ISO/IEC 27031:2025 - ICT Readiness for Business Continuity Framework

Cybersecurity - Information and communication technology readiness for business continuity

This document describes the concepts and principles of information and communication technology (ICT) readiness for business continuity (IRBC). It provides a framework of methods and processes to identify and specify aspects for improving an organization's ICT readiness to ensure business continuity. This document serves the following business continuity objectives for ICT: - minimum business continuity objective (MBCO), - recovery point objective (RPO), - recovery time objective (RTO) as part of the ICT business continuity planning. This document is applicable to all types and sizes of organizations. This document describes how ICT departments plan and prepare to contribute to the resilience objectives of the organization.

Cybersécurité — Préparation des technologies de l'information et de la communication pour la continuité d'activité

Le présent document décrit les concepts et les principes de la préparation des technologies de l'information et de la communication (TIC) pour la continuité d'activité (PTCA). Il fournit un cadre de méthodes et de processus pour identifier et spécifier les aspects permettant d'améliorer la préparation des TIC d'une organisation afin d'assurer la continuité d'activité. Le présent document sert les objectifs suivants en matière de continuité d'activité pour les TIC: — objectif minimal de continuité d'activité (OMCA); — objectif de point de reprise (OPR); — délai de reprise (DR) dans le cadre de la planification de la continuité d'activité des TIC. Le présent document s'applique à tous les types et tailles d'organisations. Le présent document décrit de quelle manière les services TIC planifient et se préparent à contribuer aux objectifs de résilience de l'organisation.

General Information

Status: Published
Publication Date: 15-May-2025

ICS: 35.030 - IT Security

Technical Committee: ISO/IEC JTC 1/SC 27 - Information security, cybersecurity and privacy protection
Drafting Committee: ISO/IEC JTC 1/SC 27/WG 4 - Security controls and services

Current Stage: 6060 - International Standard published
Start Date: 16-May-2025
Due Date: 17-Sep-2024
Completion Date: 16-May-2025

Relations

Revises: ISO/IEC 27031:2011 - Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity
Effective Date: 23-Apr-2020

Overview

ISO/IEC 27031:2025 - Cybersecurity - Information and communication technology readiness for business continuity - defines concepts, principles and a practical framework for ICT readiness for business continuity (IRBC). The standard helps organizations identify, specify and improve ICT capabilities so that business continuity objectives (including Minimum Business Continuity Objective (MBCO), Recovery Point Objective (RPO) and Recovery Time Objective (RTO)) are met. Applicable to all types and sizes of organizations, ISO/IEC 27031:2025 explains how ICT departments should plan and prepare to contribute to overall organizational resilience.

Key topics and requirements

ISO/IEC 27031:2025 covers a comprehensive set of technical and management topics that ensure ICT continuity and readiness:

Integration with Business Continuity Management (BCM) and governance to align ICT goals with corporate resilience objectives.
Risk management and applicable ICT controls, including threat monitoring, detection and analysis.
Business impact analysis (BIA) inputs to identify critical ICT services and dependencies.
Setting ICT prerequisites: recovery capabilities, redundancy planning, scope and objectives for IRBC.
Defining RTO and RPO targets as part of ICT continuity planning.
IRBC strategies across people, skills, facilities, technology, data, processes and suppliers.
Development and activation of ICT recovery plans, including temporary workarounds and escalation procedures.
Testing, exercises and auditing: test programs, performance criteria, lessons learned and documented information control.
Top management responsibilities for evaluating and maintaining IRBC.

Practical applications and who uses it

ISO/IEC 27031:2025 is practical for organizations wanting to strengthen ICT resilience and ensure continuity of critical services:

CIOs, IT managers and ICT teams - design and test recovery capabilities, define RPO/RTO.
Business continuity and resilience professionals - align ICT readiness with BCM strategies and MBCO.
Risk managers and security officers - integrate ICT risk controls and incident management with continuity objectives.
Auditors and compliance teams - evaluate ICT continuity plans, testing and documented evidence.
Suppliers and service providers - demonstrate ICT readiness and contractual continuity commitments. Use cases include emergency recovery planning after cyber incidents, natural disasters, supplier outages, and planned technology migrations.

Related standards

ISO/IEC 27031:2025 complements other management and security standards, notably:

ISO/IEC 27001 (information security management)
ISO 22301 (business continuity management) Organizations commonly use ISO/IEC 27031 alongside these standards to align ICT-specific readiness with broader security and continuity programs.

Keywords: ISO/IEC 27031:2025, ICT readiness, business continuity, RTO, RPO, MBCO, ICT continuity plan, incident management, recovery planning.

ISO/IEC 27031:2025 - Cybersecurity — Information and communication technology readiness for business continuity
Released:16. 05. 2025 - Page 1 preview

ISO/IEC 27031:2025 - Cybersecurity — Information and communication technology readiness for business continuity
Released:16. 05. 2025 - Page 2 preview

ISO/IEC 27031:2025 - Cybersecurity — Information and communication technology readiness for business continuity
Released:16. 05. 2025 - Page 3 preview

Standard

ISO/IEC 27031:2025 - Cybersecurity — Information and communication technology readiness for business continuity Released:16. 05. 2025

English language

33 pages

sale 15% off

Preview

sale 15% off

Preview

ISO/IEC 27031:2025 - Cybersécurité — Préparation des technologies de l'information et de la communication pour la continuité d'activité
Released:15. 07. 2025 - Page 1 preview

Standard

ISO/IEC 27031:2025 - Cybersécurité — Préparation des technologies de l'information et de la communication pour la continuité d'activité Released:15. 07. 2025

French language

35 pages

sale 15% off

Preview

sale 15% off

Preview

REDLINE ISO/IEC 27031:2025 - Cybersécurité — Préparation des technologies de l'information et de la communication pour la continuité d'activité
Released:15. 07. 2025 - Page 1 preview

Standard

REDLINE ISO/IEC 27031:2025 - Cybersécurité — Préparation des technologies de l'information et de la communication pour la continuité d'activité Released:15. 07. 2025

French language

35 pages

sale 15% off

Preview

sale 15% off

Preview

Frequently Asked Questions

What is ISO/IEC 27031:2025?

ISO/IEC 27031:2025 is a standard published by the International Organization for Standardization (ISO). Its full title is "Cybersecurity - Information and communication technology readiness for business continuity". This standard covers: This document describes the concepts and principles of information and communication technology (ICT) readiness for business continuity (IRBC). It provides a framework of methods and processes to identify and specify aspects for improving an organization's ICT readiness to ensure business continuity. This document serves the following business continuity objectives for ICT: - minimum business continuity objective (MBCO), - recovery point objective (RPO), - recovery time objective (RTO) as part of the ICT business continuity planning. This document is applicable to all types and sizes of organizations. This document describes how ICT departments plan and prepare to contribute to the resilience objectives of the organization.

What is the scope of ISO/IEC 27031:2025?

What ICS categories does ISO/IEC 27031:2025 belong to?

ISO/IEC 27031:2025 is classified under the following ICS (International Classification for Standards) categories: 35.030 - IT Security. The ICS classification helps identify the subject area and facilitates finding related standards.

What standards are related to ISO/IEC 27031:2025?

ISO/IEC 27031:2025 has the following relationships with other standards: It is inter standard links to ISO/IEC 27031:2011. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.

How can I purchase ISO/IEC 27031:2025?

You can purchase ISO/IEC 27031:2025 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.

Standards Content (Sample)

International
Standard
ISO/IEC 27031
Second edition
Cybersecurity — Information
2025-05
and communication technology
readiness for business continuity
Cybersécurité — Préparation des technologies de l'information et
de la communication pour la continuité d'activité
Reference number
© ISO/IEC 2025
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO/IEC 2025 – All rights reserved
ii
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Abbreviated terms . 3
5 Structure of this document . 3
5.1 General .3
6 Integration of IRBC into BCM . 3
6.1 General .3
6.2 Enabling governance .4
6.3 Business continuity management objectives .5
6.4 Risk management and applicable controls for IRBC .6
6.5 Incident management and relationship to IRBC .6
6.6 BCM strategies and alignment to IRBC .6
7 Business expectations for IRBC . 7
7.1 Risk review .7
7.1.1 General .7
7.1.2 Monitoring, detection and analysis of threats and events .8
7.2 Inputs from business impact analysis .8
7.2.1 General .8
7.2.2 Understanding critical ICT services .8
7.2.3 Assessing ICT readiness against business continuity requirements .9
7.3 Coverage and interfaces .9
7.3.1 General .9
7.3.2 ICT dependencies for the scope .10
7.3.3 Determine any contractual aspects of dependencies .10
8 Defining prerequisites for IRBC . 10
8.1 Incident based – preparation before incident .10
8.1.1 General .10
8.1.2 ICT Recovery capabilities .11
8.1.3 Establishing an IRBC .11
8.1.4 Setting objectives .11
8.1.5 Determining possible outcomes and benefits of IRBC . 12
8.1.6 Equipment redundancy planning . 13
8.1.7 Determining the scope of ICT services related to the objectives . 13
8.2 Determining target ICT RTO and RPO .14
9 Determining IRBC strategies .15
9.1 General . 15
9.2 IRBC strategy options . 15
9.2.1 General . 15
9.2.2 Skills and knowledge .16
9.2.3 Facilities .16
9.2.4 Technology .17
9.2.5 Data .17
9.2.6 Processes .18
9.2.7 Suppliers .18
10 Determining the ICT continuity plan . 19
10.1 Prerequisites for the development of plans .19
10.1.1 Determining and setting the recovery organization .19
10.1.2 Determining time frames for plan development, reporting and testing .19

© ISO/IEC 2025 – All rights reserved
iii
10.1.3 Resources . 20
10.1.4 Competency of IRBC staff . 20
10.1.5 Technological solutions .21
10.2 Recovery plan activation .21
10.2.1 ICT BCP Activation .21
10.2.2 Escalation .21
10.3 ICT recovery plans . 22
10.3.1 RPO and RTO plans for ICT. 22
10.3.2 Facilities . 22
10.3.3 Technology . 22
10.3.4 Data . 22
10.3.5 Response and recovery procedures . 23
10.3.6 People . 23
10.4 Temporary work around plans . 23
10.5 External contacts and procedures . 23
11 Testing, exercise, and auditing .23
11.1 Performance criteria . 23
11.2 Testing dependencies.24
11.2.1 Test and exercise .24
11.2.2 Test and exercise program .24
11.2.3 Scope of exercises . 25
11.2.4 Planning an exercise . 25
11.2.5 Alert based and different recovery stages . 26
11.2.6 Managing an exercise .27
11.3 Learning from tests . 28
11.4 Auditing the IRBC . 28
11.5 Control of documented information . 29
12 Final MBCO .29
13 Top management responsibilities regarding evaluating the IRBC .29
13.1 General . 29
13.2 Management responsibilities . 29
Annex A (informative) Comparing RTO and RPO to business objectives for ICT recovery .31
Annex B (informative) Risk reporting for FMEA .32
Bibliography .33

© ISO/IEC 2025 – All rights reserved
iv
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical activity.
ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations,
governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/
IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the
use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any
claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not
received notice of (a) patent(s) which may be required to implement this document. However, implementers
are cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents and https://patents.iec.ch. ISO and IEC shall not be held
responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html.
In the IEC, see www.iec.ch/understanding-standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection.
This second edition cancels and replaces the first edition (ISO/IEC 27031:2011), which has been technically
revised.
The main changes are as follows:
— the structure of the document has been changed;
— the scope has been changed for clarification;
— technical content has been added in 6.4, 6.5, 6.6, 9.2 and 10.1.5.
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.

© ISO/IEC 2025 – All rights reserved
v
Introduction
Over the years, information and communication technology (ICT) has become an integral part of many of
the activities within the critical infrastructures in all organizational sectors, whether public or private. The
proliferation of the internet and other electronic networking services, as well as the capabilities of systems
and applications, has also resulted in organizations becoming more reliant on reliable, safe and secure ICT
infrastructures.
Meanwhile, the need for business continuity management (BCM), including incident preparedness, disaster
recovery planning, and emergency response and management, has been recognized and supported with
the development and endorsement of specific domains of knowledge, expertise, and standards, including
ISO 22313.
Failures of ICT services, including those caused by security issues such as systems intrusion and malware
infections, impact the continuity of business operations. Thus, managing ICT and related continuity, as well
as other security aspects, form a key part of business continuity requirements. Furthermore, in the majority
of cases, the critical processes and activities that require business continuity are usually dependent upon
ICT. This dependence means that disruptions to ICT can constitute strategic risks to the reputation of the
organization and its ability to operate.
The advent and increasing dominance of Internet-based ICT services (cloud ICT services) has caused the
nature of preparedness to change from relying on internal processes to a reliance on the quality and
robustness of services from other organizations and the associated business relationships with such
organizations.
ICT readiness is an essential component for many organizations in the implementation of business continuity
management and information security management.
As a result, effective BCM is frequently dependent upon effective ICT readiness to ensure that the
organization's objectives can continue to be met during disruptions. This is particularly important as the
consequences of disruptions to ICT often have the added complication of being invisible or difficult to detect.
For an organization to achieve ICT readiness for business continuity (IRBC), it should put in place a systematic
process to prevent, predict and manage ICT disruptions and incidents which have the potential to disrupt
ICT services. This can be achieved by coordinating IRBC with the information security and BCM processes.
In this way, IRBC supports BCM by ensuring that the ICT services can be recovered to pre-determined levels
within timescales required and agreed by the organization.
If an organization is using relevant information security and business continuity standards, the
establishment of IRBC should preferably take into consideration existing or intended processes linked to
these standards. This linkage can support the establishment of IRBC and also avoid any dual processes for
the organization.
This document describes the concepts and principles of ICT readiness for business continuity (IRBC)
and provides a framework of methods and processes to identify and specify aspects for improving an
organization's ICT readiness to ensure business continuity.
This document complements the information security controls relating to business continuity in
ISO/IEC 27002. It also supports the information security risk management process specified in
ISO/IEC 27005.
Based upon ICT readiness objectives, this document also extends the practices of information security
incident management into ICT readiness planning, training and operation.

© ISO/IEC 2025 – All rights reserved
vi
International Standard ISO/IEC 27031:2025(en)
Cybersecurity — Information and communication technology
readiness for business continuity
1 Scope
This document describes the concepts and principles of information and communication technology (ICT)
readiness for business continuity (IRBC). It provides a framework of methods and processes to identify and
specify aspects for improving an organization's ICT readiness to ensure business continuity.
This document serves the following business continuity objectives for ICT:
— minimum business continuity objective (MBCO),
— recovery point objective (RPO),
— recovery time objective (RTO) as part of the ICT business continuity planning.
This document is applicable to all types and sizes of organizations.
This document describes how ICT departments plan and prepare to contribute to the resilience objectives of
the organization.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes
requirements of this document. For dated references, only the edition cited applies. For undated references,
the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 27000, Information technology — Security techniques — Information security management systems —
Overview and vocabulary
ISO/IEC 27002, Information security, cybersecurity and privacy protection — Information security controls
ISO/IEC 27005, Information security, cybersecurity and privacy protection — Guidance on managing
information security risks
ISO/IEC 27035-1:2023, Information technology — Information security incident management — Part 1:
Principles and process
ISO 22300, Security and resilience — Vocabulary
ISO 22301, Security and resilience — Business continuity management systems — Requirements
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000, ISO/IEC 27002,
ISO/IEC 27005, ISO/IEC 27035-1, ISO 22300, ISO 22301, and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/

© ISO/IEC 2025 – All rights reserved
3.1
failure mode
manner by which a failure is observed
Note 1 to entry: This generally describes the way failure occurs and its impact on the operation of the system.
3.2
information and communication technology disaster recovery
ability of the information and communication technology elements of an organization to support its critical
processes and activities to an acceptable level within a predetermined period of time following a disruption
3.3
information and communication technology readiness
state of an information and communication technology (ICT) function in which it has the knowledge, skills,
processes, architecture, infrastructure and the related technologies in preparation for a potential event that
would lead to either an intolerable disruption of ICT or an intolerable data loss
Note 1 to entry: This does not mean that the ICT function is all knowing and able to do everything, but rather it is fit
for purpose and in readiness for the preparation, the response and the recovery at hand, if such a contingency occurs.
3.4
minimum business continuity objective
MBCO
minimum level of services and/or products that is acceptable to the organization to achieve its business
objectives during a disruption
3.5
recovery point objective
RPO
point to which information used by an activity is restored to enable the activity to operate on resumption
Note 1 to entry: Can also be referred to as “maximum data loss”.
3.6
recovery time objective
RTO
period of time following an incident within which a product and service or an activity is resumed, or
resources are recovered
3.7
restoration
level of recovery of data, ICT systems and business operations to the normal state after a disruption with a
minimal loss, if any
3.8
trigger
event that causes the system to initiate a response
Note 1 to entry: Also known as triggering event.

© ISO/IEC 2025 – All rights reserved
4 Abbreviated terms
BCP business continuity plan
BIA business impact analysis
HVAC heating, ventilation and air-conditioning
ICT information and communication technology
IRBC ICT readiness for business continuity
MBCO minimum business continuity objective
RPO recovery point objective
RTO recovery time objective
5 Structure of this document
5.1 General
The intention of each clause of this document is as follows:
— Clause 6 explains how IRBC is linked to BCM and other organizational processes that are related to IRBC;
— Clause 7 explains how the business continuity for the organization sets objectives that IRBC should try
to meet;
— Clause 8 provides guidance on what is needed to define the ICT current characteristics that affect the IRBC;
— Clause 9 provides guidance on different strategies that can be used and should be determined for IRBC
pending the objectives and current characteristics of ICT that ICT continuity plans should follow;
— Clause 10 provides guidance on how to design ICT continuity plans based on determined strategies and
how to address different types of adverse situations to meet the continuity objectives for ICT;
— Clause 11 provides guidance on how to test and finalize the ICT continuity plans;
— Clause 12 provides guidance on how to establish final RPOs and RTOs based on the ICT continuity plans
and determine the ability to meet the business requirements;
— Clause 13 provides guidance on the feedback of IRBC to top management to approve the plans or risk
treatment decisions, if the business objectives have not been met.
Specific planning and verifications of ICT are instrumental to build and ensure that ICT can face events.
Without such readiness, the organization would suffer intolerable disruptions of prioritised activities or
data losses.
Such events, potentially coming from technical failures or cybersecurity incidents, should motivate the ICT
function to interface its governance, planning and operation with requirements coming from the decision-
making activity of business continuity management and information security management.
6 Integration of IRBC into BCM
6.1 General
Disruption related risk within information security and ICT primarily relates to availability when an adverse
situation occurs that disrupts the availability of ICT services to business activities.

© ISO/IEC 2025 – All rights reserved
The related risks have the characteristics of very low likelihood, meaning that they can happen very rarely or
even never, but have a huge consequence and business impact if they occur. It should be noted that business
continuity is the activity that should minimize the consequences if such risks do occur, as in most cases the
likelihood for such risks can never be fully eliminated.
Determination of risk to business process can evolve from the risk management process and the controls to
mitigate them to support business continuity.
Prioritized activities are identified through business impact analysis (BIA) on the business processes and
functions where the ICT dependencies can be determined, and critical time frames are set.
The actual events or risk scenarios on how the ICT services are interrupted can be hard for businesses to
determine and are generally on a high level based on different threats. Such threats and sources can include:
— environmental sources – fire, flooding, etc.;
— technical hardware, software failures or power and air conditioning (e.g. HVAC) shortages or breakdowns;
— unintentional human risk source – mistakes in change management, wrongly configured back up, etc;
— intentional human risk source – hacking, malware, sabotage;
— societal – pandemic, strikes, social unrest, etc;
— cyberattacks – DOS, DDOS;
— specific to the ICT-supply chain:
— perturbation on the communication channel with a data/service provider;
— disruption of a cloud service provider;
— unclear information security requirements within contract terms covering ICT services provided by
external parties.
These threats or events can significantly disrupt the ICT services and trigger business continuity strategies,
resulting in the following:
— loss of critical ICT hardware and software;
— loss of critical ICT service;
— loss of facilities;
— loss of critical ICT service from supplier;
— loss of key personnel.
The above scenarios should be considered in the business continuity planning for ICT if they are relevant to
the ICT provided to the business. Overall strategies should be determined and BCP developed and tested to
determine residual risks to be handled in the risk management process. Vulnerabilities or other weaknesses
that cause severe disruption to the ICT can be determined through risk management. It is through risk
assessment and risk treatment that risks can be mitigated. However, this mitigation does not eliminate the
need for IRBC to be in place, as there is always a risk that something unforeseen will happen.
6.2 Enabling governance
Organizations should have general knowledge of the readiness of the different ICT elements, including the
following:
— ICT services;
— ICT facilities;
© ISO/IEC 2025 – All rights reserved
— technology (hardware, software, architecture);
— data;
— processes;
— suppliers, as well as their critical components; and
— staff competencies.
The knowledge of the structure of ICT is a crucial element in ensuring the required support for the
governance of the business continuity, including ICT readiness. The organization should therefore:
a) raise, enhance and maintain awareness through ongoing training, education and information
programme for relevant staff, and establish a process for evaluating the effectiveness of the awareness
delivery; and
b) ensure that staff are aware of how they contribute to the achievement of the ICT readiness for business
continuity (IRBC) objectives.
The organization should ensure that all personnel who are assigned IRBC management responsibilities are
competent to perform the required tasks by:
c) determining the necessary competencies for such personnel;
d) conducting training needs analysis on such personnel;
e) providing training;
f) ensuring that the necessary competence has been achieved; and
g) maintaining records of education, training, skills, experience and qualifications.
Top management or their delegates should ensure that a clear and complete distribution of roles has been
established with enough granularity to identify each individual role in the IRBC. For assigned roles, an
identification of the linked responsibilities should be documented.
An IRBC training program should be planned, developed, and implemented to ensure relevant personnel
with IRBC roles can fulfil their responsibilities when an event occurs.
NOTE For more details on awareness and training related to information security incident management, refer to
ISO/IEC 27035-2.
6.3 Business continuity management objectives
Business continuity management is the process for implementing and maintaining capability of an
organization to continue the delivery of products and services within acceptable time frames at predefined
capacity during a disruption (see ISO 22313).
As part of the BCM process, IRBC refers to a process to improve the readiness of the organization to:
a) respond to the constantly changing risk environment affecting ICT;
b) ensure continuation of related ICT services that support prioritized activities;
c) anticipate and prepare a response before an ICT service disruption occurs, upon detection of one or a
series of related events that become incidents; and
d) to respond and recover from incidents and failures affecting ICT.
An organization therefore sets out its BCM priorities which drive the IRBC activities. In turn, BCM depends
upon IRBC to ensure that the organization can meet its overall ICT service continuity objectives at all times,
and particularly during times of disruption.

© ISO/IEC 2025 – All rights reserved
Such readiness objectives include:
e) improving the incident detection capabilities;
f) preventing a sudden or drastic failure;
g) enabling an acceptable degradation of operational service if the failure is unpreventable;
h) further shortening recovery time; and
i) minimizing consequence upon eventual occurrence of the incident.
6.4 Risk management and applicable controls for IRBC
The risk management process includes information security risks where risk related to loss of availability
of ICT services in adverse situations is applicable to ICT readiness and business continuity. These risks are
characterized by very low likelihood and very high impact.
The risk treatment should include business continuity controls.
Such controls are crucial to modify and lower the risk, and to reduce the impact on the business by having
an IRBC. The extent and capability of the IRBC should then, through the risk management process, be
determined that it is in line with business risk appetite and the business impact analysis.
The risk management and risk status reporting supports the business in determining the risk and possible
risk acceptance on a strategic and long-term perspective.
IRBC supports the actual implementation of the control specified in ISO/IEC 27002:2022, 5.30.
For further information on information security risk management, see ISO/IEC 27005.
6.5 Incident management and relationship to IRBC
The incidents applicable to IRBC are on the highest classification level of the incident organization’s incident
classification.
Incidents that IRBC can help mitigate are typically considered highly unlikely but have a significant or
catastrophic impact on the ICT services if they occur. The objective of IRBC is to develop strategies that help
the organization to prevent, respond and recover from incidents that impact ICT services.
Triggers for activating IRBC plans should be defined as part of the organization's incident management
process, including information security incident response plans that can include the following interactions
during the flow of information security events and incidents:
— a link should be established between the incident coordinator (see ISO/IEC 27035-1) and the responsible
IRBC as soon as the potential effect of the incident on business continuity is identified;
— communication channels and procedures should be prepared to enable the handover of operational
responsibility between incident management and IRBC response elements prepared to avoid uncontrolled
loss of time and meet agreed deadlines;
— transfer of responsibility from the responsible IRBC to the incident coordinator should be foreseen to
allow for the preparation of the incident report and introduce their proposal for improvement via "learn
lessons". Refer to ISO/IEC 27035-1:2023, Clause 5 for more details.
For further general information on information security incident management, see ISO/IEC 27035-1.
6.6 BCM strategies and alignment to IRBC
An organization’s dependency on ICT in an adverse situation can vary and the characteristics of an adverse
situation can also affect the ICT dependency. The BCM strategy should provide the time frames and priorities
for IRBC.
© ISO/IEC 2025 – All rights reserved
Business continuity strategies influencing IRBC can be:
— stopping business for a certain time frame;
— relocating business to an alternative site;
— cooperating with supplier or partner.
Decisions can be:
— prioritized business operations or processes and time frames for these;
— ICT services and their related RPO and RTO.
IRBC should provide the capability for organizations to use ICT during adverse situations when BCM is in
operation. Two cases can occur:
a) IRBC is unable to meet the RPO or RTO for some processes/functions. In such a case, the organization
is required to align the BCP for these processes/functions to allow operations without ICT until it is
available according to the time provided by IRBC.
b) IRBC can meet the RPO or RTO for all processes/functions. Then, the BCP of the organization is aligned.
An organization should determine the ICT minimum business continuity objectives (MBCOs) based upon
recovery point objectives (RPOs) and recovery time objectives (RTOs) within the ICT scope.
7 Business expectations for IRBC
7.1 Risk review
7.1.1 General
The information security risk management process is explained in greater detail in ISO/IEC 27005, which is
also aligned with the guidelines for risk management given in ISO 31000.
ICT business continuity supports incident handling when a major incident affecting ICT has occurred. The
IRBC modifies information security risks related to availability with a low likelihood, but with significant
consequences.
The IRBC strategies should be resilient and adaptable, any change to the ICT services which can affect the
IRBC capability should be implemented only after the business continuity implications of the change have
been assessed, addressed and approved.
To ensure that the IRBC strategies and plans remain appropriate for the organization:
a) top management should ensure that the IRBC strategies continue to support the organization's BCM
requirements (see 13.2);
b) the change management process should include all parties responsible for the IRBC strategies, both in
their planning and implementation;
c) the development process for new ICT services should include a sign-off that IRBC resilience has not been
compromised by even the simplest of upgrades or improvements;
d) due diligence on merger and acquisition activity; and
e) IRBC should consider any ICT component decommissioning.
The organization should establish a process to monitor and detect the emergence of ICT security threats
including, but not limited to, the following areas:
f) retention of staff, skills and knowledge;

© ISO/IEC 2025 – All rights reserved
g) management of facilities that house ICT equipment (e.g. by monitoring the number and nature of security
incidents/vulnerabilities related to computer rooms);
h) changes in supporting technology, plant, equipment, networks, applications and databases;
i) finance or budget allocation; and
j) effectiveness of external services and suppliers (supplies).
7.1.2 Monitoring, detection and analysis of threats and events
Monitoring of the ICT systems and their critical components is the first line of defence to allow detection of
abnormal situations, such as vulnerabilities that can be exploited to become an event, and further develop
into an incident and an ICT disruption that can cause the activation of the IRBC capability and processes.
Detection of unwanted events and situations, such as misconfigured controls, deviations to policies, or
mechanical failures, is also essential as the incident response can only start as soon as the event is reported
to the Point of Contact (PoC) and assessed by the incident coordinator (see ISO/IEC 27035-1).
Threat analysis is another way of seeing in advance what can harm the ICT systems as the threats are
generally still outside direct concern and control. This will happen by being continuously informed by
specialized bodies and verifying if an organization’s ICT can be potentially hit, harmed and impacted by the
threat. If so, the vulnerability management capability should be activated to prepare the improvement of the
current protection.
7.2 Inputs from business impact analysis
7.2.1 General
The organiz
...

Norme
internationale
ISO/IEC 27031
Deuxième édition
Cybersécurité — Préparation des
2025-05
technologies de l'information
et de la communication pour la
continuité d'activité
Cybersecurity — Information and communication technology
readiness for business continuity
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2025
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2025 – Tous droits réservés
ii
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Abréviations . 3
5 Structure du présent document. 3
5.1 Généralités .3
6 Intégration de la PTCA dans le MCA . 4
6.1 Généralités .4
6.2 Facilitation de la gouvernance .5
6.3 Objectifs du management de la continuité d'activité .6
6.4 Management du risque et mesures de sécurité applicables pour la PTCA .6
6.5 Gestion des incidents et relation avec la PTCA .6
6.6 Stratégies MCA et alignement sur la PTCA .7
7 Attentes Métier pour la PTCA . 8
7.1 Revue des risques .8
7.1.1 Généralités .8
7.1.2 Suivi, détection et analyse des menaces et des événements .8
7.2 Données provenant de l'analyse d'impact sur l'activité .9
7.2.1 Généralités .9
7.2.2 Compréhension des services TIC critiques .9
7.2.3 Appréciation de la préparation des TIC par rapport aux exigences en matière de
continuité d'activité .9
7.3 Couverture et interfaces .10
7.3.1 Généralités .10
7.3.2 Dépendances des TIC dans le cadre du domaine d'application .11
7.3.3 Détermination des aspects contractuels des dépendances .11
8 Définition des prérequis pour la PTCA .11
8.1 Sur la base d'un incident - préparation avant l'incident .11
8.1.1 Généralités .11
8.1.2 Capacités de reprise des TIC . 12
8.1.3 Mise en place d'une PTCA . 12
8.1.4 Définition des objectifs . 12
8.1.5 Détermination des résultats et des avantages possibles de la PTCA . 13
8.1.6 Planification de la redondance des équipements .14
8.1.7 Détermination du domaine d'application des services TIC liés aux objectifs .14
8.2 Détermination du DR cible et de l'OPR cible des TIC . 15
9 Détermination des stratégies PTCA .16
9.1 Généralités .16
9.2 Options de stratégie PTCA .16
9.2.1 Généralités .16
9.2.2 Compétences et connaissances.17
9.2.3 Installations .17
9.2.4 Technologie .18
9.2.5 Données .19
9.2.6 Procédures .19
9.2.7 Fournisseurs .19
10 Détermination du plan de continuité des TIC .20
10.1 Prérequis pour l'élaboration des plans . 20
10.1.1 Détermination et établissement de l'organisation de la reprise . . 20

© ISO/IEC 2025 – Tous droits réservés
iii
10.1.2 Détermination des délais pour l'élaboration, l'établissement de rapports et les
essais du plan . 20
10.1.3 Ressources .21
10.1.4 Compétence du personnel PTCA . 22
10.1.5 Solutions technologiques . 22
10.2 Activation du plan de reprise . 23
10.2.1 Activation du PCA des TIC . 23
10.2.2 Escalade . 23
10.3 Plans de reprise TIC . 23
10.3.1 Plans OPR et DR pour les TIC . 23
10.3.2 Installations . 23
10.3.3 Technologie .24
10.3.4 Données .24
10.3.5 Procédures de réaction et de reprise .24
10.3.6 Ressources humaines .24
10.4 Plans de contournement temporaires . 25
10.5 Contacts et procédures externes. 25
11 Essais, exercice et audit .25
11.1 Critères de performance . 25
11.2 Dépendances des essais . 25
11.2.1 Essai et exercice . 25
11.2.2 Programme d'essai et d'exercice . 26
11.2.3 Domaine d'application des exercices .27
11.2.4 Planification d'un exercice.27
11.2.5 Étape d'alerte et différentes étapes de reprise . 28
11.2.6 Gestion d'un exercice . 29
11.3 Enseignements tirés des essais . 30
11.4 Audit de la PTCA . . 30
11.5 Maîtrise des informations documentées . . 30
12 OMCA final .31
13 Responsabilité de la direction au plus haut niveau concernant l'évaluation de la PTCA .31
13.1 Généralités .31
13.2 Responsabilités de la direction .31
Annexe A (informative) Comparaison du DR et de l'OPR aux objectifs d'activité pour la reprise
des TIC .32
Annexe B (informative) Établissement du rapport sur les risques pour la FMEA .34
Bibliographie .35

© ISO/IEC 2025 – Tous droits réservés
iv
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de l’IEC participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique.
Les comités techniques de l'ISO et de l’IEC collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et l’IEC,
participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives ou www.iec.ch/members_experts/refdocs).
L’ISO et l’IEC attirent l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO et l’IEC ne prennent pas position quant à la preuve, à la
validité et à l’applicabilité de tout droit de brevet revendiqué à cet égard. À la date de publication du présent
document, L’ISO et l’IEC n'avaient pas reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires
à sa mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch. L’ISO et l’IEC ne sauraient être
tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux
principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce
(OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
Cette deuxième édition annule et remplace la première édition (ISO/IEC 27031:2011), qui a fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes:
— la structure du document a été modifiée;
— le domaine d'application a été modifié pour clarification;
— un contenu technique a été ajouté en 6.4, 6.5, 6.6, 9.2 et 10.1.5.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/members.html et www.iec.ch/national-committees.

© ISO/IEC 2025 – Tous droits réservés
v
Introduction
Les technologies de l'information et de la communication (TIC) sont devenues, au fil des années, partie
intégrante de nombreuses activités au sein des infrastructures critiques dans tous les secteurs d'activité
organisationnels, qu'ils soient publics ou privés. Le développement à grande échelle de l'internet et d'autres
services de mise en réseaux électroniques, ainsi que les capacités des systèmes et applications, a également
eu pour résultat que les organisations sont plus dépendantes d'infrastructures TIC fiables, sécurisées et
protégées.
Entre-temps, la nécessité d'un management de la continuité d'activité (MCA), y compris la préparation
aux incidents, la planification de la reprise après un sinistre, et la réponse et la gestion des urgences, a été
reconnue et soutenue avec le développement et l'approbation de domaines spécifiques de connaissances,
d'expertise, et de normes, y compris l'ISO 22313.
Les défaillances des services TIC, y compris celles provoquées par des problèmes liés à la sécurité, tels que la
violation de systèmes et les infections par des logiciels malfaisants, influent sur la continuité des opérations
Métier. Ainsi, la gestion des TIC et le management de la continuité associée, ainsi que d'autres aspects
liés à la sécurité, constituent un élément clé des exigences en matière de continuité d'activité. De plus,
dans la majorité des cas, les processus et activités critiques exigeant une continuité d'activité dépendent
habituellement des TIC. Cette dépendance signifie que des perturbations des TIC peuvent représenter des
risques stratégiques pour la renommée de l'organisation et sa capacité d'action.
Du fait de la prédominance croissante des services TIC basés sur l'internet (services TIC en nuage), la nature
de la capacité de préparation a changé, passant d'une dépendance aux processus internes à une dépendance
à la qualité et à la robustesse des services fournis par d'autres organisations et aux relations professionnelles
avec ces organisations.
Pour de nombreuses organisations, la préparation des TIC est un composant essentiel de la mise en œuvre
d'un processus de management de la continuité d'activité et de management de la sécurité de l'information.
Un système MCA efficace dépend ainsi fréquemment d'une préparation efficace des TIC afin de s'assurer que
les objectifs d'une organisation peuvent continuer à être satisfaits pendant les perturbations. Cet élément
est particulièrement important dans la mesure où les conséquences de perturbations des TIC présentent
souvent l'inconvénient supplémentaire d'être invisibles ou difficiles à déceler.
Pour pouvoir réaliser une préparation des TIC de façon à garantir la continuité de son activité (PTCA), il
convient qu'une organisation mette en place un processus systématique de prévention, prévision et gestion
des perturbations et des incidents liés aux TIC, susceptibles de perturber les services qui leur sont associés. Il
est possible d'y parvenir en coordonnant la PTCA avec les processus de sécurité de l'information et de MCA.
De cette manière, la PTCA soutient le MCA en s'assurant que les services TIC peuvent être restaurés aux
niveaux prédéterminés dans les délais requis et définis par l'organisation.
Lorsqu'une organisation utilise des normes pertinentes en matière de sécurité de l'information et de
continuité d'activité, il convient que la mise en place d'une PTCA prenne de préférence en considération
les processus existants ou prévus associés à ces normes. Cette association peut prendre en charge
l'établissement d'une PTCA, et éviter toute redondance éventuelle de processus pour l'organisation.
Le présent document décrit les concepts et principes de préparation des TIC pour la continuité d'activité
(PTCA), et fournit un cadre de méthodes et processus destinés à identifier et spécifier les aspects permettant
d'améliorer la préparation des TIC, et ce, de manière à assurer la continuité d'activité d'une organisation.
Le présent document complète les mesures de sécurité de l'information relatives à la continuité d'activité
dans l'ISO/IEC 27002. Il soutient également le processus de management des risques liés à la sécurité de
l'information spécifié dans l'ISO/IEC 27005.
Sur la base des objectifs de préparation des TIC, le présent document étend également les pratiques de
gestion des incidents de sécurité de l'information à la planification, à la formation et à l'exploitation de la
préparation des TIC.
© ISO/IEC 2025 – Tous droits réservés
vi
Norme internationale ISO/IEC 27031:2025(fr)
Cybersécurité — Préparation des technologies de
l'information et de la communication pour la continuité
d'activité
1 Domaine d'application
Le présent document décrit les concepts et les principes de la préparation des technologies de l'information
et de la communication (TIC) pour la continuité d'activité (PTCA). Il fournit un cadre de méthodes et de
processus pour identifier et spécifier les aspects permettant d'améliorer la préparation des TIC d'une
organisation afin d'assurer la continuité d'activité.
Le présent document sert les objectifs suivants en matière de continuité d'activité pour les TIC:
— objectif minimal de continuité d'activité (OMCA);
— objectif de point de reprise (OPR);
— délai de reprise (DR) dans le cadre de la planification de la continuité d'activité des TIC.
Le présent document s'applique à tous les types et tailles d'organisations.
Le présent document décrit de quelle manière les services TIC planifient et se préparent à contribuer aux
objectifs de résilience de l'organisation.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique. Pour
les références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO/IEC 27000, Technologies de l'information — Techniques de sécurité — Systèmes de management de la
sécurité de l'information — Vue d'ensemble et vocabulaire
ISO/IEC 27002, Sécurité de l'information, cybersécurité et protection de la vie privée — Mesures de sécurité de
l'information
ISO/IEC 27005, Sécurité de l'information, cybersécurité et protection de la vie privée — Préconisations pour la
gestion des risques liés à la sécurité de l'information
ISO/IEC 27035-1:2023, Technologies de l'information — Gestion des incidents de sécurité de l'information —
Partie 1: Principes et processus
ISO 22300, Sécurité et résilience — Vocabulaire
ISO 22301, Sécurité et résilience — Systèmes de management de la continuité d'activité — Exigences
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO/IEC 27000, ISO/IEC 27002,
ISO/IEC 27005, ISO/IEC 27035-1, ISO 22300 et ISO 22301, ainsi que les suivants s'appliquent.

© ISO/IEC 2025 – Tous droits réservés
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
mode de défaillance
méthode d'observation d'une défaillance
Note 1 à l'article: Cela décrit généralement le mode d'occurrence de la défaillance et son impact sur le fonctionnement
du système.
3.2
reprise après un sinistre des technologies de l'information et de la communication
capacité des éléments de technologies de l'information et de la communication d'une organisation à soutenir
ses processus et activités critiques à un niveau acceptable dans un délai prédéterminé à la suite d'une
perturbation
3.3
préparation des technologies de l'information et de la communication
état d'une fonction de technologies de l'information et de la communication (TIC) dans lequel elle dispose
des connaissances, des compétences, des processus, de l'architecture, de l'infrastructure et des technologies
connexes pour la préparation à un événement potentiel qui entraînerait soit une perturbation intolérable
des TIC, soit une perte intolérable de données
Note 1 à l'article: Cela ne signifie pas que la fonction de TIC est parfaitement informée et capable de tout faire, mais
plutôt qu'elle est adaptée aux objectifs et prête pour la préparation, la réponse et la reprise si une telle situation
d'urgence se produit.
3.4
objectif minimal de continuité d'activité
OMCA
niveau minimal de services et/ou produits acceptable par l'organisation pour atteindre ses objectifs
d'activité lors d'une perturbation
3.5
objectif de point de reprise
OPR
point à partir duquel les informations utilisées par une activité doivent être restaurées afin de permettre un
fonctionnement en reprise
Note 1 à l'article: Il peut également être désigné en tant que «perte maximale de données».
3.6
délai de reprise
DR
durée après un incident pendant laquelle un produit et service ou une activité sont repris, ou des ressources
sont rétablies
3.7
restauration
niveau de rétablissement des données, des systèmes TIC et des opérations Métier à leur état normal après
une perturbation, avec une perte minimale, le cas échéant
3.8
déclencheur
événement qui provoque la réaction du système
Note 1 à l'article: Également appelé événement déclencheur.

© ISO/IEC 2025 – Tous droits réservés
4 Abréviations
AIA Analyse d'impact sur l'activité
CVC Chauffage, ventilation et air conditionné
DR Délai de reprise
OMCA Objectif minimal de continuité d'activité
OPR Objectif de point de reprise
PCA Plan de continuité d'activité
PTCA Préparation des TIC pour la continuité d'activité
TIC Technologies de l'information et de la communication
5 Structure du présent document
5.1 Généralités
L'objectif de chaque article du présent document est le suivant:
— l'Article 6 explique comment la PTCA est liée au MCA et à d'autres processus organisationnels qui sont
liés à la PTCA;
— l'Article 7 explique comment la continuité d'activité de l'organisation établit des objectifs qu'il convient
d'essayer d'atteindre pour la PTCA;
— l'Article 8 donne des recommandations sur ce qui est nécessaire pour définir les caractéristiques actuelles
des TIC qui ont une influence sur la PTCA;
— l'Article 9 donne des recommandations sur différentes stratégies qui peuvent être utilisées et qu'il
convient de déterminer pour la PTCA en fonction des objectifs et des caractéristiques actuelles des TIC
qu'il convient de suivre pour les plans de continuité des TIC;
— l'Article 10 donne des recommandations sur la manière de concevoir des plans de continuité des TIC fondés
sur des stratégies déterminées et sur la manière de traiter différents types de situations défavorables
afin d'atteindre les objectifs de continuité pour les TIC;
— l'Article 11 donne des recommandations sur la manière de soumettre à l'essai et de finaliser les plans de
continuité des TIC;
— l'Article 12 donne des recommandations sur la manière d'établir les OPR et DR finaux sur la base des
plans de continuité des TIC et sur la manière de déterminer la capacité à répondre aux exigences
opérationnelles;
— l'Article 13 donne des recommandations sur le retour d'information de la PTCA à la direction au plus
haut niveau afin que celle-ci approuve les plans ou les décisions de traitement du risque si les objectifs
d'activité n'ont pas été atteints.
Une planification et des vérifications spécifiques des TIC sont essentielles pour construire et assurer que
les TIC peuvent faire face à des événements. Sans cette préparation, l'organisation subit des perturbations
intolérables des activités prioritaires ou des pertes de données.
Il convient que de tels événements, pouvant résulter de défaillances techniques ou d'incidents de
cybersécurité, incitent la fonction de TIC à interfacer sa gouvernance, sa planification et son fonctionnement
avec les exigences découlant de l'activité décisionnelle du management de la continuité d'activité et du
management de la sécurité de l'information.

© ISO/IEC 2025 – Tous droits réservés
6 Intégration de la PTCA dans le MCA
6.1 Généralités
Le risque associé aux perturbations dans le cadre de la sécurité de l'information et des TIC est principalement
lié à la disponibilité lorsque survient une situation défavorable qui perturbe la disponibilité des services TIC
pour les activités Métier.
Les risques associés ont les caractéristiques d'une très faible vraisemblance, ce qui signifie qu'ils peuvent
se produire très rarement, voire jamais, mais qu'ils ont des conséquences et un impact sur l'activité
considérables s'ils se produisent. Il convient de noter que la continuité d'activité est l'activité censée réduire
le plus fortement possible les conséquences si de tels risques se produisent, car, dans la plupart des cas, la
vraisemblance de ces risques ne peut jamais être totalement éliminée.
La détermination des risques pour les processus d'activité peut résulter du processus de management du
risque et des mesures de sécurité visant à les atténuer pour maintenir la continuité d'activité.
Les activités prioritaires sont identifiées au moyen d'une analyse d'impact sur l'activité (AIA) portant sur
les processus d'activité et les fonctions, qui permet de déterminer les dépendances des TIC et d'établir des
délais critiques.
Les événements réels ou les scénarios de risque concernant la manière dont les services TIC sont interrompus
peuvent être difficiles à déterminer pour les entreprises et sont généralement situés à un niveau élevé, sur la
base de différentes menaces. Ces menaces et ces sources peuvent inclure:
— sources environnementales — incendies, inondations, etc.;
— défaillances techniques matérielles et logicielles, ou les insuffisances ou pannes de l'alimentation et de la
climatisation (CVC);
— source de risque humain involontaire — erreurs dans la gestion des modifications, sauvegarde mal
configurée, etc.;
— source de risque humain intentionnelle — piratage, logiciels malfaisants, sabotage;
— sociétales — pandémie, grèves, troubles sociaux, etc.;
— cyberattaques — DOS, DDOS;
— spécifiques à la chaîne d'approvisionnement des TIC:
— perturbation du canal de communication avec un fournisseur de données/services;
— perturbation d'un fournisseur de services en nuage;
— exigences peu claires en matière de sécurité de l'information dans les conditions contractuelles
couvrant les services TIC fournis par des parties externes.
Ces menaces ou événements peuvent considérablement perturber les services TIC et déclencher des
stratégies de continuité d'activité, avec les conséquences suivantes:
— perte de matériels et logiciels de TIC critiques;
— perte de service de TIC critique;
— perte d'installations;
— perte de service de TIC critique d'un fournisseur;
— perte de personnel clé.
Il convient que ces scénarios soient pris en compte dans le cadre de la planification de la continuité d'activité
pour les TIC s'ils sont pertinents pour les TIC fournies à l'activité. Il convient de déterminer des stratégies

© ISO/IEC 2025 – Tous droits réservés
globales et d'élaborer et de soumettre à l’essai le PCA afin de déterminer les risques résiduels à traiter dans
le cadre du processus de management du risque. Les vulnérabilités ou les autres faiblesses qui provoquent
de graves perturbations pour les TIC peuvent être déterminées au moyen d'un management des risques.
C'est au moyen d'une évaluation des risques et d'un traitement des risques que les risques peuvent être
atténués. Cependant, cette atténuation n'élimine pas la nécessité de mettre en place une PTCA, car il existe
toujours un risque qu'un événement imprévu se produise.
6.2 Facilitation de la gouvernance
Il convient que les organisations aient une connaissance générale de la préparation des différents éléments
des TIC, y compris les suivants:
— les services TIC;
— les installations TIC;
— la technologie (matériel, logiciels, architecture);
— les données;
— les processus;
— les fournisseurs, ainsi que leurs composantes critiques; et
— les compétences du personnel.
La connaissance de la structure des TIC est un élément crucial pour assurer le soutien nécessaire à la
gouvernance de la continuité d'activité, y compris la préparation des TIC. Il convient par conséquent que
l'organisation:
a) suscite, améliore et maintienne la sensibilité par le biais d'un programme permanent de formation,
d'études et d'information destiné au personnel compétent, et établisse un processus d'évaluation de
l'efficacité de la prestation de sensibilisation; et
b) s'assure que le personnel est conscient de sa contribution à la réalisation des objectifs de préparation
des TIC pour la continuité d'activité (PTCA).
Il convient que l'organisation s'assure que l'ensemble du personnel auquel il a confié des responsabilités
PTCA dispose des compétences nécessaires pour exécuter les tâches requises, et ce en:
c) déterminant les compétences nécessaires dudit personnel;
d) effectuant une analyse des besoins en formation de ce même personnel;
e) assurant une formation;
f) s'assurant de l'acquisition effective des compétences nécessaires; et
g) tenant des registres dédiés aux études, à la formation, aux compétences, à l'expérience et aux
qualifications.
Il convient que la direction au plus haut niveau ou ses délégués s'assurent qu'une répartition claire et
complète des rôles a été établie avec une granularité suffisante pour identifier chaque rôle individuel dans
la PTCA. Il convient de documenter l'identification des responsabilités liées à chaque rôle attribué.
Il convient de planifier, d'élaborer et de mettre en œuvre un programme de formation à la PTCA afin de
s'assurer que le personnel concerné ayant un rôle dans la PTCA puisse remplir ses responsabilités lorsqu'un
événement se produit.
NOTE Pour plus de détails concernant la sensibilisation et la formation à la gestion des incidents de sécurité de
l'information, voir l'ISO/IEC 27035-2.

© ISO/IEC 2025 – Tous droits réservés
6.3 Objectifs du management de la continuité d'activité
Le management de la continuité d'activité est le processus permettant de mettre en œuvre et de maintenir la
capacité d'une organisation à continuer la fourniture de produits et de services dans des délais acceptables
avec une capacité prédéfinie pendant une perturbation (voir ISO 22313).
La PTCA, comme partie intégrante du processus MCA, se rapporte à un processus visant à améliorer la
préparation immédiate de l'organisation pour:
a) réagir à un environnement de risque en constante évolution affectant les TIC;
b) assurer la continuité des services TIC liés qui soutiennent les activités prioritaires;
c) anticiper et être prêt à réagir bien avant la perturbation d'un service TIC, dès la détection d'un ou d'une
série d'événements associés qui deviennent des incidents; et
d) réagir et reprendre l'activité à la suite d'incidents et des défaillances affectant les TIC.
Une organisation fixe par conséquent ses priorités MCA, qui orientent les activités PTCA. À son tour, le MCA
dépend de la PTCA afin de s'assurer que l'organisation peut satisfaire de façon permanente à ses objectifs
généraux de continuité du service TIC, et notamment pendant des périodes de perturbation.
Ces objectifs de préparation incluent notamment:
e) l'amélioration des capacités de détection d'un incident;
f) la prévention de toute défaillance subite ou sévère;
g) la possibilité d'une dégradation acceptable du service opérationnel si la défaillance ne peut pas être
empêchée;
h) une réduction supplémentaire du temps de reprise; et
i) la réduction la plus forte possible des conséquences sur l'occurrence éventuelle de l'incident.
6.4 Management du risque et mesures de sécurité applicables pour la PTCA
Le processus de management du risque inclut les risques liés à la sécurité de l'information lorsque le risque
lié à la perte de disponibilité des services TIC dans des situations défavorables s'applique à la préparation
des TIC et à la continuité d'activité. Ces risques sont caractérisés par une très faible vraisemblance et un très
fort impact.
Il convient que le traitement du risque comporte des mesures de sécurité liées à la continuité de l'activité.
Ces mesures sont essentielles pour modifier et diminuer le risque et réduire l'impact sur l'activité grâce
à une PTCA. Il convient alors de déterminer l'étendue et la capacité de la PTCA par le biais du processus
de management du risque, en fonction de la propension à prendre des risques et de l'analyse d'impact sur
l'activité.
Le management du risque et les rapports sur l'état du risque aident l'entreprise à déterminer le risque et
l'éventuelle acceptation du risque selon une perspective stratégique et à long terme.
La PTCA soutient la mise en œuvre réelle de la mesure de sécurité spécifiée dans l'ISO/IEC 27002:2022, 5.30.
Pour des informations supplémentaires sur le management des risques liés à la sécurité de l'information,
voir l'ISO/IEC 27005.
6.5 Gestion des incidents et relation avec la PTCA
Les incidents applicables à la PTCA se situent au niveau de classification le plus élevé de la classification des
incidents de l'organisation subissant ces incidents.

© ISO/IEC 2025 – Tous droits réservés
Les incidents que la PTCA peut aider à atténuer sont habituellement considérés comme très improbables,
mais ont un impact significatif ou catastrophique sur les services TIC s'ils se produisent. L'objectif de la PTCA
est de développer des stratégies qui aident l'organisation à prévenir, répondre et reprendre l'activité à la
suite d'incidents qui impactent des services TIC.
Il convient que des déclencheurs de l'activation de plans PTCA soient définis dans le cadre du processus
de gestion des incidents de l'organisation, y compris des plans de réponse aux incidents de sécurité de
l'information qui peuvent inclure les interactions suivantes pendant le flux d'événements et d'incidents de
sécurité de l'information:
— il convient qu'un lien soit établi entre le coordinateur chargé des incidents (voir l'ISO/IEC 27035-1) et
la PTCA responsable dès que l'effet potentiel de l'incident sur la continuité d'activité est identifié;
— il convient que des canaux et procédures de communication soient préparés pour permettre le transfert
de la responsabilité opérationnelle entre la gestion des incidents et les éléments de réponse de la PTCA
préparés pour éviter toute perte de temps incontrôlée et respecter les délais convenus;
— il convient que le transfert de responsabilité de la PTCA responsable au coordinateur chargé des
incidents soit prévu pour permettre la préparation du rapport d'incident et introduire sa proposition
d'amélioration par le biais de «leçons apprises». Voir l'ISO/IEC 27035-1:2023, Article 5 pour plus de
détails.
Pour des informations générales su
...

ISO/IEC JTC 1/SC 27
Date : 2024-06-26
ISO/IEC FDIS 27031:20242025(fr)
ISO/IEC JTC 1/SC 27
Secrétariat : DIN
Deuxième édition
2025-05
Date: 2024-11-05
Cybersécurité — Préparation des technologies de l'information et
de la communication pour la continuité d'activité
Cybersecurity — Information and communication technology readiness for business continuity

ICS : 35.030
Type du document: Norme internationale
Sous-type du document:
Stade du document: (50) Approbation
Langue du document: F
DOCUMENT PROTÉGÉ PAR COPYRIGHT
©
Type du document: Norme internationale
Sous-type du document:
Stade du document: (50) Approbation
Langue du document: F
ISO/IEC FDIS 27031:20242025(fr)
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvreoeuvre, aucune partie
de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique
ou mécanique, y compris la photocopie, ou la diffusion sur l'internetl’internet ou sur un intranet, sans autorisation écrite
préalable. Une autorisation peut être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du
demandeur.
ISO Copyright Officecopyright office
Case PostaleCP 401 • • Ch. de Blandonnet 8
CH-1214 Vernier, GenèveGeneva
Tél. : Phone: + 41 22 749 01 11
E-mail : : copyright@iso.org
Web : Website: www.iso.org
Publié en Suisse
iii
ISO/IEC FDIS 27031:20242025(fr)
Sommaire Page
Avant-propos . vi
Introduction . vii
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Abréviations . 3
5 Structure du présent document . 3
5.1 Généralités . 3
6 Intégration de la PTCA dans le MCA . 4
6.1 Généralités . 4
6.2 Facilitation de la gouvernance . 5
6.3 Objectifs du management de la continuité d'activité . 6
6.4 Management du risque et mesures de sécurité applicables pour la PTCA . 7
6.5 Gestion des incidents et relation avec la PTCA . 7
6.6 Stratégies MCA et alignement sur la PTCA . 8
7 Attentes Métier pour la PTCA . 8
7.1 Revue des risques . 8
7.2 Données provenant de l'analyse d'impact sur l'activité . 10
7.3 Couverture et interfaces . 11
8 Définition des prérequis pour la PTCA . 12
8.1 Sur la base d'un incident - préparation avant l'incident . 12
8.2 Détermination du DR cible et de l'OPR cible des TIC . 18
9 Détermination des stratégies PTCA . 18
9.1 Généralités . 18
9.2 Options de stratégie PTCA . 19
10 Détermination du plan de continuité des TIC . 23
10.1 Prérequis pour l'élaboration des plans . 23
10.2 Activation du plan de reprise . 27
10.3 Plans de reprise TIC . 28
10.4 Plans de contournement temporaires . 29
10.5 Contacts et procédures externes . 29
11 Essais, exercice et audit . 30
11.1 Critères de performance . 30
11.2 Dépendances des essais . 30
11.3 Enseignements tirés des essais . 35
11.4 Audit de la PTCA. 35
11.5 Maîtrise des informations documentées . 36
12 OMCA final . 36
13 Responsabilité de la direction au plus haut niveau concernant l'évaluation de la PTCA . 37
13.1 Généralités . 37
13.2 Responsabilités de la direction . 37
Annexe A (informative) Comparaison du DR et de l'OPR aux objectifs d'activité pour la reprise
des TIC . 38
Annexe B (informative) Établissement du rapport sur les risques pour la FMEA . 40
iv
ISO/IEC FDIS 27031:20242025(fr)
Bibliographie . 41

v
ISO/IEC FDIS 27031:20242025(fr)
Avant-propos
L'ISO (Organisation internationale de normalisation) et l'IECl’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes nationaux
membres de l'ISO ou de l'IECl’IEC participent au développement de Normes Internationalesinternationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des domaines
particuliers de l'activité technique. Les comités techniques de l'ISO et de l'IECl’IEC collaborent dans des
domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l'IECl’IEC, participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères
d'approbation requis pour les différents types de documents ISO. Le présent document a été rédigé
conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives ou www.iec.ch/members_experts/refdocs).
Field Code Changed
L'ISOL’ISO et l'IECl’IEC attirent l'attentionl’attention sur le fait que la mise en application du présent document
peut entraîner l'utilisation d'unl’utilisation d’un ou de plusieurs brevets. L'ISOL’ISO et L'IECl’IEC ne prennent
pas position quant à la preuve, à la validité et à l'applicabilitél’applicabilité de tout droit de propriétébrevet
revendiqué à cet égard. À la date de publication du présent document, l'ISOL’ISO et l'IECl’IEC n'avaient pas
reçu notification qu'unqu’un ou plusieurs brevets pouvaient être nécessaires à sa mise en application.
Toutefois, il y a lieu d'avertird’avertir les responsables de la mise en application du présent document que des
informations plus récentes sont susceptibles de figurer dans la base de données de brevets, disponible aux
adresses à l'adresse www.iso.org/brevets et https://patents.iec.ch. L'ISOL’ISO et l'IECl’IEC ne sauraient être
tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits de brevetpropriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l'intentionl’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux
principes de l'Organisationl’Organisation mondiale du commerce (OMC) concernant les obstacles techniques
au commerce (OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir www.iec.ch/understanding-
standards.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
Cette deuxième édition annule et remplace la première édition (ISO/IEC 27031:2011), qui a fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes:
— — la structure du document a été modifiée;
— — le domaine d'application a été modifié pour clarification;
— — un contenu technique a été ajouté en 6.4, 6.5, 6.66.4, 6.5, 6.6, 9.2, 9.2 et 10.1.510.1.5.
Il convient que l'utilisateurl’utilisateur adresse tout retour d'informationd’information ou toute question
concernant le présent document à l'organismel’organisme national de normalisation de son pays. Une liste
exhaustive desdits organismes se trouve aux adresses à l’adresse www.iso.org/members.html et
www.iec.ch/national-committees.
vi
ISO/IEC FDIS 27031:20242025(fr)
Introduction
Les technologies de l'information et de la communication (TIC) sont devenues, au fil des années, partie
intégrante de nombreuses activités au sein des infrastructures critiques dans tous les secteurs d'activité
organisationnels, qu'ils soient publics ou privés. Le développement à grande échelle de l'internet et d'autres
services de mise en réseaux électroniques, ainsi que les capacités des systèmes et applications, a également
eu pour résultat que les organisations sont plus dépendantes d'infrastructures TIC fiables, sécurisées et
protégées.
Entre-temps, la nécessité d'un management de la continuité d'activité (MCA), y compris la préparation aux
incidents, la planification de la reprise après un sinistre, et la réponse et la gestion des urgences, a été reconnue
et soutenue avec le développement et l'approbation de domaines spécifiques de connaissances, d'expertise, et
de normes, y compris l'ISO 22313.
Les défaillances des services TIC, y compris celles provoquées par des problèmes liés à la sécurité, tels que la
violation de systèmes et les infections par des logiciels malfaisants, influent sur la continuité des opérations
Métier. Ainsi, la gestion des TIC et le management de la continuité associée, ainsi que d'autres aspects liés à la
sécurité, constituent un élément clé des exigences en matière de continuité d'activité. De plus, dans la majorité
des cas, les processus et activités critiques exigeant une continuité d'activité dépendent habituellement des
TIC. Cette dépendance signifie que des perturbations des TIC peuvent représenter des risques stratégiques
pour la renommée de l'organisation et sa capacité d'action.
Du fait de la prédominance croissante des services TIC basés sur l'internet (services TIC en nuage), la nature
de la capacité de préparation a changé, passant d'une dépendance aux processus internes à une dépendance
à la qualité et à la robustesse des services fournis par d'autres organisations et aux relations professionnelles
avec ces organisations.
Pour de nombreuses organisations, la préparation des TIC est un composant essentiel de la mise en œuvre
d'un processus de management de la continuité d'activité et de management de la sécurité de l'information.
Un système MCA efficace dépend ainsi fréquemment d'une préparation efficace des TIC afin de s'assurer que
les objectifs d'une organisation peuvent continuer à être satisfaits pendant les perturbations. Cet élément est
particulièrement important dans la mesure où les conséquences de perturbations des TIC présentent souvent
l'inconvénient supplémentaire d'être invisibles ou difficiles à déceler.
Pour pouvoir réaliser une préparation des TIC de façon à garantir la continuité de son activité (PTCA), il
convient qu'une organisation mette en place un processus systématique de prévention, prévision et gestion
des perturbations et des incidents liés aux TIC, susceptibles de perturber les services qui leur sont associés. Il
est possible d'y parvenir en coordonnant la PTCA avec les processus de sécurité de l'information et de MCA.
De cette manière, la PTCA soutient le MCA en s'assurant que les services TIC peuvent être restaurés aux
niveaux prédéterminés dans les délais requis et définis par l'organisation.
Lorsqu'une organisation utilise des normes pertinentes en matière de sécurité de l'information et de
continuité d'activité, il convient que la mise en place d'une PTCA prenne de préférence en considération les
processus existants ou prévus associés à ces normes. Cette association peut prendre en charge l'établissement
d'une PTCA, et éviter toute redondance éventuelle de processus pour l'organisation.
Le présent document décrit les concepts et principes de préparation des TIC pour la continuité d'activité
(PTCA), et fournit un cadre de méthodes et processus destinés à identifier et spécifier les aspects permettant
d'améliorer la préparation des TIC, et ce, de manière à assurer la continuité d'activité d'une organisation.
Le présent document complète les mesures de sécurité de l'information relatives à la continuité d'activité dans
l'ISO/IEC 27002. Il soutient également le processus de management des risques liés à la sécurité de
l'information spécifié dans l'ISO/IEC 27005.
vii
ISO/IEC FDIS 27031:20242025(fr)
Sur la base des objectifs de préparation des TIC, le présent document étend également les pratiques de gestion
des incidents de sécurité de l'information à la planification, à la formation et à l'exploitation de la préparation
des TIC.
viii
PROJET FINAL de Norme internationale ISO/IEC FDIS 27031:2024(fr)

Cybersécurité — Préparation des technologies de l'information et de
la communication pour la continuité d'activité
1 Domaine d'application
Le présent document décrit les concepts et les principes de la préparation des technologies de l'information
et de la communication (TIC) pour la continuité d'activité (PTCA). Il fournit un cadre de méthodes et de
processus pour identifier et spécifier les aspects permettant d'améliorer la préparation des TIC d'une
organisation afin d'assurer la continuité d'activité.
Le présent document sert les objectifs suivants en matière de continuité d'activité pour les TIC:
— — objectif minimal de continuité d'activité (OMCA) ;);
— — objectif de point de reprise (OPR) ;);
— — délai de reprise (DR) dans le cadre de la planification de la continuité d'activité des TIC.
Le présent document s'applique à tous les types et tailles d'organisations.
Le présent document décrit de quelle manière les services TIC planifient et se préparent à contribuer aux
objectifs de résilience de l'organisation.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ilsqu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'éditionl’édition citée
s'appliques’applique. Pour les références non datées, la dernière édition du document de référence s'applique
(y compris les éventuels amendements).
ISO/IEC 27000, Technologies de l'information — Techniques de sécurité — Systèmes de management de la
sécurité de l'information — Vue d'ensemble et vocabulaire
ISO/IEC 27002, Sécurité de l'information, cybersécurité et protection de la vie privée — Mesures de sécurité de
l'information
ISO/IEC 27005, Sécurité de l'information, cybersécurité et protection de la vie privée — Préconisations pour la
gestion des risques liés à la sécurité de l'information
ISO/IEC 27035-1:2023, Technologies de l'information — Gestion des incidents de sécurité de l'information —
Partie 1 : : Principes et processus
ISO 22300, Sécurité et résilience — Vocabulaire
ISO 22301, Sécurité et résilience — — Systèmes de management de la continuité d'activité — Exigences
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO/IEC 27000, ISO/IEC 27002,
ISO/IEC 27005, ISO/IEC 27035-1, ISO 22300 et ISO 22301, ainsi que les suivants s'appliquent.
ISO/IEC FDIS 27031:20242025(fr)
L'ISOL’ISO et l'IECl’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes ::
— — ISO Online browsing platform: disponible à l'adressel’adresse https://www.iso.org/obp
— — IEC Electropedia: disponible à l'adressel’adresse https://www.electropedia.org/
3.1 3.1
mode de défaillance
méthode d'observation d'une défaillance
Note 1 à l'article : : Cela décrit généralement le mode d'occurrence de la défaillance et son impact sur le fonctionnement
du système.
3.2 3.2
reprise après un sinistre des technologies de l'information et de la communication
capacité des éléments de technologies de l'information et de la communication d'une organisation à soutenir
ses processus et activités critiques à un niveau acceptable dans un délai prédéterminé à la suite d'une
perturbation
3.3 3.3
préparation des technologies de l'information et de la communication
état d'une fonction de technologies de l'information et de la communication (TIC) dans lequel elle dispose des
connaissances, des compétences, des processus, de l'architecture, de l'infrastructure et des technologies
connexes pour la préparation à un événement potentiel qui entraînerait soit une perturbation intolérable
des TIC, soit une perte intolérable de données
Note 1 à l'article : : Cela ne signifie pas que la fonction de TIC est parfaitement informée et capable de tout
faire, mais plutôt qu'elle est adaptée aux objectifs et prête pour la préparation, la réponse et la reprise si une telle situation
d'urgence se produit.
3.4 3.4
objectif minimal de continuité d'activité
OMCA
niveau minimal de services et/ou produits acceptable par l'organisation pour atteindre ses objectifs d'activité
lors d'une perturbation
3.5 3.5
objectif de point de reprise
OPR
point à partir duquel les informations utilisées par une activité doivent être restaurées afin de permettre un
fonctionnement en reprise
Note 1 à l'article : : Il peut également être désigné en tant que «perte maximale de données».
3.6 3.6
délai de reprise
DR
durée après un incident pendant laquelle un produit et service ou une activité sont repris, ou des ressources
sont rétablies
3.7 3.7
restauration
niveau de rétablissement des données, des systèmes TIC et des opérations Métier à leur état normal après une
perturbation, avec une perte minimale, le cas échéant
© ISO/IEC 2025 – Tous droits réservés
3.8 3.8
déclencheur
événement qui provoque la réaction du système
Note 1 à l'article : : Également appelé événement déclencheur.
4 Abréviations
AIA Analyse d'impact sur l'activité
CVC Chauffage, ventilation et air conditionné
DR Délai de reprise
OMCA Objectif minimal de continuité d'activité
OPR Objectif de point de reprise
PCA Plan de continuité d'activité
PTCA Préparation des TIC pour la continuité d'activité
TIC Technologies de l'information et de la communication
5 Structure du présent document
5.1 Généralités
L'objectif de chaque article du présent document est le suivant:
— — l'Article 6l'Article 6 explique comment la PTCA est liée au MCA et à d'autres processus
organisationnels qui sont liés à la PTCA;
— — l'Article 7l'Article 7 explique comment la continuité d'activité de l'organisation établit des objectifs
qu'il convient d'essayer d'atteindre pour la PTCA;
— — l'Article 8l'Article 8 donne des recommandations sur ce qui est nécessaire pour définir les
caractéristiques actuelles des TIC qui ont une influence sur la PTCA;
— — l'Article 9l'Article 9 donne des recommandations sur différentes stratégies qui peuvent être utilisées
et qu'il convient de déterminer pour la PTCA en fonction des objectifs et des caractéristiques actuelles
des TIC qu'il convient de suivre pour les plans de continuité des TIC;
— — l'Article 10l'Article 10 donne des recommandations sur la manière de concevoir des plans de
continuité des TIC fondés sur des stratégies déterminées et sur la manière de traiter différents types de
situations défavorables afin d'atteindre les objectifs de continuité pour les TIC;
— — l'Article 11l'Article 11 donne des recommandations sur la manière de soumettre à l'essai et de finaliser
les plans de continuité des TIC;
— — l'Article 12l'Article 12 donne des recommandations sur la manière d'établir les OPR et DR finaux sur
la base des plans de continuité des TIC et sur la manière de déterminer la capacité à répondre aux
exigences opérationnelles;
— — l'Article 13l'Article 13 donne des recommandations sur le retour d'information de la PTCA à la
direction au plus haut niveau afin que celle-ci approuve les plans ou les décisions de traitement du risque
si les objectifs d'activité n'ont pas été atteints.
© ISO/IEC 2025 – Tous droits réservés
ISO/IEC FDIS 27031:20242025(fr)
Une planification et des vérifications spécifiques des TIC sont essentielles pour construire et assurer que
les TIC peuvent faire face à des événements. Sans cette préparation, l'organisation subit des perturbations
intolérables des activités prioritaires ou des pertes de données.
Il convient que de tels événements, pouvant résulter de défaillances techniques ou d'incidents de
cybersécurité, incitent la fonction de TIC à interfacer sa gouvernance, sa planification et son fonctionnement
avec les exigences découlant de l'activité décisionnelle du management de la continuité d'activité et du
management de la sécurité de l'information.
6 Intégration de la PTCA dans le MCA
6.1 Généralités
Le risque associé aux perturbations dans le cadre de la sécurité de l'information et des TIC est principalement
lié à la disponibilité lorsque survient une situation défavorable qui perturbe la disponibilité des services TIC
pour les activités Métier.
Les risques associés ont les caractéristiques d'une très faible vraisemblance, ce qui signifie qu'ils peuvent se
produire très rarement, voire jamais, mais qu'ils ont des conséquences et un impact sur l'activité
considérables s'ils se produisent. Il convient de noter que la continuité d'activité est l'activité censée réduire
le plus fortement possible les conséquences si de tels risques se produisent, car, dans la plupart des cas, la
vraisemblance de ces risques ne peut jamais être totalement éliminée.
La détermination des risques pour les processus d'activité peut résulter du processus de management du
risque et des mesures de sécurité visant à les atténuer pour maintenir la continuité d'activité.
Les activités prioritaires sont identifiées au moyen d'une analyse d'impact sur l'activité (AIA) portant sur les
processus d'activité et les fonctions, qui permet de déterminer les dépendances des TIC et d'établir des délais
critiques.
Les événements réels ou les scénarios de risque concernant la manière dont les services TIC sont interrompus
peuvent être difficiles à déterminer pour les entreprises et sont généralement situés à un niveau élevé, sur la
base de différentes menaces. Ces menaces et ces sources peuvent inclure:
— — sources environnementales — incendies, inondations, etc. ;.;
— — défaillances techniques matérielles et logicielles, ou les insuffisances ou pannes de l'alimentation et de
la climatisation (CVC) ;);
— — source de risque humain involontaire — erreurs dans la gestion des modifications, sauvegarde mal
configurée, etc. ;.;
— — source de risque humain intentionnelle — piratage, logiciels malfaisants, sabotage;
— — sociétales — pandémie, grèves, troubles sociaux, etc. ;.;
— — cyberattaques — DOS, DDOS;
— — spécifiques à la chaîne d'approvisionnement des TIC:
— — perturbation du canal de communication avec un fournisseur de données/services;
— — perturbation d'un fournisseur de services en nuage;
© ISO/IEC 2025 – Tous droits réservés
— — exigences peu claires en matière de sécurité de l'information dans les conditions contractuelles
couvrant les services TIC fournis par des parties externes.
Ces menaces ou événements peuvent considérablement perturber les services TIC et déclencher des stratégies
de continuité d'activité, avec les conséquences suivantes:
— — perte de matériels et logiciels de TIC critiques;
— — perte de service de TIC critique;
— — perte d'installations;
— — perte de service de TIC critique d'un fournisseur;
— — perte de personnel clé.
Il convient que ces scénarios soient pris en compte dans le cadre de la planification de la continuité d'activité
pour les TIC s'ils sont pertinents pour les TIC fournies à l'activité. Il convient de déterminer des stratégies
globales et d'élaborer et de soumettre à l’essai le PCA afin de déterminer les risques résiduels à traiter dans le
cadre du processus de management du risque. Les vulnérabilités ou les autres faiblesses qui provoquent de
graves perturbations pour les TIC peuvent être déterminées au moyen d'un management des risques. C'est au
moyen d'une évaluation des risques et d'un traitement des risques que les risques peuvent être atténués.
Cependant, cette atténuation n'élimine pas la nécessité de mettre en place une PTCA, car il existe toujours un
risque qu'un événement imprévu se produise.
6.2 Facilitation de la gouvernance
Il convient que les organisations aient une connaissance générale de la préparation des différents éléments
des TIC, y compris les suivants:
— — les services TIC;
— — les installations TIC;
— — la technologie (matériel, logiciels, architecture) ;);
— — les données;
— — les processus;
— — les fournisseurs, ainsi que leurs composantes critiques; et
— — les compétences du personnel.
La connaissance de la structure des TIC est un élément crucial pour assurer le soutien nécessaire à la
gouvernance de la continuité d'activité, y compris la préparation des TIC. Il convient par conséquent que
l'organisation:
a) a) suscite, améliore et maintienne la sensibilité par le biais d'un programme permanent de
formation, d'études et d'information destiné au personnel compétent, et établisse un processus
d'évaluation de l'efficacité de la prestation de sensibilisation; et
b) b) s'assure que le personnel est conscient de sa contribution à la réalisation des objectifs de
préparation des TIC pour la continuité d'activité (PTCA).
© ISO/IEC 2025 – Tous droits réservés
ISO/IEC FDIS 27031:20242025(fr)
Il convient que l'organisation s'assure que l'ensemble du personnel auquel il a confié des responsabilités PTCA
dispose des compétences nécessaires pour exécuter les tâches requises, et ce en:
c) c) déterminant les compétences nécessaires dudit personnel;
d) d) effectuant une analyse des besoins en formation de ce même personnel;
e) e) assurant une formation;
f) f) s'assurant de l'acquisition effective des compétences nécessaires; et
g) g) tenant des registres dédiés aux études, à la formation, aux compétences, à l'expérience et aux
qualifications.
Il convient que la direction au plus haut niveau ou ses délégués s'assurent qu'une répartition claire et complète
des rôles a été établie avec une granularité suffisante pour identifier chaque rôle individuel dans la PTCA. Il
convient de documenter l'identification des responsabilités liées à chaque rôle attribué.
Il convient de planifier, d'élaborer et de mettre en œuvre un programme de formation à la PTCA afin de
s'assurer que le personnel concerné ayant un rôle dans la PTCA puisse remplir ses responsabilités lorsqu'un
événement se produit.
NOTE Pour plus de détails concernant la sensibilisation et la formation à la gestion des incidents de sécurité de
l'information, voir l'ISO/IEC 27035-2.
6.3 Objectifs du management de la continuité d'activité
Le management de la continuité d'activité est le processus permettant de mettre en œuvre et de maintenir la
capacité d'une organisation à continuer la fourniture de produits et de services dans des délais acceptables
avec une capacité prédéfinie pendant une perturbation. (voir ISO 22313).
La PTCA, comme partie intégrante du processus MCA, se rapporte à un processus visant à améliorer la
préparation immédiate de l'organisation pour:
a) a) réagir à un environnement de risque en constante évolution affectant les TIC;
b) b) assurer la continuité des services TIC liés qui soutiennent les activités prioritaires;
c) c) anticiper et être prêt à réagir bien avant la perturbation d'un service TIC, dès la détection d'un
ou d'une série d'événements associés qui deviennent des incidents; et
d) d) réagir et reprendre l'activité à la suite d'incidents et des défaillances affectant les TIC.
Une organisation fixe par conséquent ses priorités MCA, qui orientent les activités PTCA. À son tour, le MCA
dépend de la PTCA afin de s'assurer que l'organisation peut satisfaire de façon permanente à ses objectifs
généraux de continuité du service TIC, et notamment pendant des périodes de perturbation.
Ces objectifs de préparation incluent notamment:
e) e) l'amélioration des capacités de détection d'un incident;
f) f) la prévention de toute défaillance subite ou sévère;
g) g) la possibilité d'une dégradation acceptable du service opérationnel si la défaillance ne peut pas
être empêchée;
© ISO/IEC 2025 – Tous droits réservés
h) h) une réduction supplémentaire du temps de reprise; et
i) i) la réduction la plus forte possible des conséquences sur l'occurrence éventuelle de l'incident.
6.4 Management du risque et mesures de sécurité applicables pour la PTCA
Le processus de management du risque inclut les risques liés à la sécurité de l'information lorsque le risque
lié à la perte de disponibilité des services TIC dans des situations défavorables s'applique à la préparation
des TIC et à la continuité d'activité. Ces risques sont caractérisés par une très faible vraisemblance et un très
fort impact.
Il convient que le traitement du risque comporte des mesures de sécurité liées à la continuité de l'activité.
Ces mesures sont essentielles pour modifier et diminuer le risque et réduire l'impact sur l'activité grâce à
une PTCA. Il convient alors de déterminer l'étendue et la capacité de la PTCA par le biais du processus de
management du risque, en fonction de la propension à prendre des risques et de l'analyse d'impact sur
l'activité.
Le management du risque et les rapports sur l'état du risque aident l'entreprise à déterminer le risque et
l'éventuelle acceptation du risque selon une perspective stratégique et à long terme.
La PTCA soutient la mise en œuvre réelle de la mesure de sécurité spécifiée dans l'ISO/IEC 27002:2022, 5.30.
Pour des informations supplémentaires sur le management des risques liés à la sécurité de l'information, voir
l'ISO/IEC 27005.
6.5 Gestion des incidents et relation avec la PTCA
Les incidents applicables à la PTCA se situent au niveau de classification le plus élevé de la classification des
incidents de l'organisation subissant ces incidents.
Les incidents que la PTCA peut aider à atténuer sont habituellement considérés comme très improbables, mais
ont un impact significatif ou catastrophique sur les services TIC s'ils se produisent. L'objectif de la PTCA est
de développer des stratégies qui aident l'organisation à prévenir, répondre et reprendre l'activité à la suite
d'incidents qui impactent des services TIC.
Il convient que des déclencheurs de l'activation de plans PTCA soient définis dans le cadre du processus de
gestion des incidents de l'organisation, y compris des plans de réponse aux incidents de sécurité de
l'information qui peuvent inclure les interactions suivantes pendant le flux d'événements et d'incidents de
sécurité de l'information:
— — il convient qu'un lien soit établi entre le coordinateur chargé des incidents (voir l'ISO/IEC 27035-1) et
la PTCA responsable dès que l'effet potentiel de l'incident sur la continuité d'activité est identifié;
— — il convient que des canaux et procédures de communication soient préparés pour permettre le
transfert de la responsabilité opérationnelle entre la gestion des incidents et les éléments de réponse de
la PTCA préparés pour éviter toute perte de temps incontrôlée et respecter les délais convenus;
— — il convient que le transfert de responsabilité de la PTCA responsable au coordinateur chargé des
incidents soit prévu pour permettre la préparation du rapport d'incident et introduire sa proposition
d'amélioration par le biais de «leçons apprises». Voir l'ISO/IEC 27035-1:2023, Article 5 pour plus de
détails.
Pour des informations générales supplémentaires sur la gestion des incidents de sécurité de l'information,
voir l'ISO/IEC 27035-1.
© ISO/IEC 2025 – Tous droits réservés
ISO/IEC FDIS 27031:20242025(fr)
6.6 Stratégies MCA et alignement sur la PTCA
La dépendance d'une organisation aux TIC dans une situation défavorable peut varier et les caractéristiques
d'une situation défavorable peuvent également avoir une incidence sur la dépendance aux TIC. Il convient que
la stratégie de MCA indique les délais et les priorités de la PTCA.
Les stratégies de continuité d'activité qui influencent la PTCA peuvent être les suivantes:
— — mettre l'activité à l'arrêt pendant un certain temps;
— — relocaliser l'activité vers un autre site;
— — coopérer avec le fournisseur ou le partenaire.
Les décisions peuvent être les suivantes:
— — la priorité donnée aux opérations ou processus d'activité et les délais les concernant;
— — les services TIC et leurs OPR et DR.
Il convient que la PTCA permette aux organisations d'utiliser les TIC dans des situations défavorables lorsque
le MCA est opérationnel. Deux cas peuvent se présenter:
a) a) la PTCA n'est pas en mesure de respecter l'OPR ou le DR pour certains processus/fonctions.
Dans ce cas, l'organisation doit aligner le PCA en ce qui concerne ces processus/fonctions afin de
permettre des opérations sans TIC jusqu'à ce qu'elles soient disponibles conformément au délai prévu
par la PTCA;
b) b) la PTCA peut respecter l'OPR ou le DR pour tous les processus/fonctions. Ensuite, le PCA de
l'organisation est aligné.
Il convient qu'une organisation détermine les objectifs minimaux de continuité d'activité (OMCA) des TIC sur
la base des objectifs de point de reprise (OPR) et des délais de reprise (DR) à l'intérieur du domaine
d'application des TIC.
7 Attentes Métier pour la PTCA
7.1 Revue des risques
7.1.1 Généralités
Le processus de management des risques liés à la sécurité de l'information est expliqué plus en détail dans
l'ISO/IEC 27005, qui est également alignée sur les lignes directrices pour le management des risques données
dans l'ISO 31000.
La continuité d'activité des TIC vient à l'appui de la gestion des incidents lorsqu'un incident majeur affectant
les TIC s'est produit. La PTCA modifie les risques de sécurité de l'information liés à la disponibilité avec une
faible vraisemblance, mais avec des conséquences significatives.
Il convient que les stratégies de PTCA soient résilientes et adaptables, et il convient que toute modification des
services TIC susceptible d'avoir une incidence sur la capacité PTCA soit uniquement mise en œuvre après
évaluation, traitement et approbation des implications de cette modification sur la continuité d'activité.
Il convient que toute modification des services TIC susceptible d'avoir une incidence sur la capacité PTCA soit
uniquement mise en œuvre après évaluation et traitement des implications de cette modification sur la
continuité d'activité.
© ISO/IEC 2025 – Tous droits réservés
Afin de s'assurer de la pérennité du caractère approprié pour l'organisation des stratégies et plans PTCA:
a) a) il convient que la direction au plus haut niveau s'assure que les stratégies PTCA viennent
toujours à l'appui des exigences MCA de l'organisation (voir 13.213.2) ;);
b) b) il convient que le processus de gestion des modifications inclue toutes les parties responsables
des stratégies PTCA, tant dans leur planification que dans leur mise en œuvre;
c) c) il convient que le processus de développement des nouveaux services TIC comprenne
l'approbation du fait que la résilience de la PTCA n'a aucunement été remise en cause par les
actualisations ou améliorations même les plus simples;
d) d) il convient que la PTCA prenne en compte le devoir de précaution portant sur l'activité de
fusion-acquisition; et
e) e) il convient que la PTCA prenne en compte toute mise hors service d'un composant TIC.
Il convient que l'organisation établisse un processus de suivi et de détection de l'émergence de menaces
pesant sur la sécurité TIC, y compris, sans toutefois s'y limiter, les domaines suivants:
f) f) maintien du personnel, de ses compétences et de ses connaissances;
g) g) gestion des installations destinées à héberger le matériel TIC (par exemple, par un contrôle du
nombre et de la nature des incidents relatifs à la sécurité/vulnérabilités en matière de sécurité associés
aux salles informatiques) ;);
h) h) modifications des technologies, installations, matériels, applications et bases de données
d'assistance;
i) i) enveloppe financière ou budgétaire; et
j) j) efficacité des services et fournisseurs externes (fournitures).
7.1.2 Suivi, détection et analyse des menaces et des événements
Le suivi des systèmes TIC et de leurs composants critiques constitue la première ligne de défense pour
permettre la détection de situations anormales, telles que des vulnérabilités susceptibles d'être exploitées
pour devenir un événement, puis de se transformer en un incident et une perturbation des TIC pouvant
entraîner l'activation de la capacité et des processus PTCA.
La détection d'événements et de situations indésirables, tels que des mesures de sécurité mal configurées, des
écarts par rapport à des politiques, ou des défaillances mécaniques, est également essentielle, car la réaction
à l'incident ne peut commencer qu'à partir du moment où l'événement est signalé au point de contact et
apprécié par le coordinateur chargé des incidents (voir l'ISO/IEC 27035-1).
L'analyse des menaces est un autre moyen de prévoir ce qui peut nuire aux systèmes TIC, étant donné que les
menaces se trouvent généralement encore hors des préoccupations et des mesures de sécurité directes. Pour
cela, il est nécessaire d'être informé en permanence par des organismes spécialisés et de vérifier si les TIC
d'une organisation peuvent être potentiellement touchées et compromises, ou si elles sont affectées par la
menace. Si tel est le cas, il convient d'activer la capacité de gestion des vulnérabilités afin de préparer
l'amélioration de la protection actuelle.
© ISO/IEC 2025 – Tous droits réservés
ISO/IEC FDIS 27031:20242025(fr)
7.2 Données provenant de l'analyse d'impact sur l'activité
7.2.1 Généralités
Il convient que l'organisation catégorise ses activités en fonction de leur priorité en matière de continuité, tel
que déterminé par une analyse d'impact sur l'activité (voir l'ISO/TS 22317). Il convient également qu'elle
définisse le niveau minimal auquel il convient que chaque activité critique soit réalisée lors de la reprise. Il
convient que la direction au plus haut niveau approuve les exigences de continuité d'activité de l'organisation
(voir 13.213.2).). Il convient que ces exigences se traduisent par un DR et un OPR pour l'OMCA pour chaque
produit, service ou activité. Ces DR partent du point de perturbation effective et s'appliquent au produit, au
service ou à l'activité jusqu'à sa reprise.
7.2.2 Compréhension des services TIC critiques
Un certain nombre de services TIC peuvent être considérés comme critiques et nécessaires pour permettre la
reprise de l'activité. Il convient que le DR, l'OPR et l'OMCA de chacun de ces services critiques soient
documentés (ces objectifs peuvent inclure les aspects de la fourniture de services TIC, tels qu'un service
d'assistance). Le DR des services TIC critiques est invariablement inférieur au DR de l'activité Métier, du fait
des interdépendances entre les services TIC.
Il convient que l'organisation identifie et documente ses services TIC critiques et qu'elle inclue les descriptions
succinctes et les appellations qui se révèlent utiles au niveau de l'utilisateur de services. CeciCela assure une
compréhension commune entre le personnel Métier et le personnel TIC, dans la mesure où différents noms
peuvent être utilisés pour le même service. Il convient que chaque service TIC critique identifie le produit ou
le service de l'organisation
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Loading comments...

The ISO/IEC 27031:2025 standard presents a comprehensive framework for enhancing information and communication technology (ICT) readiness for business continuity. Its scope is particularly significant, as it addresses the critical components necessary for ensuring the sustainability of an organization in the face of potential disruptions. The standard outlines key concepts such as minimum business continuity objectives (MBCO), recovery point objectives (RPO), and recovery time objectives (RTO), which are vital metrics for ICT business continuity planning. One of the strengths of ISO/IEC 27031:2025 is its applicability across various types and sizes of organizations. This inclusivity means that both small enterprises and large corporations can benefit from its guidelines, making it a versatile tool that can adapt to various operational contexts. Furthermore, the document equips ICT departments with methods and processes that clarify their roles in contributing to overall resilience objectives, which is crucial for cohesive and effective business continuity strategies. Another noteworthy aspect of this standard is its focus on ICT readiness. By emphasizing preparedness, the document fosters a proactive approach to risk management, encouraging organizations to identify potential vulnerabilities within their ICT infrastructure before they escalate into significant issues. This forward-thinking mentality is essential for maintaining operational integrity during crises. In conclusion, ISO/IEC 27031:2025 stands out as an essential resource for organizations aiming to bolster their ICT capabilities in relation to business continuity. Its detailed exploration of readiness concepts and its practical applications make it a pivotal standard for improving resilience and ensuring sustainability in an increasingly digital business landscape.

Die ISO/IEC 27031:2025 ist ein äußerst relevantes Dokument, das sich mit der Cybersecurity und der Bereitschaft von Informations- und Kommunikationstechnologien (IKT) für die Geschäftskontinuität befasst. Der Standard bietet ein umfassendes Rahmenwerk für Methoden und Prozesse, die es Organisationen ermöglichen, ihre IKT-Bereitschaft zu bewerten und zu verbessern, um die Kontinuität des Geschäftsbetriebs zu gewährleisten. Ein herausragendes Merkmal der ISO/IEC 27031:2025 ist ihr klar definierter Anwendungsbereich, der für alle Arten und Größen von Organisationen Gültigkeit hat. Dies fördert eine breite Anwendbarkeit und unterstützt den unterschiedlichen Anforderungen von Unternehmen unterschiedlichster Sektoren. Der Standard legt die grundlegenden Konzepte und Prinzipien der IKT-Bereitschaft fest, was eine systematische Herangehensweise an die Planung und Umsetzung von Strategien zur Sicherstellung der Geschäftskontinuität ermöglicht. Besonders hervorzuheben sind die spezifischen Ziele, die im Rahmen der Geschäftskontinuitätsplanung abgedeckt werden: das Minimum Business Continuity Objective (MBCO), das Recovery Point Objective (RPO) sowie das Recovery Time Objective (RTO). Diese Zielsetzungen sind entscheidend, um sicherzustellen, dass Organisationen im Falle von Störungen sofort reagieren können und ihre betrieblichen Abläufe schnellstmöglich wiederhergestellt werden. Die Stärkung der Resilienz von Organisationen steht im Mittelpunkt des Standards. IKT-Abteilungen erhalten klare Vorgaben, wie sie ihre Planungs- und Vorbereitungsaktivitäten effektiv gestalten können, um zu den übergeordneten Resilienz-Zielen der Organisation beizutragen. Dadurch wird nicht nur die Sicherheit der Informationen erhöht, sondern auch das Vertrauen in die gesamte IKT-Infrastruktur gestärkt. Die ISO/IEC 27031:2025 ist somit ein essenzielles Instrument für Unternehmen, die ihre Cybersecurity-Anforderungen ernst nehmen und sicherstellen möchten, dass ihre IKT-Systeme auch in Krisensituationen nahtlos funktionieren. Die Integration dieser Standards in die Geschäftsstrategien fördert langfristig nicht nur die Stabilität, sondern auch die Wettbewerbsfähigkeit der Organisationen im digitalen Zeitalter.

ISO/IEC 27031:2025 표준은 사이버 보안 및 정보 통신 기술(ICT)의 비즈니스 연속성을 위한 준비성(ICT Readiness for Business Continuity)을 다루고 있습니다. 이 표준은 비즈니스 연속성을 확보하기 위한 ICT 준비성의 개념과 원칙을 설명하며, 조직의 ICT 준비성을 개선할 수 있는 방법과 프로세스의 프레임워크를 제공합니다. 이 문서는 ICT 비즈니스 연속성 계획의 일환으로 최소 비즈니스 연속성 목표(MBCO), 복구 지점 목표(RPO), 복구 시간 목표(RTO)와 같은 비즈니스 연속성 목표를 설정하는 데 중점을 두고 있습니다. 이는 조직이 ICT 부서를 통해 회복력을 높이는 데 기여할 수 있도록 준비하고 계획하는 방법을 설명합니다. ISO/IEC 27031:2025 표준의 강점은 모든 유형과 규모의 조직에 적용될 수 있어 다양한 비즈니스 환경에서 유용하게 활용될 수 있다는 점입니다. 이는 조직이 ICT 준비성을 평가하고 필요한 개선 사항을 식별하여 비즈니스 연속성을 보장하는 데 필요한 프로세스를 명확히 제시함으로써, 전체적인 위험 관리 체계에 기여하는 바가 큽니다. 따라서 이 표준은 현대의 복잡한 IT 환경에서 기업이 효과적으로 사이버 보안을 강화하고 비즈니스 연속성 계획을 수립하는 데 있어 필수적인 도구가 될 것입니다.

La norme ISO/IEC 27031:2025, intitulée « Cybersécurité - Préparation des technologies de l'information et de la communication pour la continuité des activités », offre une analyse approfondie et systématique de la préparation des technologies de l'information et de la communication (TIC) pour garantir la continuité des activités. Son champ d'application vaste en fait un outil essentiel tant pour les grandes entreprises que pour les PME, couvrant ainsi tous les types et tailles d'organisations. Parmi ses points forts, cette norme se distingue par son cadre méthodologique structuré qui permet d'identifier et de spécifier les aspects critiques à améliorer concernant la préparation TIC afin d'assurer la continuité des activités. Les objectifs de continuité des activités (MBCO, RPO et RTO) sont clairement définis, ce qui permet aux départements TIC de planifier et de se préparer efficacement pour contribuer aux objectifs de résilience de l'organisation. Cette clarté et précision dans la définition des objectifs font de la norme un référentiel incontournable pour quiconque souhaite renforcer la résilience organisationnelle par une meilleure préparation TIC. De plus, la pertinence de cette norme dans le contexte actuel est indéniable. À une époque où les cybermenaces sont en constante évolution, les entreprises doivent nécessairement intégrer des protocoles de préparation et de réponse robustes. ISO/IEC 27031:2025 sert de guide à la création de plans de continuité d'activité fiables, en mettant l'accent sur l'intégration des processus TIC dans la stratégie globale de gestion des risques. En somme, la norme ISO/IEC 27031:2025 s'impose comme une référence essentielle pour les organisations désireuses de renforcer leur infrastructure TIC face aux enjeux de continuité des activités. Elle améliore non seulement la mise en œuvre des pratiques de cybersécurité, mais elle favorise également une culture de résilience au sein des structures organisationnelles.

Das Standardisierungsdokument ISO/IEC 27031:2025 bietet einen umfassenden Rahmen für die Bereitschaft von Informations- und Kommunikationstechnologie (IKT) im Hinblick auf die Geschäftskontinuität. Der Begriff der IKT-Bereitschaft für die Geschäftskontinuität (IRBC) wird detailliert beschrieben, was die Relevanz dieses Standards für Unternehmen aller Größen und Branchen unterstreicht. Die Stärken des Dokuments liegen vor allem in seiner strukturierten Herangehensweise, die eine klare Definition der Mindestziele für die Geschäftskontinuität (MBCO), der Wiederherstellungspunkte (RPO) und der Wiederherstellungszeiten (RTO) umfasst. Diese Ziele sind entscheidend für die Entwicklung von IKT-Strategien, die nicht nur die Effizienz steigern, sondern auch die Resilienz der Organisation gegenüber unerwarteten Störungen fördern. Die Integration dieser Aspekte in die IKT-Geschäftskontinuitätsplanung stellt sicher, dass Unternehmen im Krisenfall schnell und effizient reagieren können. Zudem bietet der Standard praktische Methoden und Prozesse, um die IKT-Bereitschaft zu evaluieren und zu verbessern, was ihn zu einem unverzichtbaren Werkzeug für IKT-Abteilungen macht. Durch die systematische Planung und Vorbereitung können Unternehmen garantieren, dass ihre IKT-Systeme und -Prozesse dazu beitragen, die übergeordneten Resilienzziele der Organisation zu erreichen. Die Breite der Anwendbarkeit von ISO/IEC 27031:2025, unabhängig von der Größe und Art des Unternehmens, macht diesen Standard besonders relevant in der heutigen digitalen Welt, in der Cybersecurity und Geschäftskontinuität entscheidend für den langfristigen Erfolg sind. In Anbetracht der ständig wachsenden Bedrohungen im Bereich der Cybersicherheit ist die Implementierung der in diesem Standard beschriebenen Prinzipien und Konzepte von größter Bedeutung. Insgesamt hebt sich ISO/IEC 27031:2025 als grundlegendes Dokument für die Verbesserung der IKT-Bereitschaft und die Sicherstellung der Geschäftskontinuität hervor. Die klaren Zielvorgaben und methodischen Ansätze machen es zu einem wertvollen Bestandteil jeder umfassenden Geschäftskontinuitätsstrategie.

ISO/IEC 27031:2025는 사이버 보안 분야에서 정보 및 통신 기술(ICT)의 비즈니스 지속 가능성을 위한 준비성을 다루는 표준으로, 비즈니스 연속성 목표에 대한 심층적인 지침을 제공합니다. 이 표준의 주요 초점은 조직의 ICT 준비성을 평가하고 향상시키기 위한 방법과 프로세스를 체계적으로 정리하는 것입니다. 표준의 범위는 ICT 부서가 비즈니스 연속성 계획의 필수 요소인 최소 비즈니스 연속성 목표(MBCO), 복구 지점 목표(RPO) 및 복구 시간 목표(RTO)를 달성하기 위해 필요한 전략을 수립하고 준비하는 과정을 상세히 설명합니다. 이러한 주요 목표는 모든 유형과 규모의 조직에 적용 가능하므로, 다양한 산업에서의 활용도가 높습니다. 특히, ISO/IEC 27031:2025의 강점은 정보통신 기술이 비즈니스 운영의 핵심 요소임을 인식하고 이에 대한 준비가 조직의 회복력에 어떻게 기여하는지를 명확히 정리하고 있다는 점입니다. 이는 기업이 예상치 못한 IT 중단 상황에서도 정상적으로 운영을 이어갈 수 있도록 하는 기반을 마련해줍니다. 이 문서는 또한 조직의 ICT 부서가 비즈니스 지속 가능성을 지원하기 위한 준비를 체계적으로 계획하고, ICT의 역할을 강조함으로써 전체적인 비즈니스 전략과의 정렬을 도모합니다. 따라서, ISO/IEC 27031:2025는 현대 기업 환경에서 ICT의 중요성을 재확인하며, 기업의 지속 가능성과 회복력을 강화하는 데 불가결한 도구입니다.

ISO/IEC 27031:2025は、ビジネス継続性のための情報通信技術（ICT）準備に関する標準として、非常に重要な役割を果たしています。この標準の範囲は、ICTの準備状態を評価し最適化するための方法とプロセスを提供することで、組織のビジネス継続性を確保することにあります。これは、すべてのタイプや規模の組織に適用可能で、その汎用性が大きな強みとなっています。この標準が強調するのは、最小ビジネス継続性目標（MBCO）、復旧ポイント目標（RPO）、復旧時間目標（RTO）といった、ICTビジネス継続計画の核心要素です。これにより、組織はリスクを軽減し、意図しない中断からの迅速な復旧を図ることができるのです。実際、これらの目標に基づく計画は、ICT部門が組織のレジリエンス目標に貢献する準備を整える上で重要な役割を果たします。また、ISO/IEC 27031:2025は、情報と通信技術の管理者やビジネスリーダーに対して、継続的な運用の準備に必要な具体的な指針を提供します。このように、標準化文書は、組織が直面する可能性のある脅威に対して備えるための堅牢なフレームワークを示しており、その関連性は今後のビジネス環境においてますます高まるでしょう。特に、ICTの進展が早い現代において、ISO/IEC 27031:2025の原則に従った戦略が、組織の競争力を維持・向上させるためには欠かせません。これにより、情報セキュリティの面からの準備も強化され、組織全体としての抵抗力が向上します。

La norme ISO/IEC 27031:2025 est un document essentiel qui traite de la préparation des technologies de l'information et de la communication (TIC) en matière de continuité des activités. Son champ d'application est particulièrement pertinent dans le contexte actuel où les entreprises de toutes tailles doivent s'assurer que leurs opérations peuvent continuer face à des incidents perturbateurs. Une des forces de cette norme réside dans sa capacité à fournir un cadre structuré pour identifier et préciser les aspects nécessaires à l'amélioration de la préparation TIC, ce qui est crucial pour la résilience organisationnelle. En définissant des objectifs clairs tels que l'objectif minimal de continuité des activités (MBCO), l'objectif de point de récupération (RPO) et l'objectif de temps de récupération (RTO), la norme établit des références spécifiques qui aident les départements ICT à planifier et à se préparer de manière efficace. De plus, la norme ISO/IEC 27031:2025 est adaptable à tous les types et tailles d'organisations, ce qui en augmente considérablement la pertinence. Quelle que soit la dimension d'une entreprise, les principes exposés dans le document sont applicables, garantissant ainsi que même les plus petites structures peuvent bénéficier d'une préparation adéquate en matière de continuité des activités. En somme, la norme ISO/IEC 27031:2025 constitue un outil précieux pour les organisations qui souhaitent renforcer leur résilience grâce à une meilleure préparation en matière de TIC. Sa facilité d'application et ses concepts clairs en font une référence incontournable pour toute entreprise soucieuse d'optimiser sa continuité des activités.

Die ISO/IEC 27031:2025 ist ein äußerst relevantes Dokument im Bereich der Cybersicherheit, das sich auf die Bereitschaft von Informations- und Kommunikationstechnologie (IKT) für die Geschäftskontinuität konzentriert. Der Standard legt die Konzepte und Prinzipien der IKT-Bereitschaft für Geschäftskontinuität (IRBC) dar und bietet ein umfassendes Rahmenwerk von Methoden und Prozessen zur Identifikation und Spezifizierung von Aspekten, die die IKT-Bereitschaft einer Organisation verbessern können. Ein herausragender Aspekt der ISO/IEC 27031:2025 ist, dass sie die minimalen Geschäftskontinuitätsziele (MBCO), die Wiederherstellungspunktziele (RPO) sowie die Wiederherstellungszeitziele (RTO) im Rahmen der Planung zur Geschäftskontinuität der IKT detailliert beschreibt. Dies ist besonders wichtig für Organisationen, die in einer zunehmend von Gefahren und Unterbrechungen geplagten Welt agieren, da es eine strukturierte Herangehensweise bietet, um auf unerwartete Ereignisse reaktionsfähig zu bleiben. Die Relevanz dieses Standards erstreckt sich über alle Arten und Größen von Organisationen, was bedeutet, dass er sowohl für kleine Unternehmen als auch für große Konzerne anwendbar ist. Dies verstärkt seine Anwendbarkeit und steigert das Bewusstsein für die Notwendigkeit von IKT-Planung und -Vorbereitung, um die Resilienzziele einer Organisation zu unterstützen und aufrechtzuerhalten. Die ISO/IEC 27031:2025 fördert somit nicht nur das technische Verständnis, sondern auch ein strategisches Management von IKT-Risiken, was für die langfristige Stabilität und Sicherheit eines Unternehmens von entscheidender Bedeutung ist. Zusammenfassend lässt sich sagen, dass die ISO/IEC 27031:2025 einen wertvollen Rahmen für alle Organisationen bietet, die ihre IKT-Bereitschaft für die Geschäftskontinuität verbessern möchten. Durch die klare Definition von Zielen und Verfahren bietet dieser Standard eine solide Grundlage für die Entwicklung von maßgeschneiderten IKT-Strategien, die den spezifischen Bedürfnissen und Anforderungen verschiedener Organisationen gerecht werden.

La norme ISO/IEC 27031:2025 aborde des concepts fondamentaux concernant la préparation des technologies de l’information et de la communication (TIC) pour garantir la continuité des activités. Son champ d’application met en avant l’importance de la readiness des TIC dans un monde où la résilience organisationnelle est primordiale. Parmi ses points forts, la norme fournit un cadre méthodologique rigoureux qui permet aux organisations d’identifier et de spécifier des aspects clés pour améliorer leur preparedness TIC. En se concentrant sur des objectifs de continuité spécifiques tels que l’objectif minimum de continuité des activités (MBCO), l’objectif de point de récupération (RPO) et l’objectif de temps de récupération (RTO), la norme assure que les départements TIC soient correctement préparés pour répondre aux exigences de continuité des affaires. La flexibilité de cette norme, applicable à tous types et tailles d'organisations, la rend particulièrement pertinente dans un environnement diversifié. La norme ISO/IEC 27031:2025 souligne également la nécessité d’une planification proactive de la part des départements TIC, afin d’aligner leurs stratégies sur les objectifs de résilience globaux de l’organisation. En somme, cette norme représente une avancée significative dans le domaine de la cybersécurité, offrant un cadre de référence essentiel pour garantir que les infrastructures TIC soient prêtes et résilientes face aux défis de la continuité des activités.

ISO/IEC 27031:2025 is a comprehensive standard that addresses the critical need for information and communication technology (ICT) readiness for business continuity. The standard establishes a robust framework for organizations to enhance their ICT capabilities, thereby ensuring they can maintain essential functions during disruptive events. One of the significant strengths of this standard lies in its well-defined scope, which encompasses the concepts and principles of ICT readiness. It aims to help organizations identify key aspects that must be improved to achieve effective business continuity. By emphasizing the minimum business continuity objective (MBCO), recovery point objective (RPO), and recovery time objective (RTO), the standard provides a clear set of metrics for organizations to gauge their preparedness against potential disruptions. The relevance of ISO/IEC 27031:2025 extends across all types and sizes of organizations, making it an invaluable resource in today’s diverse business landscape. It recognizes that ICT plays a pivotal role in ensuring not just operational efficiency but also resilience in the face of unforeseen challenges. The guidance on how ICT departments should plan and prepare enhances their alignment with broader organizational resilience objectives, promoting a culture of proactive risk management. In summary, the strengths of ISO/IEC 27031:2025 are reflected in its comprehensive approach to ICT readiness, measurable business continuity objectives, and applicability to varied organizational contexts. This standard is essential for any organization looking to fortify its business continuity strategy through enhanced ICT preparedness.

The ISO/IEC 27031:2025 standard significantly enhances the landscape of cybersecurity by emphasizing the importance of information and communication technology (ICT) readiness for business continuity. Its scope comprehensively outlines the concepts and principles of ICT readiness, making it applicable to various types and sizes of organizations. This inclusivity ensures that both small enterprises and large corporations can glean valuable insights from the standard, catering to a broad audience. One of the strengths of the standard is its structured approach to identifying and specifying the critical aspects necessary for improving an organization's ICT readiness. This framework serves several key business continuity objectives, including the minimum business continuity objective (MBCO), recovery point objective (RPO), and recovery time objective (RTO). By clearly defining these objectives, ISO/IEC 27031:2025 provides organizations with a robust foundation to build their ICT business continuity planning upon, thus enhancing their resilience in the face of disruptions. Additionally, the standard emphasizes the role of ICT departments in formulating and executing strategies that align with the broader resilience objectives of the organization. This alignment is crucial as it integrates ICT preparedness into the overall business continuity approach, fostering a culture of resilience across all organizational levels. The principles highlighted in the document underscore the proactive measures necessary for organizations to mitigate risks associated with ICT disruptions. The relevance of ISO/IEC 27031:2025 in today’s digital landscape cannot be overstated. As organizations continue to rely heavily on ICT for their operations, the potential impact of cybersecurity incidents increases exponentially. This standard acts as a guiding framework, equipping organizations to better navigate these complexities and ensure uninterrupted service delivery even during adverse situations. In conclusion, ISO/IEC 27031:2025 represents a critical advancement in cybersecurity standards, designed to empower organizations with the tools and knowledge necessary to achieve ICT readiness for business continuity effectively. Its comprehensive scope, clear objectives, and emphasis on proactive ICT strategies exemplify its strength and relevance in fortifying organizational resilience in an ever-evolving threat landscape.

ISO/IEC 27031:2025は、企業の継続性に向けた情報通信技術（ICT）の準備状況に関する重要な標準であり、その範囲は非常に広範です。この文書は、ICT準備の概念や原則を明確にし、組織がビジネスの継続性を確保するために必要なICTの準備状況を向上させるための手法やプロセスのフレームワークを提供しています。本標準の強みの一つは、最小ビジネス継続目的（MBCO）、回復ポイント目標（RPO）、回復時間目標（RTO）といった具体的なビジネス継続性の目標を定義している点です。これにより、組織はICTビジネス継続計画に基づいた具体的かつ測定可能な目標を持つことができ、効率的なリスク管理が実現します。また、ISO/IEC 27031:2025は、あらゆる種類や規模の組織に適用可能であるため、様々な業界の企業にとって非常に重要なリソースとなります。この標準は、ICT部門が組織のレジリエンス目標に貢献するための計画や準備をどのように行うべきかを具体的に示しています。このISO標準は、情報通信技術の導入とその利用が企業の事業継続性に与える影響を考慮に入れており、これによって企業は急速に変化する環境に対応するための基盤を築くことができます。さらに、現代のデジタル環境におけるサイバーセキュリティの重要性が高まる中、ISO/IEC 27031:2025は、企業がICTの準備状況を向上させることにより、サイバーリスクに対抗するための実践的なガイドラインを提供します。このような点から、ISO/IEC 27031:2025は、企業にとって必要不可欠な標準であり、情報通信技術の準備状態を高めることで、事業の継続性を確保するために非常に関連性の高い文書です。

ISO/IEC 27031:2025 표준은 정보 및 커뮤니케이션 기술(ICT) 준비 상태가 비즈니스 연속성을 보장하는 데 중요한 역할을 한다는 개념과 원칙을 제시합니다. 이 문서는 조직의 ICT 준비성을 향상시키기 위한 방법과 프로세스를 식별하고 구체화하는 프레임워크를 제공합니다. 특히, 최소 비즈니스 연속성 목표(MBCO), 복구 지점 목표(RPO), 복구 시간 목표(RTO) 등의 요소를 포함하여 ICT 비즈니스 연속성 계획의 일환으로 핵심적인 목표를 설정합니다. ISO/IEC 27031:2025의 주요 강점은 모든 유형과 규모의 조직에 적용 가능한 포괄적인 접근 방식을 제공한다는 점입니다. 이는 조직이 ICT 부서의 계획과 준비 과정을 통해 조직의 회복력 목표에 기여할 수 있도록 지원합니다. 또한, 이 표준은 ICT 준비성을 평가하고 개선하기 위해 필수적인 지침을 제공함으로써 비즈니스 연속성의 필수성을 강조합니다. 특히, 이 문서의 구조는 명확하고 시스템적이며, 조직이 직면할 수 있는 다양한 비즈니스 중단 위험에 대응하기 위한 효과적인 전략을 수립하는 데 기여합니다. ISO/IEC 27031:2025는 비즈니스 연속성을 위한 ICT 준비성의 중요성을 이해하는 데 도움을 주며, 이 관점에서 조직의 전략적 의사 결정에 큰 영향을 미칩니다. 이러한 특성 덕분에 이 표준은 현재의 기술적 도전 과제와 비즈니스 환경 변화에 효과적으로 대응할 수 있도록 해 줍니다.

ISO/IEC 27031:2025は、ビジネスの継続性を確保するための情報通信技術（ICT）の準備状況に関する標準であり、特にサイバーセキュリティに関連した重要な文書です。この標準は、ICTの準備状況を向上させるための方法やプロセスを明確にするフレームワークを提供しており、組織がどのようにICT部門を計画・準備するかを描写しています。この文書は、最低ビジネス継続目標（MBCO）、復旧ポイント目標（RPO）、復旧時間目標（RTO）など、ICTにおけるビジネス継続性計画の中核要素を確実に定義しています。これにより、すべての種類と規模の組織が自身のICT準備状況を評価し、改善の方向性を見つけやすくなります。 ISO/IEC 27031:2025の強みは、その適用範囲にあります。中小企業から大企業まで、幅広い組織に対応できる内容となっているため、各組織に特有のニーズに応じた実行可能なガイドラインを提供することができます。また、この標準に基づくことで、組織はサイバーセキュリティの強化を図りながら、ビジネスの継続性を確保するための具体的な手段を得ることができる点が魅力です。さらに、この標準はICTの準備状況を向上させるための具体的な手法を提示しており、ビジネス環境が常に変化する中で、その重要性はますます増しています。以上の理由から、ISO/IEC 27031:2025は、サイバーセキュリティとビジネスの持続可能性を追求する企業にとって、非常に関連性の高い標準であると言えます。

Cybersecurity - Information and communication technology readiness for business continuity

Cybersécurité — Préparation des technologies de l'information et de la communication pour la continuité d'activité

General Information

Relations

Overview

Key topics and requirements

Practical applications and who uses it

Related standards

ISO/IEC 27031:2025 - Cybersecurity — Information and communication technology readiness for business continuity Released:16. 05. 2025

ISO/IEC 27031:2025 - Cybersécurité — Préparation des technologies de l'information et de la communication pour la continuité d'activité Released:15. 07. 2025

REDLINE ISO/IEC 27031:2025 - Cybersécurité — Préparation des technologies de l'information et de la communication pour la continuité d'activité Released:15. 07. 2025

Frequently Asked Questions

Standards Content (Sample)

Questions, Comments and Discussion

Customer Reviews (15)

This May Also Interest You