臺灣企業如何因應地緣政治風險？從BCM 1.0升級2.0，專家建議從六大面向因應極端情境

在俄烏戰爭爆發之後，不少企業血淋淋地感受到地緣政治劇烈衝擊最極端的情況，並非完全不可能，尤其臺海衝突頻傳，三年前，國外知名雜誌更專文點名，將臺灣和烏克蘭、以色列並列為全球的高風險地緣政治衝突區域。

當時就有不少臺灣大型企業，如高科技業者、金融業者、生技業者，重新審視自己的營運持續計畫（ BCP），開始思考過去視為極端情況，自己當前的準備是否足夠。安永諮詢服務執行副總經理曾韵指出，他們近幾年也協助不少臺灣企業，重新審視BCP計畫對極端情境的準備。

在安聯2025年風險指標年報（Allianz Risk Barometer 2025）中，將地緣政治風險列為2025年的第九大事件，曾韵更指出，有14％風險專家甚至將地緣政治視為今年最重要的風險之一。像是在安永每年的全球展望調查中，1,200位CEO中，今年更有高達68%的執行長們認為，因為地緣政治的不確定性，重新審視企業現有做法非常重要。

這兩三年來，曾韵就接到不少企業詢問，想了解如何強化企業韌性的能力，才能更有能力因應激烈的地緣政治風險，甚至是戰時緊急因應程序該怎麼做。

為了借鏡國外經驗，曾韵向安永在烏克蘭和以色列據點的同事請益，來了解身處於戰爭局勢第一線的企業，其營運持續計畫的實務作為。在今年臺灣資安大會中，曾韵分享了這幾年來，她協助多家臺灣企業評估地緣政治影響的經驗。

地緣政治衝突常見三大類風險

曾韵先回顧了過去幾起地緣政治衝擊事件，衍生的風險事件主要可以分成三大類，第一類風險是電力中斷風險，在俄烏戰爭中，摧毀或占領了超過50%的烏克蘭發電設施，導致烏克蘭頻繁得採取分區限電的情況，而烏克蘭反擊俄國的本土目標，也多聚焦電力和能源設施，同樣在緬甸內戰中，大規模停電是該國人民的日常生活，吃過半數人口沒電可用。

第二類風險則是臺灣今年陸續感受到的網路中斷風險，例如，臺灣海纜今年發生多次疑似遭到註冊非洲籍的中國權宜船拖斷，而在烏克蘭戰爭的例子中，該國最大的固網電信公司在戰爭發生一個月後，遭遇了重大網路攻擊，導致了烏克蘭全國性的網路中斷事件，俄國甚至還透過實體手段，切斷電力或纜線的方式，試圖來影響烏克蘭的網路。

最後一類風險則是國家級網路攻擊的風險，在以巴戰爭中，近5成伊朗國家級網路攻擊對象，鎖定了以色列公司，針對學校、政府機關、金融機構、醫療機構進行滲透和攻擊。同樣從南海衝突事件的風險案例中，多個中國駭客組織Raspberry Typhoon（RADIUM） 、Flax Typhoon、Granite Typhoon針對東南亞國協成員國（ASEAN）的軍事實體、IT設施進行攻擊，甚至有國家級駭客滲透到印度尼西亞和馬拉西亞的海事系統。

曾韵指出，電力中斷、網路中斷和國家級網路攻擊，這是思考地緣政治風險必須考慮的三類風險，臺灣尤其是第三類風險最高的區域。

以色列將軍事衝突視為日常來準備

在烏克蘭和以色列的企業，如何因應這些地緣政治的衍生風險？以以色列為例，以色列政府部門要求該國的銀行，要有25%的分行，具備了總行（Central Branches ）等級的營運不中斷能力，像是採取更高安全規格和防護措施，也要有適當的地理位置分散，遇到緊急情況下，這些總行級分行也可以繼續營運。

企業評估營運持續計畫時，通常會區分出不同風險等級的情境，再來考慮現有緊急應變程序，需要涵蓋到什麼樣的風險等級，這又涉及企業願意投入多少資源來因應不同的風險準備。臺灣企業一般會將戰爭或軍事衝突視為極端情境的風險，而非一般風險等級的BCP應變情境。考量到成本，大部分臺灣公司都不會考慮到這類極端情境的緊急應變程序。

但是，以色列的企業不一樣，他們將軍事衝突這種臺灣企業眼中的極端情境，視為是一般的BCP情境來準備。

像是前面提到的以色列銀行，至少會有四分之一分行具備總行等級應變能力，即使這些分行遇到軍事衝突情況，也有能力支持更久時間的運作。在這種等級的分行中，通常會設置發電機，也有會更好的實體防護設施，像是銀行內就有設備完善的地下辦公室，可以說，這些都是以色列金融業的日常準備。

烏克蘭要求銀行設立韌性據點

曾韵分享的另一個因應實例是烏克蘭經驗。戰爭發生後，烏克蘭大約半數能源設施遭到摧毀，全國經常性的輪流停電。

所以，烏克蘭央行還提出一項Power Banking計畫，要確保銀行在長時間斷電期間，也有能力足以自主維持最基本的金融服務。

烏克蘭央行找來多家規模較大的系統性銀行，在全國各地設置這類有自主電力運作的韌性據點，而且烏克蘭央行還會確保每個區域都有夠多的韌性據點數量，可以支援全國基本的民生金融服務所需。

這個計畫要求這些系統性銀行，設立具有自主電力的韌性據點（Power Bank），在這樣的分據點，要有自己的發電機，也要有足夠的現金儲備，並且要有一套備援的通訊管道，以及儲備更多的人力。
對這些銀行的最小運作水準要求，包括了可以提領現金，可以付款和轉帳，可以換匯，甚至還要可以提供民眾財務上的諮詢。

曾韵研究過不同戰爭爆發後對金融業的影響，在戰爭期間，銀行業業務不只不會停擺，反而還會增加，更需要加班，像是會有更多保險理賠的工作。

烏克蘭IT產業的戰爭韌性準備

烏克蘭除了金融業有一套戰爭韌性準備以外，該國的IT產業也很有一套自己的應變做法。烏克蘭的資訊服務產業在歐洲很有名，大約有30萬名IT專家，三分之二是直接或間接服務歐美多個國家。在俄烏戰爭爆發期後，雖然發生長時間的斷電，甚至影響了電話機房和網路節點。但這群IT專家還是有能力繼續對外提供服務，一方面，從疫情發生之後，這群烏克蘭IT人力，已有一套居家辦公措施，戰爭發生後，可以迅速啟用。

另一方面，這群IT專家也運用低軌衛星提供備用的網路通路，像是有雇主補助這群專家租用Starlinks星鏈網路，另外，IT人員也有自己的備援電力，像是行動電源包，甚至是自備柴油發電機。

從烏克蘭經驗，曾韵提到，烏克蘭還有一件事值得借鏡，就是資訊雲端化。

烏克蘭原本沒有開放金融業上雲。原本烏克蘭有一部《數據保護法 》，規定政府及部分民間機敏資料必須放置在烏克蘭境內主機中。但在戰爭爆發前幾天，2月17日，烏克蘭緊急修法，通過《雲端服務》法案，允許政府和民營部門將數據轉移到雲端，等於開放了企業可以將關鍵資料和系統上雲，不到一周，2月24日舊爆發戰爭。很多烏克蘭銀行迅速將系統上雲，甚至營運都沒有中斷。到了3月12日，烏克蘭政府進一步擴大鬆綁，公共訊息資料、國家登記機構以及加密備份資料，允許儲存到境外雲端或資料中心。烏克蘭企業將資料上雲，轉移到沒有受到戰爭影響的西部區域，後來更可以轉移到境外鄰國。

雀巢的戰爭BCP做法特別重視社會責任

曾韵還舉了一個比較特別的營運持續計畫實例，有家零售業特別考慮到社會責任面的BCP做法。在烏克蘭衝突期間，雀巢對於他們在烏克蘭的5,500名員工及他們的家人，提供了財務支援、搬遷支持和安全的保障，也設立了生存中心，更擴大對烏克蘭社區提供人道援助。

這些做法涵蓋了薪資支持、員工安全援助、跨國支援和熱線服務，以及內部職位安置等面向。在薪資支持上，雀巢提前支付烏克蘭員工的薪水，甚至在未來一段時間內持續支付薪水。而在員工安全援助上，雀巢則提供一次性的搬遷補助，也準備了緊急護理包。雀巢還將當地辦公室設置為7x24小時運作的全天候生存中心，作為員工和他們家人的安全避難所。

在跨國支援和熱線服務上，雀巢設立員工熱線，提供當地員工法律、移民諮詢，甚至還有心理支持，另外也在烏克蘭鄰國，如波蘭設立支援中心，來接待逃離烏克蘭的員工和他們的家人。作為跨國機構，雀巢更提供內部職位的安置安排，可以提供烏克蘭員工，改調整到其他地區雀巢所屬公司的工作機會。

曾韵解釋，國外也有企業在戰爭BCP計畫中，預先考慮到類似雀巢做法的準備，像是為了持續發放薪水預先準備一筆現金，避免因為當地資訊系統因戰爭而無法運作。或是考慮要在當地設置員工避難區域，或在鄰近國外分支據點接待逃難的員工。

「臺灣有少數企業的BCP計畫，開始考慮到極端情境，但較少準備到這麼完整。」她觀察。

在俄烏戰爭爆後後，臺灣也有企業想要對這類地緣政治衝突的風險，採取一些作為，不過，常見會遇到一些挑戰。曾韵歸納，一方面，臺灣企業對於地緣政治事件的熟悉度不夠，就沒有辦法建立有效的策略，另外，也缺乏內部的應變權責機制。企業更會因為缺乏實際操演經驗，無從判斷自身的準備是否充分。

專家建議企業，因應地緣政治風險要先劃分階段

曾韵建議企業，可以將地緣政治風險劃分不同的階段，在營運持續計畫中，再針對每一個階段訂定詳細的情境與事件應對方針，企業可參考國內外專家或政府機構對這些情境的規畫和建議，來安排企業自家做法。

其次，她建議，企業需針對緊急應變設計一套管理機制，尤其要釐清決策程序，明確訂出對應的代理人制度。最後就是必須針對這些計畫，真的進行演練，讓企業上下都清楚了解，遇到這類事件時，可以怎麼做，尤其要模擬各部門的協作情境，驗證準備狀況，來做改進。

曾韵也舉了一些臺灣企業實際開始評估極端情境BCP時才會發覺的細節。像是有企業BCP計畫中的人力準備，依照職位或能力來安排，但忽略了戰時徵召對男性人力的影響，可能得考慮更多女性人力的儲備。或者有些企業購買的保險，合約中有戰爭排外條款，遇到戰爭情況將不會理賠。

臺灣企業四種極端情境BCP現行做法

過去兩年來，已有一些臺灣企業開始評估這類極端情境的BCP，曾韵也歸納出四類臺灣企業因應極端情境的主要現行做法。

第一類做法是建立備援電力，先盤點出自家企業的關鍵營運據點，來設計不斷電設備，發電機和柴油桶等。

尤其許多大樓備援電力僅供消防逃生設施等關鍵設備使用，其實無法支援企業辦公室的電力備援。企業也得確保發電機的油類補給來源，例如得掌握自家辦公室附近，哪一處加油站有發電設備，遇到大規模停電時才能持續供油。臺灣中油官網後來也因有這樣的企業需求，開始在網站上提供了配備發電機的加油站據點清單。

第二類現行做法是建立備援網路和通訊。像是考慮在關鍵營運據點導入低軌道衛星網路，列出需要配備衛星電話的關鍵人員名單，例如總經理，風控長，廠長等。目前中華電信已經宣布，2025 年上半將正式提供低軌衛星OneWeb和中軌衛星SESE的衛星商用服務，企業就可以多了一種備援通訊的選擇。

資料上雲是臺灣企業現行的第三種BCP應變做法。像是將資料的冷備份上雲，甚至有企業為此而考慮將系統備份上雲。曾韵提醒，企業需確認所屬產業對資料上雲的相關法規，了解個資與敏感資料議題，另外也要留意資料備份所在的國家是否安全。  

最後一種，臺灣企業常見的應變做法就是建立遠端辦公的能力。企業會延續原本疫情時的遠端辦公方案，例如採購筆電、建置VDI，定期演練測試等。曾韵提醒，有些企業疫情時的遠端辦公做法是，用筆電連回企業內部桌機來操作，若遇到大規模斷電時，這個做法就可能無效，得改到另一個據點辦公而非遠端辦公。

BCM 1.0：建立基本營運持續管理機制四步驟

針對地緣政治衝突的風險因應，曾韵建議臺灣企業，至少要有基本的營運持續管理機制，可以按照四個步驟來進行。

第一步是找出關鍵業務，分析企業的關鍵業務是什麼，訂出這些業務需要回復的優先順序，也要識別出提供這些關鍵業務，需要哪些資源和關鍵系統。

接著第二步是設計公司策略，考慮在每個情境下，像是火災，地震，電力中斷、駭客攻擊等情境，企業要啟動哪些相關的措施，例如啟動部分居家辦公，停止部分品項的供應，或者暫停部分門市的營運，或是啟動備援電力和網路等。c

有了策略後，再來就是第三步，準備資源，針對上述企業營運持續策略賴準備所需的資源，像是預備緊急備援能源，備援通訊（如購買低軌衛星服務）、人力備援（區分A/B組），預先設立應變組織等。
最後一步就是演練，甚至是取得認證。透過實際演練來確定策略的可行性和應變所需資源的完整性。也可以進一步透過第三方驗證，來了解對自身做法的意見和改善建議。

BCM 2.0：因應極端情境要考慮6大面向

曾韵指出，企業做到BCM（營運持續管理） 1.0之後，再進一步考慮到極端情境的BCM 2.0。

「要升級到能因應極端情境的營運持續計畫（BCP），要多考慮六大面向。」曾韵建議，這六大面向包括了人員因素、周遭風險、呼叫樹（Call Tree）、備援能源、異地地點、和供應鏈。

在人員因素上，企業應該先確定哪些員工已經被徵召入伍，以及未來若有軍事衝突時，有哪些人員有可能被徵召。其次要考慮周遭風險，例如評估機房地點時，還要多考慮避開容易成為軍事攻擊的目標設施，像是政府大樓、重要地標等。在環境考慮上，也要考慮備用異地地點的選擇，檢查備用站點的合約，是否能夠反映業務的需求，例如有企業會檢查電費帳單，避免備援機房的輪流供電分組，不會和主要機房相同，來避免同時停電。

在通訊聯絡上，企業要定期測試所訂定的呼叫樹（Call Tree），確保所有人聯絡方式的新穎性，如群組名單的更新，手機電話正確性。

備援能源計畫上，則要確定燃料中斷後對企業的影響，再來考慮有什麼替代燃料來源和供應商。最後一項，則要考慮對企業供應鏈的影響，地緣政治衝突可能破壞了企業的國際供應路線，業務持續性計畫人員應該審查供應鏈路線，確定若有必要如何重新安排商品和服務的供應路線。

先從關鍵中定義更關鍵

 「用一句話點出BCP 2.0的規畫重點是，從關鍵中定義更關鍵。」曾韵強調。

她建議可以從BCM的關鍵業務中，考量客戶信心、社會責任、合規要求和經營考量等四大面向，來挑出關鍵中的關鍵。

在客戶信心考量上，例如對金融業而言，基礎金融業務如支付、貸款、理賠、債券等影響客戶信心的業務，優先順序相對較高。也可提高社會責任相關的業務，如前述跨國零售業者重視的員工與家屬安置，或有助於客戶關懷、捐款通路支援和提供等。合規要求也是BCM 2.0應考量的面向，如需要與所屬產業的主管機關溝通，確認所採取應變措施的合規性，例如哪些資料可上雲。最後一項經營考量上，企業則需要衡量投資活動的持續，核心競爭力的保全，或是各地布局的安排，來挑選出更關鍵的項目。

盤點關鍵資源的儲備程度

找出關鍵中的關鍵後，下一步就是要盤點關鍵資源的儲備，包括了資訊系統、資料備份、網路通訊、場地與設施，還有人員，都是關鍵資源的類型，除了正常備援機制外，需考量另外的第二方案。

例如關鍵業務所需資訊系統，對外溝通管道（官網，Email，聊天機器人）或內部溝通軟體的第二方案。或是在資料備份上，除了關鍵業務所需系統的備援，重要資料的電子備份，重要紙本文件的儲存與保管第二方案，甚至需考量運送機制。

網路通訊的第二方案考量，則可考慮網路出口使用不同ISP業者，網路設備則區出出主中心、備援中心、重要場所的網路設備。在場地和設施考量上，則要先盤點全臺適合使用的辦公場所和資源（如電力雙迴路），這些地點在緊急狀況下的油料儲備取用方式。

而在人員第二方案考量上，則要預先安排關鍵業務執行人員的順序（如區分A/B組），更新人員聯繫清單，也要和預定的通訊機制建立連結（如預先建立群組）等。

在地緣風政治風暴中，企業要如何駕馭不確定性？曾韵建議，臺灣企業不能完全不做準備，考慮企業和資訊韌性，也應該將地緣政治風險納入考量，來因應前面提到的種種挑戰，如電力中斷，網路中斷，資安攻擊等議題。可借鏡以色列和烏克蘭的做法，來升級既有的營運持續計畫。