连续性
风险评估
概述
行业机构定期开展面向信息技术
服务连续性的风险评估,对信息技术服务及其依赖资源的中断风险进行识别、分析和评估,并根据风险评估结果制定风险控制策略。
风险识别和评估
行业机构开展以下工作:
a) 识别风险:识别机构的信息技术服务和支持这些服务的资源。风险可能来自于:
- 特定的威胁,可被描述为在一些点上中断服务或资源的事态或活动(例如火灾、水灾、电
力中断、硬件故障、疫情等); - 中断事件,可产生于资源脆弱性
(如单点故障、缺乏后备电力等);3) 供应商的硬件设备、软件、服务不可用; - 操作失误,不完善或有问题的操作过程;
- 重要岗位人员不可用;
b) 评估风险:分析风险可导致的后果和风险发生的可能性,评估哪些与中断有关的风险需要处置,
重点关注高优先级的信息技术服务所要求的资源;
c) 识别处置措施:识别可实现信息技术服务连续性目标并符合组织风险偏好的处置措施。
连续性风险评估报告
行业机构编制信息技术服务连续性风险评估报告,说明连续性风险评估的过程和结果。风险评估报
告的内容主要包括:
a) 风险评估的目的和范围;
JR/T 0251—2022
6
b) 参与风险评估的部门、人员和分工;
c) 风险评估的实施过程;
d) 风险评估结果,包括风险列表、风险控制措施和残余风险等;
e) 总结和建议。