业务连续性问与答Q13(上)·业务影响分析和风险评估的定义、关联和区别
问题:如何进行业务影响分析和风险评估? 回答: 业务影响分析和风险评估是众多业务连续性管理活动的基础,可能是业务连续性管理领域最重要的主题了,但同时也可能是最混乱的主题,在其中有太多误解、谬误和疑问,比如下面这些问题: 到底是先做RA还是BIA? (这是一个“老”问题,年年有人问,也有人年年问;-) ) 怎么识别、确定业务啊?这就象是个不可能完成的任务? 业务部门报过来的RTO/RPO全是0,怎么办? 几个业务部门报过来的影响都是重大(但数据标准不一),怎么汇总啊?…… 按财务、客户、合规和声誉这些维度评估中断对不同业务的影响时,有些业务流程(如向监管机构报告)没有财务影响数据怎么办? ……
下面我争取从业务影响分析和风险评估的定义、关联和区别;业务影响分析和风险评估的实施过程;以及业务影响分析、风险评估和能力规划的关系方面对上述问题进行回答。
1.业务影响分析和风险评估的定义、关联和区别
业务影响分析和风险评估的定义 业务影响分析,在ISO 22301:2012 3.8中给出的定义是,“分析活动以及业务中断可能带来的影响的过程” (process of analyzing activities and the effect that a business disruption might have upon them) 。 (首先,需要说明的是,在ISO的管理体系中,“业务从广义上解释为对于组织的存在而言具有核心价值的活动”) 【在ISO/FDIS 22301:2019 3.5中给出的定义是,“分析随时间推移中断对组织的影响的过程” (process of analyzing the impact over time a disruption on the organization) 】
风险评估,在ISO 22301:2012 3.50中给出的定义是:“风险识别、风险分析和风险评价的整个过程” (overall process of risk identification, risk analysis and risk evaluation) 。【ISO 22300:2018中3.203定义与ISO 22301:2102保持一致, ISO /FDIS 22301 :2019 中 略去该定义 】
根据这两个定义, 业务影响分析重在“分析业务中断可能带来的影响”,并且关注这个影响“随时间推移的变化”,但它并不关心业务中断发生的可能性 ;风险评估包括“风险识别、风险分析和风险评价” (来自ISO 31000) ,结合风险的定义, 风险评估不但关注“会发生什么”,还关注“可能性与后果” 。
突发应急事件和运营中断事件 组织的正常业务活动依赖于特定的业务运营环境,以及多种多样的资源,包括但不限于:人员,信息和数据,建筑物、工作环境和配套公用事业服务,设施、设备和耗材,信息通信技术系统,交通工具,资金,合作方和供应商等。 当组织的运营环境或关键资源出现问题(如法院或监管机构裁决、关键设备故障、供应链中断或者人员无法进入工作场所等)时,就会造成业务运营中断 ,如下图1所示。
图1 业务活动与依赖性资源
当然,造成运营中断事件的原因可能是多种多样的,有可能是外部事件,如自然灾害、事故灾难、公共卫生事件和社会安全事件对组织运营环境或关键资源造成了冲击或破坏,也有可能是信息技术故障(如信息系统技术故障、配套设施故障)、外部服务中断(如第三方无法合作或提供服务等)、人工破坏(如黑客攻击、恐怖袭击)、员工操作失误等意外导致,但不管是何种原因,运营中断一定是由业务活动依赖的运营环境或关键资源出现问题所导致的,如下图2所示。
图2 突发应急事件和运营中断事件
业务影响分析和风险评估的价值与意义 考虑到组织的资源总是有限的,所以组织无法也不可能同时恢复所有的中断业务, 对中断的业务排定恢复优先级是业务影响分析的根本价值 。由于组织的业务之间可能存在相互依赖性,在进行业务恢复时需要先行恢复被中断业务依赖的业务,也就是说,在排定业务恢复优先级时那些被依赖的业务将会依序排在前面。如果在之前设定业务连续性管理体系的范围时没有纳入这些被依赖的业务,在业务影响分析后,就需要重新调整(或再次确认)业务连续性管理体系的范围。
除了排定业务的恢复优先级之外,业务影响分析还应确定每项业务的恢复目标和恢复所需的关键资源。 (业务恢复目标至少应包括最长可容忍中断时间(MAO/MTDP)、最小业务连续性目标(MBCO)、恢复时间目标(RTO)和恢复点目标(RPO)) 。
组织及其业务活动面临的风险场景很多,可以说, 突发应急场景不可穷尽 (但 运营中断场景是可穷尽的,留个思考题,想想为什么? ),因此,组织必须对面临的风险进行评估,也就是识别、分析和评价这些风险,将那些影响大、发生可能性高的风险优先进行处置(根本的原因还是因为组织的资源是有限的)。风险评估的目的是确定风险清单及需要处置的风险。
除此之外,业务影响分析有助于分析并确定重要的运营中断场景,为业务连续性策略提供决策依据,为业务连续性计划、业务恢复预案和资源建设建立基础,为演练和测试、培训和意识教育提供素材,为审计和能力评估提供素材和依据。风险评估有助于分析并确定重要的突发应急场景,为业务连续性策略提供决策依据,为应急响应预案建立基础,为演练与测试、培训与意识教育提供素材,为审计和能力评估提供素材和依据。如下图3、图4:
图3 业务影响分析的价值与意义
图4 风险评估的价值与意义
业务影响分析和风险评估小结 业务影响分析的主要目的是确定业务恢复优先级、恢复目标和恢复所需的关键资源,风险评估的目的是确定风险清单以及需要处置的风险,业务影响分析和风险评估将为其它如业务连续性策略决策、预案编制、演练与测试、培训与意识教育、审计与能力评估建立基础。
业务影响分析方法主要用于业务连续性管理领域,对其理解和应用上的难点在于许多专业人员以前没接触过业务影响分析的概念,不清楚为什么要做业务影响分析、业务影响分析包括哪些内容以及如何有效地进行业务影响分析。
而风险评估这个概念要通用得多,许多专业人员在不同领域,如信息安全、安全生产、质量管理、项目管理等领域可能接触过风险评估,但正因为此,没有意识到 业务连续性管理中的风险评估并不是通用的或以上特定领域的风险评估,而指的是业务连续性风险评估 ,识别、分析和评价的是 破坏 (disruption) 组织的优先活动(业务)及其关键资源的风险。 (需要指出的是,银监会104号文第二十八条明确“ 商业银行应当开展业务连续性风险评估 ,识别业务连续性运营所需的……”;而ISO 22301:2012在8.2.3 风险评估只是在具体条款中明晰风险评估的内容,ISO的改进是在ISO/FDIS 22301:2019 8.2.3风险评估中给出注释明确“ 本分条款中的风险与业务活动的中断相关 (Risks in this subclause relate to the disruption of business activities.))
事实上,如果只是为了业务恢复而进行业务连续性风险评估,只需评估优先业务活动的关键资源可能面临的威胁即可,脆弱性评估有时可以略去。这也是我在6月份的 “业务连续性+• BIA/RA问题征集 ( 附 4则信息动态) ” 中第2部分“BIA/RA前沿讨论”所说的不少机构在业务连续性管理中不做完整的风险评估的主要原因。
当然,在实务中如果你所在组织的业务连续性管理还包括安全生产、信息安全或其它领域,那你所做的风险评估当然还会有所不同。
……(未完待续,接下来还会有 业务影响分析5步法、风险评估5步法及业务影响分析、风险评估和能力规划的关系)
============ 精采回顾 ===========
0 . 业务连 续性问与答Q 0: 大纲 Ver2.0 业务连续性问与答(大纲 ) Ver1.0,已废弃
第一部分业务连续性是什么? 1. 业务连续性问与答Q 1 :不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(下 )
第二部分业务连续性为什么? 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM?
第三部分业务连续性怎么管? 一般性讨论 5. 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(上 ) 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(下 ) 6. 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? (上) 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? ( 下 ) 7. 业务连续性问与答Q 7: 当我们谈安全时,我们谈些什么?当我们 谈风险 时,我们谈些什么?当我们谈韧性时,我们谈些什么?
业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(上 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 中 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 下 )
项目集管理和领导力 9. 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(上 ) 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(下 )
业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 上 ) 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 下 )
业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 上 ) 业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 下 ) 业务连续性问与答Q 11 : 领导 让我负责单位的业务连续性工作,我想认真了解一下业务连续性经理的工作?(附 )
能力规划 12. 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 上 ) 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 中 ) 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 下 )
“ 一个好问题,胜过一百个好答案! ”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。 由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。
原文发表于公众号”业务连续性+” | 原文链接