企業(yè)危機(jī)管理36084

1、危機(jī),一般中國(guó)人對(duì)危機(jī)的定義，是從字面上的危險(xiǎn)加上機(jī)會(huì)來(lái)表達(dá)。 其中的關(guān)鍵點(diǎn)就在於如何運(yùn)用智慧，化險(xiǎn)為夷。,危機(jī)六大特性,突發(fā)事件(以及由突發(fā)而帶來(lái)驚異性) 威脅到企業(yè)的基本價(jià)值或高度優(yōu)先目標(biāo) 對(duì)企業(yè)主及員工心理震撼大 危機(jī)資訊相對(duì)缺乏 必須在時(shí)間壓力下，明快、智慧地處理 處理結(jié)果絕對(duì)影響企業(yè)的生存與發(fā)展,危機(jī)管理的特質(zhì),企業(yè)危機(jī)的程度性 企業(yè)危機(jī)的破壞性 企業(yè)危機(jī)的複雜性 企業(yè)危機(jī)的動(dòng)態(tài)性 企業(yè)危機(jī)的擴(kuò)散性 企業(yè)危機(jī)的結(jié)構(gòu)性,企業(yè)危機(jī)的程度性,不知企業(yè)危機(jī)輕重程度，在處理時(shí)就不易掌握資源投入的多寡 企業(yè)危機(jī)是有程度的區(qū)別，並非所有的危機(jī)，都是致命的，有的僅只會(huì)造成企業(yè)輕微傷害 嚴(yán)重者可稱為企

2、業(yè)核心危機(jī)(Core Crisis)；輕微者可稱為企業(yè)邊陲危機(jī)(pherferial Crisis) ,企業(yè)危機(jī)的破壞性,危機(jī)中雖危有轉(zhuǎn)機(jī)，但是這項(xiàng)轉(zhuǎn)機(jī)是有條件的，絕不代表轉(zhuǎn)機(jī)會(huì)必然降臨 例子： 1914年1月17日的美國(guó)洛杉磯大地震為例，受創(chuàng)的中小企業(yè)，有40%50%就無(wú)法東山再起、重新創(chuàng)業(yè)。 美國(guó)航空業(yè)在九一一恐怖攻擊事件後的一周內(nèi)，載客率大都對(duì)足五成，估計(jì)全全營(yíng)運(yùn)因此虧損50億美元,企業(yè)危機(jī)的複雜性,危機(jī)的多面向，因此要有全盤(pán)性的系統(tǒng)了解，才能有效解決危機(jī) 例子 企業(yè)財(cái)務(wù)危機(jī)，絕不是只有人事成本高，或每月需支付的利息高，其中可能牽涉投資計(jì)畫(huà)、經(jīng)營(yíng)戰(zhàn)略等層面的問(wèn)題，當(dāng)然也可能牽涉大環(huán)境的經(jīng)

3、濟(jì)不景氣，致週轉(zhuǎn)不靈，超過(guò)企業(yè)可忍受的臨界點(diǎn)，最後走向倒閉或關(guān)廠的不歸路,企業(yè)危機(jī)的動(dòng)態(tài)性,企業(yè)如果因外在大環(huán)境或內(nèi)在結(jié)構(gòu)而產(chǎn)生危機(jī)，此種危機(jī)決不會(huì)客觀靜止，如同生命地僵化原範(fàn)圍或原議題上， 剛會(huì)隨著企業(yè)處理，是否具有正確性與即時(shí)性，而使企業(yè)危機(jī)降低或升高 企業(yè)危機(jī)的動(dòng)態(tài)性，星星之火的小危機(jī)，就可能變成燎原之火的巨型危機(jī),企業(yè)危機(jī)的擴(kuò)散性,企業(yè)危機(jī)的連鎖擴(kuò)散性反應(yīng)，會(huì)造成一個(gè)危機(jī)引暴另一個(gè)危機(jī) 例子 民國(guó)89年臺(tái)股市值，從最高的14.8兆元，下降到民國(guó)90年的8.5兆元共減少6兆元之多(等於賠掉四年的中央政府總預(yù)算)，導(dǎo)致民眾消費(fèi)緊縮、企業(yè)資金出現(xiàn)流動(dòng)性陷阱、銀行逾放惡化等現(xiàn)象,企業(yè)危機(jī)的結(jié)構(gòu)

4、性,中小企業(yè)結(jié)構(gòu)危機(jī) 大企業(yè)結(jié)構(gòu)危機(jī) 傳統(tǒng)產(chǎn)業(yè)面售的五種生存危機(jī)因子 資金取得不易 人工成本提高 環(huán)保爭(zhēng)議不斷 研發(fā)能力不足 取得工業(yè)區(qū)土地不易,資料來(lái)源：林建山，企業(yè)環(huán)境掃描：市場(chǎng)機(jī)會(huì)分析手冊(cè)，（臺(tái)北：環(huán)球經(jīng)濟(jì)社） ，民國(guó)七十四年，頁(yè)14。,市場(chǎng)環(huán)境圖,企業(yè)危機(jī)管理的迷思,迷思一：完善內(nèi)部就不會(huì)出現(xiàn)危機(jī)？ 迷思二：企業(yè)危機(jī)處理=企業(yè)危機(jī)解決？ 迷思三：企業(yè)不會(huì)出現(xiàn)危機(jī)幻覺(jué)？ 迷思四：企業(yè)危機(jī)絕對(duì)可以避免？,企業(yè)危機(jī)系統(tǒng)圖,外環(huán)境四力危機(jī)結(jié)構(gòu),Foster的S曲線,時(shí)間/資源投資,產(chǎn)品/技術(shù)功能,a1,a2,a3,A,B,b2,b3,b5,b4,替代品/替代技術(shù),原有產(chǎn)品技術(shù),危機(jī)爆發(fā)期,企業(yè)

5、危機(jī)生命週期,測(cè)量危機(jī)之企業(yè)痛苦指數(shù)量表,資料來(lái)源：朱延智自創(chuàng)。,企業(yè)危機(jī)擴(kuò)散架構(gòu),利益關(guān)係人,機(jī)制,型態(tài)風(fēng)險(xiǎn),可能結(jié)局,組織系統(tǒng),資料來(lái)源 ：Ian I. Mitroff, Managing Crises Before Hoppen, New York: American Man-agement Association, 2001, p.31.,圖 2.6危機(jī)管理最佳模式架構(gòu)圖,資料來(lái)源：Nudell & Antokol , 1988 ，p.21,圖 3.1危機(jī)管理金字塔,表 3.1危機(jī)處理專案小組的職務(wù)頁(yè)1,圖 3.1危機(jī)處理專案小組的職務(wù)頁(yè)2,表 3.1危機(jī)處理專案小組的職務(wù)頁(yè)3,資料來(lái)

6、源日刊工業(yè)新聞特別取材班，SRM危機(jī)處理實(shí)戰(zhàn)策略， （臺(tái)北：三思堂文化事業(yè)有限公司），民國(guó)八十九年，頁(yè)18-19。,50%,2.注意,4.安全,3.中間,1.危險(xiǎn),0,0%,100%,危機(jī)概率,10,危險(xiǎn)衝擊度,資料來(lái)源：Steven Fink , Crisis Management : Planning for the Invisible , (New York : American Management Association), 1986 , p.45.,圖 3.2危機(jī)嚴(yán)重程度量表,5. 企業(yè)資訊設(shè)備安全管理：(1)企業(yè)資訊設(shè)備之設(shè)置，是否作安全上之考量？(2)企業(yè)機(jī)密性關(guān)作站，是否專人

7、管理？(3)企業(yè)需要特別保護(hù)之設(shè)備，是否與一般設(shè)備區(qū)隔？(4)企業(yè)是否檢查及評(píng)估，火、煙、水、灰塵、震動(dòng)、化學(xué)效應(yīng)、電力供應(yīng)、電磁輻射等，加諸於設(shè)備之危害？(5)企業(yè)電腦作業(yè)區(qū)（含機(jī)房），是否落實(shí)執(zhí)行禁止抽煙及飲用食物？(6)企業(yè)電源之供應(yīng)及備援電源，是否作安全上考量？(7)企業(yè)通訊線路及電纜線，是否作安全保護(hù)措施？(8)企業(yè)設(shè)備之維護(hù)，是否由授權(quán)之維護(hù)人員之執(zhí)行？(9)企業(yè)攜帶型的電腦設(shè)備，是否定有嚴(yán)謹(jǐn)?shù)谋Ｗo(hù)措施（如設(shè)通行碼、檔案加密、專人看管），並落實(shí)執(zhí)行？ (10)企業(yè)設(shè)備報(bào)廢前，是否先將機(jī)密性、敏感性資料及有 版權(quán)軟體移除？,表 7.2企業(yè)資訊安全機(jī)制檢查表,(11)企業(yè)電腦機(jī)房極重要

8、地區(qū)，對(duì)於進(jìn)出人員，是否作必要之限制及監(jiān)督？ (12)企業(yè)電腦機(jī)房?jī)?nèi)，是否嚴(yán)禁存放易燃物，及未經(jīng)核準(zhǔn)之電器或其他物品？ (13)企業(yè)電腦機(jī)房操作人員，是否隨時(shí)注意環(huán)境監(jiān)控系統(tǒng)，掌握機(jī)房溫度及溼度狀況？ (14)企業(yè)電腦機(jī)房操作人員，是否熟悉自動(dòng)滅火系統(tǒng)操作方法及滅火機(jī)位置？ (15)企業(yè)各項(xiàng)安全設(shè)備，是否定期檢查？員工有否施予適當(dāng)?shù)陌踩O(shè)備使用訓(xùn)練？ (16)企業(yè)是否制訂，資訊安全緊急應(yīng)變處理程序？有否定期演練及測(cè)試？ (17)企業(yè)公文及磁片長(zhǎng)時(shí)間不使用，下班後是否妥為存放？機(jī)密性、敏感性資訊是否妥為收存？ (18)企業(yè)棄置之手寫(xiě)或影印公文廢紙，及已過(guò)保存期限之公文，若為機(jī)密性、敏感性者，是否

9、予以銷(xiāo)毀？ (19)企業(yè)個(gè)人電腦及終端機(jī)不使用時(shí)，是否有關(guān)機(jī)、登出、設(shè)定螢?zāi)幻艽a，或是以其他控制措施進(jìn)行保護(hù)？,表 7.2企業(yè)資訊安全機(jī)制檢查表,(20)企業(yè)對(duì)於資訊財(cái)產(chǎn)，攜出辦公處所，是否訂有安全之 攜出管理規(guī)則？ 6.企業(yè)通訊與操作管理： (1)企業(yè)資訊處理設(shè)備，是否訂有操作程序及管理責(zé)任？ (2)企業(yè)是否建立系統(tǒng)變更之程序？ (3)企業(yè)是否訂定，電腦當(dāng)機(jī)及服務(wù)中斷後，相關(guān)的緊急處 理程序？ (4)企業(yè)是否訂有資訊安全事件通報(bào)程序，並確實(shí)依規(guī)定通 報(bào)？ (5)企業(yè)資訊安全事件處理的過(guò)程，是否均留有完整記錄？ (6)企業(yè)對(duì)安全要求高的資訊業(yè)務(wù)，是否將資訊安全管理， 及執(zhí)行的責(zé)任分散？ (7)

10、企業(yè)業(yè)務(wù)系統(tǒng)之使用、資料建檔、系統(tǒng)操作、網(wǎng)路管理、 行政管理、系統(tǒng)發(fā)展維護(hù)、變更管理、安全管理等工作， 是否授權(quán)分由不同的人員執(zhí)行？,表 7.2企業(yè)資訊安全機(jī)制檢查表,(8)企業(yè)系統(tǒng)開(kāi)發(fā)及正式作業(yè)，是否在不同的處理器、不同 的系統(tǒng)環(huán)境處理？ (9)企業(yè)系統(tǒng)開(kāi)發(fā)及正式作業(yè)，是否使用不同的登入程序？ (10)企業(yè)是否與業(yè)者簽訂，適當(dāng)?shù)馁Y訊安全協(xié)定，賦與相關(guān) 的安全管理責(zé)任，並納入契約條款？ (11)企業(yè)資訊委外服務(wù)契約，是否包含對(duì)於機(jī)密性、敏感性 資料之雙方權(quán)責(zé)及作業(yè)程序？ (12)企業(yè)伺服器及個(gè)人電腦，是否採(cǎi)行必要的事前預(yù)防及保 護(hù)措施？ (13)企業(yè)是否遵守軟體授權(quán)規(guī)定，禁止使用未取得授權(quán)的軟

11、 體？ (14)企業(yè)是否全面使用防毒軟體，並即時(shí)更新病毒碼？ (15)企業(yè)是否即時(shí)公告有關(guān)病毒的最新資訊？ (16)企業(yè)是否定期對(duì)電腦系統(tǒng)，及資料儲(chǔ)存媒體，進(jìn)行病毒 掃瞄？,表 7.2企業(yè)資訊安全機(jī)制檢查表,(17)企業(yè)是否對(duì)單位員工，辦理資訊安全宣導(dǎo)講習(xí)（含 防毒、備份及一般機(jī)密保護(hù)規(guī)定）？ (18)企業(yè)對(duì)於未來(lái)及內(nèi)容不確定的磁片，在使用前，是 否先作電腦病毒掃瞄？ (19)企業(yè)是否對(duì)重要的資料，及軟體定期作備份處理？ (20)企業(yè)備份資料是否異地存放？存放處所的環(huán)境，是 否合於電腦機(jī)房安全標(biāo)準(zhǔn)？ (21)企業(yè)重要資料的備份，是否保留三代以上？ (22)企業(yè)是否定期測(cè)試備份資料，以確保備份資

12、料之可 用性？ (23)企業(yè)是否檢查更正作業(yè)妥適與否？確保更正作業(yè)未 被破壞系統(tǒng)原有的安控措施及更正作業(yè)，係依正 當(dāng)?shù)氖跈?quán)程序處理。 (24)企業(yè)是否定期檢討，電腦網(wǎng)路安全控管是象之執(zhí)行？,表 7.2企業(yè)資訊安全機(jī)制檢查表,(25)企業(yè)是否使用網(wǎng)路防火牆（Fire Wall）？ (26)企業(yè)是否定期檢測(cè)，網(wǎng)路運(yùn)作環(huán)境之安全漏洞？ (27)企業(yè)有關(guān)電腦網(wǎng)路安全之事項(xiàng)，是否隨時(shí)公告？ (28)企業(yè)對(duì)於敏感性資訊之傳送，是否採(cǎi)取資料加密 等保護(hù)措施？ (29)企業(yè)媒體儲(chǔ)存的資料不再繼續(xù)使用時(shí)，是否將儲(chǔ) 存的內(nèi)容消除？ (30)企業(yè)儲(chǔ)存媒體是否依保存規(guī)格要求，存放在安全 的環(huán)境？ (31)企業(yè)內(nèi)含機(jī)密

13、性或敏感性資料的媒體報(bào)廢時(shí)，是 否指定專人處理？ (32)企業(yè)敏感性資料報(bào)廢時(shí)，是否紀(jì)錄處理時(shí)機(jī)、方 式、人員？,表 7.2企業(yè)資訊安全機(jī)制檢查表,(33)企業(yè)輸出及輸入機(jī)密性、敏感性資料，是否有處理 程序及標(biāo)示？ (34)企業(yè)收受機(jī)密性、敏感性資料，是否有正式收受紀(jì) 錄？ (35)企業(yè)機(jī)密性、敏感性資料，在儲(chǔ)存媒體上，是否明 確標(biāo)示資料機(jī)密等級(jí)？ (36)企業(yè)系統(tǒng)文件發(fā)送對(duì)象，是否經(jīng)系統(tǒng)負(fù)責(zé)人的授權(quán)？ (37)企業(yè)系統(tǒng)文件，是否有適當(dāng)?shù)拇嫒”Ｗo(hù)措施？ (38)企業(yè)對(duì)於資料及軟體之交換使用，是否均有相關(guān)文 件？ (39)企業(yè)重要電腦資料媒體（含報(bào)表）是否有專人，負(fù) 責(zé)運(yùn)送並記錄運(yùn)送時(shí)間及內(nèi)容？

14、 (40)企業(yè)儲(chǔ)存機(jī)密及敏感性資料的電腦媒體，是否採(cǎi)取 特別的安全保護(hù)措施（如使用加密技術(shù)）？,表 7.2企業(yè)資訊安全機(jī)制檢查表,(41)企業(yè)採(cǎi)行電子交換之資料交換，是否視資料之安全等 級(jí)，採(cǎi)行帳號(hào)密碼管制、電子資料加密或電子簽章認(rèn) 證等保護(hù)措施？ (42)企業(yè)是否要求員工，接受電子郵件後，立即自由見(jiàn)伺 服器中刪除？ (43)企業(yè)敏感性、機(jī)密性資料的處理過(guò)程，是否有嚴(yán)密的 安全保護(hù)機(jī)制（如數(shù)位簽章、認(rèn)證及加解密等）？ 7. 企業(yè)資訊存取控制： (1)企業(yè)是否訂有，資訊存取控制戰(zhàn)略，及相關(guān)說(shuō)明文件？ (2)企業(yè)資訊存取控制戰(zhàn)略，是否符合資料保護(hù)等相關(guān)法 令與契約規(guī)定？ (3)企業(yè)資訊存取控制戰(zhàn)略

15、，是否依工作性質(zhì)與職務(wù)，分 別訂定？ (4)企業(yè)是否將資訊存取說(shuō)明文件，列入員工手冊(cè)？,表 7.2企業(yè)資訊安全機(jī)制檢查表,(5)企業(yè)對(duì)於多人使用之資訊系統(tǒng)，是否建立使用者註 冊(cè)管理程序及紀(jì)錄？ (6)企業(yè)使用者及外單位人員，是否取得正式存取授權(quán)？ (7)企業(yè)是否依個(gè)別應(yīng)用系統(tǒng)安全需求，制定安全等級(jí) 與分類？ (8)企業(yè)是否依網(wǎng)路型態(tài) （Internet、Intranet、Extranet），訂定適當(dāng)?shù)拇嫒?quán) 限管理方式？ (9)企業(yè)資訊系統(tǒng)與服務(wù)，是否儘量避免使用共同帳號(hào)？ (10)企業(yè)使用者存取權(quán)限的檢視，是否訂有嚴(yán)格管制程 序？ (11)企業(yè)是否保留與隨時(shí)更新使用者註冊(cè)資料？ (12)企業(yè)

16、是否定期檢查，並刪除重複或閒置的使用者帳 號(hào)？,表 7.2企業(yè)資訊安全機(jī)制檢查表,(13)企業(yè)是否嚴(yán)格管制使用者，在初次登入電腦系統(tǒng)後， 必須立即更改預(yù)設(shè)之密碼？ (14)企業(yè)對(duì)於忘記密碼之處理，是否有嚴(yán)格的身分確認(rèn)程 序？ (15)企業(yè)預(yù)設(shè)的密碼，是否以規(guī)定之安全程序轉(zhuǎn)交於使用 者，使用者取得密碼確認(rèn)無(wú)誤後，回應(yīng)系統(tǒng)管理者？ (16)企業(yè)是否定期複檢（建議每六個(gè)月一次），或在變更 權(quán)限後，立即稽核？ (17)企業(yè)密碼的長(zhǎng)度，是否超過(guò)七個(gè)字元？ (18)企業(yè)密碼是否規(guī)定，需有大小寫(xiě)字母、數(shù)字及符號(hào)組 成？ (19)企業(yè)密碼輸入錯(cuò)誤，是否訂有三次以下之限制？ (20)企業(yè)是否避免使用與個(gè)人有關(guān)資

17、料（如生日、身分證 字號(hào)、單位簡(jiǎn)稱、電話號(hào)碼等）當(dāng)作密碼？,表 7.2企業(yè)資訊安全機(jī)制檢查表,(21)企業(yè)是否依照規(guī)定的期限，或使用的次數(shù)變更密碼？ (22)企業(yè)是否於不使用時(shí)，用上鎖或密碼等管制措施，不 讓電腦或終端機(jī)遭非法使用？ (23)企業(yè)應(yīng)用系統(tǒng)是否具有作業(yè)結(jié)束後，或再一定期間為 操作時(shí)，即自動(dòng)登出隻保護(hù)機(jī)制？ (24)企業(yè)是否有界定網(wǎng)域的範(fàn)圍，與在該網(wǎng)域上可利用的 網(wǎng)路連線服務(wù)？ (25)企業(yè)是否建立完整的網(wǎng)路服務(wù)使用授權(quán)程序？ (26)企業(yè)是否規(guī)劃建置，使用者連線使用資訊系統(tǒng)的方式 （如專線或固定號(hào)碼撥接）？ (27)企業(yè)是否規(guī)劃運(yùn)作將特定輸出入埠（Port）之使用者， 自動(dòng)連線到

18、指定的應(yīng)用系統(tǒng)或安全閘道 （Security Gateway）做認(rèn)證，或其他安全辨識(shí)的工 作，再進(jìn)入系統(tǒng)？,表 7.2企業(yè)資訊安全機(jī)制檢查表,(28)企業(yè)是否依環(huán)境或業(yè)務(wù)需要，於網(wǎng)路防火牆作 適當(dāng)之設(shè)定？ (29)企業(yè)是否依業(yè)務(wù)性質(zhì)或任務(wù)分配，來(lái)建置邏輯 性網(wǎng)域的存取權(quán)限機(jī)制（如虛擬私有網(wǎng)路 VPN）？ (30)企業(yè)對(duì)外的連線，是否有使用密碼技術(shù) （Cryptographic Based Tech-nique）、硬體符 記（Hardware Token）、挑戰(zhàn)回應(yīng) （ChallengeRe-sponse）協(xié)定或透過(guò)檢查專 線用戶位址的設(shè)備等鑑別方法，以找出連線作 業(yè)的來(lái)源。 (31)企業(yè)對(duì)外的連線，是否有建置回?fù)埽―ial-Back） 作業(yè)程序，與控管措施及相關(guān)測(cè)試？,表 7.2企業(yè)資訊