Análisis de impacto de negocios frente a la evaluación de riesgos

Navega tus respuestas
-3

Estoy tan confundido con el Análisis de impacto empresarial frente a la evaluación de riesgos

¿Podría explicarme la diferencia entre ellos?

Gracias.

    
pregunta hienbuithanh88 07.08.2016 - 13:20
fuente

2 respuestas

3

Esas dos cosas llenan algunos estándares por sí mismos. Una visión general rápida de ellos puede ayudar a comprender las diferencias:

Análisis de impacto empresarial: El objetivo de un BIA es identificar los productos / servicios clave de la organización. Esto significa: si el objetivo principal de la empresa es entregar Software como un Servicio a sus clientes, los procesos relevantes para entregarlo son más importantes que otros. No son tan relevantes los procesos como la contabilidad. Para determinar qué productos de servicios son los más relevantes para la empresa, puede tener en cuenta muchos criterios:

  • ¿Cuántos ingresos genera el servicio / producto y cuán grande sería la pérdida en caso de mal funcionamiento?
  • ¿Cuánto tiempo puede fallar / funcionar mal el servicio hasta que se convierta en un problema para la empresa?
  • ¿Qué tan grande sería el impacto de un mal funcionamiento del servicio / producto a la reputación de la empresa o los contratos existentes (SLA)?
  • ¿Qué tan grande sería el impacto en el medio ambiente / bienestar de los demás?
  • ...

Las normas que podrían ayudarle son, por ejemplo: ISO 22313 e ISO 22301

Evaluación de riesgos: La evaluación de riesgos es un poco la suma de:

  • Identificación de riesgos: lo que las cosas frías impactan negativamente en los activos de la empresa (por ejemplo: un incendio podría dañar el hardware en el centro de datos, una pandemia daría lugar a una pérdida de recursos humanos, el mal funcionamiento de un clúster virtual podría dar lugar a una incapacidad para prestar el servicio x)
  • Análisis de riesgos: después de identificar los riesgos, evalúa la probabilidad y las posibles consecuencias de cada uno. Esto puede suceder a través de una forma cualitativa, semi-cualitativa o cuantitativa.
  • Evaluación de riesgos: usted compara los riesgos que analizó anteriormente con el interés de los riesgos de la empresa y genera una lista de prioridades para definir en qué riesgos se trabaja (reducir) primero.
  • Después de este paso, el tratamiento de riesgo sería el siguiente.

El estándar que podría ayudar podría ser ISO 27005

Principales diferencias  - El objetivo del BIA es identificar los servicios / productos más críticos.  - La evaluación de riesgos no se limita solo a servicios / productos críticos, sino a toda la empresa. Se trata de organización, procesos, personal, entorno físico, software, hardware, conocimiento, ...

    
respondido por el sam 24.11.2016 - 14:24
fuente
0

La salida de los dos BIA y RA es diferente

Salida RA: Impactos, probabilidad, controles de contramedida. Salida BIA: estrategias de BC, priorización de recuperación, RTO y amp; RPO

Las entradas también son diferentes, por lo que ambas difieren entre sí.

    
respondido por el Firoz Kan 04.05.2017 - 11:00
fuente

Lea otras preguntas en las etiquetas

Un poco confuso con el escaneo de nmap ¿Los socios y afiliados del proveedor de correo electrónico gratuito pueden leer sus correos electrónicos? [cerrado]