专题 Subject 编辑徐航
业务连续性管理需求的识别 =文/程瑜琦李书
[摘要]目前，组织在业务连续性管理过程中，主要精力放在了灾备和应急预案的建设上，而对于需求的识别却往往做得比较粗浅，影响了业务连续性管理的有效性，本文从业务影响分析和风险评估出发，简单描述如何进行需求识别。
[关键词]业务连续性管理业务影响分析风险评估
随着业务连续性管理逐渐成
熟，业务连续性管理不再仅用于应对灾难等低概率影响大的事件，而是逐步成为组织提升业务恢复能力，保护组织价值的管理过程，成为组织管理的一部分。国内组织对业务连续性管理日趋重视，很多组织，尤其是金融、电力等关系国计民生的企业，开展了业务连续性管理体系的建设。然而在一些组织，业务连续性管理的规划实施重点仅在灾备建设从基础环境、硬件设施等方面入手，或全面撤网建立应急预案，而应急预案则多空洞或仅关注技术层面。再遇到这种情况时，往往发现在业务连续性管理需求建立阶段做得工作比较少，或没有获得充足的信息。
那如何识别组织的业务连续
性管理需求呢？其中非常重要的一点就是要充分了解组织，这一活动的重点是收集信息，从而帮助组织制定合理的业务连续性管理方案，管理那些可能对组织造
0
万方数据
成严重损失的业务中断。具体的活动包含业务影响分析、资源需求分析和风险评估。
一、业务影响分析
所谓业务影响分析也就是评估一项业务活动在中断一定时间后对组织业务运营能力的影响，重点在通过业务影响分析找到需要保护的活动以及这些活动的最长可容忍中断时间（MTPD）。在这项工作开展之前，有两件事情需要完成：首先，得到管理层的支持，包括资源的提供和活动的协调，这是所有管理活动成功实施的基础，第二，需要初步确定业务联系性管理覆盖的范围，对于组织来说，可能有一些产品和服务必须纳入业务连续性管理范围内（这些信息可能来自于管理层或外部监管单位），因此，在业务影响分析之前就需要确定下来，最终的范围可以等到业务影响分析完成以后再确定。完成这两件事情之后，组织就可以着
手开始业务影响分析，通常，业务影响分析包含如下步骤。
1.分析产品或服务
分析确定业务连续性管理范围内的产品或服务。这一过程通常需要考虑很多方面，例如，产品或服务带来的收益、中断后的经济损失、名誉损失、可能带来的法律纠纷等。最好这些损失可以量化到经济损失，这对于说服管理层很重要，同时也是成本效益分析的基础，当然，这些量化工作需要丰富的经验数据支撑。
2.识别支持产品和服务的活动活动的识别需要通过信息收
集的方式来完成，对收集的信息进行梳理，将活动与产品和服务进行对应，当然，有的活动可以支持多项产品或服务，活动之间也会有相关支持的关系，这些信息同样需要进行收集。同时这一环节应识别活动的负责人以及可以提供活动相关信息的人员，为后期的信息收集做准备。