文章总结： 本文详细解析ISO22301业务连续性管理体系中业务影响分析(BIA)和风险评估(RA)的实施要点，强调其与ISO/IEC27001风险评估的本质区别：前者关注业务活动中断风险，后者关注信息资产安全风险。通过具体案例表格展示如何识别优先活动及其依赖资源的中断风险，并说明BIA需确定最长可容忍中断时间(MTPD)和恢复时间目标(RTO)等关键参数。 综合评分： 87 文章分类： 安全建设,技术标准,解决方案,政策法规

【福利赠送】ISO 22301业务连续性管理体系导入实施案例（13）业务影响分析和风险评估的实施

原创

27001.CN 27001.CN

Sky的安全观

2026年4月11日 23:40 广东

在小说阅读器读本章

去阅读

点击上方蓝色字“Sky的安全观”关注我们

资料交流，请私“加群”

>>ISO系列标准解读合集<<

ISO/IEC 27001: 2022 标准详解与实施合集（共42篇）

ISO/IEC 27001: 2013 标准详解与实施合集（共47篇）

ISO/IEC 20000-1: 2018 标准详解与实施合集（共48篇）

ISO 22301: 2019 标准详解与实施合集（共38篇）

ISO 9001: 2015 标准详解与实施合集（共45篇）new!

ISO 14001: 2015 标准详解与实施合集（共26篇）new!

ISO 45001: 2018 标准详解与实施合集（共30篇）new!

>>更多精彩合集，敬请期待<<

ISO/IEC 27001: 2022 换版不求人

ISO/IEC 27001: 2022 咨询辅导服务内容

华为供应链信息安全审核应对方案

华为供应链网络安全审核应对方案

独家：ISO/IEC 27001: 2022全新文件提供和指导

【直播预告】企业信息安全负责人必修系列课程（第一季）

业务影响分析和风险评估，这两部分内容其实是单独的，组织可以自行决定是要先进行业务影响分析，还是要先进行风险评估，当然也可以把业务影响分析和风险评估结合在一起同时进行实施。

在前面章节提到的执行层面的风险管理，就是指的这里的风险评估。在这里，很多人（包括很多甲方企业，很多咨询顾问，还有很多认证审核老师）都犯了一个很严重的错误，就是都把这里ISO 22301提到的风险评估当成了ISO/IEC 27001中的风险评估了。

ISO 22301和ISO/IEC 27001这两者在执行层面的风险管理是有本质区别的，并不是一样的，把这两者的风险评估拿来共用，更是荒谬至极。ISO/IEC 27001是关注重要信息资产的安全属性被破坏的风险，而ISO 22301是关注优先活动（或关键活动，或重要活动）和其所依赖的资源（或活动）的中断风险。

ISO管理体系标准的各个条款也不是孤立的，他们是由相互联系的。ISO/IEC 27001所要求的信息安全风险评估（ISO/IEC 27001: 2022，8.2），是为了后面输出信息安全风险处置计划（ISO/IEC 27001: 2022，8.3）而做的准备，而ISO 22301所要求的风险评估（ISO 22301: 2019，8.2.3），是为了后面输出连续性策略和解决方案（ISO 22301: 2019，8.3）而做的准备。因此，如果ISO 22301在执行层面的风险评估按照ISO/IEC 27001那样去做的话，那么后面的业务连续性策略和解决方案根本就无法做出来。

在上面已经介绍了ISO 22301中的风险评估，是要关注优先活动（或关键活动，或重要活动）和其所依赖的资源（或活动）的中断风险（如表十）。

| | | | | | — | — | — | — | | 优先活动 | 所依赖资源或活动 | 风险 | 风险原因 | | 生产活动 | 人力资源 | 人员短缺 | 人员大量离职或订单量突然巨增 | | 生产场地 | 场地无法使用 | 自然灾害如洪水、地震等 | | 生产设备 | 设备老化故障 | 没有定期维护保养 | | 生产供电 | 停电 | 市政工程线路被挖断 | | 生产网络 | 中断 | 网络管理人员操作失误 | | 原物料供应活动 | 原物料短缺 | 供应商违约延迟交货，或毁约拒绝继续合作 | | 生产系统（MES） | 无法使用 | 核心数据遭受勒索病毒攻击 |

表十 优先活动和其所依赖资源或活动的风险识别 示例

表十所示的风险识别仅仅是一个示例，目的是要帮助大家可以更加直观地理解ISO 22301中的执行层面的风险评估。因此，组织实际实施风险评估输出的资料，是要比示例展示的信息细致很多的，并且需要对风险的大小进行评价，以及需要对风险进行处置。

业务影响分析是要分析某个业务活动的中断随着事件的推移（例如“1小时、3小时、6小时、1天、3天”），对财务、声誉、经营、法规、合同以及业务目标产生的影响，最后综合评价影响结果，确定该业务活动的优先级（例如“高、中、低”或“1、2、3”）。

在实施业务影响分析的时候，还需要确定每项业务活动的最长可容忍中断时间(MTPD)和中断恢复时间目标(RTO)，RTO通常需要小于或等于MTPD。业务影响分析实施的示例如表十一所示。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Sky的安全观 27001.CN 27001.CN《【福利赠送】ISO 22301业务连续性管理体系导入实施案例（13）业务影响分析和风险评估的实施》