新企業永續管理標準：BS25999

| | | | | | 1則回應

    

企業面臨危機而營運中斷的因素很多，除了天然災害如地震、颱風、火災等所引起的廣泛衝擊之外，而人為性的，來自於設備故障如伺服器當機、硬碟資料損毀，以及蓄意行為如電腦病毒、駭客攻擊等所造成的營運風險也逐漸增加。

從IT層面的災難復原與備援系統的建置，若企業願意承擔起相關成本，技術上並非困難，難處在於管理階層究竟該如何進行規劃與組織人員訓練、評估何時該啟動災難復原程序、判斷作業程序是否合理，以及協調支援單位在一定時間內相互配合達成目標，最後形成一個企業營運持續管理(Business Continuity Management；BCM)系統，這些無一不是挑戰。

新BS25999企業永續經營管理標準

對於災害的應變與防護，國際上其實已有相關的計劃或標準，例如美國國家防火協會，即制訂了「災害/緊急管理與企業營運持續計劃」，作為發生災害時的緊急應變程序；加拿大也有「營運持續計劃指南」，確保企業的營運能在災害之後持續運作；新加坡「業務持續性與災害復原」標準SS507，更同時包含了IT災難復原和BCM兩項重要領域。

英國標準協會BSI過去也制訂「PAS56營運持續管理指導綱要」，作為企業在面臨營運中斷時，如何去維持關鍵企業營運的參考，目前則積極地推動更新的BS25999作為營運持續管理系統的標準。BS25999即將在本周公佈。

BS25999就像BS7799一樣分為兩個部份，BS25999-1是作為參考手冊，已於2006年11月發佈，說明了營運持續管理的各項作業要點，包括建立程序、實作過程與指導原則，讓相關人員可以了解其實施方式，而BS25999-2則是說明營運持續管理的要求，企業必須落實標準中的各項規範，通過稽核之後才能獲得BS25999的認證，此標準將於2007年11月底正式發佈。

BS25999提供了一個營運持續實施策略與框架，讓企業可以在重大事故之前，預先做好防範的準備措施，而在災難來臨時，也可以透過事先的妥善演練，來降低可能造成的營運損失，對於企業高層人員如執行長和董事會成員而言，具有BCM的策略規畫，可視為企業治理的重要任務之一，除了可以提升組織的應變與復原能力，更能滿足股東、上下游合作夥伴與客戶的要求。

BS7799中已有「營運持續管理」這個控制項目了，為什麼又多了BS25999呢？因為前者是從資安的角度要求，後者則是從整個企業營運角度來衡量，有更具體的實施說明。

BS7799 VS. BS25999

關於營運持續管理，在BS7799已有這個控制項目，說明企業需要識別關鍵的業務流程，進行風險評鑑以了解企業的弱點與潛在的威脅，再依照其重要性來排定復原的先後順序。BS7799主要是從資訊安全的角度來看營運持續管理，提到企業營運持續計劃除了考量人員、資產與業務之外，其他相關設施只要牽涉到資訊的機密性、完整性與可用性，都要一併列入計劃之中，並且定期進行測試與改善。

BS25999包含完整的營運持續管理生命週期(BCM Lifecycle)。根據BS25999-1標準中的BCM Lifecycle，包括了以下幾個階段，企業在實作時可參照它來進行：

1.了解企業的現況：由於企業的屬性與類型不同，所處的環境也有很大的差異，為了要評估在發生危機時可能面臨的衝擊，企業必須找出「什麼才是企業賴以維生的關鍵？」這有可能會是ERP、CRM，也可能會是Email或網路連線，因此必須透過「風險評鑑」和「營運衝擊分析」二種方式，來識別出面臨的威脅、弱點與風險值，估算可能造成的損失。另外最重要的，企業還必須要找出可接受的復原目標時間(Recovery Time Objective；RTO)，舉例來說，當一個人發生急性中風之後，若在三小時內沒有經過緊急搶救治療，就會造成難以挽回的遺憾，這是人人必須把握的黃金時間，所以如何在可容忍的營運中斷時間內進行應變，是企業要去審慎評估的。

2.制定BCM的策略：在了解企業的關鍵營運流程與可能會發生的災難之後，就可以根據企業的營運目標、資源與成本來制訂所要採取的因應策略，並且選擇能夠降低風險的措施。

3.發展與實施BCM回應：在此一階段中，企業必須要發展出一套營運持續計劃(BCP)，計劃中必須包括人員職責分配、教育訓練辦法、計劃啟動條件、緊急應變程序、備援機制、災難復原程序等。

4.演練、維護與審查：完成BCP之後，最重要的就是要進行測試與演練，確保計劃項目能夠一一順暢執行，在演練之後，還要針對有疏失的地方持續加以改進，以確保營運持續計劃能夠有效執行。

5.使BCM成為企業文化：BCM是一個持續的管理、協調與監督過程，BS25999標準中強調，必須要讓BCM深入成為企業文化中之一員，才能達到企業永續經營的目標。

意外發生的那一天，BS25999發揮的最大效益

或許有人認為自己在生活之中，不太可能會發生意外，每當身旁有人不斷提醒時，往往會認為是太過於「杞人憂天」。但從國外的911恐怖攻擊、倫敦地鐵爆炸、卡翠娜風災，國內的921大地震、東科大火、納莉風災、SARS等事件，許多的經驗都告訴我們事實不是如此。所謂「前事不忘，後事之師」，對於企業來說，災害固然難以預防，但設備毀損、資料遺失，操作失誤所造成的損害，卻是企業可以事先規劃避免的。

BCM的基本精神就是去「預料無法預料的事」，要將各種可能狀況的劇本預先準備好，確保意外或災難發生時，企業能夠依照事先擬定的因應方法，讓關鍵的商務活動不會因此中斷而造成龐大損失。但是，BCM的推動，準備條件除了人力、物力與經費之外，最重要的仍在於是否經過完整的測試與演練，能在時間內發揮預期的效用，這些都在在考驗著企業管理階層的遠見與決心。

所以，唯有透過不斷的沙盤推演，使相關人員確實熟悉各項應變作業流程，再經由模擬災難情況來實際演練，以評估計劃可行性，事後也務必進行檢討，針對不足之處予以修正，這樣才能發揮BCM的真正效益。

本文作者曾任IT雜誌主編，擁有CISSP、CompTIA Security+、CIW Security Analyst、BS7799/ISO27001 LAC、CCNA、ITIL Foundation等認證，現為精誠資訊資安產品企劃處產品經理。