随着以计算机和网络通信技术为代表的信息技术的发展,现代的政府部门、金融机构、企事业单位和商业组织对信息技术的依赖日益加重,信息技术几乎渗透到每一个组织。组织对信息技术的高度依赖,以至于保护信息系统的正常连续运行显得极为重要。 然而,内部和外部的对信息系统的威胁也随着信息系统的重要性的增加而增加,怎么使组织遭受到的威胁最小,怎么使组织在受到威胁后对组织造成的影响最小,怎么使组织在遭受灾难后能尽快的恢复,保持组织业务的连续运行也越来越引起人们的重视,业务连续计划(BCP)从而产生了。 业务持续计划就是在对组织进行风险分析和业务影响分析并将其量化的基础上,制定相应应急及恢复计划、方法和流程,以减轻灾难对于组织的影响。它不仅仅恢复IT基础架构,而且包括关键业务运作、人员及其它重要资源等的恢复和连续。简单地说,业务持续计划是一种灾难事故的预防和反应机制,一系列计划与步骤可以确保在面临突发的灾难事故时,组织运作的关键措施能有效、迅速地发挥作用,以保证业务的正常和连续。 业务连续计划对维持组织业务连续运行有着极为重要的作用,然而,高效的业务连续计划的制定需要经过一系列复杂的过程。其中,对组织进行风险分析和业务影响分析是中间最重要的一个环节,只有准确地对组织进行风险分析和业务影响分析,才能制定高效的业务连续计划。本文正是基于这点进行研究。 本文主要研究业务连续计划中的风险分析和风险管理,并由此提出了一种基于信息流模型的风险分析与风险评估方法。 本文首先引用一些例子说明组织没有业务连续计划,在遭受灾难时对组织造成的严重影响,从而引出业务连续计划对组织的必要性。 其次,介绍了业务连续计划的一些相关知识,业务连续计划的制定过程中所需要的一些基本步骤,综合各方面的描述,总结出业务连续计划制定的流程图,并对其进行详细的描述。 最后,进入本论文的重点研究,对信息系统进行风险分析与风险管理,在这一阶段,主要进行几个方面的研究:资产识别、脆弱性识别、威胁识别和风险识别。在资产识别过