CISSP第一章：安全与风险管理知识点

用Xmind制作知识体系图，此处导出png图片格式方便查阅（可保存到本地查看高清原图）。

1、安全与风险管理基础

基础知识

• CIA - 机密性 - 确保信息在存储、使用、传输过程中不会泄露给非授权的用户或实体- 完整性 - 防止非授权的篡改 防止授权用户不恰当的修改信息 保持信息内部一致性和外部的一致性- 可用性 - 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时的访问信息
• DAD - 泄露、篡改、破坏

CIA的相关技术

• 机密性 - 数据加密（磁盘加密、数据库加密）- 传输机密（IPsec、SSL、TLS、SSH）- 访问控制（物理和技术控制）
• 完整性 - 哈希（数据完整性）- 配置管理（系统完整性）- 变更管理（过程完整）- 访问控制（技术和物理控制）- 软件数字签名 - 代码签名（主要作用是保护代码的完整性，不是抗抵赖）- 传输CRC检验功能（用于网络传输的多个层）
• 可用性 - 冗余磁盘阵列（RAID）- 集群- 负载均衡- 冗余的数据和电源线路- 软件和数据备份- 磁盘映像- 位置和场外措施- 回滚功能- 故障转移配置

分层建设

• 纵深防御 - 多种控制手段结合，一个控制失效不会导致系统或数据暴漏

风险管理

三种安全控制机制以纵深防御方式实现。 风险管理是信息安全核心理念的核心内容

• 控制类型3类 - 管理性控制 - 组织的安全策略和法律发规制定的策略和程序 举例：策略、程序、招聘实践、背景调查、数据分类、数据标签、安全意识培训、休假记录、报告和审查、工作监督、人员控制和测试。- 技术性控制/逻辑控制 - 硬件和软件控制 举例：身份验证方法、加密、限制接口、访问控制列表、协议、防火墙、路由器、IDS和阈值- 物理性控制 - 可实际接触到的措施 举例：保安、栅栏、动作探测器、上锁的门、密封的窗户、灯、电缆保护、笔记本电脑锁、徽章、刷卡、看门狗、摄像机、陷阱、报警器
• 安全控制功能种类6种 - 威慑控制- 预防控制- 检测控制- 补偿控制- 纠正控制 - 备份、BCP、DRP- 恢复控制

GRC-治理、风险与合规

信息安全管理-PDCA模型

• 计划Plan、实施Do、检查Check、措施Action - 1、根据风险评估结果，法律法规要求、组织业务， 运作自身需要来确定控制目标与控制措施 2、实施所选的安全控制措施。提升人员安全意识 3、依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查 4、针对见擦汗结果采取应对措施，改进安全状况

机构信息分类

• 商业公司-公开、敏感、私有、机密（由低到高）
• 军事机构-敏感但非机密、秘密、机密、绝密（由低到高）

2、安全控制框架

安全控制开发

• Cobit IT内部控制- 信息系统审计和控制协会编制（ISACA），分治理域和管理域
• NST 800-53 安全控制参考

企业方案开发

• ISO/IEC 27001 信息安全管理体系- 源于BS7799 BS7799-1对应ISO27002 BS7799-2对应ISO27001
• ISO/IEC 27002 信息安全管理体系最佳实践-目标框架 ISO/IEC 27003 信息安全管理体系实施指南 ISO/IEC 27005 信息安全风险管理

企业架构开发

• Zachman，TOGAF企业框架

安全企业架构开发

• SABSA安全机构框架

公司治理

• COSO 企业内控管理框架 内部控制-整体框架- 五类内控要素： 环境控制、风险评估、控制活动、信息与沟通、检测- 很多组织应对SOX404法案合规性的框架

流程管理

• CMMI 软件开发管理
• ITIL IT服务管理- 四大过程：服务战略、服务设计、服务交付、服务运营、持续服务改进
• Six Sigma 业务流程管理

Due Care

（DC，应尽的关心、谨慎考虑、应尽关注、尽职关注、适度关注、适度审慎） Due Diligence （DD，尽职审查、恪尽职守、尽职调查、尽职勤勉、应尽勤勉、适度勤勉）

3、安全策略

安全管理文档层次性

• 方针 - 1、处于策略的最高层 2、最高层对于信息安全承担责任的一种承诺 3、说明要保护的对象和目标- 三类方针 - 监管性、合规性方针- 建议性方针- 信息性、指示性方针
• 标准 - 建立方针执行的强制执行机制
• 指南/准则 - 类似于标准，加强系统安全的方法，他是建议性的
• 安全基线 - 满足方针要求的最低级别的安全需求
• 程序/步骤/归程 - 执行特定任务的详细步骤- 程序是对执行保护任务时具体步骤的项目描述

内容侧重的策略类型

• 组织性策略
• 功能性策略
• 特定系统策略

采购安全策略与实践/供应链

• 供应链风险与安全控制
• 硬件、软件与服务采购 - 制定安全基线，明确采购的产品和服务的最低安全要求 对供应商人员进行安全培训 制定供应商安全管理策略，定义通用的安全控制方法 增加对OEM厂商、分销商和集成商的控制 对供应商网络安全风险进行审计
• 最低安全要求与服务级别需求 - 通过SLA明确服务水平要求和最低安全要求
• 第三方审计SOC报告（大纲第六知识域） - SOC之前，许多组织长借鉴SAS70 report Statement on Auditing Standards(SAS) 审计准则说明以获对外包活动的按为，然而SAS 70关注财务报告内容控制（ICOFR）,而不关注系统可用性和安全。 - Statement on Auditing Standards(SAS) 70 多数组织使用外包服务区要求SAS70报告，但是仅从财务角度出发，许多用户开始关注安全、可用性而后隐私- SOC1 - 报告需要服务提供商描述他的系统并定义控制目标和控制，这些与财务报告内部控制有关；- SOC1报告通常不覆盖那些与用户ICOFR报告无关的服务和控制。- SOC1报告在2011年开始被许多服务商用于核心财务处理服务；- SOC2/SOC3报告 - 包含设计和运维有效性的报告- 原则和准则具体定义安全性、可用性、机密性、处理完整性和隐私；- 提供超越财务报告内部控制（ICOFR）；- 可以基于服务提供商及其用户的需求，采用模块化的方式便于SOC2/SOC3报告能够覆盖一个或多个原则；- IT服务提供商没有影响或存在间接影响到用户的财务系统，则使用SOC2报告；- SOC3报告一般用于向大范围用户通报其保障级别而不需要披露细节控制和测试结果；- Type 1 和 Type 2

威胁建模

• 步骤 - 识别威胁 - STRIDE模型- 确定潜在攻击- 执行简化分析- 优先级配许和响用

4、信息安全组织架构

高级管理者(CEO、CFO、COO)

• 决策层或高级管理层全面负责信息安全，是信息安全的最终负责人
• • 职责：1、明确信息安全目标和方针为信息安全活动指引方向 2、为信息安全活动提供资源 3、重大问题做出决策 4、协调组织不同单位不同环节的关系 5、最终责任人

首席信息官（CIO）

• 监督和负责公司的日常技术运营

信息系统安全专家（CSO）

• 1、即信息安全官或CSO，受高级管理层委派（通常向CIO）负责实施和维护安全 2、设计、实施、管理和复查组织的安全策略、标准、指南和程序 3、协调组织内部各单位之间所有的与安全相互的交互
• CSO的职责 1、为信息安全活动做预算 2、开发策略、程序、基线、标准和指南的开发 3、开发安全意识程序 4、评价安全事件作出响应 5、开发安全合规性程序 6、参与管理会议 7、建立安全度量机制 8、协助内部和外部的审计

安全委员会

• 1、成员来自：高级管理层代表、IT管理者、业务和职能部门负责人、信息安全官等 2、决策并批准安全相关事务、策略、标准和指南

安全管理员

• 1、负责实施、监视并执行安全规定和策略 2、各部门可设立自己的安全管理员，负责执行本部门的安全管理事务 3、向安全委员/信息安全官报告

信息系统审计师

• 1、向安全目标管理提供独立保障 2、检查系统，判断系统是否满足安全需求，以及安全控制是否有效

安全计划小组

三类计划

• 战略计划-长期计划、约五年、相对稳定，定义了组织的目标和使命
• 战术计划-中期计划，例如1年、对实现战略计划中既定目标的任务和进度的细节描述，例如雇佣计划，预算计划等
• 操作计划-短期的高度细化的计划，经常更新每月或每季度更新，例如培训计划，系统部署计划等

5、人员安全

入职安全管理

• 背景检查-减少风险、减少招聘成本、减低员工的流动率
• 技能考核
• 保密协议或DNA-明确雇员对组织信息安全的责任、保密及违法的法律责任，适用于试用期员工、第三方用户使用信息处理过程、更改雇员合同期限和离职时

在职安全管理

• 职责分离-目的：较少欺诈或事务的机会。常见模式：知识分割、双重控制 对于较小组织来说，严格职责分离比较困难，可以通过监控、审计等补偿性措施
• 最小特权-分配职责所需的最小权限
• 工作轮换-不允许某个人过长时间担任某个固定职位，避免个人获得过多的控制。 设置人员备份，有利于交叉培训，有利于发现欺诈行为（交叉培训常被当做岗位轮换的替代方案）
• 强制休假-强迫敏感部门人员休假，可以有效发现欺诈、数据修改和资源滥用等

离职安全管理

• 立即消除离职人员访问权限
• 回收具有身份识别的物件
• 离职者需要陪同下清理个人物品

供应商、顾问与合同工控制

• 不驻场工作，但拥有管理员权限 - 1、与第三方组织和个人均签订保密协议 2、监控第三方的所有工作行为 3、在接入时，确保对第三方人员的身份进行验证
• 驻场工作，并拥有管理员权限 - 1、在上述（1-3）措施的基础上，增加人员背景调查 2、第三方人员离场，需要收回相关的权限
• 在与第三方的合同条款上，增加保密要求，和相关的商务条款

必要的安全（意识、培训、教育）

• 1、雇员必须意识到保护组织的信息资产； 2、操作者必须经过培训，以便掌握安全履行职责的技能； 3、安全实践者应该接受教育，以便实时和维护必要的安全控制

6、风险管理

目的

• 识别并评估风险、将风险降低至可接受水平、执行适当机制来维护这种级别的过程
• 成本利益的平衡 ROI ROI=(实施控制后的收益+挽回数据损失的收益)/控制成本

风险管理相关要素

• 资产 - 对组织具有价值的信息资产 资产估值：根据实际成本和非货币性指出给资产制定的货币价值
• 威胁 - 可能对资产或组织造成损害的某种安全事件发生的潜在原因
• 脆弱性 - 漏洞或弱点，即资产或资产组中存在的可被威胁利用的弱点，弱点一旦被利用可能对资产造成损害
• 风险 - 特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性
• 可能性 - 对威胁发生频率的定性描述
• 影响/后果 - 意外事件给组织带来的直接或间接的损害或伤害
• 安全措施 - 控制或对策，即通过防范威胁、较少弱点，限制意外事件带来影响等途径来削尖风险的机制、方法和措施
• 残留风险 - 实施安全措施之后仍然存在的风险

风险评估

• 概念 - 对信息资产及其价值、面临的威胁、存在的弱点，以及三者综合作用带来的风险的大小或水平的评估
• 目标
• 风险评估方法 - AS/NZS4360 - 采取了一种更为广泛的方式进行风险管理（NZS适用于公司的财政、资本、人员安全和业务决策风险，不是专门为安全使用的，）- NIST SP800-30和 SP800-66 - 定性RA方法- 1，系统分类；2，弱点识别；3，威胁识别； 4，对策识别；5，可能性评估；6，影响评估； 7，风险评估；8，新对策推荐；9，文件报告- OCTAVE - 一种基于信息资产风险的自主式信息安全风险评估规范，强调以资产为驱动，由3各阶段、8个过程构成- CRAMM - 基本过程：资产识别和评价；威胁和弱点评估；对策选择和建议- STA - 创建一个系统可能面临的所有威胁的树，树枝可以代表诸如网络威胁、 物理威胁、组件失效等类别，进行RA时，需要剪除不用的树枝- FEMA - 源自硬件分析。考察每个部件或模块的潜在失效，并考察失效影响
• 定量分析 - 定义：对构成风险的各个要素和潜在损失水平赋予数值或货币金额。- 基本概念： 暴漏因子EF、单一损失期望SLE、年度发生率ARO、年度损失期望ALE- 定量分析过程- 识别资产并为资产赋值- 评估威胁和弱点，评价特定威胁 作用于特定资产所造成的影响，即EF（0%～100%）- 计算特定威胁发生的次数（频率），即ARO- 计算资产的SLE SLE（单一损失期望）=AV 资产价值 ×EF（暴露因子） 简：SLE=AVEF- 计算资产的ALE ALE（年度损失期望）=SLE（单一损失期望）×年度发生率（ARO） 简：ALE=SLEARO 或 ALE=AVEFARO- 计算防护措施的成本/收益= 防护措施实施前的ALE-防护措施实施后的ALE-防护措施的年度成本ACS=防护措施对公司的实际价值 简：（ALE1-ALE2）-ACS
• 定性分析 - 定义：目前采用最为广泛的模式，带有很强的主观性。往往需要凭借分析者的经验和直觉，或者业界的惯例和标准，为风险管理要素的大小或高低进行定性分级，例如“高、中、低”- 定性分析方法- 达成共识/delphi方法- 检查列表- 问卷- 人员访谈
• 定性分析和定量分析的方法对比 - 定性方法及结果相对主观- 定性方法无法为成本/效益分析建立货币价值- 定量方法需要大量的计算，实施比较困难

风险评/分析估过程

• 1、识别信息资产 - 1、识别每项资产的拥有者、保管者和使用者 2、建立资产清单，根据业务流程来识别信息资产 3、物理的、逻辑的；无形的资产
• 2、评价信息资产 - 1、考虑评价的因素 2、根据重要性（影响或后果）来划分资产等级， 同时考虑保密性、完整性和可用性的受损可能引发的后果 3、无形资产的评估方法
• 3、识别和评估威胁 - 1、一项资产可能面临多个威胁，一个威胁也可能对多个资产造成影响 2、识别威胁源：人员威胁、系统威胁、环境威胁、自然威胁 3、评估威胁可能性是要考虑威胁源的动机和能力因素
• 4、识别和评估弱点 - 1、针对每个资产找到可能被利用的弱点 技术性弱点、操作系统弱点、管理型弱点 2、弱点的识别途径 审计报告、事件报告、安全检查报告、系统测试和评估报告 专业机构发布的漏洞信息 自动化漏洞扫描工具 渗透测试
• 5、资产、威胁及弱点关系
• 6、风险评价 - 关键指标 1、风险影响（Risk impact） 2、风险可能性（probability）
• 7、现有控制措施的考虑 - 针对性和实施方式三类 1、管理性： 2、操作性 3、技术性- 功能上看，控制措施类型包括： 1、威慑性 2、预防性 3、检测性 4、纠正性 5、恢复性 6、补偿性
• 8、风险处置策略 - 确认风险处置的策略: 1、降低风险 2、避免风险 3、转移风险 4、接受风险- 风险控制措施选择对策 1、成本/效益分析：基本原则：实施安全措施跌代价 不应该大于所要保护资产的价值。对策成本：购买费用，，额外人力物力，培训费用，维护成本费用等。对业务效率的影响。控制价值=实施控制之前的ALE-控制的年成本-实施控制后的ALE 2、约束条件：时间约束，技术约束，环境约束\法律约束，社会约束 3、防护措施基本功能和有效性
• 9、评价残留风险 - 实施安全控制后残留或残存的风险 残留风险Rr=原有风险R0-控制效力R 残留风险<=可接受的风险Rt

7、法律法规符合与职业道德

计算机犯罪相关

• 计算机辅助犯罪 - 计算机在犯罪中并非必要因素，只是作为工具协助犯罪分子。
• 以计算机为目标犯罪 - 针对计算机、网络以及这些系统中所存储的信息的犯罪
• 计算机牵涉型犯罪 - 计算机不一定是攻击者或被攻击者，只是在攻击的发生时碰巧涉及其中。
• 要理解犯罪中的“为什么”，很多时候必须理解MOM - Means 方式- Opportunities 机会 - B. Opportunities 机会- Motivation 动机

法律的分类

• 刑法
• 民法
• 行政法

计算机犯罪特点

• 调查取证比较困难，需要专业的技术而且证据容易遭到破坏，比起其他证据更难得到法庭认可
• 相关法律不完善，法律跟不上技术发展进步，使罪犯难以受到法律制裁
• 跨地域的特征
• 从统计来看，内部人员实施犯罪几率比较高
• 受害机构有时不报告，担心影响机构的正常运作和损害用户对机构的信任

知识产权

• 商业秘密 - 1、不是众所周知的，公司付出了相关的资源和努力开发的 2、收到公司适当保护以防止泄漏或非授权使用 3、与公司的竞争或市场能力至关重要- 示例：产品配方、程序源代码、加密算法
• 著作权/版权 - 1、最作品公开发表、复制、展示和修改的法律保护的权利 2、并不保护作品的创意，保护创意的表现形式- 示例：程序代码，源代码和可执行文件，甚至是用户界面、文学作品、绘画、歌曲旋律
• 商标 - 1、它保护代表公司形象的单词、名称、符号、形状、声音、颜色 2、商标通常在商标注册机构进行注册 3、商标是公司在市场运作过程中建立起来的质量和信誉标志
• 专利 - 1、对专利注册人或公司专利拥有权的法律认可，禁止他人或公司未经授权使用 2、专利有效期20年- 示例：药品的配方、加密算法等

软件盗版

• 1、自由免费软件 2、共享软件 3、商业软件 4、学术软件
• 国际反盗版组织：软件保护协会SPA、反软件盗窃联盟 相关法律：数组千年版权法案DMCA

法律法规

重点关注GDPR

• 1、萨班斯法案，SOX 2、健康保险便利及责任法案，HIPPA 3、联邦隐私法 4、巴塞尔II 5、支付卡行业数据安全标准 PCL DSS 6、联邦信息安全法案 7、经济间谍法案 8、欧盟通用数据保护条例 GDPR
• GDPR《一般数据保护条例》 - 个人数据 - 任何与已识别到的或可识别的自然人 (‘数据主体’) 有关的数据- 特殊类别个人数据（敏感数据） - 处理个人数据的原则 - 合法、公平和透明 - 个人数据应该以合法、公正、透明的方式进行涉及数据主体的处理。​- 最小数据化 - 控制者及处理者收集个人数据的范围应当仅限于为实现目的所必需的范围内，对个人数据进行的处理活动应当保证为实现目的所必需的最低程度。 - 不能过度收集- 目的限制 - 控制者及处理者收集个人数据必须出于明确、清晰和合法的目的，且对个人数据的处理不得超出收集时所明确的目的。 - 不能做 secondary 二级使用- 准确性- 存储限制- 完整性与机密性- 数据主体 - 一个可识别的自然人; 一个可以被直接或间接标识身份的自然人​- 数据主体的权力 - 可获取- 可反对- 可撤销- 可限制- 可纠正- 可携带- 可擦除（被遗忘的权力）- 数据控制者 - 决定个人数据处理目的与方式- 数据处理者 - 按照数据控制者的要求处理数据- 去标识化 （de-identification） - 假名化(Pseudonymization) - 数据假名化是指使个人数据在不使用额外信息的情况下就无法指向特定数据主体的个人数据处理方式。这个过程是可逆的(只要有对应的key)这时仍然被认为是个人数据。- 哈希、加密- 匿名化 (Anonymization) - 数据无法再和个人进行关联- 匿名化后的数据不再是个人数据- 发生个人数据泄露的通知 - “72小时内”通知到监管机构 - 如果对自然人的权力和自由造成风险，须通知监管机构- 如果对自然人的权力和自由造成高风险，还需要通知数据主体- 通过设计保护隐私 (PbD) - “基于设计的隐私提出了这样一种观点，即不能通过遵守监管框架来确保隐私的未来； 相反：理想情况下，隐私保障必须成为组织的默认操作模式。 - 1.主动而非被动，预防而非补救 1. 隐私作为默认设置1. 隐私嵌入设计1. 完整功能 — 正和而非零和1. 端到端安全性 —​完整的生命周期保护1. 可见性和透明度 — 保持开放1. 尊重用户隐私 — 以用户为中心- 跨境数据流动（大纲新增知识点） - 充分性认定的国家- BCR（Bounding Coperate Rule） - 集团企业内跨国的数据传输- 欧盟和美国之间的数据传输 - 安全港协议（2015被废弃）- 隐私盾协议（2020年已经废弃）

隐私处理

• 目标： 1、主动寻求保护公民的个人可标识信息（PII） 2、在政府和业务的需求与安全问题而考虑收集和使用PII之间，主动寻求平衡
• 个人识别信息 - 身份证号码、IP地址、车牌号、驾照号码、脸、指纹或笔迹、信用卡号、数字身份、生日、出生地、遗传信息等
• 个人信息使用原则 - 个人数据控制者的义务 1、收集个人数据需要征得数据主体的同意并告知用途 2、只收集与用途有关的数据，只在用途所需期限内使用和保存 3、数据收集的方法数据的用途迎合法 4、采取合理措施，技术、管理和操作措施，防止个人信息遭到恶意侵犯，保证数据的完整性和保密性，并清除过时数据，防止无用途相关工作需要的人访问- 个人数据主体的义务 查看所收集的信息，更正错误信息

ISC2道德规范(讲义P71)

计算机道德协会(讲义P72)

互联网架构委员会(讲义P73)

8、BCP&DRP需求

灾难

• 灾难的定义 - 突发的，导致重大损失的不幸意外事件。
• 组织的灾难 - 对于机构来说，任何导致关键业务功能在一定时间内无法进行的事件都被视为灾难- 灾难的特点： 1、计划之外的服务中断 2、长时间的服务中断 3、中断无法通过正常的问题管理规程得到解决 4、中断造成重大的损失- 中断事件是否视为灾难取决于： 1、中断所影响的业务功能的关键程度 2、中断的时间长度

灾难恢复计划DRP

• 灾难恢复计划主要目的： 1、当灾难来临时恰当的处理灾难及灾难性的后果，更加关注IT信息技术层面
• 2、灾难恢复计划的执行是当所有的事情都处于紧急状态时，所有人都忙着将关键系统进行恢复2

业务连续性计划BCP

• 业务连续性计划主要目的： 1、关注信息系统的可用性 2、BCP采用更广泛的方式处理问题，包括当正在修复原设施时将关键系统迁移到其他安全环境，在此期间前恰当的人进入恰当的岗位，保持业务持续运行直至回到正常状态。
• BCP标准和最佳实践 - 1、《信息安全技术信息系统灾难恢复规范》GB/T20988-2007 2、《信息技术IT系统连续性指南》NISTSP800-34 3、英国标准协会（BIS）业务连续性管理标准 BS 25999 4、业务连续性管理系统国际标准 ISO 22301（取代BS25999）- NISTSP800-34 IT系统连续性指南最佳实践 - 1、制定连续性规划策略声明 2、执行业务影响分析 BIA 3、确定预防性控制措施 4、制定恢复策略 5、制定应急计划 6、测试计划并进行培训和演练 7、维持计划
• BCP启动前的准备活动 - 1、确定BCP需求，可以包括有针对性的风险分析以识别关键系统可能的中断 2、了解相关法律、法规、行业规范以及机构的业务和技术规划的要求，以确保BCP与其一致 3、任命BCP项目负责人，建立BCP团队，包括业务和技术部门的代表 4、制定项目管理计划书，其中应明确项目范围、目标、方法、责任、任务以及进度 5、高层领导应召开正式的覆盖范围打的项目启动会议，以显示高层的支持 6、意识提升活动可以让员工了解BCP建立来自内部的支持 7、为支持BCP成功而实施必要的BCP技能培训 7、确定收集数据所需的自动化工具，并开始收集整个组织的数据以帮助制定各种连续性计划
• BCP项目负责人职责 - 1、业务连续性协调人作为BCP项目负责人全面负责项目的规划、准备、培训等各项工作 2、计划的开发团队与管理层的沟通和联络 3、有权与计划相关所有人进行直接接触和沟通 4、充分了解业务中断对机构业务的影响 5、熟悉机构的需求和运作，有能力平衡机构相关部门的不同需求 6、比较容易接触到高级管理层 7、了解机构业务方向和高管理层的意图 8、有能力影响高级管理层的决策
• BCP项目的关键角色 - 1、业务部门：识别机构的关键业务功能，协助恢复策略的选择和制定 2、IT部门：提供专业指导和建议 3、信息安全部门 4、法律部门 5、通信部门
• 业务影响性分析BIA- BIA概述: 识别可能会在灾难中造成的巨大损失或运营中断的区域，识别在灾难发生后用于组织存货的关键系统以及组织所能容忍的中断时间。- BIA分析方法 - 定性分析以划分严重程的方式得出灾难或中断事件造成的影响- 定量分析以货币的方式得出灾难或中断事件造成的影响- BIA的目的 - 1、协助管理员了解潜在的中断影响 2、识别关键业务功能以及支持这些功能的IT资源 3、协助管理人员识别机构功能支持方面的不足 4、排定IT资源的恢复顺序-分析中断的影响、确定每项业务功能的恢复窗口- BIA的过程 - 1、确定信息收集技术 2、选择受访者进行访谈收集数据 3、确定公司的关键业务功能及其支持资源 4、确定最大允许中断时间（MTD） 5、识别弱点和威胁 6、计算风险分析 7、记录这些发现并将BIA报告给管理层- BIA问卷设计- BIA的信息分析- 做大允许中断时间MTD - 中断时间超过最大允许中断时间将造成业务难以恢复，越是关键的功能或资源，MTD应该越短。 关键： 1小时之内 紧急： 24小时 重要： 72小时 一般： 7天 非必要：30天- 根据MTD排定关键业务功能及其支持资源的恢复顺序
• BCP策略选择 - 灾难恢复的度量及技术指标- 工作复原时间WRT 工作复原时间相对固定- 恢复时间目标RTO: RTO<MTD 在系统不可用性严重影响到机构之前所允许消耗的最长时间- 恢复点目标RPO 数据必须被恢复以便继续进行处理的点，也就是所允许的最大数据损失量- RTO+WRT<=MTD