5.3　業務影響分析實踐要點

業務影響分析是確定組織哪些業務要開發業務連續性計劃的方法，也就是評估在災難來臨之時，組織最小化需要維持的經營活動。它可以幫助組織了解其關鍵產品和服務以及相關的業務活動；評估活動中斷后隨時間推移產生的影響，其中包括定性與定量的；為恢復活動確定優先級；以多快的速度恢復業務活動至最低可接受水平；識別恢復所需的關鍵資源、重要記錄；識別相互依賴關系（包括內部和外部的）；確定恢復目標（RTO[1]/RPO[2]），最后獲得必要信息，并以此作為BCP的輸入。

業務影響分析是業務連續性管理成功的基礎，從業務的角度出發，獲得業務恢復的需求。滿足監管機構的合規性要求是制定業務發展策略的信息來源，是制定業務連續性管理策略的依據，是制定災備建設策略和技術方案的依據，也是業務連續性計劃的設計依據。

CSO在開展業務影響分析時應該遵循風險管理的思路，并基于組織的周邊環境情況來進行客觀評定，在分析過程中有一些重要環節需要考慮，這樣才能獲得準確的結果。

5.3.1　確定業務影響分析的對象

開展業務影響分析工作，CSO首先要確定業務影響分析的對象。分析的對象當然是組織的業務，但是在實際環境中，組織的“業務”其實是一個泛化的概念，它可以是組織生產的產品，也可以是組織部門的活動，還可以是人員的職責集合等。如何定義“業務”的概念，并全面無遺漏地分解組織的“業務”，是CSO實施業務影響分析的重點之一。

所謂的“業務”就是指組織中需要處理的事務，如銷售、產品生產、服務提供等。在進行業務影響分析的過程中，“業務”指的就是組織各機構或部門日常工作所開展的事務。一般組織的部門是因為組織需要執行某種具有持續性特征的事務而組建并存在的，組織的各部門中都有各自穩定的、需要被持續性執行的事務存在，這些事務有機地聚合在一起，共同支持組織整體業務的開展。

舉例來說，一個小型公司分為銷售部、人事部、財務部、產品部，銷售部的主要事務是銷售產品，人事部的主要事務是人員入職、在職和離職的管理，財務部的主要事務是公司賬務管理，產品部的主要事務是生產可供銷售的產品。此例中業務影響分析的對象如表5-1所示。

從這家公司的整體來看，它的“業務”就是“銷售產品，實現盈利”。而從各部門角度看，它們內部又各自具備一些需要持續性開展的工作事務，這些事務就是這個部門的“業務”。

CSO并不需要了解組織的所有“業務”流程，以及這些流程需要的資源和供給，CSO可以從了解這些情況的人那里收集這些信息，比如各個部門的負責人或組織內的資深員工。

在開展業務影響分析時，CSO可以首先建立項目組，讓熟悉各部門業務的人員加入其中，以調查或討論會的形式收集相關信息；也可以對各部門負責人進行訪談，從而了解各部門運轉的主要流程，以及部門和部門間的相互依賴關系，最好能夠將收集的信息繪制成流程圖，因為在整個業務影響分析和BCP制定階段都需要用到它。

5.3.2　評價業務的重要性

完成組織的業務對象收集工作后，CSO要進行分析，確定哪些業務流程、設備或運營活動屬于關鍵業務，哪些業務屬于次要業務。這代表著在業務恢復過程中的優先次序。

在簡單的方法中，我們可以通過評價業務的重要性、恢復時間目標（RTO）、恢復點目標（RPO）來進行綜合評判。在下面這個例子中，在對一個數據托管機房開展業務影響分析時，我們采用了“定性+定量”的評價方式，分5級對各部門業務的業務重要性、恢復點目標、恢復時間目標進行主觀評價，最終得出各部門各業務的關鍵性等級（如表5-2所示）。

所謂“定性+定量”的方式，其中“定性”是指主觀評價，我們給每一個指標設計了高、中、低、偏高、偏低的主觀評價標準，同時把這個評價結果轉化為“定量”的1～5分的數值，然后進行打分并加權運算（本例中采用了平均值算法），最后得出一個數值，根據這個數值的高低來區分組織的哪幾項業務是最關鍵的，需要優先關注（本例中關鍵值在4分以上的為關鍵業務）。

表5-3～表5-5是在上述過程中采用的打分標準。在業務重要性指標中，我們采用的評價方式是判斷一旦該業務中斷，對組織正常運轉造成的沖擊和影響程度。這種影響包括公司聲譽的損失；不能滿足行業監管部門要求，違反法律法規要求；影響客戶滿意度，造成客戶流失；財務方面的損失等。

在業務恢復點目標（RPO）指標中，我們采用的評價方式是判斷如果發生業務中斷，業務可以忍受丟失多少數據。

在業務恢復時間目標（RTO）指標中，我們采用的評價方式是判斷如果發生業務中斷，業務可以忍受中斷多長時間。

在評價準則中，指標具體的評判值可以根據組織的實際情況進行調整。

在找出需要優先關注的關鍵業務之后，CSO應安排對關鍵業務的基本情況進行梳理，包括支持關鍵業務運轉的IT設備及環境情況、人員情況、信息和數據的情況、工作環境的情況、設施設備及易耗品的情況、交通運輸的情況、財務及供應商的情況等（見圖5-1）。

1）IT設備及環境：指支撐該項業務的信息系統及其關聯系統。

2）人員：指完成該項業務的崗位、職責名稱及其所需的最少員工人數。

3）信息和數據：指完成該業務所需要的所有數據或信息，如聯系信息、合同、法律文件等。

4）工作環境：指該項業務的主要業務運營場地及備用場地。

5）設施設備及易耗品：指完成該項業務所必需的設備，包括系統外設、運營設備、辦公設備（如打印機）等。

6）交通運輸：為完成該業務所需要為員工提供的交通運輸服務。

7）財務：開展業務所必需的緊急采購資金、員工補貼等。

8）供應商：開展該業務所必需的供應商服務。

5.3.3　評估災難對關鍵性業務的影響

基于對各部門業務關鍵性評價的結果，CSO應安排對關鍵性高的業務開展災難影響分析。并不是說關鍵性低的業務就不用開展災難影響分析了，而是根據組織的既有資源來判斷最終的BCP覆蓋到哪個層面的關鍵性業務。一般我們建議在初次建立BCP時，可以只對關鍵性高的業務場景進行分析，這樣可以體現影響組織經營要素的優先級。待關鍵業務BCP成熟之后，可以再將BCP的范圍擴展到次級重要的業務領域中。

在開展災難影響分析時，要根據組織所在地的環境特點識別可能面臨的災難，如火災、水災、地震、臺風、斷電等，盡量全面，并評價該類型災難在組織所在地發生的可能性或概率。如同樣是地震或臺風，在上海或成都發生的可能性就是不同的。

然后將關鍵業務與災難放置在一起進行“定性+定量”的評估，評估一旦這種災難發生，對關鍵業務會造成多么嚴重的影響。表5-6中的示例進行了量化的加權運算（表5-6中的運算規則為“重要等級×可能性×影響”，此規則可自行調整），最終得出每種災難對關鍵業務的“影響分析總值”分數。

CSO可以根據組織的人、財、物等資源的準備情況，設置一條“風險接受線”。如上述示例中我們設置了60分為風險接受線，也就是說對于“影響分析總值”得分超過60分的災難場景，針對相應的關鍵性業務我們后續要制定BCP，而低于60分的，組織對這類災難風險暫時接受，則不制定BCP。

這條“風險接受線”是動態的，接受風險得分越高，說明接受的風險越多，組織的抗災難能力相對越弱；而接受風險得分越低，代表組織抗災難能力越強，防御的顆粒度越細致。不過，因為需要考慮每一個高風險場景的BCP，所以后續需要形成更多的BCP。有效的BCP越多，說明業務連續性風險控制就相對更好，相應投入的建設資金和資源則需要更多。

在上述示例中，經過業務影響分析后得到的最終結果顯示，組織的“IDC運維”業務在“重要設備故障”這一場景上面臨重大的隱患，需要開發BCP。

5.3.4　形成決議

在業務影響分析階段，CSO要注意將分析所形成的結果匯報給組織高層進行決策，之后才能開展相應的BCP開發工作，因為BCP的開發涉及資金及資源的保障，需要組織高層決策后才有效。

業務影響分析的方法有很多種，除了上述示例方法之外，CSO也可以將分析的對象調整為組織的業務系統，視組織的業務系統為“業務”也可以，如ERP、CRM、OA、EMAIL等，因為實際上它們在現代組織經營中已經成為驅動業務運轉的核心設施。而在后續BCP開發中，也會有大量的資源投入到保障關鍵業務系統持續運轉中來。

---

[1] RTO：恢復時間目標，是指災難發生后，從IT系統宕機導致業務停頓之刻開始，到IT系統恢復至可以支持各部門運作、業務恢復運營之時，此兩點之間的時間段要求。

[2] RPO：恢復點目標，是指災難發生后，容災系統能把數據恢復到災難發生前時間點的要求。