последствиях изменений на функционирование организации;
― своем в
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...