企業持續規劃(BCP)並非只是書面計劃,若要發揮作用,透過教育訓練機制進行演練將是重要的關鍵環節。
文/吳明璋(韋萊韜悅企業風險管理與經紀服務資深協理)
在新冠病毒疫情肆虐之下,全球性經濟衰退彷彿回到1930年經濟大蕭條。各國都會城市引發大規模群聚感染,領導人別無選擇、宣布史無前例的鎖國封城政策。正當世界各國按下暫停鍵這一刻,我們希望身邊有個「哆啦A夢」,從百寶袋拿出各種神奇解方。最受歡迎不外乎就是任意門,帶著「現在的」大雄去拯救即將和靜香結婚「未來的」大雄。這時我恍然大悟,所謂的「回到未來」不就是企業持續營運規劃(Business Continuity Planning,BCP)的情境演練?
災後復原為起源
災後復原(Disaster Recovery,簡稱DR)與營運持續(Business Continuity,簡稱BC)這兩者經常被人提及,甚至互換並存。從歷史上的追本溯源,災後復原為其先驅,爾後才發展營運持續,最後轉變為由IT驅動的營運持續規劃。
早在1970s年,備援(Standby)系統與關鍵性資料備份為IT復原計畫的兩大重點。這兩大復原重點已經深植在IT工作實務。1990s年新思維的轉變,從符合法規的復原走向營運持續的規劃。當時一連串的恐怖攻擊事件,如:1993年美國世貿中心爆炸案與1992、1993 年倫敦爆炸案,將災後復原從原本IT、組織功能導向,轉變為組織、流程面導向。營運持續規劃的初期強調的是「結果」(如:營運面的持續作業),後來才成為廣為人知的「方法論」或「管理手法」。
由於這兩者交叉的發展背景,國際上並沒有一個公認的定義,甚至不同單位的定義有時也大相逕庭。以國際電腦稽核協會(ISACA)為例,在2012年白皮書釐清DR與BC的差異:
- 災後復原:為一個程序,專注在建立針對關鍵IT基礎建設與應用的持續能力上。
- 營運持續:廣泛的字眼,包括:開發、測試、管理全事業的營運持續計畫。
從筆者過去處理IT機房火災復原經驗中,建議客戶不宜貿然開機災後煙燻的電腦,以免造成電路板短路。在火災發生之後,復原管理須牢記上述不能犯的錯誤。唯有在第一時間作對災後復原,企業得以迅速恢復部分營運,才能從營業停損點開始反轉。從全公司營運的角度,我們曾輔導國際半導體廠客戶執行BCP專案。根據重大災害的情境,客戶專案小組針對優先營運項目分析營運衝擊,協助擬定合宜的BC方案與DR計畫。在與時間賽跑的壓力上,有效的災後復原,非全數更換災損設備,為營運持續創造更好的方案選項。
剖析營運持續計畫重點
在碰到不可預期的巨災時,何謂組織優先復原的營運項目?依據組織的IT系統類型,優先營運項目也可區分為:基礎建設(如:虛擬化伺服器、儲存區域網路)、應用系統(如:客戶關係管理CRM)、辦公區系統(如:網際網路、電子郵件信箱)、企業流程(如:企業資源規劃ERP)、生產、製造、營運(如:庫存管理系統或財務系統)等。
除了上述的優先營運項目,特定產業具備24/7/365全年服務不間斷特性,對於IT採取更嚴格的服務層級(Service Levels)要求。服務層級內含四個重要因素,包括:排程、可用性、預計復原時間(Recovery Time Objective,RTO)和資料損失量(Recovery Point,RTO)。RTO為災後系統中斷到重新啟動所經歷的時間;RPO則是指在災後系統中斷資料損失的狀況。舉例來說,樂高歐洲物流中心RTO訂為9小時。一旦物流中心停擺時間超過9小時,鄰近的樂高工廠將面臨停工的壓力。
從專案管理的角度,營運持續計畫包括:風險評估、營運衝擊分析、風險減損策略、緊急應變準備、訓練、測試、稽核與維護等。除了IT角度之外,有些企業營運持續計畫擴大至全公司視野,如:緊急應變計畫(Emergency Response Plan)、企業復原計畫(Business Recovery Plan)、危機管理計畫(Crisis Management Plan)、災後復原計畫(Disaster Recovery Plan)、風險減損計畫(Risk Mitigation Plan)與復原計畫(Restoration Plan)等。組織根據自己的需求與規劃,逐步擴充以建立完整的制度。
以教育訓練落實BCP
2014年,筆者帶領APEC BCP工作營專案,國內學員分享他們的小故事。外國客戶第一次要求他們BCP計畫時,他們業務單位準備兩頁書面計畫。結果,國際客戶要求實際演練時,一時之間讓業務單位語塞:BCP不就是書面計畫嗎?這兩者觀念上的差異在於:書面計畫與BCP實務仍是有關連,但兩者不同。通常書面計畫發生於災害之前,BCP實務是處理災害的當下,而這兩者有各自的原則。舉例來說,書面計畫通常沒有時間的壓力,實務經驗取決於當下的災害損壞程度與可用資源重組之因應。
如果書面計畫無法解決所有災害管理上的問題,那麼計畫就沒有用了嗎?營運持續規劃的教育訓練分為兩類:討論性與操作性。常見的研討會、工作營、沙盤推演與遊戲屬於討論性質;實地演練、功能演練與全面演練屬於操作性質。有了世界各大城市封城前車之鑑,四、五月北市、新北市、台中、高雄市等首長執行封城兵推演練。就像消防演練一樣,BCP教育訓練不是等到遇到了災害再說。
要從失敗教訓中學習,尤其在災害管理領域特別重要。這呼應《灰犀牛》作者的觀察:「如果沒能從慘痛的災難經驗得到教訓,之後行事就有可能只是為了做而做,缺乏遠見或協調不足。」為了面對書面計畫的陷阱、彌補經驗不足,教育訓練需朝向韌性「能力」與「承載」(Capability & Capacity)養成。企業得以從情境演練中,累積風險減損(如災後復原)與移轉(如保險與理賠)資源之實務經驗。
BCP國內案例:104人力銀行
因應去年中美貿易、今年新冠肺炎疫情,跨國人才流動成為企業關注的焦點。身為台灣地區人力仲介服務領先者,104人力銀行如何「超前部屬」營運持續?
2013年,104人力銀行率先於同業通過 ISO-27001國際驗證。為了落實備援觀念,他們歷經多次基礎建設調整,機房從採用高可用性(HA)架構到完整的災後復原場所(DR site),並已實際進行多次切換演練。
除了過去IT熟知的備援計畫,今年企業關注BCP重點是否有所不同?根據104資安長朱建國的觀察,過去IT的BCP情境以火災或地震為主,為資訊系統主要威脅。一旦IT系統恢復正常,公司業務便可上軌道。但是今年的疫情則不然,新冠肺炎並沒有造成系統或設施的損壞。疫情的影響在於用戶端,影響到人在IT系統的執行,流程成為BCP的重點。從IT的角度來看,朱建國認為以前BCP焦點在關鍵設施(core infrastructure),現在則需兼顧商業或作業流程的順利進行。
面對疫情後經濟的挑戰,朱建國體會組織業務、數位轉型與數位韌性這三者的連結越來越深。公司員工在業務上與資訊科技應用密不可分,IT人也要更懂得掌握組織業務的特性。尤其面對風險管理的挑戰,以往是事件導向(event-based trigger)去推動改善,現在可能一次巨災就會影響到企業存亡。面對環境的多變與巨變,朱建國建議企業更要採取積極主動的態度,定期更新公司BCP。
