登錄
登入

心智圖資源庫 CISSP-1-安全與風險管理

CISSP-1-安全與風險管理

CISSP-資訊系統安全專業認證心智圖，主要內容有資訊安全與風險管理管理基礎、安全治理與安全體系架構、資訊安全策略、組織與人員安全風險管理、法律、道德、合規、BCP

編輯於2021-11-10 12:10:04

WSCoUtCI

最近的作品檢視更多>>

Microbiologia medica Infezione batterica e immunità
Microbiologia medica, Infezioni batteriche e immunità riassume e organizza i punti di conoscenza per aiutare gli studenti a comprendere e ricordare. Studia in modo più efficiente!
teoria cinetica dei gas
La teoria cinetica dei gas rivela la natura microscopica dei fenomeni termici macroscopici e le leggi dei gas trovando la relazione tra quantità macroscopiche e quantità microscopiche. Dal punto di vista del movimento molecolare, vengono utilizzati metodi statistici per studiare le proprietà macroscopiche e modificare i modelli di movimento termico delle molecole di gas.
Breve História do Tempo
Este é um mapa mental sobre uma breve história do tempo. "Uma Breve História do Tempo" é um trabalho científico popular com influência de longo alcance. Ele não apenas introduz os conceitos básicos da cosmologia e da relatividade, mas também discute os buracos negros e a expansão. Do universo. questões científicas de ponta, como inflação e teoria das cordas.

CISSP-1-安全與風險管理

WSCoUtCI

最近的作品檢視更多>>

推薦給您
大綱

安全管理要素安全管理制度建立與執行【實戰版】
- 7
WSCoUtCI
安全管理要素安全管理制度建立與執行【實戰版】
- 11
WSCoUtCI
安全設施之爆破片【法規摘要版】
- 16
WSCoUtCI
安全設施之安全閥【工作原理版】
- 9
WSCoUtCI
安全設施之安全閥【法規彙總版】
- 15
WSCoUtCI
操作規程編制【法規融合版】
- 17
WSCoUtCI
1A42400工程施工安全管理
- 11
WSCoUtCI
CISSP-7-安全運營
- 11
WSCoUtCI
CISSP-8-應用安全開發
- 10
WSCoUtCI
CISSP-6-安全評估與測試
- 9
WSCoUtCI

資訊安全治理與風險管理

資訊安全與風險管理管理基礎

資訊

定義

生命週期的處理方式

資訊安全基本原則

機密性 (confidentiality)

確保資訊在儲存、使用、傳輸過程中不會洩漏給非授權使用者或實體

完整性 (integrity)

防止非授權篡改；

防止授權使用者不當修改訊息

保持資訊內部一致性和外部一致性

內部

外部

可用性 (availability)

確保授權使用者或實體對資訊及資源的正常使用不會被異常拒絕，允許其可靠且及時地存取訊息

相反三元組 DAD

洩漏(Disclosure)

篡改(Alteration)

破壞(Destruction)

資訊安全 CIA的相關技術

機密性,C

資料加密（整個磁碟、資料庫加密）

傳輸資料加密（IPSec、SSL、PPTP、SSH）

存取控制（實體和技術控制）

完整性,I

哈希（數據完整）

程式碼簽名

配置管理（系統完整）

變更控制（過程完整）

存取控制（實體和技術控制）

軟體數位簽名

傳輸CRC檢定功能 (可用於網路傳輸的多個層)

可用性,A

冗餘磁碟陣列（RAID）

叢集

負載平衡

冗餘的數據和電源線路

軟體和資料備份

磁碟映像

位置和場外設施

復原功能

故障轉移配置

安全控制

方式方法

管理性控制

制訂策略、標準、措施和指導原則

風險管理

人員安全

安全意識培訓

技術性控制（邏輯性控制）

實作和維護邏輯存取控制機制

密碼和資源管理

身份識別和身份驗證方法

安全設備

物理性控制

控制個人對設施和不同部門存取的措施（門禁、保全、鎖）

保護設施的周邊（柵欄、圍牆，照明）

物理偵測入侵

環境控制

作用

控制功能

預防(威懾)、偵測、修正/復原（備份、BCP、DRP）補償（控制）

資訊安全風險管理基礎

治理、風險管理與合規（GRC）

Assurance鑑證

風險管理框架

安全治理與安全體系框架

安全管控參考框架

IT控制，COBIT

《內部控制-整體框架》，COSO 企業內控管理框架

定義了滿足財務報告和揭露目標的五類內控要素

控制環境

風險評估

控制活動

訊息與溝通

監控

許多組織應對 SOX 404 法案合規性的框架

IT服務管理，ITIL（最佳實踐架構）

ITIL是可客製化IT服務管理框架

資訊科技服務管理標準（ISO/IEC 20000）

5大階段

服務策略

服務設計

服務轉換

服務營運

持續服務改進

Zachman

TOGAF企業框架

SABSA 安全架構框架

安全控制參考，NIST SP 800-53r4

2014年關鍵基礎設施安全控制架構：NIST CyberSecurity Framework

CMMI軟體開發管理（第8章）

CMM

Initial, Repeatable, Defined, Managed, Optimizing

CMMI

Initial, Managed, Defined, Quantitatively Managed, Optimizing

資訊安全管理

資訊安全成敗的兩個因素：技術與管理

ISO27001 （資訊安全管理體系的標準）

源自BS7799，BS7799-1對應ISO27002， BS7799-2對應ISO27001

資訊安全方面的最佳慣例所組成的一套全面的控制集

2013版，14個域，35個分類，114個控制

資訊安全管理模型

PDCA模型

計劃，Plan

根據風險評估結果，法規要求、組織業務，運作自身需要來確定控制目標與控制措施

實施，Do

實施所選的安全控制措施。

檢查，Check

依據策略、程序、標準和法律法規，對安全措施的實施進行符合性檢查

措施，Act

針對檢查結果採取應對措施，改善安全狀況

資訊安全績效

ISO27004

資訊安全策略、組織與人員安全

安全策略

安全文件的層次性

方針(policy) （方針的變化頻率較低，程式的變化頻率較高）

資訊安全最一般性的聲明

最高管理階層對資訊安全承擔責任的一種承諾

說明要保護的物件和目標

標準(standard)

建立方針執行的強制機制

指引(guideline)

類似於標準，加強系統安全的方法，他是建議性的

安全基線(baseline)

滿足方針要求的最低級別的安全要求

程序（procedure/步驟/規程）

執行特定任務的詳細步驟（specific）

程序則是對執行保護任務時具體步驟的詳細描述（HOW）

安全組織

高階管理層（執行管理階層/CEO、CFO、COO）

全面負責資訊安全，是資訊安全的最終負責人

規劃資訊安全，確定目標和有限次序，委派資訊安全責任

明確資訊安全目標和方針為資訊安全活動指引方向

為資訊安全活動提供資源

重大事項做出決策

協調組織不同單位不同環節的關係

資訊安全專家

受高階管理層委派（通常向CIO）負責實施和維護安全

設計、實施、管理和複查組織的安全策略、標準、指南和程序

協調組織內部各單位之間所有的與安全相互的交互

首席資訊管，CIO

監督和負責公司的日常技術運營

首席安全官，CSO

確保業務資訊資產得到妥善保管

扮演內部資訊安全協調與促動的角色

需要理解組織的業務目標，引導風險管理流程，確保業務操作和可接受風險之間達成適當的平衡

具體職責：

為資訊安全活動做預算

開發策略、程序、基線、標準和指南的開發

開發安全意識程序

參與管理會議

協助內部和外部的審計

安全指導委員會

成員由來自組織機構各部門的人員組成，包括CEO領導，同時CFO、CIO、各部門經理、首席內審員

至少每季召開一次會議，並有明確議程

職責：

定義組織機構的可接受風險級別

確定安全目標和找略

根絕業務需求決定安全活動的優先級

審查風險評估和審計報告

監控安全風險的業務影響

審查重大的安全違規核子事故

批准安全策略和計劃的任何重要變更

審計委員會

由董事會任命，幫助其審查和評估公司的內部運作、內部審計系統以及財務報表的透明度和準確性。

負責：

公司財務報表以及財務資訊的完整性

公司的內部控制系統

獨立審計員的僱用和表現

內部稽核功能的表現

遵守與道德有關的法律要求和公司策略

風險管理委員會

從整體上了解組織的風險並且協助高階管理者把風險降到可接受的程度。

研究整體的業務風險，而不僅僅是IT安全風險

安全計劃

組織的資訊安全建設應該按計畫行事，安全管理計畫應該自上而下

職責：

高層定義組織安全方針

中層將安全性策略完成標準、基線、指南和程序，並監控執行

業務經理和安全專家負責實施安全股那裡文件中的製定配置

最終使用者負責遵守組織的所有安全策略

類型

戰略計劃， strategic plan

長期計劃，例如5年

，相對穩定，定義了組織的目標和使命

戰術計劃， tactical plan

中期計劃，例如1年

實現戰略計劃中既定目標的任務和進度的細節描述，例如僱用計劃，預算計劃等

操作計劃， operational plan

短期的高度細化的計劃，經常更新

每月或每季更新，例如培訓計劃，系統部署計劃等

人員安全（第7章）

人員職責

資料擁有者

負責管理某個業務部門，對特定資訊自己的保護和應用負責任

具有「適當關注」責任（due care）

職責

決定資料的分類

定義每種分類的安全需求和備份需求

定義使用者存取準則

業務角色而非技術角色

資料管理員(保管員)

IT或安全部門的角色

職責

執行資料的常規備份

定期驗證資料的完整性

備份截至還原數據

實現公司關於資訊安全和資料保護的資訊安全策略、標準和指導原則

系統所有者

負責一個或多個系統，每個系統可能保存並處理由不同數據所有者擁有的數據

負責將安全因素整合到應用程式和系統中

確保系統系統脆弱性得到評估

採用足夠的安全措施確保系統安全

安全管理員

負責實施、監視和執行安全規定和策略

向安全委員會和資訊安全官報告

資訊系統審計師

檢查系統，判斷是否滿足安全需求以及安全控制是否有效

向安全目標管理提供獨立保障

安全分析員

幫助制訂策略、標準和指南，並設立各種基準

主要在設計層面，非實現層面

使用者

具備應用的安全意識，遵守安全策略，適當的使用系統，回報安全事件

人員錄用控制

背景檢查

減少風險、減少招募成本、減低員工的流動率

技能考核

保密協議

保護公司敏感資訊

人員在職控制

職責分離

不應該有人從頭到尾的完全控制一項敏感、有價值、或關鍵的任務

目的：較少欺詐或失誤的機會

範例：

金融交易中，一個負責輸入、第二個負責檢查、第三個負責確認最終交易

開發/生產維護，安全管理/操作/審計，加密金鑰管理/金鑰更改

知識分割

最小特權

分配職責所需的最小權限

工作輪換

不允許某個人過長時間擔任某個固定職位，避免個人獲得過多的控制

設定人員備份，有利於交叉培訓，有利於發現詐欺行為

強制休假

強迫敏感部門人員休假，可以有效發現詐欺、資料修改和資源濫用等

人員離職控制

離職人員存取權限的停用

回收具有識別的物件

第三方人員控制

如果第三方人員不駐場，但擁有管理員權限

應與第三方組織及個人均簽訂保密協議

監控第三方的所有工作行為

在存取時，請確保對第三方人員的身份進行驗證

如果第三方人員駐場，並擁有管理員權限

在上述措施的基礎上，增加人員背景調查

第三方人員離場，需要收回相關的權限

在與第三方的合約條款上，增加保密要求，和相關的商務條款

安全意識、培訓和教育

教育，Education

為安全專業認識提供工作所需的專業技術。

方式：

理論性指導，研討會、閱讀與學習，研究

安全見解

“為什麼”

培訓，Training

傳授安全相關工作技能，主要對象為資訊系統管理及維護人員

方式：

實踐指導，講座，個案研究，實驗

獲取知識

“如何做”

意識，Awareness

組織員工對安全和控制重要性的一般性的集體意識

方式：

視頻，媒體，海報等

傳遞訊息

“是什麼”

風險管理

概念：

識別並評估風險、將風險降低至可接受水準、執行適當機制來維護這種層級的流程

100%安全的環境是不存在的，風險管理是收益/成本，安全性/可用性之間的平衡

風險=威脅*脆弱性*資產價值

風險=可能性*影響

相關要素

資產：對組織有價值的資訊資產

可能對資產或組織造成損害的某種安全事件發生的潛在原因

威脅

威脅建模 (STRIDE)

威脅建模具有結構化的方法，對最可能影響系統的威脅進行系統性地辨識和評估。

看看誰最有可能想要攻擊我們，可以先頭腦風暴式地設想他們如何能夠完成攻擊目的，然後提出對策來阻止這類的攻擊行為

脆弱性（vulnerability）

也成漏洞或弱點，即資產或資產組中存在的可被威脅利用的弱點，弱點一旦被利用可能對資產造成損害

風險

特定威脅利用資產弱點對資產或資產組帶來損害的潛在可能性

可能性

影響

後果，意外事件對組織帶來的直接或間接的損害或傷害

安全措施

控製或對策，即透過防範威脅、較少弱點，限制意外事件帶來影響等途徑來削尖風險的機制、方法和措施

殘留風險

再實施安全措施後仍存在的風險

風險評估 (Assessment)

主要任務：

識別構成風險的要素

評估風險發生的可能性和造成的影響，並最終評估風險等級或大小

確定組織承受風險的能力

確定風險消減和控制的策略、目標和優先順序

推薦風險消減對策以供實施

方法

風險評估（ISO27005）

識別風險

分析風險

評價風險

NIST SP800-30和 SP800-66

定性RA方法，關注IT風險

1，系統分類；2，弱點辨識；3，威脅辨識； 4，對策識別；5，可能性評估；6，影響評估； 7，風險評估；8，新對策推薦；9，文件報告

OCTAVE

一種基於資訊資產風險的自主式資訊安全風險評估規範，強調以資產為驅動，由3個階段、8個過程構成

OCTAVE方法在全組織範圍內部署風險管理程序並與安全計劃集成

CRAMM

基本過程：資產識別和評價；威脅和弱點評估；對策選擇和建議

FRAP

經過預先篩選，只關注那些的確需要評估以降低成本和時間的系統

預算有限的情況

STA

創建一個系統可能面臨的所有威脅的樹，樹枝可以代表諸如網路威脅、物理威脅、組件失效等類別，進行RA時，需要剪除不使用的樹枝

FEMA

源自硬體分析。考察每個部件或模組的潛在失效，並考察失效影響

AS/NZS 4360

澳洲的一種風險評估方法，不是專門為了安全而使用的

評估的過程

識別資訊資產

識別每項資產的擁有者、保管者和使用者

建立資產清單，根據業務流程來識別資訊資產

資訊資產存在的形式

電子資料：資料庫和資料檔案、使用手冊等

書面合約：合同，策略方針，歸檔文件，重要商業結果

軟體資產：應用軟體、系統軟體、開發工具、軟體程式

實體資產：磁介質、電源供應器和空調、網路基礎設施、伺服器等

人員：承擔特定只能和責任的人員或角色

服務：計算和通訊服務、外包服務，其他技術性服務

組織形象與聲譽：無形資產

評價資訊資產

評價因素

受損後造成的直接損失

資產恢復所需的代價，包括偵測、控制、修復的人力和物理

組織公眾形象與名譽損失，競爭優勢損失

其他損失，如保險費用的增加

根據重要性（影響或後果）來劃分資產等級，同時考慮保密、完整性和可用性的受損可能引發的後果

識別和評價威脅

一項資產可能面臨多個威脅，一個威脅也可能對多個資產造成影響

識別威脅源

人員威脅

系統威脅

環境威脅

自然威脅

評估威脅可能性是考慮威脅源的動機和能力因素

識別和評估弱點

針對每個資產可能被利用的弱點

技術性弱點

操作弱點

管理型弱點

識別途徑

審計報告、實務報告、安全檢查報告、系統測試和評估報告

自動化漏洞掃描工具

風險評價 (Evaluation)

風險影響（Risk impact）

風險可能性（probability）

風險處置策略

風險處置方法

緩解/減少/削弱風險 (Mitigate/Reduce Risk) （上控制措施）

減少威脅

實施惡意程式碼控制措施

減少弱點

透過安全意識培訓，強化安全操作能力

降低影響

災難復原計劃和業務連續性計劃，做好備份

避免風險 (Avoid/Risk)

轉移風險 (Transfer Risk) （外包/買保險）

接受風險 (Accept Risk)

風險控制措施選擇對策

成本/效益分析

基本原則：實施安全措施的代價不應該大於所要保護資產的價值

對策成本：購買費用，對業務效率的影響，額外人力物力，訓練費用，維護成本費用等

控制價值 = 實施控制之前的ALE-實施控制後的ALE - 控制的年成本

約束條件

時間約束，技術約束，環境約束

法律約束，社會約束

防護措施基本功能和有效性

評估殘留風險

實施安全控制後殘留或殘存的風險

殘留風險Rr=原有風險R0-控制效力R

殘留風險<=可接受的風險Rt

定量風險評估

定量風險分析會嘗試為風險分析過程的所有元素都賦予具體的和有意義的數字

防護措施的成本、資產價值、業務影響、威脅頻率防護措施的有效性、漏洞利用的可能性等每個元素都被量化，最後計算出總風險和剩餘風險

定量分析步驟：

為資產賦予價值

估計每種威脅的潛在損失

評估威脅和弱點，評價特定威脅作用於特定資產所造成的影響，即EF（0%～100%）

執行威脅分析

計算年發生比率（ARO）

事件發生的頻率：ARO（年發生比率）

針對每種資產和威脅計算的單一損失期望（SLE）

SLE（單一損失期望）=asset value（資產價值）×EF（暴露因子）

計算每種威脅的潛在年度損失

每種威脅計算年度損失期望值（ALE）

ALE = SLE × ARO

定性風險評估

考慮各種風險可能發生的場景，並基於不同的觀點對各種威脅的嚴重程度和各種對策的有效性進行等級排列

定性分析技術

判斷、最佳實踐、直覺和經驗

收集資料的定性分析技術

群體決策方法，delphi

調查問題卷

檢查

訪談

定性和定量方法對比

定性方法及結果相對主觀

定性方法無法為成本/效益分析建立貨幣價值

定量方法需要大量的計算，實施比較困難

資訊分類分級管理

目的：說明需要為每個資料集設定的機密性、完整性和可用性保護等級

根據資訊敏感程度，公司採取不同的安全控制措施，確保資訊受到適當的保護，指明安全保護的優先順序（同時避免過度保護）

商業公司

機密

隱私

敏感

公開

軍事機構

絕密 (Top Secret)

秘密（Secret

機密（Confidential）

敏感但未分類

未分類

法律、道德、合規

電腦犯罪

電腦犯罪特徵：

調查取證比較困難，證據容易遭到破壞

相關法令不完善

跨地域的特徵

從統計來看，內部人員實施犯罪幾率比較高

受害機構有時不報告，擔心影響機構的正常運作和損害使用者對機構的信任

電腦犯罪的類型

電腦輔助犯罪

使用電腦作為工具來幫助實施犯罪；電腦在犯罪中並非必要因素，而是作為工具協助犯罪者。

以電腦為目標的犯罪

針對電腦、網路以及這些系統中所儲存的資訊的犯罪

電腦牽涉型犯罪

計算機不一定是攻擊者或被攻擊者，只是在攻擊的發生時碰巧涉及其中。

計算機相關法律

法律體系

普通法系

民法

刑法

行政法

大陸法系

習慣法體系

宗教法律體系

混合法律體系

智慧財產法

商業機密

與公司的競爭或市場能力至關重要

不是眾所周知的，公司付出了相關的資源和努力開發的

收到公司適當保護以防止洩漏或非授權使用

範例：

產品配發

程式原始碼

加密演算法

著作權

最作品公開發表、複製、展示和修改的法律保護的權利

不保護作品的創意，保護創意的表現形式

範例：

程式碼，原始碼和可執行文件，甚至是使用者介面

文學作品

繪畫

歌曲旋律

商標

它保護代表公司形象的單字、名稱、符號、形狀、聲音、顏色

商標通常在商標註冊機構進行註冊

商標是公司在市場運作過程中建立的品質和信譽標誌

專利

對專利註冊人或公司專利擁有權的法律認可，禁止他人或公司未經授權使用

專利有效期限20年

範例：

藥品的配方

加密演算法

軟體分類

免費軟體

分享軟體

開源軟體

商業軟體

學術軟體

隱私

處理目標

主動尋求保護公民的個人可識別資訊（PII）

在政府和業務的需求與銀安全問題而考慮收集和使用PII之間，主動尋求平衡

個人隱私

類型：

獨處權利

免受對個人不合理權利

決定何種個人資訊可以被傳播以及傳播給何人的權利

注意的問題：

防止不合理侵犯，底線是知情同意，採取適當的保護措施

防止缺乏適當的方法，底線是“公平公正”，有糾錯機制

個人資訊使用原則

個人資料控制者的義務

收集個人資料需要徵得資料主體的同意並告知用途

只收集與用途有關的數據，只在用途所需期限內使用和保存

資料收集的方法資料的用途迎合法

採取合理措施，技術、管理和操作措施，防止個人資訊遭到惡意侵犯，保證數據的完整性和保密性，並清除過時數據，防止無用途相關工作需要的人訪問

個人資料主體的義務與權利

查看所收集的信息，更正錯誤訊息

數據洩密

每一個安全事件之後都應該調查有沒有資料外洩的情況。

道德規範

ISC2道德規範

保護社會、公共利益與基礎設施，贏得必要的公眾信心與信任行事端正、誠實、公正、負責、守法推動產業發展、維護職業聲譽勤奮盡責、專業勝任

電腦道德協會

Internet體系結構研究委員會

電腦犯罪謬論

BCP&DRP需求

BCP/DRP概述（第7章）

什麼是災難

突發的，導致重大損失的不幸意外事件。

包括：

自然災害，如地震、洪水、自然火災，火山爆發、強烈對流天氣

系統/技術的，如硬體、軟體中斷，系統/程式錯誤

供應系統，通訊中斷，配電系統故障，管線破裂

人為的，爆炸，火災、故意破壞、化學污染、有害代碼

政治的，恐怖活動，暴動、罷工

組織的災難

對於機構來說，任何導致關鍵業務功能在在一定時間內無法進行的事件都被視為災難

特點：

計劃之外的服務中斷

長時間的服務中斷

中斷無法透過正常的問題管理規程解決

中斷造成重大的損失

兩個要素

中斷所影響的業務功能的關鍵程度

中斷的時間長度

災難復原計劃，DRP

災難復原目標

降低災難或業務中斷的影響

採取必要的步驟保證資源、人員和業務流程盡快恢復運作

往往更重視IT層面

業務連續性計劃，BCP

業務連續性目標

保障組織面對各種狀況時仍保持業務的運營

從更長遠的角度來解決問題，主要為長期停產和災難事件提供方法和措施

目標 objective

在緊急情況下提供及時和適當的應對措施

保護生命和確保安全

減少對業務的影響

恢復關鍵業務功能

在災難時減少混亂

確保企業的生存能力

在災難發生後迅速“啟動並運行”

BCP應該與是機構的業務目標一致，是整體決策的一部分

BCP應該是機構安全專案的一部分，並與安全專案的其他內容相協調

標準和最佳實踐

NISTSP800-34

制定連續性規劃策略（policy）

執行業務影響分析（Business impact analysis，BIA）

確定預防性控制方法

制定恢復戰略

制定BCP

測試BCP

維護業務連續性計劃

ISO27031

ISO22301

BCP專案規劃

BCP計畫啟動前準備活動

確定BCP需求，可以包含針對性的風險分析以識別關鍵系統可能的中斷

了解相關法律、法規、行業規範以及機構的業務和技術規劃的要求，以確保BCP與其一致

任命BCP專案負責人，建立BCP團隊，包括業務和技術部門的代表

制定專案管理計畫書，其中應明確專案範圍、目標、方法、責任、任務以及進度

召開專案啟動會，獲得管理階層支持

確定收集資料所需的自動化工具

設施必要的技能培訓和意識提升活動

BCP專案負責人

業務連續性協調人作為BCP專案負責人全面負責專案的規劃、準備、訓練等各項工作

工作任務

計劃的開發團隊與管理層的溝通和聯絡

有權與計劃相關所有人進行直接接觸和溝通

充分了解業務中斷對機構業務的影響

熟悉機構的需求與運作，有能力平衡機構相關部門的不同需求

比較容易接觸高階管理層

了解機構業務方向及高管理層的意圖

有能力影響高階管理層的決策

BCP專案的關鍵角色

復原團隊，災難後進行評估、復原、復原等相關工作的多個團隊

業務部門代表，識別機構的關鍵業務功能，協助復原策略的選擇和製定

IT部門

通訊部門

資訊安全部門

法律代表

BCP策略

BCP規劃最終應該形成業務連續性策略條框，該條款記錄的BCP的

目標、範圍、需求

基本原則和指導方針

職責和責任

關鍵環節的基本要求

策略條款應得到高階管理層的正式批准，並公佈成為機構的政策，指導業務連續性的相關工作。

業務影響分析BIA

業務影響性分析概述

識別可能會在災難中造成重大損失或營運中斷的區域

BIA分析方法

定性分析以劃分嚴重程度的方式得出災難或中斷事件造成的影響

定量分析以貨幣的方式得出災難或中斷事件造成的影響

BIA目的

協助管理階層了解潛在的中斷影響

識別關鍵業務功能以及支援這些功能的IT資源

協助管理人員識別機構功能支援方面的不足

排定IT資源的恢復順序

分析中斷的影響

確定每項業務功能的恢復窗口

BIA過程

確定資訊收集技術

選擇受訪者

識別關鍵業務功能(critical business functions)及其支援資源

確定如果失去這些資源的支持這些功能能存活多久

識別弱點和威脅

計算每個業務功能的風險

準備提交BIA報告

存在的問題

應對建議

BIA的資訊分析

整理（Organize）歸納（Correlate）分析（Analyses）、與確認（Confirm）

定性和定量的自動化工具輔助進行資訊的整體和分析

業務的代表檢查和確認資訊分析的結果

確定允許中斷時間 MTD

業務影響分析的核心任務是確定關鍵業務功能及其支援資源的最大允許中斷時間MTDs

支援多個業務功能的資源其關鍵程度較高

中斷時間超過最大允許中斷時間（Maximum Tolerable Downtime）將造成業務難以恢復，越是關鍵的功能或資源

根據MTDs排定關鍵業務功能及其支援資源的恢復順序

支持資源的確定

確定關鍵功能的所有支援資源（包括非電腦資源）、資源的使用時間段、缺乏該資源對功能的影響以及資源之間的相互依賴

災難復原的度量

工作復原時間， Work Recovery Time，WRT

工作復原時間相對固定

恢復時間目標，Recovery Time Object，RTO

在系統的不可用性嚴重影響到機構之前所允許消耗的最長時間

復原點目標，Recovery Point Objectives，RPO

資料必須被恢以便繼續處理的點。也就是所允許的最大資料損失量

RTO WRT=MTD