定义

业务影响分析(BIA)

业务影响分析(BIA)是一个系统的过程,用于确定和评估由于灾难、事故或紧急情况而中断的关键业务操作的潜在影响。BIA是一个组织的基本组成部分业务连续性计划。它包括一个探索组件来揭示任何漏洞以及制定最小化策略的规划部分风险.结果是一个业务影响分析报告,其中描述了特定于所研究的组织的潜在风险。

BIA背后的一个基本假设是,该组织的每一个组成部分都依赖于其他组成部分的持续运作,但其中一些部分比其他部分更重要,在灾难发生后需要更多的资金分配。例如,如果餐厅不得不关门,企业可能还能或多或少地正常经营,但如果餐厅关门,企业就会完全停止营业信息系统崩溃。它是很容易混淆BIA和风险分析,但它们代表了业务连续性计划中的不同步骤。

如何进行BIA

BIA没有正式的标准。方法因组织而异。BIA通常是一个多阶段过程,包括以下步骤:

  • 收集信息
  • 评估收集的信息
  • 准备一份报告来记录调查结果
  • 向高级管理人员展示结果。

组织可以选择将BIA外包给有技能的第三方,或者包括项目团队的内部和外部人员。

通常会开发详细的问卷或调查,以确定关键的业务流程、资源、关系和其他细节。这些信息对于评估破坏性事件的潜在影响至关重要。对具有业务知识的关键人员进行教育。信息可以通过多种方式收集,包括面对面访谈和自动调查。后续访谈可能是必要的。

分析BIA的结果

BIA分析阶段的目标是确定最关键的业务功能和系统操作所需的人员和技术资源优化运行,和时间框架功能需要恢复组织恢复操作尽可能接近正常的工作状态。分析可以是手工的,也可以是计算机辅助的。

挑战包括确定业务功能对收入的影响,并量化市场份额、业务形象或客户损失的长期影响。需要考虑的影响包括延迟销售或收入、增加劳动力支出、监管罚款、合同处罚和客户不满。

业务影响分析报告通常包括执行摘要、关于数据收集和分析方法的信息、关于各种业务单元和功能领域的详细发现、说明潜在损失的图表和图表,以及恢复建议。该报告将最重要的业务功能按优先级排列,检查业务中断的影响,指定法律和法规要求,详细说明可接受的停机和损失级别,并列出rto和rpo。报告可以列出恢复业务所需的活动顺序。

高级管理人员审查报告,以设计一个业务连续性计划和灾难恢复策略。这应该考虑重要业务功能的最大允许停机时间,以及数据、财务和声誉等领域的可接受损失。随着业务的变化,高级管理人员需要定期审查和更新BIA。

BIA在灾难恢复计划中的作用

作为…的一部分灾难恢复计划在美国,BIA很可能识别与故障相关的成本,如现金流损失、设备更换、为弥补积压工作而支付的工资、利润、员工和数据损失,等等。BIA的报告量化了业务组件的重要性,并建议适当的资金分配保护他们的措施。失败的可能性可能会根据其在安全、财务、营销、商业声誉、法律等领域的影响进行评估合规质量保证.在可能的情况下,为了比较的目的,用金钱表示影响。例如,企业可能会在灾难发生后花三倍的钱在市场营销上,以重建客户信心。BIA应该评估一段时间内灾难的影响,帮助建立恢复战略、优先事项以及对资源和时间的要求。

BIA vs.风险评估

业务影响分析和风险评估是业务连续性计划中的两个重要步骤。BIA通常在风险评估之前进行。BIA的重点是中断对关键业务功能的影响或后果,并试图量化与灾难相关的财务和非财务成本。业务影响评估着眼于组织中最关键的部分。BIA可以作为灾难恢复策略的起点,并检查恢复时间目标(RTOs)及回收点目标(rpo),以及所需的资源和材料业务连续性

风险评估确定潜在的危害。这包括飓风、地震、火灾、供应商故障、公用事业中断或网络攻击,并在危险发生时评估脆弱区域。面临风险的资产包括人员、财产、供应链信息技术、商业信誉和合同义务。回顾了使资产更容易受到伤害的弱点。可以制定一项缓解战略,以减少危险产生重大影响的可能性。

在风险评估阶段,可能会针对各种危险情况检查BIA的发现,并根据危险的可能性和对业务运营的不利影响的可能性,对潜在的中断进行优先排序。BIA可用于证明对预防和减轻灾害以及灾后恢复战略的投资是合理的。

业务影响分析的元素
表1:业务影响分析的要素

业务影响分析模板

使用这个免费的,可下载的模板进行自己的业务影响分析

业务影响分析报告模板图像

收集的信息可能包括对业务单元执行的主要活动的描述、对特定流程重要性的主观排名、依赖流程进行正常操作的名称或组织、估计与一个特定的业务功能和相关的定量影响的非财务影响的损失函数,重要信息系统和他们的用户,员工需要恢复重要系统和业务单元所需的时间和步骤恢复到正常工作状态。

在发现阶段要研究的问题包括系统、业务流程和部门之间的相互依赖关系、故障点风险的重要性、与服务水平协议相关的责任、恢复地点可能需要的人员和空间、所需的特殊供应品或通信设备、以及复苏所需的现金管理和流动性。

业务影响分析问卷应收集的数据

  1. 过程的“功能性父级”,可以是一个部门或位置。
  2. 流程名称和流程的详细描述。
  3. 流程中所有输入和输出的列表。
  4. 在影响发生之前定义最大允许停机时间。
  5. 描述在中断期间所经历的财务和操作影响。
  6. 支持这一过程所需的人力和技术资源,包括计算机、网络、办公室、人员等。
  7. 描述面向外部或面向内部的过程对客户的影响,以及依赖于过程输出的部门列表。
  8. 解释在中断中可能产生的任何法律或监管影响。
  9. 对过去的中断及其影响的描述。
  10. 对变通程序或工作转移到其他部门或远程工作人员的描述。

信息技术的BIA可能从识别支持基本业务功能的应用程序、现有系统之间的相互依赖关系、可能的故障点以及与系统故障相关的成本开始。分析阶段检查风险,并对正常运行时间需求、RTO和RPO进行优先排序。

当信息收集完成后,审查阶段就开始了,与能够验证结果的业务领导进行协商。电子表格可用于存储和组织诸如面试细节、业务流程描述、估计成本、预期恢复时间框架和设备库存等信息。重要业务流程和系统的图表以及工作流分析可能是有用的。在最终报告之前,可以准备一份报告的草稿来征求反馈意见。

这是最近更新的2020年11月

关于业务影响分析(BIA)

深入挖掘存储管理和分析

搜索灾难复苏
搜索数据备份
搜索聚合基础设施
关闭
Baidu