前言

前幾篇內容提及資安事件處理，包含如何評估資安事件與資安事件管理流程、緊急應對 與通報應變，搭配預防資料被加密的資料安全與保護方法，而在本篇針對將介紹企業對於資安事件或其他突發事件的管理機制─應急計畫(Continuity Planning)，不管是基於管理、治理，企業應該制定有效計畫與措施來預防事件發生並且因應重大災難與攻擊事件時，如何達到繼續營運、有效復原與復原。

紫隊為什麼需要了解這些內容

紫隊不僅面對攻擊與防禦手段，若能理解企業如何針對事件回應與復原，便能在演練或真的發生事件前做好「完整性評估」。

紫隊作為橋梁，除了協助技術團隊（如紅隊和藍隊）之外，還有需要跟業務處理、災難復原的團隊進行溝通，讓整件事情的策略與目的是有效的。

若你本身是技術團隊，了解管理策略與這些內容時，可以比較「全面性」思考安全問題，提升評估的技巧，也能推薦適合企業的防禦方法。

什麼是應急計畫(Continuity Planning)

希望以系統化的方法建立有效的回應，以防範、回應、復原，目的是從意外事故、災難或威脅情境中減少所受的損失。

應急計畫會針對不同的情境和目標，被細分多種種類的計畫類型，被分為三大主軸：BCP (營運持續運作計畫)、DRP (災難復原計畫)、和 IRP (事件應變計畫) 。

針對應急計畫的挑戰包含技術的複雜性增加、網路攻擊的頻率和攻擊嚴重性上升、針對自然災害和其他意外事件對業務的影響也非常多，因此如何建立一個應急計畫，甚至挑戰站在維護應急計畫，才能有效回應與減少損失，讓企業可以正常營運，是應急計畫的挑戰。

三大主軸：BCP、DRP、IRP

應急計畫被分為三大主軸：BCP (營運持續運作計畫)、DRP (災難復原計畫)、和 IRP (事故應對計畫) 時，其實還有其他的應急計畫，這些應急可以被視為這三大主軸的子集或相關計畫。

1. BCP (營運持續運作計畫)：
   • 主要關注的是企業業務流程在面對各種風險時能夠持續運作或在可接受的時間內復原。
   • 其他計畫：緊急應對計畫 (Emergency Response Plan) 和 供應鏈連續性計畫 (Supply Chain Continuity Plan) ：與確保業務持續性有關。
2. DRP (災難復原計畫)：
   • 主要關注的是資訊技術系統如何在災害發生後迅速復原正常運作。
   • DRP 的焦點是資訊技術，但它也算是 BCP 的一部分，因為確保業務可繼續執行包含技術復。
3. IRP (事故應對計畫)：
   • 主要是回應資訊安全事故，進行事件的識別、評估、響應和後續審查。
   • 相關計畫：危機管理計畫 (Crisis Management Plan) 可以被視為 IRP 的一部分或與之相關，因為它們都涉及到如何管理和回應危機情況以減少企業的風險。

實際上，根據企業的需求和實際情況，可能會有更多的相關計畫和子計畫。

三者的步驟與啟動，IRP (Incident Response Planning) 往往是第一線的應對策略。

如果識別到資安事件或其他類型的意外事件時，首先會啟動 IRP 進行初步的響應。

隨後根據事件的嚴重性和影響，可能會啟動 BCP (Business Continuity Planning) 或 DRP (Disaster Recovery Planning)。

IRP 先被啟動，確定事件的性質、範疇和影響。若事件主要影響 IT 資源和資料，且達到一定的災難等級，則可能啟動 DRP。若事件影響到整體業務或業務流程，則可能啟動 BCP。

BCP

營運持續運作計畫 (Business Continuity Planning, BCP) 是為了確保企業能在災難或其他意外事件發生時，維持其關鍵業務運作或在可接受的時間內復原運作。

BCP 的主要內容和組成部分

1. 專案初始和範圍規劃
2. 營運衝擊評估/業務影響分析 Business Impact Analysis, BIA
3. 發展還原策略
4. 發展營運持續計畫
5. 計畫獲得同意、建置落實、測試與維護

專案起始和範圍規劃

1. 取得所有高層、管理層的支持
2. 定義專案的範圍、目標與資源需求
3. 建立 BCP 團隊與選擇成員
4. 決定完成時間的 timeline

BCP 委員會

1. 高階主管代表
2. 各部門單位代表
3. 系統與安全人員

業務影響分析 (Business Impact Analysis, BIA)

評估業務流程的關鍵性，以及其對企業的影響。

• 確定範疇和目的：明確 BIA 的範疇和目的，確定涵蓋的業務範疇和關鍵性。
• 識別關鍵業務流程：列出企業內的所有業務流程，並確定哪些是關鍵的。
• 評估潛在的衝擊和損失：評估每一個關鍵業務流程中斷的潛在衝擊和損失，可以考慮金融、營運、法律、名聲等方面。
• 確定關鍵的復原需求：基於潛在的衝擊和損失，確定業務流程的復原需求。
• 計算 RTO 和 RPO：RTO 是業務流程中斷後需要復原的時間，RPO 是可接受的數據損失量。
• 評估資源需求：確定復原關鍵業務流程所需的資源，包括人員、設備、技術等。
• 編寫 BIA 報告：將上述的結果整理成一份報告，包括所有的分析和建議。
• 從高層、管理層獲得支持：提交 BIA 報告給高層、管理層，獲得他們的支持。

時間指標

1. MAO (Maximum Allowable Outage) 或 MTD (Maximum Tolerable Downtime)
   • 最大可容許的中斷時間或停機時間。它表示一個業務流程或系統可以接受的最長停機時間，超過此時間可能會導致不可逆的業務損失。
2. RTO (Recovery Time Objective)
   • 復原時間目標。它是指組織希望一個應用程式、系統或業務流程從中斷或失敗後復原到正常營運所需的時間。
3. RPO (Recovery Point Objective)
   • 復原點目標。它表示組織在災難復原後願意接受的最大數據損失範圍，或換句話說，它指的是最後一次備份和災害發生時之間的時間差。
4. WRT (Work Recovery Time)
   • 工作復原時間。這是從系統、應用程式或業務流程復原正常運作到所有交易或業務流程都已完全復原的時間。

還原策略

1. 先排除危害，無法排除先減輕
2. 還原方法需要謹慎評估
3. 安排備援場合
4. 安排備份方法
5. 搭配「災難復原計畫」

發展營運持續計畫

將定義的內容進行文件化

1. 如何進行緊急應變
2. 如何進行危機管理
3. 如何順利展開災難復原計畫

計畫獲得同意、建置落實、測試與維護

1. 主管簽署同意與公開支持
2. 每年執行一次測試與演練
3. 定期維護與更新

小節

本篇先介紹 BCP 的概念，之後將介紹災變復原策略的細節。