业务影响分析报告.docx

业务影响分析报告.docx

《业务影响分析报告.docx》由会员分享，可在线阅读，更多相关《业务影响分析报告.docx（9页珍藏版）》请在冰豆网上搜索。

业务影响分析报告

业务影响分析报告

1.概述

业务影响分析

目标

通过业务影响分析，识别出信息技术部的关键业务以及这些关键业务所面临的风险，确认客户可接受的最大停顿时间。

当风险发生时，为了使业务活动能够持续运作，明确恢复业务所依赖的重要组件，并针对各类风险制定相应的处理方案。

适用范围

xxx信息技术部

2.级别划分定义

1）业务关键性级别的划分

级别

取值

描述

高

1

此业务/功能对公司极其重要，关键性级别极高，一旦此业务/功能中断将会给公司极大的冲击与影响。

中

2

此业务/功能对公司比较重要，关键性级别中，一旦此业务/功能中断将会给公司一定的冲击与影响。

低

3

此业务/功能对公司的重要性一般，关键性级别低，一旦此业务/功能中断给公司带来的冲击与影响一般。

2）业务影响程度级别（B）的划分：

级别

取值

描述

高

5

资产的安全性遭破坏后，可能导致公司关键业务长时间（二天以上）的中断，相关的活动均受到影响，公司信誉、经济受到严重的损失。

中

3

资产的安全性遭破坏后，可能导致公司关键业务短时间中断（一天之内），造成一定的损失。

低

1

资产的安全性遭破坏后，可能导致公司业务的不正常运作，相关损失较少。

3）威胁发生可能性（P）的级别划分：

级别

取值

标准描述

高

5

从威胁的驱动因素来看，该风险很有可能会发生；或

以前曾经发生过多次；或

以前发生数次，并且该安全事件呈上升趋势。

中

3

过去曾发生过该风险；或

虽然没有发生，但没有控制措施到位；

低

1

过去很少发生；或

已经有控制措施到位

4）业务影响的总体评价公式：

U＝P＊B

3.关键业务活动影响分析

项目

关键业务/功能

所属部门

业务影响分析

1.

xxx系统

此业务/功能对公司极其重要，关键性级别极高，一旦此业务/功能中断将会给公司极大的冲击与影响：

无法获取不良资产处置业务日常工作中所需的关键信息

2.

yyy系统

此业务/功能对公司重要，关键性级别高，一旦此业务/功能中断将会给公司比较大的冲击与影响：

无法支持内部审计工作的信息化处理

3.

OA

此业务/功能对公司重要，关键性级别高，一旦此业务/功能中断将会给公司比较大的冲击与影响

4.

邮件系统

此业务/功能对公司比较重要，关键性级别中，一旦此业务/功能中断将会给公司一定的冲击与影响。

5.

网络

此业务/功能对公司比较重要，关键性级别极高，一旦此业务/功能中断将会给公司一定的冲击与影响。

4.关键功能与恢复时间目标

项目

功能

描述

级别

可接受的最大停顿时间/恢复时间目标

1.

xxx系统

<系统功能简述>

1

22工作日

2.

网络

总部内部、总部与办事处网络互联，信息共享

1

22工作日

3.

yyy系统

<系统功能简述>

2

25工作日

4.

OA系统

OA

2

25工作日

5.

邮件系统

接收邮件

3

25工作日

5.影响关键业务的风险分析

项目

风险

威胁发生可能性（P）

业务影响程度级别（B）

总体评价（U）

1.

火灾

3

5

15

2.

水灾

1

5

5

3.

爆炸

1

5

5

4.

地震

1

5

5

5.

突发公共卫生事件（如SARS）

3

3

9

6.

电力中断（2天以上）

1

5

5

7.

恶劣天气（如沙尘暴）

3

1

3

8.

病毒大规模爆发

1

3

3

9.

外包人员集体辞职

1

3

3

10.

拒绝服务攻击

1

3

3

11.

网站被黑（数据不可用或被篡改）

3

3

9

12.

关键服务器宕机

1

5

5

13.

公司机密/绝密级信息泄密

1

5

5

14.

其它重大自然灾难

1

5

5

6.处理方案

项目

风险

总体评价（U）

处理方案

1.

火灾

15

参照《业务连续性计划》

2.

水灾

5

参照《业务连续性计划》

3.

爆炸

5

参照《业务连续性计划》

4.

地震

5

参照《业务连续性计划》

5.

突发公共卫生事件（如SARS）

9

总部机房实行24小时值班制度，人员无法进入现场时，可通过VPN实现控制

6.

电力中断

5

总部机房UPS在正常使用情况下，可坚持至少4个小时；如电力仍未恢复，将由运维组联系，尽快租赁一台发电车。

7.

恶劣天气（如沙尘暴）

3

总部机房实行24小时值班制度，人员无法进入现场时，可通过VPN实现控制

8.

病毒大规模爆发

3

公司各服务器及客户端安装统一的防病毒软件，并时时更新，一旦出现病毒爆发的情况，立即将该类设备断网，对病毒进行清除后再接入网。

9.

外包人员集体辞职

3

整理完备的操作手册及应急手册，在选取供应商时保留1~2个作为候选。

10.

拒绝服务攻击

3

通过安全漏洞扫描，目前尚未发现此类风险。

11.

网站被黑（数据不可用或被篡改）

9

参照《门户网站应急手册》

12.

关键设备宕机

5

参照《主机系统应急手册》、《网络系统应急手册》、《应用系统应急手册》

13.

公司机密/绝密级信息泄密

5

发现此类问题后，立即上报安全质量管理组

14.

其它重大自然灾难

5

如果工作现场被破坏，参考《业务连续性计划》；

如果工作人员不能进入现场，由于总部机房实行24小时值班制度，可通过VPN实现控制

7.关键业务恢复所需资源

项目

功能

资源

其它

1.

xxx系统

关键运维人员、应用开发人员及相关部门协调人员

系统备份数据（磁带）

电脑、电话、供应商联系方式

2.

yyy系统

关键运维人员、应用开发人员及相关部门协调人员

系统备份数据

电脑、电话、供应商联系方式

3.

OA

关键运维人员、应用开发人员及相关部门协调人员

系统备份数据

电脑、电话、供应商联系方式

4.

邮件系统

关键运维人员及相关部门协调人员

系统备份数据

电脑、电话、供应商联系方式

5.

网络

关键运维人员及相关部门协调人员

电脑、电话、供应商联系方式

8.信息技术部批准决议

此业务影响分析结果经与客户确认，信息技术部做出以下决议：

项目

批准决议

备注

1.

信息技术部的业务活动/功能中，xxx系统、网络对公司极其重要，关键性级别极高，一旦此业务活动/功能中断将会给公司极大的冲击与影响；

2.

yyy系统、OA、邮件系统等都可暂时停止运作,短时间内对公司不会带来很大的冲击与影响；

3.

在BCP中，只需重点准备有，xxx系统、网络的业务恢复的应急安排；

4.

在对信息技术部所有的威胁中发生可能性与业务影响程度综合值最高的为火灾；

5.

在BCP中，只需对火灾等造成场地被破坏发生的情节来准备相应的BCP措施。

---文档结束---