律所需要一份真正可用的SLA

一家小型律師事務所已經成長到：以前那種「隨便找人幫一下」的非正式 IT 支援，已經不再適用。他們一度勉強撐著：出問題時就請當地技術人員處理，再加上幾條軟體供應商的客服支援專線，還有辦公室裡似乎最熟電腦的人幫忙。

起初這看起來很實用，也很熟悉，還「似乎比較便宜」。但隨著時間推移，簡單的問題開始拖太久。印表機出狀況，最後變成半天來回折騰。新員工等了好幾天才完成筆電設定。網路中斷導致各供應商之間互相甩鍋。沒人確定到底誰擁有哪些責任或權限。

他們不想要任何花俏的東西。他們想找一家提供託管式 IT 服務（常被稱為 MSP）的供應商，能夠給他們一個主要聯絡電話、清楚的流程，以及一份書面的服務等級協議（Service Level Agreement，SLA）。SLA 是服務協議中的那部分，用來說明包含哪些支援類型、如何處理支援請求，以及常見的回應目標。

他們並不是在要求魔法。他們明白誠實的供應商不會承諾零停機或不可被駭的網路。他們想要的是更簡單的做法，以及負責任、可追蹤的管理方式。

最大的問題不只是速度，而是不確定性。當員工寄信求助時，他們常常不知道有人有沒有看見。如果打電話，可能只會遇到語音信箱；有人之後到場，也無從得知已做了什麼、還有哪些事項待處理、以及同一個問題之前是否曾發生過。

這在律師事務所特別重要。律師與員工都要在截止期限前完成工作。他們也會接觸敏感的客戶資訊。他們需要系統被一致地設定、更新需要被追蹤、而支援請求不能像消失在黑洞裡一樣找不到下文。需求會因執業領域、州別、以及事務所使用的特定工具而不同，但多數事務所都希望能清楚處理：使用者帳號的建立、裝置支援、電子郵件問題、檔案存取問題，以及基本的安全步驟。

他們同時也缺少例行工作的結構化流程。修補程式（patching）是指套用核准的軟體與作業系統更新。端點（endpoints）是使用者的裝置，例如筆電、桌機與手機。事務所不需要自己變得很技術，但他們需要一位供應商能用白話解釋：這些基礎工作由誰負責、多久做一次。

他們也想弄清楚安全方面的期望。多因素驗證（Multi-factor authentication，MFA）表示使用者在登入時除了帳密之外，還要透過第二步驟完成驗證，例如驗證碼或系統提示。端點偵測與回應（Endpoint Detection and Response，EDR）是一種軟體，能協助偵測裝置上的可疑活動，並支援調查與回應。事務所聽過這些名詞，但從沒有人清楚說明：以他們這種規模的公司，什麼是合適的？又有哪些安全措施其實已經被落實了？

一份書面的 SLA 能幫助事務所提出更好的問題。不是因為文件本身能解決一切，而是因為它迫使雙方把基礎都定義清楚：使用者要怎麼提交支援請求？什麼算是緊急？支援時段是什麼時候？是否提供非上班時間的協助？新員工的設定是否包含在內？當網路、電話或軟體問題彼此交疊時，供應商的聯絡與協調是否會同步進行？

沒有這樣的結構，每個問題都像是「私人問題」，也容易變成臨時拼湊的處理方式。有了它，辦公室主管就能指向一個流程，而不是到處追問人員。律師也能和員工建立一致的預期。供應商也能更一致地優先處理工作。對所有人都更好。

事務所也了解到：最好的 SLA 不一定是最長的那一份。它應該好讀、可理解；要符合辦公室的規模；要描述真實的工作流程，而不只是廣泛的承諾。如果供應商使用遠端監控與管理（Remote Monitoring and Management，RMM），代表他們用的是軟體工具來觀察裝置狀況，並協助管理例行支援任務。事務所不需要自己去存取這些工具；他們只想知道供應商確實有一套系統在運作。

為了規劃，他們也想了解供應商是否提供策略性的建議。有些 MSP 會包含一位虛擬首席資訊官（virtual Chief Information Officer，vCIO）。vCIO 是協助企業規劃科技決策、預算與長期優先順序的人。對小型事務所而言，這可能是一整套計畫，也可能只是定期的建議。只要定義清楚，兩者都可能有用。

辦公室主管不想花好幾週去整理各種技術網站，還要應付一堆銷售電話。這時就輪到 NodeBridge IT 出場了。我們不是 MSP、也不是 IT 公司、或資安公司。我們不會管理系統、不會監控網路、也不會修電腦，或存取帳號。我們提供的是一般性的教育資訊，並提供免費的配對，幫助你找到獨立的託管式 IT 供應商。

事務所分享了基本的商業資訊，例如辦公室規模、地點、主要痛點，以及他們想要的支援體驗。他們不需要交出密碼、網路憑證或系統存取權限；這不在我們的流程之中。根據匹配程度，我們協助他們 get matched，把更有機會提供事務所所需結構的供應商找出來，其中包括書面的 SLA 與清楚的支援流程。

這改變了對話方式。與其一開始就陷入術語，事務所可以用實際面向做比較：工單是怎麼被追蹤的；誰接電話；是否包含新進與離職員工的上線/下線流程；供應商之間如何協調；報表長什麼樣子；帳單是怎麼被說明的。目標並不是找到「最完美」的供應商，而是找到最適合這間辦公室的規模、工作節奏與期望。

和許多小型事務所一樣，成本也很重要。美國的託管式 IT 定價通常是：持續支援每位使用者每月約 $100 到 $250 之間；但在牽涉到資安、合規支援、多地點、非上班時間支援，或較複雜的法律軟體時，費用可能更高。專案工作、上線導入與設備費用常常是另外計算。以上都是區間，不是報價單；實際費用會依人數、裝置數量、安全需求，以及地區而定。

最大的改善並不是每個問題都突然消失；而是支援變得可預期。員工知道支援請求該送去哪裡。辦公室主管也能確認問題是否已被接收並被處理。新進人員的設定不再每次都得從頭再摸索。例行工作也會被分配，而不是被假設「會有人處理」。

事務所也更清楚地討論備份與復原。3-2-1 備份方式是指保留資料的三份拷貝，分別儲存在兩種不同類型的儲存媒體上，並且其中一份在異地（offsite）。這並不能保證所有情境都能復原，但它能提供一個對規劃很有用的框架。對律師事務所來說，這也有助於追問：誰會檢查備份？多久測試一次還原？哪些系統包含在備份範圍內。

他們也學會了提出更好的合規問題。HIPAA 是《健康保險可攜性與責任法案》（Health Insurance Portability and Accountability Act），若事務所因特定事務或客戶而處理受保護的健康資訊（PHI），可能會適用。PCI 指的是《支付卡產業資料安全標準》（Payment Card Industry Data Security Standard），若企業儲存、處理或傳輸卡片資料，這就很重要。SOC 2 是一種許多軟體供應商用來描述特定安全控制的報告架構。並不是每間律師事務所都需要對這些項目投入相同程度的關注，而且需求會因產業與州別而異，但一位好的供應商應該能解釋：哪些地方跟你們息息相關、哪些地方不必太在意。

最重要的是，事務所不再只靠記憶與善意在撐。他們把服務範圍定義清楚、把期望文件化，並建立一個主要的聯絡關係來管理。

如果你的公司已經超出「臨時找人處理 IT」的階段，你可能不需要先找更多工具。你可能需要的是更清楚的責任歸屬。一份書面的 SLA 不一定能解決所有問題，但它能讓支援更可衡量、更容易理解，也更容易被管理。

先從白話的問題開始問：我們要怎麼提出求助？誰來回應？包含哪些內容？哪些是額外費用？緊急狀況怎麼處理？我們會收到哪些報表？新進與離職員工如何處理？如果你目前的安排讓這些問題很難回答，那也許就是該比較方案的時候了。

你可以閱讀更多像這樣的 stories，或如果你希望有人協助你找尋符合你事業需求的獨立託管式 IT 供應商，則可 get matched。我們把事情保持簡單，而且這項服務對企業是免費的。