在完成業(yè)務(wù)影響分析之后，災(zāi)難恢復(fù)規(guī)劃的下一步是完成風險評估模板。

業(yè)務(wù)影響分析（BIA）有助于企業(yè)組織找出最關(guān)鍵的業(yè)務(wù)流程，描繪出流程中斷帶來的潛在影響，而風險評估則可以找出可能會對關(guān)鍵業(yè)務(wù)流程產(chǎn)生負面影響的內(nèi)外部因素。BIA還可以試圖量化這些潛在因素的嚴重程度，以及其發(fā)生的可能性。

災(zāi)難恢復(fù)規(guī)劃中的風險評估指南顯示了如何著手，如何準備風險分析，以及如何識別出自然災(zāi)害和人為的威脅。此外，我們還提供了一款免費IT風險評估模板供下載，以便你在計劃中使用。

為什么要進行風險評估？

風險評估可以讓你找到對可能對企業(yè)組織產(chǎn)生不利影響的事件。這其中包括可能造成潛在損害的各類事故、恢復(fù)操作所需時間，以及減輕事故發(fā)生可能性的預(yù)防或控制措施。風險評估還將幫助你確定正確執(zhí)行哪些操作步驟可以減緩事故的嚴重性。

要開始風險評估，首先確定BIA中最關(guān)鍵的業(yè)務(wù)流程著手；在此之后，你應(yīng)該收集有關(guān)企業(yè)組織潛在威脅的信息。

許多源頭可以幫助你收集有關(guān)威脅的信息，包括：

公司破產(chǎn)事件的記錄；

員工對災(zāi)難性事故的回憶；

地方或國家媒體的記錄；

當?shù)貓D書館；

應(yīng)急響應(yīng)機構(gòu)組織；

國家氣象局的歷史數(shù)據(jù)；

美國地質(zhì)調(diào)查局的地圖和其它文件；

關(guān)鍵的利益相關(guān)者和機構(gòu)的經(jīng)歷；

和公司有業(yè)務(wù)往來的供應(yīng)商的經(jīng)驗；

聯(lián)邦應(yīng)急管理局（FEMA）、國土安全部、美國能源部等政府機構(gòu)。

這些信息源可以幫助你確定發(fā)生特定事件的可能性，以及真實事件的嚴重程度。如果確認沒有任何可能性，你便可以排除掉某些事件。比如說，假如美國地質(zhì)調(diào)查局的地圖顯示你所處的位置并不處于地震帶附近，那么排除對地震的考慮便不失為上策。使用所提供的風險評估模板列舉整理企業(yè)和組織中潛在的威脅。

這份優(yōu)秀的文檔可以幫你對風險做好準備的，它來自于國家標準與技術(shù)研究所特刊800-30，《信息技術(shù)系統(tǒng)風險管理指南特刊》。

查看全文

我們一直都在努力堅持原創(chuàng).......請不要一聲不吭，就悄悄拿走。

我原創(chuàng)，你原創(chuàng)，我們的內(nèi)容世界才會更加精彩！

【所有原創(chuàng)內(nèi)容版權(quán)均屬TechTarget，歡迎大家轉(zhuǎn)發(fā)分享。但未經(jīng)授權(quán)，嚴禁任何媒體（平面媒體、網(wǎng)絡(luò)媒體、自媒體等）以及微信公眾號復(fù)制、轉(zhuǎn)載、摘編或以其他方式進行使用?！?/p>

微信公眾號

　　TechTarget

官方微博

　　TechTarget中國

作者>更多

Paul Kirvan

Paul Kirvan是一名獨立IT顧問，擁有超過22年的IT經(jīng)驗，主要擅長業(yè)務(wù)連續(xù)性、容災(zāi)、安全和企業(yè)風險管理等領(lǐng)域。

容災(zāi)/災(zāi)難恢復(fù)

需要更換DRaaS供應(yīng)商的八個跡象

你是否想過你的災(zāi)難恢復(fù)及服務(wù)供應(yīng)商可能無法達到要求？ 你可以做出改變，尤其是你看到了以下這些跡象時。

Commvault與華為加深混合云數(shù)據(jù)保護合作 全面破解混合云部署難題

雖然“云”基礎(chǔ)設(shè)施和服務(wù)能夠給企業(yè)帶來更多便利，然而，數(shù)據(jù)安全性、繁瑣的遷移步驟和管理難度和又令人望而卻步。Commvault與華為加深混合云數(shù)據(jù)保護合作，全面破解混合云部署難題。

怎樣將供應(yīng)商納入到基于云的災(zāi)難恢復(fù)計劃測試中

本篇中的指南、原則可以幫助你來制定、驗證基于云計算的災(zāi)難恢復(fù)計劃。了解DRaaS供應(yīng)商在測試方面可以提供的資源，充分加以利用。

云端的融合數(shù)據(jù)保護是一把雙刃劍 如何兼顧得失？

Cohesity與Rubrik等融合數(shù)據(jù)保護供應(yīng)商日益強調(diào)他們的平臺是如何運用公有云的。在利用這項技術(shù)時，我們?nèi)杂行┰S障礙要加以考慮。

技術(shù)手冊

企業(yè)閃存應(yīng)用與采購

固態(tài)存儲技術(shù)正獲得越來越多的關(guān)注，同時這種技術(shù)提供用戶在不同環(huán)境中不同的固態(tài)存儲部署方式。固態(tài)存儲所展現(xiàn)出的高性能對于用戶應(yīng)用來說無疑是充滿吸引力的，然而你還需要對其部署在何處、所需要的具體容量及使用模式作出具體評估和判斷。

固態(tài)存儲技術(shù)選型

企業(yè)部署固態(tài)存儲一般用于解決特定應(yīng)用性能問題。但隨著閃存價格的不斷走低，它正在被越來越多的市場認可。今天，大多數(shù)企業(yè)數(shù)據(jù)中心都部署有固態(tài)存儲。固態(tài)存儲能夠以傳統(tǒng)磁盤方式部署于存儲陣列，可作為全閃存陣列，單獨的緩存設(shè)備，還可以是服務(wù)器端的PCIe卡等等。

給閃存新手的部署指南

近些年來，閃存存儲的可用性有了明顯的提高，并且提供了多種部署選擇。當然，對最終用戶來說有選擇是好事情，但是部署閃存的無數(shù)種方式卻帶來了困擾。

融合基礎(chǔ)架構(gòu)?？?/p>

在這本?？形覀儗槟榻B融合基礎(chǔ)架構(gòu)方案的優(yōu)勢、融合架構(gòu)如何處理存儲服務(wù)和數(shù)據(jù)傳播、專家對融合架構(gòu)的看法，并為讀者分析了幾個已經(jīng)推向市場的融合架構(gòu)。

最專業(yè)的

企業(yè)級IT網(wǎng)站群

微信公眾號 官方微博

TechTarget中國 版權(quán)所有 京ICP備09021745號

京公網(wǎng)安備11010502033135號

All Rights Reserved, Copyright 2017

TechTarget中國 版權(quán)所有 京ICP備09021745號

京公網(wǎng)安備11010502033135號All Rights Reserved, Copyright 2017

【TechTarget中國原創(chuàng)】

在完成業(yè)務(wù)影響分析之后，災(zāi)難恢復(fù)規(guī)劃的下一步是完成風險評估模板。

業(yè)務(wù)影響分析（BIA）有助于企業(yè)組織找出最關(guān)鍵的業(yè)務(wù)流程，描繪出流程中斷帶來的潛在影響，而風險評估則可以找出可能會對關(guān)鍵業(yè)務(wù)流程產(chǎn)生負面影響的內(nèi)外部因素。BIA還可以試圖量化這些潛在因素的嚴重程度，以及其發(fā)生的可能性。

災(zāi)難恢復(fù)規(guī)劃中的風險評估指南顯示了如何著手，如何準備風險分析，以及如何識別出自然災(zāi)害和人為的威脅。此外，我們還提供了一款免費IT風險評估模板供下載，以便你在計劃中使用。

為什么要進行風險評估？

風險評估可以讓你找到對可能對企業(yè)組織產(chǎn)生不利影響的事件。這其中包括可能造成潛在損害的各類事故、恢復(fù)操作所需時間，以及減輕事故發(fā)生可能性的預(yù)防或控制措施。風險評估還將幫助你確定正確執(zhí)行哪些操作步驟可以減緩事故的嚴重性。

要開始風險評估，首先確定BIA中最關(guān)鍵的業(yè)務(wù)流程著手；在此之后，你應(yīng)該收集有關(guān)企業(yè)組織潛在威脅的信息。

許多源頭可以幫助你收集有關(guān)威脅的信息，包括：

公司破產(chǎn)事件的記錄；

員工對災(zāi)難性事故的回憶；

地方或國家媒體的記錄；

當?shù)貓D書館；

應(yīng)急響應(yīng)機構(gòu)組織；

國家氣象局的歷史數(shù)據(jù)；

美國地質(zhì)調(diào)查局的地圖和其它文件；

關(guān)鍵的利益相關(guān)者和機構(gòu)的經(jīng)歷；

和公司有業(yè)務(wù)往來的供應(yīng)商的經(jīng)驗；

聯(lián)邦應(yīng)急管理局（FEMA）、國土安全部、美國能源部等政府機構(gòu)。

這些信息源可以幫助你確定發(fā)生特定事件的可能性，以及真實事件的嚴重程度。如果確認沒有任何可能性，你便可以排除掉某些事件。比如說，假如美國地質(zhì)調(diào)查局的地圖顯示你所處的位置并不處于地震帶附近，那么排除對地震的考慮便不失為上策。使用所提供的風險評估模板列舉整理企業(yè)和組織中潛在的威脅。

這份優(yōu)秀的文檔可以幫你對風險做好準備的，它來自于國家標準與技術(shù)研究所特刊800-30，《信息技術(shù)系統(tǒng)風險管理指南特刊》。

了解威脅和漏洞

風險分析中設(shè)計到明確風險、評估事件發(fā)生的可能性并確定事件后果的嚴重性。進行脆弱性方面的評估同樣會是有效的，可以有助于明確假如不執(zhí)行某些活動的話會增加怎樣的風險。例如假設(shè)不使用最新的防病毒軟件，受病毒工具的幾率會有多大。

最后，風險分析結(jié)果應(yīng)當總結(jié)成為可提交給管理層的報告，并提議采取何種緩解措施。在執(zhí)行風險分析時尋找漏洞會是相當有用的。

防守的類型

確定了風險和漏洞后，可以采取何種防御措施呢？

保護措施：這些措施旨在減少發(fā)生破壞性事件的機會；一個很簡單的例子是用安全攝像頭識別未經(jīng)授權(quán)的訪問者，并在攻擊者造成任何破壞之前提醒機構(gòu)。

緩解措施：這些活動旨在盡量減緩事件發(fā)生后所造成的影響。減緩措施的例子包括用浪涌抑制器來減少雷擊對不間斷電力系統(tǒng)的影響，從而將停電或掉電所導(dǎo)致的關(guān)鍵系統(tǒng)宕機的可能性限制在最小程度。

恢復(fù)活動：這些活動用于將系統(tǒng)和基礎(chǔ)架構(gòu)的系統(tǒng)恢復(fù)到能夠支撐業(yè)務(wù)運營的水平。例如，存儲在外部站點的關(guān)鍵數(shù)據(jù)可用于將業(yè)務(wù)操作重新恢復(fù)到某個適當?shù)臅r間點。

應(yīng)急計劃：這些流程層面的文件描述了企業(yè)和組織在破壞性事故發(fā)生后可以怎么做。他們通常是由應(yīng)急管理團隊引起。

執(zhí)行這些措施的順序在很大程度上取決于風險評估后的結(jié)果。在找出特定的威脅及其相關(guān)漏洞后，你可以制定出最有效的防御策略。記住，應(yīng)急計劃必須和結(jié)果，而非起因掛鉤。

災(zāi)害的類型

災(zāi)害是觸發(fā)因素和環(huán)境條件的特殊組合，有兩大分類：人為的和自然的。

人為的危害甚至個人或多人需要為災(zāi)害事故承擔責任。可能是有目的性的，又或者只是意外。

　　可能對組織產(chǎn)生不利影響的自然災(zāi)害和人為災(zāi)難

自然災(zāi)害通常被視作由不可抗拒力索引起，無法歸咎于個人的災(zāi)害，例如天氣、地震和火災(zāi)。假如你所在的企業(yè)或組織處于颶風易發(fā)的地區(qū)，又或者建筑物存在施工漏洞，都應(yīng)當在風險評估中注明。

影響因素的分組歸類

在確定風險之后，你需要明確事故的潛在影響、癥狀和引發(fā)的后果。

基本效應(yīng)：在以下五個方面的影響可能會造成災(zāi)難性的后果：

拒絕訪問；

數(shù)據(jù)丟失；

人力資源損失；

職能喪志；

缺乏信息；

征兆：征兆的出現(xiàn)往往是某方面的短板（或缺失）所引起的：

拒絕訪問；

數(shù)據(jù)；

保密；

信息一致性；

環(huán)境因素；

人員（短時間的缺失）；

系統(tǒng)功能；

控制；

通訊。

后果：繼而引發(fā)的后果或影響可能包括：

現(xiàn)金流的中斷；

數(shù)據(jù)鏡像的丟失；

損害品牌價值；

丟失市場份額；

打擊員工士氣；

增加人員流失率；

更高的修復(fù)成本；

更高的恢復(fù)成本；

罰款；

法務(wù)費用。

風險評估的類型

風險評估通常有以下兩種形式：定量評估：用數(shù)字來度量風險，進行量化（例如從0.0到1.0，或者從1到10）；定性評估：根據(jù)對風險的一般印象，對其進行明確。該過程使用主觀評價標準，如高中低，或是優(yōu)良可劣，而非數(shù)值。

用數(shù)字來對風險進行定量的方法通常要有可靠的統(tǒng)計數(shù)據(jù)，以此預(yù)測未來風險的可能性。如上文所述，定性訪問通常更為主觀，用低、中、高等。不過，有時候定性方式在管理方面更加可行。在我們的風險評估模板中你可以找到某些參照列，讓你對所在的企業(yè)組織分配定性標準。

　　定量評估的一個例子

風險 = 可能性 x 影響力，這個公式，亦稱為風險評估矩陣，通?？捎脕碛嬎泔L險值。通過將事件的可能性和導(dǎo)致的損害程度綜合衡量，風險評估矩陣是管理層用以規(guī)劃可能發(fā)生災(zāi)難的說明性工具。

舉例來說，我們可以用0.0到1.0的比例，其中0.0表示不太可能發(fā)生威脅，而1.0表示威脅會絕對發(fā)生；影響力0.0意味著對企業(yè)和組織沒有任何損害或破壞，而1.0則意味著公司將被徹底毀滅，無法進一步開展業(yè)務(wù)。數(shù)字之間可能代表對威脅的統(tǒng)計分析結(jié)果，以及公司的經(jīng)驗。采取這種方式時，可以下載風險評估模板。

使用0.0到1.0的定量范圍，你可以據(jù)此結(jié)果進行定性（例如0.0至0.4=低風險，0.5至0.7 =中等風險，0.8至1.0 =高風險）。

　　風險矩陣是分享風險評估的定性工具

一旦所有的風險都被逐一分析，并分配了定性類別，你就可以制定處理最高風險的策略，或者為所有的風險類別準備解決方案。風險管理計劃將取決于管理層的風險偏好，即他們處理風險的意愿?；陲L險定義的策略可以用于幫助設(shè)計業(yè)務(wù)連續(xù)性計劃，以及災(zāi)難恢復(fù)策略。

進行風險評估：誰該在何時做什么

項目經(jīng)理及其團隊通常負責實施風險評估與風險管理計劃。這其中可能涉及到未來需要在某個級別執(zhí)行某項行為的具體人員。

依據(jù)效果、征兆和后果，各家企業(yè)組織在風險評估中的細節(jié)水平各不相同。一般的風險評估中不會要求確定風險層級，這將交由執(zhí)行特定的評估公司決定。在我們的風險評估模板中，有50多項人為何自然的潛在災(zāi)害領(lǐng)域。

風險評估是業(yè)務(wù)連續(xù)性或災(zāi)難恢復(fù)計劃中的關(guān)鍵工作；假如你已經(jīng)選擇了使用定性方式，那么定量方式會對你會顯得過于嚴苛，因為你得借助統(tǒng)計學證據(jù)證實所用的數(shù)字。

進行風險評估的頻率也需由你自行決定。當然，結(jié)果應(yīng)該定期更新，以確定是否有任何可能性和影響力方面的變化。不管使用何種方式，結(jié)果應(yīng)當對應(yīng)到業(yè)務(wù)影響分析中明確的關(guān)鍵業(yè)務(wù)流程中去，同時明確應(yīng)對已知風險的策略。假如風險評估過時，那么用來對應(yīng)潛在威脅的策略將同樣失效。