營運持續（BC） vs 災難復原（DR）是什麼？

營運持續是你們公司遇到狀況時，如何持續服務客戶的計畫。這可能意味著電話線路中斷、關鍵應用程式停止運作、辦公室沒有電，或某位員工無法存取檔案。它涵蓋人員、流程、溝通與技術。

災難復原是指在重大中斷之後，如何把技術系統重新恢復的計畫。通常會聚焦在系統、裝置、資料、網路，以及關鍵的商務軟體。用最簡單的說法：營運持續是讓公司繼續運作；災難復原是把技術恢復起來。

一個好理解的方法是這樣想：營運持續回答的是「我們怎麼繼續運作？」災難復原回答的是「壞掉的東西要怎麼恢復？」大多數小型企業即使計畫很簡單，也通常兩者都需要。

如果你正在比較支援選項，獨立的管理式 IT 服務提供商（常被稱為 MSP）可能能幫你評估這兩個面向。若你仍在學習基本概念，我們的 answers 頁面是一個很好的起點。

許多負責人以為只要備份就能解決問題。備份很重要，但它只是災難復原的一部分。備份可能有助於還原遺失的檔案，但它不會自動告訴你的團隊如何下單、回覆客戶、處理付款，或是在另一個地點工作。

例如，如果網路中斷一天，你的營運持續計畫可能會說明：員工如何改用行動熱點、由誰通知客戶、哪些工作可以用紙本或在家繼續。你的災難復原計畫可能會說明：如何聯絡網路服務供應商、有哪些可用的備援連線、以及服務恢復後如何檢查系統。

這個區別也會影響預算。有些企業需要更快的復原，因為每一小時的停機都可能導致收入損失、錯過預約，或出現合規問題；也有些企業可以承受較長的中斷時間。一個好的計畫應該符合你們企業的實際需求，而不是套用通用清單。

任何誠實的提供商都不會承諾零停機時間或完全無法被駭的網路。實際目標是降低中斷、在合理時間內完成復原，並確保你的團隊知道該做什麼。

營運持續的起點是你們最重要的運作。哪些服務必須在問題發生期間立刻持續？哪些可以先等上幾小時或一天？對於診所，可能是排程與病患溝通；對於零售商，可能是付款處理與存取庫存；對於律師事務所，可能是文件存取與客戶溝通。各產業與各州的要求會不同。

一份完善的持續計畫通常包含：替代的作業方式、電話樹或聯絡名單、臨時替代方案、供應商聯絡資訊，以及清楚的優先順序。它應該用白話文字寫下來，而不是藏在技術註記裡。若只有一個人懂這份計畫，那它就不算是一個完整計畫。

它也包含一些實用的問題：如果辦公室關閉，員工能否遠端工作？你們還能接聽客戶電話嗎？你知道團隊哪些手工作業可以用來撐一兩天嗎？關鍵文件是否存放在正確的位置，讓需要的人可以不用依賴單一裝置也能取得？

良好的營運持續規劃不只是在談災難。它也能幫助處理較小的中斷，例如筆電壞了、辦公室上鎖、雲端應用程式中斷，或是人力短缺。

災難復原比較偏技術，但核心概念其實很簡單。它是一份有文件記載的流程，用來在嚴重事件發生後，恢復系統、資料與存取權限。這可能包含：伺服器故障、勒索軟體（ransomware）、意外刪除、暴風雨、火災，或重大硬體問題。

一份好的災難復原計畫通常會涵蓋備份、還原步驟、復原優先順序，以及復原時間目標。你也可能會聽到「3-2-1 備份」。意思是：保留資料的 3 份副本，分別儲存在 2 種不同的儲存媒介上，並保留 1 份放在離站（offsite）。這是一種常見的備份做法，不是保證。

與提供商溝通時，你也可能會聽到端點（endpoint）、打補丁（patching）、EDR、RMM、MFA 與 SLA 之類的術語。端點是任何商務裝置，例如筆電、桌機或手機。打補丁是指安裝軟體與安全性更新。EDR 是 endpoint detection and response（端點偵測與回應）的縮寫，是用於偵測裝置上可疑活動的軟體。RMM 是 remote monitoring and management（遠端監控與管理）的縮寫，通常是由提供商用來監看裝置健康狀況並執行例行維護的軟體。MFA 是 multi-factor authentication（多因素驗證），它會在登入時增加第二步驟。SLA 是 service level agreement（服務等級協定），是用文字寫下來、說明服務範圍與回應目標的合約。

對某些企業而言，災難復原也可能包含雲端應用程式的恢復、網路故障切換（internet failover）、替代硬體的規劃，以及一套經過測試的流程，能以正確順序把使用者重新帶回線上。合適的設定取決於你的員工人數、裝置、資安需求與地區環境。

「做得好」不一定代表很昂貴。對許多小型與中型企業而言，「做得好」代表基本概念清楚、已經寫下來、也做過測試。你知道哪些系統最重要。你知道如果每一個系統停止，你們最多能夠在現實情況下撐多久。你知道由誰做決策、誰聯絡供應商，以及在中斷期間員工如何繼續工作。

「做得好」也代表備份不只是開啟後就不管了。備份應該定期檢視，且偶爾要測試還原。聯絡名單是最新的。重要的供應商帳戶資訊要用安全方式在內部有文件記載。員工知道這份計畫放在哪裡、以及第一步要做什麼。

如果你所在的領域受到法規管制，你也可能需要詢問產業相關的要求。HIPAA 是《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act），會影響受保護的健康資訊（protected health information）。PCI 通常指《支付卡產業資料安全標準》（Payment Card Industry Data Security Standard），適用於處理信用卡付款的企業。SOC 2 是一種報告架構，許多軟體供應商用來展示他們如何管理與安全相關的控制措施。對你真正重要的規則取決於你的產業、客戶，有時也取決於你所在的州。

有些企業也希望在規劃與預算上獲得策略性建議。你可能會聽到 vCIO 這個詞，意思是虛擬首席資訊長（virtual Chief Information Officer）。通常指的是外部顧問，協助 IT 規劃、優先順序與路線圖。不一定每家公司都需要到這個服務層級，但許多公司確實會受益於有人幫助把企業風險連結到實際決策。

如果你正在釐清你們企業需要到什麼程度的規劃，NodeBridge IT 可以幫你先整理方向。我們不是 IT 公司、不是管理式服務提供商（managed services provider）、也不是資安公司。我們不會管理、監控、保護、修復或存取你的系統。我們提供的是一般性的教育與免費的配對服務。

我們協助美國的小型與中型企業，找到符合你們規模、需求與預算的獨立提供商。若你不確定你們需要的是基本備份檢視、較完整的營運持續計畫，還是來自 MSP 的持續性支援，這會很有幫助。

我們對企業的服務是免費的。我們的報酬來自參與的提供商所支付的固定行銷費用。如果你想進一步了解支援選項，請查看 services。如果你想針對你們的情況聊一聊並與獨立提供商接上線，你可以 get matched。