没有恢复时间目标，ISO22301还能过吗？

很多企业在准备ISO22301业务连续性管理体系认证时，都会遇到一个关键问题：如果还没确定“恢复时间目标”（RTO），能不能通过审核？ 答案很直接——很难。

别急着反驳，先搞清楚RTO到底是什么。简单说，它就是你承诺在突发事件后，多长时间内把关键业务功能恢复到可接受水平。比如，系统宕机后，订单处理要在4小时内恢复，这就是你的RTO。

RTO是ISO22301的“地基”，不是“装饰”

ISO22301不是走个流程、交套文件就能过的。它看重的是你有没有真正识别出哪些业务最关键，以及有没有能力在危机中快速响应。而RTO，正是连接“风险评估”和“应急响应计划”的核心桥梁。

如果你连RTO都没定，审核员会怎么看？
他们会认为：你根本没搞清楚自己最怕什么，也不知道该优先保什么。这种情况下，应急预案再漂亮，也是空中楼阁。

我们服务过不少企业，有的前期跳过RTO，想着先拿证再说。结果呢？现场审核直接被卡住，补材料、改方案，反而拖慢了进度。与其事后补救，不如一开始就做扎实。

如何科学制定RTO？两个实用技巧

1. 从业务影响分析（BIA）入手

别闭门造车！找业务部门坐下来聊：如果某个系统停了1小时、4小时、24小时，会损失多少钱？客户满意度掉多少？法律风险会不会上升？把这些数据量化出来，RTO自然就有了依据。

2. 分层分级，别一刀切

不是所有系统都要“立刻恢复”。你可以把业务分成三级：

• 关键核心（RTO≤4小时）
• 重要支撑（RTO≤24小时）
• 普通辅助（RTO≤72小时）

这样既现实，也更容易落地执行。

在九蚂蚁，我们帮上百家企业梳理过BIA和RTO设定，发现一个规律：越早重视RTO的企业，审核通过率越高，内部协同也越顺畅。 认证不是终点，而是提升韧性的起点。

所以，别想着绕开RTO去拿证。真正有价值的认证，一定是建立在真实、可行的恢复目标之上的。