Transcript 第十二章營運持續計畫
第十二章 營運持續計畫 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師 (下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量 不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配 旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此 之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相 關著作物移作他用。 1 第十二章 營運持續計畫 本章介紹營運持續計劃,是企業永續管理的一環,涵蓋營 運持續計劃之建構流程,與營運持續計劃之範圍,逐一介 紹其主要內容,使讀者了解計畫之整體架構及其精神,相 信對於資訊安全管理是有所助益的。其內容包含: 簡介 營運持續管理 營運持續計劃步驟 風險管理 風險評估 營運衝擊分析 風險轉移策略 緊急事件準備 災害復原計畫與營運恢復計畫 測試、稽核、訓練與維護 2 12.1 簡介 營運持續管理 (Business Continuity Management;BCM) 的目標,即是要防治企業組織營運活動的中斷,透過實施 營運持續計畫,並結合各項預防及復原的控制措施與程序, 將災害或缺失所造成的營運中斷機會,降低至可被接受的 程度。 近年來,營運持續管理 (BCM)已經發展成為國際的管理標 準,單獨實施或結合資訊安全管理系統 (ISMS)一併實施, 都可為企業組織提供永續經營之道。 在企業經營的大環境中,充滿著各種風險,例如:網路詐 騙、員工罷工、設施損壞、惡意攻擊、惡意程式、間諜活 動、社交詐騙等風險。在風險管理中,營運持續計劃就是 要回答『這一事件發生時,我們要如何處理?』。 3 12.1 簡介 營運持續計畫是營運持續管理之一項計畫,但並不是單獨 存在的一項計畫,它是統合性的計畫,與營運持續計畫相 關的計畫還有: 營運恢復計畫 ( Business Recovery Plan;BRP )、 操作連續計畫 ( Continuity of Operations Plan;COOP )、 支援連續計畫 (Continuity of Support Plan / IT Contingency Plan )、 危機溝通計畫 ( Crisis Communications Plan;CCP )、 網域事件回應計畫 ( Cyber Incident Response Plan:CIRP )、 災害復原計畫 ( Disaster Recovery Plan;DRP )、 以及操作人員緊急計畫等。 4 12.2 營運持續管理 英國標準協會 ( British Standards Institution;BSI ) 致力於推動營運 持續管理 ( Business Continuity Management;BCM ) 標準,於2006 年公佈 『營運持續管理作業要點 』,並於2007年公佈『營運持續管 理要求』。 營運持續管理 (BCM) 整合了流程管理,並依據營運持續管理作業要 點實施,營運持續管理包含了: 風險管理 ( Risk Management ) 災害管理 ( Disaster Management ) 設備管理 ( Facilities Management ) 供應鏈管理 ( Supply Chain Management ) 品質管理 ( Quality Management ) 健康與安全 ( Heath and Safety ) 知識管理 ( Knowledge Management ) 緊急事件管理 ( Emergency Management ) 安全 ( Security ) 危機溝通與公共關係 ( Crisis Communications & PR) 5 12.2 營運持續管理 營運持續管理也是持續性、週期性的管理工作,如圖12-1 營運持續管理週期,每一週期包含四個步驟:(1)了解組織, (2) 決定營運持續管理策略,(3) 發展與實行營運持續管理, 以及 (4) 營運持續管理演練、維護與稽核。 了解組織 營運持續管理演練 維護與稽核 營運持續管理 (BCM) 決定營運持續管理策略 發展與實行營運持續管理 圖12-1 營運持續管理週期 6 12.2 營運持續管理 了解組織有兩項基本的方法,(1) 風險評估 ( Risk Assessment;RA ) 與 (2) 營運衝擊分析 ( Business Impact Analysis;BIA )。 決定營運持續管理策略,在風險管理方面,首先考慮如何 避免風險,使風險不致於發生,再考慮如何降低風險,將 風險的影響程度降至最低,如果風險已經發生,需要轉移 風險,在可接受的風險中訂定對策。 決定營運持續管理策略,在風險管理方面,首先考慮如何 避免風險,使風險不致於發生,再考慮如何降低風險,將 風險的影響程度降至最低,如果風險已經發生,需要轉移 風險,在可接受的風險中訂定對策。 7 12.2 營運持續管理 決定營運持續管理策略,在風險管理方面,首先考慮如何 避免風險,使風險不致於發生,再考慮如何降低風險,將 風險的影響程度降至最低,如果風險已經發生,需要轉移 風險,在可接受的風險中訂定對策。 發展與實行營運持續管理,需要考慮多項因素,例如:計 畫啟動條件,什麼狀況下需要啟動計畫、職責說明,賦予 確定人選特定的工作、緊急處理程序、備援與復原程序、 維護時間等。 營運持續管理演練、維護與稽核,包含狀況演練、復原測 試、設施測試與服務、完整演練等,並且需要隨著法令修 改、不同場所、資源等因素變更計畫。營運持續管理計畫 需要進行變更管制與稽核,並確保計畫是最新狀態。 8 12.3 營運持續計劃步驟 在建構營運持續計劃進行 中,概括可以分為六個步 驟 (圖 12-2): 計畫開始 營運衝擊分析 回復策略 計畫發展 計劃確認與測試 計畫維護與訓練 計畫開始 營運衝擊分析 回復策略 計畫發展 計劃確認與測試 計畫維護與訓練 圖12-2 營運持續計劃步驟 9 12.3 營運持續計劃步驟 『 計畫開始 』階段,需要先確認顧客與商業的需求,以 及確認外部相關機構,如政府單位、督導單位、檢查單位 等機構。確認後,進行風險評估,並做成報告,需要得到 管理單位的支持,以確保整體營運持續計劃流程之控管和 順利進行。 『 營運衝擊分析 』( Business Impact Analysis;BIA) 階 段,主要的工作要先決定重要的準則,例如:網路服務中 斷多久是可以承受的範圍,若斷線超過可以承受的時間, 將會造成什麼樣的損失?並且要確認重要的流程、機器設 備、資料與應用等;還需確認這些物件的相關性,如某一 伺服器無法運作,將影響到哪些工作流程或是連資料也受 影響,最後需要訂定回復目標。 10 12.3 營運持續計劃步驟 『 回復策略 』階段,要確認回復機制的使用策略,例如: 若系統失敗則採用備援系統,或使用人工操作,或整體系 統更新等機制。回復策略需要參考最佳方案,完成前需要 與各部門進行協商與修正。 『 計畫發展 』階段,包含如下各項工作: 確定災害回復小組之角色、權限、和責任。 建構告知與計畫活動流程。 產製緊急反應之流程。 產製詳細的回復流程。 計畫書的分派和管理。 『 計劃確認與測試 』階段,首先發展測試計劃和測試目 標,對測試計劃進行模擬,模擬後進行實際測試,並紀錄 測試結果,檢討測試結果以便進行改進。 11 12.3 營運持續計劃步驟 『 計畫維護與訓練 』階段,需要發展營運持續計劃的維 護流程,定期更新版本,更新版本的程序與參與人員,更 新版本的範圍等,需要訂定版本控管,更新版本後的告知 程序,並且要發展專門的訓練課程。 營運持續計畫 ( BCP )並不是單獨存在的一項計畫,它是 統合性計畫,至少與下列計畫有關聯: 營運恢復計畫 ( Business Recovery Plan;BRP ) 操作連續計畫 ( Continuity of Operations Plan;COOP ) 支援連續計畫 (Continuity of Support Plan / IT Contingency Plan; CSP/ITCP ) 危機通訊計畫 ( Crisis Communications Plan;CCP ) 網域事件回應計畫 ( Cyber Incident Response Plan;CIRP ) 災害復原計畫 ( Disaster Recovery Plan;DRP ) 操作人員緊急計畫 ( Occupant Emergency Plan;OEP ) 12 12.3 營運持續計劃步驟 這些計畫的相關性,如圖12-3,營運持續計畫必須包含各 計畫之部分要點,從營運持續計畫可以了解其它計畫之大 綱與概要。 操作連續計畫 (COOP) 操作人員緊急計畫 網域事件回應計畫 營運持續計畫 ( BCP ) 危機通訊計畫 ( CCP ) 支援連續計畫 營運恢復計畫 (BRP) 災害回復計畫 (DRP) 圖12-3 營運持續計劃與其相關計畫 13 12.3 營運持續計劃步驟 營運持續計劃 ( Business Continuity Plan;BCP ),針對 在商業流程中,如何讓組織能夠持續營運,著重在商業流 程,它應該是長期的計畫,應有營運恢復計畫 ( BRP )做 支援。 營運恢復計畫 ( Business Recovery Plan;BRP ),是在 緊急事件後,營運已經中斷,如何恢復營運之計畫。本計 劃必須與災害回復計畫 ( DRP )、及營運持續計畫 ( BCP ) 一致,而營運恢復計畫 ( BRP ) 也可以作為營運持續計畫 的附件。 災害回復計畫 ( Disaster Recovery Plan;DRP ),適用於 發生重大災害或事件,系統以及設施無法正常使用的一段 時間,通常災害回復計畫著重在以資訊技術 (Information Technology;IT) 為中心的計畫。在重大災害發生後,甚 至需要將機房轉移至其它地點,要能夠迅速回復資訊設施、 應用系統等,以便持續運作。 14 12.4 風險管理 風險管理 (圖12-4) 主要的內涵包含:風險評估 ( Risk Assessment )、風險轉移 ( Risk Mitigation ) 與風險估算 ( Risk Evaluation ),它是一項整合性的管理。 風險管理 風險評估 風險轉移 風險估算 圖12-4 風險管理的內涵 15 12.4 風險管理 風險評估指辨識風險並計算若風險發生將對系統 造成的衝擊,以及建議一些可能的對策。 風險轉移是依據風險高低安排優先處理次序與並 使用適當的對策使風險降低。 風險估算則是著重在風險降低後,考慮是否在可 接受的程度,於風險轉移實施前,決定是否還需 要增加控制項目,以降低風險或消除風險。 在營運持續計畫中的重要部分是處理與評估可能 的風險,了解災害造成後將影響系統營運的程度, 必要考慮到所有可能的事件及其造成的衝擊,並 採取適當對策使影響降到最低。 16 12.5 風險評估 『 風險 』 ( Risk )是系統反應潛在的或可見的威脅時,可 能引發的損失結果,例如系統產出不正確的結果或系統操 作失誤等。任何環境因素或事件,會引起損害系統而造成 威脅的稱為『威脅源』,威脅源可以是自然的、人為的、 或是環境因素。 風險評估,首先需要辨識風險的存在,要分辨出哪些威脅 源對於系統不會造成損害,哪些威脅源對系統將會造成損 害,計算其可能損害的程度,並了解其對人員、商業、與 資產等造成的衝擊程度。了解風險的衝擊,在事件發生時 才能明確的下達正確的決策,以降低或免除其對系統之影 響。 17 12.5 風險評估 一般風險評估包含下列幾個要件: 辨識影響系統的各項威脅 估算威脅發生的機率 確認與排序各項受到風險威脅之資產與作業 估算事件發生的損失與影響 確認轉移或降低風險之經費 製作分析結果文件與發展行動計畫 可能發生的事件非常多,可分為環境災害、蓄意破壞、設 施功能失效、以及資訊事件等四大類: 環境災害:颶風、龍捲風、水災、嚴冬、地震、旱災、火災等。 蓄意破壞:戰爭、間諜、偷竊、縱火等。 設施失效:失去電力、失去瓦斯、水源、油料供給、通訊失效等。 資訊事件:網路犯罪、紀錄流失、資訊系統失效等。 18 12.5 風險評估 事件的發生依照其機率的高低可分為五個等級;同樣地, 事件發生後造成的衝擊,依照其嚴重程度也可分為五個等 級(表 12-1 ): 表12-1 事件發生的機率與造成的衝擊等級表 事件發生的機率 等級 發生機率 事件造成的衝擊 等級 嚴重程度 1 非常高機率 1 無法回復 2 高機率 2 需要重大修護 3 中等機率 3 需要大修護 4 低機率 4 需要修護 5 非常低機率 5 需要輕微調整 19 12.5 風險評估 在組織環境進行風險評估,要了解風險對資產損害的程度, 首先要將資產做分類,資產可以概括分為以下幾類: 硬體、軟體和系統介面。 資料和資訊。 人員。 任務與流程。 重要事務。 重要事務。 將資產分類是風險分析的初步,風險分析最終需要做風險 優勢分析 ( Risk Benefit Analysis ),依據風險威脅程度考 慮讓系統持續營運或轉移風險,可以選擇之最佳方案,所 採用的方案必須符合現有假設與限制。 20 12.5 風險評估 決定風險與衝擊的交互影響,美國國家標準局 (National Institute of Standard and Technology;NIST) 建議使用風 險位階矩陣 ( Risk Level Matrix ) (表 12-2),將風險發生 的機率分為:高、中、與低等三個等級;並給予分數,高 為 『1.0』,中為 『0.5』 與低為 『0.1』。風險的衝擊 也分為三個等級,高為 『100』、中為 『50』 與低為 『10』。風險位階矩陣列表如下: 表12-2 風險位階矩陣 風險發生可能性 衝擊率 低 (10) 中 (50) 高 (100) 高 ( 1.0 ) 10*1.0 = 10 50*1.0 = 50 100*1.0 = 100 中 ( 0.5 ) 10 *0.5 = 5 50*0.5 = 25 100*0.5 = 50 低 ( 0.1 ) 10*0.1 = 1 50*0.1= 5 100*0.1 = 1021 12.5 風險評估 根據上述的風險位階矩陣,判斷風險的位階值 V,大於50 (V > 50 )的為高風險位階;在 50 與 10 之間 (50 > V > 10) 為中風險位階;在10 以下 (10> V > 1) 為低風險位階。 如果可以將風險位階矩陣劃分得更細緻,如為 4X4或 5X5 矩陣,則可以將事件之風險位階值表達得更精確。 風險評估完成後,需要撰寫風險評估報告,提供給管理階 層作為經營與決策之依據,風險評估報告不需要使用誇飾 的語詞,也不需加註指責之評語,只要依評估數據做忠實 的建議。 22 12.6 營運衝擊分析 營運衝擊分析則是考慮為符合組織營運的需求,當重要功 能或設施遭受事件後,無法在時間內回復正常營運時,將 遭受多少損失;營運衝擊分析是災害發生後,選擇回復方 法做決策時的重要基礎。 營運衝擊分析所須的執行要點如下: 確認重要之營運流程 建立營運回復之需求 營運衝擊分析問卷發展 決定資源之相依性 決定衝擊的回復方法 優先化和分類營運功能 23 12.6 營運衝擊分析 建立營運回復之需求,需要製作問卷,以了解當營運遭受 到破壞或中斷時,回復正常營運所需要之資源與設備。 決定資源之相依性的目的,是為了使用最少的資源,以回 復系統之正常運轉,需要將所有的資源列表,並填入資源 的相依性。 例如 PC需求之相依性,如表12-3,將需要工作、PC 規 格、數量、與使用時間,填列在表格中,可以了解PC 與 其它工作之相依性。 將所有資源統計後,可以依照資源之相依性,依照回復時 間先後,依照每一工作項目作統計表,如下表 12-4: 24 12.6 營運衝擊分析 表12-3. PC 需求相依表 PC 需求相依表 工作 PC 規格 數量 時間 主要功能: 服務的相依性 ( 重要、中等、次要): 供應商、軟硬體需求等: 25 12.6 營運衝擊分析 表12-4 工作項目作統計表 工作項目 Day 1 Day 2-5 Day 5-14 人員 4 6 10 PC 數量 2 5 8 網路數 2 4 4 其他 … 26 12.6 營運衝擊分析 當系統遭受事件衝擊時,時間拉得越長損害越嚴重,如果 拖得太久,系統將崩潰而無法回復,終至停止運轉。但回 復的時間越短,所需要的經費越高,所以需要取得一個平 橫點 (圖 12-5 )。 崩潰的代價 代 價 回復代價 時間 圖12-5 回復代價平衡圖 27 12.6 營運衝擊分析 對於造成衝擊之意外事件,要確認其所需要之回復時間, 必須要仔細分析重要資源和其衝擊程度,營運持續計劃 ( BCP ) 小組需要作決策,決定出系統最佳之回復點,使 有形與無形之損失降至最低。 由於經費之考量,回復時間之長短又對營運造成衝擊很大, 所以需要考量實施回復的方法與所需經費,例如:購物網 站,中斷服務1小時以上,將造成財務重大損失。 28 12.7 風險轉移策略 每一個組織對於緊急事件都有自己的因應與處理方法,實 施風險管理可以降低風險,減少緊急事件的發生,甚至在 發生緊急事件時,能夠減少損失。 基本上,對於風險的處理,有下列各種策略: (1) 風險假定 ( Risk Assumption ) (2) 風險避免 ( Risk Avoidance ) (3) 風險限制 ( Risk Limitation ) (4) 風險計畫 ( Risk Planning ) 在管理策略上,資訊技術之妥善運用可以是轉移風險的好 方法,這些資訊技術包含防火牆、企業虛擬網路與遠端存 取、加密、入侵偵測與防範、反間諜軟體、反垃圾郵件等。 防火牆是網路安全的第一道防線,防火牆可以過濾非授權 的網路存取,它可以是硬體式或軟體式的設施。所有進出 企業內部的資訊需要經過防火牆,防火牆會攔截不符合防 火牆安全規則的封包。 29 12.7 風險轉移策略 為防止傳送中的資料被窺視,可以將資料加密以提高安全 性,加密是將資料以加密方法及加密金鑰轉換為『密文』 形式,是有效提高資料安全的方法。 防火牆之功能是為阻止不符合預設規則之封包與應用,但 對於惡意的入侵行為或惡意軟體,則無法發揮其功能。 入侵偵測系統 ( Intrusion Detection System; IDS ) 即是 為彌補防火牆之不足。 入侵偵測系統之功能,即是對系統安全日誌、稽核資料或 其它網路上可以獲得的資訊進行研判,以辨別某些來源是 否對系統具有安全威脅或入侵企圖。 30 12.8 緊急事件準備 系統遭受緊急事件時可能造成營運上的重大危害,甚至使 得系統完全停擺,所以必須在事先做準備工作,在事件發 生前做好萬全準備,如資料備援與回復流程等必須要列入 營運持續計畫中,這些備援與回復工作包含: 資訊技術備援與回復 基本設施備援與回復 客戶服務備援與回復 管理操作備援與回復 重要營運訊息與文件備援與回復 保險請求流程 31 12.8 緊急事件準備 急事件準備之相關備援與回復,需要考量適當的商業流程, 也必須將回復速度、完整性與經費等列為考量因素。 異地備援就是在第二地作資料備份,當原有營運處所的資 料遭受任何原因而毀損或消失時,異地備分可以馬上啟用。 雖然緊急事件的發生使得系統暫時中斷營運,透過備援與 回復計畫之實施仍能提供客戶相當品質的服務,是營運上 重要的工作。 事件發生後,在短時間內需要建立與組織基本的管理與操 作流程,因為沒有管理與流程,將使營運崩解,時間越長 越難回復,所以管理與操作流程也需要列為重要的工作。 32 12.9 災害復原計畫與營運恢復計畫 美國職業安全與衛生管理部 ( The Occupational Safety and Health Administration;OSHA ) ,規定有超過十個員 工的部門,都需要撰寫緊急計畫書。 在災害復原計畫 ( Disaster Recovery Plan )中,最優先的 是要確保人員的安全。 當災害的威脅已經過去,在可確保人員的安全時,組織必 須開始啟動營運恢復計畫。 營運恢復計畫著重於當系統受到損害或混亂的衝擊時回復 營運機能,混亂的衝擊可能是一小段的時間,但無法立即 提供服務或正常功能,可能需要延誤相當的時間,所以需 要把衝擊降到最低,讓資源作最有效的利用,以便儘速恢 復正常營運。 33 12.10 測試、稽核、訓練與維護 測試實施、測試劇情都要與營運持續計劃的流程相關,測 試對象包含每一個工作崗位上的員工,測試後需要撰寫測 試報告,並評估測試結果,以提供計畫作為改進。 測試的第一步是定義測試的目標與範圍,測試必須依照環 境與設施,儘可能設計模擬真實狀況,測試必須要結構化, 並且可以估測,如此所得的測試結果才可以評估。 34 12.10 測試、稽核、訓練與維護 測試的實施是一項挑戰,有些業務是不能中斷的,如:要 模擬當火災發生時業務中斷,因無法提供服務所造成的狀 況,但此種實際情況是無法模擬的,所以在模擬時,必須 要考量真實狀況的影響。 另外模擬也需要全面化,必須要面對各種可能的狀況,至 少應包括以下各項: 環境災害 ( 如水災、火災… ) 組織混亂 ( 如缺少某一單位、無主管人員 …) 組織混亂 ( 如缺少某一單位、無主管人員 …) 設備故障 ( 如主機故障、資料庫主機故障…) 嚴重資訊安全事件 ( 如客戶資料被竊取…) 在開始階段時,每一次測試只有一個單一事件,漸次地考 慮多項事件混合測試,將有更實際的狀況,然而也可能導 致難以分析與改進的困難。 35 12.10 測試、稽核、訓練與維護 必須要確認由誰主導測試,由誰監控測試與誰是受測試人 員,測試結果需要包含測試問卷,問卷主要目的是要發現 計畫的缺點,作為日後之改進。 此外,也需要訓練每一位員工使了解營運持續計劃,訓練 需要設定訓練之目標與對象,以及訓練之內容,然後準備 訓練教材,以便實施訓練。 今日由於網路發達與各種惡意程式氾濫,甚至在個人的操 作環境,也有安全之疑慮,因此安全稽核更顯得重要。有 關安全稽核,可以遵循並接受安全稽核相關的標準,如 ISO 27001 、CobIT 等認證。 為監督日常的系統操作,可以使用稽核系統或其它工具來 協助,例如:安全查核表、滲透測試、監視工具、以及檢 視系統紀錄、建構管理等。 36 12.10 測試、稽核、訓練與維護 在資訊系統的安全還需要考量其它多方面的安全問題,例 如:存取控制、軟體發展與變更控管、系統軟體更新、權 限分割原則等。 營運持續計劃是一項龐雜的工程,各部門的資料需要有專 責單位,負責自己單位的部分。為使資料達到一致性,每 年至少要定期維護一次,必要時也可不定期維護,並且發 展資料維護的流程,以保計畫能切實實施。 此外,對於涉及到營運持續計劃的人員,都應告知其內容 與分派相關責任。 37