close
ITSCM 建置第二階段,最重要的是兩個分析活動:Business Impact Analysis (BIA) 營運衝擊分析、Risk Assessment 風險評鑑,此篇文章先著手介紹 BIA

BIA 的目的 : 鑑別出 Key activities 無法持續營運時,對於組織的衝擊(如損失、崩壞或中斷)復原至最低營運水準(minimum level)之可接受時間(acceptable time period)。

依據上述定義,BIA 的展開,通常是先鑑別出企業流程中的「關鍵活動」。按筆者最近觀察 BS 25999 稽核時的心得,組織往往在鑑別 Key activities 時,產生一些觀念上的混淆,常見的錯誤方向有以下兩種:
(1)特定系統、設備:這不能等同代表為活動。
(2)納入許多活動,不具關鍵性,浪費成本。

鑑別出 Key activities 之後,企業應設想多種可能的 scenarios (情節劇本:如天災、罷工、董事長自殺等),針對該關鍵活動,去推測無法持續營運後,對企業產生的 impact(衝擊)。衝擊可分為多方面進行評估:
(1)具體損失:如財務損失、營收下降、廠房破壞等
(2)非具體損失:如企業形象受損、顧客忠誠度流失、喪失競爭力、違反法律等
依據營運無法持續情節的程度不同,其衝擊也會隨之改變;譬如地震 7 級時,企業的財務損失可能是 1 億,但地震 8 級時,財務損失可能高達 50 億。因此,要依照不同等級的損害程度,去預測客觀的衝擊損失。

在各項關鍵活動皆已分析出各等級衝擊損害後,管理階層要定義出最低可允許的營運水準(minimum level)。例如某銀行分行,假設在不明民眾遙控飛機(30kg)攻擊下,預測會引發火災、行員輕傷及系統嚴重損害,該分行分析,定義出最低可允許營運水準為中斷營運(2小時,供消防隊進行救火),設置臨時銀行櫃台並啟用備援系統、電腦設備,進行最多 2 個窗口的銀行服務,原服務皆可運行。除此之外,定義最低營運水準時,別忘了要配置出相對應的資源(人力、設備、緊急流程等)

接下來,要評估恢復至正常服務(normal level)的所需時間,包含資源的規劃。時間越低,成本就越高,以 ITIL 理論建議,希望採最符合成本考量的做法,建立回復目標時間(Recovery Time Objectives, RTO),尋求一個合理平衡值。原則上,回復方法的設計,應儘量貼近回復目標時間,將損害衝擊控制在可接受的範圍,進而逐步改善。

此外,時間上的差異,也會造成組織損失的多寡,原則上服務破損越久,損失也會多,故要建立一個最長可容忍的時間值(Maximum Tolerable Period of Disruption, MTPD),並以此值為最終限界,以保組織不會因為無限期的服務中斷而導致組織滅亡。

ITIL V3 書上,對於 BIA 的討論並不夠深入,甚至只是輕描淡寫,像 RTO MTPD 的定義補充,在 ITIL 章節中付之闕如;建議參考 BCM BS 25999 的相關理論,會獲得更多的資訊。


arrow
arrow
    全站熱搜

    sidneyho 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄