ISO/IEC 27031:2025
(Main)Cybersecurity — Information and communication technology readiness for business continuity
Cybersecurity — Information and communication technology readiness for business continuity
This document describes the concepts and principles of information and communication technology (ICT) readiness for business continuity (IRBC). It provides a framework of methods and processes to identify and specify aspects for improving an organization's ICT readiness to ensure business continuity. This document serves the following business continuity objectives for ICT: — minimum business continuity objective (MBCO), — recovery point objective (RPO), — recovery time objective (RTO) as part of the ICT business continuity planning. This document is applicable to all types and sizes of organizations. This document describes how ICT departments plan and prepare to contribute to the resilience objectives of the organization.
Cybersécurité — Préparation des technologies de l'information et de la communication pour la continuité d'activité
Le présent document décrit les concepts et les principes de la préparation des technologies de l'information et de la communication (TIC) pour la continuité d'activité (PTCA). Il fournit un cadre de méthodes et de processus pour identifier et spécifier les aspects permettant d'améliorer la préparation des TIC d'une organisation afin d'assurer la continuité d'activité. Le présent document sert les objectifs suivants en matière de continuité d'activité pour les TIC: — objectif minimal de continuité d'activité (OMCA); — objectif de point de reprise (OPR); — délai de reprise (DR) dans le cadre de la planification de la continuité d'activité des TIC. Le présent document s'applique à tous les types et tailles d'organisations. Le présent document décrit de quelle manière les services TIC planifient et se préparent à contribuer aux objectifs de résilience de l'organisation.
General Information
Relations
Standards Content (Sample)
International
Standard
ISO/IEC 27031
Second edition
Cybersecurity — Information
2025-05
and communication technology
readiness for business continuity
Cybersécurité — Préparation des technologies de l'information et
de la communication pour la continuité d'activité
Reference number
© ISO/IEC 2025
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO/IEC 2025 – All rights reserved
ii
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Abbreviated terms . 3
5 Structure of this document . 3
5.1 General .3
6 Integration of IRBC into BCM . 3
6.1 General .3
6.2 Enabling governance .4
6.3 Business continuity management objectives .5
6.4 Risk management and applicable controls for IRBC .6
6.5 Incident management and relationship to IRBC .6
6.6 BCM strategies and alignment to IRBC .6
7 Business expectations for IRBC . 7
7.1 Risk review .7
7.1.1 General .7
7.1.2 Monitoring, detection and analysis of threats and events .8
7.2 Inputs from business impact analysis .8
7.2.1 General .8
7.2.2 Understanding critical ICT services .8
7.2.3 Assessing ICT readiness against business continuity requirements .9
7.3 Coverage and interfaces .9
7.3.1 General .9
7.3.2 ICT dependencies for the scope .10
7.3.3 Determine any contractual aspects of dependencies .10
8 Defining prerequisites for IRBC . 10
8.1 Incident based – preparation before incident .10
8.1.1 General .10
8.1.2 ICT Recovery capabilities .11
8.1.3 Establishing an IRBC .11
8.1.4 Setting objectives .11
8.1.5 Determining possible outcomes and benefits of IRBC . 12
8.1.6 Equipment redundancy planning . 13
8.1.7 Determining the scope of ICT services related to the objectives . 13
8.2 Determining target ICT RTO and RPO .14
9 Determining IRBC strategies .15
9.1 General . 15
9.2 IRBC strategy options . 15
9.2.1 General . 15
9.2.2 Skills and knowledge .16
9.2.3 Facilities .16
9.2.4 Technology .17
9.2.5 Data .17
9.2.6 Processes .18
9.2.7 Suppliers .18
10 Determining the ICT continuity plan . 19
10.1 Prerequisites for the development of plans .19
10.1.1 Determining and setting the recovery organization .19
10.1.2 Determining time frames for plan development, reporting and testing .19
© ISO/IEC 2025 – All rights reserved
iii
10.1.3 Resources . 20
10.1.4 Competency of IRBC staff . 20
10.1.5 Technological solutions .21
10.2 Recovery plan activation .21
10.2.1 ICT BCP Activation .21
10.2.2 Escalation .21
10.3 ICT recovery plans . 22
10.3.1 RPO and RTO plans for ICT. 22
10.3.2 Facilities . 22
10.3.3 Technology . 22
10.3.4 Data . 22
10.3.5 Response and recovery procedures . 23
10.3.6 People . 23
10.4 Temporary work around plans . 23
10.5 External contacts and procedures . 23
11 Testing, exercise, and auditing .23
11.1 Performance criteria . 23
11.2 Testing dependencies.24
11.2.1 Test and exercise .24
11.2.2 Test and exercise program .24
11.2.3 Scope of exercises . 25
11.2.4 Planning an exercise . 25
11.2.5 Alert based and different recovery stages . 26
11.2.6 Managing an exercise .27
11.3 Learning from tests . 28
11.4 Auditing the IRBC . 28
11.5 Control of documented information . 29
12 Final MBCO .29
13 Top management responsibilities regarding evaluating the IRBC .29
13.1 General . 29
13.2 Management responsibilities . 29
Annex A (informative) Comparing RTO and RPO to business objectives for ICT recovery .31
Annex B (informative) Risk reporting for FMEA .32
Bibliography .33
© ISO/IEC 2025 – All rights reserved
iv
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical activity.
ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations,
governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/
IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the
use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any
claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not
received notice of (a) patent(s) which may be required to implement this document. However, implementers
are cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents and https://patents.iec.ch. ISO and IEC shall not be held
responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html.
In the IEC, see www.iec.ch/understanding-standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection.
This second edition cancels and replaces the first edition (ISO/IEC 27031:2011), which has been technically
revised.
The main changes are as follows:
— the structure of the document has been changed;
— the scope has been changed for clarification;
— technical content has been added in 6.4, 6.5, 6.6, 9.2 and 10.1.5.
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.
© ISO/IEC 2025 – All rights reserved
v
Introduction
Over the years, information and communication technology (ICT) has become an integral part of many of
the activities within the critical infrastructures in all organizational sectors, whether public or private. The
proliferation of the internet and other electronic networking services, as well as the capabilities of systems
and applications, has also resulted in organizations becoming more reliant on reliable, safe and secure ICT
infrastructures.
Meanwhile, the need for business continuity management (BCM), including incident preparedness, disaster
recovery planning, and emergency response and management, has been recognized and supported with
the development and endorsement of specific domains of knowledge, expertise, and standards, including
ISO 22313.
Failures of ICT services, including those caused by security issues such as systems intrusion and malware
infections, impact the continuity of business operations. Thus, managing ICT and related continuity, as well
as other security aspects, form a key part of business continuity requirements. Furthermore, in the majority
of cases, the critical processes and activities that require business continuity are usually dependent upon
ICT. This dependence means that disruptions to ICT can constitute strategic risks to the reputation of the
organization and its ability to operate.
The advent and increasing dominance of Internet-based ICT services (cloud ICT services) has caused the
nature of preparedness to change from relying on internal processes to a reliance on the quality and
robustness of services from other organizations and the associated business relationships with such
organizations.
ICT readiness is an essential component for many organizations in the implementation of business continuity
management and information security management.
As a result, effective BCM is frequently dependent upon effective ICT readiness to ensure that the
organization's objectives can continue to be met during disruptions. This is particularly important as the
consequences of disruptions to ICT often have the added complication of being invisible or difficult to detect.
For an organization to achieve ICT readiness for business continuity (IRBC), it should put in place a systematic
process to prevent, predict and manage ICT disruptions and incidents which have the potential to disrupt
ICT services. This can be achieved by coordinating IRBC with the information security and BCM processes.
In this way, IRBC supports BCM by ensuring that the ICT services can be recovered to pre-determined levels
within timescales required and agreed by the organization.
If an organization is using relevant information security and business continuity standards, the
establishment of IRBC should preferably take into consideration existing or intended processes linked to
these standards. This linkage can support the establishment of IRBC and also avoid any dual processes for
the organization.
This document describes the concepts and principles of ICT readiness for business continuity (IRBC)
and provides a framework of methods and processes to identify and specify aspects for improving an
organization's ICT readiness to ensure business continuity.
This document complements the information security controls relating to business continuity in
ISO/IEC 27002. It also supports the information security risk management process specified in
ISO/IEC 27005.
Based upon ICT readiness objectives, this document also extends the practices of information security
incident management into ICT readiness planning, training and operation.
© ISO/IEC 2025 – All rights reserved
vi
International Standard ISO/IEC 27031:2025(en)
Cybersecurity — Information and communication technology
readiness for business continuity
1 Scope
This document describes the concepts and principles of information and communication technology (ICT)
readiness for business continuity (IRBC). It provides a framework of methods and processes to identify and
specify aspects for improving an organization's ICT readiness to ensure business continuity.
This document serves the following business continuity objectives for ICT:
— minimum business continuity objective (MBCO),
— recovery point objective (RPO),
— recovery time objective (RTO) as part of the ICT business continuity planning.
This document is applicable to all types and sizes of organizations.
This document describes how ICT departments plan and prepare to contribute to the resilience objectives of
the organization.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes
requirements of this document. For dated references, only the edition cited applies. For undated references,
the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 27000, Information technology — Security techniques — Information security management systems —
Overview and vocabulary
ISO/IEC 27002, Information security, cybersecurity and privacy protection — Information security controls
ISO/IEC 27005, Information security, cybersecurity and privacy protection — Guidance on managing
information security risks
ISO/IEC 27035-1:2023, Information technology — Information security incident management — Part 1:
Principles and process
ISO 22300, Security and resilience — Vocabulary
ISO 22301, Security and resilience — Business continuity management systems — Requirements
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000, ISO/IEC 27002,
ISO/IEC 27005, ISO/IEC 27035-1, ISO 22300, ISO 22301, and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
© ISO/IEC 2025 – All rights reserved
3.1
failure mode
manner by which a failure is observed
Note 1 to entry: This generally describes the way failure occurs and its impact on the operation of the system.
3.2
information and communication technology disaster recovery
ability of the information and communication technology elements of an organization to support its critical
processes and activities to an acceptable level within a predetermined period of time following a disruption
3.3
information and communication technology readiness
state of an information and communication technology (ICT) function in which it has the knowledge, skills,
processes, architecture, infrastructure and the related technologies in preparation for a potential event that
would lead to either an intolerable disruption of ICT or an intolerable data loss
Note 1 to entry: This does not mean that the ICT function is all knowing and able to do everything, but rather it is fit
for purpose and in readiness for the preparation, the response and the recovery at hand, if such a contingency occurs.
3.4
minimum business continuity objective
MBCO
minimum level of services and/or products that is acceptable to the organization to achieve its business
objectives during a disruption
3.5
recovery point objective
RPO
point to which information used by an activity is restored to enable the activity to operate on resumption
Note 1 to entry: Can also be referred to as “maximum data loss”.
3.6
recovery time objective
RTO
period of time following an incident within which a product and service or an activity is resumed, or
resources are recovered
3.7
restoration
level of recovery of data, ICT systems and business operations to the normal state after a disruption with a
minimal loss, if any
3.8
trigger
event that causes the system to initiate a response
Note 1 to entry: Also known as triggering event.
© ISO/IEC 2025 – All rights reserved
4 Abbreviated terms
BCP business continuity plan
BIA business impact analysis
HVAC heating, ventilation and air-conditioning
ICT information and communication technology
IRBC ICT readiness for business continuity
MBCO minimum business continuity objective
RPO recovery point objective
RTO recovery time objective
5 Structure of this document
5.1 General
The intention of each clause of this document is as follows:
— Clause 6 explains how IRBC is linked to BCM and other organizational processes that are related to IRBC;
— Clause 7 explains how the business continuity for the organization sets objectives that IRBC should try
to meet;
— Clause 8 provides guidance on what is needed to define the ICT current characteristics that affect the IRBC;
— Clause 9 provides guidance on different strategies that can be used and should be determined for IRBC
pending the objectives and current characteristics of ICT that ICT continuity plans should follow;
— Clause 10 provides guidance on how to design ICT continuity plans based on determined strategies and
how to address different types of adverse situations to meet the continuity objectives for ICT;
— Clause 11 provides guidance on how to test and finalize the ICT continuity plans;
— Clause 12 provides guidance on how to establish final RPOs and RTOs based on the ICT continuity plans
and determine the ability to meet the business requirements;
— Clause 13 provides guidance on the feedback of IRBC to top management to approve the plans or risk
treatment decisions, if the business objectives have not been met.
Specific planning and verifications of ICT are instrumental to build and ensure that ICT can face events.
Without such readiness, the organization would suffer intolerable disruptions of prioritised activities or
data losses.
Such events, potentially coming from technical failures or cybersecurity incidents, should motivate the ICT
function to interface its governance, planning and operation with requirements coming from the decision-
making activity of business continuity management and information security management.
6 Integration of IRBC into BCM
6.1 General
Disruption related risk within information security and ICT primarily relates to availability when an adverse
situation occurs that disrupts the availability of ICT services to business activities.
© ISO/IEC 2025 – All rights reserved
The related risks have the characteristics of very low likelihood, meaning that they can happen very rarely or
even never, but have a huge consequence and business impact if they occur. It should be noted that business
continuity is the activity that should minimize the consequences if such risks do occur, as in most cases the
likelihood for such risks can never be fully eliminated.
Determination of risk to business process can evolve from the risk management process and the controls to
mitigate them to support business continuity.
Prioritized activities are identified through business impact analysis (BIA) on the business processes and
functions where the ICT dependencies can be determined, and critical time frames are set.
The actual events or risk scenarios on how the ICT services are interrupted can be hard for businesses to
determine and are generally on a high level based on different threats. Such threats and sources can include:
— environmental sources – fire, flooding, etc.;
— technical hardware, software failures or power and air conditioning (e.g. HVAC) shortages or breakdowns;
— unintentional human risk source – mistakes in change management, wrongly configured back up, etc;
— intentional human risk source – hacking, malware, sabotage;
— societal – pandemic, strikes, social unrest, etc;
— cyberattacks – DOS, DDOS;
— specific to the ICT-supply chain:
— perturbation on the communication channel with a data/service provider;
— disruption of a cloud service provider;
— unclear information security requirements within contract terms covering ICT services provided by
external parties.
These threats or events can significantly disrupt the ICT services and trigger business continuity strategies,
resulting in the following:
— loss of critical ICT hardware and software;
— loss of critical ICT service;
— loss of facilities;
— loss of critical ICT service from supplier;
— loss of key personnel.
The above scenarios should be considered in the business continuity planning for ICT if they are relevant to
the ICT provided to the business. Overall strategies should be determined and BCP developed and tested to
determine residual risks to be handled in the risk management process. Vulnerabilities or other weaknesses
that cause severe disruption to the ICT can be determined through risk management. It is through risk
assessment and risk treatment that risks can be mitigated. However, this mitigation does not eliminate the
need for IRBC to be in place, as there is always a risk that something unforeseen will happen.
6.2 Enabling governance
Organizations should have general knowledge of the readiness of the different ICT elements, including the
following:
— ICT services;
— ICT facilities;
© ISO/IEC 2025 – All rights reserved
— technology (hardware, software, architecture);
— data;
— processes;
— suppliers, as well as their critical components; and
— staff competencies.
The knowledge of the structure of ICT is a crucial element in ensuring the required support for the
governance of the business continuity, including ICT readiness. The organization should therefore:
a) raise, enhance and maintain awareness through ongoing training, education and information
programme for relevant staff, and establish a process for evaluating the effectiveness of the awareness
delivery; and
b) ensure that staff are aware of how they contribute to the achievement of the ICT readiness for business
continuity (IRBC) objectives.
The organization should ensure that all personnel who are assigned IRBC management responsibilities are
competent to perform the required tasks by:
c) determining the necessary competencies for such personnel;
d) conducting training needs analysis on such personnel;
e) providing training;
f) ensuring that the necessary competence has been achieved; and
g) maintaining records of education, training, skills, experience and qualifications.
Top management or their delegates should ensure that a clear and complete distribution of roles has been
established with enough granularity to identify each individual role in the IRBC. For assigned roles, an
identification of the linked responsibilities should be documented.
An IRBC training program should be planned, developed, and implemented to ensure relevant personnel
with IRBC roles can fulfil their responsibilities when an event occurs.
NOTE For more details on awareness and training related to information security incident management, refer to
ISO/IEC 27035-2.
6.3 Business continuity management objectives
Business continuity management is the process for implementing and maintaining capability of an
organization to continue the delivery of products and services within acceptable time frames at predefined
capacity during a disruption (see ISO 22313).
As part of the BCM process, IRBC refers to a process to improve the readiness of the organization to:
a) respond to the constantly changing risk environment affecting ICT;
b) ensure continuation of related ICT services that support prioritized activities;
c) anticipate and prepare a response before an ICT service disruption occurs, upon detection of one or a
series of related events that become incidents; and
d) to respond and recover from incidents and failures affecting ICT.
An organization therefore sets out its BCM priorities which drive the IRBC activities. In turn, BCM depends
upon IRBC to ensure that the organization can meet its overall ICT service continuity objectives at all times,
and particularly during times of disruption.
© ISO/IEC 2025 – All rights reserved
Such readiness objectives include:
e) improving the incident detection capabilities;
f) preventing a sudden or drastic failure;
g) enabling an acceptable degradation of operational service if the failure is unpreventable;
h) further shortening recovery time; and
i) minimizing consequence upon eventual occurrence of the incident.
6.4 Risk management and applicable controls for IRBC
The risk management process includes information security risks where risk related to loss of availability
of ICT services in adverse situations is applicable to ICT readiness and business continuity. These risks are
characterized by very low likelihood and very high impact.
The risk treatment should include business continuity controls.
Such controls are crucial to modify and lower the risk, and to reduce the impact on the business by having
an IRBC. The extent and capability of the IRBC should then, through the risk management process, be
determined that it is in line with business risk appetite and the business impact analysis.
The risk management and risk status reporting supports the business in determining the risk and possible
risk acceptance on a strategic and long-term perspective.
IRBC supports the actual implementation of the control specified in ISO/IEC 27002:2022, 5.30.
For further information on information security risk management, see ISO/IEC 27005.
6.5 Incident management and relationship to IRBC
The incidents applicable to IRBC are on the highest classification level of the incident organization’s incident
classification.
Incidents that IRBC can help mitigate are typically considered highly unlikely but have a significant or
catastrophic impact on the ICT services if they occur. The objective of IRBC is to develop strategies that help
the organization to prevent, respond and recover from incidents that impact ICT services.
Triggers for activating IRBC plans should be defined as part of the organization's incident management
process, including information security incident response plans that can include the following interactions
during the flow of information security events and incidents:
— a link should be established between the incident coordinator (see ISO/IEC 27035-1) and the responsible
IRBC as soon as the potential effect of the incident on business continuity is identified;
— communication channels and procedures should be prepared to enable the handover of operational
responsibility between incident management and IRBC response elements prepared to avoid uncontrolled
loss of time and meet agreed deadlines;
— transfer of responsibility from the responsible IRBC to the incident coordinator should be foreseen to
allow for the preparation of the incident report and introduce their proposal for improvement via "learn
lessons". Refer to ISO/IEC 27035-1:2023, Clause 5 for more details.
For further general information on information security incident management, see ISO/IEC 27035-1.
6.6 BCM strategies and alignment to IRBC
An organization’s dependency on ICT in an adverse situation can vary and the characteristics of an adverse
situation can also affect the ICT dependency. The BCM strategy should provide the time frames and priorities
for IRBC.
© ISO/IEC 2025 – All rights reserved
Business continuity strategies influencing IRBC can be:
— stopping business for a certain time frame;
— relocating business to an alternative site;
— cooperating with supplier or partner.
Decisions can be:
— prioritized business operations or processes and time frames for these;
— ICT services and their related RPO and RTO.
IRBC should provide the capability for organizations to use ICT during adverse situations when BCM is in
operation. Two cases can occur:
a) IRBC is unable to meet the RPO or RTO for some processes/functions. In such a case, the organization
is required to align the BCP for these processes/functions to allow operations without ICT until it is
available according to the time provided by IRBC.
b) IRBC can meet the RPO or RTO for all processes/functions. Then, the BCP of the organization is aligned.
An organization should determine the ICT minimum business continuity objectives (MBCOs) based upon
recovery point objectives (RPOs) and recovery time objectives (RTOs) within the ICT scope.
7 Business expectations for IRBC
7.1 Risk review
7.1.1 General
The information security risk management process is explained in greater detail in ISO/IEC 27005, which is
also aligned with the guidelines for risk management given in ISO 31000.
ICT business continuity supports incident handling when a major incident affecting ICT has occurred. The
IRBC modifies information security risks related to availability with a low likelihood, but with significant
consequences.
The IRBC strategies should be resilient and adaptable, any change to the ICT services which can affect the
IRBC capability should be implemented only after the business continuity implications of the change have
been assessed, addressed and approved.
To ensure that the IRBC strategies and plans remain appropriate for the organization:
a) top management should ensure that the IRBC strategies continue to support the organization's BCM
requirements (see 13.2);
b) the change management process should include all parties responsible for the IRBC strategies, both in
their planning and implementation;
c) the development process for new ICT services should include a sign-off that IRBC resilience has not been
compromised by even the simplest of upgrades or improvements;
d) due diligence on merger and acquisition activity; and
e) IRBC should consider any ICT component decommissioning.
The organization should establish a process to monitor and detect the emergence of ICT security threats
including, but not limited to, the following areas:
f) retention of staff, skills and knowledge;
© ISO/IEC 2025 – All rights reserved
g) management of facilities that house ICT equipment (e.g. by monitoring the number and nature of security
incidents/vulnerabilities related to computer rooms);
h) changes in supporting technology, plant, equipment, networks, applications and databases;
i) finance or budget allocation; and
j) effectiveness of external services and suppliers (supplies).
7.1.2 Monitoring, detection and analysis of threats and events
Monitoring of the ICT systems and their critical components is the first line of defence to allow detection of
abnormal situations, such as vulnerabilities that can be exploited to become an event, and further develop
into an incident and an ICT disruption that can cause the activation of the IRBC capability and processes.
Detection of unwanted events and situations, such as misconfigured controls, deviations to policies, or
mechanical failures, is also essential as the incident response can only start as soon as the event is reported
to the Point of Contact (PoC) and assessed by the incident coordinator (see ISO/IEC 27035-1).
Threat analysis is another way of seeing in advance what can harm the ICT systems as the threats are
generally still outside direct concern and control. This will happen by being continuously informed by
specialized bodies and verifying if an organization’s ICT can be potentially hit, harmed and impacted by the
threat. If so, the vulnerability management capability should be activated to prepare the improvement of the
current protection.
7.2 Inputs from business impact analysis
7.2.1 General
The organiz
...
Norme
internationale
ISO/IEC 27031
Deuxième édition
Cybersécurité — Préparation des
2025-05
technologies de l'information
et de la communication pour la
continuité d'activité
Cybersecurity — Information and communication technology
readiness for business continuity
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2025
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2025 – Tous droits réservés
ii
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Abréviations . 3
5 Structure du présent document. 3
5.1 Généralités .3
6 Intégration de la PTCA dans le MCA . 4
6.1 Généralités .4
6.2 Facilitation de la gouvernance .5
6.3 Objectifs du management de la continuité d'activité .6
6.4 Management du risque et mesures de sécurité applicables pour la PTCA .6
6.5 Gestion des incidents et relation avec la PTCA .6
6.6 Stratégies MCA et alignement sur la PTCA .7
7 Attentes Métier pour la PTCA . 8
7.1 Revue des risques .8
7.1.1 Généralités .8
7.1.2 Suivi, détection et analyse des menaces et des événements .8
7.2 Données provenant de l'analyse d'impact sur l'activité .9
7.2.1 Généralités .9
7.2.2 Compréhension des services TIC critiques .9
7.2.3 Appréciation de la préparation des TIC par rapport aux exigences en matière de
continuité d'activité .9
7.3 Couverture et interfaces .10
7.3.1 Généralités .10
7.3.2 Dépendances des TIC dans le cadre du domaine d'application .11
7.3.3 Détermination des aspects contractuels des dépendances .11
8 Définition des prérequis pour la PTCA .11
8.1 Sur la base d'un incident - préparation avant l'incident .11
8.1.1 Généralités .11
8.1.2 Capacités de reprise des TIC . 12
8.1.3 Mise en place d'une PTCA . 12
8.1.4 Définition des objectifs . 12
8.1.5 Détermination des résultats et des avantages possibles de la PTCA . 13
8.1.6 Planification de la redondance des équipements .14
8.1.7 Détermination du domaine d'application des services TIC liés aux objectifs .14
8.2 Détermination du DR cible et de l'OPR cible des TIC . 15
9 Détermination des stratégies PTCA .16
9.1 Généralités .16
9.2 Options de stratégie PTCA .16
9.2.1 Généralités .16
9.2.2 Compétences et connaissances.17
9.2.3 Installations .17
9.2.4 Technologie .18
9.2.5 Données .19
9.2.6 Procédures .19
9.2.7 Fournisseurs .19
10 Détermination du plan de continuité des TIC .20
10.1 Prérequis pour l'élaboration des plans . 20
10.1.1 Détermination et établissement de l'organisation de la reprise . . 20
© ISO/IEC 2025 – Tous droits réservés
iii
10.1.2 Détermination des délais pour l'élaboration, l'établissement de rapports et les
essais du plan . 20
10.1.3 Ressources .21
10.1.4 Compétence du personnel PTCA . 22
10.1.5 Solutions technologiques . 22
10.2 Activation du plan de reprise . 23
10.2.1 Activation du PCA des TIC . 23
10.2.2 Escalade . 23
10.3 Plans de reprise TIC . 23
10.3.1 Plans OPR et DR pour les TIC . 23
10.3.2 Installations . 23
10.3.3 Technologie .24
10.3.4 Données .24
10.3.5 Procédures de réaction et de reprise .24
10.3.6 Ressources humaines .24
10.4 Plans de contournement temporaires . 25
10.5 Contacts et procédures externes. 25
11 Essais, exercice et audit .25
11.1 Critères de performance . 25
11.2 Dépendances des essais . 25
11.2.1 Essai et exercice . 25
11.2.2 Programme d'essai et d'exercice . 26
11.2.3 Domaine d'application des exercices .27
11.2.4 Planification d'un exercice.27
11.2.5 Étape d'alerte et différentes étapes de reprise . 28
11.2.6 Gestion d'un exercice . 29
11.3 Enseignements tirés des essais . 30
11.4 Audit de la PTCA . . 30
11.5 Maîtrise des informations documentées . . 30
12 OMCA final .31
13 Responsabilité de la direction au plus haut niveau concernant l'évaluation de la PTCA .31
13.1 Généralités .31
13.2 Responsabilités de la direction .31
Annexe A (informative) Comparaison du DR et de l'OPR aux objectifs d'activité pour la reprise
des TIC .32
Annexe B (informative) Établissement du rapport sur les risques pour la FMEA .34
Bibliographie .35
© ISO/IEC 2025 – Tous droits réservés
iv
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de l’IEC participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique.
Les comités techniques de l'ISO et de l’IEC collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et l’IEC,
participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives ou www.iec.ch/members_experts/refdocs).
L’ISO et l’IEC attirent l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO et l’IEC ne prennent pas position quant à la preuve, à la
validité et à l’applicabilité de tout droit de brevet revendiqué à cet égard. À la date de publication du présent
document, L’ISO et l’IEC n'avaient pas reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires
à sa mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch. L’ISO et l’IEC ne sauraient être
tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux
principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce
(OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
Cette deuxième édition annule et remplace la première édition (ISO/IEC 27031:2011), qui a fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes:
— la structure du document a été modifiée;
— le domaine d'application a été modifié pour clarification;
— un contenu technique a été ajouté en 6.4, 6.5, 6.6, 9.2 et 10.1.5.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/members.html et www.iec.ch/national-committees.
© ISO/IEC 2025 – Tous droits réservés
v
Introduction
Les technologies de l'information et de la communication (TIC) sont devenues, au fil des années, partie
intégrante de nombreuses activités au sein des infrastructures critiques dans tous les secteurs d'activité
organisationnels, qu'ils soient publics ou privés. Le développement à grande échelle de l'internet et d'autres
services de mise en réseaux électroniques, ainsi que les capacités des systèmes et applications, a également
eu pour résultat que les organisations sont plus dépendantes d'infrastructures TIC fiables, sécurisées et
protégées.
Entre-temps, la nécessité d'un management de la continuité d'activité (MCA), y compris la préparation
aux incidents, la planification de la reprise après un sinistre, et la réponse et la gestion des urgences, a été
reconnue et soutenue avec le développement et l'approbation de domaines spécifiques de connaissances,
d'expertise, et de normes, y compris l'ISO 22313.
Les défaillances des services TIC, y compris celles provoquées par des problèmes liés à la sécurité, tels que la
violation de systèmes et les infections par des logiciels malfaisants, influent sur la continuité des opérations
Métier. Ainsi, la gestion des TIC et le management de la continuité associée, ainsi que d'autres aspects
liés à la sécurité, constituent un élément clé des exigences en matière de continuité d'activité. De plus,
dans la majorité des cas, les processus et activités critiques exigeant une continuité d'activité dépendent
habituellement des TIC. Cette dépendance signifie que des perturbations des TIC peuvent représenter des
risques stratégiques pour la renommée de l'organisation et sa capacité d'action.
Du fait de la prédominance croissante des services TIC basés sur l'internet (services TIC en nuage), la nature
de la capacité de préparation a changé, passant d'une dépendance aux processus internes à une dépendance
à la qualité et à la robustesse des services fournis par d'autres organisations et aux relations professionnelles
avec ces organisations.
Pour de nombreuses organisations, la préparation des TIC est un composant essentiel de la mise en œuvre
d'un processus de management de la continuité d'activité et de management de la sécurité de l'information.
Un système MCA efficace dépend ainsi fréquemment d'une préparation efficace des TIC afin de s'assurer que
les objectifs d'une organisation peuvent continuer à être satisfaits pendant les perturbations. Cet élément
est particulièrement important dans la mesure où les conséquences de perturbations des TIC présentent
souvent l'inconvénient supplémentaire d'être invisibles ou difficiles à déceler.
Pour pouvoir réaliser une préparation des TIC de façon à garantir la continuité de son activité (PTCA), il
convient qu'une organisation mette en place un processus systématique de prévention, prévision et gestion
des perturbations et des incidents liés aux TIC, susceptibles de perturber les services qui leur sont associés. Il
est possible d'y parvenir en coordonnant la PTCA avec les processus de sécurité de l'information et de MCA.
De cette manière, la PTCA soutient le MCA en s'assurant que les services TIC peuvent être restaurés aux
niveaux prédéterminés dans les délais requis et définis par l'organisation.
Lorsqu'une organisation utilise des normes pertinentes en matière de sécurité de l'information et de
continuité d'activité, il convient que la mise en place d'une PTCA prenne de préférence en considération
les processus existants ou prévus associés à ces normes. Cette association peut prendre en charge
l'établissement d'une PTCA, et éviter toute redondance éventuelle de processus pour l'organisation.
Le présent document décrit les concepts et principes de préparation des TIC pour la continuité d'activité
(PTCA), et fournit un cadre de méthodes et processus destinés à identifier et spécifier les aspects permettant
d'améliorer la préparation des TIC, et ce, de manière à assurer la continuité d'activité d'une organisation.
Le présent document complète les mesures de sécurité de l'information relatives à la continuité d'activité
dans l'ISO/IEC 27002. Il soutient également le processus de management des risques liés à la sécurité de
l'information spécifié dans l'ISO/IEC 27005.
Sur la base des objectifs de préparation des TIC, le présent document étend également les pratiques de
gestion des incidents de sécurité de l'information à la planification, à la formation et à l'exploitation de la
préparation des TIC.
© ISO/IEC 2025 – Tous droits réservés
vi
Norme internationale ISO/IEC 27031:2025(fr)
Cybersécurité — Préparation des technologies de
l'information et de la communication pour la continuité
d'activité
1 Domaine d'application
Le présent document décrit les concepts et les principes de la préparation des technologies de l'information
et de la communication (TIC) pour la continuité d'activité (PTCA). Il fournit un cadre de méthodes et de
processus pour identifier et spécifier les aspects permettant d'améliorer la préparation des TIC d'une
organisation afin d'assurer la continuité d'activité.
Le présent document sert les objectifs suivants en matière de continuité d'activité pour les TIC:
— objectif minimal de continuité d'activité (OMCA);
— objectif de point de reprise (OPR);
— délai de reprise (DR) dans le cadre de la planification de la continuité d'activité des TIC.
Le présent document s'applique à tous les types et tailles d'organisations.
Le présent document décrit de quelle manière les services TIC planifient et se préparent à contribuer aux
objectifs de résilience de l'organisation.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique. Pour
les références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO/IEC 27000, Technologies de l'information — Techniques de sécurité — Systèmes de management de la
sécurité de l'information — Vue d'ensemble et vocabulaire
ISO/IEC 27002, Sécurité de l'information, cybersécurité et protection de la vie privée — Mesures de sécurité de
l'information
ISO/IEC 27005, Sécurité de l'information, cybersécurité et protection de la vie privée — Préconisations pour la
gestion des risques liés à la sécurité de l'information
ISO/IEC 27035-1:2023, Technologies de l'information — Gestion des incidents de sécurité de l'information —
Partie 1: Principes et processus
ISO 22300, Sécurité et résilience — Vocabulaire
ISO 22301, Sécurité et résilience — Systèmes de management de la continuité d'activité — Exigences
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO/IEC 27000, ISO/IEC 27002,
ISO/IEC 27005, ISO/IEC 27035-1, ISO 22300 et ISO 22301, ainsi que les suivants s'appliquent.
© ISO/IEC 2025 – Tous droits réservés
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
mode de défaillance
méthode d'observation d'une défaillance
Note 1 à l'article: Cela décrit généralement le mode d'occurrence de la défaillance et son impact sur le fonctionnement
du système.
3.2
reprise après un sinistre des technologies de l'information et de la communication
capacité des éléments de technologies de l'information et de la communication d'une organisation à soutenir
ses processus et activités critiques à un niveau acceptable dans un délai prédéterminé à la suite d'une
perturbation
3.3
préparation des technologies de l'information et de la communication
état d'une fonction de technologies de l'information et de la communication (TIC) dans lequel elle dispose
des connaissances, des compétences, des processus, de l'architecture, de l'infrastructure et des technologies
connexes pour la préparation à un événement potentiel qui entraînerait soit une perturbation intolérable
des TIC, soit une perte intolérable de données
Note 1 à l'article: Cela ne signifie pas que la fonction de TIC est parfaitement informée et capable de tout faire, mais
plutôt qu'elle est adaptée aux objectifs et prête pour la préparation, la réponse et la reprise si une telle situation
d'urgence se produit.
3.4
objectif minimal de continuité d'activité
OMCA
niveau minimal de services et/ou produits acceptable par l'organisation pour atteindre ses objectifs
d'activité lors d'une perturbation
3.5
objectif de point de reprise
OPR
point à partir duquel les informations utilisées par une activité doivent être restaurées afin de permettre un
fonctionnement en reprise
Note 1 à l'article: Il peut également être désigné en tant que «perte maximale de données».
3.6
délai de reprise
DR
durée après un incident pendant laquelle un produit et service ou une activité sont repris, ou des ressources
sont rétablies
3.7
restauration
niveau de rétablissement des données, des systèmes TIC et des opérations Métier à leur état normal après
une perturbation, avec une perte minimale, le cas échéant
3.8
déclencheur
événement qui provoque la réaction du système
Note 1 à l'article: Également appelé événement déclencheur.
© ISO/IEC 2025 – Tous droits réservés
4 Abréviations
AIA Analyse d'impact sur l'activité
CVC Chauffage, ventilation et air conditionné
DR Délai de reprise
OMCA Objectif minimal de continuité d'activité
OPR Objectif de point de reprise
PCA Plan de continuité d'activité
PTCA Préparation des TIC pour la continuité d'activité
TIC Technologies de l'information et de la communication
5 Structure du présent document
5.1 Généralités
L'objectif de chaque article du présent document est le suivant:
— l'Article 6 explique comment la PTCA est liée au MCA et à d'autres processus organisationnels qui sont
liés à la PTCA;
— l'Article 7 explique comment la continuité d'activité de l'organisation établit des objectifs qu'il convient
d'essayer d'atteindre pour la PTCA;
— l'Article 8 donne des recommandations sur ce qui est nécessaire pour définir les caractéristiques actuelles
des TIC qui ont une influence sur la PTCA;
— l'Article 9 donne des recommandations sur différentes stratégies qui peuvent être utilisées et qu'il
convient de déterminer pour la PTCA en fonction des objectifs et des caractéristiques actuelles des TIC
qu'il convient de suivre pour les plans de continuité des TIC;
— l'Article 10 donne des recommandations sur la manière de concevoir des plans de continuité des TIC fondés
sur des stratégies déterminées et sur la manière de traiter différents types de situations défavorables
afin d'atteindre les objectifs de continuité pour les TIC;
— l'Article 11 donne des recommandations sur la manière de soumettre à l'essai et de finaliser les plans de
continuité des TIC;
— l'Article 12 donne des recommandations sur la manière d'établir les OPR et DR finaux sur la base des
plans de continuité des TIC et sur la manière de déterminer la capacité à répondre aux exigences
opérationnelles;
— l'Article 13 donne des recommandations sur le retour d'information de la PTCA à la direction au plus
haut niveau afin que celle-ci approuve les plans ou les décisions de traitement du risque si les objectifs
d'activité n'ont pas été atteints.
Une planification et des vérifications spécifiques des TIC sont essentielles pour construire et assurer que
les TIC peuvent faire face à des événements. Sans cette préparation, l'organisation subit des perturbations
intolérables des activités prioritaires ou des pertes de données.
Il convient que de tels événements, pouvant résulter de défaillances techniques ou d'incidents de
cybersécurité, incitent la fonction de TIC à interfacer sa gouvernance, sa planification et son fonctionnement
avec les exigences découlant de l'activité décisionnelle du management de la continuité d'activité et du
management de la sécurité de l'information.
© ISO/IEC 2025 – Tous droits réservés
6 Intégration de la PTCA dans le MCA
6.1 Généralités
Le risque associé aux perturbations dans le cadre de la sécurité de l'information et des TIC est principalement
lié à la disponibilité lorsque survient une situation défavorable qui perturbe la disponibilité des services TIC
pour les activités Métier.
Les risques associés ont les caractéristiques d'une très faible vraisemblance, ce qui signifie qu'ils peuvent
se produire très rarement, voire jamais, mais qu'ils ont des conséquences et un impact sur l'activité
considérables s'ils se produisent. Il convient de noter que la continuité d'activité est l'activité censée réduire
le plus fortement possible les conséquences si de tels risques se produisent, car, dans la plupart des cas, la
vraisemblance de ces risques ne peut jamais être totalement éliminée.
La détermination des risques pour les processus d'activité peut résulter du processus de management du
risque et des mesures de sécurité visant à les atténuer pour maintenir la continuité d'activité.
Les activités prioritaires sont identifiées au moyen d'une analyse d'impact sur l'activité (AIA) portant sur
les processus d'activité et les fonctions, qui permet de déterminer les dépendances des TIC et d'établir des
délais critiques.
Les événements réels ou les scénarios de risque concernant la manière dont les services TIC sont interrompus
peuvent être difficiles à déterminer pour les entreprises et sont généralement situés à un niveau élevé, sur la
base de différentes menaces. Ces menaces et ces sources peuvent inclure:
— sources environnementales — incendies, inondations, etc.;
— défaillances techniques matérielles et logicielles, ou les insuffisances ou pannes de l'alimentation et de la
climatisation (CVC);
— source de risque humain involontaire — erreurs dans la gestion des modifications, sauvegarde mal
configurée, etc.;
— source de risque humain intentionnelle — piratage, logiciels malfaisants, sabotage;
— sociétales — pandémie, grèves, troubles sociaux, etc.;
— cyberattaques — DOS, DDOS;
— spécifiques à la chaîne d'approvisionnement des TIC:
— perturbation du canal de communication avec un fournisseur de données/services;
— perturbation d'un fournisseur de services en nuage;
— exigences peu claires en matière de sécurité de l'information dans les conditions contractuelles
couvrant les services TIC fournis par des parties externes.
Ces menaces ou événements peuvent considérablement perturber les services TIC et déclencher des
stratégies de continuité d'activité, avec les conséquences suivantes:
— perte de matériels et logiciels de TIC critiques;
— perte de service de TIC critique;
— perte d'installations;
— perte de service de TIC critique d'un fournisseur;
— perte de personnel clé.
Il convient que ces scénarios soient pris en compte dans le cadre de la planification de la continuité d'activité
pour les TIC s'ils sont pertinents pour les TIC fournies à l'activité. Il convient de déterminer des stratégies
© ISO/IEC 2025 – Tous droits réservés
globales et d'élaborer et de soumettre à l’essai le PCA afin de déterminer les risques résiduels à traiter dans
le cadre du processus de management du risque. Les vulnérabilités ou les autres faiblesses qui provoquent
de graves perturbations pour les TIC peuvent être déterminées au moyen d'un management des risques.
C'est au moyen d'une évaluation des risques et d'un traitement des risques que les risques peuvent être
atténués. Cependant, cette atténuation n'élimine pas la nécessité de mettre en place une PTCA, car il existe
toujours un risque qu'un événement imprévu se produise.
6.2 Facilitation de la gouvernance
Il convient que les organisations aient une connaissance générale de la préparation des différents éléments
des TIC, y compris les suivants:
— les services TIC;
— les installations TIC;
— la technologie (matériel, logiciels, architecture);
— les données;
— les processus;
— les fournisseurs, ainsi que leurs composantes critiques; et
— les compétences du personnel.
La connaissance de la structure des TIC est un élément crucial pour assurer le soutien nécessaire à la
gouvernance de la continuité d'activité, y compris la préparation des TIC. Il convient par conséquent que
l'organisation:
a) suscite, améliore et maintienne la sensibilité par le biais d'un programme permanent de formation,
d'études et d'information destiné au personnel compétent, et établisse un processus d'évaluation de
l'efficacité de la prestation de sensibilisation; et
b) s'assure que le personnel est conscient de sa contribution à la réalisation des objectifs de préparation
des TIC pour la continuité d'activité (PTCA).
Il convient que l'organisation s'assure que l'ensemble du personnel auquel il a confié des responsabilités
PTCA dispose des compétences nécessaires pour exécuter les tâches requises, et ce en:
c) déterminant les compétences nécessaires dudit personnel;
d) effectuant une analyse des besoins en formation de ce même personnel;
e) assurant une formation;
f) s'assurant de l'acquisition effective des compétences nécessaires; et
g) tenant des registres dédiés aux études, à la formation, aux compétences, à l'expérience et aux
qualifications.
Il convient que la direction au plus haut niveau ou ses délégués s'assurent qu'une répartition claire et
complète des rôles a été établie avec une granularité suffisante pour identifier chaque rôle individuel dans
la PTCA. Il convient de documenter l'identification des responsabilités liées à chaque rôle attribué.
Il convient de planifier, d'élaborer et de mettre en œuvre un programme de formation à la PTCA afin de
s'assurer que le personnel concerné ayant un rôle dans la PTCA puisse remplir ses responsabilités lorsqu'un
événement se produit.
NOTE Pour plus de détails concernant la sensibilisation et la formation à la gestion des incidents de sécurité de
l'information, voir l'ISO/IEC 27035-2.
© ISO/IEC 2025 – Tous droits réservés
6.3 Objectifs du management de la continuité d'activité
Le management de la continuité d'activité est le processus permettant de mettre en œuvre et de maintenir la
capacité d'une organisation à continuer la fourniture de produits et de services dans des délais acceptables
avec une capacité prédéfinie pendant une perturbation (voir ISO 22313).
La PTCA, comme partie intégrante du processus MCA, se rapporte à un processus visant à améliorer la
préparation immédiate de l'organisation pour:
a) réagir à un environnement de risque en constante évolution affectant les TIC;
b) assurer la continuité des services TIC liés qui soutiennent les activités prioritaires;
c) anticiper et être prêt à réagir bien avant la perturbation d'un service TIC, dès la détection d'un ou d'une
série d'événements associés qui deviennent des incidents; et
d) réagir et reprendre l'activité à la suite d'incidents et des défaillances affectant les TIC.
Une organisation fixe par conséquent ses priorités MCA, qui orientent les activités PTCA. À son tour, le MCA
dépend de la PTCA afin de s'assurer que l'organisation peut satisfaire de façon permanente à ses objectifs
généraux de continuité du service TIC, et notamment pendant des périodes de perturbation.
Ces objectifs de préparation incluent notamment:
e) l'amélioration des capacités de détection d'un incident;
f) la prévention de toute défaillance subite ou sévère;
g) la possibilité d'une dégradation acceptable du service opérationnel si la défaillance ne peut pas être
empêchée;
h) une réduction supplémentaire du temps de reprise; et
i) la réduction la plus forte possible des conséquences sur l'occurrence éventuelle de l'incident.
6.4 Management du risque et mesures de sécurité applicables pour la PTCA
Le processus de management du risque inclut les risques liés à la sécurité de l'information lorsque le risque
lié à la perte de disponibilité des services TIC dans des situations défavorables s'applique à la préparation
des TIC et à la continuité d'activité. Ces risques sont caractérisés par une très faible vraisemblance et un très
fort impact.
Il convient que le traitement du risque comporte des mesures de sécurité liées à la continuité de l'activité.
Ces mesures sont essentielles pour modifier et diminuer le risque et réduire l'impact sur l'activité grâce
à une PTCA. Il convient alors de déterminer l'étendue et la capacité de la PTCA par le biais du processus
de management du risque, en fonction de la propension à prendre des risques et de l'analyse d'impact sur
l'activité.
Le management du risque et les rapports sur l'état du risque aident l'entreprise à déterminer le risque et
l'éventuelle acceptation du risque selon une perspective stratégique et à long terme.
La PTCA soutient la mise en œuvre réelle de la mesure de sécurité spécifiée dans l'ISO/IEC 27002:2022, 5.30.
Pour des informations supplémentaires sur le management des risques liés à la sécurité de l'information,
voir l'ISO/IEC 27005.
6.5 Gestion des incidents et relation avec la PTCA
Les incidents applicables à la PTCA se situent au niveau de classification le plus élevé de la classification des
incidents de l'organisation subissant ces incidents.
© ISO/IEC 2025 – Tous droits réservés
Les incidents que la PTCA peut aider à atténuer sont habituellement considérés comme très improbables,
mais ont un impact significatif ou catastrophique sur les services TIC s'ils se produisent. L'objectif de la PTCA
est de développer des stratégies qui aident l'organisation à prévenir, répondre et reprendre l'activité à la
suite d'incidents qui impactent des services TIC.
Il convient que des déclencheurs de l'activation de plans PTCA soient définis dans le cadre du processus
de gestion des incidents de l'organisation, y compris des plans de réponse aux incidents de sécurité de
l'information qui peuvent inclure les interactions suivantes pendant le flux d'événements et d'incidents de
sécurité de l'information:
— il convient qu'un lien soit établi entre le coordinateur chargé des incidents (voir l'ISO/IEC 27035-1) et
la PTCA responsable dès que l'effet potentiel de l'incident sur la continuité d'activité est identifié;
— il convient que des canaux et procédures de communication soient préparés pour permettre le transfert
de la responsabilité opérationnelle entre la gestion des incidents et les éléments de réponse de la PTCA
préparés pour éviter toute perte de temps incontrôlée et respecter les délais convenus;
— il convient que le transfert de responsabilité de la PTCA responsable au coordinateur chargé des
incidents soit prévu pour permettre la préparation du rapport d'incident et introduire sa proposition
d'amélioration par le biais de «leçons apprises». Voir l'ISO/IEC 27035-1:2023, Article 5 pour plus de
détails.
Pour des informations générales su
...
ISO/IEC JTC 1/SC 27
Date : 2024-06-26
ISO/IEC FDIS 27031:20242025(fr)
ISO/IEC JTC 1/SC 27
Secrétariat : DIN
Deuxième édition
2025-05
Date: 2024-11-05
Cybersécurité — Préparation des technologies de l'information et
de la communication pour la continuité d'activité
Cybersecurity — Information and communication technology readiness for business continuity
ICS : 35.030
Type du document: Norme internationale
Sous-type du document:
Stade du document: (50) Approbation
Langue du document: F
DOCUMENT PROTÉGÉ PAR COPYRIGHT
©
Type du document: Norme internationale
Sous-type du document:
Stade du document: (50) Approbation
Langue du document: F
ISO/IEC FDIS 27031:20242025(fr)
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvreoeuvre, aucune partie
de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique
ou mécanique, y compris la photocopie, ou la diffusion sur l'internetl’internet ou sur un intranet, sans autorisation écrite
préalable. Une autorisation peut être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du
demandeur.
ISO Copyright Officecopyright office
Case PostaleCP 401 • • Ch. de Blandonnet 8
CH-1214 Vernier, GenèveGeneva
Tél. : Phone: + 41 22 749 01 11
E-mail : : copyright@iso.org
Web : Website: www.iso.org
Publié en Suisse
iii
ISO/IEC FDIS 27031:20242025(fr)
Sommaire Page
Avant-propos . vi
Introduction . vii
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Abréviations . 3
5 Structure du présent document . 3
5.1 Généralités . 3
6 Intégration de la PTCA dans le MCA . 4
6.1 Généralités . 4
6.2 Facilitation de la gouvernance . 5
6.3 Objectifs du management de la continuité d'activité . 6
6.4 Management du risque et mesures de sécurité applicables pour la PTCA . 7
6.5 Gestion des incidents et relation avec la PTCA . 7
6.6 Stratégies MCA et alignement sur la PTCA . 8
7 Attentes Métier pour la PTCA . 8
7.1 Revue des risques . 8
7.2 Données provenant de l'analyse d'impact sur l'activité . 10
7.3 Couverture et interfaces . 11
8 Définition des prérequis pour la PTCA . 12
8.1 Sur la base d'un incident - préparation avant l'incident . 12
8.2 Détermination du DR cible et de l'OPR cible des TIC . 18
9 Détermination des stratégies PTCA . 18
9.1 Généralités . 18
9.2 Options de stratégie PTCA . 19
10 Détermination du plan de continuité des TIC . 23
10.1 Prérequis pour l'élaboration des plans . 23
10.2 Activation du plan de reprise . 27
10.3 Plans de reprise TIC . 28
10.4 Plans de contournement temporaires . 29
10.5 Contacts et procédures externes . 29
11 Essais, exercice et audit . 30
11.1 Critères de performance . 30
11.2 Dépendances des essais . 30
11.3 Enseignements tirés des essais . 35
11.4 Audit de la PTCA. 35
11.5 Maîtrise des informations documentées . 36
12 OMCA final . 36
13 Responsabilité de la direction au plus haut niveau concernant l'évaluation de la PTCA . 37
13.1 Généralités . 37
13.2 Responsabilités de la direction . 37
Annexe A (informative) Comparaison du DR et de l'OPR aux objectifs d'activité pour la reprise
des TIC . 38
Annexe B (informative) Établissement du rapport sur les risques pour la FMEA . 40
iv
ISO/IEC FDIS 27031:20242025(fr)
Bibliographie . 41
v
ISO/IEC FDIS 27031:20242025(fr)
Avant-propos
L'ISO (Organisation internationale de normalisation) et l'IECl’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes nationaux
membres de l'ISO ou de l'IECl’IEC participent au développement de Normes Internationalesinternationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des domaines
particuliers de l'activité technique. Les comités techniques de l'ISO et de l'IECl’IEC collaborent dans des
domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l'IECl’IEC, participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères
d'approbation requis pour les différents types de documents ISO. Le présent document a été rédigé
conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives ou www.iec.ch/members_experts/refdocs).
Field Code Changed
L'ISOL’ISO et l'IECl’IEC attirent l'attentionl’attention sur le fait que la mise en application du présent document
peut entraîner l'utilisation d'unl’utilisation d’un ou de plusieurs brevets. L'ISOL’ISO et L'IECl’IEC ne prennent
pas position quant à la preuve, à la validité et à l'applicabilitél’applicabilité de tout droit de propriétébrevet
revendiqué à cet égard. À la date de publication du présent document, l'ISOL’ISO et l'IECl’IEC n'avaient pas
reçu notification qu'unqu’un ou plusieurs brevets pouvaient être nécessaires à sa mise en application.
Toutefois, il y a lieu d'avertird’avertir les responsables de la mise en application du présent document que des
informations plus récentes sont susceptibles de figurer dans la base de données de brevets, disponible aux
adresses à l'adresse www.iso.org/brevets et https://patents.iec.ch. L'ISOL’ISO et l'IECl’IEC ne sauraient être
tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits de brevetpropriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l'intentionl’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux
principes de l'Organisationl’Organisation mondiale du commerce (OMC) concernant les obstacles techniques
au commerce (OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir www.iec.ch/understanding-
standards.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
Cette deuxième édition annule et remplace la première édition (ISO/IEC 27031:2011), qui a fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes:
— — la structure du document a été modifiée;
— — le domaine d'application a été modifié pour clarification;
— — un contenu technique a été ajouté en 6.4, 6.5, 6.66.4, 6.5, 6.6, 9.2, 9.2 et 10.1.510.1.5.
Il convient que l'utilisateurl’utilisateur adresse tout retour d'informationd’information ou toute question
concernant le présent document à l'organismel’organisme national de normalisation de son pays. Une liste
exhaustive desdits organismes se trouve aux adresses à l’adresse www.iso.org/members.html et
www.iec.ch/national-committees.
vi
ISO/IEC FDIS 27031:20242025(fr)
Introduction
Les technologies de l'information et de la communication (TIC) sont devenues, au fil des années, partie
intégrante de nombreuses activités au sein des infrastructures critiques dans tous les secteurs d'activité
organisationnels, qu'ils soient publics ou privés. Le développement à grande échelle de l'internet et d'autres
services de mise en réseaux électroniques, ainsi que les capacités des systèmes et applications, a également
eu pour résultat que les organisations sont plus dépendantes d'infrastructures TIC fiables, sécurisées et
protégées.
Entre-temps, la nécessité d'un management de la continuité d'activité (MCA), y compris la préparation aux
incidents, la planification de la reprise après un sinistre, et la réponse et la gestion des urgences, a été reconnue
et soutenue avec le développement et l'approbation de domaines spécifiques de connaissances, d'expertise, et
de normes, y compris l'ISO 22313.
Les défaillances des services TIC, y compris celles provoquées par des problèmes liés à la sécurité, tels que la
violation de systèmes et les infections par des logiciels malfaisants, influent sur la continuité des opérations
Métier. Ainsi, la gestion des TIC et le management de la continuité associée, ainsi que d'autres aspects liés à la
sécurité, constituent un élément clé des exigences en matière de continuité d'activité. De plus, dans la majorité
des cas, les processus et activités critiques exigeant une continuité d'activité dépendent habituellement des
TIC. Cette dépendance signifie que des perturbations des TIC peuvent représenter des risques stratégiques
pour la renommée de l'organisation et sa capacité d'action.
Du fait de la prédominance croissante des services TIC basés sur l'internet (services TIC en nuage), la nature
de la capacité de préparation a changé, passant d'une dépendance aux processus internes à une dépendance
à la qualité et à la robustesse des services fournis par d'autres organisations et aux relations professionnelles
avec ces organisations.
Pour de nombreuses organisations, la préparation des TIC est un composant essentiel de la mise en œuvre
d'un processus de management de la continuité d'activité et de management de la sécurité de l'information.
Un système MCA efficace dépend ainsi fréquemment d'une préparation efficace des TIC afin de s'assurer que
les objectifs d'une organisation peuvent continuer à être satisfaits pendant les perturbations. Cet élément est
particulièrement important dans la mesure où les conséquences de perturbations des TIC présentent souvent
l'inconvénient supplémentaire d'être invisibles ou difficiles à déceler.
Pour pouvoir réaliser une préparation des TIC de façon à garantir la continuité de son activité (PTCA), il
convient qu'une organisation mette en place un processus systématique de prévention, prévision et gestion
des perturbations et des incidents liés aux TIC, susceptibles de perturber les services qui leur sont associés. Il
est possible d'y parvenir en coordonnant la PTCA avec les processus de sécurité de l'information et de MCA.
De cette manière, la PTCA soutient le MCA en s'assurant que les services TIC peuvent être restaurés aux
niveaux prédéterminés dans les délais requis et définis par l'organisation.
Lorsqu'une organisation utilise des normes pertinentes en matière de sécurité de l'information et de
continuité d'activité, il convient que la mise en place d'une PTCA prenne de préférence en considération les
processus existants ou prévus associés à ces normes. Cette association peut prendre en charge l'établissement
d'une PTCA, et éviter toute redondance éventuelle de processus pour l'organisation.
Le présent document décrit les concepts et principes de préparation des TIC pour la continuité d'activité
(PTCA), et fournit un cadre de méthodes et processus destinés à identifier et spécifier les aspects permettant
d'améliorer la préparation des TIC, et ce, de manière à assurer la continuité d'activité d'une organisation.
Le présent document complète les mesures de sécurité de l'information relatives à la continuité d'activité dans
l'ISO/IEC 27002. Il soutient également le processus de management des risques liés à la sécurité de
l'information spécifié dans l'ISO/IEC 27005.
vii
ISO/IEC FDIS 27031:20242025(fr)
Sur la base des objectifs de préparation des TIC, le présent document étend également les pratiques de gestion
des incidents de sécurité de l'information à la planification, à la formation et à l'exploitation de la préparation
des TIC.
viii
PROJET FINAL de Norme internationale ISO/IEC FDIS 27031:2024(fr)
Cybersécurité — Préparation des technologies de l'information et de
la communication pour la continuité d'activité
1 Domaine d'application
Le présent document décrit les concepts et les principes de la préparation des technologies de l'information
et de la communication (TIC) pour la continuité d'activité (PTCA). Il fournit un cadre de méthodes et de
processus pour identifier et spécifier les aspects permettant d'améliorer la préparation des TIC d'une
organisation afin d'assurer la continuité d'activité.
Le présent document sert les objectifs suivants en matière de continuité d'activité pour les TIC:
— — objectif minimal de continuité d'activité (OMCA) ;);
— — objectif de point de reprise (OPR) ;);
— — délai de reprise (DR) dans le cadre de la planification de la continuité d'activité des TIC.
Le présent document s'applique à tous les types et tailles d'organisations.
Le présent document décrit de quelle manière les services TIC planifient et se préparent à contribuer aux
objectifs de résilience de l'organisation.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ilsqu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'éditionl’édition citée
s'appliques’applique. Pour les références non datées, la dernière édition du document de référence s'applique
(y compris les éventuels amendements).
ISO/IEC 27000, Technologies de l'information — Techniques de sécurité — Systèmes de management de la
sécurité de l'information — Vue d'ensemble et vocabulaire
ISO/IEC 27002, Sécurité de l'information, cybersécurité et protection de la vie privée — Mesures de sécurité de
l'information
ISO/IEC 27005, Sécurité de l'information, cybersécurité et protection de la vie privée — Préconisations pour la
gestion des risques liés à la sécurité de l'information
ISO/IEC 27035-1:2023, Technologies de l'information — Gestion des incidents de sécurité de l'information —
Partie 1 : : Principes et processus
ISO 22300, Sécurité et résilience — Vocabulaire
ISO 22301, Sécurité et résilience — — Systèmes de management de la continuité d'activité — Exigences
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO/IEC 27000, ISO/IEC 27002,
ISO/IEC 27005, ISO/IEC 27035-1, ISO 22300 et ISO 22301, ainsi que les suivants s'appliquent.
ISO/IEC FDIS 27031:20242025(fr)
L'ISOL’ISO et l'IECl’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes ::
— — ISO Online browsing platform: disponible à l'adressel’adresse https://www.iso.org/obp
— — IEC Electropedia: disponible à l'adressel’adresse https://www.electropedia.org/
3.1 3.1
mode de défaillance
méthode d'observation d'une défaillance
Note 1 à l'article : : Cela décrit généralement le mode d'occurrence de la défaillance et son impact sur le fonctionnement
du système.
3.2 3.2
reprise après un sinistre des technologies de l'information et de la communication
capacité des éléments de technologies de l'information et de la communication d'une organisation à soutenir
ses processus et activités critiques à un niveau acceptable dans un délai prédéterminé à la suite d'une
perturbation
3.3 3.3
préparation des technologies de l'information et de la communication
état d'une fonction de technologies de l'information et de la communication (TIC) dans lequel elle dispose des
connaissances, des compétences, des processus, de l'architecture, de l'infrastructure et des technologies
connexes pour la préparation à un événement potentiel qui entraînerait soit une perturbation intolérable
des TIC, soit une perte intolérable de données
Note 1 à l'article : : Cela ne signifie pas que la fonction de TIC est parfaitement informée et capable de tout
faire, mais plutôt qu'elle est adaptée aux objectifs et prête pour la préparation, la réponse et la reprise si une telle situation
d'urgence se produit.
3.4 3.4
objectif minimal de continuité d'activité
OMCA
niveau minimal de services et/ou produits acceptable par l'organisation pour atteindre ses objectifs d'activité
lors d'une perturbation
3.5 3.5
objectif de point de reprise
OPR
point à partir duquel les informations utilisées par une activité doivent être restaurées afin de permettre un
fonctionnement en reprise
Note 1 à l'article : : Il peut également être désigné en tant que «perte maximale de données».
3.6 3.6
délai de reprise
DR
durée après un incident pendant laquelle un produit et service ou une activité sont repris, ou des ressources
sont rétablies
3.7 3.7
restauration
niveau de rétablissement des données, des systèmes TIC et des opérations Métier à leur état normal après une
perturbation, avec une perte minimale, le cas échéant
© ISO/IEC 2025 – Tous droits réservés
3.8 3.8
déclencheur
événement qui provoque la réaction du système
Note 1 à l'article : : Également appelé événement déclencheur.
4 Abréviations
AIA Analyse d'impact sur l'activité
CVC Chauffage, ventilation et air conditionné
DR Délai de reprise
OMCA Objectif minimal de continuité d'activité
OPR Objectif de point de reprise
PCA Plan de continuité d'activité
PTCA Préparation des TIC pour la continuité d'activité
TIC Technologies de l'information et de la communication
5 Structure du présent document
5.1 Généralités
L'objectif de chaque article du présent document est le suivant:
— — l'Article 6l'Article 6 explique comment la PTCA est liée au MCA et à d'autres processus
organisationnels qui sont liés à la PTCA;
— — l'Article 7l'Article 7 explique comment la continuité d'activité de l'organisation établit des objectifs
qu'il convient d'essayer d'atteindre pour la PTCA;
— — l'Article 8l'Article 8 donne des recommandations sur ce qui est nécessaire pour définir les
caractéristiques actuelles des TIC qui ont une influence sur la PTCA;
— — l'Article 9l'Article 9 donne des recommandations sur différentes stratégies qui peuvent être utilisées
et qu'il convient de déterminer pour la PTCA en fonction des objectifs et des caractéristiques actuelles
des TIC qu'il convient de suivre pour les plans de continuité des TIC;
— — l'Article 10l'Article 10 donne des recommandations sur la manière de concevoir des plans de
continuité des TIC fondés sur des stratégies déterminées et sur la manière de traiter différents types de
situations défavorables afin d'atteindre les objectifs de continuité pour les TIC;
— — l'Article 11l'Article 11 donne des recommandations sur la manière de soumettre à l'essai et de finaliser
les plans de continuité des TIC;
— — l'Article 12l'Article 12 donne des recommandations sur la manière d'établir les OPR et DR finaux sur
la base des plans de continuité des TIC et sur la manière de déterminer la capacité à répondre aux
exigences opérationnelles;
— — l'Article 13l'Article 13 donne des recommandations sur le retour d'information de la PTCA à la
direction au plus haut niveau afin que celle-ci approuve les plans ou les décisions de traitement du risque
si les objectifs d'activité n'ont pas été atteints.
© ISO/IEC 2025 – Tous droits réservés
ISO/IEC FDIS 27031:20242025(fr)
Une planification et des vérifications spécifiques des TIC sont essentielles pour construire et assurer que
les TIC peuvent faire face à des événements. Sans cette préparation, l'organisation subit des perturbations
intolérables des activités prioritaires ou des pertes de données.
Il convient que de tels événements, pouvant résulter de défaillances techniques ou d'incidents de
cybersécurité, incitent la fonction de TIC à interfacer sa gouvernance, sa planification et son fonctionnement
avec les exigences découlant de l'activité décisionnelle du management de la continuité d'activité et du
management de la sécurité de l'information.
6 Intégration de la PTCA dans le MCA
6.1 Généralités
Le risque associé aux perturbations dans le cadre de la sécurité de l'information et des TIC est principalement
lié à la disponibilité lorsque survient une situation défavorable qui perturbe la disponibilité des services TIC
pour les activités Métier.
Les risques associés ont les caractéristiques d'une très faible vraisemblance, ce qui signifie qu'ils peuvent se
produire très rarement, voire jamais, mais qu'ils ont des conséquences et un impact sur l'activité
considérables s'ils se produisent. Il convient de noter que la continuité d'activité est l'activité censée réduire
le plus fortement possible les conséquences si de tels risques se produisent, car, dans la plupart des cas, la
vraisemblance de ces risques ne peut jamais être totalement éliminée.
La détermination des risques pour les processus d'activité peut résulter du processus de management du
risque et des mesures de sécurité visant à les atténuer pour maintenir la continuité d'activité.
Les activités prioritaires sont identifiées au moyen d'une analyse d'impact sur l'activité (AIA) portant sur les
processus d'activité et les fonctions, qui permet de déterminer les dépendances des TIC et d'établir des délais
critiques.
Les événements réels ou les scénarios de risque concernant la manière dont les services TIC sont interrompus
peuvent être difficiles à déterminer pour les entreprises et sont généralement situés à un niveau élevé, sur la
base de différentes menaces. Ces menaces et ces sources peuvent inclure:
— — sources environnementales — incendies, inondations, etc. ;.;
— — défaillances techniques matérielles et logicielles, ou les insuffisances ou pannes de l'alimentation et de
la climatisation (CVC) ;);
— — source de risque humain involontaire — erreurs dans la gestion des modifications, sauvegarde mal
configurée, etc. ;.;
— — source de risque humain intentionnelle — piratage, logiciels malfaisants, sabotage;
— — sociétales — pandémie, grèves, troubles sociaux, etc. ;.;
— — cyberattaques — DOS, DDOS;
— — spécifiques à la chaîne d'approvisionnement des TIC:
— — perturbation du canal de communication avec un fournisseur de données/services;
— — perturbation d'un fournisseur de services en nuage;
© ISO/IEC 2025 – Tous droits réservés
— — exigences peu claires en matière de sécurité de l'information dans les conditions contractuelles
couvrant les services TIC fournis par des parties externes.
Ces menaces ou événements peuvent considérablement perturber les services TIC et déclencher des stratégies
de continuité d'activité, avec les conséquences suivantes:
— — perte de matériels et logiciels de TIC critiques;
— — perte de service de TIC critique;
— — perte d'installations;
— — perte de service de TIC critique d'un fournisseur;
— — perte de personnel clé.
Il convient que ces scénarios soient pris en compte dans le cadre de la planification de la continuité d'activité
pour les TIC s'ils sont pertinents pour les TIC fournies à l'activité. Il convient de déterminer des stratégies
globales et d'élaborer et de soumettre à l’essai le PCA afin de déterminer les risques résiduels à traiter dans le
cadre du processus de management du risque. Les vulnérabilités ou les autres faiblesses qui provoquent de
graves perturbations pour les TIC peuvent être déterminées au moyen d'un management des risques. C'est au
moyen d'une évaluation des risques et d'un traitement des risques que les risques peuvent être atténués.
Cependant, cette atténuation n'élimine pas la nécessité de mettre en place une PTCA, car il existe toujours un
risque qu'un événement imprévu se produise.
6.2 Facilitation de la gouvernance
Il convient que les organisations aient une connaissance générale de la préparation des différents éléments
des TIC, y compris les suivants:
— — les services TIC;
— — les installations TIC;
— — la technologie (matériel, logiciels, architecture) ;);
— — les données;
— — les processus;
— — les fournisseurs, ainsi que leurs composantes critiques; et
— — les compétences du personnel.
La connaissance de la structure des TIC est un élément crucial pour assurer le soutien nécessaire à la
gouvernance de la continuité d'activité, y compris la préparation des TIC. Il convient par conséquent que
l'organisation:
a) a) suscite, améliore et maintienne la sensibilité par le biais d'un programme permanent de
formation, d'études et d'information destiné au personnel compétent, et établisse un processus
d'évaluation de l'efficacité de la prestation de sensibilisation; et
b) b) s'assure que le personnel est conscient de sa contribution à la réalisation des objectifs de
préparation des TIC pour la continuité d'activité (PTCA).
© ISO/IEC 2025 – Tous droits réservés
ISO/IEC FDIS 27031:20242025(fr)
Il convient que l'organisation s'assure que l'ensemble du personnel auquel il a confié des responsabilités PTCA
dispose des compétences nécessaires pour exécuter les tâches requises, et ce en:
c) c) déterminant les compétences nécessaires dudit personnel;
d) d) effectuant une analyse des besoins en formation de ce même personnel;
e) e) assurant une formation;
f) f) s'assurant de l'acquisition effective des compétences nécessaires; et
g) g) tenant des registres dédiés aux études, à la formation, aux compétences, à l'expérience et aux
qualifications.
Il convient que la direction au plus haut niveau ou ses délégués s'assurent qu'une répartition claire et complète
des rôles a été établie avec une granularité suffisante pour identifier chaque rôle individuel dans la PTCA. Il
convient de documenter l'identification des responsabilités liées à chaque rôle attribué.
Il convient de planifier, d'élaborer et de mettre en œuvre un programme de formation à la PTCA afin de
s'assurer que le personnel concerné ayant un rôle dans la PTCA puisse remplir ses responsabilités lorsqu'un
événement se produit.
NOTE Pour plus de détails concernant la sensibilisation et la formation à la gestion des incidents de sécurité de
l'information, voir l'ISO/IEC 27035-2.
6.3 Objectifs du management de la continuité d'activité
Le management de la continuité d'activité est le processus permettant de mettre en œuvre et de maintenir la
capacité d'une organisation à continuer la fourniture de produits et de services dans des délais acceptables
avec une capacité prédéfinie pendant une perturbation. (voir ISO 22313).
La PTCA, comme partie intégrante du processus MCA, se rapporte à un processus visant à améliorer la
préparation immédiate de l'organisation pour:
a) a) réagir à un environnement de risque en constante évolution affectant les TIC;
b) b) assurer la continuité des services TIC liés qui soutiennent les activités prioritaires;
c) c) anticiper et être prêt à réagir bien avant la perturbation d'un service TIC, dès la détection d'un
ou d'une série d'événements associés qui deviennent des incidents; et
d) d) réagir et reprendre l'activité à la suite d'incidents et des défaillances affectant les TIC.
Une organisation fixe par conséquent ses priorités MCA, qui orientent les activités PTCA. À son tour, le MCA
dépend de la PTCA afin de s'assurer que l'organisation peut satisfaire de façon permanente à ses objectifs
généraux de continuité du service TIC, et notamment pendant des périodes de perturbation.
Ces objectifs de préparation incluent notamment:
e) e) l'amélioration des capacités de détection d'un incident;
f) f) la prévention de toute défaillance subite ou sévère;
g) g) la possibilité d'une dégradation acceptable du service opérationnel si la défaillance ne peut pas
être empêchée;
© ISO/IEC 2025 – Tous droits réservés
h) h) une réduction supplémentaire du temps de reprise; et
i) i) la réduction la plus forte possible des conséquences sur l'occurrence éventuelle de l'incident.
6.4 Management du risque et mesures de sécurité applicables pour la PTCA
Le processus de management du risque inclut les risques liés à la sécurité de l'information lorsque le risque
lié à la perte de disponibilité des services TIC dans des situations défavorables s'applique à la préparation
des TIC et à la continuité d'activité. Ces risques sont caractérisés par une très faible vraisemblance et un très
fort impact.
Il convient que le traitement du risque comporte des mesures de sécurité liées à la continuité de l'activité.
Ces mesures sont essentielles pour modifier et diminuer le risque et réduire l'impact sur l'activité grâce à
une PTCA. Il convient alors de déterminer l'étendue et la capacité de la PTCA par le biais du processus de
management du risque, en fonction de la propension à prendre des risques et de l'analyse d'impact sur
l'activité.
Le management du risque et les rapports sur l'état du risque aident l'entreprise à déterminer le risque et
l'éventuelle acceptation du risque selon une perspective stratégique et à long terme.
La PTCA soutient la mise en œuvre réelle de la mesure de sécurité spécifiée dans l'ISO/IEC 27002:2022, 5.30.
Pour des informations supplémentaires sur le management des risques liés à la sécurité de l'information, voir
l'ISO/IEC 27005.
6.5 Gestion des incidents et relation avec la PTCA
Les incidents applicables à la PTCA se situent au niveau de classification le plus élevé de la classification des
incidents de l'organisation subissant ces incidents.
Les incidents que la PTCA peut aider à atténuer sont habituellement considérés comme très improbables, mais
ont un impact significatif ou catastrophique sur les services TIC s'ils se produisent. L'objectif de la PTCA est
de développer des stratégies qui aident l'organisation à prévenir, répondre et reprendre l'activité à la suite
d'incidents qui impactent des services TIC.
Il convient que des déclencheurs de l'activation de plans PTCA soient définis dans le cadre du processus de
gestion des incidents de l'organisation, y compris des plans de réponse aux incidents de sécurité de
l'information qui peuvent inclure les interactions suivantes pendant le flux d'événements et d'incidents de
sécurité de l'information:
— — il convient qu'un lien soit établi entre le coordinateur chargé des incidents (voir l'ISO/IEC 27035-1) et
la PTCA responsable dès que l'effet potentiel de l'incident sur la continuité d'activité est identifié;
— — il convient que des canaux et procédures de communication soient préparés pour permettre le
transfert de la responsabilité opérationnelle entre la gestion des incidents et les éléments de réponse de
la PTCA préparés pour éviter toute perte de temps incontrôlée et respecter les délais convenus;
— — il convient que le transfert de responsabilité de la PTCA responsable au coordinateur chargé des
incidents soit prévu pour permettre la préparation du rapport d'incident et introduire sa proposition
d'amélioration par le biais de «leçons apprises». Voir l'ISO/IEC 27035-1:2023, Article 5 pour plus de
détails.
Pour des informations générales supplémentaires sur la gestion des incidents de sécurité de l'information,
voir l'ISO/IEC 27035-1.
© ISO/IEC 2025 – Tous droits réservés
ISO/IEC FDIS 27031:20242025(fr)
6.6 Stratégies MCA et alignement sur la PTCA
La dépendance d'une organisation aux TIC dans une situation défavorable peut varier et les caractéristiques
d'une situation défavorable peuvent également avoir une incidence sur la dépendance aux TIC. Il convient que
la stratégie de MCA indique les délais et les priorités de la PTCA.
Les stratégies de continuité d'activité qui influencent la PTCA peuvent être les suivantes:
— — mettre l'activité à l'arrêt pendant un certain temps;
— — relocaliser l'activité vers un autre site;
— — coopérer avec le fournisseur ou le partenaire.
Les décisions peuvent être les suivantes:
— — la priorité donnée aux opérations ou processus d'activité et les délais les concernant;
— — les services TIC et leurs OPR et DR.
Il convient que la PTCA permette aux organisations d'utiliser les TIC dans des situations défavorables lorsque
le MCA est opérationnel. Deux cas peuvent se présenter:
a) a) la PTCA n'est pas en mesure de respecter l'OPR ou le DR pour certains processus/fonctions.
Dans ce cas, l'organisation doit aligner le PCA en ce qui concerne ces processus/fonctions afin de
permettre des opérations sans TIC jusqu'à ce qu'elles soient disponibles conformément au délai prévu
par la PTCA;
b) b) la PTCA peut respecter l'OPR ou le DR pour tous les processus/fonctions. Ensuite, le PCA de
l'organisation est aligné.
Il convient qu'une organisation détermine les objectifs minimaux de continuité d'activité (OMCA) des TIC sur
la base des objectifs de point de reprise (OPR) et des délais de reprise (DR) à l'intérieur du domaine
d'application des TIC.
7 Attentes Métier pour la PTCA
7.1 Revue des risques
7.1.1 Généralités
Le processus de management des risques liés à la sécurité de l'information est expliqué plus en détail dans
l'ISO/IEC 27005, qui est également alignée sur les lignes directrices pour le management des risques données
dans l'ISO 31000.
La continuité d'activité des TIC vient à l'appui de la gestion des incidents lorsqu'un incident majeur affectant
les TIC s'est produit. La PTCA modifie les risques de sécurité de l'information liés à la disponibilité avec une
faible vraisemblance, mais avec des conséquences significatives.
Il convient que les stratégies de PTCA soient résilientes et adaptables, et il convient que toute modification des
services TIC susceptible d'avoir une incidence sur la capacité PTCA soit uniquement mise en œuvre après
évaluation, traitement et approbation des implications de cette modification sur la continuité d'activité.
Il convient que toute modification des services TIC susceptible d'avoir une incidence sur la capacité PTCA soit
uniquement mise en œuvre après évaluation et traitement des implications de cette modification sur la
continuité d'activité.
© ISO/IEC 2025 – Tous droits réservés
Afin de s'assurer de la pérennité du caractère approprié pour l'organisation des stratégies et plans PTCA:
a) a) il convient que la direction au plus haut niveau s'assure que les stratégies PTCA viennent
toujours à l'appui des exigences MCA de l'organisation (voir 13.213.2) ;);
b) b) il convient que le processus de gestion des modifications inclue toutes les parties responsables
des stratégies PTCA, tant dans leur planification que dans leur mise en œuvre;
c) c) il convient que le processus de développement des nouveaux services TIC comprenne
l'approbation du fait que la résilience de la PTCA n'a aucunement été remise en cause par les
actualisations ou améliorations même les plus simples;
d) d) il convient que la PTCA prenne en compte le devoir de précaution portant sur l'activité de
fusion-acquisition; et
e) e) il convient que la PTCA prenne en compte toute mise hors service d'un composant TIC.
Il convient que l'organisation établisse un processus de suivi et de détection de l'émergence de menaces
pesant sur la sécurité TIC, y compris, sans toutefois s'y limiter, les domaines suivants:
f) f) maintien du personnel, de ses compétences et de ses connaissances;
g) g) gestion des installations destinées à héberger le matériel TIC (par exemple, par un contrôle du
nombre et de la nature des incidents relatifs à la sécurité/vulnérabilités en matière de sécurité associés
aux salles informatiques) ;);
h) h) modifications des technologies, installations, matériels, applications et bases de données
d'assistance;
i) i) enveloppe financière ou budgétaire; et
j) j) efficacité des services et fournisseurs externes (fournitures).
7.1.2 Suivi, détection et analyse des menaces et des événements
Le suivi des systèmes TIC et de leurs composants critiques constitue la première ligne de défense pour
permettre la détection de situations anormales, telles que des vulnérabilités susceptibles d'être exploitées
pour devenir un événement, puis de se transformer en un incident et une perturbation des TIC pouvant
entraîner l'activation de la capacité et des processus PTCA.
La détection d'événements et de situations indésirables, tels que des mesures de sécurité mal configurées, des
écarts par rapport à des politiques, ou des défaillances mécaniques, est également essentielle, car la réaction
à l'incident ne peut commencer qu'à partir du moment où l'événement est signalé au point de contact et
apprécié par le coordinateur chargé des incidents (voir l'ISO/IEC 27035-1).
L'analyse des menaces est un autre moyen de prévoir ce qui peut nuire aux systèmes TIC, étant donné que les
menaces se trouvent généralement encore hors des préoccupations et des mesures de sécurité directes. Pour
cela, il est nécessaire d'être informé en permanence par des organismes spécialisés et de vérifier si les TIC
d'une organisation peuvent être potentiellement touchées et compromises, ou si elles sont affectées par la
menace. Si tel est le cas, il convient d'activer la capacité de gestion des vulnérabilités afin de préparer
l'amélioration de la protection actuelle.
© ISO/IEC 2025 – Tous droits réservés
ISO/IEC FDIS 27031:20242025(fr)
7.2 Données provenant de l'analyse d'impact sur l'activité
7.2.1 Généralités
Il convient que l'organisation catégorise ses activités en fonction de leur priorité en matière de continuité, tel
que déterminé par une analyse d'impact sur l'activité (voir l'ISO/TS 22317). Il convient également qu'elle
définisse le niveau minimal auquel il convient que chaque activité critique soit réalisée lors de la reprise. Il
convient que la direction au plus haut niveau approuve les exigences de continuité d'activité de l'organisation
(voir 13.213.2).). Il convient que ces exigences se traduisent par un DR et un OPR pour l'OMCA pour chaque
produit, service ou activité. Ces DR partent du point de perturbation effective et s'appliquent au produit, au
service ou à l'activité jusqu'à sa reprise.
7.2.2 Compréhension des services TIC critiques
Un certain nombre de services TIC peuvent être considérés comme critiques et nécessaires pour permettre la
reprise de l'activité. Il convient que le DR, l'OPR et l'OMCA de chacun de ces services critiques soient
documentés (ces objectifs peuvent inclure les aspects de la fourniture de services TIC, tels qu'un service
d'assistance). Le DR des services TIC critiques est invariablement inférieur au DR de l'activité Métier, du fait
des interdépendances entre les services TIC.
Il convient que l'organisation identifie et documente ses services TIC critiques et qu'elle inclue les descriptions
succinctes et les appellations qui se révèlent utiles au niveau de l'utilisateur de services. CeciCela assure une
compréhension commune entre le personnel Métier et le personnel TIC, dans la mesure où différents noms
peuvent être utilisés pour le même service. Il convient que chaque service TIC critique identifie le produit ou
le service de l'organisation
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...