https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

您企業的核心系統為何?

2004 / 08 / 31
魯智深
您企業的核心系統為何?

翻開好萊塢的電影史,許多電影都是與危機處理有關,就拿日前上映的「明天過後」而言,就是這一類型的代表作。如果轉換成資訊安全的術語,其實談的就是企業永續經營計畫(BCP,Business Continuity Plan)。

基本上BCP是國內非常弱的一環,目前國內大多數人的觀念,認為備援等於備份,只要將資料定期備份,然後將備份資料分開放置即可。而所謂的分開放置,可能也僅是放在樓上、樓下,或是前門、後門而已;更遑論所謂的災害備援計畫(DRP,Disaster Recovery Plan)或企業持續性計畫。年度的測試演練,很多只是虛晃一招,將備份的磁帶找一台機器倒帶回來,紀錄一下時間及處理過程,以便應付各種內外部的查核。萬一有一天真正發生事情了,可以想像到的是所有人手忙腳亂,該處理的沒有人管,一堆人想幫忙的也不知該如何下手,最後演變到一發不可收拾。其實說穿了就是一個「賭」的心態─賭事件不會發生,就算發生了,賭機器可以運作,就算機器不能運作,則賭對企業不會發生影響。

反觀國外的要求,在處理類似的計畫時,一定會針對企業進行企業影響分析(BIA,Business Impact Analyze),先找出企業中的核心系統。所謂的核心系統,就是企業賴以生存的系統。舉例來說,同樣兩台伺服器毀了,一台是負責連結網路印表機,另一台是負責ERP系統主機,當在發生異常狀況時,一定會有資源排擠現象,這時處理的優先順序為何?有人一定會笑說:「這麼簡單的答案有誰會不知道?」但如果是二十台、兩百台機器呢?財務部門覺得資金調撥的資料最重要,行銷部門覺得客戶的訂單最重要,結果最有可能決定重要性的,是誰的官階比較大,或是誰的聲音比較大,然而對企業的持續運作是否真的有幫助?

事實上,核心系統的概念不僅是用在備援計畫上面,對於近年來開始提倡的風險管理及委外管理,也多少包括這方面的運用。就風險管理而言,固然強調將風險等級加以區分,依照不同的風險等級做不同的處理方式及控制活動,但是在風險等級計算時,考量發生的頻率及對企業的影響,其實也就是核心系統的概念,對企業有重要影響性的,相對就要將投入較多的人力與心力,甚至需要更多的保護措施。而與核心業務沒有直接關係的,在成本或其他因素考量下,也可以適度的委外。而這些基礎,就是要明確定義出企業的核心系統。在過去的經驗中,台灣很少有企業的資訊發展,能與企業的發展計畫完全吻合。

當資訊作業已經是企業作業流程的一部份時,資訊發展不應該只是將設備架起來,或是系統開發完成就夠了。因此,公司各部門應一同找出屬於自己企業的核心系統,讓資訊作業能對企業發揮更大的公用與價值。