專家傳真－營運持續計劃2.0 從敏捷應變着手

Crowdstrike異常更新造成全球電腦當機災情，營運持續計劃再度引起重視。圖／美聯社

2024年7月，美國Crowdstrike異常更新事件造成全球電腦當機災情，使得營運持續計劃（Business Continuity Planning，BCP）再度引起高階主管的重視。在11月舉行的2024年投資歐盟論壇中，環球晶圓董事長徐秀蘭以變革開場，BCP與其他三個關鍵因素（地緣政治、零碳排與新冠疫情）並列，成建構韌性的全球性供應鏈關鍵性議題。

然而，筆者在BCP實務上卻觀察到不同的現象。近日在輔導電子業BCP專案時，某位資深顧問感嘆地說，過去20年開始推動至今，這大概是最後一波導入BCP的一線客戶。

這個全球性營運持續國際標準與最佳實務，爲何卻得到客戶兩樣情？是否BCP已經成爲老生常談，不再獲得產官學研的青睞？BCP專案痛點逐一浮現與檢視。

■BCP專案痛點

通常BCP專案執行非同小可。這個全公司專案，長達一、兩年。不僅動用全公司重要業務、生產與支援單位主管，甚至總經理、廠長寶貴的管理時間。

另一個抱怨就是太多的分析資訊，甚至某個國外BCP專案要產出上百個營運衝擊分析。最辛苦的莫過於BCP專案窗口，通常是由公司風險管理或工安部門負責。在業務、生產與支援單位忙於日常業務，往往專案最後落入這一兩人身上，成爲一人飾演多角的「一人專案」（one-man project）。

常見桌面演練成爲BCP專案驗收結尾的亮點。有趣的是，當筆者跟國外BCP顧問討論時，令他們不可思議的是國內客戶要求鉅細靡遺的腳本。有些桌面演練，成員像新聞主播依事先擬好的腳本讀稿，建立「一切都在掌握中」演練氛圍。然而，從實際參與應變與復原經驗中，並非像專案管理固定的範疇，成本，時間（俗稱「金三角」），災害管理爲「移動中的目標」，很難用專案管理方法論執行。

■敏捷帶來曙光

敏捷營運持續（Agile Business Continuity）成爲2024年國際營運持續管理機構（Business Continuity Institute）的倡議。相較於國際BCP論述，透過國內客戶BCP專案，逐漸累積臺灣產業特殊的BCP焦點與痛點。

近期BCP應用也拓展到資安緊急應變。2024年3、7月，上市櫃公司發佈資安重大訊息認定上有了重大的政策變更。企業資安緊急應變團隊也走出技術部門，擴大至總經理室、發言人、公關、法務、財務、業務代表，甚至人力資源等高階主管幕僚。今年有幸參與元智大學產學合作團隊資安個案，在《哈佛商業評論》全球繁體中文版發表第一個國內資安個案。虛擬個案活生生描繪缺乏資安應變團隊，高階主管在面對勒索贖金的兩難反應。

一旦發生重大資安事件，組織熟悉的科技與流程可能會失效或受阻，團隊成爲應變復原的關鍵。從敏捷角度，有機會將文件導向一人專案（BCP 1.0），翻轉爲團隊導向的跨部門專案（BCP 2.0），有賴於高階主管面對資安緊急應變的視野與決心。