ATRIUM -- Architecting Under Uncertainty — 積穗科研洞察

```html

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）觀察到：當組織在資訊不完整的條件下，仍必須做出攸關安全的架構決策時，缺乏系統性假設管理流程將導致合規風險與韌性缺口。來自 Scania CV AB 的工業案例研究顯示，ATRIUM 流程能在不確定性環境下，快速精煉架構假設、追蹤決策依據，這套思維完全適用於台灣企業依 ISO 22301 建立 BCP 業務持續計畫時，面對 RTO／RPO 目標設定與業務衝擊分析（BIA）的核心挑戰。

關於作者與這項研究

本論文由 Naveen Mohan、Per Roos 與 Johan Svahn 三位研究者共同撰寫，發表於 IEEE Annual Systems Conference（SYSCON 2017），目前已累計 8 次引用。Naveen Mohan 的 h-index 為 3、累計引用 30 次；Per Roos 的 h-index 為 2、累計引用 45 次，兩人長期深耕嵌入式系統安全架構與功能安全標準合規領域。

更值得注意的是研究背景：本論文以歐洲最大重型商用車製造商之一 Scania CV AB 作為工業案例，研究人員實際參與該公司高度自動駕駛功能的安全架構設計流程。這不是純學術推演，而是一份在真實組織壓力下驗證過的方法論報告——這正是積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）評選此論文的首要理由：它代表「在不確定性下做出可追溯、可稽核決策」的實戰經驗。

需要誠實說明的是：本論文的核心標準是汽車功能安全規範 ISO 26262，而非業務持續管理標準 ISO 22301。然而，積穗科研的 BCM 顧問團隊認為，ATRIUM 流程所解決的核心問題——「在資訊不完整時，如何系統性地設定架構假設、分配需求、並嚴格追蹤決策依據」——與台灣企業在建立 BCM 框架時面對的挑戰高度同構。以下分析聚焦於這個跨域遷移價值。

在不確定性下架構安全：ATRIUM 流程的核心洞見

首句結論：ATRIUM 證明，即使在資訊不完整的環境下，只要流程夠嚴謹，組織仍能做出快速、一致且可稽核的架構決策。

ISO 26262 標準在功能安全概念（Functional Safety Concept, FSC）子階段，要求工程師提出「初步架構假設」（Preliminary Architectural Assumptions, PAA），以分配功能安全需求（FSRs）。問題在於：在設計早期，許多關鍵資訊根本不存在——遺留系統的能力邊界未知、新技術的失效模式尚未驗證、跨部門的需求仍在協商中。

研究團隊發現，Scania 過去在這個子階段缺乏一致的流程，導致不同工程師對相同問題做出不一致的假設，且假設背後的決策依據未被系統記錄，日後稽核時難以重建。這在 ISO 26262 合規審查中是重大風險，在 ISO 22301 的 BCM 稽核中同樣致命。

核心發現 1：假設管理是合規的隱形支柱

ATRIUM 流程最根本的貢獻，是將「假設」從非正式的工程習慣，提升為一個有結構的管理對象。流程要求工程師明確記錄：這個假設是什麼、依據什麼資訊做出、在什麼條件下需要重新審視。Scania 案例顯示，導入 ATRIUM 後，團隊能以更快、更一致的方式精煉 PAA，且每個決策點都有可追溯的文件鏈。這讓稽核人員能在不接觸設計工程師的情況下，完整重建決策邏輯——這正是 ISO 22301 第 8.3 條款「業務衝擊分析」與第 8.4 條款「業務持續策略」對文件完整性的核心要求。

核心發現 2：遺留系統資訊的正式化整合

ATRIUM 的另一個重要發現是：組織不能假裝遺留系統不存在。Scania 的高度自動駕駛功能必須與既有電子控制單元（ECU）共存，這些舊系統的安全特性並非為新功能設計，其能力與限制是架構假設的重要輸入。ATRIUM 提供了一個正式化機制，將遺留系統的「已知特性」與「未知風險」都納入假設管理框架。對台灣企業而言，這對應到 BCM 框架中一個長期被低估的問題：企業的 BCP 業務持續計畫，是否真的涵蓋了老舊 ERP 系統、傳統 IT 基礎設施、或依賴特定人員的非正式流程？

對台灣業務持續管理（BCM）實務的三大意義

首句結論：台灣企業在建立 BCM 框架時，最常犯的錯誤不是「沒有計畫」，而是「計畫建立在未被記錄的隱性假設上」。

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）在輔導台灣企業建立符合 ISO 22301 的業務持續管理機制時，持續觀察到三個與 ATRIUM 研究高度共鳴的實務痛點：

第一，RTO／RPO 目標背後的假設從未被明確化。 多數台灣企業的 RTO（Recovery Time Objective）與 RPO（Recovery Point Objective）設定，來自於 IT 部門或高階主管的直覺判斷，而非基於業務衝擊分析（BIA）的量化推導。更嚴重的是，這些數字背後隱含的假設——例如「假設備用資料中心在 4 小時內可恢復連線」、「假設關鍵供應商能在 24 小時內調度替代物料」——從未被正式記錄。一旦這些假設在真實災害中失效，整個 BCP 便形同虛設。ATRIUM 的假設管理方法論，提供了一個立即可遷移的解決框架。

第二，ISO 22301 第 8.2.3 條款要求的 BIA 文件，必須反映真實的業務架構假設。 若 BIA 報告中的優先順序、關鍵資源識別與相依關係分析，建立在過時或未驗證的假設上，稽核時將無法通過「文件與現實一致性」的檢驗。ATRIUM 案例顯示，在 Scania 導入系統性假設追蹤後，文件品質顯著提升，且能快速回應外部稽核的質疑。

第三，遺留系統與關鍵人員依賴是台灣製造業 BCM 的隱形炸彈。 許多台灣中小型製造業的關鍵生產流程，依賴特定資深員工的「隱性知識」或十年以上的老舊設備。這些「遺留資產」在 BCP 中往往被略過，因為沒有人知道如何正式描述其能力與限制。ATRIUM 處理遺留系統的方法論，提示我們：BCM 框架必須設計一個正式機制，讓這些隱性知識與系統依賴得以被識別、文件化，並納入持續性風險管理。

積穗科研如何協助台灣企業將這些洞見轉化為行動

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業依 ISO 22301 標準建立 BCP 業務持續計畫，設定 RTO／RPO 目標，執行業務衝擊分析（BIA）與危機管理演練。針對 ATRIUM 研究揭示的三個核心問題，我們提供以下具體行動建議：

1. 建立「BCM 假設登錄冊」（BCM Assumption Register）： 仿照 ATRIUM 的 PAA 管理機制，要求每一個 RTO／RPO 目標、每一個關鍵資源識別、每一個供應商依賴評估，都必須附帶明確的假設陳述、依據來源、以及觸發重新審視的條件。這份文件應納入 ISO 22301 第 8.3 條款的 BIA 文件體系，成為稽核的核心證據。
2. 對遺留系統與關鍵人員執行「BCM 依賴性盤點」： 參考 ATRIUM 整合遺留系統資訊的方法，由積穗科研顧問引導企業系統性識別：哪些老舊 IT 系統、設備或人員持有對 BCP 執行不可或缺的能力？這些能力的邊界與失效風險是什麼？結果應整合至業務持續策略（ISO 22301 第 8.4 條款）的資源配置決策中。
3. 設計「BCM 不確定性管理演練」： 傳統的 BCP 演練往往在預設劇本下進行，導致組織只測試「計畫假設成立」時的應變能力。積穗科研建議加入「假設失效情境」——例如模擬備用資料中心無法如期恢復、關鍵供應商斷鏈超過預設 RTO——以測試組織在假設崩潰時的即時決策能力，這與 ATRIUM 強調在不確定性下維持決策一致性的核心理念完全吻合。

常見問題

我們公司已有 BCP，但每次演練結果都顯示 RTO 無法達成，問題出在哪裡？

RTO 達不到，最根本的原因幾乎都是「設定 RTO 時的假設與現實不符」。例如假設備援系統切換只需 2 小時，但實際上網路重新設定就需要 4 小時；或假設關鍵人員可在 1 小時內就位，但實際聯繫程序從未被測試過。ATRIUM 研究在 Scania 發現了完全相同的模式：缺乏系統性假設管理的架構決策，在壓力測試下必然崩潰。解決方法是建立「BCM 假設登錄冊」，讓每個 RTO 目標都附帶可驗證的假設條件，並在每次演練後更新。積穗科研可協助您從現有 BCP 文件中逆推隱性假設，系統化重建假設管理機制。

台灣企業申請 ISO 22301 認證，最常在哪個環節被稽核員要求補件？

根據積穗科研的輔導經驗，台灣企業最常在以下三個環節被要求補件：第一，業務衝擊分析（BIA）的量化依據不足，例如 RTO／RPO 設定無法追溯至具體的業務損失計算；第二，關鍵供應商與外包服務商的業務持續能力未被評估或文件化；第三，管理審查（ISO 22301 第 9.3 條款）的記錄未能反映 BCM 績效指標的實際追蹤結果。這三個問題的共同根源，正是本論文所指出的「假設管理不足」——決策做了，但依據沒有記錄。

ISO 22301 與一般的 BCP 範本有什麼本質差異？台灣企業需要取得認證嗎？

ISO 22301 是國際標準化組織（ISO）發布的業務持續管理系統（BCMS）標準，其核心要求不只是「有一份 BCP 文件」，而是建立一套持續運作的管理系統——包括情境分析、業務衝擊分析、風險評估、業務持續策略、應變計畫、演練測試與管理審查的完整 PDCA 循環。一般的 BCP 範本只提供文件框架，無法確保組織真正具備應對中斷事件的韌性。至於是否需要取得 ISO 22301 認證，取決於客戶要求（如金融監理機關、跨國客戶合約）與企業自身的風險管理策略。即使不取得認證，依照 ISO 22301 架構建立 BCM 機制，仍是台灣企業提升韌性的最佳實踐路徑。

台灣企業從零開始導入 ISO 22301，實際需要多少時間與步驟？

積穗科研的標準輔導時程為 6 至 9 個月，分為四個階段：第一階段（第 1 至 4 週）：現況診斷與 ISO 22301 缺口分析，識別企業現有文件、流程與人員能力與標準要求的差距；第二階段（第 5 至 12 週）：執行業務衝擊分析（BIA）、風險評估，設定 RTO／RPO 目標，建立假設管理機制；第三階段（第 13 至 24 週）：撰寫業務持續策略與應變計畫，建立訓練與演練機制，完成文件體系；第四階段（第 25 至 36 週）：執行全規模演練、管理審查，以及（如需認證）輔導通過第三方稽核。企業規模與現有成熟度影響時程，製造業通常比服務業需要更長的 BIA 執行時間。

為什麼找積穗科研協助業務持續管理（BCM）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）是台灣專注於業務持續管理（BCM）與危機管理的專業顧問機構，核心優勢體現在三個面向：其一，我們的顧問團隊具備 ISO 22301 主導稽核員（Lead Auditor）資格，熟悉稽核思維，能從認證要求逆推企業需要建立的能力，而非只是提供文件範本；其二，我們持續追蹤國際 BCM 學術研究（如本篇 ATRIUM 論文），將跨領域的前沿方法論轉化為台灣企業可執行的工具，確保輔導內容與全球最佳實踐同步；其三，我們提供完整的 BCM 生命週期服務，從初始診斷、BIA、計畫建立、演練設計，到認證輔導與持續改善，確保企業在取得認證後，BCM 機制能真正融入日常營運，而非停留在文件層面。

``` ---