47. 關於營運持續管理之敘述，下列何者最「不」正確？
(A) 營運持續管理是資訊安全部門的權責，故無需其他部門人員參與
(B) 營運持續管理包含緊急災害復原計畫
(C) 營運持續管理應與公司目標、政策一致
(D) 營運持續管理應適時調整、更新

這題的正確答案是 (A) 營運持續管理是資訊安全部門的權責，故無需其他部門人員參與。

解析

營運持續管理 (Business Continuity Management, BCM) 是一個「全公司層級」的戰略議題，絕非單一資訊部門或資安部門的責任。

• 為什麼 (A) 是錯的？

  • 業務面 (Business Process)： 資安人員通常不懂核心業務流程（例如：銀行的臨櫃存放款作業、匯兌流程細節）。只有各業務單位（Business Units）的主管才知道哪些流程中斷會造成最大損失（這就是 BIA 營運衝擊分析要做的事）。

  • 支援面 (Support Functions)： 當災難發生時，需要 人資 (HR) 處理員工安危、總務 (Facilities) 處理辦公地點、法遵 (Legal) 處理合規問題、公關 (PR) 處理對外發言。這些都不是資安部門能單獨完成的。

  • 正確觀念： BCM 應由高階管理層支持，各部門共同參與，資安/資訊部門通常僅負責其中的「IT 災難復原 (DRP)」部分。

其他選項分析

• (B) 正確： 災害復原計畫 (DRP) 通常被視為 BCM 的一部分，專注於 IT 系統與資料的技術性復原。

• (C) 正確： BCM 必須支持組織的戰略目標（例如：若公司的目標是 24/7 服務，BCM 就必須以此為標準來設計）。

• (D) 正確： 根據 PDCA 循環，當公司業務、人員或 IT 架構變動時，計畫都必須隨之更新，否則演練時會失效。