业务影响分析报告.doc

1、 业务影响分析报告目录1. 概述 .12. 级别划分定义 .13. 关键业务活动影响分析 .24. 关键功能与恢复时间目标 .35. 影响关键业务的风险分析 .56. 处理方案 .67. 关键业务恢复所需资源 .78. 信息技术部批准决议 .8内部访问 严禁修改 11.概述业务影响分析目标通过业务影响分析，识别出信息技术部的关键业务以及这些关键业务所面临的风险，确认客户可接受的最大停顿时间。当风险发生时，为了使业务活动能够持续运作，明确恢复业务所依赖的重要组件，并针对各类风险制定相应的处理方案。适用范围 xxx 信息技术部2.级别划分定义1）业务关键性级别的划分级别 取值 描述高 1 此业务/

2、功能对公司极其重要，关键性级别极高，一旦此业务/功能中断将会给公司极大的冲击与影响。中 2 此业务/功能对公司比较重要，关键性级别中，一旦此业务/功能中断将会给公司一定的冲击与影响。低 3 此业务/功能对公司的重要性一般，关键性级别低，一旦此业务/功能中断给公司带来的冲击与影响一般。2）业务影响程度级别（B）的划分：级别 取值 描述高 5 资产的安全性遭破坏后，可能导致公司关键业务长时间（二天以上）的中断，相关的活动均受到影响，公司信誉、经济受到严重的损失。中 3 资产的安全性遭破坏后，可能导致公司关键业务短时间中断（一天之内） ，造成一定的损失。低 1 资产的安全性遭破坏后，可能导致公司业务

3、的不正常运作，相关损失较少。3）威胁发生可能性（P）的级别划分：级别 取值 标准描述内部访问 严禁修改 2级别 取值 标准描述高 5 从威胁的驱动因素来看，该风险很有可能会发生；或 以前曾经发生过多次；或 以前发生数次，并且该安全事件呈上升趋势。中 3 过去曾发生过该风险；或 虽然没有发生，但没有控制措施到位；低 1 过去很少发生；或 已经有控制措施到位4）业务影响的总体评价公式：UPB3.关键业务活动影响分析项目 关键业务/功能 所属部门 业务影响分析1.xxx 系统 此业务/功能对公司极其重要，关键性级别极高，一旦此业务/功能中断将会给公司极大的冲击与影响：无法获取不良资产处置业务日常工作

4、中所需的关键信息2.yyy 系统 此业务/功能对公司重要，关键性级别高，一旦此业务/功能中断将会给公司比较大的冲击与影响：无法支持内部审计工作的信息化处理3.OA 此业务/功能对公司重要，关键性级别高，一旦此业务/功能中断将会给公司比较大的冲击与影响4.邮件系统 此业务/功能对公司比较重要，关键性级别中，一旦此业务/功能中断将会给公司一定的冲击与影响。内部访问 严禁修改 35.网络 此业务/功能对公司比较重要，关键性级别极高，一旦此业务/功能中断将会给公司一定的冲击与影响。4.关键功能与恢复时间目标项目 功能 描述 级别 可接受的最大停顿时间/恢复时间目标1. xxx 系统 1 22 工作日2

5、. 网络 总部内部、总部与办事处网络互联，信息共享1 22 工作日3. yyy 系统 2 25 工作日4. OA 系统 OA 2 25 工作日5. 邮件系统 接收邮件 3 25 工作日5.影响关键业务的风险分析项目 风险 威胁发生可能性（P）业务影响程度级别（B） 总体评价（U）1. 火灾 3 5 152. 水灾 1 5 53. 爆炸 1 5 54. 地震 1 5 5内部访问 严禁修改 4项目 风险 威胁发生可能性（P）业务影响程度级别（B） 总体评价（U）5. 突发公共卫生事件（如 SARS）3 3 96. 电力中断（2 天以上）1 5 57. 恶劣天气（如沙尘暴）3 1 38. 病毒大规模

6、爆发 1 3 39. 外包人员集体辞职 1 3 310. 拒绝服务攻击 1 3 311. 网站被黑(数据不可用或被篡改)3 3 912. 关键服务器宕机 1 5 513. 公司机密/绝密级信息泄密1 5 514. 其它重大自然灾难 1 5 56.处理方案项目 风险 总体评价（U） 处理方案1. 火灾 15 参照业务连续性计划2. 水灾 5 参照业务连续性计划3. 爆炸 5 参照业务连续性计划4. 地震 5 参照业务连续性计划5. 突发公共卫生事件 9 总部机房实行 24 小时值班制度，人员无法进入内部访问 严禁修改 5项目 风险 总体评价（U） 处理方案（如 SARS） 现场时，可通过 VPN

7、 实现控制6.电力中断 5总部机房 UPS 在正常使用情况下，可坚持至少4 个小时；如电力仍未恢复，将由运维组联系，尽快租赁一台发电车。7. 恶劣天气（如沙尘暴） 3 总部机房实行 24 小时值班制度，人员无法进入现场时，可通过 VPN 实现控制8.病毒大规模爆发 3公司各服务器及客户端安装统一的防病毒软件，并时时更新，一旦出现病毒爆发的情况，立即将该类设备断网，对病毒进行清除后再接入网。9. 外包人员集体辞职 3 整理完备的操作手册及应急手册，在选取供应商时保留 12 个作为候选。10. 拒绝服务攻击 3 通过安全漏洞扫描，目前尚未发现此类风险。11. 网站被黑(数据不可用或被篡改) 9参照

8、门户网站应急手册12. 关键设备宕机 5 参照主机系统应急手册 、 网络系统应急手册、 应用系统应急手册13. 公司机密/绝密级信息泄密 5发现此类问题后，立即上报安全质量管理组14.其它重大自然灾难 5如果工作现场被破坏，参考业务连续性计划 ；如果工作人员不能进入现场，由于总部机房实行24 小时值班制度，可通过 VPN 实现控制7.关键业务恢复所需资源项目 功能 资源 其它1. xxx 系统关键运维人员、应用开发人员及相关部门协调人员系统备份数据（磁带）电脑、电话、供应商联系方式2. yyy 系统 关键运维人员、应用开发人员及相关 系统备份数据 电脑、电话、供应商联系方式内部访问 严禁修改

9、6项目 功能 资源 其它部门协调人员3. OA关键运维人员、应用开发人员及相关部门协调人员系统备份数据 电脑、电话、供应商联系方式4. 邮件系统 关键运维人员及相关部门协调人员 系统备份数据 电脑、电话、供应商联系方式5. 网络 关键运维人员及相关部门协调人员 电脑、电话、供应商联系方式8.信息技术部批准决议此业务影响分析结果经与客户确认，信息技术部做出以下决议：项目 批准决议 备注1.信息技术部的业务活动/功能中，xxx 系统、网络对公司极其重要，关键性级别极高，一旦此业务活动/功能中断将会给公司极大的冲击与影响；2.yyy 系统、OA、邮件系统等都可暂时停止运作,短时间内对公司不会带来很大的冲击与影响；3.在 BCP 中，只需重点准备有， xxx 系统、网络的业务恢复的应急安排；4. 在对信息技术部所有的威胁中发生可能性与业务影响程度综合值最高的为火灾；5. 在 BCP 中，只需对火灾等造成场地被破坏发生的情节来准备相应的BCP 措施。-文档结束 -