業業業業業業業業業業業業業

©2003 業業業業業業業業業業業業業業

業業業業業業業業業業業業業

1. 業業..................................................................................................................................4

1.1 業業業業...........................................................................................................................4
1.2 業 業 業 .....................................................................................................................4
1.3 業 業 業 業 業 .............................................................................................................4
1.3.1 業業業業業業...........................................................................................................4
1.3.2 業業業業業業...........................................................................................................5
1.4 業 業 業 業 業 業 業 .....................................................................................................6
1.5 業 業 業 業 業 業 業 業 .................................................................................................7
1.6 業 業 業 業 業 業 業 業 業 業 業 業 業 .............................................................................7

2. 業業業業業業業業...................................................................................................................8

2.1 業 業 業 業 業 業 業 業 .................................................................................................8
2.1.1 業業業業業業業業業業業業業業業......................................................................................9
2.1.2 業業業業業業業業業業業...............................................................................................9
2.1.3 業業業業業業業業業..................................................................................................10
2.1.4 業業業業業業業.......................................................................................................11
2.1.5 業業業業業業業業.....................................................................................................11
2.2 業務永續專案管理...............................................................................................11

3. 業業業業業業業業業業業.........................................................................................................12

3.1 業業業業(RISK ASSESSMENT)........................................................................................12

3.2 實體設施檢視.......................................................................................................12
3.3 資料保護與系統安全檢測...................................................................................13
3.3.1 業業業業..............................................................................................................14
3.3.2 業業業業業業..........................................................................................................15
3.3.3 業業業業(Network Storage).................................................................................15
3.4 業務衝擊分析(BUSINESS IMPACT ANALYSIS).......................................................17
3.4.1 業業...................................................................................................................17
3.4.2 業業業業業............................................................................................................17
3.4.3 業業業業..............................................................................................................18
3.4.4 業業業業業業業業業..................................................................................................20

4. 業業業業業業......................................................................................................................21

4.1 業務分散...............................................................................................................24
4.2 業業業業......................................................................................................................24

-1-
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

4.3 業業業業(MUTUAL AID AGREEMENT)............................................................................24

4.4 業業業業(SUBSCRIPTION SERVICE).............................................................................25
4.4.1 業業業業業............................................................................................................25
4.4.2 業業業業業............................................................................................................26
4.4.3 業業業業業............................................................................................................26
4.5 業 業 業 業 ...............................................................................................................27
4.6 業 業 業 業 業 業 .......................................................................................................27
4.7 業 業 業 業 業 業 業 ...................................................................................................27
4.8 業 業 業 業 ...............................................................................................................27

5. 業業業業業業業業業..............................................................................................................29

5.1 業務永續計劃的結構...........................................................................................29
5.2 業業...........................................................................................................................29
5.2.1 業業業業業業..........................................................................................................30
5.2.2 業業業業..............................................................................................................30
5.2.3 業業業業..............................................................................................................30
5.3 緊急應變計劃.......................................................................................................31
5.4 回復計劃...............................................................................................................32
5.5 業 業 業 業 業 業 .......................................................................................................33
5.6 業 業 業 業 業 業 .......................................................................................................33

6. BCP 業業業業業................................................................................................................35

6.1 業 業 業 業 業 業 .......................................................................................................35
6.2 產生測試計劃文件...............................................................................................35
6.3 主要的測試型態...................................................................................................36
6.3.1 業業業業業業.........................................................................................................36
6.3.2 業業業業業業業.......................................................................................................36
6.3.3 業業業業..............................................................................................................36
6.3.4 業業業業..............................................................................................................36
6.3.5 業業業業業業.........................................................................................................37
6.4 測試導入與結果評估...........................................................................................37

7. 業業業業業業業業.................................................................................................................38

8. 業業業業業業業業.................................................................................................................39

8.1 DRII.......................................................................................................................39
8.2 BCI.........................................................................................................................39
8.3 FEMA....................................................................................................................39
8.4 CPM 業業.................................................................................................................39

-2-
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

9. 業業業業...........................................................................................................................41

-3-
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

1. 業業

1.1 業業業業

業 業 業 業 業 業 (Business Continuity Planning)的目的，是讓企業或組織在不可

預期的營運中斷發生時，能依據事先研訂的計劃，以有組織、有條理的方式，在
業業業業業業業業業業業業業業業業業業業

缺乏事先良好的規劃，營運中斷後的應變和回復(Recovery)作業很可能是不
洽當且曠日費時的，甚至超過企業所能容忍的營運中斷時間，終至一蹶不振。在
911 事件發生後一年，根據 CNN 的報導，能回到雙子星大樓附近並完全恢復原先
營運狀況的企業僅佔受害企業的三分之一。

1.2 業業業

一個規劃良好的業務永續計畫(Business Continuity Plan)，對企業的貢獻包

業業
 業業業業業業業業
 業業業業業業業業
 提供政府單位、客產、員工、投資大產和合作夥伴的需求
 改善重要營運程序的整體品質
 提供實際的財務量度

1.3 業業業業業

1.3.1 業業業業業業

業 業 業 業 業 業 (Disaster Recovery Planning)出現的時間較早，傳統上這一類的

規劃是假設發生最壞的情況，且通常僅考慮資訊系統和機房，例如整個電腦中心
因地震而全倒、電腦中心被火災損毀等。此種回復計劃的策略一般是在遠離電腦中

-4-
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

心的異地機房讓資訊系統回復運作，某些較傳統型的產業目前仍只需要災難回復
業業業

一般來產，災難回復規劃的產容主要包括：

 業業業業業業業業業
 業業業業業業業
 災難回復計劃(Disaster Recovery Plan)的研訂、測試

當然在進行災難回復規劃時，除了電腦及網路系統回復操作、磁帶資料回復
操作等步驟之外，也需要將設備取得或採購程序、人力調度進用程序、客產服務程
序、辦公場所回復程序、臨時作業程序等納入。

1.3.2 業業業業業業

隨著企業資訊化和電子商務的產步日益加速，許多企業對於營運中斷的時間
已大幅的縮短，甚至如亞馬遜書店等線上購物服務業者，幾乎難以忍受數分鐘的
營運中斷，因而有業務永續規劃的出現。目前業務永續規劃的趨勢是除了機房毀
損這類的災難外，漸漸的考慮到其他導致營運中斷的原因，包括病毒入侵、罷工、
大規模員工生病或傷亡、ISP 網路服務中斷、系統操作錯誤造成當機等。由於考慮的
狀況比前節所述災難回復規劃的範圍要廣，因此回復策略更為多元化，針對不同
的災難狀況可以有不同的回復策略，業務永續計劃的產容也因此更廣泛。業務永
續計劃通常可涵蓋下面四種計劃：

 災難回復計劃：目標是在異地回復重要的電腦應用系統。
 業務回復計劃(Business Recovery Plan)：目標是在異地回復重要的業務程
業業
 業務復原計劃(Business Resumption Plan)：目標是在原地回復重要的業務
功能。
 應變計劃(Contigency Plan)：目標是以非正規的方法或臨時替代方案來讓
業務功能持續。

以銀行為例，因洪水而導致市電中斷且發電機全毀，業務因而必須中斷數日，
在進行業務永續規劃時就應該將存款業務、個人金融業務、信用卡業務等重要的業
務均納入考量範圍，並找出支援這些業務的重要資源以納入規劃範圍產，包括

 區域網路和廣域網路

-5-
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

 電信和通訊線路
 業業業業業業業業業
 應用系統、軟體和資料
 資料儲存媒體
 辦公場所及設施
 生產環境的作業流程及表格等供應品
 業業

災難發生後，首先需依據計劃進行緊急應變與搶救，包括成立緊急應變指揮
中心、災損財務評估、法務評估、媒體溝通、動員回復團隊等。之後在異地進行資訊
系統與業務兩方面的回復。原地的復原依據人力狀況可以平行進行或稍後進行，
等原地復原完成後再將資訊系統與業務都移回原地。

1.4 規劃的生命週期

如下圖，業務永續規劃的生命週期包括四個主要階段：

 研訂業務永續規劃的範圍及計畫管理 – 此階段激發業務永續規劃的認知業
定義業務永續歸劃的範圍、提供進行規劃所需的資源、指明規劃團隊和職
責、協調規劃工作的進行。此階段詳見第二節。
 業務衝擊分析 – 此分析協助企業認清營運中斷對業務造成的衝擊，指出
持續營運必要的重要的業務、系統和資料。此階段通常也包括風險評估與
管理在產。此階段詳見第三節。
 回復策略評估與發展業務永續計劃 – 此階段利用業務衝擊分析的結果產
生業務永續計劃，包括計劃的實作、測試及維護。此階段詳見第四、五、六
業業
 計劃核准和實作 – 計劃獲得最高管理階層的簽字認可，對企業產部實施
認知教育和宣導，並發展計劃更新的維護程序。此階段詳見第七節。

業務永續計畫中應該涵蓋的四個要素是：

 支援業務與營運的基礎建設，包括技術平台、電信、區域網路等。
 業務支援功能包括人事、採購、外部的服務供應商等。
 實體設施如辦公場所、水電供應、辦公設備等。
 業業業業業業

不過必須注意的是業務永續規劃和災難回復規劃的最優先考量都是人員的安

-6-
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

全，當搶救或回復重要的業務或系統與人員的安全發生衝突時，人員安全永遠是
最優先的。事實上，地震、火災或毒物之類災難都可能危害人命，因此人員疏散和
安全程序是計劃中的必要元素之一。

1.5 災難的定義與實例

災難的定義是人為故意或無意的違反安全的行為，或是天然的災害，將造成
業業業業業業業業業業
許多災難無法預測而且災難具有多種面貌，例如 2000 ， 6 月日本雪印乳業公
司爆發的食品中毒事件，超過一萬人中毒，不但大阪廠被迫關閉，且品牌信譽遭
受重創。又如2003 年初針對 SQL 資料庫軟體的蠕蟲(Worm)攻擊，造成許多公司業務
所賴以維繫的網路服務中斷，業務因而被迫停頓。2001 業業 911 業 業 業 2002 業業 Johnny Walker 酒品廣
告侮辱台灣事件更是人盡皆知的災難導致企業業務中斷或衝擊的實例。
天然的災難的分類大略如下：

 火災、爆炸、毒物產染
 地震、颱風、洪水、氣候驟變
 斷電、斷水、其他公共設施服務的中斷

人為的災難的分類大略如下：

 恐怖活動、駭客行為、蓄意攻擊
 罷工、怠工
 因緊急疏散所造成的營運人力不足(可能導因於天然災難或人為災難，如
SARS 感染)
 通訊基礎建設毀損或故障

1.6 回復時間目標與回復時點目標

所謂最大可容忍中斷時間(Maximum Tolerable Downtime業 業 業 MTD)業 業 業

務功能還可能成功回復的最大中斷時間，超過 MTD 則業務功能將永遠無法回復，
因此一般來產最大可容忍中斷時間越短代表該業務功能越重要。
進行業務永續規劃或災難回復規劃時必需綜合考量各業務功能的 MTD， ，
依據企業主的風險意識篩選出重要的業務功能，便可以定出回復時間目標
(Recovery Time Objective業 業 業 RTO)業RTO 是指業務功能或應用系統必須在此時
間之產回復，例如 RTO = 12 小時代表災難造成的業務中斷必須在 12 小時產回復，業務停
， 12 小時所造成的衝擊是企業可以忍受的。

-7-
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

產外，資料是回復成功最重要的因素就是資料，因此在規劃時也必須評估並
業 業 業 業 業 業 業 業 (Recovery Point Objective業 業 業 RTO)，這是指業務回復所需資
料的時點，例如RTO = 6 小時表示從災難發生前 6 小時到災難發生這一段時間的資料可
以容許遺失，企業可以用人工或其他方式將這些資料回補，因此不會發生業務無
法回復的狀況。下圖顯示 RTO 業 RPO 業 業 業 業

業業業業 業業業業
RPO RTO 業業
X
業業業業業業

業業業業業業業業

2. 業業業業業業業業

業務永續專案管理是業務永續規劃生命週期的第一階段，主要是定義業務永
續計劃的範圍和計劃相關的其他要素。此階段通常需檢視企業營運和相關的支援
服務，定義計劃的活動則包括：產生具體工作項目的職責、列出所需的資源、以及
定義所採用的管理實務。由於個人電腦的發達，許多企業的營運都變成分散處理
的形式，必須注意本階段雖屬集中式的規劃，但應該涵蓋這些分散的作業程序和
業業業

2.1 業務永續專案產始

要催生一個業務永續專案，其步驟包括：

 建立業務永續計劃的必要性與溝通
 業務永續專案的推動組織
 現況評估與經費取得
 規劃團隊與職責
 取得行政首長核准

-8-
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

2.1.1 業業業業業業業業業業業業業業業

一個企業為何需要建立業務永續計劃，必須要有企業行政首長及全體員工認
同的理由，因此必需嘗試找出下列可能的動機：

 法律對業務永續計劃的要求和限制
 業界公協會或相關團體對業務永續計劃的規定
 主管機關對業務永續計劃的建議
 公司政策與業務永續計劃相關法規、建議的關聯性或衝突點
 公司在實務上(例如零庫存的做法)可能造成災難發生後難以回復的狀況
 業務永續計劃的好處及其對組織任務、目標、作業的助益

透過會議與教育訓練，行政首長及全體員工了解這些動機，可幫助取得組織整體
對業務永續專案的支持，並據以發展業務永續專案的任務目標及憲章。

2.1.2 業業業業業業業業業業業

行政首長是業務永續專案的推手，且行政首長對於計劃各階段的成敗負最大
的責任，包括專案的產始、計劃實作和計劃測試的監督管理、災難發生後的回復督
導等。行政首長的支持是必要的，如果缺乏他們對有形、無形資源的承諾，將導致
專案失敗。基於「適度勤勉」(Due Diligence)的概念，如果未遵循業界「適度勤勉」的
標準而導致災難發生後難以回復及嚴重損失，投資大產對行政首長和董事會將無
法諒解。因此行政首長全力投入業務永續專案，不論對公司或個人都是最有利的
策略。由於資訊系統對企業的重要性日增，所謂「適度勤勉」的範圍也就包括防止
資訊系統功能的喪失。此外，許多決策也需要行政首長來完成，例如業務與系統
的重要性排序、企業對責任的聲明、對災難和緊急狀況的認定與回復團隊的產動等
除了行政首長的推動之外，由於業務永續計劃會牽涉到企業產部許多部門的
人員，因此產生一個涵蓋重要業務部門和業務功能的推動委員會(Steering
Committee)是全體動員的第一步。其他業務部門的人員稍後會涉入，尤其是在計劃
實作和教育認知的階段。
推動委員會的職責是產生、實作、測試業務永續計劃。其成員包括高層管理人
業(董事長、董事、總經理、副總經理等)的代表、各業務單位的代表、資訊系統管理部
門的代表、安全管理部門的代表等。推動委員會一開始需先定義計劃的範圍，以便
於災難發生後迅速回復並將財務、資源的損失降低。
下表顯示職掌的摘要產明。

-9-
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

業業/業業 業業
業業業業業業 計劃產始、最後核准、給予計劃持續的支持
各重要業務部門管理人員 指出重要的系統、資料及其排序
推動委員會 督導業務永續計劃的規劃、實作、測試。
功能業務單位 參與業務永續計劃的實作、測試

2.1.3 業業業業業業業業業

為了向行政首長爭取成立業務永續專案，首先必須了解企業的組織與業務，以
及業務永續相關的現有計劃與規範，才能決定專案的範圍大小及人力和經費的需
求。透過問卷或是面談的方式，嘗試取得下面問題的答案及相關文件：

 企業產共有多少業務功能 ? 各業務功能的產容為何 ?
 各業務功能的人員組織及地點(組織圖和員工清單) ?
 是否曾經做過風險評估 ?
 有無產部稽核或外部稽核的報告 ?
 資訊系統的架構和資料庫分佈為何 ?
 是否有資訊系統的庫存、設備、通訊設施、供應商的清單 ?
 資料備份的機制 ? 資料是否有異地備援 ?
 是否能提供年度報告 ?
 是否有文件產明業務中斷相關保險的範圍和條件 ?
 是否有緊急應變、逃生疏散、消防救災相關的規範或程序 ?

如果企業已經有業務永續計劃，也不代表該計劃是有效的，可嘗試取得下列
問題的答案，以便了解業務永續計劃是否已經年久失修，甚至可能業務功能、資
訊系統和人員都已發生過重大的異動，則成立業務永續專案來整修或重新產生業
務永續計劃仍然是必要的。

 過去一年有無修訂業務永續計劃的紀錄 ?
 詢問幾個回復團隊的成員，他們是否了解回復的職責和程序 ?
 詢問幾個回復團隊的成員，他們的緊急聯絡電話是否正確 ?
 是否所有重要的系統都有回復程序和回復資料來源 ?
 災難發生時要從異地儲存的資料中取得產些資料是否清楚 ?
 回復成員是否有回復資料的權限 ?
 計劃中是否有載明重要的回復資源 ?
 設備規格和組態是否有明文記載 ?
 回復成員是否有代理人 ?

- 10 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

 有無業務永續計劃的測試紀錄 ?

一旦定義了業務永續專案的範圍，便可以較正確的估計所需的經費和資源，
之後才能和行政首長協調資源和財務的支援，並得到行政首長的承諾。

2.1.4 業業業業業業業

為了讓業務永續專案成功的執行，必需定義出下列的規劃團隊及其職責：

 業務永續規劃團隊，成員可能涵蓋多個地點或多個部門
 緊急應變團隊(Incident Mnagement Team)
 回復團隊(Recover Team)和復原團隊(Restoration Team)

規劃團隊必需發展和協調業務永續專案的行動方案，並應該發展專案管理和專案
執行過程的文件紀錄需求。

2.1.5 業業業業業業業業

當整個業務永續專案的產容成形後，必須向行政首長報告專案的目的、產容、
專案成員、時程與經費需求，並取得行政首長核准。行政首長的支持和承諾是業務
永續專案成功的最重要因素，因此在專案執行過程中也必須經常性的對行政首長
進行狀態報告，讓他了解重要的進展和相關資訊。

2.2 業務永續專案管理

業務永續專案的管理與一般的專案管理類似，必需發展計劃的各個階段，包括
問題探索、問題定義、可行性分析、系統描述、實作、安裝、審產等。因此必需設置一
位專案經理，其職責包括：

 ，， BCP 計劃特性，包括目標、任務、資源、時程、成功要素
 業業業業業業業業業業業
 評估並監控業務永續專案的風險
 研訂專案的細節和時程，包括里程碑、甘氏圖、PERT/CPM 圖、使用電腦
排程軟體進行時程安排等
 監督和管理業務永續專案相關活動
 追蹤和報告業務永續專案的進展
 業務永續專案的異動管理

- 11 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

3. 業業業業業業業業業業業

3.1 業業業業 (Risk Assessment)

風險評估的主要目的是衡量企業所面臨產在和外在環境中的風險，指出組織
和營運體系所在的建築物或營業地點所面臨的威脅(Threat)、這些威脅所能利用的
業業(Vulnerability)、以及降低風險的設備、方法與措施。將風險降低至可接受的程度
是風險評估的主要目的，企業可依據自身對風險的判斷、對風險的容忍度、可用以
改善風險的資源等來採取適當的行動，讓殘餘風險(Residual Risk)， ， ， ， ， ， ，
業業業業業業業
進行風險評估可以就下面幾方面的威脅來進行，包括颱風、火警、爆炸、產部
電力中斷、市電中斷、洪水、空調系統失效、產部管線毀損、地震、供水失調、通訊故
障、交通運輸失靈、人員生產力喪失、外部人員侵襲、設施與設備安裝不當、鄰近地
區災害、資料處理不當、產部人員疏忽或故意破壞等，蒐集證據判斷這些威脅是否
可能利用現有營運體系的弱點而造成重大的營運中斷，最後找出降低這些風險的
所有可能方法並進行優劣分析。
以外部人員侵襲的威脅為例，外部人員可能利用門禁管制鬆散、網路連通且
防火牆設定不當等弱點進行侵襲，因而造成重要營運設備失竊、實體設施破壞、人
員傷亡、資料損毀或遺失等後果。對於這種風險，企業可能採取的因應措施包括產
請保全人員加強巡邏、安裝 CCTV 監視錄影器材、建造圍牆與適當照明、製作人員
識別證、採用指紋辨識系統、防火牆委外管理、敏感資料一律以書面保管而不允許
電子檔、保險等。企業需針對每一項因應措施進行優劣分析，考量人力、經費、降低
風險的效果、對營運效率的影響、可接受的殘餘風險等，再依據管理高層的授權進
行一項措施或多項措施的實作，以達到風險控制的目標。

3.2 業業業業業業

實體設施檢視服務的目標是針對企業的電腦機房或辦公環境的電力、空調、消
防、實體安全管理，由實體設施的專業顧問進行現場及週遭環境的檢視與相關人
員訪談，並產出風險評估報告，詳列改善建議。具體工作項目包括：

 檢視機房或辦公環境所在地理位置和環境，包括週遭是否有產染或危險
性的工廠或設施、是否位於重要幹道或高速公路旁、是否位於河流附近、
過去淹水紀錄、治安及犯罪狀況、附近是否有銀行和軍事單位等敏感機關

- 12 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

同一棟建築產是否有餐廳、過去有無天氣劇變災害等。
 檢視建築結構及相關執照、是否有改建或違建、建築材料的防火性、防震
設計、排水管路、施工檢驗及報告等。
 檢視進出門禁管制和警衛巡邏的規定與落實狀況。
 ，， CCTV、紅外線物體偵測設備、移動及震動偵測設備等。
 檢視消防設施，包括火警偵知設備(偵煙器、偵溫器、火災報知器)、滅火設
，(滅火器、氣體滅火設備、消防灑水系統)、消防相關管線、鄰近的消防單位業
消防警報連線系統、二次災害預防等。
 檢視電力設施，包括是否有雙迴路電源、接地系統及避雷系統、配電設備
不斷電系統及供電時間、緊急發電機與儲油、靜電(ESD)業 業 業 業 業 業 業
，，(EMI)相關設施、電力相關管線等。
 檢視送風空調設施，包括冷氣機、冷卻水塔與冷卻用儲水、送風空調相關
管線、機房產氣壓之正負、機房產溫產度、是否有凝結水等。
 檢視實體設施相關作業、維護、測試，以及災難發生之人員疏散、搶救、教
育訓練等程序及相關紀錄。
 檢視實體設施相關政府法規的符合性。

3.3 業業業業業業業業業業業

資料保護與系統安全檢測的目標是企業營運所需的電腦設備、網路系統、資料
等，包括硬體、軟體、韌體、電子資料、書面資料，由專業資訊安全工程師檢視當地
(On-site)及遠端的主機系統、資料儲存和網路安全，並產出報告與建議，才能據以
提昇資料和系統的安全性，降低資料和系統毀損的機會。具體工作項目包括：

 檢視資訊系統的架構，包括主機、伺服器、個人電腦、網路設備。
 檢視應用系統以及其關聯性。
 檢視應用系統所產生的資料，包括電子資料和書面資料，並清產其間的
業業業業
 檢視重要資料的備份程序、備份頻率、備份資料儲存媒體管理、異地備份
環境及安全狀態、異地備份資料管理、異地備份及還原程序、異地備份運
業業業
 檢視重要資訊系統是否為最小化安裝，產看系統中是否有非必要的程式業
網路連接埠、範例程式或產本(Script)業
 檢視重要資訊系統的帳號管理狀況，產看系統中是否有非必要的帳號，
並產核密碼的安全性及密碼政策。
 檢視重要資訊系統是否安裝了最新的安全性修補程式(Patch)業
 針對重要資訊系統或網段進行系統弱點掃描，找出主機系統潛在的弱點，

- 13 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

並提供修補建議。
 實施遠端入侵測試作業，自遠端透過 Internet 以各種方式進行模擬入侵，
藉以檢測系統潛在可能被入侵的弱點和管道，並提供修補建議。
 檢視系統安全相關作業、維護、測試、教育訓練等程序及相關紀錄。
 檢視系統安全相關政府法規的符合性。

必須注意的是其中系統弱點掃描及遠端入侵測試均具有潛在的當機風險，測試前
必須先知會相關人員，並選定適當的時間執行測試。測試前對重要的系統和資料
需進行備份，且測試中相關人員亦需提高警覺及待命。

3.3.1 業業業業

經常性的資料備份是資料保護最基本的方法，雖然實務上最常採用的是每日
備份，不過依照資料的性質還是有些採用幾天一次或一週一次的定期備份。
就備份資料的儲存媒體來產，一般常用的包括：

 業業
 ， ， ， ， ， ，
 硬碟或硬碟陣列
 業業
 儲存區域網路
 業業業業

就備份資料的方式來產，則包括下列三種：

 業 業 業 業 (Full Backup)：將系統或資料庫中所有的資料都進行備份，顯
然這是最安全的備份，而且資料回復時也是最簡單的一個步驟即可。但
完整備份同時也是最耗時間的一種方式，不見得能每日實施。例如下圖
中在備份點 3 做完整備份需要將 P業U1業U2 的資料都備份起來。
 業 業 業 業 (Differential Backup): 此備份方式可找出自上次完整備份之後發
生異動或新增的資料，且僅備份這些差異的部分。資料回復時必需包括
回復上次完整備份以及回復最新的差異備份兩個步驟。例如下圖中在備
業業 1 做最近一次的完整備份，在備份點 2 ，， U1 的資料，在備份點 3 ，，
U1業U2 的資料，在備份點 4 ，， U1業U2業U3 業業業業
 業 業 業 業 (Incremental Backup)：此備份方式可找出自上次完整備份或上
次漸進備份之後發生異動或新增的資料，且僅備份這些差異的部分。這
是三種方式中最節省時間的方法，但回復資料也最麻煩，必須先回復上

- 14 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

次完整備份，再依序回復個別的漸進備份。例如下圖中在備份點 1 ， ， ，
一次的完整備份，在備份點 2 ，， U1 的資料，在備份點 3 ，， U2 的資料，
業 業 業 業 4 ，， U3 業業業業
P U1 U2 U3
業業
業業業 1 業業業 2 業業業 3 業業業 4

備份資料媒體上必須有清楚的標示，才能正確的進行資料回復與日常管理。

3.3.2 業業業業業業

即使採用最可靠的備份系統與備份媒體，將所有的資料放在同一地畢竟是危
險的，火災或洪水可以輕易的毀損所有的營運環境資料和備份資料，因此將備份
資料存放於異地才較有保障。備份資料存放於異地必需考量的因素包括：

 異地的距離不可太接近，以防止區域性的災難發生毀掉所有的資料，因
此重要的備份資料應該放置於 30 ， 50 業 業 業 業 業 業 業
 備份資料運送的方便性與安全性，包括使用安全性的容器來放置備份資
料媒體，如果人力上無法自行運送，也可以委託專業的保全業者處理。
 保管備份資料的異地，其安全管制的要求需與營運環境相同，此部份也
可以尋找專業的資料保管業者並簽訂服務水準協議(Service Level
Agreement)業
 備份資料媒體應該定期的維護及驗證，例如磁帶每半年迴帶一次、資料
讀出並載入系統進行驗證等。

3.3.3 業業業業(Network Storage)

過去在大型主機時代，資料就儲存在大型主機產的磁碟上。但隨著科技的進
步，需要儲存或備份的資料量與日俱增，有更多人需要存取資料，因此透過網路
來進行資料的儲存和存取便成為一種趨勢，市場上某些資料中心業者也利用網路
儲存來提供資料備份或儲存空間出租的服務。網路儲存有三種架構如下圖，產明
業業業

- 15 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

直接連接 網路連接 儲存設備

儲存設備 儲存設備 區域網路
(DAS) (NAS) (SAN)

應用系統 應用系統 應用系統

檔案系統 網路 檔案系統

儲存設備 網路
檔案系統

儲存設備 儲存設備

 直接連接儲存設備(Direct Attached Storage業 業 業 DAS)：這是將儲存裝

置直接連接到主機，最常見的 DAS 就是個人電腦或伺服器產部透過排
線連接的硬碟，包括外接式的硬碟。到目前為止，DAS 仍是電腦系統用
來儲存資料最常用的方法。
 業 業 業 業 業 業 業 業 (Network Attached Storage業 業 業 NAS)：這是將儲存
裝置透過特殊的介面和網路相連，此介面具有 IP 地址可以讓客產端的電
腦透過閘道伺服器來存取，在某些情況下也可以讓客產端的電腦直接存
業業NAS 的好處包括：
a. 網路上多部伺服器的作業系統可能都不相同，但仍能將資料集
中儲存在儲存設備中。
b. 可提高安全性並使管理簡化。
c. 擴充性相當良好，可隨時擴充儲存容量。
d. 某部伺服器當掉也仍然可以透過其他的伺服器來存取資料，提
高資料的可用性。
此外，為了防止 NAS 儲存裝置造成單點失敗(Single Point of Failure)，
可以採用RAID(Redundant Array of Inexpensive Disks)這類的容錯裝置。
 儲存設備區域網路(Storage Area Network業 業 業 SAN)：這是將一組儲存設備透
過網路和特殊的交換器(Switch)連接在一起，並連上一部或一組伺服器
作為存取的窗口，SAN 上面的儲存設備則透過完全獨立的網路進行溝通，
不佔用企業產部網路的頻寬。為了達到大量快速傳輸資料的目的，此網
路甚至可用光纖來實作，傳輸速度可高達 10 Gbps， ， ， ， ， ， ， ， ， 6
業業業

- 16 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

3.4 業務衝擊分析(Business Impact Analysis)

不論風險評估做得多麼完整，降低風險的措施多麼有效，企業都不可能將風險
完全消除，因此災難還是有可能會發生。因此企業必須進行業務衝擊分析，找出
對企業營運重要的業務、系統和資料，對針對這些業務、系統和資料進行回復的規
劃。簡言之，風險評估的重點是「有效降低風險」，而業務衝擊分析的重點是「找出
重要而必須回復的資產」。業務衝擊分析的結果是一份分析報告，用來產明災難可
能產生的衝擊程度、業務的重要性排序、對於業務中斷的忍受程度、業務回復所需
要的資源等。

3.4.1 業業

業務衝擊分析有三項目標：

 決定重要性排序：重要的業務功能必須被指認及排序，並衡量災難所造
成的衝擊。一般來產必須依據業務所佔比例、客產數目、客產對中斷的忍
受程度、法規對中斷的懲處、公司股價下跌等因素來評估，顯然限時性
(Time-critical)的業務功能其排序可能會比非限時性的業務功能為優先。
 估計可容忍中斷時間：業務衝擊分析必須找出營運上最大可容忍的中斷
業業 MTD，亦即重要業務可以中斷但不至於無法回復的最長時間。實務上
分析的結果經常會發現 MTD 比管理高層人員所想像或猜測的要短。
 找出資源需求-重要業務或程序所需要的資源需求也必須找出來，尤其是
限時性越高的業務所分得的資源也應該越多。

3.4.2 業業業業業

災難對企業營運中斷所產生的衝擊種類包括下面兩類：

 業 業 業 業 業 業 (Financial Assessment)而得到的定量衝擊：包括資本的損失業
對現在和未來的營業額損失、額外的營運支出、搶救災難必要的支出、人
員傷亡的賠償、違約引發的賠償金、違反法規而形成的罰款、作業流程變
更造成成本增加、股價下跌損失、與客產或媒體溝通的成本(公關處理費用
業 業 業 業 )、員工閒置的人力成本等。
 業 業 業 業 業 業 (Operational Assessment)而得到的定性衝擊：包括客產滿意
度降低、客產流失、危害供應商或合作夥伴關係、員工離職、商譽損失、員
工對企業喪失信心、市場佔有率下滑等。

- 17 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

在估算這些衝擊時，並不需要考慮災難的本質或是災難發生的機率，假設前提是
災難已經發生而且已經造成營運中斷。產外，實務上要評估定量衝擊，有時候是
很困難而且需要花費相當龐大的人力、物力，一種做法是以評分的方式來估計，
例如將定量衝擊分為 1 ， 10 的等級，再決定損失金額大約是屬於產一個等級。

3.4.3 業業業業

業務衝擊分析通常由四個步驟所組成，包括：

 蒐集執行評估所必要的資料
 業業業業
 整理分析所取得的資料
 將結果與建議寫成報告

第一個步驟是蒐集執行評估所必要的資料。業務衝擊分析的第一步是指出企業
或組織中的重要業務，這些業務對於持續營運會有決定性的影響。首先應該蒐集
企業或組織的架構圖，包括業務架構圖與人員的執掌與配置狀況。其他包括年報、
產部稽核報告、網站上的產品與服務等資料也應該蒐集研讀，以確認主要的業務
產容與支援架構。

蒐集資料之後，必需進一步檢視及釐清各業務功能的互動與支援關係，亦即
各業務單位之間的關係必需弄清楚，經由這些了解可以排出各業務單位的重要性
順序、替代的業務處理功能等。

第二個步驟是衝擊評估。衝擊評估和風險評估有些類似，但是和完整的風險評
估相比較，衝擊評估的範圍比較小，而且比較專注於取得業務永續規劃或是災難
回復規劃所需的資訊。透過前節所述的財務評估和營運評估，可以比較出不同業
務所受到的衝擊大小。衝擊評估通常透過問卷調產或是和各業務部門主管的面談，
取得有用的資訊來進行分析。主要的問題包括：

 業務部門的功能為何 ?
 業務部門的組織與分工為何 ?
 業務部門的作業流程為何 ?
 業務部門的回復預期時間為何 ? 為什麼 ?
 業務中斷對業務部門及企業的定量衝擊與定性衝擊為何 ?
 回復業務所必需的支援要素為何 ?

- 18 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

 現有的資料備份與資料保護措施為何 ?
 現有的應變措施或回復計劃為何 ?

在前述問題中，了解回復業務所必需的支援要素也是非常重要的。這些支援要素
是業務單位持續營運、維護人身安全、避免公關危機所必須的，包括：

 電信與數據通訊，以及資訊技術
 實體設施的基礎建設(如水電供應、溫產度調節等)和交通服務
 會計、薪資、人事、交易處理、客產服務、採購等行政支援

這些可讓營運持續的支援要素相關的人員、資源、服務也都應該同時被找出來。

註：此種透過各部門經理的問卷或訪談以找出重要業務功能的問卷調產方法，也
可以稱為重要性調產(Criticality Survey)。此類方法包括美國國家安全局所推廣的資
訊安全評估分法(InfoSec Assessment Method; 業業IAM)，產外也涵蓋在安全系統工
程能力成熟模式(Security Systems Engineering Capability Maturity Model; 簡
寫SSE-
CMM)業業

第三個步驟是整理及分析所取得的資料。在這個階段必需進行的活動包括：

 業業業業業業業業業
 找出業務之間的關聯性
 決定可接受的中斷時間

本階段的目標是清楚的描述讓營收和主要業務程序能維持的支援要素，包括維持
交易處理水準或客產服務水準等。因此分析的層面需要涵蓋企業所有的業務範圍。

第四個步驟是將所有業務流程、作業程序、分析及結果寫成一份完整的業務衝擊
分析報告，並對行政首長和高階經理人員進行簡報，產明分析的結果和建議。
業務衝擊分析報告應該包括：

 先前所蒐集的資料
 定量衝擊與定性衝擊的摘要
 所找出來的支援要素
 業務回復順序的建議

- 19 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

3.4.4 業業業業業業業業業

雖然此項工作通常不屬於業務衝擊分析，但現在企業對資訊科技的倚賴日深，
資訊系統通常是業務營運的支援要素之一，因此找出業務回復的順序之後，接下
來資訊部門就應該設法找出支援重要業務的資訊系統和資料，以及資訊系統和資
料之間的關聯性。針對這些資訊系統和資料，資訊部門應該進行下列產核，以提
業業業業業業業業業業

 是否有適當的備份及回復程序，包括資料媒體儲存於異地
 是否有適當的實體安全設施以保護重要的電腦設備和網路
 是否有適當的資訊安全機制(如身分辨識、存取管控等)業 業 業 業 業 業 業 業
 是否有適當的系統管理，包括軟體、硬體、儲存媒體的最新庫存及管理

- 20 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

4. 業業業業業業

根據業務衝擊分析的結果，並依據企業行政首長的風險意識和風險承受能力，
企業應採取必要的措施來確保重要的業務在災難發生後能回復，例如重要資料進
行異地備援或定期備份以便進行災難後的快速回復、建置異地備援處理中心來因
應建物崩坍或交通中斷等。但究竟要採取產些措施？所採取的措施是否真正經濟
有效？這是完成業務衝擊分析並得知應回復的業務、系統和資料之後，接下來必
須進行的回復策略評估工作。
業務衝擊分析的結果可能出現不同業務具有不同回復時間目標的狀況，如下
圖所示，業務 C 希望能在中斷12 小時後完全回復，業務 B 希望能在中斷2 天後完全回復，
業業業 A 則在10 天產都還不需要完全回復。因此不同業務的回復策略也需依據其回復
時間目標而有所不同。

100%
業務C

75%

業務 B
50%

業務 A
25%

回復時間目標
2小時 6小時 12小時 1天 3天 5天 10天

產一個研訂回復策略的考量是回復所需的成本，如下圖所示，因業務中斷所
造成的損失是隨著回復時間的增加而遞增，但回復所需費用是隨著回復時間的增
加而遞減，因此可考慮採用兩者相加為較低的回復策略。

- 21 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

- 22 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

衝擊/成本

總額

選擇總額較低
的區間
業務損失

回復成本

回復時間

其他研訂回復策略需要考慮的因素包括：

 電腦機房的軟硬體配備及作業能量
 業務單位軟硬體配備的一致與否
 語音及數據通訊需求
 ， ， ， ， (空間、設備、供應品、重要文件等)
 必需的員工數量
 地理位置和交通

一般來產回復策略包括下列幾種，各有其優缺點，也可以混合採用，企業必
須依自身業務的特性及前述各方面的考量來進行取捨。

 業務分散
 業業業業
 業業業業
 業 業 業 (Cold Site)
 業 業 業 (Warm Site)
 業 業 業 (Hot Site)
 業業業業業業
 備援機房
 移動式辦公室或機房
 業業業業

- 23 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

4.1 業 業 業 業

業業業業業業業業業業業業業業業業業業業業業業業業業業業業業業業業業
散的分支機構或處理中心進行處理，可以互相備援並降低災難的衝擊。各處理中
業 業 業 業 業 業 業 業 業 (Load Balancing)及災難時互相備援的狀態。這些處理中心可
業 業 業 業 業 業 業 業 業 (業 業 業 業 業 業 業 業 業 業 業 業 業 業 業 )，也可能透過互助協議
來達成。
此方法的好處除了成本較低之外，各處理中心的資源和支援分享也是優點之
一。缺點和互助協議一樣，當大規模災難發生時可能將所有或大部分處理中心摧
毀。此外維護各處理中心的組態一致也是很耗費資源的。

4.2 業 業 業 業

若業務或系統並無立刻或短期回復的必要，也可以考慮在災難發生後再進行
採購，但需考慮地區性災難後的搶購及漲價等因素。

4.3 業業業業(Mutual Aid Agreement)

互助協議是和其他具有相似計算環境的公司簽訂協議書，亦即兩個公司具有
類似的硬體、軟體、網路架構、Internet 連線等。此種協議是當災難發生時，未受害或
仍有計算能力的公司願意支援受害的公司回復其業務。此種協議的假設前提是這
些公司具有多餘的計算能量，因此在災難發生後，除了進行自身的正常業務之外業
還能幫助對方回復部分重要的業務。除了情況特殊的公司之外，較少公司會符合
此假設前提。
此種協議明顯的好處是災難回復所需的備援機房成本極低，而且如果真的能
找到一個網路作業系統、資料通訊需求、交易處理程序都相近的公司，此種協議可
能真的是可行的。一般來產同一集團產部業務相近的子公司較有可能。
一般來產，此種協議有嚴重的缺點，除非別無其他選擇且能找到「完美的產
一半」，否則不該輕易選擇此種回復方式。首先是很少有公司真的有多餘的計算能
量可以用在其他公司的災難回復。其次，與溫機房和熱機房比起來，此種協議所
能提供的立即反應能力和支援都較差，因此只能用在短期的回復支援。
當然也不能排除一個大災難可能使兩個訂有協議的公司都受害，因此雙方都
無法回復，此種風險也是互助協議難已被採用的原因之一。

- 24 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

4.4 業 業 業 業 (Subscription Service)

產外一種災難回復的方式是採用訂購服務，由專業的訂購服務業者提供災難
後所需的備援和設施以進行回復，這是災難備援機房最普遍的做法。訂購服務業
者多半會採用資源專屬與資源共享兩種做法，前者的保障性較高但較昂貴，後者
則因多個客產分擔資源的費用，因此價格較低，但大規模災難發生時「先宣告先
服務」的做法則較無保障。一般訂購服務業者的合約對於災難宣告多半提供 6 ~ 8
週的資源使用，超過時間則產外計費。
訂購服務基本上有三種，分別為

 熱備援機房(Hot Site)
 暖備援機房(Warm Site)
 冷備援機房(Cole Site)

4.4.1 業業業業業

熱備援機房配備災難回復必須的網路、電腦設備(伺服器、終端設備、印表設備
業)、應用系統、水電空調、辦公設施，是最高級且最昂貴的一種服務。熱備援機房產
的應用系統與資料都與正式營運環境同步，理論上只要將上次資料備份後的異動
檔倒入就可以開始繼續營運。更有甚者，如果採用遠端同步紀錄(Remote
Journaling)，亦即每個交易處理同步在正式營運環境和熱備援機房產完成，回復
時間可能縮短到幾乎為零。
顯而易見，熱備援機房的好處包括七天 24 小時隨時可回復的能力、專屬資源
的保障、中斷發生後能立即或在很短的時間即回復，對於短期的中斷或長期的中
斷均能有效的回復與支援。
為了維持熱備援機房的同步，包括網路、硬體、軟體、應用系統、資料都必須隨
時注意與正式營運環境相同，所需要的人力、物力相對龐大，對於沒有專門的維
護人員的企業來產更是困難。
熱備援機房的其他缺點包括：
 這是一種最昂貴的服務，支援此服務的其他服務也都不便宜。
 某些訂購服務業者為了節省成本，可能會過度銷售其資源，例如將一部
Tandem 大型主機分享給兩個以上的客產，並聲稱產不可能客產會同時宣
告災難。當大規模的災難發生時，仍會發生資源不足的現象。
 由於熱機房中含有所有線上交易資料的備份，因此熱機房的安全控管機
制至少要和正式營運環境一樣有相同的水準。因此必須稽核訂購服務業者
在這方面的做法是否符合要求。

- 25 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

 由於熱機房的環境必需維持與正式營運環境相同，包括軟硬體的同步更
新、修補程式的同步安裝等都必須耗費許多資源。

4.4.2 業業業業業

暖備援機房是介於熱備援機房和冷備援機房之間的服務，就像熱備援機房一
樣配備災難回復必須的水電空調設施，但應用系統可能未安裝或設定，可能有資
料處理設備(伺服器、印表設備等)但是辦公所需電腦設備可能沒有。很難短期建置
或安裝的網路設備和線路可能會有，但短期可調度的網路設備和線路則不需要。
在暖備援機房產進行回復，一方面需要在短期產取得辦公所需電腦設備，產一方
面可能需要安裝資料處理設備的軟體並將資料由備份媒體回復。

暖備援機房的好處是

 成本比熱備援機房要低很多
 由於對安全控管的要求比熱備援機房低，因此在地點和環境上有較多的
，，
 管理維護的成本比熱機房低

暖備援機房的主要缺點是災難發生後，通常需要花費較大的人力、物力和時
間進行回復，若非需要極短時間產回復的業務，暖備援機房不失為一個好的選擇，

4.4.3 業業業業業

冷備援機房相對前兩種選擇來產是回復時間最久且最困難的一種選擇，但也
是實務上最常用的一種。冷備援機房是已有機房基本設施的空機房，包括高架地
板、空調、消防及門禁設施、水電供應等，但冷備援機房產沒有資料處理設備和辦
公所需電腦設備，網路設備和通訊線路則可能有也可能沒有。因此在回復時必須
先將電腦搬進去，安裝作業系統和應用系統，之後從備份媒體將資料載入。
冷備援機房事實上並非災難回復的良好選擇，主要是因為回復時間相當長，
其間的變數增多。此外，要想進行較完整的演練或是平行交易處理(Parallel
Transaction Processing)都很困難，因此很難判斷冷備援機房到底能否成功的回復。
冷備援機房的優點還是價格優勢，如果企業的災難回復預算真的很有限，冷
備援機房總比什麼都沒有要好一些。冷備援機房也不會有資源擠兌的問題，地理
位置也不是問題。
不過冷備援機房所帶來的安全假象可能才是最大的危機，因為直到災難發生
後才能知道回復有無可能成功，通常知道的時候已經太遲了。

- 26 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

4.5 業業業業

企業產部可自行準備一些重要零件或系統的備品，以便災難發生後能立即派
上用場。企業也可以與供應商訂定合約，在災難發生後的一定時間產，供應商必
須供應必要的軟硬體設備並運抵目的地。通常須與供應商簽訂服務水準協議
(Service Level Agreement)，規定在多久的時間產運抵必要的零件或系統。快速供貨
可搭配暖備援機房，實務上是可行的，但對熱備援機房是無法適用的。

4.6 業業業業業業

將重要資料拷貝並存放於異地，包括從定期備份到即時交易備份等不同回復
時間要求的資料備份選擇。目前許多資料中心都提供資料備份委外服務，由業者
提供全套的異地資料備份服務。這種服務的好處是應變迅速、可以演練，而且業者
除了備份之外還可提供其他的服務。缺點則是價格和大規模災難時資源擠兌的問
題。

4.7 業 業 業 業 業 業 業

除了前述的幾種選擇之外，還有下數幾種方式可做組合運用：

 移動式備援中心：通常是用大拖車或是移動式房屋裝載異地備援所需的
設備，具有水電空調的供應，機動性較高，可算是冷備援機房的一種變
形。
 組合屋：可與供應商簽約，在指定的地方及指定的期間產搭建可放置電
腦設備的組合屋，算是非常「冷」的一種冷備援機房。

4.8 業業業業

交易備援用來產生容錯和交易處理的高可用性，雖然交易備援並非只用於災
難備援，但通常是較大規模的災難備援計劃的一部份，採用下面這些交易備援方
法將可提高企業線上交易的可回復性：

 電子資料保險箱(Electronic Vaulting)：此方法是用批次處理的方式，透過
通訊網路將資料備份至位於異地的伺服器產。
 遠端同步紀錄(Remote Journaling)：此方法是在交易進行時，透過通訊網

- 27 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

路同步在異地的伺服器產完成相同的交易。此方法的容錯效果很高，回復
幾乎是即時的，異地的系統隨時可取代正式營運環境接手交易處理。
 資料複寫(Data Shadowing)：此方法除了採用遠端同步紀錄之外，更將交
易資料複寫至多個伺服器上，產生更高的容錯性。

- 28 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

5. 業業業業業業業業業

如同人壽保險一樣，我們當然希望業務永續計劃和相關回復程序是備而不用，
這些程序中規範了災難回復的角色、職責、細部的搶救和作業程序、企業與外界媒
體及政府單位的溝通方式、財務的考量等。

5.1 業務永續計劃的結構

前節所述回復策略決定之後，接下來便是進行業務永續計劃(Business
Continuity Plan)的制定。下圖顯示業務永續計劃的產容，主要包括緊急應變計劃和
回復計劃兩大部分。回復計劃又分為業務部門的回復計劃和資訊部門的回復計劃業
層次上包括本質屬協調管理的管理計劃，以及較細節與實務性的業務回復計劃和
IT 回復計劃。對於較小型的企業或是企業下規模較小的分支機構，回復計劃可以
不用區分層次，將管理計劃和回復的細節全部寫在一起成為小型辦公室回復計劃
，，，

緊急應變計劃

行政部門代表
高階主管 (含法務、公關 業務部門代表 資訊部門代表
人事、財務等)

回復計劃

業務部門管理計劃 資訊部門管理計劃
小型辦公室
回復計劃
功能部門業務回復計劃 資訊部門IT回復計劃

5.2 業業

企業的業務永續計劃中必需包含應變及回復相關組織，包括

- 29 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

 業業業業業業
 各部門的回復團隊
 搶
救團隊

5.2.1 業業業業業業

緊急應變團隊的成員包括應變指揮官、應變協調員、公司發言人、各支援部門
的代表。支援部門的代表包括財務、法務、人事、公關、設施、警衛、辦公室行政支援、
業務、資訊部門等，主要是負責災損評估、災難宣告、業務永續計劃產動、危機管理業
協調溝通、管理決策等工作。

5.2.2 業業業業

各部門回復團隊的成員包括部門主管、部門員工、緊急應變團隊的支援人員等
主要工作是將預定的重要業務功能在異地備援處理中心回復。在回復團隊的許多
工作中，有一項重要的工作是取得回復所需的資料和設備，包括備份磁帶、備份
媒體、電腦工作站等。取得這些東西之後，回復團隊才能進行機器設備和通訊設施
的安裝，之後再安裝重要的業務系統、應用程式及資料以便將重要的業務回復。

5.2.3 業業業業

相對於回復團隊在異地備援處理中心的工作，搶救團隊的任務是搶救及回復
正式營運環境的作業能量。一般建議搶救團隊和回復團隊是不同的兩批人，因為
後者的任務是回復重要業務營運所需的環境和資料，而前者的任務是在災難發生
後的第一時間，針對受害的正式營運環境進行災害的評估和控制、人員和財物的
搶救、災難現場的清理、修理損壞的設施和設備等。
當然人是最重要的，因此搶救團隊的所有工作都在救人之後才能開展。不過
災難發生後，現場的控制權可能掌握在警方、消防隊或救難單位的手上，這種情
況下必需進行協商且有完善的準備才有可能進入受災區域。此外搶救團隊必需具
備搶救專業能力、設備、供應品等才能清理受到煙害的儲存媒體和電腦設備、積水
清除、水漬媒體或報告的烘乾等。某些搶救工作需要委託專業廠商並由搶救團隊監
督完成，例如以特殊冷凍技術來搶救貴重的泡水資料或灰燼。
搶救團隊通常也被授權宣告正式營運環境是否可進行復舊(Resumption)，亦即
何時可在正式營運環境開始回復系統、資料和業務。這是個重大的責任，因為在通
知回復團隊進行復舊作業之前，必需檢產許多正式營運環境的要件，包括水電、

- 30 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

空調、門禁、電信通訊等。

5.3 緊急應變計劃

緊急應變計劃是業務永續計劃中層級最高的計劃，通常包括下面各程序：

 災難評估和計劃產動程序：從發現災難的徵兆或災損開始，進行對人員
和財物的損害評估，再視需求逐層的遞昇通報(Escalation)和正式產動計
劃。必要時必須集結緊急應變團隊、成立災難指揮中心、對團隊成員進行
簡報。
 計劃異動與回復建議程序：根據初步災損評估和災難發生時的人員和環
境狀況，建立災難回復的目標和建議，並決定業務永續計劃中某些程序
的修改和相關監控、稽核措施。
 協調溝通與事件追蹤程序：對災難事件回復處理狀況的持續紀錄與追蹤業
並成立媒體簡報中心、持續撰寫新聞稿和狀態更新報導、透過媒體進行廣
告和聲明、客服電話轉接與熱線聯繫電話的建置。客服和公關人員也需隨
時反應災損和回復狀況給員工、客產、媒體、供應商、官方主管機關，尤其
是對傷亡人員的家屬和所屬公司更需謹慎與積極的溝通。
 運籌支援程序：包括設施的損壞評估與回復重建、人員設備的旅運、財務
評估與資金調度、對異地和正式營運環境的電腦系統和網路的回復與重
建、飲食與信件服務、醫療救護與老人小孩的照顧、災難心理創傷和危機
諮詢、人力調度與加班輪產排程、保險的鑑定理賠與臨時性加保、合約審
產與法務評估諮詢、設備飲食等相關採購作業、資料的紀錄與管理、異地
與正式營運環境的安全警衛與宵小防範等。

產得注意的是災難和損害的評估進而產動回復計劃，這是緊急應變計劃和回
復計劃中的重要部份，基本上災難應變組織中各層級人員和計劃的產動程序必須
明確訂定，而且最好是由一組人而非一個人來擔任評估的工作。錯誤的判斷可能
業業

 低估災難情勢，造成回復的延遲並使回復相關工作事倍功半。
 高估災難情勢，造成人力和資源的浪費。

事實上，災難發生的狀況難以完全如事前的預期，一定會發生一些「計劃外」
的情況需要臨時調整計劃，例如某些員工或員工家屬在災難發生時受傷或死亡、
某些供應商因災難而無法供貨或運貨、某些客產因災難而有緊急性的需求等，這

- 31 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

些在地區性的災難如颱風、地震、毒物外洩等經常會發生。因此在業務永續計劃中
必需包含前述計劃異動與回復建議程序，將來在計劃測試時也應該設想一些意外
的狀況來進行演練。

5.4 回復計劃

回復計劃是業務部門和資訊部門實務層次的計劃，可分為業務回復和 IT 業業
兩部分，通常包括下面各程序：

 計劃產動和評估程序：從接獲緊急應變團隊的通知開始，首先進行回復
相關的評估，再決定是否需要產動異地備援處理中心和回復團隊成員。
 產動異地回復供應商程序：包括向異地備援處理中心宣告災難、回復地
點產動、取得回復設備和軟體、客服電話轉接異地、存放於異地的資料取
得、異地旅運、準備異地回復設施等。
 資訊系統回復程序：包括電腦作業流程的回復、正式營運環境交易處理
的回復、列印作業回復等。
 電話通訊與網路通訊的回復程序。
 應用系統和終端使用者支援的回復程序。
 計劃異動與回復建議程序：視災損評估狀況，建立災難回復的目標和建
議，並決定回復計劃中某些程序的修改和相關監控、稽核措施。
 協調溝通與事件追蹤程序：對回復處理狀況的持續紀錄與追蹤，並向緊
急應變團隊回報。

對於資訊部門的 IT 回復計劃來產，實務上最重要且需要考慮的回復相關問題
是：

 網路切換問題：原來連線到正式營運環境進行交易的使用者，如何切換
到異地備援處理中心 ? 對使用者來產是透通還是有一些手動設定需要由
使用者完成 ? 在正式營運環境的各主機 IP 地址異動為異地備援處理中心
業 IP 地址有何衝擊 ? 業業業 DNS 設定來更改這些 IP 地址嗎 ?
 資料的回復：備援或備份的資料在產裡 ? 如何取得或運送 ? 業 業 業 業 業
業 ? 載入順序為何 ? 遺失的資料如何回補 ? 重要業務系統相關聯的資料
是否都有備份而無遺漏 ? 在即時抄寫資料的備援環境，備援演練之後異
地備援處理中心的資料和正式營運環境是否同步 ?
 應用程式的異動：前述 IP 地址的異動是否影響應用程式 ? 應用程式有無
業 IP 地址寫死在程式中的狀況 ? 應用程式與資料抄寫軟體可否共存 ? 業

- 32 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

料抄寫軟體在作業時對應用程式所在主機的效能影響為何 ? 若多個應用
程式彙整(Consolidate)在同一部異地備援處理中心的備援主機上有無衝
業?

5.5 業業業業業業

回復計劃中也必需有企業營運由異地備援處理中心移轉到正式營運環境的所
有詳細程序，讓營運中斷減少到最低的程度。正常營運的復舊可以由回復團隊來
完成，也可以由產一個獨立的團隊來完成。產得注意的是，復舊的程序與回復的
程序不同，是由最不重要的業務開始移轉到正式營運環境，主要的原因是正式營
運環境剛剛產用，環境變數較多，人員和作業習慣也需要一段時間適應，因此營
運初期的風險比較高。
災難結束要在何時宣告呢？原則上不是在異地備援處理中心回復就可宣告，
而是要等到所有的正常營運都已成功的復舊才能宣告。

5.6 業業業業業業

其他與災難回復相關的重要議題，包括下列各項需要特別考慮在緊急應變計
， ， ， ，

 與其他政府單位及救難單位的協調與配合
 員工關係
 業業業業業
 財務調度
 媒體公關

許多企業或組織的緊急應變計劃通常只考慮將員工納入，並未考慮到與外界
組織的關係。可能會有關係的外界組織包括當地政府和中央政府的主管單位、警方
消防單位、防救災組織、醫療院所等，也可能包括水電及電信設施業者、媒體記者、
客產、股東、社區居民等人。從行政首長以下各階層的人員如何與這些組織和個人
互動，有時會成為回復成功與否的決定因素。因此緊急應變計劃中必須有明確的
程序和遞昇通報管道來進行溝通與互動，也必須指出外界緊急救難組織與正式營
運環境的相對位置、遠近、交通路徑、聯繫方式等，以了解這些救難協助的及時與
，，
緊急應變計劃中有一個重要的部分是員工及其家人的關係維繫與互動，尤其
是大規模災難(地震、颱風等)造成員工或其家屬傷亡、員工必需遷移或生活無著時。
災難發生之後，除了員工士氣遭受打擊之外，往來金融業者也可能會視情況緊縮

- 33 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

銀根。正常營運停擺後如果員工無法領到薪水或傷亡員工無法得到急難救助金及
撫恤等，員工對企業或組織會發生信心動搖，甚至發生非理性的行為及訴訟。因
此財務調度以正常支薪是最基本的要求，產外災難發生後尋求及協商保險給付也
是重要的工作之一。適時的保險給付可協助企業或組織度過難關。
當災難發生後，欺詐與趁火打劫經常會發生，對於伺機利用狀況混亂安全管
理欠缺的時候掠奪企業或組織的個人或犯罪組織，緊急應變計劃中也必須有適當
的防範及反制程序。
財務支出在災難發生之後通常會增加，這也是緊急應變計劃中常被忽略的一
環。應該建立將財務支出相關票據、書面文件儲存在異地的程序，以確保將來償債
相關業務能順利的進行。產外緊急的資金調度，依據動用額度的大小也應該有授
，，，，
媒體關係的處置得宜是危機管理的第一要務，緊急應變計劃當中一定也必須
涵蓋相關的程序。企業或組織應該設置受過經驗且有能力應付媒體的發言人，並
且事先制定媒體策略以及有系統的媒體互動程序，包括媒體中心與相關設備的準
備、與媒體互動的權限和核准、書面的預擬新聞稿等。
必要的時候，以先發制人的做法主動召集記者會進行災難相關資訊的發布，
以免媒體從其他管道取得不正確的資訊，將事態擴大。相對於掩蓋事實，主動且
誠實的將災難的現況和處置情形告知媒體是最好的策略，而且應在災難發生之後
的早期即釋出媒體需要的訊息。

- 34 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

6. BCP 業業業業業

6.1 測試的必要性

沒有經過測試及演練的業務永續計劃是無效的，例如磁帶備份之後從來不進
行磁帶資料回復的測試，可能因為磁帶老化、人為疏失造成備份資料不足或錯誤
等因素而無法回復。業務永續計劃中有許多「理論上」可行的程序，但沒有經過測
試演練都無法確定是否真的可行。
根據國外專業公司的經驗，產大多數業務永續計劃的第一次演練都是失敗的業
此意味業務永續計劃若未經測試與演練，在災難發生時均無法順利推動執行，遑
論成功的回復業務與營運。因此必須產生業務永續計劃的測試計劃，並以標準化、
持續化的方式週期性的進行，而且測試必需涵蓋業務永續計劃中的所有部分。
除了前述的理由必需進行測試演練之外，下列理由特別與災難回復能力相關
的資訊管理有關，包括

 測試演練可指出回復程序的正確與否及計劃中的缺失。
 測試演練對參與回復的人員來產是最好的訓練。
 測試演練可驗證異地資料備援中心及資料備援、備份程序的準備程度。

6.2 產生測試計劃文件

為了從測試中得到最大的效益，撰寫測試情境的測試計劃文件是必備的，產
容則包括測試的目的及型態，以及下列相關細節：

a. 測試排程及時段安排
b. 測試期間延續多久
c. 測試的步驟
d. 產些人會參與測試，以及個別的任務指派
e. 需要的資源和服務(供應品、硬體、軟體、文件等)

測試有一些基本的原則必需遵守，包括測試不可中斷正常的業務功能，從簡
單的測試做起直到回復團隊都已熟悉回復作業程序後再進行較複雜的模擬測試。

- 35 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

6.3 主要的測試型態

下面所料出的是五種主要測試型態：

 ， ， ， ， ， ，
 結構化演練(Structured walk-through)，，
 ，，，，
 平行測試
 ， ， ， ， ， ，

這是依照從簡單到複雜的順序，漸進的反應對回復的掌握度和信心。最後兩種則
特別需要投資相當多的人力、時間和協調工作。

6.3.1 業業業業業業

這是最簡單的測試，只是將回復計劃拷貝給各業務單位的經理審產，已確認
計劃產容確實涵蓋所有重要的業務領域和程序。本質上這是真實演練的準備動作
而已，並不是很有產服力的測試。

6.3.2 業業業業業業業

各業務單位的代表齊聚一堂，以會議的形式進行情境模擬，每個參與者依據
情境提示進行回復程序的作業產明，以確保計劃可忠實的反應企業具備成功回復
的能力。計劃中的每個步驟都必須走一遍並記錄，計劃中明顯的缺失可在此類測
試中現形。

6.3.3 業業業業

在真實災難發生時必需參與回復的人員，一起面對模擬的災難狀況，並進行
回復的模擬演習至抵達異地備援處理中心或是準備動手執行回復程序為止，並未
真的執行任何回復程序或是異地備援處理中心產用的動作。

6.3.4 業業業業

平行測試是一種動員所有災難回復組織人員的完整測試，只不過正式營運環

- 36 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

境並不中斷，異地備援處理中心與正式營運環境係同時平行處理交易。此種測試
的目的是確保重要的系統在異地備援處理中心也能正常的執行。因此系統必須在
異地備援處理中心安裝及產動，平行的處理交易，最後比較交易結果和其他交易
相關資料、參數以確認交易處理是否成功。這是最常見的災難回復計劃的測試方法

6.3.5 業業業業業業

在進行完全中斷測試時，災難的模擬非常真實，甚至將正式營運環境的作業
完全停止，因此測試的情境包括緊急搶救、外部政府單位支援等。雖然這可能是最
好、最完整的災難回復計劃測試方法，但一般來產這種測試較為罕見，因為成本
太高，而且也有可能假戲真做演變成真正的災難。

6.4 測試導入與結果評估

當業務永續計劃剛訂定完成後，一般需從簡單、小規模的測試做起，例如先
進行各部門主管對回復計劃的書面審產、災難應變組織全體成員的會議演練、局部
實況演練，最後才是全面(， ， ， ， ， ， ， ， ， ， )的回復演練，直到確定業務永
續計劃是可行的、災難應變組織全體成員對於災難發生後的緊急應變程序和回復
程序都能熟練為止。之後視企業的需求可以一年進行一次至兩次的實際回復演練。
當然範圍越廣、實務越多的測試演練，其成本也越高，尤其是異地回復演練，包
括許多人的交通、人力、食宿等花費，是相當可觀的。
每次測試都需要評估其成效，評估的重點包括：

 業務回復是否達到要求的回復時間目標 ?
 回復時點目標之後的資料是否可以順利回補沒有遺漏 ?
 是否所有的程序都有人負責執行 ?
 緊急應變程序和回復程序是否有遺漏細節導致回復作業失敗 ?
 人員對程序的熟悉程度是否足產 ?
 聯絡資訊與遞昇通告是否無誤 ?

- 37 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

7. 業業業業業業業業

組織的人事會異動，系統會新建或汰換，資料當然也會異動。因此當初測試
演練過的業務永續計劃，隨著時間的過去也會變得越來越不適用，因此對於計劃
的維護就變得很重要。市面上有些業務永續規劃的套裝軟體在販售，如果一開始
就採用此類軟體來輸入計劃的組成資訊及產生計劃，後續的計劃維護更新及產生
新的計劃就會變得比較輕鬆，不過需考慮此類軟體的購置成本及人員的訓練。

產外，由企業產部的稽核部門或是外界專業的公司來進行適當的稽核也是必
要的。一般來產稽核的重點是審產人員和系統的異動，並根據這些異動來修正計
劃的產容，一般情況下每次稽核約需耗時一至三天。但若系統或企業組織發生重
大的異動(例如併購其他公司)，則整個業務永續規劃從業務衝擊分析開始可能需
要重新再做一次。

- 38 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

8. 業業業業業業業業

8.1 DRII

DRII(DRI International)業1988 年成立於美國聖路易斯，原名是 Disaster

Recovery Institute，由業界和華盛頓大學的災難回復專家基於災難回復教育的需要
而成立。 DRI International 與下述 BCI 共同建立了業務永續規劃的通用知識庫
(Common Body of Knowledge)，目前它也透過對此知識庫的認證考試來授予專業
證照，包括 ABCP(Associate Business Continuity Planner)業CBCP(Certified Business
Continuity Planner)業MBCP(Master Business Continuity Planner)。參考網址如下：
http://www.drii.org/

8.2 BCI

BCI(Business Continuity Institute)成立於 1994 年，主旨是推廣業務永續管理

(Business Continuity Management)的藝術與科學，定義此領域的專業競爭力及建立
權威的專業認證。目前有分佈於 41 個國家的 1450 位經過認證的專家會員。參考網
址如下：
http://www.thebci.org/

8.3 FEMA

美國聯邦緊急事件管理署(Federal Emergency Management Agency)是美國政府負責

災難應變、規劃、減緩、回復的專責機構，原為獨立官署，但已於 2003 ， 3 月被納入
國
土安全
部(Department of Homeland Security)。網站上有許多緊急應變和防救災的資訊可
供參考。參考網址如下：
http://www.fema.gov/

8.4 CPM 業業

Contigency and Planning Management 雜誌是業務永續規劃方面知名的雜誌，網站

上有許多文章和參考資料，參考網址如下：
http://www.contingencyplanning.com/

- 39 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

- 40 -
 業業業業業業業業業業業業業
©2003 業業業業業業業業業業業業業業

9. 業業業業

1. The CISSP Prep Guide: Mastering the Ten Domains of Computer Security, Ronald
L. Krutz, Russell D. Vines, John Wiley & Sons, Inc., 2001.
2. A Guide to Business Continuity Planning, James C. Barnes, John Wiley & Sons,
2001.
3. Disaster Recovery and Business Continuity Planning: Testing an Organization’s
Plans, Yusufali F. Musaji, Information Systems Control Journal, Vol. 1, 2002.
4. Business Continuity: A Business Survival Strategy, Ken Doughty, Information
Systems Control Journal, Vol. 1, 2002.
5. Emergency Management Guide for Business & Industry, Thomas Wahle, Gregg
Beatty, Federal Emergency Management Agency.
6. A Guide to the Perplexed Business Owner – Helping Your Business Survive the
Unexpected Shutdown, Edited by Eric Beser, Ennovate Inc.
7. Information Technology Disaster Recovery and Business Resumption Planning
Guide, Washington State Department of Information Services, July 1993.
8. Professional Practice For Business Continuity Professionals, DRI International, May
2002.

- 41 -