ITSCM 生命週期的最後階段,就是持續維運作業。而維運作業中有幾個重點活動,應進行經常性執行規劃,確保持續性運作順遂。茲分述如下:
(1) Education, awareness and training
養兵千日用在一時,平時可能無風無雨,但不可掉以輕心,應時時身懷憂患意識,積極地在組織內宣導居安思危的概念,建立共識,讓各個成員重視 BCM 和 ITSCM 的重要性。此外,針對參與 ITSCM plan 演練的相關人員,更要輔以充足的訓練,以期緊要之際,可以協助組織進行可接受的服務營運。911 恐怖攻擊發生之前,著名的摩根史坦利公司就常安排緊急員工疏散演練,讓員工熟悉如何於短時間內離開高聳的世貿大樓;也由於這項演練訓練的落實,及參與員工的重視,讓 911 事件發生時,該公司幾乎所有員工皆順利離開事故現場,甚至在隔天該公司就可以進行某種程度的服務提供。
sidneyho 發表在 痞客邦 留言(0) 人氣()
經過前述兩個階段之後,組織可以針對識別出的重大風險,進行必要的復原計劃實踐及測試演練,以期實際災害和風險發生之時,可以有效地將組織營運衝擊降到最低。
許多人以為 ITSCM 的實踐可以讓組織營運不會間斷,其實並不全然正確。理論上的精神是指:透過 ITSCM 的實踐,可以讓關鍵服務、系統及活動儘可能持續運作,或者是於約定可接受的時間內恢復服務運行。因此,針對關鍵服務去規劃 ITSCM plan,才是合乎成本考量及企業利益的務實做法。筆者觀察許多企業的 BCP,發現部份計劃不是專注於關鍵服務,應需重新考量其適切性。此外,約定可接受的時間,也應於 ITSCM plan 中明確定義(最好獲得顧客同意),以調配適當資源去支援。
ITSCM plan 中包含了所有活動細節,去確保關鍵服務、設施設備及資源可以維持在組織可接受的持續營運水準之內。除了復原方法的記載之外,也應記錄相互服務的依存關係、測試方法及復原後資料一致性檢驗的步驟。許多組織常將 recovery plan (註一) 誤以為是 ITSCM plan 去替代,其實兩者並不相同;ITSCM plan 的涵蓋範圍是大於 recovery plan 的,它還包含了啟動時間點的判斷、復原方法有效性量測、恢復力(Resilience)的量測和各復原活動規劃的原因,確保各項活動有效地執行,可支援企業的持續營運目標。
sidneyho 發表在 痞客邦 留言(0) 人氣()
經過前述 BIA 和 Risk Assessment 分析之後,應可在降低風險與復原選項(recovery option)之間尋求一個最佳平衡點,產生 ITSCM Policy 來支援企業需求。ITSCM Policy 應決定服務復原的優先順序,並隨著時間演進,針對優先順序做適當的調整。當有些服務透過 BIA 分析後,發現具有短期高風險的潛在影響,則應專注防範以降低風險發生的可能性;而部份服務若是屬於長期低風險性質,則可規劃相對應的復原選項,於約定時間內,控制可接受的風險影響。特別注意,policy 制定階段時的各項考量,皆須參考成本效益。
各組織產業背景不同,風險影響也多有差異,因此對於復原選項的決定各有考量。ITSCM 針對復原選項有下列幾種建議方案,以供參考及選擇:
1. 無行動(do nothing)
若服務發生可接受的中斷狀況,對企業並無損失,且可自行恢復服務等級,則可選擇無行動,這也是成本最低的一種選項。
sidneyho 發表在 痞客邦 留言(0) 人氣()
在許多研究中,都有提及風險評鑑(Risk Assessment),例如 ISMS(ISO 27001)、BCM(BS 25999)及 ITSM(ISO 20000)等,基本上理論精神相似,只有某些細節上的做法差異,就筆者的觀察,歸納出風險評鑑的主要流程如下:
1. 建立風險認定的準則(criteria)
2. 鑑別風險(risk);並鑑別出組織的威脅(threat)及弱點(vulnerability)
3. 分析風險:
(1) 可能性(likelihood)
sidneyho 發表在 痞客邦 留言(0) 人氣()
在 ITSCM 建置第二階段,最重要的是兩個分析活動:Business Impact Analysis (BIA) 營運衝擊分析、Risk Assessment 風險評鑑,此篇文章先著手介紹 BIA。
BIA 的目的 : 鑑別出 Key activities 無法持續營運時,對於組織的衝擊(如損失、崩壞或中斷),且復原至最低營運水準(minimum level)時之可接受時間(acceptable time period)。
sidneyho 發表在 痞客邦 留言(0) 人氣()
ITSCM 建置過程,可分成四大階段,且以周而復始的 cycle 方式,不斷運行。
(此圖片引用 OGC ITIL V3 Service Design book)
此篇將介紹第一階段:Initiation (初始階段)
sidneyho 發表在 痞客邦 留言(0) 人氣()
近來天災頻傳(如四川震災),災害產生的威脅,對許多企業營運存亡造成嚴重衝擊;不過,很多企業主可能仍存有僥倖心態,慶幸還好不是發生在自身企業,暗中祈禱上天多保祐平安無事,至於防範措施,倒不見具體作為…
面臨不可預測的風險,你準備好了嗎?
筆者認為,企業的成長是相對容易的,有充足的資源、正確的市場判斷加上良善的管理,可以預測企業的逐步進展;但相對的,企業的崩解是難以預測的,尤其是天災人禍等風險,常於短時間內讓一個企業走向毀滅。就像一句類似的廣告詞:「您奮鬥一生,逐漸邁向成功的頂峰,但卻因一個事件,多年心血毀於一旦」。有太多例子及國外研究數據,顯示企業對於未管理風險的承受力,不堪一擊:
sidneyho 發表在 痞客邦 留言(0) 人氣()
ITIL研究心得 (11)