如何做好一份业务影响分析(BIA)报告

业务影响分析(BIA)是对业务应用系统的重要性进行分析,从而评估出当业务应用系统不可用时可能对业务带来的影响。通过评估定义出关键业务应用系统的影响以及制定出应用系统恢复的优先级。

业务影响分析是制定业务连续性计划的第一步,它提供给管理层清晰的、足够的业务应用系统中断所带来的潜在的影响和成本分析方面的信息,为制定业务连续性计划提供依据。

业务影响分析(BIA)定义

业务影响分析(BIA)帮助确定在灾难情况下业务处理中断所造成的后果,分析中断可能造成的损失,确定至关重要的业务功能及相互依赖性,为设定业务恢复的优先级并选择适合的灾难恢复策略奠定了基础。

业务影响分析是为制定业务连续性计划的第一步。它为管理层提供了清晰的、充分的以及准确的信息,从而能够对企业的灾难恢复策略做出正确的决策。每个系统的业务影响分析(BIA)会得出两个比较关键的数据RTO和 RPO。
  • RTO―Recovery Time Objective恢复时间目标:最大的可接受的IT系统停机时间或灾难后IT系统恢复正常所需时间

  • RPO―Recovery Point Objective恢复点目标:最大可接受的数据丢失时间长度

▼▼RTO定义

RTO,Recovery Time Objective,是指灾难发生后,从信息系统宕机导致业务停顿之刻开始,到信息系统恢复至可以支持各部门运作,业务恢复运营之时,此两点之间的时间段称为RTO。

一般而言,RTO时间越短,即意味要求在更短的时间内恢复至可使用状态。虽然从管理的角度而言,RTO时间越短越好,但是,这同时也意味着更多成本的投入,即可能需要购买更快的存储设备或高可用性软件。

▼▼RPO定义

RPO,Recovery Point Objective,是指从系统和应用数据而言,要实现能够恢复至可以支持各部门业务运作,系统及生产数据应恢复到怎样的更新程度。这种更新程度可以是上一周的备份数据,也可以是上一次交易的实时数据。
与RTO目标不同,RPO目标的确定不是依赖于企业业务规模,而是决定于企业业务的性质和业务操作依赖于数据的程度。

业务影响分析(BIA)

▼▼业务影响分类

按照业务需求,业务影响分类如下:

▼▼业务影响分析

根据业务分类影响的定义,结合企业实际情况以及业务需求,关键业务/功能定义如下:

灾难恢复目标定义

本地应急恢复目标

业务连续性风险分析

▼▼业务连续性风险描述

影响到企业业务持续运作的信息安全风险主要包括固有风险和人为造成的风险两大类,其中固有风险主要包括自然灾害和设备固有风险两个方面。业务连续性所面临的风险描述如下表所示:

▼▼风险影响定义

▼▼风险可能性定义

▼▼业务连续性风险分析

业务连续性风险处理

▼▼风险处理方案

在进行业务连续性风险计算时,如风险值大于等于9,则需要进行处理,如果小于9可以接受其风险。具体业务连续性处理方案见下表:

▼▼灾难恢复应用系统

▼▼应急预案应用系统

扩展  ·  本文相关链接

· 系统运维中安全控制要求落地(下):门禁系统管理、第三方人员管理、互联网访问与终端安全

· 系统运维中安全控制要求落地(中):安全基线管理、补丁管理、防病毒、账号口令管理

· 系统运维中安全控制要求落地(上):系统备份、系统监控与变更管理

(0)

相关推荐