ISO/IEC 27031:2025正式发布:企业ICT业务连续性管理新指南
——【免费索取】《企业ICT连续性准备5分钟自测表》
ISO/IEC 27031:2025于2025年5月正式发布。历经数月的”审议和完善”(按计划2024年就应该发布),国际标准化组织ISO与国际电工委员会(IEC)于2025年5月16日正式发布《ISO/IEC 27031:2025 网络安全——业务连续性的ICT战备》(Cybersecurity – Information and communication technology readiness for business continuity)。这是该标准自2011年发布之后的首次修订(2020年的修订因故取消,后又重新启动)。
标准核心价值
作为业务连续性管理的关键支撑标准,ISO/IEC 27031确立了ICT战备(ICT Readiness,译为ICT战备以区别于ICT准备ICT Preparedness)的系统性框架,该框架通过:
- 明确区分”ICT战备”(主动防御能力)与”ICT准备”(基础保障能力)
- 实现与组织整体业务连续性战略的深度协同
- 构建预防-响应-恢复的全周期管理机制
帮助组织有效应对可能影响关键业务运营的ICT中断风险。
数字化转型背景下的必要性
“在当今的数字世界中,组织高度依赖ICT系统来运营、提供服务并维护与相关方的信任。这些系统的中断——从网络攻击到系统故障——可能造成严重后果。ISO/IEC 27031通过将战备规划整合到业务连续性和信息安全实践中,帮助组织构建ICT韧性。它确保ICT服务可以在约定的时限内恢复,从而保护运营、声誉和客户信任。这种战备不仅适用于内部系统,还延伸到对第三方服务(如云提供商)的依赖。“
标准实施效益
- 业务连续性:在ICT中断期间支持不间断的业务运营
- 战略协同:加强ICT、安全和连续性战略之间的协调
- 效率提升:减少事件后的恢复时间和数据丢失
- 增强组织韧性和相关方信心
- 体系整合:与ISO/IEC 27001和ISO 22301实践顺利整合
标准适用范围
该标准适用于所有ICT依赖型组织,特别是:
- 关键信息基础设施运营者
- 数字化转型中的传统企业
- 云服务提供商及ICT供应链企业
标准定位
- 对ISO/IEC 27001的延伸:在信息安全框架下强化ICT连续性
- 对ISO 22301的支撑:将ICT战备深度融入业务连续性管理
知识扩展:ICT战备的深层内涵
根据ISO/IEC 27031定义,ICT战备是”通过确保ICT服务具有适当的韧性,并能在组织要求和约定的时间范围内恢复至预定水平”来支撑业务连续性管理的系统能力。其重要性体现在:
- 业务依赖性:现代企业75%以上的核心流程依赖ICT系统
- 管理完整性:缺乏ICT战备的业务连续性管理存在系统性缺陷
ICT战备实施要点
- 韧性建设:覆盖IT基础设施、应用系统及人员流程的全方位准备
- 资源整合:统一协调业务连续性、灾难恢复、应急响应等多体系资源
- 风险控制:有效减少安全事件的影响范围、持续时间及损失程度
ISO/IEC 27031:2025与其它关键标准的关系解析
与ISO 22301(业务连续性管理体系)的关系
ISO/IEC 27031:2025为组织提供了ICT战备(ICT Readiness)的实施指南,旨在支持ISO 22301所定义的业务连续性目标。该标准特别关注网络攻击、硬件故障、自然灾害等导致的ICT中断,并提供了完整的管控框架,包括:
风险评估 → 恢复能力建设 → 策略制定 → 事件响应 → 恢复测试
强调ICT readiness for Business Continuity(IRBC),使其成为ISO 27000系列中唯一以业务连续性为核心的标准。
定位总结:ISO/IEC 27031是ISO 22301的ICT支持层补充指南,确保业务连续性管理体系(BCMS)在技术层面具备可操作性。
与ISO/IEC 24762和SS 507(灾备服务标准)的关系
| 标准 | 焦点 | 适用对象 | 可认证性 | 现状 |
|---|---|---|---|---|
| ISO 22301 | BCMS全组织治理 | 企业整体 | ✅ | 主流有效 |
| ISO 27031 | ICT支撑BC能力 | 企业内ICT团队 | ❌ | 主流有效 |
| ISO 24762 | 灾备服务操作指南 | IT部门/外部服务商 | ❌ | 已废止 |
| SS 507 | 灾备服务外包标准 | 服务商/采购方 | ✅(部分) | 持续更新 |
未涵盖OT(运营技术)的考量
ISO/IEC 27031:2025明确限定于ICT系统(信息处理与通信技术),不涉及OT(工业控制系统、SCADA、PLC等)。这一范围界定主要基于:
- 避免标准过度泛化,确保ICT连续性管理的适用性
- OT安全与业务连续性已有专门标准覆盖,如IEC 62443(工业自动化与控制系统安全)、ISO/IEC TR 22100系列
建议:若组织涉及OT系统,应结合ISO 22301 + IEC 62443构建完整韧性体系。
总结:标准组合应用建议
组织在构建技术层灾难恢复能力时,可参考以下标准组合:
| 需求场景 | 适用标准 |
|---|---|
| 业务连续性管理体系(BCMS) | ISO 22301 |
| ICT连续性策略与实施指南 | ISO/IEC 27031 |
| 外包灾备服务评估(如云DR) | SS 507 |
| OT系统安全与恢复(如工控) | IEC 62443 |
这一组合可确保在治理层(ISO 22301)、ICT层(ISO 27031)、外包服务层(SS 507)、OT层(IEC 62443)实现全面覆盖。
需要明确指出的是:企业信息科技部门若以自身名义获取ISO 22301认证来参与业务连续性建设,这种做法存在认知偏差。作为专业ICT部门,其合规建设的正确路径应当是实施ISO/IEC 27031标准。
ISO/IEC 27031:2025 —— ICT业务连续性准备 5分钟自测指南
(共10项,每项回答”是/否/部分实现”,建议用时不超过5分钟)
一、治理与策略(Governance & Strategy)
- 是否已在组织层面的业务连续性管理体系(如ISO 22301)中明确了ICT的角色与职责?
- 是否有正式发布的《ICT业务连续性策略》或等效文件,内容覆盖优先级、策略选型(如冗余、替代、转移)与资源分配?
二、风险与影响评估(Risk & Impact Assessment)
- 是否开展了ICT资源层面的业务影响分析(ICT-BIA),识别了关键系统、服务与数据依赖?
- 是否对ICT中断事件(如网络故障、攻击、数据损坏等)进行了风险评估,并结合可能性与影响形成优先级排序?
三、应对与恢复能力(Response & Recovery Capabilities)
- 是否为关键ICT系统设置了明确的恢复时间目标(RTO)与恢复点目标(RPO),并与业务部门确认?
- 是否建立了应急响应、灾难恢复和故障迁移等多层次技术响应机制,并经过实际演练?
四、资源与支持(Resources & Support)
- 是否具备对ICT资源的冗余、备份、替代与远程访问能力,例如多地部署、备份验证、VPN等?
- 是否对支撑ICT持续性的关键供应商(如云服务商、电信运营商)进行了能力审核与合同条款保障(如SLA、BC条款)?
五、监控与改进(Monitoring & Improvement)
- 是否建立了ICT业务连续性指标(如备份成功率、RTO达成率、演练通过率)并定期进行监控和分析?
- 是否每年至少一次对ICT连续性策略、计划、演练结果与新兴威胁进行回顾与更新?
可在文后留言索取ICT连续性准备5分钟自测表。
原文发表于公众号”王曙说” | 原文链接