ISO/DIS 34001.4
(Main)Security and resilience -- Security management system for organizations assuring authenticity, integrity and trust for products and documents
Security and resilience -- Security management system for organizations assuring authenticity, integrity and trust for products and documents
Sécurité et résilience -- Titre manque
General Information
Buy Standard
Standards Content (sample)
DRAFT INTERNATIONAL STANDARD
ISO/DIS 34001.4
ISO/TC 292 Secretariat: SIS
Voting begins on: Voting terminates on:
2016-09-09 2016-11-03
Security and resilience — Security management system for
organizations assuring authenticity, integrity and trust for
products and documents
Système de management de la sécurité
ICS: 03.100.01
THIS DOCUMENT IS A DRAFT CIRCULATED
FOR COMMENT AND APPROVAL. IT IS
THEREFORE SUBJECT TO CHANGE AND MAY
NOT BE REFERRED TO AS AN INTERNATIONAL
STANDARD UNTIL PUBLISHED AS SUCH.
IN ADDITION TO THEIR EVALUATION AS
BEING ACCEPTABLE FOR INDUSTRIAL,
This document is circulated as received from the committee secretariat.
TECHNOLOGICAL, COMMERCIAL AND
USER PURPOSES, DRAFT INTERNATIONAL
STANDARDS MAY ON OCCASION HAVE TO
BE CONSIDERED IN THE LIGHT OF THEIR
POTENTIAL TO BECOME STANDARDS TO
WHICH REFERENCE MAY BE MADE IN
Reference number
NATIONAL REGULATIONS.
ISO/DIS 34001.4:2016(E)
RECIPIENTS OF THIS DRAFT ARE INVITED
TO SUBMIT, WITH THEIR COMMENTS,
NOTIFICATION OF ANY RELEVANT PATENT
RIGHTS OF WHICH THEY ARE AWARE AND TO
PROVIDE SUPPORTING DOCUMENTATION. ISO 2016
---------------------- Page: 1 ----------------------
ISO/DIS 34001.4:2016(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2016, Published in Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2016 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/DIS 34001.4:2016(E)
Contents Page
Foreword ..........................................................................................................................................................................................................................................v
Introduction ................................................................................................................................................................................................................................vi
1 Scope ................................................................................................................................................................................................................................. 1
2 Normative references ...................................................................................................................................................................................... 1
3 Terms and definitions ..................................................................................................................................................................................... 1
4 Context of the organization ....................................................................................................................................................................... 6
4.1 Understanding the organization and its context ....................................................................................................... 6
4.2 Understanding the needs and expectations of interested parties .............................................................. 6
4.3 Determining the scope of the security management system .......................................................................... 6
4.3.1 General...................................................................................................................................................................................... 6
4.3.2 Scope of the security management system ............................................................................................... 6
4.4 Security management system .................................................................................................................................................... 7
4.4.1 General...................................................................................................................................................................................... 7
4.4.2 Needs and requirements ........................................................................................................................................... 7
5 Leadership .................................................................................................................................................................................................................. 7
5.1 Leadership and commitment ..................................................................................................................................................... 7
5.2 Policy ............................................................................................................................................................................................................... 8
5.2.1 General...................................................................................................................................................................................... 8
5.2.2 Security programme and procedures ............................................................................................................ 8
5.3 Organization roles, responsibilities and authorities .............................................................................................. 8
6 Planning ......................................................................................................................................................................................................................... 9
6.1 Actions to address risks and opportunities ................................................................................................................... 9
6.2 Security management system objectives and plans to achieve them ...................................................... 9
6.3 Legal and other requirements ................................................................................................................................................... 9
6.4 Security risk assessment .............................................................................................................................................................10
6.4.1 General...................................................................................................................................................................................10
6.4.2 Defining risk criteria..................................................................................................................................................10
6.4.3 Security risk assessment subjects .................................................................................................................11
6.5 Security risk treatment .................................................................................................................................................................11
6.6 Security risk treatment process ............................................................................................................................................11
7 Support ........................................................................................................................................................................................................................12
7.1 Resources ..................................................................................................................................................................................................12
7.2 Competence ............................................................................................................................................................................................12
7.3 Awareness ................................................................................................................................................................................................12
7.4 Communication ...................................................................................................................................................................................13
7.5 Documented information ............................................................................................................................................................14
7.5.1 General...................................................................................................................................................................................14
7.5.2 Creating and updating ..............................................................................................................................................14
7.5.3 Control of documented information ............................................................................................................14
8 Operation ..................................................................................................................................................................................................................15
8.1 Operational planning and control .......................................................................................................................................15
8.2 Incident prevention and management ............................................................................................................................15
9 Performance evaluation ............................................................................................................................................................................15
9.1 Monitoring, measurement, analysis and evaluation ............................................................................................15
9.2 Internal audit .........................................................................................................................................................................................16
9.3 Management review ........................................................................................................................................................................16
9.4 Exercises and testing ......................................................................................................................................................................17
10 Improvement .........................................................................................................................................................................................................17
10.1 Nonconformity and corrective action ..............................................................................................................................17
10.2 Continual improvement ...............................................................................................................................................................18
© ISO 2016 – All rights reserved iii---------------------- Page: 3 ----------------------
ISO/DIS 34001.4:2016(E)
Bibliography .............................................................................................................................................................................................................................19
iv © ISO 2016 – All rights reserved---------------------- Page: 4 ----------------------
ISO/DIS 34001.4:2016(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.For an explanation on the meaning of ISO specific terms and expressions related to conformity assessment,
as well as information about ISO’s adherence to the World Trade Organization (WTO) principles in the
Technical Barriers to Trade (TBT) see the following URL: www.iso.org/iso/foreword.html.
The committee responsible for this document is Technical Committee ISO/TC 292, Security and
resilience.© ISO 2016 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO/DIS 34001.4:2016(E)
Introduction
Organizations of all types and sizes have an interest in minimizing risks to their tangible and intangible
assets related to the authenticity and integrity of products and documents by protecting them from an
array of harmful threats. Sources of risk that can prevent an organization from achieving its objectives
can include intended or unintended acts of individuals, independently or in association with others.
Protecting the tangible and intangible assets of an organization is central to security management and
includes managing the consequences of security breaches. Security management includes the treatment
of multiple common risks, including threats to the supply chain, proprietary and sensitive information,
and physical asset protection. The organization needs to be aware of the consequences of threats in
order to manage, preferably through preventative measures, consequential damage to the organization
and its stakeholders. Security risks and their associated threats are unique to the organization because
of geographical location, jurisdiction, sector, the nature of the product, service or end use, as well as
the value to potential adversaries. The security risk profile, derived from the risk assessment of the
specific threat scenarios and the existing level of protection against those threats, is unique to an
organization and requires a tailor-made approach to managing its security risks. Effective management
of the security risk profile requires the use of security management expertise, management activities,
processes, policies, procedures, infrastructure, systems and culture.This document specifies requirements for the performance of security management functions and
processes that together enable an organization to plan, operate, maintain and improve a comprehensive
security management system. Organizations can use this document to establish and implement a
strategy appropriate to their security risk profile, operational and business requirements.
Organizations or relying parties can use this document to specify requirements to anticipate, identify,
assess and treat security risks. This document can be used to demonstrate to internal and external
stakeholders that the organization has taken appropriate measures to manage its security risks.
It is important to recognize the relationship between security, safety and quality in this document.
However, security, safety and quality management need to be aligned with the organization’s overall
risk and business management strategy.— A quality management system aims to define and implement the day-to-day processes necessary to
consistently produce a product to specification. It focuses on normal operations with stakeholders
working towards a common interest.— A safety management system relates to the attributes of a safe product for consumption or use,
or of a safe workplace. It defines those practices and processes that will render a product safe for
consumption or use, or a work place safe for people and their health.— A security management system provides a framework for an organization to manage the security
risks of intentional and unintentional acts to support the delivery of quality and safe products
and services. Security management focuses on assessment of security risks and treatment of
those threats to the organization’s activities, functions, products and services that can result in
undesirable events with negative consequences to its tangible and intangible assets.
This document addresses security risks associated with individuals and organizations seeking to
disrupt normal operations or to derive unauthorized benefit through harmful acts. It provides a
framework for the organization to protect itself from security-related threats, in order to support
normal operations, and is intended to be compatible with other ISO standards related to security.
This document can be integrated with the overall business management system within an organization.
A suitably designed management system can satisfy the requirements of quality, environmental, safety,
information security and supply chain standards. Organizations that have adopted an ISO approach to
management systems (e.g. according to ISO 9001, ISO 14001, ISO/IEC 27001 or ISO 28000) might be
able to use their existing management system as a foundation for the security management system as
described in this document.vi © ISO 2016 – All rights reserved
---------------------- Page: 6 ----------------------
ISO/DIS 34001.4:2016(E)
Managing security-related risks is essential in assuring the quality and safety of an organization’s
products and services. This document enables an organization to establish the necessary risk
treatment to protect against internal and external sources of security threats. In order to establish a
robust strategy, the organization needs to establish, implement and maintain a management system
that addresses issues related to managing risks identified in its risk assessment, in order to minimize
the likelihood and consequences of intentional and unintentional events that can cause harm to the
organization and its assets, both tangible and intangible.This document is applicable to all sizes and types of organizations in the private, not-for-profit and
public sectors. The adoption of a security management system is generally a strategic decision of an
organization. The design and implementation of an organization’s security management system is
influenced by:a) the internal and external context in which it operates;
b) its varying needs and that of its stakeholders;
c) its objectives;
d) the products and services it provides;
e) the sensitivity of its assets and information;
f) its processes and industry sector;
g) its size and organizational structure;
h) applicable legal requirements.
The management system approach encourages organizations to analyse organizational and stakeholder
requirements and define processes that contribute to a robust security strategy. A management system
can provide the framework for continual improvement to increase the likelihood of enhancing security
and the integrity of assets. It provides confidence to the organization and its stakeholders that the
organization is able to provide a secure environment which fulfils organizational and stakeholder
requirements.The approach for security management presented in this document encourages its users to emphasise
the importance of:a) understanding an organization’s risk and threat assessment, security level and asset protection
requirements;b) establishing a policy and objectives to manage the security-related risks;
c) implementing and operating controls to manage an organization’s security-related risks within the
context of the organization’s mission;d) monitoring and reviewing the performance and effectiveness of the security management system;
e) continual improvement based on the internal management system audit and management review.
This document adopts the Plan-Do-Check-Act (PDCA) model, which is applied to structure the security
management system processes as described below.— Plan (establish the management system): Establish management system policy, objectives, processes
and procedures relevant to managing risk and improving the security management system and to
delivering results in accordance with an organization’s overall policies and objectives.
— Do (implement and operate the management system): Implement and operate the management
system policy, controls, processes and procedures.© ISO 2016 – All rights reserved vii
---------------------- Page: 7 ----------------------
ISO/DIS 34001.4:2016(E)
— Check (monitor and review the management system): Assess and measure process performance
against management system policy objectives and practical experience and report the results to
management for review.— Act (maintain and improve the management system): Take corrective and preventive actions,
based on the results of the internal management system audit and management review, to achieve
continual improvement of the management system.This document is applicable to an organization that wishes to:
a) develop, implement, maintain and improve a security management system;
b) give assurance of its conformity with its stated security policy;
c) demonstrate conformity with this document by:
1) making a self-determination and self-declaration;
2) seeking confirmation of its conformity by parties having an interest in the organization (such
as customers);3) seeking confirmation of its self-declaration by a party external to the organization;
4) seeking certification/registration of its security management system by an external
organization.Conformity with this document can be verified by an auditing process that is compatible and consistent
with the methodology of ISO 9001, ISO 14001 and ISO/IEC 27001.viii © ISO 2016 – All rights reserved
---------------------- Page: 8 ----------------------
DRAFT INTERNATIONAL STANDARD ISO/DIS 34001.4:2016(E)
Security and resilience — Security management system for
organizations assuring authenticity, integrity and trust for
products and documents
1 Scope
This document addresses the management of security-related risks to an organization’s tangible
assets (human, financial and physical) and intangible assets (information, brand and reputation).
It is intended to help an organization assure authenticity, integrity and trust for its products and
documents. It addresses risks that can compromise this objective and result in events causing harm to
the organization and its stakeholders. These risks include:a) fraudulent acts;
b) deliberate acts of an adversary or competitor;
c) acts of malicious intent;
d) wilful neglect;
e) unintentional acts impacting assets.
This document specifies requirements for an organization to assess its specific security risks and
address risks pertinent to its risk tolerance, in a way that is proactive in preventing acts detrimental
to the organization. The security management system described in this document is intended to be an
integral part of the organization’s overall management system.The requirements specified in this document are generic and intended to be applicable to all
organizations (or parts thereof), regardless of the type, size and nature of the organization. The extent
of application of these requirements depends on the organization’s operating environment, product and
service portfolio, risk profile and complexity.This document specifies requirements for a security management system to enable an organization
to establish and implement policies, objectives and programmes. This document applies to security-
related risks and impacts of security-related acts that the organization needs to control, influence or
reduce. It does not state specific performance criteria.This document addresses the relevance of risks related to information technology (IT) security but is
not intended to give requirements on how to manage IT security, which is addressed in ISO/IEC 27001.
This document is intended to prevent or mitigate harmful attacks on products and documents by
human action that is directly contrary to the intentions of the organization producing the product or
document.2 Normative references
There are no normative references in this document.
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and the following apply.
© ISO 2016 – All rights reserved 1---------------------- Page: 9 ----------------------
ISO/DIS 34001.4:2016(E)
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at http://www.iso.org/obp— IEC Electropedia: available at http://www.electropedia.org/
3.1
organization
person or group of people that has its own functions with responsibilities, authorities and relationships
to achieve its objectives (3.8)Note 1 to entry: The concept of organization includes, but is not limited to sole-trader, company, corporation, firm,
enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated
or not, public or private.3.2
interested party
stakeholder
person or organization (3.1) that can affect, be affected by, or perceive itself to be affected by a decision
or activity3.3
requirement
need or expectation that is stated, generally implied or obligatory
Note 1 to entry: “Generally implied” means that it is custom or common practice for the organization (3.1) and
interested parties that the need or expectation under consideration is implied.Note 2 to entry: A specified requirement is one that is stated, for example in documented information (3.11).
3.4management system
set of interrelated or interacting elements of an organization (3.1) to establish policies (3.7) and
objectives (3.8) and processes (3.12) to achieve those objectivesNote 1 to entry: A management system can address a single discipline or several disciplines.
Note 2 to entry: The system elements include the organization’s structure, roles and responsibilities, planning
and operation.Note 3 to entry: The scope of a management system may include the whole of the organization, specific and
identified functions of the organization, specific and identified sections of the organization, or one or more
functions across a group of organizations.3.5
top management
person or group of people who directs and controls an organization (3.1) at the highest level
Note 1 to entry: Top management has the power to delegate authority and provide resources within the
organization.Note 2 to entry: If the scope of the management system (3.4) covers only part of an organization, then top
management refers to those who direct and control that part of the organization.3.6
effectiveness
extent to which planned activities are realized and planned results achieved
3.7
policy
intentions and direction of an organization (3.1), as formally expressed by its top management (3.5)
2 © ISO 2016 – All rights reserved---------------------- Page: 10 ----------------------
ISO/DIS 34001.4:2016(E)
3.8
objective
result to be achieved
Note 1 to entry: An objective can be strategic, tactical, or operational.
Note 2 to entry: Objectives can relate to different disciplines (such as financial, health and safety, and
environmental goals) and can apply at different levels (such as strategic, organization-wide, project, product and
process (3.12)).Note 3 to entry: An objective can be expressed in other ways, e.g. as an intended outcome, a purpose, an
operational criterion, as a security (3.24) objective, or by the use of other words with similar meaning (e.g. aim,
goal, or target).Note 4 to entry: In the context of security management systems (3.26), security objectives are set by the
organization (3.1), consistent with the security policy (3.27), to achieve specific results.
3.9risk
effect of uncertainty on objectives (3.8)
Note 1 to entry: An effect is a deviation from the expected — positive or negative.
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or
knowledge of, an event, its consequence, or likelihood.Note 3 to entry: Risk is often characterized by reference to potential “events” (as defined in ISO Guide 73:2009,
3.5.1.3) and “consequences” (as defined in ISO Guide 73:2009, 3.6.1.3), or a combination of these.
Note 4 to entry: Risk is often expressed in terms of a combination of the consequences of an event (including
changes in circumstances) and the associated “likelihood” (as defined in ISO Guide 73:2009, 3.6.1.1) of occurrence.
3.10competence
ability to apply knowledge and skills to achieve intended results
3.11
documented information
information required to be controlled and maintained by an organization (3.1) and the m
...PROJET DE NORME INTERNATIONALE ISO/DIS 34001
ISO/TC 247 Secrétariat: ANSI
Début de vote Vote clos le
2013-03-25 2013-06-25
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION • МЕЖДУНАРОДНАЯ ОРГАНИЗАЦИЯ ПО СТАНДАРТИЗАЦИИ • ORGANISATION INTERNATIONALE DE NORMALISATION
Système de management de la sécuritéSecurity Management System
ICS 03.100.01
Pour accélérer la distribution, le présent document est distribué tel qu'il est parvenu du
secrétariat du comité. Le travail de rédaction et de composition de texte sera effectué au
Secrétariat central de l'ISO au stade de publication.To expedite distribution, this document is circulated as received from the committee
secretariat. ISO Central Secretariat work of editing and text composition will be undertaken at
publication stage.CE DOCUMENT EST UN PROJET DIFFUSÉ POUR OBSERVATIONS ET APPROBATION. IL EST DONC SUSCEPTIBLE DE MODIFICATION ET NE PEUT
ÊTRE CITÉ COMME NORME INTERNATIONALE AVANT SA PUBLICATION EN TANT QUE TELLE.OUTRE LE FAIT D'ÊTRE EXAMINÉS POUR ÉTABLIR S'ILS SONT ACCEPTABLES À DES FINS INDUSTRIELLES, TECHNOLOGIQUES ET
COMMERCIALES, AINSI QUE DU POINT DE VUE DES UTILISATEURS, LES PROJETS DE NORMES INTERNATIONALES DOIVENT PARFOIS ÊTRE
CONSIDÉRÉS DU POINT DE VUE DE LEUR POSSIBILITÉ DE DEVENIR DES NORMES POUVANT SERVIR DE RÉFÉRENCE DANS LA
RÉGLEMENTATION NATIONALE.LES DESTINATAIRES DU PRÉSENT PROJET SONT INVITÉS À PRÉSENTER, AVEC LEURS OBSERVATIONS, NOTIFICATION DES DROITS DE PRO-
PRIÉTÉ DONT ILS AURAIENT ÉVENTUELLEMENT CONNAISSANCE ET À FOURNIR UNE DOCUMENTATION EXPLICATIVE.
© Organisation Internationale de Normalisation, 2013---------------------- Page: 1 ----------------------
ISO/DIS 34001
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2013
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur l’internet ou sur un
Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à l’adresse ci-après ou au
comité membre de l’ISO dans le pays du demandeur.ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2013 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/DIS 34001
Sommaire Page
Avant-propos ..................................................................................................................................................... iv
Introduction ......................................................................................................................................................... v
1 Domaine d’application .......................................................................................................................... 1
2 Références normatives ......................................................................................................................... 2
3 Termes et définitions ............................................................................................................................ 2
4 Contexte de l’organisme ....................................................................................................................... 7
4.1 Compréhension de l’organisme et de son contexte .......................................................................... 7
4.2 Compréhension des besoins et attentes des parties intéressées ................................................... 7
4.3.1 Domaine d’application du système de management ......................................................................... 7
4.4.1 Besoins et exigences ............................................................................................................................ 8
4.4.2 Définition des critères de risque .......................................................................................................... 8
5 Leadership ............................................................................................................................................. 9
5.1 Leadership et engagement ................................................................................................................... 9
5.2 Politique ............................................................................................................................................... 10
5.3 Rôles, responsabilités et autorités au sein de l’organisme ............................................................ 11
5.4 Appréciation du risque de sûreté ...................................................................................................... 11
6 Planification ......................................................................................................................................... 12
6.1 Actions visant à prendre en compte les risques et les opportunités ............................................ 12
6.2 Objectifs du système de management de la sûreté et plans pour les atteindre ........................... 12
6.3 Exigences légales et autres exigences ............................................................................................. 13
7 Support ................................................................................................................................................. 13
7.1 Ressources .......................................................................................................................................... 13
7.2 Compétence ......................................................................................................................................... 14
7.3 Sensibilisation ..................................................................................................................................... 14
7.4 Communication ................................................................................................................................... 15
7.5 Informations documentées................................................................................................................. 16
7.5.1 Généralités ........................................................................................................................................... 16
7.5.2 Création et mise à jour ........................................................................................................................ 16
7.5.3 Maîtrise des informations documentées ........................................................................................... 16
8 Application ........................................................................................................................................... 17
8.1 Planification et maîtrise opérationnelles .......................................................................................... 17
8.2 Gestion et prévention des incidents ................................................................................................. 17
9 Évaluation des performances ............................................................................................................ 18
9.1 Surveillance, mesurage, analyse et évaluation ................................................................................ 18
9.2 Audit interne ........................................................................................................................................ 18
9.2.1 Exercices et essais .............................................................................................................................. 18
9.3 Revue de direction .............................................................................................................................. 19
10 Amélioration ......................................................................................................................................... 19
10.1 Non-conformité et actions correctives .............................................................................................. 19
10.2 Amélioration continue ......................................................................................................................... 20
Bibliographie ..................................................................................................................................................... 21
© ISO 2013 – Tous droits réservés iii---------------------- Page: 3 ----------------------
ISO/DIS 34001
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.L'ISO 34001 a été élaborée par le comité technique ISO/TC 247, Mesures de prévention et de contrôle de la
fraude, sous-comité SC , .iv © ISO 2013 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/DIS 34001
Introduction
Les organismes, de tous types et de toutes tailles, ont intérêt à réduire le plus possible les risques pour leurs
actifs tangibles et intangibles en les protégeant des actes malveillants et frauduleux. Ces actes frauduleux
incluent les actes délibérés d’individus et les actes involontaires facilitant un acte frauduleux par d’autres
personnes. La protection des actifs tangibles et intangibles inclut d’éviter qu’ils ne tombent en des mains et
des esprits non autorisés (dommages induits) car les organismes eux-mêmes et d’autres comptent dessus et
dans certains cas en dépendent de façon critique. Les informations personnelles d’identification susceptibles
d’être utilisées pour commettre un vol d’identité ainsi que les matériaux spéciaux qui sont critiques pour les
caractéristiques de performances et d’exclusivité propres à un produit sont des exemples d’informations et
d’actifs physiques sensibles qui doivent être protégés. Afin de protéger les actifs et les informations sensibles
et d’éviter tout dommage induit, il convient que les organismes soient capables de résister, dans une plus ou
moins grande mesure, à toutes les formes courantes d’actes de menace et de malveillance. Il convient que
les organismes soient également capables de résister aux formes d’actes de menace et de malveillance qui
sont spécifiques à l’organisme du fait de l’emplacement géographique, de la juridiction, du secteur, de
l’industrie, de la nature du produit, du service ou de l’utilisation finale. La fraude peut également se produire
hors du contrôle direct d’un organisme par le biais de la contrefaçon ou du détournement de ses produits.
L’exposition totale aux menaces courantes et spécifiques représente le profil de risque d’un organisme en
matière d’actifs et d’informations sensibles. Afin de résister efficacement à toutes les menaces contenues
dans un profil, il est nécessaire de recourir à une expertise spécifique en management de la sûreté et à des
activités, processus, politiques, procédures, infrastructures, systèmes et cultures de management particuliers.
À cette fin, la présente Norme internationale spécifie des exigences normatives pour la mise en œuvre de
fonctions et de processus de management général et de management de la sûreté qui, ensemble, permettent
à un organisme de planifier, d’appliquer, de tenir à jour et d’améliorer un système complet de management de
la sûreté.Les organismes peuvent utiliser cette norme de système de management pour établir et mettre en œuvre une
stratégie adaptée à leur profil de risque et à leurs exigences commerciales.Les organismes ou les parties utilisatrices peuvent utiliser cette norme pour spécifier des exigences en
matière de résistance aux menaces. Une partie prenante, un partenaire commercial, une partie utilisatrice ou
un employé d’un organisme peuvent vérifier la résistance au niveau de menace en évaluant la conformité à la
présente norme de management de la sûreté.La présente Norme internationale est destinée à tous les organismes devant gérer un risque de sûreté. Elle
n’inclut pas les normes sectorielles spécifiques ni les pratiques recommandées relatives par exemple à la
fraude financière, la fraude liée à la gestion de projet et la fraude liée à l’information. Il existe des normes qui
sont spécifiques à ces domaines.La relation entre sûreté, sécurité et qualité dans cette norme est un concept important à assimiler.
Un système de management de la sûreté n’est pas un système de management de la qualité. Une norme de
système de management de la qualité vise à définir et mettre en œuvre les processus nécessaires pour
produire de façon constante un produit conforme à une spécification.Une norme de système de management de la sûreté n’est pas une norme de sécurité car elle se rapporte aux
attributs d’un produit sûr à consommer ou à utiliser. Il convient qu’une norme de sécurité définisse les
pratiques et processus qui rendront un produit sûr à consommer ou à utiliser.La présente norme de système de management de la sûreté a pour objectif de fournir un cadre permettant
aux organismes de gérer les risques d’actes frauduleux, favorisant ainsi la livraison de produits et services
sûrs et de qualité. Cette différence d’objectif est significative entre une norme de système de management de
la sûreté et une norme de système de management de la qualité ou de la sécurité.© ISO 2013 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO/DIS 34001
La présente Norme internationale a été conçue pour pouvoir être intégrée aux systèmes de management de
la qualité, de la sécurité, de l’environnement, de la sécurité de l’information, de la sûreté de la chaîne
d’approvisionnement et autres systèmes de management au sein d’un organisme. Un système de
management conçu de manière adéquate peut donc satisfaire aux exigences de toutes ces normes. Les
organismes ayant adopté une approche ISO des systèmes de management (par exemple, conformément à
l’ISO 9001:2008, l’ISO 14001:2004, l’ISO/CEI 27001:2005 ou l’ISO 28000:2007) peuvent être à même
d’utiliser leur système de management existant comme base pour le système de management de la sûreté
prescrit dans la présente Norme internationale.La présente Norme internationale traite des risques liés aux individus et organismes cherchant à perturber le
cours normal des opérations ou à tirer un bénéfice non autorisé de la commission d’actes frauduleux.
La gestion des risques d’actes frauduleux est essentielle pour assurer la qualité et la sécurité des produits et
services d’un organisme. La présente Norme internationale permet aux organismes d’établir les mesures de
prévention et de contrôle de la fraude nécessaires pour se protéger des actes frauduleux internes et externes.
Elle vient en complément des autres normes ISO de management du risque de sûreté relatives à la sécurité
de l’information et à la sûreté de la chaîne d’approvisionnement. Afin d’établir une solide stratégie,
l’organisme doit définir, mettre en œuvre et tenir à jour un système de management prenant en compte les
enjeux liés à la gestion des risques identifiés lors de son appréciation du risque, de manière à réduire le plus
possible la vraisemblance et les conséquences d’actes frauduleux susceptibles d’être préjudiciables à
l’organisme et à ses actifs, aussi bien tangibles qu’intangibles.La présente Norme internationale fournit une approche holistique des questions de sûreté en rapport avec la
fraude en partant du principe que la fraude est tout acte commis par des individus ou des organismes visant à
causer un préjudice financier, social ou physique. Cette Norme internationale fournit un cadre permettant à
l’organisme de se protéger des actes frauduleux pour préserver le cours normal des opérations. Elle est
applicable à la fois au secteur public et privé. Elle est destinée à être compatible avec les normes ISO
existantes relatives à la sûreté (ces normes sont indiquées dans le présent document). La présente Norme
internationale est également destinée à venir à l’appui des futures normes relatives à la sûreté.
La présente Norme internationale est applicable à toutes les tailles et tous les types d’organismes dans le
secteur privé, à but non lucratif et public. Il est souhaitable que l’adoption d’un système de management de la
sûreté relève d’une décision stratégique de l’organisme. La conception et la mise en œuvre du système de
management de la sûreté d’un organisme tiennent compte :a) du contexte interne et externe dans lequel il opère,
b) de ses besoins propres et de ceux de ses parties prenantes,
c) de ses objectifs,
d) des produits et services fournis,
e) du caractère sensible de ses actifs et informations,
f) de ses processus et de son secteur industriel, et
g) de sa taille et de sa structure organisationnelle,
h) des exigences légales nationales applicables.
La démarche qui s’appuie sur un système de management incite les organismes à analyser les exigences
organisationnelles et les exigences des parties prenantes et à définir les processus qui contribuent à
l’établissement d’une solide stratégie en matière de sûreté. Un système de management peut fournir le cadre
d’amélioration continue permettant d’accroître la probabilité de préserver la sûreté et l’intégrité des actifs. Il
apporte, à l’organisme et à ses parties prenantes, la confiance en l’aptitude de l’organisme à fournir un
environnement sûr et sécurisé qui satisfait aux exigences organisationnelles et aux exigences des parties
prenantes.vi © ISO 2013 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO/DIS 34001
La présente norme adopte une approche processus pour l’établissement, la mise en œuvre, l’application, la
surveillance, la revue, la tenue à jour et l’amélioration du système de management de la sûreté d’un
organisme. Un organisme a besoin d’identifier et de gérer un grand nombre d’activités afin de fonctionner
efficacement. Toute activité utilisant des ressources et gérée de manière à permettre la transformation
d’éléments d’entrée en éléments de sortie peut être considérée comme un processus. L’élément de sortie
d’un processus constitue souvent l’élément d’entrée du processus suivant.Une « approche processus » désigne l’application d’un système de processus au sein d’un organisme, ainsi
que l’identification, les interactions et le management de ces processus.L’approche processus relative au management de la sûreté présentée dans la présente norme incite ses
utilisateurs à insister sur l’importance de :a) comprendre les exigences d’un organisme en matière de risque, de sûreté et de protection des actifs ;
b) établir une politique et des objectifs pour gérer les risques ;c) mettre en œuvre et appliquer des moyens de maîtrise pour gérer les risques d’un organisme dans le
contexte de la mission de l’organisme ;d) surveiller et passer en revue les performances et l’efficacité du système de management de la sûreté ; et
e) e) l’amélioration continue sur la base de mesures objectives.La présente norme adopte le concept de la « roue de Deming », désigné en anglais par « Plan-Do-Check-Act
(PDCA) », qui est appliqué pour structurer les processus des systèmes de management de la sûreté. La
Figure 1 (à ajouter ultérieurement) illustre la manière dont un système de management de la sûreté prend en
entrée les exigences et les attentes des parties intéressées en matière de management de la sûreté et, au
moyen des actions et processus nécessaires, donne des résultats en termes de management du risque qui
satisfont aux exigences et aux attentes. La Figure 1 illustre également les liens dans les processus présentés
dans le corps de la norme.Tableau 1 — Roue de Deming
Établir la politique, les objectifs, les processus et les procédures du système de
Planifiermanagement relatifs à la gestion du risque et à l’amélioration du système de
(établir le système de
management de la sûreté, et permettant de fournir des résultats conformes aux
management)
politiques et objectifs généraux d’un organisme.
Développer
Mettre en œuvre et appliquer la politique, les moyens de maîtrise, les processus et les
(mettre en œuvre etprocédures du système de management.
appliquer le système de
management)
Contrôler
Évaluer et mesurer les performances des processus par rapport à la politique, aux
(surveiller et passer enobjectifs et à l’expérience pratique du système de management, et rapporter les
revue le système de
résultats à la direction pour revue.
management)
Agir
Entreprendre des actions correctives et préventives en fonction des résultats de l’audit
(tenir à jour et améliorerinterne et de la revue de direction du système de management, afin d’assurer
le système de
l’amélioration continue du système de management.
management)
La conformité à la présente norme peut être vérifiée par un processus d’audit compatible et cohérent avec la
méthodologie de l’ISO 9001:2000, l’ISO 14001:2004, l’ISO/CEI 27001:2005 et/ou avec la roue de Deming.
© ISO 2013 – Tous droits réservés vii---------------------- Page: 7 ----------------------
PROJET DE NORME INTERNATIONALE ISO/DIS 34001
Système de management de la sécurité
1 Domaine d’application
La présente Norme internationale traite de la gestion des risques d’actes frauduleux auxquels sont exposés
les actifs tangibles et intangibles d’un organisme. Cela comprend les actes de :
a) tromperie délibérée,b) malveillance,
c) négligence volontaire, et
d) facilitation involontaire d’activités frauduleuses.
Les exigences spécifiées dans la présente Norme internationale sont génériques et prévues pour s’appliquer
à tout organisme (ou partie d’un organisme), quels que soient le type, la taille et la nature de l’organisme.
L’étendue de l’application de ces exigences dépend de l’environnement opérationnel, du portefeuille de
produits et services, du profil de risque et de la complexité de l’organisme.La présente Norme internationale spécifie les exigences relatives à un système de management de la sûreté
pour la prévention et le contrôle de la fraude, permettant à un organisme d’établir et de mettre en œuvre des
politiques, des objectifs et des programmes. Elle s’applique aux risques et aux impacts d’actes frauduleux
identifiés par l’organisme comme devant être contrôlés, influencés ou réduits. Elle ne définit pas elle-même
de critères de performances spécifiques.La présente Norme internationale est destinée à aider les organismes à :
a) développer une politique de sûreté ;
b) établir des objectifs, des procédures et des processus permettant de tenir les engagements pris dans la
politique ;c) démontrer la conformité aux exigences légales et autres exigences ;
d) assurer la compétence, la sensibilisation et la formation ;
e) évaluer les performances et entreprendre des actions en conséquence pour les améliorer ;
f) démontrer la conformité du système de management aux exigences de la présente Norme
internationale ; etg) établir et appliquer un processus d’amélioration continue.
La présente Norme internationale est applicable à tout organisme souhaitant :
a) développer, mettre en œuvre, tenir à jour et améliorer un système de management de la sûreté pour la
prévention et le contrôle de la fraude ;b) s’assurer lui-même de sa conformité à sa politique de sûreté déclarée ;
© ISO 2013 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO/DIS 34001
c) démontrer la conformité à la présente Norme internationale par :
i) la réalisation d’une autodétermination et d’une autodéclaration ; ou
ii) la recherche d’une confirmation de sa conformité par des parties ayant un intérêt dans
l’organisme (telles que les clients) ; ouiii) la recherche d’une confirmation de son autodéclaration par une partie externe à l’organisme ; ou
iv) la recherche de la certification/enregistrement de son système de management de la sûreté
pour la prévention et le contrôle de la fraude par un organisme externe.2 Références normatives
Aucune référence normative n’est citée pour le moment. Cet article a été inclus afin que la numérotation des
articles soit identique à celle des autres normes ISO de systèmes de management.3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
3.01organisme
personne ou groupe de personnes disposant de fonctions qui lui sont propres en termes de responsabilité,
autorité et relations en vue d’atteindre ses objectifs (3.08)Note 1 à l’article Le concept d’organisme comprend (mais n’est pas limité à) : travailleur indépendant, compagnie,
société, firme, entreprise, autorité, partenariat, organisation caritative ou institution, ou une combinaison des entités
précédentes, qu’elle soit constituée/immatriculée ou non, publique ou privée.3.02
partie intéressée (terme préféré)
partie prenante (terme admis)
personne ou organisme (3.01) susceptible d’affecter, d’être affecté ou de se sentir lui-même affecté par une
décision ou une activité3.03
exigence
besoin ou attente formulés, habituellement implicites, ou imposés
Note 1 à l’article Habituellement implicite » signifie qu’il est d’usage ou de pratique courante pour l’organisme et les
parties intéressées de considérer le besoin ou l’attente en question comme implicite.
Note 2 à l’article Une exigence spécifiée est une exigence qui est formulée, par exemple dans une information
documentée.3.04
système de management
ensemble d’éléments corrélés ou interactifs d’un organisme (3.01) permettant d’établir des politiques (3.07) et
des objectifs (3.08), ainsi que des processus (3.12) pour atteindre ces objectifs
Note 1 à l’article Un système de management peut aborder une seule ou plusieurs disciplines.
Note 2 à l’article Les éléments du système comprennent la structure organisationnelle, les rôles et responsabilités, la
planification, le fonctionnement, etc.Note 3 à l’article Le domaine d’application d’un système de management peut comprendre l’ensemble de l’organisme,
des fonctions spécifiques et identifiées de l’organisme, des sections spécifiques et identifiées de l’organisme, ou une ou
plusieurs fonctions dans un groupe d’organismes.© ISO 2013 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO/DIS 34001
3.05
direction générale
personne ou groupe de personnes qui oriente et contrôle un organisme (3.01) au plus haut niveau
Note 1 à l’article La direction générale a le pouvoir de déléguer son autorité et de fournir des ressources au sein de
l’organisme.Note 2 à l’article Si le domaine d’application du système de management (3.04) ne couvre qu’une partie d’un
organisme, alors la direction générale fait référence aux personnes qui orientent et contrôlent cette partie de l’organisme.
3.06efficacité
niveau de réalisation des activités planifiées et d’obtention des résultats escomptés
3.07politique
intentions et orientations données à l’organisme (3.01) et formalisées par sa direction générale (3.05)
3.08objectif
résultat à atteindre
Note 1 à l’article Un objectif peut être stratégique, tactique ou opérationnel.
Note 2 à l’article Les objectifs peuvent concerner différents domaines (financier, environnemental, santé et sécurité,
etc.) et peuvent s’appliquer à différents niveaux (stratégique, organisme dans son ensemble, projet, produit, processus
(3.12), etc.).Note 3 à l’article Un objectif peut être exprimé autrement, par exemple comme un résultat escompté, un but, un critère
opérationnel, comme un objectif de sûreté, ou en recourant à d’autres termes ayant la même signification (par exemple
finalité, but ou cible).Note 4 à l’article Dans le contexte d’un système de management de la sûreté, les objectifs de sûreté sont établis par
l’organisme, en cohérence avec sa politique de sûreté, afin d’atteindre des résultats spécifiques.
3.09risque
effet de l’incertitude
Note 1 à l’article Un effet est un écart, positif et/ou négatif, par rapport à une attente.
Note 2 à l’article L’incertitude est l’état, même partiel, de défaut d’information concernant la compréhension ou la
connaissance d’un événement, de ses conséquences ou de sa vraisemblance.Note 3 à l’article Un risque est souvent caractérisé en référence à des événements (ISO Guide 73, 3.5.1.3) et des
conséquences (ISO Guide 73, 3.6.1.3) potentiels...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.