自從2011年的日本東北大地震後，『金融服務業之資訊系統異地備援』的議題再度被重視，台灣與日本的地理環境相似，因此也有相同的問題。金融服務業之資訊系統除了關係企業的永續經營與獲利外，相對於民眾而言，金融服務業資訊系統「異地備援」品質，是極為重要的，因為它關係民眾財產安全。在本論文中彙整過去研究、國際標準等文獻及與各位專家探討，並透過德爾菲法取得在「異地備援」的PDCA四個週期七個階段44個檢核項目。
利用這44個項目，驗證台灣九家金融服務業「異地備援」實施現況，除了確認這44個項目有效及必要性，並針對這九家金融服務業「異地備援」回覆資料予以分析並提出建議

The issues of Remote site recovery for information system of finance industries are again being taken seriously since the earthquake and tsunami of 2011 in northeastern Japan. Taiwan and Japan have similar geographical environment. Therefore, those issues are important to Taiwan too. The quality of Remote site recovery for information system of the finance industries is concerned about enterprise profit and business continuity. But compared with their customers that is more important than bank profit and business continuity because it is related to customer's property. In this dissertation, we collected over literature and relative study and discuss with experts. This research gets 44 Check items by Delphi method in seven stages of Deming Cycle for Disaster Recovery of information system of the finance industries.
Use these 44 check items to verify that the nine financial companies Remote site recovery current status of implementation and make sure it valid and necessary. Finally give suggestion by analyzed of reply data from nine financial companies.

目次
第一章	緒論	1
第一節	研究動機與目的	1
第二節	研究流程	4
第二章	文獻探討	7
第一節	我國現行金融體系	7
第二節	異地備援七種等級	11
第三節	營運持續管理生命週期	22
第四節	個案研究	37
第三章	研究設計	39
第一節	研究架構	39
第二節	研究方法	39
第三節	研究設計	43
第四章	研究結果與分析	47
第一節	第一階段：透過德爾菲法取得檢核項目	47
第二節	第二階段：驗證台灣金融產業「異地備援」  執行現況	69
第五章	結論與建議	83
第一節	研究結論	83
第二節	研究建議	87
參考文獻	89
附錄	92
表目次
表2-1　臺灣金融機構家數統計表	7
表2-2　七種異地備援等級	11
表2-3　TIER1資料異地備份管理支援及所需技術	13
表2-4　TIER2資料異地備份+備援中心管理支援及所需技術	14
表2-5　TIER3電子儲存管理支援及所需技術	16
表2-6　TIER4定時電子儲存管理支援及所需技術	17
表2-7　TIER5即時電子儲存管理支援及所需技術	19
表2-8　TIER6零資料遺失管理支援及所需技術	21
表2-9　各層級RTO與RPO比較	22
表2-10　BS 25999與ISO 27005 生命週期對應關係	25
表2-11　IT威脅	26
表2-12　台灣金融產業災害營運衝擊檢核項目	28
表2-13　BCM策略的演練方式和方法	35
表2-14　BCM策略的演練方式和方法	38
表3-1　第一階段德爾菲法問卷內容結構	44
表4-1　專家成員背景表	47
表4-2　第一次問卷結果分析-「瞭解組織和組織環境」階段	50
表4-3　第一次問卷結果分析-「進行風險評鑑」階段	51
表4-4　第一次問卷結果分析-「異地備援環境建置」階段	51
表4-5　第一次問卷結果分析-「異地備援計畫制訂」階段	52
表4-6　第一次問卷結果分析-「異地備援環境例行性維護」階段	53
表4-7　第一次問卷結果分析-「異地備援演練驗證」階段	53
表4-8 第一次問卷結果分析-「監控及持續改善」階段	54
表4-9 第二階段德爾菲法問卷內容結構	55
表4-10　第二次問卷結果分析-「瞭解組織和組織環境」階段	59
表4-11　第二次問卷結果分析-「進行風險評鑑」階段	59
表4-12　第二次問卷結果分析-「異地備援環境建置」階段	60
表4-13　第二次問卷結果分析-「異地備援計畫制訂」階段	61
表4-14　第二次問卷結果分析-「異地備援環境例行性維護」階段	61
表4-15　第二次問卷結果分析-「異地備援演練驗證」階段	62
表4-16　第二次問卷結果分析-「監控及持續改善」階段	62
表4-17　第一次與第二次問卷結果比較-「瞭解組織和組織環境」	63
表4-18　第一次與第二次問卷結果比較-「進行風險評鑑」	64
表4-19　第一次與第二次問卷結果比較-「異地備援環境建置」	64
表4-20　第一次與第二次問卷結果比較-「異地備援計畫制訂」	65
表4-21　第一次與第二次問卷結果比較-「異地備援環境例行性維護」	66
表4-22　第一次與第二次問卷結果比較-「異地備援演練驗證」	67
表4-23　第一次與第二次問卷結果比較-「監控及持續改善」	67
表4-24　第二階段德爾菲法取得檢核項目	68
表4-25　第二次階段-九家銀行檢核項目符合程度	73
表4-26　第二階段問卷資料分析-「異地備援」對公司衝擊程度分析	74
表4-27　第二階段問卷資料分析-異地備援對否滿足公司RTO分析	75
表4-28　第二階段問卷資料分析-異地備援能否滿足公司RPO分析	77
表4-29　資安認證與異地備援機制分析	78
表4-30　檢核項目和滿意程度關連分析	78
表4-31　第二階段問卷資料分析-每個檢核項目平均值	79
表5-1　「異地備援」機制人員職掌建議	84
表5-2　「異地備援」機制參考及檢核人員	86
圖目次
圖1-1　災害發生對企業的惡性循環	2
圖1-2　研究流程	5
圖2-1　層級0-無異地備援	12
圖2-2　層級1-資料異地備份	13
圖2-3　層級2-資料異地備份＋熱備援中心	14
圖2-4　層級3-線上電子儲存	15
圖2-5　層級4-定時電子儲存	17
圖2-6　層級5-即時電子儲存	19
圖2-7　層級6-零資料遺失	20
圖2-8　BCM生命週期	23
圖2-9　BCM生命週期	24
圖2-10　風險評鑑程序	26
圖2-11　風險處置流程	30
圖2-12　事故處理時間表	32
圖2-13　BCP與DRP 關係	32
圖2-14　台灣銀行業異地備援演練頻率	34
圖2-15　台灣銀行業異地備援演練結果	35
圖2-16　ISMS 生命週期	37
圖3-1　研究流程	39
圖3-2　德爾菲法進行步驟	42
圖4-1　專家組成分析-學歷	48
圖4-2　專家組成分析-工作年資	48
圖4-3　專家組成分析-參與異地備援相關年資	49
圖4-4　專家組成分析-工作類別	49
圖4-5　第二階段問卷-公司類別分析	71
圖4-6　第二階段問卷-資訊組織規模分析	71
圖4-7　第二階段問卷-資訊系統維運人數分析	72
圖4-8　第二階段問卷-資訊系統平臺分析	72
圖4-9　第二階段問卷-資訊系統取得認證分析	73
圖5-1 各階段檢核流程	86

一、	中文文獻
1.	GB/T 20988 — 2007資訊系統災難恢復規範, (2007). 
2.	中央銀行法, (2011). 
3.	王宏仁、鄭逸寧. (2011), 從東日本大震災重新檢視臺灣異地備援. IThome.
4.	存款保險條例, (2010). 
5.	行政院及所屬各機關資訊安全管理規範, (1999). 
6.	行政機關營運持續管理評估標準., 2012, from http://www.rdec.gov.tw/lp.asp
7.	何星翰、呂敏誠. (2010). 由資訊安全管理之風險評鑑協助企業營運永續確保核心競爭力. 品質月刊, 46(7), 26. 
8.	吳佳翰、溫紹群、黃永婷. (2011). 資訊風險管理大躍進－臺灣土地銀行資訊風險管理經驗交流. 企業風險管理服務,         (3), 2. 
9.	李禮仲. (2002). 加入WTO對我國金融服務法規面之衝擊. 國政研究報告, 
10.	周士琛. (2009). 以戴明循環檢視企業災難備援建置以銀行業為例. 國立台灣科技大學 管理學院). 
11.	林玫君. (2006). 國營事業發展休閒事業之策略研究-以台灣省自來水公司為例. 逢甲大學, 台中. 
12.	金融檢查手冊. ,2012, from http://www.feb.gov.tw/ch/ 
13.	信用合作社法, (2006). 
14.	保險法, (2011). 
15.	紀佳妮. (2009). 營運持續計畫之災害復原實作 財團法人資訊工業策進會與行政院國家資通安全會報技術服務中心. 
16.	風險管理及危機處理作業手冊, (2009). 
17.	票券金融管理法, (2010). 
18.	陳明玉、蔣經華. (2008). BIA在企業營運持續管理系統之應用. 2008 工業安全衛生技術輔導成果發表會, 
19.	湯小苹. (2009). 論銀行業業務連續性計劃IT保障. FINACE & ECONOMY 金融經濟, 
20.	郵政法, (2011). 
21.	業務連續性管理 第一部分：實用規則, (2006). 
22.	楊瑞平. (2005). 金融控股公司成立後交叉銷售對壽險業務人員業績之影響. (經營管理碩士, 逢甲大學). 
23.	農會法, (2012). 
24.	漁會法, (2012). 
25.	臺灣行業別資訊應用現況與展望.(2011, 2011 資訊服務產業年鑑, 
26.	蒲樹盛. (2005). 營運持續管理 (BCM) 之國際標準及管理作為. 財金資訊雙月刊, 
27.	蒲樹盛. (2006). 政府部間營運持續管理(BCM)國際指南介紹. 研考雙月刊, 30(2), 55. 
28.	銀行法, (2011). 
29.	樊國楨、黃健誠、林樹國. (2011). 資訊安全管理系統政策探微:根基-政府機關之異地備援個案. 前瞻科技與管理, 1        (1), 61. 
30.	蔡登輝. (2007). 銀行資訊中心災害備援關鍵成功因素之研究. 世新大學資管所). 
31.	蔡耀宗. (2007). 企業之事業繼續經營(BCM). 品質月刊, , 54. 
32.	鄭琬玉. (1997). 發展權移入地區社會經濟環境影響評估指標之建立-以古市街保存為例. 逢甲大學, 台中. 
33.	賴俊吉. (2008). 應用層級分級分析法建構金融業營運持續管理之營運衝擊關鍵要素，. 國立臺北科技大學). 
34.	證券交易法, (2012). 
35.	證券金融事業管理規則, (2010). 
36.	蘇建源、蔡旼修、阮金聲. (2011). 以個案分析法探討金融業之企業營運持續管理. 電腦稽核期刊, (24), 65.

二、	英文文獻
37.	BS 25999-1 Code of Practice for Business Continuity Management, (2006). 
38.	A Guide to Business Continuity Planning, (2001). 
39.	Barnes. (2001). A guide to business continuity planning. Chichester. 
40.	BS 25999-1 Code of Practice for Business Continuity Management, (2006). 
41.	BS 25999-2 Business Continuity Management — Part 2: Specification, (2007). 
42.	COUNTER DISASTER AND RECOVERY PLAN, (2005). 
43.	DISASTER RECOVERY PLAN MANUAL, (2003). 
44.	Disaster recovery strategies with tivoli storage management(2002). IBM. 
45.	EMERGENCY MANAGEMENT ACADEMIC AFFAIRS, (2007). 
46.	GUIDELINES ON RISK MANAGEMENT PRACTICES-BUSINESS CONTINUITY MANAGEMENT, (2003). 
47.	ISO 27001 Information Security Management Standard, (2005). 
48.	ISO 27005:2008 Information Security Risk Management, (2008). 
49.	ISO 31000 Risk Management — Principles and Guidelines, (2009). 
50.	Kathleen Mykytyn. (1999). A framework for integrated risk management in information technology. MCB         University Press. 
51.	Operational Risk Systems and Controls, (2002). 
52.	Publicly Available Specification 56(PAS 56), (2003). 
53.	Risk Management Guide for Information Technology Systems, (2002). 
54.	Virginia Cerullo and Michael J. Cerullo. (2004). BUSINESS CONTINUITY PLANNING:A COMPREHENSIVE APPROACH.         Information Systems Management, 60.