核心功能業務、關鍵資源、必要資產是設施營運狀態最低程度的通用表達形式,進而衍生成為各種設施運作時千變萬化的形態。
關鍵基礎設施安全防護(Critical Infrastructure Protection)是美國自911事件後重點發展的領域,我國行政院也正在積極發展與進一步立法。關鍵基礎設施(Critical Infrastructure, CI)向下拆分則是核心功能業務(Core Functionality)、關鍵資源(Key Resource)、必要資產(Essential Asset)等三大元素,這些名詞是國際文獻中通用的定義,但文獻中名詞釋義的方式則或多或少有些不同,為了便於讀者統一認知,以下定義並說明設施實體風險組成結構的呈現方式:(此處僅以個別設施的觀點加以定義,CI或設施定義涉及高層級的範圍或系統性質則不在此定義範圍,請參考傳送門)
- 核心功能業務
- 設施存在的先決條件,亦即設施就是為了提供核心功能業務而存在,例如國家為了提供電力而有發電廠、變電站、電塔,為了提供電信業務而建立機房、基地台和電信機構;企業為了生產而建立工廠,提供服務據點等。
- 一個設施可能存在多個核心功能業務,超出設施存在先決條件的業務是否為核心功能業務通常由上級機關或企業高層決定。
- 具備實體的設施其核心功能業務由資源與資產結合之營運機制所達成。
- 關鍵資源為當實體設施運作中資源中斷或數量不足時會導致核心功能業務無法正常運作或完成的資源,即關鍵資源是設施運作過程中必須消耗的物質、能量或經使用後就失去原本功能的資源。
- 必要資產為當其停止運作或有缺損時就會導致核心功能業務無法正常運作或完成的資產,必要資產是支持實體設施運作並完成核心功能業務的物件、設備或不具備自行運作能力的機制。
以上詞彙無論是核心、關鍵、必要等用語,本質上都是為了表達其重要性,一般來說,設施或企業在分析風險時都可以列出核心功能業務、關鍵資源、必要資產的清單,主要突顯清單所列者從機率或衝擊;或前二者的衡量結果;或其他考量如韌性等必須控管,往往也有專職或專責人員負責它們的正常運作與資源提供,但是並不代表設施中只有這些功能業務、資源、資產,也有可能在特定情境下,原本不重要的資源、資產變成關鍵資源和必要資產,成為必須管控的要素。
在數值分析上,核心功能業務、關鍵資源、必要資產的組成符合事件樹或失誤樹的結構,因此也可以用下面的圖示表達三者之間的關係,而發生不安全狀態的原因則是基於實體存在的環境因素或人為因素。實務操作時則會以更複雜的結構組成表達,因此大部份情境不利於人工計算,必須要利用(高速)電腦進行環境數據蒐集與機率運算。
還未真正進行實體風險評估之前所列的核心功能業務、關鍵資源、必要資產清單,只滿足實體風險評估初步的要求,即設施管理單位或企業自己的主觀認知所想定的情境或風險門檻,並不代表有能力掌握真實風險(請參考傳送門),因此無論是學理上的風險管理與法規面的要求都建議必須建立Plan-Do-Check-Action的改善作為,找出真實風險的大略位置與組成形態,或強化安全防護績效以降低風險的發生。
定義情境與掌握真實風險是重要的,例如我們知道陽光、空氣、水是生命的三要素,但是人可以數個月不見光、數天或數星期不喝水也能存活,因此如果人類面臨的風險只是缺乏陽光和水的情境並不立即致命,可能仍有足夠的時間和資源用來緩解和處置風險,但是只要數分鐘失去空氣就會死亡,因此排除這樣的情境與備足充分的空氣則又更為重要。總體來說,空氣的重要性與優先權都高於陽光和水,但是如果情境或弱環改變了,則又是新的挑戰,例如人類可以透過氧氣瓶或供氣設備進入水下或真空環境,在水底或太空中工作數個月乃至於數年,但是伴隨而來的可能又是其他衍生風險或不同情境。
無論情境如何,找出設施內部的弱環並試圖掌控真實風險,實際上是增加設施整體的風險耐受度,直到風險可以被接受為止,企業則有機會採取轉嫁的處置方式。
由於設施組成的形式千變萬化,考量範例的通用性與普遍性,以下舉一個製造業的工廠設施為例,核心功能業務是生產特定產品(假設產品只有1種,即核心功能業務只有一種),過程中需要制式生產設備、原物料、電力、和固定數量的操作員:
- 再次強調,工廠設施為了生產產品具體存在而伴隨實體風險,實體風險並非發生在設施本身,而是其營運所需的核心功能業務、關鍵資源、必要資產。以目前所見已公開TCFD報告的泛用情境為例,工廠設施因為地理位置可能存在大豪雨、淹水、地震導致中斷營運的風險,實務上的形式可能是:
- 生產線必須生產一定的產品數量,否則有違約罰款的風險 (核心功能業務)
- 產品儲存在工廠內部的倉庫,存在因受潮導致品質不良的風險 (核心功能業務具有實體)
- 工廠基於生產線屬於重型設備,生產環境存在建築物結構設計不足的風險 (必要資產)
- 生產線屬於精密製造,存在微小震動造成中斷甚至需要校正設備才能重新運作的風險 (必要資產)
- 生產線需要操作員,人員能否正常上下班和維持必要數量存在人員流通的風險 (關鍵資源)
- 生產線控制系統,
存在駭客入侵的風險 (駭客/資訊安全)(非關實體風險)伺服器機房存在斷電和當機風險 (必要資產) - 生產線必須在廠房的獨立空間才能生產,存在被外人入侵破壞或竊盜的風險 (惡意入侵/保安)
- 需要供應鏈上游提供原物料,存在供應鏈斷鏈或原物料短缺的風險 (關鍵資源)
- 需要電力,存在電力中斷的風險 (關鍵資源)
- 上述例子中,再依據安全防護措施(風險處置)的3種類別(請參考傳送門)進一步舉例如下:
- 保守措施:建築物結構在設計時,採取較高的荷重參數決定更為安全的樑、柱尺寸及高強度混凝土,以高荷重考量與耐震考量設計高強度結構並興建,藉此最小化設施無法正常運作的機率。
- 消極措施:生產線停機造成生產力下降,無法依量交付須支付違約罰金,若屬於可接受範圍,儘早修復即可。
- 積極措施:
- 人員上下班可能受到大豪雨、淹水、地震等因素造成難以通勤或交通路線中斷,必須留意氣象預報或災情通報,包含每小時降雨量、鄰近低窪地的水位高度、地震警報與中央災害應變中心的災情通報等,視情況調度人力或安排工廠內的員工宿舍就地安置,以維持設施正常運作。
- 產品儲存因受潮導致品質不良,倉庫加裝溼度計與淹水感應器,隨時監控數據,必要時搬離。
- 電力供應中斷,常見的風險處置措施以購置UPS備援,若考量長時間電力中斷則購買柴油發電機。
- 量化情境分析與Plan-Do-Check-Action循環部份,如果設施營運中斷肇因於人員通勤經常受到影響,初始想像情境可以依據中央氣象局的大豪雨為標準(24 小時累積雨量達350 毫米以上,或3 小時累積雨量達200 毫米以上)執行安全防護計畫與人力調度;執行幾個Plan-Do-Check-Action循環後,若工廠的重要聯外道路曾經因為大雨(大雨 24 小時累積雨量達80 毫米以上,或時雨量達40 毫米以上)就已經造成道路中斷,則風險門檻可以修改至大雨為標準;或進一步採取更嚴格的標準,參考鄰近IOT雨量站的資訊自訂風險門檻值、即時觀測與預警。反之若過於保守的風險門檻造成頻繁誤報、不必要的應變等,則可修改至較寛鬆的累積時雨量值,反覆驗證真實風險。其他異常氣候現象諸如淹水與地震也可能造成道路中斷影響通勤,則個別調整風險門檻與驗證真實風險。
- 每一個重要元素及其相關的重要外部因素後完成的失效分析以機率表示。(考量不同情境與弱環性質,可能有多種機率表達方式)
- 綜上考量每一個重要元素的失效機率,評估設施整體的失效模式和無法正常營運的總體機率。(考量不同情境與弱環性質,可能有多種機率表達方式)
- 在次一Plan-Do-Check-Action循環中修訂安全防護計畫時,挑選屬於弱環的重要元素調整風險門檻和安全防護措施,弱環改善也將反應在設施整體真實風險的改善。
以上範例因為具體的設施性質和環境風險仍不夠精準,無法進一步以量化方式說明,僅供讀者參考用,切勿直接引用至具體的設施,以免誤解或導致錯誤的實體風險評估結果與安全防護決策。
若有疑問或需求可洽詢CIPService@nbhic.com。
文章內容歡迎轉載,請註明出處及作者,謝謝!!