[研究]ISO 27001 系列 有提到 RPO, RTO, MTPD 嗎 ?

[研究]ISO 27001 系列 有提到 RPO, RTO, MTPD 嗎 ?

2025-10-13

聊聊

• RPO（Recovery Point Objective，復原點目標）
• RTO（Recovery Time Objective，復原時間目標）
• MTPD（Maximum Tolerable Period of Disruption，可容忍中斷最長時間）

續

[研究]【資安法】的「資通安全責任等級分級辦法」有提到 RPO, RTO, MTPD 嗎？
https://shaurong.blogspot.com/2025/10/rpo-rto-mtpd.html

ISO 文件是要賣錢的，沒有公開免費下載，ChatGPT 的回答僅供參考，敝人沒去驗證。

********************************************************************************

ISO 27001 系列 有提到 RPO, RTO, MTPD 嗎 ? 資料來源網址 ?

ChatGPT

短答案是：在 ISO 27001 / 27002 正式條文內，並沒有以正式名詞方式（即 “RPO”、“MTPD”）出現；但在其控制建議 / 指導 /輔助文件中，「RTO」與「RPO」有被提及，尤其在 Annex A 的 ICT 持續性控制（A.5.30）中。下面是我找到的證據與說明：

🔍 證據與說明

✅ 提到 RTO / RPO 的例子

• 在 ISO/IEC 27001:2022 Annex A, 控制 5.30 “ICT Readiness for Business Continuity” 的解釋 / 實作輔導中，有說明應為每個 ICT 服務定義一個 RTO。 https://www.isms.online/iso-27001/annex-a-2022/5-30-readiness-for-business-continuity-2022/
• 同樣地，那些解釋資料也指出對於每個 ICT 資源（resource），應定義 Recovery Point Objective (RPO)，並建立程序以確保資訊能被還原。 
• 如 ISMS.online 在其“Control 5.30 – ICT Readiness for Business Continuity”一文中，就是以“Recovery Time Objectives (RTO)”這個名詞來描述控制目標。 

❌ 沒有看到 MTPD

• 在我查到的 ISO 27001 / ISO 27002 控制與輔導資料中，沒有可靠資料明示其控制中包含 MTPD（Maximum Tolerable Period of Disruption） 這個專用名詞。
• 控制 5.30 的輔導資料多半聚焦於 RTO / RPO / BIA / ICT 備援策略，而不是談及中斷容忍時間極限（MTPD）這樣的 BCM 概念。 

********************************************************************************

ISO 那一份文件專門定義名詞 ?

ChatGPT 

📘 ISO/IEC 27000:2024 — Information security, cybersecurity and privacy protection — Vocabulary

（先前版本為 ISO/IEC 27000:2018）提供了所有標準中一致使用的術語與定義，適用於：

• ISO/IEC 27001（ISMS 要求）
• ISO/IEC 27002（控制措施）
• 以及延伸標準，如 ISO/IEC 27005（風險管理）、27017、27701 等。

📗 文件中內容重點

ISO/IEC 27000 定義了：

• ISMS（Information Security Management System）
• Asset, Risk, Control, Event, Incident
• Confidentiality / Integrity / Availability
• Threat / Vulnerability / Impact
• 但並未定義 RTO、RPO、MTPD 等術語。

因為這些屬於 業務連續性管理（BCM） 領域的術語，主要來自：

📘 ISO 22301:2019 — Security and resilience — Business continuity management systems — Requirements

📘 ISO 22313:2020 — Security and resilience — Business continuity management systems — Guidance

📚 對照關係：

概念	所屬標準	是否定義
RTO (Recovery Time Objective)	ISO 22301 §3.28	✅ 有定義
RPO (Recovery Point Objective)	ISO 22301 §3.27	✅ 有定義
MTPD (Maximum Tolerable Period of Disruption)	ISO 22301 §3.11	✅ 有定義
ISMS / Risk / Control 等資訊安全名詞	ISO/IEC 27000	✅ 有定義

📎 官方資訊來源：

ISO 官方頁面（最新版本）

🔗 https://www.iso.org/standard/88530.html

 — ISO/IEC 27000:2024 Vocabulary

🔗 https://www.iso.org/standard/75106.html

 — ISO 22301:2019 Business continuity management systems

********************************************************************************

📘 ISO/IEC 27001:2022 與 ISO 22301:2019 🔍 RTO、RPO、MTPD 條文與定義對照表

概念	標準	條文／章節	中文說明
RTO(Recovery Time Objective)	ISO 22301:2019 §3.28	“Recovery time objective (RTO)” — Period of time following an incident within which a product or service must be resumed, or resources must be recovered.	發生事故後，業務或服務必須恢復的最長可容許時間（可接受的停擺時間）。
	ISO/IEC 27001:2022 (Annex A 5.30)	無正式定義，但在指導文件（ISO/IEC 27002:2022 A.5.30）中提及：“The BIA should specify an agreed RTO for those resources.”	雖未在條文中定義，但要求組織針對資訊資源進行 BIA，並設定 RTO。
RPO(Recovery Point Objective)	ISO 22301:2019 §3.27	“Recovery point objective (RPO)” — Point to which information used by an activity must be restored to enable the activity to operate on resumption.	在恢復時，資料可接受的最新可回復點（資料遺失容忍量）。
	ISO/IEC 27001:2022 (Annex A 5.30 note / guidance)	非正式用語，但在 ISO/IEC 27002 A.5.30 的範例說明中出現：“For each ICT resource, a recovery point objective (RPO) is defined.”	未於正式條文，但在實務上被建議列入 ICT 持續性規劃的一部分。
MTPD(Maximum Tolerable Period of Disruption)	ISO 22301:2019 §3.11	“Maximum tolerable period of disruption (MTPD)” — Time it would take for adverse impacts, which might arise as a result of not providing a product/service, to become unacceptable.	企業無法運作時，造成不可接受影響的最長時間。若超過此時間，組織可能無法生存。
	ISO/IEC 27001:2022	❌ 未出現	ISO 27001 未直接使用 MTPD 概念；若需評估，應參考 ISO 22301。

********************************************************************************

RTO、RPO、MTPD 差異與關聯圖表 （依據 ISO 22301:2019 與 ISO/IEC 27001:2022 A.5.30 實務對照）

名稱	全名	所屬標準	定義重點	衡量對象	常見單位	決定方式	實務意義
RTO	Recovery Time Objective	ISO 22301 §3.28 / ISO 27002 A.5.30	發生中斷後，業務或系統必須在多少時間內恢復運作	系統服務／流程	時間（小時／天）	由 BIA 分析與管理層決定	指導備援與恢復時程規劃
RPO	Recovery Point Objective	ISO 22301 §3.27 / ISO 27002 A.5.30	在恢復後，資料可接受回復到的時間點（可容忍的資料遺失量）	資料／交易	時間（分／小時）	依業務資料重要性決定	指導備份頻率與資料同步策略
MTPD	Maximum Tolerable Period of Disruption	ISO 22301 §3.11	業務無法持續提供至造成不可接受損害的最長時間	組織／流程	時間（小時／天）	由風險與影響評估決定	超過此時間＝企業存續受威脅

二、三者時間軸關係圖

災難發生點 ───────────────────────────────────────────────► 時間

       ▼            ▼                     ▼

      RPO          RTO                  MTPD

  (可容忍資料損失點)   (必須恢復時間點)      (無法承受中斷極限)

   ←── 資料可回復區 ──→

   ←───────── 可容忍停擺區間 ─────────→

說明：

• RPO 決定「你可以損失多少資料」
• RTO 決定「你可以停擺多久」
• MTPD 是「超過這時間公司會嚴重受損或倒閉」

三者關係通常是：RPO < RTO < MTPD

********************************************************************************

********************************************************************************

(完)

相關

法規名稱：資通安全責任等級分級辦法
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

附表一 資通安全責任等級A級之公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298107&lan=C

附表二 資通安全責任等級A級之特定非公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298108&lan=C

附表三 資通安全責任等級B級之公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298109&lan=C

附表四 資通安全責任等級B級之特定非公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298110&lan=C

附表五 資通安全責任等級C級之公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298111&lan=C

附表六 資通安全責任等級C級之特定非公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298112&lan=C

附表七 資通安全責任等級D級之各機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298113&lan=C

附表八 資通安全責任等級E級之各機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298114&lan=C

附表九 資通系統防護需求分級原則.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000254363&lan=C

附表十 資通系統防護基準.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298115&lan=C

法規名稱：資通安全事件通報及應變辦法
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030305

資安演練與稽核
https://moda.gov.tw/ACS/operations/drill-and-audit/652