為什麼還需要「持續營運管理」標準

把IT做好，這是所有資訊部門都知道的責任與追求的目標，但是，IT應該做得多好，卻不容易被知道。尤其是在企業營運高度依賴IT的今日，如果不知道IT該做得多好，往往就會對於營運績效造成影響。為了要辨識IT已經做到什麼程度，以及確認應該做到什麼程度，現今已有許多彙集業界最佳作法的IT標準，能夠協助企業來整備IT實力。

在資訊安全管理方面，最為人熟知與信任的，就是英國標準協會推出的BS 7799資安管理（ISMS）標準，後來被納入ISO 27001國際標準；在IT服務管理方面，則有ISO 20000國際標準可參考。

最近，有另一個新標準值得注意，那是關於企業「持續營運管理（Business Continuity Management）」的標準──BS 25999，由英國標準協會（BSI）彙集了諸多企業持續營運管理的最佳實務而成。

英國標準協會之前訂定的BS 7799資訊安全管理標準，已被奉為資訊安全管理的圭臬，最後被ISO國際標準組織採納，以ISO 27001標準發行；當英國標準協會著手制定能夠協助企業管理風險的「BS 25999持續營運管理標準」時，亦受到高度的關注，據英國標準協會表示，BS 25999可說是歷年來使用者關心程度最高的標準。

了解ISO 27001資安管理標準的人可能會質疑，ISO 27001已經具有鑑別與管理風險的規範與指引，為何還需要BS 25999；另外，也有人會疑問，一般公司大多會擬定災難應變計畫，還需要持續營運管理標準嗎？

為何還需要BS 25999營運持續管理標準呢？讓我們來看看群益證券的例子。群益證券是臺灣證券業的資安模範生，早在2006年就領先同業取得臺灣證券業第一張ISO 27001資訊安全管理認證。能通過ISO 27001的驗證，代表群益證券的資訊安全管理經得起考驗，可以提供值得客戶放心的電子交易平臺。

不過，群益證券認為這樣還不夠，因為ISO 27001是從資安的角度考量風險，涵蓋面向以資訊應用系統為主，群益證券執行副總裁暨資訊部主管賈中道說：「整體來說還不夠廣泛，要確保各個層面都考量到。」於是，群益證券一拿到ISO 27001後，才隔一個月就開始投入營運持續管理計畫。

群益證券以ISO 27001所成立的資安管理委員會為基礎，繼續由總經理帶頭推動營運持續管理計畫，截至目前為止，群益證券已經舉辦過6次營運持續管理的演練，但是，群益證券認為這樣還不夠，他們正打算再取得BS 25999認證。

為什麼還需要拿BS 25999認證，這正是為了確定應該做到什麼程度。賈中道直接了當地說明為什麼還要BS 25999：「取經國際標準，建立更周全的BCM機制。」因為自己所了解的可能不夠周延，甚至有可能出現始終想不到的盲點。例如，BS 25999的5.4.2.3這一則有說明需要建立媒體回應策略，在危及公司營運的事件爆發後，可以在第一時間立即透過媒體對外溝通說明，降低對於公司聲譽的影響；從條文敘述來看，這個道理很容易理解，但平時自己要做BCM時，卻可能忽略了對外溝通這個環節。現在，不只群益證券這麼做，泰安產險、精誠資訊，以及高科技製造業也這麼做，請見本期封面故事的報導。