您企業的核心系統為何？

翻開好萊塢的電影史，許多電影都是與危機處理有關，就拿日前上映的「明天過後」而言，就是這一類型的代表作。如果轉換成資訊安全的術語，其實談的就是企業永續經營計畫(BCP，Business Continuity Plan)。

基本上BCP是國內非常弱的一環，目前國內大多數人的觀念，認為備援等於備份，只要將資料定期備份，然後將備份資料分開放置即可。而所謂的分開放置，可能也僅是放在樓上、樓下，或是前門、後門而已；更遑論所謂的災害備援計畫(DRP，Disaster Recovery Plan)或企業持續性計畫。年度的測試演練，很多只是虛晃一招，將備份的磁帶找一台機器倒帶回來，紀錄一下時間及處理過程，以便應付各種內外部的查核。萬一有一天真正發生事情了，可以想像到的是所有人手忙腳亂，該處理的沒有人管，一堆人想幫忙的也不知該如何下手，最後演變到一發不可收拾。其實說穿了就是一個「賭」的心態─賭事件不會發生，就算發生了，賭機器可以運作，就算機器不能運作，則賭對企業不會發生影響。

反觀國外的要求，在處理類似的計畫時，一定會針對企業進行企業影響分析(BIA，Business Impact Analyze)，先找出企業中的核心系統。所謂的核心系統，就是企業賴以生存的系統。舉例來說，同樣兩台伺服器毀了，一台是負責連結網路印表機，另一台是負責ERP系統主機，當在發生異常狀況時，一定會有資源排擠現象，這時處理的優先順序為何？有人一定會笑說：「這麼簡單的答案有誰會不知道？」但如果是二十台、兩百台機器呢？財務部門覺得資金調撥的資料最重要，行銷部門覺得客戶的訂單最重要，結果最有可能決定重要性的，是誰的官階比較大，或是誰的聲音比較大，然而對企業的持續運作是否真的有幫助？

事實上，核心系統的概念不僅是用在備援計畫上面，對於近年來開始提倡的風險管理及委外管理，也多少包括這方面的運用。就風險管理而言，固然強調將風險等級加以區分，依照不同的風險等級做不同的處理方式及控制活動，但是在風險等級計算時，考量發生的頻率及對企業的影響，其實也就是核心系統的概念，對企業有重要影響性的，相對就要將投入較多的人力與心力，甚至需要更多的保護措施。而與核心業務沒有直接關係的，在成本或其他因素考量下，也可以適度的委外。而這些基礎，就是要明確定義出企業的核心系統。在過去的經驗中，台灣很少有企業的資訊發展，能與企業的發展計畫完全吻合。

當資訊作業已經是企業作業流程的一部份時，資訊發展不應該只是將設備架起來，或是系統開發完成就夠了。因此，公司各部門應一同找出屬於自己企業的核心系統，讓資訊作業能對企業發揮更大的公用與價值。