制预案时的场景设置因素。风险评估可采用风险评估模型，按照可能性（高中低）、严重性（高中低）两重维度划分，形成风险评估矩阵。
a
f
高
影响
自然灾害火灾、水灾、恐怖天气人为灾害恐怖行动，恶意破坏安全破坏电脑黑客服务中断攻击
病毒攻击内部安全欺诈
软件故障
电源网络故障硬件故障
应用程序故障
计划内停工
低
低
频率
高
后期应急预案中场景设置应覆盖风险评估中风险级别较高的
80的风险。
3、业务影响分析（简称BIA）
BIA是在风险分析的基础上，分析业务功能依赖的重要信息系
统资源、评估特定灾难场景下各种信息系统中断产生的经济损失和非
财务因素影响。业务影响分析的结果主要有六项，分别是识别关键业
务、确定关键业务的RPORTO、识别关键业务的相互依赖性、确定
关键业务恢复的优先级、确定关键业务所需的资源，并确定关键业务
持续运行是否有替代措施。
在业务影响分析过程中，容易出现下列问题：
（1）业务部门都认为自己的业务是最重要的。
重要业务的认定不应该是由BC经理或者某位高管来主观认定，
BC经理应该通过定量经济损失、定性业务影响、业务贡献度及监管
a
f
法律法规要求等分析指标制定打分表，由各业务部门客观分析其业
务，最后由高管层依打分表评定。
（2）业务部门都想把自己所属的业务尽快恢复，RPO、RTO要
求近乎为零。
不同的RPO、RTO要求代表着不同的成本，对应着不同的技术
手段和策略，业务部门出具RPO、RTO要求，技术部门根据要求出
具可行性分析和成本效益分析，通过高管层确定各业务条线的RPO、
RTO值，同时必须满足监管要求。
通过进行风险评估和业务影响度分析，BCM小组分析、整理结
果，完成RABIA分析报告，并向高管层汇报，获得其对分析报告的
认可。
4、业务连续性策略的制定
从业务和技术两条线识别、梳理可用的业务连续性策略，首先保
证所选策略满足制定的RPO、RTO要求，其次是经过成本效益分析
进行比较，根据组织的风险偏好和风险容忍度选择业务连续性策略，
并基于前期的业务影响分析结果验证策略的合理性和有效性，最终取
得高管层的批准。
常见的备选业务连续性策略包括：
什么也不做，等灾难发生时再修复或重建暂停时间不敏感的业务，并将人员及工作转移到存活的工作场所建立专用的后备站点
让员工在家办公（soho）
制定生产恢复策略
将人员和工作转移到存活的工作场所签定互惠协议
采用双用途场所，例如会议室、培训室、自助餐厅灯作为部备用场地选用第三方外包服务商r