分類
CISM

受保護的內容: Working Toward a Managed,Mature Business Continuity Plan

這篇內容受到密碼保護。如需檢視內容,請於下方欄位輸入密碼:

分類
CISM

直連式儲存

直連式儲存(簡寫:DAS,英語:Direct-Attached Storage),是指直接和電腦相連接的資料儲存方式,與依賴於電腦網路連接記憶體的儲存區域網路(SAN)和網路附加儲存(NAS)相對的儲存方式,實際上「直連式儲存」這一名稱本身是在網路儲存方式出現以後才有的稱謂[1];像固態硬碟、機械硬碟、光碟機這一類和電腦直接相連的儲存裝置都是屬於直連式儲存裝置[2]。

概述
直連式儲存又可分為內直連式儲存和外直連式儲存。內直連式儲存是指儲存裝置與伺服器通過串行或並列SCSI匯流排接1:3電纜直接整合在一起,但SCSI匯流排自身有傳輸距離和掛載裝置的限制。外直連式儲存通過SCSI或光纖通道將伺服器和外部的儲存裝置直接連接,與內直連式儲存相比,外直連式儲存可通過光纖通道克服傳輸距離和掛載裝置的限制。對於少量PC機或伺服器,使用直連式儲存連接簡單、易於組態和管理、費用較低,但這種連接方式下,因每台電腦單獨擁有自己的儲存磁碟,所以不利於儲存容量的充分利用和伺服器間的資料共享,而且儲存系統沒有集中統一的管理方案,也不利於資料維護,因此直連式儲存不適合作為企業級的儲存解決方案[3]。

資料來源:https://zh.wikipedia.org/wiki/%E7%9B%B4%E8%BF%9E%E5%BC%8F%E5%AD%98%E5%82%A8

分類
CISM CISSP

常見的BIA術語(Common BIA Terminologies)

https://ithelp.ithome.com.tw/upload/images/20210419/20132160DoiccEIOEF.jpg

NIST SP 800-34的第一個版本使用術語最大允許中斷(Maximum Allowable Outage:MAO)來描述信息系統的停機時間閾值。為了進一步描述業務流程和信息系統的停機時間,使用了最大容許停機時間(Maximum Tolerable Downtime:MTD)和恢復時間目標( Recovery Time Objective:RTO)術語。
這裡的停機時間是指業務流程的中斷,而停機則強調信息系統的不可用性。諸如停機,中斷和中斷之類的術語可以互換使用,允許,可接受和可容忍的術語也可以互換使用。最大容許停機時間(Maximum Tolerable Downtime:MTD)也稱為最大容許中斷時間( Maximum Tolerable Period of Disruption:MTPD),最大容許中斷(Maximum Allowable Outage :MAO)也稱為最大容許中斷( Maximum Tolerable Outage :MTO)。
由於各種方法或方法可能會不同地定義這些術語並導致溝通不暢,因此本文中的圖演示了一種場景,該場景介紹了在業務影響分析中使用的通用語言。

可接受的中斷窗口(Acceptable Interruption Window:AIW)
可接受的中斷窗口(AIW)是“在損害企業業務目標的實現之前,系統不可用的最長時間。” (ISACA,2019年)
AIW也稱為最大容許停機時間(MTD)或最大容許中斷時間(MTPD)。但是,ISACA的定義強調“系統”,而MTD或MTPD是一個商業術語,著眼於業務流程或優先活動的中斷。

工作恢復時間(Work Recovery Time :WRT)
工作恢復時間(WRT)是“恢復和修復系統後,恢復丟失的數據,工作積壓和手動捕獲的工作所需的時間長度”
。(BRCCI,2019)
WRT通常與恢復點目標(RPO)有關。RPO越短;WRT越快。維修時間和WRT之和應小於恢復時間目標(RTO)。

恢復時間目標(Recovery Time Objective:RTO)
恢復時間目標(RTO)是“災難發生後恢復業務功能或資源所允許的時間。”
 (ISACA,2019年)
業務功能或資源的恢復意味著它既滿足ROP和服務交付目標(SDO),又受最大允許中斷(MTO)的約束;它會使用最新數據進行恢復,並在MTO的約束下以適當的服務水平運行。

恢復點目標(Recovery Point Objective:RPO)
恢復點目標(RPO)是“根據操作中斷情況下可接受的數據丟失來確定的“
。它指示恢復數據可接受的最早時間點。RPO有效地量化了發生中斷時允許的數據丟失量。” (ISACA,2019年)
RPO推動了恢復或備用站點和備份策略的設計。它還會影響工作恢復時間(WRT)。

服務交付目標(Service Delivery Objective :SDO)
服務交付目標(SDO)與業務需求直接相關,它是在備用模式下直到恢復正常情況之前要達到的服務水平。
(ISACA,2019年)
當系統在RTO和RPO中恢復時,它將以備用模式運行,在該模式下,系統應提供足夠的服務水平並滿足SDO。

最大容許中斷(Maximum Tolerable Outage :MTO)
最大容許中斷(MTO)是企業可以支持備用模式下的處理的最長時間。
(ISACA,2019年)
備用模式不適用於長期運行。MTO為業務連續性解決方案設定過渡到正常模式的時間段目標。

最大容許停機時間(Maximum Tolerable Downtime:MTD)
請參閱可接受的中斷窗口(AIW)。

參考
最低業務連續性目標:BIA的灰姑娘…

資料來源: Wentz Wu網站

分類
CISM CISSP Project Management

責任分配矩陣

責任分配矩陣[1] RAM),也被稱為RACI矩陣[2] 線性職責表[3] LRC),描述了通過各種參與角色在完成任務交付用於項目業務流程。RACI是首字母縮寫詞,它是從最常用的四個主要職責衍生而來的:負責負責諮詢告知[4] 用於澄清和定義跨職能或部門項目和流程中的角色和職責。[5] RACI模型有很多替代方案。

RACI模型中的主要責任角色[編輯]

角色區分[編輯]

角色和個人識別的人之間有一個區別:角色是一組相關任務的描述;角色是一組相關任務的描述。可能由很多人表演;一個人可以扮演許多角​​色。例如,一個組織可能有十個人可以擔任項目經理,儘管傳統上每個項目在任何時候都只有一個項目經理。能夠擔任項目經理的人也可能能夠擔任業務分析員測試員的角色。R =負責人(也是推薦人)那些完成任務的工作。[6]至少有一個角色是負責任的參與類型,儘管可以委派其他角色來協助所需的工作(另請參見下面的RASCI,以分別標識參與支持角色的人員)。A =負責(也是批准人最終批准人)一個人最終負責正確,徹底地完成可交付成果或任務,一個人確保滿足任務的先決條件,並將工作委託給負責人[6]換句話說,負責人必須簽字(批准)負責人提供的工作。這裡必須只有一個負責為每個任務或交付指定。[7]C =諮詢(有時是顧問律師)徵求意見的人,通常是主題專家;與之進行雙向交流。[6]I =知情的(也是被告)那些僅在完成任務或交付時就保持最新狀態的人員;與之只有一種單向的溝通。[6]

很多時候,這是角色負責的任務或交付也可能是負責完成它(在由具有角色的任務或交付的矩陣表示負責的,但沒有任何作用負責其完成,也就是說,它是隱含的)。除此例外之外,通常建議項目或流程中每個任務的每個角色最多只接受一種參與類型。在顯示了多個參與類型的情況下,這通常意味著參與尚未完全解決,這可能會妨礙此技術在闡明每個角色對每個任務的參與上的價值。

資料來源:https://en.wikipedia.org/wiki/Responsibility_assignment_matrix

分類
CISM

投資報酬率

投資報酬率(return on investment,簡稱 ROI),經濟學名詞,指投資後所得的收益與成本間的百分比率。

投資報酬率一般可分為總報酬率(持有期間報酬率)年報酬率。總報酬率是不論資金投入時間,直接計算總共的報酬率,亦即:總報酬率=投資期間總利潤/投入成本。

投資期間的總利潤通常包含資本利得(資本收益)與非資本利得性之收益。若以股票報酬率來舉例,投資期間的資本利得為買進賣出間的價差,非資本利得性的收益通常為現金股利。因此股票的持有期間報酬率又可拆解為其資本收益率以及股利收益率的總和。

資料來源:https://zh.wikipedia.org/wiki/%E6%8A%95%E8%B3%87%E5%A0%B1%E9%85%AC%E7%8E%87

分類
CISM

業務驅動者與致能者(Business Drivers and Enablers)

Porter's value chain
業務(business)就是有關產品和服務交付(delivery),以創造價值並實現組織願景和使命的相關活動。一個業務驅動者是(driver)指導或控制的行動方向、業務活動和流程,以創造和交付價值的因子(factor)或功能(function)。業務致能者(enabler)間接傳遞價值,是支持業務驅動者的輔助因子或功能。

作為業務驅動者的業務功能通常直接貢獻收入。作為業務致能者,安全功能(security function)對於當今的組織至關重要,它可以間接地創造價值,並且必須整合到業務功能或流程中以支持業務驅動者。

在波特(Porter)的價值鏈(value chain)中,業務驅動者通常是主要(primary)活動,業務致能者是支持(support)活動。

原始出處: Business Drivers and Enablers

資料來源:https://ithelp.ithome.com.tw/articles/10255445

分類
CISM

5分鐘!了解「平衡計分卡」

1.平衡計分卡(Balanced Scorecard)的用途是什麼?公司為何需要?
平衡計分卡是一套管理機制,可將抽象的企業策略,轉化為一組明確的績效指標,用以衡量、管理策略的執行狀況。平衡計分卡不能為企業創造策略,但能幫組織有效執行策略。

大部分公司其實不缺策略,然而《策略核心組織》一書指出,真正被成功執行的策略卻不到10%;了解公司策略意涵的員工不超過5%;而多達85%的管理團隊,每月討論策略的時間不到1小時。有策略,卻始終缺乏執行力的企業,最需要平衡計分卡。

2.策略管理的工具很多,平衡計分卡有什麼特色?
企業向來以財務數字做為績效衡量的標準,但無論是業績目標或營收、投資報酬率等,都是反映過去行動所獲致的成果;簡單說,財務數字衡量的是「過去的績效」,是一種「落後指標」,而非創造未來績效的指引。

平衡計分卡的理念在於:在財務衡量(落後指標)之外,積極找出能夠創造未來財務成果的「績效驅動因素」(performance driver),也就是相較財務成果而言的「領先指標」,例如顧客滿意度、高效率的流程、員工能力、士氣等,讓「績效衡量制度」能與「策略」配合一致。

建立平衡計分卡的流程,有助於策略的「整合」與「聚焦」。經理人藉由闡述組織渴望達成的策略目標、辨別出目標的關鍵驅動因素,最後再利用量化指標,凝聚成員的精力、能力和知識,為長期的目標共同努力。

3.許多績效衡量制度也都包含財務以外的面向,平衡計分卡更完整嗎?
平衡計分卡是用「策略地圖」來描述企業策略,策略地圖中包括4個構面(perspective)——財務、顧客、內部流程、學習與成長——的策略目標。這些目標間必須有因果關係、環環相扣,以清楚描述策略,例如獲利提升必須源自顧客滿意;達成顧客滿意則需要改善流程;而流程又需要從員工學習扎根。

4構面的策略目標不但可以平衡企業內部(員工)與外部(顧客、股東)的需求、財務與非財務的需求,還能夠滿足短期與長期(學習成長)的需求,以及領先指標與落後指標的需求,是一套完整的策略管理體系。

4.平衡計分卡是如何讓策略執行的?
平衡計分卡的機制主要可分3部分:
1  集合資深主管,畫出策略地圖(Strategy Map)。策略地圖是透過一連串的因果關係來描述策略,讓組織成員了解自己的行動如何互相影響、導致最終成果。例如,提高員工技能→減少流程錯誤→顧客滿意度提高→市占率增加→營收成長。

2 找出與策略連結的關鍵績效指標(KPI,Key Performance Indicator),並設定目標值。例如,提高員工技能是策略目標之一,決定以「平均員工生產力」「職位適任率」為KPI,分別設定目標值。

3 找出行動方案,結合預算與獎酬制度,並定期回饋。確保組織有足夠的動機與資源,來達成策略目標,並定期檢討策略的假設是否正確、切實可行。例如,提高員工生產力這項KPI的「行動方案」是「重新制訂人才發展計畫」,再結合預算與獎酬設計,每月檢核,以確保達成。

5.所以常聽到的KPI和策略地圖,都是平衡計分卡的一部分?
是的。策略地圖就像企業策略的導覽地圖,讓組織成員知道自己身在何方,要往哪裡去。但有了地圖,還需要層層拆解策略,找出每個部門、甚至每個成員的KPI,才能衡量與管理。有了指標,就可根據它來找出行動方案,配合預算、激勵、策略回饋,有效達成目標。

資料來源:https://www.managertoday.com.tw/articles/view/2489