6.1 风险分析
6.1.1 确定风险分析目标
单位应根据长期可持续发展和信息化建设的战略目标,明确风险分析目标,全面识别信息系统灾难风险威胁和脆弱性。
6.1.2 确定风险分析范围
单位应根据信息系统的范围和特点,全面识别和分析影响信息系统正常运行的灾难风险要素。
单位应根据信息系统支持业务的区域范围,分析信息系统面临的区域性灾难风险。
单位应根据业务经营领域,分析信息系统中断造成的金融领域关联性风险。金融领域关联性风险指由于部分金融机构不能履行职责,导致其他机构无法开展特定业务,造成连锁反应,进而影响金融体系稳定的风险。
6.1.3 风险分析方法
a) 资产识别
资产是具有价值的信息或资源,是单位风险分析所要保护的对象,它以无形、有形的形式存在,主要包括:基础设施、硬件、软件、数据、文档、服务和声誉等。单位应对资产进行分类以区分资产的不同重要程度并确定重要资产的范围,应对资产进行标识以区分资产对业务正常运作的不同影响程度,据此确定资产的等级。
b) 威胁识别
威胁指对信息资产构成潜在破坏的可能性因素。灾难风险的威胁有多种分类方法,主要包括:
—— 自然或人为;
—— 无意或有意;
—— 内部、外部或内外勾结;
—— 在控制能力之内或超出控制能力之外;
—— 可先期预警或不可先期预警。
c) 脆弱性识别
脆弱性是可能被威胁利用的信息资产的弱点。脆弱性识别是风险分析中的一个主要环节。脆弱性识别可以从环境、业务、网络、系统、应用等层次进行识别。脆弱性识别的依据可以是国际或国家的安全标准,也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同弱点,其脆弱性严重程度是不同的。信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等也应考虑在内。
脆弱性识别时的数据应来自于信息系统的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅和渗透性测试等。
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性可分为技术管理脆弱性和组织管理脆弱性两方面,前者与具体技术活动相关,后者与管理环境相关。
d) 风险计算
风险计算是采用适当的方法与工具确定威胁利用脆弱性导致信息系统灾难发生的可能性,主要包括以下内容:
1、根据威胁出现的频率及脆弱性状况,计算威胁利用脆弱性导致灾难发生的可能性;
2、根据资产重要程度及脆弱性严重程度,计算灾难发生后的损失;
3、根据计算出的灾难发生的可能性以及灾难的损失,计算风险值,并进行风险等级划分。
6.1.4 风险控制
评估现有安全策略和措施的有效性,确定信息系统仍然可能存在的风险,即残余风险。
单位应根据资产等级及残余风险发生的概率、可能造成的损失和风险防范成本,评估风险可接受的程度,确定可接受的风险。针对不可接受的风险,按照灾难恢复资源的成本与风险可能造成损失之间取得平衡的原则(以下简称“成本风险平衡原则”),确定风险防范措施,并定期评估残余风险。
6.2 业务影响分析
6.2.1 业务功能分析
通过业务功能分析,确定业务功能的关键程度,分析的内容主要包括:
—— 政策性:业务功能的政策要求;
—— 业务性质:核心业务或非核心业务;
—— 业务服务范围:涉及到的内外部机构、用户等范围;
—— 数据集中程度:业务数据的集中与处理的集中、地域分布;
—— 业务时间敏感性:实时与非实时业务、业务运行时段和用户使用频度;
—— 业务功能的关联性:与本单位其它业务功能及其他机构业务功能之间的关联程度。
6.2.2 评估业务中断影响
a)以量化的方法,评估业务功能中断可能造成的直接经济损失和间接经济损失,主要包括:
—— 直接经济损失:
● 资产损失;
● 收入损失;
● 额外费用增加;
● 财务处罚。
—— 间接经济损失:
● 预期收益损失;
● 商业机会损失;
● 市场份额影响。
b)以非量化的方法,评估业务功能中断可能造成的影响,主要包括:
—— 社会影响;
—— 法律影响;
—— 信用影响;
—— 品牌影响。
6.3 确定灾难恢复需求
6.3.1 确定需求等级
单位应根据风险分析、业务功能分析和业务中断影响分析的结论,将信息系统按时间敏感性分成三类需求等级:
a)第一类
—— 短时间中断将对国家、外部机构和社会产生重大影响的系统;
—— 短时间中断将严重影响单位关键业务功能并造成重大经济损失的系统;
—— 单位和用户对系统短时间中断不能容忍的系统。
b)第二类
—— 短时间中断将影响单位部分关键业务功能并造成较大经济损失的系统;
—— 单位和用户对系统短时间中断具有一定容忍度的系统。
c)第三类
—— 短时间中断将影响单位非关键业务功能并造成一定经济损失的系统;
—— 业务功能容许一段时间中断的系统。
6.3.2 确定最低恢复要求
根据信息系统的时间敏感性,确定信息系统灾难恢复目标的最低要求:
a) 第一类:RTO<6 小时,RPO<15 分钟;
b) 第二类:RTO<24 小时,RPO<120 分钟;
c) 第三类:RTO<7 天。
6.3.3 确定恢复优先级
根据业务功能分析、业务中断影响分析并综合考虑系统间的依赖性,确定信息系统的恢复优先级。
6.3.4 确定相关资源
单位应确定灾难恢复所需的七个方面资源要素:
—— 数据备份系统;
—— 备用数据处理系统;
—— 备用网络系统;
—— 备用基础设施;
—— 技术支持能力;
—— 运行维护管理能力;
—— 灾难恢复预案。