ISO 22301:2019是业务连续性管理体系的国际标准,帮助组织建立应对中断事件的框架,确保关键业务活动在突发事件中持续运行或快速恢复。该标准基于业务影响分析(BIA)和风险评估,识别关键业务过程及其依赖关系,确定恢复时间目标(RTO)和恢复点目标(RPO)。核心内容包括业务连续性方针、组织角色职责、风险评估、业务影响分析、业务连续性策略制定、业务连续性程序开发、资源保障、意识培训和演练、沟通机制、绩效评价及持续改进。该标准适用于所有类型和规模的组织,无论其面临的自然灾害、技术故障、网络攻击或供应链中断等风险,通过实施可显著提升组织的韧性,减少中断造成的财务和声誉损失,增强利益相关方信心。对关键业务恢复演练和跨部门协同也有直接促进作用。
ISO 22301:2019 业务连续性管理体系
ISO 22301:2019是业务连续性管理体系的国际标准,帮助组织建立应对中断事件的框架,确保关键业务活动在突发事件中持续运行或快速恢复。该标准基于业务影响分析(BIA)和风险评估,识别关键业务过程及其依赖关系,确定恢复时间目标(RTO)和恢复点目标(RPO)。
标准信息
国际标准
ISO 22301:2019
国家标准
GB/T 30146-2023
标准名称
Security and resilience — Business continuity management systems — Requirements
标准名称
业务连续性管理体系要求
发布机构
ISO 国际标准化组织
发布机构
相关国家/行业标准主管部门
发布日期
2019 年 10 月
发布日期
2023 年 3 月
标准简介
标准目的
- 保障业务连续识别并管控可能导致业务中断的各类风险(如自然灾害、疫情、设备故障、网络攻击),确保业务在突发事件后快速恢复
- 降低中断损失建立业务连续性计划与应急处置机制,减少业务中断造成的经济损失、品牌损失及客户流失
- 提升应急能力规范应急响应流程,开展应急演练,提升组织应对突发事件的应急处置能力与协同配合能力
- 满足利益相关方期望通过体系认证彰显组织业务连续性管理能力,满足客户、合作伙伴、监管机构对业务稳定性的期望
- 持续优化管理建立业务连续性绩效评价机制,持续改进业务连续性管理水平,提升组织抗风险能力
适用范围
- 行业覆盖适用于所有类型和规模的组织,涵盖金融、医疗、通信、能源、政府机构等对业务连续性有要求的全行业
- 规模覆盖适配小微企业、中小企业、大型集团、跨国企业等不同规模组织,可根据业务复杂度灵活调整计划与措施
- 场景覆盖涵盖业务运营、设备运维、数据备份、应急响应、灾后恢复、员工安置等全业务场景的连续性管控
- 管理覆盖覆盖业务连续性方针制定、风险评估、计划制定、应急演练、绩效监测、持续改进等全管理环节
- 认证覆盖支持单一站点、多站点、集团化等不同组织架构的认证模式,满足总部与分支机构业务连续性一体化管理需求
核心要素
管理控制
核心维度覆盖占比
人工智能(AI)定义
人工智能(AI)定义
人工智能的三大核心要素
三大要素能力图
信息安全核心:CIA 三要素
核心概念定义
IT服务管理三要素
IT服务管理过程
CS能力评估等级体系
服务类型细分
部署模式细分
全等级综合对比
能力维度雷达对比
ITSS咨询设计核心说明
标准内容
- 0 引言
- 1 范围
- 2 规范性引用文件
- 3 术语和定义
-
- 4.1 理解组织及其环境
- 4.2 理解相关方的需求和期望
- 4.3 确定业务连续性管理体系的范围
- 4.4 业务连续性管理体系
-
- 5.1 领导作用与承诺
- 5.2 方针
- 5.3 组织的岗位、职责和权限
-
- 6.1 应对风险和机遇的措施
- 6.2 业务连续性目标及其实现的策划
- 6.3 变更的策划
-
- 7.1 资源
- 7.2 能力
- 7.3 意识
- 7.4 沟通
- 7.5 形成文件的信息
-
- 8.1 运行的策划和控制
- 8.2 业务影响分析和风险评估
- 8.3 业务连续性策略和解决方案
- 8.4 业务连续性计划和程序
- 8.5 演练和测试
-
- 9.1 监视、测量、分析和评价
- 9.2 内部审核
- 9.3 管理评审
-
- 10.1 总则
- 10.2 不符合和纠正措施
- 10.3 持续改进
- 附录A (资料性)业务影响分析的关注点
- 附录B (资料性)响应时间框架示例
体系运行过程模型
| 阶段 | ISO22301中的定义 | 在标准中的核心映射 |
|---|---|---|
| P (策划) | 开展业务影响分析和风险评估,制定恢复目标与连续性策略。 | 第4章、5章、6章及业务连续性策划要求 |
| D (实施) | 实施连续性方案、应急响应机制及演练计划。 | 支持、运行与连续性方案实施要求 |
| C (检查) | 通过演练、测试、监测和评审验证连续性能力有效性。 | 绩效评价、测试演练、内审与管理评审 |
| A (处置) | 依据演练和事件复盘优化预案与恢复机制。 | 纠正措施与持续改进 |
ISO22301 标准解读
- 暂无对应标准解读,欢迎联系我们获取专项方案。
信息安全运行控制
云服务信息安全控制措施
核心维度覆盖占比
个人身份信息(PII)保护控制措施
核心维度覆盖占比
个人信息安全规范控制措施
核心维度覆盖占比
公有云隐私控制措施
核心维度数量占比
隐私概念
隐私控制者 vs 隐私处理者 核心区别
| 对比维度 | 隐私控制者 | 隐私处理者 |
|---|
隐私控制措施分类
隐私控制措施分类占比
七项质量管理基本原则
领域控制措施
核心维度覆盖占比
数据安全能力成熟度等级
数据安全过程
认证咨询流程
→→→→→→→→→
初次获证要求
- 合规性证明需持有法律地位证明文件(如营业执照)
- 资质许可特殊认证范围,需提供必要的行政许可、资质证书、强制性认证证书
- 成立周期公司成立超过3个月
- 运行周期体系运行超过3个月
- 体系要求依据ISO22301标准建立符合的业务连续性管理体系
- 运行要求有健全的业务连续性管理体系运行证据
- 内审管评必须有一次完整的内审和管理评审
- 现场审核通过一二阶段现场审核,并完成不符合整改
证书维护要求
- 证书有效期业务连续性管理体系证书是三年有效期
- 监督审核业务连续性管理体系证书需每年一次监督审核,与上次审核间隔不超过12个月
- 再认证审核业务连续性管理体系证书有效期3年,到期前需进行一次换证审核,审核通过后,换发新三年周期的有效证书
- 变更审核当组织的业务连续性管理体系发生变化,比如公司业务调整、办公地址变化、组织机构调整、人员变化等,可申请证书变更,可结合监督审核 / 换证审核一起进行变更,也可以单独申请变更
- 证书暂停当证书超出监督审核周期时,证书进行暂停状态,暂停期间不可以使用证书
- 证书撤销当证书超出三年有效期而没有进行换证审核,或者在暂停截至日期前没有进行有效的监督审核,或发生重大质量安全事故或有严重违法违规行为,或被列入质量信用严重失信企业名单,证书会进行撤销处理
实施 ISO22301 的价值
- 业务韧性关键业务中断后更快恢复运行。
- 损失控制降低停摆带来的财务与信誉损失。
- 风险预案建立分级响应和应急联动机制。
- 合规要求满足行业连续性与应急监管要求。
- 客户信任提升客户对稳定交付的预期。
- 持续演练通过演练和复盘持续强化能力。
与其他体系结合
标准名称
推荐率
常见问题及误区
Q1:只有大型企业才需要ISO22301认证,中小企业抗风险能力低,建立也没用?
A:不是,中小企业受突发事件的影响更大,更需要通过体系建立系统化的业务连续性机制,ISO22301可根据企业规模裁剪条款,适配中小企业的需求。
Q2:ISO22301就是制定一套应急预案,无需其他管理工作?
A:不是,应急预案只是体系的一部分,体系覆盖业务连续性全流程管理,包括风险评估、业务影响分析、预案制定、演练、资源保障、持续改进等。
Q3:建立ISO22301体系就是为了应对自然灾害,其他突发事件无需考虑?
A:不是,体系覆盖所有可能导致业务中断的突发事件,包括自然灾害、人为事故、系统故障、供应链中断、公共卫生事件等,并非单一类型。
Q4:企业现有应急制度完善,没必要再建立ISO22301体系?
A:不是,现有应急制度多为被动应对,体系强调主动预防和持续改进,以PDCA循环为框架,将业务连续性管理融入企业整体运营,提升抗风险能力。
Q5:通过ISO22301认证后,应急预案就一成不变了?
A:不是,体系要求组织定期开展预案演练,根据演练结果、企业业务变化、外部风险变化,及时更新和优化应急预案,确保预案的有效性。
认证及咨询费用
费用影响因素占比
组织地理位置(及多个办公场所)15%
一线城市或多办公场所会增加差旅与审核组织成本,偏远地区可能有额外服务费用。
组织人员数量20%
人员规模影响审核人日和咨询工作量,人数越多,评估与辅导投入越高。
组织业务范围10%
业务线越多、范围越广,体系边界与过程设计越复杂,实施成本会同步增加。
选择认证机构25%
不同认证机构的品牌影响力、审核规则与项目组织方式不同,费用差异较明显。
咨询质量要求25%
资深顾问、定制化交付与全流程辅导方案,通常较基础辅导投入更高。
认证周期要求10%
加急周期会带来额外资源协调成本,常规周期通常更具费用优势。
最终费用,请联系我们
