在弓箭手村的資安修練第 8 天，今天村長召集大家開了一場緊急會議，主題是：「如果村莊突然遭遇攻擊、糧倉失火、或是通訊中斷，我們該怎麼辦？」這不是危言聳聽，而是我們資安修練中非常重要的一環——業務連續性計畫（Business Continuity Plan，BCP）。
想像一下，如果弓箭手村突然遭遇暴風雨，箭塔被雷劈了、糧倉起火、通訊中斷，村民們該怎麼辦？總不能大家一臉茫然地站在原地等村長下指令吧？這時候，如果我們事先有一套「危機應變計畫」，大家就能各司其職，迅速行動，讓村莊繼續運作、不被打亂。

業務連續性計畫（Business Continuity Plan，BCP）

就是在公司遇到突發狀況（像是系統故障、天災、網路攻擊）時，還能繼續運作、不被打亂。
這就像是公司為了「萬一」先準備好備案，讓大家知道該怎麼做、誰該做什麼。

• BCP 的目的很簡單：讓公司在遇到災難時，還能繼續提供重要服務，像是醫療、通訊、食物供應等，並在最短時間內恢復正常運作，這不只是資安的事，更是整個組織的事。
• 那怎麼做呢？關鍵在於「溝通」和「準備」：BCP 不單單只是某個部門的事，而是要整個組織一起來。管理層要支持、各部門要參與，大家要知道彼此的角色和責任，才能在危機來臨時不慌亂。
• BCP 的四大成分：
  • 風險評估：先盤點一下有哪些可能會讓我們停擺的風險。像是火災、斷電、系統被駭、供應鏈中斷等等。這一步就像是偵查兵先去探路，找出可能的敵人。
  • 持續運營策略：如果真的出事了，有沒有備案？有沒有替代方案？資源怎麼分配？這就像是我們準備好的備案。
  • 即時回復程序與清單：出事後要怎麼處理？有哪些步驟？誰負責什麼？像是滅火流程、安全保障、系統重啟等等。這些都要寫清楚，最好還有演練過，才能在真正發生時快速反應。
  • 溝溝通計畫：危機時刻，資訊要能快速傳遞。不只是內部員工，還包括供應商、客戶、甚至媒體。像是電話樹、緊急聯絡群組、通報流程，都要事先規劃好，確保大家能同步行動。
• 小總結
  • BCP 就像是弓箭手村的「危機生存手冊」，不是用來嚇人，而是讓我們在最壞的情況下，還能撐住、站穩、甚至反擊。資安不只是防守，更是韌性與恢復力的展現。