歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
考驗經營智慧的「企業備援計畫」
2004 / 04 / 26
文/陳瑞祥
美國911事件至今已屆滿兩年,當時恐怖份子攻擊世貿大樓,除了造成6000人死亡之外,在世貿大樓的1200家公司也發生企業經營危機,許多企業從此消失。
摩根史坦利集團總部就是設在世貿大樓上面。當8:48分第一架飛機撞上大樓時,該公司9:03 分即啟動企業備援計畫疏散3500名員工,9:50分全部員工疏散完畢,9分鐘後大樓全部倒塌,摩根史坦利公司在關鍵時刻的危機應變計畫,成功的保護了公司最重要的資產及員工的生命,他們歸功於在危機發生時,員工被授權作決策,而不須請示高層主管才能決定。如果3500名員工未能在第一時間下樓,後果可能不堪設想。同時該公司在意外發生時,利用預先規劃的備援網路及電話線,成功的向員工及外界報導現況,維持通訊及指揮系統的暢通,加上事先規劃的設備清理計劃,該公司的電腦備援系統順利的在9:25分即開始運作,電腦中斷時間不超過1個小時。
突發危機復原任務艱難
當公司遭遇此重大的災變時,正考驗經營業者如何協調各部門有秩序的復原企業各項業務,這是十分複雜的任務,因為除了資訊系統損毀外,包括客戶聯絡、研究報告、行銷資料、合約、管理制度文件、會議記錄、報表表單等均完全損毀,企業經營者所辛苦建立的Know-how及組織設備完全消失。
1995年日本神戶大地震,7.2級的強震造成該城市交通電力水瓦斯中斷,企業經營也因電腦系通中斷損毀而無法運作,這種地區性的災變使得企業體認到,在平常就應該有一套完整且經仔細設計的備原計畫,以因應類似的災變,造成公司無法持續營運。國內在SARS流行期間,也體會到員工或辦公區無法運作時如何因應之問題,不過SARS畢竟是漸進式的危機,比起突發的危機,SARS並未構成企業經營重大問題。
系統中斷已是經營危機
現代的企業投資在電腦系統越來越多,我們的資訊系統也朝自動化、委外處理、快速反應等方向發展,加上網際網路及電子商務的應用,使得企業間之電腦系統緊密相連,相互依存,資料的集中地理區的擴張使得電腦系統中斷風險增加。意思是,當電腦系統有中斷超過可容忍時間時,企業就可能會產生經營危機。
威脅企業資訊系統的除了一般常見的駭客、電腦病毒外,尚有電力中斷、電腦軟硬體故障,通訊問題及天災人為操作意外等問題。由於電腦系統中斷影響甚大,一般有制度的公司均在平常有制定「災變復原計劃」或「備援計畫」,這個計畫的目的除在因應電腦系統的中斷外,更重要的是要保護員工生命,降低災害發生時的風險及其對企業的損害,並確保企業在災害發生時能穩定且有秩序的復原。
企業制定這個計畫的另一個目標是要建立商業信任關係,由於企業間的依存度高,若一企業發生中斷將影響其他與其有往來的交易夥伴,如果是上市上櫃公司還可能引起股票價值下跌,造成投資者損失。因此,保持電腦系統高度可用性就是保障公司市場佔有率及客戶信心!最近公司治理都知道要求董監事之社會責任,經營管理透明化制度化,但卻忽略了資訊治理,對於企業因資訊管理所產生之風險,董監事也需要充分了解, 且需要有具體可行的對策才行,否則就是未盡善良管理者的責任。
企業備援計畫的必要性是無庸置疑的,這是公司治理的一項要求,也是企業風險管理要納入考量的項目,不過我們國內企業在這方面做的都還不足。
國內備援計劃缺失不少
根據KPMG 資訊風險顧問針對國內上市上櫃企業所做的稽核診斷顯示,企業在做備援計畫時有很大的缺失,可能使該計畫不可行或無法成功,常見缺失如下:
1. 備援計畫只偏重在電腦系統的備援,未考量企業各部門緊急作業之協調及因應,可能企業在災變發生時會造成各部門無法運作而混亂。
2. 備援計畫未能明確列示臨時內外溝通及通訊指揮系統,這一點在摩根史坦利公司的復原經驗中顯示其重要性。
3. 備援計畫忽略了定期維護更新的重要。現代的電腦系統經常改變,但備援計畫卻未隨之變更,造成災變發生時備援計畫因未符合現況而無法適用。
4. 復原的優先順序及組織解色未清楚明定。當災害發生時,公司內部誰應負責哪些復原工作、應優先回復企業哪一項關鍵作業,員工必須十分清楚才行。
5. 公司未定期執行備援計畫測試,如果備援計劃未做完整的測試,如何能知道這個計畫是有效的?經驗顯示,一般的企業每年至少要測試備援計畫2到4次才能熟悉。
6. 地區性災變的考量不足,如911或日本神戶地震、台灣集集地震、納莉颱風南港地區淹水等均是地區性的災變,造成電力中斷電腦中斷,嚴重的地區性災變更可能影響電力交通通訊一段相當長的時間,使得原來的備援計畫無法執行。
7. 照顧員工計畫在許多備援計劃中未述及。不要忽視在災變發生時,員工的情緒士氣都相當低落,員工及家庭的照顧也十分重要。神戶大地震時,許多公司發現尋找員工、安頓員工,反而是企業復原工作的第一順位,如果員工未能照顧好,他們怎會協助公司復原?
8. 重要的媒體資料及文件未異地存放。許多公司把重要文件契約報表的存放遠離電腦中心,或非同一棟大樓,主要目的在當意外發生時,電腦資料與文件不會一起損毀。 一個好的慣例是應存放在距離35公里外的安全地方。
危機管理確保永續經營
備援計畫是每一家企業經營管理者需要仔細預先規劃的制度,備援計畫需要定期測試以確保其有效性,這是每一個企業的責任。忽視此項工作,可能使企業辛苦建立的基業毀於一旦。不論是大型企業、金融機構或高科技等高度依賴電腦系統營運的公司,中小企業也要針對這個危險及早準備,才是健全管理制度,確保企業永續經營概念的積極體現。
(本文作者為安侯建業(KPMG)會計師事務所資訊風險管理副總經理)
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.05.09
商丞科技『Superna Cyberstorage 資訊安全儲存設備軟體』 與 『Silverfort 身分安全平台』網路研討會
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.14
資訊作業系統委外與AI安全性資安管理課程
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
中國駭客組織利用 IPv6 SLAAC 執行中間人攻擊
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
SonicWall SMA 裝置遭攻擊,多個資安漏洞被利用
報告:台灣居25年第一季亞太地區網攻次數之首
資安人科技網
文章推薦
RolandSkimmer透過瀏覽器惡意擴充功能 竊取信用卡號
德知士資訊推出旗艦資安解決方案「零知量鎖」
思科推出AI 供應鏈風險管理安全控管機制