李得全
現任：臺灣IBM公司全球服務整合資訊服務部資訊工程顧問。
專長於災難備援解決方案設計與業務持續諮詢顧問服務。

目前銀行業之業務處理幾已全數納入全國性電腦連線作業，財金公司扮演著關鍵性服務重任，於台灣921大地震後，各行庫為強化銀行風險管理，確保電腦作業的安全，積極建立雙資訊處理中心，進行緊急備援作業系統已成為各行庫資訊作業規劃的重大目標。IBM以分階段方式，與財金公司共同完成災變備援作業規劃與建置，並運用新的科技與網路技術，共同為資訊業界打造具韌性的DR/BC環境。

IBM匯集的諮詢顧問群經過長期的經驗累積與智慧結晶發展出一套方法論用來處理、建立與管理營運持續解決方案，成功輔導多家國內企業導入業務持續運作計畫並通過國際標準認證。

達到企業韌性與持續作業的最佳實踐

西元2002年，AT&T設立了一個專案用以探討業務持續運作計畫(BCP)的最佳實踐(Best Practices)，開始長期資助美國五所大學進行研究，主要目標在於發現較正式化的業務持續運作計畫方法，以協助企業單位鑑識與量化風險，建立程序、策略和戰術，以確保業務的持續運作。研究產業包含：金融服務、製造與供應鏈、製藥業、零售業與旅遊休閒。

用詳細案例研究與調查，探索關於策略計畫、風險評估、備份計畫與工作流程、持續性測試及產業相關的最佳實踐，研究報告亦提出關於發展業務持續運作計畫與自我評估問卷的建議結構。

過去幾年來企業風險被一連串的事件驅策—Y2K、SARS、伊拉克戰爭、企業醜聞、美國大停電、911、南亞大海嘯，這些風險的累積構成企業對保持運作的極大挑戰，早期災難回復的思維已然不足以適用。

正面的趨勢是IT的增強使用、全球化的供應鏈與公司間網狀整合，使企業減少暴露於單點故障(Single Point of Failure)的災難威脅下，跨區域營運模式與企業間資訊流通代表公司的多樣化，並比過去更有效因應與管理風險。然而負面的是，這些相同趨勢會釀成對自我的風險，當更多企業倚賴廣大供應鏈，供應商的瓦解對企業實質影響更形顯著。企業夥伴或其後勤通路的業務問題、中斷或關閉，易導致整體供應鏈運作異常之漣漪作用，其後果和災難的影響並無不同。

相類似地，IT的重要性也表示當伺服器故障時亦隱含著收入損失與造成客戶的不滿意，舉紐約證券交易所為例，每秒鐘的交易中斷影響到500佰萬美元交易。佔據報紙頭版的風險事件對企業中斷服務的影響，反未如較小型而一般化事件來的多，如駭客攻擊、ISP網路異常與系統當機。Gartner 預估百分之四十的網路當機是由應用系統所導致，如效率問題或蠕蟲「Bugs」，百分之四十為人為錯誤以及百分之二十為系統或環境造成的問題。整體來看，只有少於百分之五的服務中斷是由真正災難所引起。

這些現況促使業務持續運作計畫新一代紀律的發展，研究中訂定BCP的目的為「確保客戶經營與服務的不中斷供應」。災難回復較多於特別的修護，而業務持續計畫的焦點則在於更廣泛層面的預防—運用可預防性的技巧，指出風險並建立好因應步驟，以保證業務功能的持續運作。

點對點災難回復與業務持續的架構(DRBC Framework)為(表一)：

大部分企業了解業務持續的需求且都有某種程度的災難回復計畫，對IT倚賴高的產業則位於BCP路徑前端；在美國，重要基礎建設產業如：水、電公共事業、電信、油品及瓦斯與運輸業也位於領先群；其他產業非常重視BCP者為主要資產屬智慧資訊，如藥品研發公司。

從另一方面分析，零售業是步伐較慢的，實體資產為其主要風險，尤以產品庫存資產為最。不過分散庫存地點使風險大幅降低，庫存資產的特點是暫存性與非長期性單一價值，換句話說是可被取代的，不論種類或資金，傳統保險提供其足夠財務損失的保障。於導入BCP的零售業公司也把重點置於資訊服務，當電子商業對零售業越形重要及實體倉庫越趨集中，業務持續運作計畫開始變得流行。研究中指出其銷售的百分之十來自於網際網路，總銷售量約為實體通路百分之四十。

多數的公司需重新思考確保持續業務作業的意義，BCP最佳實踐的先驅者展現了下面的特性：

一、這些企業做的事遠大過實質性的資產
有效的BCP並不是單純在意將重要資料保存於別處或建立備援系統，組織面的持續性同樣重要，像教育員工、替代的工作程序與客戶的溝通，教育訓練在BCP扮演著關鍵性角色。

二、從錯誤中學習
研究發現好的企業會自事件中學習，嚴重的中斷需要事件後的稽核，指出好與不好的學習點。這些動作是由上游買方企業主導，而不是發生問題的供應廠商。

三、開放委外使用廠商服務
將BCP功能委外給服務廠商，企業重要資料存放於廠商處，當災變發生時，能提供替代設備使企業運作得以持續，這對IT不是其核心競爭力的企業尤為普遍。運用管理服務廠商，能使企業與快速改變的IT環境齊步並進並滿足業務持續需求。BCP是跨公司的整合，企業間複雜而互動的應用環境和合作夥伴，表示某一點的異常可能以各種模式迅速擴展至整個企業，因此整合是必要的。

四、定期測試與更新計畫
沒有經過測試的計畫與完全沒有計畫同等危險。往往測試只含蓋系統及資料部分，並沒有實際回復業務功能；研究指出成本考量是定期與全面測試的主要阻力，但如此節約方法是不真實的，過時或無效的BCP完全無價值可言。

五、最重要的是，理解到BCP不只是成本
儘管具備了先進的BCP，一些金融服務業的執行長把BCP只當成是經營的成本，屬保險的一種，並無附加價值。這是過於保守的見解！客戶開始詢問類似對於緊急情況處理準備的問題，股東亦更加重視有效的企業風險管理，BCP則是其中的要素之一。企業可將BCP蘊含的彈性和恢復力轉化成為長處，例如當需求量增加時能及時提升產能或充分利用協力廠商來提升產能。

BCP是設計用來處理故障，但它也是幫助成功的保證。

TOP
1│2  下一頁 【回本期首頁】