iTeh Standards logo
EURUSD
Your shopping cart is empty.
ISO

ISO 22361:2022

(Main)

Security and resilience — Crisis management — Guidelines

Security and resilience — Crisis management — Guidelines

This document provides guidance on crisis management to help organizations plan, establish, maintain, review and continually improve a strategic crisis management capability. This guidance can help any organization to identify and manage a crisis. Elements for consideration include: — context, core concepts, principles and challenges (see Clause 4); — developing an organization’s crisis management capability (see Clause 5); — crisis leadership (see Clause 6); — the decision-making challenges and complexities facing a crisis team in action (see Clause 7); — crisis communication (see Clause 8); — training, validation and learning from crises (see Clause 9). It is applicable to top management with strategic responsibilities for the delivery of a crisis management capability in any organization. It can also be used by those who operate under the direction of top management. This document acknowledges the relationship and interdependencies with various disciplines but is distinct from these topics.

Sécurité et résilience — Gestion de crise — Lignes directrices

Le présent document fournit des lignes directrices pour la gestion de crise destinées à aider les organismes à planifier, établir, maintenir, passer en revue et améliorer de façon continue une capacité de gestion de crise stratégique. Ces lignes directrices peuvent aider tout organisme à identifier et à gérer une crise. Les éléments à prendre en compte incluent: — le contexte, les concepts fondamentaux, les principes et les défis (voir Article 4); — le développement de la capacité de gestion de crise d'un organisme (voir Article 5); — le leadership de crise (voir Article 6); — les défis et complexités de la prise de décision auxquels est confrontée une cellule de crise en action (voir Article 7); — la communication de crise (voir Article 8); — la formation, la validation et l’apprentissage à partir des crises (voir Article 9). Le présent document s'adresse aux membres de la direction générale ayant des responsabilités stratégiques pour la fourniture d'une capacité de gestion de crise au sein de tout organisme. Il peut également être utilisé par les personnes qui sont placées sous l'autorité de la direction générale. Le présent document reconnaît la relation et les interdépendances avec différentes disciplines, mais est distinct de ces thématiques.

General Information

Status
Published
Publication Date
18-Oct-2022
ICS
03.100.01 - Company organization and management in general
Technical Committee
ISO/TC 292 - Security and resilience
Drafting Committee
ISO/TC 292/WG 9 - Crisis management
Current Stage
6060 - International Standard published
Start Date
19-Oct-2022
Due Date
30-Sep-2022
Completion Date
19-Oct-2022
Ref Project
ISO 22361:2022 - Security and resilience — Crisis management — Guidelines Released:19. 10. 2022ISO 22361:2022 - Security and resilience — Crisis management — Guidelines Released:19. 10. 2022
PreviousNext
Standard
ISO 22361:2022 - Security and resilience — Crisis management — Guidelines Released:19. 10. 2022
English language
36 pages
sale 15% off
Preview
sale 15% off
Preview
ISO 22361:2022 - Security and resilience — Crisis management — Guidelines Released:19. 10. 2022ISO 22361:2022 - Security and resilience — Crisis management — Guidelines Released:19. 10. 2022
PreviousNext
Standard
ISO 22361:2022 - Security and resilience — Crisis management — Guidelines Released:19. 10. 2022
French language
38 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)


INTERNATIONAL ISO
STANDARD 22361
First edition
2022-10
Security and resilience — Crisis
management — Guidelines
Sécurité et résilience — Gestion de crise — Lignes directrices
Reference number
© ISO 2022
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
Contents Page
Foreword .v
Introduction . vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Crisis management — Context, core concepts and principles. 3
4.1 The nature of crises . 3
4.2 Characteristics of a crisis . 3
4.3 Potential origins of crises . 5
4.4 Readiness to respond and recover . 7
4.5 Principles for crisis management . 7
4.5.1 General . 7
4.5.2 Principle A: Governance . 7
4.5.3 Principle B: Strategy . 7
4.5.4 Principle C: Risk management . 7
4.5.5 Principle D: Decision-making . 8
4.5.6 Principle E: Communication . 8
4.5.7 Principle F: Ethics . 8
4.5.8 Principle G: Learning . 8
5 Building a crisis management capability . 8
5.1 General . 8
5.2 Crisis management framework . 9
5.2.1 General . 9
5.2.2 Leadership. 9
5.2.3 Structure . 10
5.2.4 Culture . 10
5.2.5 Competence . 11
5.3 Crisis management process . 11
5.3.1 Anticipation . 11
5.3.2 Assessment . 11
5.3.3 Prevention and mitigation . 11
5.3.4 Preparedness .12
5.3.5 Response . . 16
5.3.6 Recovery . 19
5.3.7 Continual improvement. 19
6 Crisis leadership . .20
6.1 Core leadership skills and attributes . 20
6.1.1 General .20
6.1.2 Role and responsibility of the crisis leader(s) . 21
6.2 Well-being and sustainable crisis response . 22
6.2.1 Crisis management responders . . 22
6.2.2 Wider interested-party impact . 22
7 Strategic crisis decision-making .23
7.1 General .23
7.2 Why decision-making can be challenging . 24
7.3 Dilemmas, decision delay, decision avoidance . 25
7.4 Decision-making issues .25
7.5 Effective crisis decision-making . 25
8 Crisis communication .26
8.1 General . 26
8.2 Pre-crisis preparation. 26
iii
8.3 Managing relationships and reputation . 27
8.4 Key roles . 27
8.4.1 Communication team . 27
8.4.2 Spokespeople .28
8.4.3 Media relations .28
8.5 Crisis communication strategy .28
8.6 Key principles and activities of crisis communication .29
8.7 Consistency of message . 30
8.8 Barriers to effective communication . 30
8.9 Social media — Opportunities and threats . 31
9 Training, validation and learning from crises .31
9.1 General . 31
9.2 Developing competence . 32
9.3 Training . 32
9.4 Exercising . 33
9.5 Validation .34
9.6 Evaluating and learning .34
Bibliography .36
iv
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience, in
collaboration with the European Committee for Standardization (CEN) Technical Committee CEN/
TC 391, Societal and Citizen Security, in accordance with the Agreement on technical cooperation
between ISO and CEN (Vienna Agreement).
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
v
Introduction
This document has been developed to aid in the design and ongoing development of an organization’s
crisis management capability. It sets out principles and practices needed by all organizations.
Crises present organizations with complex challenges and, possibly, opportunities that can have
profound and far-reaching consequences. An organization’s crisis management capability and its ability
to manage a changing environment are key factors in determining whether a situation or incident has
the potential to pose a serious or existential threat to the organization and its environment. The crisis
affecting an organization can be part of a broader crisis.
To ensure the crisis management capability has the desired outcome, the organization should provide:
— committed leadership;
— structures (e.g. funding, communications, relationships and linkages, equipment, facilities,
information management, principles, processes and procedures);
— a supportive culture (e.g. values, ethics, code of conduct);
— competent personnel (e.g. knowledge, skills and attitude, flexible thinking).
An organization’s crisis management capability will be influenced by its relationship with other
interdependent areas such as risk management, business continuity, information security, physical
security, safety, civil protection, incident response and emergency management.
The organization should adopt a structured approach to crisis management by applying a set of
principles on which a crisis management framework can be developed. These interrelated principles,
framework and applicable process elements support the implementation of a crisis management
capability in a purposeful, consistent and rigorous manner (see Figure 1).
vi
Key
principle (see 4.5)
framework (see 5.2)
process (see 5.3)
Figure 1 — Building a crisis management capability — Principles, framework and process
The structure of the document is as follows:
— the core concepts of crisis management are described (see Clause 4);
— then the framework and process for building a crisis management capability are outlined (see
Clause 5).
The clauses that follow provide more detail on:
— crisis leadership (see Clause 6);
— strategic crisis decision-making (see Clause 7);
— crisis communication (see Clause 8);
— training, validation and learning from crises (see Clause 9).
Continual improvement is a component of all elements of this document (see 5.3.7), so that while it is
part of the process, it also addresses all capability elements.
vii
INTERNATIONAL STANDARD ISO 22361:2022(E)
Security and resilience — Crisis management — Guidelines
1 Scope
This document provides guidance on crisis management to help organizations plan, establish, maintain,
review and continually improve a strategic crisis management capability. This guidance can help any
organization to identify and manage a crisis. Elements for consideration include:
— context, core concepts, principles and challenges (see Clause 4);
— developing an organization’s crisis management capability (see Clause 5);
— crisis leadership (see Clause 6);
— the decision-making challenges and complexities facing a crisis team in action (see Clause 7);
— crisis communication (see Clause 8);
— training, validation and learning from crises (see Clause 9).
It is applicable to top management with strategic responsibilities for the delivery of a crisis management
capability in any organization. It can also be used by those who operate under the direction of top
management.
This document acknowledges the relationship and interdependencies with various disciplines but is
distinct from these topics.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Security and resilience — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1
capability
ability to accomplish an undertaking with a defined intended outcome and within specified conditions
Note 1 to entry: An organizational capability depends on the available resources and organizational principles,
framework (leadership, structure, culture, competences) and processes.
3.2
crisis
abnormal or extraordinary event or situation that threatens an organization (3.13) or community and
requires a strategic, adaptive and timely response in order to preserve its viability and integrity
Note 1 to entry: The event or situation can include a high degree of complexity, instability and uncertainty.
Note 2 to entry: The event or situation can exceed the response capacity or capability (3.1) of the organization.
Note 3 to entry: Given the nature of a crisis, a flexible and dynamic approach is needed in addition to any
rehearsed plans and procedures.
Note 4 to entry: Threats can impact upon the organization’s ability to function, its reputation, its brand, its
physical, political or intellectual property, its organizational structure and its human, environment and economic
factors.
Note 5 to entry: The term “organization” also includes governmental and non-governmental agencies and
national authorities in the public sector, as well as non-governmental organizations (NGOs) and charities.
3.3
crisis management
coordinated activities to lead, direct and control an organization (3.13) with regard to crisis (3.2)
3.4
crisis management team
CMT
group of individuals functionally responsible for leading the organization's (3.13) crisis management
(3.3) response
3.5
crisis management plan
CMP
document specifying which procedures and associated resources are to be applied by whom and where
in a crisis (3.2)
3.6
incident
event or situation that can be, or could lead to, a disruption, loss, emergency or crisis (3.2)
[SOURCE: ISO 22300:2021, 3.1.122, modified — “or situation” has been added to the definition.]
3.7
interested party
stakeholder
person or organization (3.13) that can affect, be affected by, or perceive themselves to be affected by a
decision or activity
3.8
governance
human-based system by which an organization (3.13) is directed, overseen and held
accountable for achieving its defined purpose
3.9
situation report
summary, either verbal or written, outlining the current state and potential development of an incident
(3.6) or crisis (3.2) and the response to it
3.10
situational awareness
perception of the elements in the environment within a volume of time and space, the comprehension of
their meaning and a projection of their status in the near future
3.11
top management
person or group of people who directs and controls an organization (3.13) at the highest level
3.12
issue
event or situation that does not currently present, but can develop into, a long-term or significant
negative impact on the strategic objectives, reputation or viability of the organization (3.13)
Note 1 to entry: Effectively responding to emerging issues can result in the successful aversion of a crisis (3.2).
3.13
organization
person or group of people that has its own functions with responsibilities, authorities and relationships
to achieve its objectives
Note 1 to entry: The concept of organization includes, but is not limited to, sole-trader, company, corporation, firm,
enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated
or not, public or private.
3.14
crisis communication
communications both internal and external to provide information, updates and instructions to
internal and external interested parties (3.7)
Note 1 to entry: Adequate crisis communication can also protect the organization's (3.13) reputation and brand
and maintain its public image.
4 Crisis management — Context, core concepts and principles
4.1 The nature of crises
Crises can be associated with highly complex issues, the full implications and nature of which can be
unclear at the time. Possible decisions and actions can have severe negative consequences, and decision-
makers at all levels sometimes have to choose the least detrimental solution (see 7.4) and resolve (or
recognize and accept) fundamental strategic dilemmas. This can mean that every choice comes with a
penalty of some kind and there is no ideal solution.
Premature or ill-considered decisions on actions or processes to manage a crisis can have potential to
cause significant consequences and cause additional harm or exacerbate the crisis situation and should
be avoided. If the range of available options being considered can reduce the impact of a crisis yet have
adverse consequences upon other organizational objectives, it can be necessary to choose the option
that has the potential to create the least amount of loss or disruption to the organization
Crises often involve threats to people, the environment, assets (such as property or information) or
reputation.
A crisis can require the organization to review its objectives, opportunities, strategies, policies,
practices or procedures and culture and as part of continual improvement.
A well-managed crisis can demonstrate the positive qualities of an organization and enhance its
reputation
4.2 Characteristics of a crisis
A crisis can be complex and challenging and can also provide opportunities for an organization to
demonstrate core values, effective controls, governance, crisis response, review and learning.
Although many crises appear to be unique there are often consistent characteristics. Understanding
these characteristics enables the improvement of the crisis management capability by comprehending
their differences.
Often, a crisis is precipitated by an incident. There are some common characteristics found in both an
incident and a crisis. Table 1 highlights some of the differences and Figure 2 shows the relationship
between an incident and a crisis.
Table 1 — Key characteristics between incidents and crises
Characteristics Incidents Crises
Predictability Incidents are generally foreseeable, Crises are typically unique, rare events or
although their specific timing, type and situations. Some crises can be anticipated;
impact are variable. however, timing and impact usually are not
always foreseeable.
Onset Incidents can be no-notice or short-notice Crises can also occur from a no-notice or
disruptive events, or they can emerge short-notice event. They can also emerge
through a gradual failure or loss of control. from an incident that has not been con-
tained, has been managed badly or further
escalates to have reputational conse-
quences, and which requires a crisis-level
response.
Urgency and pres- In managing an incident, there is usually a A crisis always needs urgent attention as
sure high sense of urgency to act to either pre- the impact can be very high. Given the po-
vent the situation from getting worse or to tential impact and the fact that a crisis has
minimize its impact. more visibility it is common that it places a
high level of pressure on the organization.
Impacts Incidents are events which, although they Crises can disrupt or affect the entire
can take considerable resources to manage, organization, transcending organizational,
rarely threaten the existence of the organi- geographical and sectoral boundaries. As
zation or have a major long-term impact on crises tend to be complex and inherently
its reputation. The impacts are usually local uncertain, the long-term impacts can be dif-
or affect only a part of the organization. ficult to assess. A badly handled crisis can
lead to a catastrophic loss of functionality,
Incidents are generally manageable, and al-
values, trust and reputation. These negative
though the impact on interested parties can
impacts can have a lasting detrimental
be severe, it is manageable and temporary.
effect on the organization. Crisis can lead
to the conclusion that the legal situation
should be adjusted during the crisis.
The size, location and type of an organiza-
tion can make it more susceptible to certain
incidents which can become a crisis.
Scrutiny by public, Effective incident management, where- Crises are likely to result in significant scru-
media and other by adverse events are quickly iden- tiny and interest among interested parties
interested parties tified, impacts rapidly mitigated and including members of the public, product
business-as-usual quickly restored, will and service users, specific groups (such as
probably attract little or no negative media regulators, shareholders or industry bodies)
attention. and the media, including social media.
Where there is adverse publicity, this can The specific parties taking an interest in
be confined to a locality or a specific group. the crisis will depend on the type of event,
However, there is always the possibility of who it threatens, and who it impacts. It is
the adverse publicity growing and spread- very likely that all actions and responses
ing to additional groups, leading to the by the organization will be scrutinized and
event becoming a crisis. any perceived poor decisions, attempts
to avoid responsibility, blaming of others,
poor treatment of victims or attempts to cut
costs on the response can lead to further
sustained criticism and a deepening of the
crisis, or can create new challenges.
TTabablele 1 1 ((ccoonnttiinnueuedd))
Characteristics Incidents Crises
Manageability Incidents can often be resolved by using Crises, through a combination of their
through established plans which contain incident management novelty, inherent uncertainty and potential
plans and proce- procedures and structures and details of scale and duration of impact, are rarely
dures predetermined solutions and available resolvable through the application of prede-
resources. Top management can potentially fined procedures and plans alone.
be informed or need to provide direction
They demand a flexible, creative, strate-
and supervision
gic and sustained leadership response.
Values and behaviour can be challenged
and amended. The organization will rely on
its crisis management structure, methods,
planning, training and exercising.
Crises challenge the capabilities of the
organization beyond its inherent coping
capacity.
An issue could escalate to an incident, then a crisis. The organization should recognize the change in
the situation and be flexible so it can adjust its response accordingly.
Figure 2 — Relationships and characteristics between an issue, incident and crisis
4.3 Potential origins of crises
Crises can be caused in a number of ways, including:
a) disruptive incidents that have immediate and strategic implications: these can arise from acts of
malice, misconduct or negligence, or a failure (perceived or actual) to deliver products or services
that meet the expected standards or legal requirements of quality or safety, unpopular (political)
decisions or actions, rumours and false information;
b) operating fluctuations such as changes in the public reporting in the market, and interested parties’
preferences, technological development, changes in laws and regulations, competitions and threats
of takeover;
c) poorly managed incidents and the emergence of latent and hidden issues with unacceptable
consequences for trust in an organization’s reputation and brand; such issues can “incubate” over
time, typically as a result of:
1) inadequate governance allowing for gradual and incremental slippages in standards of quality,
reliability, safety or management control to go unchecked and become accepted as a normal
way of working;
2) convenient, but unofficial, “workaround” strategies becoming the routine, due, for example,
to overcomplicated processes, unrealistic schedules, chronic personnel shortages and relaxed
supervision;
3) flaws in supervision and process monitoring, which promote an expectation of “getting away
with” undesirable behaviours or being able to survive minor failures without reporting them,
or over-reliance on controls to catch all errors, rather than an expectation of quality checks
that catch only occasional issues;
4) blame cultures that encourage risk and issue cover-ups and the lack of a shared sense of
mission and purpose, which generates a defensive (if not hostile) “them and us” attitude
between personnel and management, between different parts of the organization and between
the organization and external interested parties;
5) poor behaviour (or what is perceived to be poor behaviour) by the organization’s executives,
a single executive or the organization as a whole (such as lying, misrepresenting services or
products and results, failure to revise decisions or recall products when knowing they pose
a danger to their purchaser or the public, actions which are in conflict with the organization’s
values, illegal activity or willingly breaching regulations);
6) poor training and development of personnel and managers, or incremental loss of skills and
knowledge;
7) human factors including fatigue, stress, personal issues and working in unfamiliar
circumstances;
8) ineffective human resource management (such as failure to learn from historical events,
unrealistic schedules, chronic personnel shortages and relaxed supervision);
9) external factors that can impact the organization’s people, operations, reputation, technology
and assets, both tangible and intangible, such as extreme weather events, and incidents
triggered by critical vendors or data loss;
10) inadequate preparation (plans, procedures and organization) for dealing with incidents;
11) failure to escalate appropriately due to ability, choice or culture.
Crises invariably have multiple contributing factors, which can originate from inside or outside the
organization. These can interact in a complex manner, making them difficult to identify and manage,
resulting in the need for flexible planning approaches. While the origin of an incident can seem simple
at the onset, further review can expose systemic weakness in how the organization is managed. If an
incident is not managed effectively, it can escalate into a crisis.
Crisis management strategies and actions should reflect the organization’s objectives and values.
Failure to adhere to its core values can make the situation worse.
4.4 Readiness to respond and recover
The uncertainty of crisis situations demands that crisis roles and responsibilities are understood, and
actions clearly and methodically overseen and directed. Decisions should be intrinsically linked to the
core values of the organization. The organization should prepare to face difficult decision-making and
emphasize the importance of clear and coherent actions and communications during the crisis.
The organization should determine ways to mobilize its crisis management resources and activate the
associated processes. Timely response to a crisis is critical. Denial, complacency or delay among strategic
decision-makers can increase the impact and the organization’s vulnerability, hamper response, and
degrade capacity to recover. Crises can be so extraordinarily demanding that no assumptions should
be made about the ability of personnel (of any seniority, grade or experience) to manage them and steer
the organization out of a crisis.
Successful crisis management requires flexibility and creativity. It can involve stepping outside the
normal “rules” of the organization or its business environment and being prepared to defend or justify
its actions. For the organization’s leaders, this requires clarity of thought, strategic vision, decisiveness
and the ability to act in ways that reflect the core values of the organization. In particular, leaders should
behave with compassion toward those affected by the crisis and expect and encourage this behaviour
across the whole organization.
4.5 Principles for crisis management
4.5.1 General
The principles given in 4.5.2 to 4.5.8 are the foundation for establishing and building the organization’s
crisis management capability that is underpinned by operational capability.
4.5.2 Principle A: Governance
Crisis management is dependent upon effective governance at all levels of the organization.
A crisis management capability is dependent upon clearly understood structures, roles, responsibilities
and competence.
The capacity of employees to respond to a crisis is impacted by their understanding of their roles and
responsibilities, being adequately trained to competently and confidently meet the demands of the
crisis.
4.5.3 Principle B: Strategy
Crisis management is a strategic capability.
Building and maintaining a crisis management capability is dependent upon leadership communicating
its value and importance to the organization, setting objectives and allocating resources to achieve
these.
The crisis management capability is guided by the core values, priorities of the organization, and the
potential consequences and impact of the crisis.
4.5.4 Principle C: Risk management
The crisis management capability is dynamic and is founded upon the management of risk.
Adaptive and timely crisis management is dependent upon situational and risk awareness, enabling
the organization to actively monitor its internal and external environments and assess its potential
vulnerabilities and opportunities.
Effectively managing change, risk and a dynamic environment enables the organization to anticipate,
identify and respond to crises.
An organization’s capability to manage crises is a measure of its capacity to transform and adapt, to
create opportunities under changing circumstances, and to work in an agile and flexible manner.
The organization should integrate its risk management activities with core business functions to
increase its capacity to anticipate and respond to a potential crisis and changing circumstances.
4.5.5 Principle D: Decision-making
Effective decision-making is reliant upon good information management, situational awareness and an
understanding of the needs and expectations of interested parties.
Leaders across the organization should seek an understanding through situational awareness and
information management in order to make decisions that are based on evidence, logic and judgement
and understanding of the impact of potential consequences.
The organization should take into account its strategic objectives, core values and priorities in all
decisions.
4.5.6 Principle E: Communication
Crisis management requires effective communications.
The organization should communicate accurate, credible and timely information to interested parties
(including those within the organization) so as to increase its crisis management effectiveness and
protect its reputation and integrity.
4.5.7 Principle F: Ethics
An organization’s response to a potential or actual crisis is guided by its core values and ethical
expectations.
The demonstration of appropriate ethics and values increases interested party support, builds trust,
and helps to protect and enhance brand and reputation.
4.5.8 Principle G: Learning
An organization’s crisis management capability is enhanced through organizational learning.
An organization learns by ensuring people with crisis management roles and responsibilities are
competent through training, exercising and learning from internal and external experience.
5 Building a crisis management capability
5.1 General
A well-developed and embedded crisis management capability can assist the organization in
anticipating, responding and recovering from crises in a manner that protects its assets and objectives.
Crisis management should include:
— recognition of situations that require activation of crisis management;
— people who are competent and responsible for quickly analysing situations, setting strategies,
determining options, making decisions and evaluating their potential impact;
— a common understanding of the principles that underpin crisis management;
— structures and processes to translate decisions into actions, assign activities and evaluate the
results;
— personnel who are able to share, support and implement top management’s vision, intentions and
policies;
— the ability to support solutions by applying the appropriate resources in a timely manner;
— an organizational structure that supports and maintains the ongoing crisis response capability;
— a culture that supports the crisis management principles.
To build a crisis management capability, the organization should establish a framework and a process.
The framework includes leadership, structure, culture and competence. The crisis management process
includes anticipation, assessment, prevention and mitigation, preparedness, response and recovery.
The framework and the process should be continually improved.
5.2 Crisis management framework
5.2.1 General
The purpose of the crisis management framework is to assist the organization in integrating crisis
management into its activities and functions. The crisis management framework is used to support
the relationship between the crisis management principles, core attributes of crisis management and
the key elements of the management process that are informed by the crisis management principles.
Adopting the framework should facilitate an understanding of the relationship between the crisis
management process and other management processes.
5.2.2 Leadership
Top management engagement in crisis management is pivotal in developing and continually improving
a crisis management capability. Top management should ensure:
— crisis management objectives are compatible with the strategic direction and core values of the
organization;
— crisis management is customized to the organization’s context;
— demonstrated commitment to the crisis management capability;
— direction and support for crisis management to achieve its intended outcome;
— communication of the importance and benefits of crisis management;
— integration of crisis management into the organization’s processes;
— availability of resources for crisis management;
— promotion of continual improvement of crisis management.
Top management should define and document a policy for crisis management. The policy should serve
as the basis for the further activities related to the planning and implementation of crisis management
arrangements. The policy should:
— state top management's commitment to crisis management;
— outline the objectives in managing a crisis;
— describe in broad terms how the objectives are intended to be realized;
— establish priorities and guidance for the del
...


NORME ISO
INTERNATIONALE 22361
Première édition
2022-10
Sécurité et résilience — Gestion de
crise — Lignes directrices
Security and resilience — Crisis management — Guidelines
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .v
Introduction . vi
1 Domaine d'application .1
2 Références normatives .1
3 Termes et définitions . 1
4 Gestion de crise — Contexte, concepts fondamentaux et principes .3
4.1 Nature des crises . 3
4.2 Caractéristiques d'une crise . 4
4.3 Origines potentielles des crises . . 6
4.4 Être prêt à répondre et se rétablir . 7
4.5 Principes de la gestion de crise . 8
4.5.1 Généralités . 8
4.5.2 Principe A: Gouvernance . 8
4.5.3 Principe B: Stratégie . 8
4.5.4 Principe C: Management des risques. 8
4.5.5 Principe D: Prise de décision . 8
4.5.6 Principe E: Communication . 9
4.5.7 Principe F: Éthique . 9
4.5.8 Principe G: Apprentissage . 9
5 Construire la capacité de gestion de crise . 9
5.1 Généralités . 9
5.2 Cadre de gestion de crise. 10
5.2.1 Généralités . 10
5.2.2 Leadership. 10
5.2.3 Structure . 11
5.2.4 Culture . 11
5.2.5 Compétences .12
5.3 Processus de gestion de crise . 12
5.3.1 Anticipation . 12
5.3.2 Appréciation . 12
5.3.3 Prévention et atténuation .12
5.3.4 Préparation . 13
5.3.5 Réponse . 17
5.3.6 Rétablissement .20
5.3.7 Amélioration continue . 21
6 Leadership de crise .21
6.1 Compétences et attributs fondamentaux de leadership . 21
6.1.1 Généralités . 21
6.1.2 Rôle et responsabilité du ou des pilotes de la crise .22
6.2 Bien-être et réponse de crise durable . 23
6.2.1 Intervenants de gestion de crise . 23
6.2.2 Impact sur les parties intéressées au sens large . 24
7 Prise de décision stratégique lors d'une crise .24
7.1 Généralités . 24
7.2 Pourquoi il peut être si difficile de prendre des décisions . 25
7.3 Dilemmes, retard dans la prise de décision et refus de prendre des décisions .26
7.4 Questions liées à la prise de décision . 26
7.5 Prise de décision efficace en situation de crise . 27
8 Communication de crise .27
8.1 Généralités . 27
8.2 Préparation en pré-crise .28
iii
8.3 Gérer les relations et la réputation .28
8.4 Rôles clés .29
8.4.1 Cellule de communication .29
8.4.2 Porte-parole .29
8.4.3 Relations avec les médias .29
8.5 Stratégie de communication de crise . 30
8.6 Principes et activités clés de la communication de crise.30
8.7 Cohérence du message . 31
8.8 Obstacles à une communication efficace. 32
8.9 Réseaux sociaux — Opportunités et menaces . 33
9 Formation, validation et apprentissage à partir des crises .33
9.1 Généralités . 33
9.2 Développement des compétences .34
9.3 Formation .34
9.4 Exercices . 35
9.5 Validation .36
9.6 Évaluation et apprentissage .36
Bibliographie .38
iv
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience, en
collaboration avec le comité technique CEN/TC 391, Sécurité sociétale et citoyenne, du Comité européen
de normalisation (CEN) conformément à l’Accord de coopération technique entre l’ISO et le CEN (Accord
de Vienne).
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
v
Introduction
Le présent document a été élaboré pour aider les organismes lors de la conception et du développement
courant d'une capacité de gestion de crise. Il présente les principes et pratiques dont tous les organismes
ont besoin.
Les crises confrontent les organismes à des défis complexes et, éventuellement, des opportunités
qui peuvent avoir des conséquences profondes et à long terme. La capacité de gestion de crise d'un
organisme et son aptitude à gérer un environnement changeant sont des facteurs clés pour déterminer
si une situation ou un incident sont susceptibles de constituer une menace grave ou existentielle pour
l'organisme et son environnement. La crise qui affecte un organisme peut faire partie d'une crise plus
large.
Pour s'assurer que la capacité de gestion de crise produit le résultat souhaité, il convient que l'organisme
fournisse:
— un leadership engagé;
— des structures (par exemple: financement, communications, relations et liens, équipement,
installations, gestion de l'information, principes, processus et procédures);
— une culture de soutien (par exemple: valeurs, éthique, code de conduite);
— du personnel compétent (par exemple: connaissances, compétences et attitude, mode de pensée
flexible).
La capacité de gestion de crise d'un organisme sera influencée par sa relation avec d'autres domaines
interdépendants tels que le management des risques, la continuité d'activité, la sécurité de l'information,
la sécurité physique, la sécurité des personnes, la protection civile, la réponse aux incidents et la gestion
des urgences.
Il convient que l'organisme adopte une approche structurée de la gestion de crise en appliquant un
ensemble de principes sur lesquels un cadre de gestion de crise peut être développé. Ces principes en
interrelation, ce cadre et les éléments de processus applicables soutiennent la mise en œuvre d'une
capacité de gestion de crise de façon déterminée, cohérente et rigoureuse (voir Figure 1).
vi
Légende
principe (voir 4.5)
cadre (voir 5.2)
processus (voir 5.3)
Figure 1 — Construire la capacité de gestion de crise — Principes, cadre et processus
La structure du présent document est la suivante:
— les concepts fondamentaux de la gestion de crise sont décrits (voir Article 4);
— puis le cadre et le processus de construction d'une capacité de gestion de crise sont détaillés (voir
Article 5).
Les articles suivants fournissent plus de détails sur:
— le leadership de crise (voir Article 6);
— la prise de décision stratégique lors d'une crise (voir Article 7);
— la communication de crise (voir Article 8);
— la formation, la validation et l’apprentissage à partir des crises (voir Article 9).
L'amélioration continue est une composante de tous les éléments du présent document (voir 5.3.7), de
sorte que si elle fait partie du processus, elle concerne également tous les éléments de capacité.
vii
NORME INTERNATIONALE ISO 22361:2022(F)
Sécurité et résilience — Gestion de crise — Lignes
directrices
1 Domaine d'application
Le présent document fournit des lignes directrices pour la gestion de crise destinées à aider les
organismes à planifier, établir, maintenir, passer en revue et améliorer de façon continue une capacité
de gestion de crise stratégique. Ces lignes directrices peuvent aider tout organisme à identifier et à
gérer une crise. Les éléments à prendre en compte incluent:
— le contexte, les concepts fondamentaux, les principes et les défis (voir Article 4);
— le développement de la capacité de gestion de crise d'un organisme (voir Article 5);
— le leadership de crise (voir Article 6);
— les défis et complexités de la prise de décision auxquels est confrontée une cellule de crise en action
(voir Article 7);
— la communication de crise (voir Article 8);
— la formation, la validation et l’apprentissage à partir des crises (voir Article 9).
Le présent document s'adresse aux membres de la direction générale ayant des responsabilités
stratégiques pour la fourniture d'une capacité de gestion de crise au sein de tout organisme. Il peut
également être utilisé par les personnes qui sont placées sous l'autorité de la direction générale.
Le présent document reconnaît la relation et les interdépendances avec différentes disciplines, mais est
distinct de ces thématiques.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l' ISO 22300 ainsi que les suivants
s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
capacité
aptitude à accomplir une tâche avec un résultat recherché défini et dans des conditions spécifiées
Note 1 à l'article: La capacité d'un organisme dépend des ressources disponibles et des principes de l'organisme,
de son cadre (leadership, structure, culture, compétences) et de ses processus.
3.2
crise
événement ou situation anormal ou extraordinaire qui menace un organisme (3.13) ou une communauté
et exige une réponse stratégique, adaptative et en temps utile, afin de préserver sa viabilité et son
intégrité
Note 1 à l'article: L'événement ou la situation peut présenter un degré élevé de complexité, d'instabilité et
d'incertitude.
Note 2 à l'article: L'événement ou la situation peut dépasser les moyens ou la capacité (3.1) de réponse de
l'organisme.
Note 3 à l'article: Étant donné la nature d'une crise, une approche flexible et dynamique est nécessaire en
complément de tout plan et de toute procédure répétés.
Note 4 à l'article: Les menaces peuvent avoir un impact sur l'aptitude de l'organisme à fonctionner, sa réputation,
sa marque, ses propriétés physiques, politiques ou intellectuelles, sa structure organisationnelle et ses facteurs
humains, environnementaux et économiques.
Note 5 à l'article: Le terme «organisme» inclut également les agences gouvernementales et non gouvernementales
et les autorités nationales du secteur public, ainsi que les organisations non gouvernementales (ONG) et les
organisations caritatives.
3.3
gestion de crise
activités coordonnées dans le but de piloter, d’orienter et de contrôler un organisme (3.13) vis-à-vis
d'une crise (3.2)
3.4
cellule de crise
CDC
groupe d'individus fonctionnellement responsable du pilotage de la réponse de gestion de crise (3.3) de
l'organisme (3.13)
3.5
plan de gestion de crise
PGC
document qui spécifie quelles procédures et ressources associées appliquer, par qui et où, en situation
de crise (3.2)
3.6
incident
événement ou situation qui peut être, ou conduire à, une perturbation, une perte, une situation
d'urgence ou une crise (3.2)
[SOURCE: ISO 22300:2021, 3.1.122, modifié — «ou situation» a été ajouté à la définition.]
3.7
partie intéressée
partie prenante
personne ou organisme (3.13) qui peut soit influer sur une décision ou une activité, soit être affecté ou
s'estimer affecté par une décision ou une activité
3.8
gouvernance
système, composé de personnes, par l'intermédiaire duquel un organisme (3.13) est
dirigé, supervisé et tenu responsable de la réalisation de son objectif défini
3.9
point de situation
résumé, verbal ou écrit, qui décrit l'état actuel et le développement potentiel d'un incident (3.6) ou d'une
crise (3.2), et la réponse à y apporter
3.10
conscience de la situation
perception des éléments de l'environnement dans un volume de temps et d'espace, la compréhension de
leur signification et une projection de leur état dans un avenir proche
3.11
direction générale
personne ou groupe de personnes qui oriente et contrôle un organisme (3.13) au plus haut niveau
3.12
question
événement ou situation qui ne présente pas actuellement, mais peut évoluer dans le sens de présenter
un impact négatif important ou à long terme sur les objectifs stratégiques, la réputation ou la viabilité
de l'organisme (3.13)
Note 1 à l'article: Répondre efficacement aux questions émergentes peut permettre d'éviter une crise (3.2).
3.13
organisme
personne ou groupe de personnes ayant ses propres fonctions, avec des responsabilités, des autorités et
des relations lui permettant d'atteindre ses objectifs
Note 1 à l'article: Le concept d'organisme englobe, sans s'y limiter, les travailleurs indépendants, les compagnies,
les sociétés, les firmes, les entreprises, les administrations, les partenariats, les organisations caritatives ou les
institutions, ou bien une partie ou une combinaison des entités précédentes, à responsabilité limitée ou ayant un
autre statut, de droit public ou privé.
3.14
communication de crise
communication à la fois interne et externe destinée à fournir des informations, des mises à jour et des
instructions aux parties intéressées (3.7) internes et externes
Note 1 à l'article: Une communication de crise adéquate peut également protéger la réputation et la marque de
l'organisme (3.13) et maintenir son image publique.
4 Gestion de crise — Contexte, concepts fondamentaux et principes
4.1 Nature des crises
Les crises peuvent être associées à des questions extrêmement complexes dont les implications
complètes et la nature peuvent être peu claires sur le moment. Les décisions et actions possibles peuvent
avoir des conséquences négatives sévères et les décideurs de tous niveaux doivent parfois choisir la
solution la moins néfaste (voir 7.4) et résoudre (ou reconnaître et accepter) des dilemmes stratégiques
fondamentaux. Cela peut signifier que chaque choix entraîne un préjudice de quelque sorte et que la
solution idéale n'existe pas.
Il convient d'éviter les décisions prématurées ou irréfléchies portant sur les actions ou processus de
gestion d'une crise, car elles peuvent avoir des conséquences importantes et occasionner des dommages
supplémentaires ou exacerber la situation de crise. Si l'éventail d'options disponibles envisagées
peut réduire l'impact d'une crise tout en ayant des conséquences adverses sur d'autres objectifs de
l'organisme, il peut être nécessaire de choisir l'option susceptible de causer le moins de pertes ou de
perturbations pour l'organisme.
Les crises impliquent souvent des menaces pour les personnes, l'environnement, les actifs (tels que les
biens ou les informations) ou la réputation.
Une crise peut exiger d'un organisme qu'il revoie ses objectifs, ses opportunités, ses stratégies, ses
politiques, ses pratiques ou ses procédures et sa culture dans le cadre de l'amélioration continue.
Une crise bien gérée peut démontrer les qualités positives d'un organisme et soutenir sa réputation.
4.2 Caractéristiques d'une crise
Une crise peut être complexe et difficile, et peut aussi offrir des opportunités à un organisme pour
démontrer ses valeurs fondamentales, l'efficacité de sa maîtrise, de sa gouvernance, de sa réponse à la
crise, et sa capacité à la passer en revue et à apprendre.
Bien que de nombreuses crises semblent être uniques, elles ont souvent des caractéristiques communes.
Comprendre ces caractéristiques permet d'améliorer la capacité de gestion de crise en appréhendant
leurs différences.
Une crise est souvent provoquée par un incident. Il existe des caractéristiques communes, présentes
à la fois dans un incident et dans une crise. Le Tableau 1 met en évidence certaines différences et la
Figure 2 montre la relation entre un incident et une crise.
Tableau 1 — Caractéristiques clés entre les incidents et les crises
Caractéristiques Incidents Crises
Prédictibilité Les incidents sont généralement prévisibles, Les crises sont généralement des événe-
bien que le moment où ils se produisent, ments ou des situations uniques et rares.
leur type et leur impact soient variables. Il est possible d'anticiper certaines crises;
cependant, le moment de leur survenue et
leur impact ne sont pas toujours prévisibles.
Début Les incidents peuvent être des événements Les crises peuvent également naître d'un
perturbateurs intervenant sans préavis ou événement survenant sans préavis ou avec
avec un bref préavis. Ils peuvent également un bref préavis. Elles peuvent aussi résulter
survenir à la suite d'une défaillance pro- d'un incident qui n'a pas été circonscrit, qui
gressive ou d'une perte de maîtrise. a été mal géré ou dégénère au point d'avoir
des conséquences sur la réputation et d'exi-
ger une réponse de crise.
Urgence et pression Dans le cadre de la gestion d'un incident, il y Une crise nécessite toujours une atten-
a généralement un fort sentiment d'urgence tion immédiate, car l'impact peut être très
à agir pour prévenir l'aggravation de la important. Étant donné l'impact poten-
situation ou pour minimiser son impact. tiel d'une crise et le fait qu'elle a une plus
grande visibilité, il est courant qu'elle
exerce un haut niveau de pression sur
l'organisme.
TTabableleaauu 1 1 ((ssuuiitte)e)
Caractéristiques Incidents Crises
Impacts Bien que leur gestion puisse nécessiter des Les crises peuvent perturber ou affecter
ressources considérables, les incidents sont l'ensemble de l'organisme et dépasser les
des événements qui menacent rarement limites organisationnelles, géographiques
l'existence de l'organisme ou n'ont pas et sectorielles. Les crises ayant tendance à
d'impact majeur à long terme sur sa réputa- être complexes et intrinsèquement incer-
tion. Les impacts sont généralement locaux taines, il peut être difficile d'apprécier leurs
ou n'affectent qu'une partie de l'organisme. impacts à long terme. Une crise mal gérée
peut conduire à une perte catastrophique
Les incidents sont généralement gérables, et
en termes de fonctionnalité, de valeurs, de
bien que l'impact sur les parties intéressées
confiance et de réputation. Ces impacts né-
puisse être sévère, il est gérable et tempo-
gatifs peuvent avoir un effet néfaste durable
raire.
sur l'organisme. Une crise peut conduire à la
conclusion qu'il convient d'ajuster la situa-
tion juridique pendant la crise.
La taille, le lieu et le type d'un organisme
peuvent le rendre plus vulnérable à certains
incidents, qui peuvent se transformer en
crise.
Regard du public, Une gestion efficace des incidents, dans Les crises sont susceptibles de susciter
des médias et des laquelle les événements adverses sont rapi- une attention et un intérêt considérables
autres parties inté- dement identifiés, les impacts rapidement auprès des parties intéressées, y compris
ressées atténués et l'activité habituelle rapidement les membres du public, les utilisateurs des
rétablie, n'attirera probablement que peu ou produits et des services, des groupes spéci-
pas de couverture négative des médias. fiques (tels que les régulateurs, les action-
naires ou les organismes sectoriels) et les
En cas de publicité adverse, celle-ci peut
médias, y compris les réseaux sociaux.
être limitée à une localité ou à un groupe
spécifique. Néanmoins, il existe toujours Les parties spécifiques qui s'intéressent à la
la possibilité que cette publicité adverse crise dépendront du type d'événement, de
prenne de l'ampleur et s'étende à d'autres ceux qu'il menace et de ceux qu'il impacte.
groupes, et que l'événement se transforme Il est fort probable que toutes les actions et
ainsi en crise. les réponses de l'organisme seront exami-
nées attentivement et toute perception de
mauvaise décision, de tentative d'éviter des
responsabilités, de rejeter la faute sur les
autres, de mauvais traitement de victimes
ou de tentatives de réduire les coûts de la
réponse peut conduire à une intensification
des critiques et à une aggravation de la
crise, voire peut créer de nouveaux défis.
Utilisation de plans Les incidents peuvent souvent être résolus En raison de la combinaison de leur nou-
et procédures en utilisant des plans qui contiennent des veauté, de leur incertitude inhérente et de
établis structures et des procédures de gestion leur échelle et durée d'impact potentielles,
des incidents ainsi que des détails sur les les crises peuvent rarement être résolues
solutions prédéterminées et les ressources par la seule application de procédures et
disponibles. La direction générale peut plans prédéfinis.
éventuellement être informée ou doit four-
Elles demandent une réponse flexible, créa-
nir une orientation et une supervision.
tive, stratégique et durable du leadership.
Les valeurs et le comportement peuvent
être remis en question et modifiés. L'orga-
nisme s'appuiera sur sa structure de gestion
de crise, ses méthodes, sa planification, sa
formation et ses exercices.
Les crises mettent au défi les capacités de
l'organisme au-delà de sa faculté inhérente
d'adaptation.
Une question pourrait se transformer en incident, puis en crise. Il convient que l'organisme reconnaisse
l'évolution de la situation et fasse preuve de flexibilité afin de pouvoir ajuster sa réponse en conséquence.
Figure 2 — Relations et caractéristiques entre une question, un incident et une crise
4.3 Origines potentielles des crises
Les crises peuvent être provoquées de différentes façons, y compris par:
a) des incidents perturbateurs qui ont des implications immédiates et stratégiques: ils peuvent
provenir d'un acte de malveillance, d'une faute ou d'une négligence, ou d'une défaillance (perçue
ou réelle) à fournir des produits ou des services répondant aux normes ou aux exigences légales de
qualité ou de sécurité attendues, d’actions ou de décisions (politiques) impopulaires, de rumeurs et
de fausses informations;
b) des fluctuations opérationnelles telles que des changements au niveau des comptes rendus publics
sur le marché et des préférences des parties intéressées, des évolutions technologiques, des
changements réglementaires et juridiques, la concurrence et des menaces de rachat;
c) des incidents mal gérés avec émergence de questions latentes et cachées ayant des conséquences
inacceptables sur la confiance dans la réputation et la marque d'un organisme; de telles questions
peuvent «couver» au fil du temps, généralement pour les raisons suivantes:
1) gouvernance inadéquate permettant des écarts progressifs et successifs par rapport aux
normes de maîtrise de la qualité, de la fiabilité, de la sécurité ou du management, qui ne sont
plus contrôlés et finissent par être acceptés comme des modes de travail normaux;
2) stratégies de «contournement» pratiques, mais non officielles, devenant une routine en raison,
par exemple, de processus trop complexes, de plannings non réalistes, d'un manque chronique
de personnel ou d'une supervision relâchée;
3) défauts de supervision et de surveillance des processus, laissant croire qu'on peut «s'en
tirer» malgré des comportements indésirables ou qu'il est possible de survivre à des erreurs
mineures sans en rendre compte; ou encore recours excessif aux contrôles pour détecter
toutes les erreurs, au lieu d'attendre des contrôles qualité qu'ils ne relèvent que des questions
ponctuelles;
4) cultures du blâme qui encouragent la dissimulation des risques et des questions et manque
de partage du sens de la mission et du but poursuivi, qui génère une attitude défensive
(voire hostile) de division entre «eux et nous» entre le personnel et le management, entre les
différentes parties de l'organisme et entre l'organisme et les parties intéressées externes;
5) mauvais comportement (ou ce qui est perçu comme tel) de la part des cadres de l'organisme,
d'un seul cadre ou de l'organisme dans son ensemble (comme le fait de mentir, de présenter
de manière inexacte les services ou les produits et les résultats, de ne pas revoir des décisions
ou de ne pas rappeler les produits alors que le danger qu'ils représentent pour l'acheteur ou le
public est connu; actions en conflit avec les valeurs de l'organisme, activité illégale ou violation
volontaire des réglementations);
6) niveau insuffisant de formation et de perfectionnement du personnel et des managers ou perte
progressive des compétences et des connaissances;
7) facteurs humains, y compris la fatigue, le stress, les problèmes personnels et le travail dans des
situations inhabituelles;
8) gestion inefficace des ressources humaines (comme une incapacité à apprendre des événements
passés, des calendriers irréalistes, des pénuries chroniques de personnel et une supervision
relâchée);
9) facteurs externes qui peuvent avoir un impact sur le personnel, les opérations, la réputation,
la technologie et les actifs de l'organisme, qu'ils soient matériels ou immatériels, tels que
les événements météorologiques extrêmes et les incidents déclenchés par des fournisseurs
critiques ou des pertes de données critiques;
10) préparation inadaptée à la gestion des incidents (plans, procédures et organisation);
11) défaillance de remontée appropriée due à l'aptitude, aux choix ou à la culture.
Les crises sont immanquablement favorisées par de multiples facteurs, qui peuvent provenir de
l'intérieur ou de l'extérieur de l'organisme. Ces facteurs peuvent interagir de façon complexe, ce qui les
rend difficiles à identifier et à gérer, d'où la nécessité d'adopter des approches de planification flexibles.
Bien que l'origine d'un incident puisse sembler simple au départ, une revue plus approfondie peut
révéler des faiblesses systémiques dans la façon dont l'organisme est géré. Si un incident n'est pas géré
efficacement, il peut dégénérer en crise.
Il convient que les stratégies et actions de gestion de crise reflètent les objectifs et les valeurs de
l'organisme. Une défaillance dans le respect de ses valeurs fondamentales peut aggraver la situation.
4.4 Être prêt à répondre et se rétablir
L'incertitude des situations de crise exige que les rôles et les responsabilités de crise soient compris,
et que les actions soient clairement et méthodiquement supervisées et dirigées. Il convient que les
décisions soient intrinsèquement liées aux valeurs fondamentales de l'organisme. Il convient que
l'organisme se prépare à faire face à des décisions difficiles et souligne l'importance d'actions et de
communications claires et cohérentes pendant la crise.
Il convient que l'organisme détermine les moyens de mobiliser ses ressources de gestion de crise et
d'activer les processus associés. Il est essentiel de répondre en temps utile à une crise. Une attitude
de déni, de complaisance ou de retardement de la part des décideurs stratégiques peut accroître
l'impact et la vulnérabilité de l'organisme, entraver la réponse et dégrader la capacité à se rétablir.
Les crises peuvent être si orientées vers l'extraordinaire qu'il convient de ne pas faire d'hypothèse sur
l'aptitude du personnel (selon l'ancienneté, le niveau hiérarchique ou l'expérience) à les gérer et à sortir
l'organisme d'une crise.
Une gestion de crise réussie exige flexibilité et créativité. Elle peut impliquer de faire des écarts par
rapport aux «règles» normales de l'organisme ou de son environnement, et d'être prêt à défendre
ou à justifier ses actions. Cela exige de la part des pilotes de l'organisme de faire preuve de clarté de
pensée, de vision stratégique, d'esprit de décision et d'une aptitude à agir de façon à refléter les valeurs
fondamentales de l'organisme. Il convient notamment que les pilotes se comportent avec compassion
vis-à-vis des personnes affectées par la crise et qu'ils attendent et encouragent ce même comportement
dans l'ensemble de l'organisme.
4.5 Principes de la gestion de crise
4.5.1 Généralités
Les principes énoncés de 4.5.2 à 4.5.8 constituent les fondements qui permettent d'établir et de
construire la capacité de gestion de crise de l'organisme, elle-même étayée par la capacité opérationnelle.
4.5.2 Principe A: Gouvernance
La gestion de crise dépend d'une gouvernance efficace à tous les niveaux de l'organisme.
Une capacité de gestion de crise dépend d'une claire compréhension des structures, des rôles, des
responsabilités et des compétences.
La capacité des employés à répondre à une crise est impactée par la compréhension qu'ils ont de
leurs rôles et responsabilités, et par la formation adéquate qu'ils ont reçue pour répondre de façon
compétente et confiante aux besoins de la crise.
4.5.3 Principe B: Stratégie
La gestion de crise est une capacité stratégique.
Construire et maintenir une capacité de gestion de crise dépend d'un leadership qui communique sur sa
valeur et son importance pour l'organisme, fixe les objectifs et alloue les ressources permettant de les
atteindre.
La capacité de gestion de crise est guidée par les valeurs fondamentales, les priorités de l'organisme
ainsi que les conséquences potentielles et l'impact de la crise.
4.5.4 Principe C: Management des risques
La capacité de gestion de crise est dynamique et se fonde sur le management du risque.
Une gestion de crise adaptative et en temps utile dépend de la conscience de la situation et des risques,
et permet à l'organisme de surveiller activement ses environnements internes et externes et d'apprécier
ses vulnérabilités et opportunités potentielles.
La gestion efficace du changement, des risques et un environnement dynamique permettent à
l'organisme d'anticiper les crises, de les identifier et d'y répondre.
La capacité d'un organisme à gérer les crises est un moyen de mesurer sa capacité à se transformer et à
s'adapter, à créer des opportunités dans des circonstances changeantes, et à travailler de manière agile
et flexible.
Il convient que l'organisme intègre ses activités de management des risques aux fonctions métiers
fondamentales, afin d'accroître sa capacité à anticiper et à répondre à une crise potentielle et à des
circonstances changeantes.
4.5.5 Principe D: Prise de décision
Une prise de décision efficace repose sur une bonne gestion de l'information, une conscience de la
situation et une compréhension des besoins et attentes des parties intéressées.
Il convient que les pilotes dans l'ensemble de l'organisme recherchent une compréhension, grâce à la
conscience de la situation et à la gestion de l'information, afin de prendre des décisions basées sur des
preuves, la logique, le jugement et la compréhension de l'impact des conséquences potentielles.
Il convient que l'organisme prenne en compte ses objectifs stratégiques, ses valeurs fondamentales et
ses priorités dans toutes ses décisions.
4.5.6 Principe E: Communication
La gestion de crise exige une communication efficace.
Il convient que l'organisme communique des informations précises, crédibles et en temps utile aux
parties intéressées (y c
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Loading comments...

This May Also Interest You

ISO
ISO 22372:2025(Main)
Security and resilience — Community resilience — Guidelines for infrastructure resilience

This document provides guidelines for establishing, maintaining, monitoring and improving infrastructure resilience to help ensure the continuity and robustness of essential services. It supports collaborative decision-making across many stakeholders in diverse organizations. It can be used for engaging stakeholders at all levels responsible for, or having influence on, infrastructure resilience matters. This document is intended to be applicable to all types and sizes of organizations which have a role in infrastructure resilience.

  • Standard
    33 pages
    English language
    sale 15% off
ISO
ISO 22373:2025(Main)
Security and resilience — Authenticity, integrity and trust for products and documents — Framework for establishing trustworthy supply and value chains

This document establishes a framework to support stakeholders in supply and value chains to ensure the chain of trustworthiness regarding the properties of their products and production processes. This document provides guidelines to identify information relevant to trustworthiness to be exchanged between supply and value chain stakeholders. It also provides an interoperable data structure that is required for supply and value chain stakeholders to negotiate and exchange information relevant to trustworthiness. The guidelines set out in this document are generic and are intended to be applicable to all organizations and products, regardless of type, size or nature.

  • Standard
    23 pages
    English language
    sale 15% off
ISO
ISO 22300:2025(Main)
Security and resilience — Vocabulary

This document defines terms related to security and resilience topics.

  • Standard
    16 pages
    English language
    sale 15% off
  • Standard
    17 pages
    French language
    sale 15% off
ISO
ISO 22341-2:2025(Main)
Security and resilience — Protective security — Part 2: Guidelines for crime prevention through environmental design for residential facilities

This document provides guidelines to organizations for establishing general and specific strategies to prevent and reduce crime and the fear of crime at new or existing residential facilities, in single or multiple units. This document builds on the concepts and processes described in ISO 22341, in the context of residential facilities. It provides recommendations on countermeasures and actions to address crime and security risks to people and property, in dwellings and their immediate surroundings, by implementing crime prevention through environmental design (CPTED) strategies in an effective and efficient manner. Within this document, the term “security” is used in a broad manner to include all crime, safety and security-specific applications. Therefore, this document is applicable to public and private organizations, regardless of type, size or nature. This document applies to organizations responsible for the residential facility including a real estate company, developer or landlord.

  • Standard
    14 pages
    English language
    sale 15% off
ISO
ISO 22371:2024(Main)
Security and resilience — Community resilience — Principles, framework and guidelines on urban resilience

This document provides principles, framework and guidelines on how to enhance urban resilience to protect communities, people and organizations and improve residents' quality of life. It describes: a) how to build capacity to better manage change and disruptive events, minimizing the impacts on the residents, including the most disadvantaged and vulnerable persons; b) the benefits of urban resilience; c) how to organize, assess, plan, implement and continually improve urban resilience. This document is applicable to all urban contexts, governance structures and stakeholders for all identified levels of risk. It is intended to be used by all organizations that have accountability for resilience of services in urban communities.

  • Standard
    37 pages
    English language
    sale 15% off
ISO
ISO 22340:2024(Main)
Security and resilience — Protective security — Guidelines for an enterprise protective security architecture and framework

This document provides guidance on the enterprise protective security architecture and the framework of protective security policies, processes and types of controls necessary to mitigate and manage security risks across the protective security domains, including: a) security governance; b) personnel security; c) information security; d) cybersecurity; e) physical security. This document is applicable for any organization.

  • Standard
    31 pages
    English language
    sale 15% off
  • Standard
    31 pages
    French language
    sale 15% off
ISO
ISO 22328-2:2024(Main)
Security and resilience — Emergency management — Part 2: Guidelines for the implementation of a community-based early warning system for landslides

This document gives guidelines for the implementation of a community-based disaster early warning system (EWS) for landslides. It complements the generic guidelines in ISO 22328-1. It describes the methods and procedures, implementation methods and activities specifically related to landslides. This document is applicable to communities vulnerable to landslides, without taking secondary/indirect effects into consideration.

  • Standard
    14 pages
    English language
    sale 15% off
ISO
ISO 22336:2024(Main)
Security and resilience — Organizational resilience — Guidelines for resilience policy and strategy

This document provides guidelines on the design and development of an organizational resilience policy and strategy. It includes: — how to design and formulate a resilience policy; — how to design strategy to achieve the objectives of a resilience policy; — how to determine priorities for implementation of the organization’s resilience initiatives; — how to establish a cooperative and coordinated capability to enhance resilience. This document is applicable to organizations seeking to enhance resilience. It is not specific to any industry or sector. It can be applied throughout the life of an organization to enhance resilience. This document does not provide guidance on the development of an organizational resilience capability.

  • Standard
    21 pages
    English language
    sale 15% off
ISO
ISO/TS 22386:2024(Main)
Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines for brand protection and enforcement procedures

This document provides guidelines for establishing and enforcing respective measures for brand protection. It supports the development of a brand protection strategy and describes a brand protection framework for the development, production, and distribution of products and documents. Applying these guidelines throughout the product lifecycle can facilitate interaction between individuals and organizations involved in brand protection activities and can make brand protection procedures more effective and efficient. This document is intended to support the brand owner’s business resilience, brand reputation, and brand value, by protecting products, documents, and associated services from counterfeiting and other infringements.

  • Technical specification
    17 pages
    English language
    sale 15% off
ISO
ISO/TS 22360:2024(Main)
Security and resilience — Crisis management — Concepts, principles and framework

This document provides an outline of crisis concepts and the principles that inform and support contemporary thinking on the circumstances and conditions under which crises can develop. It specifies: — concepts and principles, governing crises; — the social-ecological system (SES) framework in which crises develop; — factors that contribute to crises; — the progression and evolution of a crisis; — a structure for classifying crises; — the relationship between issues, incidents, emergencies, disasters, and crises; — a crisis taxonomy for the systematic development of policies, strategies, and standards, relevant to crisis management (see Annex A). This document does not provide guidance on how organizations can: — manage physiological or psychological aspects of human reactions to personal crises; — manage personal health or public health crisis affecting individuals, communities, or having broader impacts on society; — design, develop or implement crisis management programs or plans; — develop a strategic capability for crisis management; — apply crisis management techniques to specific crisis situations. This document is applicable to all organizations. It can also be applied by standards users and standards writers and educators. It encourages a better understanding of crisis concepts and the interconnected characteristics of factors that contribute to crises through referencing the crisis controls and effects social-ecological system model. The application of the principles described in this document can encourage consistency in the use of crises related terms and definitions and complements other ISO standards for crisis management.

  • Technical specification
    26 pages
    English language
    sale 15% off
  • Technical specification
    29 pages
    French language
    sale 15% off