ISO 22396:2020
(Main)Security and resilience — Community resilience — Guidelines for information exchange between organizations
Security and resilience — Community resilience — Guidelines for information exchange between organizations
This document gives guidelines for information exchange. It includes principles, a framework and a process for information exchange. It identifies mechanisms for information exchange that allow a participating organization to learn from others' experiences, mistakes and successes. It can be used to guide the maintenance of the information exchange arrangement in order to increase commitment and engagement. It provides measures that enhance the ability of participating organizations to cope with disruption risk. This document is applicable to private and public organizations that require guidance on establishing the conditions to support information exchange. This document does not apply to technical aspects but focuses on methodology issues. NOTE Legislation can differ from jurisdiction to jurisdiction. It is the user's responsibility to determine how applicable legal requirements relate to this document.
Sécurité et résilience — Résilience des communautés — Lignes directrices pour l’échange d’informations entre les organismes
Le présent document fournit des lignes directrices pour l'échange d'informations. Il comporte des principes, un cadre et un processus applicables à l'échange d'informations. Il identifie des mécanismes d'échange d'informations qui permettent à un organisme participant d'apprendre des expériences, des erreurs et des succès des autres. Il peut être utilisé comme aide au respect de l'accord d'échange d'informations afin d'encourager la participation et l'engagement personnel. Il fournit des mesures qui renforcent la capacité des organismes participants à faire face au risque d'une perturbation. Le présent document s'applique aux organismes privés et publics qui nécessitent des recommandations relatives à l'établissement de conditions propices à l'échange d'informations. Le présent document ne s'applique pas aux aspects techniques, mais se concentre sur les problèmes de méthodologie. NOTE La législation peut différer d'une juridiction à l'autre. Il appartient à l'utilisateur de déterminer la manière dont les exigences juridiques applicables se rapportent au présent document.
General Information
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 22396
First edition
2020-02
Security and resilience — Community
resilience — Guidelines for
information exchange between
organizations
Sécurité et résilience — Résilience des communautés — Lignes
directrices pour l’échange d’informations entre les organismes
Reference number
©
ISO 2020
© ISO 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles . 1
4.1 General . 1
4.2 Guiding principles . 2
5 Framework . 2
5.1 General . 2
5.2 Leadership and commitment . 3
5.3 Context analysis . 3
5.4 Designing and establishing a framework . 4
5.5 Implementation . 4
5.6 Monitoring and review . 4
5.7 Continual improvement . 4
6 Process . 5
6.1 General . 5
6.2 Establish the needs. 5
6.2.1 General. 5
6.2.2 Expression of interest . 6
6.3 Prepare each organization . 6
6.3.1 Internal . 6
6.3.2 External . 6
6.4 Define the information exchange structure . 6
6.4.1 General. 6
6.4.2 Purpose . 6
6.4.3 Membership guidelines. 6
6.4.4 Information classification system . 7
6.5 Operate and maintain the information exchange . 7
6.5.1 General. 7
6.5.2 Meetings . 8
6.5.3 Information sharing platform . 8
6.5.4 Technical aspects . 8
6.6 Monitoring and review . 8
6.6.1 General. 8
6.6.2 Continual improvement . 9
Annex A (informative) Traffic light protocol (TLP) .10
Annex B (informative) Examples .11
Bibliography .13
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso .org/
iso/ foreword .html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
iv © ISO 2020 – All rights reserved
Introduction
The landscape of risk has changed for all actors in society, including private enterprises, governmental
organizations and non-governmental organizations. Organizations have become more interconnected
and interdependent, resulting in risks that overlap and cross boundaries.
Changing ownership patterns of critical societal infrastructure and services mean that private
enterprises must be involved in the development of mechanisms for increased coping capacity,
experience and knowledge exchange. Critical societal infrastructure or services are increasingly
privately managed or owned, creating new requirements for co-operation and information exchange
for capacity building purposes.
While the authorities having jurisdiction have the ultimate responsibility to serve and protect their
citizens, solutions are often found in the private sector, even though preventive measures for the
increased security of critical societal functions have traditionally been regarded as government and
public core areas. In order to enhance and support preventive measures for protection, multiple actors
from both the private and public sectors should be able to exchange information effectively and securely
in order to increase societal security and enhance resilience.
Generally, the objective of collaboration is to identify and initiate actions to increase security and
reduce vulnerability. Information exchange on possible liabilities, risks and vulnerabilities can enhance
the effectiveness and efficiency of organizations.
It is challenging but necessary to establish accurate boundaries between organizations regarding
information sharing. Responsibility for coordination is also difficult to define since coordination in
these areas requires special solutions adapted within a sector, for each different sector, region or nation.
Private actors also require a guarantee that their sensitive business information is not leaked, used
to impede competition or to damage their business and trademark. Consequently, secure information
exchange is an essential condition of successful and effective information exchange for both public and
private organizations.
Organizations that participate in information exchange arrangements can increase their knowledge
and understanding of events and risks with the aim of enhancing resilience. Effective information
exchange arrangements can provide other benefits to these participating organizations, including:
— enlightening organizations that may not usually get access in usual ways;
— enhancing capabilities by unlocking otherwise restricted information;
— creating a centralized information exchange to support sharing;
— increasing capacity for information distribution;
— creating a sense of community through caring and sharing.
This document is divided into three segments: principles, framework and process. The principles
present the core of this document. The framework identifies the necessary elements for developing
information exchange frameworks. The process describes information exchange procedures for
establishing and maintaining the arrangement. Figure 1 presents the relationship between the
principles, the framework and the process.
Figure 1 — Relationship between principles, framework and process
vi © ISO 2020 – All rights res
...
NORME ISO
INTERNATIONALE 22396
Première édition
2020-02
Sécurité et résilience — Résilience des
communautés — Lignes directrices
pour l’échange d’informations entre
les organismes
Security and resilience — Community resilience — Guidelines for
information exchange between organizations
Numéro de référence
©
ISO 2020
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes . 2
4.1 Généralités . 2
4.2 Principes directeurs . 2
5 Cadre . 3
5.1 Généralités . 3
5.2 Responsabilité et engagement . 3
5.3 Analyse du contexte . 4
5.4 Conception et établissement d’un cadre . 4
5.5 Mise en œuvre. 4
5.6 Surveillance et revue. 4
5.7 Amélioration continue . 5
6 Processus . 5
6.1 Généralités . 5
6.2 Établissement des besoins . 6
6.2.1 Généralités . 6
6.2.2 Déclaration d’intérêt . 6
6.3 Préparation de chaque organisme . 6
6.3.1 Interne . 6
6.3.2 Externe . 6
6.4 Définition de la structure d’échange d’informations . 6
6.4.1 Généralités . 6
6.4.2 Finalité . 7
6.4.3 Lignes directrices d’adhésion . 7
6.4.4 Système de classification des informations . 7
6.5 Exploitation et maintien de l’échange d’informations . 8
6.5.1 Généralités . 8
6.5.2 Réunions . 8
6.5.3 Plateforme de partage d’informations . 8
6.5.4 Aspects techniques . 9
6.6 Surveillance et revue. 9
6.6.1 Généralités . 9
6.6.2 Amélioration continue . 9
Annexe A (informative) Protocole d’échange d’information «Traffic Light Protocol»
(protocole TLP) .11
Annexe B (informative) Exemples .12
Bibliographie .14
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
iv © ISO 2020 – Tous droits réservés
Introduction
Le paysage des risques est en constante évolution pour tous les acteurs de la société, incluant les
entreprises privées, les organismes gouvernementaux et les organismes non gouvernementaux.
Les organismes sont devenus de plus en plus interconnectés et interdépendants, entraînant une
accumulation des risques et leur expansion au-delà des frontières.
L’évolution des structures de propriété des infrastructures et services sociétaux essentiels signifie que
les entreprises privées sont tenues de participer au développement de mécanismes visant à accroître la
capacité d’adaptation, les expériences et les échanges de connaissances. Les infrastructures ou services
sociétaux essentiels sont de plus en plus souvent gérés ou détenus par le secteur privé, ce qui crée de
nouvelles exigences en matière de coopération et d’échange d’informations à des fins de renforcement
des capacités.
Alors que les autorités ayant juridiction détiennent l’ultime responsabilité de servir et protéger leurs
citoyens, des solutions émergent souvent dans le secteur privé, même si les actions préventives visant
à augmenter la sécurité de fonctions sociétales essentielles sont traditionnellement perçues comme
des domaines de compétence fondamentaux relevant du gouvernement et du secteur public. Aux fins
d’améliorer et de promouvoir les actions préventives à visée protectrice, il convient que de multiples
acteurs du secteur privé et du secteur public soient en mesure de s’échanger des informations de
manière efficace et sécurisée afin d’accroître la sécurité sociétale et de renforcer la résilience.
De manière générale, l’objectif de cette collaboration est d’identifier et de mettre en place des actions
visant à augmenter la sécurité et à réduire la vulnérabilité. L’échange d’informations sur les potentiels
responsabilités, risques et vulnérabilités peut renforcer l’efficacité et l’efficience des organismes.
Il s’agit d’un objectif ambitieux, mais nécessaire à l’établissement de limites précises entre les
organismes concernant le partage d’informations. La responsabilité en matière de coordination est
également difficile à définir, car la coordination dans ces domaines exige des solutions spécifiques
adaptées au sein d’un secteur pour chaque secteur, région ou nation différents.
Les acteurs du secteur privé exigent également une garantie que leurs informations commerciales
sensibles ne seront pas divulguées, utilisées pour entraver la concurrence ou pour porter préjudice
à leurs affaires ou à leur marque de commerce. Par conséquent, un échange d’informations sécurisé
est une condition indispensable à un échange d’informations fructueux et efficace aussi bien pour les
organismes du secteur public que du secteur privé.
Les organismes qui participent aux accords d’échange d’informations peuvent accroître leurs
connaissances et leur compréhension des événements et des risques, avec l’objectif de r
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.