Introduction à ISO 22301

Transcription

1 Introduction à ISO Présenté par : Denis Goulet Le 3 octobre Introduction à ISO ORDRE DU JOUR Section 1 Cadre normatif et réglementaire Section 2 Système de Management de la Continuité ité d Activité ité (SMCA) Section 3 Préparation à l audit de certification 2 1

2 Introduction à ISO Section 1 Cadre normatif et réglementaire a. Qu est-ce que l ISO? b. Principes de base de l'iso c. Normes de système de management d. Normes ISO et ISO Qu est-ce que l ISO? L'ISO est un réseau d'organismes nationaux de normalisation de plus de 160 pays Les résultats finaux des travaux de l ISO sont publiés en tant que normes internationales Plus de normes ont été publiées depuis

3 Principes de Base - Normes ISO 1. Représentation égale : 1 vote par pays Principes de base des normes ISO 2. Adhésion volontaire : ISO n a pas l autorité pour la mise en application de ses normes 3. Orientation business : ISO ne développe que les normes qui comblent des besoins du marché 4. Approche par consensus : Recherche d un large consensus des différentes parties prenantes 5. Coopération internationale : plus de 160 pays membres et des organismes de liaison 5 Huit principes de management d ISO 6 3

4 Normes de systèmes de management Principales normes sur lesquelles un organisme peut être certifié ISO 9001 Qualité ISO Environnement OHSAS Santé & sécurité au travail ISO Service IT ISO Sécurité alimentaire ISO Continuité d activité ISO Sécurité de l information ISO Sécurité de la chaîne d approvisionnement 7 Historique de la norme ISO Création du DRI International (connue au départ comme étant Disaster Recovery Institute) aux États- Unis 1994 Création du Business Continuity Institute (BCI) en Angleterre Publication du BS Publication du PAS 56 BCI publie le guide des bonnes pratiques en continuité d activité 2007 Publication du BS ISO publie la première version d ISO ISO publie la première version d ISO

5 ISO Définit les conditions pour la gestion du SMCA Les exigences (clauses) sont écrites en utilisant le verbe d obligation «devoir» Intégrer le modèle de PDCA (Planifier / Déployer / Contrôler / Agir) Auditable L'organisme peut obtenir la certification selon cette norme 9 ISO Contenu Section 1 Section 2 Section 3 Section 4 Section 5 Section 6 Section 7 Section 8 Section 9 Section 10 Domaine d application Références normatives Termes et définitions Contexte de l organisme Leadership Planning Support Opérations Evaluation des performances Amélioration 10 5

6 ISO Code de bonne pratique pour mettre en œuvre, maintenir et améliorer un SMCA (Document de référence) Elle utilise le verbe «Il convient» («should» ) pour définir les préconisations de mise en œuvre Ne conduit pas à une certification 11 Introduction à ISO Section 2 Système de management de la continuité d'activité (SMCA) a. Définition d'un SMCA b. Approche par processus c. Vue d'ensemble - Clauses 4 à

7 Management de la continuité d'activité ISO 22301, clause 3.4 Processus de management holistique qui identifie les menaces potentielles pour une organisation ainsi que les impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à l'activité de l'organisation, et qui fournit un cadre pour améliorer la résilience de l'organisation avec une capacité de réponse efficace préservant les intérêts de ses principales parties prenantes, sa réputation, sa marque et ses activités à valeur ajoutée Note : Le système de management comprend la structure organisationnelle, les politiques, les activités de planification, les responsabilités, les procédures, les processus et les ressources. 13 Continuité d activité Avantages Réponse prévisible et pertinente aux crises Protection des personnes Maintien des activités vitales de l'organisme Une meilleure compréhension de l'organisation Réduction des coûts Respect des parties intéressées Protection de la réputation et de la marque Confiance des clients Avantage compétitif Conformité légale Conformité règlementaire Conformité au contrat 14 7

8 Cycle Planifier-Déployer-Contrôler-Agir (PDCA) ISO 22301, Introduction Parties intéressées Planifier Établir un SMCA Parties intéressées Agir Maintenir et améliorer le SMCA Déployer Mettre en œuvre le SMCA Exigences et attentes de la Continuité d Activité Surveiller et rééxaminer le SMCA Contrôler Continuité d Activité gérée 15 Contexte de l'organisation ISO 22301, clause 4 Compréhension de l'organisation et de son contexte Compréhension des besoins et attentes des parties intéressées Détermination du périmètre du SMCA Les activités de l'organisation, ses fonctions, ses services, ses produits, ses partenariats, les chaînes d'approvisionnement Les liens entre la politique de continuité d'activité et les objectifs de l'organisation ainsi que les autres politiques Le goût du risque de l'organisation les parties intéressées qui sont concernées par le système SMCA les exigences de ces parties intéressées (c'est-à-dire leurs besoins et leurs attentes Les exigences légales et réglementaires Pour établir le périmètre du système SMCA, l'organisation doit en déterminer les limites et l'applicabilité Lorsqu'elle établit ce périmètre, l organisation doit prendre en compte les enjeux externes et internes ainsi que les exigences légales et réglementaires 16 8

9 Leadership et engagement de la direction ISO 22301, clause 5.1 et 5.2 Orientation stratégique gq S assurer que le SMCA est compatible avec les orientations stratégiques de l'organisme Intégrer les exigences du SMCA dans les processus métier de l'organisme Mise à disposition des ressources La direction doit déterminer et fournir les ressources nécessaires au SMCA Communication La direction doit communiquer sur l'importance d une gestion efficace de la continuité d activité et de la conformité aux processus du SMCA 17 Politique de continuité d activité ISO 22301, clause 5.3 La direction doit établir une politique de continuité d'activité qui : est adaptée à la mission de l'organisation fournit un cadre pour l établissement d objectifs de continuité d'activité inclut l'engagement de satisfaire aux exigences applicables inclut l'engagement d'œuvrer pour l'amélioration continue du système SMCA La politique du système SMCA doit : être disponible sous forme d information documentée être communiquée au sein de l'organisation être mise à la disposition des parties intéressées, le cas échéant faire l'objet d'une revue, à des intervalles définis et en cas de modifications significatives, afin de s'assurer qu'elle est toujours appropriée 18 9

10 Rôles, responsabilités et autorités au sein de l organisation ISO 22301, clause 5.4 La direction doit s assurer que les responsabilités et autorités des rôles concernés sont attribuées et communiquées au sein de l organisation La direction doit désigner qui a la responsabilité et l autorité de : S assurer que le système de management est conforme aux exigences de ISO Rendre compte à la direction des performances du système SMCA 19 Objectifs de continuité d'activité et plans pour les atteindre ISO 22301, clause 6.2 La direction doit s'assurer que les objectifs de continuité d'activité sont établis et communiqués aux fonctions et niveaux concernés au sein de l'organisation Les objectifs de continuité d'activité doivent : a) être cohérents avec la politique de continuité d'activité b) tenir compte du niveau minimal de produits et services qui est acceptable pour que l'organisation atteigne ses objectifs c) être mesurables d) tenir compte des exigences applicables e) être surveillés et mis à jour quand c est approprié 20 10

11 Support ISO 22301, clause 7 L'organisme doit identifier et fournir les ressources nécessaires à l'établissement, la mise en œuvre, la tenue à jour et l'amélioration continue du système SMCA Les personnes effectuant un travail sous le contrôle de l'organisme doivent être sensibilisées à la politique de continuité d'activité et avoir conscience de leur contribution à l'efficacité du système SMCA Le système SMCA de l'organisme doit inclure les informations documentées exigées par la norme et les informations documentées que l'organisation juge nécessaires à l'efficacité du système SMCA Ressources Compétences Sensibilisation Communication Documentation L organisme doit s assurer que les personnes sont compétentes L'organisme doit établir, mettre en œuvre et tenir à jour une ou des procédures pour la communication interne et externe 21 Informations documentées ISO 22301, clause Création 2. Identification 3. Classification et sécurité 9. Destruction 4. Modification 5. Approbation 8. Archivage 7. Utilisation adéquate 6. Distribution Une procédure doit être établie pour gérer le cycle de vie du document 22 11

12 Analyse des impacts sur l'activité et appréciation du risque ISO 22301, clause 3.8, 3.50 & 8.2 Processus d'analyse des activités et de l'effet qu une perturbation de l'activité peut avoir sur elles Analyse des impacts sur l'activité (BIA) Appréciation du Risque Processus général d'identification des risques, d'analyse du risque et d évaluation du risque 23 Stratégie de continuité d activité ISO 22301, clause 8.3 L'organisme doit déterminer des options de continuité appropriées pour : B) Stabiliser, poursuivre, reprendre et récupérer les activités prioritaires ainsi que leur dépendance et soutenir les ressources 24 12

13 Établir et mettre en œuvre des procédures de continuité d activité ISO 22301, clause L'organisation doit documenter les procédures (y compris les dispositions nécessaires) lui permettant d'assurer la continuité des activités et la gestion d'un incident perturbateur Généralités L'organisation doit établir, mettre en œuvre et tenir à jour des procédures de continuité d'activité lui permettant de gérer un incident id perturbateur t et de poursuivre ses activités, en se fondant sur les objectifs de rétablissement identifiés lors de l'analyse des impacts sur l'activité 25 Exercices et essais ISO 22301, clause 8.5 L'organisation doit procéder à des exercices et des essais de ses procédures de continuité d'activité afin de s'assurer qu'elles sont cohérentes avec ses objectifs de continuité d'activité 26 13

14 Évaluation de la performance ISO 22301, clause 9 1. Revue des exercices et tests 2. Revue régulière de des procédures de continuité (d activité), rapports après (post)incident 2 Revue régulière de l efficacité du SMCA en tenant compte des retours et suggestions des parties intéressées 6. Revue de direction et mise à jour des plans et procédures de continuité d activité Surveillance et revue du SMCA 3. Mesure de l efficacité des procédures 5. Réalisation des audits internes 4. Revue des appréciations du risque et du BIA Note : Chacune de ces actions doit être documentée et enregistrée 27 Amélioration ISO 22301, clause 10 L'organisme doit continuellement améliorer la pertinence l'adéquation et l'efficacité du SMCA pertinence, l adéquation et l efficacité du SMCA L'organisme peut utiliser les processus du SMCA tels que le leadership, la planification et l évaluation des performances, afin d aboutir à une amélioration 28 14

15 Introduction à ISO Section 3 Préparation à l audit de certification a. Choix de l organisme de certification b. Préparation à l audit de certification c. Audit d étape 1 d. Audit d étape 2 e. Audit de suivi f. Décision de certification g. Audit de surveillance 29 Organisme de certification ISO Organisme de certification : Tierce partie qui exerce l évaluationl de la conformité des systèmes de management Certification : Procédure selon laquelle un tiers donne l'assurance écrite qu'un produit, processus, ou service est conforme aux conditions indiquées 30 15

16 Choix de l organisme de certification Principaux critères 1 Notoriété et crédibilité 2 Présence géographique 3 Expériences dans votre secteur 4 Possibilité d audit combiné 5 Qualification et expérience de l équipe d audit 6 Prix 31 Préparation à l audit de certification Recommandations Pé Préparation à l audit 1. Autoévaluation 2. Préparation du personnel 3. Audit à blanc 32 16

17 Audit d étape 1 1. Visite des lieux 2. Entretiens avec les acteurs clés 3. Revue des documents Évaluation des lieux et des conditions spécifiques des sites à auditer Prise de contact avec le personnel de l audité Observation des technologies utilisées Observation générale des opérations du SMCA Validation du périmètre ainsi que des contraintes juridiques, réglementaires et contractuelles applicables Vérification que les audits internes et la revue de direction ont été réalisés Préparation de l étape 2 de l audit Compréhension globale l du fonctionnement du système de management Évaluation de la conception du système de management ainsi que des processus et mesures de sécurité associés Vérification que les audits internes et la revue de direction ont été réalisés Note: La revue des documents est la principale activité de l étape 1 33 Audit d étape 2 Audit sur site OBJECTIFS DE L AUDIT D ÉTAPE 2 S assurer que le SMCA : Respecte tous les pré requis de ISO Est effectivement mis en œuvre Permet à l organisme d atteindre ses objectifs de sécurité 34 17

18 Recommandation de certification A la fin de l audit, l auditeur principal doit formuler l une des quatre recommandations suivantes liées à la certification : 1. Recommandation pour la certification 2. Recommandation pour la certification sous condition d élaboration des plans d actions de mesures correctives sans visite préalable 3. Recommandation pour la certification sous condition d élaboration des plans d actions de mesures correctives avec visite préalable 4. Recommandation défavorable 35 Mener un audit de suivi ISO 17021, clause Selon les conclusions de l audit, l auditeur peut devoir réaliser un audit de suivi avant que l organisme ne soit recommandé à la certification Vérification des plans d actions et mesures correctives associées aux non-conformités identifiées dans le rapport d audit Une non-conformité majeure devrait habituellement impliquer un audit de suivi 36 18

19 Décision de certification ISO 17021, clause et L'organisme de certification doit prendre la décision de certification en se fondant sur : Une évaluation des résultats et des conclusions de l'audit Toute autre information pertinente (par exemple information publique, commentaires du client sur le rapport d'audit) Les auditeurs ayant réalisé l audit ne participent jamais à la décision de certification 37 Audit de renouvellement de certification ISO 17021, clause 9.4 Un audit de renouvellement de la certification doit être planifié et effectué tous les trois ans pour évaluer le maintien de la conformité à toutes les exigences L'audit de renouvellement de la certification doit prévoir une revue des performances du système de management sur la période de certification et inclure la revue des précédents rapports d'audit de surveillance La durée d un audit de renouvellement de certification devrait être d environ les 2/3 du temps passé pour l audit initial 38 19

20 Questions? 39 Introduction à ISO MERCI! Denis Goulet, CBCP, MBCI Certified ISO Lead Implementer Certified ISO Lead Auditor (0) Crédits: La plupart des diapos de cette présentations proviennent du manuel de formation ISO22301 Lead Implementer et sont reproduites avec la permission de PECB 40 20