匯智 BCP

為了抵抗新冠病毒疫情(COVID-19),匯智做了哪些 BCP 準備與演練?

我們在其他篇幅曾經有說過 BCP 是平時就需要開始計劃及定期演練的( 可以參考:BCP 這個名詞到底憑什麼這麼夯? BCP 是什麼?),以匯智的角度也是相同,我們在 2007 及 2011 年先後申請並通過稽核取得二類電信執照及 ISO27001 認證,除抽樣稽核以外,平日也有定期的稽核演練,運用 PDCA 循環流程管理模式,為的就是確保匯智與我們客戶的服務都能長年保持穩定的運行。針對本次新冠病毒防疫作業,匯智在 BCP 中的災害演練中,又做了哪些準備與演練呢?

關於盤點

匯智平日即有自己的盤點流程,隨著疫情的發展,我們也會提高層級,將風險乘載程度及可調度資源都擴大,除了我們自行營運的設備,也避免其他供應商出現不可預期的狀況時讓客戶受到影響,即便真的受到影響也將影響程度降至最低。

相關細節很多,在此我們將本次關注的項目摘錄部分如下:

硬體 –

  1. 各家雲端(含本地)之全球各點機房運作狀況、防災措施、應變模式及所需耗費時間
  2. 各條海纜全電路
  3. 各點伺服器、機櫃、網路、電力
  4. 匯智公司本身營運點之大樓設備
  5. 匯智公司內部之硬體設施,例如:事務機、電話、發電機、冷氣、其他日常工作工具設備
  6. 員工每一位自身擁有之設備與遠距辦公地點的設備、網路狀態

軟體 –

  1. 上述所有需使用到的系統、軟體、軟體授權
  2. 人員組織如:健康狀況、輪班代理人制度、工作品質管控制度、住家環境與接觸人
  3. 供應商運作狀態、防災時期服務供應措施、配銷通路運作狀態、物流運作狀態
  4. 公司及人員使用中之所有帳號密碼與相關對應之權限清點

關於備援準備與 BCP 強度升級

上述盤點僅列出重點,本篇全篇幅都針對這次新冠病毒疫情來說明備援的準備,因此思維其實著重在「加強」以及把出發點定位在「站在客戶角度會希望他們的網路服務提供商做到哪些事情來保護他們的服務能堅強穩定」:

硬體 –

  1. 全部採取至少三份以上備援,包含員工遠距工作環境所需之原始工具設備,皆由公司再多配置至少二份,視需求配置第三份,並多點存放
  2. 在真實需要使用到其他點備援時,也可採取快遞配送。講到快遞?當然!我們有想到萬一封區封城,我們還有多家快遞的配合,若遇到像印度的禁足令,我們則有更多雲端轉移的模式,讓大家不出門也能保障客戶的服務在極端情況下也至少能穩定運行
  3. 遠距工作若遇到上述最糟情況則啟動人員輪值代理的制度

軟體 –

  1. 與硬體相同,同樣有多套軟體及多品牌替代軟體之備援
  2. 已完成遠距工作設施與例如虛擬桌機等替代方式之準備
  3. 剛剛提過的快遞方式加上公司技術部門的遠端協同作業,都能協助及解決同仁或客戶軟體或系統上的問題
  4. 確實跨部門互相檢核遠距上班之人員職務配置,以及工作派工系統、排程監控,確保遠距上班時仍能維持像日常的運作與工作品質及效率,並實際演練三次
  5. 資訊安全方面,同樣族繁不及備載,寫出來大家也不一定能馬上理解,但這點一定要提,因為在這種非常時期,最大的空洞就是資訊的安全,大致整理出幾個區塊給大家參考:
    • 須確保所有人的資料讀存取權限、連線都有多模式的保存方式及多層式的安全性的防護
    • 除了公司與客戶資料至少 13 點異地備份以外,也實際操作還原演練,確保不會發生有資料卻還原不了的窘境
    • 對所有日誌軌跡做至少大於 90 天的紀錄
    • 最後就是大家比較耳熟能詳的連線安全 VPN,除了連線的 VPN 設置與身分驗證外,我們做到多因素驗證,就像大家使用網路銀行 APP、或 Gmail 時,都會要求你下載另一支俗稱保鑣 APP 或輸入第二種、第三種的身分驗證資料,確保不是陌生人遠端登進公司免費幫我們工作(這真是太可怕了)!

然而,其實上面說到的一切都有關聯性的,日誌軌跡紀錄一方面除了保有紀錄供未來存查以外,也要監控並設置當有不正常的軌跡時會絕對馬上警示才會有意義,系統必須優先剔除,並通知技術人員查核,若有惡意植入或資料更改,我們也會剷除惡意程式並馬上復原最近時間點之備份,而資料存放的方式,因為有鑑於許多國家級單位也被竊過,加強資料交錯及加密我們也一直重視徹底執行,因此即便被竊,資料被解開的難度也跟登天差不多。

幾種 BCP 演練腳本

舉凡上述所說到的種種準備,就要開始進行實戰演練,簡單講分為三種演練:「災害演練(類似天災或本次疫情)」、「設備容錯切換演練」及「單點失效演練」;而此三種演練我們從過完農曆年就已開始進行,本次新冠病毒 (COVID-19) 較貼近於災害演練,但又不完全是災害演練,還包含另外兩種演練成分在,從這裡我們將其混和、分散在部分或特定人員遠距及全員遠距工作的情境上,從 2020 年 2 月 5 日開始,即演練一連串的腳本,大致有幾種:

  1. 毫無準備之下,人員直接在家上班,家中無備援設備,遠端 VPN 連線設置等由技術人員與在家工作者透過通訊完成,直接演練連續三日以上;而演練每日的上班時間點至下班時間點,技術人員會連繫同仁至少三次,確保遠距工作的有效性與品質;至於以公司角度來說,工作品質與效率如何掌控,我們將另闢篇章討論
  2. 先準備好日常使用及備援之設備並事先安裝完成遠端連線及安全控管等設置,讓不同職務人員同時及輪流在家上班一日,各演練一次;同職務人員、單一部門、全公司,比照在家上班一日演練
  3. 針對我們代管之不同類型客戶,分日進行服務備援備份災難還原演練;無法配合之客戶,我們則是複製相同架構,模擬演練

匯智其實從 2019 年流感季節開始前(大約 8 月左右),就開始討論流感季節之防疫措施與災害演練,並開始盤點及調整計畫,直至農曆年 2020 年 2 月 5 日開始進行一連串的演練,而我們很慶幸的因為紮實的演練,讓我們在疫情真正爆發時能採取最寬認定,投資較高之成本在備援與資安防護上,確保我們的客戶與同仁在抗疫期間,都能安心放心的繼續日常的工作;這期間我們也提供客戶們 BCP 的相關諮詢顧問,雖然全球市場營業獲利皆受影響,但是做 BCP 不代表公司一定要砸大錢畫大餅,若能採用較低甚至免費的成本與較寬鬆的時間開始 BCP 的第一步並視階段與需求再計畫投資,讓公司 IT 資訊體質漸漸紮穩馬步,整裝待發,將能讓公司在疫情結束時,迅速回到市場,繼續打出一場場漂亮的生意勝仗。

歡迎轉載!請見:轉載原則。 

發表迴響