ISO/IEC 27031:2025
(Main)Cybersecurity — Information and communication technology readiness for business continuity
Cybersecurity — Information and communication technology readiness for business continuity
This document describes the concepts and principles of information and communication technology (ICT) readiness for business continuity (IRBC). It provides a framework of methods and processes to identify and specify aspects for improving an organization's ICT readiness to ensure business continuity. This document serves the following business continuity objectives for ICT: — minimum business continuity objective (MBCO), — recovery point objective (RPO), — recovery time objective (RTO) as part of the ICT business continuity planning. This document is applicable to all types and sizes of organizations. This document describes how ICT departments plan and prepare to contribute to the resilience objectives of the organization.
Cybersécurité — Préparation des technologies de l'information et de la communication pour la continuité d'activité
General Information
Relations
Buy Standard
Standards Content (Sample)
International
Standard
ISO/IEC 27031
Second edition
Cybersecurity — Information
2025-05
and communication technology
readiness for business continuity
Cybersécurité — Préparation des technologies de l'information et
de la communication pour la continuité d'activité
Reference number
© ISO/IEC 2025
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO/IEC 2025 – All rights reserved
ii
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Abbreviated terms . 3
5 Structure of this document . 3
5.1 General .3
6 Integration of IRBC into BCM . 3
6.1 General .3
6.2 Enabling governance .4
6.3 Business continuity management objectives .5
6.4 Risk management and applicable controls for IRBC .6
6.5 Incident management and relationship to IRBC .6
6.6 BCM strategies and alignment to IRBC .6
7 Business expectations for IRBC . 7
7.1 Risk review .7
7.1.1 General .7
7.1.2 Monitoring, detection and analysis of threats and events .8
7.2 Inputs from business impact analysis .8
7.2.1 General .8
7.2.2 Understanding critical ICT services .8
7.2.3 Assessing ICT readiness against business continuity requirements .9
7.3 Coverage and interfaces .9
7.3.1 General .9
7.3.2 ICT dependencies for the scope .10
7.3.3 Determine any contractual aspects of dependencies .10
8 Defining prerequisites for IRBC . 10
8.1 Incident based – preparation before incident .10
8.1.1 General .10
8.1.2 ICT Recovery capabilities .11
8.1.3 Establishing an IRBC .11
8.1.4 Setting objectives .11
8.1.5 Determining possible outcomes and benefits of IRBC . 12
8.1.6 Equipment redundancy planning . 13
8.1.7 Determining the scope of ICT services related to the objectives . 13
8.2 Determining target ICT RTO and RPO .14
9 Determining IRBC strategies .15
9.1 General . 15
9.2 IRBC strategy options . 15
9.2.1 General . 15
9.2.2 Skills and knowledge .16
9.2.3 Facilities .16
9.2.4 Technology .17
9.2.5 Data .17
9.2.6 Processes .18
9.2.7 Suppliers .18
10 Determining the ICT continuity plan . 19
10.1 Prerequisites for the development of plans .19
10.1.1 Determining and setting the recovery organization .19
10.1.2 Determining time frames for plan development, reporting and testing .19
© ISO/IEC 2025 – All rights reserved
iii
10.1.3 Resources . 20
10.1.4 Competency of IRBC staff . 20
10.1.5 Technological solutions .21
10.2 Recovery plan activation .21
10.2.1 ICT BCP Activation .21
10.2.2 Escalation .21
10.3 ICT recovery plans . 22
10.3.1 RPO and RTO plans for ICT. 22
10.3.2 Facilities . 22
10.3.3 Technology . 22
10.3.4 Data . 22
10.3.5 Response and recovery procedures . 23
10.3.6 People . 23
10.4 Temporary work around plans . 23
10.5 External contacts and procedures . 23
11 Testing, exercise, and auditing .23
11.1 Performance criteria . 23
11.2 Testing dependencies.24
11.2.1 Test and exercise .24
11.2.2 Test and exe
...
PROJET FINAL
Norme
internationale
ISO/IEC FDIS
ISO/IEC JTC 1/SC 27
Cybersécurité — Préparation des
Secrétariat: DIN
technologies de l'information
Début de vote:
et de la communication pour la
2024-06-26
continuité d'activité
Vote clos le:
2024-08-21
Cybersecurity — Information and communication technology
readiness for business continuity
LES DESTINATAIRES DU PRÉSENT PROJET SONT
INVITÉS À PRÉSENTER, AVEC LEURS OBSERVATIONS,
NOTIFICATION DES DROITS DE PROPRIÉTÉ DONT ILS
AURAIENT ÉVENTUELLEMENT CONNAISSANCE ET À
FOURNIR UNE DOCUMENTATION EXPLICATIVE.
OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
ÉTABLIR S’ILS SONT ACCEPTABLES À DES FINS
INDUSTRIELLES, TECHNOLOGIQUES ET COM-MERCIALES,
AINSI QUE DU POINT DE VUE DES UTILISATEURS, LES
PROJETS DE NORMES
INTERNATIONALES DOIVENT PARFOIS ÊTRE CONSIDÉRÉS
DU POINT DE VUE DE LEUR POSSI BILITÉ DE DEVENIR DES
NORMES POUVANT
SERVIR DE RÉFÉRENCE DANS LA RÉGLEMENTATION
NATIONALE.
Numéro de référence
ISO/IEC FDIS 27031:2024(fr) © ISO/IEC 2024
PROJET FINAL
ISO/IEC FDIS 27031:2024(fr)
Norme
internationale
ISO/IEC FDIS
ISO/IEC JTC 1/SC 27
Cybersécurité — Préparation des
Secrétariat: DIN
technologies de l'information
Début de vote:
et de la communication pour la
2024-06-26
continuité d'activité
Vote clos le:
2024-08-21
Cybersecurity — Information and communication technology
readiness for business continuity
LES DESTINATAIRES DU PRÉSENT PROJET SONT
INVITÉS À PRÉSENTER, AVEC LEURS OBSERVATIONS,
NOTIFICATION DES DROITS DE PROPRIÉTÉ DONT ILS
AURAIENT ÉVENTUELLEMENT CONNAISSANCE ET À
FOURNIR UNE DOCUMENTATION EXPLICATIVE.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
ÉTABLIR S’ILS SONT ACCEPTABLES À DES FINS
© ISO/IEC 2024
INDUSTRIELLES, TECHNOLOGIQUES ET COM-MERCIALES,
AINSI QUE DU POINT DE VUE DES UTILISATEURS, LES
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
PROJETS DE NORMES
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
INTERNATIONALES DOIVENT PARFOIS ÊTRE CONSIDÉRÉS
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut DU POINT DE VUE DE LEUR POSSI BILITÉ DE DEVENIR DES
NORMES POUVANT
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
SERVIR DE RÉFÉRENCE DANS LA RÉGLEMENTATION
NATIONALE.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
Numéro de référence
ISO/IEC FDIS 27031:2024(fr) © ISO/IEC 2024
© ISO/IEC 2024 – Tous droits réservés
ii
ISO/IEC FDIS 27031:2024(fr)
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Abréviations . 3
5 Structure du présent document. 3
5.1 Généralités .3
6 Intégration de la PTCA dans le MCA . 4
6.1 Généralités .4
6.2 Facilitation de la gouvernance .5
6.3 Objectifs du management de la continuité d'activité .6
6.4 Management du risque et mesures de sécurité applicables pour la PTCA .6
6.5 Gestion des incidents et relation avec la PTCA .6
6.6 Stratégies MCA et alignement sur la PTCA .7
7 Attentes Métier pour la PTCA . 8
7.1 Revue des risques .8
7.1.1 Généralités .8
7.1.2 Suivi, détection et analyse des menaces et des événements .8
7.2 Données provenant de l'analyse d'impact sur l'activité .9
7.2.1 Généralités .9
7.2.2 Compréhension des services TIC critiques .9
7.2.3 Appréciation de la préparation des TIC par rapport aux exigences en matière de
continuité d'activité .10
7.3 Couverture et interfaces .10
7.3.1 Généralités .10
7.3.2 Dépendances des TIC dans le cadre du domaine d'application .11
7.3.3 Détermination des aspects contractuels des dépendances .11
8 Définition des prérequis pour la PTCA .11
8.1 Sur la base d'un incident - préparation avant l'incident .11
8.1.1 Généralités .11
8.1.2 Capacités de reprise des TIC . 12
8.1.3 Mise en place d'une PTCA . 12
8.1.4 Définition des objectifs . 12
8.1.5 Détermination des résultats et des avantages possibles de la PTCA . 13
8.1.6 Planification de la redondance des équipements .14
8.1.7 Détermination du domaine d'application des services TIC liés aux objectifs .14
8.2 Détermination du DR cible et de l'OPR cible des TIC . 15
9 Détermination des stratégies PTCA .16
9.1 Généralités .16
9.2 Options de stratégie PTCA .17
9.2.1 Généralités .17
9.2.2 Compétences et connaissances.17
9.2.3 Installations .17
9.2.4 Technologie .18
9.2.5 Données .19
9.2.6 Procédures .19
9.2.7 Fournisseurs .19
10 Détermination du plan de continuité des TIC .20
10.1 Prérequis pour l'élaboration des plans . 20
10.1.1 Détermination et établissement de l'organisation de la reprise . . 20
© ISO/IEC 2024 – Tous droits réservés
iii
ISO/IEC FDIS 27031:2024(fr)
10.1.2 Détermination des délais pour l'élaboration, l'établissement de rapports et les
essais du plan . 20
10.1.3 Ressources . 22
10.1.4 Compétence du personnel PTCA . 22
10.1.5 Solutions technologiques . 22
10.2 Activation du plan de reprise . 23
10.2.1 Activation du PCA des TIC . 23
10.2.2 Escalade . 23
10.3 Plans de reprise TIC . 23
10.3.1 Plans OPR et DR pour les TIC . 23
10.3.2 Installations . 23
10.3.3 Technologie .24
10.3.4 Données .24
10.3.5 Procédures de r
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.