商業環境新風險無所不在,面對全球未知敵人,你該如何防備應變?
── 財經中文書第一部:全球企業災難的案例書 & 韌性管理的入門課本
為什麼先進國家與企業在本世紀之後,都投入了「韌性」(Reslience)管理?它究竟有何重要性與價值?
為什麼在當代經營策略家的面前──「環境」──而非競爭者,可能才是企業最大的對手?
由全球重要的公安/工安/資安事件出發,本書深度剖析了風險管理與災後復原能力的相關議題。
面對當前不確定性高、技術與數位跨國連結而引致的惡意攻擊層出不窮的時代,於災後復原及風險管理領域執業多年的本書作者,兼從最新知識與災難企業案例的結合,生動說明了「韌性管理」的新觀念與新作法;除了安全的預防意識外,企業界也強調是否有一套「緊急復原對策」備變系統並且可操作落實,這已嵌入許多全球公司最重視的管理環節中。
企業資安、工安部門、高階經營管理層級必讀風控書目
當前大型跨國組織都在強調韌性管理的觀念、急迫感、故事與行動──
從美加大停電到NASA衛星事故、從駭客入侵航空公司到半導體廠火災……;在年度的策略預案裡,我們是否想過:「如何把賺到的錢安全放進口袋」?
在經營情境中,最稀有的資源不是部門預算,而是領導者的注意力。面對一再刷新紀錄的商業災害,到底領導者該有何種新思維?本書全面性地由「防災─減損─災後復原」,甚至是企業受災的理賠洽商,一步步帶領讀者認識天然災害/安全意外/電腦系統被駭等風險的高度不確定本質,以及當災禍降臨時,缺乏演練與漠視「危機中如何領導」的企業將會受到什麼樣的懲罰。同時,也指出如英特爾這類全球標竿企業已將「韌性」標準納入供應鏈管理,尤其是「一旦發生風險,後果就極為嚴重」的飛安與醫療領域裡,最新的「安全」維護與一般公司的安全觀念有何異同。
本書也會是一部絕佳的「韌性」文化變革的企業內部啟動書籍,一家重視安全的組織,會鼓勵人人成為「當責者」:人人願意瞭解現況、負責任、發掘改善風險管理之道,甚至加以承擔,跳脫不重視安全的惡性循環。
精彩收錄
風險是比競爭者更可怕的對手,遭遇過它的企業多半絕口不外傳。
其實,我們並不容易從商學研究與教育中完整學習它──為了要讓讀者身歷其境,本書亦整理隱身在新聞或書籍的危機小故事,例如:
1949年─ 美國曼恩峽谷(Mann Gulch)森林火災
1995年─ 日本阪神大地震製鞋產業
1998年─ NASA火星氣候軌道探測器事件
2000年─ 美國半導體廠晶片廠火災
2001年─ 台灣知名網路書店水災
2001年─"911"事件上千名員工緊急疏散
2003年─"SARS" 事件
2003年─ 美加大停電
2010年─ 知名石油企業漏油事件
2010年─ 智利礦場事故
2011年─ 日本福島核電廠海嘯
2013年─ 美國知名零售業者駭客入侵
2016年─ 跨國玩具製造商被詐騙
2016~2017年─ 航空公司電腦當機
2017年─ 智慧製造工廠被駭客入侵
名人推薦
尤之毅 博士/教務長,國際公共政策管理研究所,Price 公共政策學院,美國南加州大學
林秉耀/國泰產險總機構法律遵循主管
施立成 律師/微軟全球助理法務長、台灣微軟公共暨法律事務部總經理
洪偉淦/趨勢科技台灣暨香港區總經理
許毓仁/TED x Taipei 創辦人 & 立法委員
楊清榮/富邦產物保險股份有限公司 總稽核
彭啟明/天氣風險管理開發股份有限公司 總經理
閻治中/韋萊韜悅台灣分公司 企業風險管理與經紀服務總經理
好評推薦
當今世界面對了另一個最大的非傳統戰爭的挑戰,乃是電腦駭客的襲擊,其造成的災害可以是幅員遼闊並具強烈殺傷力的傷害。
作者明璋從事多年危機處理專業工作,業餘之際涉略了多方的研究與資料整理,把全球已經發生的多個危聳的大災難詳細的收入書內,並提供處理的一些準則,是一本具有閱讀與收藏價值的專業書籍。──尤之毅 博士/教務長,國際公共政策管理研究所,Price公共政策學院,美國南加州大學
駭客界的供應鏈、生態系已然蓬勃發展、手法日益精進。企業若仍然依賴過時的思維與技術,當然難以防禦現今的網路攻擊。……而放眼未來,全球企業莫不力求轉型以增加其競爭力,台灣亦然。……很高興前同事吳明璋先生整理國際知名案例,提高社會大眾的資安意識。他從門外漢跨進資安產業,現在協助推廣資安保險,為健全國內資安產業體質而努力。樂於為之推薦本書。──洪偉淦
/趨勢科技台灣暨香港區總經理
本書除了讓您學習到韌性(resilience)的理論知識,也提供您做規劃時相應的參考。過去,作者吳明璋先生服務過的專業復原團隊BELFOR協助我們客戶災前訓練與災後復原。我們很高興吳先生整理多年的實務經驗與國內外經典案例,樂與為之推薦。──林秉耀 /國泰產險總機構法律遵循主管
很高興吳明璋先生將過去BELFOR經驗整理分享,讓我們了解災後復原這個較不為人充分知悉的領域,另外,在資訊安全的領域,我們也從本書吸收到新知與實務,將有助於我國資安保險之推廣,減低被保險人於日益頻繁、複雜的資安事故中遭受重大損失。──楊清榮/富邦產物保險股份有限公司 總稽核
作者介紹
作者簡介
吳明璋(Bright)
服務於韋萊韜悅(Willis Towers Watson)台灣分公司,提供資安保險與理賠服務。這是他的第八本書,作品曾獲「經濟部中小企業金書獎」。二十年前,他隻身暢遊美國大峽谷不幸發生車禍。巧遇貴人相助,但當時並不知道這個意外的啟發是什麼。2004年,於台灣KPMG取得資安管理國際認證(BS7799/ISO27001)。在趨勢科技期間,針對不同產業以設計思考(Design Thinking)進行客戶洞察(Customer Insight)研究。在全球災後復原公司BELFOR,曾處理過IT機房火災。執行超過1,500人次客戶教育訓練與研討會,以及超過1,000人次桌面演練(Tabletop Drill)。跨國專案橫跨台灣、中國與新加坡三地,協助十餘個科技業客戶導入專案,並完成災後復原演練與實地稽核。
2014年起,他先後於APEC企業營運持續規劃(Business Continuity Planning)、數位韌性(Digital Resilience)講師工作坊擔任帶領者和論壇與談人。2018 HITCON Summer Training合格講師,以及SEMI Taiwan SEMI Information & Control Technical Committee - Security Task Force的初始會員(Founding Member)。閒暇之餘參與華茂扶輪社、培養設計思考,水彩畫、吉他、新世紀音樂、閱讀。
關於他的數位韌性影片,請看:www.willistowerswatson.com/zh-TW/insights/2018/08/video-cyber-security-risk-and-solutions-in-taiwan
與他聯繫:[email protected]
吳明璋(Bright)
服務於韋萊韜悅(Willis Towers Watson)台灣分公司,提供資安保險與理賠服務。這是他的第八本書,作品曾獲「經濟部中小企業金書獎」。二十年前,他隻身暢遊美國大峽谷不幸發生車禍。巧遇貴人相助,但當時並不知道這個意外的啟發是什麼。2004年,於台灣KPMG取得資安管理國際認證(BS7799/ISO27001)。在趨勢科技期間,針對不同產業以設計思考(Design Thinking)進行客戶洞察(Customer Insight)研究。在全球災後復原公司BELFOR,曾處理過IT機房火災。執行超過1,500人次客戶教育訓練與研討會,以及超過1,000人次桌面演練(Tabletop Drill)。跨國專案橫跨台灣、中國與新加坡三地,協助十餘個科技業客戶導入專案,並完成災後復原演練與實地稽核。
2014年起,他先後於APEC企業營運持續規劃(Business Continuity Planning)、數位韌性(Digital Resilience)講師工作坊擔任帶領者和論壇與談人。2018 HITCON Summer Training合格講師,以及SEMI Taiwan SEMI Information & Control Technical Committee - Security Task Force的初始會員(Founding Member)。閒暇之餘參與華茂扶輪社、培養設計思考,水彩畫、吉他、新世紀音樂、閱讀。
關於他的數位韌性影片,請看:www.willistowerswatson.com/zh-TW/insights/2018/08/video-cyber-security-risk-and-solutions-in-taiwan
與他聯繫:[email protected]
目錄
推薦序
前言 「韌性」是一門顯學
Part 1 勿恃敵之不來
1-1 越過山丘,轉過一個又一個的念頭
1-2 蠢蠢欲動的隱形敵人
1-3 我的隱私,未來的曝險
1-4 遊戲玩家的「天堂」,資訊人員的夢靨
1-5 這次客戶老闆發飆了
1-6 中小企業也成為敵人的提款機
1-7 50個自我檢測的問題
Part 2 危機意識的領導管理
2-1 面對「新常態」該有的新思維
2-2 息事寧人的文化慣性
2-3 從受災企業股價看其組織復原力
2-4 營運持續或災後復原?下一步在哪裡?
2-5 最佳實務企業的做法
2-6 經驗不足導致蝴蝶效應
2-7 結構性規劃的起手式
2-8 災後復原專案的關鍵因素
2-9 當應變組織失效
2-10 過度自信的領導團隊
2-11 措手不及的組織應變
2-12 以時間軸建構資安價值鏈
Part 3 準備是最好的應變
3-1 「災後才想到專家」來得及嗎
3-2 呼叫專家,我們有麻煩了
3-3 規劃為韌性行動的第一步
3-4 優先評估關鍵性營運
3-5 災害衝擊遠大於你的預期
3-6 面對書面計畫的陷阱
3-7 虛驚為事故的前哨站
3-8 從漏洞圍堵到預防無用論
3-9 「有計畫無演練」流於形式
3-10 以反面思維看BCP
Part4 災後復原的現場與實務
4-1 災後復原為移動中的目標
4-2 個人自救用品
4-3 眼見為憑……但只是冰山一角
4-4 災害管理是異常管理
4-5 資安調查恍然大悟
4-6 災因調查追追追
4-7 資訊安全復原沒有捷徑
4-8 理算洽商之攻防實務
Part5 經典案例
5-1 終結國際知名手機品牌的一場小火
5-2 刪減樹木修剪經費造成美加大停電
5-3 總經理為駭客事件下台
5-4 引發董座總座請辭最後一根稻草
後記與致謝
附錄
6-1 數位韌性規劃
6-2 標準與管理實務的演進
6-3 韌性專案的知識體系
6-4 參考資料
前言 「韌性」是一門顯學
Part 1 勿恃敵之不來
1-1 越過山丘,轉過一個又一個的念頭
1-2 蠢蠢欲動的隱形敵人
1-3 我的隱私,未來的曝險
1-4 遊戲玩家的「天堂」,資訊人員的夢靨
1-5 這次客戶老闆發飆了
1-6 中小企業也成為敵人的提款機
1-7 50個自我檢測的問題
Part 2 危機意識的領導管理
2-1 面對「新常態」該有的新思維
2-2 息事寧人的文化慣性
2-3 從受災企業股價看其組織復原力
2-4 營運持續或災後復原?下一步在哪裡?
2-5 最佳實務企業的做法
2-6 經驗不足導致蝴蝶效應
2-7 結構性規劃的起手式
2-8 災後復原專案的關鍵因素
2-9 當應變組織失效
2-10 過度自信的領導團隊
2-11 措手不及的組織應變
2-12 以時間軸建構資安價值鏈
Part 3 準備是最好的應變
3-1 「災後才想到專家」來得及嗎
3-2 呼叫專家,我們有麻煩了
3-3 規劃為韌性行動的第一步
3-4 優先評估關鍵性營運
3-5 災害衝擊遠大於你的預期
3-6 面對書面計畫的陷阱
3-7 虛驚為事故的前哨站
3-8 從漏洞圍堵到預防無用論
3-9 「有計畫無演練」流於形式
3-10 以反面思維看BCP
Part4 災後復原的現場與實務
4-1 災後復原為移動中的目標
4-2 個人自救用品
4-3 眼見為憑……但只是冰山一角
4-4 災害管理是異常管理
4-5 資安調查恍然大悟
4-6 災因調查追追追
4-7 資訊安全復原沒有捷徑
4-8 理算洽商之攻防實務
Part5 經典案例
5-1 終結國際知名手機品牌的一場小火
5-2 刪減樹木修剪經費造成美加大停電
5-3 總經理為駭客事件下台
5-4 引發董座總座請辭最後一根稻草
後記與致謝
附錄
6-1 數位韌性規劃
6-2 標準與管理實務的演進
6-3 韌性專案的知識體系
6-4 參考資料
序
前言
「韌性」是一門顯學
你是否因處理突發狀況而整夜待命?是否擔心無法處理危機而徹夜難眠?是否擔心團隊能力不足,延宕處理公司的危機?儘管「趨吉避凶」是我們的本能,然而我們並未真正認識危險。一旦大難臨頭,一般人的通病是走捷徑。閃躲它非但無法解決真正的問題,有可能造成更棘手的處境。這是否和我們的工作經驗與學習歷程有關?
展閱當代管理之父彼得.杜拉克先生六十年演說集,不禁回想近二十年個人學習與職場生涯。在累積一定的績效與歷練,經理人得以步步高升。進階者從MBA師生同儕學習,在職涯轉折點充電後再出發。
從國內外個案的分析,太多主管因處理災害危機不當而黯然下台,甚少因處理有功而被拔擢。
為何這門攸關公司生死存亡、主管升遷的管理課程,鮮少出現在主管養成教育?
原因很簡單,危機消息止於自家大門之內。在家醜不得外揚的情況之下,企業講師不教;在我國近六十年MBA教育的發展中,這類型的風險課程並非商學院的主流,學校也不教。
由於災後復原為移動中的目標,階段性目標隨時空環境而調整。在有限的資訊與資源之下,主管很難在第一時間做出決定,連帶會影響第一線部屬的士氣與進度。由於缺乏災害處理的實務經驗,臨危受命的應變小組僅能從排山倒海的問題中被動因應。每個臨危受命處理災害的主管,就好像在高空上走鋼索戰戰兢兢。
新管理思維
近年來,台灣一再發生「短延時強降雨」,也開始面對「限電」或「缺電」的可能性。Gartner(2014)強調,資安已經進入「預防無用論」時代。災害衝擊遠大於你的預期,「防範未然」不再是唯一事前準備的處方。
然而,沒有經歷過災害,很難體會災害管理這堂課。以美國911事件為例,恐怖攻擊造成紐約雙子星大樓應聲倒塌。瞞天蓋地的金屬塵爆席捲商業大樓數以萬計的電腦。大樓停電造成資訊與聯絡中斷,上千台受污染的電腦必須徒手背出災區迅速復原。這段時間,所有的業務一片混亂、完全停擺。在大型災害的案例中,災害的類型不會是單一的,伴隨而來的是複合型的影響。
那該如何以新思維分配風險管理的資源?
在規劃風險管理資源時,我們習慣將「雞蛋放在同一個籃子」。在技術思維之下,「規避」(Avoid)為常見的風險策略,就像是硬體採購。但,主事者往往忽略「減損」(Mitigate)或「移轉」(Transfer)策略的可行性。在有限的資源之下,單一部門僅關心單一策略,無法照顧到風險管理之全貌。甚至我們聽到客戶說,她只是智慧製造的技術人員,「風險管理是老闆的事」。
其實,最稀有的資源不是部門預算,而是領導者的注意力。面對一再刷新紀錄的災害,到底領導者該有何種新思維?
在協助全球知名半導體大廠教育訓練中,一間最賺錢的廠最先導入「災後復原計劃」(Disaster Recovery Planning)。以往他們不乏災後全損的例子,上億元設備就這樣報銷。由於該設備金額在保險自付額以內,企業得自掏腰包,自行支付損失。這樣的觀念驗證一個基本的觀念:「營運越好,越不能出問題」。廠長強調:要將賺到的錢「安全」的放進口袋。
這驗證了一句話:風險管理,人人有責。
IDC(2017)也特別強調:「它(資安)並非是IT 安全—此觀點造成限制並將解決方案投射在疲於奔命的IT團隊;相反的,它是企業風險—此觀點涉及部門、高階主管與董事會,並協助定義在這個流程中IT 所扮演的角色」。
因此,風險管理不單只是風險部門的工作。除了高階主管,本書的溝通對象為廠長、資安長、財務保險、智慧製造、工安人、緊急應變小組、資安人或資訊人。此外,保險相關的從業人員也是本書關心的對象。
不為人知
這個實務領域並沒有統一的語言。常見的為風險管理、災害管理,或災後重建。倘若以Goolge 查Disaster Recovery(災後復原),發現大部分的討論偏向於IT 軟硬體。除了災前的客戶訓練與計劃,保險人同樣關注災後客戶的搶救減損。
那麼,到底該如何界定這一行?
根據我國最新的《行業標準分類》(2016),行政院將全台行業類別規劃517 個細項。有趣的是,「復原」僅有「電腦災害復原處理服務」(6209)與「歷史遺址及建築物之翻新及復原」等兩個行業細項。
但是,「機械設備之實質改造、翻新、重製,視同製造活動」,依性質分別歸入C 大類製造業25-29中類之適當業別。僅有產險有明確的類別,屬於K大類「金融及保險業 6520 財產保險業。然而,與保險有關之公證服務僅被歸類魚6559 細類「其他保險輔助業」。由於《行業標準分類》統計我國行業主要的經濟活動,因此災後復原並未反映在真正的產值,足以說明這個行業的特殊屬性。
依我個人的觀察,國內投入24 / 7(一周七天,一天24 小時)災後復原專業業者的數量鳳毛鱗爪。甚者,擁有跨國復原公司經驗,兼顧IT 與設備復原者,可能用手指就可以數的出來。即便擴大涵蓋產險、保險經紀人與公證服務等相關專業,可達數百或上千位專家或顧問。然而,這個領域和客戶簽訂保密協定,外界鮮少有人得知災後復原的始末。
在社會大眾的印象中,這個行業宛如戴上神秘的面紗,更難傳達正確的搶救減損的觀念。因此,等到危機來臨時,第一線人員與主管忙著應付大小瑣事,無暇冷靜思考、分析與規劃。
應用層次
許多消防演習重視滅火與救人,但該如何協助關鍵性的設備資產進行減損搶救?本書希望提供跨部門協同學習之參考依據。為了避免艱澀難懂的專有名詞,本書以淺顯易懂的角度解釋常見的問題與觀念,並輔以實際案例加以說明。
過去進入災害現場的經驗,驅使我蒐集整理國內外經典案例。為了讓讀者身歷其境,本書整理隱身在新聞或書籍的小故事,如:美國曼恩峽谷(Mann Gulch)森林火災(1949)、日本阪神大地震製鞋產業(1995)、美國NASA 火星氣候軌道探測器事件(1998)、美國半導體廠J 晶片廠火災(2000)、台灣知名R 網路書店水災(2001)、美國911 事件上千名員工緊急疏散(2001)、台灣SARS 事件(2003)、美加大停電(2003)、台灣A 銀行資安事件處理始末(2006-2008)、知名M 石油企業漏油事件(2010)、智利礦場事故(2010)、日本福島核電廠海嘯(2011)、台大竹東分院跳電處理始末(2013-2015)、美國知名L 零售業者駭客入侵(2013)、台灣PCB 業者火災(2015)、台灣E 證券公司火災(2015)、跨國玩具D 製造商被詐騙(2016)、英國O 航空公司電腦當機(2016-2017)、梅雨季超大豪雨(2017)、美國智慧製造H 工廠被駭客入侵(2017)等。
本書的應用涵蓋四個層面:(1)無任何危機管理計畫、規劃或標準導入者、(2)已有計畫、規劃或標準導入者、(3)首次碰到災害急需迅速復原者、(4)欲執行「認知」(Awareness)訓練推廣者。
針對(1),本書提供簡易的參考指南,特別是中小企業;針對(2),本書協助檢視自己不足之處,提供下一步的參考方向;針對(3),本書提供災後復原所需的觀念與經驗;針對(4),本書補充相關的知識與經驗缺口,提供訓練課程所需的教材內容。
從廣義的角度來看,災害管理的研究涉及範圍相當廣泛。由於恐怖攻擊或種族暴動較少在國內發生,並不屬於本書討論的範圍。本書重點不在大家熟知的保安保全、人道救援、社區重建或心理重建,而是較少觸及的組織管理層面。
本書的一小步
本書嘗試從韌性、風險管理、營運持續(Business Continuity)與災後復原(Disaster Recovery)等角度,跨界討論工安(Safety)與資安(Security)的議題。
在許多企業中,「資安」與「工安」都是花錢的單位,分屬於資訊與勞工安全衛生環保不同部門的業務範疇。然而,在風險管理的整體性考量之下,工安與資安皆為系統性的風險,但在公司日常業務下甚少交集。
這是本書的一小步。從風險的角度,希望可以建立「資安」與「工安」溝通的橋樑。Gartner(2015)在《2020 資安情境》(Cybersecurity Scenario 2020)強調將實體的「安全」納入「資訊安全管理系統」(Information Security Management System,ISMS)的重要性。
因此,雙領域結合的風險思維,不僅是現在的熱門話題,在AI 或智慧機械人時代更具有前瞻性。除了工安與資安領域之外,本書整合其他領域的實務經驗,以便在推動方案上具體可行。從組織管理角度,本書有助於災前任務編組與災後組織變動之參考;從專案管理角度,本書有助於災前的持續營運規劃與災後復原方案之執行;從危機溝通角度,本書提供組織需面對橫向與縱向的溝通問題;從教案設計角度,本書濃縮過去APEC 工作坊經驗,提供給有志推動情境式教學者參考;從個案研究角度,本書可協助風險管理、工安或資安部門從他人案例中借鏡,避免未來重蹈覆轍。
前瞻性思考
韌性不僅是國際政策的顯學,更是組織迅速恢復營運的關鍵。至今,國內外客戶將之列為稽核重點,甚至成為領先同業的競爭優勢。這些都可以從本書的經典案例獲得實務上的驗證。
在變動的社會中,我們比以往接觸更多的風險。不管是巨災還是人禍,災害是你猜不透的敵人。從個人到組織、從社交媒體到人工智慧,如何正向面對它呢?舉例來說:
(1)福禍相倚是人生常規,企業經營也是如此。透過風險管理,以達個人風險緩衝之成效。幸福企業除了提供完整的員工福利,也要協助員工做好風險管理。
(2)現今通訊與媒體科技無時無刻吸引我們的注意力。一旦稍有不慎,可能就會增加自己曝險的機會。在注意力弱化與匱乏時候,個人與組織更要在平日加強因應風險的能力。
(3)在人工智慧(AI)或智慧機械人時代,許多大量、單一或重複性的工作已經被取代。目前它們無法取代人類在緊急的狀況下做出決策。因此,現場人員必須具備緊急應變與災害管理的能力。
在面對動態的全球性或在地化威脅,許多挑戰仍有待跨界先進的交流與指導。我有幸在跨界學習中,從前輩、先進、同事與客戶的學習交流中累積寶貴的經驗。再多的言語無法表達我的感謝之意,那就以這本小書做為回饋的禮物。
請一同與我展開這趟奇幻的學習之旅。
「韌性」是一門顯學
你是否因處理突發狀況而整夜待命?是否擔心無法處理危機而徹夜難眠?是否擔心團隊能力不足,延宕處理公司的危機?儘管「趨吉避凶」是我們的本能,然而我們並未真正認識危險。一旦大難臨頭,一般人的通病是走捷徑。閃躲它非但無法解決真正的問題,有可能造成更棘手的處境。這是否和我們的工作經驗與學習歷程有關?
展閱當代管理之父彼得.杜拉克先生六十年演說集,不禁回想近二十年個人學習與職場生涯。在累積一定的績效與歷練,經理人得以步步高升。進階者從MBA師生同儕學習,在職涯轉折點充電後再出發。
從國內外個案的分析,太多主管因處理災害危機不當而黯然下台,甚少因處理有功而被拔擢。
為何這門攸關公司生死存亡、主管升遷的管理課程,鮮少出現在主管養成教育?
原因很簡單,危機消息止於自家大門之內。在家醜不得外揚的情況之下,企業講師不教;在我國近六十年MBA教育的發展中,這類型的風險課程並非商學院的主流,學校也不教。
由於災後復原為移動中的目標,階段性目標隨時空環境而調整。在有限的資訊與資源之下,主管很難在第一時間做出決定,連帶會影響第一線部屬的士氣與進度。由於缺乏災害處理的實務經驗,臨危受命的應變小組僅能從排山倒海的問題中被動因應。每個臨危受命處理災害的主管,就好像在高空上走鋼索戰戰兢兢。
新管理思維
近年來,台灣一再發生「短延時強降雨」,也開始面對「限電」或「缺電」的可能性。Gartner(2014)強調,資安已經進入「預防無用論」時代。災害衝擊遠大於你的預期,「防範未然」不再是唯一事前準備的處方。
然而,沒有經歷過災害,很難體會災害管理這堂課。以美國911事件為例,恐怖攻擊造成紐約雙子星大樓應聲倒塌。瞞天蓋地的金屬塵爆席捲商業大樓數以萬計的電腦。大樓停電造成資訊與聯絡中斷,上千台受污染的電腦必須徒手背出災區迅速復原。這段時間,所有的業務一片混亂、完全停擺。在大型災害的案例中,災害的類型不會是單一的,伴隨而來的是複合型的影響。
那該如何以新思維分配風險管理的資源?
在規劃風險管理資源時,我們習慣將「雞蛋放在同一個籃子」。在技術思維之下,「規避」(Avoid)為常見的風險策略,就像是硬體採購。但,主事者往往忽略「減損」(Mitigate)或「移轉」(Transfer)策略的可行性。在有限的資源之下,單一部門僅關心單一策略,無法照顧到風險管理之全貌。甚至我們聽到客戶說,她只是智慧製造的技術人員,「風險管理是老闆的事」。
其實,最稀有的資源不是部門預算,而是領導者的注意力。面對一再刷新紀錄的災害,到底領導者該有何種新思維?
在協助全球知名半導體大廠教育訓練中,一間最賺錢的廠最先導入「災後復原計劃」(Disaster Recovery Planning)。以往他們不乏災後全損的例子,上億元設備就這樣報銷。由於該設備金額在保險自付額以內,企業得自掏腰包,自行支付損失。這樣的觀念驗證一個基本的觀念:「營運越好,越不能出問題」。廠長強調:要將賺到的錢「安全」的放進口袋。
這驗證了一句話:風險管理,人人有責。
IDC(2017)也特別強調:「它(資安)並非是IT 安全—此觀點造成限制並將解決方案投射在疲於奔命的IT團隊;相反的,它是企業風險—此觀點涉及部門、高階主管與董事會,並協助定義在這個流程中IT 所扮演的角色」。
因此,風險管理不單只是風險部門的工作。除了高階主管,本書的溝通對象為廠長、資安長、財務保險、智慧製造、工安人、緊急應變小組、資安人或資訊人。此外,保險相關的從業人員也是本書關心的對象。
不為人知
這個實務領域並沒有統一的語言。常見的為風險管理、災害管理,或災後重建。倘若以Goolge 查Disaster Recovery(災後復原),發現大部分的討論偏向於IT 軟硬體。除了災前的客戶訓練與計劃,保險人同樣關注災後客戶的搶救減損。
那麼,到底該如何界定這一行?
根據我國最新的《行業標準分類》(2016),行政院將全台行業類別規劃517 個細項。有趣的是,「復原」僅有「電腦災害復原處理服務」(6209)與「歷史遺址及建築物之翻新及復原」等兩個行業細項。
但是,「機械設備之實質改造、翻新、重製,視同製造活動」,依性質分別歸入C 大類製造業25-29中類之適當業別。僅有產險有明確的類別,屬於K大類「金融及保險業 6520 財產保險業。然而,與保險有關之公證服務僅被歸類魚6559 細類「其他保險輔助業」。由於《行業標準分類》統計我國行業主要的經濟活動,因此災後復原並未反映在真正的產值,足以說明這個行業的特殊屬性。
依我個人的觀察,國內投入24 / 7(一周七天,一天24 小時)災後復原專業業者的數量鳳毛鱗爪。甚者,擁有跨國復原公司經驗,兼顧IT 與設備復原者,可能用手指就可以數的出來。即便擴大涵蓋產險、保險經紀人與公證服務等相關專業,可達數百或上千位專家或顧問。然而,這個領域和客戶簽訂保密協定,外界鮮少有人得知災後復原的始末。
在社會大眾的印象中,這個行業宛如戴上神秘的面紗,更難傳達正確的搶救減損的觀念。因此,等到危機來臨時,第一線人員與主管忙著應付大小瑣事,無暇冷靜思考、分析與規劃。
應用層次
許多消防演習重視滅火與救人,但該如何協助關鍵性的設備資產進行減損搶救?本書希望提供跨部門協同學習之參考依據。為了避免艱澀難懂的專有名詞,本書以淺顯易懂的角度解釋常見的問題與觀念,並輔以實際案例加以說明。
過去進入災害現場的經驗,驅使我蒐集整理國內外經典案例。為了讓讀者身歷其境,本書整理隱身在新聞或書籍的小故事,如:美國曼恩峽谷(Mann Gulch)森林火災(1949)、日本阪神大地震製鞋產業(1995)、美國NASA 火星氣候軌道探測器事件(1998)、美國半導體廠J 晶片廠火災(2000)、台灣知名R 網路書店水災(2001)、美國911 事件上千名員工緊急疏散(2001)、台灣SARS 事件(2003)、美加大停電(2003)、台灣A 銀行資安事件處理始末(2006-2008)、知名M 石油企業漏油事件(2010)、智利礦場事故(2010)、日本福島核電廠海嘯(2011)、台大竹東分院跳電處理始末(2013-2015)、美國知名L 零售業者駭客入侵(2013)、台灣PCB 業者火災(2015)、台灣E 證券公司火災(2015)、跨國玩具D 製造商被詐騙(2016)、英國O 航空公司電腦當機(2016-2017)、梅雨季超大豪雨(2017)、美國智慧製造H 工廠被駭客入侵(2017)等。
本書的應用涵蓋四個層面:(1)無任何危機管理計畫、規劃或標準導入者、(2)已有計畫、規劃或標準導入者、(3)首次碰到災害急需迅速復原者、(4)欲執行「認知」(Awareness)訓練推廣者。
針對(1),本書提供簡易的參考指南,特別是中小企業;針對(2),本書協助檢視自己不足之處,提供下一步的參考方向;針對(3),本書提供災後復原所需的觀念與經驗;針對(4),本書補充相關的知識與經驗缺口,提供訓練課程所需的教材內容。
從廣義的角度來看,災害管理的研究涉及範圍相當廣泛。由於恐怖攻擊或種族暴動較少在國內發生,並不屬於本書討論的範圍。本書重點不在大家熟知的保安保全、人道救援、社區重建或心理重建,而是較少觸及的組織管理層面。
本書的一小步
本書嘗試從韌性、風險管理、營運持續(Business Continuity)與災後復原(Disaster Recovery)等角度,跨界討論工安(Safety)與資安(Security)的議題。
在許多企業中,「資安」與「工安」都是花錢的單位,分屬於資訊與勞工安全衛生環保不同部門的業務範疇。然而,在風險管理的整體性考量之下,工安與資安皆為系統性的風險,但在公司日常業務下甚少交集。
這是本書的一小步。從風險的角度,希望可以建立「資安」與「工安」溝通的橋樑。Gartner(2015)在《2020 資安情境》(Cybersecurity Scenario 2020)強調將實體的「安全」納入「資訊安全管理系統」(Information Security Management System,ISMS)的重要性。
因此,雙領域結合的風險思維,不僅是現在的熱門話題,在AI 或智慧機械人時代更具有前瞻性。除了工安與資安領域之外,本書整合其他領域的實務經驗,以便在推動方案上具體可行。從組織管理角度,本書有助於災前任務編組與災後組織變動之參考;從專案管理角度,本書有助於災前的持續營運規劃與災後復原方案之執行;從危機溝通角度,本書提供組織需面對橫向與縱向的溝通問題;從教案設計角度,本書濃縮過去APEC 工作坊經驗,提供給有志推動情境式教學者參考;從個案研究角度,本書可協助風險管理、工安或資安部門從他人案例中借鏡,避免未來重蹈覆轍。
前瞻性思考
韌性不僅是國際政策的顯學,更是組織迅速恢復營運的關鍵。至今,國內外客戶將之列為稽核重點,甚至成為領先同業的競爭優勢。這些都可以從本書的經典案例獲得實務上的驗證。
在變動的社會中,我們比以往接觸更多的風險。不管是巨災還是人禍,災害是你猜不透的敵人。從個人到組織、從社交媒體到人工智慧,如何正向面對它呢?舉例來說:
(1)福禍相倚是人生常規,企業經營也是如此。透過風險管理,以達個人風險緩衝之成效。幸福企業除了提供完整的員工福利,也要協助員工做好風險管理。
(2)現今通訊與媒體科技無時無刻吸引我們的注意力。一旦稍有不慎,可能就會增加自己曝險的機會。在注意力弱化與匱乏時候,個人與組織更要在平日加強因應風險的能力。
(3)在人工智慧(AI)或智慧機械人時代,許多大量、單一或重複性的工作已經被取代。目前它們無法取代人類在緊急的狀況下做出決策。因此,現場人員必須具備緊急應變與災害管理的能力。
在面對動態的全球性或在地化威脅,許多挑戰仍有待跨界先進的交流與指導。我有幸在跨界學習中,從前輩、先進、同事與客戶的學習交流中累積寶貴的經驗。再多的言語無法表達我的感謝之意,那就以這本小書做為回饋的禮物。
請一同與我展開這趟奇幻的學習之旅。
網路書店
類別
折扣
價格
-
新書67折$256
-
新書79折$300
-
新書79折$300
-
新書79折$300
-
新書79折$300
-
新書79折$301
-
新書88折$334
-
新書9折$342
-
新書9折$342