2025ISO∕TS 22317-2021 安全与韧性 - 业务连续性管理体系- 业务影响分析指南（译-2025）

国际标准第2版安全与韧性-业务连续性管理体系-BIA指南(译，2024) 引言 1范围 2规范性引用文件 13术语和定义 14前提条件 1 14.2环境和范围 14.2.1环境 4.2.2范围 24.3角色和职责 2 24.3.2BIA负责人 24.3.3活动负责人 2 25BIA过程 35.1基础 35.2策划BIA 35.3商定执行BIA过程的方法 35.3.1理解影响 35.3.2规定影响类型和准则 45.3.3规定时间范围 65.3.4规定方法 75.4与最高管理者一起确定产品和服务的优先级 75.4.1总则 75.4.3产品和服务优先级确定 85.4.4成果 85.5确定优先活动 8 8 85.5.3识别活动 85.5.4为活动设置RTO 85.5.5规定优先活动 9 95.6确定资源和其他依赖关系 95.6.1确定资源和其他依赖关系要求 95.6.2资源要求 95.7分析和巩固BIA结果 5.8获得最高管理者对BIA结果的批准 6.1评审BIA过程和方法 6.2评审BIA结果 附录B(资料性附录):BIA信息收集方法 附录C(资料性附录):业务影响分析(BIA)过程的其他用途 附录D(资料性附录):执行业务影响分析示例 23 33国际标准化组织(ISO)是由各国标准化团体(ISO成员团体)组成的世界性的联合会。制定国际标准工作通常由ISO的技术委员会完成。各成员团体若对某技术委员会确定的项目感兴趣，均有权参加该委员会的工作。与ISO保持联系的各国际组织(官方的或非官方的)也可参加有关工作。ISO与国际电工委员会(IEC)在电工技术标准化方面保持密切合作的关系。制定本文件及其后续标准维护的程序在ISO/IEC指引第1部分均有描述。应特别注意用于各不同类别ISO文件批准准则。本文件根据ISO/IEC导则第2部分的规则起草(见/directives或www.iec.ch/members_ex本文件中的某些内容有可能涉及一些专利权问题，对此应引起注意。ISO不负责识别任何这样的专利权问题。在标准制定期间识别的专利权细节将出现在引言/或收到的ISO专利权声明清单中 本文件中使用的任何商品名称仅为方便用户而提供的信息，并不构成认可。ISO与合格评定相关的特定术语和表述含义的解释以及ISO遵循的世界贸易组织(WTO)贸易技术壁垒(TBT)原则相关信息访问以下URLL:。在IEC中，请参见www.iec.ch/understanding-standards本文件由国际标准化组织/安全技术委员会ISO/TC292安全与韧性技术委员会编制。本版为第二版，取代并替代了第一版(ISO/TS22317:2015),并进行了技术修订。主要变更如下：——已更新本文件，以符合ISO22301:2019的要求；——已更新文件结构，以改进对业务影响分析(BIA)过程的描述；——更加侧重于BIA过程，而对业务连续性计划的关注有所减少；BIA和BIA过程已进行了明确区——BIA过程角色已整合为BIA负责人和活动负责人；——已删除“初始BIA考虑因素”一节，并将相关指导内容重新分布；——已删除“策略选择”一节，因其内容属于ISO/TS22331;——已删除术语附录；——已增强BIA信息收集方法附录；已新增包含执行BIA示例的附录。关于本文件的任何反馈或者疑问都应直接向用户的国家标准机构提出。完整的国家标准机构列表可访问/members.html以及www.iec.ch/national-committees获取。和程序BIA过程分析中断对组织的影响。其结果是业务连续性优先级和需求的陈述及论证。BIA的每一个的范围都可以是有限的，但它们加在一起应覆盖整个BCMS的范围。组织应定期(例如，每年)评审并执行BIA过程，并在组织或其环境发生重大变化时执行该过程。在本文件中，使用了“BIA”“BIA过程”以及“结果”和“成果”等术语。图2示出了这些术语的使用方式。—评审BIA——为在组织内执行有效的BIA过程提供基础；——协助组织以一致的方式规划、执行和报告BIA过程。选择最合适的方法将受到组织规模、行业、地点或环境等因素的影响。b)识别法律、法规和合同要求(义务)及其对业务连续性优先级和需求的影响；c)评估中断随时间对组织的影响，作为业务连续性优先级和需求的理由；d)估计中断发生后，产品和服务受到的不利影响变得不可接受所需的时间[最大可容忍中断期(MTPD)];f)确定中断发生后执行优先活动所需的资源，包括其依赖关系和要求，并指定RTO和适用的恢复点目标g)确定供方、合作伙伴和其他相关方的依赖关系；g)确定优先活动的相互依赖关系。图3显示了BIA过程，以及其先决条件和与选择业务连续性策略和解决方案的关系。图中提及的条款对应于本文件的子条款。02商定执行02(第4章)确定优先确定资源确定优先确定资源和其他依三分析和巩分析和巩图3:BIA过程VII翻译2024-08 安全与韧性-业务连续性管理体系-BIA指南本文件为组织提供实施和保持适合其需求的正式和形成文件的业务影响分析(BIA)过程的指导。它并没有规定统一的BIA程序。本文件适用于所有类型的组织，无论其规模、性质和所在部门(私营、公共或非营利部门)。这些指导可以根据组织的需求、目标、资源和限制进行调整。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。IS022300安全与韧性术语ISO22301安全与韧性业务连续性管理体系要求3术语和定义ISO22300、ISO22301界定的以及下ISO在线浏览平台：https://www.isoIEC在线电工术语库：http://www.el虽然本文件与ISO22301的要求一致，但它可用——规定BIA过程的环境和范围(见4.2);——规定并传达角色和职责(见4.3);——获得领导层的承诺并分配足够的资源(见4.4)。4.2环境和范围4.2.1环境BIA过程的成果依赖于组织对以下方面的理解，以便通过向客户提供产品和服务来实现其目的：——外部运行环境(包括供方、法定和监管机构);——内部运行环境，包括业务过程、活动和资源，以及产品和服务交付中断可能造成的潜在影响；11 4.2.2范围组织应首先对其范围内的所有产品和服务进行优先级排序，这可以包括内部策略服务(见5.4.3)。优先级较高的可以先进行处理。4.3角色和职责4.3.1总则——在组织内分配并沟通相关角色的职责和权限；——负责BIA过程的人员具备相应能力；——提供执行BIA过程所需的资源。最高管理者应确保任命以下角色(其他角色也可能适用)来执行BIA过程：a)BIA负责人(此人可与BCMS管理者为同一人)(见4.3.2);b)活动负责人(见4.3.3)。4.3.2BIA负责人——确保有具备所需能力的人员来执行BIA过程；——准备并提供BIA方法；——策划和管理BIA过程：——确保活动负责人提供的信息在整个组织内保持一致；——对活动负责人提供的信息进行整合和分析；——将结果提交给最高管理者以获得批准。4.3.3活动负责人——提供对其负责的活动的详细理解，包括使该活动能够运行的所有资源；——提供有关现有应急措施、业务过程和资源的信息，这些信息会影响业务连续性的优先级和要求；——应用BIA方法并向BIA负责人提供相关信息。4.4承诺最高管理者对BIA过程的承诺是确保有效参与的必要条件。他们应：b)为BIA过程提供持续支持；c)为BIA过程提供足够的资源，以便：1)在充足的时间内履行BIA过程特定的角色和职责，以及培训和意识要求；2 2)满足组织的不断变化的需求；d)商定BIA方法、优先级和时间范围；f)批准BIA的结果，以确保：1)业务连续性优先级和要求与组织的目标和战略方向保持一致；2)组织在中断期间满足其法律、合同和客户要求；3)产品和服务、业务过程、活动和资源得到适当协调；g)在选择业务连续性策略和解决方案时，确保BIA结果可获取。5.1基础BIA过程对活动和资源进行优先级排序，以确保在中断后能在预定的时间范围内和预定的能力下恢复产品和服务交付，从而满足相关方的需求。其结果是业务连续性的优先级和要求。BIA过程及其成果的质量是选择适当的业务连续性策略和解决方案的关键。在发生中断时，及时获得高质量的BIA结果是最大限度地减少影响的关键。如果某些信息不完整、不可用、机密或被隐瞒，这些挑战不应延迟BIA过程的进展和完成。应在质量和及时性之间找到平衡。a)分配必要的资源，包括指派胜任的人员来领导和参与BIA过程；b)当产品和服务具有相似特性时，将它们分组，例如，可以按类型、地理区域或业务线进行分组；c)确定组织结构以及能够提供有关产品和服务、活动和资源信息的团队或个人；e)制定计划，包括以下活动：1)获得最高管理者对进行BIA过程的方法的同意(见5.3);2)组织与最高管理者的会议，以确定产品和服务的优先级(见5.4);3)识别和选择信息收集方法(见附录B);4)规定一个模板或工具来记录收集到的信息(见5.5);5)从活动负责人处收集信息(见5.5和5.6);6)分析和汇总收到的信息(见5.7);7)获得最高管理者对结果的批准(见5.8);f)获得对策划的BIA过程的批准。5.3.1理解影响3 BIA过程以一致的方式探索由于产品和服务交付中断而给组织带来的影响。中断可能来自内部、供应链或其他外部来源，所有这些都可能导致向客户和其他相关方交付的一个或多个产品和服务的中断。由于相关方的反应而给组织带来的影响可以包括表1中给出的示例。表1:由于相关方而产生的影响潜在客户继续合作的意愿和能力降低对声誉、品牌价值和公众舆论的负面影响股东对当前股价和未来投资的负面影响对债务偿付和未来融资需求的负面影响竞争对手利用局势，导致市场份额损失员工关键人员(临时或永久)流失罚款和规则变更，运行许可丧失5.3.2规定影响类型和准则组织可能会遭遇不同类型的影响，例如声誉或业务目标受损、财务损失和诉讼。影响类型不同于风险管理中使用的后果类型或类别。影响是组织遭受破坏的结果。为了以一致的方式比较和评估截然不同的影响，组织应规定影响类型和准则。组织应规定影响类型，以便了解产品和服务交付中断随时间产生的影响。最高管理者应批准所提议的影响类型和准则。影响类型和准则的选择受组织所处行业、环境、活动性质以及组织文化的影响。选择一个或多个影响类型和准则，包括定量和定性影响信息的需求以及所收集详细信息的程度，应适合组织选择或证明业务连续性优先级和要求。应考虑的影响类型包括：——业务目标；——健康和安全；——法律、监管和合同；——市场份额； ——声誉。例如，组织可以合并影响类型，如下：——业务目标；——法律、监管和合同；——声誉。为了评估不同类型的影响及其对业务的影响，组织可以选择规定影响变得不可接受的阈值(见表2中的示例),或者为每种影响等级和类型规定具有明确准则的影响矩阵(见表3中的示例)。准则应尽可能客观和可测量。表2:影响类型的阈值示例因罚款、惩罚、利润损失或市场份额减少而造成的存能力管诉讼责任和交易许可被撤销声誉负面评价或品牌受损成为主要新闻表3:影响等级准则示例012345无收入或支出损失收入或支出损失≥USDx收入或支出损失≥USDy收入或支出损失≥USDz收入或支出损失≥USDt市场份额无对手的客户对手的客户对手的客户因流失≥t% 012345≥z%且(t%的业务失败客户(例如：电力公司)无<x%的客户电力≥x%且《y%的≥y%且(z%的客户电力供≥z%且(t%的客户电力因x区域或≥t%的客户电力供应中断而导致的法律责任(包括法律费无责任(USDx,(x责任≥USDx且<USDy,≥x且(y起索赔责任≥USDy且(USDz,≥y且(z起索赔多起集体诉讼监管无监管机构关注度交中断后的简要众发出警告定期更新，向公众发出警告正式报告，罚款>USDx且≤USDy吊销许可证因许可证被吊销而导致的业务失败声誉无当地媒体或社交媒体上的一些负面关注，无需回应道报道的负面关注，无需回应的投诉，需要回应道的暂时性负面地区关的投诉，需要专门的回业务目标无业务目标负向偏离≥x%业务目标负向偏离≥y%业务目标负向偏离≥z%业务目标负向偏离≥t%5.3.3规定时间范围影响几乎总是随时间而增加。然而，影响并不总是以相同的速率增加。例如，财务影响可能因合同罚款或客户流失而产生，而声誉损害可能在中断期间的某个时刻突然发生。6 为了评估影响随时间变化的程度，组织可以选择一组特定的时间范围来考虑影响6小时、24小时、3天、1周),或者选择一组特定的时间范围来考虑影响等级的增加(例如，0至1小时、1至6小时、6至24小时)。所选的时间范围可以根据组织的具体情况而有所不同。5.3.4规定方法应规定一种方法，以确保在评估所有产品、服务和活动时，无论评估何时进行或由哪个团队负责，都应用相同的原则和准则。a)使用商定的影响类型、标准和时间范围来评估随时间变化的影响。在评估随时间变化的影响时，分析应假设中断发生在最糟糕的时刻，例如运行高峰期、财务月末或一年中最忙碌的时间。应将最坏的情况b)确定组织无法接受的中断时间范围(例如，当达到表2中的至少一个阈值或表3中的不可接受的影响水平时)。这可以称为MTPD(最大容忍中断期);c)c)为恢复中断的活动设定一个具有指定最低可接受能力的时复时间目标),并且不能长于MTPD;本方法中描述的结果符合ISO22301的最低要求。组织可以在业务影响分析(BIA)过程中添加额外的任务，如收集额外信息或识别单点故障，作为信息收集会议的一部分(见附录C)。5.4与最高管理者一起确定产品和服务的优先级最高管理者应确定组织向其客户提供的产品和服务的优先级。这种优先级排序可以通过讨论来完成，尽管也可以利用其他输入来源。例如，作为企业风险管理的一部分，可能已经对产品和服务进行了优先级排序。在这些情况下，业务影响分析(BIA)过程可以考虑这些结论。最高管理者负责确定产品和服务的优先级，因为他们：b)对确保组织的持续性和实现其目标负有最终责任；c)从整个组织的最广泛视角来评估优先级；d)在特殊情况下，可以选择超越合同和其他义务来设定优先级；e)理解计划的未来变更和其他可能影响业务连续性优先级和要求的因素。为了做出决策，最高管理者应考虑以下信息：a)组织的使命、目标和战略方向；b)业务连续性管理体系(BCMS)的范围；c)之前最高管理者评审中对产品和服务优先级的评估；d)组织或特定产品和服务所受的法律和法规要求(以及违反每项要求的影响评估); e)合同要求，包括未能交付产品和服务的罚款；g)对未能交付的影响评估(见5.3.2中的影响类型);h)从过去的中断和演练中吸取的教训。5.4.3产品和服务优先级确定基于影响类型和准则(见5.3.2)规定的时间范围(见5.3.3)和商定的方法(见5.3.4),最高管理者应为每个产品和服务组决定，继续无法交付它们而变得对组织不可接受的时间。这确定了初步恢复所需的最低可接受能力以及需要多快恢复到全面能力。必要时，最高管理者还应就内部服务的优先级达成一致，如薪资和其他面向员工的服务。一些组织可以选择将内部服务与面向外部的产品和服务类似对待。组织应保留描述做出决策原因的成文信息。5.4.4成果成果应是一份已确定优先级的产品和服务及其连续性要求的清单，该清单将用于活动优先级排序(见5.5确定优先活动在设置活动的恢复时间目标(RTO)之前，了解产品和服务、业务过程和活动之间的关系是很重要的。产品和服务的优先级会影响其相关活动的优先级。如果某个活动是业务过程的一部分，那么可能需要5.5.2输入进行活动优先级排序所需的输入包括：a)业务影响分析(BIA)过程的范围；b)影响类型和准则(见5.3.2);c)最高管理者规定的产品和服务优先级(见5.4);e)法律、法规和合同要求(义务)。5.5.3识别活动对于BIA过程范围内的每个产品和服务，应由其活动负责人识别相关的活动。5.5.4为活动设置RTO基于影响类型和准则(见5.3.2)规定的时间范围(见5.3.3)和商定的方法(见5.3.4),活动负责人应评估中断随时间产生的影响，识别最大容忍中断持续时间(MTPD),并结合每个活动的最低可接受能力应使用策划期间确定的信息收集方法(见5.2)和所选的模板或工具来记录分析。 分析每个活动时，应考虑：a)需求波动或高峰运行期；b)可以影响业务连续性优先级和要求确定的其他因素(如积压工作或法律和法规要求);c)对其他活动(内部或外部)的相互依赖。5.5.5规定优先活动基于活动的RTO,组织应创建一个优先活动列表。优先活动将需要制定策略和解决方案。这需要收集有关资源和依赖关系的信息。做出这种选择将减少需要收集的信息，但可能导致未规定非优先活动的恢复解决方案。在BIA的后续迭代中，可以扩展优先活动列表。最高管理者应对优先活动的选择进行签字确认。5.5.6成果成果应包括：a)批准的优先活动列表；1)识别产品和服务以及活动之间的相互依赖关系和关系；2)随时间的影响；3)相应的MTPD;4)相应的RTO;5)最低可接受能力。5.6确定资源和其他依赖关系在确定优先活动之后，组织应深入了解日常资源需求，以确定恢复或维持优先活动所需的资源。这些b)信息和数据(包括重要记录);c)物理基础设施，如建筑物、工作场所或其他设施及相关公用设施；d)设备(如办公设备、制造设备、特殊工具、备件和组件)和消耗品(如原材料);e)信息和通信技术(ICT)系统(如应用程序、云服务、远程访问);h)合作伙伴和供方。对于已识别的资源，应收集以下信息： 1)减少资源数量，例如认识到活动可以以降低的容量重新开始；活动负责人必须随时间增加资源数量，以便活动最终恢复到通常的业务水平；2)通常的业务数量；3)增加资源数量，例如为了解决业务活动中断期间积累的积压工作，或为了应对预期的需求激增；应考虑估计补充资源数量的释放期限，以使活动恢复到通常的业务水平。c)资源的特性：在这种情况下要收集的信息取决于资源类型，例如：1)对于员工和承包商，应规定所需服务、知识、技能、权限或资格的最低可接受水平；3)当前位置。d)信息资源的最大容忍数据丢失(恢复点目标(RPO)不应大于最大容忍数据丢失);e)对其他资源的依赖；f)适用的法律或法规要求。在规定要求时，应考虑对资源施加的限制，例如物流限制。在资源需求分析过程中，可能会发现单点故障，应适当地记录并报告。5.7分析和巩固业务影响分析(BIA)结果尽管在整个BIA过程中都会进行分析，但组织应执行最终分析(或分析巩固)。这涉及评审从BIA过程所有等级收集的经过验证和批准的信息，并得出导致业务连续性优先级和要求的结论。组织应选择适当的定量和定性分析方法，这可能受到组织类型、规模或性质以及资源和技能限制的影响。所选方法还将取决于收集的信息类型。无论采用何种方法，组织都应质疑并检查信息，以确保其：a)正确：足够准确和可靠；b)可信：合理且有理有据；d)最新：及时更新并以及时的方式提供；e)完整：全面。巩固过程可能会揭示出需要与活动负责人一起评审和解决的不兼容或不适当的恢复目标。此外，可能有必要调整先前活动的恢复时间目标(RTO),以确保后续活动能够满足其设定的RTO。分析和巩固信息的结果是业务连续性的优先级和要求。5.8获得最高管理者对BIA结果的批准BIA负责人应寻求管理层对BIA结果的批准，包括产品和服务、业务过程(如适用)、活动和资源的优 在进入下一步之前，组织应向最高管理者提供以下关键BIA结果进行评审、修改(如有必要)和批准：——产品和服务优先级；——业务过程优先级(如己进行);——活动优先级；——确认原始或修改后的BIA范围。最高管理者对BIA结果的批准应记录在案。一些组织可以选择通过向最高管理者提交报告或演示来寻求批准。如果组织希望通过辩论BIA结果后再批准或提出其他结论，则应选择演示。如果建议的业务连续性优先级和要求及其理由简单明了，并且可能不需要讨论，那么报告可以作为演示的预读材料或作为寻求批准BIA结果用于识别和选择业务连续性策略和解决方案。6评审BIA6.1评审BIA过程和方法应定期评审BIA过程和方法，以不断提高其质量。随着时间的推移，可以考虑采用不同的方法，例如改变影响类型、时间范围、信息收集方法或参与者，以提高结果的质量。6.2评审BIA结果应定期(通常每年一次)评审BIA结果，并且每当组织内部或其运行环境发生重大变化时，也应进行评审，因为这些变化可能影响业务连续性的优先级和要求，例如：b)战略方向的变化；f)运行变化，包括新的/变更的应用程序/ICT、供应链(内包/外包)以及现场/设施资源；h)从业务连续性演练和中断中汲取的经验教训。活动负责人应监控其活动，最高管理者应考虑策略变化以识别这些触发因素。对于自上次BIA以来变化不大的组织领域，确认之前的BIA结果可能就足够了，而无需进行完整的BIA。 引言4.2环境和范围5.3岗位、职责和权限8.2.2规定影响类型和准则；5.3.2规定影响类型和准则8.2.2b)识别活动5.5.3识别活动8.2.2c)使用影响类型来评估影响8.2.2d)识别“最长可容忍中断时间(MTPD)”8.2.2e)设定“恢复时间目标(RTO)”5.5.4为活动设定恢复时间目标(RTO)8.2.2h)确定依赖关系5.6确定资源和其他依赖关系 13 附录B(资料性附录):BIA信息收集方法B.1总则本附录总结了收集BIA结果所需信息的常用方法。无论采用何种方式收集信息，都应保持一致性，以便在组织范围内进行比较。——进行分析所需的信息是客观的还是主观的；——组织首次进行BIA;——参与者可能受到个人或其他偏见的影响，从而无法真实或均衡地反映组织的需求；——业务连续性是一个已理解的概念，其好处已被相关方所了解；——BIA过程范围内的活动和资源具有相互依赖性；——属于BIA过程范围的活动数量；——实施BIA过程的业务连续性从业人员的技能和经验；——代表活动的物理位置及其时间限制；——组织内实施的其他管理系统的成熟度及其记录的信息。——文件评审；——访谈；——调查/问卷：——研讨会。为确保信息的一致性，无论采用何种信息收集方法，都应：——为领导或参与人员提供培训；——确定信息要求；——对输出进行监督或质量保证；——确定是否需要在实施信息收集方法之前进行试验。B.2文件评审BIA负责人在准备访谈、制定调查问题以及最终进行与分析相关的工作时，可能会发现评审文件作为背——年度报告；——业务绩效指标；——业务过程文件；——合同要求； ——与客户相关的服务级别协议；——数据备份制度；——设备和信息通信技术清单；——现有的业务连续性能力；——前瞻性扫描信息；——保险单；——营销材料；——组织结构图；——事件后报告；——以前的BIA信息：——相关的业务连续性管理体系文件；——角色和职责；——描述日常任务执行的标准运行程序；——策略文件。B.3访谈BIA负责人或代表可以进行访谈，以便讨论日常运营、资源需求、义务以及在发生中断时可能影响活动提供产品和服务能力的可能影响。当需要进行定性评估时，此方法较为合适。访谈中有许多话题需要讨论，包括：——BIA过程概述、目标、预期结果以及BIA过程与其余业务连续性规划过程的关系；——活动讨论，包括：·活动概述及其与产品和服务以及业务过程的关系，重点强调关键任务以及执行整个活动或从属所需的时间框架(包括需求波动或高峰运营期);·资源依赖性和要求(见5.6),包括现有的变通方法和它们保持可行的时长；——后续步骤，包括审查访谈摘要、意见和建议，以及批准。——进行充分准备，通常包括为访谈参与者准备的带有指导的议程；——对活动进行研究，以便为访谈问题提供信息；——重复关键信息以确保其被准确听到； ——记录访谈摘要，征求反馈并获得批准。BIA访谈的问题示例可以包括表B.1中给出的示例。注：示例问题可以根据不同的访谈对象进行调整，例如，与过程负责人而不是活动负责人进行交流。表B.1:BIA访谈问题示例问题相关方(例如：客户)1.您的内部和外部相关方有哪些，例如客户?2.您是否有任何与业务连续性相关的合同要求或服务级别协议，这些要求或协议是否1.您提供哪些产品和服务?2.您如何交付您的产品和服务?3.产品和服务交付是否存在高峰期?如果有，请描述。活动1.您负责哪些活动?2.这些活动在哪里进行?3.它们如何为产品和服务做出贡献?5.活动产生什么,谁接收它?资源1.人员：执行每项活动需要哪些角色或职责?多少人执行每个角色，需要多少人来完2.信息、数据和ICT:a.哪些应用程序和数据支持每项活动?您需要哪些通信技术b.您是否需要访问任何电子或纸质记录或文档才能进行操作?如果是，里?c.您是否需要任何特殊的软件、硬件、设置、权限、许可证等?如果是，请描述。3.重要记录：您需要哪些非数字(例如纸质)信息?4.物理基础设施：这些资源位于哪里(例如办公室、数据中心、5.设备：运营需要哪些设备或工具?6.执行每项活动还需要哪些其他资源?7.根据当前能力，如16翻译2024-08问题多长时间才能恢复可用?方1.您的业务部门及其活动依赖哪些第三方?2.这些供方向您提供什么,何时以及多久提供一次?3.如果供方的产品或服务未交付，活动会在多久后停止?其他依赖关系1.每项活动的依赖关系和相互依赖关系是什么?2.在其他业务部门中，哪些活动必须运行才能使您的活动产生其输出?B.4调查或问卷业务影响分析(BIA)负责人或代表可以使用调查或问卷来有效地收集离散信息，即可能性有限的信息或可以量化的信息。——能够收集客观信息时；——信息可以用数字或等级表示时；——受访者人数众多时。调查可以以以下形式进行：——在线调查服务。重要的是，问题在其意图和表述上必须清晰明了。应提供一个联系方式，以解决受访者可能提出的问题。——活动的描述，包括其目的和产出；——活动客户(内部和外部)的列表；——提供产品和服务所需的服务级别协议或合同义务的描述；——描述中断对活动的影响以及这些影响如何随时间而变化，参考组织考虑的影响类型(见5.3.2);——活动资源依赖性的列表(地点、人员、设备、信息和通信技术以及第三方);——高峰期(每日、每周、每月、每季度、季节性、每年);——其他定量信息。18翻译2024-08可以组织由代表不同活动或业务过程的参与者参加的研讨会，以解释业务影响分析(BIA)过程并收集信息。公认的是，研讨会能够产生更高质量的结果，因为它们为讨论、概念交流和参与者深入理解提供了当需要快速得出结果时，此方法较为合适。研讨会上讨论的主题可能与调查和访谈中使用的主题相似；然而，它们通过以下方式增加了价值：——产生更多、更完整的信息；——有多名受访者提供输入，并可能相互质疑对方的答案；——解决相互矛盾、可能不切实际的期望。B.6收集方法的比较表B.2至B.5列出了收集方法的优势、劣势、机会和提示。劣势易于访问表B.3:访谈劣势利用高级参与者的参与讨论以往中断事件的经验教训正式化访谈结构花时间解释BIA过程的目的表B.4:调查或问卷劣势表B.5:研讨会劣势跨活动视角难以处理团队中的异议和内部政治需要引导技巧需要大量准备高度的承诺也可以用来提高业务连续性的认识专注于影响，而不是原因19 20 附录C(资料性附录):业务影响分析(BIA)过程的其他用途本文件中描述的BIA过程仅包含确定活动和资源优先级所需的信息。然后，它提供了确定和选择适当的业务连续性策略和解决方案所需的业务连续性优先级和要求。通过任何所述方法开展BIA,都是一个收集额外信息的机会，这些信息对于制定或审查策略和解决方案a)在最高管理者：1)组织的计划战略方向，如合并、搬迁或收购，这些可能影响未来的业务连续性策略，并在选择当前2)探索业务连续性策略的机会，如与其他组织(包括竞争对手)合作以提供互助；1)临时购买服务以交付部分或全部流程的机会，或在中断后永久外包部分或全部业务流程；1)记录资源缺失时的变通方法及其质量限制、额外资源需求以及它们的有效期；2)替代供应来源的可行性；3)员工的特性，包括：i)员工个人(在当前和过去的角色中)的技能；iii)他们的主要工作地点、家庭地点和上班交通方式：iv)居家工作的能力(包括网络容量、设备和办公桌位置);v)在其他地点工作的能力(包括交通需求);vi)记录及其位置。C.2提高组织的效率从BIA过程中得出的组织运营概况，可以使过程中的参与者发现能够提高其效率的变化。这些变化在组织探索其相互依赖关系网之前并不总是显而易见的。更好地了解产品和服务交付的时间要求，可以在资源暂时有限的情况下改进调度和优先级排序。了解制造过程中各个部分的时间要求，可以改善原材料或零部件库存的优化。C.3了解活动之间的相互依赖关系，可以提出组织结构的变化建议。C.4探索替代性的战略规划选项 组织可以将BIA过程应用于一个或多个未来情况，以便了解计划变更对业务连续性的影响。——工作场所的重新布置：新场地、场地关闭或合并；——资源变更：员工增加或减少；——技术变更：自动化、信息和通信技术(ICT)硬件等；——产品或服务变更：新合同或业务条款变更：面向未来的BIA过程的应用可以探索各种选项，以了解每项变更对业务的影响，因为在产品、服务、业务流程或活动中断的可接受范围内可能存在显著差异。这些结论可以作为决策过程的输入。例如：——由两个场地提供的呼叫中心服务可以提供可接受的服务(尽管可能有所降低),相比之下，如果使用一个场地并且该场地无法运营，则可能出现停机时间；——拟议变更后的损失影响不可接受，因此组织放弃拟议变更；——腾空的空间可考虑作为潜在的恢复空间，而不是将其处置；——员工数量的变化可能影响活动恢复所需的时间；——新的信息和通信技术(ICT)可能有不同的恢复时间框架，其中一些可能在可用的时间内实现，因此这应作为选择过程的一部分进行确定：——应在达成协议之前验证恢复的服务水平和合同义务是否可实现。C.5辅助长期战略决策随着时间的推移评估影响的方法可以应用于战略层面的一系列战略决策，而不仅仅是恢复要求。组织运营的许多长期转变是由外部因素驱动的，如：——即将发生的法规变更；——商业环境的变化；——公众舆论的转变：——市场变化。组织不需要立即对这些变化做出反应，但高层管理人员可以评估随时间增长的影响，以大致决定在何时不对变化的情况做出反应而产生的声誉、财务或其他影响变得不可接受。然后，这可以成为战略规划的考虑因素。尽管业务连续性风险评估和BIA是不同的过程，但在进行BIA时，尤其是在通过访谈进行时，通常会识别出业务连续性风险。此外，确定执行优先活动的必要资源还为组织提供了风险评估的重要输入，例如，任何这些资源不可用的风险。此外，在BIA访谈或资源需求分析期间，可能会发现单点故障的影响或不可接受的风险水平。应在BIA过程之外和业务连续性风险评估的范围内分析已识别的风险。 附录D(资料性附录):执行业务影响分析示例D.1.1总则步骤如下：d)为每种影响类型规定MTPD阈值(见5.3);g)对于每项活动，记录资源(见5.6);h)汇总所有活动的资源需求(见5.7)。降幅超过15%管市场份额声誉负面舆论或品牌受损负面关注度足以聘请外部公关专家MTPD阈值(见表D.1)2324翻译2024-08MTPD阈值(见表D.1)24小时5天不适用市场份额不适用声誉24小时不适用→48小时5天市场份额1个月声誉活动BIA表(见表D.3)给出了交付每种产品和服务必需的活动。活动RTO应当设定在活动MTPD以内。本示例假定，对于这个服务，所有3个活动都需要在服务MTPD内恢复。24小时(来自表D.2)1小时8小时2小时24小时8小时资源BIA表(见表D.4)给出了每项活动必需的资源。每项活动(可能参与交付多个产品和服务)都有一张表。此表单的内容因组织资源需求的性质而有所不同。项目25项目1小时(源自表D.3的“活动RTO”列)务客户服务(源自表D.3的“产品或服务MTPD”列)相互依赖关系消费者产品部门的新定价资源员工(参见表D.5)设备(本例中未展示)应用程序(参见表D.6)供方(参见表D.7)确定资源需求时，选择最小的活动RTO(见表D.5、D.6和D.7)。资源可在所有活动中累计，也可以按业务部门或地理位置制成表格。1小时<2小时<8小时周一线呼叫主管6112446操作员5二线问题主管4011224师05操作员5011135总计6呼叫登记系统理1小时为2小时2小时2小时12小时26决呼叫处理系统理1小时1小时24小时24小时文件管理库24小时24小时24小时24小时……………使用活动(来自表D.3)活动RTO(来自表D.3)外部呼叫操作员1小时24小时软件工程师5天快递员24小时…………步骤如下：i)将影响矩阵形成文件并批准(见5.3.2);;j)规定和批准评估影响的时间范围(见5.3.3);2701元收入或费用损失大于等于1万但低于5万美元收入或费用损失大于等5万但低于收入或费用损失监管机构要求补充告吊销执照因吊销执照而业务倒闭声誉注应回应由新媒频道报道的短期区域性关注需要专门的响应团队业务倒闭D.2.3第2步：规定和批准评估影响的时间范围表D.9中给出的时间范围是为本示例的目的而规定的。表D.9:商定时间范围的工作表>1月根据表D.9中的信息，最高管理者同意以下内容：——MTPD是指影响等级达到4级时；——RTO设定为影响等级不大于3级的时间。D.2.5第4步：估算和批准每个产品和服务BIA负责人与最高管理者会面，并就每个产品和服务了解以下信息：——被扰断影响的相关方，以及与产品和服务交付相关的重点问题，这可以让我们了解将要讨论的影——扰断造成最大影响(最坏情况)的某天/月/年的时间、高峰期或情况，该最坏情况将用于以下讨——扰断在每个商定的时间范围对产品和服务交付的影响，必要时质疑答案；——可能在中短期影响这些影响的、与产品和服务相关的计划变更。28会面期间，工作表(见表D.10)填写如下：——将产品或服务名称形成文件；——将最坏情况形成文件；——从第1个影响类型开始，对于每个“随时间的影响”列，使用影响矩阵记录影响等级(见表8);——对后续的影响类型重复以上步骤；——在“产品或服务影响”行中记录每列的最大值：——在工作表底部记录产品和服务达到MTPD的时间范围，以确定成果。表D.10:完成的产品和服务工作表儿童服装在线销售黑色星期五高峰期随推移时间的影响>1月声誉影响000124000012000012值)000工24用类似的方式，BIA负责人与活动负责人会面，并就每项活动了解以下信息：——交付的每个产品或服务的输出：——受扰断影响的相关方；——扰断造成最大影响(最坏情况)的某天/月/年的时间、高峰期或情况，该最坏情况将用于以下讨——扰断在每个商定时间范围的影响，必要时质疑答案；会面期间，工作表(见表D.11)填写如下：——将活动名称及其描述形成文件；——将最坏情况形成文件；——从第1个影响类型开始，对于每个“随时间的影响”列，使用影响矩阵记录影响等级(见表8);——对后续的影响类型重复上一步骤；——在“活动影响”行记录每一列的最大值；——在工作表底部记录活动影响达到MTPD的时间范围以及设定RTO的该时间范围，以确定成果。表D.11:完成的活动工作表黑色星期五高峰期随推移时间的影响声誉影响02334法规影响00000工财务影响02233活动影响(上述影响的最大值)02334结果D.3例3:用趋势分析确认活动RTO——误解了影响类型标准的含义；——对业务部门不熟悉，不完全理解扰断的影响；——混淆了活动紧迫性和重要性；——受个人偏见的影响，形成了与组织中其它活动负责人不一致的看法。下面给出了一种方法，使用趋势分析来突显RTO的不一致，以便BIA负责人可以讨论并深入探索活动负作为RTO设定过程的一部分，活动负责人为其每项活动填写影响评级表(见表12)。结果是每项活动的表D.12给出了为每项活动计算影响评级的影响评级表。主要参数包括：——考虑扰断随时间推移的影响的时间范围(见5.3.3);——影响类型(见表3)及其影响等级(即0到5,其中0表示根本没有影响),以考虑在每个时间范围的影响程度。表D.12:影响评级表0123012012声誉从第1个影响类型开始(在本示例中为“财务”),如果活动被扰断并在第1