业务影响分析
概述
行业机构定期开展业务影响分析,识别业务之间的依赖关系,评估业务中断影响,明确业务的重要
性程度和恢复的优先顺序,并据此确定信息技术
服务恢复目标及所需资源。
识别和分析业务
行业机构开展以下工作:
a) 识别与经营有关的各项业务,分析业务之间的关联关系,以及业务与信息技术服务的依赖关系;
b) 评估业务中断对机构带来的负面影响,评估内容包括:
- 业务中断可能造成的直接和间接经济损失,包括资产损失、赔偿、行政处罚
等;JR/T 0251—2022
5 - 业务中断可能造成的非经济影响,包括社会声誉影响、信用影响等;
- 随着业务中断时间的延长,中断事件带来的各类负面影响的变化情况。
c) 依据业务中断影响评估结果,确定业务的重要性程度,以及业务恢复的优先级顺序。
信息技术服务恢复目标
行业机构基于业务的重要性程度、业务恢复的优先级顺序以及业务与信息技术服务的依赖关系,依
据JR/T 0059-2010,设定信息技术服务RTO和RPO,以及信息技术服务恢复的优先级顺序。
行业机构识别恢复信息技术服务所需的最低资源保障。与信息技术服务有关的资源包括信息系统
、数据、基础设施、办公场所、通讯设施、保障设施、人员、供应商、文档等。
业务影响分析报告
行业机构编制业务影响分析报告,说明业务影响分析的实施过程和结果。业务影响分析报告的内容
主要包括:
a) 业务影响分析的目的和范围;
b) 参与业务影响分析的部门、人员和职责分工;
c) 业务影响分析的实施过程;
d) 业务影响分析结论,包括信息技术服务 RTO 和 RPO,信息技术服务恢复的优先级顺序等;
e) 总结和建议