iTeh Standards logo
EURUSD
Your shopping cart is empty.
ISO

ISO/IEC 27031:2011

(Main)

Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity

Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity

ISO/IEC 27031:2011 describes the concepts and principles of information and comunication technology (ICT) readiness for business continuity, and provides a framework of methods and processes to identify and specify all aspects (such as performance criteria, design, and implementation) for improving an organization's ICT readiness to ensure business continuity. It applies to any organization (private, governmental, and non-governmental, irrespective of size) developing its ICT readiness for business continuity program (IRBC), and requiring its ICT services/infrastructures to be ready to support business operations in the event of emerging events and incidents, and related disruptions, that could affect continuity (including security) of critical business functions. It also enables an organization to measure performance parameters that correlate to its IRBC in a consistent and recognized manner. The scope of ISO/IEC 27031:2011 encompasses all events and incidents (including security related) that could have an impact on ICT infrastructure and systems. It includes and extends the practices of information security incident handling and management and ICT readiness planning and services.

Technologies de l'information — Techniques de sécurité — Lignes directrices pour la préparation des technologies de la communication et de l'information pour la continuité d'activité

L'ISO/CEI 27031:2011 décrit les concepts et principes de préparation des technologies de l'information et de la communication (TIC) pour la continuité d'activité, et fournit un cadre de méthodes et processus destinés à identifier et spécifier l'ensemble des aspects (tels que les critères de performance, la conception et la mise en ?uvre) permettant d'améliorer la préparation des TIC, et ce, de manière à assurer la continuité d'activité d'une organisation. Elle s'applique à toute organisation (privée, gouvernementale et non gouvernementale, quelle que soit sa taille) qui développe son programme de préparation des TIC pour la continuité de son activité (PTCA), et exige de ses services/infrastructures TIC qu'ils soient prêts à prendre en charge les opérations d'activité en cas de survenance d'événements et d'incidents effectifs, ainsi que de perturbations associées, susceptibles d'affecter la continuité (y compris la sécurité) des fonctions métier critiques. Elle permet aussi à une organisation de mesurer les paramètres de performance en corrélation avec sa PTCA d'une manière cohérente et reconnue. Le domaine d'application de la présente Norme internationale comprend tous les événements et incidents (y compris ceux liés à la sécurité) susceptibles d'influencer l'infrastructure et les systèmes TIC. Il inclut et étend les pratiques de traitement et de gestion des incidents de sécurité de l'information, ainsi que de planification de la préparation des TIC et des services associés.

General Information

Status
Published
Publication Date
28-Feb-2011
ICS
35.030 - IT Security
35.040 - Information coding
Technical Committee
ISO/IEC JTC 1/SC 27 - Information security, cybersecurity and privacy protection
Drafting Committee
ISO/IEC JTC 1/SC 27/WG 4 - Security controls and services
Current Stage
9599 - Withdrawal of International Standard
Start Date
16-May-2025
Completion Date
30-Oct-2025
Ref Project

Relations

Revised
ISO/IEC 27031:2025 - Cybersecurity — Information and communication technology readiness for business continuity
Effective Date
23-Apr-2020
ISO/IEC 27031:2011 - Information technology -- Security techniques -- Guidelines for information and communication technology readiness for business continuityISO/IEC 27031:2011 - Information technology -- Security techniques -- Guidelines for information and communication technology readiness for business continuity
PreviousNext
Standard
ISO/IEC 27031:2011 - Information technology -- Security techniques -- Guidelines for information and communication technology readiness for business continuity
English language
36 pages
sale 15% off
Preview
sale 15% off
Preview
ISO/IEC 27031:2011 - Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour la préparation des technologies de la communication et de l'information pour la continuité d'activitéISO/IEC 27031:2011 - Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour la préparation des technologies de la communication et de l'information pour la continuité d'activité
PreviousNext
Standard
ISO/IEC 27031:2011 - Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour la préparation des technologies de la communication et de l'information pour la continuité d'activité
French language
37 pages
sale 15% off
Preview
sale 15% off
Preview

Related Packages

Standards package: ISO/IEC 27035 / ISO/IEC 27031 - Incident Management and Communication Readiness Package
ISO/IEC 27035 / ISO/IEC 27031 - Incident Management and Communication Readiness Package
3 documents
Standards package: ISO/IEC 27003 / 27004 / 27031 / 27033-1 / 27035 - IT Business Readiness and Continuity Package
ISO/IEC 27003 / 27004 / 27031 / 27033-1 / 27035 - IT Business Readiness and Continuity Package
5 documents

Standards Content (Sample)


INTERNATIONAL ISO/IEC
STANDARD 27031
First edition
2011-03-01
Information technology — Security
techniques — Guidelines for information
and communication technology
readiness for business continuity
Technologies de l'information — Techniques de sécurité — Lignes
directrices pour mise en état des technologies de la communication et
de l'information pour continuité des affaires

Reference number
©
ISO/IEC 2011
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

©  ISO/IEC 2011
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2011 – All rights reserved

Contents Page
Foreword .v
Introduction.vi
1 Scope.1
2 Normative references.1
3 Terms and definitions .2
4 Abbreviations.3
5 Overview.3
5.1 The role of IRBC in Business Continuity Management.3
5.2 The Principles of IRBC.5
5.3 The Elements of IRBC.6
5.4 Outcomes and benefits of IRBC .7
5.5 Establishing IRBC .7
5.6 Using Plan Do Check Act to establish IRBC.8
5.7 Management Responsibility.8
5.7.1 Management leadership and commitment.8
5.7.2 IRBC policy .8
6 IRBC Planning.9
6.1 General .9
6.2 Resources .9
6.2.1 General .9
6.2.2 Competency of IRBC staff .9
6.3 Defining requirements .10
6.3.1 General .10
6.3.2 Understanding critical ICT services .10
6.3.3 Identifying gaps between ICT Readiness capabilities and business continuity
requirements.10
6.4 Determining IRBC Strategy Options.11
6.4.1 General .11
6.4.2 IRBC Strategy Options.11
6.5 Sign Off.14
6.6 Enhancing IRBC Capability .14
6.6.1 Enhancing Resilience .14
6.7 ICT Readiness Performance Criteria.15
6.7.1 Identification of performance criteria.15
7 Implementation and Operation .15
7.1 General .15
7.2 Implementing the Elements of the IRBC Strategies .15
7.2.1 Awareness, Skills and Knowledge .15
7.2.2 Facilities .16
7.2.3 Technology .16
7.2.4 Data.16
7.2.5 Processes.17
7.2.6 Suppliers .17
7.3 Incident Response.17
7.4 IRBC Plan Documents.17
7.4.1 General .17
7.4.2 Content of Plan Documents .18
7.4.3 The ICT Response and Recovery Plan Documentation .19
© ISO/IEC 2011 – All rights reserved iii

7.5 Awareness, competency and training program . 20
7.6 Document Control. 21
7.6.1 Control of IRBC records. 21
7.6.2 Control of IRBC documentation. 21
8 Monitor and Review. 21
8.1 Maintaining IRBC . 21
8.1.1 General. 21
8.1.2 Monitoring, detection and analysis of threats. 22
8.1.3 Test and exercise. 22
8.2 IRBC Internal Audit. 26
8.3 Management Review . 26
8.3.1 General. 26
8.3.2 Review Input. 27
8.3.3 Review Output. 27
8.4 Measurement of ICT Readiness Performance Criteria. 28
8.4.1 Monitoring and measurement of ICT Readiness. 28
8.4.2 Quantitative and Qualitative Performance Criteria . 28
9 IRBC improvement. 28
9.1 Continual improvement. 28
9.2 Corrective action. 28
9.3 Preventive action . 29
Annex A (informative) IRBC and milestones during a disruption . 30
Annex B (informative) High availability embedded system . 32
Annex C (informative) Assessing Failure Scenarios. 33
Annex D (informative) Developing Performance Criteria. 35
Bibliography. 36

iv © ISO/IEC 2011 – All rights reserved

Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27031 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.

© ISO/IEC 2011 – All rights reserved v

Introduction
Over the years, information and communication technology (ICT) has become an integral part of many of the
activities which are elements of the critical infrastructures in all organizational sectors, whether public, private
or voluntary. The proliferation of the Internet and other electronic networking services, and today's capabilities
of systems and applications, has also meant that organizations have become ever more reliant on reliable,
safe and secure ICT infrastructures.
Meanwhile, the need for business continuity management (BCM), including incident preparedness, disaster
recovery planning, and emergency response and management, has been recognized and supported with
specific domains of knowledge, expertise, and standards developed and promulgated in recent years,
including the BCM International Standard developed by ISO/TC 223.
NOTE ISO/TC 223 is in the process of developing a relevant business continuity management International Standard
(ISO 22301).
Failures of ICT services, including the occurrence of security issues such as systems intrusion and malware
infections, will impact the continuity of business operations. Thus managing ICT and related continuity and
other security aspects form a key part of business continuity requirements. Furthermore, in the majority of
cases, the critical business functions that require business continuity are usually dependent upon ICT. This
dependence means that disruptions to ICT can constitute strategic risks to the reputation of the organization
and its ability to operate.
ICT readiness is an essential component for many organizations in the implementation of business continuity
management and information security management. As part of the implementation and operation of an
information security management system (ISMS) specified in ISO/IEC 27001 and business continuity
management system (BCMS) respectively, it is critical to develop and implement a readiness plan for the ICT
services to help ensure business continuity.
As a result, effective BCM is frequently dependent upon effective ICT readiness to ensure that the
organization's objectives can continue to be met in times of disruptions. This is particularly important as the
consequences of disruptions to ICT often have the added complication of being invisible and/or difficult to
detect.
In order for an organization to achieve ICT Readiness for Business Continuity (IRBC), it needs to put in place
a systematic process to prevent, predict and manage ICT disruption and incidents which have the potential to
disrupt ICT services. This can be best achieved by applying the Plan-Do-Check-Act (PDCA) cyclical steps as
part of a management system in ICT IRBC. In this way IRBC supports BCM by ensuring that the ICT services
are as resilient as appropriate and can be recovered to pre-determined levels within timescales required and
agreed by the organization.
Table 1 — Plan-Do-Check-Act cycle in IRBC
Plan
Establish IRBC policy, objectives, targets, processes and procedures relevant
to managing risk and improving ICT readiness to deliver results in accordance
with an organization's overall business continuity policies and objectives.
Do
Implement and operate the IRBC policy, controls, processes and procedures.
Check
Assess and, where applicable, measure process performance against IRBC
policy, objectives and practical experience, and report the results to
management for review.
Act
Take corrective and preventive actions, based on the results of the
management review, to achieve continual improvement of the IRBC.
vi © ISO/IEC 2011 – All rights reserved

If an organization is using ISO/IEC 27001 to establish an ISMS, and/or using relevant standards to establish a
BCMS, the establishment of IRBC should preferably take into consideration existing or intended processes
linked to these standards. This linkage can support the establishment of IRBC and also avoid any dual
processes for the organization. Figure 1 summarizes the interaction of IRBC and BCMS.
In the planning and implementation of IRBC, an organization can refer to ISO/IEC 24762:2008 in its planning
and delivery of ICT disaster recovery services, regardless of whether or not those services are provided by an
outsourced vendor, or internally to the organization.

Figure 1 — Integration of IRBC and BCMS
© ISO/IEC 2011 – All rights reserved vii

INTERNATIONAL STANDARD ISO/IEC 27031:2011(E)

Information technology — Security techniques — Guidelines for
information and communication technology readiness for
business continuity
1 Scope
This International Standard describes the concepts and principles of information and communication
technology (ICT) readiness for business continuity, and provides a framework of methods and processes to
identify and specify all aspects (such as performance criteria, design, and implementation) for improving an
organization's ICT readiness to ensure business continuity. It applies to any organization (private,
governmental, and non-governmental, irrespective of size) developing its ICT readiness for business
continuity (IRBC) program, and requiring its ICT services/infrastructures to be ready to support business
operations in the event of emerging events and incidents, and related disruptions, that could affect continuity
(including security) of critical business functions. It also enables an organization to measure performance
parameters that correlate to its IRBC in a consistent and recognized manner.
The scope of this International Standard encompasses all events and incidents (including security related) that
could have an impact on ICT infrastructure and systems. It includes and extends the practices of information
security incident handling and management and ICT readiness planning and services.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
1)
ISO/IEC TR 18044:2004 , Information technology — Security techniques — Information security incident
management
ISO/IEC 27000, Information technology — Security techniques — Information security management
systems — Overview and vocabulary
ISO/IEC 27001, Information technology — Security techniques — Information security management
systems — Requirements
ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security
management
ISO/IEC 27005, Information technology — Security techniques — Information security risk management

1) ISO/IEC TR 18044:2004 is to be revised and renumbered as ISO/IEC 27035.
© ISO/IEC 2011 – All rights reserved 1

3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC TR 18044, ISO/IEC 27000,
ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27005 and the following apply.
3.1
alternate site
alternate operating location selected to be used by an organization when normal business operations cannot
be carried out using the normal location after a disruption has occurred
3.2
business continuity management
BCM
holistic management process that identifies potential threats to an organization and the impacts to business
operations whose threats, if realized, might cause, and which provides a framework for building organizational
resilience with the capability for an effective response that safeguards the interests of its key stakeholders,
reputation, brand and value-creating activities
3.3
business continuity plan
BCP
documented procedures that guide organizations to respond, recover, resume, and restore to a pre-defined
level of operation following disruption
NOTE Typically this covers resources, services and activities required to ensure the continuity of critical business
functions.
3.4
business impact analysis
BIA
process of analysing operational functions and the effect that a disruption might have upon them
3.5
critical
qualitative description used to emphasize the importance of a resource, process or function that must be
available and operational constantly or available and operational at the earliest possible time after an incident,
emergency or disaster has occurred
3.6
disruption
incident, whether anticipated (e.g. hurricane) or unanticipated (e.g. power failure/outage, earthquake, or attack
on ICT systems/infrastructure) which disrupts the normal course of operations at an organization location
3.7
ICT disaster recovery
ability of the ICT elements of an organization to support its critical business functions to an acceptable level
within a predetermined period of time following a disruption
3.8
ICT disaster recovery plan
ICT DRP
clearly defined and documented plan which recovers ICT capabilities when a disruption occurs
NOTE It is called ICT continuity plan in some organizations.
3.9
failure mode
manner by which a failure is observed
NOTE It generally describes the way the failure occurs and its impact on the operation of the system.
2 © ISO/IEC 2011 – All rights reserved

3.10
ICT readiness for business continuity
IRBC
capability of an organization to support its business operations by prevention, detection and response to
disruption and recovery of ICT services
3.11
minimum business continuity objective
MBCO
minimum level of services and/or products that is acceptable to the organization to achieve its business
objectives during a disruption
3.12
recovery point objective
RPO
point in time to which data must be recovered after a disruption has occurred
3.13
recovery time objective
RTO
period of time within which minimum levels of services and/or products and the supporting systems,
applications, or functions must be recovered after a disruption has occurred
3.14
resilience
ability of an organization to resist being affected by disruptions
3.15
trigger
event that causes the system to initiate a response
NOTE Also known as triggering event.
3.16
vital record
electronic or paper record that is essential for preserving, continuing or reconstructing the operations of an
organization and protecting the rights of an organization, its employees, its customers and its stakeholders
4 Abbreviations
IRBC ICT Readiness for Business Continuity
ISMS Information Security Management System
5 Overview
5.1 The role of IRBC in Business Continuity Management
Business Continuity Management (BCM) is a holistic management process that identifies potential impacts
threatening an organisation's continuity of business activities and provides a framework for building resilience
and capability for an effective response that safeguards the interests of the organization from disruptions.
As part of the BCM process, IRBC refers to a management system which complements and supports an
organization's BCM and/or ISMS program, to improve the readiness of the organization to:
a) respond to the constantly changing risk environment;
b) ensure continuation of critical business operations supported by the related ICT services;
© ISO/IEC 2011 – All rights reserved 3

Business Resiliency
c) be ready to respond before an ICT service disruption occurs, upon detection of one or a series of related
events that become incidents; and
d) to respond and recover from incidents/disasters and failures.
Figure 2 illustrates the desired ICT outcome to support the Business Continuity Management activities.
BCM ICT Desired
Framework Output Outcome
ICT
Response
and
Recovery
ICT Risk
Reduction
Controls
Figure 2 — Business Continuity Framework and its related ICT output and desired outcome
The BCM International Standard developed by ISO/TC 223 summarizes the BCM approach to preventing,
reacting and recovering from incidents. Activities involved in BCM include incident preparedness, operational
continuity management, disaster recovery planning (DRP) and risk mitigation which focus on increasing the
resilience of the organization and by preparing it to react effectively to incidents and recover within pre-
determined timescales.
An organization therefore sets out its BCM priorities and it is these which drive the IRBC activities. In turn
BCM depends upon IRBC to ensure that the organization can meet its overall continuity objectives at all times,
and particularly during times of disruption.
As shown in Figure 3, such readiness activities aim to:
a) improve the incident detection capabilities;
b) prevent a sudden or drastic failure;
c) enable an acceptable degradation of operational status should the failure be unstoppable;
d) further shorten recovery time; and
e) minimize impact upon eventual occurrence of the incident.
4 © ISO/IEC 2011 – All rights reserved

Figure 3 — Concept of ICT Readiness for Business Continuity
5.2 The Principles of IRBC
IRBC is based around the following key principles:
a) Incident Prevention - Protecting ICT services from threats, such as environmental and hardware failures,
operational errors, malicious attack, and natural disasters, is critical to maintaining the desired levels of
systems availability for an organization;
b) Incident Detection - Detecting incidents at the earliest opportunity will minimize the impact to services,
reduce the recovery effort, and preserve the quality of service;
c) Response - Responding to an incident in the most appropriate manner will lead to a more efficient
recovery and minimize any downtime. Reacting poorly can result in a minor incident escalating into
something more serious;
d) Recovery - Identifying and implementing the appropriate recovery strategy will ensure the timely
resumption of services and maintain the integrity of data. Understanding the recovery priorities allows the
most critical services to be reinstated first. Services of a less critical nature may be reinstated at a later
time or, in some circumstances, not at all; and
e) Improvement – Lessons learned from small and large incidents should be documented, analysed and
reviewed. Understanding these lessons will allow the organization to better prepare, control and avoid
incidents and disruption.
Figure 4 illustrates how the respective IRBC element supports a typical ICT disaster recovery timeline and in
turn supports the business continuity activities. IRBC implementation enables the organization to respond
effectively to new and emerging threats as well as being able to react and recover from disruptions.
© ISO/IEC 2011 – All rights reserved 5

Recovery
Time Zero
Risk Mitigation & Monitoring,
Detection Response
Continuity Plan Test & Exercise
Recovery Time
Plan Activation Time
Detection Time
(Operation as usual)
Time of events
Return to normal
Incident Start recovery at Recovered (minimum) Incident
Detect incident business
occurs alternate site operation at alternate resolved
operation
site
!
Figure 4 — The principles of IRBC on a typical ICT disaster recovery timeline
NOTE Recovery stage includes activities in the timely recovery/resumption of services, sustainable ICT DR
operations, and the restoration & return to normal operation. For details refer to Figure A.1 in Annex A.
5.3 The Elements of IRBC
The key elements of IRBC can be summarized as follows:
a) People: the specialists with appropriate skills and knowledge, and competent backup personnel;
b) Facilities: the physical environment in which ICT resources are located;
c) Technology:
1) hardware (including racks, servers, storage arrays, tape devices and fixtures);
2) network (including data connectivity and voice services), switches and routers; and
3) software, including operating system and application software, links or interfaces between
applications and batch processing routines;
d) Data: application data, voice data and other types of data;
e) Processes: including supporting documentation to describe the configuration of ICT resources and enable
the effective operation, recovery and maintenance of ICT services; and
f) Suppliers: other components of the end-to-end services where ICT service provision is dependent upon
an external service provider or another organization within the supply chain, e.g. a financial market data
provider, telecoms carrier or internet service provider.
6 © ISO/IEC 2011 – All rights reserved

5.4 Outcomes and benefits of IRBC
The benefits of effective IRBC for the organization are that it:
a) understands the risks to continuity of ICT services and their vulnerabilities;
b) identifies the potential impacts of disruption to ICT services;
c) encourages improved collaboration between its business managers and its ICT service providers (internal
and external);
d) develops and enhances competence in its ICT staff by demonstrating credible responses through
exercising ICT continuity plans and testing IRBC arrangements;
e) provides assurance to top management that it can depend upon predetermined levels of ICT services and
receive adequate support and communications in the event of a disruption;
f) provides assurance to top management that information security (confidentiality, integrity and availability)
is properly preserved, ensuring adherence to information security policies;
g) provides additional confidence in the business continuity strategy through linking investment in IT
solutions to business needs and ensuring that ICT services are protected at an appropriate level given
their importance to the organization;
h) has ICT services that are cost-effective and not under- or over-invested through an understanding of the
level of its dependence on those ICT services; and the nature, location, interdependence and usage of
components that make up the ICT services;
i) can enhance its reputation for prudence and efficiency;
j) potentially gains competitive advantage through the demonstrated ability to deliver business continuity
and maintain product and service delivery in times of disruption; and
k) understands and documents stakeholders' expectations and their relationships with, and use of, ICT
services.
Thus IRBC provides a meaningful way to determine the status of an organization's ICT services in supporting
its business continuity objectives by addressing the question “is our ICT capable of responding” rather than “is
our ICT secure”.
5.5 Establishing IRBC
IRBC is likely to be more efficient and cost effective when designed and built into ICT services from their
inception as part of an IRBC strategy which supports the organization's BC objectives. This ensures that ICT
services are better built, better understood and more resilient. Retrofitting IRBC can be complex, disruptive
and expensive.
The organization should develop, implement, maintain and continually improve a set of documented
processes which will support IRBC.
These processes should ensure that: the IRBC objectives are clearly stated, understood and communicated,
and top management's commitment to IRBC is demonstrated.
Figure 5 presents graphically the activities in the different stages of IRBC.
© ISO/IEC 2011 – All rights reserved 7

Figure 5 — Stages in IRBC
5.6 Using Plan Do Check Act to establish IRBC
IRBC involves the organization in establishing processes to develop and enhance its key IRBC elements
(see 5.2) to improve their capability to respond to any type of disruption, including changing risk situations
through the use of the Plan-Do-Check-Act (PDCA) approach. Figure 5 presents graphically the activities in the
different stages of IRBC.
5.7 Management Responsibility
5.7.1 Management leadership and commitment
To be effective an IRBC program should be a process fully integrated with the organization's management
activities, driven from the top of the organization, endorsed and promoted by top management. A number of
professional IRBC practitioners and staff from other management disciplines and departments may be
required to support and manage the IRBC program. The quantity of resources required to support such a
program will be dependent upon the size and complexity of the organization.
5.7.2 IRBC policy
The organization should have a documented IRBC policy. Initially, this may be at a high level with further
refinement and enhancement as the entire IRBC process matures. The policy should be regularly reviewed
and updated in line with organization needs and should be consistent with the wider organizational BCM
objectives.
8 © ISO/IEC 2011 – All rights reserved

The IRBC policy should provide the organization with documented principles to which it will aspire and against
which its IRBC effectiveness can be measured. It should:
a) Establish and demonstrate commitment of top management to an IRBC program;
b) Include or make reference to the organization's IRBC objectives;
c) Define the scope of IRBC including limitations and exclusions;
d) Be approved and signed off by top management;
e) Be communicated to appropriate internal and external stakeholders;
f) Identify and provide relevant authorities for the availability of resources such as budget; personnel
necessary to perform activities in line with the IRBC policy; and
g) Be reviewed at planned intervals and when significant changes, such as environmental changes, change
of an organization's business and structure, occur.
6 IRBC Planning
6.1 General
The main objective of the planning phase is to establish the organization's ICT readiness requirements,
including:
a) the IRBC strategy and IRBC Plan that are required to support the business, legal, statutory and regulatory
requirements relating to the defined scope and the achievement of the organization's business continuity
aims and objectives; and
b) the performance criteria needed by the organization to monitor the degree of ICT readiness it requires to
achieve those aims and objectives.
6.2 Resources
6.2.1 General
As part of the policy mandate, the organization should define the need for an IRBC Program as part of its
overall BCM objectives and, in addition, determine and provide the resources needed to establish, implement,
operate and maintain such an IRBC program.
IRBC roles, responsibilities, competencies and authorities should be defined and documented.
Top management should:
a) appoint or nominate a person with appropriate seniority and authority to be accountable for IRBC policy
and implementation; and
b) appoint one or more competent persons, who, irrespective of other responsibilities, should implement and
maintain the IRBC management system as described in this International Standard.
6.2.2 Competency of IRBC staff
The organization should ensure that all personnel who are assigned IRBC responsibilities are competent to
perform the required tasks. Refer to 7.2.1 for details.
© ISO/IEC 2011 – All rights reserved 9

6.3 Defining requirements
6.3.1 General
As part of its BCM program, the organization will have categorized its activities according to their priority for
continuity (as determined by a Business Impact Analysis) and defined the minimum level at which each critical
activity needs to be performed upon resumption. Top management should agree to the organization's
business continuity requirements and these requirements will result in Recovery Time Objective (RTO) and
Recovery Point Objective (RPO) for the Minimum Business Continuity Objective (MBCO) per product, service
or activity. These RTOs start from the point at which the disruption occurs and run until the product, service or
activity.
6.3.2 Understanding critical ICT services
There may be a number of ICT services that are considered to be critical and required to enable recovery to
take place. Each of these critical ICT services should have its own documented Recovery Time Objective
(RTO) and Recovery Point Objective (RPO) for the Minimum Business Continuity Objective (MBCO) of the
ICT service. (These may include aspects of ICT service delivery, such as help desk.) The RTO of the critical
ICT services will invariably be less than the business continuity RTO. (Refer to Annex A for detailed
elaboration of RTO and RPO.)
The organization should identify and document its critical ICT services to include brief descriptions and names
that are meaningful to the organization at service user level. This will ensure common understanding between
business and ICT staff as there may be the use of different names for the same ICT service. Each critical ICT
service listed should identify the organization's product or service that it supports and top management should
agree to the ICT services and their associated IRBC requirements.
For each critical ICT service identified and agreed, all the ICT components of the end-to-end service should
be described and documented, showing how they are configured or linked to deliver each service. Both the
normal ICT service delivery environment and the ICT continuity service delivery environment configurations
should be documented.
For each critical ICT service the current continuity capability (e.g. existence of single point of failure) should be
reviewed from a prevention perspective to assess risks of service interruption or degradation (which can be
taken as part of the overall BCM risk assessment exercise). Opportunities should also be sought to improve
ICT service resilience and thereby lower the likelihood and/or impact of service disruption. It may also
highlight opportunities to enable early detection and reaction to ICT service disruption. The organization can
decide if there is a business case to invest in identified opportunities to improve service resilience. This
service risk assessment (which may form part of the organization's overall risk management framework) may
also advise the business case for enhancing ICT service recovery capability.
6.3.3 Identifying gaps between ICT Readiness capabilities and business continuity requirements
For each critical ICT service the current ICT Readiness arrangements - such as prevention, monitoring,
detection, response and recovery - should be compared with business continuity requirements and any gaps
should be documented.
Top management should be informed of any gaps between critical IRBC capability and business continuity
requirements. Such gaps might indicate risks and the need for additional resilience and recovery resources,
such as:
a) staff, including numbers, skills and knowledge;
b) facilities to house ICT facilities, e.g. computer room;
c) supporting technology, plant, equipment and networks (technology);
d) information applications and databases;
e) finance or budget allocation; and
10 © ISO/IEC 2011 – All rights reserved

f) external services and suppliers (supplies).
Top management should sign off the ICT service definitions, the documented list of critical ICT services and
the risks associated with gaps identified between critical IRBC capability and business continuity requirements.
This should include, where appropriate, the sign-off of identified risks. The options for addressing the gaps
and risks identified should then be explored by determining IRBC strategies.
6.4 Determining IRBC Strategy Options
6.4.1 General
IRBC strategies should define the approaches to implement the required resilience so that the principles of
incident prevention, detection, response, recovery and restoration are put in place.
A full range of IRBC strategy options should be evaluated. The strategies chosen should be capable of
supporting the business continuity requirements of the organization.
The organization should take into account the implementation and ongoing resource requirements when
developing the strategy. External suppliers may be contracted to provide specialist services and skills that
play an important role in supporting the strategy.
IRBC strategy should be flexible enough to cater for different business strategies in different markets. In
addition, the strategy should take into account internal constraints and factors, such as:
a) budget;
b) resource availability;
c) potential costs and benefits;
d) technological constraints;
e) the organization's risk appetite;
f) the organization's existing IRBC strategy; and
g) regulatory obligations.
6.4.2 IRBC Strategy Options
The organization should consider a range of options for the incident readiness of its critical ICT services. The
options should consider increasing protection and resilience, as well as provision for recovery and restoration
from an unplanned disruption, and may include internal arrangement; services delivered to the organization;
and service provided externally by one or more third parties.
The options should take account of the various components required to ensure the continuity and recov
...


NORME ISO/CEI
INTERNATIONALE 27031
Première édition
2011-03-01
Technologies de l'information —
Techniques de sécurité — Lignes
directrices pour la préparation des
technologies de la communication et de
l'information pour la continuité d'activité
Information technology — Security techniques — Guidelines for
information and communication technology readiness for business
continuity
Numéro de référence
ISO/CEI 27031:2011(F)
©
ISO/CEI 2011
ISO/CEI 27031:2011(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT

©  ISO/CEI 2011
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56  CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2012
Publié en Suisse
ii © ISO/CEI 2011 – Tous droits réservés

ISO/CEI 27031:2011(F)
Sommaire Page
Avant-propos . v
Introduction . vi
1  Domaine d'application . 1
2  Références normatives . 1
3  Termes et définitions . 2
4  Abréviations . 3
5  Généralités . 4
5.1  Rôle de la PTCA dans le management de la continuité d’activité . 4
5.2  Principes de la PTCA . 5
5.3  Éléments de la PTCA . 6
5.4  PTCA : ses résultats et ses avantages . 7
5.5  Mise en place de la PTCA . 8
5.6  Utilisation du cycle Planifier-Faire-Vérifier-Agir pour la mise en place de la PTCA . 9
5.7  Responsabilité de la direction . 9
5.7.1  Pilotage et engagement de la direction . 9
5.7.2  Politique PTCA . 9
6  Planification PTCA . 9
6.1  Généralités . 9
6.2  Ressources . 10
6.2.1  Généralités . 10
6.2.2  Compétence du personnel PTCA . 10
6.3  Définition d'exigences . 10
6.3.1  Généralités . 10
6.3.2  Appréhension des services TIC critiques . 10
6.3.3  Identification des écarts entre les capacités de préparation des TIC et les exigences de
continuité d’activité . 11
6.4  Détermination des options de stratégie PTCA . 11
6.4.1  Généralités . 11
6.4.2  Options de stratégie PTCA . 12
6.5  Approbation . 15
6.6  Amélioration de la capacité PTCA . 15
6.6.1  Amélioration de la résilience . 15
6.7  Critères de performance de la préparation des TIC . 16
6.7.1  Identification des critères de performance . 16
7  Mise en œuvre et exploitation . 16
7.1  Généralités . 16
7.2  Mise en œuvre des éléments des stratégies PTCA . 16
7.2.1  Sensibilisation, compétences et connaissances . 16
7.2.2  Installations . 17
7.2.3  Technologie . 17
7.2.4  Données . 17
7.2.5  Processus . 18
7.2.6  Fournisseurs . 18
7.3  Réaction aux incidents . 18
7.4  Documents de planification PTCA . 18
7.4.1  Généralités . 18
7.4.2  Contenu des documents de planification . 19
7.4.3  Documents de planification de réaction et de reprise TIC . 20
7.5  Programme de sensibilisation, compétence et formation . 22
© ISO/CEI 2011 – Tous droits réservés iii

ISO/CEI 27031:2011(F)
7.6  Maîtrise des documents .22
7.6.1  Maîtrise des enregistrements PTCA .22
7.6.2  Maîtrise de la documentation PTCA .22
8  Suivi et revue .22
8.1  Maintien du processus PTCA .22
8.1.1  Généralités .22
8.1.2  Suivi, détection et analyse des menaces .23
8.1.3  Essai et exercice .23
8.2  Audit interne PTCA .28
8.3  Revue de direction .28
8.3.1  Généralités .28
8.3.2  Entrée d'une revue .28
8.3.3  Sortie d'une revue .29
8.4  Mesure des critères de performance de la préparation des TIC .29
8.4.1  Suivi et mesure de la préparation des TIC .29
8.4.2  Critères de performance quantitatifs et qualitatifs .29
9  Amélioration de la PTCA .30
9.1  Amélioration continue .30
9.2  Action corrective.30
9.3  Action préventive .30
Annexe A (informative) PTCA et jalons lors d'une perturbation .31
Annexe B (informative) Système intégré à haute disponibilité .33
Annexe C (informative) Évaluation des scénarios de défaillance .34
Annexe D (informative) Développement des critères de performance .36
Bibliographie .37

iv © ISO/CEI 2011 – Tous droits réservés

ISO/CEI 27031:2011(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de la CEI participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les
comités techniques de l'ISO et de la CEI collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et la CEI
participent également aux travaux. Dans le domaine des technologies de l'information, l'ISO et la CEI ont créé
un comité technique mixte, l'ISO/CEI JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale du comité technique mixte est d'élaborer les Normes internationales. Les projets de
Normes internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des
organismes nationaux votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO et la CEI ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/CEI 27031 a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de l'information,
sous-comité SC 27, Techniques de sécurité des technologies de l’information.
© ISO/CEI 2011 – Tous droits réservés v

ISO/CEI 27031:2011(F)
Introduction
Les technologies de l'information et de la communication (TIC) sont devenues, au fil des années, partie
intégrante de nombreuses activités qui constituent les éléments des infrastructures critiques dans tous les
secteurs d’activité organisationnels, qu'ils soient publics, privés ou bénévoles. Le développement à grande
échelle de l'Internet et d'autres services de mise en réseaux électroniques, ainsi que les capacités actuelles
des systèmes et applications, impliquent également que les organisations se fient plus que jamais à des
infrastructures TIC fiables, sécurisées et protégées.
Entre-temps, la nécessité d'un processus de management de la continuité d’activité (MCA), y compris la
préparation aux incidents, la planification de reprise après un sinistre, et les mesures d'intervention et de
gestion des situations d'urgence, a été admise et prise en charge par des domaines spécifiques de
connaissances et d'expertise, et des normes ont été élaborées et publiées ces dernières années, dont la
norme internationale MCA élaborée par l'ISO/TC 223.
NOTE L'ISO/TC 223 est en cours d'élaboration d'une Norme internationale pertinente de gestion de la continuité
d’activité (ISO 22301).
Les défaillances des services TIC, y compris l'occurrence de problèmes liés à la sécurité, tels que la violation
de systèmes et les infections par des logiciels malfaisants influent sur la continuité des activités
opérationnelles. Ainsi, la gestion des TIC et de la continuité associée, ainsi que des autres aspects liés à la
sécurité, constitue un élément clé des exigences de continuité d’activité. De plus, dans la majorité des cas, les
fonctions commerciales critiques exigeant une continuité d’activité dépendent habituellement des TIC. Cette
dépendance signifie que des perturbations des TIC peuvent représenter des risques stratégiques pour la
renommée de l'organisation et sa capacité d'action.
La préparation des TIC est un composant essentiel de la mise en œuvre d'un processus de gestion de la
continuité d’activité et de management de la sécurité de l'information pour de nombreuses organisations. Il est
essentiel, en tant que partie intégrante de la mise en œuvre et de l'exploitation d'un système de management
de la sécurité de l’information (SMSI) spécifié dans l'ISO/CEI 27001 et d'un système de management de la
continuité d’activité (SMCA), d'élaborer et de mettre en œuvre un plan d'intervention immédiate à l'intention
des services TIC afin de s'assurer de la continuité effective de l'activité.
Un système MCA efficace dépend ainsi fréquemment d'une préparation efficace des TIC afin de s'assurer que
les objectifs d'une organisation peuvent continuer à être satisfaits en cas de perturbations. Cet élément est
particulièrement important dans la mesure où les conséquences de perturbations des TIC présentent souvent
l'inconvénient supplémentaire d'être invisibles et/ou difficiles à déceler.
Pour pouvoir réaliser une préparation des TIC de façon à garantir la continuité de son activité, une
organisation doit mettre en place un processus systématique de prévention, prévision et gestion des
perturbations et des incidents liés aux TIC, susceptibles de perturber les services qui leur sont associés.
L'application des étapes cycliques PDCA (Plan-Do-Check-Act / Planifier-Faire-Vérifier-Agir) comme partie
intégrante d'un système de management de la Préparation des TIC pour la Continuité d’Activité (PTCA)
constitue le meilleur moyen pour y parvenir. De cette manière, la PTCA soutient le MCA en s'assurant que les
services TIC sont les plus résilients possibles et peuvent être restaurés aux niveaux prédéterminés dans les
délais requis et définis par l'organisation.
vi © ISO/CEI 2011 – Tous droits réservés

ISO/CEI 27031:2011(F)
Tableau 1 — Cycle Planifier-Faire-Vérifier-Agir en PTCA
Planifier Établir une politique, des objectifs, cibles, processus et procédures PTCA adaptés à la
gestion des risques et à l'amélioration de la disponibilité des TIC de façon à fournir des
résultats conformes aux politiques et objectifs de la continuité d’activité globale d'une
organisation.
Faire Mettre en œuvre et exploiter la politique et les mesures, processus et procédures PTCA.
Vérifier Évaluer et, le cas échéant, mesurer les performances d'un processus par rapport à la
politique, aux objectifs et à l'expérience pratique de la PTCA, et rendre compte des
résultats à la direction pour revue.
Agir Prendre des mesures correctives et préventives, sur la base des résultats de la revue de
direction, en vue de l'amélioration continue de la PTCA.
Lorsqu'une organisation utilise l'ISO/CEI 27001 pour établir un SMSI, et/ou utilise des normes
correspondantes pour établir un SMCA, il convient que la mise en place d'une PTCA prenne de préférence en
considération les processus existants ou prévus associés à ces normes. Cette association peut prendre en
charge l'établissement d'une PTCA, et éviter toute redondance éventuelle de processus pour l'organisation.
La Figure 1 synthétise l'interaction de la PTCA et du SMCA.
Pour la planification et la mise en œuvre d'une PTCA, une organisation peut se reporter à l'ISO/CEI
24762:2008, dans le cadre de sa planification et de la fourniture de services TIC de reprise après un sinistre,
indépendamment du fait que ces services soient délivrés ou non par un fournisseur externe, ou qu'ils soient
internes à l'organisation.
Figure 1 — Intégration des PTCA et SMCA
© ISO/CEI 2011 – Tous droits réservés vii

NORME INTERNATIONALE ISO/CEI 27031:2011(F)

Technologies de l'information — Techniques de sécurité — Lignes
directrices pour la préparation des technologies de la communication et
de l'information pour la continuité d'activité
1 Domaine d'application
La présente Norme internationale décrit les concepts et principes de préparation des technologies de
l'information et de la communication (TIC) pour la continuité d’activité, et fournit un cadre de méthodes et
processus destinés à identifier et spécifier l’ensemble des aspects (tels que les critères de performance, la
conception et la mise en œuvre) permettant d'améliorer la préparation des TIC, et ce, de manière à assurer la
continuité d’activité d'une organisation. Elle s'applique à toute organisation (privée, gouvernementale et non
gouvernementale, quelle que soit sa taille) qui développe son programme de préparation des TIC pour la
continuité de son activité (PTCA), et exige de ses services/infrastructures TIC qu'ils soient prêts à prendre en
charge les opérations d'activité en cas de survenance d'événements et d'incidents effectifs, ainsi que de
perturbations associées, susceptibles d'affecter la continuité (y compris la sécurité) des fonctions métier
critiques. Elle permet aussi à une organisation de mesurer les paramètres de performance en corrélation avec
sa PTCA d'une manière cohérente et reconnue.
Le domaine d'application de la présente Norme internationale comprend tous les événements et incidents (y
compris ceux liés à la sécurité) susceptibles d'influencer l'infrastructure et les systèmes TIC. Il inclut et étend
les pratiques de traitement et de gestion des incidents de sécurité de l'information, ainsi que de planification
de la préparation des TIC et des services associés.
2 Références normatives
Les documents ci-après, dans leur intégralité ou non, sont des références normatives indispensables à
l’application du présent document. Pour les références datées, seule l'édition citée s'applique. Pour les
références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
1)
ISO/CEI TR 18044:2004 , Technologies de l'information — Techniques de sécurité — Gestion d'incidents de
sécurité de l’information.
ISO/CEI 27000, Technologies de l’information — Techniques de sécurité — Systèmes de management de la
sécurité de l’information — Vue d’ensemble et vocabulaire.
ISO/CEI 27001, Technologies de l’information — Techniques de sécurité — Systèmes de management de la
sécurité de l’information — Exigences.
ISO/CEI 27002, Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le
management de la sécurité de l’information.
ISO/CEI 27005, Technologies de l’information — Techniques de sécurité — Gestion des risques liés à la
sécurité de l’information.
1)
L’ISO/CEI TR 18044:2004 doit être révisée et renumérotée ISO/CEI 27035.
© ISO/CEI 2011 – Tous droits réservés 1

ISO/CEI 27031:2011(F)
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO/CEI TR 18044,
l'ISO/CEI 27000, l'ISO/CEI 27001, l'ISO/CEI 27002, l'ISO/CEI 27005 et les suivants s'appliquent.
3.1
site alternatif
site d'exploitation alternatif choisi pour être utilisé par une organisation lorsque les opérations d'activité
normales ne peuvent être réalisées sur le site normal après une perturbation effective
3.2
management de la continuité d’activité
MCA
processus global de management identifiant les menaces potentielles pour une organisation et les impacts
sur les opérations d'activité que ces menaces, si elles se traduisent de manière concrète, peuvent provoquer,
et fournissant un cadre pour développer la résilience organisationnelle avec la capacité d'une réaction
efficace qui protège les intérêts de ses parties prenantes clés, ainsi que de sa renommée, sa marque et ses
activités à création de valeur
3.3
plan de continuité d’activité
PCA
procédures documentées fournissant aux organisations des instructions de réaction, rétablissement, reprise
et restauration à un niveau prédéfini de fonctionnement suite à une perturbation
NOTE Cette notion couvre typiquement les ressources, services et activités nécessaires pour assurer la continuité
des fonctions commerciales critiques.
3.4
analyse d'impact sur l'activité
AIA
processus d'analyse des fonctions opérationnelles et de l'effet potentiel d'une perturbation sur ces dernières
3.5
critique
description qualitative utilisée pour souligner l'importance d'une ressource, d'un processus ou d'une fonction
qui doit être disponible et opérationnel(le) de manière constante, ou disponible et opérationnel(le) le plus
rapidement possible après un incident, un cas d'urgence ou un sinistre
3.6
perturbation
incident, prévu (par exemple, ouragan) ou intempestif (par exemple, panne d'alimentation/électricité ; séisme,
ou attaque de systèmes/d'une infrastructure TIC) qui perturbe le cours normal des opérations sur le site d'une
organisation
3.7
reprise après un sinistre (TIC)
capacité des éléments TIC d'une organisation à soutenir ses activités critiques à un niveau acceptable dans
un délai prédéterminé suite à une perturbation
3.8
plan de reprise après un sinistre (TIC)
PRAS
plan défini et documenté de manière claire et permettant de restaurer les capacités TIC lors d'une
perturbation
NOTE Ce plan est appelé plan de continuité TIC dans certaines organisations.
2 © ISO/CEI 2011 – Tous droits réservés

ISO/CEI 27031:2011(F)
3.9
mode de défaillance
méthode d’observation d'une défaillance
NOTE Décrit généralement le mode d'occurrence de la défaillance et son impact sur le fonctionnement du système.
3.10
préparation des TIC pour la continuité d’activité
PTCA
capacité d'une organisation à soutenir ses opérations d'activité par la prévention, la détection, la réaction à
une perturbation et la reprise des services TIC
3.11
objectif minimum de continuité d’activité
OMCA
niveau minimum de services et/ou produits acceptable par l'organisation pour atteindre ses objectifs d'activité
lors d'une perturbation
3.12
objectif de point de reprise
OPR
moment auquel les données doivent être rétablies suite à une perturbation
3.13
délai de reprise
DR
période au cours de laquelle les niveaux minimum de services et/ou produits, ainsi que les systèmes,
applications ou fonctions de soutien, doivent être rétablis suite à une interruption
3.14
résilience
capacité d'une organisation à résister aux perturbations qui l'affectent
3.15
déclencheur
événement qui provoque la réaction du système
NOTE Également appelé événement déclencheur.
3.16
document essentiel
document électronique ou au format papier essentiel pour la préservation, la poursuite ou le rétablissement
des opérations d'une organisation, ainsi que pour la protection des droits de cette même organisation, de ses
employés, clients et parties prenantes
4 Abréviations
PTCA Préparation des TIC pour la continuité d’activité (en anglais ICT Readiness for Business Continuity)
SMSI Système de management de la sécurité de l’information (en anglais Information Security
Management System).
© ISO/CEI 2011 – Tous droits réservés 3

ISO/CEI 27031:2011(F)
5 Généralités
5.1 Rôle de la PTCA dans le management de la continuité d’activité
Le management de la continuité d’activité (MCA) est un processus de gestion globale qui identifie les impacts
potentiels constituant une menace pour la continuité des activités commerciales d'une organisation, et fournit
un cadre de mise en place d'une résilience et d'une capacité nécessaires à une réaction efficace préservant
les intérêts de l'organisation contre les perturbations.
La PTCA, comme partie intégrante du processus MCA, se rapporte à un système de management qui
complète et soutient le programme MCA et/ou SMSI d'une organisation, afin d'améliorer la préparation
immédiate de l'organisation pour :
a) réagir à un environnement de risque en constante évolution ;
b) assurer la continuité des activités opérationnelles critiques prises en charge par les services TIC
associés ;
c) pouvoir réagir bien avant la perturbation d'un service TIC, dès la détection d'un ou d'une série
d'événements associés qui deviennent des incidents ; et
d) réagir et reprendre l'activité suite à des incidents/sinistres et des défaillances.
La Figure 2 illustre le résultat TIC souhaité venant à l'appui des activités de gestion de la continuité d’activité.

Figure 2 — Cadre pour la continuité d’activité, et produit et résultat souhaité TIC associés
La Norme internationale MCA développée par l'ISO/TC 223 résume l'approche MCA de prévention, réaction
et reprise après des incidents. Les activités internes au processus MCA incluent la préparation aux incidents,
la gestion de la continuité opérationnelle, la planification de la reprise après un sinistre (PRAS), et
l'atténuation du risque dont l'objectif est le renforcement de la résilience de l'organisation et sa préparation à
une réaction efficace aux incidents et à une reprise de l'activité dans les délais prédéterminés.
Une organisation fixe par conséquent ses priorités MCA, ces dernières menant aux activités PTCA. A son
tour, la MCA dépend de la PTCA afin de s'assurer que l'organisation peut satisfaire de façon permanente à
ses objectifs généraux de continuité d’activité, et notamment pendant des périodes de perturbation.
4 © ISO/CEI 2011 – Tous droits réservés

ISO/CEI 27031:2011(F)
Ces activités de préparation, comme l'illustre la Figure 3, visent à :
a) améliorer les capacités de détection d'un incident ;
b) éviter toute défaillance subite ou sévère ;
c) permettre une dégradation acceptable de l'état opérationnel pour le cas où la défaillance ne peut pas être
supprimée ;
d) réduire davantage le temps de reprise ; et
e) réduire l'impact sur l'occurrence éventuelle de l'incident.

Figure 3 — Concept de préparation des TIC pour la continuité d’activité
5.2 Principes de la PTCA
La PTCA repose sur les principes clés suivants :
a) prévention des incidents - La protection des services TIC contre les menaces, telles que les défaillances
liées à l’environnement et matérielles, les erreurs de fonctionnement, les attaques malfaisantes et les
catastrophes naturelles, est critique pour le maintien des niveaux souhaités de disponibilité des systèmes
pour une organisation ;
b) détection des incidents - La détection des incidents le plus tôt possible réduit l'impact sur les services,
réduit l'effort de reprise et préserve la qualité de service ;
c) réaction - La réaction à un incident de la manière la plus appropriée engendre une reprise plus efficace et
minimise de durée d'indisponibilité. Une mauvaise réaction peut transformer un incident mineur en un
incident bien plus grave ;
© ISO/CEI 2011 – Tous droits réservés 5

ISO/CEI 27031:2011(F)
d) reprise - L'identification et la mise en œuvre de la stratégie de reprise appropriée garantissent la reprise
des services au moment opportun et maintiennent l'intégrité des données. L'appréhension des priorités
de reprise permet de rétablir les services les plus critiques en premier lieu. Les services de nature moins
critique peuvent être rétablis ultérieurement ou, dans certaines circonstances, ne pas être rétablis du
tout ; et
e) amélioration - Il convient de documenter, analyser et examiner les enseignements tirés des incidents
mineurs et majeurs. La compréhension de ces enseignements permet à l'organisation de se préparer, de
maîtriser ou d'éviter les incidents et les perturbations dans de meilleures conditions.
La Figure 4 illustre comment le PTCA soutient le séquencement de la reprise d’un sinistre TIC type et en
retour soutient les activités de continuité de l’organisation par chaque élément constitutif de la PTCA La mise
en œuvre de la PTCA permet une réaction efficace de l'organisation aux nouvelles et émergentes menaces,
ainsi qu'une réaction adaptée et une reprise de l'activité suite à des perturbations.

Figure 4 — Principes de la PTCA avec un calendrier TIC typique de reprise après un sinistre
NOTE La phase de reprise comprend les activités de reprise/restauration des services au moment opportun, les
opérations PRAS durables, ainsi que la restauration et le retour à un fonctionnement normal. Pour des informations
détaillées, se reporter à la Figure A.1 de l'Annexe A.
5.3 Éléments de la PTCA
Les éléments clés de la PTCA peuvent être synthétisés comme suit :
a) personnel : experts avec compétences et connaissances appropriées, et personnel supplétif compétent ;
b) installations : environnement physique comportant les ressources TIC ;
c) technologie :
1) matériel (y compris les baies, serveurs, armoires de stockage, unités de bandes et accessoires) ;
2) réseau (y compris les services de connexion aux données et les services pour le transport de la voix
à commande vocale), commutateurs et routeurs ; et
6 © ISO/CEI 2011 – Tous droits réservés

ISO/CEI 27031:2011(F)
3) logiciels, y compris les systèmes d'exploitation et les logiciels d'application, liaisons ou interfaces
entre les applications et les programmes de traitement par lots ;
d) données : données d'application, données de transport de la voix et autres types de données ;
e) processus : comprennent la documentation support décrivant la configuration des ressources TIC et
permettant le fonctionnement, la reprise et le maintien efficaces des services TIC ; et
f) fournisseurs : autres composants des services de bout-en-bout pour lesquels la fourniture de services TIC
dépend d'un fournisseur de services externe ou d'une autre organisation de la chaîne
d'approvisionnement, par exemple, un fournisseur de données sur les marchés financiers, une entreprise
de télécommunications ou un fournisseur de services Internet.
5.4 PTCA : ses résultats et ses avantages
Une PTCA efficace présente les avantages suivants pour une organisation :
a) elle appréhende les risques relatifs à la continuité des services TIC et les faiblesses de ces mêmes
services ;
b) elle identifie les impacts potentiels d'une perturbation sur les services TIC ;
c) elle incite à une meilleure collaboration entre ses responsables d'activité et ses fournisseurs de services
TIC (internes et externes) ;
d) elle développe et renforce la compétence de son personnel TIC par la démonstration de réactions
crédibles au moyen de plans de continuité TIC et par la vérification des dispositions PTCA ;
e) elle garantit à la direction au plus haut niveau qu'elle peut dépendre de niveaux prédéterminés de
services TIC et bénéficier d'un soutien et de communications adéquats dans le cas d'une perturbation ;
f) elle garantit également à la direction au plus haut niveau la préservation adaptée de la sécurité de
l'information (confidentialité, intégrité et disponibilité), en assurant le respect des politiques de sécurité de
l'information ;
g) elle renforce la confiance à l'égard de la stratégie de continuité d’activité par une relation entre
l'investissement dans les solutions TI et les besoins de l’organisation, ainsi que par l'assurance de la
protection des services TIC à un niveau approprié, compte tenu de leur importance pour l'organisation ;
h) elle comporte des services TIC rentables et ne faisant l'objet d'aucun sous- ou sur-investissement, par la
compréhension de son niveau de dépendance à l'égard desdits services, ainsi que de la nature, la
position, l'interdépendance et l'utilisation des composants qui constituent les services TIC ;
i) elle peut renforcer sa réputation en termes de prudence et d'efficacité ;
j) elle présente potentiellement un avantage concurrentiel par la démonstration de sa capacité à assurer la
continuité d’activité et à maintenir la fourniture des produits et services dans des périodes de
perturbation ; et
k) elle comprend et documente les attentes des parties prenantes et leurs relations avec les services TIC,
ainsi que l'utilisation de ces derniers.
La PTCA fournit ainsi une méthode significative de détermination de l'état des services TIC d'une
organisation, par le soutien de ses objectifs de continuité d’activité et ce, en répondant à la question «nos TIC
sont-elles en mesure de répondre» plutôt que «nos TIC sont-elles sûres».
© ISO/CEI 2011 – Tous droits réservés 7

ISO/CEI 27031:2011(F)
5.5 Mise en place de la PTCA
Il est vraisemblable que la PTCA se révèle plus efficace et plus rentable lorsqu'elle est conçue et intégrée dès
le départ aux services TIC comme partie intégrante d’une stratégie PTCA qui vient à l'appui des objectifs de
continuité d’activité d'une organisation. Cette opération garantit une meilleure constitution et une meilleure
appréhension des services TIC, ainsi que leur plus grande résilience. Une adaptation de la PTCA peut se
révéler complexe, perturbatrice et coûteuse.
Il convient que l'organisation développe, mette en œuvre, maintienne et améliore de façon continue un
ensemble de processus documentés venant à l'appui de la PTCA.
Il convient que ces processus s'assurent que les objectifs de la PTCA soient clairement énoncés, compris et
communiqués. Il convient également qu'ils s'assurent de l'engagement de la direction au plus haut niveau
dans le processus PTCA.
La Figure 5 présente sous forme de graphique les activités des différentes phases de la PTCA.

Figure 5 — Phases de la PTCA
8 © ISO/CEI 2011 – Tous droits réservés

ISO/CEI 27031:2011(F)
5.6 Utilisation du cycle Planifier-Faire-Vérifier-Agir pour la mise en place de la PTCA
La PTCA implique que l'organisation établisse des processus de développement et d'amélioration de ses
éléments PTCA clés (voir 5.2) afin de renforcer leur capacité de réaction à tout type de perturbation, y
compris les situations à risque évolutives, par l'application de l'approche Planifier-Faire-Vérifier-Agir (PDCA).
La Figure 5 présente sous forme de graphique les activités des différentes phases de la PTCA.
5.7 Responsabilité de la direction
5.7.1 Pilotage et engagement de la direction
Il convient qu'un programme PTCA, pour être efficace, soit un processus pleinement intégré aux activités de
gestion de l'organisation, à structure descendante, et avalisé et promu par la direction au plus haut niveau de
cette même organisation. Il est possible que de nombreux spécialistes PTCA et employés d'autres disciplines
et services de gestion soient tenus de soutenir et gérer le programme PTCA. Le volume de ressources
nécessaires pour soutenir ce type de programme dépend de la taille et de la complexité de l'organisation.
5.7.2 Politique PTCA
Il convient que l'organisation ait une politique PTCA documentée. Cette politique peut à l'origine être une
politique de haut niveau/macroscopique, avec un affinement et une amélioration postérieurs, en fonction de
l'évolution du processus PTCA dans sa globalité. Il convient que cette politique fasse l'objet d'une revue et
d'une actualisation périodiques conformément aux besoins de l'organisation, et soit par ailleurs conforme aux
objectifs MCA organisationnels plus larges.
Il convient que la politique PTCA fournisse à l'organisation des principes documentés auxquels il aspirera, et
par rapport auxquels son efficacité PTCA pourra être mesurée. Il convient que la politique PTCA :
a) établisse et démontre l'engagement de la direction au plus haut niveau dans un programme PTCA ;
b) inclue ou fasse référence aux objectifs PTCA de l'organisation ;
c) définisse le domaine d'application de la PTCA, y compris ses limites et exclusions ;
d) soit approuvée et validée par la direction au plus haut niveau ;
e) soit communiquée aux parties prenantes internes et externes appropriées ;
f) identifie et fournisse les références pertinentes pour la disponibilité des ressources telles que le budget ;
le personnel nécessaire pour réaliser les activités conformément à la politique PTCA ; et
g) fasse l'objet d'une revue à des intervalles programmés et lors de changements significatifs, tels que des
changements liés à l’environnement au milieu ambiant ou à un changement d'activité et de structure de
l'organisation.
6 Planification PTCA
6.1 Généralités
L'objectif principal de la phase de planification est de définir les exigences de préparation des TIC de
l'organisation, y compris :
a) la stratégie et le plan PTCA nécessaires pour venir à l'appui des exigences liées à l’activité, juridiques,
légales et réglementaires, relatives au domaine d'application défini et à la réalisation des buts et objectifs
en termes de continuité d’activité de l'organisation ; et
b) les critères de performance dont a besoin l'organisation pour contrôler le degré de préparation des TIC
qui lui sont nécessaires pour réaliser ces buts et objectifs.
© ISO/CEI 2011 – Tous droits réservés 9

ISO/CEI 27031:2011(F)
6.2 Ressources
6.2.1 Généralités
En tant qu’éléments de la politique, il convient que l'organisation définisse la nécessité d'un programme PTCA
comme partie intégrante de ses objectifs MCA globaux et, par ailleurs, détermine et fournisse les ressources
nécessaires pour établir, mettre en œuvre, exploiter et maintenir ce type de programme PTCA.
Il convient de définir et documenter les rôles, responsabilités, compétences et attributions d'un processus
PTCA.
Il convient que la direction au plus haut niveau :
a) désigne ou nomme une personne dont l'ancienneté et la compétence lui permettent d'assumer la
responsabilité de la politique PTCA et de sa mise en œuvre ; et
b) désigne une ou plusieurs personnes compétentes dont il convient, indépendamment d'autres
responsabilités, qu'elles mettent en œuvre et maintiennent le système de management la PTCA tel que
décrit dans la présente Norme internationale.
6.2.2 Compétence du personnel PTCA
Il convient que l'organisation s'assure que l'ensemble du personnel auquel il a confié des responsabilités
PTCA dispose des compétences nécessaires pour exécuter les tâches requises. Se reporter au 7.2.1 pour
des informations détaillées.
6.3 Définition d'exigences
6.3.1 Généralités
L'organisation aura procédé, comme partie intégrante de son programme MCA, au classement de ses
activités par catégories selon leur priorité en termes de continuité (comme cela a été déterminé par une
analyse d'impact sur l'activité) et défini le niveau minimum auquel chaque activité critique doit être exécutée
suite à un sinistre. Il convient que la direction au plus haut niveau approuve les exigences de continuité
d’activité de l'organisation, ces exigences produisant un délai de reprise de l'activité (DR) et un objectif de
point de reprise (OPR) pour l'objectif minimal de continuité d’activité (OMCA) par produit, service ou activité.
Ces DR partent du point de perturbation effective et s'appliquent au produit, au service ou à l'activité.
6.3.2 Appréhension des services TIC critiques
De nombreux services TIC peuvent être considérés comme critiques et nécessaires pour permettre la reprise
de l'activité. Il convient que pour chacun de ces services critiques, leurs objectifs propres, respectivement de
délai de reprise de l'activité (DR) et de point de reprise (OPR), soient documentés en cohérence avec leur
objectif minimal de continuité d’activité (OMCA) du service TIC. (Ces objectifs peuvent inclure les aspects de
la fourniture de services TIC, tels que le service d'assistance.) L'objectif DR des services TIC critiques est
invariablement moindre que l'objectif DR de continuité d’activité. (Se reporter à l'Annexe A pour une
élaboration détaillée des objectifs DR et OPR.)
Il convient que l'organisation identifie et documente ses services TIC critiques afin d'y inclure les descriptions
succinctes et les appellations qui se révèlent utiles au niveau de l'utilisateur de services. Ceci permet une
compréhension commune entre le personnel Métier et le personnel TIC, dans la mesure où différents noms
peuvent s'appliquer au même service TIC. Il convient que chaque service TIC critique énuméré identifie le
produit ou le service de l'organisation qu'il prend en charge, et il convient par ailleurs que la direction au plus
haut niveau approuve les services TIC et leurs exigences PTCA associées.
Pour chaque service TIC crit
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Loading comments...

This May Also Interest You

ISO
ISO/IEC 18032:2020(Main)
Information security — Prime number generation

This document specifies methods for generating and testing prime numbers as required in cryptographic protocols and algorithms. Firstly, this document specifies methods for testing whether a given number is prime. The testing methods included in this document are divided into two groups: — probabilistic primality tests, which have a small error probability. All probabilistic tests described here can declare a composite to be a prime; — deterministic methods, which are guaranteed to give the right verdict. These methods use so-called primality certificates. Secondly, this document specifies methods to generate prime numbers. Again, both probabilistic and deterministic methods are presented. NOTE It is possible that readers with a background in algorithm theory have already had previous encounters with probabilistic and deterministic algorithms. The deterministic methods in this document internally still make use of random bits (to be generated via methods described in ISO/IEC 18031), and "deterministic" only refers to the fact that the output is correct with probability one. Annex A provides error probabilities that are utilized by the Miller-Rabin primality test. Annex B describes variants of the methods for generating primes so that particular cryptographic requirements can be met. Annex C defines primitives utilized by the prime generation and verification methods.

  • Standard
    33 pages
    English language
    sale 15% off
ISO
ISO/IEC 24761:2019(Main)
Information technology — Security techniques — Authentication context for biometrics

This document defines the structure and the data elements of Authentication Context for Biometrics (ACBio), which is used for checking the validity of the result of a biometric enrolment and verification process executed at a remote site. This document allows any ACBio instance to accompany any biometric processes related to enrolment and verification. The specification of ACBio is applicable not only to single modal biometric enrolment and verification but also to multimodal fusion. The real-time information of presentation attack detection is not provided in this document. Only the assurance information of presentation attack detection (PAD) mechanism can be contained in the BPU report. Biometric identification is out of the scope of this document. This document specifies the cryptographic syntax of an ACBio instance. The cryptographic syntax of an ACBio instance is defined in this document applying a data structure specified in Cryptographic Message Syntax (CMS) schema whose concrete values can be represented using a compact binary encoding. This document does not define protocols to be used between entities such as BPUs, claimant, and validator. Its concern is entirely with the content and encoding of the ACBio instances for the various processing activities.

  • Standard
    75 pages
    English language
    sale 15% off
ISO
ISO/IEC 30111:2019(Main)
Information technology — Security techniques — Vulnerability handling processes

This document provides requirements and recommendations for how to process and remediate reported potential vulnerabilities in a product or service. This document is applicable to vendors involved in handling vulnerabilities.

  • Standard
    13 pages
    English language
    sale 15% off
  • Standard
    15 pages
    French language
    sale 15% off
ISO
ISO/IEC 9798-2:2019(Main)
IT Security techniques — Entity authentication — Part 2: Mechanisms using authenticated encryption

This document specifies entity authentication mechanisms using authenticated encryption algorithms. Four of the mechanisms provide entity authentication between two entities where no trusted third party is involved; two of these are mechanisms to unilaterally authenticate one entity to another, while the other two are mechanisms for mutual authentication of two entities. The remaining mechanisms require an on-line trusted third party for the establishment of a common secret key. They also realize mutual or unilateral entity authentication. Annex A defines Object Identifiers for the mechanisms specified in this document.

  • Standard
    15 pages
    English language
    sale 15% off
ISO
ISO/IEC 9798-3:2019(Main)
IT Security techniques — Entity authentication — Part 3: Mechanisms using digital signature techniques

This document specifies entity authentication mechanisms using digital signatures based on asymmetric techniques. A digital signature is used to verify the identity of an entity. Ten mechanisms are specified in this document. The first five mechanisms do not involve an on-line trusted third party and the last five make use of on-line trusted third parties. In both of these two categories, two mechanisms achieve unilateral authentication and the remaining three achieve mutual authentication. Annex A defines the object identifiers assigned to the entity authentication mechanisms specified in this document.

  • Standard
    25 pages
    English language
    sale 15% off
ISO
ISO/IEC TS 27008:2019(Main)
Information technology — Security techniques — Guidelines for the assessment of information security controls

This document provides guidance on reviewing and assessing the implementation and operation of information security controls, including the technical assessment of information system controls, in compliance with an organization's established information security requirements including technical compliance against assessment criteria based on the information security requirements established by the organization. This document offers guidance on how to review and assess information security controls being managed through an Information Security Management System specified by ISO/IEC 27001. It is applicable to all types and sizes of organizations, including public and private companies, government entities, and not-for-profit organizations conducting information security reviews and technical compliance checks.

  • Technical specification
    91 pages
    English language
    sale 15% off
ISO
ISO/IEC 10118-3:2018(Main)
IT Security techniques — Hash-functions — Part 3: Dedicated hash-functions

This document specifies dedicated hash-functions, i.e. specially designed hash-functions. The hash-functions in this document are based on the iterative use of a round-function. Distinct round-functions are specified, giving rise to distinct dedicated hash-functions. The use of Dedicated Hash-Functions 1, 2 and 3 in new digital signature implementations is deprecated. NOTE As a result of their short hash-code length and/or cryptanalytic results, Dedicated Hash-Functions 1, 2 and 3 do not provide a sufficient level of collision resistance for future digital signature applications and they are therefore, only usable for legacy applications. However, for applications where collision resistance is not required, such as in hash-functions as specified in ISO/IEC 9797‑2, or in key derivation functions specified in ISO/IEC 11770‑6, their use is not deprecated. Numerical examples for dedicated hash-functions specified in this document are given in Annex B as additional information. For information purposes, SHA-3 extendable-output functions are specified in Annex C.

  • Standard
    398 pages
    English language
    sale 15% off
ISO
ISO/IEC 29147:2018(Main)
Information technology — Security techniques — Vulnerability disclosure

This document provides requirements and recommendations to vendors on the disclosure of vulnerabilities in products and services. Vulnerability disclosure enables users to perform technical vulnerability management as specified in ISO/IEC 27002:2013, 12.6.1[1]. Vulnerability disclosure helps users protect their systems and data, prioritize defensive investments, and better assess risk. The goal of vulnerability disclosure is to reduce the risk associated with exploiting vulnerabilities. Coordinated vulnerability disclosure is especially important when multiple vendors are affected. This document provides: — guidelines on receiving reports about potential vulnerabilities; — guidelines on disclosing vulnerability remediation information; — terms and definitions that are specific to vulnerability disclosure; — an overview of vulnerability disclosure concepts; — techniques and policy considerations for vulnerability disclosure; — examples of techniques, policies (Annex A), and communications (Annex B). Other related activities that take place between receiving and disclosing vulnerability reports are described in ISO/IEC 30111. This document is applicable to vendors who choose to practice vulnerability disclosure to reduce risk to users of vendors' products and services.

  • Standard
    32 pages
    English language
    sale 15% off
  • Standard
    34 pages
    French language
    sale 15% off
ISO
ISO/IEC TS 19608:2018(Main)
Guidance for developing security and privacy functional requirements based on ISO/IEC 15408

This document provides guidance for: — selecting and specifying security functional requirements (SFRs) from ISO/IEC 15408-2 to protect Personally Identifiable Information (PII); — the procedure to define both privacy and security functional requirements in a coordinated manner; and — developing privacy functional requirements as extended components based on the privacy principles defined in ISO/IEC 29100 through the paradigm described in ISO/IEC 15408-2. The intended audience for this document are: — developers who implement products or systems that deal with PII and want to undergo a security evaluation of those products using ISO/IEC 15408. They will get guidance how to select security functional requirements for the Security Target of their product or system that map to the privacy principles defined in ISO/IEC 29100; — authors of Protection Profiles that address the protection of PII; and — evaluators that use ISO/IEC 15408 and ISO/IEC 18045 for a security evaluation. This document is intended to be fully consistent with ISO/IEC 15408; however, in the event of any inconsistency between this document and ISO/IEC 15408, the latter, as a normative standard, takes precedence.

  • Technical specification
    48 pages
    English language
    sale 15% off
ISO
ISO/IEC 27050-2:2018(Main)
Information technology — Electronic discovery — Part 2: Guidance for governance and management of electronic discovery

This document provides guidance for technical and non-technical personnel at senior management levels within an organization, including those with responsibility for compliance with statuary and regulatory requirements, and industry standards. It describes how such personnel can identify and take ownership of risks related to electronic discovery, set policy and achieve compliance with corresponding external and internal requirements. It also suggests how to produce such policies in a form which can inform process control. Furthermore, it provides guidance on how to implement and control electronic discovery in accordance with the policies.

  • Standard
    9 pages
    English language
    sale 15% off