GB∕T30146-2023 《安全與韌性 業(yè)務(wù)連續(xù)性管理體系 要求》“8.2 業(yè)務(wù)影響分析和風(fēng)險評估”理解與實施指導(dǎo)材料（2024A0）

“8.2業(yè)務(wù)影響分析和風(fēng)險評估”理解與實施指導(dǎo)材料GB∕T30146-2023《安全與韌性業(yè)務(wù)連續(xù)性管理體系要求》“8.2業(yè)務(wù)影響分析和風(fēng)險評估”理解與實施指導(dǎo)材料過程預(yù)期結(jié)果識別關(guān)鍵業(yè)務(wù)與風(fēng)險：確定組織內(nèi)最重要的業(yè)務(wù)流程及潛在的威脅，為決策和規(guī)劃提供基礎(chǔ)；設(shè)定恢復(fù)策略：基于業(yè)務(wù)的重要性和潛在影響，確定在中斷后如何快速、有效地恢復(fù)；輔助決策：為組織提供關(guān)于潛在影響和風(fēng)險的見解，指導(dǎo)戰(zhàn)略和日常決策；增強韌性：提升組織在面臨挑戰(zhàn)時的恢復(fù)能力和業(yè)務(wù)連續(xù)性；優(yōu)化資源：合理配置資源，專注于最關(guān)鍵和風(fēng)險最高的領(lǐng)域，提高整體效率；滿足財務(wù)、法規(guī)及社會披露要求的關(guān)鍵。財務(wù)透明：業(yè)務(wù)影響分析和風(fēng)險評估揭示業(yè)務(wù)中斷的財務(wù)后果及潛在財務(wù)風(fēng)險，支持財務(wù)決策，并確保對相關(guān)方的透明披露。法規(guī)遵從：這些分析幫助組織遵守法規(guī)和標(biāo)準(zhǔn)，確保向監(jiān)管機構(gòu)的合規(guī)報告。社會信任：通過分享業(yè)務(wù)連續(xù)性和風(fēng)險管理信息，組織回應(yīng)社會期望，增強公眾對其的信任。有關(guān)業(yè)務(wù)影響分析和風(fēng)險評估術(shù)語業(yè)務(wù)影響分析（BIA）分析一段時間內(nèi)中斷對組織造成的影響的過程。輸出是業(yè)務(wù)連續(xù)性要求的陳述和理由。業(yè)務(wù)影響分析主要關(guān)注業(yè)務(wù)活動中斷對組織造成的影響，特別是那些關(guān)鍵業(yè)務(wù)過程的中斷。風(fēng)險評估定義包括風(fēng)險識別、風(fēng)險分析和風(fēng)險評價的全過程。風(fēng)險識別：發(fā)現(xiàn)、確認和描述風(fēng)險的過程。風(fēng)險識別包括對風(fēng)險源、事件及其原因和潛在后果的識別。風(fēng)險分析：理解風(fēng)險性質(zhì)、確定風(fēng)險水平的過程。風(fēng)險分析是風(fēng)險評價和風(fēng)險應(yīng)對決策的基礎(chǔ)。風(fēng)險評價：對比風(fēng)險分析結(jié)果和風(fēng)險準(zhǔn)則，以確定風(fēng)險和/或其大小是否可以接受或容忍的過程。風(fēng)險評價有助于風(fēng)險應(yīng)對）決策。理解業(yè)務(wù)影響分析（BIA）和風(fēng)險評估（RA）表1：業(yè)務(wù)影響分析（BIA）和風(fēng)險評估（RA）關(guān)系說明項目業(yè)務(wù)影響分析（BIA）風(fēng)險評估（RA）定義BIA是確定和評估組織內(nèi)部關(guān)鍵業(yè)務(wù)過程中斷潛在影響的過程RA是識別、分析和評估可能對組織實現(xiàn)目標(biāo)產(chǎn)生負面影響的風(fēng)險的過程目的-確定關(guān)鍵業(yè)務(wù)過程和恢復(fù)優(yōu)先級-評估中斷對組織運營、財務(wù)和聲譽的影響-識別、量化和優(yōu)先處理潛在風(fēng)險-為風(fēng)險管理策略提供基礎(chǔ)關(guān)鍵特征-關(guān)注業(yè)務(wù)連續(xù)性和恢復(fù)-側(cè)重于中斷后的影響評估-關(guān)注潛在風(fēng)險的全面管理-側(cè)重于風(fēng)險的識別、評估和優(yōu)先級排序關(guān)鍵活動-識別關(guān)鍵業(yè)務(wù)過程-分析業(yè)務(wù)過程中斷的影響-確定恢復(fù)的優(yōu)先級-制定恢復(fù)策略和計劃-識別潛在風(fēng)險-分析風(fēng)險概率和影響-確定風(fēng)險的優(yōu)先級-制定風(fēng)險緩解策略和應(yīng)急計劃重要區(qū)別-BIA更關(guān)注中斷對業(yè)務(wù)的具體影響-BIA主要輸出恢復(fù)優(yōu)先級和策略-RA更廣泛地關(guān)注所有可能的風(fēng)險-RA輸出風(fēng)險優(yōu)先級和管理策略聯(lián)系：BIA為RA提供關(guān)鍵業(yè)務(wù)過程的背景，RA的結(jié)果可以為BIA提供風(fēng)險信息輸入兩者相互補充，共同支持業(yè)務(wù)連續(xù)性管理總則分析業(yè)務(wù)影響、評估中斷風(fēng)險與確定業(yè)務(wù)連續(xù)性策略和解決方案之間的關(guān)系通過實施并保持系統(tǒng)地分析業(yè)務(wù)影響（見8.2.2）和評估中斷風(fēng)險的過程（見8.2.3)，組織能夠獲得必要的信息和洞察力，以制定出更加有效和針對性的業(yè)務(wù)連續(xù)性策略和解決方案（見8.3)；業(yè)務(wù)影響分析為中斷風(fēng)險評估提供基礎(chǔ)：業(yè)務(wù)影響分析是分析一段時間內(nèi)中斷對組織造成的影響的過程。通過業(yè)務(wù)影響分析，可以識別出關(guān)鍵業(yè)務(wù)過程和資源，并了解這些過程和資源失效時可能造成的潛在影響；中斷風(fēng)險評估確保全面理解潛在中斷事件：中斷風(fēng)險評估是對可能導(dǎo)致業(yè)務(wù)中斷的內(nèi)外部因素進行識別、分析和評價的過程，通過評估這些風(fēng)險的可能性、潛在影響及其對業(yè)務(wù)連續(xù)性的整體威脅，可以獲得對潛在中斷事件的全面理解；業(yè)務(wù)影響分析和中斷風(fēng)險評估共同構(gòu)成確定業(yè)務(wù)連續(xù)性策略和解決方案的輸入：基于業(yè)務(wù)影響分析和中斷風(fēng)險評估的結(jié)果（即通過綜合考慮業(yè)務(wù)的關(guān)鍵性、敏感性和潛在的中斷風(fēng)險），組織可以確定更加針對性和有效的業(yè)務(wù)連續(xù)性策略和解決方案，這些策略和解決方案旨在確保組織在遭遇中斷事件時能夠迅速、有效地響應(yīng)，最小化業(yè)務(wù)損失和恢復(fù)時間，并盡快恢復(fù)正常運營.業(yè)務(wù)連續(xù)性策略和解決方案是組織應(yīng)對中斷事件、保障業(yè)務(wù)持續(xù)運營的關(guān)鍵手段。這些策略和方案的有效性直接取決于業(yè)務(wù)影響分析和中斷風(fēng)險評估的準(zhǔn)確性和全面性。對業(yè)務(wù)影響分析和風(fēng)險評估進行評審對業(yè)務(wù)影響分析和風(fēng)險評估進行評審的目的通過定期評審業(yè)務(wù)影響分析和風(fēng)險評估，組織可以及時發(fā)現(xiàn)和解決存在的問題，不斷優(yōu)化和完善其BCMS，確保組織的BCMS能夠持續(xù)適應(yīng)內(nèi)外部環(huán)境的變化，有效應(yīng)對潛在的業(yè)務(wù)中斷風(fēng)險，保障組織的業(yè)務(wù)持續(xù)運營和發(fā)展。對業(yè)務(wù)影響分析和風(fēng)險評估進行評審的時機；組織應(yīng)按策劃的時間間隔及當(dāng)組織或其所處的內(nèi)外部環(huán)境發(fā)生重大變化時，對業(yè)務(wù)影響分析和風(fēng)險評估進行評審。適宜的時間間隔應(yīng)基于組織的具體情況來確定，包括業(yè)務(wù)復(fù)雜性、環(huán)境變化速度、歷史風(fēng)險事件、資源可用性以及法規(guī)要求等因素來確定；可以是定期評審（如年度、半年度或季度）、事件驅(qū)動評審（發(fā)生重大事件后進行即時評審）、評審時間與業(yè)務(wù)周期對齊并根據(jù)實際情況和需要調(diào)整評審的時間間隔：當(dāng)組織或其所處的內(nèi)外部環(huán)境發(fā)生重大變化時（如市場變化、技術(shù)革新、政策法規(guī)變動、組織結(jié)構(gòu)調(diào)整、關(guān)鍵人員變動等），組織應(yīng)及時對業(yè)務(wù)影響分析和風(fēng)險評估進行評審，以確保其仍然有效和適用。對業(yè)務(wù)影響分析和風(fēng)險評估進行評審的內(nèi)容；評審的內(nèi)容應(yīng)包括業(yè)務(wù)影響分析的準(zhǔn)確性和完整性、風(fēng)險評估的有效性和適當(dāng)性、已識別風(fēng)險的變化情況以及新的潛在風(fēng)險的識別等。還應(yīng)評估現(xiàn)有的業(yè)務(wù)連續(xù)性策略和解決方案是否仍然適用和有效。對業(yè)務(wù)影響分析和風(fēng)險評估進行評審的結(jié)果（輸出）。評審的結(jié)果應(yīng)包括更新的業(yè)務(wù)影響分析和風(fēng)險評估報告，以及根據(jù)評審結(jié)果對業(yè)務(wù)連續(xù)性策略和解決方案的調(diào)整建議。這些輸出應(yīng)作為組織持續(xù)改進其BCMS的基礎(chǔ)。優(yōu)先活動風(fēng)險評估決定業(yè)務(wù)影響分析與評估的次序。優(yōu)先活動的風(fēng)險評估為組織提供了確定進行業(yè)務(wù)影響分析和風(fēng)險評估先后順序的重要依據(jù)。風(fēng)險識別與排序：通過評估優(yōu)先活動的風(fēng)險，可以識別出那些對業(yè)務(wù)連續(xù)性和關(guān)鍵業(yè)務(wù)流程有重大影響的風(fēng)險。這些風(fēng)險應(yīng)被優(yōu)先考慮進行更深入的業(yè)務(wù)影響分析和風(fēng)險評估；資源分配：在進行業(yè)務(wù)影響分析和風(fēng)險評估時，組織可以將更多的資源投入到對優(yōu)先活動影響最大的風(fēng)險上，以確保這些風(fēng)險得到充分地關(guān)注和處理；時間安排：根據(jù)優(yōu)先活動的風(fēng)險評估結(jié)果，組織可以確定進行業(yè)務(wù)影響分析和風(fēng)險評估的時間順序。對于那些對優(yōu)先活動影響更大、更緊迫的風(fēng)險，組織應(yīng)優(yōu)先安排進行相關(guān)的分析和評估工作。業(yè)務(wù)影響分析概述使用業(yè)務(wù)影響分析（BIA）過程的目的；使組織能夠識別業(yè)務(wù)活動在面臨中斷時可能對其運營造成的不利影響，并為組織恢復(fù)中斷活動確定業(yè)務(wù)連續(xù)性優(yōu)先級和要求，從而確保組織能夠在遭遇不利事件時迅速、有效地恢復(fù)關(guān)鍵業(yè)務(wù)功能。業(yè)務(wù)影響分析還使組織能夠：了解其產(chǎn)品和服務(wù)以及交付它們的活動；決定恢復(fù)產(chǎn)品和服務(wù)交付的優(yōu)先順序和時間范圍；確定連續(xù)性和恢復(fù)所需的資源；確定依賴關(guān)系（內(nèi)部和外部）。業(yè)務(wù)影響分析的主要關(guān)注；識別關(guān)鍵業(yè)務(wù)過程（優(yōu)先活動）：“優(yōu)先活動”通常指的是對組織運營至關(guān)重要、中斷后可能會導(dǎo)致重大損失或影響組織的生存能力；評估中斷潛在影響：評估每個關(guān)鍵業(yè)務(wù)過程在中斷后可能遭受的潛在影響。這包括財務(wù)損失、聲譽損害、市場份額下降、客戶流失等等負面影響；確定恢復(fù)時間目標(biāo)（RTO）和數(shù)據(jù)恢復(fù)點目標(biāo)（RPO）：基于潛在影響的評估，為每個關(guān)鍵業(yè)務(wù)過程設(shè)定恢復(fù)時間目標(biāo)（即業(yè)務(wù)功能需要在多長時間內(nèi)恢復(fù)）和數(shù)據(jù)恢復(fù)點目標(biāo)（即數(shù)據(jù)需要恢復(fù)到哪個時間點的狀態(tài)）；確定業(yè)務(wù)連續(xù)性優(yōu)先級：根據(jù)潛在影響的嚴(yán)重性和恢復(fù)目標(biāo)的緊迫性，組織可以確定不同關(guān)鍵業(yè)務(wù)過程的恢復(fù)優(yōu)先級。優(yōu)先級高的業(yè)務(wù)功能或流程在中斷后應(yīng)優(yōu)先得到恢復(fù)；將需要緊急措施的活動，并將其歸類為“優(yōu)先事項”，因此如果不迅速恢復(fù)這些活動，可能會造成不可接受的不利影響。優(yōu)先活動也可以被視為在其中斷前需要實施業(yè)務(wù)連續(xù)性解決方案的活動（見8,3.5)。例如，一項六個月內(nèi)不需要恢復(fù)但至少需要八個月才能恢復(fù)的活動需要優(yōu)先考慮。在進行業(yè)務(wù)影響分析時，使用的術(shù)語應(yīng)反映組織描述其運營的方式。每個組織都以自己的方式描述自己的運營方式，應(yīng)使用恰當(dāng)?shù)男g(shù)語來描述其運營的方式：通過使用與組織內(nèi)部文檔和溝通一致的術(shù)語，可更準(zhǔn)確地描述組織的運營方式。本標(biāo)準(zhǔn)使用術(shù)語“優(yōu)先活動”，但組織可以使用自己的術(shù)語、時間段或優(yōu)先順序。術(shù)語的例子包括“關(guān)鍵”“基本”“重要”和“主要”。時間段的示例包括“0-2小時”“0-1天”和“1—3天”。優(yōu)先級的例子包括“高”“中”和“低”，或“第一”“第二”和“第三”。業(yè)務(wù)影響分析的結(jié)果：確定業(yè)務(wù)連續(xù)性要求，編制（作為結(jié)果）一份關(guān)于業(yè)務(wù)連續(xù)性要求的聲明和理由?；跇I(yè)務(wù)影響分析，組織可以明確其業(yè)務(wù)連續(xù)性策略和資源分配的需求，包括制定恢復(fù)計劃、配置備用資源、建立應(yīng)急響應(yīng)團隊等。PDISO/TS22317:2021《安全性和韌性—業(yè)務(wù)連續(xù)性管理體系—業(yè)務(wù)影響分析指南》包含進行業(yè)務(wù)影響分析的進一步指導(dǎo)。它是一個技術(shù)規(guī)范，提出了一種滿足ISO22301要求的分階段方法。表2：業(yè)務(wù)影響分析過程、輸出及過程之間的關(guān)系說明步驟過程描述關(guān)鍵輸出邏輯關(guān)系說明(a)定義與組織環(huán)境相關(guān)的影響類型和準(zhǔn)則影響類型和準(zhǔn)則清單(a）為整個過程提供了基礎(chǔ)框架和評估準(zhǔn)則(b)識別支持提供產(chǎn)品和服務(wù)的活動活動清單（b）確定了對組織運營至關(guān)重要的活動(c)使用影響類型和準(zhǔn)則（來自（a)）來評估活動（來自（b)）中斷隨時間推移造成的影響影響評估結(jié)果（c）依賴于（a）提供的準(zhǔn)則和（b）確定的活動進行評估(d)識別不恢復(fù)活動（來自（b)）令組織無法接受的時間范圍，即最長可容忍中斷時間（MTPD）MTPD（d）基于（c）的評估結(jié)果，確定了關(guān)鍵活動的最大可容忍中斷時間(e)在MTPD（來自（d)）內(nèi)設(shè)置優(yōu)先級時間范圍，以便在確定的最低可接受能力上恢復(fù)中斷活動，即恢復(fù)時間目標(biāo)（RTO）RTO（e）確保在（d）的MTPD限制內(nèi)設(shè)定了活動的恢復(fù)時間目標(biāo)(f)運用業(yè)務(wù)影響分析（基于（c）和（d）的結(jié)果）來識別優(yōu)先活動（從（b）的活動清單中篩選）優(yōu)先活動清單（f）是（c）和（d）的綜合結(jié)果，確定了哪些活動需要優(yōu)先恢復(fù)(g)確定支持優(yōu)先活動（來自（f)）所需的資源所需資源清單（g）確保優(yōu)先活動所需的資源被正確識別(h)確定包括合作伙伴和供方在內(nèi)的依賴關(guān)系，以及優(yōu)先活動（來自（f)）間的依賴關(guān)系依賴關(guān)系清單（h）為制定完整的業(yè)務(wù)連續(xù)性計劃提供了關(guān)鍵的依賴關(guān)系信息表3：業(yè)務(wù)影響分析（BIA）過程應(yīng)用示例步驟過程描述關(guān)鍵輸出示例a)定義與組織環(huán)境相關(guān)的影響類型和準(zhǔn)則影響類型和準(zhǔn)則清單影響類型：財務(wù)損失、聲譽損害、客戶流失準(zhǔn)則：影響程度、恢復(fù)時間、恢復(fù)成本b)識別支持提供產(chǎn)品和服務(wù)的活動活動清單活動：生產(chǎn)制造、物流配送、客戶服務(wù)c)使用影響類型和準(zhǔn)則來評估活動中斷隨時間推移造成的影響影響評估結(jié)果生產(chǎn)制造中斷：高度財務(wù)損失，聲譽嚴(yán)重損害，客戶大量流失物流配送中斷：中度財務(wù)損失，聲譽一定損害，部分客戶流失客戶服務(wù)中斷：低度財務(wù)損失，聲譽輕微損害，少量客戶流失d)識別不恢復(fù)活動令組織無法接受的時間范圍，即最長可容忍中斷時間（MTPD）MTPD（最長可容忍中斷時間）生產(chǎn)制造：2小時物流配送：4小時客戶服務(wù)：8小時e)在MTPD內(nèi)設(shè)置優(yōu)先級時間范圍，以便在確定的最低可接受能力上恢復(fù)中斷活動，即恢復(fù)時間目標(biāo)（RTO）RTO（恢復(fù)時間目標(biāo)）生產(chǎn)制造：1小時內(nèi)恢復(fù)50%產(chǎn)能物流配送：2小時內(nèi)恢復(fù)70%配送能力客戶服務(wù)：4小時內(nèi)恢復(fù)80%服務(wù)能力f)運用業(yè)務(wù)影響分析來識別優(yōu)先活動優(yōu)先活動清單優(yōu)先活動：生產(chǎn)制造、物流配送g)確定支持優(yōu)先活動所需的資源所需資源清單資源：備用生產(chǎn)線、緊急物流合作伙伴、額外客服人員h)確定包括合作伙伴和供方在內(nèi)的依賴關(guān)系，以及優(yōu)先活動間的依賴關(guān)系依賴關(guān)系清單依賴關(guān)系：生產(chǎn)制造依賴于原材料供應(yīng)商物流配送依賴于運輸公司客戶服務(wù)依賴于CRM系統(tǒng)優(yōu)先活動間依賴關(guān)系：生產(chǎn)制造完成后才能進行物流配送定義與組織環(huán)境相關(guān)的影響類型和準(zhǔn)則明確與組織環(huán)境相關(guān)的評估準(zhǔn)則（包括影響類型和時間范圍）基于組織環(huán)境、業(yè)務(wù)目標(biāo)和組織目標(biāo)，并應(yīng)考慮相關(guān)方的需求明確業(yè)務(wù)影響分析的評估準(zhǔn)則（包括應(yīng)考慮的影響類型和時間范圍）。時間敏感性決定業(yè)務(wù)影響分析的時間范圍。根據(jù)自身的產(chǎn)品和服務(wù)特點來確定合適的時間范圍。組織在評估其業(yè)務(wù)影響時需要考慮產(chǎn)品和服務(wù)的時間敏感性。時間敏感性是指產(chǎn)品或服務(wù)對于時間變化的響應(yīng)和依賴程度。影響變得不可接受所需的時間可能在幾秒鐘到幾個月之間變化。對于提供時間特別敏感的產(chǎn)品或服務(wù)的組織來說（如金融服務(wù)、緊急醫(yī)療服務(wù)或?qū)崟r通訊服務(wù)等），業(yè)務(wù)中斷或性能下降可能在幾分鐘甚至幾秒鐘內(nèi)就變得不可接受。因此，這類組織在進行業(yè)務(wù)影響分析時，需要特別關(guān)注短時間范圍內(nèi)的影響，并制定相應(yīng)的應(yīng)對策略來確保業(yè)務(wù)的連續(xù)性和高可用性。較長的時間范圍適用于那些提供時間不敏感產(chǎn)品和服務(wù)的組織。對于提供時間不敏感產(chǎn)品和服務(wù)的組織來說，如制造業(yè)、零售業(yè)或某些咨詢服務(wù)等，業(yè)務(wù)中斷或性能下降可能在較長的時間范圍內(nèi)（如幾天、幾周甚至幾個月）才變得不可接受。表4：影響類型和影響時間范圍（示例）影響類型影響描述影響的時間范圍財務(wù)罰款損失：由于違反法規(guī)或合同條款而支付的罰款短期至中期罰金：因未能履行特定責(zé)任或義務(wù)而被處以的金錢懲罰短期至中期利潤損失：由于業(yè)務(wù)中斷或需求下降導(dǎo)致的收入減少中期至長期市場份額減少：由于聲譽受損、競爭加劇或市場變化導(dǎo)致的市場份額下降中期至長期聲譽負面意見：客戶、合作伙伴或公眾對組織的負面評價或反饋中期至長期品牌損失：品牌形象受損，導(dǎo)致品牌價值下降和消費者信任度降低長期運營業(yè)務(wù)運營流程中斷的范圍：受影響的業(yè)務(wù)流程、部門或地區(qū)的廣度短期至中期業(yè)務(wù)運營流中斷的持續(xù)時間：業(yè)務(wù)中斷的時長，從短暫故障到長期癱瘓不等短期至長期（取決于中斷原因和恢復(fù)能力）法律法規(guī)訴訟責(zé)任：因違反法律法規(guī)而面臨的法律訴訟和相應(yīng)的賠償責(zé)任中期至長期（取決于訴訟時長和解決方案）吊銷營業(yè)執(zhí)照：嚴(yán)重違法違規(guī)可能導(dǎo)致企業(yè)的營業(yè)執(zhí)照被吊銷，從而無法合法經(jīng)營長期（直至重新獲得營業(yè)執(zhí)照或公司關(guān)閉）合同違反組織間的合同：未能履行合同中的條款或義務(wù)，導(dǎo)致合同違約短期至中期（取決于合同解決和談判時長）違反義務(wù)：未能按照合同約定的時間、質(zhì)量或數(shù)量提供服務(wù)或產(chǎn)品短期至中期（取決于違約情況和補救措施）業(yè)務(wù)目標(biāo)未能實現(xiàn)目標(biāo)：由于各種干擾因素導(dǎo)致組織未能達到既定的業(yè)務(wù)目標(biāo)短期至中期（取決于目標(biāo)重設(shè)和策略調(diào)整）未能利用機遇：在市場變化或新機遇出現(xiàn)時，組織因準(zhǔn)備不足或反應(yīng)遲緩而錯失良機中期至長期（取決于機遇的時效性和組織的反應(yīng)速度）評估準(zhǔn)則應(yīng)定期評審，并在變化時期更頻繁地評審。確定評審頻率：組織應(yīng)根據(jù)其業(yè)務(wù)環(huán)境的變化速度、復(fù)雜性以及以往的經(jīng)驗來確定合適的評審頻率。一般來說，建議至少每年進行一次評審，但在快速變化的環(huán)境中，可能需要更頻繁地進行評審；增加臨時評審：除了定期的評審?fù)?，組織還應(yīng)在變化時期增加臨時評審。這些臨時評審可以針對特定的變化事件進行，以評估其對業(yè)務(wù)影響分析準(zhǔn)則的影響，并及時作出相應(yīng)的調(diào)整；靈活調(diào)整評審周期：在變化時期，組織還可以根據(jù)需要靈活調(diào)整評審周期，比如縮短評審周期以增加評審的頻次。確定支持組織產(chǎn)品和服務(wù)交付的活動業(yè)務(wù)影響分析應(yīng)涵蓋BCMS范圍內(nèi)的所有活動：BIA需要覆蓋這BCMS內(nèi)的所有活動，以確保沒有遺漏任何可能對業(yè)務(wù)連續(xù)性產(chǎn)生重大影響的因素，以確保分析的完整性?？梢詫顒咏M進行分析（見圖2)：根據(jù)不同的業(yè)務(wù)需求，將活動按組進行分類例如根據(jù)特定的產(chǎn)品或服務(wù)線進行分組，然后對這些活動組分別進行分析，以提高分析的實用性和有效性。圖2：理解組織示例：按產(chǎn)品線分組進行業(yè)務(wù)影響分析【背景】某公司是一家多元化的電子產(chǎn)品制造商，主要生產(chǎn)和銷售智能手機、平板電腦和智能家居設(shè)備。由于每個產(chǎn)品線的業(yè)務(wù)模式、市場需求和供應(yīng)鏈結(jié)構(gòu)都有所不同，因此公司在進行業(yè)務(wù)影響分析時，決定按照產(chǎn)品線將活動進行分組分析。A.智能手機產(chǎn)品線：關(guān)鍵活動：研發(fā)、生產(chǎn)、供應(yīng)鏈管理、市場營銷與銷售。業(yè)務(wù)影響分析：公司首先分析了智能手機市場需求的變化趨勢，評估了供應(yīng)鏈中斷、生產(chǎn)延遲或技術(shù)故障可能對產(chǎn)品上市時間和市場份額的影響。由于智能手機市場競爭激烈，產(chǎn)品更新?lián)Q代速度快，因此公司特別關(guān)注了時間敏感性因素，設(shè)定了較短的中斷容忍時間。B.平板電腦產(chǎn)品線：關(guān)鍵活動：研發(fā)、生產(chǎn)、分銷、客戶服務(wù)。業(yè)務(wù)影響分析：平板電腦市場相對穩(wěn)定，但受到新興技術(shù)（如可折疊屏幕、更高效的處理器等）的影響。公司分析了新技術(shù)對平板電腦市場格局的潛在影響，并評估了生產(chǎn)過程中可能出現(xiàn)的技術(shù)風(fēng)險。由于平板電腦通常有較長的產(chǎn)品生命周期，公司在設(shè)定中斷容忍時間時考慮了更寬泛的時間范圍。C.智能家居設(shè)備產(chǎn)品線：關(guān)鍵活動：產(chǎn)品研發(fā)、生產(chǎn)制造、物聯(lián)網(wǎng)技術(shù)集成、售后服務(wù)。業(yè)務(wù)影響分析：智能家居設(shè)備市場正在快速增長，但受到網(wǎng)絡(luò)安全和隱私保護等問題的挑戰(zhàn)。因此，公司重點分析了網(wǎng)絡(luò)安全事件可能對智能家居設(shè)備銷售和品牌聲譽的影響，并評估了與第三方服務(wù)提供商（如云服務(wù)提供商）的合作風(fēng)險。考慮到智能家居設(shè)備的互聯(lián)互通特性，公司還特別關(guān)注了系統(tǒng)故障可能導(dǎo)致的大范圍服務(wù)中斷風(fēng)險?；顒又袛嗫赡軙g接影響產(chǎn)品和服務(wù)的交付。在業(yè)務(wù)運營中，任何關(guān)鍵活動的中斷都可能對產(chǎn)品和服務(wù)的交付產(chǎn)生直接或間接的影響。這種影響可能源于多種原因，如財務(wù)問題、供應(yīng)鏈中斷、需求變化或周期性波動等；【示例】活動中斷與需求變化對產(chǎn)品和服務(wù)交付的潛在影響分析以向供應(yīng)商付款為例，如果組織無法按時向供應(yīng)商支付款項，可能會損害其與供應(yīng)商的關(guān)系，進而影響供應(yīng)商的合作意愿。供應(yīng)商可能會選擇停止供應(yīng)貨物或服務(wù)，這將直接導(dǎo)致組織無法繼續(xù)制造產(chǎn)品或提供服務(wù)。這種中斷不僅會影響組織的日常運營，還可能導(dǎo)致客戶流失和聲譽受損。產(chǎn)品和服務(wù)的需求可能會隨著市場條件、季節(jié)性變化或客戶偏好的改變而發(fā)生變化。例如，某些產(chǎn)品在特定季節(jié)可能需求量激增，而在其他時間則需求減少。同樣，服務(wù)的需求也可能因節(jié)假日、工作日或其他周期性事件而呈現(xiàn)波峰波谷的變化。如果組織未能預(yù)測并適應(yīng)這些需求變化，可能會導(dǎo)致庫存積壓、生產(chǎn)過剩或服務(wù)能力不足等問題，進而影響產(chǎn)品和服務(wù)的交付。在進行業(yè)務(wù)影響分析時，組織需要考慮到這些間接后果和潛在的需求變化。通過假設(shè)中斷發(fā)生在最糟糕的時間（如需求高峰期或關(guān)鍵項目交付日期前），組織可以評估出潛在的最大影響，并據(jù)此制定相應(yīng)的應(yīng)對策略。這些策略可能包括建立備用供應(yīng)商網(wǎng)絡(luò)、調(diào)整生產(chǎn)計劃以適應(yīng)需求變化、提前儲備關(guān)鍵資源等。確定支持組織產(chǎn)品和服務(wù)交付的活動的方法：流程映射：對組織的業(yè)務(wù)流程進行全面梳理和映射，流程映射可以包括從原材料采購、生產(chǎn)、分銷到最終交付給客戶的所有步驟；關(guān)鍵活動分析：在流程映射的基礎(chǔ)上，進一步分析哪些活動是關(guān)鍵性的，即如果這些活動中斷，將對產(chǎn)品和服務(wù)的交付產(chǎn)生重大影響；依賴性和關(guān)聯(lián)性分析：分析各個活動之間的依賴性和關(guān)聯(lián)性；訪談和問卷調(diào)查：與業(yè)務(wù)流程中的關(guān)鍵人員進行訪談或發(fā)放問卷調(diào)查，了解他們對支持產(chǎn)品和服務(wù)交付的活動的看法和經(jīng)驗；模擬和測試：在某些情況下，可以通過模擬中斷事件來測試哪些活動對產(chǎn)品和服務(wù)的交付至關(guān)重要。例如，可以模擬供應(yīng)鏈中斷、系統(tǒng)故障等情景，觀察哪些活動受到最大影響。使用影響類型和評估準(zhǔn)則來評估這些活動中斷后隨著時間的推移造成的預(yù)期影響預(yù)期影響評估的基本流程；使用影響類型和評估準(zhǔn)則，評估每個關(guān)鍵活動中斷后隨時間推移可能產(chǎn)生的影響程度。明確影響類型：組織需要清晰界定哪些類型的影響將被評估，影響類型應(yīng)與組織的目標(biāo)和關(guān)鍵績效指標(biāo)（KPIs）直接相關(guān)；選擇評估準(zhǔn)則：評估準(zhǔn)則用于量化每個影響類型，如財務(wù)指標(biāo)（如收入損失、額外成本）、運營指標(biāo)（如生產(chǎn)停工時間、訂單履行延遲）或客戶滿意度指標(biāo)（如投訴率、退貨率）。確定影響范圍：評估應(yīng)涵蓋中斷事件影響到的所有關(guān)鍵業(yè)務(wù)流程、部門、產(chǎn)品和服務(wù)。考慮時間因素：評估中斷發(fā)生后，影響將如何隨時間變化（包括初始影響、中期影響和長期影響），確定關(guān)鍵的時間點（如恢復(fù)服務(wù)的最短時間、影響開始減緩的時間以及完全恢復(fù)所需的時間）；利用數(shù)據(jù)和專家意見：收集歷史數(shù)據(jù)、行業(yè)基準(zhǔn)和專家意見來支持影響程度的評估；進行情景分析：構(gòu)建不同的中斷情景，包括最佳情況、最壞情況和最可能情況，以評估在不同情景下影響程度的差異。記錄和溝通結(jié)果：將評估結(jié)果詳細記錄，包括使用的評估準(zhǔn)則、假設(shè)、數(shù)據(jù)來源和關(guān)鍵發(fā)現(xiàn)。業(yè)務(wù)影響分析（BIA）的結(jié)果（輸出），通常包括以下幾個方面：影響程度評估：對每個關(guān)鍵活動中斷后的影響程度進行具體量化；影響類型分類：根據(jù)評估準(zhǔn)則，將影響分為不同類型；時間線分析：展示影響如何隨時間推移而變化的分析結(jié)果，包括初始影響、中期影響和長期影響的預(yù)測；優(yōu)先級排序：根據(jù)影響程度和恢復(fù)時間目標(biāo)（RTOs），對關(guān)鍵活動進行優(yōu)先級排序；風(fēng)險敞口分析：識別并量化組織在不同風(fēng)險情景下的潛在敞口（包括最佳情況、最壞情況和最可能情況）；恢復(fù)策略建議：基于影響分析結(jié)果，提出具體的恢復(fù)策略建議，包括備用資源調(diào)配、替代流程實施、緊急恢復(fù)計劃制定等。估算不恢復(fù)活動令組織無法接受的時間范圍“不可接受的影響閾值”：指組織在業(yè)務(wù)活動中斷后所能承受的影響達到一個不可接受的程度之前的臨界點（時間點），是組織在業(yè)務(wù)連續(xù)性受到威脅時所能容忍的最大風(fēng)險水平，用于衡量中斷對組織業(yè)務(wù)連續(xù)性的威脅程度。不可接受的影響閾值是確定最長可容忍中斷時間的基礎(chǔ)?！白铋L可容忍中斷時間（MTPD)”：影響變得不可接受所用的時間可稱為“最長可容忍中斷時間（MTPD)”“最長可容忍時間”或“最長可接受中斷”：它是組織在關(guān)鍵業(yè)務(wù)活動中斷后，從業(yè)務(wù)連續(xù)性角度考慮所能容忍的最長中斷時間，用于量化組織對業(yè)務(wù)活動中斷的容忍度。一旦確定了不可接受的影響閾值，組織就可以進一步估算在達到這個閾值之前允許的最長中斷時間，即最長可容忍中斷時間。由組織的最高管理者來確定組織不可接受的影響閾值：最高管理者應(yīng)根據(jù)組織的具體情況，綜合考慮各種因素（如組織的規(guī)模、業(yè)務(wù)類型、市場地位、客戶依賴度等），設(shè)定一個合理的最長可容忍中斷時間。設(shè)置優(yōu)先級時間范圍組織應(yīng)在其可容忍的業(yè)務(wù)中斷時間范圍內(nèi)，根據(jù)業(yè)務(wù)影響分析的結(jié)果，對不同的恢復(fù)任務(wù)進行優(yōu)先級排序，并設(shè)定一個具體的“恢復(fù)時間目標(biāo)（RTO)”，以確保在面臨業(yè)務(wù)中斷時，能夠在可容忍的時間內(nèi)以至少可接受的業(yè)務(wù)運營能力水平恢復(fù)關(guān)鍵業(yè)務(wù)活動。最長可容忍中斷時間（MTPD）：組織在業(yè)務(wù)活動中斷后所能容忍的最長時間范圍；設(shè)置優(yōu)先級時間范圍：在MTPD范圍內(nèi)，確定不同業(yè)務(wù)活動和恢復(fù)任務(wù)的優(yōu)先級；確定的最低可接受能力：組織在恢復(fù)過程中至少要達到的業(yè)務(wù)運營能力水平；恢復(fù)時間目標(biāo)（RTO）：恢復(fù)一項活動的時間范圍稱為活動的“恢復(fù)時間目標(biāo)（RTO)”。RTO是一個具體的時間目標(biāo)，表示組織希望在業(yè)務(wù)中斷后多長時間內(nèi)恢復(fù)其關(guān)鍵業(yè)務(wù)功能。RTO的設(shè)定應(yīng)基于MTPD和最低可恢復(fù)一項活動的時間范圍稱為活動的“恢復(fù)時間目標(biāo)（RTO)”接受能力的要求，確保組織在可容忍的時間內(nèi)恢復(fù)到至少可接受的業(yè)務(wù)運營能力水平。當(dāng)設(shè)置活動的恢復(fù)時間目標(biāo)（RTO）時，需要考慮：相關(guān)活動依賴關(guān)系：不同活動間常存在依賴，一個活動的恢復(fù)可能依賴于其他活動。因此，設(shè)置RTO時需分析這些依賴，確保整個業(yè)務(wù)流程的連續(xù)性；恢復(fù)過程的復(fù)雜性：活動的恢復(fù)過程可能簡單或復(fù)雜，涉及多個步驟、團隊或技術(shù)操作。評估恢復(fù)過程的復(fù)雜性有助于制定可行的RTO。對于具有復(fù)雜恢復(fù)過程的組織來說，為一系列可接受的能力設(shè)置多個恢復(fù)時間目標(biāo)（RTO）可能比較合適?！按笮豌y行在線業(yè)務(wù)中斷恢復(fù)策略：基于MTPD、優(yōu)先級時間范圍與RTO的協(xié)同應(yīng)用”【背景】假設(shè)某大型銀行因為一次意外的數(shù)據(jù)中心故障，導(dǎo)致其在線銀行業(yè)務(wù)中斷。這家銀行已經(jīng)進行了業(yè)務(wù)影響分析，并知道其最長可容忍中斷時間（MTPD）是4小時，即如果在線銀行業(yè)務(wù)中斷超過4小時，將會對銀行聲譽、客戶滿意度和財務(wù)收入造成不可接受的影響。應(yīng)用概念：最長可容忍中斷時間（MTPD）：在這個例子中，MTPD是4小時。銀行必須在4小時內(nèi)恢復(fù)其在線銀行業(yè)務(wù)，以避免接受的損失。設(shè)置優(yōu)先級時間范圍：銀行有多個恢復(fù)任務(wù)，如恢復(fù)數(shù)據(jù)庫、重啟服務(wù)器、驗證交易系統(tǒng)等。在MTPD的4小時范圍內(nèi)，銀行需要確定這些恢復(fù)任務(wù)的優(yōu)先級。假設(shè)銀行決定首先恢復(fù)數(shù)據(jù)庫（因為這是其他系統(tǒng)依賴的關(guān)鍵組件），其次是重啟服務(wù)器，最后是驗證交易系統(tǒng)。確定的最低可接受能力：銀行定義了最低可接受能力為能夠處理基本的存款、取款和轉(zhuǎn)賬交易。這意味著即使所有功能沒有完全恢復(fù)，只要這些基本交易能夠處理，銀行就認為達到了最低可接受能力?；謴?fù)時間目標(biāo)（RTO）：基于MTPD和最低可接受能力，銀行為每個恢復(fù)任務(wù)設(shè)置了RTO。例如，數(shù)據(jù)庫的RTO可能是1小時，服務(wù)器的RTO是1.5小時，交易系統(tǒng)驗證的RTO是1小時（這些時間加起來不超過MTPD的4小時）。在這種情況下，銀行實際上為一系列可接受的能力設(shè)置了多個RTO，以確保在MTPD內(nèi)逐步恢復(fù)到至少可接受的業(yè)務(wù)運營能力水平。結(jié)論：通過這個例子，我們可以看到MTPD為銀行提供了一個總體的時間框架，在這個框架內(nèi)，銀行必須恢復(fù)其業(yè)務(wù)。設(shè)置優(yōu)先級時間范圍確保了恢復(fù)任務(wù)的有效排序，而確定的最低可接受能力為恢復(fù)過程提供了一個清晰的目標(biāo)。最后，RTO的設(shè)定為銀行提供了一個具體的時間表，以指導(dǎo)其在業(yè)務(wù)中斷后逐步恢復(fù)其關(guān)鍵業(yè)務(wù)功能。對于復(fù)雜的恢復(fù)過程，為不同任務(wù)設(shè)置多個RTO是一種有效的策略，可以確?；謴?fù)過程的順利進行。運用業(yè)務(wù)影響分析來識別優(yōu)先活動業(yè)務(wù)影響分析應(yīng)包括確定優(yōu)先活動的依賴關(guān)系，使組織能夠確保將這些活動納入風(fēng)險評估（見8.2.3）并可用于確定業(yè)務(wù)連續(xù)性策略和解決方案（見8.3)。業(yè)務(wù)影響分析（BIA）識別優(yōu)先活動：BIA幫助組織找出最重要的業(yè)務(wù)活動，即優(yōu)先活動；通過評估每個活動中斷后的潛在后果（如財務(wù)、聲譽、客戶影響）來確定其優(yōu)先級。確定依賴關(guān)系：BIA還需明確優(yōu)先活動之間的依賴關(guān)系；了解一個活動中斷如何影響其他活動，有助于全面評估風(fēng)險。納入風(fēng)險評估與制定策略：將優(yōu)先活動及其依賴關(guān)系納入組織的風(fēng)險評估（見8.2.3）中；這些信息為制定業(yè)務(wù)連續(xù)性策略和解決方案（見8.3）提供了基礎(chǔ)，確?？焖倩謴?fù)關(guān)鍵業(yè)務(wù)活動。場景：一家電子商務(wù)公司的業(yè)務(wù)連續(xù)性規(guī)劃1.業(yè)務(wù)影響分析（BIA）識別優(yōu)先活動電子商務(wù)公司首先通過BIA來評估其各個業(yè)務(wù)活動的重要性。例如：商品展示：網(wǎng)站上商品的展示對吸引和保留客戶至關(guān)重要。在線支付系統(tǒng)：這是交易完成的關(guān)鍵環(huán)節(jié)。訂單處理與物流：確保商品按時到達客戶手中?？蛻舴?wù)支持：對于處理客戶疑問和問題非常關(guān)鍵。在這些活動中，在線支付系統(tǒng)可能被認為是優(yōu)先級最高的，因為它直接關(guān)系到交易的完成和資金的流入。2.確定依賴關(guān)系接著，公司識別了這些活動之間的依賴關(guān)系：商品展示依賴于網(wǎng)站的穩(wěn)定運行和數(shù)據(jù)庫的可訪問性。在線支付系統(tǒng)不僅依賴于網(wǎng)站的安全，還需要與銀行支付網(wǎng)關(guān)連接。訂單處理與物流依賴于在線支付系統(tǒng)確認支付后才能啟動，同時也依賴于倉庫管理系統(tǒng)和物流合作伙伴的服務(wù)。客戶服務(wù)支持可能需要訪問訂單處理系統(tǒng)和客戶信息數(shù)據(jù)庫以提供有效幫助。3.納入風(fēng)險評估與制定策略利用上述信息，公司進行風(fēng)險評估，識別出以下潛在風(fēng)險點：網(wǎng)站服務(wù)器故障導(dǎo)致商品展示不可用。銀行支付網(wǎng)關(guān)中斷影響在線支付系統(tǒng)。物流合作伙伴的服務(wù)中斷導(dǎo)致訂單無法按時送達。針對這些風(fēng)險點，公司制定了一系列業(yè)務(wù)連續(xù)性策略：設(shè)立冗余服務(wù)器以確保網(wǎng)站始終可用。與多個銀行建立合作關(guān)系，以防某個銀行的支付網(wǎng)關(guān)出現(xiàn)問題時有備選方案。與多家物流公司合作，以確保訂單能夠通過各種渠道及時送達客戶手中。確定支持優(yōu)先活動所需的資源在選擇連續(xù)性解決方案（見8.3.3）之前，組織應(yīng)謹(jǐn)慎確定優(yōu)先活動的資源需求（見8.3.4)，因為優(yōu)先活動的依賴關(guān)系可能與所選的連續(xù)性解決方案無關(guān)。優(yōu)先活動是指那些對組織運營至關(guān)重要、在業(yè)務(wù)中斷時必須迅速恢復(fù)的活動?！百Y源”可能包括人力、物力、技術(shù)、設(shè)施、數(shù)據(jù)以及其他任何對維持優(yōu)先活動至關(guān)重要的要素。在確定資源需求時，組織需要謹(jǐn)慎行事，因為資源的分配和利用將直接影響業(yè)務(wù)連續(xù)性計劃的成功與否。如果資源不足，可能無法支持優(yōu)先活動的正常運行；如果資源過剩，則可能造成浪費。優(yōu)先活動的依賴關(guān)系可能與所選的連續(xù)性解決方案無關(guān)。在選擇如何恢復(fù)和維持優(yōu)先活動的連續(xù)性解決方案時，組織應(yīng)認識到某些資源需求可能是獨立于特定解決方案的。即：無論選擇哪種連續(xù)性解決方案，某些資源都是必不可少的。在確定支持優(yōu)先活動所需的資源時，組織應(yīng)：識別并列出所有關(guān)鍵的優(yōu)先活動；分析每個優(yōu)先活動的資源需求；考慮這些資源需求是否可以通過多種連續(xù)性解決方案來滿足；確保所分配的資源既不過多也不過少，以支持業(yè)務(wù)連續(xù)性的目標(biāo)。確定包括合作伙伴和供方在內(nèi)的依賴關(guān)系，以及優(yōu)先活動間的依賴關(guān)系確定優(yōu)先活動的相互依賴關(guān)系（例如，采購依賴于財務(wù)提供資金）。優(yōu)先活動：指那些對組織運營至關(guān)重要、在業(yè)務(wù)中斷時必須迅速恢復(fù)的活動。為了確保這些活動能夠在緊急情況下持續(xù)進行，組織需要識別并理解它們之間的依賴關(guān)系。這些依賴關(guān)系可能涉及多個方面：包括人員（見8.3.4.2)信息和數(shù)據(jù)（見8.3.4.3)建筑物、工作場所和相關(guān)的公用事業(yè)（見8.3.4.4)設(shè)備和消耗品（見8.3.4.5)，信息和通信技術(shù)系統(tǒng)（見8.3.4.6)運輸和物流（見8.3.4.7)財務(wù)（見8.3.4.8）以及合作伙伴和供應(yīng)鏈（見8.3.4.9）等。人員：某些優(yōu)先活動可能依賴于特定的人員或團隊來執(zhí)行；如果這些人員不可用，活動可能無法恢復(fù)；信息和數(shù)據(jù)：許多活動依賴于關(guān)鍵的信息和數(shù)據(jù)；沒有這些數(shù)據(jù)，活動可能無法正常運行；建筑物、工作場所和相關(guān)的公用事業(yè)：一些活動需要在特定的建筑物或工作場所進行，并依賴于水、電、氣等公用事業(yè)；如果這些設(shè)施受損或不可用，活動將受到影響；設(shè)備和消耗品：許多活動依賴于特定的設(shè)備和消耗品；如果這些資源不足或損壞，活動可能無法恢復(fù)；信息和通信技術(shù)系統(tǒng)：大多數(shù)現(xiàn)代組織都依賴于各種信息和通信技術(shù)系統(tǒng)來支持其業(yè)務(wù)活動；這些系統(tǒng)的故障或中斷可能導(dǎo)致關(guān)鍵活動無法運行；運輸和物流：對于涉及實體產(chǎn)品或服務(wù)的組織來說，運輸和物流是關(guān)鍵因素；如果這些服務(wù)中斷，產(chǎn)品可能無法及時送達客戶；財務(wù)：所有活動都需要資金支持；如果財務(wù)資源不足或無法及時獲取，活動可能無法持續(xù)；合作伙伴和供應(yīng)鏈：許多組織依賴于外部合作伙伴和供應(yīng)鏈來提供關(guān)鍵的產(chǎn)品或服務(wù)。如果這些關(guān)系中斷，組織可能無法維持其業(yè)務(wù)活動。記錄業(yè)務(wù)影響分析，包括：識別法律法規(guī)和合同要求（義務(wù)）及其對業(yè)務(wù)連續(xù)性要求的影響（見4.2.2)：考慮與業(yè)務(wù)相關(guān)的法規(guī)、法律和合同，它們可能影響業(yè)務(wù)如何持續(xù)運行；對組織BCMS范圍的認可或修改（見4.30)：基于分析，確定是否需要調(diào)整業(yè)務(wù)連續(xù)性管理體系（BCMS）的范圍，以確保覆蓋所有關(guān)鍵活動；評估隨時間變化對組織的影響，作為業(yè)務(wù)連續(xù)性要求（時間和能力）的理由：評估如果業(yè)務(wù)中斷，隨著時間推移組織可能遭受的損失，這有助于確定恢復(fù)的緊迫性；識別產(chǎn)品與服務(wù)、活動與資源之間的關(guān)系：明確組織內(nèi)部的產(chǎn)品、服務(wù)和活動之間如何相互依賴；識別優(yōu)先活動所依賴的支持資源：找出那些對組織至關(guān)重要的活動所依賴的核心資源；識別對其他活動、供應(yīng)鏈、合作伙伴和其他相關(guān)方的依賴關(guān)系：識別組織依賴的外部供應(yīng)鏈、合作伙伴和其他相關(guān)方，并考慮它們對業(yè)務(wù)連續(xù)性的影響。信息可以來自：訪談；調(diào)查問卷；研討會；其它內(nèi)外部來源。ISO/IEC27031提供了有關(guān)確保電子保存數(shù)據(jù)的流通性的進一步指導(dǎo)。1SO/IEC27002為確保數(shù)據(jù)的持續(xù)機密性、完整性和可用性提供了指導(dǎo)。風(fēng)險評估組織應(yīng)實施并保持一個風(fēng)險評估過程。組織應(yīng)實施并保持一個正式的風(fēng)險評估過程，系統(tǒng)地識別、分析和評價組織的優(yōu)先活動以及支持這些活動的過程、系統(tǒng)、信息、人員、資產(chǎn)、供方和其他資源的風(fēng)險。組織應(yīng)實施并保持一個正式的風(fēng)險評估過程：風(fēng)險評估不是一次性的活動，而是需要定期、持續(xù)進行的過程。風(fēng)險評估過程應(yīng)是正式的，有明確的步驟、方法和責(zé)任人，確保評估的準(zhǔn)確性和一致性；系統(tǒng)地評估組織的優(yōu)先活動：風(fēng)險評估應(yīng)該是全面、結(jié)構(gòu)化和有條理的。組織先識別出其業(yè)務(wù)中的優(yōu)先活動，再分析這些活動可能面臨的風(fēng)險，最后，評價這些風(fēng)險的后果（嚴(yán)重性）和可能性，以確定其優(yōu)先級和應(yīng)對方式。系統(tǒng)地評估支持這些優(yōu)先活動的過程、系統(tǒng)、信息、人員、資產(chǎn)、供應(yīng)方和其他資源的風(fēng)險：將支持優(yōu)先活動的業(yè)務(wù)流程、IT系統(tǒng)、關(guān)鍵信息、員工隊伍、物理資產(chǎn)、供應(yīng)商和其他外部資源等要素和資源納入風(fēng)險評估的范圍，全面評估其風(fēng)險狀況。風(fēng)險評估是一個結(jié)構(gòu)化的過程，用于在決定在可能需要的進一步處置之前，根據(jù)可能性和后果分析風(fēng)險。這個結(jié)構(gòu)化的過程試圖回應(yīng)一些基本的問題，比如：會發(fā)生什么？識別可能影響業(yè)務(wù)連續(xù)性的潛在風(fēng)險事件或威脅；它或它們發(fā)生的可能性有多大？評估每個潛在風(fēng)險事件發(fā)生的概率，以了解風(fēng)險管理的優(yōu)先級；會有什么后果？分析風(fēng)險事件對組織可能造成的財務(wù)、聲譽、運營等后果。有什么可以減輕后果或降低可能性的嗎？考慮并實施降低風(fēng)險影響或發(fā)生概率的策略和措施。注：GB∕T24353-2022《風(fēng)險管理指南》闡述了風(fēng)險評估過程。風(fēng)險評估的目的：使組織能夠評估優(yōu)先活動中斷的風(fēng)險，并據(jù)此制定和實施有效的風(fēng)險應(yīng)對措施，以確保組織的業(yè)務(wù)連續(xù)性；風(fēng)險評估過程應(yīng)考慮組織環(huán)境以及相關(guān)方的需求和期望（見4.1和4.2)；識別并理解其內(nèi)外部環(huán)境中的相關(guān)因素，包括潛在的風(fēng)險和機遇；確定與組織相關(guān)