Es aplicable a todas las organizaciones y se refiere a la creación de un marco para garantizar la continuidad del negocio, en caso de situaciones de fuerza mayor (por ejemplo, incendios, inundaciones, terremotos, ataques informáticos) que destruyan los activos/datos de la organización e implícitamente el negocio. La norma detalla el capítulo 14 de la ISO 27001 (“Continuidad del Negocio”) y requiere la existencia y prueba de escenarios de continuidad para que la organización pueda demostrar a las partes interesadas que está preparada para reaccionar en caso de que ocurran eventos indeseables.