ISO/IEC 27031:2011
(Main)Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity
Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity
ISO/IEC 27031:2011 describes the concepts and principles of information and comunication technology (ICT) readiness for business continuity, and provides a framework of methods and processes to identify and specify all aspects (such as performance criteria, design, and implementation) for improving an organization's ICT readiness to ensure business continuity. It applies to any organization (private, governmental, and non-governmental, irrespective of size) developing its ICT readiness for business continuity program (IRBC), and requiring its ICT services/infrastructures to be ready to support business operations in the event of emerging events and incidents, and related disruptions, that could affect continuity (including security) of critical business functions. It also enables an organization to measure performance parameters that correlate to its IRBC in a consistent and recognized manner. The scope of ISO/IEC 27031:2011 encompasses all events and incidents (including security related) that could have an impact on ICT infrastructure and systems. It includes and extends the practices of information security incident handling and management and ICT readiness planning and services.
Technologies de l'information — Techniques de sécurité — Lignes directrices pour la préparation des technologies de la communication et de l'information pour la continuité d'activité
L'ISO/CEI 27031:2011 décrit les concepts et principes de préparation des technologies de l'information et de la communication (TIC) pour la continuité d'activité, et fournit un cadre de méthodes et processus destinés à identifier et spécifier l'ensemble des aspects (tels que les critères de performance, la conception et la mise en ?uvre) permettant d'améliorer la préparation des TIC, et ce, de manière à assurer la continuité d'activité d'une organisation. Elle s'applique à toute organisation (privée, gouvernementale et non gouvernementale, quelle que soit sa taille) qui développe son programme de préparation des TIC pour la continuité de son activité (PTCA), et exige de ses services/infrastructures TIC qu'ils soient prêts à prendre en charge les opérations d'activité en cas de survenance d'événements et d'incidents effectifs, ainsi que de perturbations associées, susceptibles d'affecter la continuité (y compris la sécurité) des fonctions métier critiques. Elle permet aussi à une organisation de mesurer les paramètres de performance en corrélation avec sa PTCA d'une manière cohérente et reconnue. Le domaine d'application de la présente Norme internationale comprend tous les événements et incidents (y compris ceux liés à la sécurité) susceptibles d'influencer l'infrastructure et les systèmes TIC. Il inclut et étend les pratiques de traitement et de gestion des incidents de sécurité de l'information, ainsi que de planification de la préparation des TIC et des services associés.
General Information
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 27031
First edition
2011-03-01
Information technology — Security
techniques — Guidelines for information
and communication technology
readiness for business continuity
Technologies de l'information — Techniques de sécurité — Lignes
directrices pour mise en état des technologies de la communication et
de l'information pour continuité des affaires
Reference number
ISO/IEC 27031:2011(E)
©
ISO/IEC 2011
---------------------- Page: 1 ----------------------
ISO/IEC 27031:2011(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2011
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2011 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 27031:2011(E)
Contents Page
Foreword .v
Introduction.vi
1 Scope.1
2 Normative references.1
3 Terms and definitions .2
4 Abbreviations.3
5 Overview.3
5.1 The role of IRBC in Business Continuity Management.3
5.2 The Principles of IRBC.5
5.3 The Elements of IRBC.6
5.4 Outcomes and benefits of IRBC .7
5.5 Establishing IRBC .7
5.6 Using Plan Do Check Act to establish IRBC.8
5.7 Management Responsibility.8
5.7.1 Management leadership and commitment.8
5.7.2 IRBC policy .8
6 IRBC Planning.9
6.1 General .9
6.2 Resources .9
6.2.1 General .9
6.2.2 Competency of IRBC staff .9
6.3 Defining requirements .10
6.3.1 General .10
6.3.2 Understanding critical ICT services .10
6.3.3 Identifying gaps between ICT Readiness capabilities and business continuity
requirements.10
6.4 Determining IRBC Strategy Options.11
6.4.1 General .11
6.4.2 IRBC Strategy Options.11
6.5 Sign Off.14
6.6 Enhancing IRBC Capability .14
6.6.1 Enhancing Resilience .14
6.7 ICT Readiness Performance Criteria.15
6.7.1 Identification of performance criteria.15
7 Implementation and Operation .15
7.1 General .15
7.2 Implementing the Elements of the IRBC Strategies .15
7.2.1 Awareness, Skills and Knowledge .15
7.2.2 Facilities .16
7.2.3 Technology .16
7.2.4 Data.16
7.2.5 Processes.17
7.2.6 Suppliers .17
7.3 Incident Response.17
7.4 IRBC Plan Documents.17
7.4.1 General .17
7.4.2 Content of Plan Documents .18
7.4.3 The ICT Response and Recovery Plan Documentation .19
© ISO/IEC 2011 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 27031:2011(E)
7.5 Awareness, competency and training program . 20
7.6 Document Control. 21
7.6.1 Control of IRBC records. 21
7.6.2 Control of IRBC documentation. 21
8 Monitor and Review. 21
8.1 Maintaining IRBC . 21
8.1.1 General. 21
8.1.2 Monitoring, detection and analysis of threats. 22
8.1.3 Test and exercise. 22
8.2 IRBC Internal Audit. 26
8.3 Management Review . 26
8.3.1 General. 26
8.3.2 Review Input. 27
8.3.3 Review Output. 27
8.4 Measurement of ICT Readiness Performance Criteria. 28
8.4.1 Monitoring and measurement of ICT Readiness. 28
8.4.2 Quantitative and Qualitative Performance Criteria . 28
9 IRBC improvement. 28
9.1 Continual improvement. 28
9.2 Corrective action. 28
9.3 Preventive action . 29
Annex A (informative) IRBC and milestones during a disruption . 30
Annex B (informative) High availability embedded system . 32
Annex C (informative) Assessing Failure Scenarios. 33
Annex D (informative) Developing Performance Criteria. 35
Bibliography. 36
iv © ISO/IEC 2011 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 27031:2011(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27031 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.
© ISO/IEC 2011 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO/IEC 27031:2011(E)
Introduction
Over the years, information and communication technology (ICT) has become an integral part of many of the
activities which are elements of the critical infrastructures in all organizational sectors, whether public, private
or voluntary. The proliferation of the Internet and other electronic networking services, and today's capabilities
of systems and applications, has also meant that organizations have become ever more reliant on reliable,
safe and secure ICT infrastructures.
Meanwhile, the need for business continuity management (BCM), including incident preparedness, disaster
recovery planning, and emergency response and management, has been recognized and supported with
specific domains of knowledge, expertise, and standards developed and promulgated in recent years,
including the BCM International Standard developed by ISO/TC 223.
NOTE ISO/TC 223 is in the process of developing a relevant business continuity management International Standard
(ISO 22301).
Failures of ICT services, including the occurrence of security issues such as systems intrusion and malware
infections, will impact the continuity of business operations. Thus managing ICT and related continuity and
other security aspects form a key part of business continuity requirements. Furthermore, in the majority of
cases, the critical business functions that require business continuity are usually dependent upon ICT. This
dependence means that disruptions to ICT can constitute strategic risks to the reputation of the organization
and its ability to operate.
ICT readiness is an essential component for many organizations in the implementation of business continuity
management and information security management. As part of the implementation and operation of an
information security management system (ISMS) specified in ISO/IEC 27001 and business continuity
management system (BCMS) respectively, it is critical to develop and implement a readiness plan for the ICT
services to help ensure business continuity.
As a result, effective BCM is frequently dependent upon effective ICT readiness to ensure that the
organization's objectives can continue to be met in times of disruptions. This is particularly important as the
consequences of disruptions to ICT often have the added complication of being invisible and/or difficult to
detect.
In order for an organization to achieve ICT Readiness for Business Continuity (IRBC), it needs to put in place
a systematic process to prevent, predict and manage ICT disruption and incidents which have the potential to
disrupt ICT services. This can be best achieved by applying the Plan-Do-Check-Act (PDCA) cyclical steps as
part of a management system in ICT IRBC. In this way IRBC supports BCM by ensuring that the ICT services
are as resilient as appropriate and can be recovered to pre-determined levels within timescales required and
agreed by the organization.
Table 1 — Plan-Do-Check-Act cycle in IRBC
Plan
Establish IRBC policy, objectives, targets, processes and procedures relevant
to managing risk and improving ICT readiness to deliver results in accordance
with an organization's overall business continuity policies and objectives.
Do
Implement and operate the IRBC policy, controls, processes and procedures.
Check
Assess and, where applicable, measure process performance against IRBC
policy, objectives and practical experience, and report the results to
management for review.
Act
Take corrective and preventive actions, based on the results of the
management review, to achieve continual improvement of the IRBC.
vi © ISO/IEC 2011 – All rights reserved
---------------------- Page: 6 ----------------------
ISO/IEC 27031:2011(E)
If an organization is using ISO/IEC 27001 to establish an ISMS, and/or using relevant standards to establish a
BCMS, the establishment of IRBC should preferably take into consideration existing or intended processes
linked to these standards. This linkage can support the establishment of IRBC and also avoid any dual
processes for the organization. Figure 1 summarizes the interaction of IRBC and BCMS.
In the planning and implementation of IRBC, an organization can refer to ISO/IEC 24762:2008 in its planning
and delivery of ICT disaster recovery services, regardless of whether or not those services are provided by an
outsourced vendor, or internally to the organization.
Figure 1 — Integration of IRBC and BCMS
© ISO/IEC 2011 – All rights reserved vii
---------------------- Page: 7 ----------------------
INTERNATIONAL STANDARD ISO/IEC 27031:2011(E)
Information technology — Security techniques — Guidelines for
information and communication technology readiness for
business continuity
1 Scope
This International Standard describes the concepts and principles of information and communication
technology (ICT) readiness for business continuity, and provides a framework of methods and processes to
identify and specify all aspects (such as performance criteria, design, and implementation) for improving an
organization's ICT readiness to ensure business continuity. It applies to any organization (private,
governmental, and non-governmental, irrespective of size) developing its ICT readiness for business
continuity (IRBC) program, and requiring its ICT services/infrastructures to be ready to support business
operations in the event of emerging events and incidents, and related disruptions, that could affect continuity
(including security) of critical business functions. It also enables an organization to measure performance
parameters that correlate to its IRBC in a consistent and recognized manner.
The scope of this International Standard encompasses all events and incidents (including security related) that
could have an impact on ICT infrastructure and systems. It includes and extends the practices of information
security incident handling and management and ICT readiness planning and services.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
1)
ISO/IEC TR 18044:2004 , Information technology — Security techniques — Information security incident
management
ISO/IEC 27000, Information technology — Security techniques — Information security management
systems — Overview and vocabulary
ISO/IEC 27001, Information technology — Security techniques — Information security management
systems — Requirements
ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security
management
ISO/IEC 27005, Information technology — Security techniques — Information security risk management
1) ISO/IEC TR 18044:2004 is to be revised and renumbered as ISO/IEC 27035.
© ISO/IEC 2011 – All rights reserved 1
---------------------- Page: 8 ----------------------
ISO/IEC 27031:2011(E)
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC TR 18044, ISO/IEC 27000,
ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27005 and the following apply.
3.1
alternate site
alternate operating location selected to be used by an organization when normal business operations cannot
be carried out using the normal location after a disruption has occurred
3.2
business continuity management
BCM
holistic management process that identifies potential threats to an organization and the impacts to business
operations whose threats, if realized, might cause, and which provides a framework for building organizational
resilience with the capability for an effective response that safeguards the interests of its key stakeholders,
reputation, brand and value-creating activities
3.3
business continuity plan
BCP
documented procedures that guide organizations to respond, recover, resume, and restore to a pre-defined
level of operation following disruption
NOTE Typically this covers resources, services and activities required to ensure the continuity of critical business
functions.
3.4
business impact analysis
BIA
process of analysing operational functions and the effect that a disruption might have upon them
3.5
critical
qualitative description used to emphasize the importance of a resource, process or function that must be
available and operational constantly or available and operational at the earliest possible time after an incident,
emergency or disaster has occurred
3.6
disruption
incident, whether anticipated (e.g. hurricane) or unanticipated (e.g. power failure/outage, earthquake, or attack
on ICT systems/infrastructure) which disrupts the normal course of operations at an organization location
3.7
ICT disaster recovery
ability of the ICT elements of an organization to support its critical business functions to an acceptable level
within a predetermined period of time following a disruption
3.8
ICT disaster recovery plan
ICT DRP
clearly defined and documented plan which recovers ICT capabilities when a disruption occurs
NOTE It is called ICT continuity plan in some organizations.
3.9
failure mode
manner by which a failure is observed
NOTE It generally describes the way the failure occurs and its impact on the operation of the system.
2 © ISO/IEC 2011 – All rights reserved
---------------------- Page: 9 ----------------------
ISO/IEC 27031:2011(E)
3.10
ICT readiness for business continuity
IRBC
capability of an organization to support its business operations by prevention, detection and response to
disruption and recovery of ICT services
3.11
minimum business continuity objective
MBCO
minimum level of services and/or products that is acceptable to the organization to achieve its business
objectives during a disruption
3.12
recovery point objective
RPO
point in time to which data must be recovered after a disruption has occurred
3.13
recovery time objective
RTO
period of time within which minimum levels of services and/or products and the supporting systems,
applications, or functions must be recovered after a disruption has occurred
3.14
resilience
ability of an organization to resist being affected by disruptions
3.15
trigger
event that causes the system to initiate a response
NOTE Also known as triggering event.
3.16
vital record
electronic or paper record that is essential for preserving, continuing or reconstructing the operations of an
organization and protecting the rights of an organization, its employees, its customers and its stakeholders
4 Abbreviations
IRBC ICT Readiness for Business Continuity
ISMS Information Security Management System
5 Overview
5.1 The role of IRBC in Business Continuity Management
Business Continuity Management (BCM) is a holistic management process that identifies potential impacts
threatening an organisation's continuity of business activities and provides a framework for building resilience
and capability for an effective response that safeguards the interests of the organization from disruptions.
As part of the BCM process, IRBC refers to a management system which complements and supports an
organization's BCM and/or ISMS program, to improve the readiness of the organization to:
a) respond to the constantly changing risk environment;
b) ensure continuation of critical business operations supported by the related ICT services;
© ISO/IEC 2011 – All rights reserved 3
---------------------- Page: 10 ----------------------
Business Resiliency
ISO/IEC 27031:2011(E)
c) be ready to respond before an ICT service disruption occurs, upon detection of one or a series of related
events that become incidents; and
d) to respond and recover from incidents/disasters and failures.
Figure 2 illustrates the desired ICT outcome to support the Business Continuity Management activities.
BCM ICT Desired
Framework Output Outcome
ICT
Response
and
Recovery
ICT Risk
Reduction
Controls
Figure 2 — Business Continuity Framework and its related ICT output and desired outcome
The BCM International Standard developed by ISO/TC 223 summarizes the BCM approach to preventing,
reacting and recovering from incidents. Activities involved in BCM include incident preparedness, operational
continuity management, disaster recovery planning (DRP) and risk mitigation which focus on increasing the
resilience of the organization and by preparing it to react effectively to incidents and recover within pre-
determined timescales.
An organization therefore sets out its BCM priorities and it is these which drive the IRBC activities. In turn
BCM depends upon IRBC to ensure that the organization can meet its overall continuity objectives at all times,
and particularly during times of disruption.
As shown in Figure 3, such readiness activities aim to:
a) improve the incident detection capabilities;
b) prevent a sudden or drastic failure;
c) enable an acceptable degradation of operational status should the failure be unstoppable;
d) further shorten recovery time; and
e) minimize impact upon eventual occurrence of the incident.
4 © ISO/IEC 2011 – All rights reserved
---------------------- Page: 11 ----------------------
ISO/IEC 27031:2011(E)
Figure 3 — Concept of ICT Readiness for Business Continuity
5.2 The Principles of IRBC
IRBC is based around the following key principles:
a) Incident Prevention - Protecting ICT services from threats, such as environmental and hardware failures,
operational errors, malicious attack, and natural disasters, is critical to maintaining the desired levels of
systems availability for an organization;
b) Incident Detection - Detecting incidents at the earliest opportunity will minimize the impact to services,
reduce the recovery effort, and preserve the quality of service;
c) Response - Responding to an incident in the most appropriate manner will lead to a more efficient
recovery and minimize any downtime. Reacting poorly can result in a minor incident escalating into
something more serious;
d) Recovery - Identifying and implementing the appropriate recovery strategy will ensure the timely
resumption of services and maintain the integrity of data. Understanding the recovery priorities allows the
most critical services to be reinstated first. Services of a less critical nature may be reinstated at a later
time or, in some circumstances, not at all; and
e) Improvement – Lessons learned from small and large incidents should be documented, analysed and
reviewed. Understanding these lessons will allow the organization to better prepare, control and avoid
incidents and disruption.
Figure 4 illustrates how the respective IRBC element supports a typical ICT disaster recovery timeline and in
turn supports the bus
...
NORME ISO/CEI
INTERNATIONALE 27031
Première édition
2011-03-01
Technologies de l'information —
Techniques de sécurité — Lignes
directrices pour la préparation des
technologies de la communication et de
l'information pour la continuité d'activité
Information technology — Security techniques — Guidelines for
information and communication technology readiness for business
continuity
Numéro de référence
ISO/CEI 27031:2011(F)
©
ISO/CEI 2011
---------------------- Page: 1 ----------------------
ISO/CEI 27031:2011(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/CEI 2011
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2012
Publié en Suisse
ii © ISO/CEI 2011 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/CEI 27031:2011(F)
Sommaire Page
Avant-propos . v
Introduction . vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 2
4 Abréviations . 3
5 Généralités . 4
5.1 Rôle de la PTCA dans le management de la continuité d’activité . 4
5.2 Principes de la PTCA . 5
5.3 Éléments de la PTCA . 6
5.4 PTCA : ses résultats et ses avantages . 7
5.5 Mise en place de la PTCA . 8
5.6 Utilisation du cycle Planifier-Faire-Vérifier-Agir pour la mise en place de la PTCA . 9
5.7 Responsabilité de la direction . 9
5.7.1 Pilotage et engagement de la direction . 9
5.7.2 Politique PTCA . 9
6 Planification PTCA . 9
6.1 Généralités . 9
6.2 Ressources . 10
6.2.1 Généralités . 10
6.2.2 Compétence du personnel PTCA . 10
6.3 Définition d'exigences . 10
6.3.1 Généralités . 10
6.3.2 Appréhension des services TIC critiques . 10
6.3.3 Identification des écarts entre les capacités de préparation des TIC et les exigences de
continuité d’activité . 11
6.4 Détermination des options de stratégie PTCA . 11
6.4.1 Généralités . 11
6.4.2 Options de stratégie PTCA . 12
6.5 Approbation . 15
6.6 Amélioration de la capacité PTCA . 15
6.6.1 Amélioration de la résilience . 15
6.7 Critères de performance de la préparation des TIC . 16
6.7.1 Identification des critères de performance . 16
7 Mise en œuvre et exploitation . 16
7.1 Généralités . 16
7.2 Mise en œuvre des éléments des stratégies PTCA . 16
7.2.1 Sensibilisation, compétences et connaissances . 16
7.2.2 Installations . 17
7.2.3 Technologie . 17
7.2.4 Données . 17
7.2.5 Processus . 18
7.2.6 Fournisseurs . 18
7.3 Réaction aux incidents . 18
7.4 Documents de planification PTCA . 18
7.4.1 Généralités . 18
7.4.2 Contenu des documents de planification . 19
7.4.3 Documents de planification de réaction et de reprise TIC . 20
7.5 Programme de sensibilisation, compétence et formation . 22
© ISO/CEI 2011 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/CEI 27031:2011(F)
7.6 Maîtrise des documents .22
7.6.1 Maîtrise des enregistrements PTCA .22
7.6.2 Maîtrise de la documentation PTCA .22
8 Suivi et revue .22
8.1 Maintien du processus PTCA .22
8.1.1 Généralités .22
8.1.2 Suivi, détection et analyse des menaces .23
8.1.3 Essai et exercice .23
8.2 Audit interne PTCA .28
8.3 Revue de direction .28
8.3.1 Généralités .28
8.3.2 Entrée d'une revue .28
8.3.3 Sortie d'une revue .29
8.4 Mesure des critères de performance de la préparation des TIC .29
8.4.1 Suivi et mesure de la préparation des TIC .29
8.4.2 Critères de performance quantitatifs et qualitatifs .29
9 Amélioration de la PTCA .30
9.1 Amélioration continue .30
9.2 Action corrective.30
9.3 Action préventive .30
Annexe A (informative) PTCA et jalons lors d'une perturbation .31
Annexe B (informative) Système intégré à haute disponibilité .33
Annexe C (informative) Évaluation des scénarios de défaillance .34
Annexe D (informative) Développement des critères de performance .36
Bibliographie .37
iv © ISO/CEI 2011 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/CEI 27031:2011(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de la CEI participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les
comités techniques de l'ISO et de la CEI collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et la CEI
participent également aux travaux. Dans le domaine des technologies de l'information, l'ISO et la CEI ont créé
un comité technique mixte, l'ISO/CEI JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale du comité technique mixte est d'élaborer les Normes internationales. Les projets de
Normes internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des
organismes nationaux votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO et la CEI ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/CEI 27031 a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de l'information,
sous-comité SC 27, Techniques de sécurité des technologies de l’information.
© ISO/CEI 2011 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO/CEI 27031:2011(F)
Introduction
Les technologies de l'information et de la communication (TIC) sont devenues, au fil des années, partie
intégrante de nombreuses activités qui constituent les éléments des infrastructures critiques dans tous les
secteurs d’activité organisationnels, qu'ils soient publics, privés ou bénévoles. Le développement à grande
échelle de l'Internet et d'autres services de mise en réseaux électroniques, ainsi que les capacités actuelles
des systèmes et applications, impliquent également que les organisations se fient plus que jamais à des
infrastructures TIC fiables, sécurisées et protégées.
Entre-temps, la nécessité d'un processus de management de la continuité d’activité (MCA), y compris la
préparation aux incidents, la planification de reprise après un sinistre, et les mesures d'intervention et de
gestion des situations d'urgence, a été admise et prise en charge par des domaines spécifiques de
connaissances et d'expertise, et des normes ont été élaborées et publiées ces dernières années, dont la
norme internationale MCA élaborée par l'ISO/TC 223.
NOTE L'ISO/TC 223 est en cours d'élaboration d'une Norme internationale pertinente de gestion de la continuité
d’activité (ISO 22301).
Les défaillances des services TIC, y compris l'occurrence de problèmes liés à la sécurité, tels que la violation
de systèmes et les infections par des logiciels malfaisants influent sur la continuité des activités
opérationnelles. Ainsi, la gestion des TIC et de la continuité associée, ainsi que des autres aspects liés à la
sécurité, constitue un élément clé des exigences de continuité d’activité. De plus, dans la majorité des cas, les
fonctions commerciales critiques exigeant une continuité d’activité dépendent habituellement des TIC. Cette
dépendance signifie que des perturbations des TIC peuvent représenter des risques stratégiques pour la
renommée de l'organisation et sa capacité d'action.
La préparation des TIC est un composant essentiel de la mise en œuvre d'un processus de gestion de la
continuité d’activité et de management de la sécurité de l'information pour de nombreuses organisations. Il est
essentiel, en tant que partie intégrante de la mise en œuvre et de l'exploitation d'un système de management
de la sécurité de l’information (SMSI) spécifié dans l'ISO/CEI 27001 et d'un système de management de la
continuité d’activité (SMCA), d'élaborer et de mettre en œuvre un plan d'intervention immédiate à l'intention
des services TIC afin de s'assurer de la continuité effective de l'activité.
Un système MCA efficace dépend ainsi fréquemment d'une préparation efficace des TIC afin de s'assurer que
les objectifs d'une organisation peuvent continuer à être satisfaits en cas de perturbations. Cet élément est
particulièrement important dans la mesure où les conséquences de perturbations des TIC présentent souvent
l'inconvénient supplémentaire d'être invisibles et/ou difficiles à déceler.
Pour pouvoir réaliser une préparation des TIC de façon à garantir la continuité de son activité, une
organisation doit mettre en place un processus systématique de prévention, prévision et gestion des
perturbations et des incidents liés aux TIC, susceptibles de perturber les services qui leur sont associés.
L'application des étapes cycliques PDCA (Plan-Do-Check-Act / Planifier-Faire-Vérifier-Agir) comme partie
intégrante d'un système de management de la Préparation des TIC pour la Continuité d’Activité (PTCA)
constitue le meilleur moyen pour y parvenir. De cette manière, la PTCA soutient le MCA en s'assurant que les
services TIC sont les plus résilients possibles et peuvent être restaurés aux niveaux prédéterminés dans les
délais requis et définis par l'organisation.
vi © ISO/CEI 2011 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO/CEI 27031:2011(F)
Tableau 1 — Cycle Planifier-Faire-Vérifier-Agir en PTCA
Planifier Établir une politique, des objectifs, cibles, processus et procédures PTCA adaptés à la
gestion des risques et à l'amélioration de la disponibilité des TIC de façon à fournir des
résultats conformes aux politiques et objectifs de la continuité d’activité globale d'une
organisation.
Faire Mettre en œuvre et exploiter la politique et les mesures, processus et procédures PTCA.
Vérifier Évaluer et, le cas échéant, mesurer les performances d'un processus par rapport à la
politique, aux objectifs et à l'expérience pratique de la PTCA, et rendre compte des
résultats à la direction pour revue.
Agir Prendre des mesures correctives et préventives, sur la base des résultats de la revue de
direction, en vue de l'amélioration continue de la PTCA.
Lorsqu'une organisation utilise l'ISO/CEI 27001 pour établir un SMSI, et/ou utilise des normes
correspondantes pour établir un SMCA, il convient que la mise en place d'une PTCA prenne de préférence en
considération les processus existants ou prévus associés à ces normes. Cette association peut prendre en
charge l'établissement d'une PTCA, et éviter toute redondance éventuelle de processus pour l'organisation.
La Figure 1 synthétise l'interaction de la PTCA et du SMCA.
Pour la planification et la mise en œuvre d'une PTCA, une organisation peut se reporter à l'ISO/CEI
24762:2008, dans le cadre de sa planification et de la fourniture de services TIC de reprise après un sinistre,
indépendamment du fait que ces services soient délivrés ou non par un fournisseur externe, ou qu'ils soient
internes à l'organisation.
Figure 1 — Intégration des PTCA et SMCA
© ISO/CEI 2011 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
NORME INTERNATIONALE ISO/CEI 27031:2011(F)
Technologies de l'information — Techniques de sécurité — Lignes
directrices pour la préparation des technologies de la communication et
de l'information pour la continuité d'activité
1 Domaine d'application
La présente Norme internationale décrit les concepts et principes de préparation des technologies de
l'information et de la communication (TIC) pour la continuité d’activité, et fournit un cadre de méthodes et
processus destinés à identifier et spécifier l’ensemble des aspects (tels que les critères de performance, la
conception et la mise en œuvre) permettant d'améliorer la préparation des TIC, et ce, de manière à assurer la
continuité d’activité d'une organisation. Elle s'applique à toute organisation (privée, gouvernementale et non
gouvernementale, quelle que soit sa taille) qui développe son programme de préparation des TIC pour la
continuité de son activité (PTCA), et exige de ses services/infrastructures TIC qu'ils soient prêts à prendre en
charge les opérations d'activité en cas de survenance d'événements et d'incidents effectifs, ainsi que de
perturbations associées, susceptibles d'affecter la continuité (y compris la sécurité) des fonctions métier
critiques. Elle permet aussi à une organisation de mesurer les paramètres de performance en corrélation avec
sa PTCA d'une manière cohérente et reconnue.
Le domaine d'application de la présente Norme internationale comprend tous les événements et incidents (y
compris ceux liés à la sécurité) susceptibles d'influencer l'infrastructure et les systèmes TIC. Il inclut et étend
les pratiques de traitement et de gestion des incidents de sécurité de l'information, ainsi que de planification
de la préparation des TIC et des services associés.
2 Références normatives
Les documents ci-après, dans leur intégralité ou non, sont des références normatives indispensables à
l’application du présent document. Pour les références datées, seule l'édition citée s'applique. Pour les
références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
1)
ISO/CEI TR 18044:2004 , Technologies de l'information — Techniques de sécurité — Gestion d'incidents de
sécurité de l’information.
ISO/CEI 27000, Technologies de l’information — Techniques de sécurité — Systèmes de management de la
sécurité de l’information — Vue d’ensemble et vocabulaire.
ISO/CEI 27001, Technologies de l’information — Techniques de sécurité — Systèmes de management de la
sécurité de l’information — Exigences.
ISO/CEI 27002, Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le
management de la sécurité de l’information.
ISO/CEI 27005, Technologies de l’information — Techniques de sécurité — Gestion des risques liés à la
sécurité de l’information.
1)
L’ISO/CEI TR 18044:2004 doit être révisée et renumérotée ISO/CEI 27035.
© ISO/CEI 2011 – Tous droits réservés 1
---------------------- Page: 8 ----------------------
ISO/CEI 27031:2011(F)
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO/CEI TR 18044,
l'ISO/CEI 27000, l'ISO/CEI 27001, l'ISO/CEI 27002, l'ISO/CEI 27005 et les suivants s'appliquent.
3.1
site alternatif
site d'exploitation alternatif choisi pour être utilisé par une organisation lorsque les opérations d'activité
normales ne peuvent être réalisées sur le site normal après une perturbation effective
3.2
management de la continuité d’activité
MCA
processus global de management identifiant les menaces potentielles pour une organisation et les impacts
sur les opérations d'activité que ces menaces, si elles se traduisent de manière concrète, peuvent provoquer,
et fournissant un cadre pour développer la résilience organisationnelle avec la capacité d'une réaction
efficace qui protège les intérêts de ses parties prenantes clés, ainsi que de sa renommée, sa marque et ses
activités à création de valeur
3.3
plan de continuité d’activité
PCA
procédures documentées fournissant aux organisations des instructions de réaction, rétablissement, reprise
et restauration à un niveau prédéfini de fonctionnement suite à une perturbation
NOTE Cette notion couvre typiquement les ressources, services et activités nécessaires pour assurer la continuité
des fonctions commerciales critiques.
3.4
analyse d'impact sur l'activité
AIA
processus d'analyse des fonctions opérationnelles et de l'effet potentiel d'une perturbation sur ces dernières
3.5
critique
description qualitative utilisée pour souligner l'importance d'une ressource, d'un processus ou d'une fonction
qui doit être disponible et opérationnel(le) de manière constante, ou disponible et opérationnel(le) le plus
rapidement possible après un incident, un cas d'urgence ou un sinistre
3.6
perturbation
incident, prévu (par exemple, ouragan) ou intempestif (par exemple, panne d'alimentation/électricité ; séisme,
ou attaque de systèmes/d'une infrastructure TIC) qui perturbe le cours normal des opérations sur le site d'une
organisation
3.7
reprise après un sinistre (TIC)
capacité des éléments TIC d'une organisation à soutenir ses activités critiques à un niveau acceptable dans
un délai prédéterminé suite à une perturbation
3.8
plan de reprise après un sinistre (TIC)
PRAS
plan défini et documenté de manière claire et permettant de restaurer les capacités TIC lors d'une
perturbation
NOTE Ce plan est appelé plan de continuité TIC dans certaines organisations.
2 © ISO/CEI 2011 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO/CEI 27031:2011(F)
3.9
mode de défaillance
méthode d’observation d'une défaillance
NOTE Décrit généralement le mode d'occurrence de la défaillance et son impact sur le fonctionnement du système.
3.10
préparation des TIC pour la continuité d’activité
PTCA
capacité d'une organisation à soutenir ses opérations d'activité par la prévention, la détection, la réaction à
une perturbation et la reprise des services TIC
3.11
objectif minimum de continuité d’activité
OMCA
niveau minimum de services et/ou produits acceptable par l'organisation pour atteindre ses objectifs d'activité
lors d'une perturbation
3.12
objectif de point de reprise
OPR
moment auquel les données doivent être rétablies suite à une perturbation
3.13
délai de reprise
DR
période au cours de laquelle les niveaux minimum de services et/ou produits, ainsi que les systèmes,
applications ou fonctions de soutien, doivent être rétablis suite à une interruption
3.14
résilience
capacité d'une organisation à résister aux perturbations qui l'affectent
3.15
déclencheur
événement qui provoque la réaction du système
NOTE Également appelé événement déclencheur.
3.16
document essentiel
document électronique ou au format papier essentiel pour la préservation, la poursuite ou le rétablissement
des opérations d'une organisation, ainsi que pour la protection des droits de cette même organisation, de ses
employés, clients et parties prenantes
4 Abréviations
PTCA Préparation des TIC pour la continuité d’activité (en anglais ICT Readiness for Business Continuity)
SMSI Système de management de la sécurité de l’information (en anglais Information Security
Management System).
© ISO/CEI 2011 – Tous droits réservés 3
---------------------- Page: 10 ----------------------
ISO/CEI 27031:2011(F)
5 Généralités
5.1 Rôle de la PTCA dans le management de la continuité d’activité
Le management de la continuité d’activité (MCA) est un processus de gestion globale qui identifie les impacts
potentiels constituant une menace pour la continuité des activités commerciales d'une organisation, et fournit
un cadre de mise en place d'une résilience et d'une capacité nécessaires à une réaction efficace préservant
les intérêts de l'organisation contre les perturbations.
La PTCA, comme partie intégrante du processus MCA, se rapporte à un système de management qui
complète et soutient le programme MCA et/ou SMSI d'une organisation, afin d'améliorer la préparation
immédiate de l'organisation pour :
a) réagir à un environnement de risque en constante évolution ;
b) assurer la continuité des activités opérationnelles critiques prises en charge par les services TIC
associés ;
c) pouvoir réagir bien avant la perturbation d'un service TIC, dès la détection d'un ou d'une série
d'événements associés qui deviennent des incidents ; et
d) réagir et reprendre l'activité suite à des incidents/sinistres et des défaillances.
La Figure 2 illustre le résultat TIC souhaité venant à l'appui des activités de gestion de la continuité d’activité.
Figure 2 — Cadre pour la continuité d’activité, et produit et résultat souhaité TIC associés
La Norme internationale MCA développée par l'ISO/TC 223 résume l'approche MCA de prévention, réaction
et reprise après des incidents. Les activités internes au processus MCA incluent la préparation aux incidents,
la gestion de la continuité opérationnelle, la planification de la reprise après un sinistre (PRAS), et
l'atténuation du risque dont l'objectif est le renforcement de la résilience de l'organisation et sa préparation à
une réaction efficace aux incidents et à une reprise de l'activité dans les délais prédéterminés.
Une organisation fixe par conséquent ses priorités MCA, ces dernières menant aux activités PTCA. A son
tour, la MCA dépend de la PTCA afin de s'assurer que l'organisation peut satisfaire de façon permanente à
ses objectifs généraux de continuité d’activité, et notamment pendant des périodes de perturbation.
4 © ISO/CEI 2011 – Tous droits réservés
---------------------- Page: 11 ----------------------
ISO/CEI 27031:2011(F)
Ces activités de préparation, comme l'illustre la Figure 3, visent à :
a) amélior
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.