K書筆記本-Business Continuity and Disaster Recovery Planning(03)

從前面兩篇一直在提到BIA、BIA、BIA…講個不停的,前面不斷的說企業最重要的流程或商業命脈是透過BIA來找出來,
那麼BIA到底如何做,又有那一些目標?即然BIA是一種衝擊的分析、假想,那麼還是得要有個目標來做分析吧!
分析的流程可以從威脅分析(Threat Analysis;與RM相同嗎?)、緊急事件評估(Emergency Assessment;從過往的記錄取出?)…

從前面兩篇一直在提到BIA、BIA、BIA…講個不停的,前面不斷的說企業最重要的流程或商業命脈是透過BIA來找出來
那麼BIA到底如何做,又有那一些目標?即然BIA是一種衝擊的分析、假想,那麼還是得要有個目標來做分析吧!
分析的流程可以從威脅分析(Threat Analysis;與RM相同嗎?)、緊急事件評估(Emergency Assessment;從過往的記錄取出?)、
與第三方提供商及相關關係(Third party and Networked Relationship)…等等三個方向,可以說是以未來分析、過去統計、及人際

Threat Analysis
與風險分析的威脅分析相同,都是以視別及接受任何可能潛在的風險,又可以分為有天然因素、IT的問題、人為、機器的損壞、
供應鍊甚至關鍵人員的損耗,以風險管理的角度透過Owner找出Owner最觀注的商業流程或商業命脈。

Emergency Assessment
去取得載有所有事件詳細資訊的報表及內容,以事件軌跡的稽核來追查出事件、事故的起源,當然與IR(Incedent Response)有著絕對的關係
尤其在於受影響的範圍是一個評估的重點,以基於接受到的威脅分析所延伸出來的影響範圍來做有效的視別。
當然在已知的有影響的事件、事故中去分析應有的分類(Triage)以及提升處理等級程序(Escalation Procedures),與IR的觀念相同
當事件的處理被提升到成為事故的分類時,就馬上必須有一連串的處理程序及提升程序,而在IR中負責處理整個事故處理的權責單位就是EOC
(Emergency Operations Centre;緊急應變中心),EOC的組成也和BC相同,有著各個組織中的重點成員,全權處理提升需求所需事件的掌握
但,當判斷為事件或是事故時的通告(Notification)及警報(Alerting)亦是透過EOC來做發報連絡及緊急事件的處理程序
包括有協調回復及恢復的操作及連絡外部的通訊,當然…重點就在於歷史的事故、甚至其它企業曾遇到的歷史事故處理方法的參考
都是一種事件評估的方法。

Critical Business Functions

Critical Business Characteristics
其實就是BCP的核心,對於最急緊的商業流程有三個特質:時間的敏感性(Time Sensitivity)、資料的完整性(Data Integrity)及資訊分類(Classification)
Time Sensitivity:例如會計系統,當愈接近月底,在對於系統停擺的容許性會愈來愈急迫,這個就是屬於時間敏感性的特質。
Classification: 資訊的分類是給予相對的保護所必須投入的成本以及其相關的存取控制及備份備援政策的操作
Data Integrity: 在回復衝擊的備份資料時,隨著資料的損失及資料完整性的需求,會造成回復後的資料一致性,而備份、回復的內容,
就必須依照分類的內容來做相對映的備份政策。備份政策及復原政策是跟隨著不同分類有不同的定義,在BS 25999中有給予相當明確的定義
在此有三個名詞必須先做個大概的說明,在爾後的章節中有會有更詳細的解說;
RTO(Recovery Time Objective): 決定了復原政策,也決定了重建時間(Rebuild Time)的長短。
RPO(Recovery Point Objective): 決定了備份政策,決定了容許損失的資料量及時間點,例如導入的備份政策的是cluster還是使用備份還原的軟體。
MTD(Maximum Tolerable Downtime;可容許最大停機時間): 意指當流程或重要設備發生災難時到回復正常運作的時間。
在多數的MTD的數字愈小(10分鐘),那麼RTO就隨著愈小(<10分鐘),那麼備份的政策也就要愈即時(Cluster)

Identification of Critical Business Funcations
就其特性來說,也有三個,分別是作業面的衝擊(Operational Impact)、財務面的衝擊(Financial Impact)及公眾印象或關係的衝擊
(Reputation or Public Image Impact):
Operational Impact: 最大的影響例如像是產能的降低、或者是操作的程序問題(機器、自動)重點是觀注在效能(Performance)
Financial Impact: 伴隨著資產的損失,有可能延伸出來的是契約的解約、或者是無法如期交付應該要產出的資料造成財務上的短缺或是賠償
Reputation or Public Image Impact: 例如中國大陸毒奶事件,引發起所有人對於中國製的恐劇,也造成財務上的損失及要重建大眾信心的時間成本
當然,不可能只有這三個方法來做視別,包含有各個緊要的商業流程也是有其相關係性,也是牽一髮而動全身,不管是以符合最低需求的產出
還是提升最大的產能,這個都是必須經過owner的評估可接受的範圍

Third party and Networked Relationship
由合作夥伴的觀點來看可以分為有上游的關係及下游的關係,上游的部份也要觀注在合作夥伴是否可以准時的提供交付的服務
包含其可能衝擊產生時的配套措施,一般而言,上游的關係可以透過合約的簽定來對於衝擊產生時的補償。
而下游的關係就是觀注在SLA的提供了,但如同我方與上游的關係,必須在指定的時間內交付提供的服務,若我們在期望值內完成必須交付予下游的服務
那麼可以增加我們的公開關係,也有可能透過服務等級合同,來提升我方的加值。

BIA是主要做BCP及DRP的重點內容,透過找出最緊要的商務流程以提供相關的對策,將配套措施的價值發揮到最高,尤其是對於BCP的態度
最好是備而不用,但是若必須使用到它的時侯,除了可以給合作廠商對我們的承諾加以認同以外,亦可以使商業上無法預期到的災難回復速度提升到最快
以提供最佳的SLA,而對於SLA的提升,最佳的做法就是ITIL,到底IT可以為商業做些什麼呢?這個是ITIL的核心,而相對於BCP的內容則是一個應變對策
希望BIA的概念可以給大家帶來更多的想法,以及更多對RM、BCP、IR有更明確的界定及了解。


Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security