ISO22301：2019程序文件-业务影响分析控制程序.pdfVIP

文件编号版本号修改号

业务影响分析控制程序

BCM8.2-01A0

1目的

本标准规定了业务影响分析控制的流程、要求，以确保与标准相关的风险都得到有效控

制。分析主要业务的灾备需求指标及信息系统恢复范围及指标，在物理场所和人员没有受到

灾难的影响，中断发生在业务正常的对外服务时段，业务系统发生意外中断，其他备份业务

运行的系统和网络可用

2范围

本程序适用于公司BCMS业务影响分析的控制。

3职责

由业务部负责业务影响分析控制的计划、分析控制总归口管理，其它部门配合实施。

4程序内容

4.1明确业务范围和目标，通常可以采用图表的形式，如核心业务：产品制造、销售、管理

系统等。

4.2灾难恢复需求可以根据业务重点的财务影响和非财务影响两个因素进行评估。进行财务

影响评估，考虑制造业的特点，有的盈利信息即使对内部员工也不公开，可以采用主观评测

的方法，定义财务影响级别，如极高，高，略高，中，稍低，低和无财务损失。

4.3非财务影响可以从几个方面考虑如：对公司声誉的影响，不能满足政府监督部门的要求，

业务经营资质的影响，法律/诉讼风险，影响客户满意度，造成客户流失，影响投资者信心，

给国家安全、社会稳定造成影响等，同样需要定义非财务影响的级别，如非常严重，严重，

一般，轻微和无影响。

4.4分析业务中断影响情况：

a)定义服务时间（如：7*24,7*8)和评估估值之间的对应关系，根据实际的业务的服务

时间推测出服务时间估值。

b)定义用户数量和评估值之间的对应关系，根据每个业务的用户量推出用户数量估值，

c)定义月业务量和评估估值之间的对应关系，并分析每个业务的月服务评估值。

d)假设业务中断30分钟，1小时，8小时和2天，评估每个业务在中断各个时间段对财

务影响情况，推导出每个业务的月评估估值，还可以得出随着时间的增长，财务损失情况。

e)同样的方法分析，假设业务中断30分钟，1小时，8小时和2天，对非财务影响的情

况，根据对公司声誉的影响，不能满足政府监管部门的要求，业务经营资质的影响，法律/

诉讼风险，影响客户满意度，造成客户流失，影响投资者信心，给国家安全、社会稳定造成

影响等几种非财务情况分别的进行估值。经过这些分析后，还可以得出对业务不同程度影响

的业务的数量以及随着中断时间的增长，影响等级较高的业务数量的变化情况。

4.5综合评价，输入每个业务名称对应的用户数评估值，业务量评估值，服务时间评估值，

财务影响评估值，非财务影响评估值，根据权重得出总的评估值得出业务恢复优先级，根据

银行业务的可容忍最大中断时间和最大数据丢失时间分析得出业务恢复时间目标（RTO）和

恢复数据点目标（RPO）。

4.6当组织的业务系统和业务流程发生重大变化的时候，要重新进行业务影响分析。

5相关存档信息

5.1BR8.2-01《业务影响分析报告》

6修改栏

序号页码修改内容修改日期实施日期批准

编制：审核：批准：。

日期：日期：日期：。