19 708 Pages

à Continuité d'activité (ou Continuité d'activité) Est la capacité de l'organisation à continuer de fournir des produits ou des services à des niveaux acceptables prédéfinis en raison d'un accident[1].

Il est une discipline de gestion qui permet à l'organisation - privée ou publique - pour devenir plus résistants aux incidents qui pourraient causer la rupture ou même menacer leur existence. À ce titre, la continuité d'activité est l'une des disciplines clés de la résilience organisationnelle et ont donc contribué à une amélioration significative de la performance de l'organisation. La continuité opérationnelle, en fait, identifie de façon unique fournit le cadre pour comprendre comment la valeur est créée et maintenue au sein d'une organisation et établit une relation directe avec les dépendances ou les vulnérabilités inhérentes à la distribution de cette valeur.

Par erreur, il est souvent confondue avec la reprise après incident qui est seulement une partie spécifique de la continuité des activités, liées notamment aux processus de technologies de l'information. La continuité des activités a une portée plus large et comprend également des réflexions sur les personnes, les sites, les ressources et les fournisseurs d'organisation.

Origines et évolution de la matière

La continuité des activités est né à la fin des années 70 en États-Unis d'Amérique à la suite de l'avènement 'Technologies de l'information dans les entreprises. Les gestionnaires ont réalisé que, en cas de dysfonctionnement systèmes informatiques, il ne fut plus possible de revenir aux processus manuels. Par conséquent, ils ont commencé à réfléchir sur la continuité des processus informatiques à travers les premières activités de reprise après incident. L'une des difficultés initiales des techniciens appelés à faire ces réflexions est de justifier des investissements importants pour préparer l'organisation à réagir aux événements destructeurs avec une faible probabilité d'occurrence. Ainsi, il a créé au milieu 80 la première méthodologie Business Impact Analysis, qui a été initialement appliqué uniquement à la technologie de l'information.

La discipline a alors commencé à évoluer et être mis en œuvre dans d'autres pays anglo-saxons (principalement en Royaume-Uni et Australie). en 90 Les organisations ont également commencé à élargir la réflexion aussi aux ressources humaines, les actifs fondamentaux et les processus d'affaires dans son ensemble. Dans ces mêmes années, British Standards Institution Il a lancé une première norme pour la sécurité de l'information (BS 799, qui au fil des années a été modifié pour devenir le courant ISO / CEI 27001: 2013) Qu'entre les principes fondamentaux énoncés sur la nécessité d'assurer la continuité opérationnelle, en ces temps encore définis en termes de disponibilité des données.

La fin de cheval les années 80 et au début des années 90 ont également fondé plusieurs associations professionnelles, dont certains deviennent le temps pertinente au niveau mondial. à la fin de XX siècle, grâce au travail de ces organes, a émergé à la place l'idée d'une approche holistique du sujet. Il devenait nécessaire de fournir une protection claire et maintenant résistance dans toutes les activités d'une organisation, pas seulement ceux de la branche IT.

Dans les années 2000, donc aussi le résultat d'impulsion d'événements graves (tels que 11 Septembre attaque, 2001) Quelle réflexion élargi aux questions de gestion de crise, il a cherché à codifier la continuité des activités et le classer comme une partie de la famille des normes de systèmes de gestion, suivant un chemin déjà tracé par les services de qualité, environnement et sécurité de l'information. Cela a commencé par un ensemble de normes qui ont conduit à la définition de la norme ISO 22301: 2012.

Normes et standards de référence

Au mois de mai 2012 Il a été publié par 'Organisation internationale de normalisation la norme ISO 22301: 2012 Sécurité sociétale - Systèmes de gestion de la continuité des affaires - Exigences[2], qui en Décembre, il a été suivi par la norme ISO 22313: 2012 Sécurité sociétale - Systèmes de gestion de la continuité des affaires - orientation[3]. En Décembre 2015, au contraire, ont été émis la spécification technique connexes suivantes: ISO TS 22317: 2015 Sécurité sociétale - Systèmes de gestion de la continuité des activités - Lignes directrices pour l'analyse d'impact des affaires (BIA)[4] et ISO TS 22318: 2015 Sécurité sociétale - Systèmes de gestion de la continuité des affaires - Lignes directrices pour la continuité de la chaîne d'approvisionnement[5].

Dans le domaine de la gestion des crises, cependant, il a été en mai 2014 publié par le British Standards Institution Norma BS 11200: 2014 Gestion de crise - orientation et de bonnes pratiques.

Toutes ces normes fournissent une méthode formalisée pour faire en sorte que le programme d'organisation de la continuité des activités et la gestion des crises est efficace et aligné avec la culture et les exigences de l'organisation. L'approche des systèmes de gestion est également utilisé pour d'autres disciplines - telles que la sécurité de l'information (ISO / CEI 27001: 2013) Et qualité (ISO 9001: 2015) et un système de gestion de la continuité des affaires peut facilement être ajouté car il y a une convergence de ces systèmes autour d'un texte standard commun.

Enfin, le Business Continuity Institute:

  • en 2013 Il a publié BCI Guide des bonnes pratiques - basé sur la norme ISO 22301: 2012 - qui représentent désormais le principal point de référence au niveau international des professionnels de la continuité des activités pour la gestion d'un programme de continuité des activités de la société;
  • en 2016 il a publié BCM, Règlement Législations Rapport sur les normes qui résume toutes les normes applicables en matière de chaque pays.

Mettre l'accent sur la déclaration italienne

administration publique

Le gouvernement était tenu d'assurer la continuité de ses services pour assurer le bon fonctionnement de la vie dans le pays selon l'art. 97 de la Constitution et le principe de bonne administration, à observer après la Code de l'administration numérique (CAD) que les articles 50 et 50 bis exprimés et ont déclaré que les règles que chaque gouvernement aurait dû suivre en cas de catastrophe.

La jambe. 30 décembre 2010 avait en effet introduit dans l'article 50 CAD-bis (continuité d'activité), les points suivants:

  1. En ce qui concerne les nouveaux scénarios de risque, la complexité croissante de l'activité institutionnelle caractérisée par une utilisation intensive des technologies de l'information, les gouvernements préparent des plans d'urgence capables d'assurer la continuité des opérations indispensables pour le service et le retour à fonctionnement normal.
  2. Le ministre de l'Administration publique et de l'innovation assure l'homogénéité des solutions de continuité des activités définies par les différentes administrations et d'informer au moins chaque année au Parlement.[6]

Pour le gouvernement, la continuité des opérations était un devoir parce que:

  • Il serait nécessaire d'assurer la continuité de ses services pour assurer la bonne exécution des fonctions publiques et le droit des citoyens d'accéder aux services publics par voie électronique (art. 3, le décret-loi n. 82/2005, « Code de l'administration numérique » );
  • Art. 97 de la Constitution et le principe de bonne administration doit également être garanti si vous utilisez les TIC à l'appui des processus;
  • La loi sur la continuité des activités des organes de l'administration publique au sein du CAD (art 50 bis du décret-loi n ° 30 décembre 2010, n 235 -... Modifications et ajouts au décret législatif du 7 Mars 2005 n 82. ), et en particulier les « Directives pour la Disaster Recovery de l'administration publique « délivré par l'Agence pour l'Italie numérique, nécessaire à l'adoption par les autorités d'un plan de reprise après sinistre peut sauvegarder les services fournis par l'infrastructure des TIC spécifiques.[7]

Au sein du CAD, ils étaient présents l'article 50 sur, plus les règles que les autorités publiques doivent respecter suite à une catastrophe qui affecte la continuité des activités. Ces normes dans la plupart des cas ont été établis à la suite des événements catastrophiques en Italie récemment le tremblement de terre dans les Abruzzes et Emilie.

L 'Agence Italie numérique (AGID) Il avait également publié une mise à jour "Directives pour la reprise après sinistre (DR) des administrations publiques« Conformément au paragraphe 3, lettre b). 50bis du décret-loi n ° 7 mars 2005, n.. 82 (Code de l'administration numérique). Cette version est le fruit d'un travail commun entre IDG, les administrations publiques et les représentants des fabricants. La rationalisation respecté l'évolution de l'Agence et le cadre réglementaire existant, les dispositions relatives à la sécurité de l'information et à la protection de la vie privée, ainsi que le garant de la protection des données personnelles.[8]

Toutefois, le décret-loi. N. 179 du 26 Août, 2016 a abrogé le plein Art. 50 bis du CAD, en fait d'éliminer l'exigence de continuité de fonctionnement pour l'administration publique.

banques

Le secteur bancaire doit respecter la La circulaire n °. 285 du 17 Décembre, 2013 en ce que notamment au Titre IV - Chapitre 5 Il fournit des lignes de dispositions spécifiques pour la continuité des activités. La législation applicable à toutes les banques et les groupes bancaires, les détails et les exigences supplémentaires pour les personnes identifiées par leur nom dans un avis, parmi les groupes bancaires et les banques n'appartenant à des groupes avec une part de marché sur la base totale actif, plus de 5% du total du système bancaire.

Dans le cadre des groupes bancaires, les exigences particulières applicables à la société mère, les simples filiales de banques italiennes avec un actif total plus de 5 milliards d'euros et d'autres filiales bancaires, financières et que, quelle que soit la taille et l'emplacement, jouent dans une large mesure les institutions d'importance systémique ou apporter un soutien essentiel à ce dernier.

Ils peuvent également être soumis aux opérateurs d'exigences particulières, y compris les succursales italiennes de banques étrangères, qui, sur une base individuelle, détiennent une part de marché de plus de 5% dans au moins l'un des segments suivants du système financier italien: règlement brut monnaie banque centrale, la liquidation des titres, des services de contrepartie centrale, les dépôts interbancaires multilatéraux dans les systèmes de change de l'euro, la BCE des ventes aux enchères, les opérations de financement du Trésor effectués par vente aux enchères, marché de gros des accords de rachat des obligations d'État, le paiement des pensions sociale, les bulletins de poste.

Continuité des activités et la gestion des risques

Grâce à des modèles Gestion des risques, organisations donnent la perception de la protection et la création de valeur pour les parties prenantes (actionnaires, employés, clients, régulateurs et le grand public). Cet objectif est très similaire à celle qui est exprimée en raison de la continuité des activités. Il est donc clair que les deux disciplines doivent partager un certain nombre de caractéristiques.

La gestion des risques a généralement une portée plus large que la continuité opérationnelle, ce qui dans certaines grandes organisations - en particulier dans le secteur financier - la nécessité d'assurer la continuité des affaires pour se conformer à l'image globale des risques. Ceci est parfaitement possible de réaliser, à condition qu'il existe une distinction claire en termes de niveau et de contenu entre les deux disciplines. À cet égard, il est important de noter comment la continuité des activités se concentrera - en particulier dans la phase d'analyse - l'identification des vulnérabilités organisationnelles liées à la valeur de base qui prennent en charge (analyse des menaces) et sur la compréhension de l'impact de leur indisponibilité sur ' organisation (Business impact Analysis).

la continuité opérationnelle est donc non seulement l'identification, l'évaluation et les rapports de tous les risques imaginables à une organisation, ses marchés, les clients et l'environnement dans lequel elle opère et est certainement pas de simples probabilités d'assignation de manifestation d'événements. La gestion des risques identifie les menaces catastrophiques qui sont en dehors du contrôle de l'organisation, tandis que la gestion de la continuité opérationnelle concerne de définir la façon de réduire l'impact de ces menaces, si elles se produisent.

L'évaluation des risques qui est effectuée au sein d'un programme de gestion de la continuité des activités est généralement au niveau opérationnel, en ce qui concerne l'interruption des activités. Cette évaluation des risques peut compléter cette entreprise dans le cadre du programme de gestion des risques. La mise en œuvre des deux disciplines, la continuité des activités et de gestion des risques fournit une organisation la possibilité de renforcer sa capacité de résistance, mais cela ne se produira que si la gestion des deux disciplines est effectivement coordonné.

Continuité des activités et la gestion des crises

La gestion des crises est le processus par lequel il est développé et appliqué la capacité organisationnelle pour faire face aux événements critiques, considérés comme des situations anormales et une grave instabilité qui menacent les objectifs stratégiques, la réputation ou la survie même d'une organisation[9]. La crise ne comporte pas nécessairement une interruption des activités de l'organisation, il peut inclure la possibilité d'avoir à traiter avec un potentiel médiatique de nouvelles négatives à nuire à la réputation d'une organisation. Cependant, la gestion des crises exige des connaissances et des compétences spécialisées du tout semblables à ceux prévus dans le programme la gestion de la continuité des activités.

La gestion des crises est donc certainement l'une des activités qui doivent être abordées par toute organisation qui met en œuvre la continuité des activités. Il ne doit donc pas être séparée de la continuité des opérations, en tant que partie intégrante d'une réponse positive à un accident. Il peut y avoir encore d'autres aspects de la discipline à considérer lorsqu'il est appliqué à des accidents résultant de menaces non opérationnelles, comme la gestion des médias et de la communication avec les parties prenantes externes en cas de crise. Cependant, la coordination des activités de gestion de crise a trait au niveau stratégique du système de gestion de la continuité des activités.

Continuité de l'activité
Représentation graphique utilisé par Business Continuity Institute d'identifier les six étapes du cycle de vie de gestion de la continuité des activités.

notes

Articles connexes

  • Plan de continuité des activités
  • Gestion de la continuité des activités
  • Business Impact Analysis
  • Maximum Tolérable période de perturbation
  • Recovery Time Objective
  • Point de récupération Objectif
  • Gestion de crise
  • Plan de crise
  • Gestion de la continuité de la chaîne
  • Gestion des risques
  • Disaster Recovery
  • ISO 22301: 2012
  • ISO 22313: 2012
  • ISO TS 22317: 2015
  • ISO TS 22318: 2015
  • résistance
  • La résilience organisationnelle
fiber_smart_record Activités Wiki:
Aidez-nous à améliorer Wikipedia!
aller