/
-
現今越來越多企業開始注重災難復原,除了地緣政治的風險及不可抗力的災難因素增加外,也受企業對資安的要求日益增加的產業趨勢所影響。可是當考慮到該如何開始時,企業往往只想到與系統相關的技術方案,卻忽略了整體的業務營運與人員安全的相關考量。
企業需要保護什麼資產?
從資安的角度出發,災難復原計畫除了要保護系統以外,最重要的是保護人員的安全。在災難發生時,人員需要知道災難的發生及影響,也需要了解到自己應如何逃生及回報安全狀況。同時,災難應變團隊也需要明白自己的角色及責任,以協調整個企業的災難應變計劃。
什麼是持續營運管理 ( Business Continuity Management )?
持續營運 ( Business Continuity ) 和災難復原 ( Disaster Recovery ) 很多時候會被混為一談。而企業在建立一套完整的災難復原機制前,則需先從持續營運管理開始,因為災難復原只是持續營運管理中的一小部分。
持續營運管理 (Business Continuity Management) 五大原則
- 針對業務營運與服務,需要維持關鍵的業務營運活動、確認關鍵基礎建設與備援方案、以及保護、備份、復原數據等。
- 針對實體地點,需要確認安全的次要地點,以及該地點提供可用的系統、網路與資源等。
- 針對溝通與認知,人員、客戶、合作夥伴、服務供應商、監管機關與媒體都需要在災難發生時有效溝通與交換資訊。
- 針對重要的第三方夥伴,需要預先排列服務供應商的優先順序、制訂服務中斷時的合作模式、以及了解服務供應商本身的持續營運管理策略
- 針對過渡計畫,定義何謂重大變更、企業治理的安排、財務考慮、法律與合約義務等。
- 背景
- 目標
- 領導團隊
- 治理方式
- 計劃
- 支持
- 行動
- 評估
- 加強
災難復原計畫 ( Disaster Recovery Plan ) 的標準要求
一套完整的災難復原計畫,除了需要為系統提供保護外,也需要對企業人員提供保護,因此企業在制定災難復原計畫時,不應只針對資訊科技層面作考量,以下為災難復原計畫應有的主要項目:
- 介紹、定義與目的
- 緊急聯絡人資料
- 外部聯絡人資料
- 通訊方式
- 範圍
- 災難的描述與責任
- 災難復原團隊的角色與責任
- 網路、伺服器、系統團隊的角色與責任
- 資料的重要性順序與備份復原方式
- 資訊服務的復原方式
- 資訊系統的連接
- 網路裝置名單
- 系統服務的優先順序與復原流程
- 測試計畫與維護
- 復原完成表單
