GB/T 24363—2009信息安全技術 信息安全應急響應計劃規范5.2 業務影響分析
5.2.1 概述
業務影響分析(BIA)是在風險評估的基礎上,分析各種信息安全事件發生時對業務功能可能產生的影響,進而確定應急響應的恢復目標。
5.2.2 分析業務功能和相關資源配置
對單位或者部門的各項業務功能及各項業務功能之間的相關性進行分析,確定支持各種業務功能的相應信息系統資源及其它資源,明確相關信息的保密性、完整性和可用性要求。
5.2.3 確定信息系統關鍵資源
對信息系統進行評估,以確定系統所執行的關鍵功能,并確定執行這些功能所需的特定系統資源。
5.2.4 確定信息安全事件影響
應采用如下的定量和/或定性的方法,對業務中斷、系統宕機、網絡癱瘓等信息安全事件造成的影響進行評估:
a)定量分析——以量化方法,評估業務中斷、系統宕機、網絡癱瘓等可能給組織帶來的直接經濟損失和間接經濟損失;
5.2.5 確定應急響應的恢復目標
根據業務影響分析的結果,同時結合GB/T AAAAAA和GB/T BBBBBB,確定應急響應的恢復目標,包括:
a)關鍵業務功能及恢復的優先順序;
b)恢復時間范圍,即恢復時間目標(RTO)和恢復點目標(RPO)的范圍。
推薦文章: