第十二章 營運持續計畫 本投影片（下稱教用資源）僅授權給採用教用資源相關之旗標書籍為教科書之授課老師（下稱老師）專用，老師為教學使用之目的，得摘錄、編輯、重製教用資源（但使用量不得超過各該教用資源內容之80%）以製作為輔助教學之教學投影片，並於授課時搭配旗標書籍公開播放，但不得為網際網路公開傳輸之遠距教學、網路教學等之使用；除此之外，老師不得再授權予任何第三人使用，並不得將依此授權所製作之教學投影片之相關著作物移作他用。

Presentation on theme: "第十二章 營運持續計畫 本投影片（下稱教用資源）僅授權給採用教用資源相關之旗標書籍為教科書之授課老師（下稱老師）專用，老師為教學使用之目的，得摘錄、編輯、重製教用資源（但使用量不得超過各該教用資源內容之80%）以製作為輔助教學之教學投影片，並於授課時搭配旗標書籍公開播放，但不得為網際網路公開傳輸之遠距教學、網路教學等之使用；除此之外，老師不得再授權予任何第三人使用，並不得將依此授權所製作之教學投影片之相關著作物移作他用。"— Presentation transcript:

1 第十二章 營運持續計畫 本投影片（下稱教用資源）僅授權給採用教用資源相關之旗標書籍為教科書之授課老師（下稱老師）專用，老師為教學使用之目的，得摘錄、編輯、重製教用資源（但使用量不得超過各該教用資源內容之80%）以製作為輔助教學之教學投影片，並於授課時搭配旗標書籍公開播放，但不得為網際網路公開傳輸之遠距教學、網路教學等之使用；除此之外，老師不得再授權予任何第三人使用，並不得將依此授權所製作之教學投影片之相關著作物移作他用。

2 第十二章 營運持續計畫 本章介紹營運持續計劃，是企業永續管理的一環，涵蓋營運持續計劃之建構流程，與營運持續計劃之範圍，逐一介紹其主要內容，使讀者了解計畫之整體架構及其精神，相信對於資訊安全管理是有所助益的。其內容包含： 簡介 營運持續管理 營運持續計劃步驟 風險管理 風險評估 營運衝擊分析 風險轉移策略 緊急事件準備 災害復原計畫與營運恢復計畫 測試、稽核、訓練與維護

3 12.1 簡介 營運持續管理 (Business Continuity Management；BCM) 的目標，即是要防治企業組織營運活動的中斷，透過實施營運持續計畫，並結合各項預防及復原的控制措施與程序，將災害或缺失所造成的營運中斷機會，降低至可被接受的程度。 近年來，營運持續管理 (BCM)已經發展成為國際的管理標準，單獨實施或結合資訊安全管理系統 (ISMS)一併實施，都可為企業組織提供永續經營之道。 在企業經營的大環境中，充滿著各種風險，例如：網路詐騙、員工罷工、設施損壞、惡意攻擊、惡意程式、間諜活動、社交詐騙等風險。在風險管理中，營運持續計劃就是要回答『這一事件發生時，我們要如何處理？』。

4 12.1 簡介 營運持續計畫是營運持續管理之一項計畫，但並不是單獨存在的一項計畫，它是統合性的計畫，與營運持續計畫相關的計畫還有：
營運恢復計畫 ( Business Recovery Plan；BRP )、 操作連續計畫 ( Continuity of Operations Plan；COOP )、 支援連續計畫 (Continuity of Support Plan / IT Contingency Plan )、 危機溝通計畫 ( Crisis Communications Plan；CCP )、 網域事件回應計畫 ( Cyber Incident Response Plan：CIRP )、 災害復原計畫 ( Disaster Recovery Plan；DRP )、 以及操作人員緊急計畫等。

5 12.2 營運持續管理 英國標準協會 ( British Standards Institution；BSI ) 致力於推動營運持續管理 ( Business Continuity Management；BCM ) 標準，於2006年公佈 『營運持續管理作業要點 』，並於2007年公佈『營運持續管理要求』。 營運持續管理 (BCM) 整合了流程管理，並依據營運持續管理作業要點實施，營運持續管理包含了： 風險管理 ( Risk Management ) 災害管理 ( Disaster Management ) 設備管理 ( Facilities Management ) 供應鏈管理 ( Supply Chain Management ) 品質管理 ( Quality Management ) 健康與安全 ( Heath and Safety ) 知識管理 ( Knowledge Management ) 緊急事件管理 ( Emergency Management ) 安全 ( Security ) 危機溝通與公共關係 ( Crisis Communications & PR)

6 12.2 營運持續管理 營運持續管理也是持續性、週期性的管理工作，如圖12-1營運持續管理週期，每一週期包含四個步驟：(1)了解組織，(2) 決定營運持續管理策略，(3) 發展與實行營運持續管理，以及 (4) 營運持續管理演練、維護與稽核。 圖12-1 營運持續管理週期

7 12.2 營運持續管理 了解組織有兩項基本的方法，(1) 風險評估 ( Risk Assessment；RA ) 與 (2) 營運衝擊分析 ( Business Impact Analysis；BIA )。 決定營運持續管理策略，在風險管理方面，首先考慮如何避免風險，使風險不致於發生，再考慮如何降低風險，將風險的影響程度降至最低，如果風險已經發生，需要轉移風險，在可接受的風險中訂定對策。

8 12.2 營運持續管理 決定營運持續管理策略，在風險管理方面，首先考慮如何避免風險，使風險不致於發生，再考慮如何降低風險，將風險的影響程度降至最低，如果風險已經發生，需要轉移風險，在可接受的風險中訂定對策。 發展與實行營運持續管理，需要考慮多項因素，例如：計畫啟動條件，什麼狀況下需要啟動計畫、職責說明，賦予確定人選特定的工作、緊急處理程序、備援與復原程序、維護時間等。 營運持續管理演練、維護與稽核，包含狀況演練、復原測試、設施測試與服務、完整演練等，並且需要隨著法令修改、不同場所、資源等因素變更計畫。營運持續管理計畫需要進行變更管制與稽核，並確保計畫是最新狀態。

9 12.3 營運持續計劃步驟 在建構營運持續計劃進行中，概括可以分為六個步驟 (圖 12-2)： 計畫開始 營運衝擊分析 回復策略 計畫發展
計劃確認與測試 計畫維護與訓練 圖12-2 營運持續計劃步驟

10 12.3 營運持續計劃步驟 『 計畫開始 』階段，需要先確認顧客與商業的需求，以及確認外部相關機構，如政府單位、督導單位、檢查單位等機構。確認後，進行風險評估，並做成報告，需要得到管理單位的支持，以確保整體營運持續計劃流程之控管和順利進行。 『 營運衝擊分析 』( Business Impact Analysis；BIA) 階段，主要的工作要先決定重要的準則，例如：網路服務中斷多久是可以承受的範圍，若斷線超過可以承受的時間，將會造成什麼樣的損失？並且要確認重要的流程、機器設備、資料與應用等；還需確認這些物件的相關性，如某一伺服器無法運作，將影響到哪些工作流程或是連資料也受影響，最後需要訂定回復目標。

11 12.3 營運持續計劃步驟 『 回復策略 』階段，要確認回復機制的使用策略，例如：若系統失敗則採用備援系統，或使用人工操作，或整體系統更新等機制。回復策略需要參考最佳方案，完成前需要與各部門進行協商與修正。 『 計畫發展 』階段，包含如下各項工作： 確定災害回復小組之角色、權限、和責任。 建構告知與計畫活動流程。 產製緊急反應之流程。 產製詳細的回復流程。 計畫書的分派和管理。 『 計劃確認與測試 』階段，首先發展測試計劃和測試目標，對測試計劃進行模擬，模擬後進行實際測試，並紀錄測試結果，檢討測試結果以便進行改進。

12 12.3 營運持續計劃步驟 『 計畫維護與訓練 』階段，需要發展營運持續計劃的維護流程，定期更新版本，更新版本的程序與參與人員，更新版本的範圍等，需要訂定版本控管，更新版本後的告知程序，並且要發展專門的訓練課程。 營運持續計畫 ( BCP )並不是單獨存在的一項計畫，它是統合性計畫，至少與下列計畫有關聯： 營運恢復計畫 ( Business Recovery Plan；BRP ) 操作連續計畫 ( Continuity of Operations Plan；COOP ) 支援連續計畫 (Continuity of Support Plan / IT Contingency Plan；CSP/ITCP ) 危機通訊計畫 ( Crisis Communications Plan；CCP ) 網域事件回應計畫 ( Cyber Incident Response Plan；CIRP ) 災害復原計畫 ( Disaster Recovery Plan；DRP ) 操作人員緊急計畫 ( Occupant Emergency Plan；OEP )

13 12.3 營運持續計劃步驟 這些計畫的相關性，如圖12-3，營運持續計畫必須包含各計畫之部分要點，從營運持續計畫可以了解其它計畫之大綱與概要。 圖12-3 營運持續計劃與其相關計畫

14 12.3 營運持續計劃步驟 營運持續計劃 ( Business Continuity Plan；BCP )，針對在商業流程中，如何讓組織能夠持續營運，著重在商業流程，它應該是長期的計畫，應有營運恢復計畫 ( BRP )做支援。 營運恢復計畫 ( Business Recovery Plan；BRP )，是在緊急事件後，營運已經中斷，如何恢復營運之計畫。本計劃必須與災害回復計畫 ( DRP )、及營運持續計畫 ( BCP )一致，而營運恢復計畫 ( BRP ) 也可以作為營運持續計畫的附件。 災害回復計畫 ( Disaster Recovery Plan；DRP )，適用於發生重大災害或事件，系統以及設施無法正常使用的一段時間，通常災害回復計畫著重在以資訊技術 (Information Technology；IT) 為中心的計畫。在重大災害發生後，甚至需要將機房轉移至其它地點，要能夠迅速回復資訊設施、應用系統等，以便持續運作。

15 12.4 風險管理 風險管理 (圖12-4) 主要的內涵包含：風險評估 ( Risk Assessment )、風險轉移 ( Risk Mitigation ) 與風險估算 ( Risk Evaluation )，它是一項整合性的管理。 圖12-4 風險管理的內涵

16 12.4 風險管理 風險評估指辨識風險並計算若風險發生將對系統造成的衝擊，以及建議一些可能的對策。
風險轉移是依據風險高低安排優先處理次序與並使用適當的對策使風險降低。 風險估算則是著重在風險降低後，考慮是否在可接受的程度，於風險轉移實施前，決定是否還需要增加控制項目，以降低風險或消除風險。 在營運持續計畫中的重要部分是處理與評估可能的風險，了解災害造成後將影響系統營運的程度，必要考慮到所有可能的事件及其造成的衝擊，並採取適當對策使影響降到最低。

17 12.5 風險評估 『 風險 』 ( Risk )是系統反應潛在的或可見的威脅時，可能引發的損失結果，例如系統產出不正確的結果或系統操作失誤等。任何環境因素或事件，會引起損害系統而造成威脅的稱為『威脅源』，威脅源可以是自然的、人為的、或是環境因素。 風險評估，首先需要辨識風險的存在，要分辨出哪些威脅源對於系統不會造成損害，哪些威脅源對系統將會造成損害，計算其可能損害的程度，並了解其對人員、商業、與資產等造成的衝擊程度。了解風險的衝擊，在事件發生時才能明確的下達正確的決策，以降低或免除其對系統之影響。

18 12.5 風險評估 一般風險評估包含下列幾個要件： 可能發生的事件非常多，可分為環境災害、蓄意破壞、設施功能失效、以及資訊事件等四大類：
辨識影響系統的各項威脅 估算威脅發生的機率 確認與排序各項受到風險威脅之資產與作業 估算事件發生的損失與影響 確認轉移或降低風險之經費 製作分析結果文件與發展行動計畫 可能發生的事件非常多，可分為環境災害、蓄意破壞、設施功能失效、以及資訊事件等四大類： 環境災害：颶風、龍捲風、水災、嚴冬、地震、旱災、火災等。 蓄意破壞：戰爭、間諜、偷竊、縱火等。 設施失效：失去電力、失去瓦斯、水源、油料供給、通訊失效等。 資訊事件：網路犯罪、紀錄流失、資訊系統失效等。

19 12.5 風險評估 事件的發生依照其機率的高低可分為五個等級；同樣地，事件發生後造成的衝擊，依照其嚴重程度也可分為五個等級(表 12-1 )： 表12-1 事件發生的機率與造成的衝擊等級表 事件發生的機率 事件造成的衝擊 等級 發生機率 嚴重程度 1 非常高機率 無法回復 2 高機率 需要重大修護 3 中等機率 需要大修護 4 低機率 需要修護 5 非常低機率 需要輕微調整

20 12.5 風險評估 在組織環境進行風險評估，要了解風險對資產損害的程度，首先要將資產做分類，資產可以概括分為以下幾類：
硬體、軟體和系統介面。 資料和資訊。 人員。 任務與流程。 重要事務。 將資產分類是風險分析的初步，風險分析最終需要做風險優勢分析 ( Risk Benefit Analysis )，依據風險威脅程度考慮讓系統持續營運或轉移風險，可以選擇之最佳方案，所採用的方案必須符合現有假設與限制。

21 12.5 風險評估 決定風險與衝擊的交互影響，美國國家標準局 (National Institute of Standard and Technology；NIST) 建議使用風險位階矩陣 ( Risk Level Matrix ) (表 12-2)，將風險發生的機率分為：高、中、與低等三個等級；並給予分數，高為 『1.0』，中為 『0.5』 與低為 『0.1』。風險的衝擊也分為三個等級，高為 『100』、中為 『50』 與低為『10』。風險位階矩陣列表如下： 表12-2 風險位階矩陣 風險發生可能性 衝擊率 低 (10) 中 (50) 高 (100) 高 ( 1.0 ) 10*1.0 = 10 50*1.0 = 50 100*1.0 = 100 中 ( 0.5 ) 10 *0.5 = 5 50*0.5 = 25 100*0.5 = 50 低 ( 0.1 ) 10*0.1 = 1 50*0.1= 5 100*0.1 = 10

22 12.5 風險評估 根據上述的風險位階矩陣，判斷風險的位階值 V，大於50 (V > 50 )的為高風險位階；在 50 與 10 之間 (50 > V > 10) 為中風險位階；在10 以下 (10> V > 1) 為低風險位階。 如果可以將風險位階矩陣劃分得更細緻，如為 4X4或 5X5 矩陣，則可以將事件之風險位階值表達得更精確。 風險評估完成後，需要撰寫風險評估報告，提供給管理階層作為經營與決策之依據，風險評估報告不需要使用誇飾的語詞，也不需加註指責之評語，只要依評估數據做忠實的建議。

23 12.6 營運衝擊分析 營運衝擊分析則是考慮為符合組織營運的需求，當重要功能或設施遭受事件後，無法在時間內回復正常營運時，將遭受多少損失；營運衝擊分析是災害發生後，選擇回復方法做決策時的重要基礎。 營運衝擊分析所須的執行要點如下： 確認重要之營運流程 建立營運回復之需求 營運衝擊分析問卷發展 決定資源之相依性 決定衝擊的回復方法 優先化和分類營運功能

24 12.6 營運衝擊分析 建立營運回復之需求，需要製作問卷，以了解當營運遭受到破壞或中斷時，回復正常營運所需要之資源與設備。
決定資源之相依性的目的，是為了使用最少的資源，以回復系統之正常運轉，需要將所有的資源列表，並填入資源的相依性。 例如 PC需求之相依性，如表12-3，將需要工作、PC 規格、數量、與使用時間，填列在表格中，可以了解PC 與其它工作之相依性。 將所有資源統計後，可以依照資源之相依性，依照回復時間先後，依照每一工作項目作統計表，如下表 12-4：

25 12.6 營運衝擊分析 PC 需求相依表 工 作 PC 規格 數 量 時 間 主要功能： 服務的相依性 ( 重要、中等、次要)：
供應商、軟硬體需求等：

26 12.6 營運衝擊分析 工作項目 Day 1 Day 2-5 Day 5-14 人員 4 6 10 PC 數量 2 5 8 網路數 其他 …
表12-4 工作項目作統計表 工作項目 Day 1 Day 2-5 Day 5-14 人員 4 6 10 PC 數量 2 5 8 網路數 其他 …

27 12.6 營運衝擊分析 當系統遭受事件衝擊時，時間拉得越長損害越嚴重，如果拖得太久，系統將崩潰而無法回復，終至停止運轉。但回復的時間越短，所需要的經費越高，所以需要取得一個平橫點 (圖 12-5 )。 圖12-5 回復代價平衡圖

28 12.6 營運衝擊分析 對於造成衝擊之意外事件，要確認其所需要之回復時間，必須要仔細分析重要資源和其衝擊程度，營運持續計劃 ( BCP ) 小組需要作決策，決定出系統最佳之回復點，使有形與無形之損失降至最低。 由於經費之考量，回復時間之長短又對營運造成衝擊很大，所以需要考量實施回復的方法與所需經費，例如：購物網站，中斷服務1小時以上，將造成財務重大損失。

29 12.7 風險轉移策略 每一個組織對於緊急事件都有自己的因應與處理方法，實施風險管理可以降低風險，減少緊急事件的發生，甚至在發生緊急事件時，能夠減少損失。 基本上，對於風險的處理，有下列各種策略： (1) 風險假定 ( Risk Assumption ) (2) 風險避免 ( Risk Avoidance ) (3) 風險限制 ( Risk Limitation ) (4) 風險計畫 ( Risk Planning ) 在管理策略上，資訊技術之妥善運用可以是轉移風險的好方法，這些資訊技術包含防火牆、企業虛擬網路與遠端存取、加密、入侵偵測與防範、反間諜軟體、反垃圾郵件等。 防火牆是網路安全的第一道防線，防火牆可以過濾非授權的網路存取，它可以是硬體式或軟體式的設施。所有進出企業內部的資訊需要經過防火牆，防火牆會攔截不符合防火牆安全規則的封包。

30 12.7 風險轉移策略 為防止傳送中的資料被窺視，可以將資料加密以提高安全性，加密是將資料以加密方法及加密金鑰轉換為『密文』形式，是有效提高資料安全的方法。 防火牆之功能是為阻止不符合預設規則之封包與應用，但對於惡意的入侵行為或惡意軟體，則無法發揮其功能。 入侵偵測系統 ( Intrusion Detection System； IDS ) 即是為彌補防火牆之不足。 入侵偵測系統之功能，即是對系統安全日誌、稽核資料或其它網路上可以獲得的資訊進行研判，以辨別某些來源是否對系統具有安全威脅或入侵企圖。

31 12.8 緊急事件準備 系統遭受緊急事件時可能造成營運上的重大危害，甚至使得系統完全停擺，所以必須在事先做準備工作，在事件發生前做好萬全準備，如資料備援與回復流程等必須要列入營運持續計畫中，這些備援與回復工作包含： 資訊技術備援與回復 基本設施備援與回復 客戶服務備援與回復 管理操作備援與回復 重要營運訊息與文件備援與回復 保險請求流程

32 12.8 緊急事件準備 急事件準備之相關備援與回復，需要考量適當的商業流程，也必須將回復速度、完整性與經費等列為考量因素。
異地備援就是在第二地作資料備份，當原有營運處所的資料遭受任何原因而毀損或消失時，異地備分可以馬上啟用。 雖然緊急事件的發生使得系統暫時中斷營運，透過備援與回復計畫之實施仍能提供客戶相當品質的服務，是營運上重要的工作。 事件發生後，在短時間內需要建立與組織基本的管理與操作流程，因為沒有管理與流程，將使營運崩解，時間越長越難回復，所以管理與操作流程也需要列為重要的工作。

33 12.9 災害復原計畫與營運恢復計畫 美國職業安全與衛生管理部 ( The Occupational Safety and Health Administration；OSHA ) ，規定有超過十個員工的部門，都需要撰寫緊急計畫書。 在災害復原計畫 ( Disaster Recovery Plan )中，最優先的是要確保人員的安全。 當災害的威脅已經過去，在可確保人員的安全時，組織必須開始啟動營運恢復計畫。 營運恢復計畫著重於當系統受到損害或混亂的衝擊時回復營運機能，混亂的衝擊可能是一小段的時間，但無法立即提供服務或正常功能，可能需要延誤相當的時間，所以需要把衝擊降到最低，讓資源作最有效的利用，以便儘速恢復正常營運。

34 12.10 測試、稽核、訓練與維護 測試實施、測試劇情都要與營運持續計劃的流程相關，測試對象包含每一個工作崗位上的員工，測試後需要撰寫測試報告，並評估測試結果，以提供計畫作為改進。 測試的第一步是定義測試的目標與範圍，測試必須依照環境與設施，儘可能設計模擬真實狀況，測試必須要結構化，並且可以估測，如此所得的測試結果才可以評估。

35 12.10 測試、稽核、訓練與維護 測試的實施是一項挑戰，有些業務是不能中斷的，如：要模擬當火災發生時業務中斷，因無法提供服務所造成的狀況，但此種實際情況是無法模擬的，所以在模擬時，必須要考量真實狀況的影響。 另外模擬也需要全面化，必須要面對各種可能的狀況，至少應包括以下各項： 環境災害 ( 如水災、火災… ) 組織混亂 ( 如缺少某一單位、無主管人員 …) 設備故障 ( 如主機故障、資料庫主機故障…) 嚴重資訊安全事件 ( 如客戶資料被竊取…) 在開始階段時，每一次測試只有一個單一事件，漸次地考慮多項事件混合測試，將有更實際的狀況，然而也可能導致難以分析與改進的困難。

36 12.10 測試、稽核、訓練與維護 必須要確認由誰主導測試，由誰監控測試與誰是受測試人員，測試結果需要包含測試問卷，問卷主要目的是要發現計畫的缺點，作為日後之改進。 此外，也需要訓練每一位員工使了解營運持續計劃，訓練需要設定訓練之目標與對象，以及訓練之內容，然後準備訓練教材，以便實施訓練。 今日由於網路發達與各種惡意程式氾濫，甚至在個人的操作環境，也有安全之疑慮，因此安全稽核更顯得重要。有關安全稽核，可以遵循並接受安全稽核相關的標準，如 ISO 、CobIT 等認證。 為監督日常的系統操作，可以使用稽核系統或其它工具來協助，例如：安全查核表、滲透測試、監視工具、以及檢視系統紀錄、建構管理等。

37 12.10 測試、稽核、訓練與維護 在資訊系統的安全還需要考量其它多方面的安全問題，例如：存取控制、軟體發展與變更控管、系統軟體更新、權限分割原則等。 營運持續計劃是一項龐雜的工程，各部門的資料需要有專責單位，負責自己單位的部分。為使資料達到一致性，每年至少要定期維護一次，必要時也可不定期維護，並且發展資料維護的流程，以保計畫能切實實施。 此外，對於涉及到營運持續計劃的人員，都應告知其內容與分派相關責任。