Exigences d’un système de management de la continuité de l’activité ISO 22301

La norme ISO 22301 spécifie les exigences d’un système de management de la continuité d’activité certifié. La continuité d’activité traite les risques d’impact très élevé et de probabilité d’occurrence faible. Le SMCA donne la capacité à l’entreprise de poursuivre la livraison de ses produits et la fourniture de ses services dans des délais acceptables, à un niveau dégradé fixé à la suite d’un sinistre ou d’une perturbation.

Contexte 

L’organisme doit définir et documenter le cadre de son SMCA :

  • Activités et objectifs métiers.
  • Besoins et attentes des parties prenantes (clients, régulateurs, conseil d’administration par exemple).
  • Exigences légales.
  • Domaine d’application (en expliquant les exclusions).
  • Conditions de mise en œuvre et d’amélioration.

Leadership

Le SMCA nécessitant des actions transverses et chronophages, la direction générale doit s’impliquer en particulier pour les points suivants :

  • Politique et objectif de continuité.
  • Intégration aux processus métiers.
  • Ressources humaines financières.
  • Approbation de la politique de continuer d’activité précisant les rôles et responsabilités.

Planification

Un programme de continuité prend du temps et doit faire l’objet d’une planification rigoureuse : 

  • Analyse des risques et des opportunités en termes d’efficacité du système de management.
  • Objectifs de continuité et modalités de suivi des actions.
  • Prise en compte des modifications. 

Support

Le SMCA impliquant l’intervention des départements métiers et supports, il faut définir les éléments suivants : 

  • Ressources nécessaires. 
  • Compétences des personnes jouant un rôle actif dans le plan de continuité. 
  • Sensibilisation des collaborateurs. 
  • Communications interne et externe.
  • Gestion de la documentation.

Fonctionnement

Les aspects qui suivent constituent le cœur du SMCA : 

  • Plans de reprise d’activités.
  • Analyse des impacts métiers pour définir les activités critiques, les durée maximale tolérable de perturbation (DMTP), les objectifs de délai de rétablissement (RTO – Return Time Objective), les ressources nécessaires et les dépendances. 
  • Appréciation du risque conformément au cadre de l’ISO 31 000.
  • Stratégies et solutions de continuité en détaillant les moyens requis.
  • Plans et procédures de continuité.
  • Plans d’urgence.
  • Conditions de retour à la normal. 
  • Tests et exercices.

Évaluation de la performance

  •  Indicateurs.
  • Audit interne et plans de remédiation.
  • Revue de direction.

Amélioration

  • Non-conformités et actions correctives.
  • Démonstration du cycle d’amélioration, continue.

 

 



ContinuitéActivités, ContinuitéInformatique, ISO 22301