什麼是 BCM?為什麼企業需要 ISO 22301?
適用對象
- ✓供應鏈跨國/多階段、對中斷高度敏感的製造業
- ✓金融機構、醫療機構、IT 關鍵基礎設施提供者
- ✓面臨地緣政治風險、氣候變遷衝擊的企業
- ✓準備 ISO 22301 業務持續管理認證的企業
做好與沒做好的差距
✅ 做好了
921 地震、COVID 斷鏈、日本大地震——有 ISO 22301 認證的台灣廠商在供應中斷時快速恢復,搶到競爭對手流失的歐美客戶轉單。有做好 BCM 的企業,危機就是搶市占的機會。
❌ 沒做好
沒有 BCP 的企業,發生斷鏈時停工超過兩週,歐美客戶啟動備援供應商。短期內幾乎不可能挽回訂單,危機反而加速客戶流失。
✅ 做好了
進入歐美日供應鏈的台灣廠商,主要客戶要求供應商提供 BCM 認證或 BCP 文件。有認證者直接進入核心供應商名單,訂單更穩定、議價能力更強。
❌ 沒做好
沒有 BCM 文件的供應商,在客戶年度稽核時被列為「單點故障風險」,降級為備用供應商或直接被替換,多年建立的關係一夕瓦解。
✅ 做好了
建立完整 RTO/RPO 機制的企業,在金融監理、上市審查中展示韌性能力,獲得更低保費、更高信用評等,資本成本下降。
❌ 沒做好
只有 BCM 文件沒有演練的企業,真實危機發生時計畫形同廢紙,人員不知道該做什麼,損失遠超過預期。花錢做了合規,卻沒有保護。
常見問題:框架選擇與實作策略
常見誤解:把 BCP 當成 BCM
寫了一份「業務持續計畫」就以為完成 BCM,沒有識別每個風險情境的連鎖影響,更沒有針對各情境展開可執行的 DRP,危機發生時一片混亂。
正確的三層架構
BCM 是整體框架,識別所有營運風險情境 → 每個風險情境展開一份 BCP(業務持續計畫)→ 每份 BCP 拆出多個 DRP(IT/廠務/人員/物流各自的具體復原計畫)。三層缺一不可。
常見現況
花三個月寫了 200 頁 BCP,放進資料夾後再也沒有碰過。發生危機時,沒有人知道計畫在哪裡,更不知道怎麼執行,損失遠超過有演練的企業。
積穗的做法
建立計畫後立即安排桌上演練(Tabletop Exercise),每年執行一次全規模演練,確保每份 BCP 和 DRP 可執行,每位關鍵人員知道自己的職責。
服務流程(四步驟)
業務衝擊分析(BIA)
識別核心業務流程,評估中斷後的財務損失與最大可容忍停機時間(MTPD),確定優先恢復順序。
風險評估與情境規劃
識別主要威脅(自然災害、網路攻擊、供應鏈中斷等),為每種情境制定應對策略。
計畫制定與文件化
制定業務持續計畫(BCP)、災難復原計畫(DRP)、危機溝通程序,完成完整文件體系。
演練測試與認證準備
規劃桌上型演練和模擬演習,找出計畫漏洞,持續優化並協助通過 ISO 22301 認證。
常見問題
積穗科研與一般顧問公司有什麼不同?▼
積穗科研股份有限公司(Winners Consulting Services Co., Ltd.)與一般顧問最大的差異是「實戰派、跨專業」:同時具備流程優化、法律遵循與資安技術三種專業,案件由副總級以上顧問親自執行而非轉包,從制度設計、法遵對應到技術落地由同一團隊完成,全程陪伴至取證。積穗提供與四大會計師事務所同級的品質、更貼近企業實戰需求的跨部門整合綜效,以及較四大更具競爭力的價格,適合真正想提升企業體質、開創新藍湖的企業。
BCM 和 DRP 有什麼差別?▼
BCM(業務持續管理)是整體管理框架,涵蓋人員、流程、技術,確保在危機中維持業務運作;DRP(災難復原計畫)是其中專注於 IT 系統恢復的子計畫。BCM 包含 DRP,但範圍更廣。
BCP 演練應該多久做一次?▼
一般建議至少每年進行一次完整演練,重大變更後(如合併、核心系統升級、搬遷)應增加額外演練。積穗科研幫助您設計適合規模的演練計畫,不造成過度負擔。
我們是中小企業,BCM 是否必要?▼
對中小企業而言,單次重大中斷事件(如工廠失火、供應商倒閉)的損失可能是致命的。BCM 幫助您提前識別脆弱點,訂立最低成本的應對措施,讓企業有能力撐過危機。
供應鏈 BCM 如何評估外部供應商的風險?▼
建議從關鍵供應商開始,要求其提供 BCM 計畫摘要與 RTO/RPO 承諾。同時建立替代供應商評估清單,定期演練「主供應商失能」情境,確保關鍵零組件供應不中斷。積穗科研可協助設計完整的供應鏈韌性評估框架。
2021 年 Colonial Pipeline 勒索軟體事件對 BCM 有什麼啟示?▼
2021 年 5 月 Colonial Pipeline 因 DarkSide 勒索軟體攻擊被迫關閉美東主要輸油管 6 天,引發 17 州能源緊急狀態,最終支付 440 萬美元贖金。事件揭示 BCM 必須將「網路勒索」獨立列為高衝擊風險、預先設計 RTO 復原時間目標與 RPO 復原點目標、製作「付贖金 vs 重建系統」決策樹。積穗科研以 ISO 22301 框架建立勒索軟體 BCP 專章,含 IT-DRP、危機溝通 SOP、與執法單位協作流程。
TSMC 2018 年 WannaCry 事件如何用 BCM 觀點分析?▼
2018 年 8 月台積電產線遭 WannaCry 變種病毒感染,3 座 12 吋廠生產停擺,財務影響達新台幣 52 億元。事件凸顯 BCM 必須涵蓋:① 機台網路隔離 SOP(OT vs IT 分離)② 病毒爆發後復原優先順序(依產品交期決定)③ 客戶溝通 SOP(如何向蘋果、輝達等大客戶通報)。積穗科研以 ISO 22301 × IEC 62443 雙標準整合,協助製造業建立可演練、可量化的 BCM 制度。
2017 年 NotPetya 攻擊讓 Maersk 損失 3 億美元,台灣企業如何避免?▼
2017 年 6 月丹麥航運巨頭 Maersk 因 NotPetya 病毒感染,全球 600 個 IT 系統癱瘓,被迫在 10 天內重建 4,000 台伺服器與 45,000 台 PC,損失約 3 億美元。事件揭示「全 IT 系統重建」必須是 BCM 演練的常態情境(不只是局部復原)。積穗科研以 ISO 22301 框架設計「最壞情境」演練(worst-case scenario drill),包含異地備份、雲端 IaC 重建、人員應變動員,確保企業在 IT 系統全毀時仍能於 72 小時內恢復核心業務。
台灣個資法 2023 修正後企業外洩通報義務有何變化?BCM 中的「外洩通報」如何做?▼
台灣個資法 2023 年 5 月修正後,外洩通報義務從「應通知當事人」升級為「應通報主管機關 + 通知當事人」,且行政罰鍰上限從 20 萬提高至 1,500 萬元。BCM 中的外洩通報 SOP 必須包含:① 72 小時計時起點認定 ② 主管機關通報文件範本 ③ 當事人通知信件分級(依風險程度) ④ 媒體與投資人關係處理。積穗科研提供完整的個資外洩 BCM 模組,涵蓋 ISO 22301 × ISO 27701 雙標準要求。
立即諮詢此服務
ISO 22301 業務持續認證輔導 — BCP × DRP 三層架構導入
申請免費機制診斷