【武汉肺炎对策：企业持续营运的考验】因应疫情面对突发性灾难有一套，彰银揭营运持续的关键IT作法

对许多企业来说，全球武汉肺炎（COVID-19）不只是突发事故，更是持续营运能力的考验。但对老字号的彰化银行而言，这样的考验，不是第一次。

早在2003年，台湾SARS发生时，许多银行都是第一次面临如此大规模的疫情冲击，彰银也不例外。原本就有一套持续营运作法的彰银，在当年疫情过后，更将传染病纳入资讯作业灾害复原计划（DRP），订定了相关的措施。

到了2019上半年，突如其来的一次事件，疾管署通知彰银，曾有麻疹群聚个案的高风险接触者，造访过分行办理业务，当时彰银紧急启动了对应计划，也更加重视传染病的应变措施，再次强化了资讯作业灾害复原计划。去年的实战考验，让彰银在此次武汉肺炎疫情逐渐升温之际，也能快速应变。

彰化银行资讯处处长陈显龙表示，彰化银行早有业务永续运作计划（Business Continuity Planning，BCP），IT团队就是以此订定了一套资讯作业灾害复原计划（Disaster Recovery Planning，DRP）。他进一步揭露了彰银在IT面的因应重点。

一般来说，传染病应变措施，着重于人员备援机制的部分。在IT人员部分，陈显龙表示，目前已规划将资讯处人员依照主要经办人与代理人，分为两分名单，一半人员移往另一栋大楼作业，另一半人员则留在资讯处作业，确保服务不致于中断。另一方案则是部分人员可移到彰银的台中异地备援中心进行作业。若部分人员因疫情感染无法上班时，则可采取轮班机制弹性调派人力。

此外，包括彰银的总行单位、185家国内分行、海外分行、南京子行等也规划了相对应的IT应变措施。比如，当总行大楼无法上班时，总行单位的作业若涉及正式交易，就会移到彰银资讯处作业，以确保安全。甚至，连彰银海外分行也有办公地点备援计划，一旦海外分行的办公场所无法进驻，则可租用当地其他办公场所，让行员进驻后，透过网络连回台北资讯处，进行核心业务交易登打。或者是，在当地主管机关的同意下，可由总行相关人员代替海外入该分行核心主机，进行核心交易登打作业。

导入ISO 22301，完善营运持续管理并强化资讯服务运作

彰银在2018年导入且通过英国标准协会（BSI）ISO 22301：2012营运持续管理系统（BCMS）国际标准验证，是台湾少数获得这个验证的金融机构。彰银希望利用这个制度化规范，来提升营运持续管理能力，并且强化资讯服务运作。

而为了完成营运持续管理制度的建置，彰银先盘点了相关系统资源，包含主机、服务器、系统软件、应用系统、数据库、网络、通讯设备、资料文件、媒体、个人电脑、环境、人员以及备援相关资源。

盘点完成后，再依据ISO 22301营运持续管理制度的内容，建立营运持续管理组织，进行营运冲击分析，办理营运持续管理风险评鉴，拟定了营运持续管理策略，并建立相关制度与设计计划。依循着制度与计划，规划及办理系统演练作业，以及进行内部稽核与召开管理审查会议。

比如，彰银既有的资讯作业灾害复原计划（DRP），在导入这个管理制度后，就需做营运冲击分析，评定最小服务水准等，甚至，要比过往更确实地执行演练，并且将系统切换到台中异地备援的正式环境。

在DRP计划中，陈显龙指出，要先定义灾难等级。彰银是以系统重要性，分为核心账务系统、开放系统，并依照系统停顿时间造成分行营运的冲击，依照自家BCP标准，再细分3个等级来考量。

而各级的灾害处理原则，依照BCP标准办理，若遇到异常事故发生，则会立即召开会议研判原因并决定解决方案，如果原主机无法恢复营运时，以切换同地备援为优先，连这个作法也不足以支持营运需求时，才会考虑启用异地备援。

为此，彰银甚至还盘点了异地的资源，发现不足后，便开始租线路、采购电脑，进行当地环境的设定等，让异地备援中心的资源较为充足。

当正式演练时，从长官决定切换异地备援，到人员移至台中的路程，还有后续的演练到恢复，都须符合营运冲击分析中的最小服务水准。彰银等于是透过这个营运持续管理制度，把以前较为粗浅的地方，整个完善起来。

而为了真正落实营运持续管理，陈显龙表示，在系统备援演练部分，彰银订有BCP、DRP等应变复原准则，各个重要系统都有备援演练标准作业程序，平时各系统均会定期进行同地备援或异地备援演练，过程中，会模拟系统异常无法即时恢复时的备援系统切换，让员工熟悉相关应变及复原程序，以利发生紧急状况时能即时反应及处理。比如彰银核心账务系统，一年则会做两次演练：一次是同地备援演练，另一次是异地备援演练。

这样每年两次的异地备援演练，每次的演练约莫2小时，虽说是模拟，对彰银来说仿佛打了一场仗。陈显龙指出，因为，打从演练当天，凌晨天刚亮，资讯处人员就要先展开前置准备作业，派人先把相关环境建置好，再把线路从台北切到台中，开启异地备援中心，并把数据库倒回前一天早上9点。

此时，各家分行要陆续把本地机器开启，才可连接异地备援中心主机，并让全部分行的人员把前一天的传票拿出来，进行30分钟的资料模拟登打，同时，仅开放某家分行的自动提款机（ATM），来验证ATM是否能正常运作。确认完成以上验证后，就表示异地备援系统可运作，即可关掉异地备援的主机，后续再做回复，并切换回原主机继续正常营运，并能在银行营业时间开始之际，准时对外提供服务。

不过，陈显龙提到，因为核心系统太重要，所以彰银的资料会同步到同地与异地的主机，共三套数据库瞬间同步。他也坦言，彰银比较常切换的是同地备援，万不得已，不会正式切换到异地备援。

而除了资讯系统演练，人员安全也是ISO 22301的重点。彰银表示，从导入制度到现在，有别于以往的书面宣导，他们已进行超过20几场的教育训练课程与情境实际演练，包含火灾疏散演练、人员疏散与清点演练、风灾与水灾演练、核子事故演练、损害评估及事件后续处理演练、地震疏散演练、系统容量／效能不足演练及重大传染病演练等，借此训练员工面临灾害的反应。

不只网络银行，彰银是台湾唯一一家连手机App都纳入ISO 22301认证范围的银行，今年，彰银还要做到更全面的BCP，他们透露，希望同样作法扩大适用到所有资讯处的系统，即便没有认证，也要让所有系统都能有一定的标准，甚至连海外分行的系统也要纳入。

系统环境盘点须兼顾新系统与现行系统，避免发生单点故障问题

彻底落实营运持续管理更重要的一个基础是，“IT系统建置之初，就应该要从头植入持续营运的DNA与精神。”陈显龙强调。

以彰银资讯处的作法来说，在公司的营运持续管理制度建置过程中，最初是内部系统环境盘点作业，他们除了在新系统建置期间确认备援机制之外，也会盘点现行系统备援机制是否完备。陈显龙提到，彰银的新系统不管是自行开发，还是委外厂商开发，在规划建置的阶段，都要考量系统耐用年限内资源使用不虞匮乏，同时，必须建置此系统的备援系统，而这又分成同地备援与异地备援，并在验收前实际演练切换，确认备援机制能正常运作，避免发生单点故障问题。

在现有系统部分，彰银系统人员则会依照整体作业流程，逐一盘点确认各系统的备援机制是否完备，并拟定备援演练计划，定期进行演练作业，确保各系统的备援机制皆能正常运作。

不只如此，彰银的内部稽核单位，以及外部的专业机构，也会定期盘点与查核彰银相关系统备援机制是否符合规定。在内部稽核单位，彰银现有资讯安全中心与稽核处每年定期对资讯处各项系统及相关作业进行盘点查核，确认各系统的备援机制均正常运作及符合规定。

在外部专业机构的部分，比如英国标准协会（BSI）每年会定期进行系统盘点与备援机制检视，确认系统均符合认证资格并逐步纳入其他系统。陈显龙提到，彰银通过ISO 22301的认证后，BSI每年还会复审一次，确保真正落实营运持续管理。

此外，彰银每3年会重审一次证书版本，若版本有更改，则会进行转版。目前，ISO国际标准组织已于2019年10月30日发布最新版本的营运持续管理系统──国际标准ISO 22301：2019，目的是确保此标准因应现今营运环境。而ISO 22301：2012年版的证书也将在2022年10月30日失效。所以，彰银预计2021年先进行转版准备，2022年上半年完成转版验证。

除了自家的系统，彰银甚至要求外部厂商须有营运持续计划（BCP）的作法，让外部厂商在面临重大天灾及突发状况，危害或阻断资讯系统、公司营运与人员的正常运作时，能提供正常的作业活动，才不至于影响彰银的业务运作。文⊙李静宜