隨著科技的進步和全球化的影響,組織面臨著各種威脅和風險,如自然災害、網路攻擊、供應鏈中斷和法規變更等。這些挑戰不僅直接影響組織的運作,還可能對其聲譽、財務和永續發展帶來長期損害,組織的營運持續管理變得比以往更加關鍵和複雜。臺灣集中保管結算所(簡稱集保)副總經理暨資安長張秀珍女士,於BSI資安年會中分享集保在維持營運不中斷所學習到的寶貴經驗,希望能喚起更多企業對組織韌性的關注與重視。
集保擁有特殊角色 韌性對組織極為重要
張副總表示,集保在台成立超過30年,在金融市場具有特殊角色,扮演處理證券交易所、櫃買中心、期貨交易所3大前台的唯一後台中心,除了負責提供權益證券即股票、期貨、債/票券、海外與基金保管五大核心業務,更提供對投資人的服務應用,如公司治理、Fintech、防制洗錢及打擊資恐等,其中也包括了為響應ESG推出的集保e手掌握APP、電子投票跟視訊股東會、IR/ESG平臺等數位化多元服務,同時也將持續提供創新、永續、韌性相關的服務。
由於集保的業務均已全面邁入無實體數位化,且每日要處理的作業量與交易金額非常驚人,張副總補充光是目前集保保管投資人的資產就已高達69兆、投資人帳戶多達1千多萬戶、日處理交易量達300多萬筆、交易金額更是高達7、8千億、成交量甚至還可能破兆,在如此龐大且極需仰賴資訊處理下,只要一有閃失影響甚鉅,也因此資訊韌性對集保而言非常重要。
不應只是強化數位韌性 建立整個組織韌性才能應對真實世界的各種挑戰
為提高組織的資訊韌性,集保不斷精進實務作業,著重資料的BCM (Business Continuity Management,營運持續管理),包括要能做到同地、異地備援主機,以防止營運環境系統當機;異地備援機房,確保即使主機房無法運作,也能保持運營;實施多地資料備援和離線資料倒檔,以避免資料毀損;同時,也在評估將系統轉移到雲端的可能性。儘管集保每年都會進行多次系統演練,甚至也會邀請客戶參與,但張副總也指出,在真實世界中,組織所面臨的災難不僅限於資訊安全。根據行政院國土安全辦公室的分類,複合式災難可分為天然災害 (如地震、水災、火災)、資安事件 (如勒索軟體、駭客攻擊) 和人為災難 (如傳染病、罷工、炸彈等)。張副總提醒,組織不應只是專注於加強數位韌性,更重要的是建立整個組織的韌性,以應對真實世界中的各種挑戰。
建立區域聯防體系 在重大災害發生時獲得即時支援
集保於109年被行政院選中進行國家關鍵基礎設施防護訪評演習,也得已深刻體會進行大規模複合式災難演練的重要性。在演習的過程中,主管機關要求將天然、資安、人為三大災難情況納入,做到從嚴、從難、從實的複合式全災害情境演練,包括從設計撰寫劇本、編撰計劃書、簽訂與各支援單位的協定、以及實施演習。張副總分享在這樣的經驗中,學習最多的是建立區域聯防體系的重要性,當發生重大災害時,組織往往也需要相關外部單位的支援,定期保持和警消、醫療、電力、金融、主管機關、地方政府、協力廠商和管委會等相關支援單位的良好互動,才能確保在重大災害發生時獲得即時支援。
強化應變能力 落實災變演練
集保不僅參與CIP演練 (Critical Infrastructure Protection),也在每年訓練不同的人員舉辦內部防災演練,以將防災意識深化到組織內部的日常作業中。參考內政部的ICS (Incident Command System) 事故現場救災指揮體系組織架構,集保成立了相關的三官三組,包括安全官、聯絡官和新聞官,以及計劃參謀組、應變執行組與後勤支援組,當緊急情況發生時,相關負責人員就能即時做出回應。
張副總也分享了8個演練的重要程序,並提醒唯有透過不斷地落實演練,才能形成自然的反射動作,有效地強化組織的應變能力。這些程序包括:
- 災害之預防
- 情資蒐集與研判
- 損害影響評估及通報聯繫
- 資源及支援盤點、備援機制
- 損害應處與持續營運策略
- 媒體應處
- 整體金融管理體系應變
- 災害復原及檢討
最後,張副總以韌性與相互關聯性做了總結,提醒我們雖然在物理學上韌性指的是要能回到最初復原的狀態,然而就如同地震過後重建的房子,都應要更加優化才行,而這個社會仰賴人與人的相互交流、共生共好,才能建立起整個組織和全體系的韌性。
