Introduction à ISO 22301

Introduction à ISO 22301 Présenté par : Denis Goulet Le 3 octobre 2013 1 Introduction à ISO 22301 ORDRE DU JOUR Section 1 Cadre normatif et réglementaire Section 2 Système de Management de la Continuité ité d Activité ité (SMCA) Section 3 Préparation à l audit de certification 2 1

Introduction à ISO 22301 Section 1 Cadre normatif et réglementaire a. Qu est-ce que l ISO? b. Principes de base de l'iso c. Normes de système de management d. Normes ISO 22301 et ISO 22313 3 Qu est-ce que l ISO? L'ISO est un réseau d'organismes nationaux de normalisation de plus de 160 pays Les résultats finaux des travaux de l ISO sont publiés en tant que normes internationales Plus de 19 000 normes ont été publiées depuis 1947 4 2

Principes de Base - Normes ISO 1. Représentation égale : 1 vote par pays Principes de base des normes ISO 2. Adhésion volontaire : ISO n a pas l autorité pour la mise en application de ses normes 3. Orientation business : ISO ne développe que les normes qui comblent des besoins du marché 4. Approche par consensus : Recherche d un large consensus des différentes parties prenantes 5. Coopération internationale : plus de 160 pays membres et des organismes de liaison 5 Huit principes de management d ISO 6 3

Normes de systèmes de management Principales normes sur lesquelles un organisme peut être certifié ISO 9001 Qualité ISO 14001 Environnement OHSAS 18001 Santé & sécurité au travail ISO 20000 Service IT ISO 22000 Sécurité alimentaire ISO 22301 Continuité d activité ISO 27001 Sécurité de l information ISO 28000 Sécurité de la chaîne d approvisionnement 7 Historique de la norme ISO 22301 1988-2013 2013 2012 1988 Création du DRI International (connue au départ comme étant Disaster Recovery Institute) aux États- Unis 1994 Création du Business Continuity Institute (BCI) en Angleterre 2003 2006 2002 Publication du BS 25999-1 Publication du PAS 56 BCI publie le guide des bonnes pratiques en continuité d activité 2007 Publication du BS 25999-2 ISO publie la première version d ISO 22301 ISO publie la première version d ISO 22313 8 4

ISO 22301 Définit les conditions pour la gestion du SMCA Les exigences (clauses) sont écrites en utilisant le verbe d obligation «devoir» Intégrer le modèle de PDCA (Planifier / Déployer / Contrôler / Agir) Auditable L'organisme peut obtenir la certification selon cette norme 9 ISO 22301 Contenu Section 1 Section 2 Section 3 Section 4 Section 5 Section 6 Section 7 Section 8 Section 9 Section 10 Domaine d application Références normatives Termes et définitions Contexte de l organisme Leadership Planning Support Opérations Evaluation des performances Amélioration 10 5

ISO 22313 Code de bonne pratique pour mettre en œuvre, maintenir et améliorer un SMCA (Document de référence) Elle utilise le verbe «Il convient» («should» ) pour définir les préconisations de mise en œuvre Ne conduit pas à une certification 11 Introduction à ISO 22301 Section 2 Système de management de la continuité d'activité (SMCA) a. Définition d'un SMCA b. Approche par processus c. Vue d'ensemble - Clauses 4 à 10 12 6

Management de la continuité d'activité ISO 22301, clause 3.4 Processus de management holistique qui identifie les menaces potentielles pour une organisation ainsi que les impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à l'activité de l'organisation, et qui fournit un cadre pour améliorer la résilience de l'organisation avec une capacité de réponse efficace préservant les intérêts de ses principales parties prenantes, sa réputation, sa marque et ses activités à valeur ajoutée Note : Le système de management comprend la structure organisationnelle, les politiques, les activités de planification, les responsabilités, les procédures, les processus et les ressources. 13 Continuité d activité Avantages Réponse prévisible et pertinente aux crises Protection des personnes Maintien des activités vitales de l'organisme Une meilleure compréhension de l'organisation Réduction des coûts Respect des parties intéressées Protection de la réputation et de la marque Confiance des clients Avantage compétitif Conformité légale Conformité règlementaire Conformité au contrat 14 7

Cycle Planifier-Déployer-Contrôler-Agir (PDCA) ISO 22301, Introduction Parties intéressées Planifier Établir un SMCA Parties intéressées Agir Maintenir et améliorer le SMCA Déployer Mettre en œuvre le SMCA Exigences et attentes de la Continuité d Activité Surveiller et rééxaminer le SMCA Contrôler Continuité d Activité gérée 15 Contexte de l'organisation ISO 22301, clause 4 Compréhension de l'organisation et de son contexte Compréhension des besoins et attentes des parties intéressées Détermination du périmètre du SMCA Les activités de l'organisation, ses fonctions, ses services, ses produits, ses partenariats, les chaînes d'approvisionnement Les liens entre la politique de continuité d'activité et les objectifs de l'organisation ainsi que les autres politiques Le goût du risque de l'organisation les parties intéressées qui sont concernées par le système SMCA les exigences de ces parties intéressées (c'est-à-dire leurs besoins et leurs attentes Les exigences légales et réglementaires Pour établir le périmètre du système SMCA, l'organisation doit en déterminer les limites et l'applicabilité Lorsqu'elle établit ce périmètre, l organisation doit prendre en compte les enjeux externes et internes ainsi que les exigences légales et réglementaires 16 8

Leadership et engagement de la direction ISO 22301, clause 5.1 et 5.2 Orientation stratégique gq S assurer que le SMCA est compatible avec les orientations stratégiques de l'organisme Intégrer les exigences du SMCA dans les processus métier de l'organisme Mise à disposition des ressources La direction doit déterminer et fournir les ressources nécessaires au SMCA Communication La direction doit communiquer sur l'importance d une gestion efficace de la continuité d activité et de la conformité aux processus du SMCA 17 Politique de continuité d activité ISO 22301, clause 5.3 La direction doit établir une politique de continuité d'activité qui : est adaptée à la mission de l'organisation fournit un cadre pour l établissement d objectifs de continuité d'activité inclut l'engagement de satisfaire aux exigences applicables inclut l'engagement d'œuvrer pour l'amélioration continue du système SMCA La politique du système SMCA doit : être disponible sous forme d information documentée être communiquée au sein de l'organisation être mise à la disposition des parties intéressées, le cas échéant faire l'objet d'une revue, à des intervalles définis et en cas de modifications significatives, afin de s'assurer qu'elle est toujours appropriée 18 9

Rôles, responsabilités et autorités au sein de l organisation ISO 22301, clause 5.4 La direction doit s assurer que les responsabilités et autorités des rôles concernés sont attribuées et communiquées au sein de l organisation La direction doit désigner qui a la responsabilité et l autorité de : S assurer que le système de management est conforme aux exigences de ISO 22301 Rendre compte à la direction des performances du système SMCA 19 Objectifs de continuité d'activité et plans pour les atteindre ISO 22301, clause 6.2 La direction doit s'assurer que les objectifs de continuité d'activité sont établis et communiqués aux fonctions et niveaux concernés au sein de l'organisation Les objectifs de continuité d'activité doivent : a) être cohérents avec la politique de continuité d'activité b) tenir compte du niveau minimal de produits et services qui est acceptable pour que l'organisation atteigne ses objectifs c) être mesurables d) tenir compte des exigences applicables e) être surveillés et mis à jour quand c est approprié 20 10

Support ISO 22301, clause 7 L'organisme doit identifier et fournir les ressources nécessaires à l'établissement, la mise en œuvre, la tenue à jour et l'amélioration continue du système SMCA Les personnes effectuant un travail sous le contrôle de l'organisme doivent être sensibilisées à la politique de continuité d'activité et avoir conscience de leur contribution à l'efficacité du système SMCA Le système SMCA de l'organisme doit inclure les informations documentées exigées par la norme et les informations documentées que l'organisation juge nécessaires à l'efficacité du système SMCA Ressources Compétences Sensibilisation Communication Documentation L organisme doit s assurer que les personnes sont compétentes L'organisme doit établir, mettre en œuvre et tenir à jour une ou des procédures pour la communication interne et externe 21 Informations documentées ISO 22301, clause 7.5 1. Création 2. Identification 3. Classification et sécurité 9. Destruction 4. Modification 5. Approbation 8. Archivage 7. Utilisation adéquate 6. Distribution Une procédure doit être établie pour gérer le cycle de vie du document 22 11

Analyse des impacts sur l'activité et appréciation du risque ISO 22301, clause 3.8, 3.50 & 8.2 Processus d'analyse des activités et de l'effet qu une perturbation de l'activité peut avoir sur elles Analyse des impacts sur l'activité (BIA) Appréciation du Risque Processus général d'identification des risques, d'analyse du risque et d évaluation du risque 23 Stratégie de continuité d activité ISO 22301, clause 8.3 L'organisme doit déterminer des options de continuité appropriées pour : B) Stabiliser, poursuivre, reprendre et récupérer les activités prioritaires ainsi que leur dépendance et soutenir les ressources 24 12

Établir et mettre en œuvre des procédures de continuité d activité ISO 22301, clause 8.4.1 L'organisation doit documenter les procédures (y compris les dispositions nécessaires) lui permettant d'assurer la continuité des activités et la gestion d'un incident perturbateur Généralités L'organisation doit établir, mettre en œuvre et tenir à jour des procédures de continuité d'activité lui permettant de gérer un incident id perturbateur t et de poursuivre ses activités, en se fondant sur les objectifs de rétablissement identifiés lors de l'analyse des impacts sur l'activité 25 Exercices et essais ISO 22301, clause 8.5 L'organisation doit procéder à des exercices et des essais de ses procédures de continuité d'activité afin de s'assurer qu'elles sont cohérentes avec ses objectifs de continuité d'activité 26 13

Évaluation de la performance ISO 22301, clause 9 1. Revue des exercices et tests 2. Revue régulière de des procédures de continuité (d activité), rapports après (post)incident 2 Revue régulière de l efficacité du SMCA en tenant compte des retours et suggestions des parties intéressées 6. Revue de direction et mise à jour des plans et procédures de continuité d activité Surveillance et revue du SMCA 3. Mesure de l efficacité des procédures 5. Réalisation des audits internes 4. Revue des appréciations du risque et du BIA Note : Chacune de ces actions doit être documentée et enregistrée 27 Amélioration ISO 22301, clause 10 L'organisme doit continuellement améliorer la pertinence l'adéquation et l'efficacité du SMCA pertinence, l adéquation et l efficacité du SMCA L'organisme peut utiliser les processus du SMCA tels que le leadership, la planification et l évaluation des performances, afin d aboutir à une amélioration 28 14

Introduction à ISO 22301 Section 3 Préparation à l audit de certification a. Choix de l organisme de certification b. Préparation à l audit de certification c. Audit d étape 1 d. Audit d étape 2 e. Audit de suivi f. Décision de certification g. Audit de surveillance 29 Organisme de certification ISO 17021 Organisme de certification : Tierce partie qui exerce l évaluationl de la conformité des systèmes de management Certification : Procédure selon laquelle un tiers donne l'assurance écrite qu'un produit, processus, ou service est conforme aux conditions indiquées 30 15

Choix de l organisme de certification Principaux critères 1 Notoriété et crédibilité 2 Présence géographique 3 Expériences dans votre secteur 4 Possibilité d audit combiné 5 Qualification et expérience de l équipe d audit 6 Prix 31 Préparation à l audit de certification Recommandations Pé Préparation à l audit 1. Autoévaluation 2. Préparation du personnel 3. Audit à blanc 32 16

Audit d étape 1 1. Visite des lieux 2. Entretiens avec les acteurs clés 3. Revue des documents Évaluation des lieux et des conditions spécifiques des sites à auditer Prise de contact avec le personnel de l audité Observation des technologies utilisées Observation générale des opérations du SMCA Validation du périmètre ainsi que des contraintes juridiques, réglementaires et contractuelles applicables Vérification que les audits internes et la revue de direction ont été réalisés Préparation de l étape 2 de l audit Compréhension globale l du fonctionnement du système de management Évaluation de la conception du système de management ainsi que des processus et mesures de sécurité associés Vérification que les audits internes et la revue de direction ont été réalisés Note: La revue des documents est la principale activité de l étape 1 33 Audit d étape 2 Audit sur site OBJECTIFS DE L AUDIT D ÉTAPE 2 S assurer que le SMCA : Respecte tous les pré requis de ISO 22301 Est effectivement mis en œuvre Permet à l organisme d atteindre ses objectifs de sécurité 34 17

Recommandation de certification A la fin de l audit, l auditeur principal doit formuler l une des quatre recommandations suivantes liées à la certification : 1. Recommandation pour la certification 2. Recommandation pour la certification sous condition d élaboration des plans d actions de mesures correctives sans visite préalable 3. Recommandation pour la certification sous condition d élaboration des plans d actions de mesures correctives avec visite préalable 4. Recommandation défavorable 35 Mener un audit de suivi ISO 17021, clause 9.1.12-13 Selon les conclusions de l audit, l auditeur peut devoir réaliser un audit de suivi avant que l organisme ne soit recommandé à la certification Vérification des plans d actions et mesures correctives associées aux non-conformités identifiées dans le rapport d audit Une non-conformité majeure devrait habituellement impliquer un audit de suivi 36 18

Décision de certification ISO 17021, clause 7.5.2 et 9.2.5.1 L'organisme de certification doit prendre la décision de certification en se fondant sur : Une évaluation des résultats et des conclusions de l'audit Toute autre information pertinente (par exemple information publique, commentaires du client sur le rapport d'audit) Les auditeurs ayant réalisé l audit ne participent jamais à la décision de certification 37 Audit de renouvellement de certification ISO 17021, clause 9.4 Un audit de renouvellement de la certification doit être planifié et effectué tous les trois ans pour évaluer le maintien de la conformité à toutes les exigences L'audit de renouvellement de la certification doit prévoir une revue des performances du système de management sur la période de certification et inclure la revue des précédents rapports d'audit de surveillance La durée d un audit de renouvellement de certification devrait être d environ les 2/3 du temps passé pour l audit initial 38 19

Questions? 39 Introduction à ISO 22301 MERCI! Denis Goulet, CBCP, MBCI Certified ISO 22301 Lead Implementer Certified ISO 22301 Lead Auditor denis.goulet@continuitylink.com +1 514 572 4517 +44 (0)7967 221 141 www.continuitylink.com Crédits: La plupart des diapos de cette présentations proviennent du manuel de formation ISO22301 Lead Implementer et sont reproduites avec la permission de PECB 40 20