49. 在營運持續運作管理程序中，下列何項「不」是營運衝擊分析 (Business Impact Analysis, BIA)的主要步驟？
(A) 識別機關的核心業務功能
(B) 計算核心業務可容許缺少資源的時間
(C) 制定詳細的災害復原技術操作手冊
(D) 確認業務功能與資源復原的先後順序

這題的正確答案是 (C) 制定詳細的災害復原技術操作手冊。

解析

這是一個非常重要的觀念區分，在 CISSP 或 CISM 考試中經常出現：「分析 (Analysis)」 與 「規劃/實作 (Planning/Implementation)」 是不同的階段。

• 為什麼 (C) 不是 BIA 的步驟？

  • BIA 的產出是「需求」： BIA 的目的是要告訴你「什麼東西最重要」、「壞掉可以壞多久」。它是一份分析報告。

  • DRP 手冊是「解決方案」： 「詳細的技術操作手冊」（例如：資料庫還原指令、伺服器重啟步驟）屬於 災害復原計畫 (DRP) 的撰寫階段。你必須先做完 BIA，知道 RTO 是多少，才能據此去寫出符合時效要求的技術手冊。

  • 簡單來說： BIA 決定「做什麼 (What)」，DRP 手冊才是寫「怎麼做 (How)」。

其他選項分析（皆為 BIA 的核心步驟）

• (A) 識別機關的核心業務功能： 這是 BIA 的第一步。你必須先盤點出公司靠什麼賺錢（或運作），例如：「存款系統」比「員工餐廳系統」更核心。

• (B) 計算核心業務可容許缺少資源的時間： 這就是在定義 最大可容忍中斷時間 (MTD/MTPD) 與 復原時間目標 (RTO)。這是 BIA 最重要的量化產出。

• (D) 確認業務功能與資源復原的先後順序： 根據上述的分析，排列出復原的優先順序（Priority）。例如：先救 Active Directory，再救 Email Server。