Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Livre blanc: Liste de contrôle de la documentation obligatoire pour ISO 22301 L

Livre blanc: Liste de contrôle de la documentation obligatoire pour ISO 22301 LIVRE BLANC septembre 04, 2015 Droit d'auteur ©2015 27001Academy. Tous droits réservés. 2 1. Quels documents et enregistrements sont nécessaires? La liste ci-dessous montre l'ensemble minimal de documents et d'enregistrements requis par ISO 22301:2012 (la norme se réfère aux documents et enregistrements en tant qu'informations documentées): Documents et enregistrements Numéro de clause d'ISO 22301 Détermination du contexte de l'organisation 4.1 Procédure d'identification des exigences légales et réglementaires applicables 4.2.2 Liste des exigences légales, réglementaires et autres 4.2.2 Domaine d'application du SMCA (Système de management de la continuité des activités) et explication des exclusions 4.3 Politique de continuité des activités 5.3 Objectifs de continuité des activités 6.2 Compétences du personnel 7.2 Communication avec les parties intéressées 7.4 Processus pour le bilan d'impact sur les activités et l'évaluation des risques 8.2.1 Résultats du bilan d'impact sur les activités 8.2.2 Résultats de l'évaluation des risques 8.2.3 Procédures de continuité des activités 8.4.1 Procédures de réponse aux incidents 8.4.2 Décision si les risques et les impacts doivent être communiqués à l'extérieur 8.4.2 Droit d'auteur ©2015 27001Academy. Tous droits réservés. 3 Documents et enregistrements Numéro de clause d'ISO 22301 Communication avec les parties intéressées, y compris les autorités consultatives de gestion des risques au niveau national ou régional 8.4.3 Enregistrements des informations importantes sur les incidents, actions menées et décisions prises 8.4.3 Procédures pour répondre aux incidents perturbateurs 8.4.4 Procédures pour la restauration et la reprise des affaires après des mesures temporaires 8.4.5 Résultats des actions portant sur des tendances ou des résultats indésirables 9.1.1 Données et résultats de la surveillance et de la mesure 9.1.1 Résultats de la revue post-incident 9.1.2 Résultat d'audit interne 9.2 Résultat de la revue de Direction 9.3 Nature des non-conformités et des actions prises 10.1 Résultats des actions correctives 10.1 Ceci n'est en aucun cas une liste définitive des documents et des enregistrements qui peuvent être utilisés lors de la mise en œuvre d'ISO 22301 – la norme permet l'ajout d'autres documents pour améliorer le niveau de résilience. 2. Documents non-obligatoires communément utilisés D'autres documents qui sont très souvent utilisés sont les suivants: Documents Numéro de clause d'ISO 22301 Plan de mise en œuvre pour atteindre les objectifs de continuité des activités 6.2 Plan de formation et de sensibilisation 7.2 e 7.3 Procédure pour le contrôle des informations documentées 7.5 Droit d'auteur ©2015 27001Academy. Tous droits réservés. 4 Contrats et accords de niveau de service (SLAs) avec les fournisseurs et les partenaires d'externalisation 8.1 Stratégie de continuité des activités 8.3 Atténuation des risques 8.3.3 Scénarios d'incidents 8.5 Plans d'exercice et de tests 8.5 Rapports post-exercice 8.5 Plan de maintenance su SMCA 9.1.1 Méthodes de surveillance, de mesure, d'analyse et d'évaluation 9.1.1 Procédure d'audit interne 9.2 Programme d'audit interne 9.2 Procédure pour les actions correctives 10.1 3. Comment structurer les documents et les enregistrements Détermination du contexte de l'organisation (4.1) Le contexte est généralement déterminé par plusieurs documents, par exemple, la Procédure pour l'identification des exigences, la Politique de continuité des activités, la Méthodologie de bilan d'impact sur les activités, la Méthodologie d'évaluation des risques, etc. En d'autres termes, vous ne voudrez pas produire un seul document pour déterminer un contexte; mais plutôt le décrire à travers plusieurs documents appropriés. Procédure d'identification des exigences légales et réglementaires applicables & Liste des exigences légales, réglementaires et autres (4.2.2) C'est généralement une procédure assez courte, qui définit qui est responsable de la conformité: qui doit identifier toutes les parties intéressées, qui doit suivre toutes les lois, règlements et autres exigences des parties intéressées, qui sera responsable de se conformer aux exigences, comment ces exigences seront communiquées, etc. Cette procédure, et la Liste obtenue, doivent être définies dès le début du projet, car elles fourniront des contributions pour l'ensemble du SMCA. Lire plus ici: Comment identifier les parties intéressées selon ISO 27001 et ISO 22301. Droit d'auteur ©2015 27001Academy. Tous droits réservés. 5 Domaine d'application du SCMA et explication des exclusions (4.3) Ce document est également très court, et doit être rédigé au début du projet de continuité des activités. Il faut définir clairement à quelles parties de votre organisation le SMCA sera appliqué, en fonction des exigences identifiées et des aspirations de l'organisation. Il peut également expliquer pourquoi certaines parties de votre organisation ont été exclues du domaine d'application. Très souvent, ce document est fusionné avec la Politique de continuité des activités. Politique de continuité des activités et objectifs de continuité des activités (5.3, 6.2) C'est le document central dans lequel la direction devrait indiquer ce qu'elle veut réaliser avec le SMCA, et comment elle va le contrôler. Très souvent, la direction approuvera seulement ce document de haut niveau, alors que les autres documents du SMCA seront approuvés par des managers de niveau inférieur. Ce document est plutôt court et les organisations plus petites et de taille moyenne fusionnent généralement le domaine d'application au sein de ce document, ainsi que les objectifs du SMCA; les organisations plus grandes auront normalement un domaine d'application et des objectifs dans des documents distincts. Les objectifs du SMCA ne doivent pas être mélangés avec les Objectifs de temps de reprise (OTRs) – les objectifs du SMCA sont fixés pour l'ensemble du SMCA, et non pas pour les activités. Lire plus ici: Le but de la politique de continuité des activités selon ISO 22301. Plan de formation et de sensibilisation; compétences du personnel (7.2, 7.3) Ces plans sont généralement développés de façon annuelle, et sont normalement développés par la personne responsable de la continuité des activités ensemble avec le département des ressources humaines (si vous en avez un). Les enregistrements des compétences sont généralement maintenus par le département des ressources humaines - si vous ne disposez pas d'un tel département, toute personne qui maintient normalement les enregistrements des employés devrait faire ce travail. Fondamentalement, un dossier avec tous les documents insérés, sera efficace. Lire plus ici: Comment réaliser la formation et la sensibilisation selon ISO 27001 et ISO 22301. Communication avec les parties intéressées (7.4) Cette communication se présente habituellement sous différentes formes: email, courrier régulier, par téléphone, etc. Documenter cette communication est plutôt facile - vous avez seulement besoin de conserver des copies de ces emails, lettres, documents, etc. dans une sorte d'archive. Si la communication a été faite par téléphone, une note doit être faite et ensuite archivée selon les règles prédéfinies. Procédure pour le contrôle des informations documentées (7.5) Ceci est normalement une procédure autonome, de 2 ou 3 pages. Si vous avez déjà mis en œuvre une autre norme comme ISO 9001, ISO 14001, ISO 22301 ou similaire, vous pouvez utiliser la même procédure pour tous ces systèmes de management. Parfois, il est préférable d'écrire cette procédure comme premier document dans un projet. Lire plus ici: La gestion documentaire pour ISO 27001 & BS 25999-2. Droit d'auteur ©2015 27001Academy. Tous droits réservés. 6 Contrats et accords de niveau de service (8.1) Il est crucial que vos fournisseurs et partenaires d'externalisation réagissent d'une manière attendue lorsqu'un incident se produit - c'est pourquoi, il est préférable de produire un modèle avec les exigences de continuité des activités minimales que vous devez insérer dans chacun des contrats que vous signez avec eux. Processus pour le bilan d'impacts sur les activités & résultats (8.2.1, 8.2.2) Avant de commencer votre bilan d'impact sur les activités (BIA), vous devez définir les règles sur la façon dont il sera exécuté – cela se fait généralement avec la Méthodologie de bilan d'impact sur les activités. Cette méthodologie devrait être écrite sur 4 ou 5 pages - assez courte pour être facilement lisible, mais pas trop courte pour ne pas être vague. La collecte de données pour une telle analyse est effectuée au moyen de questionnaires BIA, qui peuvent être dans un format Excel simple, ou vous pouvez utiliser certains outils du BCM. Les résultats du processus BIA sont documentés dans le Rapport du bilan d'impact sur les activités (pour les grandes entreprises), ou vous pouvez résumer les résultats de la Stratégie de continuité des activités (ce qui est la version courte - plus applicable pour des organisations plus petites ou de taille moyenne). Lire plus ici: Comment implémenter un bilan d'impacts sur les activités (BIA) selon ISO 22301. Processus pour l'évaluation des risques & résultats (8.2.1, 8.2.3) Comme le Bilan d'impact sur les activités, l'évaluation des risques doit également être définie dans une méthodologie, avant de l'exécuter. Comme ISO 22301 ne spécifie pas vraiment les exigences pour l'évaluation des risques, vous pouvez utiliser la méthodologie d'ISO 27001 et d'ISO 27005, étant donné que ces normes donnent probablement la meilleure méthodologie pour l''évaluation des risques de la continuité des activités. Les résultats de l'évaluation des risques doivent être documentés dans le Rapport d'évaluation des risques. Apprendre plus ici: Est-ce que l'analyse des risques ISO 27001 peut être utilisée pour ISO 22301? Stratégie de continuité des activités (8.3) Ceci est un lien essentiel entre le bilan d'impact sur les activités, l'évaluation des risques et les plans - son but est de uploads/s1/checklist-of-iso-22301-mandatory-documentation-white-paper-fr.pdf