特別報導
               Special Issue







              擊分析與風險評鑑，完成分析後再進入策略                              策，而風險評鑑可分為三大階段，包括識別
              面、營運持續計畫與測試演練等階段。                                威脅事件、確認衝擊、發展因應策略。
                  其中在營運衝擊分析部分，其目的是針                                 在識別威脅事件中，第一步要先廣泛蒐集
              對服務或產品做取捨，分析當發生巨災導                               事件，包括過去公司曾經碰上虛驚，或是曾經
              致業務中斷時對公司造成的衝擊，但企業基                              中斷事件，或是外部周遭有哪些事件營運造成

              於成本考量、資源排擠與時間等因素，也會                              中斷，包括天災人禍、資訊系統以及同業曾經
              針對業務輕重緩急做排序。當發生作業中斷                              歷過的事件等，都是資料蒐集範圍。
              時，衝擊程度越大就要在最短時間內優先恢                                   完成識別威脅後，接下來則是進入「確
              復，至於影響不大的，則可在特殊危急情況                              認衝擊」，也就是針對事件進行評分，區別
              下先放棄。                                            災害情境嚴重性進行排序，衝擊大者就列為
                                                               優先處理事項，並採取事先預防性措施或者
              涉及第一線客戶、實際與即時交易                                  事後因應對策等。
              列為優先排序業務                                              田嘉雯表示，不論事先預防或事後因
                                                               應，都屬於第三階段的「發展因應策略」，

                  田嘉雯說，只要是涉及第一線客戶、實                            當一個公司可以落實發展因應策略，企業也
              際與即時交易的業務，通常會被列為優先排                              相對較為安心。舉例來說，企業為預防火
              序業務；至於公司的內部管理性質，像是員                              災，會選擇有防火建材的大樓或是加裝偵
              工教育訓練、行銷活動等，通常就會被歸納                              煙、偵火設施，至於事後應變措施則是警
              為影響不大的事項。                                        鈴、警報等，疏散程序確保人身安全。
                  以金融業為例，根據田嘉雯的觀察，多                                 整體而言，擬定因應方案可從四大面向
              數金融業通常會把法規視為優先事項，例                               著手，包括：降低發生機率、減低影響、全

              如作業中斷是否違法，其次則是客戶，當客                              部或部分轉嫁、規避等，例如企業因應停
              戶中斷時對業務的衝擊，如以I S O22301來                         電，可以事前加裝不斷電設備系統，而有些
              說，對於優先順序就有制式化要求，而且恢                              業者則是委外執行，再由企業以稽核方式監
              復優先順序也會有時間點排序，包括最大可                              控，又或是透過投保轉嫁風險並弭平損失。
              容忍中斷時間點、復原時間目標、營運持續
              目標、相依性，以及營運持續策略。                                 訂定BCP
                                                               縮短業務中斷時程  降低營運風險
              風險評鑑三階段
              識別威脅事件、確認衝擊、                                          在營運持續程序部分，也就是營運持續

              發展因應策略                                           計畫（B C P），則包含事件發生後的應變計
                                                               畫，例如資訊系統遭駭客攻擊的緊急應變計
                  在風險評鑑部分，田嘉雯表示，企業必                            畫，內容大致涵蓋與緊急應變、復原以及危
              須先找出會讓業務營運中斷的情境與因應對                              機溝通等層面；如果企業要自行撰寫B C P，






         94   台灣銀行家2022.10月號






   1                  5%     JOEE