风险分析是标识信息系统的资产价值,识别信息系统面临的自然的和人为的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性,并定量或定性描述可能造成的损失。通过技术和管理手段,防范或控制信息系统的风险。依据防范或控制风险的可行性和残余风险的可接受程度,确定对风险的防范和控制措施。
信息系统灾难恢复的风险分析主要根据单位机构现状和业务特点,全面识别并分析影响信息系统正常运行的风险因素,分析这些因素发生的可能性。风险分析的范围主要考虑单位所在地区和与之在经济、业务上有紧密联系的邻近地区的交通、电讯、能源及其它关键基础设施遭到严重破坏,造成此地区的大规模人口疏散或无法联系后单位所面对的可能性风险,同时还需要考虑单位信息系统中断所造成的系统性风险。系统性风险指单位或部门因不能履行其应尽义务而导致其它机构不能开展业务,引起连锁反应,从而造成的各种社会影响和损失。
首先,识别确认潜在的风险,这些风险的来源可能是:
• 各种区域性的自然灾难,如洪水、地震、疫病等;
• 人为事故或蓄意破坏造成的严重灾难,如火灾、恐怖主义袭击等;
• 安全威胁、硬件、网络或通讯故障;
• 灾难性的应用系统错误。
所有的风险都应纳入单位的风险分析范围,并且应对各种风险的可能来源进行较准确的定位。对于每一种风险的来源都应该认识到:
• 风险的类型;
• 风险的程度;
• 风险发生的可能性。
如果按照风险的破坏类型或程度进行分类,它们对业务的影响可以分为:
• 经营场所及设备完全破环;
• 经营场所及设备部分破环;
• 经营场所及设备完好,但人员不能进入,比如疫病的隔离、恐怖威胁造成的人员疏散等
添加新评论0 条评论