精明規劃資訊科技備份：風險評估、RPO 與 RTO 全面解析

一、為何 IT 備份不僅是「多抄一份」？

在不少企業眼中，備份仍被視為一次性的技術工作：購置設備、設定排程，有做便算。其實，現代備份策略屬於整體風險管理及業務延續（Business Continuity）架構的一部分，而不單純是儲存問題。若欠缺完善的風險評估，以及清晰的 RPO／RTO 目標，即使備份表面運作正常，遇上真正事故時仍有機會無法滿足業務需要。

---

二、什麼是「備份風險評估」？

以備份為核心的風險評估，旨在有系統地識別各項關鍵數據及系統可能面對的事故、估算其發生機會，並衡量對營運、收入及合規要求所造成的影響。常見風險包括：硬件故障、勒索軟件或其他網絡攻擊、人為誤刪、系統錯誤，以至火災、水浸等對主要機房或辦公場所造成破壞的事故。

在實務操作上，企業一般會先列出所有關鍵系統（例如：電郵系統、檔案伺服器、企業資源規劃／會計系統、客戶關係管理系統、核心營運系統等），並按其對業務的重要性作出分級。其後，為每一個系統分析可能面對的威脅、評估其發生機率及影響程度，並檢視現有備份機制、異地備份副本及定期測試安排是否足以將風險控制在可接受水平。

---

三、RPO／RTO 的概念（簡明說明）

在備份風險評估中，兩個非常重要的指標是 RPO 及 RTO。這兩項指標把企業在「可接受數據遺失」及「可接受停機時間」方面的容忍度，轉化為具體的技術設計要求，直接影響備份及災難復原（Disaster Recovery）方案的規劃。

RPO（Recovery Point Objective／復原點目標）

定義：當事故發生後，企業在可接受範圍內，最多容許遺失多少「時間長度」的數據。例如：「最多只可接受遺失最近 4 小時的數據變更」。

對應的業務問題：若公司失去最近 X 小時內的所有更新記錄，對營運、客戶服務及法規遵從方面的影響，是否仍然在可接受範圍之內？

RTO（Recovery Time Objective／復原時間目標）

定義：當系統發生故障後，由服務中斷至恢復至可用狀態之間，企業所能容許的最長停機時間。例如：「電郵系統必須在 2 小時內恢復運作」。

對應的業務問題：若某個系統完全無法使用達 X 小時，對客戶體驗、員工工作安排及收入會帶來何種具體影響？

---

四、風險評估如何推動 RPO／RTO 決策制定

當企業掌握各個系統的風險狀況及業務影響後，便應為不同系統分別訂立合適的 RPO 及 RTO，而非採用單一「一刀切」的指標。

對收入及客戶體驗影響重大的核心系統，例如：網上預約平台、網上訂單系統、支付及收款系統等，一般需要較低的 RPO（由數分鐘至約一小時）及較短的 RTO（約一至四小時）。要達致這類目標，往往需要較高頻率的備份，甚至即時或接近即時的資料複寫機制，成本相對較高。

相對而言，屬於支援性質的系統，例如會計、人力資源或內部報表系統，通常可以接受較長的 RPO（數小時至一天）及 RTO（同日或翌日恢復），相應的技術要求及成本亦較為溫和。透過把每個系統的風險特性及業務重要性，對應至適當的 RPO／RTO 水平，企業便能把有限資源集中投放於真正關鍵的系統，避免在非關鍵系統上出現「過度設計」的情況。

---

五、把 RPO／RTO 轉化為具體備份及災難復原方案

  • 備份頻率及排程設計
  • 本地備份設備（如備份伺服器、備份儲存設備）
  • 雲端備份服務及異地備份
  • 實時或接近實時的資料複寫機制
  • 不同級別的災難復原（如暖備援、熱備援、雲端容災等）

為達到較低的 RPO，可能需要採用以小時甚至更高頻率進行備份，或使用持續備份技術；而要達成較短的 RTO，則或需預先建構備援系統環境，或採用雲端容災切換方案，而不僅依賴傳統、純手動及較緩慢的還原流程。

同時，定期測試不可或缺。透過有計劃的還原演練及故障模擬，企業可驗證現行備份及災難復原方案，在真實情境下能否實際達到預定的 RPO 及 RTO。這樣可形成一個完整的管理循環：由風險評估、指標設定，以至營運層面的持續驗證與改善，逐步提升整體營運韌性。

---

六、建議行動及結語

若 貴公司現時的備份安排只是「有運作，但缺乏檢討」，而且未有明確訂立各系統的 RPO／RTO 目標，現階段正是重新審視備份及災難復原策略的合適時機。建議可先為公司最重要的約五至十個系統制定一份簡單清單，根據其對營運及合規的實際影響訂立合理的 RPO／RTO，再倒推所需的技術方案與投資水平。

若企業希望在規劃過程中獲得專業支援，不妨考慮與具相關經驗的顧問或服務供應商合作，將備份及災難復原由單純的「技術合規項目」，提升為真正守護業務連續性和企業聲譽的重要防線。