46. 營運持續性計畫(Business Continuity Plan, BCP)實務上通常多久須測試一次?
(A) 在所有稽核活動前
(B) 執行一次確認有效性即可
(C) 至少每年一次
(D) 只有當異地備份改變時

答案:登入後查看
統計: A(349), B(39), C(1525), D(49), E(0) #3115026

詳解 (共 2 筆)

#6021678
營運持續性計畫(Business Co...
(共 458 字,隱藏中)
前往觀看
10
0
#5944746

營運持續計畫 (BCP(Business Continuity Planning)),制定BCP的目的是為了保護公司營運免受災害和事故的傷害。 營運持續計畫的範圍除了我們一般看到的資訊系統,也包含了對於無法預測的天災人禍,如地震、颱風、停電等的預防與公司最重要的人員資產。故具有一份好的BCP,可以幫助企業去因應這些風險所帶來的危機,這也是企業對於風險韌性(Risk Resilience)的一種展現。

要怎麼制定BCP? (How / What)
 
步驟 1:決定企業持續營運計畫的目的、範圍與執行團隊
首先,制定BCP前,有三大要素是主要的,公司需要透過 3 個要素來開啟並鞏固企業持續營運計畫的基礎

  1.  目的:為何需要導入企業持續營運計畫?
  2.  範圍:哪項業務適合導入企業持續營運計畫?
  3.  執行團隊與領導人:誰適合成為企業持續營運計畫的負責窗口?

     公司管理高層對企業持續營運計畫的領導與支持,及執行團隊對計畫架構(目的、範圍,及執行團隊與領導人)的瞭解,也都相當重要。

步驟2:決定優先營運項目以及預計復原時間

  1. 思考哪些可以被稱為是公司的核心產品與服務,也稱之為優先營運項目(Prioritized Activities, PAs)。
  2. 如果優先營運項目全面中斷的話,多久後將對公司產生無法彌補的影響?這個時期也被稱為最大容忍停機時間 (Maximum Tolerable Downtime, MTD),在此時間段後,公司運作可能無法恢復。
  3. 我們需要在最大容忍停機時間將優先營運項目做恢復,所以要去定義各個優先營運項目的預計恢復時間,或是常聽到的復原時間目標(Recovery Time Objective, RTO)。

PS:若優先營運項目是屬於資訊系統類的,除了制定復原時間目標RTO之外,也需要去定義復原點目標(Recovery Point Objective, RPO)

步驟 3:潛在風險發生可能性與影響評估 辨識與瞭解能嚴重威脅公司持續營運(或可能導致災害性狀況)的風險為何?

  1. 評估可能風險,辨識風險類別。如1.一般風險 :天災-地震、洪水和颱風; 2.工業災害-火災、爆炸、停電; 化學物質洩漏或蓄意行為; 3.及恐怖攻擊4.公司人員或供應廠商操作不當…等人為因素。
  2. 分析、評估與排序出因應這些風險的營運持續作法。

     概念上就是這些狀況發生時,我要如何讓公司的關鍵活動,可以照常運作,而不會影響公司整體營運。
步驟4:恢復關鍵活動的作法
根據前述步驟,我們會知道哪些風險可能會影響到哪些優先營運項目,以及對應的影響衝擊。
故針對這些影響衝擊,我們會需要針對這些影響衝擊,去建立可恢復關鍵活動的營運持續作法,
在規劃營運持續作法時,也需要思考若干重要概念,以恢復優先營運項目運作。相關策略如下:

  1. 策略 1:在受損 / 受影響地點恢復優先營運項目的運作。
  2. 策略 2:在備援點(公司內部或外部設施)恢復優先營運項目的運作
  3. 策略 3 :以替代方法(或變通方法)恢復優先營運項目的運作。

    PS: 營運持續作法制定的過程中,也需要同時考慮營運持續作法:           1.需要哪些關鍵資源?現有資源是否充足?           2.是否需要向外找尋合作夥伴?     PS:復原至最小營運水準(完全恢復至原服務)所需之員工、技術、設施(系統軟體及硬體)、服務及交通所需之時間,皆為須考量之資源。

步驟5:如何將財務規劃納入營運持續計畫
延續步驟4定義完營運持續作法後,也列上所需的關鍵資源與外部夥伴資源,屆時我們需要將其轉換為成本金額費用,以便評估方法的成本效益,主要的比較關鍵為:
                             「優先營運項目價值」要能夠大於「投入保護成本」

而優先營運項目的價值可以怎麼被定義呢? 

  1. 帳面金額:例如當初這台設備購買金額為15萬,扣掉折舊5萬,目前價值會是10萬
  2. 經濟效應價值:例如公司共有五台生產設備,每年這些生產設備可創造出100萬的營業額,扣除成本50萬,單台生產設備的淨價值就是(100萬-50萬) / 5 = 10萬
  3. 無形價值:此比較抽象,舉例某優先營運項目,與公司重要訂單供應商有大幅相關,其價值可以用合作價值衡量。例如每年公司與台積電合作的價值,對於公司股價或公司形象,所能額外帶入的客戶,可帶來約200萬的價值。

定義完價值與投入的成本後,即可得出幾項以目前現況來說是最符合的作法。接著,我們要去編列對應項目的預算或是資金來源,以便實現該作法。

總結(Summary)

經過上述步驟,您應已為公司制訂了企業營運持續計畫,未來您應透過實際演練,來確認計畫的完整性。
建議可安排半年或一年作為週期,來模擬風險發生時執行營運持續的作法做實際演練

實際演練則在確保計畫有效發揮作用並達成目標,演習目的不僅在測試表現,更透過提供教育訓練來增進員工的專業能力,下面列出幾個重要的演習類型:

疏散演習:測試並演練安全迅速的疏散至指定地點。
安全確認演習:測試和演練員工的緊急電話撥打和安全確認。
備份資料復原演習:透過備份資料來測試及練習復原程序。
營運恢復演習:測試並演練受災後營運中斷的恢復。
備援點開始營運演習:測試並演練備援點的營運狀況。

最終,再透過PDCA的方式來定期改善上述所制定的計畫,

3
0

私人筆記 (共 1 筆)

私人筆記#6517069
未解鎖
  正確答案是...
(共 481 字,隱藏中)
前往觀看
5
0