https://twcert2024.informationsecurity.com.tw/

觀點

營運持續管理服務業導入實務

2009 / 09 / 22
吳佳翰
營運持續管理服務業導入實務
不論天災人禍,倘若災害發生而導致企業營運中斷,其後的衝擊與損失難以估計。本篇將透過實務導入經驗,協助不同產業做好營運持續管理。

  營運持續管理已是現今重要的風險管理趨勢;為了避免作業中斷而導致重大的損失與企業危機,藉由以下導入框架,符合國際標準BS 25999及其它最佳實務之方式,提供企業營運持續管理的規劃、發展、實施與維護之管理機制。

  導入框架中可將導入內容區分為分析、發展、建置與持續改進四階段。

1. 分析階段:透過現況分析,能夠快速的掌握組織的實施狀況與成熟度;並藉由營運衝擊分析與風險評鑑的實施,能夠更精確的掌握組織需求。

2. 發展階段:所有相關需求則具體展開成為實際的組織、策略與相關計畫文件。

3. 建置階段:勤業眾信則提供客戶實際建置解決方案的諮詢,並針對相關準備進行演練與一連串的教育訓練。

4. 持續改進階段:最後則藉由建立持續改進機制,讓管理系統能夠持續進步與有效。

  了解上述框架後,以下以精誠資訊資料管理整合服務事業部為例,說明以上述框架為基礎,並根據其帳單列印服務作業產業特性調整實作方向與內容後進行BCM導入活動,相關導入活動特殊狀況如下:

1.營運衝擊分析

  為了維持客戶最大權益與服務不中斷,精誠資訊落實對中斷風險的控管,並降低中斷影響,以維持與客戶所約定的服務水準。然而由於帳單列印各委託方對於精誠資訊的要求水準與中斷罰則不盡相同,因此在進行營運衝擊分析時,以法令、合約、營收與商譽等四個面向進行量化分析。

2.最大可容忍中斷時間

  顧問團隊亦針對每份合約內的延遲交貨罰款條件與免責條款進行分析,並繪製時間與中斷損失之對應圖表,以利管理階層進行最大可容忍中斷時間(MTPD, Maximum Tolerable Period of Disruption)之判斷。

3.風險評鑑

  透過便利的風險評鑑工具,企業可以依據流程的特性與關鍵資源的不同,有效進行威脅事件的辨識與風險的評估;以精誠資訊製稿流程為例,就會特別考量到旱災、缺水等特定風險。而所有的分析結果便成為策略擬定的輸入項目。

4.擬定服務持續策略

  由於各委託方不同的出帳日期與服務水準要求,造成每日作業量差異頗大,而精誠資訊本身所擁有的兩個作業中心,皆有各自需處理的工作量,如何以最低的成本達到最高的復原效益,其選擇的備援形式彈性,便顯得格外重要。

  精誠資訊決定除強化既有雙作業中心機制外,進一步與其他供應商簽署互助備援協議,以確保當產能不足時,能在事先協議的時間內,動用備援廠商的空間與資源完成委託。此外,為確保災害期間與後續作業的空間需求,資料管理整合服務事業部更向總公司爭取行動辦公室,供非生產線人員作為第二備援辦公室場地。

5.計畫與文件建置-危機處理機制

  除了第一線復原準備,事業部決定向總公司提出建立危機通報與危機應變的機制。由顧問公司擔任引導人,向總公司各單位一級主管說明建立危機管理機制的原由、執行重點與各單位所扮演的角色。經歷數次溝通後,總公司發佈危機處理程序並宣佈成立危機處理小組,由總經理、財務長、營運長所屬相關單位、企業溝通部門、財務部門、法務部門、人資部門、總務部門、採購物管部門等一級單位主管擔任小組成員。而為了確保實施的有效性,危機處理小組更辦理危機處理演練,根據模擬的情境考驗遭遇事件的即時反應。

6.演練

  有鑑於當初導入資訊安全管理體系(ISMS)時,即規劃每月將工作單由一中心拋轉至另中心間進行印製的切換演練。因此在導入營運持續管理體系後,更強化了演練項目的形式。由既有的作業單切換,到一般性的資料回存與系統復原,進而延伸到事件應變、備援廠商復原與必須耗費假日執行的雙作業中心全面復原,甚至直接邀請客戶實際參與演練,由客戶端來執行驗證。每個月都有1至2次以上的演練活動。

  經由上述案例得知,在導入BCM的過程中,管理階層的支持、人員積極的態度、與利害關係人充分溝通、以及對顧問的信任十分重要。精誠資訊作業單位與總公司的高階主管皆深刻了解營運持續管理的必要,並親自參與相關的活動。而所有相關人員皆能夠以積極的方式處理發現的狀況,形成「有缺失就開,有問題就改」的正向文化。同時與利害關係人的充分溝通,包含邀請客戶演練、對備援廠商與供應商進行觀念推廣與實地稽核、以及讓總公司加入並建立危機管理機制,都讓營運持續能力更加強化。此外,由於本例為國內第一個推動營運持續管理體系的專案,其不確定性高於一般專案,在與顧問互信合作下,最終順利取得認證。

給其他組織的導入建議

  • 於導入營運持續管理體系時,必須選擇一能夠跨單位溝通之人員或專案小組作為體系導入的核心團隊,才能夠順利解決溝通上的困難。在本案例中,由於精誠資訊指派了具有一定資歷與管理位階之同仁做為主要推動人員,因此才能順利推動各項活動的執行,並妥善處理跨單位的資源協調。
  • 在導入營運持續管理體系時,人員的認知以及對執行工作的了解是,順利維運與取得認證的重要關鍵要素。因此在導入營運持續管理體系時,必須透過教育訓練、公告、辦理活動等方式,讓相關人員充分了解原因、作法以及責任。
  • 「維持產品或服務持續提供」是營運持續管理的導入要求;而產品與服務的持續提供,皆需要前端業務與後勤各功能單位的合作,因此容易面臨跨單位的溝通議題;且導入過程中牽涉多種專業知識領域(如人員安全、資訊備援技術、公關溝通、保險…等)。而這部份可以仰賴具充份建置經驗的顧問,委由顧問協助進行觀念的傳遞、跨單位的溝通、並提供各領域中的最佳實務建議,則可事半功倍,提高導入成效。

本文作者為勤業眾信管理顧問公司副總經理。