ISO 22301:2019 Liste de contrôle

Page de titre

Site de réalisation
Effectué le
Préparé par
Position

4. Contexte de l'organisation

4.1 Comprendre l'organisation et son contexte

L'organisation doit déterminer les observations externes et internes pertinentes pour ses objectifs et qui affectent sa capacité à atteindre le(s) résultat(s) escompté(s) de son système de gestion de la continuité des activités (BCMS).
COMMENTAIRE : ces questions seront influencées par les objectifs généraux de l'organisation, ses produits et services et la taille et le type de risque qu'elle peut ou non prendre.

4.2 Comprendre les besoins et les attentes des parties intéressées

4.2.1 Généralités

Lors de l'établissement de son système de gestion de la continuité des activités (BCMS), l'organisation doit déterminer :
a) les parties intéressées qui sont pertinentes pour le système de gestion de la continuité des activités (BCMS) ;
b) les exigences pertinentes de ces parties intéressées.

4.2.2 Exigences légales et réglementaires

L'organisation doit :
a) mettre en place et maintenir un processus permettant d'identifier, d'avoir accès et d'évaluer les exigences légales et réglementaires applicables en matière de continuité de ses produits et services, activités et ressources ;
b) s'assurer que ces exigences légales, réglementaires et autres applicables sont prises en compte dans la mise en place et le maintien de son système de gestion de la continuité des activités (BCMS) ;
c) documenter ces informations et les tenir à jour.

4.3 Déterminer le champ d'application du système de management de la continuité des activités

4.3.1 Généralités

L'organisation doit déterminer les limites et l'applicabilité du système de gestion de la continuité des activités (BCMS) afin d'en établir le champ d'application.
Lors de la détermination de ce champ d'application, l'organisation doit prendre en compte :
a) les observations externes et internes mentionnées au point 4.1 ;
b) les exigences mentionnées au point 4.2 ;
c) sa mission, ses objectifs et ses obligations internes et externes.
Le champ d'application doit être disponible sous forme d'informations documentées.

4.3.2 Champ d'application du système de management de la continuité des activités

L'organisation doit :
a) établir les parties de l'organisation à inclure dans le système de gestion de la continuité des activités (BCMS), en tenant compte de son ou ses positions, de sa taille, de sa nature et de sa complexité ;
b) identifier les produits et services à inclure dans le système de gestion de la continuité des activités (BCMS).
Lors de la définition du champ d'application, l'organisme doit documenter et expliquer les exclusions. Elles ne doivent pas affecter la capacité et la responsabilité de l'organisation à assurer la continuité des opérations, telles que déterminées par l'analyse d'impact sur les opérations ou la gestion du risque et les exigences légales ou réglementaires applicables.

4.4 Système de gestion de la continuité des activités

L'organisation doit établir, mettre en place, maintenir et améliorer en permanence un système de gestion de la continuité des activités (BCMS), y compris les processus nécessaires et leurs interactions, conformément aux exigences du présent document.

5. Leadership

5.1 Leadership et engagement

La direction générale doit faire preuve de leadership et d'engagement à l'égard du système de gestion de la continuité des activités (BCMS) :
a) s'assurer que la politique de continuité des opérations et les objectifs de continuité des opérations sont établis et compatibles avec l'orientation stratégique de l'organisation ;
b) assurer l'intégration des exigences du système de gestion de la continuité des activités (BCMS) dans les processus opérationnels de l'organisation ;
c) s'assurer que les ressources nécessaires au système de gestion de la continuité des activités (BCMS) sont disponibles ;
d) communiquer l'importance d'une continuité efficace des activités et de la conformité aux exigences du système de gestion de la continuité des activités (BCMS) ;
e) s'assurer que le système de gestion de la continuité des activités (BCMS) atteint le(s) résultat(s) escompté(s) ;
f) diriger et soutenir les personnes qui contribuent à l'efficacité du système de gestion de la continuité des activités (BCMS) ;
g) promouvoir l'amélioration continue ;
h) soutenir d'autres rôles de gestion pertinents pour démontrer leur leadership et leur engagement dans leurs zones de responsabilité.
COMMENTAIRE : La référence à « l'activité » dans ce document peut être interprétée au sens large pour signifier les activités qui sont au cœur des objectifs de l'organisation.

5.2 Politique

5.2.1 Établir la politique de continuité des activités

La direction générale doit établir une politique de continuité des activités qui :
a) est approprié à l'objectif de l'organisation ;
b) fournit un cadre pour la fixation des objectifs de continuité des activités ;
c) comprend un engagement à satisfaire aux exigences applicables ;
d) comprend un engagement d'amélioration continue du système de gestion de la continuité des activités (BCMS).

5.2.2 Communiquer la politique de continuité des activités

La politique de continuité des activités doit :
a) être disponibles sous forme d'informations documentées ;
b) être communiquées au sein de l'organisation ;
c) être mis à la disposition des parties intéressées, le cas échéant.

5.3 Rôles, responsabilités et autorités de l'organisation

La direction générale doit veiller à ce que les responsabilités et les pouvoirs pertinents aux rôles soient attribués et communiqués au sein de l'organisation.
La direction générale doit attribuer la responsabilité et l'autorité pour :
a) s'assurer que le système de gestion de la continuité des activités (BCMS) est conforme aux exigences du présent document ;
b) rapporter la performance du système de gestion de la continuité des activités (BCMS) à la direction générale.

6. Planning

6.1 Actions pour faire face aux risques et aux opportunités

6.1.1 Déterminer les risques et les opportunités

Lors du planning du système de gestion de la continuité des activités (BCMS), l'organisation doit prendre en compte les observations mentionnées au point 4.1 et les exigences mentionnées au point 4.2 et déterminer les risques et les opportunités qui doivent être pris en compte pour :
a) donner l'assurance que le système de gestion de la continuité des activités (BCMS) peut atteindre le(s) résultat(s) escompté(s) ;
b) prévenir ou réduire les effets indésirables ;
c) assurer une amélioration continue.

6.1.2 Répondre aux risques et aux opportunités

L'organisation doit planifier :
a) des actions pour faire face à ces risques et opportunités ;
b) comment faire :
1) intégrer et mettre en œuvre les actions dans ses processus de système de gestion de la continuité des activités (BCMS) (voir 8.1) ;
2) évaluer l'efficacité de ces actions (voir 9.1).
COMMENTAIRE : les risques et les opportunités sont liés à l'efficacité du système de management. Les risques liés à la perturbation de l'activité sont traités au point 8.2.

6.2 Objectifs de continuité des activités et planning pour les atteindre

6.2.1 Établissement des objectifs de continuité des activités

L'organisation doit établir des objectifs de continuité des activités aux fonctions et niveaux pertinents.
Les objectifs de continuité des activités doivent :
a) être conforme à la politique de continuité des activités ;
b) être mesurable (si possible) ;
c) tenir compte des exigences applicables (voir 4.1 et 4.2) ;
d) être contrôlé ;
e) être communiqué ;
f) être mis à jour le cas échéant.
L'organisation doit conserver des informations documentées sur les objectifs de continuité des activités.

6.2.2 Détermination des objectifs de continuité des activités

Lorsqu'elle planifie la manière d'atteindre ses objectifs de continuité des opérations, l'organisation doit déterminer :
a) ce qui sera fait ;
b) quelles ressources seront nécessaires ;
c) qui sera responsable ;
d) la date à laquelle il sera terminé ;
e) comment les résultats seront évalués.

6.3 Planification des modifications du système de gestion de la continuité des activités

Lorsque l'organisation détermine qu'il est nécessaire d'apporter des modifications au système de gestion de la continuité des activités (BCMS), y compris celles identifiées dans la clause 10, les modifications doivent être effectuées de manière planifiée.
L'organisation doit prendre en compte :
a) l'objectif des changements et leurs conséquences potentielles ;
b) l'intégrité du système de gestion de la continuité des activités (BCMS) ;
c) la disponibilité des ressources ;
d) l'attribution ou la réattribution des responsabilités et des pouvoirs.

7. Support technique

7.1 Ressources

L'organisation doit déterminer et fournir les ressources nécessaires à l'établissement, à la mise en place, à la maintenance et à l'amélioration continue du système de gestion de la continuité des activités (BCMS).

7.2 Compétence

L'organisation doit :
a) déterminer la compétence nécessaire des personnes effectuant des travaux sous son contrôle qui ont une incidence sur la continuité de ses activités ;
b) s'assurer que ces personnes sont compétentes sur la base d'un enseignement, d'une formation ou d'une expérience appropriés ;
c) le cas échéant, prendre des actions pour acquérir les compétences nécessaires et évaluer leur efficacité ;
d) conserver les informations documentées appropriées comme preuve de compétence.
COMMENTAIRE : les actions applicables peuvent inclure, par exemple, la formation, le mentorat ou la réaffectation des personnes actuellement employées, ou l'embauche ou la sous-traitance de personnes compétentes.

7.3 Sensibilisation

Les personnes effectuant un travail sous le contrôle de l'organisation doivent être informées de :
a) la politique de continuité des activités ;
b) leur contribution à l'efficacité du système de gestion de la continuité des activités (BCMS), y compris les avantages d'une meilleure performance en matière de continuité des opérations ;
c) conséquences de la non-conformité aux exigences du système de gestion de la continuité des activités (BCMS) ;
d) leur rôle et responsabilités avant, pendant et après les perturbations.

7.4 Communication

L'organisation doit déterminer les communications internes et externes relatives au système de gestion de la continuité des activités (BCMS), y compris :
a) sur ce qu'il communiquera ;
b) quand communiquer ;
c) avec qui communiquer ;
d) comment communiquer ;
e) qui va communiquer.

7.5 Informations documentées

7.5.1 Généralités

Le système de gestion de la continuité des activités (BCMS) de l'organisation doit comprendre :
a) les informations documentées nécessaires dans le présent document ;
b) les informations documentées que l'organisation juge nécessaires à l'efficacité du système de gestion de la continuité des activités (BCMS).
COMMENTAIRE : l'étendue des informations documentées pour un système de gestion de la continuité des activités (BCMS) peut différer d'une organisation à l'autre en raison de :
- la taille de l'organisation et de son type d'activités, de processus, de produits et services, et de ressources ;
- la complexité des processus et de leurs interactions ;
- la compétence des personnes.

7.5.2 Création et mise à jour

Lors de la création et de la mise à jour d'informations documentées, l'organisme doit s'assurer qu'elles sont appropriées :
a) identification et description (par exemple, titre, date, auteur ou numéro de référence) ;
b) format (par exemple, langue, version du logiciel, graphiques) et le média (par exemple, papier, électronique) ;
c) examen et approbation de la pertinence et de l'adéquation.

7.5.3 Contrôle des informations documentées

7.5.3.1 Les informations documentées requises par le système de gestion de la continuité des activités (BCMS) et par le présent document doivent être contrôlées afin de garantir que :
a) elle est disponible et adaptée à l'usage, où et quand elle est nécessaire ;
b) elle est protégée de manière adéquate (par exemple, contre la perte de confidentialité, l'utilisation abusive ou la perte d'intégrité).
Pour le contrôle des informations documentées, l'organisation doit aborder les activités suivantes, selon le cas :
a) la distribution, l'accès, la récupération et l'utilisation ;
b) le stockage et la conservation, y compris la conservation de la lisibilité ;
c) contrôle des modifications (par exemple, contrôle des versions) ;
d) la conservation et la destruction.
Les informations documentées d'origine externe que l'organisation juge nécessaires à la planification et au fonctionnement du système de gestion de la continuité des activités (BCMS) doivent être identifiées, le cas échéant, et contrôlées.
COMMENTAIRE : l'accès peut impliquer une décision concernant l'autorisation d'afficher les informations documentées uniquement, ou l'autorisation et le pouvoir d'afficher et de modifier les informations documentées.

8. Opération

8.1 Planification et contrôle opérationnels

L'organisme doit planifier, mettre en place et contrôler les processus nécessaires pour répondre aux exigences, et pour mettre en place les actions déterminées dans 6.1, par :
a) établir des critères pour les processus ;
b) mettre en œuvre la maîtrise des processus conformément aux critères ;
c) conserver les informations documentées dans la mesure nécessaire pour avoir la certitude que les processus ont été exécutés comme prévu.
L'organisme doit contrôler les changements planifiés et examiner les conséquences des changements involontaires, en prenant des mesures pour atténuer tout effet négatif, le cas échéant.
L'organisation doit s'assurer que les processus externalisés et la chaîne d'approvisionnement sont contrôlés.

8.2 Analyse de l'impact commercial et gestion du risque

8.2.1 Généralités

L'organisation doit :
a) mettre en place et maintenir des processus systématiques d'analyse de l'impact commercial et d'évaluation des risques de perturbation ;
b) examiner l'analyse de l'impact sur les activités et la gestion du risque à intervalles planifiés et en cas de changements importants au sein de l'organisation ou du contexte dans lequel elle opère.
COMMENTAIRE : l'organisation détermine l'ordre dans lequel l'analyse d'impact sur l'activité et la gestion du risque sont effectuées.

8.2.2 Analyse de l'impact commercial

L'organisation doit utiliser le processus d'analyse des impacts sur les activités pour déterminer les priorités et les exigences en matière de continuité des activités. Ce processus doit :
a) définir les types d'impact et les critères pertinents pour le contexte de l'organisation ;
b) identifier les activités qui soutiennent la fourniture de produits et de services ;
c) utiliser les types d'impact et les critères pour évaluer les impacts dans le temps résultant de la perturbation de ces activités ;
d) déterminer le délai dans lequel les conséquences de la non-reprise des activités deviendraient inacceptables pour l'organisation ;
COMMENTAIRE 1 : ce délai peut être appelé « période maximale tolérable de perturbation (PMTD) ».
e) fixer des délais prioritaires dans le temps identifié en d) pour reprendre les activités interrompues à une capacité minimale acceptable spécifiée ;
COMMENTAIRE 2 : ce délai peut être appelé « récupération de temps de travail (RTT) ».
f) utiliser cette analyse pour identifier les activités prioritaires ;
g) déterminer les ressources nécessaires pour soutenir les activités classées par ordre de priorité ;
h) déterminer les dépendances, y compris les partenaires et les fournisseurs, et les interdépendances des activités classées par ordre de priorité.

8.2.3 Gestion du risque

L'organisation doit mettre en place et maintenir un processus de gestion du risque.
COMMENTAIRE : le processus de gestion du risque est traité dans ISO 31000.
L'organisation doit :
a) identifier les risques de perturbation des activités prioritaires de l'organisation et de leurs ressources nécessaires ;
b) analyser et évaluer les risques identifiés ;
c) déterminer quels risques nécessitent d'être traités.
COMMENTAIRE : les risques de ce paragraphe concernent l'interruption des activités commerciales. Les risques et les opportunités liés à l'efficacité du système de management sont traités au point 6.1.

8.3 Stratégies et solutions de continuité des activités

8.3.1 Généralités

Sur la base des résultats de l'analyse de l'impact sur les activités et du management du risque, l'organisation doit identifier et sélectionner des stratégies de continuité des activités qui prennent en compte les options avant, pendant et après la perturbation. Les stratégies de continuité des activités doivent comprendre une ou plusieurs solutions.

8.3.2 Identification des stratégies et des solutions

L'identification est basée sur la mesure dans laquelle les stratégies et les solutions :
a) répondre aux exigences de continuité et de reprise des activités prioritaires dans les délais prévus et selon les capacités convenues ;
b) protéger les activités prioritaires de l'organisation ;
c) réduire la probabilité d'une perturbation ;
d) raccourcir la période de perturbation ;
e) limiter l'impact des perturbations sur les produits et services de l'organisation ;
f) prévoir la disponibilité de ressources adéquates.

8.3.3 Sélection des stratégies et des solutions

La sélection sera basée sur la mesure dans laquelle les stratégies et les solutions :
a) répondre aux exigences de poursuite et de reprise des activités prioritaires dans les délais prévus et selon les capacités convenues ;
b) prendre en compte le montant et le type de risque que l'organisation peut ou ne peut pas prendre ;
c) prendre en compte les coûts et les avantages associés.

8.3.4 Besoins en ressources

L'organisation doit déterminer les besoins en ressources pour mettre en œuvre les solutions de continuité des opérations choisies. Les types de ressources pris en compte doivent inclure, sans s'y limiter, les éléments suivants :
a) les personnes ;
b) informations et données ;
c) les infrastructures physiques telles que les bâtiments, les lieux de travail ou autres installations et les services publics associés ;
d) équipements et consommables ;
e) les systèmes de technologies de l'information et de la communication (TIC) ;
f) transport et logistique ;
g) finances ;
h) partenaires et fournisseurs.

8.3.5 Mise en place de solutions

L'organisation doit mettre en place et maintenir les solutions de continuité des activités sélectionnées afin qu'elles puissent être activées en cas de besoin.

8.4 Plans et procédures de continuité des activités

8.4.1 Généralités

L'organisation doit mettre en place et maintenir une structure d'intervention qui permettra d'alerter et de communiquer en temps utile avec les parties intéressées. Elle doit fournir des plans et des procédures pour gérer l'organisation pendant une perturbation. Les plans et procédures doivent être utilisés, si nécessaire, pour activer les solutions de continuité des activités.
COMMENTAIRE : il existe différents types de procédures dans les plans de continuité des activités.
L'organisation doit identifier et documenter les plans et les procédures de continuité des activités sur la base des résultats des stratégies et des solutions sélectionnées.
Les procédures doivent :
a) sont spécifiques quant aux mesures immédiates à prendre pendant une perturbation ;
b) être flexible pour répondre à l'évolution des conditions internes et externes d'une perturbation ;
c) se concentrer sur l'impact des incidents qui peuvent entraîner des perturbations ;
d) être efficace pour minimiser l'impact par la mise en place de solutions appropriées ;
e) attribuer des rôles et des responsabilités pour les tâches qui y sont effectuées.

8.4.2 Structure de réponse

8.4.2.1 L'organisation doit mettre en place et maintenir une structure, identifiant une ou plusieurs équipes responsables de la réponse aux perturbations.
8.4.2.2 Les rôles et responsabilités de chaque équipe et les relations entre les équipes doivent être clairement énoncés.
8.4.2.3 Collectivement, les équipes doivent être compétentes pour :
a) évaluer la nature et l'étendue d'une perturbation et son impact potentiel ;
b) évaluer l'impact par rapport à des seuils prédéfinis qui justifient le lancement d'une réponse formelle ;
c) activer une réponse appropriée en matière de continuité des activités ;
d) planifier les actions qui doivent être prises ;
e) établir des priorités (la sécurité des personnes étant la première priorité) ;
f) contrôler les effets de la perturbation et la réponse de l'organisation ;
g) activer les solutions de continuité des activités ;
h) communiquer avec les parties intéressées, les autorités et les médias.
8.4.2.4 Pour chaque équipe, il y aura :
a) le personnel identifié et ses suppléants ayant la responsabilité, l'autorité et la compétence nécessaires pour remplir le rôle qui leur est attribué ;
b) des procédures documentées pour guider leurs actions (voir 8.4.4), y compris celles concernant l'activation, le fonctionnement, la coordination et la communication de la réponse.

8.4.3 Avertissement et communication

8.4.3.1 L'organisation doit documenter et maintenir des procédures pour :
a) la communication interne et externe aux parties intéressées, y compris ce qu'il faut communiquer, quand, avec qui et comment ;
COMMENTAIRE : l'organisation peut documenter et maintenir des procédures sur la façon et les circonstances de communication avec les employés et leurs contacts d'urgence.
b) recevoir, documenter et répondre aux communications des parties intéressées, y compris tout système consultatif national ou régional sur les risques ou équivalent ;
c) assurer la disponibilité des moyens de communication pendant une perturbation ;
d) faciliter la communication structurée avec les intervenants d'urgence ;
e) fournir des détails sur la réponse de l'organisation aux médias après un incident, y compris une stratégie de communication ;
f) enregistrer les détails de la perturbation, les actions entreprises et les décisions prises.
8.4.3.2 Le cas échéant, les éléments suivants doivent également être pris en compte et mis en place :
a) alerter les parties intéressées potentiellement touchées par une perturbation réelle ou imminente ;
b) assurer une coordination et une communication appropriées entre les multiples organisations d'intervention.
Les procédures d'alerte et de communication doivent être exercées dans le cadre du programme d'exercices de l'organisme décrit au point 8.5.

8.4.4 Plans de continuité des activités

8.4.4.1 L'organisation doit documenter et maintenir des plans et des procédures de continuité des activités. Les plans de continuité des activités doivent fournir des conseils et des informations pour aider les équipes à réagir à une perturbation et pour aider l'organisation à réagir et à se rétablir.
8.4.4.2 Collectivement, les plans de continuité des activités doivent contenir :
a) les détails des actions que les équipes vont entreprendre afin de :
1) poursuit ou récupère les activités prioritaires dans des délais prédéterminés ;
2) contrôler l'impact de la perturbation et la réponse de l'organisation ;
b) référence au(x) seuil(s) prédéfini(s) et processus d'activation de la réponse ;
c) des procédures permettant de fournir des produits et des services à la capacité convenue ;
d) les modalités de gestion des conséquences immédiates d'une perturbation en tenant compte des éléments suivants :
1) le bien-être des individus ;
2) la prévention d'une nouvelle perte ou indisponibilité des activités prioritaires ;
3) l'impact sur l'environnement.
8.4.4.3 Chaque plan doit inclure :
a) le but, le champ d'application et les objectifs ;
b) les rôles et responsabilités de l'équipe qui mettra en place le plan ;
c) des actions pour mettre en place les solutions ;
d) informations de support technique nécessaires pour activer (y compris les critères d'activation), opérer, coordonner et communiquer les actions de l'équipe ;
e) les interdépendances internes et externes ;
f) les besoins en ressources ;
g) exigences en matière de rapports ;
h) un processus d'arrêt.
Chaque plan doit être utilisable et disponible au moment et à l'endroit où il est nécessaire.

8.5 Programme d'exercices

L'organisation doit mettre en œuvre et maintenir un programme d'exercices et de tests pour valider dans le temps l'efficacité de ses stratégies et solutions de continuité des activités.
L'organisation doit effectuer des exercices et des tests qui :
a) sont compatibles avec ses objectifs de continuité des activités ;
b) sont fondés sur des scénarios appropriés, bien planifiés, avec des buts et des objectifs clairement définis ;
c) développer le travail d'équipe, la compétence, la confiance et les connaissances de ceux qui ont un rôle à jouer en cas de perturbations ;
d) ensemble, au fil du temps, valider ses stratégies et solutions de continuité des activités ;
e) produire des rapports post-exercice formalisés qui contiennent des résultats, des recommandations et des actions pour mettre en place des améliorations ;
f) sont examinés dans le cadre de la promotion de l'amélioration continue ;
g) sont effectuées à intervalles planifiés et lorsqu'il y a des changements significatifs au sein de l'organisation ou du contexte dans lequel elle opère.
L'organisation doit agir sur les résultats de ses exercices et de ses tests pour mettre en place des changements et des améliorations.

8.6 Évaluation de la documentation et des capacités de continuité des activités

L'organisation doit :
a) évaluer la pertinence, l'adéquation et l'efficacité de son analyse d'impact commercial, de sa gestion du risque, de ses stratégies, solutions, plans et procédures ;
b) entreprendre des évaluations par le biais d'examens, d'analyses, d'exercices, de tests, de rapports post-incident et d'évaluations des performances ;
c) effectuer des évaluations des capacités de continuité des activités des partenaires et fournisseurs concernés ;
d) évaluer la conformité avec les exigences légales et réglementaires applicables, les meilleures pratiques de l'industrie et la conformité avec sa propre politique et ses objectifs en matière de continuité des activités ;
e) mettre à jour la documentation et les procédures en temps utile.
Ces évaluations sont effectuées à intervalles planifiés, après un incident ou une activation, et lorsque des changements importants se produisent.

9. Évaluation des performances

9.1 Contrôle, mesure, analyse et évaluation

L'organisme doit déterminer :
a) ce qui doit être surveillé et mesuré ;
b) méthodes de contrôle, de mesure, d'analyse et d'évaluation, le cas échéant, pour garantir la validité des résultats ;
c) quand et par qui le contrôle et la mesure doivent être effectuées ;
d) quand et par qui les résultats du contrôle et des mesures seront analysés et évalués.
L'organisation doit conserver les informations documentées appropriées comme preuve des résultats.
L'organisation doit évaluer la performance et l'efficacité du système de gestion de la continuité des activités (BCMS).

9.2 Audit interne

9.2.1 Généralités

L'organisation doit effectuer des audits internes à des intervalles planifiés afin de fournir des informations sur le fait que le système de gestion de la continuité des activités (BCMS) :
a) est conforme à :
1) les exigences propres à l'organisation pour son système de gestion de la continuité des activités (BCMS). ;
2) exigences du présent document ;
b) est mis en place et maintenu de manière efficace.

9.2.2 Programme(s) d'audit

L'organisation doit :
a) planifier, établir, mettre en place et maintenir un ou plusieurs programmes d'audit, y compris la fréquence, les méthodes, les responsabilités, les exigences en matière de planification et les rapports, qui doivent tenir compte de l'importance des processus concernés et des résultats des audits précédents ;
b) définir les critères et le champ d'application de chaque audit ;
c) sélectionner les auditeurs et effectuer les audits afin de garantir l'objectivité et l'impartialité du processus d'audit ;
d) s'assurer que les résultats des audits sont rapportés aux responsables concernés ;
e) conserver les informations documentées comme preuve de la mise en place du ou des programmes d'audit et des résultats de l'audit ;
f) s'assurer que toutes les actions correctives nécessaires sont prises sans retard excessif pour éliminer les non-conformités détectées et leurs causes ;
g) s'assurer que les actions d'audit de suivi comprennent la vérification des actions prises et la communication des résultats de la vérification.

9.3 Revue de direction

9.3.1 Généralités

La direction générale doit examiner le système de gestion de la continuité des activités (BCMS) de l'organisation, à intervalles planifiés, afin de s'assurer qu'il reste adapté, adéquat et efficace.

9.3.2 Contribution à la revue de direction

L'examen de la gestion doit prendre en compte les éléments suivants :
a) statut des actions prises lors des précédentes revues de direction ;
b) les changements dans les observations externes et internes qui sont pertinentes pour le système de gestion de la continuité des activités (BCMS) ;
c) informations sur les performances du système de gestion de la continuité des activités (BCMS), y compris les tendances en matière de :
1) non-conformités et actions correctives ;
2) contrôle et mesure des résultats d'évaluation ;
3) résultats de l'audit ;
d) les commentaires des parties intéressées ;
e) la nécessité de modifier le système de gestion de la continuité des activités (BCMS), y compris la politique et les objectifs ;
f) les procédures et les ressources qui pourraient être utilisées dans l'organisation pour améliorer les performances du système de gestion de la continuité des activités (BCMS) ;
g) les informations provenant de l'analyse d'impact sur les entreprises et de la gestion du risque ;
h) les résultats de l'évaluation de la documentation et des capacités en matière de continuité des opérations (voir 8.6) ;
i) les risques ou les observations qui n'ont pas été traités de manière adéquate dans toute gestion du risque antérieure ;
j) les leçons tirées et les actions découlant des quasi-accidents et des perturbations ;
k) les possibilités d'amélioration continue.

9.3.3 Résultats de la revue de direction

9.3.3.1 Les résultats de la revue de direction comprendront des décisions relatives aux possibilités d'amélioration continue et à la nécessité de modifier le système de gestion de la continuité des activités (BCMS) pour en améliorer l'efficacité, y compris :
a) variations du champ d'application du système de gestion de la continuité des activités (BCMS) ;
b) mise à jour de l'analyse de l'impact sur les activités, de la gestion du risque, des stratégies et solutions de continuité des activités et des plans de continuité des activités ;
c) la modification des procédures et des contrôles pour répondre aux observations internes ou externes qui peuvent avoir un impact sur le système de gestion de la continuité des activités (BCMS) ;
d) comment l'efficacité des contrôles sera mesurée.
9.3.3.2 L'organisation doit conserver des informations documentées comme preuve des résultats des revues de direction. Elle doit :
a) communiquer les résultats de la revue de direction aux parties intéressées ;
b) prendre les actions appropriées en fonction de ces résultats.

10. Améliorations

10.1 Non-conformité et action corrective

10.1.1 L'organisation doit déterminer les possibilités d'amélioration et mettre en œuvre les actions nécessaires pour atteindre les résultats escomptés de son système de gestion de la continuité des activités (BCMS).
En cas de non-conformité, l'organisation doit :
a) agir face à la non-conformité, et, le cas échéant :
1) prendre des mesures pour le contrôler et le corriger ;
2) faire face aux conséquences ;
b) évaluer la nécessité d'une action pour éliminer la ou les causes de la non-conformité, afin qu'elle ne se reproduise pas ou ne se reproduise pas ailleurs, en :
1) examiner la non-conformité ;
2) déterminer les causes de la non-conformité ;
3) déterminer si des non-conformités similaires existent ou peuvent se produire ;
c) mettre en place toute action nécessaire ;
d) examiner l'efficacité de toute mesure corrective prise ;
e) apporter des modifications au système de gestion de la continuité des activités (BCMS), si nécessaire.
Les actions correctives doivent être adaptées aux effets des non-conformités rencontrées.
10.1.3 L'organisation doit conserver les informations documentées comme preuve de :
a) la nature des non-conformités et les actions prises en conséquence ;
b) les résultats de toute action corrective.

10.2 Amélioration continue

L'organisation doit continuellement améliorer la pertinence, l'adéquation et l'efficacité du système de gestion de la continuité des activités (BCMS), sur la base de mesures qualitatives et quantitatives.
L'organisation doit prendre en compte les résultats de l'analyse et de l'évaluation, ainsi que les résultats de la revue de direction, afin de déterminer s'il existe des besoins ou des opportunités, liés à l'activité ou au système de gestion de la continuité des activités (BCMS), qui doivent être traités dans le cadre de l'amélioration continue.
COMMENTAIRE : L'organisation peut utiliser les processus du système de gestion de la continuité des activités (BCMS), tels que le leadership, le planning et l'évaluation des performances pour réaliser des améliorations.

Achèvement

Commentaires / recommandations
Nom et signature

ISO 22301:2019 Liste de contrôle

Free ISO 22301:2019 Liste de contrôle Checklist

Go digital today!

Convert your paper checklists into digital forms

4.1 Comprendre l'organisation et son contexte

4.2 Comprendre les besoins et les attentes des parties intéressées

4.2.1 Généralités

4.2.2 Exigences légales et réglementaires

4.3 Déterminer le champ d'application du système de management de la continuité des activités

4.3.1 Généralités

4.3.2 Champ d'application du système de management de la continuité des activités

4.4 Système de gestion de la continuité des activités

5.1 Leadership et engagement

5.2 Politique

5.2.1 Établir la politique de continuité des activités

5.2.2 Communiquer la politique de continuité des activités

5.3 Rôles, responsabilités et autorités de l'organisation

6.1 Actions pour faire face aux risques et aux opportunités

6.1.1 Déterminer les risques et les opportunités

6.1.2 Répondre aux risques et aux opportunités

6.2 Objectifs de continuité des activités et planning pour les atteindre

6.2.1 Établissement des objectifs de continuité des activités

6.2.2 Détermination des objectifs de continuité des activités

6.3 Planification des modifications du système de gestion de la continuité des activités

7.1 Ressources

7.2 Compétence

7.3 Sensibilisation

7.4 Communication

7.5 Informations documentées

7.5.1 Généralités

7.5.2 Création et mise à jour

7.5.3 Contrôle des informations documentées

8.1 Planification et contrôle opérationnels

8.2 Analyse de l'impact commercial et gestion du risque

8.2.1 Généralités

8.2.2 Analyse de l'impact commercial

8.2.3 Gestion du risque

8.3 Stratégies et solutions de continuité des activités

8.3.1 Généralités

8.3.2 Identification des stratégies et des solutions

8.3.3 Sélection des stratégies et des solutions

8.3.4 Besoins en ressources

8.3.5 Mise en place de solutions

8.4 Plans et procédures de continuité des activités

8.4.1 Généralités

8.4.2 Structure de réponse

8.4.3 Avertissement et communication

8.4.4 Plans de continuité des activités

8.5 Programme d'exercices

8.6 Évaluation de la documentation et des capacités de continuité des activités

9.1 Contrôle, mesure, analyse et évaluation

9.2 Audit interne

9.2.1 Généralités

9.2.2 Programme(s) d'audit

9.3 Revue de direction

9.3.1 Généralités

9.3.2 Contribution à la revue de direction

9.3.3 Résultats de la revue de direction

10.1 Non-conformité et action corrective

10.2 Amélioration continue

Related checklists