定量リスク層別化によるRTO設定：ISO 22301 BCM実務への示唆

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）以業務持續管理（BCM）顧問的視角，評析一篇2013年發表的肝臟介入醫學研究，從其「量化風險因子、設定臨界值、分層追蹤」的系統性方法論，提煉出對台灣企業建立ISO 22301業務持續計畫（BCP）、設定復原時間目標（RTO）與RPO目標的深層啟示：當企業面對中斷風險，能否以客觀量化指標辨識高風險族群，並據此分層配置復原資源，才是BCM機制成熟度的真正考驗。

關於作者與這項研究

本論文由A. Jogo、N. Nishida、A. Yamamoto三位研究者共同發表，刊登於Cardiovascular and Interventional Radiology期刊（2013年），至今已累計25次引用，其中2次為高影響力引用。主要通訊作者A. Jogo的h-index為3，累計引用次數達75次，在介入放射醫學領域建立了一定的學術積累。

這項研究回顧性分析了67名接受球囊阻塞逆行性靜脈栓塞術（B-RTO）治療胃靜脈瘤患者的臨床數據，聚焦於「哪些量化指標能預測術後1年內食道靜脈瘤惡化風險」，並從統計學角度確立臨界值，進而提出分層追蹤建議。雖然研究本身屬於臨床醫學範疇，但其方法論——量化識別風險因子、設定臨界值切點、依風險高低分層應對——與ISO 22301業務持續管理框架中的業務衝擊分析（BIA）及風險評估邏輯高度契合。

量化臨界值驅動的分層風險管理：從醫療研究看BCM的核心邏輯

這篇研究最值得BCM實務工作者關注的，不是醫療程序本身，而是其「以數據劃定風險邊界、以臨界值觸發應對行動」的思維框架——這正是許多台灣企業在建立BCP時最缺乏的一環。

核心發現一：量化指標優於主觀判斷，臨界值決定應對策略

研究透過多變量邏輯迴歸分析，從多項候選因子中篩選出兩項獨立顯著風險因子：總膽紅素（T-bil，臨界值1.6 mg/dL）與肝靜脈壓力梯度（HVPG，臨界值13 mmHg）。67名患者中，56.7%（38人）在術後1年內出現食道靜脈瘤惡化，5名靜脈瘤破裂患者全數屬於高風險組。這個發現的核心貢獻在於：它將「哪些患者需要密切追蹤」從經驗性判斷轉化為可重現、可量化的客觀標準。對照BCM實務，這正對應ISO 22301第8.2條款要求的業務衝擊分析（BIA）——企業必須以客觀數據（而非直覺）識別關鍵業務流程的中斷風險程度，並據此設定差異化的復原時間目標（RTO）。

核心發現二：分層應對使資源配置更具效率

研究進一步揭示，高風險組（T-bil ≥ 1.6 mg/dL 或 HVPG ≥ 13 mmHg）的中位惡化時間為5.1個月，而低風險組（兩項指標均低於臨界值）的中位惡化時間長達21個月。這21個月對5.1個月的差距，意味著若以統一標準追蹤所有患者，要麼對低風險者過度消耗醫療資源，要麼對高風險者追蹤頻率不足。分層管理才能讓有限資源發揮最大效益。台灣企業在建立BCP時同樣面對此挑戰：並非所有業務流程都需要相同的RTO/RPO目標，也並非所有中斷情境都需要同等級的應對資源。能否科學分層，決定了BCM投資報酬率的高低。

對台灣業務持續管理（BCM）實務的意義：數據驅動才能讓BCP不流於形式

台灣企業導入ISO 22301時，最常見的困境不是不知道要做BCP，而是不知道如何讓BCP中的RTO/RPO目標有根據。這篇醫學研究的方法論提供了一個清晰的類比框架。

根據東京證券交易所對公司治理的持續推動以及日本金融廳強化永續資訊揭露的趨勢，台灣企業（特別是具有跨國業務或上市櫃背景者）正面臨愈來愈高的BCM透明度要求。在這個背景下，「我們有BCP文件」已經不夠，「我們的RTO目標有業務衝擊分析數據支撐」才能真正滿足ISO 22301的精神與未來監管期待。

具體而言，本研究帶給台灣BCM實務三項啟示：

第一，BIA必須產出可量化的風險分層標準。如同研究中以T-bil與HVPG兩項指標劃定高低風險組，企業的BIA應能輸出「哪些流程屬於高中斷風險」「哪些系統一旦中斷損失最大」的量化排序，而非僅停留在文字描述。

第二，RTO/RPO目標必須反映風險分層結果。高風險業務流程的復原時間目標應設定更嚴格（如4小時內），低風險流程可設定寬鬆標準（如72小時），資源配置才能精準。ISO 22301第6.2條款明確要求目標必須可量測、有依據。

第三，追蹤機制應與風險等級連動。研究中高風險組需要更頻繁的內視鏡追蹤，對應BCM框架中高風險業務應進行更頻繁的桌上演練（Tabletop Exercise）與系統可用性監控，確保RTO目標在真實中斷事件中仍可達成。

積穗科研如何協助台灣企業建立數據驅動的BCM機制

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業依ISO 22301標準建立BCP業務持續計畫，設定RTO/RPO目標，執行業務衝擊分析（BIA）與危機管理演練。我們的輔導方法強調：每一個RTO目標都必須有BIA數據支撐，每一項風險應對策略都必須有演練記錄驗證。

1. 建立量化BIA流程：參照本研究「多變量分析篩選關鍵風險因子」的邏輯，設計台灣企業適用的業務衝擊評估矩陣，以財務損失、客戶影響、法規合規三維度量化各業務流程的中斷風險，輸出可供管理層決策的風險分層報告。
2. 差異化RTO/RPO設定與驗證：依BIA結果將業務流程分為三個風險等級，分別設定對應的RTO/RPO目標（如核心金融交易系統4小時RTO、一般行政流程72小時RTO），並透過桌上演練與全規模演習驗證目標可達性，確保BCP不只是文件，而是可執行的恢復指引。
3. 動態審查機制建立：參照研究中「高風險組需更頻繁追蹤」的結論，協助企業建立BCM年度審查與臨時觸發審查機制，當組織架構、IT系統或業務模式發生重大變動時，自動啟動BIA重新評估，確保復原時間目標始終反映最新的業務風險現實。

常見問題

如何用量化方式設定業務持續計畫（BCP）中的RTO目標，而不是靠經驗拍板？

設定有依據的RTO目標，關鍵在於先完成量化業務衝擊分析（BIA）。BIA必須評估每個業務流程在不同中斷時長下的財務損失、客戶流失及法規違規風險，輸出以金額或影響程度排序的優先級清單。參照本篇研究的邏輯：以多變量分析找出顯著影響結果的關鍵因子，並設定臨界值作為分層標準。台灣企業實務上常見的做法是以「最大可容忍中斷時間（MTPD）」作為RTO上限，再依業務重要性設定階梯式目標（如核心系統4小時、支援系統24小時、一般作業72小時）。ISO 22301第8.2條款明確要求RTO必須基於BIA結果，而非主觀設定。積穗科研提供標準化BIA工具，協助企業在90天內完成量化分析並產出可稽核的RTO設定文件。

台灣企業導入ISO 22301最常遇到的合規挑戰是什麼？

最常見的挑戰有三：第一，BIA流程流於形式，缺乏量化數據支撐，導致RTO/RPO目標無法向稽核單位舉證其依據（違反ISO 22301第8.2條款精神）；第二，BCM框架與IT災難復原計畫（DRP）未整合，造成業務面與技術面的RTO目標脫節；第三，演練記錄不完整，無法證明BCP在真實情境下的可執行性（ISO 22301第9.1條款要求監控與量測）。這三項挑戰都指向同一根本問題：BCM被視為一次性文件工程，而非持續性管理機制。建議企業在建立初期就導入「計畫-執行-查核-改善（PDCA）」循環，確保每次演練產出的缺口報告都能反饋至BCP修訂。

ISO 22301認證需要多長時間？台灣企業應如何規劃導入步驟？

有系統地導入ISO 22301，台灣中型企業通常需要7至12個月。建議分四階段進行：第一階段（1至2個月）進行現況診斷與缺口分析，確認現有BCM機制與ISO 22301要求的差距；第二階段（2至4個月）設計管理架構，包括政策制定、範圍界定、業務衝擊分析（BIA）與風險評估；第三階段（3至5個月）建立文件體系、執行桌上演練與全規模演習，收集可稽核的執行記錄；第四階段（1至2個月）進行內部稽核與管理審查，準備外部認證稽核。關鍵是第二階段的BIA必須輸出量化的RTO/RPO目標，這將決定後續所有BCP策略的方向。積穗科研提供全程輔導服務，協助企業在12個月內完成認證。

導入ISO 22301 BCM機制需要投入多少資源？預期效益如何評估？

導入成本因企業規模而異。台灣中小型企業（員工100至500人）通常需要投入6至12個月的顧問輔導費用、內部專責人員約0.5至1個全職當量（FTE）的時間，以及認證稽核費用。從效益角度，ISO 22301認證企業在保險費率談判、客戶盡職調查（特別是上下游供應鏈要求）及政府採購資格方面均有具體優勢。更重要的是，以本研究邏輯類比：有了量化BIA數據，企業可以集中資源保護真正高風險的關鍵業務，避免將有限IT與人力資源平均分散。根據業界統計，有完整BCM機制的企業在重大中斷事件後的復原時間平均比無BCM機制者縮短40%至60%，直接降低中斷損失。

為什麼找積穗科研協助業務持續管理（BCM）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）專注於台灣企業ISO 22301業務持續管理輔導，具備完整的本土實務經驗。我們的核心優勢在於：第一，採用量化BIA方法論，確保每一個RTO/RPO目標都有數據支撐，而非流於形式；第二，整合業務連續性與IT災難復原（DR）兩個面向，避免業務端與技術端目標脫節；第三，提供從診斷、設計、導入到認證稽核準備的全程陪跑服務，平均輔導時程7至12個月；第四，熟悉台灣產業特性（製造業、金融業、科技業），能快速識別各產業的關鍵業務中斷風險。我們提供免費BCM機制診斷，幫助企業在啟動正式輔導前先確認優先改善方向，降低導入風險。