落實營運持續管理，提升資安防護韌性

確保資訊安全，是中鼎集團對客戶及員工的承諾。為確保業務能持續運作，降低關鍵業務受重大事故或災害之影響，中鼎每年落實營運持續管理，提升資訊防護韌性。

當遇到突發狀況時，若未能及時恢復相關系統的運作，很可能會對公司的營運造成衝擊。為確保能在目標回復時間內恢復業務運作，中鼎資訊部團隊透過預先分析服務中斷對組織之衝擊，發展並實施「營運持續計畫」，並於實施營運持續管理作業時，結合預防和復原控制措施，致力將災害或故障所造成之服務中斷時間降至可接受的範圍。

執行營運衝擊分析

所謂的「營運衝擊分析」，係評估各關鍵業務中斷時，對本公司之影響及衝擊程度，據以判斷最大可容忍中斷時間及目標回復時間。權責單位對業管之業務，應全面檢視其流程並依業務之重要性、資訊資產價值及風險評鑑結果，鑑別出關鍵業務流程，於「營運衝擊分析表」中，經評定關鍵等級為「高」之業務流程，即列入本公司之核心資訊業務。

「營運持續計畫」之擬訂

「營運持續計畫」之擬訂，包括公司在計劃外中斷期間將如何繼續營運。其中，要考慮公司在危機期間可能受到影響的各種面向，包括關鍵業務流程、人員、資訊與技術資產以及所需的第三方協助。

「營運持續計畫」測試演練

為確保營運持續計畫能夠成功運行，中鼎集團每年皆定期進行測試演練。而測試的主要目標，是確保執行這些計劃能成功恢復基礎設施與關鍵業務流程。主要的測試包括：制定測試目標、執行測試、評估測試、制定建議以提高測試流程與復原計劃的有效性、實施後續行動以確保建議事項得到落實等流程。

測試演練檢討

在測試演練完成後，中鼎資訊部團隊將召開檢討會議，檢討事件通報、應變處理、備援回復作業及復原作業等是否達成預定目標，並陳權責主管核閱，以確保應變方式能符合實務上的需求。

結語

建立完善的資安管理制度，已成為當今企業實踐ESG不可或缺的一環。本文介紹CTCI資訊團隊在「營運持續計畫」的擬定與實施，即是提升資安防護韌性的方式之一。唯有確保企業的網路安全、系統穩定性、隱私保護等各面向，並強化日常資安演練，才能確保企業的競爭力，邁向永續經營願景。

**本文圖片來源：Pixabay