组织复原力是通过战略性地结合两个关键流程来实现的。最有效的方法是同时进行业务影响分析(BIA)和风险评估。这将强调它们如何共同加强组织复原力,各自发挥独特的作用。
我们最近举办的网络研讨会业务影响分析与风险评估:为什么两者都要做?, "研讨会吸引了 200 多人参加,创下了历史新高。94%的受访者对网络攻击和漏洞表示担忧,这突显了人们对网络安全重要性的共同认识。然而,仍有一小部分人(5-6%)不确定是否需要进行风险评估。有些人对自己目前的做法很有信心,而另一些人则认为这一过程令人生畏。积极的一面是,绝大多数企业(76%)都参与了业务影响分析(BIA)。尽管如此,仍有 6% 的人因对其复杂性的误解而犹豫不决,这与对风险评估的担忧如出一辙。
这些见解突出表明,必须开展全面的教育和宣传,揭开这些流程的神秘面纱,确保每个组织都能有效地完成复杂的风险管理任务。
我们请 CBCP 专家 Kiana Freeman 为我们揭开这些问题的神秘面纱。
Q: 风险评估不是只能根据个人对可能风险的了解来进行吗?例如,进行网络安全风险评估需要了解所有可能的威胁,而这些威胁可能是我们不知道或没有想到的。这就是 "你只知道你所知道的 "问题。(金融服务部门互联网支持总监)
正确;这就是为什么建议您的机构中要有多人共同完成风险评估的原因。应利用美国地质调查局、疾病预防控制中心、学术研究等资源来完成风险评估。通过多人参与和利用多种资源,风险评估将包含一个更强大的危害和威胁清单。您也可以使用顾问或纳入多种威胁的风险评估平台。
Q: 您有如何使用 RA 和 BIA 结果的例子吗?热图?
风险评估的结果通过了解机构/组织需要采取哪些类型的培训、演习和准备战略,为组织的成功奠定了基础。在 COVID 之前,大流行病规划并不总是纳入风险评估。一旦 COVID 启动,这一空白就会给组织带来许多问题。一旦完成风险评估,机构就可以研究应对威胁的缓解策略、政策和响应行动。基本的风险评估可以提高员工的态势感知能力,让他们了解应该注意哪些类型的威胁/危险。热图是获得组织利益相关者、董事会和决策者支持的好方法。对于那些不是每天都在灾难世界中工作的人来说,彩色的视觉效果可以让他们对威胁/危险有一个直观的认识。
业务影响分析的结果为组织/机构开始制定应对事故的运营计划奠定了基础。这是制定连续性计划 的第一步,对于帮助概述机构的差距至关重要。这样,机构就知道需要弥补哪些差距,从而在发生事故时不会出现延误。
Q: 每个业务线对风险和关键性都有自己的主观看法。企业如何才能在这个 "风险 "空间内发展出一种共同语言,以便当一个业务线提出一个关键流程时,它能与其他具有类似量化影响程度的关键流程保持一致?(专业服务危机管理总监)
虽然不同组织的风险和关键程度各不相同,但所有行业的语言都是相似的。重要的是,在进行风险评估或业务影响分析之前,要与组织就所使用的语言达成明确的定义和共识。许多顾问会为组织创建一个词汇表或术语清单,以确保所有人员,无论身处何地,都使用相同的语言。同样重要的是,要与利益相关者和合作伙伴澄清术语,以确保所有各方都站在同一条起跑线上。风险评估和 BIA 不应由一个部门/个人完成。它应作为一项团队工作来完成,以确保每个人对风险的语言、风险等级和严重性都有一致的认识。
Q: 许多组织采用 "埋头苦干 "的策略来进行风险管理。对风险的无知对企业来说是致命的。有什么好办法可以克服那些限制我们进行风险管理的人的阻力,我们如何显示投资回报率?(副总裁,未知行业)
制定风险评估并不总是每个人的当务之急。重要的是,要与利益相关者分享实地的统计数据,即如果没有适当的风险评估、计划和培训,组织会损失多少美元。尽早并经常开展重要对话是让每个人都考虑风险评估的最佳策略之一。在谈论风险评估和实施该项目的重要性时,案例研究是一个很好的工具。
Q: 在业务连续性 "世界 "的培训/知识增长方面,您建议新员工或老员工参加哪类培训或认证? 金融服务部门 IT 经理
在业务连续性领域有很多资源可以利用。认证业务连续性专业人员(CBCP) 是国际灾难恢复协会(DRII) 提供的认证之一,个人可以通过努力完成认证。许多组织,如准备组织,都有 CBCP 专业人员帮助创建培训,并就如何提高组织的恢复能力提供专业知识。
Q: 是否有组织应考虑的可能风险清单?(业连和记录管理分析师,金融服务部门)
虽然风险评估不能一刀切,但许多顾问建议考虑四大类威胁,每一类中都有多种类型的危害。这些类别是
- 自然灾害(飓风、地震、冬季风暴等)
- 人为影响(炸弹威胁、主动威胁、工作场所暴力等)
- 技术/网络(网络攻击、勒索软件、系统故障、电源等)
- 业务运营(供应链中断、员工罢工、供应商风险等)
Q: 您如何定义 COOP 与 BCP?(医疗服务提供商)
业务连续性计划[或COOP]和业务连续性计划[BCP]因行业类型不同而在要素上存在细微差别。政府机构通常使用 COOP,因为国土安全部已将其设置为 FEMA,而私营机构可能使用 BCP。在制定计划时,一定要向机构和保险部门咨询,了解他们的要求。一些金融组织可能会根据其保险条例要求制定 BCP 和灾难恢复计划。
问:我可能错过了,你们有模板可以让我们开始使用吗?(工程软件业务复原力高级经理)
准备工作小组有一些资源可供您开始使用。我们的桌面演练模板可在此处下载。不要等待!增强您团队的能力,以灵活准确的方式应对复杂的网络威胁。
编者按: 本文章最初发表在 Preparis 业务连续性软件网站上。2024 年 10 月,Mitratech 收购了业务连续性规划和应急响应解决方案的领先供应商Preparis。对内容进行了更新,以反映 Mitratech 扩大的产品范围、行业进步和监管动态。
