企業永續經營生存手冊

BIA基礎
營運衝擊評估一詞來自於「企業永續經營計劃」（BCP, Business Continuity Planning），它可以針對各個程序以及整個企業，以系統的方法來量測、分析，以及記錄當企業停機時，各個企業功能會有什麼影響。

BIA的目的，就是要讓企業了解各單位與支援部門間如何運作及互動。從中找出業務中斷時，影響最大的部位與其互相影響的程度。

完成BIA之後，組織應該清楚哪個程序是關鍵的持續營運項目。可以讓主管採取因應的投資優先排序，對關鍵系統實施意外的預防對策。

要將BIA的價值發揮到最大，關鍵在於鼓勵廣泛的參與，提高能見度，並以彈性的方式撰寫文件，使其易於使用與閱讀。

內容資料
實施衝擊分析的方法有很多種，有效的BIA重點該放在內容，而非文件格式。一般而言，BIA必須描述企業全貌與各種支援功能、重要系統及相關資源清單，以「蜘蛛網」的方式來表達各個企業功能間的依存或是支援關係。

光要取得這些基本資料就很費工。多數BIA一開始都先作主管訪談，以便了解負責企業領域的詳細資訊。

常見作法是先送問卷給業務經理，行銷高層及事業單位主管，詢問他們與其程序相關之機能、營運及依存關係等資訊。以問卷的方式較不會干擾到正常工作，因此較受歡迎。

蒐集相關主管的回應，用來指出相依關係，並找出「隱藏」的程序，例如一些能見度比較低或是外包給第三方廠商的程序。舉例來說像委外技術支援或駐點服務。這些機能對於企業營運來說可能很重要，但基於外包的原因，他們不會出現在預算書上，也不會有專責的人員。這些未追蹤到的活動都應該被記錄到主要的詳細清單中，它們的主管也應該受邀參與BIA程序制定。透過這些資料找出更多需要詳查的項目。
活動結束後，會產生出企業機能的詳細清單，以及互動關係藍圖。接著記錄下這些關係，並確保當程序變更時，文件也會跟著更新。

除了將程序文件化，蒐集相關財務資訊也很重要。透過財務資料估算各個事業單位在停機時可能損失的盈利、生產力及機會成本。企業主管應該要提供整個系統的基本利潤與損失等資訊，最終要解釋總體的停機成本。為了建立更詳細的財務結構，最好能徵得企業其他部門的參與。例如，法規遵從部門可以提供當某個程序停機時，公司必須支付的罰款金額，而法務部門則可以讓我們知道當企業無法為客戶提供服務時，公司必須付出多少的違約金。

這些財務概觀可以和之前蒐集到的相依資訊結合在一起，以便讓我們了解當一些程序無法進行時，企業的衝擊會有多大（以金錢來表示）。

整合
有效的BIA應該是活的文件。如果只是做出塵封於書架上的資料，對公司而言並沒有任何幫助。將BIA整合進BCP的其他領域中，可以確保文件能持續有用。

換句話說，當企業花了時間與資源，找出企業程序關係，並將其整合後，若能夠進一步將BIA用於公司的其他領域，這項投資才能得到最大的效益。另外，將BIA用於BCP外的其他活動，也能讓文件持續更新。總而言之BIA中記錄的企業程序必須持續更新—文件的同步是其關鍵。

要推廣文件的利用範圍，可以從資訊安全中的「非災害規劃」（non-disaster planning）開始做起。弱點評估、應用程式評估、風險管理，以及意外事件應變等，都可以延續BIA所帶來的利益。

對於有實施自動化漏洞評估的組織而言，BIA資訊有助於了解要考慮到哪一部重要的機器，以便讓評估變得更有效。在規劃評估時，組織可以決定是否要在掃描中加入關鍵的伺服器以使其鞏固，或是要在掃描時排除這些伺服器，以將可能的停機機會減到最小。另外，組織也可以採用混合的方式，針對這些重要伺服器，特別採用較不具侵略性的掃描方法。

BIA也有助於應用程式評估。應用程式鑑定人員可以用BIA來擬定優先目標，並做為情報蒐集的一部份。特別的是，BIA還可提供相依性資訊， 讓公司了解這些應用程式如何互動，對企業有何關係，以及資
料如何流入及流出應用程式。

應用程式與漏洞評估所蒐集到的資料，也有助於BIA的更新。評估活動可以著重在應用程式的變更，以及這些變更對於相關企業程序的更新。人事評估軟體也可以定期在文件上反應這些變更，以便「活化」BIA。

風險管理是永續經營規劃外BIA可以使上力的另一個領域。一般來說，資訊安全小組會試著量化整體的風險價值，但他們不是無法給定風險的價值，要不然就是只能粗估一個金額。然而，利用BIA文件中的實際金額，安全小組便可以不必再使用估算價，而以較精確的方式計算，增加風險控管活動的精確性與可信度，並為企業夥伴提供更有效的風險溝通方式。

一些風險控管活動無法評估出相依系統失效所造成的「連鎖反應」。利用BIA文件記載的互動性，可以深入了解連鎖反應，風險控管活動也可以在應用程式的整體風險資料中記錄這類的連續性風險。

最後，BIA的內容還有助於對意外事件的應變。如果BIA包含了重要應用的運作資訊（例如應用程式擁有者的聯絡資訊以及重要伺服器的位址／平台），反應人員即可在意外發生時，主動地確保這些關鍵應用能持續運作。例如，如果網路上有蠕蟲正在肆虐，他們便可通知最高優先系統的聯絡人員，以儘早採取防護措施—當然，最好是在機器被感染之前。

重要因素
一些簡單的步驟足以影響BIA的成敗，確保溝通與支持無礙，建立高層次的追蹤架構，及確立責任歸屬。從規劃初期到文件完成，要確保主要人員間溝通管道暢通。在生命週期的初期，說服高層主管與企業社群是不可或缺的。

在企業當中任職關鍵功能的主管大多事務繁重，沒有時間與精力應付自己以外的工作。對他們好好地溝通BIA的功用與價值，可以確保他們更有意願合作，而提供較為全面及正確的資料。畢竟，最後BIA對他們而言，將會是非常有用的資料—你要保護的也是他們的程序。

在蒐集完資料後仍保持溝通順暢也是相當重要，因為這樣能確保文件可以跟著程序變更。另外，與內部稽核人員、法規遵從主管，以及其他資安單位保持良好的溝通，也可以確保文件的範圍能夠更廣。

最後，BIA包含了一些較為敏感的資料，因此必須控管誰能夠閱讀。然而，不可否認地，如果能夠謹慎地讓越多人讀取到文件，投資才有更大的報酬。在計畫初期，要建立高層次的專案管理架構。即使在小型組織，都會有許多互相依賴的企業程序—設計不良的組織可能還會更多。BIA的情報蒐集可以發現許多其他的程序，計畫進行時期也可能會有新的企業功能再加進來。

設定出一個能夠追蹤這些程序的機制，可以確保在過程中程序不會被遺漏。由於專案可能會有高度的能見度，因此利用數字化管理的方法，可以讓進度報告變得更順暢，當日期必須延遲時，也能夠迅速地更動排程。

指派BIA工作的責任歸屬也是一項重要的步驟。BIA的資料量相當多，要蒐集所有的資訊會是曠日費時的一項工作。為每項工作指派負責人並加以追蹤，可以確保資料能夠被蒐集，專案也可以維持在進度內。在企業的其他領域徵召額外的人員，也有助於平衡工作負荷。

如果以策略性的方式創造及利用BIA，它將是貴公司最有價值的投資—不管是對事故規劃或是資訊安全而言都是一樣的。許多公司只將BIA視為只對BCP有用的文件，但如果撰寫文件時將想像的讀者群擴大，資訊安全的其他領域也可以利用這些資料來改善其服務品質。
另外，當文件完成後，記得要讓內容持續更新，以便讓這份文件成為未來的生存手冊。

Ed Moyle現任職資安服務及顧問公司CTG經理。