ISO22301 for Business Continuity/Disaster Recovery

Business Continuity, Disaster Recovery and ISO22301

La loi britannique de 2006 sur les sociétés a donné un statut statutaire à ce qui a longtemps été une obligation de droit commun des administrateurs de sociétés dans le monde entier: faire preuve de diligence envers leurs sociétés. Plus précisément, les administrateurs doivent «faire preuve de prudence, de compétence et de diligence raisonnables» (art.174).

Le conseil d'administration doit s'assurer que l'organisation a élaboré et testé des plans de continuité des activités et de reprise après sinistre qui atténuent tous les risques auxquels l'organisation est confrontée. Ces pages fournissent une introduction à ces sujets et à leurs normes associées.

ISO 22301 (ISO22301) – The business continuity standard

Lancée en mai 2012, l'ISO 22301 définit les exigences d'un système de management de la continuité des activités (BCMS). ISO22301 a remplacé la norme britannique BS25999-2.

Toutes les organisations sont confrontées à des risques de continuité d’activité. Saviez-vous que:

  • 80% des organisations dotées d'un plan de continuité d'activité bien planifié et mis en œuvre sont susceptibles de survivre à une interruption d'activité majeure?
  • Seulement 20% de ceux qui n'ont pas de plan de continuité des activités sont susceptibles de survivre?
  • Plus de 90% des organisations qui subissent une perte de données importante ne sont pas en activité deux ans plus tard?
  • 20% des répondants ne connaissent pas l'impact financier d'une interruption ou d'une panne de cinq jours? *
  • La sauvegarde n'est pas la même chose qu'un plan de continuité des activités et le terrorisme devrait être spécifiquement traité?
  • Malgré une augmentation des cybermenaces, 36% des organisations déclarent ne pas aborder le cyberterrorisme dans leur programme BCM et les plans associés? *
  • 42% des organisations déclarent désormais utiliser la norme internationale ISO 22301 pour soutenir leur programme BCM? *

* The 2013-2014 KPMG Business Continuity Management Program Benchmarking Study

ISO 22301 training

Notre parcours d'apprentissage ISO22301 offre une progression structurée du niveau de base au niveau avancé, couvrant les connaissances et les compétences nécessaires pour planifier, mettre en œuvre et auditer un BCMS conforme à ISO22301.

ISO27031 – ICT continuity best practice

ISO27031 fournit des recommandations spécifiques pour la gestion de la continuité des TIC (technologies de l'information et des communications) dans le cadre général de continuité des activités fourni par ISO22301. ISO27031 rend ISO22301 pertinente pour les technologies de l'information et des communications. Bien entendu, il peut également être utilisé de manière autonome si une organisation souhaite aborder spécifiquement la gestion de la continuité des TIC.

Civil contingencies and business continuity planning

Au Royaume-Uni, la Loi de 2004 sur les éventualités civiles établit des exigences spécifiques pour les organismes publics. Il impose une série de droits aux organismes locaux en Angleterre et au Pays de Galles, en Écosse et en Irlande du Nord (connus sous le nom de « intervenants de catégorie 1 »). Il s’agit notamment de l’obligation d’évaluer le risque d’une situation d’urgence et de maintenir des plans aux fins de l’intervention en cas d’urgence.

Au Royaume-Uni, la Loi de 2004 sur les éventualités civiles établit des exigences spécifiques pour les organismes publics. L’éventail des intervenants de catégorie 1 est plus large que l’éventail des organismes locaux qui étaient assujettis à une législation antérieure, qui a maintenant été abrogée. Il comprend certains organismes ayant des fonctions relatives à la santé, l’Agence de l’environnement et le Secrétaire d’État chargé des interventions d’urgence maritimes et côtières. La Loi prévoit également un mécanisme pour imposer des obligations à d’autres organismes locaux (« intervenants de catégorie 2 »), de coopérer avec les intervenants de catégorie 1 et de fournir des renseignements à ceux-ci en ce qui concerne leurs obligations en matière de protection civile. Il s’agit notamment de l’obligation d’évaluer le risque d’une situation d’urgence et de maintenir des plans aux fins de l’intervention en cas d’urgence

Business continuity planning

Business continuity planning (BCP) implique les processus et procédures pour l’élaboration, l’essai et la maintenance des plans qui permettront à une organisation de continuer à fonctionner pendant et après une catastrophe.

Les plans sont généralement conçus pour faire face aux incidents affectant tous les processus et activités critiques de l’organisation, de la défaillance d’un seul serveur jusqu’à la perte d’une installation majeure. BCP est une réponse à une évaluation des risques au niveau de l’entreprise.

Disaster recovery planning

Disaster recovery planning (DRP) a généralement lieu dans le cadre bcp. Les plans de récupération après sinistre sont souvent relativement techniques et se concentreront sur la récupération d’opérations, de fonctions, de sites, de services ou d’applications spécifiques. Un seul PCA peut contenir ou se référer à un certain nombre de plans de récupération après sinistre. Les meilleures pratiques en matière de récupération après sinistre sont énoncées dans ISO/IEC 22301.

Le cycle de vie de la gestion de la continuité des activités comprend généralement une série d'étapes:

  • l'évaluation des risques
  • analyse d'impact commercial
  • développement du plan
  • Documentation
  • essai
  • entretien
X