第四章 企業防災與都市防災之結合
第二節 企業防災概論
壹、企業防災定義與作法
一般企業目前所準備之緊急應變計畫,係針對災害發生時,為確保人 員生命及公司財產安全的第一時間處理措施,但鮮少針對各個業務於中斷 後,應執行之復原業務流程工作項目進行規劃。目前營運持續管理權責單 位多為環安衛單位或資訊部門,但由於皆屬於企業內部支援單位,因此於 跨單位協調時,往往碰到業務單位事不關己的態度;隨著營運持續管理制 度的建置及落實演練,業務單位漸漸發現營運持續管理非僅是環安衛單位 或資訊部門的責任,若未提供正確資訊並配合演練,未來業務將因此無法 有效復原,因此從被動配合轉為主動參與。企業組織應落實公司治理精神,
妥善管理營運風險(business risk)及作業風險(operational risk)。
營運持續管理的推動分為現況分析、企業治理、營運衝擊分析暨風險 分析、制度及規範建置及演練與訓練等五大階段(如下圖所非)(吳佳翰,
2008):
圖 4-4 營運持續管理架構 資料來源:吳佳翰,2008
1. 現況分析:
透過與營運持續管理國際標準(BS25999:2)的差異分析,瞭解企業與標 準的差異,進而可瞭解其於營運持續管理的成熟度。
2. 營運衝擊分析暨風險分析:(參見下圖)
(1). 透過營運衝擊分析瞭解企業關鍵業務流程有哪些、應於何時復原 才不會對企業造成重大衝擊,並且需要哪些資源以持續營運。
(2). 透過風險分析瞭解企業這些關鍵業務及相關資源,因哪些威脅事 件影響而可能導致中斷。
(3). 根據營運衝擊分析及風險分析結果,制定企業的營運持續管理策 略,包含如何因應企業的各種風險、事前應準備多少資源、以及應產生多 少規範及計畫。
圖 4-5 營運衝擊分析/風險分析與策略之關聯 資料來源:吳佳翰,2008
3. 制度及規範建置:
制度及規範部份,除了事件管理計畫(IMP;Incident Management Plans) 及營運持續管理計畫(BCP;Business Continuity Plans)外,還應制定相關規 範以維持營運持續管理體系的運作及發展。
4. 演練與訓練:
依據營運持續管理之策略及業務特性,規劃不同規模及頻率之演練。
貳、營運持續管理定義
King(2003)提出之災害復原計畫(Disaster Recovery Planning, DRP)無法 因 應 企 業 所 面 臨 之 風 險 變 化 , 所 以 延 伸 至 現 今 發 展 之 營 運 持 續 管 理
提出營運持續管理為危機管理計畫、災後復原計畫與營運持續計畫綜合之 管理程序;其包含傳統之災害應變與企業永續經營,如意外事故、災害復 原計畫將整合於更廣之組織活動中。英國標準協會(BSI)過去也制訂過
「PAS56 營運持續管理指導綱要」作為企業在面臨營運中斷時,如何去維 持關鍵企業營運的參考。
由英國英國標準協會 (British Standards Institution, BSI) 所推動的營運 持續管理系統標準 BS25999:2006 (BCM, Business Continuity Management) 定義如下:
“Business continuity management is a holistic management process that identifies potential impacts that threaten an organization and provides a framework for building resilience and the capability for an effective response which safeguards the interests of its key stakeholders, reputation, brand and value creating activities”
從以上定義看來,BCM 是用辨識出潛在之影響(或衝擊)嚴重威脅一個 組織(含公私業組織),建構一架構提供快速有效之回復力及抗損能力,而對 所有的之利益共享者、企業組織名譽及價值創造活動不受到負面之影響(或 衝擊)。
BCP 之定義可如下所示:
“Business continuity planning (BCP) is the creation and validation of a practiced logistical plan for how an organization will recover and restore partially or completely interrupted critical (urgent) functions within a predetermined time after a disaster or extended disruption. The logistical plan is called a business continuity plan.”(註21)
從以上定義看來,BCP 亦是一項熟練的後勤計畫(logistical plan),讓企
21
業組織在災害或可能造成生產中斷的任何情況下,可以讓企業組織的關鍵 功能(critical functions)在可預知的時間內部份或完全地快速復原,而不造成 企業的損失。因此,企業組織在營運過程當中,充滿許多挑戰與變化,許 多異常事件若無妥善制度管理,將迅速擴大為危機與災害,如何洞燭機先,
善用預防制度來規劃這些無法預料的事,已是組織管理必備之管理技能。
圖 4-6 企業災後復原示意圖
資料來源:日本內閣府,中央防災會議,民間と市場の力を活か した防災力向上に関する専門調査会
在英國英國標準協會 (British Standards Institution, BSI) 所推動的營運 持續管理系統標準 BS25999:2006,說明 BCM 是一連串的整合流程(The Unifying Process) : BCM 如 下 圖 所 示 , 內 容 應 包 含 風 險 管 理 (Risk
Management)、供應鏈管理(Supply Chain Management)、品質管理(Quality Management)危機管理、安全管理、安全建康(Heath and Safety)、知識管理 (Knowledge Management)、緊急應變(Emergency Management)、危機處理 (Crisis Communication)、安全管理(Security Management)等等,可以看出,
BCM 的程序是一項高度整合之科學與手段。亦不應只侷限於災害復原之單 一目的。
圖 4-7 營運持續管理(BCM)架構
資料來源:BS25999, 2006
参、國際實施狀況
2000 年後國際上相關標準包括:英國營運持續協會(Business Continuity Institute, BCI)在 2002 年公佈『營運持續管理實務手冊(Business Continuity Management:Good Practice Guidelines)』、英國標準協會(British Standard Institute, BSI) 在 2003 年公佈 PAS 56『營運持續管理指導綱要(Guide to
Business Continuity Management) 』 與 美 國 國 家 防 火 協 會 (National Fire Protection Association, NFPA)在 2000 年公佈 NFPA 1600『災害、緊急事故管 理與營運持續計畫(Standard for Disaster/Emergency Management and Business Continuity Program)』。而國際上營運持續管理標準可分為三個層次,分別為 資訊安全、金融安全與全產業之營運安全,全球運作的單位之敘述如下:
1.資訊安全:美國聯邦法務部(USA Department of Justice)之防範外部破壞法案 (Foreign Corrupt Practices Act)。
2.金融安全:美國聯邦國稅局(USA Internal Revenue Service)之美國聯邦國稅 局作業程序 86-19 and IRS Procedure 86-19、美國聯邦會計總署(USA General Accounting Office)之股票交易市場電腦安全控制規定 (GAO/IMTEC-91-56 Financial Markets: Computer Security Controls)、美國聯邦金融業認證委員會 (USA Federal Financial Institutions Examination Council) 之 FEIEC FILL-67-97、美國金融服務業現代化法案(Financial Services Modernization Act of 1999, Gramm-Leach-Bliley Act) 、英國財政部(UK Financial Service Agency) 之英國內部控管法規(Turnbull Report: Combined Code on Internal Controls in the UK)、香港金融管理局(Hong Kong Monetary Authority)之營運持續計畫 (TM-G-2)、英國財政部(UK Financial Service Agency) 之營運風險系統及控管 建議報告(Consultation paper: 142 Operational Risk Systems and Controls) 、新 加坡金融管理局(Singapore Monetary Authority of Singapore) 之營運持續管理 指導綱要(Business Continuity Management Guidelines)。
3.全產業之營運安全:加拿大財政部(Treasury Board of Canada)之保全及營運 持續管理標準(Security and Contingency Management Standard) 、美國聯邦緊 急應變管理總署(USA FEMA)之(FEMA FRPG 01-94 1994) 、美國國家防火學 會(USA National Fire Protection Association)之災害事故/緊急應變管理及營運
Continuity Programs) 、加拿大重大基礎設施防護及緊急應變準備委員會 (Canada Office of Critical Infrastructure Protection and Emergency Preparedness) 之營運持續計畫指導綱要(A Guide to Business Continuity Planning) 、英國標 準協會(British Standard Institute, BSI)之 PAS 56 Guide to Business Continuity Management)。
面對嚴峻的環境,先進國家紛紛研擬營運持續管理標準,從資訊安全、
金融安全發展至全產業之營運安全。目前台灣對於營運持續管理系統之發展 較為側重於資訊安全,此與 ISO 17799 之推動及資訊產業所提供之備援系統 環境有關。除此之外,金融安全與全產業之營運安全尚無一解決方案。基於 以上之考量,台灣應積極建立營運持續管理系統,促進國際競爭優勢與全產 業參與之原則,以達成創新企業效益、高附加價值與高成長潛力之目標。
近來,國外企業對於本國企業之營運管理要求亦日益增加,其目的在於 確保其供應鏈之相關產品能穩定達成品質或服務水平;最常見乃國外客戶之 稽核要項包括供應商是否建立營運持續計畫(Business Continuity Plan, BCP)
等,部分國外企業甚至於稽核報告中明確訂出改善期限,若未能符合改善要 求,則列入不合格供應商名單。而國際大型再保公司也日益重視客戶在巨災 後其災後復原能力,進而評估該客戶在營運中斷投保之相對風險,並嘗試合 理反映於保費上。
各國對於 BCM 發展及推行極為盛行且正面,且國際上有關營運持續管 理之標準亦日趨完整,部分先進國家如美國、加拿大甚至將 BCM 訂為國家 標準,而相較以往針對資訊產業之 BCM 發展,各國均意識其傳統定義不足 且狹隘,故對產業之 BCM 有更明確且完整之趨勢,如下表 4-1 所示,為全 球災害復原與營運持續規劃相關法規彙整表。
表 4-1 全球災害復原與 BCM 相關法規彙整表
年份 國家/部門 法令規章⁄標準 目的 1977 美國聯邦法務部USA Department of Justice
防範外部破壞法案
(Foreign Corrupt Practices Act ) Internal Revenue Service
美國聯邦國稅局作業程 序86-19IRS Procedure 86-19 General Accounting Office
股票交易市場電腦安全 控制規定
(GAO/IMTEC-91-56 Financial Markets:
Computer Security Controls)
本法規適用金融服務業,要求 制定股票市場的電腦安全控制 指導綱要。
1993 加拿大財政 部Treasury Board of Canada
保全及營運持續管理標 準(Security and
Contingency Management Standard)
確保服務、計畫及營運的可取
(FEMA FRPG 01-94 1994) Federal Financial
FEIEC FILL-67-97 Comptroller of Currency BC-177 (1983, 1987) superceded by EFIEC and Federal Home Loan Bank
金融服務業的公司董事會需負 責確認其公司及各個分公司皆 有執行完整的營運復原計畫及 營運維持計畫,相關外包業務 的廠商也需訂定執行完整的營
年份 國家/部門 法令規章⁄標準 目的 Examination
Council
superceded by FEIEC Inter-Agency Policy from Federal Financial
Institutions Examination Council (FEIEC -1989, revised and made stronger1997)
1999 美國 金融服務業現代化法案 (Financial Services Modernization Act of 1999,
Gramm-Leach-Bliley Act)
本 法 案 要 求 銀 行 業 、 保 險 UK Financial Service Agency
英國內部控管法規 (Turnbull Report:
Combined Code on Internal Controls in the UK) National Fire Protection Association
災害事故/緊急應變管理 及營運持續計畫標準 (Standard on
Disaster/Emergency Management and Business Continuity Programs)
這標準建立了發展、執行、維 持災害事故管理、緊急應變管 理、營運持續計畫的共同評估 基礎,以消減、處理災害事及緊 急事件。
年份 國家/部門 法令規章⁄標準 目的 2001 加拿大重大
基礎設施防 護及緊急應 變準備委員 會Canada Office of Critical Infrastructure Protection and
Emergency Preparedness
營運持續計畫指導綱要 (A Guide to Business Continuity Planning)
提供公用事業及私人企業相關 Monetary Authority
營運持續計畫(TM-G-2 Business Continuity Planning)
確認金融服務業認可機構應制 定規劃完整且具體可行的營運 持續計畫,來保護所有的關鍵 營運場所及可能的長時間營運 中斷情境。金融服務業認可機構 (Authorized Institutions)須 發 展及 推行營運持續計畫,且需考量 UK Financial Service Agency
營運風險系統及控管建 議報告(Consultation paper: 142Operational risk systems and controls)
金融服務業一旦有無法避免的
年份 國家/部門 法令規章⁄標準 目的 British Standard Institute
PAS 56 營運持續管理指 導綱要(PAS 56 Guide to Business Continuity Management)
建立策略及運作的架構,積極地 Singapore Monetary Authority of Singapore
營運持續管理指導綱要 (Business Continuity Management Guidelines)
所有的金融服務業機構都需執 國標準協會 BS25999-2、ISO17799 資訊安全標準、新加坡營業持續管理架 構及標準、澳洲/紐西蘭風險管理標準 AS/NZS4360:1999、美國防火協會災 害 事 故 / 緊 急 應 變 管 理 及 營 運 持 續 計 畫 標 準 (NFPA1600) 以 及 DRII Professional Practices。
一、英國標準協會
英國標準協會 BSI(British Standards Institution, BSI)所制定的營運持續 管理系統標準 BS 25999-2,基本上是以建立、推行與運作、監督與檢討、
英國標準協會 BSI(British Standards Institution, BSI)所制定的營運持續 管理系統標準 BS 25999-2,基本上是以建立、推行與運作、監督與檢討、