具体描述
商业环境新风险无所不在,面对全球未知敌人,你该如何防备应变?
── 财经中文书第一部:全球企业灾难的案例书 & 韧性管理的入门课本
为什么先进国家与企业在本世纪之后,都投入了「韧性」(Reslience)管理?它究竟有何重要性与价值?
为什么在当代经营策略家的面前──「环境」──而非竞争者,可能才是企业最大的对手?
由全球重要的公安/工安/资安事件出发,本书深度剖析了风险管理与灾后复原能力的相关议题。
面对当前不确定性高、技术与数位跨国连结而引致的恶意攻击层出不穷的时代,于灾后复原及风险管理领域执业多年的本书作者,兼从最新知识与灾难企业案例的结合,生动说明了「韧性管理」的新观念与新作法;除了安全的预防意识外,企业界也强调是否有一套「紧急复原对策」备变系统并且可操作落实,这已嵌入许多全球公司最重视的管理环节中。
企业资安、工安部门、高阶经营管理层级必读风控书目
当前大型跨国组织都在强调韧性管理的观念、急迫感、故事与行动──
从美加大停电到NASA卫星事故、从骇客入侵航空公司到半导体厂火灾……;在年度的策略预案里,我们是否想过:「如何把赚到的钱安全放进口袋」?
在经营情境中,最稀有的资源不是部门预算,而是领导者的注意力。面对一再刷新纪录的商业灾害,到底领导者该有何种新思维?本书全面性地由「防灾─减损─灾后复原」,甚至是企业受灾的理赔洽商,一步步带领读者认识天然灾害/安全意外/电脑系统被骇等风险的高度不确定本质,以及当灾祸降临时,缺乏演练与漠视「危机中如何领导」的企业将会受到什么样的惩罚。同时,也指出如英特尔这类全球标竿企业已将「韧性」标准纳入供应链管理,尤其是「一旦发生风险,后果就极为严重」的飞安与医疗领域里,最新的「安全」维护与一般公司的安全观念有何异同。
本书也会是一部绝佳的「韧性」文化变革的企业内部启动书籍,一家重视安全的组织,会鼓励人人成为「当责者」:人人愿意了解现况、负责任、发掘改善风险管理之道,甚至加以承担,跳脱不重视安全的恶性循环。
精彩收录
风险是比竞争者更可怕的对手,遭遇过它的企业多半绝口不外传。
其实,我们并不容易从商学研究与教育中完整学习它──为了要让读者身历其境,本书亦整理隐身在新闻或书籍的危机小故事,例如:
1949年─ 美国曼恩崃谷(Mann Gulch)森林火灾
1995年─ 日本坂神大地震制鞋产业
1998年─ NASA火星气候轨道探测器事件
2000年─ 美国半导体厂晶片厂火灾
2001年─ 台湾知名网路书店水灾
2001年─"911"事件上千名员工紧急疏散
2003年─"SARS" 事件
2003年─ 美加大停电
2010年─ 知名石油企业漏油事件
2010年─ 智利矿场事故
2011年─ 日本福岛核电厂海啸
2013年─ 美国知名零售业者骇客入侵
2016年─ 跨国玩具制造商被诈骗
2016~2017年─ 航空公司电脑当机
2017年─ 智慧制造工厂被骇客入侵
名人推荐
尤之毅 博士/教务长,国际公共政策管理研究所,Price 公共政策学院,美国南加州大学
林秉耀/国泰产险总机构法律遵循主管
施立成 律师/微软全球助理法务长、台湾微软公共暨法律事务部总经理
洪伟淦/趋势科技台湾暨香港区总经理
许毓仁/TED x Taipei 创办人 & 立法委员
杨清荣/富邦产物保险股份有限公司 总稽核
彭启明/天气风险管理开发股份有限公司 总经理
阎治中/韦莱韬悦台湾分公司 企业风险管理与经纪服务总经理
好评推荐
当今世界面对了另一个最大的非传统战争的挑战,乃是电脑骇客的袭击,其造成的灾害可以是幅员辽阔并具强烈杀伤力的伤害。
作者明璋从事多年危机处理专业工作,业余之际涉略了多方的研究与资料整理,把全球已经发生的多个危耸的大灾难详细的收入书内,并提供处理的一些准则,是一本具有阅读与收藏价值的专业书籍。──尤之毅 博士/教务长,国际公共政策管理研究所,Price公共政策学院,美国南加州大学
骇客界的供应链、生态系已然蓬勃发展、手法日益精进。企业若仍然依赖过时的思维与技术,当然难以防御现今的网路攻击。……而放眼未来,全球企业莫不力求转型以增加其竞争力,台湾亦然。……很高兴前同事吴明璋先生整理国际知名案例,提高社会大众的资安意识。他从门外汉跨进资安产业,现在协助推广资安保险,为健全国内资安产业体质而努力。乐于为之推荐本书。──洪伟淦 /趋势科技台湾暨香港区总经理
本书除了让您学习到韧性(resilience)的理论知识,也提供您做规划时相应的参考。过去,作者吴明璋先生服务过的专业复原团队BELFOR协助我们客户灾前训练与灾后复原。我们很高兴吴先生整理多年的实务经验与国内外经典案例,乐与为之推荐。──林秉耀 /国泰产险总机构法律遵循主管
很高兴吴明璋先生将过去BELFOR经验整理分享,让我们了解灾后复原这个较不为人充分知悉的领域,另外,在资讯安全的领域,我们也从本书吸收到新知与实务,将有助于我国资安保险之推广,减低被保险人于日益频繁、复杂的资安事故中遭受重大损失。──杨清荣/富邦产物保险股份有限公司 总稽核
── 财经中文书第一部:全球企业灾难的案例书 & 韧性管理的入门课本
为什么先进国家与企业在本世纪之后,都投入了「韧性」(Reslience)管理?它究竟有何重要性与价值?
为什么在当代经营策略家的面前──「环境」──而非竞争者,可能才是企业最大的对手?
由全球重要的公安/工安/资安事件出发,本书深度剖析了风险管理与灾后复原能力的相关议题。
面对当前不确定性高、技术与数位跨国连结而引致的恶意攻击层出不穷的时代,于灾后复原及风险管理领域执业多年的本书作者,兼从最新知识与灾难企业案例的结合,生动说明了「韧性管理」的新观念与新作法;除了安全的预防意识外,企业界也强调是否有一套「紧急复原对策」备变系统并且可操作落实,这已嵌入许多全球公司最重视的管理环节中。
企业资安、工安部门、高阶经营管理层级必读风控书目
当前大型跨国组织都在强调韧性管理的观念、急迫感、故事与行动──
从美加大停电到NASA卫星事故、从骇客入侵航空公司到半导体厂火灾……;在年度的策略预案里,我们是否想过:「如何把赚到的钱安全放进口袋」?
在经营情境中,最稀有的资源不是部门预算,而是领导者的注意力。面对一再刷新纪录的商业灾害,到底领导者该有何种新思维?本书全面性地由「防灾─减损─灾后复原」,甚至是企业受灾的理赔洽商,一步步带领读者认识天然灾害/安全意外/电脑系统被骇等风险的高度不确定本质,以及当灾祸降临时,缺乏演练与漠视「危机中如何领导」的企业将会受到什么样的惩罚。同时,也指出如英特尔这类全球标竿企业已将「韧性」标准纳入供应链管理,尤其是「一旦发生风险,后果就极为严重」的飞安与医疗领域里,最新的「安全」维护与一般公司的安全观念有何异同。
本书也会是一部绝佳的「韧性」文化变革的企业内部启动书籍,一家重视安全的组织,会鼓励人人成为「当责者」:人人愿意了解现况、负责任、发掘改善风险管理之道,甚至加以承担,跳脱不重视安全的恶性循环。
精彩收录
风险是比竞争者更可怕的对手,遭遇过它的企业多半绝口不外传。
其实,我们并不容易从商学研究与教育中完整学习它──为了要让读者身历其境,本书亦整理隐身在新闻或书籍的危机小故事,例如:
1949年─ 美国曼恩崃谷(Mann Gulch)森林火灾
1995年─ 日本坂神大地震制鞋产业
1998年─ NASA火星气候轨道探测器事件
2000年─ 美国半导体厂晶片厂火灾
2001年─ 台湾知名网路书店水灾
2001年─"911"事件上千名员工紧急疏散
2003年─"SARS" 事件
2003年─ 美加大停电
2010年─ 知名石油企业漏油事件
2010年─ 智利矿场事故
2011年─ 日本福岛核电厂海啸
2013年─ 美国知名零售业者骇客入侵
2016年─ 跨国玩具制造商被诈骗
2016~2017年─ 航空公司电脑当机
2017年─ 智慧制造工厂被骇客入侵
名人推荐
尤之毅 博士/教务长,国际公共政策管理研究所,Price 公共政策学院,美国南加州大学
林秉耀/国泰产险总机构法律遵循主管
施立成 律师/微软全球助理法务长、台湾微软公共暨法律事务部总经理
洪伟淦/趋势科技台湾暨香港区总经理
许毓仁/TED x Taipei 创办人 & 立法委员
杨清荣/富邦产物保险股份有限公司 总稽核
彭启明/天气风险管理开发股份有限公司 总经理
阎治中/韦莱韬悦台湾分公司 企业风险管理与经纪服务总经理
好评推荐
当今世界面对了另一个最大的非传统战争的挑战,乃是电脑骇客的袭击,其造成的灾害可以是幅员辽阔并具强烈杀伤力的伤害。
作者明璋从事多年危机处理专业工作,业余之际涉略了多方的研究与资料整理,把全球已经发生的多个危耸的大灾难详细的收入书内,并提供处理的一些准则,是一本具有阅读与收藏价值的专业书籍。──尤之毅 博士/教务长,国际公共政策管理研究所,Price公共政策学院,美国南加州大学
骇客界的供应链、生态系已然蓬勃发展、手法日益精进。企业若仍然依赖过时的思维与技术,当然难以防御现今的网路攻击。……而放眼未来,全球企业莫不力求转型以增加其竞争力,台湾亦然。……很高兴前同事吴明璋先生整理国际知名案例,提高社会大众的资安意识。他从门外汉跨进资安产业,现在协助推广资安保险,为健全国内资安产业体质而努力。乐于为之推荐本书。──洪伟淦 /趋势科技台湾暨香港区总经理
本书除了让您学习到韧性(resilience)的理论知识,也提供您做规划时相应的参考。过去,作者吴明璋先生服务过的专业复原团队BELFOR协助我们客户灾前训练与灾后复原。我们很高兴吴先生整理多年的实务经验与国内外经典案例,乐与为之推荐。──林秉耀 /国泰产险总机构法律遵循主管
很高兴吴明璋先生将过去BELFOR经验整理分享,让我们了解灾后复原这个较不为人充分知悉的领域,另外,在资讯安全的领域,我们也从本书吸收到新知与实务,将有助于我国资安保险之推广,减低被保险人于日益频繁、复杂的资安事故中遭受重大损失。──杨清荣/富邦产物保险股份有限公司 总稽核
著者信息
作者简介
吴明璋(Bright)
服务于韦莱韬悦(Willis Towers Watson)台湾分公司,提供资安保险与理赔服务。这是他的第八本书,作品曾获「经济部中小企业金书奖」。二十年前,他只身畅游美国大崃谷不幸发生车祸。巧遇贵人相助,但当时并不知道这个意外的启发是什么。2004年,于台湾KPMG取得资安管理国际认证(BS7799/ISO27001)。在趋势科技期间,针对不同产业以设计思考(Design Thinking)进行客户洞察(Customer Insight)研究。在全球灾后复原公司BELFOR,曾处理过IT机房火灾。执行超过1,500人次客户教育训练与研讨会,以及超过1,000人次桌面演练(Tabletop Drill)。跨国专案横跨台湾、中国与新加坡三地,协助十余个科技业客户导入专案,并完成灾后复原演练与实地稽核。
2014年起,他先后于APEC企业营运持续规划(Business Continuity Planning)、数位韧性(Digital Resilience)讲师工作坊担任带领者和论坛与谈人。2018 HITCON Summer Training合格讲师,以及SEMI Taiwan SEMI Information & Control Technical Committee - Security Task Force的初始会员(Founding Member)。闲暇之余参与华茂扶轮社、培养设计思考,水彩画、吉他、新世纪音乐、阅读。
关于他的数位韧性影片,请看:www.willistowerswatson.com/zh-TW/insights/2018/08/video-cyber-security-risk-and-solutions-in-taiwan
与他联系:resiliencetaiwan@gmail.com
吴明璋(Bright)
服务于韦莱韬悦(Willis Towers Watson)台湾分公司,提供资安保险与理赔服务。这是他的第八本书,作品曾获「经济部中小企业金书奖」。二十年前,他只身畅游美国大崃谷不幸发生车祸。巧遇贵人相助,但当时并不知道这个意外的启发是什么。2004年,于台湾KPMG取得资安管理国际认证(BS7799/ISO27001)。在趋势科技期间,针对不同产业以设计思考(Design Thinking)进行客户洞察(Customer Insight)研究。在全球灾后复原公司BELFOR,曾处理过IT机房火灾。执行超过1,500人次客户教育训练与研讨会,以及超过1,000人次桌面演练(Tabletop Drill)。跨国专案横跨台湾、中国与新加坡三地,协助十余个科技业客户导入专案,并完成灾后复原演练与实地稽核。
2014年起,他先后于APEC企业营运持续规划(Business Continuity Planning)、数位韧性(Digital Resilience)讲师工作坊担任带领者和论坛与谈人。2018 HITCON Summer Training合格讲师,以及SEMI Taiwan SEMI Information & Control Technical Committee - Security Task Force的初始会员(Founding Member)。闲暇之余参与华茂扶轮社、培养设计思考,水彩画、吉他、新世纪音乐、阅读。
关于他的数位韧性影片,请看:www.willistowerswatson.com/zh-TW/insights/2018/08/video-cyber-security-risk-and-solutions-in-taiwan
与他联系:resiliencetaiwan@gmail.com
图书目录
推荐序
前言 「韧性」是一门显学
Part 1 勿恃敌之不来
1-1 越过山丘,转过一个又一个的念头
1-2 蠢蠢欲动的隐形敌人
1-3 我的隐私,未来的曝险
1-4 游戏玩家的「天堂」,资讯人员的梦靥
1-5 这次客户老板发飙了
1-6 中小企业也成为敌人的提款机
1-7 50个自我检测的问题
Part 2 危机意识的领导管理
2-1 面对「新常态」该有的新思维
2-2 息事宁人的文化惯性
2-3 从受灾企业股价看其组织复原力
2-4 营运持续或灾后复原?下一步在哪里?
2-5 最佳实务企业的做法
2-6 经验不足导致蝴蝶效应
2-7 结构性规划的起手式
2-8 灾后复原专案的关键因素
2-9 当应变组织失效
2-10 过度自信的领导团队
2-11 措手不及的组织应变
2-12 以时间轴建构资安价值链
Part 3 准备是最好的应变
3-1 「灾后才想到专家」来得及吗
3-2 唿叫专家,我们有麻烦了
3-3 规划为韧性行动的第一步
3-4 优先评估关键性营运
3-5 灾害冲击远大于你的预期
3-6 面对书面计画的陷阱
3-7 虚惊为事故的前哨站
3-8 从漏洞围堵到预防无用论
3-9 「有计画无演练」流于形式
3-10 以反面思维看BCP
Part4 灾后复原的现场与实务
4-1 灾后复原为移动中的目标
4-2 个人自救用品
4-3 眼见为凭……但只是冰山一角
4-4 灾害管理是异常管理
4-5 资安调查恍然大悟
4-6 灾因调查追追追
4-7 资讯安全复原没有捷径
4-8 理算洽商之攻防实务
Part5 经典案例
5-1 终结国际知名手机品牌的一场小火
5-2 删减树木修剪经费造成美加大停电
5-3 总经理为骇客事件下台
5-4 引发董座总座请辞最后一根稻草
后记与致谢
附录
6-1 数位韧性规划
6-2 标准与管理实务的演进
6-3 韧性专案的知识体系
6-4 参考资料
前言 「韧性」是一门显学
Part 1 勿恃敌之不来
1-1 越过山丘,转过一个又一个的念头
1-2 蠢蠢欲动的隐形敌人
1-3 我的隐私,未来的曝险
1-4 游戏玩家的「天堂」,资讯人员的梦靥
1-5 这次客户老板发飙了
1-6 中小企业也成为敌人的提款机
1-7 50个自我检测的问题
Part 2 危机意识的领导管理
2-1 面对「新常态」该有的新思维
2-2 息事宁人的文化惯性
2-3 从受灾企业股价看其组织复原力
2-4 营运持续或灾后复原?下一步在哪里?
2-5 最佳实务企业的做法
2-6 经验不足导致蝴蝶效应
2-7 结构性规划的起手式
2-8 灾后复原专案的关键因素
2-9 当应变组织失效
2-10 过度自信的领导团队
2-11 措手不及的组织应变
2-12 以时间轴建构资安价值链
Part 3 准备是最好的应变
3-1 「灾后才想到专家」来得及吗
3-2 唿叫专家,我们有麻烦了
3-3 规划为韧性行动的第一步
3-4 优先评估关键性营运
3-5 灾害冲击远大于你的预期
3-6 面对书面计画的陷阱
3-7 虚惊为事故的前哨站
3-8 从漏洞围堵到预防无用论
3-9 「有计画无演练」流于形式
3-10 以反面思维看BCP
Part4 灾后复原的现场与实务
4-1 灾后复原为移动中的目标
4-2 个人自救用品
4-3 眼见为凭……但只是冰山一角
4-4 灾害管理是异常管理
4-5 资安调查恍然大悟
4-6 灾因调查追追追
4-7 资讯安全复原没有捷径
4-8 理算洽商之攻防实务
Part5 经典案例
5-1 终结国际知名手机品牌的一场小火
5-2 删减树木修剪经费造成美加大停电
5-3 总经理为骇客事件下台
5-4 引发董座总座请辞最后一根稻草
后记与致谢
附录
6-1 数位韧性规划
6-2 标准与管理实务的演进
6-3 韧性专案的知识体系
6-4 参考资料
图书序言
前言
「韧性」是一门显学
你是否因处理突发状况而整夜待命?是否担心无法处理危机而彻夜难眠?是否担心团队能力不足,延宕处理公司的危机?尽管「趋吉避凶」是我们的本能,然而我们并未真正认识危险。一旦大难临头,一般人的通病是走捷径。闪躲它非但无法解决真正的问题,有可能造成更棘手的处境。这是否和我们的工作经验与学习历程有关?
展阅当代管理之父彼得.杜拉克先生六十年演说集,不禁回想近二十年个人学习与职场生涯。在累积一定的绩效与历练,经理人得以步步高升。进阶者从MBA师生同侪学习,在职涯转折点充电后再出发。
从国内外个案的分析,太多主管因处理灾害危机不当而黯然下台,甚少因处理有功而被拔擢。
为何这门攸关公司生死存亡、主管升迁的管理课程,鲜少出现在主管养成教育?
原因很简单,危机消息止于自家大门之内。在家丑不得外扬的情况之下,企业讲师不教;在我国近六十年MBA教育的发展中,这类型的风险课程并非商学院的主流,学校也不教。
由于灾后复原为移动中的目标,阶段性目标随时空环境而调整。在有限的资讯与资源之下,主管很难在第一时间做出决定,连带会影响第一线部属的士气与进度。由于缺乏灾害处理的实务经验,临危受命的应变小组仅能从排山倒海的问题中被动因应。每个临危受命处理灾害的主管,就好像在高空上走钢索战战兢兢。
新管理思维
近年来,台湾一再发生「短延时强降雨」,也开始面对「限电」或「缺电」的可能性。Gartner(2014)强调,资安已经进入「预防无用论」时代。灾害冲击远大于你的预期,「防范未然」不再是唯一事前准备的处方。
然而,没有经历过灾害,很难体会灾害管理这堂课。以美国911事件为例,恐怖攻击造成纽约双子星大楼应声倒塌。瞒天盖地的金属尘爆席卷商业大楼数以万计的电脑。大楼停电造成资讯与联络中断,上千台受污染的电脑必须徒手背出灾区迅速复原。这段时间,所有的业务一片混乱、完全停摆。在大型灾害的案例中,灾害的类型不会是单一的,伴随而来的是复合型的影响。
那该如何以新思维分配风险管理的资源?
在规划风险管理资源时,我们习惯将「鸡蛋放在同一个篮子」。在技术思维之下,「规避」(Avoid)为常见的风险策略,就像是硬体採购。但,主事者往往忽略「减损」(Mitigate)或「移转」(Transfer)策略的可行性。在有限的资源之下,单一部门仅关心单一策略,无法照顾到风险管理之全貌。甚至我们听到客户说,她只是智慧制造的技术人员,「风险管理是老板的事」。
其实,最稀有的资源不是部门预算,而是领导者的注意力。面对一再刷新纪录的灾害,到底领导者该有何种新思维?
在协助全球知名半导体大厂教育训练中,一间最赚钱的厂最先导入「灾后复原计划」(Disaster Recovery Planning)。以往他们不乏灾后全损的例子,上亿元设备就这样报销。由于该设备金额在保险自付额以内,企业得自掏腰包,自行支付损失。这样的观念验证一个基本的观念:「营运越好,越不能出问题」。厂长强调:要将赚到的钱「安全」的放进口袋。
这验证了一句话:风险管理,人人有责。
IDC(2017)也特别强调:「它(资安)并非是IT 安全—此观点造成限制并将解决方案投射在疲于奔命的IT团队;相反的,它是企业风险—此观点涉及部门、高阶主管与董事会,并协助定义在这个流程中IT 所扮演的角色」。
因此,风险管理不单只是风险部门的工作。除了高阶主管,本书的沟通对象为厂长、资安长、财务保险、智慧制造、工安人、紧急应变小组、资安人或资讯人。此外,保险相关的从业人员也是本书关心的对象。
不为人知
这个实务领域并没有统一的语言。常见的为风险管理、灾害管理,或灾后重建。倘若以Goolge 查Disaster Recovery(灾后复原),发现大部分的讨论偏向于IT 软硬体。除了灾前的客户训练与计划,保险人同样关注灾后客户的抢救减损。
那么,到底该如何界定这一行?
根据我国最新的《行业标准分类》(2016),行政院将全台行业类别规划517 个细项。有趣的是,「复原」仅有「电脑灾害复原处理服务」(6209)与「历史遗址及建筑物之翻新及复原」等两个行业细项。
但是,「机械设备之实质改造、翻新、重制,视同制造活动」,依性质分别归入C 大类制造业25-29中类之适当业别。仅有产险有明确的类别,属于K大类「金融及保险业 6520 财产保险业。然而,与保险有关之公证服务仅被归类鱼6559 细类「其他保险辅助业」。由于《行业标准分类》统计我国行业主要的经济活动,因此灾后复原并未反映在真正的产值,足以说明这个行业的特殊属性。
依我个人的观察,国内投入24 / 7(一周七天,一天24 小时)灾后复原专业业者的数量凤毛鳞爪。甚者,拥有跨国复原公司经验,兼顾IT 与设备复原者,可能用手指就可以数的出来。即便扩大涵盖产险、保险经纪人与公证服务等相关专业,可达数百或上千位专家或顾问。然而,这个领域和客户签订保密协定,外界鲜少有人得知灾后复原的始末。
在社会大众的印象中,这个行业宛如戴上神秘的面纱,更难传达正确的抢救减损的观念。因此,等到危机来临时,第一线人员与主管忙着应付大小琐事,无暇冷静思考、分析与规划。
应用层次
许多消防演习重视灭火与救人,但该如何协助关键性的设备资产进行减损抢救?本书希望提供跨部门协同学习之参考依据。为了避免艰涩难懂的专有名词,本书以浅显易懂的角度解释常见的问题与观念,并辅以实际案例加以说明。
过去进入灾害现场的经验,驱使我蒐集整理国内外经典案例。为了让读者身历其境,本书整理隐身在新闻或书籍的小故事,如:美国曼恩崃谷(Mann Gulch)森林火灾(1949)、日本坂神大地震制鞋产业(1995)、美国NASA 火星气候轨道探测器事件(1998)、美国半导体厂J 晶片厂火灾(2000)、台湾知名R 网路书店水灾(2001)、美国911 事件上千名员工紧急疏散(2001)、台湾SARS 事件(2003)、美加大停电(2003)、台湾A 银行资安事件处理始末(2006-2008)、知名M 石油企业漏油事件(2010)、智利矿场事故(2010)、日本福岛核电厂海啸(2011)、台大竹东分院跳电处理始末(2013-2015)、美国知名L 零售业者骇客入侵(2013)、台湾PCB 业者火灾(2015)、台湾E 证券公司火灾(2015)、跨国玩具D 制造商被诈骗(2016)、英国O 航空公司电脑当机(2016-2017)、梅雨季超大豪雨(2017)、美国智慧制造H 工厂被骇客入侵(2017)等。
本书的应用涵盖四个层面:(1)无任何危机管理计画、规划或标准导入者、(2)已有计画、规划或标准导入者、(3)首次碰到灾害急需迅速复原者、(4)欲执行「认知」(Awareness)训练推广者。
针对(1),本书提供简易的参考指南,特别是中小企业;针对(2),本书协助检视自己不足之处,提供下一步的参考方向;针对(3),本书提供灾后复原所需的观念与经验;针对(4),本书补充相关的知识与经验缺口,提供训练课程所需的教材内容。
从广义的角度来看,灾害管理的研究涉及范围相当广泛。由于恐怖攻击或种族暴动较少在国内发生,并不属于本书讨论的范围。本书重点不在大家熟知的保安保全、人道救援、社区重建或心理重建,而是较少触及的组织管理层面。
本书的一小步
本书尝试从韧性、风险管理、营运持续(Business Continuity)与灾后复原(Disaster Recovery)等角度,跨界讨论工安(Safety)与资安(Security)的议题。
在许多企业中,「资安」与「工安」都是花钱的单位,分属于资讯与劳工安全卫生环保不同部门的业务范畴。然而,在风险管理的整体性考量之下,工安与资安皆为系统性的风险,但在公司日常业务下甚少交集。
这是本书的一小步。从风险的角度,希望可以建立「资安」与「工安」沟通的桥樑。Gartner(2015)在《2020 资安情境》(Cybersecurity Scenario 2020)强调将实体的「安全」纳入「资讯安全管理系统」(Information Security Management System,ISMS)的重要性。
因此,双领域结合的风险思维,不仅是现在的热门话题,在AI 或智慧机械人时代更具有前瞻性。除了工安与资安领域之外,本书整合其他领域的实务经验,以便在推动方案上具体可行。从组织管理角度,本书有助于灾前任务编组与灾后组织变动之参考;从专案管理角度,本书有助于灾前的持续营运规划与灾后复原方案之执行;从危机沟通角度,本书提供组织需面对横向与纵向的沟通问题;从教案设计角度,本书浓缩过去APEC 工作坊经验,提供给有志推动情境式教学者参考;从个案研究角度,本书可协助风险管理、工安或资安部门从他人案例中借镜,避免未来重蹈覆辙。
前瞻性思考
韧性不仅是国际政策的显学,更是组织迅速恢复营运的关键。至今,国内外客户将之列为稽核重点,甚至成为领先同业的竞争优势。这些都可以从本书的经典案例获得实务上的验证。
在变动的社会中,我们比以往接触更多的风险。不管是巨灾还是人祸,灾害是你猜不透的敌人。从个人到组织、从社交媒体到人工智慧,如何正向面对它呢?举例来说:
(1)福祸相倚是人生常规,企业经营也是如此。透过风险管理,以达个人风险缓冲之成效。幸福企业除了提供完整的员工福利,也要协助员工做好风险管理。
(2)现今通讯与媒体科技无时无刻吸引我们的注意力。一旦稍有不慎,可能就会增加自己曝险的机会。在注意力弱化与匮乏时候,个人与组织更要在平日加强因应风险的能力。
(3)在人工智慧(AI)或智慧机械人时代,许多大量、单一或重复性的工作已经被取代。目前它们无法取代人类在紧急的状况下做出决策。因此,现场人员必须具备紧急应变与灾害管理的能力。
在面对动态的全球性或在地化威胁,许多挑战仍有待跨界先进的交流与指导。我有幸在跨界学习中,从前辈、先进、同事与客户的学习交流中累积宝贵的经验。再多的言语无法表达我的感谢之意,那就以这本小书做为回馈的礼物。
请一同与我展开这趟奇幻的学习之旅。
「韧性」是一门显学
你是否因处理突发状况而整夜待命?是否担心无法处理危机而彻夜难眠?是否担心团队能力不足,延宕处理公司的危机?尽管「趋吉避凶」是我们的本能,然而我们并未真正认识危险。一旦大难临头,一般人的通病是走捷径。闪躲它非但无法解决真正的问题,有可能造成更棘手的处境。这是否和我们的工作经验与学习历程有关?
展阅当代管理之父彼得.杜拉克先生六十年演说集,不禁回想近二十年个人学习与职场生涯。在累积一定的绩效与历练,经理人得以步步高升。进阶者从MBA师生同侪学习,在职涯转折点充电后再出发。
从国内外个案的分析,太多主管因处理灾害危机不当而黯然下台,甚少因处理有功而被拔擢。
为何这门攸关公司生死存亡、主管升迁的管理课程,鲜少出现在主管养成教育?
原因很简单,危机消息止于自家大门之内。在家丑不得外扬的情况之下,企业讲师不教;在我国近六十年MBA教育的发展中,这类型的风险课程并非商学院的主流,学校也不教。
由于灾后复原为移动中的目标,阶段性目标随时空环境而调整。在有限的资讯与资源之下,主管很难在第一时间做出决定,连带会影响第一线部属的士气与进度。由于缺乏灾害处理的实务经验,临危受命的应变小组仅能从排山倒海的问题中被动因应。每个临危受命处理灾害的主管,就好像在高空上走钢索战战兢兢。
新管理思维
近年来,台湾一再发生「短延时强降雨」,也开始面对「限电」或「缺电」的可能性。Gartner(2014)强调,资安已经进入「预防无用论」时代。灾害冲击远大于你的预期,「防范未然」不再是唯一事前准备的处方。
然而,没有经历过灾害,很难体会灾害管理这堂课。以美国911事件为例,恐怖攻击造成纽约双子星大楼应声倒塌。瞒天盖地的金属尘爆席卷商业大楼数以万计的电脑。大楼停电造成资讯与联络中断,上千台受污染的电脑必须徒手背出灾区迅速复原。这段时间,所有的业务一片混乱、完全停摆。在大型灾害的案例中,灾害的类型不会是单一的,伴随而来的是复合型的影响。
那该如何以新思维分配风险管理的资源?
在规划风险管理资源时,我们习惯将「鸡蛋放在同一个篮子」。在技术思维之下,「规避」(Avoid)为常见的风险策略,就像是硬体採购。但,主事者往往忽略「减损」(Mitigate)或「移转」(Transfer)策略的可行性。在有限的资源之下,单一部门仅关心单一策略,无法照顾到风险管理之全貌。甚至我们听到客户说,她只是智慧制造的技术人员,「风险管理是老板的事」。
其实,最稀有的资源不是部门预算,而是领导者的注意力。面对一再刷新纪录的灾害,到底领导者该有何种新思维?
在协助全球知名半导体大厂教育训练中,一间最赚钱的厂最先导入「灾后复原计划」(Disaster Recovery Planning)。以往他们不乏灾后全损的例子,上亿元设备就这样报销。由于该设备金额在保险自付额以内,企业得自掏腰包,自行支付损失。这样的观念验证一个基本的观念:「营运越好,越不能出问题」。厂长强调:要将赚到的钱「安全」的放进口袋。
这验证了一句话:风险管理,人人有责。
IDC(2017)也特别强调:「它(资安)并非是IT 安全—此观点造成限制并将解决方案投射在疲于奔命的IT团队;相反的,它是企业风险—此观点涉及部门、高阶主管与董事会,并协助定义在这个流程中IT 所扮演的角色」。
因此,风险管理不单只是风险部门的工作。除了高阶主管,本书的沟通对象为厂长、资安长、财务保险、智慧制造、工安人、紧急应变小组、资安人或资讯人。此外,保险相关的从业人员也是本书关心的对象。
不为人知
这个实务领域并没有统一的语言。常见的为风险管理、灾害管理,或灾后重建。倘若以Goolge 查Disaster Recovery(灾后复原),发现大部分的讨论偏向于IT 软硬体。除了灾前的客户训练与计划,保险人同样关注灾后客户的抢救减损。
那么,到底该如何界定这一行?
根据我国最新的《行业标准分类》(2016),行政院将全台行业类别规划517 个细项。有趣的是,「复原」仅有「电脑灾害复原处理服务」(6209)与「历史遗址及建筑物之翻新及复原」等两个行业细项。
但是,「机械设备之实质改造、翻新、重制,视同制造活动」,依性质分别归入C 大类制造业25-29中类之适当业别。仅有产险有明确的类别,属于K大类「金融及保险业 6520 财产保险业。然而,与保险有关之公证服务仅被归类鱼6559 细类「其他保险辅助业」。由于《行业标准分类》统计我国行业主要的经济活动,因此灾后复原并未反映在真正的产值,足以说明这个行业的特殊属性。
依我个人的观察,国内投入24 / 7(一周七天,一天24 小时)灾后复原专业业者的数量凤毛鳞爪。甚者,拥有跨国复原公司经验,兼顾IT 与设备复原者,可能用手指就可以数的出来。即便扩大涵盖产险、保险经纪人与公证服务等相关专业,可达数百或上千位专家或顾问。然而,这个领域和客户签订保密协定,外界鲜少有人得知灾后复原的始末。
在社会大众的印象中,这个行业宛如戴上神秘的面纱,更难传达正确的抢救减损的观念。因此,等到危机来临时,第一线人员与主管忙着应付大小琐事,无暇冷静思考、分析与规划。
应用层次
许多消防演习重视灭火与救人,但该如何协助关键性的设备资产进行减损抢救?本书希望提供跨部门协同学习之参考依据。为了避免艰涩难懂的专有名词,本书以浅显易懂的角度解释常见的问题与观念,并辅以实际案例加以说明。
过去进入灾害现场的经验,驱使我蒐集整理国内外经典案例。为了让读者身历其境,本书整理隐身在新闻或书籍的小故事,如:美国曼恩崃谷(Mann Gulch)森林火灾(1949)、日本坂神大地震制鞋产业(1995)、美国NASA 火星气候轨道探测器事件(1998)、美国半导体厂J 晶片厂火灾(2000)、台湾知名R 网路书店水灾(2001)、美国911 事件上千名员工紧急疏散(2001)、台湾SARS 事件(2003)、美加大停电(2003)、台湾A 银行资安事件处理始末(2006-2008)、知名M 石油企业漏油事件(2010)、智利矿场事故(2010)、日本福岛核电厂海啸(2011)、台大竹东分院跳电处理始末(2013-2015)、美国知名L 零售业者骇客入侵(2013)、台湾PCB 业者火灾(2015)、台湾E 证券公司火灾(2015)、跨国玩具D 制造商被诈骗(2016)、英国O 航空公司电脑当机(2016-2017)、梅雨季超大豪雨(2017)、美国智慧制造H 工厂被骇客入侵(2017)等。
本书的应用涵盖四个层面:(1)无任何危机管理计画、规划或标准导入者、(2)已有计画、规划或标准导入者、(3)首次碰到灾害急需迅速复原者、(4)欲执行「认知」(Awareness)训练推广者。
针对(1),本书提供简易的参考指南,特别是中小企业;针对(2),本书协助检视自己不足之处,提供下一步的参考方向;针对(3),本书提供灾后复原所需的观念与经验;针对(4),本书补充相关的知识与经验缺口,提供训练课程所需的教材内容。
从广义的角度来看,灾害管理的研究涉及范围相当广泛。由于恐怖攻击或种族暴动较少在国内发生,并不属于本书讨论的范围。本书重点不在大家熟知的保安保全、人道救援、社区重建或心理重建,而是较少触及的组织管理层面。
本书的一小步
本书尝试从韧性、风险管理、营运持续(Business Continuity)与灾后复原(Disaster Recovery)等角度,跨界讨论工安(Safety)与资安(Security)的议题。
在许多企业中,「资安」与「工安」都是花钱的单位,分属于资讯与劳工安全卫生环保不同部门的业务范畴。然而,在风险管理的整体性考量之下,工安与资安皆为系统性的风险,但在公司日常业务下甚少交集。
这是本书的一小步。从风险的角度,希望可以建立「资安」与「工安」沟通的桥樑。Gartner(2015)在《2020 资安情境》(Cybersecurity Scenario 2020)强调将实体的「安全」纳入「资讯安全管理系统」(Information Security Management System,ISMS)的重要性。
因此,双领域结合的风险思维,不仅是现在的热门话题,在AI 或智慧机械人时代更具有前瞻性。除了工安与资安领域之外,本书整合其他领域的实务经验,以便在推动方案上具体可行。从组织管理角度,本书有助于灾前任务编组与灾后组织变动之参考;从专案管理角度,本书有助于灾前的持续营运规划与灾后复原方案之执行;从危机沟通角度,本书提供组织需面对横向与纵向的沟通问题;从教案设计角度,本书浓缩过去APEC 工作坊经验,提供给有志推动情境式教学者参考;从个案研究角度,本书可协助风险管理、工安或资安部门从他人案例中借镜,避免未来重蹈覆辙。
前瞻性思考
韧性不仅是国际政策的显学,更是组织迅速恢复营运的关键。至今,国内外客户将之列为稽核重点,甚至成为领先同业的竞争优势。这些都可以从本书的经典案例获得实务上的验证。
在变动的社会中,我们比以往接触更多的风险。不管是巨灾还是人祸,灾害是你猜不透的敌人。从个人到组织、从社交媒体到人工智慧,如何正向面对它呢?举例来说:
(1)福祸相倚是人生常规,企业经营也是如此。透过风险管理,以达个人风险缓冲之成效。幸福企业除了提供完整的员工福利,也要协助员工做好风险管理。
(2)现今通讯与媒体科技无时无刻吸引我们的注意力。一旦稍有不慎,可能就会增加自己曝险的机会。在注意力弱化与匮乏时候,个人与组织更要在平日加强因应风险的能力。
(3)在人工智慧(AI)或智慧机械人时代,许多大量、单一或重复性的工作已经被取代。目前它们无法取代人类在紧急的状况下做出决策。因此,现场人员必须具备紧急应变与灾害管理的能力。
在面对动态的全球性或在地化威胁,许多挑战仍有待跨界先进的交流与指导。我有幸在跨界学习中,从前辈、先进、同事与客户的学习交流中累积宝贵的经验。再多的言语无法表达我的感谢之意,那就以这本小书做为回馈的礼物。
请一同与我展开这趟奇幻的学习之旅。
图书试读
用户评价
相关图书
![2018年中小企业白皮书[附光碟] pdf epub mobi 电子书 下载](https://picttbooks.qciss.net/0010805237/main.jpg)
本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度,google,bing,sogou 等
© 2025 ttbooks.qciss.net All Rights Reserved. 小特书站 版权所有