Analisi dell'impatto sul business e valutazione del rischio

Queste due cose riempiono alcuni standard per conto proprio. Una rapida panoramica di essi può aiutare a capire le differenze:

Analisi di impatto aziendale: L'obiettivo di una BIA è identificare i prodotti / servizi chiave dell'organizzazione. Ciò significa: se lo scopo principale della società è fornire il Software come servizio ai propri clienti, i processi rilevanti per consegnarlo sono più importanti di altri. Non rilevanti sono i processi come la contabilità. Per determinare quali servizi sono i prodotti più rilevanti per l'azienda, puoi prendere in considerazione molti criteri:

• Quante entrate vengono create dal servizio / prodotto e quanto grande sarebbe la perdita in caso di malfunzionamento?
• Per quanto tempo il servizio può guastarsi / guastarsi fino a quando non diventa un problema per l'azienda?
• Quanto è grande l'impatto di un malfunzionamento del servizio / prodotto sulla reputazione dell'azienda o sui contratti esistenti (SLA)?
• Quanto sarebbe grande l'impatto sull'ambiente / il benessere degli altri?
• ...

Standard che potrebbero aiutarti ad esempio: ISO 22313 e ISO 22301

Valutazione del rischio: La valutazione del rischio è un po 'la somma di:

• Identificazione del rischio: quali sono le cose che influiscono negativamente sul patrimonio dell'azienda (ad esempio: l'incendio potrebbe danneggiare l'hardware nel data center, una pandemia provocherebbe una perdita di risorse umane, il malfunzionamento di un cluster virtuale potrebbe comportare un incapacità di consegnare il servizio x)
• Analisi del rischio: dopo aver identificato i rischi si valuta la verosimiglianza e le possibili conseguenze di ciascuno. Questo può accadere tramite un metodo qualitativo, semi-qualitativo o quantitativo.
• Valutazione del rischio: controlli i rischi che hai analizzato in anticipo rispetto alla propensione al rischio dell'azienda e generi un elenco prioritario per definire quali rischi si lavorano (ridurre) per primi.
• Dopo questo passo il trattamento del rischio sarebbe il prossimo.

Standard che potrebbe aiutare potrebbe essere ISO 27005

Principali differenze  - L'obiettivo della BIA è identificare i servizi / prodotti più critici  - La valutazione del rischio non si limita ai soli servizi / prodotti critici, ma all'intera azienda. Si tratta di organizzazione, processi, personale, ambiente fisico, software, hardware, conoscenza, ....

L'output dei due BIA e RA è diverso

Output RA: impatto, verosimiglianza, contromisure. Uscita BIA: strategie BC, prioritizzazione del recupero, RTO e amp; RPO

Anche gli input sono diversi, quindi entrambi differiscono l'uno dall'altro.