灾难恢复需求的确定

6.3.1　灾难恢复需求的确定

1.风险评估

信息安全风险评估是确定灾难恢复需求的重要环节，不同风险的事件对应不同的灾难恢复等级，相应应采用不同的灾难恢复措施。通过风险评估，标识信息系统的资产价值，识别信息系统面临的自然的和人为的威胁，识别信息系统的脆弱性，分析各种威胁发生的可能性，并定量或定性描述可能造成的损失。通过技术和管理手段，防范或控制信息系统的风险。依据防范或控制风险的可行性和残余风险的可接受程度，确定对风险的防范和控制措施。

2.业务影响分析

（1）分析业务功能和相关资源配置

对组织的各项业务功能及各项业务功能之间的相关性进行分析，确定支持各种业务功能的相应信息系统资源及其他资源，明确相关信息的保密性、完整性和可用性要求。

（2）评估中断影响

应采用定量和/或定性的方法，对各种业务功能的中断造成的影响进行评估：

·定量分析：以量化方法，评估业务功能的中断可能给组织带来的直接经济损失和间接经济损失。

·定性分析：运用归纳与演绎、分析与综合以及抽象与概括等方法，评估业务功能的中断可能给组织带来的非经济损失，包括组织的声誉、顾客的忠诚度、员工的信心、社会和政治影响等。

3.确定灾难恢复目标

根据风险分析和业务影响分析的结果，确定灾难恢复目标，包括：

·关键业务功能及恢复的优先顺序。

·灾难恢复时间范围：即恢复时间目标（Recovery Time Objective，RTO）和恢复点目标（Recovery Point Objective，RPO）的范围。恢复时间目标是信息安全事件发生后，信息系统或业务功能从停顿到必须恢复的时间要求。恢复点目标是信息安全事件发生后，系统和数据必须恢复到的时间点要求。

RPO针对的是数据丢失，而RTO针对的是服务丢失，二者没有必然的关联性。RTO和RPO的确定必须在进行风险评估和业务影响分析后根据不同的业务需求确定。对于不同企业的同一种业务，RTO和RPO的需求也会有所不同。