风险评估技术-业务影响分析(BIA).docxVIP

业务影响分析(BIA)1 概述业务影响分析(Business Impact Analysis)，也称作业务影响评估(Business Impact Assessment)，分析了干扰性风险对组织运营的影响方式，同时识别并量化了必要的风险管理能力。具体来说，BIA就以下问题达成了一致的认识：● 关键经营过程的识别和临界状态、职能和相关资源以及组织已有的关键互相依存关系；● 干扰性事项对实现重要经营目标的能力会产生怎样的影响；● 管理干扰的影响以及使组织恢复到约定运行水平所需的能力。2 用途BIA用来确定危害性以及过程和相关资源(人员、设备、信息技术)的恢复时间，以确保目标的持续实现。而且，BIA有助于确定过程、内外部各方以及供应链连接处之间的相互依存关系和相互关系。3 输入数据输入包括：● 承担分析并制定计划的小组；● 关于目标、环境及运行和组织的相互依存关系的信息；● 有关组织活动及运行的详情，包括过程、辅助资源、与其他组织的关系、外包安排以及利益相关者；● 关键过程的缺失造成的财务及运行结果；● 事先准备的调查问卷表；● 组织相关部门的受访者及/或计划联系的利益相关者的名单。4 过程通过使用调查问卷表、访谈、结构化讨论会或综合运用上述三种方法，可以开展BIA，以便认识关键过程、过程缺失产生的影响以及必要的恢复时间范围及辅助资源。关键步骤包括：● 根据风险及脆弱性分析(vulerability assessment)，确认组织的关键过程和输出结果，以确定过程的危害性；● 确定在干扰规定的时期内对被识别的关键过程造成的财务及/或运行影响；● 识别与关键内外部利益相关者的相互依存关系。这可能包括通过供应链说明相互依存关系的性质；● 确定现有资源及干扰过后继续以最低容许水平运行所需的基本资源；● 确定目前使用或计划开发的替代性工作区域和程序。如果在干扰过程中资源或能力无法获得或不够充分，那么可能就要开发替代性的工作区域和程序。(workarounds)● 根据被识别的结果以及职能部门的关键成功因素来确定各过程的最大可容忍故障时间(MAO)。MAO代表组织所能容忍的能力损失的最大时间段。● 确定任何特定装备或信息技术的目标恢复时间(RTO)。这可能包括评估过程中的重复水平(例如，设备备件)或是替代供应商的存在情况。● 确认关键过程的现期准备水平。这可能包括评价过程中的冗余程度(例如备用设备)或存在替代供应商。5 输出结果输出结果包括：● 关键过程及相关依存关系的优先性清单；● 因关键过程缺失而带来的财务及运行过程影响的记录；● 用于被识别的关键过程的辅助资源；● 关键过程的故障时间范围以及相关信息技术恢复时间范围。6 优点及局限BIA的优点包括：对关键过程的认识，使组织有能力继续实现其既定目标；对资源的认识；有机会重新界定组织的运行过程，以增强组织的灵活性。BIA的局限包括：那些参与完成调查问卷并开展访谈或讨论会的参与方缺乏某些知识；小组气氛可能会影响到关键过程的全面分析；对恢复要求有简单化或过于乐观的期望；难以获得组织运行及活动的足够的认识水平。