課程介紹 

多年來，資訊和通訊技術（information and communication technology, ICT）已成為組織活動不可或缺的一部分，這些活動是所有組織（無論是政府公務部門、私人機構）關鍵基礎設施的一部分。網際網路和其他電子網路服務的激增，以及當今的系統和應用程式的能力，也意味著組織越來越依賴可靠、安全和有保障的信通技術基礎設施。

與此同時，營運持續管理（business continuity management, BCM）的需求，包括事件與事故回應、營運持續管理和回復程序等，近年來制定和頒佈的特定知識、專業知識和標準領域，包括 ISO 22301 BCMS 營運持續管理系統國際標準，已經得到認可和支援。

ICT 服務的故障，包括系統入侵和惡意軟體感染等安全問題的發生，將影響業務運營的連續性。 因此，管理資訊和通訊技術以及相關的連續性和其他安全方面是營運持續管理要求的關鍵部分。 此外，在大多數情況下，需要營運持續管理的關鍵業務通常依賴 (dependence) 可靠、安全和有保障的資訊和通訊技術。這種依賴性，意味著信通技術的中斷可能會對組織的聲譽及其運營能力構成戰略風險。

資訊和通訊技術（information and communication technology, ICT）準備就緒 (readiness)，是許多組織實施資訊安全管理系統 (ISO/IEC 27001, information security management systems, ISMS) 和 營運持續管理系統 (ISO 22301, business continuity management system, BCMS) 中，分別要求實施和操作的重要部分，組織應制定和實施資訊和通訊技術服務的就緒計劃 (ICT readiness plan) 以幫助確保業務連續性。

因此，有效的 BCM 往往取決於有效的資訊和通訊技術服務準備就緒，以確保組織的目標在中斷時能夠繼續實現。 這一點尤其重要，因為資訊和通訊技術服務中斷的後果往往具有隱形和/或難以檢測的額外複雜性。

為了讓組織實現資訊和通訊技術服務為業務連續性做好準備 (ICT Readiness for Business Continuity, IRBC)，組織需要制定一個系統流程來預防、預測和管理資訊和通訊技術中斷和可能擾亂資訊和通訊技術服務的事件。 作為 ICT IRBC 管理系統的一部分，應用 計畫-執行-確認-改善 (Plan-Do-Check-Act, PDCA) 週期性步驟，可以有效地實現這一點。 透過這種方式，IRBC 支援 BCM，確保資訊和通訊技術服務具有適當的彈性，並在組織要求和商定的時間表內回復到預先確定的水準。

如果您的組織正在使用 ISO/IEC 27001 來建立 ISMS，和/或使用 ISO 22301 來建立 BCMS，那麼 IRBC 的建立，應該最好考慮與這些標準相關的現有或預期過程。這種聯繫可以支持 IRBC 的建立，也可以避免組織的任何重複流程。 

參加本課程的學員，必須具備下列知識：

a) 管理系統

• 管理系統流程 (計畫-執行-確認-改善, PDCA)

• 暸解管理系統的主要活動，包含高階管理人員的領導能力與責任、功能與管理活動之間的相互關係、營運目標與政策、目標、規劃、計畫執行、績效量測、定期審查、與持續改善等活動。

b) 資訊安全管理與 ISO/IEC 27001

了解以下資訊安全管理原則和概念：

• 對資訊安全需求的認知;

• 資訊安全的責任配置;

• 納入管理階層承諾和關注方的利益;

• 提升社會價值;

• 使用風險評估的結果，來確定適當的控制措施以達到可接受的風險水平;

• 將資訊安全納入網絡和系統的基本要素;

• 積極預防與偵測資訊安全事件;

• 確保採用全面的資訊安全管理方法;

• 持續重新評估資訊安全並視需要進行修改.

c) 營運持續管理與 ISO 22301

• 進行營運衝擊分析 (business impact impact, BIA) 與風險評鑑 (risk assessment, RA), 發展營運持續策略與解決方案, 實施營運持續計畫與程序

• 營運持續性管理，組織更廣泛的風險管理安排與組織在中斷期間繼續運行的整體能力之間的關係，以及業務連續性管理與業務連續性績效的積極改進之間的關係。

• 營運持續管理與組織的風險管理、組織營運持續的能力之間的相互關係，以及營運持續管理與營運持續管理績效的積極改善作為之間的關係

備註：課程考試內容，可能會跟本課程課前必備知識有關。如果需要，建議您參加我們提供的基礎課程。

課程對象

管理系統是組織日常營運活動的一部份，任何參與組織營運活動的內、外部人員，對於國際標準的了解，皆有助於組織業務相關活動的推動與提升有效性。

本課程建議組織中，擔任下列功能的人員參加：

• 任何參與 ICT 資訊和通訊技術服務活動的管理人員

• 營運風險管理相關經理人

課程目標與效益 

本課程結合課堂簡報、小組討論、經驗交流、角色扮演、情境演練等，透過參與式 (participated learning) 學習，培養學員下列的能力：

• 了解資訊和通訊技術服務為業務連續性做好準備 (ICT Readiness for Business Continuity, IRBC) 的目的、對組織帶來的益處。

• 了解如何應用 ISO/IEC 27031 指引，將資訊和通訊技術服務為業務連續性做好準備 (ICT Readiness for Business Continuity, IRBC)。

課程大綱 

第一天, IRBC 概觀與規劃

• 相關名詞與定義

• IRBC 與營運持續管理

• IRBC 概觀

• IRBC 規劃 (Planning)

第二天, IRBC 建立與實作

• 一般要求

• ICT 事件、事故管理

• IRBC 計畫與內容

第三天, IRBC 監督、審查與持續改善 

• ICT 變更管理

• IRBC 測試 (test) 與演練 (exercise) 

• IRBC 內部稽核

• IRBC 管理審查

• IRBC 持續改善

• 課程考試

課程包含 

• 授權課程媒體、講義 

• 線上課程考試

• 課程證書 (若考試成績未達通過標準，僅獲頒課程參加證書)

課程注意事項

• 課程要求與參加指引如下:

• [ 一般課堂課程 (Classroom-based) 參加指引 ]

• [ 遠距教學課程 (VILT) 參加指引 ]

如果有任何其他需求，歡迎您與我們聯繫：info@tksg.global