5.3 业务影响分析实践要点
业务影响分析是确定组织哪些业务要开发业务连续性计划的方法,也就是评估在灾难来临之时,组织最小化需要维持的经营活动。它可以帮助组织了解其关键产品和服务以及相关的业务活动;评估活动中断后随时间推移产生的影响,其中包括定性与定量的;为恢复活动确定优先级;以多快的速度恢复业务活动至最低可接受水平;识别恢复所需的关键资源、重要记录;识别相互依赖关系(包括内部和外部的);确定恢复目标(RTO[1]/RPO[2]),最后获得必要信息,并以此作为BCP的输入。
业务影响分析是业务连续性管理成功的基础,从业务的角度出发,获得业务恢复的需求。满足监管机构的合规性要求是制定业务发展策略的信息来源,是制定业务连续性管理策略的依据,是制定灾备建设策略和技术方案的依据,也是业务连续性计划的设计依据。
CSO在开展业务影响分析时应该遵循风险管理的思路,并基于组织的周边环境情况来进行客观评定,在分析过程中有一些重要环节需要考虑,这样才能获得准确的结果。
5.3.1 确定业务影响分析的对象
开展业务影响分析工作,CSO首先要确定业务影响分析的对象。分析的对象当然是组织的业务,但是在实际环境中,组织的“业务”其实是一个泛化的概念,它可以是组织生产的产品,也可以是组织部门的活动,还可以是人员的职责集合等。如何定义“业务”的概念,并全面无遗漏地分解组织的“业务”,是CSO实施业务影响分析的重点之一。
所谓的“业务”就是指组织中需要处理的事务,如销售、产品生产、服务提供等。在进行业务影响分析的过程中,“业务”指的就是组织各机构或部门日常工作所开展的事务。一般组织的部门是因为组织需要执行某种具有持续性特征的事务而组建并存在的,组织的各部门中都有各自稳定的、需要被持续性执行的事务存在,这些事务有机地聚合在一起,共同支持组织整体业务的开展。
举例来说,一个小型公司分为销售部、人事部、财务部、产品部,销售部的主要事务是销售产品,人事部的主要事务是人员入职、在职和离职的管理,财务部的主要事务是公司账务管理,产品部的主要事务是生产可供销售的产品。此例中业务影响分析的对象如表5-1所示。
表5-1 确定业务影响分析的对象
从这家公司的整体来看,它的“业务”就是“销售产品,实现盈利”。而从各部门角度看,它们内部又各自具备一些需要持续性开展的工作事务,这些事务就是这个部门的“业务”。
CSO并不需要了解组织的所有“业务”流程,以及这些流程需要的资源和供给,CSO可以从了解这些情况的人那里收集这些信息,比如各个部门的负责人或组织内的资深员工。
在开展业务影响分析时,CSO可以首先建立项目组,让熟悉各部门业务的人员加入其中,以调查或讨论会的形式收集相关信息;也可以对各部门负责人进行访谈,从而了解各部门运转的主要流程,以及部门和部门间的相互依赖关系,最好能够将收集的信息绘制成流程图,因为在整个业务影响分析和BCP制定阶段都需要用到它。
5.3.2 评价业务的重要性
完成组织的业务对象收集工作后,CSO要进行分析,确定哪些业务流程、设备或运营活动属于关键业务,哪些业务属于次要业务。这代表着在业务恢复过程中的优先次序。
在简单的方法中,我们可以通过评价业务的重要性、恢复时间目标(RTO)、恢复点目标(RPO)来进行综合评判。在下面这个例子中,在对一个数据托管机房开展业务影响分析时,我们采用了“定性+定量”的评价方式,分5级对各部门业务的业务重要性、恢复点目标、恢复时间目标进行主观评价,最终得出各部门各业务的关键性等级(如表5-2所示)。
表5-2 评价业务的重要性
所谓“定性+定量”的方式,其中“定性”是指主观评价,我们给每一个指标设计了高、中、低、偏高、偏低的主观评价标准,同时把这个评价结果转化为“定量”的1~5分的数值,然后进行打分并加权运算(本例中采用了平均值算法),最后得出一个数值,根据这个数值的高低来区分组织的哪几项业务是最关键的,需要优先关注(本例中关键值在4分以上的为关键业务)。
表5-3~表5-5是在上述过程中采用的打分标准。在业务重要性指标中,我们采用的评价方式是判断一旦该业务中断,对组织正常运转造成的冲击和影响程度。这种影响包括公司声誉的损失;不能满足行业监管部门要求,违反法律法规要求;影响客户满意度,造成客户流失;财务方面的损失等。
表5-3 业务重要性指标
在业务恢复点目标(RPO)指标中,我们采用的评价方式是判断如果发生业务中断,业务可以忍受丢失多少数据。
表5-4 RPO指标
在业务恢复时间目标(RTO)指标中,我们采用的评价方式是判断如果发生业务中断,业务可以忍受中断多长时间。
表5-5 RTO指标
在评价准则中,指标具体的评判值可以根据组织的实际情况进行调整。
在找出需要优先关注的关键业务之后,CSO应安排对关键业务的基本情况进行梳理,包括支持关键业务运转的IT设备及环境情况、人员情况、信息和数据的情况、工作环境的情况、设施设备及易耗品的情况、交通运输的情况、财务及供应商的情况等(见图5-1)。
图5-1 对关键业务的基本情况进行梳理
1)IT设备及环境:指支撑该项业务的信息系统及其关联系统。
2)人员:指完成该项业务的岗位、职责名称及其所需的最少员工人数。
3)信息和数据:指完成该业务所需要的所有数据或信息,如联系信息、合同、法律文件等。
4)工作环境:指该项业务的主要业务运营场地及备用场地。
5)设施设备及易耗品:指完成该项业务所必需的设备,包括系统外设、运营设备、办公设备(如打印机)等。
6)交通运输:为完成该业务所需要为员工提供的交通运输服务。
7)财务:开展业务所必需的紧急采购资金、员工补贴等。
8)供应商:开展该业务所必需的供应商服务。
5.3.3 评估灾难对关键性业务的影响
基于对各部门业务关键性评价的结果,CSO应安排对关键性高的业务开展灾难影响分析。并不是说关键性低的业务就不用开展灾难影响分析了,而是根据组织的既有资源来判断最终的BCP覆盖到哪个层面的关键性业务。一般我们建议在初次建立BCP时,可以只对关键性高的业务场景进行分析,这样可以体现影响组织经营要素的优先级。待关键业务BCP成熟之后,可以再将BCP的范围扩展到次级重要的业务领域中。
在开展灾难影响分析时,要根据组织所在地的环境特点识别可能面临的灾难,如火灾、水灾、地震、台风、断电等,尽量全面,并评价该类型灾难在组织所在地发生的可能性或概率。如同样是地震或台风,在上海或成都发生的可能性就是不同的。
然后将关键业务与灾难放置在一起进行“定性+定量”的评估,评估一旦这种灾难发生,对关键业务会造成多么严重的影响。表5-6中的示例进行了量化的加权运算(表5-6中的运算规则为“重要等级×可能性×影响”,此规则可自行调整),最终得出每种灾难对关键业务的“影响分析总值”分数。
表5-6 业务影响分析
CSO可以根据组织的人、财、物等资源的准备情况,设置一条“风险接受线”。如上述示例中我们设置了60分为风险接受线,也就是说对于“影响分析总值”得分超过60分的灾难场景,针对相应的关键性业务我们后续要制定BCP,而低于60分的,组织对这类灾难风险暂时接受,则不制定BCP。
这条“风险接受线”是动态的,接受风险得分越高,说明接受的风险越多,组织的抗灾难能力相对越弱;而接受风险得分越低,代表组织抗灾难能力越强,防御的颗粒度越细致。不过,因为需要考虑每一个高风险场景的BCP,所以后续需要形成更多的BCP。有效的BCP越多,说明业务连续性风险控制就相对更好,相应投入的建设资金和资源则需要更多。
在上述示例中,经过业务影响分析后得到的最终结果显示,组织的“IDC运维”业务在“重要设备故障”这一场景上面临重大的隐患,需要开发BCP。
5.3.4 形成决议
在业务影响分析阶段,CSO要注意将分析所形成的结果汇报给组织高层进行决策,之后才能开展相应的BCP开发工作,因为BCP的开发涉及资金及资源的保障,需要组织高层决策后才有效。
业务影响分析的方法有很多种,除了上述示例方法之外,CSO也可以将分析的对象调整为组织的业务系统,视组织的业务系统为“业务”也可以,如ERP、CRM、OA、EMAIL等,因为实际上它们在现代组织经营中已经成为驱动业务运转的核心设施。而在后续BCP开发中,也会有大量的资源投入到保障关键业务系统持续运转中来。
[1] RTO:恢复时间目标,是指灾难发生后,从IT系统宕机导致业务停顿之刻开始,到IT系统恢复至可以支持各部门运作、业务恢复运营之时,此两点之间的时间段要求。
[2] RPO:恢复点目标,是指灾难发生后,容灾系统能把数据恢复到灾难发生前时间点的要求。