BCP&DRP是一門分析企業重要命脈,並且在發生衝擊前先加以預防及突發事件造成流程中斷的永續規劃,
而風險管理與BCP最大的差別是在於RM是以全面性的風險視別、降低、規避…等等方法來找到降低衝擊的方法,
也可以說,風險管理是先處理可以預期的到的衝擊,而BCP則是當衝擊產生,且無法抵禦時,馬上使流程延續下去的計劃 …
BCP&DRP是一門分析企業重要命脈,並且在發生衝擊前先加以預防及突發事件造成流程中斷的永續規劃
而風險管理與BCP最大的差別是在於RM是以全面性的風險視別、降低、規避…等等方法來找到降低衝擊的方法
也可以說,風險管理是先處理可以預期的到的衝擊,而BCP則是當衝擊產生,且無法抵禦時,馬上使流程延續下去的計劃
若硬要把這些流程串起來的話就是由RM->IRT->BCP,RM先做各個資訊資產的風險識別及評估、評鑑
接下來再針對各個可能發生的風險或災難發生的問題,組識相關對映的處理程序或回應機制(IRT)
最後,當重要的商業流程受到衝擊時,再來制定各項流程的永續及復原。
因為上篇文章中沒有將這些關系做一個很明確的定義,不少朋友都有在GT、MSN上跟我討論
因此在本篇先將各個關係做個說明,而制定BCP的範圍發展及計劃首先會先分析企業組與BCP的任務做連結
並且在發展BC的team的成員必須涵蓋整個公司各項業務範圍的負責人,尤其是老闆最觀注的單位
必須於BC會議上充份的授權及制定BC的範圍,尤其對於專案的內容明確的與組織內的主要成員、流程連結好
再來制定好BC的Policy後必須明確的產出文件化,並且明確的記錄各個任務的執行狀態、範圍及驗證、R&R、
計劃發展測試、訓練、維護的需求、以及稽核、回饋…等等Policy的內容。尤其對於未來發展、對產品服務的需求、
及共同資源如何分配,也是這個team所必須在BC會議中討論及制定的,以接近任何的需求都必須要能達成JIT(Just in time)。
下圖為BCP的運作周期(摘自SP800-34)
下圖為BCP的永續計劃的處理流程(摘自SP800-34)。
相對的,即然要做分需求的分析,那麼資源一定也是有限的,在規劃一個有效BCP也一定必須先考慮的到最壞的打算,
當企業蒙受到極大的衝擊時,最大的可能花費的預估(Maximum financial expenditure),也是由BC會議中制定並監控資源的分配
以使每個花費都能做到最大的效益; 但東西沒了可以再買,那人力的損耗怎麼辦呢?透過人員平時的職務輪調、職責分工及工作職場上
所建立的工作說明書、職掌、角色,在此時扮演了極重要的角色,平時做好訓練,災難發生時才能即時的產生效用
就好比平時有做好火災的防災演練及逃生演練就是一種平時的訓練。
但這些的訓練可能並不足夠做為企業訓練,話說每個人都乖乖的進行訓練,真正遇到災難時,萬一組織領導人或是key man不幸損耗
那如何互相將重要的人物做交叉的訓練,或是執行所謂的交班計劃,其實這個在台灣的企業是一直不被重視的一個區塊
似乎是只要做了交班計劃就等於自已馬上就會被取代掉,因此多數的企業也不願意去挑戰這個計劃,那麼老外怎麼玩呢?
透過了叉互訓練(cross-trained)提高了人員的可用度,但也必須投入一定的成本來培育一個人員,其中也包含有損害評鑑、復原及恢復…等
那麼做BCP也必須選擇一個好的BC Tool,幫助我們去分析企業資訊及文件計劃,必須做個完整的評估,畢竟人力來做所有的事件是不太可能的
不論是資訊系統或者是工作處理流程,都必須確認所有的需求都是可以確保安全的執行完成。
當然即然BCP是個專案,那麼一個BCP的專案經理也就成為這個資源需求的重點之一了,這個PMer除了依據專案計劃的執行
也必須使BCP的發展及期程都能明確的掌握,並且在定期的做BCP的演練、改進…等等。最後一個資源需求就是經銷商了
隨著所需的資源不同,那能提供我們服務的經銷商是否可以在準時、定點的提供我們所需求的各種服務
因此選擇經銷商也是一個必須考量的資源,最好連這個部份的可用度都可以提高,以使BCP不會因為外在問題而造成BCP的可用度下降。
Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security