百家 | 业务连续性建设之业务影响分析浅谈

作者介绍

许琛超

    (ISC)²上海分会会员，拥有CISSP，PMP、国家高级信息安全师，信息系统项目管理师（高级职称），信息安全工程师、网络工程师（国家职称）等证书，诸子云网络安全专家联盟特聘专家，计算机科学与技术及汽车工程双学士学位，现就职于中国电信天翼电子商务有限公司（翼支付），专注于企业信息安全体系建设及管理，在ISO27001信息安全体系建设、数据安全、安全应急响应、合规审计、漏洞管理、密钥管理等方面具有丰富经验。

业务连续性是指一个企业为了维持其生存，一旦发生突发事件或灾难后，在其所规定的时间内必须恢复关键业务功能的强制性要求。企业随着自身的发展，对数据和业务安全性的要求会逐步的提高。为了在发生故障时，企业能够用最快的速度恢复业务运行，很多企业都已经把BCP(业务连续性计划)的策划当成了自己的一项必须履行的义务。

作为企业风险管理的一个日益重要的组成部分，业务连续性管理也已经形成了完整的管理和实践体系。业务影响分析(Business Impact Analysis)，也称作业务影响评估(Business Impact Assessment)，作为业务连续性体系建设中不可缺少的一部分，分析了干扰性风险对组织运营的影响方式，同时识别并量化了必要的风险管理能力。那么，我们来看看业务影响分析的标准定义。

1、ISO 22301中的定义：

组织应建立、实施、保持一个正式的、形成文件的确定连续性和恢复优先级、目标和指标的评价过程。这个过程应包括对支持该组织的产品和服务活动中断所造成的影响的评估。

2、DRII中的定义：

识别事件对组织或其流程可能产生的潜在影响，以及用来定量和定性评估这些影响的标准。必须定义并认可用来度量和评估财务、运营、客户、法规及名誉等影响的标准，从而在整个组织统一地定义组织每一流程的恢复时间目标（RTO）和恢复点目标（RPO）。利用这一分析的结果来确认时间敏感流程以及在组织可接受的时间段内恢复这些流程的要求。

那么，企业为什么要进行业务影响分析呢？

业务影响分析的目的是帮助组织了解其关键产品和服务以及相关的业务活动；评估活动中断后随时间推移的影响，其中包括定性与定量的；为恢复活动确定优先级；以多快的速度恢复业务活动至最低可接受水平；识别恢复所需的关键资源、重要记录；识别相互依赖关系（包括内部和外部）；确定恢复目标（RTO/RPO），最后获得必要信息，作为BCP的输入。

业务影响分析是业务连续性管理成功的基础，从业务的角度出发，获得业务恢复的需求。为满足监管机构的合规性要求，是制定业务发展策略的信息来源，是制定业务连续性管理策略的依据，是制定灾备建设策略和技术方案的依据，也是业务连续性计划的设计依据。

开展业务影响分析，可以根据以下13个步骤来。

1、

确定业务影响分析的范围。

A、 业务产品或服务；

B、 对应的业务活动；

C、 相应的业务部门；

D、 公共职能部门或支持部门。

2、

建立业务影响分析的标准和方法。

A、 和业务部门、IT部门确认，获得统一的业务产品或服务的名称；

B、 识别出具有时间敏感性的相关业务活动，以及谁能够提供哪一类的数据；

C、 根据组织的行业特点和业务特点设计业务影响分析模型；

D、 为了评估业务中断的损失，需要定义每个业务活动在中断发生后合适的推移时间取样值。

3、

定义影响的类别。

（如：客户影响、财务影响、法律法规影响、运营影响和人员影响）业务影响分析评估维度主要可以包括以下方面：

A、 公司声誉；

B、 不能满足行业监管部门要求，违反法律法规要求；

C、 影响客户满意度，造成客户流失；

D、 财务方面的损失。

4、

定义等级、评分标准。

A、 确定影响造成的损失的评判类型；

B、 定义定量或定性的等级标准及相应的评分；

C、 定义每项要素的评分标准和等级；

D、 确定业务活动恢复优先级的组成要素。

在确定等级和评分标准时，以下为可参考的的一套示范标准：

a) 评估业务活动的重要等级

（1）与外部用户有关的业务的分值为2分，与内部用户有关的业务的分值为1分，无关的为0分；

（2）是否有监管机构的法规要求（如果该业务有相关法规上的监管要求，评估分值为1分，如果该业务没有相关的法规监管上的要求，评估分值为0分）；

（3）最大可接受的中断时间（MTPD小于等于2小时评估分值为5分，MTPD大于2小时且小于等于4小时评估分值为4分，大于4小时且小于等于8小时评估分值为3分，MTPD大于8小时且小于等于24小时评估分值为2分，MTPD大于24小时评估分值为1分）；

（4）MTPD设立人员：业务部门负责人、高层领导。

（5）MTPD设立方法：根据损失影响分析我们可以得出各个时间区间业务中断给公司业务带来的不同程度的影响，由此高层领导根据中断事件过后随着时间推移给业务造成的影响程度，可以决策出一个最大可接受中断的时间；

（6）是否有替代方式（如果业务有手工或其他代替方式评估分值为-1分，否则评估分值为0分）。

按照总得分将业务活动重要程度分成A、B、C类

A类（3分）：总得分≥22

B类（2分）：16≤总得分＜22

C类（1分）：总得分＜16

b) 评估业务中断后随着时间推移所造成的损失影响

（1）损失影响分析是评估在不同的业务中断时间（如30分钟、1小时、2小时、4小时、8小时）时，给公司业务带来的不同方面的影响。选取的业务中断时间应当根据MTPD的时间值以及业务活动的特点，选取合适的业务中断时间及间隔，每个业务活动选取的业务中断时间可以不同。

（2）每种业务中断的损失影响等级定义如下：

损失影响等级定义

（3）损失影响的评估，需要综合考虑以下因素：

该业务活动的替代手段

该业务活动的对外影响范围和程度

该业务活动的关键时间点

该业务活动使用IT系统的频率

（4）损失影响的4个方面的权重，由被调研人设定，各权重值总和应为100%；

（5）各业务活动的损失影响等级值*权重后累计相加得出总分；

（6）将总分按区间设定最终的损失严重程度得分：

3分：总分＞15

2分：15≥总分＞8

1分：总分≤8

c) 评估业务活动恢复时间目标RTO

（1）业务活动RTO评估需要综合考虑以下因素：

该业务活动的替代手段

该业务活动的关键时间点

该业务活动使用IT系统的频率

该业务活动可支配的人力资源

（2）RTO设立人员：业务部门负责人、高层领导；

（3）RTO设立方法：根据损失影响分析我们可以得出中断事件过后随着时间推移给公司业务带来的不同程度的影响，由此高层领导根据现有的灾备资源建设情况以及RTO评估需要考虑的因素，可以决策出一个具体的业务恢复时间目标（如在中断发生2小时后，业务影响范围已经很大，可能造成较大的负面社会影响。领导可以将业务恢复的时间目标设定为两小时）；

（4）各部门填写的RTO要求将作为业务恢复优先级评估的一个重要因素，按照行业经验，我们将RTO分布在5个区间，以这5个区间作为各业务活动RTO目标的赋值依据，具体分值评定标准如下：

RTO评分标准

分值说明：

（1）5分反映出该业务活动实时性要求很高，不能忍受过长的中断时间，甚至对系统中断几乎不可接受；

（2) 4分反映出该业务活动实时性要求比较高，不能忍受过长的中断时间；

（3）3分反映出该业务活动实时性要求中等，对中断时间要求较高；

（4）2分表示该类业务忍受中断时间不能超过8小时，对中断时间要求一般；

（5）1分则表示该类业务使用频率不高或不是非常紧迫，可以容忍8小时以上甚至更长的中断时间。

d) 评估业务活动可容忍最大数据丢失时间RPO；

业务活动可容忍最大数据丢失时间评估需要考虑的因素包括：

（1）该业务活动的数据追补手段；

（2）该业务活动的业务量；

（3）RPO设立人员：业务部门负责人、高层领导；

（4）RPO设立方法：根据中断事件过后随着时间推移数据丢失的数量以及对业务造成的影响，高层领导根据该项业务活动的数据追捕的手段以及该业务活动的业务量，可以决策出一个可容忍最大数据丢失时间。

可容忍最大中断时间评分标准

分值说明：

（1）4分反映出该业务中断后，基本不能忍受数据丢失；

（2）3分表示该业务中断，只能忍受数据丢失时间在5分钟以内；

（3）2分表示该类业务中断，只能忍受数据丢失时间在30分钟以内；

（4）1分则表示该类业务中断，可以容忍30分钟以上数据丢失。

以下是对各业务活动可容忍最大数据丢失时间进行分析和排序的结果：

e) 评估业务上下游关联情况；

关联情况得分设定

3分：大于等于4个

2分：大于等于2个，小于4个

1分：大于等于0个，小于2

 0分：无关联

f) 评估与外部机构系统关联情况（有：1分；无：0分）RTO评分标准。

g) 评估各部门的业务恢复优先级；

6个方面的得分总和，即为各业务恢复优先级总分。

业务重要程度

损失的严重程度

RTO

 RPO

上下游关联业务的数量

与外部机构的依赖关系

将业务恢复优先级总分按区间划分，得到恢复优先级类别A、B、C。

5、

定义计算公式：

A、 业务活动重要等级得分=（面向用户得分*1.5+法规要求得分*1.5+MTPD得分*1.5+替代方业务重要等级分析：

a、 最大可接受的中断时间MTPD；

b、 与外部用户有关；

c、 是否替代方式；

d、 是否有监管要求。

B、 各业务活动灾难恢复优先级分析：

a、 业务中断后随着时间推移所造成的损失影响；

b、 业务RTO；

c、 业务中断可容忍最大数据丢失时间RPO；

d、 各业务活动之间以及与外部机构间的关联关系。

业务活动灾难恢复优先级评估方法如下：

恢复优先级评分Pb=Sum（业务重要程度，损失的严重程度，RTO，RPO，上下游关联业务数量，与外部机构依赖关系）。

6、

制定计划及获得领导确认。

A、 BIA分析标准、方法；

B、 参与人员；

C、 工作计划。

a、 参与人的工作安排；

b、 相关业务部门；

c、 尽量减少对参与人的日常工作的影响；

d、 考虑二次访谈的必要性；

e、 各项工作顺序、时间；

f、 负责人及参与人；

g、 工作成果。

本项工作有助于获得高层领导的支持，得到高层领导的授权，方便后期整个业务影响分析的调研和访谈工作的顺利进行。

7、

实施前培训。

A、 介绍BIA的目的，工作计划及时间安排；

B、 讲解BIA基础知识、调查问卷组成等内容；

C、 依照不同职能的问卷填写人，介绍相关的调研内容；

D、 提示相关不确定因素，结合自身业务经验进行考虑；

E、 现场解答问题；

F、 试填一个业务活动，加深理解，及时发现问题；

G、 听取相关建议，优化调查问卷等。

本项工作旨在让项目涉及相关人员了解业务影响分析，并且对业务影响分析所需的调研问卷和访谈内容进行大致的讲解，方便后期整个业务影响分析的调研和访谈工作的顺利进行。

8、

确立主要调研内容。

A、 业务活动开展的场所；

B、 业务活动的描述；

C、 业务中断后，各时间点的损失级别；

D、 业务活动的主要用户及行业；

E、 业务流程描述；

F、 业务活动的开展渠道及业务比重；

G、 最小业务连续性目标（MBCO）；

H、 每个业务活动的财务贡献信息（量级）；

I、 每天所需的最少资源及成本（MBCO下）；

J、 重要的业务数据及数据的生命周期要求；

K、 除了IT系统以外的其他替代措施；

L、 业务数据的追补手段；

M、 业务活动的恢复要求的RTO和RPO；

N、 业务产品或服务之间的关联关系；

O、 业务活动与外部相关方的关联关系；

P、 业务产品或服务的SLA；

Q、 需遵循的法律法规、监管要求；

R、 业务及IT活动开展所需的重要记录；

S、 支撑业务活动的各IT系统；

T、 各IT系统在各个数据中心的分布、部署形式；

U、 各IT系统所实现的功能。

9、

数据收集。

A、 资料搜集和阅读；

B、 面谈或电话访谈；

C、 问卷调研和确认；

D、 专题研讨会；

10、

指导各业务部门使用业务影响分析模板对本部门所管理的业务进行业务中断影响及损失评估并填写《业务影响分析表》。

业务影响分析表中所涵盖的数据：

A、在基本情况中所涵盖的重要数据：

最大可接受的中断时间MTPD、是否与外部用户有关、是否替代方式、是否有监管要求、业务RTO、业务中断可容忍最大数据丢失时间RPO等信息。

B、在关系矩阵中所涵盖的重要数据：

各业务活动之间以及与外部机构间的关联关系。

本调研旨在：分析出各项业务内部之间的依赖关系（当本项业务中断时是否影响到其他业务的正常运营），从而得出业务恢复的优先级。

C、损失及影响评估：

业务中断后随着时间推移所造成的损失影响。

11、

各业务部门依据所填写《业务影响分析表》中的业务分值，对本部门所管理的业务进行数据分析。

A、业务重要等级分析：

a)  最大可接受的中断时间MTPD。

各业务活动的最大可接受中断时间的数据来自《业务影响分析表》；

业务活动重要程度组成维度得分；

各业务活动的相关维度数据来自《业务影响分析表》；

业务活动重要程度得分及类别；

根据以上各个维度的得分情况，结合之前所述的计算公式，将得出各业务活动的重要程度总分及类别。

B、各业务活动灾难恢复优先级分析：

a) 各业务活动中断的损失影响；

各个时间项的得分是财务、声誉、客户、法规这4个维度加权后的分数。每个业务活动都有T1～T5共5个时间取样值，每个业务活动按照其对时间的敏感性，时间取样值有所不同。

b) 恢复时间目标RTO；

c) 业务中断可容忍最大数据丢失时间RPO；

各业务活动都在线上开展，业务系统的RPO与业务的RPO相同。BIA《业务影响分析表》中各部门填写的可容忍最大数据丢失时间将作为业务活动所依赖的IT系统数据恢复点（RPO）评估的重要依据。

d) 各业务活动之间以及与外部机构间的关联关系。

业务活动灾难恢复优先级得分及类别。

业务活动灾难恢复优先级评估方法如下：

恢复优先级评分Pb=Sum（业务重要程度，损失的严重程度，RTO，RPO，上下游关联业务数量，与外部机构依赖关系）。

业务恢复优先级等级定义

根据恢复优先级评分的分值结果，我们将业务恢复优先级分成3个级别，定义如上表所述。

通过上述运算规则计算得出各业务活动恢复优先级。

12、

根据各业务部门填写和完善业务影响分析表的数据，分析表可自动生成灾难、恢复目标（RTO/RPO）的结果。

13、

各业务部门使用业务影响分析模板对本部门所管理的业务进行资源分析并填写。

《业务资源分析模板》

填写说明：

（1）IT设备及环境：指支撑该项业务的信息系统及其关联系统。

（2）人员：指完成该项业务的岗位/职责名称及其所需的最少员工人数。

（3）信息和数据：指完成该业务所需要的所有数据或信息，例如联系信息，合同，法律文件等。

（4）工作环境：指该项业务的主要业务运营场地及备用场地。

（5）设施设备及易耗品：指完成该项业务所必需的设备，包括系统外设、运营设备、办公设备（如打印机）等。

（6）交通运输：为完成该业务所需要为员工提供的交通运输服务。

（7）财务：开展业务所必须的紧急采购资金、员工补贴等。

（8） 供应商：开展该业务所必需的供应商服务。

本项工作旨在：

（1） 通过对企业业务资源分析，给业务连续性管理办法和后期的演练实施一个实际的数据引导；

（2） 通过完善业务资源分析，也给后期的业务连续性管理体系：如总体应急预案、管理办法和管理办法实施细则一个警示，提醒我们在进行制度性建设时，要先完善好相关资源建设，否则将影响到相关管理制度的实际落地性。

在整个业务连续性管理过程中，业务影响分析只是其中的一个过程。想要保证整个过程成果的决定因素还包括管理层的重视和支持，具备完善的BCM组织机构，健全人员、资金和资源的保障，指定拥有适当权利的业务部门代表参与，相关人员应具备全面的业务持续管理知识和高度的责任感。

业务影响分析的方法有很多种，除了本文讨论的方外之外，组织可以根据业务的实际情况选择适合自身特点的原则和方法。

天翼电子商务有限公司

网络与信息安全管理部

许琛超

－更多精彩，请关注下方公众号－

    

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/