ISO 22301（业务连续性管理体系 BCMS）认证，核心是按标准建体系、运行满 3 个月、通过两阶段审核，周期约 6–9 个月，费用约 2–8 万 +，核心门槛是法人资质、文件化体系、3 个月运行 + 内审管评。下面是全流程、条件、费用与材料的完整攻略。

一、认证核心条件（必须全部满足）

主体合规

独立法人，营业执照齐全，成立≥3 个月。

近 1 年无重大安全 / 质量 / 环境事故、无严重违法记录；近 3 年无认证撤销记录。

涉及特殊行业需具备对应行政许可（如金融、医疗、电信）。

体系与运行

按 ISO 22301:2019/GB/T 30146-2023 建立完整文件化体系：手册、程序文件、作业指导书、记录表单。

体系正式运行≥3 个月，覆盖认证范围。

完成1 次完整内部审核+最高管理者主持的管理评审，问题闭环整改。

核心证据必备

业务影响分析（BIA）报告：识别核心业务、RTO/RPO、中断影响。

风险评估报告：覆盖自然灾害、网络攻击、供应链、疫情等威胁。

业务连续性计划（BCP）、应急预案、演练记录与复盘报告。

培训记录、应急资源清单、第三方供应商 BCM 要求。

二、办理全流程（6–9 个月）

1. 前期准备（1–3 个月）

组建项目组，明确负责人与职责。

标准培训：全员 / 骨干掌握 ISO 22301 要求。

现状诊断：识别差距、确定认证范围。

编写体系文件：手册、程序、表单、预案，发布并宣贯。

体系试运行：按文件执行，积累 3 个月运行记录。

2. 内审与管理评审（1 个月）

实施内部审核，开具不符合项并整改验证。

最高管理者主持管理评审，输出评审报告，确保体系持续有效。

3. 选择认证机构与申请（0.5 个月）

选CNAS 认可的正规机构（如 SGS、方圆、CQC 等）。

提交申请材料：申请表、营业执照、体系文件、内审 / 管评报告、BIA / 风险评估 / BCP 等。

机构评审材料，确定审核方案、天数、费用，签订合同。

4. 一阶段审核（文件审核 + 现场初访，1–2 天）

审核体系文件完整性、符合性，确认二阶段审核条件。

现场初访：核实组织架构、资源、运行基础，开具问题清单。

整改并提交验证报告，通过后方可进入二阶段。

5. 二阶段审核（现场全面审核，2–5 天，视规模）

现场验证体系运行有效性、BIA / 风险 / BCP 落地、演练执行、应急能力。

开具不符合项：一般项 15 天内整改，严重项 30 天内整改并验证。

6. 发证与维护

审核通过、整改闭环，机构颁发ISO 22301 认证证书，有效期 3 年。

每年 1 次监督审核，确保持续符合。

证书到期前 3 个月申请再认证，通过后换发新证。

三、费用构成（2026 年参考，无固定价）

1. 直接认证费用（机构收取）

基础审核费：按企业人数 / 规模 / 范围定，小型企业（50 人内）约 2–4 万，中型（50–200 人）4–7 万，大型（200 人 +）7–12 万 +。

一阶段 + 二阶段审核费、证书费、年金、监督审核费（约为初次的 1/3）、再认证费（约为初次的 2/3）。

2. 间接成本（企业自行承担）

咨询费：请咨询公司辅导，约1–5 万（视复杂度）。

培训、演练、应急资源投入（备用电源、灾备、工具等）。

人员时间成本、整改投入。

3. 影响费用的关键因素

企业规模、员工数量、业务复杂度、认证范围大小。

行业特性（金融 / 医疗 / IT 要求更高，费用上浮）。

认证机构品牌、认可资质（国际认可如 UKAS 略高）。

是否多体系整合审核（如 ISO 9001+22301，可节省）。

四、申请材料清单

基础资质：营业执照、法人身份证、组织架构图、行业许可（如适用）。

体系文件：BCMS 手册、程序文件、作业指导书、记录表单模板。

核心报告：BIA 报告、风险评估报告、BCP 与应急预案、演练计划 / 记录 / 复盘。

运行证据：3 个月运行记录、培训记录、内审报告 + 不符合整改、管理评审报告。

其他：适用法律法规清单、应急资源清单、第三方供应商 BCM 协议 / 评估记录。

五、常见误区与避坑

只做文件不落地：审核重点看实际运行、演练效果、应急响应能力，纸面合规无效。

运行时间不足：必须满3 个月且完成内审管评，否则一阶段不通过。

忽视监管要求：金融、医疗等需同步满足国内监管（如银保监会 BCM 指引）。

不做年度监督：证书 3 年有效，每年监督，缺审会被暂停 / 撤销。

六、认证价值

提升业务韧性，降低中断损失，保护品牌与客户信任。

满足招投标、客户要求、监管合规，增强市场竞争力。

建立系统化风险与应急管理，提升全员危机意识与响应能力。