[觀點] 企業營運持續管理標準：BS 25999

隨著外在環境不斷變化與企業組織的擴張發展，在營運過程之中，來自於天然環境、競爭對手和市場變動所造成的影響，乃不可避免，企業到底該如何未雨綢繆，運用良好的治理與管理制度，來妥善處理這些衝擊改變，已成為企業高層與管理人員必須要學習的課題。

企業面臨危機而營運中斷的因素很多，除了天然災害如地震、颱風、火災等所引起的廣泛衝擊之外，因為設備故障如伺服器當機、硬碟資料損毀，以及蓄意行為如電腦病毒、駭客攻擊等所造成的營運風險也逐漸增加。

從IT層面來看，所謂的災難復原與備援系統的建置，若企業願意承擔起相關成本，技術上並非困難的事，難處在於管理階層究竟該如何進行規劃與組織人員訓練、評估何時該啟動災難復原程序、判斷作業程序是否合理，以及協調支援單位在一定時間內相互配合達成目標，最後形成一個企業營運持續管理(Business Continuity Management；BCM)系統，這些無一不是挑戰。

BS 25999的過去與現在

對於災害的應變與防護，國際上其實已有相關的計劃或標準，例如美國國家防火協會，即制訂了「災害/緊急管理與企業營運持續計劃」，作為發生災害時的緊急應變程序；加拿大也有「營運持續計劃指南」，確保企業的營運能在災害之後持續運作；新加坡「業務持續性與災害復原」標準SS507，更同時包含了IT災難復原和BCM兩項重要領域。

英國標準協會BSI過去也制訂「PAS56營運持續管理指導綱要」，作為企業在面臨營運中斷時，如何去維持關鍵企業營運的參考，目前則積極地推動更新的BS 25999作為營運持續管理系統的標準。

BS 25999標準分為兩個部份，BS 25999-1是作為參考手冊，已於2006年11月發佈，說明了營運持續管理的各項作業要點，包括建立程序、實作過程與指導原則，讓相關人員可以了解其實施方式，而BS 25999-2則是說明營運持續管理的要求，企業必須落實標準中的各項規範，通過稽核之後才能獲得BS 25999的認證，此標準於2007年11月底正式發佈。

BS25999提供了一個營運持續實施策略與框架，讓企業可以在重大事故之前，預先做好防範的準備措施，而在災難來臨時，也可以透過事先的妥善演練，來降低可能造成的營運損失，對於企業高層人員如執行長和董事會成員而言，具有BCM的策略規畫，可視為企業治理的重要任務之一，除了可以提升組織的應變與復原能力，更能滿足股東、上下游合作夥伴與客戶的要求。

BS 7799 VS. BS 25999

關於營運持續管理，在ISO 27001的前身BS 7799已有這個控制項目，說明企業需要識別關鍵的業務流程，進行風險評鑑以了解企業的弱點與潛在的威脅，再依照其重要性來排定復原的先後順序。BS 7799主要是從資訊安全的角度來看營運持續管理，提到企業營運持續計劃除了考量人員、資產與業務之外，其他相關設施只要牽涉到資訊的機密性、完整性與可用性，都要一併列入計劃之中，並且定期進行測試與改善。

BS 25999則是從整個企業經營角度來衡量，提到了更完整的營運持續管理生命週期(BCM Lifecycle)，包括了以下幾個階段：

1. 了解企業的現況 - 由於企業的屬性與類型不同，所處的環境也有很大的差異，為了要評估在發生危機時可能面臨的衝擊，企業必須找出「什麼才是企業賴以維生的關鍵？」這有可能會是ERP、CRM，也可能會是Email或網路連線，因此必須透過「風險評鑑」和「營運衝擊分析」二種方式，來識別出面臨的威脅、弱點與風險值，估算可能造成的損失。另外最重要的，企業還必須要找出可接受的復原目標時間(Recovery Time Objective；RTO)，舉例來說，當一個人發生急性中風之後，若在三小時內沒有經過緊急搶救治療，就會造成難以挽回的遺憾，這是人人必須把握的黃金時間，所以如何在可容忍的營運中斷時間內進行應變，是企業要去審慎評估的。


2. 制定BCM的策略 - 在了解企業的關鍵營運流程與可能會發生的災難之後，就可以根據企業的營運目標、資源與成本來制訂所要採取的因應策略，並且選擇能夠降低風險的措施。


3. 發展與實施BCM回應 - 在此一階段中，企業必須要發展出一套營運持續計劃(BCP)，計劃中必須包括人員職責分配、教育訓練辦法、計劃啟動條件、緊急應變程序、備援機制、災難復原程序等。


4. 演練、維護與審查 - 完成BCP之後，最重要的就是要進行測試與演練，確保計劃項目能夠一一順暢執行，在演練之後，還要針對有疏失的地方持續加以改進，以確保營運持續計劃能夠有效執行。


5. 使BCM成為企業文化 - BCM是一個持續的管理、協調與監督過程，BS 25999標準中強調，必須要讓BCM深入成為企業文化中之一員，才能達到企業永續經營的目標。

BS 25999發揮的最大效益

或許有人認為自己在生活之中，不太可能會發生意外，每當身旁有人不斷提醒時，往往會認為是太過於「杞人憂天」，總覺得自己凡事皆能逢凶化吉。其實太過自信與缺少準備，往往使人們在面臨危機時手忙腳亂而造成更大傷害。

所謂「前事不忘，後事之師」，對於企業來說，以往無論是國外的911恐怖攻擊、倫敦地鐵爆炸、卡翠娜風災，國內的921大地震、東科大火、納莉風災、SARS等事件，許多的經驗都值得我們引以為戒，災害固然難以預防，但設備毀損、資料遺失，操作失誤所造成的損害，卻是企業可以事先規劃避免的。

BCM的基本精神就是要去「預料無法預料的事」，要將各種可能狀況的劇本預先準備好，確保意外或災難發生時，企業能夠依照事先擬定的因應方法，讓關鍵的商務活動不會因此中斷而造成龐大損失。但是，BCM的推動，準備條件除了人力、物力與經費之外，最重要的仍在於是否經過完整的測試與演練，能在時間內發揮預期的效用，這些都在在考驗著企業管理階層的遠見與決心。

所以，唯有透過不斷的沙盤推演，使相關人員確實熟悉各項應變作業流程，再經由模擬災難情況來實際演練，以評估計劃可行性，事後也務必進行檢討，針對不足之處予以修正，這樣才能發揮BCM的真正效益。(本文於2007年11月刊載於CNET網站)