ISO/IEC 27031:2011
(Main)Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity
Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity
ISO/IEC 27031:2011 describes the concepts and principles of information and comunication technology (ICT) readiness for business continuity, and provides a framework of methods and processes to identify and specify all aspects (such as performance criteria, design, and implementation) for improving an organization's ICT readiness to ensure business continuity. It applies to any organization (private, governmental, and non-governmental, irrespective of size) developing its ICT readiness for business continuity program (IRBC), and requiring its ICT services/infrastructures to be ready to support business operations in the event of emerging events and incidents, and related disruptions, that could affect continuity (including security) of critical business functions. It also enables an organization to measure performance parameters that correlate to its IRBC in a consistent and recognized manner. The scope of ISO/IEC 27031:2011 encompasses all events and incidents (including security related) that could have an impact on ICT infrastructure and systems. It includes and extends the practices of information security incident handling and management and ICT readiness planning and services.
Technologies de l'information — Techniques de sécurité — Lignes directrices pour la préparation des technologies de la communication et de l'information pour la continuité d'activité
L'ISO/CEI 27031:2011 décrit les concepts et principes de préparation des technologies de l'information et de la communication (TIC) pour la continuité d'activité, et fournit un cadre de méthodes et processus destinés à identifier et spécifier l'ensemble des aspects (tels que les critères de performance, la conception et la mise en ?uvre) permettant d'améliorer la préparation des TIC, et ce, de manière à assurer la continuité d'activité d'une organisation. Elle s'applique à toute organisation (privée, gouvernementale et non gouvernementale, quelle que soit sa taille) qui développe son programme de préparation des TIC pour la continuité de son activité (PTCA), et exige de ses services/infrastructures TIC qu'ils soient prêts à prendre en charge les opérations d'activité en cas de survenance d'événements et d'incidents effectifs, ainsi que de perturbations associées, susceptibles d'affecter la continuité (y compris la sécurité) des fonctions métier critiques. Elle permet aussi à une organisation de mesurer les paramètres de performance en corrélation avec sa PTCA d'une manière cohérente et reconnue. Le domaine d'application de la présente Norme internationale comprend tous les événements et incidents (y compris ceux liés à la sécurité) susceptibles d'influencer l'infrastructure et les systèmes TIC. Il inclut et étend les pratiques de traitement et de gestion des incidents de sécurité de l'information, ainsi que de planification de la préparation des TIC et des services associés.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 27031
First edition
2011-03-01
Information technology — Security
techniques — Guidelines for information
and communication technology
readiness for business continuity
Technologies de l'information — Techniques de sécurité — Lignes
directrices pour mise en état des technologies de la communication et
de l'information pour continuité des affaires
Reference number
©
ISO/IEC 2011
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO/IEC 2011
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2011 – All rights reserved
Contents Page
Foreword .v
Introduction.vi
1 Scope.1
2 Normative references.1
3 Terms and definitions .2
4 Abbreviations.3
5 Overview.3
5.1 The role of IRBC in Business Continuity Management.3
5.2 The Principles of IRBC.5
5.3 The Elements of IRBC.6
5.4 Outcomes and benefits of IRBC .7
5.5 Establishing IRBC .7
5.6 Using Plan Do Check Act to establish IRBC.8
5.7 Management Responsibility.8
5.7.1 Management leadership and commitment.8
5.7.2 IRBC policy .8
6 IRBC Planning.9
6.1 General .9
6.2 Resources .9
6.2.1 General .9
6.2.2 Competency of IRBC staff .9
6.3 Defining requirements .10
6.3.1 General .10
6.3.2 Understanding critical ICT services .10
6.3.3 Identifying gaps between ICT Readiness capabilities and business continuity
requirements.10
6.4 Determining IRBC Strategy Options.11
6.4.1 General .11
6.4.2 IRBC Strategy Options.11
6.5 Sign Off.14
6.6 Enhancing IRBC Capability .14
6.6.1 Enhancing Resilience .14
6.7 ICT Readiness Performance Criteria.15
6.7.1 Identification of performance criteria.15
7 Implementation and Operation .15
7.1 General .15
7.2 Implementing the Elements of the IRBC Strategies .15
7.2.1 Awareness, Skills and Knowledge .15
7.2.2 Facilities .16
7.2.3 Technology .16
7.2.4 Data.16
7.2.5 Processes.17
7.2.6 Suppliers .17
7.3 Incident Response.17
7.4 IRBC Plan Documents.17
7.4.1 General .17
7.4.2 Content of Plan Documents .18
7.4.3 The ICT Response and Recovery Plan Documentation .19
© ISO/IEC 2011 – All rights reserved iii
7.5 Awareness, competency and training program . 20
7.6 Document Control. 21
7.6.1 Control of IRBC records. 21
7.6.2 Control of IRBC documentation. 21
8 Monitor and Review. 21
8.1 Maintaining IRBC . 21
8.1.1 General. 21
8.1.2 Monitoring, detection and analysis of threats. 22
8.1.3 Test and exercise. 22
8.2 IRBC Internal Audit. 26
8.3 Management Review . 26
8.3.1 General. 26
8.3.2 Review Input. 27
8.3.3 Review Output. 27
8.4 Measurement of ICT Readiness Performance Criteria. 28
8.4.1 Monitoring and measurement of ICT Readiness. 28
8.4.2 Quantitative and Qualitative Performance Criteria . 28
9 IRBC improvement. 28
9.1 Continual improvement. 28
9.2 Corrective action. 28
9.3 Preventive action . 29
Annex A (informative) IRBC and milestones during a disruption . 30
Annex B (informative) High availability embedded system . 32
Annex C (informative) Assessing Failure Scenarios. 33
Annex D (informative) Developing Performance Criteria. 35
Bibliography. 36
iv © ISO/IEC 2011 – All rights reserved
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27031 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.
© ISO/IEC 2011 – All rights reserved v
...
NORME ISO/CEI
INTERNATIONALE 27031
Première édition
2011-03-01
Technologies de l'information —
Techniques de sécurité — Lignes
directrices pour la préparation des
technologies de la communication et de
l'information pour la continuité d'activité
Information technology — Security techniques — Guidelines for
information and communication technology readiness for business
continuity
Numéro de référence
ISO/CEI 27031:2011(F)
©
ISO/CEI 2011
ISO/CEI 27031:2011(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/CEI 2011
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2012
Publié en Suisse
ii © ISO/CEI 2011 – Tous droits réservés
ISO/CEI 27031:2011(F)
Sommaire Page
Avant-propos . v
Introduction . vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 2
4 Abréviations . 3
5 Généralités . 4
5.1 Rôle de la PTCA dans le management de la continuité d’activité . 4
5.2 Principes de la PTCA . 5
5.3 Éléments de la PTCA . 6
5.4 PTCA : ses résultats et ses avantages . 7
5.5 Mise en place de la PTCA . 8
5.6 Utilisation du cycle Planifier-Faire-Vérifier-Agir pour la mise en place de la PTCA . 9
5.7 Responsabilité de la direction . 9
5.7.1 Pilotage et engagement de la direction . 9
5.7.2 Politique PTCA . 9
6 Planification PTCA . 9
6.1 Généralités . 9
6.2 Ressources . 10
6.2.1 Généralités . 10
6.2.2 Compétence du personnel PTCA . 10
6.3 Définition d'exigences . 10
6.3.1 Généralités . 10
6.3.2 Appréhension des services TIC critiques . 10
6.3.3 Identification des écarts entre les capacités de préparation des TIC et les exigences de
continuité d’activité . 11
6.4 Détermination des options de stratégie PTCA . 11
6.4.1 Généralités . 11
6.4.2 Options de stratégie PTCA . 12
6.5 Approbation . 15
6.6 Amélioration de la capacité PTCA . 15
6.6.1 Amélioration de la résilience . 15
6.7 Critères de performance de la préparation des TIC . 16
6.7.1 Identification des critères de performance . 16
7 Mise en œuvre et exploitation . 16
7.1 Généralités . 16
7.2 Mise en œuvre des éléments des stratégies PTCA . 16
7.2.1 Sensibilisation, compétences et connaissances . 16
7.2.2 Installations . 17
7.2.3 Technologie . 17
7.2.4 Données . 17
7.2.5 Processus . 18
7.2.6 Fournisseurs . 18
7.3 Réaction aux incidents . 18
7.4 Documents de planification PTCA . 18
7.4.1 Généralités . 18
7.4.2 Contenu des documents de planification . 19
7.4.3 Documents de planification de réaction et de reprise TIC . 20
7.5 Programme de sensibilisation, compétence et formation . 22
© ISO/CEI 2011 – Tous droits réservés iii
ISO/CEI 27031:2011(F)
7.6 Maîtrise des documents .22
7.6.1 Maîtrise des enregistrements PTCA .22
7.6.2 Maîtrise de la documentation PTCA .22
8 Suivi et revue .22
8.1 Maintien du processus PTCA .22
8.1.1 Généralités .22
8.1.2 Suivi, détection et analyse des menaces .23
8.1.3 Essai et exercice .23
8.2 Audit interne PTCA .28
8.3 Revue de direction .28
8.3.1 Généralités .28
8.3.2 Entrée d'une revue .28
8.3.3 Sortie d'une revue .29
8.4 Mesure des critères de performance de la préparation des TIC .29
8.4.1 Suivi et mesure de la préparation des TIC .29
8.4.2 Critères de performance quantitatifs et qualitatifs .29
9 Amélioration de la PTCA .30
9.1 Amélioration continue .30
9.2 Action corrective.30
9.3 Action préventive .30
Annexe A (informative) PTCA et jalons lors d'une perturbation .31
Annexe B (informative) Système intégré à haute disponibilité .33
Annexe C (informative) Évaluation des scénarios de défaillance .34
Annexe D (informative) Développement des critères de performance .36
Bibliographie .37
iv © ISO/CEI 2011 – Tous droits réservés
ISO/CEI 27031:2011(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de la CEI participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les
comités techniques de l'ISO et de la CEI collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et la CEI
participent également aux travaux. Dans le domaine des technologies de l'information, l'ISO et la CEI ont créé
un comité technique mixte, l'ISO/CEI JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale du comité technique mixte est d'élaborer les Normes internationales. Les projets de
Normes internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des
organismes nationaux votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO et la CEI ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/CEI 27031 a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de l'information,
sous-comité SC 27, Techniques de sécurité des technologies de l’information.
© ISO/CEI 2011 – Tous droits réservés v
ISO/CEI 27031:2011(F)
Introduction
Les technologies de l'information et de la communication (TIC) sont devenues, au fil des années, partie
intégrante de nombreuses activités qui constituent les éléments des infrastructures critiques dans tous les
secteurs d’activité organisationnels, qu'ils soient publics, privés ou bénévoles. Le développement à grande
échelle de l'Internet et d'autres services de mise en réseaux électroniques, ainsi que les capacités actuelles
des systèmes et applications, impliquent également que les organisations se fient plus que jamais à des
infrastructu
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.