任何业务都涉及一定程度的风险。 当你的 公司 扩大,这些风险会加剧,并有更大的潜在危害。 虽然您无法完全保护您的公司免受所有可能的最坏情况的影响,但业务影响分析 BIA 可帮助您准备好应对这些风险发生的后果。 因此,它可以为您的公司提供最好的恢复机会。 我们将介绍一些业务影响分析示例以及进行分析所涉及的过程。
什么是业务影响分析 BIA?
业务影响分析 BIA 是您的组织用来分析和评估由灾难、事故或紧急情况导致的重要业务活动中断的可能后果的结构化程序。 业务影响分析是公司的重要组成部分 业务连续性计划.
A 商业 影响分析将向您展示如果您的业务流程因业务中断而中断,您的公司将受到怎样的影响。 进行业务影响研究还可以让您独立并相互关联地分析每个流程和部门,确定哪些职能对您公司的持续运营最为关键,并制定恢复策略。
虽然业务影响分析对于遵守任何主要数据安全框架并不是必不可少的(尽管它适用于 符合 ISO 22301 标准)。 这是创造美好的第一步 业务连续性计划 为您的公司。 最后,贵公司的财务和声誉健康是它从灾难中恢复的能力,无论是数据泄露、自然灾害还是其他类型的业务中断。
业务影响分析还将为您提供保持遵守法律和数据安全义务所需的工具,以及在合乎道德和合法地运作的同时从业务中断中恢复过来。 虽然个别部门可能了解流程或功能中断的后果,但除非您进行业务影响分析并将所有信息放在一个地方,否则您将无法完全了解整个公司的这些后果。
另请参阅: 市场清算价格:如何找到市场清算价格(+详细指南)
业务影响分析 BIA 中的常见损失示例
我们不可能在这里提到每一个业务中断场景。 此外,您的公司不太可能针对每种可能的损失情况制定和实施策略。
相反,请专注于最常见的业务影响分析损失示例以及它们可能如何损害您的公司。 考虑这些业务影响分析示例; 如果您的公司有制造部件,您必须为导致损失的事故做好准备。 火灾、管道破裂和机器故障都是非常现实的风险。 或者,如果您的公司销售 CRM 软件,客户希望他们的销售/客户数据在他们需要时随时可用。
因此,您的工程团队必须确保您的应用程序具有高可用性。 您可能需要为系统添加冗余以抵御故障,并密切监视您的应用程序及其运行的系统。 这是为了确保您的客户尽可能减少干扰。
每个公司都必须为业务紧急情况做好准备。 生产服务器出现故障、供应商未能按时或根本无法交付供应品、劳资纠纷、停电、关键员工的流失以及网络攻击都可能对您的组织产生负面影响。
自然和人为的灾难也是业务中断的主要来源。 根据您公司的办公室、存储设施、服务器或其他重要业务运营所在的位置,您应该为最有可能伤害您的灾难做好准备。 地震、飓风、野火、恐怖袭击或大停电都会以不同的方式对您的业务产生影响。 因此,您必须为他们做好计划。
业务影响分析 (BIA) 的流程步骤
没有单一的方法来进行业务影响分析。 每家公司都会有所不同,每家公司都必须根据组织的具体要求调整方法。 但是,必须包含业务影响分析的一些元素才能使其成功。
#1。 准备
在开始业务影响分析之前,您必须首先组装 项目组 那将执行它。 这可能是一个由现有人员组成的团队,也可能是一个致力于进行业务影响评估的外包团队。 为了准备业务影响分析的实际工作,该团队应与更高管理层合作确定并记录影响研究的目标和范围。
在开始之前,您应该决定您将涉及哪些部门、如何收集和维护信息以及项目时间表。
#2。 获取信息
业务影响分析的下一阶段是收集有关业务流程的原始数据。 与监督和执行每个流程的人员进行面谈以及业务影响分析问卷是收集这些数据的两种最常见的方式。 收集信息的最有效方法是通过业务影响分析问卷。 如果您使用访谈而不是问卷调查,您将收集以下相同的信息。 但是,它的标准会降低。
获取信息问卷
以下是问卷中包含的精选问题:
- 程序的名称
- 您将在何处执行该程序的完整描述。
- 所有过程的输入和输出
- 过程中使用的资源和工具
- 程序的用户
- 事件的顺序
- 财务和运营后果
- 任何监管、法律或合规后果
- 以前的数据
从本质上讲,您的列表应该包括各个部门的员工可以回答的问题。 管理人员很可能会了解财务和运营影响。 但是,执行流程的较低级别的员工将能够提供详细的描述以及所有的输入和输出。 您的合规人员、内部法律顾问或部门管理人员可以就监管和法律影响提供答案。 您还可以将调查分发给了解该流程的外部业务合作伙伴或参与其中或与此相关的高级管理人员。
最后,任何执行或监督流程任何组件的人都应完成业务影响分析调查。 这是产生最全面可行的策略。
一旦全部 调查 已收集,您应该将所有数据汇编成一个文件,清楚地列出每个阶段的上述信息。 检查是否缺少任何信息,以及收集的数据是否简洁明了。 这是为了确保阅读它的每个人都了解该过程以及有关它的最重要信息。 如果有帮助,您甚至可以为每个阶段制作流程图。
#3。 审查和分析信息
一旦您收集了有关每个业务流程的所有必要信息,就可以开始效果研究。
业务影响分析团队将检查每个流程以确定三件事:
哪些功能和流程对您的业务持续运营至关重要? 该判断将产生所有进程的优先列表。 如果明天发生大规模悲剧,这份清单会告诉贵公司哪些程序需要先恢复,哪些可以等待。
每个流程要顺利运行需要哪些人力和技术资源? 如果流程失败,您将能够优先考虑人员和技术。
将流程恢复到正常(或尽可能接近正常)操作的恢复时间表是什么? 在做出此决定时,请检查实际需要多长时间以及您的团队需要多快才能恢复流程以避免任何声誉或金钱损失。 此外,发现这两者之间的任何重大差距。
如果您发现某个流程必须在 12 小时内运行才能让您的公司继续运转,但您现有的资源只能在 24 小时内使其运行,那么您的业务影响研究的建议部分必须解决这个问题。
最后,您应该有一个优先处理的进程列表和重要功能的恢复顺序。 这将确保您的公司可以快速确定在业务中断的情况下如何优先恢复。 领导层将能够选择首先关注的内容,无论事件是影响每个部门、单个部门还是整个公司的几个部门。
#4。 开发业务影响分析 BIA 报告
在您查看并确认所有这些信息后,您将开发一份业务影响分析报告以提交给最高管理层和其他灾难恢复利益相关者。 该报告是您的业务影响研究最重要的结果。 它将用于将您的发现和建议传达给您组织中有权更改灾难恢复过程的人员。
如果没有业务影响研究,您公司的灾难恢复策略就无法完全创建和有效。 这是因为您的灾难恢复过程将建立在一个摇摇欲坠的基础之上。 如果您的公司的领导层不了解哪些流程对于启动和运行最重要以及需要哪些资源,那么他们就无法建立一个完全知情的灾难恢复程序。 在开发和提交报告时,请确保您的业务影响分析团队和公司的领导团队了解这一点。
您的最终业务影响研究报告应至少包含以下信息:
- 总结
- 业务影响分析的范围和目标
- 收集信息的方法
- 调查结果摘要
- 每个部门的深入调查结果,包括:
- 最重要的程序或功能
- 中断对业务的许多部分的影响
- 可以容忍的中断持续时间
- 可接受的损失水平
- 可使用的恢复程序的预期财务费用和预期价格的比较
- 支持调查结果的文件
- 康复建议
这是您将提交给管理层和利益相关者的报告,以便让他们深入了解流程。 它将帮助他们掌握您的发现,然后了解恢复每个过程的最佳解决方案是什么。 花时间确保它是全面的,写得很好,并且易于理解。
#5。 基于业务影响分析的推荐实施
此过程的最后阶段是将建议付诸行动。 一旦您的团队完成了业务影响研究并传达了调查结果,最终将由领导层采取行动。 但是,您的团队可能会协助宣传研究结论并说服领导层贯彻您的建议。
当您发现之前的任何建议未按计划运行、采用新流程或成立新部门时,最后阶段应包含对建议的更新和修订。 此外,您的公司不是静态实体; 它在不断变化和扩展,您的业务影响研究也应该反映这一点。
BIA 如何支持遵守法规和标准?
通过指出潜在的不合规领域并提供改进建议,业务影响分析 (BIA) 可以帮助遵守法规和标准。 BIA 可能会发现关键业务流程没有足够的保护措施来保护敏感信息。 为了降低风险并保持与适用法规和标准的一致性,该数据可用于制定纠正措施。
BIA 如何用于支持持续改进?
业务影响分析 (BIA) 的结果可以通过阐明其最紧迫的机会和威胁来帮助公司稳步改进。 没有足够的备份或恢复计划的重要业务运营,或者没有针对效率进行优化的流程,只是 BIA 可以帮助阐明的各种问题的两个例子。 这些数据可用于为加强组织阻力和保持进步的战略提供信息。
BIA 如何支持恢复策略的制定?
借助从 BIA 收集的数据,企业可以更好地为任何类型的中断做好准备并从中恢复过来。 BIA 可以告诉您业务的哪些部分至关重要,中断可能造成多大的损失,以及恢复和运行需要哪些资产和资源。 这些数据可用于制定恢复计划,以尽快使关键服务恢复在线,同时将中断降至最低。
技术在 BIA 中的作用是什么?
业务影响分析领域在很大程度上依赖于技术进步 (BIA)。 许多事件都有可能扰乱公司的运营,包括信息技术的使用及其提供的服务。
结论
无论您是出于合规目的(例如 ISO 22301 审核)使用业务影响分析,还是只是将其保存以供将来参考,都应将其保存在您的合规、IT 安全和领导团队可以轻松访问的位置。
您可以在程序中为您的文档设置策略和截止日期提醒,以便在需要查看/重新访问文档、策略或分析时立即通知您或您的同事。
业务影响分析常见问题解答
影响分析包括什么?
影响评估的过程包括 活动或事件的隔离 最有可能影响业务、财务和运营的因素。 在外部范围内,影响分析着眼于这些事件的社会、经济和环境意义,并评估它们的影响。
什么是业务影响分析示例?
需要考虑的影响包括:
- 销售和收入损失。
- 延迟销售或收入。
- 费用增加(例如,加班、外包、加急费用等)
- 监管罚款。
- 合同罚款或合同奖金的损失。
- 客户不满或背叛。
- 新业务计划的延迟
您如何进行影响分析?
实施影响评估的步骤是什么?
- 选择要评估的项目。
- 进行可评价性评估。
- 准备研究计划。
- 影响评估的合同和人员。
- 进行实地研究并分析其结果。
- 传播影响评估结果。
应多久执行一次业务影响分析?
每两年 BIA 是一个时间点分析——您的情况可能在一两年内发生变化。 建议每两年更新一次 BIA; 但是,对于某些企业来说,它会更长(如果情况没有太大变化),而对于其他企业来说,它会更短(银行必须每年做一次)。
