使用业务影响分析为风险优先级和响应提供信息
美国国家标准与技术研究院(NIST)于2025年2月发布了《NIST IR 8286D: 使用业务影响分析为风险优先级和响应提供信息》,这份跨机构报告(Interagency Report,IR)是其上一个版本(2022年11月发布)的更新。
传统上,业务影响分析(BIA)主要用于业务连续性和IT灾难恢复(BC/DR)领域,帮助确定运营中断可能带来的影响,但该过程完全可以扩展到分析各种类型损失对企业使命的潜在影响。企业风险管理(ERM)需要对关键业务/功能(必须顺利进行的事情)和可能危及这些业务/功能的潜在风险情景(可能出错的地方)有全面的理解。该报告中描述的过程帮助领导层确定哪些资产支撑企业达成使命目标,并评估影响资产关键性和敏感性的因素。基于这些因素,企业领导层给出风险指导(如风险偏好和风险容忍度)作为BIA的输入。然后,系统负责人将BIA用于开发资产分类、影响估值和保护关键或敏感资产的要求。BIA的输出是企业风险管理(ERM)/网络安全风险管理(Cybersecurity Risk Management,CSRM)整合过程的基础。
下图是该报告的目录,我们可以看到,在第2部分:根据企业价值编目和分类资产中,给出了将业务影响分析扩展到业务连续性和灾难恢复(BC/DR)之外,并将其整合到企业风险管理中的过程和方法。
常言道,一图胜千言,该报告中的几个示图相当不错,以下摘取出来供参考。
以下图1展示了将业务影响分析过程整合进网络安全风险管理(CSRM)。
以下图2给出了第3级BIA的过程活动(注意,该过程活动即以上图1中的C部分)。
以下图3给出了企业资产对业务或机构的影响分类,包括使命达成方面、财务方面和声誉方面(即相关方——如公众、股东、监管方和合作伙伴等——看待企业的方式)。
以下图4给出了信息风险识别的要素,包括资产(A)、威胁源(B)、脆弱性(C)和负面影响(D)。
最后,我祭出源自NFPA 1600中的一幅”神图”,可以看看另一个美国国家标准中将BIA和RA(风险评估)整合的方法。
很显然,这两种方法完全一致。
最后,关于该报告:《NIST IR 8286D: 使用业务影响分析为风险优先级和响应提供信息》,需要的朋友们可以通过链接 https://nvlpubs.nist.gov/nistpubs/ir/2025/NIST.IR.8286D-upd1.pdf 进行下载,当然,也可以到知识星球下载该PDF文件及其机翻中文版。
原文发表于公众号”王曙说”