如何選擇托管式IT供應商

一個好的託管式 IT 供應商（MSP，亦稱 managed service provider）應該用白話英文清楚說明他們做什麼，給你明確的工作範圍（scope of work），並告訴你支援請求的處理方式。你應該知道哪些包含在內、哪些會額外收費，以及緊急問題如何被優先處理。

你買的不是單純的「IT 協助」。你是在選擇一位可能會就裝置、軟體、備份、員工的資安習慣，以及長期規劃提供建議的商業夥伴。通常最佳選項是清楚、有條理、務實的那家，而不是最愛用最大承諾來吸引人的那家。

誠實的供應商不會承諾零停機或讓網路無法被入侵。更好的訊號是：供應商能清楚談預防、監控、應變、備份以及限制條件。

如果你仍在學習基本概念，我們的 服務概覽 與 常見問題 可以在你比較各家之間前先幫你建立理解。

先從工作範圍開始。問他們每天在管理什麼。這可能包含：員工電腦、伺服器、Microsoft 365 或 Google Workspace、網路設備、備份、軟體更新、防毒或端點偵測（endpoint detection）、以及與供應商間的協調。端點（endpoint）是指連到你商業系統的裝置，例如桌上型電腦、筆記型電腦或手機。

再問支援怎麼運作。了解營業時間、非營業時間的選項、使用者如何提出求助，以及針對緊急與非緊急問題的回應目標。許多供應商會使用 SLA，亦即 service level agreement（服務等級協議）。這份合約條款會說明預期的回應時間與支援條件。

用簡單的方式問資安基本項目。好的主題包括多因子驗證（multi-factor authentication），也就是 MFA，登入時會增加第二步；修補（patching），意思是保持軟體更新以修復已知問題；以及備份測試（backup testing），意思是確認備份真的能被還原。你也可以問他們是否使用 EDR，也就是端點偵測與回應（endpoint detection and response），一種用來協助偵測商業裝置上可疑活動的工具。

再問他們用哪些工具來管理系統，但不要被行話（buzzwords）帶跑。部分公司使用 RMM，亦即遠端監控與管理軟體（remote monitoring and management software）。這可能是正常且有用的。比較關鍵的是他們如何使用工具、監控什麼，以及他們如何與你溝通。

適合與否取決於你的規模、產業，以及你們團隊需要多少支援。對於使用基本雲端工具的小型辦公室，可能想要的是快速的服務台支援（help desk support）、裝置設定、安全基本項目，以及簡單的預算規劃。若是有多個據點、受到產業規範、或使用較舊系統的企業，可能需要更多規劃與更貼近現場的支援。

你也應該看溝通方式。如果你們團隊不偏技術背景，供應商應該有耐心且容易理解。他們應該解釋取捨（tradeoffs），而不是把你推進讓人難以理解的方案。對家族企業、成長中的公司，以及團隊中可能不是每個人第一語言都為英文的情況，這點更重要。

問清楚誰會協助規劃。有些供應商提供 vCIO，也就是虛擬首席資訊官（virtual chief information officer）。通常這代表有一位專人協助科技規劃、預算與優先順序，即使你們可能尚未大到可以聘請內部 IT 領導者。

如果你們處理受監管的資料，請問更具體的問題。HIPAA 是美國《健康保險可攜性與責任法案》（Health Insurance Portability and Accountability Act），是一部美國的醫療隱私法。PCI 通常指的是 PCI DSS，即支付卡產業資料安全標準（Payment Card Industry Data Security Standard），適用於處理信用卡付款的企業。SOC 2 是許多軟體供應商用來展示他們如何處理安全與控制（controls）的報告架構。需求會因產業與州而不同，所以要問供應商對你這類型企業的經驗。

對許多美國的小型到中型企業來說，託管式 IT 的定價常見於：依使用者（user）、依裝置（device），或以每月方案計費。一般的粗略區間約為每位使用者每月 100 到 250 美元，用於持續支援，實際會依人數、裝置數量、安全需求、支援時段以及你所在地區而有所不同。有些公司對基礎支援定價較低；但更偏資安或更強調合規的服務，價格可能會更高。

專案（project work）通常是另外計費。例子包括搬遷辦公室、大型網路升級、雲端遷移、伺服器更換，或資安改善。這些可能以固定專案價格或按小時計費。導入（onboarding）費用也很常見，特別是當你們系統混亂、沒有文件（undocumented），或已經過時。

對看起來很便宜的報價要小心，直到你讀完細節再下判斷。問清楚每月費用是否包含導入、（新）員工的設定、供應商支援、資安意識培訓、備份監控、非營業時間支援，以及到場拜訪。區間不是報價，而真實金額會取決於你們的環境。

備份就是另一個很好的例子。你可能會聽到 3-2-1 備份策略（backup approach）。意思是保存重要資料的 3 份副本，分別放在 2 種不同類型的儲存媒體上，並保留 1 份在場外（offsite）。不是每家企業都需要同樣的設定，但供應商應該能清楚說明你的選項。

慢慢閱讀合約內容。重點放在合約期限、取消規則（cancellation rules）、自動續約（auto-renewal）的字句，以及你離開時會發生什麼。一年期合約可能是合理的，但你應該理解通知期、離場（offboarding）費用，以及你們的文件是否會以可使用的形式交還給你。

看看哪些包含、哪些被排除（excluded）。硬體採購、軟體授權（software licenses）、網路服務（internet service）、雲端訂閱（cloud subscriptions），以及專案工作，通常都會與每月的支援費分開計費。先索取常見加購項目的例子，避免之後才發現有意料之外的費用。

也要問清楚所有權與存取權。你的企業應該知道哪些重要帳號、授權與文件是誰擁有（ownership）。你不需要把密碼或系統存取權交給 NodeBridge IT。我們只在協助你尋找獨立供應商時，才會收集商業與聯絡資訊。

最後，問問他們如何彙整與回報他們的工作成果。好的供應商通常會有定期檢視（check-ins）、簡明的報告，並且有流程用來審查未完成事項、風險，以及未來可能的需求。

在你開始打電話之前，先列一份短名單：把最在意的項目寫下來。寫清楚你們的員工人數（headcount）、據點數量、主要使用的軟體、任何合規疑慮、目前的痛點，以及你們是否需要快速支援、規劃協助、更強的資安基本項目，或三者都需要。這樣你和供應商的溝通會更有效率。

接著用相同的問題去比較各家供應商。每一家都問工作範圍、支援時段（support hours）、SLA（service level agreement）條款、資安做法、備份期望、合約長度，以及定價架構。當你保持提問一致時，要公平地比較不同公司就容易得多。

如果你想縮小名單，NodeBridge IT 可以協助你 找到 一家獨立的託管式 IT 供應商。我們的服務對企業是免費的。我們提供一般性的教育指引，並與參與的供應商進行連結，讓你能進行更好的對話，並做出更有依據的選擇。

如果你目前還沒準備好，也可以在下一步之前先瀏覽更多 白話英文的答案。