搜索
业务影响分析报告目录1.概述.....................................................................................................................................................12.级别划分定义......................................................................................................................................13.关键业务活动影响分析........................................................................................................................24.关键功能与恢复时间目标....................................................................................................................35.影响关键业务的风险分析....................................................................................................................36.处理方案.............................................................................................................................................47.关键业务恢复所需资源........................................................................................................................58.信息技术部批准决议...........................................................................................................................6内部访问严禁修改11.概述业务影响分析目标通过业务影响分析,识别出信息技术部的关键业务以及这些关键业务所面临的风险,确认客户可接受的最大停顿时间。当风险发生时,为了使业务活动能够持续运作,明确恢复业务所依赖的重要组件,并针对各类风险制定相应的处理方案。适用范围xxx信息技术部2.级别划分定义1)业务关键性级别的划分级别取值描述高1此业务/功能对公司极其重要,关键性级别极高,一旦此业务/功能中断将会给公司极大的冲击与影响。中2此业务/功能对公司比较重要,关键性级别中,一旦此业务/功能中断将会给公司一定的冲击与影响。低3此业务/功能对公司的重要性一般,关键性级别低,一旦此业务/功能中断给公司带来的冲击与影响一般。2)业务影响程度级别(B)的划分:级别取值描述高5资产的安全性遭破坏后,可能导致公司关键业务长时间(二天以上)的中断,相关的活动均受到影响,公司信誉、经济受到严重的损失。中3资产的安全性遭破坏后,可能导致公司关键业务短时间中断(一天之内),造成一定的损失。低1资产的安全性遭破坏后,可能导致公司业务的不正常运作,相关损失较少。3)威胁发生可能性(P)的级别划分:级别取值标准描述内部访问严禁修改2级别取值标准描述高5从威胁的驱动因素来看,该风险很有可能会发生;或以前曾经发生过多次;或以前发生数次,并且该安全事件呈上升趋势。中3过去曾发生过该风险;或虽然没有发生,但没有控制措施到位;低1过去很少发生;或已经有控制措施到位4)业务影响的总体评价公式:U=P*B3.关键业务活动影响分析项目关键业务/功能所属部门业务影响分析1.xxx系统此业务/功能对公司极其重要,关键性级别极高,一旦此业务/功能中断将会给公司极大的冲击与影响:无法获取不良资产处置业务日常工作中所需的关键信息2.yyy系统此业务/功能对公司重要,关键性级别高,一旦此业务/功能中断将会给公司比较大的冲击与影响:无法支持内部审计工作的信息化处理3.OA此业务/功能对公司重要,关键性级别高,一旦此业务/功能中断将会给公司比较大的冲击与影响4.邮件系统此业务/功能对公司比较重要,关键性级别中,一旦此业务/功能中断将会给公司一定的冲击与影响。内部访问严禁修改35.网络此业务/功能对公司比较重要,关键性级别极高,一旦此业务/功能中断将会给公司一定的冲击与影响。4.关键功能与恢复时间目标项目功能描述级别可接受的最大停顿时间/恢复时间目标1.xxx系统系统功能简述122工作日2.网络总部内部、总部与办事处网络互联,信息共享122工作日3.yyy系统系统功能简述225工作日4.OA系统OA225工作日5.邮件系统接收邮件325工作日5.影响关键业务的风险分析项目风险威胁发生可能性(P)业务影响程度级别(B)总体评价(U)1.火灾35152.水灾1553.爆炸1554.地震1555.突发公共卫生事件(如SARS)339内部访问严禁修改4项目风险威胁发生可能性(P)业务影响程度级别(B)总体评价(U)6.电力中断(2天以上)1557.恶劣天气(如沙尘暴)3138.病毒大规模爆发1339.外包人员集体辞职13310.拒绝服务攻击13311.网站被黑(数据不可用或被篡改)33912.关键服务器宕机15513.公司机密/绝密级信息泄密15514.其它重大自然灾难1556.处理方案项目风险总体评价(U)处理方案1.火灾15参照《业务连续性计划》2.水灾5参照《业务连续性计划》3.爆炸5参照《业务连续性计划》4.地震5参照《业务连续性计划》5.突发公共卫生事件(如SARS)9总部机房实行24小时值班制度,人员无法进入现场时,可通过VPN实现控制6.电力中断5总部机房UPS在正常使用情况下,可坚持至少4个小时;如电力仍未恢复,将由运维组联系,尽内部访问严禁修改5项目风险总体评价(U)处理方案快租赁一台发电车。7.恶劣天气(如沙尘暴)3总部机房实行24小时值班制度,人员无法进入现场时,可通过VPN实现控制8.病毒大规模爆发3公司各服务器及客户端安装统一的防病毒软件,并时时更新,一旦出现病毒爆发的情况,立即将该类设备断网,对病毒进行清除后再接入网。9.外包人员集体辞职3整理完备的操作手册及应急手册,在选取供应商时保留1~2个作为候选。10.拒绝服务攻击3通过安全漏洞扫描,目前尚未发现此类风险。11.网站被黑(数据不可用或被篡改)9参照《门户网站应急手册》12.关键设备宕机5参照《主机系统应急手册》、《网络系统应急手册》、《应用系统应急手册》13.公司机密/绝密级信息泄密5发现此类问题后,立即上报安全质量管理组14.其它重大自然灾难5如果工作现场被破坏,参考《业务连续性计划》;如果工作人员不能进入现场,由于总部机房实行24小时值班制度,可通过VPN实现控制7.关键业务恢复所需资源项目功能资源其它1.xxx系统关键运维人员、应用开发人员及相关部门协调人员系统备份数据(磁带)电脑、电话、供应商联系方式2.yyy系统关键运维人员、应用开发人员及相关部门协调人员系统备份数据电脑、电话、供应商联系方式3.OA关键运维人员、应用开发人员及相关部门协调人员系统备份数据电脑、电话、供应商联系方式内部访问严禁修改6项目功能资源其它4.邮件系统关键运维人员及相关部门协调人员系统备份数据电脑、电话、供应商联系方式5.网络关键运维人员及相关部门协调人员电脑、电话、供应商联系方式8.信息技术部批准决议此业务影响分析结果经与客户确认,信息技术部做出以下决议:项目批准决议备注1.信息技术部的业务活动/功能中,xxx系统、网络对公司极其重要,关键性级别极高,一旦此业务活动/功能中断将会给公司极大的冲击与影响;2.yyy系统、OA、邮件系统等都可暂时停止运作,短时间内对公司不会带来很大的冲击与影响;3.在BCP中,只需重点准备有,xxx系统、网络的业务恢复的应急安排;4.在对信息技术部所有的威胁中发生可能性与业务影响程度综合值最高的为火灾;5.在BCP中,只需对火灾等造成场地被破坏发生的情节来准备相应的BCP措施。---文档结束---