BIA คืออะไร?
- นิยาม: การวิเคราะห์ผลกระทบของการหยุดชะงักต่อธุรกิจ
- Business Impact Analysis (BIA) คือขั้นตอนสำคัญของการหยุดชะงักต่อธุรกิจ Business Continuity Management (BCM) และ ISO 22301:2019 – Essentials of Business Continuity Management Systems (BCMS)
- วัตถุประสงค์
- ระบุกระบวนการที่มีความสำคัญ (Critical Processes)
- กำหนด RTO (Recovery Time Objective) คือระยะเวลาlสูงสุดที่จะกู้ข้อมูลได้หลังจากเกิด incident ซึ่งองค์กรต้องยอมรับได้เช่นกัน และ RPO (Recovery Point Objective) คือ ระยะเวลาสูงสุดที่ยอมให้ข้อมูลเสียหาย และ MTPD (Maximum Tolerable Period of Disruption) คือ ระยะเวลาที่ระบบหยุดชะงักที่ยอมรับได้สูงสุด
- มีการประเมินผลกระทบเชิงธุรกิจ ในด้านต่างๆ เช่น Financial, Reputation, Legal, Operation
ขั้นตอนการทำ BIA
- ระบุ Business Processes
- Finance, HR, IT, Operations, Customer Service
- เก็บข้อมูล (Data Collection)
- แบบสอบถาม (Questionnaire)
- การสัมภาษณ์ (Interview)
- Workshop (Cross-functional)
- วิเคราะห์ผลกระทบ (Impact Analysis)
- ด้านการเงิน (Revenue Loss)
- ด้านชื่อเสียง (Reputation Damage)
- ด้านกฎหมาย (Regulatory Penalty)
- ด้านปฏิบัติการ (Operational Disruption)
- กำหนด RTO และ RPO
- RTO (Recovery Time Objective) คือระยะเวลาlสูงสุดที่จะกู้ข้อมูลได้
- RPO (Recovery Point Objective) คือ ระยะเวลาสูงสุดที่ยอมให้ข้อมูลเสียหาย
- MTPD (Maximum Tolerable Period of Disruption) คือ ระยะเวลาที่ระบบหยุดชะงักที่ยอมรับได้สูงสุด
- จัดลำดับความสำคัญ (Prioritization)
- จัด Critical Processes ตามผลกระทบ
- สร้างรายงาน BIA Report
- ใช้ประกอบ BCP (Business Continuity Plan)
ตัวอย่างตาราง BIA
Process | Owner | RTO | RPO | Impact (F/L/R) | Priority |
Core Banking System | IT Manager | 4 ชม. | 30 นาที | สูง (F, R) | Critical |
Payroll System | HR Manager | 2 วัน | 1 วัน | ปานกลาง (L, E) | High |
Email System | IT | 1 วัน | 12 ชม. | ปานกลาง (O) | Medium |
Best Practices
- ดึง Business Owners มาร่วมทุกขั้นตอน
- ใช้ Workshop ข้ามแผนก → ลด Bias
- ทำ BIA คู่กับ Risk Assessment → เชื่อมโยงกับ ISO 27001 และ ISO 22301
- Update BIA อย่างน้อยปีละครั้ง หรือเมื่อมี Business Change ใหญ่
การเชื่อมโยงมาตรฐาน
- ISO/IEC 27001 → Annex A 5.29 (Information Security during disruption)
- ISO 22301 → Business Continuity Management System (BCMS)
- Cybersecurity Act 2562 → องค์กร CII ต้องมี BCP & DRP
Outcome ที่องค์กรจะได้รับ
- รู้ว่า Process ไหน Critical จริง ๆ
- วางแผน DRP (Disaster Recovery Plan) ได้ตรงจุด
- ลด Downtime และ Financial Loss
- เพิ่มความมั่นใจแก่ลูกค้า คู่ค้า และ Regulator
Conclusion (สรุป)
การทำ BIA อย่างเป็นระบบจะทำให้องค์กรรู้จุดอ่อนขององค์กรและสามารถเตรียมพร้อมได้ดียิ่งขึ้น
Secura Cybertech (Thailand) มี Workshop และ Template BIA ที่ช่วยให้องค์กรทำ BIA ได้จริงและเชื่อมโยงกับ BCP/DRP อย่างสมบูรณ์
