觀點

BCP不該只是個計畫

2004 / 09 / 06
許偉健
BCP不該只是個計畫

BCP與DRP的關係
BCP內容偏向「營運」、「作業程序」、「人」相關部份。而資訊災害復原計畫 (DRP,Disaster Recovery Planning )是著重於系統發生問題時如何將它恢復,例如系統當機時DRP就會利用異地備援發揮效力。BCP通常都是搭配著DPR來處理安全事件。舉例說,系統出問題時,會先recover系統,再來是recover到人員、業務等步驟,因此假設有一個很好的系統,卻沒有很好的人員來操作,那麼系統仍舊等於零。

異地備援
國內外都有些關於異地備援的規定,台灣在30公里以外(國外則是30英哩以外),需有異地備援機制。備援的內容至少包含資料與系統程式,當發生異狀時必須具備恢復正常運作的能力,異地備援系統和機構系統須具備相同的安全等級。

在倫敦市中心的作業方式是組織會在外地租一個地方,它可提供三種備援服務,分別是Hot Site、Warm Site以及Cold Site。

1. Hot Site:此項服務是公司或業務有的系統,在備援端那邊也會有個同樣的系統;因此,若是公司系統出狀況,即可馬上啟動另一邊的系統。

2.Warm Site:只提供設備,但系統等還是得自己架,如果發生事件時,必需啟動BCP,及時派遣IT人員去那邊架設恢復系統,那麼營業人員則可在一小時後接手運作。

3.Cold Site:沒提供任何服務,只是場地的出租。如果發生事件,則IT人員就帶著系統到備援端架設並恢復系統,營業人員亦是帶著自己的筆記型電腦親自過去測試。價格上而言,Hot Site是屬24小時的服務,價格較貴,相對而言,Warm Site的價格約一半,Cold Site則更低。

定期做測試
定期測試是非常重要的,企業持續計畫可能因事前的假設不正確、規劃不周全或設備及人員的職務調整變更,而無法發揮預期的作用,因此應定期測試及演練,以確保計畫的有效性,並使相關人員確實瞭解計畫的最新狀態。舉那時我在倫敦的銀行任職時的實例來說,當時採用的是Warm Site,而測試可分兩種:

1.系統的測試: IT人員用ghost軟體將整個系統backup後,將系統關掉,再派人員至備援端,IT的責任是要在一個小時內將主機跟系統架設完成,營運人員則在一小時來做測試。

2.人的運輸測試:主要的測試包含,假設要從倫敦動用一百個人到備援端,則須考量和評估交通的方式和數量的計算,時間需多久?有沒有辦法改善?到達後有無領導的人輔佐?等測試。

如何定義「可接受的時間」
另外,BCP其中有一項業務衝擊分析。因為英國本身會有諸如炸彈、恐怖組織等嚴重威脅,因此在定義安全內容時是很嚴謹的。業務衝擊分析作業會先定義最核心的任務,假設要處理的業務無法用人工取代,則會定義出可接受時間,然後在時間內去解決;如果到了不可接受的時間時,組織就會啟動BCP,主管開始分配核定主責人員、程序、組別等處理事項。

舉例說,經營投資部門在下單時,會先到網站下單,如果系統無法運作則可能會改利用電話方式,但是電話並無法像電腦可以自動化作業,因此人工處理的部份就會被拿來計算;假設一天下單一百筆,電腦上的作業幾秒鐘就可以有一個報告,但人工處理一筆可能需一兩個小時,那麼假設五天產生了五百筆,人工便無法再應付。因此,他們會定義一個可接受的程度,如果系統當機,是否業務仍可運作,如果時間的長度超過業務無法掌控的範圍,那麼就得啟動 BCP 機制了。 又例如,假設系統會當機四個小時,如果再另外的四個小時造成的影響度是可接受的,則會在第八個小時啟動BCP機制;而假設系統啟動需花四小時,則主管單位就要考量在第四個小時時就啟動機制。

在管理上亦有一套訓練準則,是以「情境」方式來定義問題,例如碰到炸彈威脅、整棟大樓垮了、區域停電等不同的「情境」和層級來定義步驟、程序和業務內容等,測試包括了預告和不預告的測試。因測試時,工作人員必須停下正常的工作運作,花費的成本是相當高的,因此會有大小型的測試相互搭配以進行測試計畫;大型的測試是採用預告方式,測試前會先通知相關人員,包含異地備援的廠商、測試項目和時間等,以確保投入龐大預算的測試帶來的效益。

BCP的認證問題
關於BCP的認證問題,我們知道國際知名組織 BSi (英國標準協會,The British Standards Institution)提出的BS7799,但它對資訊安全管理標準的主要實施內容是在定義程序的層面。而 BCI 組織(The Bussiness Continuity Institute)的認證主要就是著重在 BCP 的部分。

當時我在英國Insight公司服務期間,Insight公司和BSi 與 BCI 共同制定催生 BCM 的過程(Process)、處理原則(Principles) 及專業術語(Terminology)等架構和內容,並合作推出一個重要的認證-PAS 56,因此有機會參與PAS 56架構制定的撰寫。

PAS 56主要以業務永續管理(BCM,Business Continuity Management)的概念為導向,分為14個區塊,提供有關知識和資訊,如BCM的架構和policy、在建立BCM的過程中的業務衝擊分析、風險評估、資源重新獲得的機制、危機處理的計畫和解決辦法、教育訓練與宣導、維護計畫、稽核等內容,並且提出建議和評估等。(更詳盡的BCI及PAS 56認證內容可至www.thebci.org 網站參考) 即使成為BCI的會員後,BCI仍得重複的檢視會員資格;因此若能成為BCI會員是很不容易且相當受重視與認同的。

給國內組織的建議
談到如果要給國內有心欲導入BCP的組織一些建議。首先要明白,導入BCP是很不容易的,可能要花上一兩年的時間來建立。事實上如果能符合PAS 56規定的基本需求,已經是很不錯的了。

PAS 56中有談到業務永續管理的 policy,它和資訊安全政策的 policy 是可合亦可分的。國內建立BCP時較常忽略資訊安全的部分,因為最大的考量是以可用性為主,因此都會將資訊安全的重要性放在後面;相對於國外的組織,假設要選擇一個廠商,資訊安全小組(因為資安小組的 know-how 是更勝於 BCP 小組的)會去做審核 (例如門禁管理、守門員、控管程序…),並了解其實體安全,管理面則可能審核其帳號密碼管理等項,審核結果和建議出來後,再將報告呈給BCP小組。

架構 BCP,應考量的事項包括:界定重要的業務作業程序和優先順序、評估各種災害對業務可能的衝擊、人員責任界定、員工的教育及訓練、測試計畫、定期更新計畫等。其中最難的部分是業務衝擊分析,例如人員的責任歸屬與分配問題、定義的時間是否正確、演練的程度等。每個公司作的程度,則隨其成本考量不同而異。

本文作者許偉健現為資誠價值及風險管理服務部協理(曾任職於英國Schroders Investment Bank, Security Analyst / Cazenove Investment Bank, Access Control Manager / Bank of Scotland, Security Consultant)