業(yè)務影響分析報告

業(yè)務影響分析報告目錄TOC\o"1-5"\h\z\o"CurrentDocument"概述 1\o"CurrentDocument"級別劃分定義 1\o"CurrentDocument"核心業(yè)務活動影響分析 2\o"CurrentDocument"核心功效與恢復時間目的 3\o"CurrentDocument"影響核心業(yè)務的風險分析 3\o"CurrentDocument"解決方案 4\o"CurrentDocument"核心業(yè)務恢復所需資源 5\o"CurrentDocument"信息技術部同意決策 6概述業(yè)務影響分析目的通過業(yè)務影響分析，識別出信息技術部的核心業(yè)務以及這些核心業(yè)務所面臨的風險，確認客戶可接受的最大停止時間。當風險發(fā)生時，為了使業(yè)務活動能夠持續(xù)運作，明確恢復業(yè)務所依賴的重要組件，并針對各類風險制訂對應的解決方案。合用范疇xxx信息技術部級別劃分定義1）業(yè)務核心性級別的劃分級別取值描述高1此業(yè)務/功效對公司極其重要，核心性級別極咼，一旦此業(yè)務 /功效中斷將會給公司極大的沖擊與影響。中2此業(yè)務/功效對公司比較重要，核心性級別中，一旦此業(yè)務 /功效中斷將會給公司一定的沖擊與影響。低3此業(yè)務/功效對公司的重要性普通，核心性級別低，一旦此業(yè)務 /功效中斷給公司帶來的沖擊與影響普通。2）業(yè)務影響程度級別（B）的劃分:級別取值描述高5資產(chǎn)的安全性遭破壞后，可能造成公司核心業(yè)務長時間（二天以上）的中斷，有關的活動均受到影響，公司信譽、經(jīng)濟受到嚴重的損失。中3資產(chǎn)的安全性遭破壞后，可能造成公司核心業(yè)務短時間中斷（一天之內(nèi)） ，造成一定的損失。低1資產(chǎn)的安全性遭破壞后，可能造成公司業(yè)務的不正常運作，有關損失較少。3）威脅發(fā)生可能性（P）的級別劃分:級別取值原則描述

級別取值原則描述高5?從威脅的驅(qū)動因素來看，該風險很有可能會發(fā)生；或?以前曾經(jīng)發(fā)生過多次；或?以前發(fā)生多次，并且該安全事件呈上升趨勢。中3?過去曾發(fā)生過該風險；或?即使沒有發(fā)生，但沒有控制方法到位；低1?過去極少發(fā)生；或?已有控制方法到位4）業(yè)務影響的總體評價公式：U=P*B核心業(yè)務活動影響分析項目核心業(yè)務/功效所屬部門業(yè)務影響分析1.xxx系統(tǒng)此業(yè)務/功效對公司極其重要，核心性級別極高，一旦此業(yè)務/功效中斷將會給公司極大的沖擊與影響：無法獲取不良資產(chǎn)處置業(yè)務日常工作中所需的核心信息2.yyy系統(tǒng)此業(yè)務/功效對公司重要，核心性級別高，一旦此業(yè)務/功效中斷將會給公司比較大的沖擊與影響：無法支持內(nèi)部審計工作的信息化解決3.OA此業(yè)務/功效對公司重要，核心性級別高，一旦此業(yè)務/功效中斷將會給公司比較大的沖擊與影響4.郵件系統(tǒng)此業(yè)務/功效對公司比較重要，核心性級別中，一旦此業(yè)務/功效中斷將會給公司一定的沖擊與影響。

5.網(wǎng)絡此業(yè)務/功效對公司比較重要，核心性級別極高，一旦此業(yè)務/功效中斷將會給公司一定的沖擊與影響。核心功效與恢復時間目的項目功效描述級別可接受的最大停止時間/恢復時間目的1.xxx系統(tǒng)＜系統(tǒng)功效簡述＞122工作日2.網(wǎng)絡總部內(nèi)部、總部與辦事處網(wǎng)絡互聯(lián)，信息共享122工作日3.yyy系統(tǒng)＜系統(tǒng)功效簡述＞225工作日4.0A系統(tǒng)0A225工作日5.郵件系統(tǒng)接受郵件325工作日影響核心業(yè)務的風險分析項目風險威脅發(fā)生可能性（P)業(yè)務影響程度級別（B）總體評價（U）1.火災35152.水災1553.爆炸1554.地震1555.突發(fā)公共衛(wèi)生事件（如SARS339

項目風險威脅發(fā)生可能性（P）業(yè)務影響程度級別（B）總體評價（U）6.電力中斷（2天以上）1557.惡劣天氣（如沙塵暴）3138.病毒大規(guī)模暴發(fā)1339.外包人員集體辭職13310.回絕服務攻擊13311.網(wǎng)站被黑（數(shù)據(jù)不可用或被篡改）33912.核心服務器宕機15513.公司機密/絕密級信息泄密15514.其它重大自然災難155解決方案項目風險總體評價（U）解決方案1.火災15參考《業(yè)務持續(xù)性計劃》2.水災5參考《業(yè)務持續(xù)性計劃》3.爆炸5參考《業(yè)務持續(xù)性計劃》4.地震5參考《業(yè)務持續(xù)性計劃》5.突發(fā)公共衛(wèi)生事件9總部機房實施24小時值班制度，人員無法進入現(xiàn)（如SARS場時，可通過VPN實現(xiàn)控制6.電力中斷5總部機房UPS在正常使用狀況下，可堅持最少 4個小時；如電力仍未恢復，將由運維組聯(lián)系，盡

項目風險總體評價（U）解決方案快租賃一臺發(fā)電車。7.惡劣天氣（如沙塵暴）3總部機房實施24小時值班制度，人員無法進入現(xiàn)場時，可通過VPN實現(xiàn)控制8.公司各服務器及客戶端安裝統(tǒng)一的防病毒軟件，病毒大規(guī)模暴發(fā)3并時時更新，一旦出現(xiàn)病毒暴發(fā)的狀況，立刻將該類設備斷網(wǎng)，對病毒進行去除后再接入網(wǎng)。9.外包人員集體辭職3整頓完備的操作手冊及應急手冊，在選用供應商時保存1~2個作為候選。10.回絕服務攻擊3通過安全漏洞掃描，現(xiàn)在尚未發(fā)現(xiàn)這類風險。11.網(wǎng)站被黑（數(shù)據(jù)不可用或被篡改）9參考《門戶網(wǎng)站應急手冊》12.核心設備宕機5參考《主機系統(tǒng)應急手冊》、《網(wǎng)絡系統(tǒng)應急手冊》、《應用系統(tǒng)應急手冊》13.公司機密/絕密級信息泄密5發(fā)現(xiàn)這類問題后，立刻上報安全質(zhì)量管理組14.如果工作現(xiàn)場被破壞，參考《業(yè)務持續(xù)性計劃》 ；其它重大自然災難5如果工作人員不能進入現(xiàn)場，由于總部機房實施24小時值班制度，可通過VPN實現(xiàn)控制核心業(yè)務恢復所需資源項目功效資源其它1.xxx系統(tǒng)核心運維人員、應用開發(fā)人員及有關部門協(xié)調(diào)人員系統(tǒng)備份數(shù)據(jù)（磁帶）電腦、電話、供應商聯(lián)系方式2.yyy系統(tǒng)核心運維人員、應用開發(fā)人員及有關部門協(xié)調(diào)人員系統(tǒng)備份數(shù)據(jù)電腦、電話、供應商聯(lián)系方式3.OA核心運維人員、應用開發(fā)人員及有關部門協(xié)調(diào)人員系統(tǒng)備份數(shù)據(jù)電腦、電話、供應商聯(lián)系方式

項目功效資源其它4.郵件系統(tǒng)核心運維人員及相關部門協(xié)調(diào)人員系統(tǒng)備份數(shù)據(jù)電腦、電話、供應商聯(lián)系方式5.網(wǎng)絡核心運維人員及相關部門協(xié)調(diào)人員電腦、電話、供應商聯(lián)系方式信息技術部同意決策此業(yè)務影響分析成果經(jīng)與客戶確認，信息技術部做出下列決策:項目同意決策備注1.信息技術部的業(yè)務活動/功效中，xxx系統(tǒng)、網(wǎng)絡對公司極其重要，核心性級別極高，一旦此業(yè)務活動 /功效中斷將會給公司極大的沖擊與影響；2.yyy系統(tǒng)、0A、郵件系統(tǒng)等都可臨時停止運作，短