信息化觀察網(wǎng)

在制定災難恢復計劃時，一個非常重要的任務就是，要確定并想方設(shè)法避免潛在的威脅，同時為最壞的情況做準備。業(yè)務影響分析（BIA）提供了解決突發(fā)事件所需的信息，前提是您要事先做好萬全準備。遵循詳盡的業(yè)務影響分析清單，將幫助您強化災難恢復策略。

業(yè)務影響分析對于業(yè)務連續(xù)性和災難恢復（BC / DR）計劃的制定是至關(guān)重要的。BIA包括對可恢復性要求的聲明；優(yōu)先級等級；以及支持高級管理人員在數(shù)據(jù)備份、備用設(shè)施、重復設(shè)備和其他資源上的投資的價值主張。它演示了組織的漏洞，在災難發(fā)生前需要做什么才能滿足企業(yè)的恢復需求，以及災難重現(xiàn)時可以采取的措施。

BIA是一個復雜的過程，因此存在很大的出錯可能。幸運的是，有一些關(guān)鍵方法可以確保您進行分析時不會錯過任何一個步驟。使用BIA模板以及下面列出的步驟可能會有一些幫助。具體的計劃因組織和行業(yè)而異，因此在查看業(yè)務影響分析清單時，請記下要在計劃中強調(diào)的步驟，業(yè)務流程和應用程序。

改善業(yè)務影響分析的10種方法：

1、除應用程序外，還應考慮業(yè)務功能的中斷。業(yè)務影響分析的驅(qū)動力是業(yè)務，所以需要解決的第一個問題是，如果無法執(zhí)行業(yè)務職能，會對整個組織產(chǎn)生什么影響。第二個問題是該功能依賴于哪些應用程序。一些計劃者可能傾向于優(yōu)先考慮應用程序。盡管這些至關(guān)重要，但是在這個無法接受的停機時間的今天，保持業(yè)務連續(xù)性并盡快啟動和運行系統(tǒng)至關(guān)重要。

2、對你的整個IT環(huán)境做出解釋。盡管業(yè)務用戶可能知道他們所依賴的應用程序，但他們通常并不知道這些應用程序所依賴的其他應用程序或基礎(chǔ)架構(gòu)。在確定應用程序的相對重要性時，分析人員需要了解整個IT環(huán)境：服務器、存儲、網(wǎng)絡、基礎(chǔ)架構(gòu)以及整個應用程序組合。

3、考慮多種情況下的損益。您不應該僅僅問自己：“如果某應用程序無法運行，將會損失多少錢？”其中還有許多其他應關(guān)注問題，例如：恢復系統(tǒng)時是否可以彌補損失？宕機會失去客戶和銷量嗎？特定應用會造成多少損失？當執(zhí)行BIA，財務信息會被收集，而且不會在確定恢復需求時使用，因為它太復雜。您應該考慮長時間停運對損益的影響，以及重建需要的資金和運營成本。

4、確認非財務損失，例如聲譽損失。盡管財務損失對任何組織都是嚴重威脅，但它并不是高級管理層唯一關(guān)心的問題，對聲譽和客戶保留率的影響可能在他們的腦海中更為沉重。業(yè)務經(jīng)理可能不完全了解他們的職能在公司的整個業(yè)務模型扮演什么樣的角色，所以他們可能將財務風險全部歸結(jié)于他們自己負責的業(yè)務的應用程序，而不是去考慮整個業(yè)務。在對潛在的中斷和停機進行計劃分析時，請確保每個人都會重點關(guān)注組織的聲譽。

5、包括關(guān)于企業(yè)和單一用途應用程序的注意事項。一些應用程序比其他應用程序更重要，因為它們是為整個企業(yè)提供服務的。因此，可能沒有一個業(yè)務經(jīng)理會說明這類應用程序的整體重要性。但是，服務于單個業(yè)務功能或以不同方式服務于許多功能的應用程序可能不會那么容易被注意到。因此在制定計劃時，最好評估組織最常使用和依賴的應用程序，并確保在分析時注意它們。

6、考慮數(shù)據(jù)中心應用。某些應用程序沒有業(yè)務用戶（例如支持業(yè)務應用程序的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和數(shù)據(jù)中心工具）?；A(chǔ)架構(gòu)必須在所有應用程序之前恢復，說起來似乎是這個道理，但這并不意味著，執(zhí)行分析的那些不起眼的服務器上的操作系統(tǒng)，應該在信貸、交易或庫存系統(tǒng)之前恢復。

7、區(qū)分BIA和風險評估。風險評估的作用是，確定哪些問題可能導致服務中斷; 如果影響確實發(fā)生了，那么業(yè)務影響分析將展示其影響。風險評估是有益的，因為它可以幫助組織識別關(guān)鍵威脅并為關(guān)鍵威脅做好準備，這可以幫助分配災難響應資源和計劃并確定優(yōu)先級。風險評估執(zhí)行的業(yè)務功能與BIA 完全不同，因此請確保您沒有將其中一項用作另一項的替代或捷徑。業(yè)務影響分析的問題在于，無論因果關(guān)系如何，持續(xù)時間不斷變化所造成的后果都是如此。

8、了解風險認可不能投機取巧。遍歷整個業(yè)務影響分析清單是一個漫長的過程，因此，如果某些業(yè)務經(jīng)理能夠接受特定應用程序的停機時間，那么他們可能不想花時間來確定事件的影響。但是，對于一個部門而言，可接受的停機時間對于整個組織來說可能是不可接受的，因此，即使是可控的影響，也應予以考慮。

9、完成整個BIA流程。有時候，分析結(jié)果對于業(yè)務經(jīng)理來說似乎很明顯，因此他們可能會自動承擔答案，而無需經(jīng)歷整個BIA流程。假設(shè)可能在80％的時間內(nèi)產(chǎn)生正確的結(jié)果，但這意味著20％的時間內(nèi)它們都是不正確的，這給任何給定組織中的業(yè)務功能和應用程序數(shù)量帶來很多出錯的機會。這為應用程序的不準確分析留下了空間，直到災難來臨，您才知道它。

10、不要低估BIA的結(jié)果。災難恢復的成本很高，但是就業(yè)務影響分析的結(jié)果而言，這就沒什么值得說的了。由于可預見的恢復成本，業(yè)務經(jīng)理可能會選擇低估由于其應用程序宕機將會對財務，運營或聲譽造成的影響。在業(yè)務影響分析過程中可能犯的所有潛在錯誤中，這是最隱蔽的，因為它有意破壞了BIA即將生成的總體恢復需求。這可以理解，與將來可能甚至不會發(fā)生的災難事件相比，業(yè)務經(jīng)理更關(guān)心預算，但是這也可能會給企業(yè)帶來潛在的、無法承受的風險負擔。

正確進行業(yè)務影響分析

總體而言，您應該以開放的心態(tài)進行BIA，并遵循可能導致的事實?，F(xiàn)有的先入之見可能會破滅，但是如果它是可靠的，那么根本就不需要業(yè)務影響分析清單。但是在太多的組織中，所謂的信息系統(tǒng)業(yè)務影響分析，僅僅是在幾個IT經(jīng)理之間的快速會議中進行的。

一個IT災難恢復計劃是業(yè)務連續(xù)性計劃的一個子集，而且應用的關(guān)鍵程度取決于依賴于其上的業(yè)務功能的關(guān)鍵程度。任何組織的業(yè)務職能都是復雜且相互依存的，在大型公司中，它們可能會遍地交織，以至于理解一個業(yè)務與另一個業(yè)務之間的相對影響是一項非常艱巨的工作。但這是一項值得付出的努力，不僅是為了使高級管理層可以在業(yè)務連續(xù)性計劃上多撥點預算，還在于它可以獲得關(guān)于公司業(yè)務復雜性的更多見解。

原文作者：Steven Ross