不同層級要考量的方向不同
高階經營階層 (BCP)
各Business Unit主管 (BCP)
應用系統可用性 (DR)
資料機密與完整性 (DR)
通訊與網路 (DR)
資產管理 (DR)
一定會先做業務影響分析Business Impact Analysis,挑出重要的業務(老闆決定哪個比較重要)
與 Incident(風險事件) 相關
要看風險評鑑,如果發生的Incident都沒有在風險情境,那就代表控制不夠,風險評鑑就無效
重要業務BCP一定有相應的DR,沒有DR的一定不重要
演練要能在RTO RPO的要求之內
記錄過程以鑑別改善機會
沒即時依企業現況或IT架構更新是最嚴重的問題
營運持續管理
處理議題 可用性 可靠性 回復能力
重點 科技 流程 人
聚焦於 主動/事先預防/
進行營運衝擊分析 > 進行風險評估 > 決定回復策略 > 測試/訓練/維護與更新
RTO 停多久還不會虧錢 (or 看有沒有跟別人簽合約,寫到不可以中斷多久)
RPO 掉了多久的資料還可以接受 (ex 合約寫超過2個月的資料消失就解約,然後發現資料就)
MTD-/MPTD/MPTOD 東西壞了可以忍多久
SDO (Service Delivery Objective)服務傳遞目的 -> 在RTO時間內必須要達到的最低服務水準