Question 1

ISO 22301是什么，其范围是什么？

Accepted Answer

ISO 22301是业务连续性管理体系的国际标准。它建立了规划、实施和维护组织在破坏性事件期间持续运营能力的要求。

Question 2

哪些类型的组织需要ISO 22301？

Accepted Answer

运营中断会产生重大影响的组织：金融机构、基本服务提供者、全球供应链、数据中心和关键基础设施运营商。

Question 3

ISO 22301初步评估需要多长时间？

Accepted Answer

根据关键流程数量和各部门间相互依赖关系的复杂程度，需要5到15个工作日。多场所组织需要扩大评估范围。

Question 4

ISO 22301的评估方法是什么？

Accepted Answer

评估业务影响分析(BIA)、连续性风险评估、文档化的连续性计划以及演练和测试结果。所有评估均符合ISO 19011审计框架。

Question 5

客户在ISO 22301评估中会收到哪些交付成果？

Accepted Answer

连续性体系差距报告、BIA成熟度评估、恢复时间目标(RTO/RPO)审查以及演练计划建议。

Question 6

ISO 22301与其他标准有什么关系？

Accepted Answer

ISO 22301在可用性和弹性方面补充了ISO 27001。它与ISO 31000的风险管理和ISO 27031的ICT服务恢复相互衔接。

Question 7

业务连续性中最常见的发现是什么？

Accepted Answer

常见发现包括过时的BIA、过去12个月未测试的连续性计划、关键流程缺乏定义的RTO/RPO以及缺少文档化的危机沟通。

Question 8

在ISO 22301评估之前建议做哪些准备？

Accepted Answer

进行更新的BIA，识别关键流程及其依赖关系，按服务记录RTO和RPO，并在评估前至少执行一次桌面演练。

常见问题：ISO 22301审计 — 业务连续性管理体系

ISO 22301是什么，其范围是什么？