《前言》

本章就要進入正式的主題，先從核心業務開始說起，近年來由於美中關係緊張，所以公司的核心業務是甚麼，變成一個很嚴肅的議題，尤其這會牽扯到供應鏈上下游，其重要性當然不可言喻。然而，有些公發公司可能認為公司規模不大，或者說是屬於傳產，本身產業在資安的範圍內不是那麼重要，所以就沒有積極去理解這些的議題，事實上，即使公司目前在供應鏈裡可能不是那麼重要，但是同業之間的競爭，不管國內外的同業，如果沒有保有自身所掌握的利基，很容易就被市場給取代並且淘汰掉，這在資本市場上是屢見不鮮的，所以有關核心業務及機敏性資料保護，一般的公發公司當然要謹慎以對了。

本篇所討論的部分，因可包含範圍極廣，所以僅作概略敘述!

=====================================
第三章 核心業務及其重要性

第七條、 鑑別並定期檢視公司之核心業務及應保護之機敏性資料。
第八條、 鑑別應遵守之法令及契約要求。
第九條、 鑑別可能造成營運中斷事件之發生機率及影響程度，並明確訂定核心業務之復原時間目標(RTO)及資料復原時間點目標(RPO)，設置適當之備份機制及備援計畫。
第十條、 制定核心業務持續運作計畫，定期辦理核心業務持續運作演練，演練內容包含核心業務備援措施、人員職責、應變作業程序、資源調配及演練結果檢討改善。

======================================

《探討及分析》

在第七條的部分，主要就是公司核心業務及機敏性資料的檢視，這邊有要求必需要「鑑別」與「檢視」，可是這裡有個問題，就是應該由誰來鑑別？通常公司自己對於核心業務一定都是最重要的部分，也是business model裡面能夠獲利之處，這其中也包括專利、技術、服務等等都算是高度核心業務，即使要請第三方或外部來評鑑，這部分也是很高度的機密，不可能做外部評鑑的，更何況這也涉及營業秘密法，所以，這個鑑別的方式的定義，是應該要更明確。

第八條的部分，是屬於法律遵循的部分，法務、風控或稽核單位可以分別用不同觀點查核，這部分尚可以透過這些單位達成這項要求，不過，重點還是在於公司要遵守法令及契約的規定。

第九條的部分，就是營運中斷發生之機率及影響程度，有關這部分，就得要透過很多資安的演練，來做評鑑，這個目前很多資安公司都有在從事這部分的業務，所以可以透過外部協助來評估這些問題。此外，第九條的後半提到備份機制，這部分大部分系統都可以做到，很多小規模的公司大概就是設定還原點，不過，後面所提的備援計畫，這個大部分都會忽略掉，一般較小的大概做到還原點及備份就覺得有做到了，可是備援這部分，就是在系統、網路、設備等，受到外部攻擊時，是否有可以讓公司網路、系統、設備等仍然順利運作的備援系統，這個就不是一般的公發公司能夠全部做到的部分了。

第十條的部分，制訂核心業務持續運作的計畫，演練內容要包含：

(1)	核心業務備援措施
(2)	人員職責
(3)	應變作業程序
(4)	資源調配
(5)	演練結果檢討改善

對於上述的演練，當前是個很熱門的一個主題，大致上，當前比較有規模的公司，都會定期進行相關的演練，不過，小資本或是資源較匱乏的公司，如果在預算有限的情形之下，可以將核心業務另外獨立出來存放，資料也不一定要存放在伺服器上或放到雲端之上，只要能夠安全並可靠的保存即可，這部分只要能說明清楚，演練的方式還是要依公司實際情形作彈性的調整才對。

當然上述很多項都很不太容易做到，不過，我們還是在能力範圍內，將其列入內控之內，以下為參考之內控重點：

以上內容僅是概述，因涵蓋範圍極廣，無法詳細陳述，僅作為參考之用，實際還是要依公司情況訂定。