Lundi, le 29 Avril 2024

Nouveautés sur la norme ISO 22301 version 2019 : Systèmes de management de la continuité d'activités - Exigences

31/01/2024

La norme ISO 22301 version 2019 est la deuxième version (édition) de cette norme des systèmes de management de la continuité d'activité. Elle remplace la première édition de 2012.

Choisir d'appliquer un système de management anticorruption permet de :

  • réduire les pertes financières en cas d’événements imprévus
  • créer un avantage concurrentiel
  • protéger le personnel et l'environnement

Les exigences de la norme ISO 22301 version 2019

Quiz des exigences ISO 22301 version 2019

La formation PQB F 26v19 Préparation à l'ISO 22301 version 2019 et sa démo gratuite sans inscription (bientôt)

La formation PQB F 56v19 Audit interne ISO 22301 version 2019 et sa démo gratuite sans inscription (bientôt)

Le lot de formations PQB F 76v19 version 2019 (bientôt)

1. LES nouveautés par rapport à l'édition de 2012

  • évolution des exigences des systèmes de management
  • clarification de certaines exigences
  • pas de nouvelles exigences
  • ajout d'exigences de continuité d'activité en lien avec des disciplines spécifiques dans l'article 8
  • restructuration de l'article 8
  • modification de certains termes spécifiques

2. ARTICLES SONT 10 SELON LA STRUCTURE DE NIVEAU SUPÉRIEUR :

  1. Domaine d'application
  2. Références normatives
  3. Termes et définitions
  4. Contexte
  5. Leadership
  6. Planification
  7. Support
  8. Fonctionnement
  9. Performance
  10. Amélioration

3. PROCÉDURES EXIGÉES (* obligatoire)

  • procédures (documentées) : procédure
    • exigences légales (§ 4.2.2) 
    • gestion documentaire (§ 7.5)
    • sauvegarde (§ 8.1)
    • continuité d'activité (§ 8.4.1) *
    • réponse aux perturbations (§ 8.4.2)
    • avertissement et communication (§ 8.4.3) *
    • plan de continuité d'activité (§ 8.4.4) *
    • audit interne (§ 9.2.2) 
    • actions correctives (§ 10.1.3)

4. ENREGISTREMENTS exigés (* OBLIGATOIRE)

  • enregistrements : enregistrement
    • contexte de l'entreprise (§ 4.1)
    • liste des exigences légales (§ 4.2.2) *
    • domaine d'application (§ 4.3) *
    • responsabilités et autorités (§ 5.3)
    • objectifs de continuité d'activité (§ 6.2) *
    • plan pour atteindre les objectifs (§ 6.2)
    • compétences (§ 7.2) *
    • programme de formation (§ 7.3)
    • plan de communication (§ 7.4)
    • liste des documents d'origine externe (§ 7.5.3.2)
    • maîtrise opérationnelle (§ 8.1)
    • changements (§ 8.1)
    • processus externalisés (§ 8.1)
    • bilan d'impact, analyse, résultats (§ 8.2.2)
    • traitement du risque (§ 8.2.3)
    • stratégies et solutions (§ 8.3.3)
    • communication sur les risques (§ 8.4.3) *
    • perturbations, actions et décisions (8.4.3.1) *
    • plans de continuité d'activité (§ 8.4.4) *
    • programme d'exrecices (§ 8.5)
    • scénarios d'incidents (§ 8.5)
    • résultats d'exrecices (§ 8.5)
    • revue des capacités de continuité d'activité (§ 8.6)
    • évaluation de la performance(§ 9.1) *
    • méthodes et résultats d'inspection, d'analyse et d'évaluation (§ 9.1)
    • plan de maintenance du SMCA (§ 9.1)
    • audit interne, programme (§ 9.2.2) *
    • audit interne, rapport (§ 9.2.2) *
    • revue de direction, résultats (§ 9.3.3.2) *
    • non-conformités et actions correctives (§ 10.1)
    • rapport d'amélioration (§ 10.2)

5. PROCESSUS EXIGÉS (* OBLIGATOIRE)

  • processus : processus 
    • identifier les exigences légales (§ 4.2.2) *
    • analyser le bilan d'impact (§ 8.2.1) *
    • apprécier le risque (§ 8.2.3) *
    • restaurer les activités (§ 8.4.5) *
    • auditer en interne (§ 9.2.2) *

6. POLITIQUE EXIGÉE *

  • politique : politique
    • cotinuité d'activité (§ 5.2.1) *

7. LE VERBE DOIT (DOIVENT) EST UTILISÉ 242 FOIS 

8. LE DÉTAIL DES ARTICLES ET PARAGRAPHES

1 Domained’application

2 Références normatives

3 Termes et définitions

4 Contexte de l’organisme

4.1 Compréhension de l’organisme de son contexte

4.2 Compréhension des besoins et attentes des parties intéressées

4.3 Détermination du domaine d’application du système de management de la continuité d'activité

4.4 Système de management de la continuité d'activité

5 Leadership

5.1 Leadership et engagement

5.2 Politique

5.3 Rôles, responsabilités et autorités

6 Planification

6.1 Actions face aux risques et opportunités

6.2 Objectifs de continuité d'activité et planification pour les atteindre

6.3 Planification des modifications du système de management de la continuité d'activité

7 Support

7.1 Ressources

7.2 Compétences

7.3 Sensibilisation (prise de conscience)

7.4 Communication

7.5 Informations documentées

8 Fonctionnement

8.1 Planification opérationnelle et maîtrise

8.2 Bilan d'impact sur l'activité  et appréciation du risque

8.3 Stratégies et solutions de continuité d'activité

8.4 Plans et procédures de continuité d'activité

8.5 Programmes d'exercices

8.6 Evaluation de la documentation et des capacités de continuité d'activité

9 Évaluation de la performance

9.1 Surveillance, mesurage, analyse et évaluation

9.2 Audit interne

9.3 Revue de direction

10 Amélioration

10.1 Non-conformité et actions correctives

10.2 Amélioration continue

9. REMARQUES SUR LA TRADUCTION EN FRANÇAIS

  • dans la dernière (huitième) édition de l’ISO/IEC Guide 2:2004 (E/F/R) « Normalisation et activités connexes –Vocabulaire général » le mot anglais « organization » (4.2) est en français « organisation ». Organisme (4.1) en anglais est « body ». La première phrase de l’avant-propos de l'ISO 22301 « ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies) » est bien traduite : L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de normalisation (comités membres de l'ISO). Pourquoi après (partout) « organization » est traduit par organisme et non organisation ? Pourquoi organisation (3.21) est bon pour la Belgique et le Canada et non pour la France ? Pour ne pas confondre notre préférence est pour entreprise à la place d'organisation. Le terme organisme dans certaines normes ISO est une erreur et contribue à rendre les normes un peu plus difficiles à comprendre et assimiler
  • enjeux à la place de questions (§ 4.1) et ensuite
  • exigences légales et réglementaires à la place d'exigences réglementaires et juridiques (§ 4.2.2) et ensuite
  • le a) doit être à la ligne suivante (§ 4.3.1)
  • le b) doit être à la ligne suivante (§ 4.3.1)
  • le c) doit être à la ligne suivante (§ 4.3.1)
  • le d) doit être supprimé (§ 4.3.1)
  • direction à la place de Direction générale (§ 5.1) et ensuite
  • changements à la place de modifications (§ 6.3) et ensuite
  • sensiblilisation à la place de sensibilisation (prise de conscience) (§ 7.3) et ensuite
  • conservation et élimination à la place de conservation et élimination des informations (§ 7.5.3.2)
  • Réalisation à la place de Fonctionnement (article 8)
  • planification et maîtrise opérationnelles à la place de planification opérationnelle et maîtrise (§ 8.1)
  • ODR à la place de RTO (§ 8.2.2)
  • mesure à la place de mesurage (§ 9.1) et ensuite