什麼是 BIA?為什麼它是災難復原的核心?
當災難發生時,企業無法同時恢復所有系統。業務衝擊分析(Business Impact Analysis,BIA) 透過標準四大步驟,協助組織釐清哪些業務最關鍵、威脅從何而來,並將有限資源投入最高優先序的恢復作業,是 BCP/DR 計畫的基石。
BIA 的標準四大步驟全解析
① 識別優先業務(Define Critical Functions)
列出所有業務流程,依營收損失、法規合規、客戶影響等維度評分。為每項業務定義兩個關鍵指標:MTO(Maximum Tolerable Outage,最長可容忍中斷時間) 與 RTO(Recovery Time Objective,復原時間目標)。RTO 必須小於 MTO,否則業務損失將不可接受。
② 識別風險(Identify Risks)
針對已識別的優先業務,系統性盤點潛在威脅來源。常見威脅包含:自然災害(地震、水災)、技術故障(硬體損壞、勒索軟體)、人為錯誤與供應鏈中斷。此階段產出一份風險登錄表(Risk Register),作為後續評估的依據。
③ 評估可能性與衝擊(Assess Likelihood & Impact)
以風險矩陣(Risk Matrix)量化每項威脅的發生機率(低/中/高)與衝擊程度(財務損失、服務中斷時數)。高機率 × 高衝擊的威脅優先處理;低機率 × 低衝擊的威脅可接受或轉移。
④ 資源優先排序(Prioritize Resources)
根據前三步驟的輸出,將預算、備援設備、IT 人員分配至風險最高的關鍵業務。採用Tier 分層模型:Tier 1 在 4 小時內復原,Tier 2 在 24 小時,Tier 3 在 72 小時,確保最小化整體業務衝擊。
💡 四大步驟重點整理
- 步驟一:定義 MTO/RTO,識別哪些業務「絕對不能停」。
- 步驟二:建立風險登錄表,窮舉所有可能中斷業務的威脅。
- 步驟三:以風險矩陣量化機率與衝擊,決定威脅的優先處理順序。
- 步驟四:以 Tier 分層將有限資源對準最關鍵的恢復目標。
BIA 四大步驟的本質是將不確定性轉化為可執行的優先順序。組織只要定期(建議每年一次)執行此流程並更新風險登錄表,即可確保 DR 計畫始終對齊最新的業務現實。
📚 參考文獻
- NIST SP 800-34 Rev. 1 — Contingency Planning Guide for Federal Information Systems,美國國家標準技術研究院官方文件,涵蓋 BIA 標準方法論。
https://csrc.nist.gov/publications/detail/sp/800-34/rev-1/final - ISO 22317:2021 — Security and resilience — Business continuity management systems — Guidelines for business impact analysis,BIA 國際標準規範。
https://www.iso.org/standard/79000.html - ISACA — Business Impact Analysis: How and When,企業資訊安全治理實務指南。