iTeh StandardsiTeh Standards
EURUSD
Your shopping cart is empty.
ISO

ISO/TS 22317:2021

(Main)

Security and resilience — Business continuity management systems — Guidelines for business impact analysis

Security and resilience — Business continuity management systems — Guidelines for business impact analysis

This document gives guidelines for an organization to implement and maintain a formal and documented business impact analysis (BIA) process appropriate to its needs. It does not prescribe a uniform process for performing a BIA. This document is applicable to all organizations regardless of type, size and nature, whether in the private, public or not-for-profit sectors. The guidance can be adapted to the needs, objectives, resources and constraints of the organization.

Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices pour le bilan d'impact sur l'activité

Le présent document fournit des lignes directrices visant à permettre à un organisme de mettre en œuvre et de maintenir un processus formel et documenté de bilan d’impact sur l’activité (BIA), adapté à ses besoins. Il n’impose pas de processus unique pour l’exécution d’un BIA. Le présent document est applicable à tous les organismes, quels que soient leur type, leur taille et leur nature, qu’ils appartiennent au secteur privé ou au secteur public et qu’ils soient à but non lucratif ou non. Les lignes directrices peuvent être adaptées en fonction des besoins, objectifs, ressources et contraintes de l’organisme.

General Information

Status
Published
Publication Date
16-Nov-2021
ICS
03.100.01 - Company organization and management in general
Technical Committee
ISO/TC 292 - Security and resilience
Drafting Committee
ISO/TC 292/WG 2 - Continuity and organizational resilience
Current Stage
9020 - International Standard under periodical review
Start Date
15-Jan-2025
Due Date
15-Jan-2025
Completion Date
15-Jan-2025
Ref Project

Relations

Revises
ISO/TS 22317:2015 - Societal security — Business continuity management systems — Guidelines for business impact analysis (BIA)
Effective Date
23-Apr-2020

Buy Standard

ISO/TS 22317:2021 - Security and resilience — Business continuity management systems — Guidelines for business impact analysis Released:11/17/2021ISO/TS 22317:2021 - Security and resilience — Business continuity management systems — Guidelines for business impact analysis Released:11/17/2021
PreviousNext
Technical specification
ISO/TS 22317:2021 - Security and resilience — Business continuity management systems — Guidelines for business impact analysis Released:11/17/2021
English language
36 pages
sale 15% off
Preview
sale 15% off
Preview
ISO/TS 22317:2021 - Security and resilience -- Business continuity management systems -- Guidelines for business impact analysisISO/TS 22317:2021 - Security and resilience -- Business continuity management systems -- Guidelines for business impact analysis
PreviousNext
Technical specification
ISO/TS 22317:2021 - Security and resilience -- Business continuity management systems -- Guidelines for business impact analysis
English language
36 pages
sale 15% off
Preview
sale 15% off
Preview
ISO/TS 22317:2021 - Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices pour le bilan d'impact sur l'activité Released:12/9/2021ISO/TS 22317:2021 - Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices pour le bilan d'impact sur l'activité Released:12/9/2021
PreviousNext
Technical specification
ISO/TS 22317:2021 - Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices pour le bilan d'impact sur l'activité Released:12/9/2021
French language
37 pages
sale 15% off
Preview
sale 15% off
Preview
ISO/TS 22317:2021 - Sécurité et résilience -- Systèmes de management de la continuité d'activité -- Lignes directrices pour le bilan d'impact sur l'activitéISO/TS 22317:2021 - Sécurité et résilience -- Systèmes de management de la continuité d'activité -- Lignes directrices pour le bilan d'impact sur l'activité
PreviousNext
Technical specification
ISO/TS 22317:2021 - Sécurité et résilience -- Systèmes de management de la continuité d'activité -- Lignes directrices pour le bilan d'impact sur l'activité
French language
37 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)


TECHNICAL ISO/TS
SPECIFICATION 22317
Second edition
2021-11
Security and resilience — Business
continuity management systems
— Guidelines for business impact
analysis
Sécurité et résilience — Systèmes de management de la continuité
d'activité — Lignes directrices pour l'analyse d'impact sur l'activité
Reference number
© ISO 2021
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Prerequisites . 1
4.1 General . 1
4.2 Context and scope . 2
4.2.1 Context . 2
4.2.2 Scope . 2
4.3 Roles and responsibilities . 2
4.3.1 General . 2
4.3.2 BIA leader . 2
4.3.3 Activity owners . 3
4.4 Commitment . 3
5 The BIA process.3
5.1 Fundamentals . 3
5.2 Plan BIA . . 4
5.3 Agree approach for undertaking BIA process . 4
5.3.1 Understand impacts . 4
5.3.2 Define impact types and criteria . 5
5.3.3 Define time frames . 7
5.3.4 Define methodology . 7
5.4 Determine products and services’ priorities with top management . 8
5.4.1 Overview . 8
5.4.2 Inputs . 8
5.4.3 Product and service priority determination . 8
5.4.4 Outcomes . 9
5.5 Determine the prioritized activities . 9
5.5.1 Overview . 9
5.5.2 Inputs . 9
5.5.3 Identify activities . 9
5.5.4 Set RTO for the activities . 9
5.5.5 Define the prioritized activities. 10
5.5.6 Results . 10
5.6 Identify resources and other dependencies . 10
5.6.1 Identify resource and other dependency requirements . 10
5.6.2 Resource requirements . 11
5.7 Analyse and consolidate BIA results. 11
5.8 Obtain top management approval for BIA results .12
6 Review BIA .12
6.1 Review BIA process and methodology .12
6.2 Review BIA results .12
Annex A (informative) BIA within the BCMS of ISO 22301:2019 .14
Annex B (informative) BIA information collection methods .15
Annex C (informative) Other uses for the BIA process .22
Annex D (informative) Examples for performing a BIA .25
Bibliography .36
iii
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
This second edition cancels and replaces the first edition (ISO/TS 22317:2015), which has been
technically revised. The main changes are as follows:
— the document has been updated to align with ISO 22301:2019;
— the document structure has been updated to improve the description of the business impact analysis
(BIA) process;
— more focus has been placed on the BIA process and less on the business continuity programme;
— BIA and the BIA process have been clearly differentiated;
— BIA process roles have been consolidated to BIA leader and activity owners;
— the section “Initial BIA considerations” has been removed and the guidance redistributed;
— the section “Strategy selection” has been removed as it is part of ISO/TS 22331;
— the annex on terminology has been removed;
— the annex on BIA information collection methods has been enhanced;
— a new annex with examples for performing a BIA has been included.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
iv
Introduction
This document provides detailed guidelines for implementing and maintaining a business impact
analysis (BIA) process consistent with ISO 22301. This document is applicable to the performance of
any BIA process.
The terminology used is consistent with ISO 22300 and ISO 22301, but an organization can use different
terms provided they are clearly understood.
Figure 1 notes the relationship of the BIA process to the business continuity management system
(BCMS) as a whole. The organization should complete a cycle of the BIA process before business
continuity strategies and solutions are selected.
NOTE Source: ISO 22313:2020, Figure 5.
Figure 1 — Elements of business continuity management
The BIA process analyses the effects of a disruption on the organization. The outcome is a statement
and justification of business continuity priorities and requirements.
The first step in the BIA is the prioritization of products and services, which is followed by a number of
process BIAs (optional) and activity BIAs. The scope of each of these BIAs can be limited, but together
they should cover the entire BCMS scope. Organizations should review and perform the BIA process on
a periodic basis (e.g. annually) and whenever there are significant changes within the organization or
its context.
In this document, the terms “BIA” and “BIA process” are used as well as “result” and “outcom
...


TECHNICAL ISO/TS
SPECIFICATION 22317
Second edition
2021-11
Security and resilience — Business
continuity management systems
— Guidelines for business impact
analysis
Sécurité et résilience — Systèmes de management de la continuité
d'activité — Lignes directrices pour l'analyse d'impact sur l'activité
Reference number
© ISO 2021
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Prerequisites . 1
4.1 General . 1
4.2 Context and scope . 2
4.2.1 Context . 2
4.2.2 Scope . 2
4.3 Roles and responsibilities . 2
4.3.1 General . 2
4.3.2 BIA leader . 2
4.3.3 Activity owners . 3
4.4 Commitment . 3
5 The BIA process.3
5.1 Fundamentals . 3
5.2 Plan BIA . . 4
5.3 Agree approach for undertaking BIA process . 4
5.3.1 Understand impacts . 4
5.3.2 Define impact types and criteria . 5
5.3.3 Define time frames . 7
5.3.4 Define methodology . 7
5.4 Determine products and services’ priorities with top management . 8
5.4.1 Overview . 8
5.4.2 Inputs . 8
5.4.3 Product and service priority determination . 8
5.4.4 Outcomes . 9
5.5 Determine the prioritized activities . 9
5.5.1 Overview . 9
5.5.2 Inputs . 9
5.5.3 Identify activities . 9
5.5.4 Set RTO for the activities . 9
5.5.5 Define the prioritized activities. 10
5.5.6 Results . 10
5.6 Identify resources and other dependencies . 10
5.6.1 Identify resource and other dependency requirements . 10
5.6.2 Resource requirements . 11
5.7 Analyse and consolidate BIA results. 11
5.8 Obtain top management approval for BIA results .12
6 Review BIA .12
6.1 Review BIA process and methodology .12
6.2 Review BIA results .12
Annex A (informative) BIA within the BCMS of ISO 22301:2019 .14
Annex B (informative) BIA information collection methods .15
Annex C (informative) Other uses for the BIA process .22
Annex D (informative) Examples for performing a BIA .25
Bibliography .36
iii
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
This second edition cancels and replaces the first edition (ISO/TS 22317:2015), which has been
technically revised. The main changes are as follows:
— the document has been updated to align with ISO 22301:2019;
— the document structure has been updated to improve the description of the business impact analysis
(BIA) process;
— more focus has been placed on the BIA process and less on the business continuity programme;
— BIA and the BIA process have been clearly differentiated;
— BIA process roles have been consolidated to BIA leader and activity owners;
— the section “Initial BIA considerations” has been removed and the guidance redistributed;
— the section “Strategy selection” has been removed as it is part of ISO/TS 22331;
— the annex on terminology has been removed;
— the annex on BIA information collection methods has been enhanced;
— a new annex with examples for performing a BIA has been included.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
iv
Introduction
This document provides detailed guidelines for implementing and maintaining a business impact
analysis (BIA) process consistent with ISO 22301. This document is applicable to the performance of
any BIA process.
The terminology used is consistent with ISO 22300 and ISO 22301, but an organization can use different
terms provided they are clearly understood.
Figure 1 notes the relationship of the BIA process to the business continuity management system
(BCMS) as a whole. The organization should complete a cycle of the BIA process before business
continuity strategies and solutions are selected.
NOTE Source: ISO 22313:2020, Figure 5.
Figure 1 — Elements of business continuity management
The BIA process analyses the effects of a disruption on the organization. The outcome is a statement
and justification of business continuity priorities and requirements.
The first step in the BIA is the prioritization of products and services, which is followed by a number of
process BIAs (optional) and activity BIAs. The scope of each of these BIAs can be limited, but together
they should cover the entire BCMS scope. Organizations should review and perform the BIA process on
a periodic basis (e.g. annually) and whenever there are significant changes within the organization or
its context.
In this document, the terms “BIA” and “BIA process” are used as well as “result” and “outcom
...


SPÉCIFICATION ISO/TS
TECHNIQUE 22317
Deuxième édition
2021-11
Sécurité et résilience — Systèmes
de management de la continuité
d'activité — Lignes directrices pour le
bilan d'impact sur l'activité
Security and resilience — Business continuity management systems
— Guidelines for business impact analysis
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2021
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .iv
Introduction . vi
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 1
4 Conditions préalables . 1
4.1 Généralités . 1
4.2 Contexte et domaine d’application . 2
4.2.1 Contexte . 2
4.2.2 Domaine d’application . 2
4.3 Rôles et responsabilités . 2
4.3.1 Généralités . 2
4.3.2 Pilote du BIA . 2
4.3.3 Propriétaires d’activité . . 3
4.4 Engagement . 3
5 Le processus de BIA . 3
5.1 Fondamentaux . 3
5.2 Planifier le BIA . 4
5.3 Convenir de l’approche pour engager le processus de BIA . 4
5.3.1 Comprendre les impacts . 4
5.3.2 Définir les types d’impacts et les critères . 5
5.3.3 Définir les délais . 7
5.3.4 Définir une méthodologie . 8
5.4 Déterminer les priorités attribuées aux produits et services avec la direction
générale . 8
5.4.1 Vue d’ensemble . 8
5.4.2 Données d’entrée . 9
5.4.3 Détermination des priorités pour les produits et services . 9
5.4.4 Aboutissements . 9
5.5 Déterminer les activités prioritaires . 9
5.5.1 Vue d’ensemble . 9
5.5.2 Données d’entrée . 10
5.5.3 Identifier les activités . 10
5.5.4 Établir les RTO des activités . 10
5.5.5 Définir les activités prioritaires . 10
5.5.6 Résultats . 10
5.6 Identifier les ressources et les autres dépendances . 11
5.6.1 Identifier les exigences en matière de ressources et autres dépendances . 11
5.6.2 Exigences en termes de ressources . 11
5.7 Analyser et consolider les résultats du BIA .12
5.8 Obtenir l’approbation de la direction générale pour les résultats du BIA .13
6 Passer en revue le BIA .13
6.1 Passer en revue le processus et la méthodologie de BIA .13
6.2 Passer en revue les résultats du BIA . 13
Annexe A (informative) Le BIA au sein du SMCA de l’ISO 22301:2019 .15
Annexe B (informative) Méthodes de collecte des informations relatives au BIA .16
Annexe C (informative) Autres utilisations du processus de BIA .23
Annexe D (informative) Exemples de réalisation de BIA .26
Bibliographie .37
iii
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Cette deuxième édition annule et remplace la première édition (ISO/TS 22317:2015), qui a fait l’objet
d’une révision technique. Les principales modifications sont les suivantes:
— le document a été mis à jour pour être aligné sur l’ISO 22301:2019;
— la structure du document a été mise à jour afin d’améliorer la description du processus relatif au
bilan d’impact sur l’activité (BIA);
— l’accent a été davantage mis sur le processus relatif au BIA et moins sur le programme de continuité
d’activité;
— le BIA et le processus de BIA ont été clairement différenciés;
— les rôles relatifs au processus du BIA ont été consolidés au niveau du pilote du BIA et des propriétaires
d’activité;
— le paragraphe «Considérations initiales relatives au BIA» a été retiré et les lignes directrices
redistribuées;
— le paragraphe «Sélectionner la stratégie» a été retiré, car il fait partie de l’ISO/TS 22331;
— l’annexe sur la terminologie a été retirée;
— l’annexe sur les méthodes de collecte des informations du BIA a été améliorée;
— une nouvelle annexe accompagnée d’exemples de réalisation de BIA a été incluse.
iv
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
v
Introduction
Le présent document fournit des lignes directrices détaillées pour la mise en œuvre et le maintien d’un
processus de bilan d’impact sur l’activité (BIA) qui soit cohérent avec l’ISO 22301. Ce document est
applicable à la réalisation de tout processus de BIA.
La terminologie utilisée est cohérente avec l’ISO 22300 et l’ISO 22301, mais un organisme peut utiliser
des termes différents à condition qu’ils soient clairement compris.
La Figure 1 montre la relation entre le processus de BIA et le système de management de la continuité
d’activité (SMCA) dans son ensemble. Il convient que l’organisme réalise un cycle complet de processus
de BIA avant de sélectionner les stratégies et solutions de continuité d’activité.
NOTE Source: ISO 22313:2020, Figure 5.
Figure 1 — Éléments de management de la continuité d’activité
Le processus de BIA analyse les effets d’une perturbation sur un organisme.
...


SPÉCIFICATION ISO/TS
TECHNIQUE 22317
Deuxième édition
2021-11
Sécurité et résilience — Systèmes
de management de la continuité
d'activité — Lignes directrices pour le
bilan d'impact sur l'activité
Security and resilience — Business continuity management systems
— Guidelines for business impact analysis
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2021
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .iv
Introduction . vi
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 1
4 Conditions préalables . 1
4.1 Généralités . 1
4.2 Contexte et domaine d’application . 2
4.2.1 Contexte . 2
4.2.2 Domaine d’application . 2
4.3 Rôles et responsabilités . 2
4.3.1 Généralités . 2
4.3.2 Pilote du BIA . 2
4.3.3 Propriétaires d’activité . . 3
4.4 Engagement . 3
5 Le processus de BIA . 3
5.1 Fondamentaux . 3
5.2 Planifier le BIA . 4
5.3 Convenir de l’approche pour engager le processus de BIA . 4
5.3.1 Comprendre les impacts . 4
5.3.2 Définir les types d’impacts et les critères . 5
5.3.3 Définir les délais . 7
5.3.4 Définir une méthodologie . 8
5.4 Déterminer les priorités attribuées aux produits et services avec la direction
générale . 8
5.4.1 Vue d’ensemble . 8
5.4.2 Données d’entrée . 9
5.4.3 Détermination des priorités pour les produits et services . 9
5.4.4 Aboutissements . 9
5.5 Déterminer les activités prioritaires . 9
5.5.1 Vue d’ensemble . 9
5.5.2 Données d’entrée . 10
5.5.3 Identifier les activités . 10
5.5.4 Établir les RTO des activités . 10
5.5.5 Définir les activités prioritaires . 10
5.5.6 Résultats . 10
5.6 Identifier les ressources et les autres dépendances . 11
5.6.1 Identifier les exigences en matière de ressources et autres dépendances . 11
5.6.2 Exigences en termes de ressources . 11
5.7 Analyser et consolider les résultats du BIA .12
5.8 Obtenir l’approbation de la direction générale pour les résultats du BIA .13
6 Passer en revue le BIA .13
6.1 Passer en revue le processus et la méthodologie de BIA .13
6.2 Passer en revue les résultats du BIA . 13
Annexe A (informative) Le BIA au sein du SMCA de l’ISO 22301:2019 .15
Annexe B (informative) Méthodes de collecte des informations relatives au BIA .16
Annexe C (informative) Autres utilisations du processus de BIA .23
Annexe D (informative) Exemples de réalisation de BIA .26
Bibliographie .37
iii
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Cette deuxième édition annule et remplace la première édition (ISO/TS 22317:2015), qui a fait l’objet
d’une révision technique. Les principales modifications sont les suivantes:
— le document a été mis à jour pour être aligné sur l’ISO 22301:2019;
— la structure du document a été mise à jour afin d’améliorer la description du processus relatif au
bilan d’impact sur l’activité (BIA);
— l’accent a été davantage mis sur le processus relatif au BIA et moins sur le programme de continuité
d’activité;
— le BIA et le processus de BIA ont été clairement différenciés;
— les rôles relatifs au processus du BIA ont été consolidés au niveau du pilote du BIA et des propriétaires
d’activité;
— le paragraphe «Considérations initiales relatives au BIA» a été retiré et les lignes directrices
redistribuées;
— le paragraphe «Sélectionner la stratégie» a été retiré, car il fait partie de l’ISO/TS 22331;
— l’annexe sur la terminologie a été retirée;
— l’annexe sur les méthodes de collecte des informations du BIA a été améliorée;
— une nouvelle annexe accompagnée d’exemples de réalisation de BIA a été incluse.
iv
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
v
Introduction
Le présent document fournit des lignes directrices détaillées pour la mise en œuvre et le maintien d’un
processus de bilan d’impact sur l’activité (BIA) qui soit cohérent avec l’ISO 22301. Ce document est
applicable à la réalisation de tout processus de BIA.
La terminologie utilisée est cohérente avec l’ISO 22300 et l’ISO 22301, mais un organisme peut utiliser
des termes différents à condition qu’ils soient clairement compris.
La Figure 1 montre la relation entre le processus de BIA et le système de management de la continuité
d’activité (SMCA) dans son ensemble. Il convient que l’organisme réalise un cycle complet de processus
de BIA avant de sélectionner les stratégies et solutions de continuité d’activité.
NOTE Source: ISO 22313:2020, Figure 5.
Figure 1 — Éléments de management de la continuité d’activité
Le processus de BIA analyse les effets d’une perturbation sur un organisme.
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

This May Also Interest You

ISO
ISO 22371:2024(Main)
Security and resilience — Community resilience — Principles, framework and guidelines on urban resilience

This document provides principles, framework and guidelines on how to enhance urban resilience to protect communities, people and organizations and improve residents' quality of life. It describes: a) how to build capacity to better manage change and disruptive events, minimizing the impacts on the residents, including the most disadvantaged and vulnerable persons; b) the benefits of urban resilience; c) how to organize, assess, plan, implement and continually improve urban resilience. This document is applicable to all urban contexts, governance structures and stakeholders for all identified levels of risk. It is intended to be used by all organizations that have accountability for resilience of services in urban communities.

  • Standard
    37 pages
    English language
    sale 15% off
ISO
ISO 22340:2024(Main)
Security and resilience — Protective security — Guidelines for an enterprise protective security architecture and framework

This document provides guidance on the enterprise protective security architecture and the framework of protective security policies, processes and types of controls necessary to mitigate and manage security risks across the protective security domains, including: a) security governance; b) personnel security; c) information security; d) cybersecurity; e) physical security. This document is applicable for any organization.

  • Standard
    31 pages
    English language
    sale 15% off
  • Standard
    31 pages
    French language
    sale 15% off
ISO
ISO 22328-2:2024(Main)
Security and resilience — Emergency management — Part 2: Guidelines for the implementation of a community-based early warning system for landslides

This document gives guidelines for the implementation of a community-based disaster early warning system (EWS) for landslides. It complements the generic guidelines in ISO 22328-1. It describes the methods and procedures, implementation methods and activities specifically related to landslides. This document is applicable to communities vulnerable to landslides, without taking secondary/indirect effects into consideration.

  • Standard
    14 pages
    English language
    sale 15% off
ISO
ISO/TS 22386:2024(Main)
Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines for brand protection and enforcement procedures

This document provides guidelines for establishing and enforcing respective measures for brand protection. It supports the development of a brand protection strategy and describes a brand protection framework for the development, production, and distribution of products and documents. Applying these guidelines throughout the product lifecycle can facilitate interaction between individuals and organizations involved in brand protection activities and can make brand protection procedures more effective and efficient. This document is intended to support the brand owner’s business resilience, brand reputation, and brand value, by protecting products, documents, and associated services from counterfeiting and other infringements.

  • Technical specification
    17 pages
    English language
    sale 15% off
ISO
ISO 22336:2024(Main)
Security and resilience — Organizational resilience — Guidelines for resilience policy and strategy

This document provides guidelines on the design and development of an organizational resilience policy and strategy. It includes: — how to design and formulate a resilience policy; — how to design strategy to achieve the objectives of a resilience policy; — how to determine priorities for implementation of the organization’s resilience initiatives; — how to establish a cooperative and coordinated capability to enhance resilience. This document is applicable to organizations seeking to enhance resilience. It is not specific to any industry or sector. It can be applied throughout the life of an organization to enhance resilience. This document does not provide guidance on the development of an organizational resilience capability.

  • Standard
    21 pages
    English language
    sale 15% off
ISO
ISO/TS 22360:2024(Main)
Security and resilience — Crisis management — Concepts, principles and framework

This document provides an outline of crisis concepts and the principles that inform and support contemporary thinking on the circumstances and conditions under which crises can develop. It specifies: — concepts and principles, governing crises; — the social-ecological system (SES) framework in which crises develop; — factors that contribute to crises; — the progression and evolution of a crisis; — a structure for classifying crises; — the relationship between issues, incidents, emergencies, disasters, and crises; — a crisis taxonomy for the systematic development of policies, strategies, and standards, relevant to crisis management (see Annex A). This document does not provide guidance on how organizations can: — manage physiological or psychological aspects of human reactions to personal crises; — manage personal health or public health crisis affecting individuals, communities, or having broader impacts on society; — design, develop or implement crisis management programs or plans; — develop a strategic capability for crisis management; — apply crisis management techniques to specific crisis situations. This document is applicable to all organizations. It can also be applied by standards users and standards writers and educators. It encourages a better understanding of crisis concepts and the interconnected characteristics of factors that contribute to crises through referencing the crisis controls and effects social-ecological system model. The application of the principles described in this document can encourage consistency in the use of crises related terms and definitions and complements other ISO standards for crisis management.

  • Technical specification
    26 pages
    English language
    sale 15% off
  • Technical specification
    29 pages
    French language
    sale 15% off
ISO
ISO 22359:2024(Main)
Security and resilience — Guidelines for hardened protective shelters

This document provides guidelines for the design, use and maintenance of hardened protective shelters (hereafter referred to as “shelters”). It specifies guidance on the layout, structures, equipment and actions related to a shelter. This document is intended for organizations or individuals responsible for or involved in decision-making, planning, implementation, administration, use or upkeep of shelters, such as local, regional and national governments, civil protection agencies, first responders and businesses such as designers, constructers and equipment suppliers. This document does not cover the minimum requirements or exact specifications for the properties of or actions related to a shelter; nor does it cover rapidly erected temporary shelters, such as lightweight canvas weather shelters, other tarp tent shelters, or metal and container shelters. Military shelters are subject to additional requirements which are outside the scope of this document.

  • Standard
    26 pages
    English language
    sale 15% off
ISO
ISO 28000:2022/Amd 1:2024(Amendment)
Security and resilience — Security management systems — Requirements — Amendment 1: Climate action changes
  • Standard
    1 page
    English language
    sale 15% off
ISO
ISO 22301:2019/Amd 1:2024(Amendment)
Security and resilience — Business continuity management systems — Requirements — Amendment 1: Climate action changes
  • Standard
    1 page
    English language
    sale 15% off
  • Standard
    1 page
    French language
    sale 15% off
  • Standard
    1 page
    French language
    sale 15% off
ISO
ISO 22388:2023(Main)
Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines for securing physical documents

This document gives guidance on how to secure physical documents for specifying entities of physical documents. It establishes a procedure for security design, which includes: — risk assessment; — determination of document classes; — introduction of security features; — security evaluation; — document risk mitigation. This document is applicable to secure physical documents that are used for important actions such as validating value transactions, providing access, demonstrating compliance and securing products. This document does not apply to banknotes, machine-readable travel documents, driving licences, postage stamps, tax stamps, health cards or national identity cards covered by existing standards and regulations.

  • Standard
    36 pages
    English language
    sale 15% off
  • Standard
    39 pages
    French language
    sale 15% off