「營運持續管理」要落實與精進,集保結算所強調應變演練聚焦重大事故,與外部支援單位磨合更是關鍵

圖片來源: 

攝影/羅正漢

談到臺灣集中保管結算所(簡稱集保),對於已設立證券帳戶的人而言,這是大家相當熟悉的機構,早年用戶會拿到一本集保提供的存摺,近年則是改為安裝「集保e手掌握/集保e存摺」App。事實上,集保是我國金融市場唯一的後臺機構,最主要的任務,就是支持金融市場的有價證券結算事務處理,期貨結算電腦資料處理,以及債票券結算交割。

截至今年11月為止,集保的市場保管規模已高達69兆元,投資人帳戶達1,100萬戶,每日處理達300萬筆交易交割資料。這也意味著,集保一旦發生服務停擺狀況,國內證券、期貨與債券市場都會受影響,所以,該公司不單需要處理如此龐大的資訊,強化組織本身的資訊韌性,做好營運持續管理同樣至關重要。

為此,他們採取了哪些做法?集保結算所副總經理張秀珍在一場合作夥伴活動上,提及2020年參與行政院國家關鍵基礎設施防護(CIP)演習的經驗,歸納出五項具體關鍵心法。

落實BCM,聚焦3類複合重大情境,透過實際演練才能真正結合外部支援能量

近年來,國內企業組織對於資安的重要性,已是越來越有共識,但對於營運持續管理(BCM)的瞭解與實際運用,可能還不是那麼全面。

對於營運韌性強化策略的規畫與執行,集保分為8個面向,包含前期的災害預防,以及情資蒐集與研判,關於損害影響評估即通報聯繫,資源及支援盤點、備援機制,以及損害應處與持續營運策略,這些都是關鍵,同時不能忽略的是,對於媒體的應處,整體金融管理體系應變,以及災害復原及檢討。

更重要的是,若要進一步提升組織應變力,「危機意識」與「演練」就是關鍵,而當中也突顯了聯防概念的重要性,只有自己做好是不夠的。

臺灣集中保管結算所副總經理張秀珍表示,演習應強調在重大異常,而非單純的事故異常排除,需要針對天然、資安、人為這三大類情境做到複合式全災害情境的演練,並透過演練再演練的方式,才能讓應變得以形成反射動作。

第一,要有危機意識

不論是營運環境系統當機,主機房無法運作,或是資料毀損的問題,這些是普遍企業組織關注的防護焦點,集保也不例外,針對系統當機問題,考量同地備援主機、異地備援主機,針對主機房問題考量異地備援機房,針對資料料毀損問題,就要考量多地資料備援,以及離線資料倒檔。

第二,需要關注真實世界的危機

威脅並不只是資安事件,還包括地震、淹水、火災、電力供應,甚至是傳染病、罷工、炸彈客威脅、無人機攻擊等各類狀況,這也讓集保開始重新省思營運韌性這件事。

事實上,集保公司在2001年納莉颱風時,就曾受到水災的影響。近年國際間更是不少相關重大事件,例如,歐洲2021年發生史上最嚴重機房火災,造成全球360萬個網站停擺;這幾年,全球遭遇疫情衝擊,也是企業組織面對員工可能碰上確診或被隔離,資訊系統恐無人操作的狀況。

因此,張秀珍強調,一個組織的韌性,不只聚焦在資訊安全,而他們也參考了行政院國土安全辦公室提供的指引,將國家關鍵基礎設施防護演習,分為3類,分別是天災、資安與人為,這三大面向來看待營運持續的風險。

第三,透過演練養成危機處理能力

基本上,集保公司每年都會進行異地備援切換的演練測試,重要系統更是一年進行兩次,一次內部自己做,另一次會與客戶一起操演。同時,還有消防演練,以及天災逃生演練等。

具體而言,企業組織在演練設計上,必須做到上述3類的災難演練,當中有幾個要點,需「從嚴」、「從難」、「從實」,設計複合式的全災害情境。這在設計演習腳本、撰寫演習腳本時就必須考量,之後才能撰寫演習計畫書。

更重要的是,他們在過程中體認到區域聯防、簽訂協定的重要性。張秀珍指出,在演習狀況與劇本的編制之後,還要顧及真實世界並非只有自己,尤其是一個重大災事件發生時,往往無法單靠自己獨立完成應變,這需要與相關資源單位保持良好互動才行。

舉例來說,實際演練過程讓他們認識到:需考量警消到場與其他部門協調的狀況,以及與主管機關、地方政府的溝通。甚至大樓平面圖是否能很快拿出來,提供給到場的警消人員,如果身處複合式大樓,管委會也是重要聯繫角色。

因此,在演練之下,集保簽訂了很多支援協定,並重視支援單位協調會的召開。張秀珍指出,讓相關應變單位能夠認識集保,彼此都能認識災難救助順序,這是相關實務的關鍵,否則,一旦發生重大災害,大家都在搶可用資源時,如果對方不知道我們屬於關鍵基礎設施,很可能不會在第一時間將我們放在優先順位。

第四,有了營運持續計畫架構,還需要落實

為保護營運不受災害與事故的傷害,制定持續營運計畫這件事,多年前就已經強調,近年更是因為疫情衝擊,讓此議題再度受到許多關注。

網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店:臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪?台中大展搬家線上試算搬家費用,從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗,提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪,彈性的出遊方案,行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益

對此,張秀珍說明他們的營運持續計畫架構分為:業務面事件與資訊面事件,簡單而言,前者可分成天然災害、人為災害,以及巨災,後者則是資安事件,在事件應變或持續營運階段,各自都有所需遵循的手冊、規定與計畫。而演練的作用,將有助於讓組織這樣的實務內化到作業之中。

第五,強化聯防體系,必須縱向橫向通盤考量

所謂不怕一萬,只怕萬一,企業與組織需設想的是,如果真的有巨災發生,我們真的能夠因應嗎?知道該跟誰聯繫嗎?

為了因應緊急災害事件,近年我們看到國內一些關鍵CI業者,如醫療業,均強調緊急應變指揮架構的重要性。

而集保本身也有這樣的配置,在他們的緊急應變指揮架構圖當中,主要參考內政部消防署的ICS事故現場救災指揮系統應用,以及行政院國體安全辦公室的國家關鍵基礎設施防護演習參考手冊,進而建立緊急應變指揮體系,並呈現具體責任分工。

在人員角色的執掌上,他們以總經理為指揮官,副總經理為副指揮官,下設3官、3組,包括安全官、聯絡官與新聞官,以及計畫參謀組、應變執行組、後勤支援組。

特別的是,在聯防與通報的層面,集保本身也繪製架構圖,徹底展現盤點應有的構面。

簡單來說,集保緊急應變指揮中心向上通報對象,從金管會到行政院國土安全辦公室,與集保同一層級的橫向連結,則可涵蓋軍警、消防、醫療、通訊、水電力、金融、周邊,以及地方政府單位。

而在向下協處的支援單位,他們亦有統整。舉例來說,包括機房管理委員會、大樓管理處,還有就是各方協力廠商,不論資訊供應商、電信、網路、發電機、防火牆、伺服器、交換器、備援與資安資訊業者。

為了因應緊急災害事件,集保依據遭逢巨災時營運持續實際需求所設計的應變時指揮架構,並透過定期及不定期演練,使架構內化到組織文化,而在實際發生異常時,亦可視狀況不同,由指揮官指派所需的「官」或「組」。 

除了以多層架構強化自身的資安防護,集保強調聯防亦是強化數位韌性重要的一環,包括與F-ISAC、SF-CERT、資安專業機構做到情資分享,同時也要涵蓋到供應鏈的管理。

演習內容應放在重大異常,演習後才是精進的開始

隨著持續演習,大家對於營運韌性強化將有更多體認。張秀珍強調,演習並非單純的事故異常排除,劇本應聚焦重大異常,而集保透過演習也有了更好的機會,實際認識到重視不足的面向,並能去反覆練習。

例如,要與外部支援能量維持良好互動,簽訂支援協定也讓雙方在區域聯防上有好的合作基礎;即便有了緊急應變指揮架構,同樣需要透過透過定期及不定期演練,使這樣的架構能內化到組織文化。

 

集保業務走向多元,近年強調數位資安,持續投入營運韌性的強化

臺灣集中保管結算所(簡稱集保)屬於金融領域的國家關鍵基礎設施提者,其業務範圍不僅涵蓋股票保管業務,以及期貨、債券交割,近年已從B2B跨入B2B2C模式,朝向多元業務發展,以金融科技而言,他們推出集保e手掌握App;在公司治理的部分,集保推出股東會視訊會議平臺,股東會電子投票平臺,以及公司投資人關係與ESG整合平臺。同時,也包括洗錢防制的面向,如今,更是聚焦在創新、永續與韌性發展。

面對營運持續管理強化的議題,早年已經重視資訊安全的集保,至今仍持續精進。事實上,這幾年來,金管會多次在公開場合表示,鼓勵金融機構導入ISO 22301營運持續管理系統標準,在配合主管機關政策之下,集保在三年前2019年就已開始規畫導入,並於隔年12月通過認證。在2020年5月,集保也被指定為行政院國家關鍵基礎設施防護(CIP)演習的機構,持續藉由演練不斷精進。

https://www.ithome.com.tw/news/154800

您可能也會喜歡…