业务影响分析报告

业务影响分析报告本文简介：业务影响分析报告业务影响分析报告目录1.概述12.级别划分定义13.关键业务活动影响分析24.关键功能与恢复时间目标35.影响关键业务的风险分析56.处理方案.67.关键业务恢复所需资源78.信息技术部批准决议.8内部访问内部访问严禁修改严禁修改111.概述概述业务影响分析业务影响分析目标目标通过业

业务影响分析报告本文内容：

业务影响分析报告业务影响分析报告

目录

1.概述

1

2.级别划分定义1

3.关键业务活动影响分析2

4.关键功能与恢复时间目标3

5.影响关键业务的风险分析5

6.处理方案

.6

7.关键业务恢复所需资源7

8.信息技术部批准决议

.8

内部访问内部访问

严禁修改严禁修改

1

1

1.概述概述

业务影响分析业务影响分析

目标目标

通过业务影响分析，识别出信息技术部的关键业务以及这些关键业务所面临的风险，确

认客户可接受的最大停顿时间。当风险发生时，为了使业务活动能够持续运作，明确恢

复业务所依赖的重要组件，并针对各类风险制定相应的处理方案。

适用范围适用范围xxx

信息技术部

2.级别划分定义级别划分定义

1）业务关键性级别的划分）业务关键性级别的划分

级别级别取值取值描述描述

高

1

此业务/功能对公司极其重要，关键性级别极高，一旦此业务/功能中断将会给

公司极大的冲击与影响。

中

2

此业务/功能对公司比较重要，关键性级别中，一旦此业务/功能中断将会给公

司一定的冲击与影响。

低

3

此业务/功能对公司的重要性一般，关键性级别低，一旦此业务/功能中断给公

司带来的冲击与影响一般。

2

2）业务影响程度级别（）业务影响程度级别（B

B）的划分：）的划分：

级别级别取值取值描述描述

高5资产的安全性遭破坏后，可能导致公司关键业务长时间（二天以上）的中断，

相关的活动均受到影响，公司信誉、经济受到严重的损失。

中3资产的安全性遭破坏后，可能导致公司关键业务短时间中断（一天之内）

，造

成一定的损失。

低1资产的安全性遭破坏后，可能导致公司业务的不正常运作，相关损失较少。

3

3）威胁发生可能性（）威胁发生可能性（P）的级别划分：）的级别划分：

级别级别取值取值标准描述标准描述

内部访问内部访问

严禁修改严禁修改

2

2

级别级别取值取值标准描述标准描述

高

5

?从威胁的驱动因素来看，该风险很有可能会发生；或

?以前曾经发生过多次；或

?以前发生数次，并且该安全事件呈上升趋势。

中

3

?过去曾发生过该风险；或

?虽然没有发生，但没有控制措施到位；

低

1

?过去很少发生；或

?已经有控制措施到位

4）业务影响的总体评价公式：）业务影响的总体评价公式：U＝＝P＊＊B

3.关键业务活动影响分析关键业务活动影响分析

项目项目关键业务关键业务/功能功能所属部门所属部门业务影响分析业务影响分析

1.

xxx

系统此业务/功能对公司极其重要，关键

性级别极高，一旦此业务/功能中断

将会给公司极大的冲击与影响：无法

获取不良资产处置业务日常工作中所

需的关键信息

2.

yyy

系统此业务/功能对公司重要，关键性级

别高，一旦此业务/功能中断将会给

公司比较大的冲击与影响：无法支持

内部审计工作的信息化处理

3.

OA

此业务/功能对公司重要，关键性级

别高，一旦此业务/功能中断将会给

公司比较大的冲击与影响

4.

邮件系统此业务/功能对公司比较重要，关键

性级别中，一旦此业务/功能中断将

会给公司一定的冲击与影响。

内部访问内部访问

严禁修改严禁修改

3

3

5.

网络此业务/功能对公司比较重要，关键

性级别极高，一旦此业务/功能中断

将会给公司一定的冲击与影响。

4.关键功能与恢复时间目标关键功能与恢复时间目标

项目项目功能功能描述描述级别级别可接受的最大停顿时间可接受的最大停顿时间/

恢复时间目标恢复时间目标

1.xxx

系统

1

22

工作日

2.网络总部内部、总部与办事处

网络互联，信息共享

1

22

工作日

3.yyy

系统

2

25

工作日

4.OA

系统

OA2

25

工作日

5.邮件系统接收邮件

3

25

工作日

5.影响关键业务的风险分析影响关键业务的风险分析

项目项目风险风险威胁发生可能性威胁发生可能性

（（P））

业务影响程度级别（业务影响程度级别（B））总体评价（总体评价（U））

1.

火灾3515

2.

水灾155

3.

爆炸155

4.

地震155

内部访问内部访问

严禁修改严禁修改

4

4

项目项目风险风险威胁发生可能性威胁发生可能性

（（P））

业务影响程度级别（业务影响程度级别（B））总体评价（总体评价（U））

5.

突发公共卫生事件

（如

SARS）

339

6.

电力中断（2

天以

上）

155

7.

恶劣天气（如沙尘

暴）

313

8.

病毒大规模爆发133

9.

外包人员集体辞职133

10.

拒绝服务攻击133

11.

网站被黑(数据不

可用或被篡改)

339

12.

关键服务器宕机155

13.

公司机密/绝密级

信息泄密

155

14.

其它重大自然灾难155

6.处理方案处理方案

项目项目风险风险总体评价（总体评价（U））处理方案处理方案

1.火灾15参照《业务连续性计划》

2.水灾5参照《业务连续性计划》

3.爆炸5参照《业务连续性计划》

4.地震5参照《业务连续性计划》

5.突发公共卫生事件9

总部机房实行

24

小时值班制度，人员无法进入

内部访问内部访问

严禁修改严禁修改

5

5

项目项目风险风险总体评价（总体评价（U））处理方案处理方案

（如

SARS）现场时，可通过

VPN

实现控制

6.

电力中断5

总部机房

UPS

在正常使用情况下，可坚持至少

4

个小时；如电力仍未恢复，将由运维组联系，

尽快租赁一台发电车。

7.

恶劣天气（如沙尘暴）

3

总部机房实行

24

小时值班制度，人员无法进入

现场时，可通过

VPN

实现控制

8.

病毒大规模爆发3

公司各服务器及客户端安装统一的防病毒软件，

并时时更新，一旦出现病毒爆发的情况，立即将

该类设备断网，对病毒进行清除后再接入网。

9.

外包人员集体辞职3

整理完备的操作手册及应急手册，在选取供应商

时保留

1~2

个作为候选。

10.拒绝服务攻击3

通过安全漏洞扫描，目前尚未发现此类风险。

11.

网站被黑(数据不可

用或被篡改)

9

参照《门户网站应急手册》

12.

关键设备宕机5

参照《主机系统应急手册》

、

《网络系统应急手册》

、

《应用系统应急手册》

13.

公司机密/绝密级信

息泄密

5

发现此类问题后，立即上报安全质量管理组

14.

其它重大自然灾难5

如果工作现场被破坏，参考《业务连续性计划》

；

如果工作人员不能进入现场，由于总部机房实行

24

小时值班制度，可通过

VPN

实现控制

7.关键业务恢复所需资源关键业务恢复所需资源

项目项目功能功能资源资源其它其它

1.xxx

系统

关键运维人员、应

用开发人员及相关

部门协调人员

系统备份数据

（磁带）

电脑、电话、供

应商联系方式

2.yyy

系统

关键运维人员、应

用开发人员及相关

系统备份数据

电脑、电话、供

应商联系方式

内部访问内部访问

严禁修改严禁修改

6

6

项目项目功能功能资源资源其它其它

部门协调人员

3.OA

关键运维人员、应

用开发人员及相关

部门协调人员

系统备份数据

电脑、电话、供

应商联系方式

4.邮件系统

关键运维人员及相

关部门协调人员

系统备份数据

电脑、电话、供

应商联系方式

5.网络

关键运维人员及相

关部门协调人员

电脑、电话、供

应商联系方式

8.信息技术部批准决议信息技术部批准决议

此业务影响分析结果经与客户确认，信息技术部做出以下决议：此业务影响分析结果经与客户确认，信息技术部做出以下决议：

项目项目批准决议批准决议备注备注

1.

信息技术部的业务活动/功能中，xxx

系统、网络对公司极其重要，

关键性级别极高，一旦此业务活动/功能中断将会给公司极大的冲击

与影响；

2.

yyy

系统、OA、邮件系统等都可暂时停止运作,短时间内对公司不会

带来很大的冲击与影响；

3.

在

BCP

中，只需重点准备有，xxx

系统、网络的业务恢复的应急安

排；

4.

在对信息技术部所有的威胁中发生可能性与业务影响程度综合值最

高的为火灾；

5.

在

BCP

中，只需对火灾等造成场地被破坏发生的情节来准备相应的

BCP

措施。

---文档结束---