ISO 19650-5:2020
(Main)Organization and digitization of information about buildings and civil engineering works, including building information modelling (BIM) — Information management using building information modelling — Part 5: Security-minded approach to information management
Organization and digitization of information about buildings and civil engineering works, including building information modelling (BIM) — Information management using building information modelling — Part 5: Security-minded approach to information management
This document specifies the principles and requirements for security-minded information management at a stage of maturity described as "building information modelling (BIM) according to the ISO 19650 series", and as defined in ISO 19650-1, as well as the security-minded management of sensitive information that is obtained, created, processed and stored as part of, or in relation to, any other initiative, project, asset, product or service. It addresses the steps required to create and cultivate an appropriate and proportionate security mindset and culture across organizations with access to sensitive information, including the need to monitor and audit compliance. The approach outlined is applicable throughout the lifecycle of an initiative, project, asset, product or service, whether planned or existing, where sensitive information is obtained, created, processed and/or stored. This document is intended for use by any organization involved in the use of information management and technologies in the creation, design, construction, manufacture, operation, management, modification, improvement, demolition and/or recycling of assets or products, as well as the provision of services, within the built environment. It will also be of interest and relevance to those organizations wishing to protect their commercial information, personal information and intellectual property.
Organisation et numérisation des informations relatives aux bâtiments et ouvrages de génie civil, y compris modélisation des informations de la construction (BIM) — Gestion de l’information par la modélisation des informations de la construction — Partie 5: Approche de la gestion de l’information axée sur la sécurité
Le présent document spécifie les principes et les exigences relatifs à la gestion de l'information axée sur la sécurité à un stade de maturité décrit comme la « modélisation des informations de la construction (BIM) selon la série ISO 19650 », et comme défini dans l'ISO 19650-1, ainsi qu'à la gestion axée sur la sécurité des informations sensibles qui sont obtenues, créées, traitées et stockées dans le cadre de tout autre initiative, projet, actif, produit ou service, ou en relation avec ceux-ci. Il traite des étapes requises pour créer et développer une culture et un état d'esprit de sécurité appropriés et proportionnés au sein des organismes ayant accès à des informations sensibles, y compris la nécessité de surveiller et de vérifier la conformité. L'approche décrite est applicable pendant tout le cycle de vie d'une initiative, d'un projet, d'un actif, d'un produit ou d'un service, qu'il soit planifié ou existant, au cours duquel des informations sensibles sont obtenues, créées, traitées et/ou stockées. Le présent document est destiné à être utilisé par tout organisme concerné par l'utilisation de technologies et de la gestion de l'information dans la création, la conception, la construction, la fabrication, l'exploitation, la gestion, la modification, l'amélioration, la démolition et/ou le recyclage d'actifs ou de produits, ainsi que la prestation de services, dans l'environnement bâti. Il sera également intéressant et pertinent pour les organismes qui souhaitent protéger leurs informations commerciales, leurs informations personnelles et leur propriété intellectuelle.
General Information
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 19650-5
First edition
2020-06
Organization and digitization of
information about buildings and civil
engineering works, including building
information modelling (BIM) —
Information management using
building information modelling —
Part 5:
Security-minded approach to
information management
Organisation et numérisation des informations relatives aux
bâtiments et ouvrages de génie civil, y compris modélisation des
informations de la construction (BIM) — Gestion de l’information par
la modélisation des informations de la construction —
Partie 5: Approche de la gestion de l’information axée sur la sécurité
Reference number
©
ISO 2020
© ISO 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Establishing the need for a security-minded approach using a sensitivity
assessment process . 3
4.1 Undertaking a sensitivity assessment process . 3
4.2 Understanding the range of security risks . 4
4.3 Identifying organizational sensitivities . 4
4.4 Establishing any third-party sensitivities . 5
4.5 Recording the outcome of the sensitivity assessment . 5
4.6 Reviewing the sensitivity assessment . 5
4.7 Determining whether a security-minded approach is required . 5
4.8 Recording the outcome of the application of the security triage process . 6
4.9 Security-minded approach required . 7
4.10 No security-minded approach required . 7
5 Initiating the security-minded approach . 7
5.1 Establishing governance, accountability and responsibility for the security-
minded approach . 7
5.2 Commencing the development of the security-minded approach . 8
6 Developing a security strategy . 9
6.1 General . 9
6.2 Assessing the security risks . 9
6.3 Developing security risk mitigation measures .10
6.4 Documenting residual and tolerated security risks .10
6.5 Review of the security strategy .11
7 Developing a security management plan .11
7.1 General .11
7.2 Provision of information to third parties .12
7.3 Logistical security.12
7.4 Managing accountability and responsibility for security .13
7.5 Monitoring and auditing .13
7.6 Review of the security management plan .13
8 Developing a security breach/incident management plan .14
8.1 General .14
8.2 Discovery of a security breach or incident .14
8.3 Containment and recovery .15
8.4 Review following a security breach or incident .15
9 Working with appointed parties .15
9.1 Working outside formal appointments .15
9.2 Measures contained in appointment documentation .16
9.3 Post appointment award .17
9.4 End of appointment .17
Annex A (informative) Information on the security context.18
Annex B (informative) Information on types of personnel, physical, and technical security
controls and management of information security .20
Annex C (informative) Assessments relating to the provision of information to third parties .24
Annex D (informative) Information sharing agreements .26
Bibliography .28
iv © ISO 2020 – All rights reserved
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www .iso .org/
iso/ foreword .html.
This document was prepared by Technical Committee ISO/TC 59, Buildings and civil engineering works,
Subcommittee SC 13, Organization and digitization of information about buildings and civil engineering
works, including building information modelling (BIM), in collaboration with the European Committee
for Standardization (CEN) Technical Committee CEN/TC 442 Building Information Modelling (BIM), in
accordance with the Agreement on technical cooperation between ISO and CEN (Vienna Agreement).
A list of all parts in the ISO 19650 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
Introduction
The built environment is experiencing a period of rapid evolution. It is anticipated that the adoption
of building information modelling (BIM) and the increasing use of digital technologies in the design,
construction, manufacture, operation and management of assets or products, as well as the provision
of services, within the built environment will have a transformative effect on the parties involved. It
is likely that to increase effectiveness and efficiency, initiatives or projects that are developing new
assets or solutions, or modifying or managing existing ones, must become more collaborative in nature.
Such collaboration requires more transparent, open ways of working, and, as much as possible, the
appropriate sharing and use of digital information.
The combined physical and digital built environment will need to deliver future fiscal, financial,
functional, sustainability and growth objectives. This will have an impact on procurement, delivery and
operational processes, including greater cross-discipline and sector collaboration. It will also lead to an
increased use of digital tools and availability of information. The use of computer-based technologies
is already supporting new ways of working, such as the development of off-site, factory-based
fabrication and on-site automation. Sophisticated cyber-physical systems, by using sensors (the cyber
or computation element) to control or influence physical parts of the system, are able to work in real-
time to influence outcomes in the real world. It is anticipated that such systems will be used to achieve
benefits such as increases in energy efficiency and better asset lifecycle management by capturing
real-time information about asset use and condition. They can already be found in transportation,
utilities, infrastructure, buildings, manufacturing, health care and defence, and when able to interact as
integrated cyber-physical environments, can be used in the development of smart communities.
As a consequence of this increasing use of, and dependence on, information and communications
technologies, there is a need to address inherent vulnerability issues, and therefore the security
implications that arise, whether for built environments, assets, products, services, individuals or
communities, as well as any associated information.
This document provides a framework to assist organizations in understanding the key vulnerability
issues and the nature of the controls required to manage the resultant security risks to a level that
is tolerable to the relevant parties. Its purpose is not in any way to undermine collaboration or the
benefits that BIM, other collaborative work methods and digital technologies can generate.
The term organization captures not only appointing parties and appointed parties, as defined in
ISO 19650-1, but also demand-side organizations who are not directly involved in an appointment.
Information security requirements for an individual organization, organizational department or
system are set out in ISO/IEC 27001 but cannot be applied across multiple organizations. BIM and other
digital collaborative work methods and technologies generally involve the collaborative sharing of
information across a broad range of independent organizations within the built environment sector.
Therefore, this document encourages the adoption of a security-minded, risk-based approach that can
be applied across, as well as within, organizations. The appropriate and proportionate nature of the
approach also has the benefit that measures should not prohibit the involvement of small and medium-
sized enterprises in the delivery team.
The security-minded approach can be applied throughout the lifecycle of an initiative, project, asset,
product or service, whether planned or existing, where sensitive information is obtained, created,
processed and/or stored.
Figure 1 shows the integration of this security-minded approach with other organizational strategies,
policies, plans and information requirements for the digitally-enabled delivery of projects, and the
maintenance and operation of assets, using BIM.
vi © ISO 2020 – All rights reserved
Key
A coordinated and consistent strategies and policies
B coordinated and consistent plans
C coordinated and consistent information requirements
D activities undertaken during the operational phase of assets
E activities undertaken during the delivery phase of the asset (see also ISO 19650-2)
1 organizational plans and objectives
2 strategic asset management plan/policy (see ISO 55000)
3 security strategy
4 other organizational strategies and policy
5 asset management plan (see ISO 55000)
6 security management plan
7 other organizational plans
8 asset information requirements (AIR)
9 security information requirements (which form part of the security management plan)
10 organizational information requirements (OIR)
11 strategic business case and strategic brief
12 asset operational use
13 performance measurement and improvement actions
NOTE No order is implied by the numbering in A, B and C.
Figure 1 — The integration of the security-minded approach within the wider BIM process
NOTE Refer to ISO 19650-1 for concepts and principles including OIR and AIR to assist further understanding
of security-mindedness within the context of the ISO 19650 series.
The process for deciding on the need for and, where appropriate, implementing a security-minded
approach in relation information management is summarised in Figure 2.
Key
A initiate a security-minded approach
B develop a security strategy
C develop a security management plan
Y yes
N no
1 determine, using the security triage process whether a security-minded approach is required
2 establish governance, accountability and responsibility arrangements for the security-minded approach
3 commence development of the security-minded approach
4 assess the security risks
5 develop security mitigation measures
6 document tolerated security risks
7 develop policies and processes to implement the security mitigation measures
8 develop security information requirements
9 develop requirements relating to provision of information to third parties
10 develop logistical security requirements
11 develop a security breach/incident management plan
12 work with appointed parties in and out of formal contracts to embed the security-minded approach,
including the development of information sharing agreements where necessary
13 monitor, audit and review
14 protect any sensitive commercial and personal information (no other security-minded approach required)
15 review if there is change in the initiative, project, asset, product or service which may impact on its sensitivity
Figure 2 — The process for implementing the security-minded approach set out in this
document
viii © ISO 2020 – All rights reserved
Implementation of the measures outlined in this document will assist in reducing the risk of the loss,
misuse or modification of sensitive information that can impact on the safety, security and resilience
of assets, products, the built environment, or the services provided by, from or through them. It will
also assist in protecting against the loss, theft or disclosure of commercial information, personal
information and intellectual property. Any such incidents can lead to significant reputational damage,
impacting through lost opportunities and the diversion of resources to handle investigation, resolution
and media activities, in addition to the disruption of, and delay to, day-to-day operational activities.
Further, where incidents do occur and information has been made publicly available, it is virtually
impossible to recover all of that information or to prevent ongoing distribution.
INTERNATIONAL STANDARD ISO 19650-5:2020(E)
Organization and digitization of information about
buildings and civil engineering works, including building
information modelling (BIM) — Information management
using building information modelling —
Part 5:
Security-minded approach to information management
1 Scope
This document specifies the principles and requirements for security-minded information management
at a stage of maturity described as “building information modelling (BIM) according to the ISO 19650
series”, and as defined in ISO 19650-1, as well as the security-minded management of sensitive
information that is obtained, created, processed and stored as part of, or in relation to, any other
initiative, project, asset, product or service.
It addresses the steps required to create and cultivate an appropriate and proportionate security
mindset and culture across organizations with access to sensitive information, including the need to
monitor and audit compliance.
The approach outlined is applicable throughout the lifecycle of an initiative, project, asset, product or
service, whether planned or existing, where sensitive information is obtained, created, processed and/
or stored.
This document is intended for use by any organization involved in the use of information management
and technologies in the creation, design, construction, manufacture, operation, management,
modification, improvement, demolition and/or recycling of assets or products, as well as the provision
of services, within the built environment. It will also be of interest and relevance to those organizations
wishing to protect their commercial information, personal information and intellectual property.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 19650-2, Organization and digitization of information about buildings and civil engineering works,
including building information modelling (BIM) — Information management using building information
modelling — Part 2: Delivery phase of the assets
1)
ISO 19650-3 , Organization and digitization of information about buildings and civil engineering works,
including building information modelling (BIM) — Information management using building information
modelling — Part 3: Operational phase of assets
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
1) Under preparation. Stage at the time of publication: ISO/FDIS 19650-3:2020.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at http:// www .electropedia .org/
3.1
asset
item, thing or entity that has potential or actual value to an organization
Note 1 to entry: An asset can be fixed, mobile or movable. It can be an individual item of plant, a vehicle, a system
of connected equipment, a space within a structure, a piece of land, an entire piece of infrastructure, an entire
building, or a portfolio of assets including associated land or water. It can also comprise information in digital or
in printed form.
Note 2 to entry: The value of an asset can vary throughout its life and an asset can still have value at the end of its
life. Value can be tangible, intangible, financial or non-financial.
[SOURCE: ISO 55000:2014, 3.2.1, modified — The original notes 1, 2 and 3 to entry have been removed;
new notes 1 and 2 to entry have been added.]
3.2
crowded place
location or environment to which members of the public have access that can be considered more at
risk from a terrorist attack by virtue of its crowd density or the nature of the site
Note 1 to entry: Crowded places can include: sports stadia, arenas, festivals and music venues; hotels and
restaurants; pubs, clubs, bars and casinos; high streets, shopping centres and markets; visitor attractions;
cinemas and theatres; schools and universities; hospitals and places of worship; commercial centres; and
transport hubs. They can also include events and public realm spaces such as parks and squares.
Note 2 to entry: A crowded place will not necessarily be crowded at all times — crowd densities can vary and can
be temporary, as in the case of sporting events or open-air festivals.
3.3
metadata
data about data
3.4
need-to-know
legitimate requirement of a prospective recipient of information to know, to access, or to possess
sensitive information (3.11)
3.5
risk appetite
amount and type of risk that an organization is willing to pursue or retain
[SOURCE: ISO 22300:2018, 3.202]
3.6
safety
state of relative freedom from threat (3.13) or harm caused by random, unintentional acts or events
3.7
security
state of relative freedom from threat (3.13) or harm caused by deliberate, unwanted, hostile or
malicious acts
3.8
security breach
infraction or violation of security (3.7)
[SOURCE: ISO 14298:2013, 3.30]
2 © ISO 2020 – All rights reserved
3.9
security incident
suspicious act or circumstance threatening security (3.7)
3.10
security-minded
understanding and routinely applying appropriate and proportionate security (3.7) measures in any
business situation so as to deter and/or disrupt hostile, malicious, fraudulent and criminal behaviours
or activities
3.11
sensitive information
information, the loss, misuse or modification of which, or unauthorized access to, can:
— adversely affect the privacy, security (3.7) or safety (3.6) of an individual or individuals;
— compromise intellectual property or trade secrets of an organization;
— cause commercial or economic harm to an organization or country; and/or
— jeopardize the security, internal and foreign affairs of a nation
3.12
residual risk
risk that remains after controls have been implemented
[SOURCE: ISO 16530-1:2017, 3.52]
3.13
threat
potential cause of an incident which may result in harm
3.14
top management
person or group of people who directs and controls an organization at the highest level
Note 1 to entry: Top management has the power to delegate authority and provide resources within the
organization.
Note 2 to entry: In the context of this document, management should be regarded as the function, not the activity.
[SOURCE: ISO 9000:2015, 3.1.1, modified — The original notes 2 and 3 to entry have been removed;
new note 2 entry has been added.]
3.15
vulnerability
weakness that can be exploited to cause harm
4 Establishing the need for a security-minded approach using a sensitivity
assessment process
4.1 Undertaking a sensitivity assessment process
The process for undertaking a sensitivity assessment is set out in 4.2 to 4.4.
4.2 Understanding the range of security risks
4.2.1 The top management of an organization involved in:
a) initiating a project to develop a new asset(s), product(s) or service(s) or modify/enhance an
existing one;
b) managing, operating, re-purposing or disposing of an asset(s); and/or
c) the provision of an asset-based service(s),
shall determine the range of security risks that arise through greater availability of information,
integration of services and systems, and the increased dependency on technology-based systems.
4.2.2 Information on the types of security risks that should be considered are contained in Annex A.
4.2.3 Where two or more organizations are involved, the top management of each organisation shall
follow 4.2.1 in a coordinated manner.
NOTE Such an arrangement of multiple organizations can occur in a city/community, a large, multi-purpose
development or in the provision of a transport system.
4.3 Identifying organizational sensitivities
4.3.1 Taking into consideration the range of security risks that exist, the organization(s) cited in 4.2.1
and 4.2.3 shall determine whether an initiative, project, asset, product or service, as well as any associated
information, in whole or in part, and whether planned or existing, shall be considered sensitive.
NOTE Wherever the term "organization(s)" is used in the reminder of this document, it refers to the
organization(s) referred to in 4.2.1 and 4.2.3.
4.3.2 A built asset shall be considered sensitive, as a whole or in part, if it:
a) comprises critical national infrastructure, identified by the local or national government;
b) fulfils a defence, law enforcement, national security or diplomatic function;
c) is a commercial site involving the creation, processing, trading or storage of valuable materials,
currency, pharmaceuticals, chemicals, petrochemicals, or gases or the provision or production of
enablers for production of these materials;
d) constitutes a landmark, nationally significant site or crowded place;
e) is used, or is planned to be used, to host events of security significance.
NOTE The fact that a built asset does not fall within the criteria described does not preclude the application
of a higher level of security if the organization(s) wishes to adopt this.
4.3.3 An asset, product or service shall be considered sensitive if there is sufficient risk that it is, or can
be, used to significantly compromise the integrity, safety, security and/or resilience of an asset, product
or service, or its ability to function.
4.3.4 An asset, product or service shall also be considered sensitive if the risk to the safety, security
and/or privacy of individuals or communities or their personal information exceeds the risk appetite of
the organization(s).
4 © ISO 2020 – All rights reserved
4.3.5 If there is any uncertainty as to whether or not an initiative, project, asset, product or service is
sensitive, the organization(s) shall seek advice from appropriate security experts who can demonstrate
competence in the required areas.
NOTE Information on obtaining suitable security advice is contained in Annex A.
4.4 Establishing any third-party sensitivities
4.4.1 An assessment of an initiative, project, asset, product or service shall also consider whether
access will be, or has already been, gained to information about other organizations, their assets,
products or services that is not otherwise publicly available.
NOTE As an example, information not otherwise publicly available that can be sensitive can arise from
physical surveys of underground structures, infrastructure networks and systems on private land.
4.4.2 The organization(s) shall, unless prohibitive for commercially or locally sensitive reasons, consult
with the affected organization(s) to establish whether any of that information is sensitive, and where this
is the case, what measures need to be applied to its capture, processing, storage, sharing and disposal
and destruction.
4.5 Recording the outcome of the sensitivity assessment
The organization(s) shall record and retain the outcome of each sensitivity assessment process,
including where there is no identified sensitivity, and recognize that the outcome may itself be sensitive.
4.6 Reviewing the sensitivity assessment
4.6.1 The organization(s) shall establish a suitable mechanism for performing periodic and event-
driven reviews that check whether there has been any change to the sensitivity of an initiative, project,
asset, product or service, whether for political, economic, social, technological, legal or environmental
reasons.
4.6.2 A review shall also be undertaken when there is a significant change to the initiative, project,
asset, product or service, including:
a) the ownership, use or occupancy of a built asset;
b) the processes or systems used in the management of a built asset or the production of an asset or
product;
c) the information collected, processed and/or stored;
d) the service delivered; or
e) the security context.
4.6.3 Additional event-driven reviews shall be undertaken when events occur that reveal vulnerabilities
not previously anticipated.
4.7 Determining whether a security-minded approach is required
The organization(s) shall apply the security triage process outlined in Figure 3 to determine whether
a security-minded approach is required in relation to the initiative, project, asset, product or service.
Key
A Is the initiative, project, asset, product or service, as well as any associated information, in whole or in part,
whether planned or existing, considered sensitive (see 4.3)?
B Will access be, or has already been, gained to information about another organization, its assets, products or
services that is not otherwise publicly available (see 4.4.1)?
C Is the information about another organization, its assets, products or services considered sensitive (see 4.4.2)?
Y yes
N no
ST1 protect sensitive information regarding initiative, project, asset, product or service as well as third-party
sensitive information by applying Clause 5 to Clause 9
ST2 protect sensitive information regarding initiative, project, asset, product or service by applying Clause 5 to
Clause 9
ST3 protect third-party sensitive information by applying Clause 5 to Clause 9. Protect any sensitive commercial
and personal information
ST4 protect any sensitive commercial and personal information
NOTE ST is the abbreviated term for "security triage".
Figure 3 — The security triage process
4.8 Recording the outcome of the application of the security triage process
The organization(s) shall record the outcome (ST1, ST2, ST3 or ST4) of the application of the security
triage process for each initiative, project, asset, product or service to which it is applied, including where
there is no identified need for a security-minded approach beyond protection of sensitive commercial
and personal information.
6 © ISO 2020 – All rights reserved
4.9 Security-minded approach required
Where an initiative, project, asset, product or service:
a) has been determined to be sensitive, whether in whole or in part; and/or
b) will be holding third-party information that has been identified as sensitive,
the top management of the organization(s) shall, following the requirements of this document, develop
and implement an appropriate and proportionate security-minded approach.
4.10 No security-minded approach required
Where an initiative, project, asset, product or service is not considered sensitive and does not have
access to other third-party sensitive information, the organization(s) shall consider whether there are
business benefits to be derived from applying a security-minded approach.
NOTE 1 It is prudent that organizations take appropriate steps to minimize threats arising from fraud and
other criminal activity and from cyber security incidents.
NOTE 2 It is likely that baseline security measures relating to personal information and commercial
information will be required within the terms of the appointment or legislation.
NOTE 3 Unless the organization(s) wishes to adopt any higher level of security, there is no necessity for the
requirements of the Clause 5 to Clause 9 to be applied to the initiative, project, asset, product or service as
currently assessed.
5 Initiating the security-minded approach
5.1 Establishing governance, accountability and responsibility for the security-minded
approach
5.1.1 Where an organization is developing a security-minded approach, the top management shall
define the individual at top management level accountable for the security-minded approach to be
adopted.
5.1.2 Where two or more organizations are developing a collaborative security-minded approach, the
top management of each organization shall establish a formal mechanism for:
a) creating the required governance structure, ensuring it is legally constituted and that the relationship
of this structure with the relevant organizations is formally documented and agreed on;
b) agreeing on a party or parties to lead on the development of the approach and where this
leadership function is split between organizations, ensuring there is clarity over accountabilities
and responsibilities;
c) appointing those individuals who shall be accountable for the security-minded approach to be
adopted; and
NOTE 1 The individuals are appointed to exercise the legal rights and fulfil the obligations of their
respective organization.
d) reviewing and, where appropriate, updating the governance structure and appointments.
NOTE 2 Having an agreed collaborative security-minded approach is more robust than one where those
organizations work in isolation.
5.1.3 The organization(s) implementing a security-minded approach shall define the individual(s)
responsible for:
a) providing a holistic view of the security threats and vulnerabilities arising out of the use of, and
reliance on, information and communications technologies relevant to the initiative, project, asset,
product or service;
b) offering guidance and direction on the handling of the resultant security risks;
c) managing the development of a security strategy or, where the organization already has a security
strategy, managing the embedding of a record of the additional security risks and mitigation
measures arising out of the use of, and reliance on, information and communications technologies
relevant to the initiative, project, asset, product or service; (see Clause 6);
d) managing the development, and assisting in the implementation of, a security management plan or,
where the organization already has a security management plan, managing the embedding of the
relevant additional policies and processes into it (see Clause 7);
e) assisting in embedding the necessary security requirements into any procurement and appointment
documentation;
f) promoting a security-minded culture so that all staff understand their security responsibilities
and behave in a secure manner;
g) briefing relevant third parties on appropriate aspects of the security policies and processes;
h) advising on the need for, and undertaking, the reviewing and auditing of the relevant security
policies and processes;
i) advising on the need for, and where appropriate, undertaking or commissioning, testing of the
relevant security measures; and
j) where appropriate and necessary, seeking advice from appropriate security experts who can
demonstrate competence in the required areas, to provide additional guidance.
5.1.4 The individual(s) fulfilling the activities listed in 5.1.3 shall have clear reporting lines through to
the individual accountable for security within their organization.
NOTE These functions can be fulfilled by a suitably qualified and experienced individual who can undertake
or be responsible for security and other duties within the organization or can be a suitable expert employed by
the organization.
5.1.5 It shall be acceptable for specific security tasks or duties to be delegated on a day-to-day basis by
other individuals (for example, personnel security to human resources, cyber security to the IT manager
and asset or physical security to the asset manager or facilities manager). However, the individual(s)
defined as fulfilling the activities listed in 5.1.3 shall remain responsible for the operational effectiveness
of each of these aspects of security.
5.2 Commencing the development of the security-minded approach
5.2.1 For a planned initiative, project, asset, product or service, the security-minded approach shall be
developed as early as possible in the planning stages.
NOTE Information relating to the development that is put into the public domain can be of interest for hostile
reconnaissance from the earliest stages in the design process.
5.2.2 Where a sensitive initiative, project, asset, product or service already exists, the security-minded
approach shall be developed as soon as is reasonably practicable, and shall take into consideration the
extent to which information is already in the public domain.
8 © ISO 2020 – All rights reserved
5.2.3 Where a project relates to the delivery phase of an asset using BIM, the security-minded approach
shall be developed alongside the requirements described in ISO 19650-2.
5.2.4 Where the activity relates to the operational phase of an asset using BIM, the security-minded
approach shall be developed alongside the requirements described in ISO 19650-3.
6 Developing a security strategy
6.1 General
6.1.1 The organization(s) shall develop and maintain a security strategy which shall include:
a) a record of the outcome of the application of the security triage process;
b) the governance, accountability and responsibility arrangements for the security-minded approach;
c) the assessment of the specific security risks to the organization(s) arising from the greater
availability of information, integration of services and systems, and the increased dependency on
technology-based systems (see 6.2);
d) the potential risk mitigation measures to address those security risks and the mitigation measures
to be implemented (see 6.3);
e) a summary of the tolerated security risks and residual tolerated security risks (see 6.4); and
f) the mechanisms for reviewing and updating the security strategy (see 6.5).
NOTE Principles, a framework and a process for managing risk at a general level are provided by ISO 31000.
6.1.2 The security strategy shall take into consideration the legislative requirements and standards
which have been identified as being relevant to the initiative, project, asset, product or service.
6.1.3 The security strategy shall be approved by the top management of the organization(s).
6.1.4 Access to any part of the security strategy that identifies sensitive aspects of the initiative, project,
asset, product or service, or details the security risks identified, shall be managed on a strict need-to-
know basis, with all such information subject to security measures, appropriate to the level of risk, with
regard to its creation, processing and storage.
6.2 Assessing the security risks
6.2.1 The organization(s) shall assess the specific security risks arising from the greater availability
of information, integration of services and systems, and the increased dependency on technology-based
systems, by assessing:
a) the potential threats;
b) the potential vulnerabilities;
c) the nature of the harm which can be caused to the initiative, project, asset, product or service, as
well as to personnel and citizens and to the surrounding environment; and
d) the likelihood that a vulnerability will be exploited and cause that impact.
NOTE In assessing the security risks, it can be appropriate to use the same risk scoring approach in place
elsewhere in the organization.
6.2.2 Where i
...
NORME ISO
INTERNATIONALE 19650-5
Première édition
2020-06
Organisation et numérisation des
informations relatives aux bâtiments
et ouvrages de génie civil, y compris
modélisation des informations de
la construction (BIM) — Gestion de
l’information par la modélisation des
informations de la construction —
Partie 5:
Approche de la gestion de
l’information axée sur la sécurité
Organization and digitization of information about buildings and
civil engineering works, including building information modelling
(BIM) — Information management using building information
modelling —
Part 5: Security-minded approach to information management
Numéro de référence
©
ISO 2020
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 2
4 Établir la nécessité d’une approche axée sur la sécurité à l’aide d’un processus
d’évaluation de la sensibilité . 4
4.1 Entreprendre un processus d’évaluation de la sensibilité . 4
4.2 Comprendre l’éventail des risques pour la sécurité . 4
4.3 Identifier les sensibilités de l’organisme . 4
4.4 Établir la sensibilité des tierces parties. 5
4.5 Enregistrer le résultat de l’évaluation de la sensibilité . 5
4.6 Revoir l’évaluation de la sensibilité . 5
4.7 Déterminer si une approche axée sur la sécurité est requise . 6
4.8 Enregistrer le résultat de l’application du processus de tri en matière de sécurité . 7
4.9 Approche axée sur la sécurité requise . 7
4.10 Approche axée sur la sécurité non requise . 7
5 Initier l’approche axée sur la sécurité . 7
5.1 Établir la gouvernance, les obligations et la responsabilité de l’approche axée sur
la sécurité . 7
5.2 Commencer l’élaboration de l’approche axée sur la sécurité . 8
6 Élaborer une stratégie de sécurité . 9
6.1 Généralités . 9
6.2 Évaluer les risques pour la sécurité .10
6.3 Élaborer des mesures de réduction des risques pour la sécurité .10
6.4 Documenter les risques résiduels et tolérés pour la sécurité .11
6.5 Revoir la stratégie de sécurité .11
7 Élaborer un plan de gestion de la sécurité .12
7.1 Généralités .12
7.2 Fourniture d’informations à des tierces parties.12
7.3 Sécurité logistique.13
7.4 Gestion des obligations et de la responsabilité en matière de sécurité .13
7.5 Surveillance et audit .14
7.6 Revue du plan de gestion de la sécurité .14
8 Élaborer un plan de gestion des manquements à la sûreté/incidents de sécurité .15
8.1 Généralités .15
8.2 Découverte d’un manquement à la sûreté ou d’un incident de sécurité .15
8.3 Confinement et récupération.15
8.4 Revue à la suite d’un manquement à la sûreté ou d’un incident de sécurité.16
9 Travailler avec les parties désignées .16
9.1 Travailler en dehors de désignations formelles .16
9.2 Mesures contenues dans les documents de désignation .17
9.3 Attribution après désignation .17
9.4 Fin de désignation .18
Annexe A (informative) Informations sur le contexte de sécurité .19
Annexe B (informative) Information sur les types de contrôles de sécurité du personnel,
de sécurité physique et de sécurité technique et sur la gestion de la sécurité de
l’information .21
Annexe C (informative) Évaluations relatives à la fourniture d’informations à des tierces
parties .25
Annexe D (informative) Accords de partage d’informations .27
Bibliographie .29
iv © ISO 2020 – Tous droits réservés
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 59, Bâtiments et ouvrages de génie
civil, sous-comité SC 13, Organisation et numérisation des informations relatives aux bâtiments et
ouvrages de génie civil, y compris modélisation des informations de la construction (BIM), en collaboration
avec le Comité technique CEN/TC 442, Modélisation des informations de la construction (BIM), du Comité
européen de normalisation (CEN), conformément à l’Accord de coopération technique entre l’ISO et le
CEN (Accord de Vienne).
Une liste de toutes les parties de la série ISO 19650 se trouve sur le site web de l’ISO.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
Introduction
L’environnement bâti connaît une période d’évolution rapide. On s’attend à ce que l’adoption de la
modélisation des informations de la construction (BIM) et l’utilisation croissante des technologies
numériques dans la conception, la construction, la fabrication, l’exploitation et la gestion des actifs ou
des produits, ainsi que la prestation de services, dans l’environnement bâti aient un effet transformateur
pour les parties concernées. Il est probable que pour accroître l’efficacité et l’efficience, les initiatives
ou les projets qui développent de nouveaux actifs ou de nouvelles solutions, ou qui modifient ou gèrent
des actifs ou des solutions existants, doivent devenir plus collaboratifs. Une telle collaboration exige
des méthodes de travail plus transparentes et ouvertes et, dans la mesure du possible, le partage et
l’utilisation appropriés d’informations numériques.
L’environnement bâti numérique et physique combiné devra permettre d’atteindre les objectifs futurs
en matière de fiscalité, de finances, de fonctionnalité, de contribution au développement durable et de
croissance. Cela aura un impact sur les processus d’approvisionnement, de réalisation et d’exploitation,
y compris une collaboration interdisciplinaire et sectorielle beaucoup plus étroite. Et cela augmentera
également le recours aux outils numériques ainsi que la disponibilité de l’information. L’utilisation des
technologies informatiques soutient déjà de nouvelles méthodes de travail, telles que le développement
de la fabrication en usine hors site et de l’automatisation sur site. Les systèmes cyber-physiques
sophistiqués, en utilisant des capteurs (l’élément cybernétique ou de calcul) pour contrôler ou influencer
les parties physiques du système, sont capables de travailler en temps réel pour influer sur les résultats
dans le monde réel. On s’attend à ce que de tels systèmes soient utilisés pour obtenir des avantages tels
qu’une augmentation de l’efficacité énergétique et une meilleure gestion du cycle de vie des actifs en
recueillant des informations en temps réel sur leur utilisation et leur état. Ils sont déjà mis en œuvre
dans les transports, les services publics, l’infrastructure, les bâtiments, la fabrication, les soins de
santé et la défense, et lorsqu’ils sont capables d’interagir comme des environnements cyber-physiques
intégrés, ils peuvent être utilisés dans le développement de collectivités intelligentes.
En raison de cette utilisation croissante des technologies de l’information et de la communication
et de la dépendance croissante à leur égard, il est nécessaire d’aborder les questions inhérentes de
vulnérabilité et donc leurs répercussions sur la sécurité, que ce soit pour les environnements bâtis,
les actifs, les produits, les services, les personnes ou les collectivités, ainsi que pour toute information
connexe.
Le présent document fournit un cadre pour aider les organismes à comprendre les questions essentielles
de vulnérabilité et la nature des contrôles requis pour gérer les risques pour la sécurité qui en résultent
à un niveau tolérable pour les parties concernées. Son but n’est nullement de miner la collaboration
ou les avantages que la BIM, d’autres méthodes de travail collaboratif et les technologies numériques
peuvent générer.
Le terme « organisme » englobe non seulement les parties désignantes et les parties désignées, comme
défini dans l’ISO 19650-1, mais aussi les organismes du côté de la demande qui ne sont pas directement
impliqués dans une désignation.
Bien que les exigences en matière de sécurité de l’information pour un organisme, un département
d’organisme ou un système individuels soient spécifiées dans l’ISO/IEC 27001, elles ne peuvent
pas être appliquées de manière homogène à plusieurs organismes. La BIM et d’autres méthodes de
travail collaboratif et technologies numériques impliquent généralement le partage d’informations
entre plusieurs organismes indépendants dans le secteur de l’environnement bâti. Par conséquent, le
présent document encourage l’adoption d’une approche par les risques, axée sur la sécurité, pouvant
être appliquée aussi bien à l’ensemble des organismes qu’au sein de chaque organisme. Le caractère
approprié et proportionné de l’approche présente également l’avantage que les mesures n’empêchent
pas les petites et moyennes entreprises de participer à l’équipe de production.
L’approche axée sur la sécurité peut être appliquée pendant tout le cycle de vie d’une initiative, d’un
projet, d’un actif, d’un produit ou d’un service, qu’il soit planifié ou existant, au cours duquel des
informations sensibles sont obtenues, créées, traitées et/ou stockées.
vi © ISO 2020 – Tous droits réservés
La Figure 1 illustre l’intégration de cette approche axée sur la sécurité à d’autres stratégies, politiques,
plans et exigences d’information de l’organisme pour la réalisation numérique des projets et pour la
maintenance et l’exploitation numériques des actifs à l’aide de la BIM.
Légende
A stratégies et politiques coordonnées et cohérentes
B plans coordonnés et cohérents
C exigences d’information coordonnées et cohérentes
D activités entreprises pendant la phase d’exploitation des actifs
E activités entreprises pendant la phase de réalisation des actifs (voir également l’ISO 19650-2)
1 plans et objectifs de l’organisme
2 plan stratégique/politique de gestion d’actifs (voir l’ISO 55000)
3 stratégie de sécurité
4 autres stratégies et politique de l’organisme
5 plan de gestion d’actifs (voir l’ISO 55000)
6 plan de gestion de la sécurité
7 autres plans de l’organisme
8 exigences d’information d’actif (AIR)
9 exigences d’information de sécurité (faisant partie du plan de gestion de la sécurité)
10 exigences d’information de l’organisme (OIR)
11 analyse stratégique de rentabilité et programme stratégique
12 utilisation opérationnelle d’actif
13 mesurage des performances et actions d’amélioration
NOTE L’énumération en A, B et C n’implique aucun ordre.
Figure 1 — Intégration de l’approche axée sur la sécurité dans le processus plus large de BIM
NOTE Se référer à l’ISO 19650-1 pour les concepts et principes, y compris les OIR et AIR, afin de mieux
comprendre l’importance de la sécurité dans le cadre de la série ISO 19650.
Le processus permettant de décider de la nécessité et, le cas échéant, de la mise en œuvre d’une
approche axée sur la sécurité en matière de gestion de l’information est résumé à la Figure 2.
Légende
A initier une approche axée sur la sécurité
B élaborer une stratégie de sécurité
C élaborer un plan de gestion de la sécurité
O oui
N non
1 à l’aide du processus de tri en matière de sécurité, déterminer si une approche axée sur la sécurité est requise
2 établir des dispositions relatives à la gouvernance, aux obligations et à la responsabilité de l’approche axée sur
la sécurité
3 commencer l’élaboration de l’approche axée sur la sécurité
4 évaluer les risques pour la sécurité
5 élaborer des mesures de réduction des risques pour la sécurité
6 documenter les risques tolérés pour la sécurité
7 élaborer des politiques et des processus pour mettre en œuvre les mesures de réduction des risques pour la
sécurité
8 élaborer des exigences d’information de sécurité
9 élaborer des exigences relatives à la fourniture d’informations à des tierces parties
10 élaborer des exigences de sécurité logistique
11 élaborer un plan de gestion des manquements à la sûreté/incidents de sécurité
12 travailler avec des parties désignées dans le cadre de contrats formels ou non pour intégrer l’approche axée sur
la sécurité,
y compris l’élaboration d’accords de partage d’informations si nécessaire
viii © ISO 2020 – Tous droits réservés
13 surveiller, vérifier et examiner
14 protéger toutes les informations commerciales et personnelles sensibles (aucune autre approche axée sur la
sécurité requise)
15 examiner si des changements dans l’initiative, le projet, l’actif, le produit ou le service peuvent avoir une
incidence sur sa sensibilité
Figure 2 — Processus de mise en œuvre de l’approche axée sur la sécurité exposée dans le
présent document
La mise en œuvre des mesures décrites dans le présent document contribuera à réduire le risque
de perte, de mauvaise utilisation ou de modification d’informations sensibles qui peuvent avoir
une incidence sur la sécurité des personnes, la sécurité et la résilience des actifs, des produits, de
l’environnement bâti ou des services fournis par ceux-ci. Elle contribuera également à la protection
contre la perte, le vol ou la divulgation d’informations commerciales, d’informations personnelles
et de propriété intellectuelle. Tout incident de ce type peut nuire considérablement à la réputation,
ce qui se traduit par des opportunités manquées et le détournement de ressources pour mener des
enquêtes, trouver des solutions et mener des activités médiatiques, en plus de perturber les activités
opérationnelles quotidiennes et d’en retarder l’exécution. De plus, lorsque des incidents se produisent et
que des informations ont été rendues publiques, il est pratiquement impossible de récupérer la totalité
de ces informations ou d’empêcher la poursuite de leur diffusion.
NORME INTERNATIONALE ISO 19650-5:2020(F)
Organisation et numérisation des informations relatives
aux bâtiments et ouvrages de génie civil, y compris
modélisation des informations de la construction
(BIM) — Gestion de l’information par la modélisation des
informations de la construction —
Partie 5:
Approche de la gestion de l’information axée sur la
sécurité
1 Domaine d’application
Le présent document spécifie les principes et les exigences relatifs à la gestion de l’information axée sur
la sécurité à un stade de maturité décrit comme la « modélisation des informations de la construction
(BIM) selon la série ISO 19650 », et comme défini dans l’ISO 19650-1, ainsi qu’à la gestion axée sur la
sécurité des informations sensibles qui sont obtenues, créées, traitées et stockées dans le cadre de tout
autre initiative, projet, actif, produit ou service, ou en relation avec ceux-ci.
Il traite des étapes requises pour créer et développer une culture et un état d’esprit de sécurité
appropriés et proportionnés au sein des organismes ayant accès à des informations sensibles, y compris
la nécessité de surveiller et de vérifier la conformité.
L’approche décrite est applicable pendant tout le cycle de vie d’une initiative, d’un projet, d’un actif, d’un
produit ou d’un service, qu’il soit planifié ou existant, au cours duquel des informations sensibles sont
obtenues, créées, traitées et/ou stockées.
Le présent document est destiné à être utilisé par tout organisme concerné par l’utilisation de
technologies et de la gestion de l’information dans la création, la conception, la construction, la
fabrication, l’exploitation, la gestion, la modification, l’amélioration, la démolition et/ou le recyclage
d’actifs ou de produits, ainsi que la prestation de services, dans l’environnement bâti. Il sera également
intéressant et pertinent pour les organismes qui souhaitent protéger leurs informations commerciales,
leurs informations personnelles et leur propriété intellectuelle.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 19650-2, Organisation et numérisation des informations relatives aux bâtiments et ouvrages de génie
civil, y compris modélisation des informations de la construction (BIM) — Gestion de l'information par la
modélisation des informations de la construction — Partie 2: Phase de réalisation des actifs
1)
ISO 19650-3, Organisation et numérisation des informations relatives aux bâtiments et ouvrages de génie
civil, y compris modélisation des informations de la construction (BIM) — Gestion de l’information par la
modélisation des informations de la construction — Partie 3 : Phase d’exploitation des actifs
1) En préparation. Stade au moment de la publication : ISO/FDIS 19650-3:2020.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
3.1
actif
item, chose ou entité qui a une valeur potentielle ou réelle pour un organisme
Note 1 à l'article: à l’article : Un actif peut être immobilisé, mobile or mobilier. Il peut s’agir d’un élément individuel
d’une installation, d’un véhicule, d’un système d’équipements connectés, d’un espace dans une structure, d’un
terrain, d’une infrastructure complète, d’un bâtiment entier ou d’un portefeuille d’actifs, y compris les terrains
ou les eaux associés. Il peut également s’agir d’informations sous forme numérique ou imprimée.
Note 2 à l'article: à l’article : La valeur d’un actif peut varier tout au long de sa vie et un actif peut encore avoir de
la valeur en fin de vie. La valeur peut être matérielle, immatérielle, financière ou non financière.
[SOURCE: : ISO 55000:2014, 3.2.1, modifiée — Les Notes 1, 2 et 3 originales de l’article ont été
supprimées ; de nouvelles Notes 1 et 2 ont été ajoutées.]
3.2
lieu très fréquenté
emplacement ou environnement accessible au public qui peut être considéré comme étant plus exposé
au risque d’attaque terroriste en raison de la densité de la foule ou de la nature du site
Note 1 à l'article: à l’article : Les lieux très fréquentés peuvent comprendre les stades, les arènes, les festivals et les
salles de concert ; les hôtels et les restaurants ; les pubs, les clubs, les bars et les casinos ; les rues commerçantes,
les galeries marchandes et les marchés ; les attractions touristiques ; les cinémas et les théâtres ; les écoles et les
universités ; les hôpitaux et les lieux de culte ; les centres commerciaux et les centres de transport. Ils peuvent
également inclure des espaces événementiels et des espaces publics tels que les parcs et les places.
Note 2 à l'article: à l’article : Un lieu très fréquenté ne sera pas nécessairement bondé en permanence — la densité
de la foule peut varier et être temporaire, comme dans le cas d’événements sportifs ou de festivals en plein air.
3.3
métadonnées
données concernant des données
3.4
besoin de savoir
exigence légitime d’un destinataire potentiel d’informations de connaître, d’accéder ou de posséder une
information sensible (3.11)
3.5
goût du risque
importance et type de risque qu’un organisme est prêt à saisir ou à préserver
[SOURCE: : ISO 22300:2018, 3.202]
3.6
sécurité
état d’absence relative de menace (3.13) ou de préjudice causé par des actes ou des événements
aléatoires et non intentionnels
2 © ISO 2020 – Tous droits réservés
3.7
sûreté
état d’absence relative de menace (3.13) ou de préjudice causé par des actes délibérés, indésirables,
hostiles ou malveillants
3.8
manquement à la sûreté
infraction ou violation de la sécurité (3.7)
[SOURCE: : ISO 14298:2013, 3.30]
3.9
incident de sécurité
acte suspect ou circonstance menaçant la sécurité (3.7)
3.10
axée sur la sécurité
compréhension et application systématique de mesures de sécurité (3.7) appropriées et proportionnées
dans toute situation commerciale afin de décourager et/ou de perturber les comportements ou activités
hostiles, malveillants, frauduleux et criminels
3.11
information sensible
information dont la perte, la mauvaise utilisation, la modification ou l’accès non autorisé peut :
— porter atteinte à la vie privée, à la sûreté (3.7) ou à la sécurité (3.6) d’une ou de plusieurs personnes ;
— compromettre la propriété intellectuelle ou les secrets commerciaux d’un organisme ;
— causer un préjudice commercial ou économique à un organisme ou à un pays ; et/ou
— menacer la sûreté, les affaires intérieures et les affaires étrangères d’une nation
3.12
risque résiduel
risque qui subsiste après la mise en œuvre des mesures de contrôle
[SOURCE: : ISO 16530-1:2017, 3.52]
3.13
menace
cause potentielle d’un incident pouvant entraîner un préjudice
3.14
direction
personne ou groupe de personnes qui oriente et dirige un organisme au plus haut niveau
Note 1 à l'article: à l’article : La direction a le pouvoir de déléguer son autorité et de fournir des ressources au sein
de l’organisme.
Note 2 à l'article: à l’article : Dans le cadre du présent document, il convient de considérer la direction comme la
fonction et non comme l’activité.
[SOURCE: : ISO 9000:2015, 3.1.1, modifiée — Les Notes 2 et 3 originales de l’article ont été supprimées ;
une nouvelle Note 2 a été ajoutée.]
3.15
vulnérabilité
faiblesse qui peut être exploitée pour causer un préjudice
4 Établir la nécessité d’une approche axée sur la sécurité à l’aide d’un processus
d’évaluation de la sensibilité
4.1 Entreprendre un processus d’évaluation de la sensibilité
Le processus permettant d’entreprendre l’évaluation de la sensibilité est décrit dans les
paragraphes 4.2 à 4.4.
4.2 Comprendre l’éventail des risques pour la sécurité
4.2.1 La direction générale d’un organisme impliquée dans :
a) le lancement d’un projet de développement d’un ou plusieurs nouveaux actifs, produits ou services,
ou la modification/amélioration d’un actif, produit ou service existant ;
b) la gestion, l’exploitation, la réorientation ou l’aliénation d’un ou plusieurs actifs ; et/ou
c) la prestation de services reposant sur des actifs ;
doit déterminer l’éventail des risques pour la sécurité qui découlent d’une plus grande disponibilité de
l’information, de l’intégration de services et de systèmes et de la dépendance accrue envers les systèmes
technologiques.
4.2.2 L’Annexe A fournit des informations sur les types de risques pour la sécurité qu’il convient de
prendre en considération.
4.2.3 Lorsque deux organismes ou plus sont impliqués, la direction de chaque organisme doit suivre
les instructions en 4.2.1 de manière coordonnée.
NOTE Une telle structure d’organismes multiples peut se produire dans une ville/collectivité, un grand
développement polyvalent ou dans la fourniture d’un système de transport.
4.3 Identifier les sensibilités de l’organisme
4.3.1 Compte tenu de l’éventail des risques pour la sécurité existants, le ou les organismes mentionnés
en 4.2.1 et 4.2.3 doivent déterminer si une initiative, un projet, un actif, un produit ou un service, ainsi
que les informations associées, en totalité ou en partie, et qu’ils soient planifiés ou existants, doivent être
considérés comme sensibles.
NOTE Chaque fois que le terme « organisme » ou « organismes » est utilisé dans le présent document, il
désigne le ou les organismes visés en 4.2.1 et 4.2.3.
4.3.2 Un actif bâti doit être considéré comme sensible, dans son ensemble ou en partie, si :
a) il comprend une infrastructure nationale critique, identifiée par l’administration locale ou
nationale ;
b) il remplit une fonction de défense, de maintien de l’ordre, de sécurité nationale ou diplomatique ;
c) il est un site commercial impliquant la création, le traitement, le commerce ou le stockage de
matières précieuses, de devises, de produits pharmaceutiques, de produits chimiques, de produits
pétrochimiques ou de gaz ou la fourniture ou la production de catalyseurs pour la production de
ces matières ;
d) il constitue un lieu d’intérêt, un site d’importance nationale ou un lieu très fréquenté ;
e) il est utilisé, ou destiné à être utilisé, pour accueillir des événements importants sur le plan de la
sécurité.
4 © ISO 2020 – Tous droits réservés
NOTE Le fait qu’un actif bâti ne réponde pas aux critères décrits n’exclut pas l’application d’un niveau de
sécurité plus élevé si le ou les organismes le souhaitent.
4.3.3 Un actif, un produit ou un service doit être considéré comme sensible s’il existe un risque suffisant
qu’il soit, ou puisse être, utilisé pour compromettre de manière significative l’intégrité, la sécurité, la
sûreté et/ou la résilience d’un actif, produit ou service, ou son aptitude à fonctionner.
4.3.4 Un actif, un produit ou un service doit également être considéré comme sensible si le risque
pour la sécurité, la sûreté et/ou la vie privée de personnes ou de collectivités ou sur leurs informations
personnelles dépasse le goût du risque de l’organisme ou des organisations.
4.3.5 En cas d’incertitude quant au caractère sensible ou non d’une initiative, d’un projet, d’un actif,
d’un produit ou d’un service, le ou les organismes doivent consulter des experts de la sécurité appropriés,
capables de démontrer leur compétence dans les domaines requis.
NOTE L’Annexe A fournit des informations sur la façon d’obtenir des conseils appropriés en matière de
sécurité.
4.4 Établir la sensibilité des tierces parties
4.4.1 L’évaluation d’une initiative, d’un projet, d’un actif, d’un produit ou d’un service doit également
déterminer s’il sera ou s’il est déjà possible d’accéder à des informations sur d’autres organismes, leurs
actifs, produits ou services, informations qui ne sont par ailleurs pas accessibles au public.
NOTE Par exemple, des informations non accessibles au public qui peuvent être sensibles peuvent provenir
des levés physiques de structures souterraines, de réseaux d’infrastructure et de systèmes sur des terrains privés.
4.4.2 Le ou les organismes doivent consulter le ou les organismes concernés, à moins que cela ne soit
prohibitif pour des raisons commercialement ou localement sensibles, afin de déterminer si certaines
de ces informations sont sensibles et, si tel est le cas, les mesures qui doivent être appliquées pour leur
recueil, traitement, stockage, partage, élimination et destruction.
4.5 Enregistrer le résultat de l’évaluation de la sensibilité
Le ou les organismes doivent enregistrer et conserver le résultat de chaque processus d’évaluation de
la sensibilité, y compris lorsqu’aucune sensibilité n’a été identifiée, et reconnaître que le résultat peut
lui-même être sensible.
4.6 Revoir l’évaluation de la sensibilité
4.6.1 Le ou les organismes doivent établir un mécanisme approprié pour effectuer des revues
périodiques et des revues ponctuelles déclenchées par des événements afin de vérifier si la sensibilité
d’une initiative, d’un projet, d’un actif, d’un produit ou d’un service a évolué pour des raisons politiques,
économiques, sociales, technologiques, juridiques ou environnementales.
4.6.2 Une revue doit également être effectuée en cas de modification significative de l’initiative, du
projet, de l’actif, du produit ou du service, y compris :
a) la propriété, l’utilisation ou l’occupation d’un actif bâti ;
b) les processus ou les systèmes utilisés pour la gestion d’un actif bâti ou la production d’un actif ou
d’un produit ;
c) les informations recueillies, traitées et/ou stockées ;
d) le service fourni ; ou
e) le contexte de sécurité.
4.6.3 Des revues supplémentaires déclenchées par des événements doivent être entreprises lorsque
des événements révèlent des vulnérabilités non envisagées jusque-là.
4.7 Déterminer si une approche axée sur la sécurité est requise
Le ou les organismes doivent appliquer le processus de tri en matière de sécurité décrit à la Figure 3
pour déterminer si une approche axée sur la sécurité est requise en ce qui concerne l’initiative, le projet,
l’actif, le produit ou le service.
Légende
A L’initiative, le projet, l’actif, le produit ou le service, ainsi que les informations associées, dans leur ensemble
ou en partie, qu’ils soient planifiés ou existants, sont-ils considérés comme sensibles (voir 4.3) ?
B Sera-t-il ou est-il déjà possible d’accéder à des informations sur un autre organisme, ses actifs, produits ou
services, informations qui ne sont par ailleurs pas accessibles au public (voir 4.4.1) ?
C Les informations sur un autre organisme, ses actifs, produits ou services sont-elles considérées comme
sensibles (voir 4.4.2) ?
O oui
N non
TS1 protéger les informations sensibles concernant l’initiative, le projet, l’actif, le produit ou le service ainsi que
les informations sensibles de tierces parties en appliquant les Articles 5 à 9.
TS2 protéger les informations sensibles concernant l’initiative, le projet, l’actif, le produit ou le service en
appliquant les Articles 5 à 9.
TS3 protéger les informations sensibles de tierces parties en appliquant les Articles 5 à 9. Protéger toutes les
informations commerciales et personnelles sensibles.
TS4 protéger toutes les informations commerciales et personnelles sensibles.
NOTE TS est l’acronyme de « tri en matière de sécurité ».
Figure 3 — Processus de tri en matière de sécurité
6 © ISO 2020 – Tous droits réservés
4.8 Enregistrer le résultat de l’application du processus de tri en matière de sécurité
Le ou les organismes doivent enregistrer le résultat (TS1, TS2, TS3 ou TS4) de l’application du processus
de tri en matière de sécurité pour chaque initiative, projet, actif, produit ou service auquel il est
appliqué, y compris lorsqu’il n’est pas nécessaire d’adopter une approche axée sur la sécurité autre que
la protection des informations commerciales et personnelles sensibles.
4.9 Approche axée sur la sécurité requise
Lorsqu’une initiative, un projet, un actif, un produit ou un service :
a) a été jugé sensible, dans son ensemble ou en partie ; et/ou
b) contiendra des informations de tierces parties qui ont été jugées sensibles ;
la direction du ou des organismes doit, conformément aux exigences du présent document, élaborer et
mettre en œuvre une approche appropriée et proportionnée, axée sur la sécurité.
4.10 Approche axée sur la sécurité non requise
Lorsqu’une initiative, un projet, un actif, un produit ou un service n’est pas considéré comme sensible
et n’a pas accès à des informations sensibles d’autres tierces parties, le ou les organismes doivent
déterminer si l’application d’une approche axée sur la sécurité présente des avantages commerciaux.
NOTE 1 Il est prudent que les organismes prennent les mesures appropriées pour réduire au minimum les
menaces découlant de la fraude et d’autres activités criminelles et des incidents de cybersécurité.
NOTE 2 Il est probable que des mesures de sécurité de base relatives aux informations personnelles et
commerciales seront exigées dans les conditions de la désignation ou de la législation.
NOTE 3 À moins que le ou les organismes ne souhaitent adopter un niveau de sécurité plus élevé, il n’est pas
nécessaire que les exigences des Articles 5 à 9 soient appliquées à l’initiative, au projet, à l’actif, au produit ou au
service tel qu’évalué actuellement.
5 Initier l’approche axée sur la sécurité
5.1 Établir la gouvernance, les obligations et la responsabilité de l’approche axée sur la
sécurité
5.1.1 Lorsqu’un organisme élabore une approche axée sur la sécurité, la direction doit définir la
personne au niveau de la direction responsable de l’approche axée sur la sécurité à adopter.
5.1.2 Lorsque deux organismes ou plus élaborent une approche collaborative axée sur la sécurité, la
direction de chaque organisme doit établir un mécanisme formel pour :
a) créer la structure de gouvernance requise, s’assurer qu’elle est légalement constituée et que les
relations de cette structure avec les organismes concernés sont officiellement documentées et
convenues ;
b) accepter qu’une ou plusieurs parties dirigent l’élaboration de l’approche et, lorsque cette fonction
de leadership est partagée entre les organismes, s’assurer que les responsabilités et les obligations
sont clairement définies ;
c) désigner les personnes qui seront responsables de l’approche axée sur la sécurité à adopter ; et
NOTE 1 Les personnes sont désignées pour exercer les droits légaux et remplir les obligations de leur
organisme respectif.
d) revoir et, le cas échéant, mettre à jour la structure de gouvernance et les désignations.
NOTE 2 L’adoption d’une approche axée sur la sécurité, concertée et collaborative, est plus robuste qu’une
approche où ces organismes travaillent séparément.
5.1.3 Le ou les organismes qui mettent en œuvre une approche axée sur la sécurité doivent définir la
ou les personnes chargées de :
a) fournir une vision globale des menaces pour la sécurité et des vulnérabilités découlant de
l’utilisation des technologies de l’information et de la communication pertinentes pour l’initiative,
le projet, l’actif, le produit ou le service, et de la confiance accordée à ces technologies ;
b) fournir des recommandations et des directives sur la façon de gérer les risques pour la sécurité qui
en découlent ;
c) gérer l’élaboration d’une stratégie de sécurité ou, lorsque l’organisme en a déjà une, gérer
l’intégration des risques additionnels pour la sécurité et des mesures de réduction des risques
découlant de l’utilisation des technologies de l’information et de la communication pertinentes pour
l’initiative, le projet, l’actif, le produit ou le service, et de la confiance accordée à ces technologies
(voir Article 6) ;
d) gérer l’élaboration d’un plan de gestion de la sécurité et aider à sa mise en œuvre ou, lorsque
l’organisme a déjà un plan de gestion de la sécurité, gérer l’intégration des politiques et des
processus supplémentaires pertinents dans ce plan (voir Article 7) ;
e) aider à intégrer les exigences de sécurité nécessaires dans tous les documents d’approvisionnement
et de désignation ;
f) promouvoir une culture de sécurité afin que l’ensemble du personnel comprenne ses responsabilités
en matière de sécurité et se comporte de façon sécuritaire ;
g) informer les tierces parties concernées des aspects appropriés des politiques et des processus de
sécurité ;
h) donner des conseils sur la nécessité de revoir et d’auditer les politiques et les processus pertinents
en matière de sécurité, et réali
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.