ISO/TS 22331:2018
(Main)Security and resilience — Business continuity management systems — Guidelines for business continuity strategy
Security and resilience — Business continuity management systems — Guidelines for business continuity strategy
This document gives guidance for business continuity strategy determination and selection. It is applicable to all organizations regardless of type, size and nature, whether in the private, public or not-for-profit sectors. It is intended for use by those responsible for, or participating in, strategy determination and selection.
Sécurité et résilience — Systèmes de management de la continuité des activités — Lignes directrices relatives à la stratégie de continuité d'activité
Le présent document fournit des recommandations pour la détermination et la sélection d'une stratégie de continuité d'activité. Il s'applique à tous les organismes, quels que soient leur type, leur taille et leur nature, qu'ils appartiennent au secteur privé, au secteur public ou au secteur non lucratif. Il est destiné aux personnes qui sont responsables du processus de détermination et de sélection d'une stratégie ou qui y participent.
General Information
Buy Standard
Standards Content (Sample)
TECHNICAL ISO/TS
SPECIFICATION 22331
First edition
2018-10
Security and resilience — Business
continuity management systems —
Guidelines for business continuity
strategy
Sécurité et résilience — Systèmes de gestion de la poursuite des
activités — Lignes directrices relatives à la stratégie de poursuite des
activités
Reference number
ISO/TS 22331:2018(E)
©
ISO 2018
---------------------- Page: 1 ----------------------
ISO/TS 22331:2018(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2018
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2018 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/TS 22331:2018(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Prerequisites . 1
4.1 General . 1
4.2 Context of the organization . 2
4.3 Interested parties . 2
4.4 Business continuity roles, authorities and competencies . 2
4.4.1 General. 2
4.4.2 Business continuity strategy roles . 2
4.4.3 Business continuity strategy authorities . 3
4.4.4 Business continuity strategy competencies . 3
4.5 Top management commitment . 3
4.6 Business continuity strategy resources . 4
4.7 Business impact analysis and risk assessment . 4
5 Performing business continuity strategy determination and selection .4
5.1 General . 4
5.2 Principles . 4
5.3 Planning and management . 6
5.3.1 Overview . 6
5.3.2 Initial strategy design considerations . 7
5.3.3 Strategy monitoring and continual improvement . 7
5.4 Business continuity strategy gap analysis . 7
5.5 Determining business continuity strategies . 8
5.5.1 Overview . 8
5.5.2 Business continuity strategy consolidation. 8
5.5.3 Business continuity strategy categories . 8
5.5.4 Business continuity strategy types for activities and resources . 9
5.6 Selecting business continuity strategies .17
5.6.1 General.17
5.6.2 Strategies for protecting prioritized activities and resources .17
5.6.3 Strategies for resuming and recovering prioritized activities and resources .18
5.6.4 Approval of selected strategies.21
6 Next steps after determining and selecting business continuity strategies .22
6.1 Implementing business continuity strategies .22
6.2 Establishing and implementing business continuity procedures .22
7 Monitoring and reviewing business continuity strategies .22
7.1 Performance review .22
7.2 Management review .22
Annex A (informative) Business continuity strategy within an ISO 22301 business
continuity management system .24
Bibliography .25
© ISO 2018 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/TS 22331:2018(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso
.org/iso/foreword .html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/members .html.
iv © ISO 2018 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/TS 22331:2018(E)
Introduction
This document provides detailed guidelines for business continuity strategy determination and
selection. It is consistent with the requirements of ISO 22301. It is applicable to the performance of any
business continuity strategy determination and selection effort, whether part of a business continuity
management system (BCMS) or a business continuity programme. Hereafter, the term “business
continuity programme” means either a BCMS or a business continuity programme.
The organization’s business continuity strategy determination and selection should include strategy
options for:
— protecting prioritized activities;
— stabilizing, continuing, resuming and recovering prioritized activities;
— mitigating, responding to and managing impacts (see ISO 22301:2012, 8.3).
NOTE In this document, business continuity strategy options has the same meaning as solutions and
capabilities.
Figure 1 notes the relationship of the business continuity strategy determination and selection process
to the business continuity programme as a whole. The business impact analysis and risk assessment
provide the requirements for a range of business continuity strategies. The determination and selection
of a business continuity strategy is the basis for the development of effective business continuity
procedures.
NOTE Source: ISO 22313:2012, Figure 5.
Figure 1 — Elements of business continuity management
Business impact analysis identifies the product/service delivery requirements and the prioritized
timeframes for activity and resource recovery. The business impact analysis enables the organization
to determine the resources needed to perform priority activities (e.g. facilities, people, equipment,
information, communication and technology assets, supplies and financing). The business impact
© ISO 2018 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO/TS 22331:2018(E)
analysis also identifies interdependencies between activities and dependencies on supply chains,
partners and other interested parties.
The risk assessment identifies, analyses and evaluates the risk of disruption and identifies risk
treatment options.
Business continuity strategy addresses the outcomes of the business impact analysis and risk
assessment and determines how the organization can become more resilient and capable of dealing
with a wide range of disruptive incidents.
The purpose of this document is to provide guidance that will enable organizations to:
— identify a range of business continuity strategy options;
— select appropriate capabilities based on business continuity requirements;
— ensure the ongoing suitability of business continuity strategies;
— coordinate business continuity strategy determination and selection effectively within the
overarching business continuity programme.
Business continuity strategy determination and selection outcomes include:
— measures to attempt to decrease the frequency of disruptive incidents and the impact associated
with these disruptive incidents;
— identification of the financial resources needed to respond to a disruptive incident;
— effective internal and external communications capabilities;
— alternate workspace capabilities to address the loss or inaccessibility of premises;
— arrangements to address the unavailability of personnel;
— alternative methods of maintaining, fixing and replacing resources for performing activities in the
event of loss;
— capabilities to recover lost information and communications technology (ICT) assets, including data;
— alternate means to deliver products and services when faced with a supply chain disruption.
Figure 2 displays the business continuity strategy determination and selection process, together with
prerequisites and its relationship to the creation of business continuity procedures.
Figure 2 — Business continuity strategy determination, selection and implementation
approach
vi © ISO 2018 – All rights reserved
---------------------- Page: 6 ----------------------
TECHNICAL SPECIFICATION ISO/TS 22331:2018(E)
Security and resilience — Business continuity
management systems — Guidelines for business continuity
strategy
1 Scope
This document gives guidance for business continuity strategy determination and selection. It is
applicable to all organizations regardless of type, size and nature, whether in the private, public or not-
for-profit sectors.
It is intended for use by those responsible for, or participating in, strategy determination and selection.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Security and resilience — Vocabulary
ISO Guide 73, Risk management — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and ISO Guide 73 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https: //www .iso .org/obp
— IEC Electropedia: available at http: //www .electropedia .org/
4 Prerequisites
4.1 General
Although this document is consistent with ISO 22301, it can also be used for business continuity
strategy determination and selection when aligning or subscribing to other standards, obligations or
regulatory requirements. Regardless of the approach, there are several prerequisites that should be
addressed.
Before starting the business continuity strategy determination and selection process, the
organization should:
— define the context and scope (4.2);
— understand the needs and expectations of interested parties (4.3);
— define and communicate roles and responsibilities (4.4);
— obtain leadership and management commitment (4.5);
— allocate adequate resources (4.6);
© ISO 2018 – All rights reserved 1
---------------------- Page: 7 ----------------------
ISO/TS 22331:2018(E)
— complete a business impact analysis process (4.7);
— complete a risk assessment (4.7).
NOTE See Annex A for a mapping of each strategy determination and selection process prerequisite or task
to ISO 22301.
4.2 Context of the organization
Aspects of context that are particularly relevant to business continuity strategy include:
— the organization’s external environment, because of the influence it has on the organization’s ability
to recover delivery of its products and services to customers;
— laws, regulations and other legal obligations that specify mandatory requirements or influence
business continuity strategy in other ways.
4.3 Interested parties
To be effective, business continuity should address the needs and expectations of interested parties.
The organization should therefore identify its interested parties and determine their requirements
based on analysis of their needs and expectations.
4.4 Business continuity roles, authorities and competencies
4.4.1 General
Top management should determine the roles needed for business continuity strategy determination
and selection to ensure that responsibilities and authorities are assigned and communicated within the
organization.
4.4.2 Business continuity strategy roles
Roles that are relevant to determining business continuity strategy include:
— sponsoring the business continuity programme and the strategy determination and selection
process;
— overseeing the implementation and ongoing monitoring of the business continuity programme;
— managing the business continuity strategy determination and selection process;
— managing business continuity strategy projects.
Specific tasks that may need to be assigned include:
— provision of ongoing advice and guidance on the conduct of the business continuity strategy
determination and selection process;
— selection of methods and identification of required outcomes;
— decision-making regarding resource requirements and risk treatments;
— determination of the competencies required for business continuity strategy determination and
selection;
— ensuring that business continuity requirements are met.
2 © ISO 2018 – All rights reserved
---------------------- Page: 8 ----------------------
ISO/TS 22331:2018(E)
4.4.3 Business continuity strategy authorities
The determination of business continuity strategies can be challenging and complicated. It requires a
good understanding of how to go about it and detailed knowledge of the organization and its processes.
Selected strategies may also require significant resourcing and capital expenditure.
It is therefore important that those responsible for determining and selecting strategies have the full
support of top management and include persons who:
— have an organization-wide perspective;
— have knowledge of the current and future business strategy;
— have decision-making authority;
— have a detailed understanding of the organization’s products, services, processes, activities and
resources;
— are familiar with the organization’s decision-making and capital expenditure requirements;
— understand the outputs of the business impact analysis and risk assessment; and understand the
business continuity strategy determination and selection process.
4.4.4 Business continuity strategy competencies
The organization should ensure the competence of persons leading or participating in the business
continuity strategy determination and selection process. Competences should include skills and
abilities related to:
— project/programme planning and management;
— information gathering;
— analysis, including problem solving and cost-benefit analysis;
— effective communication and collaboration;
— translating organizational objectives and business continuity requirements and resource needs to
business continuity strategies;
— applying business continuity principles in determining strategy within the organization’s context;
— knowledge of the organization, its products and services, processes, activities and resources, as
well as the outputs of the business impact analysis and risk assessment.
4.5 Top management commitment
Top management commitment is vital for:
— ensuring the organization selects the most appropriate business continuity strategies based on
management-approved business continuity requirements;
— ensuring the organization meets its legal, regulatory and contractual obligations before and
following the onset of a disruptive incident.
Examples of how top management could demonstrate its commitment include:
— ensuring that the necessary resources are provided;
— participating in selecting the most appropriate business continuity strategies.
© ISO 2018 – All rights reserved 3
---------------------- Page: 9 ----------------------
ISO/TS 22331:2018(E)
4.6 Business continuity strategy resources
The organization should determine and provide the resources needed for business continuity strategy
and selection that will enable it to:
— comply with its business continuity policy and achieve its business continuity objectives;
— provide for monitoring and continual improvement of its business continuity strategies.
Resources and their allocation should be identified in business plans and reviewed periodically to
ensure their adequacy. It may be appropriate to involve top management in this review.
4.7 Business impact analysis and risk assessment
The organization should complete business impact analysis and risk assessment to determine business
continuity requirements of products, services, processes and activities, including their:
— priority;
— timescales for resumption;
— minimum levels of operation;
— resource requirements;
— interdependencies;
— dependencies on external suppliers.
For prioritized activities, business impact analysis and risk assessment should also identify:
— data backup requirements, including the currency of data;
— risks to the activity and its dependencies;
— risk treatments already in place.
5 Performing business continuity strategy determination and selection
5.1 General
The business continuity strategy determination and selection process results in capabilities that the
organization can implement and improve over time to mitigate the effects of disruption-related risk
and to improve the ability to respond and recover from a disruptive incident, consistent with business
continuity requirements.
The organization should have in place a mechanism for business continuity strategy determination
and selection, including a review and approval of recommended solutions. This clause describes the
determination and selection process, as well as the principles and assumptions necessary to determine
and select the most appropriate capabilities.
5.2 Principles
The guidelines in this clause are based on the following principles.
— Strategies are required for:
— protecting prioritized activities from disruption;
4 © ISO 2018 – All rights reserved
---------------------- Page: 10 ----------------------
ISO/TS 22331:2018(E)
— stabilizing, continuing, resuming and recovering prioritized activities, dependencies and
resources that have been disrupted.
— The determination and selection of business continuity strategies should be based on the outputs
from the business impact analysis and risk assessment.
— Strategies should deliver the business continuity requirements needed to achieve business
continuity objectives:
— the recovery time objective (RTO) for a resource may be longer than the RTO for an activity due
to business requirements, which may include the availability of workarounds;
— the RTO for a resource may be shorter than the RTO for an activity if there is a significant set-up
time or if it is shared with other activities with more demanding RTOs.
— In general, the higher the priority (and the shorter the RTO) that has been assigned to a product,
service, process or activity in the business impact analysis, the more complex and expensive the
appropriate strategy to recover it.
— Doing nothing:
— is an acceptable strategy when there is sufficient time after a disruption to source the required
resources and to resume the activity before the non-delivery of products and services leads to
unacceptable impacts on the organization;
— is not an acceptable strategy if management decides not to implement appropriate capabilities
and this inaction would prevent the delivery of products or services beyond their RTO; in this
case, these products and services should be explicitly excluded from the scope of the BCMS.
— The business context in which the organization operates may also determine the applicability of
strategy options for their products and services. For example:
— a public sector organization (such as local emergency services) could rely on similar neighbouring
organizations to provide the service if it is unable to do so (this may be called “mutual aid”);
— a commercial organization could similarly consider employing outsourcing to provide its
products and services during a disruption. However, directing clients towards a competitor
could lead to a long-term loss of business. Therefore, the commercial organization might decide
to keep its recovery capability in-house.
— There might be statutory or regulatory rules prohibiting outsourcing to other organizations where
this strategy might reduce the overall resilience of the sector or could lead to breaches of information
security.
— Consideration should be made of the most severe disruptions that the organization is prepared to
cope with through its business continuity programme, without compromising its current objectives.
— Any alternate resource should be located at a sufficient separation distance from the primary
resource. There is no specific or prescribed distance separation for all organizations and resources.
The distance could be based on the perceived likelihood of large scale destructive events from
which the organization seeks to protect itself. Factors may include:
— climatic events;
— environmental quality;
— geological stability;
— infrastructure resilience;
— political stability.
— Diversity of resources, including suppliers, can provide some protection.
© ISO 2018 – All rights reserved 5
---------------------- Page: 11 ----------------------
ISO/TS 22331:2018(E)
— The evaluation of strategies should include consideration of the following aspects.
— Reliability: Will the strategy work? Will it be possible to test the effectiveness of the strategy
before an incident?
— Agility: How flexible or adaptable is the strategy to changing circumstances?
— Risk: What is the risk of the strategy being ineffective due to resources not being available?
— Cost-benefit: Does the strategy meet business continuity objectives for a justifiable cost?
— Context: Does the strategy address human, cultural, political and technical factors?
— Where strategies depend on key suppliers, the business continuity of those suppliers should be
evaluated.
— There should be sufficient resources to implement the selected strategy options.
— The organization should have a mechanism in place for the review and approval of recommended
solutions.
5.3 Planning and management
5.3.1 Overview
Project planning and management of business continuity strategy determination and selection allows
the organization to optimize and coordinate resources and timelines. The organization should identify
a wide range of strategy options and then implement the chosen strategy as one or more projects.
Tasks may include:
— deciding on the scope of the business continuity strategy determination and selection process;
— communicating expectations to strategy determination and selection participants;
— identifying the person sponsoring strategy determination and selection and top management
participation;
— specifying competencies for strategy determination and selection responsibilities;
— establishing the project plan;
— allocating resources for strategy determination and selection;
— gaining acceptance of the project approach and plan;
— establishing or sourcing the skills necessary to meet strategy process objectives;
— developing periodic reports on the determination and selection status to improve performance in
line with top management expectations;
— performing modifications of the strategy approach and scope to meet top management expectations
and external (regulatory, statutory, customer, contractual) requirements;
— collecting and reviewing lessons learned;
— making recommendations regarding strategy det
...
SPÉCIFICATION ISO/TS
TECHNIQUE 22331
Première édition
2018-10
Sécurité et résilience — Systèmes
de management de la continuité des
activités — Lignes directrices relatives
à la stratégie de continuité d'activité
Security and resilience — Business continuity management systems
— Guidelines for business continuity strategy
Numéro de référence
ISO/TS 22331:2018(F)
©
ISO 2018
---------------------- Page: 1 ----------------------
ISO/TS 22331:2018(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2018
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2018 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/TS 22331:2018(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Prérequis . 1
4.1 Généralités . 1
4.2 Contexte de l'organisme . 2
4.3 Parties intéressées . 2
4.4 Rôles, autorités et compétences en matière de continuité d'activité . 2
4.4.1 Généralités . 2
4.4.2 Rôles dans la stratégie de continuité d'activité . 2
4.4.3 Autorités dans la stratégie de continuité d'activité . 3
4.4.4 Compétences dans la stratégie de continuité d'activité . 3
4.5 Engagement de la direction . 3
4.6 Ressources pour la stratégie de continuité d'activité . 4
4.7 Bilan d'impact sur l'activité et appréciation du risque . 4
5 Déroulement de la détermination et de la sélection d'une stratégie de continuité
d'activité . 4
5.1 Généralités . 4
5.2 Principes . 5
5.3 Planification et gestion. 6
5.3.1 Vue d'ensemble . 6
5.3.2 Considérations relatives à la conception initiale de la stratégie . 7
5.3.3 Surveillance et amélioration continue de la stratégie . 7
5.4 Analyse des écarts de la stratégie de continuité d'activité . 8
5.5 Détermination des stratégies de continuité d'activité . 8
5.5.1 Vue d'ensemble . 8
5.5.2 Consolidation de la stratégie de continuité d'activité . 9
5.5.3 Catégories de stratégies de continuité d'activité . 9
5.5.4 Types de stratégies de continuité d'activité pour les activités et ressources .10
5.6 Sélection de stratégies de continuité d'activité .20
5.6.1 Généralités .20
5.6.2 Stratégies de protection des activités et ressources prioritaires .20
5.6.3 Stratégies de reprise et de rétablissement des activités et ressources
prioritaires .20
5.6.4 Approbation des stratégies sélectionnées .24
6 Étapes suivantes après la détermination et la sélection de stratégies de continuité
d'activité .25
6.1 Mise en œuvre des stratégies de continuité d'activité .25
6.2 Établissement et mise en œuvre de procédures de continuité d'activité .25
7 Surveillance et passage en revue des stratégies de continuité d'activité .25
7.1 Revue des performances .25
7.2 Revue de direction .26
Annexe A (informative) Stratégie de continuité d'activité dans un système de management
de la continuité d'activité ISO 22301 .27
Bibliographie .28
© ISO 2018 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/TS 22331:2018(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www .iso .org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/fr/members .html.
iv © ISO 2018 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/TS 22331:2018(F)
Introduction
Le présent document fournit des lignes directrices détaillées pour la détermination et la sélection d'une
stratégie de continuité d'activité. Il est cohérent avec les exigences de l'ISO 22301. Il s'applique aux
performances de tout effort de détermination et de sélection d'une stratégie de continuité d'activité,
qui s'inscrit soit dans le cadre d'un système de management de la continuité d'activité (SMCA), soit dans
le cadre d'un programme de continuité d'activité. Au sens du présent document, le terme «programme
de continuité d'activité» se réfère à un SMCA ou à un programme de continuité d'activité.
Il convient que l'organisme, pour la détermination et la sélection d'une stratégie de continuité d'activité,
prévoie des options de stratégie pour:
— protéger les activités prioritaires;
— stabiliser, poursuivre, reprendre et rétablir les activités prioritaires;
— atténuer les impacts, y répondre et les gérer (voir l'ISO 22301:2012, 8.3).
NOTE Dans le présent document, les options de stratégie de continuité d'activité ont la même signification
que les termes «solutions» et «capacités».
La Figure 1 décrit la manière dont le processus de détermination et de sélection d'une stratégie de
continuité d'activité s'inscrit dans le programme de continuité d'activité dans son ensemble. Le bilan
d'impact sur l'activité et l'appréciation du risque fournissent les exigences applicables à une diversité
de stratégies de continuité d'activité. La détermination et la sélection d'une stratégie de continuité
d'activité sont à la base de l'élaboration de procédures efficaces en matière de continuité d'activité.
NOTE Source: ISO 22313:2012, Figure 5.
Figure 1 — Éléments de management de la continuité d'activité
Le bilan d'impact sur l'activité consiste à identifier les exigences de délivrance des produits/services
et les délais prioritaires pour le rétablissement de l'activité et des ressources. Le bilan d'impact sur
l'activité permet à l'organisme de déterminer les ressources nécessaires à l'exécution des activités
© ISO 2018 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO/TS 22331:2018(F)
prioritaires (par exemple: installations, personnes, équipements, information, ressources liées aux
technologies de l'information et des communications, fournitures et financement). Le bilan d'impact
sur l'activité identifie également les interdépendances entre les activités et les dépendances vis-à-vis
des chaînes d'approvisionnement, des partenaires et des autres parties intéressées.
L'appréciation du risque consiste à identifier, analyser et évaluer le risque de perturbation de l'activité,
ainsi qu'à identifier les options de traitement du risque.
La stratégie de continuité d'activité traite les résultats issus du bilan d'impact sur l'activité et de
l'appréciation du risque, et détermine la manière dont l'organisme peut renforcer sa résilience et sa
capacité à faire face à une grande diversité d'incidents perturbateurs.
Le présent document vise à fournir des recommandations qui permettront aux organismes:
— d'identifier une diversité d'options de stratégie de continuité d'activité;
— de sélectionner les capacités appropriées sur la base des exigences de continuité d'activité;
— d'assurer durablement l'adéquation de leurs stratégies de continuité d'activité;
— de coordonner efficacement la détermination et la sélection d'une stratégie de continuité d'activité
au sein du programme global de continuité d'activité.
La détermination et la sélection d'une stratégie de continuité d'activité ont pour résultats:
— des mesures pour tenter de diminuer la fréquence des incidents perturbateurs et l'impact associé à
de tels incidents;
— l'identification des ressources financières nécessaires pour répondre à un incident perturbateur;
— des capacités efficaces de communications internes et externes;
— des capacités alternatives d'espaces de travail pour faire face à la perte ou à l'inaccessibilité des locaux;
— des dispositifs pour faire face à une indisponibilité du personnel;
— des méthodes alternatives pour maintenir, fixer et remplacer les ressources nécessaires à l'exécution
des activités en cas de perte;
— des capacités permettant, en cas de perte, de rétablir les ressources de technologie de l'information
et de la communication (TIC), y compris les données;
— des moyens alternatifs de délivrer des produits et services en cas de perturbation de la chaîne
d'approvisionnement.
La Figure 2 décrit le processus de détermination et de sélection d'une stratégie de continuité d'activité,
ainsi que ses prérequis et sa relation avec l'élaboration de procédures de continuité d'activité.
Figure 2 — Approche de la détermination, de la sélection et de la mise en œuvre d'une stratégie
de continuité d'activité
vi © ISO 2018 – Tous droits réservés
---------------------- Page: 6 ----------------------
SPÉCIFICATION TECHNIQUE ISO/TS 22331:2018(F)
Sécurité et résilience — Systèmes de management de la
continuité des activités — Lignes directrices relatives à la
stratégie de continuité d'activité
1 Domaine d'application
Le présent document fournit des recommandations pour la détermination et la sélection d'une stratégie
de continuité d'activité. Il s'applique à tous les organismes, quels que soient leur type, leur taille et leur
nature, qu'ils appartiennent au secteur privé, au secteur public ou au secteur non lucratif.
Il est destiné aux personnes qui sont responsables du processus de détermination et de sélection d'une
stratégie ou qui y participent.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
Guide ISO 73, Management du risque — Vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l'ISO 22300 et le Guide ISO 73
s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https: //www .iso .org/obp
— IEC Electropedia: disponible à l’adresse http: //www .electropedia .org/
4 Prérequis
4.1 Généralités
Bien que le présent document soit cohérent avec l'ISO 22301, il peut également être utilisé pour la
détermination et la sélection d'une stratégie de continuité d'activité visant à s'aligner sur ou souscrire à
d'autres normes, obligations ou exigences réglementaires. Quelle que soit l'approche retenue, il convient
de satisfaire à un certain nombre de prérequis.
Avant d'entreprendre le processus de détermination et de sélection d'une stratégie de continuité
d'activité, il convient que l'organisme:
— définisse le contexte et le domaine d'application (4.2);
— comprenne les besoins et les attentes des parties intéressées (4.3);
— définisse et communique les rôles et les responsabilités (4.4);
© ISO 2018 – Tous droits réservés 1
---------------------- Page: 7 ----------------------
ISO/TS 22331:2018(F)
— obtienne un engagement de leadership et de management (4.5);
— affecte les ressources adéquates (4.6);
— réalise un bilan d'impact sur l'activité (4.7);
— réalise une appréciation du risque (4.7).
NOTE Voir l'Annexe A pour une mise en correspondance de chaque prérequis ou tâche du processus de
détermination et de sélection d'une stratégie avec l'ISO 22301.
4.2 Contexte de l'organisme
Les aspects de contexte qui ont une importance particulière du point de vue de la stratégie de continuité
d'activité sont notamment:
— l'environnement extérieur de l'organisme, en raison de son influence sur l'aptitude de l'organisme à
rétablir la délivrance des produits et services à ses clients;
— les lois, réglementations et autres obligations légales qui spécifient des exigences obligatoires ou
influencent d'une quelque autre manière la stratégie de continuité d'activité.
4.3 Parties intéressées
Pour être efficace, il convient que la continuité d'activité réponde aux besoins et attentes des parties
intéressées. Il convient, par conséquent, que l'organisme identifie ses parties intéressées et détermine
leurs exigences sur la base d'une analyse de leurs besoins et de leurs attentes.
4.4 Rôles, autorités et compétences en matière de continuité d'activité
4.4.1 Généralités
Il convient que la direction détermine les rôles nécessaires pour la détermination et la sélection
d'une stratégie de continuité d'activité afin de s'assurer que les responsabilités et autorités sont bien
attribuées et communiquées au sein de l'organisme.
4.4.2 Rôles dans la stratégie de continuité d'activité
Les rôles pertinents pour la détermination d'une stratégie de continuité d'activité sont notamment de:
— promouvoir le programme de continuité d'activité et le processus de détermination et de sélection
d'une stratégie;
— superviser la mise en œuvre et surveiller en continu le programme de continuité d'activité;
— gérer le processus de détermination et de sélection d'une stratégie de continuité d'activité;
— gérer les projets de stratégie de continuité d'activité.
À cet égard, il peut être nécessaire d'affecter certaines tâches, notamment:
— fournir des conseils et des recommandations en continu quant à la conduite du processus de
détermination et de sélection d'une stratégie de continuité d'activité;
— sélectionner des méthodes et identifier les résultats exigés;
— prendre des décisions concernant les exigences en matière de ressources et le traitement des
risques;
— déterminer les compétences requises pour la détermination et la sélection d'une stratégie de
continuité d'activité;
2 © ISO 2018 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO/TS 22331:2018(F)
— s'assurer que les exigences de continuité d'activité sont satisfaites.
4.4.3 Autorités dans la stratégie de continuité d'activité
La détermination de stratégies de continuité d'activité peut se révéler difficile et compliquée. Elle exige
de bien comprendre la manière de s'y prendre et de connaître en détail l'organisme et ses processus. Les
stratégies sélectionnées peuvent également exiger des ressources et des dépenses en immobilisations
conséquentes.
Il est donc important que les responsables de la détermination et de la sélection des stratégies
bénéficient de l'appui total de la direction et qu'ils incluent des personnes qui:
— ont une perspective couvrant l'ensemble de l'organisme;
— connaissent la stratégie métier actuelle et future;
— disposent d'une autorité décisionnelle;
— comprennent de manière détaillée les produits, services, processus, activités et ressources de
l'organisme;
— soient familiarisées avec le processus décisionnel de l'organisme et ses exigences pour les dépenses
en immobilisations;
— comprennent les résultats du bilan d'impact sur l'activité et de l'appréciation du risque, et
comprennent le processus de détermination et de sélection d'une stratégie de continuité d'activité.
4.4.4 Compétences dans la stratégie de continuité d'activité
Il convient que l'organisme s'assure de la compétence des personnes qui pilotent le processus de
détermination et de sélection d'une stratégie de continuité d'activité ou qui y prennent part. Il convient
que les compétences comprennent des qualifications et des aptitudes liées aux aspects suivants:
— planification et gestion de projet/programme;
— collecte d'informations;
— analyse, y compris résolution des problèmes et analyse coût/bénéfice;
— communication et collaboration efficaces;
— traduction des objectifs organisationnels, des exigences relatives à la continuité d'activité et des
besoins en ressources en stratégies de continuité d'activité;
— application des principes de la continuité d'activité dans la détermination d'une stratégie adaptée
au contexte de l'organisme;
— connaissance de l'organisme, de ses produits et services, de ses processus, activités et ressources,
ainsi que des résultats du bilan d'impact sur l'activité et de l'appréciation du risque.
4.5 Engagement de la direction
L'engagement de la direction est vital pour:
— s'assurer que l'organisme sélectionne les stratégies de continuité d'activité les plus appropriées sur
la base des exigences de continuité d'activité qui ont été approuvées;
— s'assurer que l'organisme satisfait à ses obligations légales, réglementaires et contractuelles avant
et après l'apparition d'un incident perturbateur.
© ISO 2018 – Tous droits réservés 3
---------------------- Page: 9 ----------------------
ISO/TS 22331:2018(F)
La direction peut démontrer son engagement de différentes manières, par exemple:
— s'assurer que les ressources nécessaires soient mobilisées;
— participer à la sélection des stratégies de continuité d'activité les plus appropriées.
4.6 Ressources pour la stratégie de continuité d'activité
Il convient que l'organisme détermine et fournisse les ressources nécessaires pour la détermination et
la sélection d'une stratégie de continuité d'activité, ce afin:
— de se conformer à sa propre politique de continuité d'activité et d'atteindre ses objectifs en matière
de continuité d'activité;
— d'assurer la surveillance et l'amélioration continue de ses stratégies de continuité d'activité.
Il convient d'identifier les ressources et leur affectation dans les plans d'activité et de les passer en
revue périodiquement afin de s'assurer de leur adéquation. Il peut être approprié d'impliquer la
direction dans ce passage en revue.
4.7 Bilan d'impact sur l'activité et appréciation du risque
Il convient que l'organisme réalise un bilan d'impact sur l'activité et une appréciation du risque en vue
de déterminer les exigences de continuité d'activité de ses produits, services, processus et activités,
notamment:
— leur priorité;
— leurs délais de reprise;
— leurs niveaux de service minimaux;
— les ressources exigées;
— leurs interdépendances;
— leurs dépendances vis-à-vis des fournisseurs externes.
Pour les activités prioritaires, il convient également d'identifier les aspects suivants au cours du bilan
d'impact sur l'activité et de l'appréciation du risque:
— les exigences en matière de sauvegarde de données, y compris la tenue à jour des données;
— les risques pour l'activité et ses dépendances;
— les traitements de risques déjà en place.
5 Déroulement de la détermination et de la sélection d'une stratégie de
continuité d'activité
5.1 Généralités
Le processus de détermination et de sélection d'une stratégie de continuité d'activité a pour résultat
des capacités que l'organisme peut mettre en œuvre et améliorer au fil du temps afin d'atténuer les
effets d'un risque de perturbation de l'activité et d'améliorer son aptitude à répondre à un incident
perturbateur et à se rétablir, en cohérence avec les exigences de continuité d'activité.
Il convient que l'organisme ait en place un mécanisme de détermination et de sélection d'une stratégie
de continuité d'activité comprenant le passage en revue et l'approbation des solutions recommandées.
4 © ISO 2018 – Tous droits réservés
---------------------- Page: 10 ----------------------
ISO/TS 22331:2018(F)
Le présent article décrit le processus de détermination et de sélection, ainsi que les principes et
hypothèses nécessaires pour déterminer et sélectionner les capacités les plus appropriées.
5.2 Principes
Les lignes directrices contenues dans le présent article sont basées sur les principes suivants.
— Il est exigé d'établir des stratégies pour:
— protéger les activités prioritaires contre les perturbations;
— stabiliser, poursuivre, reprendre et rétablir les activités prioritaires, les dépendances et les
ressources qui ont été perturbées.
— Il convient que la détermination et la sélection de stratégies de continuité d'activité se basent sur les
résultats du bilan d'impact sur l'activité et sur l'appréciation du risque.
— Il convient que les stratégies délivrent les exigences de continuité d'activité qui sont nécessaires à la
réalisation des objectifs de continuité d'activité:
— l'objectif de délai de rétablissement (RTO) pour une ressource peut être plus long que celui
établi pour une activité, en raison des exigences métiers qui peuvent inclure la disponibilité de
solutions de contournement;
— le RTO d'une ressource peut être plus court que celui d'une activité si la ressource implique une
longue période de configuration ou si elle est partagée avec d'autres activités ayant des RTO
plus stricts.
— En règle générale, plus la priorité sera élevée (et donc plus le RTO sera court) pour un produit,
service, processus ou activité selon le bilan d'impact sur l'activité, plus la stratégie de rétablissement
appropriée sera complexe et coûteuse.
— Ne rien faire:
— est une stratégie acceptable lorsque le temps est suffisant, après une perturbation, pour
trouver les ressources requises et reprendre l'activité avant que la non-délivrance de produits
et services n'ait des impacts inacceptables sur l'organisme;
— n'est pas une stratégie acceptable si le management décide de ne pas mettre en œuvre les
capacités appropriées, et si cette inaction peut empêcher de délivrer les produits ou services
en deçà de leur RTO; dans ce cas, il convient d'exclure explicitement ces produits et services du
domaine d'application du SMCA.
— Le contexte professionnel dans lequel l'organisme évolue peut également déterminer l'applicabilité
des options de stratégie pour ses produits et services. Par exemple:
— un organisme du secteur public (tel qu'un service d'urgence local) peut s'appuyer sur des
organismes voisins similaires afin d'assurer sa prestation de services s'il se trouve dans
l'incapacité de le faire (ce qu
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.