取經國際標準,強化營運持續管理
雖然已有組織提出各種BCM的管理架構,但並沒有一套共通的國際標準,在這樣的情勢下,英國標準協會(BSI)於是制定一項BCM標準BS 25999,集結所有過去的經驗和各種最佳實務,以提供所有企業要落實營運持續管理時一個完整的管理框架。

學習新加坡政府推動產業BCM
除了企業自行落實營運持續管理外,政府或主管機關等單位也可扮演推動產業持續營運管理的角色,主要方法則是透過集體災難演練進行。新加坡金融管理局(MAS)在去年即與安侯企業管理(KPMG)顧問公司合作,展開產業BCM演練。

泰安產險將BCM延伸至財務與投資風險管理
為了落實營運持續管理,泰安產物保險從今年開始成立風險控管委員會,由泰安產險副總經理陳嘉文主導委員會的運作。除了一般的作業風險外,泰安產險更將財務、投資以及該產業特殊風險納入管理範疇中。

認識BS 25999的BCM 4大階段
針對企業營運持續管理,英國標準協會(BSI)制定一項新的標準BS 25999,該標準分為兩部分,BS 25999-1是落實營運持續管理的作業要點,BS 25999-2是標準驗證要求。

看企業如何準備通過BS 25999認證
目前國內已有金融業、高科技製造業和資訊服務業者,準備通過BS 25999認證,預計最快於明年第一季就會有企業通過該認證。


群益證券用BS 25999檢視營運持續管理
業務中斷除了帶來實質的財務損失外,無形的損失還可能會遠超過實質的損失,甚至帶來長遠的影響。群益證券執行副總裁暨資訊部主管賈中道:「藉由導入BS 25999,透過外部的定期稽核,能夠給與內部壓力而不斷自我要求。」



精誠資訊欲導入BS 25999提升客戶服務品質
精誠資訊在BS 25999的推動過程中沒有遇到太大的困難,主要原因是有跨部門合作、相關教育訓練與審查機制的基礎。精誠資訊資料管理整合服務事業部副總經理葉振民:「客戶也非常樂見我們對於營運持續管理的重視。」

取經國際標準,強化營運持續管理

為了提供客戶更有保障的交易環境,群益證券積極投入各項投資,不僅是國內先期導入電子交易憑證的券商,也是國內第一家通過ISO 27001的證券業者。

然而,若要提供客戶一個更有保障的交易環境,群益證券覺得這樣仍不夠,還需要更進一步落實營運持續管理,因此在2006年3月取得ISO 27001後,緊接著啟動營運持續管理計畫,期望藉此更全面的管理各種風險。

群益證券不僅建立異地辦公室、異地備援機房,同時藉由營運衝擊分析與風險評鑑訂定營運持續管理策略後,前後更進行了6次的演練。

2006年年底,第一個國際持續營運管理標準(Business Continuity Management,BCM)BS 25999的作業準則出爐,讓群益證券不禁開始思考:是否有導入標準的必要性?

群益證券執行副總裁暨資訊部主管賈中道表示,雖然沒有相關法規要求導入BS 25999,而且導入標準也不會直接帶來業務面的成長,但是藉由外部的定期稽核,能夠給與內部壓力而不斷自我要求,抱著自我期許的心態,群益證券決定進一步申請標準。

於是,群益證券藉由顧問公司的協助,開始準備申請標準的作業。早已考量相當縝密的群益證券,對照作業要點後,發現其實還有許多方面可以強化,舉例來說,當災難發生時,除了建立對內部的溝通管道外,還必須考量到對媒體的回應措施,在擬定營運持續管理計畫時,除了組織本身的行動外,還要進一步確認影響關鍵業務的廠商能力等。

第一個國際BCM標準問世
近年來,隨著各項重大災難的發生,如美國911事件、東南亞大地震與海嘯,而臺灣也在近幾年歷經921大地震、納莉風災和SARS疫情等,除了造成許多人員傷亡外,更衝擊企業的營運作業。於是,營運持續管理這樣的議題開始受到重視,企業期望藉由實施營運持續管理作業,將災害發生時所帶來的衝擊和中斷時間降至最低,同時讓營運持續能力提升至最大。

然而,雖然已有組織提出各種BCM的管理架構,但並沒有一套共通的國際標準,在這樣的情勢下,英國標準協會(BSI)於是制定一項BCM標準BS 25999,集結所有過去的經驗和各種最佳實務,以提供所有企業要落實營運持續管理時一個完整的管理框架。

BSI臺灣分公司訓練部協理蒲樹盛表示,根據BSI對BCM標準做的調查顯示,有高達9成4的企業期待BCM標準的出現,他表示,BSI在訂定各項標準時,都會執行類似的調查,而94%是近百年來最高的比例,顯示國際對於BCM的高度重視。

BS 25999分為BS 25999-1與BS 25999-2兩部分,BS 25999-1為企業要落實BCM的作業要點,已於去年年底公布,BS 25999-2為標準驗證要求,目前已經發布草案,預計於今年11月26日正式公布。

BS 25999-1中將營運持續管理分為4大階段,分別為「了解你的組織」「決定BCM策略」「發展與實施BCM回應」以及「BCM演練、維護與審查」。標準中藉由此BCM生命周期的循環,指引企業如何執行營運衝擊分析、風險與威脅評鑑,和訂定持續營運管理政策、營運持續與回復等計畫,讓企業可根據此架構,訂定合適的營運持續管理策略。

BCM是全公司的責任
921大地震、納莉風災發生後,許多企業的業務一度停擺,甚至多年累積的寶貴資料也付之闕如,於是國內企業興起了一波異地備援的需求。

勤業眾信企業風險管理經理陳晞涵表示,目前國內許多企業在落實營運持續管理時,仍是以IT面為主,有些企業甚至將異地備援與營運持續畫上等號,更認為營運持續管理是資訊部門的責任,然而,營運持續管理涵括整個企業組織,若僅由資訊部門執行,將會遭遇很大的困難。

他進一步表示,一般來說,資訊單位通常難以判斷業務中斷和業務復原的優先順序,若沒有先評估各項業務所能忍受的中斷時間,可能會導致過度投資備援設備或機房,或是投資在不是最需要的地方。此外,營運中斷常隸屬於業務風險,但卻要由資訊部門負責,會有權責不清和協調不易的困擾,而緊急處理或人工替代性作業,也非資訊部門的專業職能,因此,企業要落實營運持續管理時,必須站在更高的位置去看,而不能側重在某個部門或面向。

資誠企業管理顧問價值管理服務部執行董事李潤之表示,過去還曾遇過某個企業非常極導入許多標準,包括ISO 27001、ISO 9000、CMMI、ISO 20000等,但當他幫該企業評估檢視之後,發現由於各個規範有部分重疊之處,但因為此企業在導入各項標準時沒有從企業整體做考量,因此無法達到整合綜效,甚至在不同計畫書中,對於相同的規範有不一樣的定義。

不同部門也會對營運持續管理有不同的想法。資誠企業管理顧問價值管理服務協理李少華以高科技製造業為例,傳統上業者會認為災難復原計畫是環安衛生或廠務的事情,處理斷電、消防、氣體外洩等緊急事故,因此營運運作可能只顧及生產機臺的供電、生產廠區的消防、人員疏散等作業。

然而,如果某一廠區發生事件,站在企業永續運作角度,機臺可能不是唯一的核心,因為在高度依賴電腦整合製造的情況下,除了避免機臺因為瞬間斷電故障,更要確保各廠區能及時存取生產製造資訊,才能在第一時間控制災害,包含通知客戶其委託生產狀態、交期的重新確認,或委外轉單生產的調度等。

但各個部門的認知不同,因此跨部門的合作往往有一定的難度。宏碁電子化服務事業群副總經理張善政以導入ISO 20000認證的經驗為例,他表示,由於需要跨部門的合作和整合所有的資源,因此,宏碁不僅要求主要的專案負責人要考取ITIL證照,更在內部開設教育訓練,然後進行測驗,要求整個單位所有人員都要通過考試。透過這樣的方式,整個單位有共通的認知和語言,也讓認證導入得以順利通過。

企業真的需要標準嗎?
根據財政部財稅資料中心對於中小企業的調查,有4成的企業經營年數未達5年,蒲樹盛表示,許多企業可能從未思考過營運持續管理這件事,事實上,許多災難都是可以事先預防的,而未做準備往往是危機惡化的主因。

企業也許會認為,都經營不下去了,還需要思考營運持續管理?然而,落實營運持續管理要投資多少也是因企業而異,蒲樹盛舉例,以一家餐廳來說,如果評估出最大的風險是食物中毒,那麼平常就會更重視食物清潔、保存,以及對供應商的要求,某種程度來說,這個企業也有落實營運持續管理。

至於企業是否需要通過BS 25999認證,蒲樹盛表示,視企業本身的需求而定,但企業能以BS 25999為參考管理框架,重新去檢視企業本身的經營體質和管理策略,而標準是否能真正確保營運持續,還是端看企業的決心和落實確實的程度了。文⊙許雅婷學習新加坡政府推動產業BCM

除了企業自行落實營運持續管理外,政府或主管機關等單位也可扮演推動產業持續營運管理的角色,主要方法則是透過集體災難演練進行。

目前許多歐美國家的政府單位就有推動這樣的計畫,以英國為例,曾經進行如恐怖攻擊、重大疫情等演練,新加坡金融管理局(MAS)為了推動銀行業者落實營運持續管理計畫,也在去年與安侯企業管理(KPMG)顧問公司合作,展開產業BCM演練。

當時有參與該計畫的安侯企業管理資訊科技諮詢服務執行副總張允洸表示,藉由政府單位推動產業BCM計畫,不僅可以鼓勵企業更加重視營運持續,也能促進產業體質更加健全。

張允洸表示,執行演練之前,新加坡金融管理局花了約4~5個月做準備,包括公布計畫、鼓勵企業參與,在確定參與的企業和人員之後,彙整所需的資源,包括提供場地作為緊急應變中心等。另一方面,也展開演練設計,藉由找尋相關資料並與產、官、學界合作,找出災難發生時可能發生哪些事件。等到一切備妥後,再召開演練前說明會。

演練當天,透過網站等方式,宣布災難發生後的各種情境,為了讓模擬情境更加逼真,還邀請電臺記者透過網站進行報導。舉例來說,當爆炸發生時,會有電力中斷、系統中斷、客戶打電話、其他分行員工打電話、相關新聞報導、警察到現場等等狀況發生,而企業便需隨著各個情境的發生做出相對應的回應,且必須記錄演練時的細節,以作為之後檢討的依據。

另外,新加坡政府也邀請各國政府單位與主管機關,以觀察員身分參與該次演練。觀察員會集中在情報室中,現場會由顧問說明整個演練的進度和事件,同時藉此討論和互相交流。

在演練發生後,還會再召開檢討會議,由於同業間共同參與,也有助於互相學習和觀摩。

泰安產險副總經理陳嘉文表示,政府單位若要推動產業落實持續營運管理,除了藉由推動共同演練方式外,也可扮演匯集資訊的角色,比如提供各產業主要會面臨的風險,以及各種風險的衝擊和影響高低,讓企業要做風險管理時有所依據。文⊙許雅婷泰安產險將BCM延伸至財務與投資風險管理

泰安產物保險副總經理陳嘉文:「企業要推動營運持續管理,投資將會是長期的,而且一定要持續和確實執行策略。」

為了落實營運持續管理,泰安產物保險從今年開始成立風險控管委員會,由泰安產險副總經理陳嘉文主導委員會的運作。

陳嘉文表示,隨著各項風險的頻繁發生,這1~2年內,許多企業開始在談風險管理與營運持續管理,而泰安產險也意識到風險控管的重要,因此希望藉由成立任務小組,整合各個部門的資源。

泰安風控委員會共分為3個小組,包括核保風險小組、信用及市場風險小組和作業風險小組,涵括所有面向可能遭遇的風險。

陳嘉文表示,要推動營運持續管理,必須由跨部門共同合作,若企業要成立一個跨部門的組織,也要找到適合領導小組的人選,該人選還必須了解各個業務,另外,高層的支持也當重要,而企業更要意識到,一旦開始落實營運持續管理,投資將會是長期的,因此可能需要編列在每年度的固定預算中。

分析營運衝擊和潛在風險
營運衝擊分析與風險評估為企業要落實營運持續管理的首要之務。
陳嘉文強調,藉由營運衝擊分析,可鑑別各個業務的重要性,也能依此判別當所有業務中斷時必須回復的優先順序,另一方面,要進行各項策略投資時也會有所依據,以避免過度投資。舉例來說,建置異地備援時,隨著回復時間越短,所需要的成本並非直線上升,而是呈現曲線上揚,因此,企業就可在損失與投資之間取得一個平衡點。

對於產險業者來說,最主要的業務為保單出單、理賠等業務,次要的如電子商務、財會、決策分析等。陳嘉文表示,以前者來說,至少需要在8個小時內回復作業,次要的業務則必須在一天之內回復。在風險分析上,泰安產險則定義出核保風險、資產風險與作業風險3大風險類別。

以第一類保險風險為例,為產險業者所必須面臨的特殊風險。陳嘉文強調,企業評估風險時,絕不可忽略本業的風險,以產險業者來說,就必須考量到保單的正確性,比如是否為道德詐欺,此外,遇到小型災難時有準備金的需求,面臨地震等重大災難時,則要評估可能帶來的鉅額賠償。

以地震為例,泰安產險就會透過再投保的方式,投保國際產險業者,以藉此分散鉅額賠款的風險。

第二類的資產風險中,主要涵括財務與投資面向的風險,舉例來說,要避免應收帳款變成呆帳,另外,還需要考量到資產配置和資金是否具備足夠的流動性。

第三類為多數企業都會面對的作業風險,泰安產險又進一步將它分為法規與治理風險、策略風險與營運持續/IT風險3大部分。陳嘉文以策略風險為例強調,當策略調整時,往往是風險最高的時候,舉例來說,企業若要進行流程再造,也要先評估可能引發的風險,以進行管理。

認清企業重要資產
身為為服務業者,泰安產險尤其重視人員的管理策略。

泰安產險內部所有的業務都遵守「一人做、二人會、三人懂」的原則,包括藉由職務代理人制度、工作輪調、教育訓練等方式,以降低人員對於營運持續的影響。以工作輪調為例,除非有特別因素,否則通常兩年就會一定會強制要求員工進行工作輪調,陳嘉文表示,人在某個工作崗位太久,無形中會形成本位主義而不自知,藉由輪調機制,對於員工來說,也能讓他學習更多技能。

比較特殊的是,泰安內部還有一個「全員客服制度」,客服單位除了有約100位專職的客服人員外,全公司每個員工每個月也必須排定1~2次的客服時間,陳嘉文表示,這個制度的主要用意是希望培養每個員工服務觀念和態度,而且因為客服人員必須了解所有的流程,無形中,也會鼓勵員工了解其他部門的作業。

除了人員之外,泰安產險也根據場地、IT、資訊等各項企業資源,訂定相關策略,包括分散辦公室位置、設立臨時緊急應變中心、建置異地備援機房、備援網路等。除了有備援辦公室外,泰安產險也考量到天災等災害,如颱風發生時,員工可能需要在家工作的情形,因此提供Web連線方式,讓員工只要透過電腦就可遠端連線回公司的系統,以持續作業。

陳嘉文表示,當策略與回復計畫訂定後,企業一定要持續的落實,透過定期演練以不斷改進。回想泰安產險在93年進行第一次演練時,花了約40個多小時才結束所有作業,但目前已經能縮短在8個小時內完成,這都有賴定期演練的幫助。文⊙許雅婷認識BS 25999的BCM 4大階段

第1階段:了解你的組織
在發展各項BCM策略之前,企業最重要的是先了解現狀,包括分析公司主要的產品和服務、各項支援營運的資源、關鍵作業流程以及所處的環境等。

企業若要了解組織,可採取營運衝擊分析(Business Impact analysis,BIA)與風險評鑑(Risk Assessment,RA)兩大方法進行。

BIA的目的是要鑑別關鍵活動、每個關鍵營運活動可忍受的最長回復時間、回復至最低的作業程度,以及回復至正常營運水準的時間長度。

因此,在鑑別關鍵活動時,要分析當該活動無法持續時,會帶來的衝擊,如損失的成本、公司商譽、是否影響客戶權益,或違反法規等層面,再根據衝擊的程度高低,決定回復時間的長短和優先順序。

RA的目的是要鑑別與評估企業可能會面臨的威脅、弱點和風險值,再根據風險程度執行相關計畫。

一般而言,要計算風險值時,可先找出各種關鍵營運活動所需要保護的資源(涵括人員、場所、技術、資訊、供應補給和利害關係人等資源)和列出可能遭遇的風險,然後評估資產價值、風險發生機率與衝擊,而風險值相當於3者的加乘。

舉例來說,某個公司的某一關鍵活動的主要資產為研發工程師,其主要風險之一為離職,若研發工程師的資產判定為5,離職可能發生的機率為3,離職可能造成衝擊為3,因此風險值就為45(5×3×3)。

不論是BIA或RA都應該讓營運資源和作業的擁有者完全參與,才能促使組織依成本與效益考量預先部署所需機制。



常見的風險種類

分類 子類別 威脅
天然災害 地理相關 地震
氣象相關 水災、旱災、火災、雷擊
生物相關 ●疾病-影響人員或動物 ●大批侵襲-昆蟲或動物(如紅火蟻)
人為造成 意外 ●危險物品灑出或傾洩(化學、放射物品等)
●爆炸 ●大樓結構損害或傾倒
●設施之能源中斷Energy/power/utility failure
●油/ 資源短缺 ●資訊設備故障 ●網路通訊斷線
●資訊系統錯誤
  蓄意 ●集會抗議 ●戰爭 ●暴動 ●駭客入侵 ●病毒攻擊
資料來源:勤業眾信提供,2007年11月



第2階段:決定BCM策略
企業選擇處理風險的策略,一般來說,有避免風險、降低風險、轉移風險和接受風險等方向。以轉移風險為例,比如可以考慮購買適當的保險,由於保險能夠提供組織財務補償,往往是在營運持續管理策略中重要的一環,而保險結合營運持續管理也可能是最整體性的解決方案。

BCM策略的訂定內容,則會依據企業主要資源,對應相關因應方案。以企業的資源來說,主要涵括人員、場所、技術、資訊、供應補給和利害關係人等6大類別,而各自重要程度的高低就會根據不同的活動而有所調整。另外,策略的訂定最好選擇對於內、外部影響最少的尤佳。

以人員來說,會涵括員工、客戶和相關主管機關等對象,場所部分要考慮到如替代場所和在家工作的情形,技術面則對應至系統備份、遠端存取、異地備援等,蒲樹盛特別指出,目前所有產業對IT倚賴很深,因此,IT在BCM的角色相當吃重。

在資訊面,要考量到資訊的機密性、完整性、可用性和流通性,若要進一步強化,則可參考ISO 27001中的作業準則。供給補給一方面要安排原料來源,一方面也關係到與供應商之間的互動,企業可選擇要求對方具備營運持續管理能力,以及簽定服務水準合約等,另外,也能增加供應商數量以降低風險。利害關係人會包含如股東、合夥人和承包商等。


BCM策略中的6大資源

類別 說明
人員 ●關鍵作業文件 ●多重技能訓練 ●分散關鍵技能
●使用第三方服務 ●繼承規畫 ●知識保存及管理

場所

●替代場所(置換其他活動、由其他組織提供)、郵遞三方提供
●在家(遠端)工作 ●其他適當廠所 ●使用替代勞務

技術

●在異地維持相同技術 ●準備緊急用品 ●唯一的或長交期的設備
●系統復原時間目標 ●技術地點位置與距離 ●技術地點數量
●遠端存取
資訊 ●機密性 ●完整性 ●可用性 ●流通性

供應補給

 
●定義和維護主要供應補給 ●將補給品儲存於其他地點
●安排第三方提供原料 ●轉換為及時交貨至其他地點
●保留原料在倉庫或出貨地點 ●轉換裝配作業志替代地點
●鑑別替代供給方式 ●增加供應商數量
●鼓勵或要求供應商具備營運持續能力
●與主要供應商簽訂合約/SLA ●確認能力

利害

●社會及文化考量 ●管理主要利害關係人、合夥人即承包
關係人 商之關係
●確保利害關係人之特殊需求安排,如失能、患病或懷孕
資料來源:BSI提供,iThome整理,2007年11月

第3階段:發展與實施BCM回應
在擬定BCM策略後,企業就可根據不同的災難與事件發生時,訂定出相對應的回應措施。

該階段中,主要會包括事件管理計畫(Incident Management Plan,IMP)、營運持續計畫(Business Continuity Plan,BCP)和營運回復計畫(Business Recovery Plan,BRP)3大部分。

然而,無論是IMP、BCP或BRP,都必須定期維護,且要提供對內部與外部的聯絡清單,清單中還要保持更新和確保可立即使用,而明確定義人員與部門的權責也是不可忽略的一環。

為了要快速檢視權責分配與參與人員,可透過RACI(Responsible Accountable Consulted Information)工具表,在表格中列出所有的角色與職務,再對應出計畫中的負責人員、責任歸屬、協商與知會對象。

以IMP來說,是定義在最危急的情況下應該做的事情,比如優先處理人員安全、進行疏散、預防災難擴大、緊急連絡以及向媒體回應等,另外,還可事先決定好適當的場地,以作為災難指揮應變中心。BCP為如何回復至低營運水準,BRP要將營運回復到原先的水平與最初的狀態,前者通常在數秒~數天內啟動與執行,後者則約在數周~數月,兩者主要都會包含行動計畫與任務列表、資源要求、負責人員以及事故日誌與表單等。

第4階段:BCM演練、維護與審查
BCM生命周期的最後一個階段是藉由演練、與審查的機制,以確認BCM是否有效落實和維護。

演練計畫執行的程序中,則有不同的注意細節。勤業眾信企業風險管理經理陳晞涵建議,演練計畫前,要先確定演練目標、設定演練情境、方式,並設計演練相關表單和檢核表、準備演練所需資源,以及召開演練預備會議和與相關人員開會協調,特別注意的是,還要決定是否需要對外公告,以避免造成不必要的恐慌和影響。

演練過程則必須確實記錄演練過程、個別步驟的執行時間,和配合演練稽核進行。

演練後可藉由召開檢討會議重新檢視演練計畫,根據演練計畫中所訂定的目標,檢視操作順序是否需要修正和調整,以及演練過程中觀察到可改進的事項,並提供相關建議與稽核報告。

在第4階段結束後,又會回到第1階段,企業開始重新檢視組織、營運衝擊和是否可能產生新的風險等,讓營運持續管理能跟上企業和環境的轉變,以真正實現永續經營。



BCM演練類型與方法

演練類型 複雜度 程序 差異 頻度
書面審查 計畫內容審查與挑戰 更新/驗收/稽核/確認 至少年度
局部計畫演練 挑戰BCP內容 驗證參與者的互動與角色 年度
模擬 靈活使用巧妙情境,驗證BCP 已包括足夠資訊可成功復原營運 包含相關的計畫 年度或半年
關鍵活動演練 啟動可控制之情境,不危及營運日常作業  定義固定時間內將作業至替代地點 年度或低於
完整BCP和BCM演練 大範圍演練   年度或低於
資料來源:BSI提供,2007年11月

看企業如何準備通過BS 25999認證

目前國內已有金融業、高科技製造業和資訊服務業者,準備通過BS 25999認證,預計最快於明年第一季就會有企業通過該認證
目前已經有許多企業計畫要導入BS 25999,預計最快於明年第一季就會有企業通過該認證。

BSI臺灣分公司訓練部協理蒲樹盛表示,國內對於BS 25999詢問度最高為金融業和高科技製造業,對金融業而言,由於有法規遵循等需求,因此對於營運持續管理的重視程度更高。

以銀行業者來說,金管會目前已經明定金融機構必須於95年年底開始實施新巴賽爾協定(Basel II),其中作業風險原則七中便指出:「銀行應擬定緊急應變及復原計畫,以確保當嚴重事故導致營運中斷時,有能力維持業務中斷,並將該事故的損失控制在最小範圍內。」

另外,有些企業是來自於客戶端的要求,所以決定導入BS 25999,如國內某高科技業者,便在國外代工客戶的要求下,計畫於明年開始啟動BCM計畫,並規畫取得認證。此外,有些企業則是希望藉由BCM的落實,以保護公司價值、商譽和股東權益等。

勤業眾信企業風險管理經理陳晞涵表示,目前已經協助數家企業準備通過BS 25999認證,其中一家高科技製造業者,由於過去曾發生意外事故,造成營運一度中斷,因此其產險費用較同業高出許多,該業者於是希望能藉由導入BS 25999,以降低產險成本。過去也有類似的例子,某一家業者由於導入相關的驗證標準,產險費用因此減少了13%。

對於企業永續經營相當重視的群益證券和精誠資訊,過去早已在公司內部落實營運持續管理,目前更進一步規畫申請BS 25999認證,群益證券執行副總裁暨資訊部主管賈中道表示:「藉由通過認證,每年會進行2次的外部稽核,透過外力可不斷鞭策與檢視組織本身,以追求企業更加卓越。」群益證券用BS 25999檢視營運持續管理

早在BS 25999-1發布前,群益證券就已經開始在內部推動營運持續管理計畫。

群益證券於2006年3月通過ISO 27001資安管理認證,為國內第一個取得該認證的證券業者,群益證券執行副總裁暨資訊部主管賈中道表示,ISO 27001有助於鑑別和管理和各種風險,但是是從資安的角度考量,因此涵蓋面向以資訊應用系統為主,整體來說還不夠廣泛。

為了確保各個層面都考量到,群益證券當時便思考:下一步應該做什麼?於是,群益證券從4月開始啟動企業營運持續管理計畫。

對群益證券來說,平均每個小時的營業額超過千萬元,因此,當業務一中斷,分分秒秒都在流失金錢,賈中道說:「若將銀行業形容為將算盤背在背後,那麼證券業就是將計算機放在眼前!」點出了營運持續管理對於證券業的重要性。

除了有形的財務損失外,賈中道表示,無形的損失還可能會遠超過有形的損失,甚至帶來長遠的影響,更重要的是,一旦營運中斷,客戶的權益可能因此受損。

從ISO 27001到BS 25999
為了通過ISO 27001認證,群益證券成立資安管理委員會,由總經理主導,且各個部門高階主管都必須參與。拿到ISO 27001認證後,在管理委員會的基礎下,群益證券繼續推動營運持續管理計畫。

計畫內容包括根據各業務單位進行營運衝擊分析,然後依據重要程度撰寫復原和演練程序,另外也於忠孝分公司建置異地辦公室,以達到於30分鐘內可迅速恢復作業的目標。

在營運衝擊分析中,群益證券根據業務重要程度鑑別出最長可容忍的時間,賈中道表示,即使所有業務中斷,50%的業務能在30分鐘內重新啟動,包括股市、期貨、債券、衍生性商品等核心業務,以及財務部與其他銀行連線等作業,次要的業務,如海外基金等,則分別在數小時~1天內完成。

營運持續管理計畫的發展過程中,群益證券還花了許多時間在異地備援辦公室的設計與成立、相關系統的搭配,以及流程的重新規畫和簡化。

以異地備援辦公室為例,便同時規畫成教育訓練場所,賈中道表示,目的是希望不要讓資源閒置,而且平時就會使用,能確保網路、水、電等各種設施是否完善,還有助於降低啟動時不會有突發狀況發生的機率。

此外,群益證券更確實落實演練計畫,目前已經進行6次BCM演練,包含人員疏散練習、模擬禽流感、火災發生、總公司機房毀損,以及人員必須至異地辦公室待命等情境。

參考BS 25999作業準則,補強未完善之處
BS 25999-1公布後,群益證券又根據該標準的作業準則,再重新檢視營運持續管理計畫還可改善之處。

舉例來說,BS 25999中5.1.1.2中指出:「應確認中斷後哪些流程最慢應於何時恢復、確認最小可接受水準,以及回復正常服務水準的時間長度。」

賈中道表示,群益證券目前已經訂定關鍵業務流程的回復時間目標,但未辨識應回復至正常服務水準(Back to normal)時間。

另外,如5.2.1.2中訂定:「組織應該針對其關鍵業務及支援資源辨識其威脅、弱點並文件化相關所造成的風險。」賈中道表示,群益證券雖然已經執行風險分析以及判別可接受風險等級,但是尚未經過管理審查會議確認,為了確保起見,群益證券也因此決定再次進行風險分析,加強弱點辨識,並於管理審查會中決定可接受風險水準和擬定相關處理措施。

除此之外,群益證券在落實營運持續管理時,雖然已經考量到其他合作廠商的影響,但是當時未實際落實成規範,因此,群益證券也希望能進一步確認支援關鍵業務的廠商,然後採取相關策略,以降低廠商對業務的影響。此外,除了訂定媒體回應相關策略,以及建立BCM稽核制定和執行稽核等作業外,還將進一步文件化。

另一方面,由於群益證券已經經歷數次演練,也因此開始思索:如何再簡化回復流程?

賈中道表示,一開始演練計畫都會按部就班執行,但經過多次演練經驗後,發現許多流程其實還能再合理化,包括再整合或直接跳過,預計之後可將30%的核心業務,其回復程序再縮減至原先的6成。

IT與業務緊密配合
賈中道表示,若要順利推動營運持續管理計畫,一定要需要跨部門共同合作,因此,建立跨部門的小組可降低推動的難度。

另一方面,IT在群益證券的營運持續管理計畫中扮演很重要的角色,他表示,隨著企業資訊化越來越深,IT架構也需要有一定的基礎,才能建立快速回復的機制。

7~8年前,群益證券當時有6個機房,於是賈中道開始規畫縮減機房,從6個逐漸縮減到5、4、3……,最後集中成一個機房,並於2005年建置異地備援機房,以虛擬化技術建立階層式儲存架構,將臺北機房的資料遠端複製到桃園的備援機房。

賈中道表示,若IT架構過於分散和複雜,會提升備援和回復的難度,以過去6個機房來說,該如何互相備援?在那樣的IT架構下,也難以建立統一的回復計畫。

然而,群益證券的IT之所以能發揮如此大的作用,不僅僅是對IT的積極投資,更重要的還在於,IT與業務之間能緊密結合。

群益證券有一項特殊的制度:設立產品經理人,隸屬在資訊部門的需求管理處中,其角色是作為資訊部門與業務單位的溝通橋樑,以期貨產品經理人來說,要熟知期貨交易的作業流程,此外,由於產品經理人通常都是資深的資訊人員,所以也能從資訊的角度思考,如何利用IT改造作業流程等。

這樣的機制下,部門之間就有一定的共識和交流,所以可以降低彼此之間的認知落差。

在執行演練時,也動員各個部門的人員。以過去在進行ISO 27001的相關演練時,都是由資訊部門進行,但在BCM的演練計畫中(以上一次演練為例),資訊部門僅占三分之一,其他多為業務部門的人員,也顯示部門之間合作的重要性。

特別一提的是,群益證券的IT部門是以利潤中心方式運作,建置各項IT專案時,會將成本攤提至各個業務單位,所以在營運持續管理計畫執行時,仍有遇到業務單位質疑的情況,但由於有資安管理委員與最高主管的支持,所以最終也能解決這樣的問題。

賈中道表示,未來通過BS 25999認證後,還會此為基礎不斷強化各個面向,舉例來說,可再藉由導入ITIL(資訊技術基礎架構庫)以進一步確保服務品質。精誠資訊欲導入BS 25999提升客戶服務品質

對於客戶來說,我們相當於他們的資訊部門之一,所以我們的營運和他們的業務緊緊相關,為了確保服務品質,因此決定導入BS 25999,而客戶也非常樂見我們對於營運持續管理的重視。」精誠資訊資料管理整合服務事業部副總經理葉振民表示。

精誠資訊資料管理整合服務事業部提供金融、電信等單位的帳單處理、列印、裝封等業務,為目前國內最大的委外資料處理服務業者,單月印製量超越2千萬份,一旦該事業部營運中斷,就會影響如信用卡帳單、電信費帳單的寄發。

為了強化服務品質,精誠資訊資料管理整合服務事業部已於1998年通過ISO 9001品質管理驗證、2006年取得ISO 27001資訊安全認證,葉振民表示,藉由導入BCM標準,可讓各項業務衝擊與風險控管的考量更加全面,也能補強過去可能忽略之處。

落實BS 25999標準
精誠資訊從2006年年底開始評估導入BS 25999標準,今年4月著手規畫,目前已經完成教育訓練、營運衝擊分析、風險評估等作業,並開始啟動相關規範程序的建置。

相較於從ISO 27001中所訂定的營運持續管理,葉振民表示,BS 25999更強調營運衝擊分析和資產分析,藉由標準提供的最佳實務,則可將各項防範措施落實的更加精細和徹底。

舉例來說,為了降低災害發生時人員所受的損傷,資料管理整合服務事業部過去會在內部安排心肺復甦術(CPR)的課程,但為了讓實際演練更加確實,目前也要求部分人員必須通過CPR的執照,諸如這些細節,都被嚴格的規範在精誠資訊的BCM策略中。

另外,還強化一些過去沒有考量的面向,精誠資訊資料管理整合服務事業部資深諮詢品管工程師林柑妙舉例,雖然精誠資訊已經有備援辦公室、備援機房等,但沒有考慮到當事件發生時,人員疏散後的集合地點,因此,也重新評估適合的場地。

此外,如重新檢視廠商的支援能力,和協調對方取得符合規範的承諾等,也都是在精誠資訊考量的範疇中。

制度化為BCM奠定基礎
在資料管理整合服務事業部推廣BS 25999的推動過程中,並沒有遇到太大的困難,葉振民表示,主要原因為精誠資訊在BCM的落實已經有一定的基礎,包括跨部門合作、工作職責定位清楚、相關教育訓練與審查機制,因此只要在既有基礎上再強化即可。

過去精誠資訊無論是推動ISO 9001或ISO 27001,都是採取跨部門合作方式,並且藉由成立跨部門組織共同推動,因此各個部門已有許多協調與溝通經驗。

而BS 25999的導入專案,也同樣動員所有部門的資源。以BS 25999專案的核心成員為例,就包含資管整合業務處、資管整合資訊處、資管整合服務處與後續處理作業處4大單位,另外還有獨立於4大單位之外的幕僚人員,一起共同參與會議和討論策略訂定。

此外,由於資料管理整合服務事業部已將許多BCM落實在各項制度中,涵括人員、場地、技術和資訊等各個面向,因此減少了導入BS 25999的難度和建置相關設施的需求。

以人員來說,目前已經建立透過代理人制度,每一項業務都有主要和次要負責人,兩人都必須對於該業務相當熟悉,因此當人員離職或請假時,另一個人可以馬上接手作業,而客戶端也會知道應該和次負責人聯絡,另外,藉由矯正缺失單的建立,也有助於更清楚了解職責分配與責任歸屬。

在場地方面,資料管理整合服務事業部過去為了分散風險考量,分別設置兩個辦公室在臺北縣的中和市與三重市,因此當某一個辦公室無法作業時,就可集中至另一個辦公室,此外,在內湖還有第三個機動辦公室,即使兩個辦公室都無法使用,機動辦公室也可作為緊急管理與連絡中心。

在IT與資訊方面,不僅有兩個機房可互為備援,即使兩個機房都無法運作,也能在內湖辦公大樓中的機房重新啟動作業。在資料的保護上,包括會進行定期系統備份,並存放至異地與第三地。

除此之外,資料管理整合服務事業部也相當重視人員的稽核,包括至少2年對員工進行一次徵信調查,以及不定時的人員稽核等,以降低如人為道德的風險等。

將BCM深植在企業文化中
精誠資訊也規畫定期進行審查、維護、演練等機制,以確保BCM能真正發揮功能。

由於資料管理整合服務事業部會進行定期ISO 9001與ISO 27001同步稽核,包含每季一次內部稽核和半年一次外部稽核等,因此,若未來通過BS 25999認證之後,就可以再進一步統整所有稽核項目。

在演練機制上,現階段已落實資訊設備中斷、防疫情擴散、運輸設備等緊急應變計畫,林柑妙表示,未來則將更加強管理無預警的風險,如地震、颱風等天災。

除了內外部的稽核外,葉振民表示,客戶也會定期進行稽核,許多客戶甚至會每個星期來抽查一次,平均來說,2~3天就會有一次客戶稽核,因此客戶也相當樂見資料管理整合服務事業部導入BS 25999。

為了將BCM更深植在企業文化中,精誠資訊也透過相關的宣導方式將BCM傳達給員工。

目前資料管理整合服務事業部每年會進行兩次的教育訓練,每次教育訓練約有18堂課,內容涵括ISO 9001與ISO 27001,而未來就只要在既有的教育訓練中,再增加BS 25999的相關課程即可。

在傳遞BCM觀念的方做法上,還包括會以書面傳遞讓所有的員工閱讀並確認,以及將相關重要事項與規範透過內部資料庫進行分享。文⊙許雅婷

熱門新聞

Advertisement