ISO 27031 如何支持 2025 年的信息和通信技术复原力

Cockroach 实验室发布的《2025 年复原力状况》报告发现，每家受访公司在过去一年中都经历过因故障造成的收入损失，每起事故的成本从 1 万美元到 100 多万美元不等。

14 年后，ISO/IEC 27031 已经更新，以反映这一现实。该指南重点关注信息和通信技术的准备情况，为组织提供了切实可行的指导，以便为数字中断做好准备、做出响应并从中恢复。虽然这不是一个可认证的标准，但它补充了关于业务连续性的 ISO 22301 和关于信息安全的 ISO/IEC 27001，为恢复能力奠定了更坚实的基础。

ISO/IEC 27031 与 FFIEC IT 手册、英国运营弹性规则、DORA 和 NIS 2 等框架一起使用时，可帮助组织将 ICT 弹性与不断提高的合规性和监管期望保持一致。让我们来分析一下 2025 年更新版的新内容、重要原因以及如何在实践中应用其指导。

ISO/IEC 27031:2025 有哪些新内容？

ISO/IEC 27031 第二版于2025 年 5 月发布，这是自 2011 年发布原始指南以来的首次重大更新。这一期待已久的修订反映了技术、业务运营和弹性预期在过去十五年间的发展变化。

其中有几项重要变化尤为突出：

• 结构更清晰：对框架进行了重组，使其更符合逻辑，从治理和规划到监测和审查。
• 更加突出重点：该范围现在强调了信息和通信技术团队在复原力战略中的核心作用，确保技术准备工作与业务成果直接挂钩。
• 扩展指导：更新版增加了风险管理、事件响应、 业务连续性整合和战略恢复选项方面的更多细节，使其与现代复原力实践保持一致。
• 云和第三方服务：认识到当今对云基础设施和外部提供商的依赖，指南明确阐述了如何在扩展的数字生态系统中管理风险和连续性。

这些更新使 ISO/IEC 27031 与当今数字优先的企业更加相关，并在技术复原力和组织连续性之间架起了一座更牢固的桥梁。

ISO 27031：2011 年与 2025 年概览

为什么《2025 年更新计划》对信息和通信技术的复原力至关重要？

ISO/IEC 27031 的 2025 年修订版不仅仅是技术语言的更新。它反映了在数字经济时代，人们期望组织如何提高复原力的根本性转变。

从 IT 到会议室

信息和通信技术的连续性不再被视为纯粹由信息技术部门管理的技术问题。更新后的指南将复原力规划提升到董事会层面的关注，使其成为企业风险管理和战略决策的核心要素。

打破各自为政的局面

早期的方法往往将信息和通信技术的连续性与更广泛的业务连续性和安全计划割裂开来。2025 年版强调整合，确保信息和通信技术准备工作与 ISO/IEC 27001 信息安全框架和 ISO 22301 业务连续性框架直接挂钩。这种一致性支持更加统一的端到端连续性战略。

更加关注云技术

最重要的更新之一是明确关注云服务和第三方服务。2011 年，对外部供应商的依赖还不那么普遍。如今，混合基础设施和 SaaS 生态系统已成为常态，供应商的中断会迅速波及整个企业。新指南承认了这些现实，并为在日益复杂的数字供应链中管理弹性提供了方向。

通过扩大其范围和相关性，2025 版将 ISO/IEC 27031 定位为需要在技术恢复能力与监管期望和业务要求之间取得平衡的组织的重要指南。

采用 ISO 27031 的好处

2025 年的更新加强了信息和通信技术在最重要领域的准备程度。它能够加快恢复速度，减少停机时间，保护收入和声誉。公认的做法还能建立监管机构和合作伙伴的信心，表明恢复能力是管理出来的，而不是临时拼凑的。最重要的是，它将 IT、安全和连续性整合为一个具有凝聚力的战略，从而提高组织的稳定性。

那么，如何才能在企业内部实现这一指导呢？

将 ISO 27031 付诸实践

采用 ISO/IEC 27031 不仅仅是为了提高认识。它需要一种将战略与执行联系起来的结构化方法。以下是指导实施的六个实用步骤：

数字干扰不可避免。让有复原能力的组织与众不同的是他们如何做好准备、应对和恢复。ISO/IEC 27031 的 2025 年更新版为将 ICT 连续性从被动流程转变为战略能力奠定了更坚实的基础。

对于希望与最新指导保持一致并了解 ISO 标准如何与连续性规划相联系的组织，我们的 ISO 合规性白皮书提供了更深入的探讨。