Définition et objecti

Le but de l'ISO/IEC 22301 est de fournir aux organisations un cadre pour planifier, établir, mettre en œuvre, exploiter, surveiller, examiner, maintenir et améliorer continuellement un SMCA. Elle vise à protéger une organisation contre une large gamme de menaces et de perturbations potentielles, telles que les catastrophes naturelles, les défaillances informatiques, les maladies du personnel, l'activité terroriste ou tout autre événement pouvant perturber les opérations.

Organisme de réglementation

La norme est publiée et maintenue par l'Organisation internationale de normalisation (ISO) en collaboration avec la Commission électrotechnique internationale (CEI).

Dernière mise à jour

La dernière version de l'ISO/IEC 22301 a été publiée en 2019, connue sous le nom de ISO/IEC 22301:2019.

S'applique à

L'ISO/IEC 22301 est applicable à toute organisation, quelle que soit sa taille, son secteur d'activité ou la nature de son activité. Elle est particulièrement pertinente pour les organisations qui opèrent dans des environnements à haut risque ou lorsque la capacité à continuer les opérations est critique.

Contrôles et exigences

L'ISO/IEC 22301 établit un certain nombre d'exigences pour un SMCA, notamment :

• Contexte de l'organisation : Comprendre l'organisation et son contexte, les besoins et les attentes des parties intéressées, et le périmètre du SMCA.
• Leadership : Leadership et engagement, politique, rôles, responsabilités et autorités organisationnelles.
• Planification : Actions pour traiter les risques et les opportunités, objectifs de continuité des activités et plans pour les atteindre.
• Support : Ressources nécessaires pour le SMCA, compétences, sensibilisation, communication et information documentée.
• Exploitation : Planification et contrôle opérationnel, analyse d'impact sur les activités (BIA), évaluation des risques, stratégies et solutions de continuité des activités.
• Évaluation des performances : Surveillance, mesure, analyse, évaluation, audit interne et revue de direction.
• Amélioration : Non-conformité et action corrective, amélioration continue.

Veuillez vous référer à la documentation officielle ISO/IEC 22301:2019 pour obtenir des détails sur les contrôles et les exigences.

Type, fréquence et durée de l'audit

Les audits de conformité ISO/IEC 22301 peuvent être effectués en interne, par des clients ou par des organismes de certification externes. Les audits de certification sont réalisés en deux étapes : Étape 1 (revue de préparation) et Étape 2 (évaluation de la mise en œuvre). Les audits internes sont généralement réalisés annuellement, mais leur fréquence peut être plus élevée en fonction de l'environnement opérationnel de l'organisation. Les audits de surveillance par les organismes de certification sont généralement effectués chaque année, avec un audit de recertification tous les trois ans.

La durée de l'audit dépend de la taille et de la complexité de l'organisation, de la portée du SMCA et du nombre de sites inclus dans la portée. Un audit peut durer d'une journée pour une petite organisation à plusieurs semaines pour une multinationale.