地球村已然形成,企業正依賴著資訊與網路基礎建設來因應不斷變化的商業維運模式,以尋求高度獲利。然而,人有不測風雲,企業也有無法預測的潛在風險,誰能料到被劫持的民航機就這樣硬生生地衝撞美國紐約世界貿易中心,造成大量的死傷。在2001年的911恐怖事件中,不只是美國國防部總部五角大廈受到重創,就連經濟體系也同樣受到嚴重打擊。更有企業存放在電腦中的資料因而受到毀損無法挽救,甚至就此倒閉。
讓企業營運持續不中斷
不只人為的因素,天災也同樣不可抗拒,造成四川重大災情的汶川縣大地震、全台損傷慘重的921大地震、汐止東方科學園區的大火悶燒,在在都顯示了企業預防災難發生以及事後應變能力的重要性,如果能夠有一套完善的預防制度來規劃這些無法預料的事,企業將能藉此化解危機與災難,減少損失。而本月的證照解讀單元所介紹的營運持續管理(Business Continuity Management,BCM)正是為了協助企業因應未知風險而設計的制度。
營運持續管理的正式名稱為BS 25999,這套制度最大的目的是防範營運活動的中斷,經由實施營運持續管理作業及營運持續計畫(Business Continuity Plan,BCP),結合預防和復原控制措施及程序,將災難和管理缺失(可能由自然災害、意外、設備故障和蓄意行為等引起)所造成的營運中斷情形降低到可接受的等級。
 |
| ▲英國標準協會台灣分公司訓練部協理蒲樹盛強調,BCM是一套制度,而不是一個工具或課程,它是企業組織管理必備的管理技能,卻不是主要用來針對個人技術能力加分的證照。 |
雖然ISO 27001資訊安全管理驗證服務,同樣也具有確保持續營運、將營運損失降到最低,並且得到最豐厚的投資報酬率及商機的目的。但兩者不同的是,ISO 27001將焦點鎖定在「資訊安全」,而BS 25999的範圍則比ISO 27001更為廣泛,為了達到營運服務不中斷的結果,確保資訊安全只是其中重要的一環。換句話說,企業取得BCM認證等同認明企業的所有流程,包括產品、服務水準、資訊安全都已有營運持續管理效果,因而能夠確保產品準時交貨、服務不中斷。
英國標準協會台灣分公司訓練部協理蒲樹盛強調,BCM是一套制度,而不是一個工具或課程,它是企業組織管理必備的管理技能,卻不是主要用來針對個人技術能力加分的證照,但在整體設計中,也有針對個人稽核員取得的課程。
認識BS 25999
BS 25999共分為二個部分,BS 25999-1:2006以及BS 25999-2:2007。其中BS 25999-1:2006是一套營運持續管理的作業要點,於2006年11月發布,主要是由全球具有實務經驗的專家,依據相關的學術、技術及實作BCM所建立,內容包括了如何建立營運持續管理的程序、原則及相關術語,可提供企業對BCM有基本的了解,並進而發展、實施營運持續管理。蒲樹盛指出,整體內容還包括了整個BCM生命週期的廣泛控制過程與方法,「事實上,企業如果對營運持續管理有興趣的話,可以先行透過網路購買營運持續管理作業要點來研讀與規劃,只是因為標準都是條例式的內容,每個人的理解度不同,因此通常都會建議參加營運持續管理訓練課程,以獲得正確且完整的觀念及技能。」
BS 25999-2:2007則是在去年11月時正式發佈,主要是營運持續管理要求,在內容中明確規定有關營運持續管理系統的驗證要求及流程(標準條款會詳細列出各項要求以及組織可用於稽核時的標準依據),企業可以經由驗證來取得BCM證書。
蒲樹盛表示,BCM是一個獨立運行的標準,在此之前,並不需要先取得ISO 27001或是其他驗證來做為輔助,但是稽核的動作是一定要執行的,平均至少每年一次,甚至在初期會建議先做半年一次的評估,但是半年或是一年一次是可以選擇的,並沒有硬性規定。
「其實就國際稽核的收費而言,一年一次與半年一次的成本是一樣的,假設一年的稽核需要5個人天的話(一個人要5天),半年一次就是2.5個人天,但是我們還是建議在剛開始時,半年一次的頻率是比較好的,一來是監督機制會比較完善,如果今天剛完成一個機制,但仍有些缺點,但是要在一年後才能被稽核,中間會出什麼問題就很難預測。另一方面企業也會希望稽核的時間可以縮短一些,如此才會有Push的力量。」
BCM課程介紹
目前BCM相關的課程共有4種,包括基礎課程、建置課程、內部稽核員課程以及主導稽核員課程。在此,將以基礎課程與建置課程作一概略介紹,至於內部稽核員課程以及主導稽核員課程,則日後再作說明。
基礎課程的課程目標是希望指導企業建立BCM流程、策略、程序、原則與專門術語,描述BCM所涉及的活動與預期成果,講解優良案例並概述國際驗證機制,整體課程內容約莫需要2天才能完成。授課內容從範圍、概述、專門術語與定義、營運持續管理方案、瞭解組織營運、BIA & RA營運衝擊分析與風險評鑑、營運持續管理策略、發展與實施BCM計劃、BCM文化的建立與深化、演練、維護與稽核,最後還包含了練習。
建置課程則是針對企業建立BCM的程序與原則,描述BCM涉及的專門術語、活動與成果,推薦優良實例並講解標準。內容也旨在讓各BCM經理人將需要評鑑其組織內實施BCM情況,並確定組織之BCM適任性與能力是否符合營運活動本質、規模、複雜程度、地理環境與緊急程度,並反映其個別文化及作業環境,整體課程需要3天才完成。
IT人的挑戰與機會
隨著企業高度資訊化的結果,營運中斷的原因很有可能來自於資訊系統,例如網路銀行、網路下載、購物,甚至是高科技產業的生產線都是高度資訊化,只要系統中斷,大概營運就得停擺,雖然BCM不只是IT系統,但IT系統一定會包含在BCM的範圍,因此資訊主管的價值必須要提升,儘管在台灣,資訊部門大多位居後援的角色,隨著資訊化愈來愈高,IT經理需要自我突破。「這是一個挑戰也是一個機會,」然而蒲樹盛再次強調,企業導入BS 25999是全體公司上下應共有的體認,例如人員異動太過頻繁、廠房突然起了大火,這些問題發生時,企業想要持續營運,就必須累積相關部門的共識,而不只靠IT人員,課程只是協助單一人員對BCM的認知,真正要推動還是需要決策者下定決心才行。