营运持续计画.ppt

第十二章 營運持續計畫 第十二章 營運持續計畫 本章介紹營運持續計劃，是企業永續管理的一環，涵蓋營運持續計劃之建構流程，與營運持續計劃之範圍，逐一介紹其主要內容，使讀者了解計畫之整體架構及其精神，相信對於資訊安全管理是有所助益的。其內容包含： 簡介 營運持續管理 營運持續計劃步驟 風險管理 風險評估 營運衝擊分析 風險轉移策略 緊急事件準備 災害復原計畫與營運恢復計畫 測試、稽核、訓練與維護 12.1 簡介 營運持續管理 (Business Continuity Management；BCM) 的目標，即是要防治企業組織營運活動的中斷，透過實施營運持續計畫，並結合各項預防及復原的控制措施與程序，將災害或缺失所造成的營運中斷機會，降低至可被接受的程度。 近年來，營運持續管理 (BCM)已經發展成為國際的管理標準，單獨實施或結合資訊安全管理系統 (ISMS)一併實施，都可為企業組織提供永續經營之道。 在企業經營的大環境中，充滿著各種風險，例如：網路詐騙、員工罷工、設施損壞、惡意攻擊、惡意程式、間諜活動、社交詐騙等風險。在風險管理中，營運持續計劃就是要回答『這一事件發生時，我們要如何處理？』。 12.1 簡介 營運持續計畫是營運持續管理之一項計畫，但並不是單獨存在的一項計畫，它是統合性的計畫，與營運持續計畫相關的計畫還有： 營運恢復計畫 ( Business Recovery Plan；BRP )、 操作連續計畫 ( Continuity of Operations Plan；COOP )、 支援連續計畫 (Continuity of Support Plan / IT Contingency Plan )、 危機溝通計畫 ( Crisis Communications Plan；CCP )、 網域事件回應計畫 ( Cyber Incident Response Plan：CIRP )、 災害復原計畫 ( Disaster Recovery Plan；DRP )、 以及操作人員緊急計畫等。 12.2 營運持續管理 英國標準協會 ( British Standards Institution；BSI ) 致力於推動營運持續管理 ( Business Continuity Management；BCM ) 標準，於2006年公佈 『營運持續管理作業要點 』，並於2007年公佈『營運持續管理要求』。 營運持續管理 (BCM) 整合了流程管理，並依據營運持續管理作業要點實施，營運持續管理包含了： 風險管理 ( Risk Management ) 災害管理 ( Disaster Management ) 設備管理 ( Facilities Management ) 供應鏈管理 ( Supply Chain Management ) 品質管理 ( Quality Management ) 健康與安全 ( Heath and Safety ) 知識管理 ( Knowledge Management ) 緊急事件管理 ( Emergency Management ) 安全 ( Security ) 危機溝通與公共關係 ( Crisis Communications PR) 12.2 營運持續管理 營運持續管理也是持續性、週期性的管理工作，如圖12-1營運持續管理週期，每一週期包含四個步驟：(1)了解組織，(2) 決定營運持續管理策略，(3) 發展與實行營運持續管理，以及 (4) 營運持續管理演練、維護與稽核。 12.2 營運持續管理 了解組織有兩項基本的方法，(1) 風險評估 ( Risk Assessment；RA ) 與 (2) 營運衝擊分析 ( Business Impact Analysis；BIA )。 決定營運持續管理策略，在風險管理方面，首先考慮如何避免風險，使風險不致於發生，再考慮如何降低風險，將風險的影響程度降至最低，如果風險已經發生，需要轉移風險，在可接受的風險中訂定對策。 決定營運持續管理策略，在風險管理方面，首先考慮如何避免風險，使風險不致於發生，再考慮如何降低風險，將風險的影響程度降至最低，如果風險已經發生，需要轉移風險，在可接受的風險中訂定對策。 12.2 營運持續管理 決定營運持續管理策略，在風險管理方面，首先考慮如何避免風險，使風險不致於發生，再考慮如何降低風險，將風險的影響程度降至最低，如果風險已經發生，需要轉移風險，在可接受的風險中訂定對策。 發展與實行營運持續管理，需要考慮多項因素，例如：計畫啟動條件，什麼狀況下需要啟動計畫、職責說明，賦予確定人選特定的工作、緊急處理程序、備援與復原程序、維護時間等。 營運持續管理演練、維護與稽核，包含狀況演練、復原測試、設施測試與服務、完整演練等，並