指導 教授 : 盧淵源 教授
第七組成員 : 陳源裕 8922404021
潘呂美 9421408007
楊志偉 9421408040
許勢斌 9421408029
吳瑞春 9222404002
鍾少櫻 9122404012
危機管理
與
營運持續管理
Task Force
History Review :陳源裕 (5 min.)
Infrastructure :陳源裕、許勢斌(15~20 min.)
Case Study(25 ~30min.)
TFT-LCD Industrial Risk:許勢斌
General Industrial Risk:楊志偉
Service Field Risk & Control:吳瑞春、潘呂美
Content
Review & History
General Description of Risk
General Description of BCP
General Description of BCM
Review & History
管理金三角
Management Golden Triangle
Risk & BCP & BCM
人無遠慮,必有近憂
窮則思變與居安思危
智者千慮,必有一失
英國著名戲劇大師莎士比亞說:“世事的起伏本來就是波浪式的。我們現正在潮漲潮落的海上飄浮,倘不能順水行舟,我們的事業就會一敗塗地。
美國著名諮詢顧問史蒂文·芬克(Steven Fink)在《危機管理》一書中指出,企業主管“都應當像認識到死亡和納稅難以避免一樣,必須為危機做好計畫:知道自己準備好之後的力量,才能與命運周旋”。
《危機管理》一書的作者諾曼·奥古斯丁則說:“幾乎每一次危機都既包含導致失敗的根源,也孕育著成功的種子。發現、培育以便收穫這個潛在的成功機會就是危機管理的精髓。相應的,習慣於錯誤估計形勢並令事態進一步惡化則是不良危機管理的典型特徵。
Risk & BCP & BCM
在《聖經》中有這樣一個故事:世人都在盡情享樂、歌舞昇平的時候,偌亞卻在孜孜不倦地鑿制他的方舟。當漫天的洪水驟然而降,惟有偌亞登上方舟使得他的家庭與萬靈的自然界逃過此劫、重獲新生。
………………………………………….
…………………………………………
Risk & BCP & BCM
自然災害危機
921、八掌溪、阪神大地震、火災
科技意外危機
SARS、核三廠3A事故、挑戰者爆炸、印度Bhopal毒氣事件
交通事故危機
華航大園空難、韓航客機事件
人為誘發危機
謠言、恐怖主義、解雇、暴動
區域衝突與戰爭危機
古巴飛彈危機、911、中美軍機擦撞事件、福克蘭群島戰爭
ICS 之緣起
1970年代,美國南加州地區缺乏火 災之緊急跨機關運作,導至面對救 災無效續及耗費資源。美國林務署被指定率先發展緊急應變系統。
1980年代,緊急應變系統已經發展 完成,並適用於各類災害。目前已變成國際性系統,並轉介至其他國 家。
美國政府及ICS的文化背景
中央到地方政府
緊急應變決策權─地方政府。
政治團體的專家代表。
ICS的職位資格依專長、經驗授與, 而非依職
務較高或資歷高。
美國有各種不同技術群應付各種 災害。
Why ICS?
須對納稅人/股東/投資人做有效率之反應。
媒體上傳播需可見而適當。
須有組織,並透明化。
須在作業上及政治上聚焦。
需集合最有經驗資格的人員/專家作決 策角色。
Fundamental of CIS
指揮與協調統籌。
法定臨時編組。
各機關負責應變指揮官運作應變 計畫之各種權限,但相關機關保有 其監督權。
Function of CIS
模組化容許因應災害程度的不同增減。
可用於任何災害,例如:地震、洪水、 火災、颱風等。
提供公司/機關或跨機關之單一管理系統。
可整合融入的任何資源,例如:其他廠商、警察、 軍隊、民間團體,亦可用於處理非災害 性事件。
Function of CIS
提供機關或跨機關之單一管理系統。
模組化容許因應災害程度的不同增減
可用於任何災害,例如:地震、洪水、 火災、颱風等。
可整合融入的任何資源,例如:警察、 軍隊、民間團體,亦可用於處理非災害 性事件。
Function of CIS
ICS的組成
清晰的目標及順序。
釐清角色與責任。
具體的職位說明。
標準化人員組訓。
指揮線及回報要求明確。
共同術語與資源。
共同通訊。
相容設備。
行動計畫。
作業期。
Main Function of CIS
ICS主要功能
指揮:建立目標,並付全責。
計畫:發展行動計畫、資訊蒐集、 文件提供。
後勤:服務及支援。
行政:一般管理(監督、計時、 採辦)。
作業:執行行動計畫。
Organization
指揮官
資訊官
安全官
連絡官
安全官 連絡官
財
務部
組織架構
財務管理
後勤部
行動計畫部
For example
Some misconceptions . . .
We take
regular
backups
We have,
trained staff
Isn’t it a dead
investment?
We can operate
without computers
It will not
happen
to us
We have insurance
cover
It is not our main
Business
and we accept the risk
Some missed comments . . .
Later….
Excellent!
We will have it
some day
Take care of it
NOW
What our techies
are doing?
We are not in
NY
We will cross the bridge …
General Description
of
Risk
Risk
NATURAL
UNINTENTIONAL
INTENTIONAL
E – Security
Physical
Logical
Network Access Security
Risk Evaluation
Disaster Event Scenarios
Risk Ranking of Functions
Critical
Vital
Sensitive
Non-critical
Varying Levels of Disaster
NON – DISASTER
DISASTER
CATASTROPHES
Event may occur in exceptional circumstances
Rare
1
Event can occur sometime
Unlikely
2
Event might occur sometime
Possible
3
Event will probably to occur during next business cycle
Likely
4
Event is expected to occur during next business cycle
Almost Certain
5
Definition
Likelihood
Level
Risk - Measures of likelihood
Measures of Consequences
Does not affect the long term objectives of business
Insignificant
1
Short term business objective may be hindered,
Minor
2
Objectives will have impact, and needs more time to recover.
Moderate
3
Significant impact on long term Business objectives
Major
4
Long term business objectives will be significantly impaired.
Catastrophe
5
Definition
Consequence
Level
Qualitative risk analysis Matrix
H
H
M
L
L
Low Risk
Rare
E
H
M
L
L
Unlikely
E
E
H
M
L
Possible
E
E
H
H
M
Moderate
Likely
E
Extreme Risk
E
E
H
H
High Risk
Almost Certain
Catastrophe
Major
Moderate
Minor
Insignificant
Consequence
Likelihood
Impact Analysis :
•Loss of key staff;
•Loss of vital records;
•Global issues, such as change in political climate;
•Difficulty of operational integration across borders;
•Disruption of importing and exporting functions;
•Critical labor relationships;
•New revenue streams;
•Supplier disruptions; and
•Regulatory controls.
Impact Analysis :
•Extraordinary recovery expenses;
•Technology recovery requirements;
•Special recovery resource requirements;
•Critical disaster-specific information systems support;
•Internal and external dependencies;
•Existing and required work-around procedures; and
•Insight into the organization’s current state of preparedness.
•Which business units, operations and processes are essential to the survival of the organization;
•How quickly essential business units or processes have to be back in operation before the impacts are catastrophic;
•What are the most plausible recovery alternatives to meet the recovery windows;
•What resources are needed to resume operations at a survival level for the essential parts of the business;
•What elements must be pre-positioned in order to meet the recovery windows;
Impact Analysis : Decision
•What will be reused and recovered and to what capacity levels over what period of time;
•What changes, if any, need to be implemented in the supply chain, inventory and distribution management programs;
•How to address the organization’s internal and external interdependencies; and
•What recovery and continuity policies and procedures must be in place to address both a short-term disaster such as a brief systems failure or a long-term major property loss.
Critical Recovery Time Period
Depends on the nature of business
Applications to be recovered
End User Computing Resources
Processing Priorities
Critical Parameter
Critical Business Functions
Acceptable Recovery Time
Resources Committed
Major Divisions
Support Services
Business Operations
Data Processing Support
Business Continuity
Why is it the responsibility of Senior Management?
What are the components of Business Continuity Plan?
Senior Management
User Management
User & Data Processing Procedures
Personnel who must respond to Disaster Scenarios are most important
Key Decision Making Personnel
Team Leaders
Equipment and S/w Vendors
Recovery Site Representatives
Network Re-routing Services
Offsite Media Custodians
Insurance Agents
Contract Services
Procedures
Emergency Action Procedure
Notification Procedure
Disaster Declaration
Systems Recovery
Network Recovery
User Recovery (Manual Procedures)
Salvage Operations
BCP & Reconstruction Methodologies
Emergency Action Team
Damage Assessment Team
Emergency Management Team
Offsite Storage Teams
Software Team
Application Team
Security Team
Emergency Operations Team
Computer Hardware Alternatives
Hot Sites
Ready to Operate Within Several Hours
Not for long term extended use
Network Component
Warm Sites
Partially Configured with network connections
Without Main Computer
Cold Sites
Site with only basic environment
Off-Site Facilities
Security and Control of Off-Site Facilities
Physical Access Controls
Environmental Monitoring & Control
Media and Documentation Backup
Periodic Backup Procedures
Frequency of Rotation
Various Media and Documentation Created
Inventory (list) must be maintained
Automated Tape Management System
Basic Premise
Senior Management Involvement
Cost Effective
Multiple Levels of Recovery
Disaster Recovery Plan
Drills, Upgrades and Audits
DRP Testing
Goals of Testing
To validate (and identify flaws in) plan procedures and strategies;
To obtain information about recovery strategy implementation time;
To demonstrate output performance of systems, networks and backup in recovery mode and compare with the same in production mode;
To demonstrate recovery plan adequacy to examiners, auditors and management;
To adapt existing plans to encompass new requirements of the business;
To familiarize recovery teams with their roles within the plan.
Risk Management - final
危機管理十大禁忌
1) 缺乏預見性
2) 分不清危機和機遇
3) 資訊渠道不暢
4) 慣性思維
5) 三心二意
6) 決策不果斷
7) 措施不堅決
8) 做表面文章
9) 言而無信
10) 盲目樂觀
Risk Management - final
一、企業危機管理之道
1.什麼是危機管理
2.危機永遠與機遇並存 3.防患未然勝過亡羊補牢
二、企業危機的系統性
1.產品危機
2.市場危機 3.管理危機 4.媒體危機
5.法律或政策危機
Risk Management - final
三、企業危機的發展性
1. 危機孕育期 ——星星之火
2. 危機爆發期 ——大火猛烈 3. 危機擴散期 ——火勢蔓延
4. 危機消失期 ——大火熄滅
Risk Management - final
四、企業危機的矛盾性
在風險中孕育著機會,在機會中也有危險在暗流湧動。一方面,危機在不同程度上會導致產品銷售額下降、產品市場份額減少,甚至企業虧損、倒閉、破產等不良後果;另一方面,危機同樣存在可被企業借勢的有利因素,提升企業和品牌的形象,鞏固並重塑市場信心與信譽,穩固並延伸客戶群,從失利的邊緣贏得勝利。
Risk Management
General Description
of
BCP
(Business Contingency Plan)
Business continuity planning
Prevention
Response
Resumption
Recovery
Restoration
BCP
The process of:
development
testing
maintenance of a plan
To assist the organisation:
recover critical IT systems in an effective and efficient manner
to ensure minimal business disruption
BCP
DRP (Disaster Recovery Plan)
Plan to recover out from a Disaster
BCP (Business continuity plan)
Plan for Business Continuity Planning
In case of Disasters/ Non Disasters
BCP Objectives:
Ensuring health and life safety protection;
Minimizing interruptions to business/service operations;
Resuming critical operations within a specified time after a disaster;
Minimizing financial loss;
Assuring clients, customers, community, suppliers, employees and share holders and stakeholders that their interests are protected; and
Maintaining a positive public image of the organization
COSTS
BCP Methodology
Risk Assessment - Identifying and assessing threats and vulnerabilities
Business Impact Analysis - Ascertaining economic impact of disasters on business functions and processes
Planning - Formulating comprehensive plan covering the assets, employees and business goals
Implementation and testing - Iterating on testing and refinement
Maintenance - Reviewing on ongoing basis to keep the plan up-to-date
Call Tree
BCP - final
營運持續計畫( Business Continuity Plan, BCP )是一種策略規劃,當災難發生致使企業主要業務或服務中斷時,業務連續性計畫可確保迅速恢復主要業務的正常與持續運作。業務連續性計畫不僅包含電腦系統的恢復計畫,還包括關鍵業務的持續運作計畫,如恢復組織、人力資源、對外溝通等。
General Description
of
BCM
(Business Contingency Management)
BCM
Business Continuity Management is the act of anticipating incidents which will affect mission critical functions and processes for the organization and ensuring that it responds to any incident in a planned and rehearsed manner.
Future Developments – BCM process
The McKinsey report estimated that
business interruption costs totaled $ billion
building damage costs reached $30 billion.
Trauma and stress affecting the ability of personnel to perform effectively.
Companies had failed to update disaster recovery capacity requirements as their business needs grew.
911-Outcome
It is less expensive to avoid or mitigate a risk than to restore resources to "business as usual" after an interruption event.
If the business continues to operate in the face of an interruption event, it will
keep its customers satisfied (and not lose them to the competition)
may pick up some new customers
It may lower insurance costs and enhance the business’ standing in the financial community
Why BCM?
Need of BCP
Organization/Business survival might depend on it.
Interruptions cost money.
Downtime results in increased expenses, lost revenue, and lost customers.
Contractual obligation.
Most large companies stipulate in their contracts that suppliers must deliver the services or products they've contracted for - no matter what.
Statutory requirement.
Many countries made BCP as statutory requirement for running business
Need of BCM
Ever-growing dependence on IT.
Business and government cannot function if computers are inoperable.
For business, the stakes are high:
inability to serve customers,
loss of goodwill,
missed opportunities,
inability to compete
direct financial loss due to the inability to conduct financial transactions or ship products
legal liabilities.
Business & BCM
Business Continuity Management
BCM Includes:
A project for development of Business Continuity Plan
Disaster Recovery Procedures
Plan Testing
Documentation of Plans
Monitoring and updating.
Assets Identification
Business Impact Analysis
Assets Classification
Alternate procedures
Cost-Benefit analysis
Business Continuity Management
Disaster Recovery Procedures
Recovery priorities
Recovery arrangements
Plan Testing
Paper Test/Walk Through/Table-top test
Preparedness Test
System test
Drills….
Documentation of Plans
Business Continuity Management
Monitoring and updating.
Periodic testing
Test result and adjustments
Changes in:
Assets
Persons/Team/Contact detail
Environment
Threats
New Threats and Vulnerabilities
Maintenance of up-to-date Documentation
DRP Types of test
Modular tests
Test a set of procedures
Strategy tests
Validate entire strategy
Determine implementation times of plan strategies
Parallel tests
Validation of recovery strategy’s capability to handle the anticipated workload
Establishing shift schedules for recovery operations
Mock disasters
A disaster scenario is articulated and recovery teams step through procedures to cope with the interruption
Building Blocks
Teams and
Responsibilities
Effective
Communication
Recovery
Strategy
Emergency
Procedures
Prioritisation
of Activities
Insurance
BCP
Cross-trained
Personnel
Periodic Review
and Updation
Testing and
Administration
Proper
Documentation
BCP-final
Part 1 BCM Infrastructure
Part 2 建立BCMS的五大步驟
Future Developments – BCM process
General Description
of
BCM Flow
事故發生的應變流程
日常管理
評估改善
緊急應變
階段
營運持續
管理階段
災後復原
階段
事故
事故發生前
事故發生時
0-1hr.
1hr.-2days
2days-復原
‧危害預防
‧工程控制
‧要項備援
‧定期稽核
‧持續改善
‧火災爆炸
‧化學災害
‧天然災害
‧水源短缺
‧流行疾病
‧緊急應變
‧災害控制
‧人員撤離
‧緊急供應
‧物資搶救
‧事件控制
‧媒體溝通
‧員工安撫
‧政府因應
‧擬定決策
‧善後清理
‧復原規劃
‧人力安排
‧保險因應
‧產能移轉
營運持續/復原策略決定
廠區重點區域演練
年度疏散演練
BCM
風險管控
銀行
保險業
製造業
營運復原工作之執行與進度回報
公司管理高層策略面
公司各部門
執行面
災害復原小組
指揮官
災害復原小組
成員
Head of BCM
緊急應變小組
指揮官
緊急應變小組
成員
營運持續管理委員會主任委員
營運持續管理委員會委員
災害搶救與穩定災情
復原策略及營運復原優先順序
應變策略及決策目標
暢通溝通管道
及事件監測
事件再發生之
預防與控管
營運持續計畫之組織定位
營運持續管理委員會組織圖
營運持續管理委員會主任委員
執行秘書
發言人
公關部
製造委員
財務委員
資訊委員
人資委員
生產企劃委員
採購委員
廠務委員
法務委員
客戶代表委員
緊急應變組織
安全幕僚
緊急應變指揮官
營運持續管理委員會啟動時機流程圖
是
否
否
是
事件發生
緊急應變小組
抵達事故現場
並應變
事件是否符合適用範圍
緊急應變小組逕行處理
處理完成回報&
書面報告
衝擊程度評估與呈報主任委員
啟動營運持續管理委員會
事件是否衝擊公司持續
營運
持續進行狀況收集與彙整
事件處理完成&
書面報告
啟動營運持續
/
災後復原計畫
營運營運持續
/
災後復
原任務分派
定期進度追蹤與查核
事件處理完成&書面報告
營運持續管理委員會啟動時機
長時間停電造成生產完全停頓達兩天以上之事件
斷電
風力過大或滯留時間過長造成生產完全停頓達兩天以上之事件
颱風
1.長達一星期以上之缺水事件
2.缺水時間雖不及一星期但水源短缺,已影響生產線達兩天之事件
缺水
1.造成員工一人死亡,或三人以上感染之重大流行性疾病
2.因員工感染公司需關閉該建築物之流行疾病感染事件
流行性
疾病
1.六級以上之地震事件
2.未達六級但已造成生產線損毀停擺之地震事件
地震
1.引起桶槽大量洩漏或大火爆炸之化災事件
2.造成員工一人死亡,或三人以上罹災之重大化災事件
化災
1.消防隊進駐協助滅火並引起媒體關注之火災事件事件
2.造成員工一人死亡,或三人以上罹災之重大火災事件
火災
啟動時機
災害類型
營運持續管理委員會主任委員
監督事件發展
審核事件控制策略
委員會之運作管理
每日呈報董事長
啟動營運持續管理委員會
掌控事件衝擊狀況
追蹤運作成效
營運持續管理委員會運作流程圖
營運持續管理委員會運作流程圖
BCM
CS
IE
SPD
LEGAL
FIN
QA
IT
HR
PC
MFG
FAC
MM
營運持續
災後復原
硬體建設
安衛管理
客戶安撫
事故說明
策略傳達
進度追蹤
法律諮詢
文件控管
保險因應
資金調配
品質掌握
新廠認證
資料復原
系統新建
公關事務人力調配
客戶聯繫
產能調配
新廠規劃
生產規劃
緊急採購
工程發包
平時
1h
2h
20w
事故
4h
8h
12h
24h
48h
1w
2w
4w
8w
12w
緊急應變階段
營運持續管理階段
營運持續災後復原
制定策略
規劃、訓練與演練
緊急應變
擬定計劃
轉廠完成
建廠完成
委員會啟動
委員任務執行
執行狀況回報
回報
指揮官檢討報告
測試驗收
建廠階段
建廠階段
營運持續與災後復原期程簡表
召開記者會,透過媒體發佈有利新聞稿
相信別人是美德?慘痛的教訓。
案例:理財專員監守自盜
得逞關鍵:利用客戶與同事及主管之信任
客戶損失:零
銀行損失:挪用金額的一半;形象受損
保險公司:另一半
後續:持續追償中
Case Study-1 銀行作業風險
前 言
由於近年來一連串之會計舞弊掏空案件接踵發生,而主管機關及目前時勢潮流對會計師之專業角色要求越趨嚴格,面對如此嚴峻惡劣的外在執業環境,會計師如何作好審計風險管理,提升財務報表資訊品質及會計師查核簽證之品質,已成為大家必須面對的重要課題。
CS2- 審計風險管理
因 應 措 施
加強審計規劃與審計風險評估
落實查核工作,避免審計失敗
做好整體財務報表之風險評估
CS2 審計風險管理
其他建議
強化公司治理
會計師與審計委員會之互動
加強審計規劃與審計風險評估(續)
委任及客戶風險評估,應考量下列風險項目:
1、管理當局之特性與正直性
2、組織及管理體系
3、企業特性及企業環境
4、審計委任之特性
5、關係企業圖及關係人
6、以往之專業知識及經驗
7、蓄意誤述財報表達之可能性
CS-2 審計風險管理
加強審計規劃與審計風險評估(續)
8、舞弊之可能性
9、控制活動
10、重大事件或不尋常之交易
11、風險確認及其因應之道
12、有關審計委任風險之全面性評估及其因應之道
13、超然獨立及利益衝突之結論
14、企業狀況之觀察
CS2- 審計風險管理
沙賓法案之目的
CS2- 審計風險管理
強化公司治理
強化 監督
提升 獨立性
強化公司治理
CS2- 審計風險管理
強化公司治理
強化 監督
提升 獨立性
經理人員獎酬之歸還、公司內部放款之禁止
CEO/CFO為公司財務報告及相關揭露負保證責任,並加重 刑責(最高20年至25年刑責)
管理當局內部控制評估之規定
審計委員會之設立
公司道德規範的建立
財務報表資訊之及時揭露…
強化公司治理
CS3-天然災害應變
台灣常見天然災害種類
颱風
地震
豪雨(水災)
Emergency Response Team
(ERT)組成(以防颱為例):
CS3-天然災害應變
ERP
The safety & hygiene contingency plan for handling the accidents of chemical leakage
Emergency response plan for fire incident
Natural disaster prevent and relieve measure plan
Water shortage emergency response plan
Electric power interruption emergency response plan
Typhoon preparedness and emergency response plan
Emergency medical treatment contingency plan procedure
Contagious diseases contingency plan procedure
Emergency response plan for avian influenza
Emergency response plan for earthquake incident
火災爆炸
化學災害
天然災害
供應短缺
流行疾病
緊急救護
SPEC NO.
SPEC NO.
SPEC NO.
SPEC NO.
SPEC NO.
SPEC NO.
SPEC NO.
SPEC NO.
SPEC NO.
SPEC NO.
CS3-天然災害應變
CS3-天然災害應變
防颱作業說明:
◎成立防颱指揮中心
成立時機:
各廠環安單位依據中央氣象局發佈之陸上颱風警報內容,報
請廠區總指揮官依颱風強度及行經路徑等核決後,即成立防颱指
揮中心。
設立地點:
設置於各廠區之廠務監控室。
防颱會議前安全巡檢:
廠區內各單位接獲成立防颱指揮中心訊息後,須針對所屬責
任區域進行防颱安全巡檢,並於防颱會議中報告巡檢結果。
CS3-天然災害應變
召開防颱會議:
防颱指揮中心成立後,由廠區總指揮官負責召集廠區內各單
位防災幹事,舉行防颱會議。會議內容得包含下列項目:工廠生
產運作因應狀況、廠務系統持續運轉情形、防颱安全巡檢缺失討
論、防颱值班編組、防颱應變器材檢討、颱風期間飲食、住宿、
公務車、交通車等
準備情形。
颱風期間有關各廠區各班別等出勤公告及加班薪資計算等,
均由人資單位統一發佈。
各廠環安單位應於防颱會議後,彙整防颱值班編組名冊、緊
急事故通報與支援單位電話表,以利意外事故之緊急應變理通報。
行政管理單位督促警勤人員執行廠區巡邏安檢工作。
CS3-天然災害應變
CS3-天然災害應變
◎颱風過境
各廠防颱值班人員及警勤人員,應掌握個項狀況並與防颱指
揮中心保持連絡。
廠務值班人員對廠房內、辦公大樓仍應正常或加強巡查。從
事任何事務,均應注意己身安全並與防颱指揮中心保持密切連絡;
外出支援須向防颱指揮中心報備。
非特殊狀況,不得至戶外空曠或危險積水區域出入。
風雨過大時,各廠防颱值班人員及警勤人員得報備停止廠區
巡邏;俟風雨稍歇時可開公務車巡廠,並立即向防颱指揮中心報
告狀況。
CS3-天然災害應變
◎颱風過境後復原作業
各廠防颱值班人員及警勤人員應巡邏全廠區(含大樓區域),
並注意己身安全。
各廠處及各建築物應統計(內、外)損壞情形(含漏水、積水現
象)。
迅速將損壞狀況回報防颱指揮中心,並通知相關負責單位進
行修護作業。
防颱指揮中心於陸上颱風警報解除後,得由廠區總指揮官召
開災後檢討會議進行檢討,之後再解除編組。
CS3-天然災害應變
負責人
完成日期
預定日期
PR申請狀況
改善方式
狀況描述
位置
時間
日期
項次
颱風損失報告表
CS4-策略及風險導向的控管模式
公司概況
PEST
五力分析
利害關係人
願景、目標、策略
SWOT
策略 風險評估
策略性風險 (SBRs)
主要營運活動
歷史性、例行性
未來性、不確定性
IT 作業
IT 安全控管管
主要作業流程
作業流程風險
控制作業
策略作業及風險
四種對策:
-接受風險
-移轉風險
-降低風險
-避開風險
CS4-策略及風險導向的控管模式
公司概況
PEST
五力分析
利害關係人
願景、目標、策略
SWOT
策略 風險評估
策略性風險 (SBRs)
主要營運活動
歷史性、例行性
未來性、不確定性
平 衡 計 分 卡
作業流程風險
策略性重要績效指標
作業流程重要
績效指標
非財務性
財 務 性
標竿
財務報表分析
企業策略性風險
Strategic Business Risks (SBRs)
CS4-策略及風險導向的控管模式
資訊安全 = 風險管理與控制
CS4-IT/MIS Audit/Risk
需要一套完整之政策,組織,標準,目標,程序與工具!
IT 價值以 “企業營運” 為基礎
CS4-IT/MIS Audit/Risk
為達成企業目標而引進的資訊技術包括:
E-Business
ERP/MRP
PDM
Intranets
Extranets
:
:
IT 價值以 “安全需求” 為本質
CS4-IT/MIS Audit/Risk
新的 IT 資訊技術必須確保資料與資訊的:
保密性(Confidential)
避免非法的人看到資料
完整性(Integrity)
避免非法的人竄改資料
可用性(Available)
讓合法的人想用就可以用
CS4-IT/MIS Audit/Risk
資訊安全管理程序
實體安全管理
資料安全管理
網路安全管理
E-mail收發管理
E-mail使用管理規定
其他相關法規之配合
安全管理要項
安全是一種 “不斷調整” 的過程
CS4-IT/MIS Audit/Risk
Security =
+
Detect
Respond
風險分析 (.)
風險管理 (.)
風險審查
資訊安全管理架構
CS4-IT/MIS Audit/Risk
1.為資訊
安全政策
下定義
2.為 ISMS
之範圍
下定義
6.準備
適用性
的陳述
------
------
-----
------
------
-----
------
文件化
-----
定義
定義
被管理
的風險
範圍
適用性
的陳述
選擇的
控制項目
選擇的控制
目的與控制
評估
評估
3. 進行
資訊風險
評估
威脅
、弱點
與衝擊
結果
資訊
資產
盤點
4.進行
資訊風險
管理
風險管理方法
與安全保證程度
選擇原理
資訊風險評估步驟
CS4-IT/MIS Audit/Risk
區分風險等級
風險計算
衝擊分析
法令合約分析
業務需求分析
威脅分析
鑑別脆弱點
資產分類及評價
資訊安全作業的相關標準
ISO 17799 / BS 7799 security requirements established by the British Government
FISMA requirements established by GAO for federal govt.
COBIT requirements established by Information Systems Audit and Control Association (ISACA)
IETF Site Security Handbook and User Security Handbook
CIS Rulers – Minimum standards of due care from The Center for Internet Security, a new world-wide standards consortium
The Top 20 Internet Security Threats from SANS
VISA's ten requirements for 21,000 organizations with the VISA logo
SAS 70 and SysTrust requirements established by the AICPA
CS4-IT/MIS Audit/Risk
BS 7799-2 的 十大 控制方法
CS4-IT/MIS Audit/Risk
一
、安全政策
(Security Policy)
(
1
,
2
)
二
、安全組織
(Security Organization) (3
,
10)
三
、資產分類與控制
(Asset Classification and Control) (2
,
3)
四
、人員安全
(Personnel Security)
(3
,
10)
五
、實體及環境
安全
(Physical and
Environmental
Security) (3
,
13)
六
、通訊與作業管理
(Communications
and
Operations Management)
(7
,
24)
八
、系統開發及
維護
(Systems
Development and
Maintenance)
(5
,
18)
七
、存取控制
(Access Control) (8
,
31)
九
、營運持續管理
(Business Continuity Management) (1
,
5)
十
、符合性
(Compliance) (3
,
11)
CS5-緊急事件通報流程圖
一般同仁
部門主管
上班日
非上班日
一般災害
火災
服務中心
0800011686
管理總務處
&警衛
自衛消防
編組
防
火
管
理
人
警
衛
CS6-SARS & Bird Flu
ING安泰人壽的SARS危機管理
松下重新認識到(SARS)危機管理的重要性
肯德基對抗禽流感
摩托羅拉的危機管理
No risk is “ tolerable ” and " acceptable "
Thank you so much
for your listening!