1． ISO22301是什么？

ISO22301是有关业务连续性管理的国际标准。最初源于容灾和恢复管理，1970年代在美国起步，随后业务连续性体系和方法论逐步完善，经过多年的不断发展，在2012年国际标准化组织（ISO）制定了正式的业务连续性国际标准ISO22301，并于2012年5月份正式发布，目前最新版本是2019年10月发布的ISO22301-2019。该标准可用于企业的业务连续性管理体系的建立和实施，保障企业核心业务的连续性以满足客户、法规和自身需求。该标准采用PDCA过程方法，基于流程理念，全面系统地持续改进组织的业务连续性管理。

2． ISO22301认证是怎么回事？

国际标准化组织（ISO）发布ISO22301标准后，世界各国即开展了对该标准的认证工作。中国国家质量监督检验总局把ISO22301-2012标准转化为国标GB/T 30146-2013，并于2013年12月正式发布。2019年ISO22301标准改版后，中国等同采用，在推出国标版之前认证机构可以按照ISO22301-2019版标准审核。在中国开展认证工作的第三方认证机构均需在中国国家认证认可监督管理委员会备案，第三方认证机构名单可以在中国国家认证认可监督管理委员会官方网站查询。目前获得权威认可的ISO22301认证证书有三类，分别为：中国合格评定国家认可委员会CNAS认可标志、美国认证机构国家认可委员会ANAB认可标志、英国认证机构国家认可委员会UKAS认可标志。取得相应认证的企业将由第三方认证机构颁发带有以上相应标志的证书。没有获得任何认可机构认可的认证机构颁发的证书不得带有认可标志，因此证书的公信力将降低。ISO22301证书有效期3年，3年后需要重新审核进行换证。3年内每年都需要第三方认证机构监督审核，否则证书将被暂停使用。

3． 为什么要实施ISO22301？

企业实施ISO22301主要有三方面的原因：

1） 加强企业业务连续性管理水平：近几年各种灾难不断发生，各企事业单位越来越依赖各种信息系统，对业务连续性的要求越来越高，因此很多企业迫切需要加强业务连续性管理能力、建立以流程为核心的业务连续性管理体系以保证核心业务的连续性。ISO22301标准是世界公认的业务连续性管理方面的最佳实践总结，而且ISO22301提供了一套业务连续性管理体系持续改进的框架，因此对于追求提高业务连续性管理能力的企业ISO22301标准无疑是最佳选择。

2） 市场方面：企业为了获得订单、获得客户的信任，满足政府监管要求，需要向客户及政府监管机构证明其业务连续性管理水平和能力，而ISO22301标准是目前业界普遍认可的业务连续性管理标准，获得ISO22301认证是赢得客户、市场信任的有效途径。

3） 政策和法规方面：现在越来越多的企业、事业、政府等单位的项目招标都要求供应商取得ISO22301认证，ISO22301证书作为评标中一项重要指标，有的甚至作为参与投标企业的必备条件。因此没有获得ISO22301证书的企业在将来的竞争中将处于非常被动的地位。

4． 什么类型的企业适合实施ISO22301？

ISO22301适合于任何类型的企业或对内提供业务连续性保障的企业的IT部门。目前业界实施ISO22301的企业主要集中在软件开发企业、系统集成及运维企业、银行、证券、金融、电信、地产、电力等对信息系统可靠性和可用性依赖比较高的企事业单位。

5． 小企业适合实施ISO22301吗？

ISO22301作为一个业务连续性管理标准适用于所有规模的企业。大到上千人的企业，小到几个人的企业都可以实施ISO22301。在中国大部分企业都是中小企业，很多企业的业务连续性管理水平低下，业务连续性管理相关的流程制度不健全，一旦发生灾难事件企业很难在短时间内恢复业务，会给企业造成严重损失，甚至破产倒闭。因此中小企业也急迫需要引入业界最佳实践来规范企业的业务连续性管理。

6． 如何实施ISO22301？

ISO22301标准是一套非常严谨而全面的流程体系，主要内容如下图所示：

企业实施ISO22301也是一项系统工程，从管理层到一线员工都需要积极参与。因此企业自己实施ISO22301的难度非常大，一般都会选择专业的咨询公司进行培训和辅导。

目前实施ISO22301的咨询公司都是在PDCA模型的基础上进行适当优化和补充来为企业实施ISO22301。实际中企业实施ISO22301主要包括如下几个典型阶段：