我最近曾經被要求對一個小型非營利的公司做災難復原的檢視,當大型的組織經常請某人來檢視他們的災難準備時,小型企業則很少邀請外面的人來做這樣的事。這家公司的員工少於 20 人,全部都在同一個地點。
一如往常,第一步是與公司關鍵人士的訪談,這個訪談的目的在於瞭解現況,以及他對於災難備援計劃的看法。像一家這種規模的公司,瞭解現況花不了太多時間。員工們通常認為災難發生時他們可以處理,也沒有立即需要被考量的事。然而,現況並沒有給我任何信心。
他們有兩部伺服主機用來執行主要的應用程式,一個會計系統與一個客戶關係管理 (CRM) 系統,這些伺服主機也用來做為一般性的檔案分享,這兩個應用系統都被加入了一些客製化的報表。每一部個別的筆記型電腦或桌上型電腦都有安裝它們自己的辦公室軟體,以及許多不共享的檔案與共享檔案的拷貝。
伺服主機上每天晚上都會執行磁帶備份,有一位員工會把磁帶帶回家,每星期的備份會循環。磁帶從來都沒有被驗證過,服務供應商知道如何回復資料的人是一個兼職的系統管理者,他也提供服務給其它的組織。
這位系統管理者在公司內部被稱為「那個人」,當有問題發生時他會依需求出現。災備備援計劃是把磁帶帶到這個兼職系統管理者的辦公室,然後把資料回復到那裡的伺服主機上。但這從來沒有被執行過,甚至連測試都沒有。
這家公司的災難備援計劃並沒有提及發生地區性災難的可能性,當人員無法上班,或者是因為缺少電力或網路中斷的影響而無法作業時。感覺上是作業可以允許一個星期的中斷,任何比這個更長時間的影響被認為極不可能發生,因此而產生的結果被無法作業的這個問題給掩蓋了。喪失關鍵人員的可能性沒有被涵蓋在這次的檢視中,但卻是在整體人力計劃的一部份。
缺點是顯而易見的,但真正的問題是在於缺乏對他們自身限制的瞭解,以及所需要的演練。有一個沒有根據的看法是從磁帶回復資料時不會發生問題,而任何一部伺服主機可以立即成為應用伺服器,而且不需要定期的演練。這顯示這家公司需要在關於災難備援與最佳演練的議題上再教育,而所選擇的當地服務供應商可能沒有這樣的技能,或是知道怎麼做才是真正對客戶最好的。
我寫了一份報告,並且做了一些他們應該要做什麼事的建議,小企業針對問題彈性上的限制較我經常處理的那些大公司更多,所以我需要考量花費與訓練。
小型企業需要一個災難備援計劃和建置一整套的演練,他們也需要在關於如何發展一個計劃上被教育,需要尋求關於如何選擇一個服務供應商的條件。後續的發展以及會有哪些改變將會很有趣。
