BS25999在台灣

| | | | | | 6則回應

    

如上文所述，台灣的天災人禍似乎都沒有斷過，由天災所造成的企業營運中斷是最難以預料的，若再加上人為的疏忽，像是作業失誤、資料外洩，甚至是因不小心踢掉電源插頭，都有可能造成營運中斷，導致企業有形的金錢與無形的聲譽損失。

BS25999進入台灣的時機

台灣目前以中小企業為主，許多的營運都須依賴許多外部資源與協力廠商的配合，一旦有些企業發生危機，連帶地也會影響到上、中、下游合作業者的生計。根據觀察，目前企業對於推動營運持續與災難復原，可能面臨的困難有：

1.缺乏經費與決心
2.缺少標準與規範可參考
3.缺少風險概念
4.管理高層不支持
5.各部門無法溝通配合

所謂的災難，可以區分為天然災害與人為事件，人為事件又有來自於內部與外部之分，針對災害事故的發生，除了企業本身要具備緊急應變的能力之外，更有賴外部單位的支援配合，例如消防單位的會同進行救災等，而在事件過後，也要進行相關的災難復原工作。有些企業可能會透過購買保險等方式來補償因天災人禍所造成的損失，但這大多只是從財務層面的考量，如今有嚴謹制訂的標準—BS25999—可做為我們依循的指引，正好可以省思在企業經營上面，是否該有居安思危的準備與防範。

做好面對災難的準備，維護企業資產與員工的安全，是每個企業主不可推托的責任。營運持續管理(BCM)的目標，就是確保企業營運不會中斷，因此要藉由完善的營運持續計畫，明訂預防營運中斷的各項措施、災難發生時的備援作法和災難後的復原程序。

如何評估適合先行導入的產業

隨著標準的正式公佈，企業需評估的是要結合營運流程來落實這項管理制度，還是只為取得認證而做，從以往BS7799的經驗來看，導入BS25999的動力，可能來自於以下幾項原因：

1.法令法規的要求：法律或主管之政府機關，要求所屬單位必須實施企業營運持續管理，並且通過相關單位的稽核審查。
2.客戶要求：客戶要求供應商必須建立企業營運持續計畫(BCP)，如果未提供相關證明與辦法，可能會被列入不合格的供應商名單之中。
3.自身要求：管理階層具有憂患意識，為求企業的永續發展，或是想藉由營運持續管理來加強企業的競爭能力。

從標準內容來看，BCM適用於任何規模的企業和組織，企業可以評估本身的核心營運目標，並且考慮營運中斷可能帶來的衝擊與後果。至於哪個產業應該最先導入BCM，除了評估營運情況與企業成本之外，其實還可以從「社會責任」這個角度來衡量，如果您的產業在發生營運中斷時，會對社會大眾造成很大衝擊的，像是政府、金融、交通、電信、油電、水力、醫療和民生公共事業等單位，先天上即具有一定的高風險，若發生事故將造成重大的影響，因此在營運持續管理方面，更要有妥善的規劃與實施辦法。

國外相關的法規對於營運持續管理已有一些規範，以金融業而言，在巴塞爾協定中即提到，「金融機構與主管機關應該要建置有效且全面的營運持續管理辦法，而確保營運不會中斷，是董事會與高階管理者共同的責任。」對金融業來說，都會面臨因內部作業、人員、系統失誤和外部事件所造成的作業風險，為了要維護客戶的權益，緊急應變的相關計畫已是必備的要求，因此BS25999的發佈，正好提供給金融業一個可依循的管理標準。

預計導入之企業應準備之事項

過去，礙於成本過高，會做災難復原計畫的以金融、電信和高科技製造業者居多，但隨著資訊產業的快速發展，許多企業已慢慢察覺營運持續的重要性。針對可能的威脅，我們可以從幾個因素來考量：

1.災難是否有預兆？
2.可能發生的機率及衝擊？
3.災難可能持續的時間？
4.以往的歷史教訓

企業對於營運持續計畫與災難復原的投入，要視實際的需求而定，到底該投入多少才是最適當的，就有賴於預先做好風險評鑑與營運衝擊分析，因為恢復企業營運所需要的各項資源，如場地、設備、水力、電力、資金與原料供給等，許多都屬於相對的成本，需要強化到何種程度？最大可允許的中斷時間是多久？以及是否有外部的替代支援方案，這些都是需要考量的地方，而企業需要謹記的一點是，隨著復原的時間拉長，損失也會不斷地增加。

至於企業推動的過程，首先是必須組織BCM小組，接著進行風險與營運衝擊分析，根據分析出的結果，依照企業的營運關鍵流程，擬定出緊急應變策略與復原策略，然後再發展出完整的BCP計畫，計畫中要包含人員訓練，務必使災難應變觀念，深植在每個人心中，最後就是依照計畫，定期的進行測試、演練與改進。

擬定一個災難應變計畫，我們可以從事件發生的前中後來思考：