【资安周报第77期】从八一五大停电看企业营运持续管理

在8月15日下午将近五点的时候，爆发台湾能源史上的新一波危机，总计全台有17个县市发生大停电，这也是继日前花莲和平电塔倒塌，加上夏日尖峰电量负载持续亮红灯后，又一起新的能源危机事件。

只不过，这次的大停电经过台电内部调查，主要是因为中油公司在更换供气设备时，中油或者是委外厂商的工程师因为没有按照规定的操作程序，导致讯号异常，才造成大潭电厂的天然气供应中断，爆发第一～六号发电机组启动自我防护机制，但也因为监控机制过度自动化，在缺乏适度的复核机制下，导致错误资讯不断放大而无法立刻察觉，以致于造成全台湾大停电的惨剧。

不论从中油或者是台电的角色来看，没有按照标准作业程序（SOP）做事，是事故发生最主要的原因；但若从一般企业的角度来看，面对这种无预警的停电，有多少企业在进行相关的企业营运持续管理（BCM）时，会真正的从营运冲击分析（BIA）的层面下手，试图解决这些可能对企业营运带来中断风险的风险控制点呢？

台湾BSI总经理蒲树盛便坦言，台湾有许多国营企业甚至是大型企业，至少在十年前就已经针对营运持续管理的议题开始上课，希望提高员工和高阶主管对营运中断的风险更有忧患意识，并进行后续相关的P（计划）D（执行）C（稽核）A（矫正）等措施，以确保一旦爆发天灾人祸可能影响企业营运的事故时，企业都可以依照先前规划步骤和演练措施，顺利度过难关。但他认为，台湾多数企业面对企业营运持续管理的问题在于，不愿意正视哪些风险会对企业带来营运中断，更多时候会因为风险发生的概率较小而予以忽略。

企业营运是否中断，系统备援和资料备份都很重要

企业营运持续管理（Business Continuity Management，BCM）最主要的关键是企业针对不可预期的灾难，透过事先规划因应措施并透过模拟相关演练的作法，一旦因为各种天灾人祸等灾难造成营运中断时，因为企业先前已经有相关的因应作法，就可以有计划性的，在时间内逐步回复企业的正常运作。

严格说来，企业营运持续管理包含了系统灾难备援以及资料异地备份等作为，在早期，单一备援或备份机制的失灵，并不足以构成企业的营运中断；但是，对于现代的IT人员而言，有许多企业运作早已高度仰赖资讯系统运行时，一旦系统或资料发生任何中断或受损，许多企业根本无法正常运作。也因此，有越来越多人将系统备援以及资料备份，视为企业营运持续管理最重要的因应措施之一。

从这次的八一五停电事件来看，对于企业IT部门人员而言，当务之急就是确认UPS不断电系统有没有正常运作，是否可以在不断电系统所提供的五分钟到二小时，甚至更长的缓冲期间，确保公司系统可以正常关机、资料没有损坏。

发生大停电后，也听到有许多IT人员纷纷主动加班，就是为了确认公司系统是否能正常运作且资料没有造成损坏，以确保公司隔天可以持续运作。这对其他非IT部门的公司人员而言，往往很难在第一时间内意识到，原来有一个部门的员工在停电过后，必须要主动加班进行种种的确认措施后，才能够确保企业在隔天营业时间内，可以正常运作。

对于企业系统运作而言，最关键的设备就是机房内的不断电系统，是否有发挥应该有的功能，不论是额外提供五分钟甚至是二小时的供电缓冲时间，就足以让IT人员可以按照正常的程序将系统关机、备份资料，降低系统突然中断、资料无法储存等事故，大幅降低企业营运中断的风险。

由于先前民生用电已经频频告紧，IT人员有没有事先确认，公司使用的不断电系统能够正常运作，如果先前相关的确认工作都有落实，面对这次无预警的停电，企业系统和资料的损失，往往可以降到最低。

营运冲击分析对企业持续营运的重要性，远远高于风险值

事实上，在这次停电事件中，仍持续传出有包括一些高科技制造业者，或者是部分医院或金融业者，因为停电造成不等的营运损失，这类损失大部分都可以归纳成：企业的产品或服务在提供时出现瑕疵，因此对客户或使用者，造成不同程度的损害。

若从稽核的角度来看，蒲树盛表示，不论什么样的认证，例如台湾企业最常见的品质管理系统ISO 9001，如果企业因为没有按照标准作业程序，执行所有产品制造或提供服务的程序，进而造成客户或使用者的损失时，这样的作法都会被验证机关列为重大缺失，验证机关甚至会撤销该企业的品质管理证书。

由此可以推论，这次不论是中油或者是台电在提供相关的供电服务时，真的是因为没有按照标准作业程序，导致这次停电事件发生的话，相关的业务单位的确包含在ISO 9001的验证范围中，如此重大关键的缺失，都可以撤销该公司的ISO 9001品质管理证书。

如果可以进一步分析，为什么会发生这样的意外事件？蒲树盛建议企业可以认真的回头检视，该公司对于营运冲击分析（BIA）和风险评估（RA）的鉴定，是否为真？也就是说，企业在分析哪些风险发生的概率高，哪些风险对企业营运会带来比较严重的冲击时，是否是从真实情境来看，而非假造一个虚拟低风险的安全情境，只求书面程序过关即可呢？

举例而言，像这类的停电事件，就风险发生的概率或许并不高，但停电对企业营运带来的冲击却很高。蒲树盛认为，台湾有许多企业误从风险发生概率的高低，而非从该冲击对企业持续营运带来的影响，来看企业营运持能否持续不中断，也导致许多企业的营运持续管理计划（BCP），都无法真实呈现企业所面对的风险和冲击，以致于相关的PDCA形同虚设。

关键基础设施业者应优先落实BCM

台湾天灾人祸也带来许多停水停电火灾水灾等灾难，都可能造成企业无法营运，所以，近年来，台湾企业对于营运持续管理的意识也比过往高，许多有制度的公司，开始会强化内部制度，进行各种风险的分级分类，以维持企业可以持续正常营运。

但这次事件看来，中油台电这类关键基础设施（CI）或者是相关的关键基础资讯设施（CII），已经是许多台湾企业能否正常营运的“前提”，对这类关键基础设施业者，都应该优先进行营运持续管理的营运冲击分析（BIA）和风险评鉴（RA）。至少，要能够做到不断水、不断电的情况下，企业能够从后续PDCA等措施，维持企业正常营运。

蒲树盛也提醒，所有企业都应该要设法减少并降低企业内的“单一失效点”数量。以这次停电事件为例，中油供气阀因为距离台电发电机组设备太近，以致于没有足够的时间侦测并发出相关预警，让一切事情发生的让人措手不及。

所以说，公司重要的系统和资产绝对不可以放在同一个点，避免因为失误或风险造成流程停摆、公司运作中止。这也证明，中油和台电的企业营运持续计划，必须要能够搭配其他备援和备份机制，以避免一旦爆发任何突发状况，中油台电会因为这个单一失效点而无法持续营运。

企业单一失效点越多、企业越脆弱，因此，在进行营运持续管理时，就必须要做到分散弱点并分散风险。例如，医院发生火灾时候，许多无法行动的病人或者是加护病房等，应该要如何疏散呢？

蒲树盛表示，有某间医院看到火灾这样风险对医院持续营运带来的冲击，为了克服这样的风险，甚至在某些病人不便行动逃生的病房楼层中，事先设计并盖好一个类似溜滑梯的逃生通道。这样的解决方案，就是医院正视如何降低火灾对医院持续营运带来冲击的正向作为。

以目前台湾的现况而言，蒲树盛认为，关键基础设施业者应该要比一般企业更重视营运持续管理的议题，如何降低各种风险造成营运中断的发生概率，才是这些关键基础设施业者应该思考的方向。