iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 4
0
Security

資訊系統安全與 CISSP 的簡單應用系列 第 4

[Day 04] 安全與風險管理 (Business Continuity Planning)

昨天我們談到風險管理 (Risk Management),其實,服務不中斷 (Business Continuity Planning) 是風險管理的一個子集。我們特別拉出來談的原因,是因為風險管理提供的是一個通用系統性方法 (General Systematic Approach);若果不單獨拿出來看,服務不中斷 (BCP) 將很難在執行面有真正果效,同時也缺乏即時處理的速度與交付客戶的能力。

先問大家一個問題:為什麼將「法遵人員」納入您的服務不中斷計畫,是如此地重要呢?因為,許多的國家、地方法律和規範,會要求服務不中斷的實施;「法遵人員」可以幫助您了解是否有遵守法規與契約條例,這對於組織與個人面臨緊急事件時之權益保障有直接關係。接下來,我們就仔細來了解最近很夯的「法遵長」這個名詞。

Legal & Compliance

圖片來源:https://ithelp.ithome.com.tw/upload/images/20171218/20107753VF1zVdvFl0.jpg

法遵長 (Legal & Compliance)


日前某銀行之紐約分行,遭美國重罰 1.8億美元,原因之一是法務人員兼法遵人員。什麼是法遵?法遵跟法務有什麼差別?

職稱 法務 法遵
角色 銀行內部的律師 督促銀行遵循銀行管理法令的人,例如,注意銀行準備金是否足夠、網路交易安全、基金交易風險
工作內容 銀行與客戶之間契約、合約的把關者 風險的第二道管控者,能夠理解風險藏在那裡,有整合跨部門防堵風險的能力

「憑感覺試試看 (Fly by the seat of your pants)」是很危險的,所以我們會另外設置一個安規部門,讓他負責去看所有的安全規範 (Safety & Regulations)、可靠度規範 (Reliability)、進出口通關規定、合約文件記錄 (Records of Service Agreements and Contracts)、官方認證授權 (Agency Authorization)、保險資料 (Insurance Records) 等等。

講了這麼多,您的組織設立「法遵長」了嗎?
Fly by the seat of your pants

服務不中斷計畫流程 (BCP Process)


04 BCP Process

  1. 識別必要服務之相依關係 (Identify Essential Service Dependencies):
    產出功能資源相依圖 (Function Resource Dependency),識別並記錄該服務相依之必要功能與資源。

  2. 準備服務不中斷所需之內外部資源與人員 (Prepare for Service Continuity):
    產出風險管理工作表 (Risk Management Worksheet),進行風險評估與控制,分析對於這些資源之潛在威脅或危害。

  3. 驗證與確效您的服務不中斷計畫 (Verify and Validate the Service Continuity Plan):
    產出故障症狀、原因與行動一覽表,常見的基本元素有
    *授權人員之正式名單,相關聯絡方式與溝通管道
    *支持必要功能之替代資源與位置
    *恢復步驟 (Recovery Sequence)
    *常見問答 (FAQ)
    *客人意見與審查回饋、重大變更之版次記錄


很著迷這個題目,很敬佩他的熱情,作者是臺灣大學法律學院教授,任教臺大 30 年,研究領域為刑事法學、法社會學,致力推動刑事實體法與現代財經的結合。(巨作啊!不愧是 30 年的精華!)
集團化公司治理與財經犯罪預防
《集團化公司治理與財經犯罪預防》


上一篇
[Day 03] 安全與風險管理 (Personnel Security & Risk Management)
下一篇
[Day 05] 安全與風險管理 (Laws, Regulations, and Compliance)
系列文
資訊系統安全與 CISSP 的簡單應用30

1 則留言

1
CyberSerge
iT邦好手 1 級 ‧ 2017-12-29 23:59:40

這次鐵人賽我也有寫到BCP,所以將您的發文列在留言中,做為參考補充資料。

我要留言

立即登入留言