免費下載
供應商用IT上線(onboarding)提問清單
在你和託管式IT(managed IT)供應商簽約前,先使用這份清單。它能幫助你釐清有關支援、安全、備份、合約,以及未來若你離開時會發生什麼事等問題。
這份清單能幫你做到什麼
如果你以前從未聘請過託管式IT供應商(managed IT provider),只用價格來比較提案其實很容易。但這通常會忽略最重要的一塊:你成為客戶後,該供應商實際如何運作。這份清單能幫助你提出那些會直接影響日常服務的問題。
託管式IT供應商通常也叫做MSP(Managed Service Provider),是一家以每月費用支援與管理企業科技的公司。提出正確問題,可以讓你理解回應速度、誰負責安全工作、備份如何被檢查、包含哪些內容,以及哪些項目需要額外付費。
它也能讓你之後避免混亂。許多企業負責人直到簽約之後才才發現合約限制、回應期待落後,或是離場(offboarding)出問題。事先追問,能讓你更清楚地看見是否適配(fit)、風險,以及整體成本。
如果你想在使用這份清單後比較不同供應商,歡迎你我們可以幫你找到合適的供應商,且不收你費用。
如何使用這份清單
把這些問題帶到每一次銷售會議。向每家供應商提出相同的核心問題,並把答案記在同一個地方。這樣就能更容易做並排比較。
不用擔心顯得太基礎。好的供應商應該能用白話英文(plain English)解釋技術內容。若答案一直含糊、匆忙敷衍,或全是術語(jargon),那通常代表你需要注意的重點。
請他們提供例子,而不只是口頭承諾。舉例來說,如果供應商說他們回應很快,就追問他們針對緊急與非緊急問題的「正常回應目標」是什麼,以及這個目標是否已寫入合約。
- 對每一家供應商都使用相同的問題
- 詢問哪些內容包含在內、哪些需要額外付費,以及哪些是選配
- 在可能的情況下,要求把答案用書面形式提供
- 比較清楚程度,而不只是每月價格
你簽約前應該問的問題
先從支援與責任歸屬開始。你可以問:誰會是我們主要聯絡窗口?你們有客服支援台(help desk)嗎,服務時段是什麼時候?針對緊急、一般與低優先順序的問題,你們的回應目標是什麼?這有寫在服務等級協議(service level agreement,SLA)中嗎?SLA 是用來定義服務期待的文件。若需要到現場拜訪,你們支援嗎?那會花費多少?
接著問工具與日常管理方式。你可以問:你們會監控哪些設備?你們如何處理修補(patching),也就是安裝更新以修正錯誤與安全問題?你們使用遠端監控與管理(remote monitoring and management,RMM)軟體嗎?RMM 是供應商用來遠端監看裝置健康狀況並進行例行維護的工具。依你們的定價,哪些算是端點(endpoint)?端點通常指企業設備,例如筆電、桌機或手機。
再來用更實際的方式問安全。你可以問:你們是否協助設定多因素驗證(multi-factor authentication,MFA)?MFA 在登入時會增加第二步驟。你們是否提供端點偵測與回應(endpoint detection and response,EDR)?EDR 是會監看裝置是否有可疑活動的軟體。告警由誰審查?服務時段是什麼時候?你們提供哪些資安訓練或政策協助?誠實的供應商不應該承諾「絕對無法被駭入」的網路,但他們應該清楚說明自己的流程。
之後問備份、雲端系統與復原規劃。你可以問:哪些資料會被備份?備份頻率是多少?如何確認備份成功?你們是否採用 3-2-1 備份方式?也就是三份資料副本,分別放在兩種不同類型的儲存媒介上,其中一份副本保留在離站(off-site)。備份會保留多久?若出了問題,你們如何協助還原檔案或系統?哪些部分會被測試?多久測試一次?
最後問合約與離場流程。你可以問:合約期限多久?有沒有設置費(setup fee)?是什麼因素導致價格調整?如果我們增加人員或據點會怎麼辦?若我們離開,你們怎麼處理我們的資料、授權(licenses)、文件(documentation)以及雲端租戶帳號(cloud tenant accounts)?你們如何進行離場(offboarding),費用是多少、通常需要多久?順暢的離場流程往往比很多買家想像中更重要。
受監管產業與成長型企業的問題
如果你的企業處理受監管的資訊,就要問供應商如何支援你的產業需求。HIPAA 是美國針對特定醫療相關機構的健康隱私法律。PCI 指的是處理信用卡/付款卡(payment card)交易的企業所需遵循的付款卡產業規則。SOC 2 是許多軟體供應商用來描述其安全控制(security controls)的報告架構。不同產業與州別的要求會不同,因此請問供應商如何協助你們與律師、合規顧問或內部團隊協調。
如果你正在成長,也請順便問規劃相關問題。你們是否提供虛擬首席資訊官(virtual chief information officer,vCIO)服務?這代表可以在不聘請全職高階主管的情況下,提供策略性的IT規劃協助。你們能支援第二間辦公室、遠端員工、倉庫設備或多個軟體系統嗎?你們如何規劃像是搬遷辦公室、Wi‑Fi 更換,或 Microsoft 365 清理(cleanup)這類專案?
你也應該問他們如何文件化(document)你的環境。好的紀錄能讓支援更容易,也讓離場更安全。你可以問他們會維護哪些文件、如何更新,以及一旦合作關係結束,你會收到哪些資料。
拿到答案後該怎麼做
當你從幾家供應商取得回覆後,先找出其中的規律(patterns)。一家供應商可能在價格上最低,但在回應時間、下班後支援、或備份測試方面卻講得很含糊。另一家可能費用較高,但提供更完整的文件、清楚的上線/導入(onboarding),且更符合你的產業需求。
注意用語是否清楚、溝通是否明確。若供應商在合約前就能把事情講得很清楚,往往是未來合作關係的好跡象。反之,如果他們迴避基本問題、轉移話題,或不願把細節寫進書面資料,就要小心。
你不需要選最貴的方案,也不需要選術語聽起來最技術的那一家。你需要的是:其範圍(scope)、溝通方式(communication style)與流程(process)能符合你們的企業需求。每月成本的落差很大,會受到人數、設備量、安全需求與地點等影響;而任何「範圍」都不是正式報價(quote)。這份清單的目的不是替你決定,而是協助你做出更乾淨、清楚的決策。
如果你想要第二方的觀點,NodeBridge IT 提供免費比對(matching)服務。我們提供一般性的教育,並協助你找到符合你企業需求的獨立託管式IT供應商。我們不負責管理系統、不管理存取帳號(access accounts),也不會要求你提供密碼。
誠實提醒
NodeBridge IT 是免費配對服務,不是 IT 供應商。此處資訊為一般性與教育性內容——簽約前,請以書面方式向任何供應商確認涵蓋範圍、SLA 與價格。無人能保證正常運作、資安或復原能力。
在你簽約前,請每一家供應商都回答同樣的問題,特別是支援、安全、備份、合約,以及如果你離開要如何把資料與帳號拿回來。
常見問題
問MSP最重要的一個問題是什麼?
詢問每月費用包含哪些內容、哪些不包含,以及通常什麼情況會觸發額外費用。這個答案往往能看出你們的合作關係會不會那麼可預期。
我需要問回應時間(response time)或解決時間(resolution time)嗎?
兩個都要問。回應時間是他們多快承認問題並開始處理;解決時間則是通常要多久才能修好。這兩者不是同一件事。
在我還沒簽約前,需要先問離場(offboarding)嗎?
需要。只要你未來有任何機會更換供應商,你就會想要非常清楚:資料、帳號、授權與文件由誰負責、如何交接。供應商應該能夠用平靜且清楚的方式說明離場流程。
如果我看不懂他們提案裡的技術用語怎麼辦?
請他們用白話英文逐一解釋每個名詞。好的供應商應該能夠很自在地做到這一點。你也可以使用我們的免費比對服務,如果你希望找到溝通更清楚的供應商,我們可以協助你。
供應商能保證不會停機(downtime)或不會發生資安事件(security incidents)嗎?
不行。任何誠實的供應商都不應承諾零停機或完美無瑕的安全網路。供應商應該做的是:清楚說明他們的流程、工具、限制,以及在問題發生時如何降低風險並回應處理。