【IT168 评论】在制定灾难恢复计划时,一个非常重要的任务就是,要确定并想方设法避免潜在的威胁,同时为最坏的情况做准备。业务影响分析(BIA)提供了解决突发事件所需的信息,前提是您要事先做好万全准备。遵循详尽的业务影响分析清单,将帮助您强化灾难恢复策略。
业务影响分析对于业务连续性和灾难恢复(BC / DR)计划的制定是至关重要的。BIA包括对可恢复性要求的声明;优先级等级;以及支持高级管理人员在数据备份、备用设施、重复设备和其他资源上的投资的价值主张。它演示了组织的漏洞,在灾难发生前需要做什么才能满足企业的恢复需求,以及灾难重现时可以采取的措施。
BIA是一个复杂的过程,因此存在很大的出错可能。幸运的是,有一些关键方法可以确保您进行分析时不会错过任何一个步骤。使用BIA模板以及下面列出的步骤可能会有一些帮助。具体的计划因组织和行业而异,因此在查看业务影响分析清单时,请记下要在计划中强调的步骤,业务流程和应用程序。
改善业务影响分析的10种方法:
1、除应用程序外,还应考虑业务功能的中断。业务影响分析的驱动力是业务,所以需要解决的第一个问题是,如果无法执行业务职能,会对整个组织产生什么影响。第二个问题是该功能依赖于哪些应用程序。一些计划者可能倾向于优先考虑应用程序。尽管这些至关重要,但是在这个无法接受的停机时间的今天,保持业务连续性并尽快启动和运行系统至关重要。
2、对你的整个IT环境做出解释。尽管业务用户可能知道他们所依赖的应用程序,但他们通常并不知道这些应用程序所依赖的其他应用程序或基础架构。在确定应用程序的相对重要性时,分析人员需要了解整个IT环境:服务器、存储、网络、基础架构以及整个应用程序组合。
3、考虑多种情况下的损益。您不应该仅仅问自己:“如果某应用程序无法运行,将会损失多少钱?”其中还有许多其他应关注问题,例如:恢复系统时是否可以弥补损失?宕机会失去客户和销量吗?特定应用会造成多少损失?当执行BIA,财务信息会被收集,而且不会在确定恢复需求时使用,因为它太复杂。您应该考虑长时间停运对损益的影响,以及重建需要的资金和运营成本。
4、确认非财务损失,例如声誉损失。尽管财务损失对任何组织都是严重威胁,但它并不是高级管理层唯一关心的问题,对声誉和客户保留率的影响可能在他们的脑海中更为沉重。业务经理可能不完全了解他们的职能在公司的整个业务模型扮演什么样的角色,所以他们可能将财务风险全部归结于他们自己负责的业务的应用程序,而不是去考虑整个业务。在对潜在的中断和停机进行计划分析时,请确保每个人都会重点关注组织的声誉。
5、包括关于企业和单一用途应用程序的注意事项。一些应用程序比其他应用程序更重要,因为它们是为整个企业提供服务的。因此,可能没有一个业务经理会说明这类应用程序的整体重要性。但是,服务于单个业务功能或以不同方式服务于许多功能的应用程序可能不会那么容易被注意到。因此在制定计划时,最好评估组织最常使用和依赖的应用程序,并确保在分析时注意它们。
6、考虑数据中心应用。某些应用程序没有业务用户(例如支持业务应用程序的操作系统、数据库管理系统和数据中心工具)。基础架构必须在所有应用程序之前恢复,说起来似乎是这个道理,但这并不意味着,执行分析的那些不起眼的服务器上的操作系统,应该在信贷、交易或库存系统之前恢复。
7、区分BIA和风险评估。风险评估的作用是,确定哪些问题可能导致服务中断; 如果影响确实发生了,那么业务影响分析将展示其影响。风险评估是有益的,因为它可以帮助组织识别关键威胁并为关键威胁做好准备,这可以帮助分配灾难响应资源和计划并确定优先级。风险评估执行的业务功能与BIA 完全不同,因此请确保您没有将其中一项用作另一项的替代或捷径。业务影响分析的问题在于,无论因果关系如何,持续时间不断变化所造成的后果都是如此。
8、了解风险认可不能投机取巧。遍历整个业务影响分析清单是一个漫长的过程,因此,如果某些业务经理能够接受特定应用程序的停机时间,那么他们可能不想花时间来确定事件的影响。但是,对于一个部门而言,可接受的停机时间对于整个组织来说可能是不可接受的,因此,即使是可控的影响,也应予以考虑。
9、完成整个BIA流程。有时候,分析结果对于业务经理来说似乎很明显,因此他们可能会自动承担答案,而无需经历整个BIA流程。假设可能在80%的时间内产生正确的结果,但这意味着20%的时间内它们都是不正确的,这给任何给定组织中的业务功能和应用程序数量带来很多出错的机会。这为应用程序的不准确分析留下了空间,直到灾难来临,您才知道它。
10、不要低估BIA的结果。灾难恢复的成本很高,但是就业务影响分析的结果而言,这就没什么值得说的了。由于可预见的恢复成本,业务经理可能会选择低估由于其应用程序宕机将会对财务,运营或声誉造成的影响。在业务影响分析过程中可能犯的所有潜在错误中,这是最隐蔽的,因为它有意破坏了BIA即将生成的总体恢复需求。这可以理解,与将来可能甚至不会发生的灾难事件相比,业务经理更关心预算,但是这也可能会给企业带来潜在的、无法承受的风险负担。
正确进行业务影响分析
总体而言,您应该以开放的心态进行BIA,并遵循可能导致的事实。现有的先入之见可能会破灭,但是如果它是可靠的,那么根本就不需要业务影响分析清单。但是在太多的组织中,所谓的信息系统业务影响分析,仅仅是在几个IT经理之间的快速会议中进行的。
一个IT灾难恢复计划是业务连续性计划的一个子集,而且应用的关键程度取决于依赖于其上的业务功能的关键程度。任何组织的业务职能都是复杂且相互依存的,在大型公司中,它们可能会遍地交织,以至于理解一个业务与另一个业务之间的相对影响是一项非常艰巨的工作。但这是一项值得付出的努力,不仅是为了使高级管理层可以在业务连续性计划上多拨点预算,还在于它可以获得关于公司业务复杂性的更多见解。
原文作者:Steven Ross