Sélectionner une page

Afnor Normalisation vient de diffuser un avant-projet de norme soumis à enquête publique jusqu’au 3 mai 2013. Cela permet à chacun de nous de prendre connaissance du contenu du référentiel ISO 34001 consacré à la sécurité des entreprises (Système de Management).

Voici l’accès au site de l’AFNOR.

Il vous faudra toutefois vous inscrire (email + mot de passe) sur le site de l’AFNOR afin de pouvoir télécharger la norme ISO 34001 en version pdf et apporter des commentaires.

Qu’est ce qu’on entend par sécurité de l’entreprise ?

Un problème de vocabulaire se pose dès l’introduction. L’harmonisation du vocabulaire est importante afin que l’on puisse mettre en place un système de management intégré dans notre entreprise.

La norme ISO 34001 s’adresse à tous les organismes devant prendre en compte un risque de sûreté. Elle insiste sur le fait qu’il est important de bien faire la part des choses entre sûreté, sécurité et qualité.

La norme ISO 34001 permet d’adresser, à travers un système de management de la sûreté, la protection de ses actifs contre des actes malveillants et frauduleux alors que le titre de la norme est « Système de management de la sécurité ».

La norme ISO 34001 est construite afin de permettre la mise en place avec d’autres systèmes de management. On y évoque, par exemple :

  • ISO 9001 :2008 – Système de management de la qualité
  • ISO 14001 : 2004 – Système de management environnemental
  • ISO 27001 : 2005 – Système de management de la sécurité de l’information
  • ISO 28000 : 2007 – Spécifications pour les systèmes de management de la sûreté pour la chaîne d’approvisionnement

Quelles sont les principales exigences du système de management ISO 34001 ?

Comme tous les système de management, l’approche processus est présente, approche basée sur le concept de la roue de Deming : PDCA.

Appréciation des risques

Une méthodologie « Appréciation des risques de sûreté » est naturellement présente. On y trouve classiquement les différentes étapes :

  • Identification des risques
  • Analyse des risques
  • Evaluation des risques
  • Traitement des risques

Cela n’est pas s’en rappeler l’évolution future de la norme ISO 9001 : 2015.

Voir article « ISO 9001 : 2015 – Comment se préparer à cette future évolution? »

La gestion des risques en sécurité de l’information est décrite à travers la norme ISO 27005 : 2008. Cette norme fait référence à la norme ISO 31000 : novembre 2009 « Management du risque – Principes et lignes directrices ». C’est également le cas pour la norme ISO 34001.

Définition d’un actif

Il serait intéressant de rappeler la définition d’un actif tangible et intangible dans le paragraphe 3 consacré aux termes et définitions.

Dans la norme ISO 27000 :2009 « Techniques de sécurité – Système de management de la sécurité de l’information », la définition d’un actif est la suivante :

Tout élément représentant de la valeur pour l’organisation :

  • Actif d’information
  • Les logiciels, par exemple un programme informatique
  • Les actifs physiques, par exemple un ordinateur
  • Le personnel, et leurs qualifications, compétences et expérience
  • Les actifs incorporels, par exemple la réputation et l’image

Le découpage de la norme

1 Domaine d’application

2 Références normatives

3 Termes et définitions

4 Contexte de l’organisme

5 Leadership

6 Planification

7 Support

8 Application

9 Évaluation des performances

10 Amélioration

 On retrouve les 10 sections prévues dans la future norme ISO 9001 : 2015, pour faciliter la mise en place d’un système de management intégré (SMI).

Avez-vous contribué à l’enquête publique pour cette norme ?

Crédit photo : cvadirect

Recevez gratuitement mon livre pour économiser du temps et gagner en efficacité

Dites-moi simplement à quelle adresse mail je dois vous l'envoyer.

Merci! Vous allez recevoir un mail. :-)

Pin It on Pinterest