相對於實體,關鍵基礎設施是一個空泛的名詞,因為它是以達成功能性目標的前提下所進行的定義,當它所涉及的目標愈趨於宏大,則關鍵基礎設施的定義愈趨於模糊,因此找到一個相對明確的判斷標準是非常重要的,否則你很難理解別人口中的關鍵基礎設施指得究竟是什麼。
前一篇請參考(傳送門)。
關鍵基礎設施是由法規定義的,只是筆者從事量化分析,在極早期接觸關鍵基礎設施議題並涉獵大量文獻時,發現議題非常發散,不同方法解決不同形式的問題雖然是常態,但最難跨越的門檻是定義,只要文章中或談論中所指的關鍵基礎設施不夠明確,筆者就從難進一步理解或回應,因此在第一年的量化分析方法的建議就已經提及關鍵基礎設施層級的觀念,但是討論的人非常少,似乎套用泛用性的風險管理框架(那時是CARVER 2與風險評估矩陣)更為重要,雖然筆者基於管理學也能理解總體理論就是依照重要性優先重點管理,但是總體理論套用到個體時就會變得非常不倫不類,要說錯也不盡然,但是真的會非常空泛,容易流於表面而難以進一步討論。
為此,筆者在此還是用一種相對容易理解且自上而下的脈絡略加呈現,以便進一步說明。
- 從國家的角度,關鍵基礎設施應該包含能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關及高科技園區等八大領域。
- 從部會的角度,關鍵基礎設施可能是電力系統、通信網絡、國道/省道、醫療體系、金融體系、資訊安全等各部會執掌國家所需的體系。
- 從系統營運商(法規定義也可能是關鍵基礎設施提供者)的角度,核能一廠、基地台密度、中沙大橋、台大醫院、中央銀行、資料中心等擔負重要功能或關鍵資源的設施是關鍵基礎設施。
- 從一般企業的角度(法規定義也可能是關鍵基礎設施提供者)的角度,廠房、生產設備、關鍵原物料取得、人力資源、行銷通路、供應鏈體系等是關鍵基礎設施。
- 從特定實體設施的角度,則至少必須定義核心功能業務、關鍵資源、必要資產。
- 從可能是關鍵資源或必要資產的個人角度,錢、房子、車子、專業能力、健康等可能是必要的個人資產或能力。
上面由上而下所舉的六種關鍵基礎設施其實可以再分為三大類:系統、(實體)設施、(實體)設施所屬的重要元件。(此處分類為筆者自行定義,不是法規用詞)
- 系統是跨越實體和地域的一種關鍵基礎設施呈現方式,它主要反映在國家和部會層級,因此主要以功能性的描述方式呈現(能源-電力;通訊傳播-通信網絡;交通-國道 等等),所強調者為功能上缺失所造成的影響,就風險管理的重要性來說衝擊評估是首要,機率雖然也重要,但是系統往往涵蓋面廣且內部結構複雜,因此不容易具體評估機率,更多是在討論系統之間、系統內部設施的相依性或關聯性。從名詞定義上與進行風險量化評估的立場而言,筆者也比較傾向稱2個以上設施組合成的關鍵基礎設施為系統。
- 設施是在具體(地理)條件和狀態下存在的個體,它同樣必須提供功能,這個功能通常是前述系統的全部、一部份、備援、提供關鍵資源的功能,但是達成功能的結構與範圍相對明確,就風險管理的重要性來說機率評估是首要,因為無論從權責和能力的角度,衝擊評估往往是個體鞭長莫及的部份。
- 設施所屬的重要元件依據國外文獻與國內法規的定義所指的就是核心功能業務、關鍵資源、必要資產,這些重要元件組合成為前述設施達成功能的結構,但它的呈現方式極為多元,因此必須針對個別設施進行定義,不過定義和框架是通用的。視需要也可以再進一步向下拆解(只是大部份情況意義不大),以設施內部重要的⌈人⌋為例,文獻定義較不統一,有些文獻認為人是必要資產,有些則認為人是關鍵資源(考量人力資源流動和上下班),端看設施性質,非常重要的關鍵基礎設施也會針對人員進行適職調查和管制。 (((((( 如果人的功能被AI取代了,就會是必要資產無疑了 XD
實體是另一個相對重要的概念,因此當筆者接觸到TCFD的實體風險概念時,更認為應該用來與關鍵基礎設施安全防護相佐證與結合,將會形成一個非常明確的議題輪廓,參與這個議題的利害相關者也更能聚焦與討論。
實務上以此延伸的問題就是在風險處置上的爭議,風險管理的精髓在於衝擊與機率 並陳才能一窺風險的全貌,但是在關鍵基礎設施的議題上,系統、設施、設施所屬的重要元件這三類在分析上各有各的特性與難處,公部門與一般企業的特性又有所不同,但是讀者能逐步理解必然有助於實務工作的推動與溝通。
文章內容歡迎轉載,請註明出處及作者,謝謝!!
