Das RPO (Recovery Point Objective) definiert den maximal tolerierbaren Datenverlust, gemessen in Zeit. Ein RPO von vier Stunden bedeutet: Daten, die in den letzten vier Stunden vor einem Ausfall erzeugt wurden, dürfen verloren gehen. Das RPO bestimmt direkt die Backup-Frequenz. Für kritische Systeme mit RPO nahe Null brauchst Du synchrone Replikation oder Continuous Data Protection. Im ISMS legst Du das RPO pro System in der Business Impact Analysis fest. Gemeinsam mit dem RTO bildet es die Grundlage für Deine Disaster-Recovery-Planung.