análise de impacto de negócios é usado para identificar e atenuar o impacto dos riscos potenciais. Alguns processos de negócios são mais críticos do que outros - por exemplo, uma falha no servidor central pode significar um desastre, enquanto um telhado vazamento isolado pode não ser motivo de séria preocupação. O objetivo da análise de impacto nos negócios é recolher dados sobre os potenciais riscos e vulnerabilidades, analisar e priorizar os riscos e soluções de recuperação plano.
Planejamento
O planejamento envolve a obtenção de apoio da alta administração, seguido de encontros com outros gestores de compreender as diversas vulnerabilidades de processo. A equipe do projeto deve ser montado, com representantes de todas as unidades de negócios, incluindo o departamento de tecnologia da informação. Alguns membros vão participar em uma base a tempo parcial, porque as unidades de negócios geralmente não são capazes de suportar a perda de pessoal chave por longos períodos de tempo.
Coleção
Usando observações e questionários, os dados são recolhidos sobre as vulnerabilidades do processo, ligações com outros processos e importância relativa do processo "para a organização. Para cada processo de negócio, os dados recolhidos inclui uma lista de todas as entradas e saídas, tempo máximo de interrupção antes do impacto é sentido, valor em dólares do impacto potencial durante quedas, recursos humanos e físicos necessários para a manutenção, história e freqüência de interrupções passadas, potencial implicações legais e possíveis a curto prazo, soluções solução alternativa.
Análise
A análise dos dados envolve o processamento dos dados recolhidos para avaliar as implicações de custo de vulnerabilidades do processo, tais como interrupções de serviço estendido ou ataques de vírus nos servidores da empresa. A análise deve identificar o nível de criticidade, objetivo de tempo de recuperação (RTO) e recuperação método para cada processo dentro de uma unidade de negócios. Alguns processos são críticos - por exemplo, a intranet corporativa - com RTOs de uma ou duas horas, enquanto uma interrupção nos outros pode ser tolerada por dois dias ou mais. O método de recuperação para um processo de alta criticidade pode ser backup de dados e replication- para funções de baixa criticidade, soluções em tempo de entrega mais longos, como a deslocalização de operações para uma nova instalação, pode ser considerada.
priorização
Priorização flui a partir do nível de criticidade e avaliações RTO da fase de análise. A reunião formal com os gerentes das unidades de negócios devem ser usados para priorizar os processos porque várias unidades são frequentemente afectados devido a dependências. Os RTOs devem ser organizadas em bandas ou grupos, começando com as mais elevadas funções de criticidade - aqueles com as RTOs mais curtas - e construindo-se aos grupos de RTO mais longos.
Aprovação
O elemento final é a elaboração de um relatório para a aprovação da gerência sênior. A análise de custo-benefício deve ser incluído mostrando as perdas potenciais para cada unidade de negócio se a recuperação de desastres e outras medidas de mitigação de risco não são implementadas, juntamente com os custos para essas medidas. A alta administração deve assinar sobre as soluções de redução e recuperação de risco e aprovar orçamentos de contingência relacionados. As empresas devem rever suas políticas de gestão de risco em uma base regular porque as condições de negócios, tecnologias e vulnerabilidades de processo mudam constantemente.
Quais são os três aspectos fundamentais da gestão de riscos de segurança da informação e por isso é cada importante?
Qual o papel que os projectos desempenhar no processo de gestão estratégica?
Quais são as etapas do processo de gerenciamento de dados?
Quais são as diferenças entre a análise de risco qualitativa e quantitativa?
Técnicas qualitativas de avaliação de risco