災難復原回報卡：量測企業的災難復原指標

就拿Katrina颶風來講好了，實際上，這個事件所顯示出來的，是我們無法預估災難的規模大小，當然，我們也沒有辦法知道，即使是事件發生後政府傾全力救災，但結果依然是那樣地不堪！釀成災禍的原因很廣泛，可能是極端的天候狀況、地殼變動、也可能跟人為錯誤、意外及怨懟有關。
撇開這些因素不談，當負面的事件結果影響公司正常維運時，它就是一場災難！即使IT規劃單位無法預測到底那一類的事件可能影響IT設備持續運作，但是，災難復原規劃和復原需求這二者基本準備功夫的變動倒是不大。確認公司在災難復原計畫的努力上是否達到標準，可以採取以下準則，並且藉此了解IT是否可在短時間內回復，支援公司正常運作的可能性有多大？
F等級：完全沒準備
? 日常資料備份沒有執行。
? 沒有災難復原程序和文件手冊。
? 當正常IT運作受到威脅或失效時，從未採取任何方法測試回復機制。
D等級：稍微有準備
? 作業系統和應用軟體每日備份，但沒有測試是否運作正常。
? 自上次資料變動後，磁帶備份完全沒有經過測試，或者六個月內都沒有進行測試。
? 資料備份每日交替輪流輸出到指定的本地端。
C等級：有準備
? 完全備份（複本三份）近期已作過測試，實行過復原程序，並以文件記錄復原步驟。
? 備份交替傳送到所指定的存放區後，切斷與外界的連線。
? 磁帶備份儲存之後離線，或者磁帶備份每日交替送往10哩以外的地方存放。
B等級：準備充份
? 在10～63哩外，利用SANS儲存陣列交替執行備份工作。
? 站台都有備援電力。
? 資料、作業系統以及應用軟體復原步驟， 在上一季皆已作過測
試，並且認為在24小時內，有充裕的時間回復企業正常運作。
A等級：一切就緒
? 幾近即時複製，一個一個位元傳送到64～200哩外（甚至更遠）的備份站台，並有備援電力。
? 備份站台至少每月花一天時間執行每日產出作業測試，以確定復原時能運作順暢。
長久以來，在同一棟大樓存放全部的備份、復原磁帶，以及硬體設備，所有公司幾乎可以說是過分信任自身資料系統。好在現今的IT技術和通訊設備成熟，可以座落不同地域施行備份作業，甚至於以接近即時的速度來備份資料。不過，一個企業組織難道不該自己投注在這些資源上嗎？匯集他人的資源或者是採用其他供應商的解決方案，其實也是另一個選擇。就算是在管理上，也總該知道公司災難復原指標為何，時程也經過確切審慎的評估。所以，上述分數的評量辦法只是一個起點，不過它能以一種較為簡單易懂的詞彙，協助決策者了解自身回復運作的能力！若打算前進一個等級，它同樣是說明所需資金和資源的好方法。
Dennis C. Brewer為《Security Controls for Sarbanes-Oxley Section 404 IT Compliance: Authorization, Authentication and Access》一書作者。十多年來擔任密西根州府政的資訊技術專家。2006年1月退休後，在密西根州擔任IT顧問。