安全是一種極易忽視的自然狀態,直到意識到危險或發生過意外,但是有些意外不等你意識到就會一次帶走所有東西,應該要避免它發生。
昨天經歷許多科技、智財、企業營運等專家的指導,收穫不少,其中智財專家對網路文章的建議讓筆者需要深思,也需要更保守一些,這篇文章就先當作設施保安防護系列文章的小結吧!把已經曝露的資訊下一個結論。後續若有文章也以科普資訊為主。
大部份的設施營運者(若是關鍵基礎設施,法規用詞是關鍵基礎設施提供者)都會覺得自己很安全,除非設施本身留有重金(例如銀行)或出入複雜需要管控(例如住戶多的公寓大樓)才會聘有保安人員,裝設保安系統與監控設備;重要的國家設施則會有武裝人員駐守。回到生活中,大概也只有家中曾被入侵或遭過小偷的人家才會想去安裝價格以千計甚至萬計的高級門鎖,如果家境一般不曾遭逢意外,往往只要有一二道普通門鎖就滿足需求了。要求身處安全環境中的人去思考不安全就如同夏蟲語冰。只是顯然環境是會改變的,其中也包含持續對安全的追求,當前病毒肆虐強制配戴口罩就是再明顯不過的例子,那設施呢?
一般單位若被問及安全防護計畫一定是千頭萬緒,因此行政院國土安全辦公室頒訂⌈關鍵基礎設施安全防護指導綱要⌋,邀請專家(傳送門在這裡)設計⌈關鍵基礎設施調查表⌋,成為大部份設施撰寫安全防護計畫的主要基礎和架構,筆者這一系列文章的代表圖片就是將相關重要元素加上筆者的觀點總結和補充說明,試著協助所有撰寫安全防護計畫的單位或承辦人員可以更為簡單扼要地寫出安全防護應有的核心資訊,畢竟我們都是站在巨人的肩膀上才有這樣的視野。(容筆者提及近期得知已逝的前台灣科技大學營造業職業災害防治中心的 林耀煌老師,讀者們應該也看得出林老師對筆者理解設施安全防護這件事的角度有重要的影響,其他當然也包含國土辦、原能會、消防署讓筆者累積經驗與研究成果,還有許多研究先進和伙伴!)
直接從文章代表圖摘要重點:
- 設施是配合組織運作的個體表象,安全防護計畫的終極目標:核心功能業務 正常運作!
- 核心功能業務的實際運作和呈現方式:必要資產和關鍵資源,資產是固定的;資源是流動的、可消耗的、可產出的。它們相互工作的排列組合完成核心功能業務。
- 不安全行為由人呈現,探討對象以人為單位,人是需要訓練的、會下班的、有可能請假的、總有一天離職的,外面的人和Insider更有可能對設施帶著惡意!
- 不安全狀態以情境為討論基礎,從災害討論起是很自然的,但要更進一步釐清不安全,為了說清楚不安全,設施管理者要試圖訂出風險門檻,結合降雨、淹水、地震等大數據就能推論不安全狀態的成因和機率,甚至每一個關鍵資源潛藏的風險。
- 針對每一個不安全說明風險處置(預防、減輕、轉嫁、承受)的狀況,至此會由各設施日常的工業標準、職業安全衛生、火災預防、警衛實務等的細部說明文件輔助呈現。
排除設施的內部組織資料不談,一份完整的安全防護計畫是有系統性地從第一項環環相扣逐步說明至最後一項,任何一環節省略都會形成盲點。以筆者曾接觸過的安全防護計畫中,最常見的問題是上述的每一環都分別散落在各章各表,缺少承先啟後的資訊,最終形成一種表象:⌈做了很多事情、訂出很多作業規範,所以很安全!?⌋ 但工作成果到底降低了哪一種不安全?與哪一項核心功能業務、必要資產、關鍵資源有關?千頭萬緒說不明白。二種很普遍的安全防護計畫的緒論開頭:(1) 氣候變遷嚴峻;(2) 恐怖攻擊頻傳,然後接著表列核心功能業務;表列必要資產;表列關鍵資源;選列防火管理應變與通報、職災預防與通報、保安(警衛)守則……..厚厚幾大冊。其實每一個單位有意無意間早就都為了設施的安全做出許多努力,只是說不清楚,不是嗎?
我們都犯了工程師普遍存在的一種細節狂錯誤,最後努力的成果見樹不見林。這件事筆者今年深有體會,在這裡也Cue一下新竹科學園區的輔導員 黃翊甄秘書和眾多竹科的學長們,因為這半年多花了極大量的時間修改創新創業簡報,題目當然是⌈關鍵基礎設施安全防護⌋,不諱言,最早剛開始,幾十頁豐富的簡報解釋了幾十分鐘仍有大部份人無法理解,到現在已經是十多頁的6分鐘簡報而且不用再過多解釋就能聽懂!所以筆者也想把這一系列文章暫時停在給讀者簡單扼要的建議做結。
一個前提:試著填完⌈關鍵基礎設施調查表⌋! 這一定有助於先搞清楚撰寫計畫時的重要元素!
安全防護計畫的主要內容可以很簡單,若起於因為意識到不安全,建議如下:(這適合第一次寫安全防護計畫的設施管理單位)
- 以氣候變遷嚴峻和恐怖攻擊頻傳為例,這二者究竟影響了設施哪一項核心功能業務?未來嚴峻到何種程度會影響?如何影響?
- 前述功能業務的影響反應在哪一個必要資產和關鍵資源?如何影響? (記得,核心功能業務、必要資產、關鍵資源都可能不只1個或1種排列組合)
- 什麼不安全的行為會是潛在威脅?哪一種不安全的狀態會造成這些影響? (千變萬化,建議由專家與設施一起討論)
- 做了哪些處置(防火、職災、保安)解除這些不安全? 或將這些不安全的影響核心功能業務正常運作的機率降至什麼程度? (若無依據就不討論衝擊評估)
- (既有的作業標準、防火管理應變與通報、職災預防與通報、保安守則 都列入附件,都是基本文件,不應該是主文內容!)
第一次寫安全防護計畫,說明當前運作的規範和標準文件當然重要,但更重要的是現在這個設施(的核心功能業務)倒底安全不安全?什麼狀況下仍是安全?很多設施歷經921等地震和每年多場颱風仍然正常運作無虞不是嗎? 恐怖攻擊和保安系統則比較複雜,建議由相關經驗的專家協助。
若是已經有安全防護計畫的單位,基本安全防護措施應有一定水準,重點在於找出並改善弱環,建議如下:(適合強化績效評估與說明強化設施安全防護的作為)
- 核心功能業務的不安全樣態包含哪些情境?
- 這些情境由哪些必要資產和關鍵資源組成?
- 這些情境中,弱環(最糟糕的情境)由哪些不安全行為與不安全狀態所組成?
- 現行作業標準、防火管理應變與通報、職災預防與通報、保安守則進行了哪些調整改善這個弱環? 改善了多少?
- (前一版的安全防護計畫和其他文件仍是附加文件)
⌈關鍵基礎設施安全防護指導綱要⌋的任務中,衡量成效是目前看過的安全防護計畫中最有發展空間的一部份,為何?除了具象的演習之外,其他部份都已經被一堆文字描述、亂無章法的文件淹沒了,不是嗎?難道能以⌈非常嚴重⌋下降到⌈不嚴重⌋;或是機率⌈非常高⌋下降到⌈非常低⌋來表示嗎?
借用台灣半導體之父 張忠謀的話 :無法量化就無法管理。
自我行銷
簡單來說,國家安全從基礎做起,筆者現正參與國科會與科政中心主導的CIOTxFITI創新創業計畫,組成團隊針對設施(⌈關鍵基礎設施安全防護指導綱要⌋中定義的⌈設施層級⌋)提供與安全防護有關的各項服務,無論設施是否已經撰寫過安全防護計畫,服務團隊都將結合大數據,用量化、可視化的方式呈現大部份安全防護計畫中需要的重要資訊,協助撰寫或調整安全防護計畫;日常營運面,結合系統蒐集與設施有關大數據的即時資訊,協助設施進行內外部的即時風險通報與告警;保安實務面,結合設施保安與安全防護相關的專家,提供必要的教育訓練與桌上演練。
與過去不同的是,各種大數據是數位時代最大的資產,過去說不清道不明的風險,藉由大數據與AI來描述與推論;需要專業的部份,由經驗豐富的專家團隊指導與訓練,與設施共同檢討並改善安全防護上的弱環;透過量化數據與演習成果,提供設施各層面安全防護的建議。當然,服務團隊已經具備完整的方法,此處基於智財考量點到為止。
大家都理解多數設施在大部份狀況下其實是安全的,只是缺乏具體表達的方式和專業角度的判斷與建議!就讓專業團隊來協助各位吧!
主要聯繫方式:CIPService@nbhic.com
文章內容歡迎轉載,請註明出處及作者,謝謝!!
