Documentatie - BIA
Tijdens een business impact analyse (BIA) worden de relevante informatiesystemen van de organisatie in kaart gebracht en per systeem bepaald in welk opzicht en in welke mate deze belangrijk is voor de organisatie. Bespreek wat de impact is voor de organisatie in het geval van een probleem met de beschikbaarheid, integriteit en/of vertrouwelijkheid van het systeem en de daarin opgeslagen informatie.
De systeemeigenaar is de aangewezen persoon om de classificatie van de in een systeem opgeslagen informatie te bepalen. Dit vereist dat voor ieder informatiesysteem een eigenaar is aangewezen.
In de ideale situatie is de BIA buiten de risicoanalyse om gedaan en beschikt de organisatie reeds over een overzicht van alle informatiesystemen en op welke manier deze belangrijk zijn voor de organisatie. Deze stap is dan niet meer dan het overnemen van de benodigde informatie uit het centrale informatiesysteemoverzicht. De praktijk wijst helaas vaak anders uit.
In deze stap hoef je je dus niet te beperken tot de informatiesystemen die binnen de scope van een eerste risicoanalyse vallen. Voer bij voorkeur alle informatiesystemen in die mogelijk binnen de scope van een toekomstige risicoanalyse vallen. Het kiezen van de scope van een risicoanalyse wordt namelijk in een andere stap gedaan.