11. 依據美國國家標準技術研究院(NIST)特別出版品 800-34(SP800-34)中的相關規定,在進行業務衝擊分析(Business Impact Analysis, BIA)時,下列何項最能正確描述 BIA 的核心目標?
(A) 評估資訊系統的技術漏洞,以便制定防護策略
(B) 確定關鍵業務流程及其對資源中斷的影響,並設定復原優先級
(C) 開發系統架構以確保業務流程的持續性
(D) 測試災難復原計劃的可行性,並提供改進建議

答案:登入後查看
統計: A(5), B(47), C(1), D(2), E(0) #3536957

詳解 (共 2 筆)

#6622272
NIST SP 800-34 業務衝擊...
(共 2052 字,隱藏中)
前往觀看
2
0
#6629595
翻譯至NIST 800-34r1
完成 BIA 通常涉及三個步驟:

1.確定任務/業務流程與復原關鍵性。識別系統所支援的任務/業務流程,並確定系統中斷對這些流程的衝擊,以及停機衝擊和預計的停機時間 。停機時間應反映組織在維持其任務的同時所能容忍的最長時間 。
ㅤㅤ
2.識別資源需求。現實的復原工作需要徹底評估恢復任務/業務流程及其相關依賴性所需的資源 。應識別的資源範例包括設施、人員、設備、軟體、資料檔案、系統元件和重要記錄 。
ㅤㅤ
3.識別系統資源的復原優先級。根據前述活動的結果,可以更清楚地將系統資源與關鍵任務/業務流程和功能連結起來 。可以為排序復原活動和資源建立優先級 。


BIA 的目的

  1. 找出 最關鍵的業務流程 (Critical Business Functions, CBFs)

  2. 評估 中斷對這些流程的影響(財務損失、法規影響、聲譽風險)。

  3. 確定 相依性(例如需要哪些系統、人員、供應鏈)。

  4. 排定 復原優先順序(定義 RTO、RPO 等)。


這題的正確答案是 (B) 確定關鍵業務流程及其對資源中斷的影響,並設定復原優先級

詳細解析

NIST SP 800-34 Rev.1 《Contingency Planning Guide for Federal Information Systems》

  • BIA (Business Impact Analysis) 是 業務衝擊分析,在 應變規劃 (Contingency Planning) 裡屬於前期的基礎工作。

  • 核心目標:

    1. 辨識關鍵業務流程 (Critical Business Functions, CBFs)

    2. 評估業務中斷的影響(財務、聲譽、法規遵循、營運等)。

    3. 決定復原優先順序 (Prioritization) → 包含 RTO (Recovery Time Objective)、RPO (Recovery Point Objective)。

選項逐一解析

  • (A) 評估資訊系統的技術漏洞,以便制定防護策略

    • ❌ 這比較像是 風險評估 (Risk Assessment, RA),不是 BIA。

  • (B) 確定關鍵業務流程及其對資源中斷的影響,並設定復原優先級

    • ✅ 完全符合 NIST SP 800-34 的定義,正確答案。

  • (C) 開發系統架構以確保業務流程的持續性

    • ❌ 這比較像是 系統設計/BCP 策略階段的工作成果,不是 BIA 的核心。

  • (D) 測試災難復原計劃的可行性,並提供改進建議

    • ❌ 這是 DRP 測試 (Testing/Exercises) 的工作,屬於後期,不是 BIA。

總結

BIA 的精髓就是:
->「找出什麼最重要、會受什麼影響、要先救誰。」

 

1
0