在完成業務影響分析之后，災難恢復規劃的下一步是完成風險評估模板。

業務影響分析（BIA）有助于企業組織找出最關鍵的業務流程，描繪出流程中斷帶來的潛在影響，而風險評估則可以找出可能會對關鍵業務流程產生負面影響的內外部因素。BIA還可以試圖量化這些潛在因素的嚴重程度，以及其發生的可能性。

災難恢復規劃中的風險評估指南顯示了如何著手，如何準備風險分析，以及如何識別出自然災害和人為的威脅。此外，我們還提供了一款免費IT風險評估模板供下載，以便你在計劃中使用。

為什么要進行風險評估？

風險評估可以讓你找到對可能對企業組織產生不利影響的事件。這其中包括可能造成潛在損害的各類事故、恢復操作所需時間，以及減輕事故發生可能性的預防或控制措施。風險評估還將幫助你確定正確執行哪些操作步驟可以減緩事故的嚴重性。

要開始風險評估，首先確定BIA中最關鍵的業務流程著手；在此之后，你應該收集有關企業組織潛在威脅的信息。

許多源頭可以幫助你收集有關威脅的信息，包括：

公司破產事件的記錄；

員工對災難性事故的回憶；

地方或國家媒體的記錄；

當地圖書館；

應急響應機構組織；

國家氣象局的歷史數據；

美國地質調查局的地圖和其它文件；

關鍵的利益相關者和機構的經歷；

和公司有業務往來的供應商的經驗；

聯邦應急管理局（FEMA）、國土安全部、美國能源部等政府機構。

這些信息源可以幫助你確定發生特定事件的可能性，以及真實事件的嚴重程度。如果確認沒有任何可能性，你便可以排除掉某些事件。比如說，假如美國地質調查局的地圖顯示你所處的位置并不處于地震帶附近，那么排除對地震的考慮便不失為上策。使用所提供的風險評估模板列舉整理企業和組織中潛在的威脅。

這份優秀的文檔可以幫你對風險做好準備的，它來自于國家標準與技術研究所特刊800-30，《信息技術系統風險管理指南特刊》。

查看全文

我們一直都在努力堅持原創.......請不要一聲不吭，就悄悄拿走。

我原創，你原創，我們的內容世界才會更加精彩！

【所有原創內容版權均屬TechTarget，歡迎大家轉發分享。但未經授權，嚴禁任何媒體（平面媒體、網絡媒體、自媒體等）以及微信公眾號復制、轉載、摘編或以其他方式進行使用。】

微信公眾號

　　TechTarget

官方微博

　　TechTarget中國

作者>更多

Paul Kirvan

Paul Kirvan是一名獨立IT顧問，擁有超過22年的IT經驗，主要擅長業務連續性、容災、安全和企業風險管理等領域。

容災/災難恢復

需要更換DRaaS供應商的八個跡象

你是否想過你的災難恢復及服務供應商可能無法達到要求？ 你可以做出改變，尤其是你看到了以下這些跡象時。

Commvault與華為加深混合云數據保護合作 全面破解混合云部署難題

雖然“云”基礎設施和服務能夠給企業帶來更多便利，然而，數據安全性、繁瑣的遷移步驟和管理難度和又令人望而卻步。Commvault與華為加深混合云數據保護合作，全面破解混合云部署難題。

怎樣將供應商納入到基于云的災難恢復計劃測試中

本篇中的指南、原則可以幫助你來制定、驗證基于云計算的災難恢復計劃。了解DRaaS供應商在測試方面可以提供的資源，充分加以利用。

云端的融合數據保護是一把雙刃劍 如何兼顧得失？

Cohesity與Rubrik等融合數據保護供應商日益強調他們的平臺是如何運用公有云的。在利用這項技術時，我們仍有些許障礙要加以考慮。

技術手冊

企業閃存應用與采購

固態存儲技術正獲得越來越多的關注，同時這種技術提供用戶在不同環境中不同的固態存儲部署方式。固態存儲所展現出的高性能對于用戶應用來說無疑是充滿吸引力的，然而你還需要對其部署在何處、所需要的具體容量及使用模式作出具體評估和判斷。

固態存儲技術選型

企業部署固態存儲一般用于解決特定應用性能問題。但隨著閃存價格的不斷走低，它正在被越來越多的市場認可。今天，大多數企業數據中心都部署有固態存儲。固態存儲能夠以傳統磁盤方式部署于存儲陣列，可作為全閃存陣列，單獨的緩存設備，還可以是服務器端的PCIe卡等等。

給閃存新手的部署指南

近些年來，閃存存儲的可用性有了明顯的提高，并且提供了多種部署選擇。當然，對最終用戶來說有選擇是好事情，但是部署閃存的無數種方式卻帶來了困擾。

融合基礎架構專刊

在這本專刊中我們將為您介紹融合基礎架構方案的優勢、融合架構如何處理存儲服務和數據傳播、專家對融合架構的看法，并為讀者分析了幾個已經推向市場的融合架構。

最專業的

企業級IT網站群

微信公眾號 官方微博

TechTarget中國 版權所有 京ICP備09021745號

京公網安備11010502033135號

All Rights Reserved, Copyright 2017

TechTarget中國 版權所有 京ICP備09021745號

京公網安備11010502033135號All Rights Reserved, Copyright 2017

【TechTarget中國原創】

在完成業務影響分析之后，災難恢復規劃的下一步是完成風險評估模板。

業務影響分析（BIA）有助于企業組織找出最關鍵的業務流程，描繪出流程中斷帶來的潛在影響，而風險評估則可以找出可能會對關鍵業務流程產生負面影響的內外部因素。BIA還可以試圖量化這些潛在因素的嚴重程度，以及其發生的可能性。

災難恢復規劃中的風險評估指南顯示了如何著手，如何準備風險分析，以及如何識別出自然災害和人為的威脅。此外，我們還提供了一款免費IT風險評估模板供下載，以便你在計劃中使用。

為什么要進行風險評估？

風險評估可以讓你找到對可能對企業組織產生不利影響的事件。這其中包括可能造成潛在損害的各類事故、恢復操作所需時間，以及減輕事故發生可能性的預防或控制措施。風險評估還將幫助你確定正確執行哪些操作步驟可以減緩事故的嚴重性。

要開始風險評估，首先確定BIA中最關鍵的業務流程著手；在此之后，你應該收集有關企業組織潛在威脅的信息。

許多源頭可以幫助你收集有關威脅的信息，包括：

公司破產事件的記錄；

員工對災難性事故的回憶；

地方或國家媒體的記錄；

當地圖書館；

應急響應機構組織；

國家氣象局的歷史數據；

美國地質調查局的地圖和其它文件；

關鍵的利益相關者和機構的經歷；

和公司有業務往來的供應商的經驗；

聯邦應急管理局（FEMA）、國土安全部、美國能源部等政府機構。

這些信息源可以幫助你確定發生特定事件的可能性，以及真實事件的嚴重程度。如果確認沒有任何可能性，你便可以排除掉某些事件。比如說，假如美國地質調查局的地圖顯示你所處的位置并不處于地震帶附近，那么排除對地震的考慮便不失為上策。使用所提供的風險評估模板列舉整理企業和組織中潛在的威脅。

這份優秀的文檔可以幫你對風險做好準備的，它來自于國家標準與技術研究所特刊800-30，《信息技術系統風險管理指南特刊》。

了解威脅和漏洞

風險分析中設計到明確風險、評估事件發生的可能性并確定事件后果的嚴重性。進行脆弱性方面的評估同樣會是有效的，可以有助于明確假如不執行某些活動的話會增加怎樣的風險。例如假設不使用最新的防病毒軟件，受病毒工具的幾率會有多大。

最后，風險分析結果應當總結成為可提交給管理層的報告，并提議采取何種緩解措施。在執行風險分析時尋找漏洞會是相當有用的。

防守的類型

確定了風險和漏洞后，可以采取何種防御措施呢？

保護措施：這些措施旨在減少發生破壞性事件的機會；一個很簡單的例子是用安全攝像頭識別未經授權的訪問者，并在攻擊者造成任何破壞之前提醒機構。

緩解措施：這些活動旨在盡量減緩事件發生后所造成的影響。減緩措施的例子包括用浪涌抑制器來減少雷擊對不間斷電力系統的影響，從而將停電或掉電所導致的關鍵系統宕機的可能性限制在最小程度。

恢復活動：這些活動用于將系統和基礎架構的系統恢復到能夠支撐業務運營的水平。例如，存儲在外部站點的關鍵數據可用于將業務操作重新恢復到某個適當的時間點。

應急計劃：這些流程層面的文件描述了企業和組織在破壞性事故發生后可以怎么做。他們通常是由應急管理團隊引起。

執行這些措施的順序在很大程度上取決于風險評估后的結果。在找出特定的威脅及其相關漏洞后，你可以制定出最有效的防御策略。記住，應急計劃必須和結果，而非起因掛鉤。

災害的類型

災害是觸發因素和環境條件的特殊組合，有兩大分類：人為的和自然的。

人為的危害甚至個人或多人需要為災害事故承擔責任。可能是有目的性的，又或者只是意外。

　　可能對組織產生不利影響的自然災害和人為災難

自然災害通常被視作由不可抗拒力索引起，無法歸咎于個人的災害，例如天氣、地震和火災。假如你所在的企業或組織處于颶風易發的地區，又或者建筑物存在施工漏洞，都應當在風險評估中注明。

影響因素的分組歸類

在確定風險之后，你需要明確事故的潛在影響、癥狀和引發的后果。

基本效應：在以下五個方面的影響可能會造成災難性的后果：

拒絕訪問；

數據丟失；

人力資源損失；

職能喪志；

缺乏信息；

征兆：征兆的出現往往是某方面的短板（或缺失）所引起的：

拒絕訪問；

數據；

保密；

信息一致性；

環境因素；

人員（短時間的缺失）；

系統功能；

控制；

通訊。

后果：繼而引發的后果或影響可能包括：

現金流的中斷；

數據鏡像的丟失；

損害品牌價值；

丟失市場份額；

打擊員工士氣；

增加人員流失率；

更高的修復成本；

更高的恢復成本；

罰款；

法務費用。

風險評估的類型

風險評估通常有以下兩種形式：定量評估：用數字來度量風險，進行量化（例如從0.0到1.0，或者從1到10）；定性評估：根據對風險的一般印象，對其進行明確。該過程使用主觀評價標準，如高中低，或是優良可劣，而非數值。

用數字來對風險進行定量的方法通常要有可靠的統計數據，以此預測未來風險的可能性。如上文所述，定性訪問通常更為主觀，用低、中、高等。不過，有時候定性方式在管理方面更加可行。在我們的風險評估模板中你可以找到某些參照列，讓你對所在的企業組織分配定性標準。

　　定量評估的一個例子

風險 = 可能性 x 影響力，這個公式，亦稱為風險評估矩陣，通常可用來計算風險值。通過將事件的可能性和導致的損害程度綜合衡量，風險評估矩陣是管理層用以規劃可能發生災難的說明性工具。

舉例來說，我們可以用0.0到1.0的比例，其中0.0表示不太可能發生威脅，而1.0表示威脅會絕對發生；影響力0.0意味著對企業和組織沒有任何損害或破壞，而1.0則意味著公司將被徹底毀滅，無法進一步開展業務。數字之間可能代表對威脅的統計分析結果，以及公司的經驗。采取這種方式時，可以下載風險評估模板。

使用0.0到1.0的定量范圍，你可以據此結果進行定性（例如0.0至0.4=低風險，0.5至0.7 =中等風險，0.8至1.0 =高風險）。

　　風險矩陣是分享風險評估的定性工具

一旦所有的風險都被逐一分析，并分配了定性類別，你就可以制定處理最高風險的策略，或者為所有的風險類別準備解決方案。風險管理計劃將取決于管理層的風險偏好，即他們處理風險的意愿。基于風險定義的策略可以用于幫助設計業務連續性計劃，以及災難恢復策略。

進行風險評估：誰該在何時做什么

項目經理及其團隊通常負責實施風險評估與風險管理計劃。這其中可能涉及到未來需要在某個級別執行某項行為的具體人員。

依據效果、征兆和后果，各家企業組織在風險評估中的細節水平各不相同。一般的風險評估中不會要求確定風險層級，這將交由執行特定的評估公司決定。在我們的風險評估模板中，有50多項人為何自然的潛在災害領域。

風險評估是業務連續性或災難恢復計劃中的關鍵工作；假如你已經選擇了使用定性方式，那么定量方式會對你會顯得過于嚴苛，因為你得借助統計學證據證實所用的數字。

進行風險評估的頻率也需由你自行決定。當然，結果應該定期更新，以確定是否有任何可能性和影響力方面的變化。不管使用何種方式，結果應當對應到業務影響分析中明確的關鍵業務流程中去，同時明確應對已知風險的策略。假如風險評估過時，那么用來對應潛在威脅的策略將同樣失效。