業務中斷的形態正在改變。它可能始於某個部門的勒索軟體攻擊、身分外洩、供應商服務中斷或長時間的雲端服務故障，然後迅速蔓延至相互連接的系統，業務中斷會同時影響營運、客戶存取、合規性和供應商關係。

這就是為什麼網路彈性是業務持續性的核心

從本質上講，業務持續性也是一個風險管理問題，因為它還取決於一個組織對其關鍵流程、資訊依賴性、供應商風險敞口、雲端依賴性、風險承受能力、恢復優先級以及在系統或資料無法完全信任的情況下運營的能力的了解程度。

ISF 2026版良好實務標準（SOGP）是涵蓋此轉變的資安架構，它要求組織將業務持續性與治理、資訊風險、系統彈性、安全事件管理和測試連結起來，以充分協調業務持續性和風險管理。

持續性始於治理

當安全事件發生時，所有部門都必須迅速行動，安全團隊需要控制事件的擴張，IT部門將全力復原系統，法務團隊將爭分奪秒地了解法律後果，溝通部門必須及時向客戶、分析師和關鍵利害關係人通報最新情況，董事會必須了解事件對收入、營運、服務交付和聲譽的影響。

你的最小可行業務是什麼？

讀者可能聽過最小可行產品 (minimum viable product, MVP)，最小可行業務 (minimum viable business) 的工作原理與之類似，但它應用於業務營運層面。它識別出即使面臨突發事件，企業也必須維持營運的關鍵流程、資訊資產、人員、供應商和基礎設施。企業必須專注於具體細節，而不是建立一份通用清單。每個面向、每個依賴關係都應該被整理清楚，以確保業務的持續性。

例如，支付流程可能依賴身分識別和存取管理、詐欺監控、客戶支援和雲端基礎設施等要素；所有這些都是不可或缺的。無論發生什麼，您都希望流程保持正常運作。

系統韌性即是新的業務韌性

系統備份、復原時間表、服務等級協定 (SLA)、容量規劃和變更管理是業務持續性的基石。錯誤的做法是將這些僅僅視為技術問題，而不是業務彈性問題。

如果關鍵系統無法在約定時限內重啟，那麼業務持續性就成了空頭支票。此外，業務持續性不應僅停留在紙面上，而必須經受實戰考驗，也就是在壓力下也能正常運作。

更重要的是，關鍵業務基礎設施和應用程式需要備用方案；單一故障可能引發連鎖反應，導致一系列中斷。應定期監控和審查其性能和容量，以確保問題在擴大之前被發現並解決。這些步驟正是風險管理的精髓所在，使領導者能夠確保系統在環境變得惡劣或不確定時能夠支援業務發展。

事件響應與業務持續性的融合

複雜多變的網路威脅情勢要求事件回應和業務持續性結合，當重大網路安全事件發生時，諸多環節必須同時無縫銜接，包括遏制、調查、法律評估、客戶溝通、營運緊急應變方案、供應商協調和系統復原。

業務持續性部門不能等到安全事件結束才開展工作

因此，你需要一個框架，將安全、IT、法律、溝通、營運、供應商管理和董事會等各個學科整合起來，並按照共同的回應結構做出回應。

不要忘記供應商和雲端依賴性

組織的營運流程仰賴一個多元化的供應鏈，其中包括雲端平台、SaaS 工具、託管服務供應商、軟體供應商、人工智慧工具、資料處理商和外部合作夥伴。如果其中任何一個環節出現故障，業務持續性幾乎會立即受到影響；因此，供應商和雲端平台的依賴關係也應納入業務持續性計畫的考量。

與外部供應商簽訂的任何合約都應明確列出有關彈性和安全性的合理預期，並與業務持續性和風險管理框架保持一致。

持續的評估和監控應確保供應商滿足預期。從雲端的角度來看，每個整合、平台和工具都應進行全面審查，以確保其具備恢復、存取、監控和控制能力。最後，業務持續性要求組織重新思考對外部供應商的看法。這些關鍵的第三方應納入業務持續性方案，而不是被視為無關緊要的依賴項。

透過測試實現韌性

如果未經實際場景檢驗，再周密的計畫也終將付諸東流。真正考驗計畫成效的關鍵在於，它能否在適當的時機做出切實可行的決策，確保各部門之間更好地協調運作，維持關鍵業務的正常運轉，並確保在可接受的時間範圍內實現業務恢復。

測試應涵蓋所有可能導致業務持續性中斷的因素，包括勒索軟體攻擊、長時間的雲端服務中斷、供應商服務中斷、身分資訊外洩、資料完整性風險以及面向客戶的服務中斷等等。此類因素不勝枚舉。測試重點應放在危機管理能力、技術基礎設施的彈性以及在預定時間內恢復關鍵流程的營運能力。

結語

業務持續性是指企業在面臨重重困難時仍能維持營運。它指的是製定切實可行的計畫，確保在系統故障、數據不可信或供應商成為瓶頸時，業務仍能持續運作。因此，網路彈性和風險管理是業務持續性計畫的核心，必須加以重視。

資料來源：https://www.securityweek.com/cyber-resilience-is-the-new-business-continuity-plan/