BCP不該只是個計畫

BCP與DRP的關係
BCP內容偏向「營運」、「作業程序」、「人」相關部份。而資訊災害復原計畫 (DRP，Disaster Recovery Planning )是著重於系統發生問題時如何將它恢復，例如系統當機時DRP就會利用異地備援發揮效力。BCP通常都是搭配著DPR來處理安全事件。舉例說，系統出問題時，會先recover系統，再來是recover到人員、業務等步驟，因此假設有一個很好的系統，卻沒有很好的人員來操作，那麼系統仍舊等於零。

異地備援
國內外都有些關於異地備援的規定，台灣在30公里以外(國外則是30英哩以外)，需有異地備援機制。備援的內容至少包含資料與系統程式，當發生異狀時必須具備恢復正常運作的能力，異地備援系統和機構系統須具備相同的安全等級。

在倫敦市中心的作業方式是組織會在外地租一個地方，它可提供三種備援服務，分別是Hot Site、Warm Site以及Cold Site。

1. Hot Site:此項服務是公司或業務有的系統，在備援端那邊也會有個同樣的系統；因此，若是公司系統出狀況，即可馬上啟動另一邊的系統。

2.Warm Site:只提供設備，但系統等還是得自己架，如果發生事件時，必需啟動BCP，及時派遣IT人員去那邊架設恢復系統，那麼營業人員則可在一小時後接手運作。

3.Cold Site:沒提供任何服務，只是場地的出租。如果發生事件，則IT人員就帶著系統到備援端架設並恢復系統，營業人員亦是帶著自己的筆記型電腦親自過去測試。價格上而言，Hot Site是屬24小時的服務，價格較貴，相對而言，Warm Site的價格約一半，Cold Site則更低。

定期做測試
定期測試是非常重要的，企業持續計畫可能因事前的假設不正確、規劃不周全或設備及人員的職務調整變更，而無法發揮預期的作用，因此應定期測試及演練，以確保計畫的有效性，並使相關人員確實瞭解計畫的最新狀態。舉那時我在倫敦的銀行任職時的實例來說，當時採用的是Warm Site，而測試可分兩種：

1.系統的測試: IT人員用ghost軟體將整個系統backup後，將系統關掉，再派人員至備援端，IT的責任是要在一個小時內將主機跟系統架設完成，營運人員則在一小時來做測試。

2.人的運輸測試:主要的測試包含，假設要從倫敦動用一百個人到備援端，則須考量和評估交通的方式和數量的計算，時間需多久?有沒有辦法改善?到達後有無領導的人輔佐?等測試。

如何定義「可接受的時間」
另外，BCP其中有一項業務衝擊分析。因為英國本身會有諸如炸彈、恐怖組織等嚴重威脅，因此在定義安全內容時是很嚴謹的。業務衝擊分析作業會先定義最核心的任務，假設要處理的業務無法用人工取代，則會定義出可接受時間，然後在時間內去解決；如果到了不可接受的時間時，組織就會啟動BCP，主管開始分配核定主責人員、程序、組別等處理事項。

舉例說，經營投資部門在下單時，會先到網站下單，如果系統無法運作則可能會改利用電話方式，但是電話並無法像電腦可以自動化作業，因此人工處理的部份就會被拿來計算；假設一天下單一百筆，電腦上的作業幾秒鐘就可以有一個報告，但人工處理一筆可能需一兩個小時，那麼假設五天產生了五百筆，人工便無法再應付。因此，他們會定義一個可接受的程度，如果系統當機，是否業務仍可運作，如果時間的長度超過業務無法掌控的範圍，那麼就得啟動 BCP 機制了。 又例如，假設系統會當機四個小時，如果再另外的四個小時造成的影響度是可接受的，則會在第八個小時啟動BCP機制；而假設系統啟動需花四小時，則主管單位就要考量在第四個小時時就啟動機制。

在管理上亦有一套訓練準則，是以「情境」方式來定義問題，例如碰到炸彈威脅、整棟大樓垮了、區域停電等不同的「情境」和層級來定義步驟、程序和業務內容等，測試包括了預告和不預告的測試。因測試時，工作人員必須停下正常的工作運作，花費的成本是相當高的，因此會有大小型的測試相互搭配以進行測試計畫；大型的測試是採用預告方式，測試前會先通知相關人員，包含異地備援的廠商、測試項目和時間等，以確保投入龐大預算的測試帶來的效益。

BCP的認證問題
關於BCP的認證問題，我們知道國際知名組織 BSi (英國標準協會，The British Standards Institution)提出的BS7799，但它對資訊安全管理標準的主要實施內容是在定義程序的層面。而 BCI 組織(The Bussiness Continuity Institute)的認證主要就是著重在 BCP 的部分。

當時我在英國Insight公司服務期間，Insight公司和BSi 與 BCI 共同制定催生 BCM 的過程(Process)、處理原則(Principles) 及專業術語(Terminology)等架構和內容，並合作推出一個重要的認證－PAS 56，因此有機會參與PAS 56架構制定的撰寫。

PAS 56主要以業務永續管理(BCM，Business Continuity Management)的概念為導向，分為14個區塊，提供有關知識和資訊，如BCM的架構和policy、在建立BCM的過程中的業務衝擊分析、風險評估、資源重新獲得的機制、危機處理的計畫和解決辦法、教育訓練與宣導、維護計畫、稽核等內容，並且提出建議和評估等。(更詳盡的BCI及PAS 56認證內容可至www.thebci.org 網站參考) 即使成為BCI的會員後，BCI仍得重複的檢視會員資格；因此若能成為BCI會員是很不容易且相當受重視與認同的。

給國內組織的建議
談到如果要給國內有心欲導入BCP的組織一些建議。首先要明白，導入BCP是很不容易的，可能要花上一兩年的時間來建立。事實上如果能符合PAS 56規定的基本需求，已經是很不錯的了。

PAS 56中有談到業務永續管理的 policy，它和資訊安全政策的 policy 是可合亦可分的。國內建立BCP時較常忽略資訊安全的部分，因為最大的考量是以可用性為主，因此都會將資訊安全的重要性放在後面；相對於國外的組織，假設要選擇一個廠商，資訊安全小組(因為資安小組的 know-how 是更勝於 BCP 小組的)會去做審核 (例如門禁管理、守門員、控管程序…)，並了解其實體安全，管理面則可能審核其帳號密碼管理等項，審核結果和建議出來後，再將報告呈給BCP小組。

架構 BCP，應考量的事項包括：界定重要的業務作業程序和優先順序、評估各種災害對業務可能的衝擊、人員責任界定、員工的教育及訓練、測試計畫、定期更新計畫等。其中最難的部分是業務衝擊分析，例如人員的責任歸屬與分配問題、定義的時間是否正確、演練的程度等。每個公司作的程度，則隨其成本考量不同而異。

本文作者許偉健現為資誠價值及風險管理服務部協理(曾任職於英國Schroders Investment Bank, Security Analyst / Cazenove Investment Bank, Access Control Manager / Bank of Scotland, Security Consultant)