業務影響分析對于業務連續性和災難恢復(BC / DR)計劃的制定是至關重要的。BIA包括對可恢復性要求的聲明;優先級等級;以及支持高級管理人員在數據備份、備用設施、重復設備和其他資源上的投資的價值主張。它演示了組織的漏洞,在災難發生前需要做什么才能滿足企業的恢復需求,以及災難重現時可以采取的措施。
BIA是一個復雜的過程,因此存在很大的出錯可能。幸運的是,有一些關鍵方法可以確保您進行分析時不會錯過任何一個步驟。使用BIA模板以及下面列出的步驟可能會有一些幫助。具體的計劃因組織和行業而異,因此在查看業務影響分析清單時,請記下要在計劃中強調的步驟,業務流程和應用程序。
改善業務影響分析的10種方法:
1、除應用程序外,還應考慮業務功能的中斷。業務影響分析的驅動力是業務,所以需要解決的第一個問題是,如果無法執行業務職能,會對整個組織產生什么影響。第二個問題是該功能依賴于哪些應用程序。一些計劃者可能傾向于優先考慮應用程序。盡管這些至關重要,但是在這個無法接受的停機時間的今天,保持業務連續性并盡快啟動和運行系統至關重要。
2、對你的整個IT環境做出解釋。盡管業務用戶可能知道他們所依賴的應用程序,但他們通常并不知道這些應用程序所依賴的其他應用程序或基礎架構。在確定應用程序的相對重要性時,分析人員需要了解整個IT環境:服務器、存儲、網絡、基礎架構以及整個應用程序組合。
3、考慮多種情況下的損益。您不應該僅僅問自己:“如果某應用程序無法運行,將會損失多少錢?”其中還有許多其他應關注問題,例如:恢復系統時是否可以彌補損失?宕機會失去客戶和銷量嗎?特定應用會造成多少損失?當執行BIA,財務信息會被收集,而且不會在確定恢復需求時使用,因為它太復雜。您應該考慮長時間停運對損益的影響,以及重建需要的資金和運營成本。
4、確認非財務損失,例如聲譽損失。盡管財務損失對任何組織都是嚴重威脅,但它并不是高級管理層唯一關心的問題,對聲譽和客戶保留率的影響可能在他們的腦海中更為沉重。業務經理可能不完全了解他們的職能在公司的整個業務模型扮演什么樣的角色,所以他們可能將財務風險全部歸結于他們自己負責的業務的應用程序,而不是去考慮整個業務。在對潛在的中斷和停機進行計劃分析時,請確保每個人都會重點關注組織的聲譽。
5、包括關于企業和單一用途應用程序的注意事項。一些應用程序比其他應用程序更重要,因為它們是為整個企業提供服務的。因此,可能沒有一個業務經理會說明這類應用程序的整體重要性。但是,服務于單個業務功能或以不同方式服務于許多功能的應用程序可能不會那么容易被注意到。因此在制定計劃時,最好評估組織最常使用和依賴的應用程序,并確保在分析時注意它們。
6、考慮數據中心應用。某些應用程序沒有業務用戶(例如支持業務應用程序的操作系統、數據庫管理系統和數據中心工具)。基礎架構必須在所有應用程序之前恢復,說起來似乎是這個道理,但這并不意味著,執行分析的那些不起眼的服務器上的操作系統,應該在信貸、交易或庫存系統之前恢復。
7、區分BIA和風險評估。風險評估的作用是,確定哪些問題可能導致服務中斷; 如果影響確實發生了,那么業務影響分析將展示其影響。風險評估是有益的,因為它可以幫助組織識別關鍵威脅并為關鍵威脅做好準備,這可以幫助分配災難響應資源和計劃并確定優先級。風險評估執行的業務功能與BIA 完全不同,因此請確保您沒有將其中一項用作另一項的替代或捷徑。業務影響分析的問題在于,無論因果關系如何,持續時間不斷變化所造成的后果都是如此。
8、了解風險認可不能投機取巧。遍歷整個業務影響分析清單是一個漫長的過程,因此,如果某些業務經理能夠接受特定應用程序的停機時間,那么他們可能不想花時間來確定事件的影響。但是,對于一個部門而言,可接受的停機時間對于整個組織來說可能是不可接受的,因此,即使是可控的影響,也應予以考慮。
9、完成整個BIA流程。有時候,分析結果對于業務經理來說似乎很明顯,因此他們可能會自動承擔答案,而無需經歷整個BIA流程。假設可能在80%的時間內產生正確的結果,但這意味著20%的時間內它們都是不正確的,這給任何給定組織中的業務功能和應用程序數量帶來很多出錯的機會。這為應用程序的不準確分析留下了空間,直到災難來臨,您才知道它。
10、不要低估BIA的結果。災難恢復的成本很高,但是就業務影響分析的結果而言,這就沒什么值得說的了。由于可預見的恢復成本,業務經理可能會選擇低估由于其應用程序宕機將會對財務,運營或聲譽造成的影響。在業務影響分析過程中可能犯的所有潛在錯誤中,這是最隱蔽的,因為它有意破壞了BIA即將生成的總體恢復需求。這可以理解,與將來可能甚至不會發生的災難事件相比,業務經理更關心預算,但是這也可能會給企業帶來潛在的、無法承受的風險負擔。
正確進行業務影響分析
總體而言,您應該以開放的心態進行BIA,并遵循可能導致的事實?,F有的先入之見可能會破滅,但是如果它是可靠的,那么根本就不需要業務影響分析清單。但是在太多的組織中,所謂的信息系統業務影響分析,僅僅是在幾個IT經理之間的快速會議中進行的。
一個IT災難恢復計劃是業務連續性計劃的一個子集,而且應用的關鍵程度取決于依賴于其上的業務功能的關鍵程度。任何組織的業務職能都是復雜且相互依存的,在大型公司中,它們可能會遍地交織,以至于理解一個業務與另一個業務之間的相對影響是一項非常艱巨的工作。但這是一項值得付出的努力,不僅是為了使高級管理層可以在業務連續性計劃上多撥點預算,還在于它可以獲得關于公司業務復雜性的更多見解。
京公網安備 11010502049343號