风险分析可以帮助识别一个企业所面临的风险。这样的分析通过确认业务中存在的威胁和薄弱环节以及相关的预防措施可以为管理层提供有价值的信息。实施一个灾难恢复计划是比较昂贵的,因此应当优先考虑使用各种预防措施。如果所有这类预防措施全都用上了,则有必要进一步确定是否还存在需要制定应急计划的残余风险。
下面是一些著名的事件:
• 毒气
- 东京地铁,日本(1995年3月)
• 电力中断
- 奥克兰,新西兰(1997年12月)
• 地震
- 洛杉矶,美国(1994年1月)
- 神户,日本(1995年1月)
• 恐怖袭击
- 世贸中心,纽约,美国(1993年2月)
- 伦敦,英国(1993年4月)
- 俄克拉荷马市,俄克拉荷马州,美国(1995年4月)
- 港口,伦敦,英国(1996年2月)
- 曼彻斯特,英国(1996年6月)
- 世贸中心,纽约,美国(2001年9月)
• 洪水
- 孟加拉国(1996年7月)
- 巴基斯坦(1996年8月)
风险分析可以帮助识别一个企业所面临的风险。这样的分析通过确认业务中存在的威胁和薄弱环节以及相关的预防措施可以为管理层提供有价值的信息。实施一个灾难恢复计划是比较昂贵的,因此应当优先考虑使用各种预防措施。如果所有这类预防措施全都用上了,则有必要进一步确定是否还存在需要制定应急计划的残余风险。
图-1所示的模型显示了风险分析和风险管理之间的联系,该模型是基于CCTA的风险分析和管理方法(CRAMM)确定的。
该模型通过采用一种分阶段的方法可以支持有效的应急规划。
风险分析
首先,必须确认相关的IT组件(资产),包括建筑物、系统和数据等。有效的资产确认要求有关每个组件的所有者和用途都必须文档化。
其次,要分析这些资产所面临的威胁以及这些威胁之间的相关程度,并估计灾难发生的可能性(高、中、低)。例如,不稳定的电力供应和一个易于遭受风暴的地区这两个因素就存在较大的相关性。
接着,要确认这些资产的薄弱环节,并进行分类(高、中、低)。一个避雷装置可以保护建筑物免受雷击的破坏,但雷击仍然可能严重地影响到网络和计算机系统。
最后,需要根据各IT组件的具体情况评估威胁和薄弱环节,从而评估风险的级别。
在评估风险时应当考虑在第1个阶段已经定义好的IT服务持续性管理流程的范围。例如,对于一些小的问题可以由服务台和(或)事故管理流程来应付,或者由可用性管理措施来解决。有些业务风险则不属于IT服务持续性管理的范围。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved