ISO/CEI 27031

ISO/CEI 27031 est une norme internationale publié par l’Organisation Internationale de Normalisation (en anglais, l’ISO, International Organization for Standardization) qui décrit les concepts et principes de préparation des technologies de l’information et de la communication pour la continuité d’activité. Elle fait partie de la suite ISO/CEI 27000.

Cette norme est plus précisément intitulée Technologies de l’information – Techniques de sécurité – Lignes directrices pour mise en état des technologies de la communication et de l’information pour continuité des affaires.

Présentation de la norme

L’ISO/CEI 27031 est une nouvelle norme publiée en mars 2011. Elle est composée de 29 pages, ce qui veut dire implicitement que c’est une norme basée sur des besoins de précisions et de conseils. En effet, d’habitude, on peut compter environ une centaine de pages pour une norme classique.

Cette norme fournit un cadre de méthodes et processus destinés à identifier et spécifier l’ensemble des aspects permettant améliorer la préparation des TIC (Technologies de l'Information et de la Communication), et ce, de façon à assurer la continuité d’activité. Cette norme est en lien avec celle qui est à venir sur le système de management : ISO 22301.

De plus, l’ISO/CEI 27031 est également une norme de type cyclique de la méthode PDCA (Plan Do Check Act).

En revanche, l’ISO/CEI 27031 se focalise sur les services informatiques qui sont nécessaires aux activités business critiques.

Elle se penche également sur les ressources humaines, compétences et savoir-faire, les sites et bâtiments, l’infrastructure informatique, les informations et données, les tiers et fournisseurs externes voire les finances et les budgets attribués pour la continuité de l’information.

Cadre : les cinq principes à respecter

La norme présente les concepts et principes relatifs à la continuité des technologies de l’information et de la communication. Elle fournit un cadre avec méthodes et processus articulé autour de 5 principes permanents qui sont :

• La prévention des incidents ou sinistres : se préparer à un sinistre ou à une situation grave,
• La détection des incidents ou sinistres : mettre en place un système d’alerte permettant de détecter vite les éléments perturbateurs,
• La réponse ou parade : permettre une réponse rapide et efficace avant que les sinistres détectés ne se dégénèrent,
• La reprise à la suite d'un sinistre : la reprise doit être planifiée de façon à donner priorité aux activités les plus critiques et aux données à protéger avant tout,
• Conclusion : tirer des leçons des incidents constatés pour mieux se préparer aux futurs sinistres éventuels.

Champ d'application

Le champ d’application de l’ISO/CEI 27031 est très large. En effet, cette norme s’applique à l’ensemble des organismes privés, publics, gouvernementaux, et ce, quelle que soit leur taille. En d’autre terme, l’ISO/CEI 27031 offre un panel de recommandations en matière de sécurité informatique à toutes les organisations, indépendamment de leur taille, de la complexité et des risques en jeu car les technologies de l’information et de la communication font partie intégrante de l’infrastructure fondamentale des organisations.

Ainsi, l’ISO/CEI 27031 intervient lors des incidents susceptibles d’influencer l’infrastructure et les systèmes des technologies de l’information et de la communication. Elle permet aux organismes d’élaborer et de mettre en œuvre un plan de mise en état des services TIC afin d’aider à assurer la continuité des activités. Par incident, il faut également inclure les événements perturbateurs liés aux pratiques de traitement et de gestion de la sécurité de l’information, de planification de la préparation des TIC.

Atouts

Cette norme permet de faire face aux problèmes de confusion liés aux autres démarches de normalisation en matière de continuité d’activité qui ont la réputation d’aller dans différentes directions.

L’ISO/CEI 27031 a actuellement la réputation d’une norme de bonnes pratiques dans une famille nombreuse.

Limites

L’ISO/CEI 27031 se penche exagérément sur l’aspect management. En effet, elle se focalise sur la continuité d’activité.

En revanche, elle ne donne aucune indication technique permettant à un technicien de s’y retrouver.

Liens externes

• http://www.iso.org/iso/fr/catalogue_detail?csnumber=44374
• http://www.duquesnegroup.com/ISO-27031-la-nouvelle-norme-sur-la-preparation-de-l-informatique-a-la-continuite-d-activite_a220.html
• (en) http://www.bcifiles.com/ict/BCI_ICT_Resilience.pdf
• (en) http://www.iso27001security.com/html/27031.html
• (en) http://webstore.iec.ch/preview/info_isoiec27031%7Bed1.0%7Den.pdf

Voir aussi

• Liste de normes ISO
• ISO/CEI 27000
• Technologies de l'information et de la communication
• Roue de Deming

•   Portail de l’informatique