香港中小企轉 IT 外判公司,最重要不是「新公司幾快開始支援」,而是頭 30 日有沒有把帳戶、設備、網站、DNS、電郵、備份、SLA、資料權限和舊供應商交接一次過查清。如果交接只靠 WhatsApp 幾句「有問題搵我」,之後網站停機、電郵收不到、CRM 無人有 admin 權限、備份原來不能還原,成本通常比月費差價高得多。
本文不是重複一般 IT 外判服務 好處,而是整理一份可執行的 onboarding 清單,適合正在轉 IT 公司、首次外判 IT、或準備把網站維護、雲端工具、公司網站、內部系統、AI chatbot 和 SEO 支援交給同一技術團隊的香港中小企。
先講結論:IT 外判交接要用「30 日風險降級」思維
很多公司轉 IT 外判時,只問新供應商幾時上門、每月包幾多小時、電話支援是否即時。這些問題當然要問,但真正決定交接成敗的,是頭 30 日是否把不可逆或高影響風險先降級。
高影響風險包括:公司域名不是公司持有、DNS 由舊供應商控制、Microsoft 365 沒有全域管理員、員工離職後帳號仍可登入、NAS 或雲端備份未做還原測試、網站改版後沒有 301 redirect、CRM API key 散落在個人電腦、以及客服 WhatsApp 沒有清楚交接。
- 第 1 週:鎖定 ownership,包括 domain、hosting、雲端管理員、設備密碼、合約和付款帳戶。
- 第 2 週:盤點現況,包括員工、設備、軟件、網站、DNS、備份、SaaS、API、支援紀錄。
- 第 3 週:補保安缺口,包括 MFA、離職帳號、共享密碼、endpoint protection、備份還原測試。
- 第 4 週:建立新支援流程,包括 ticket 分級、WhatsApp 急件規則、月報、改善 roadmap。
IT 外判交接總表:哪些項目必須交清?
以下清單可直接用來跟舊 IT、新 IT、內部 admin、網站公司和雲端服務供應商開交接會。重點不是收集最多文件,而是確保每個系統都知道「誰擁有、誰可登入、誰負責、出事點回復」。
| 交接範圍 | 必須取得 | 常見風險 | 30 日內要完成 |
|---|---|---|---|
| 域名、DNS、SSL | 註冊商登入、DNS zone、SSL 到期日、付款帳戶、技術聯絡人 | 域名在舊供應商名下、無法改 MX 或網站紀錄、SSL 到期才發現無登入 | 轉回公司名下或指定管理員;建立 DNS 變更紀錄 |
| 網站、CMS、SEO | 網站後台、hosting、Git 或備份、sitemap、Search Console、analytics | 改 hosting 後 canonical、robots、redirect 或表單追蹤出錯 | 備份網站;核對 301、canonical、表單、CTA 和索引狀態 |
| Microsoft 365 / Google Workspace | 全域管理員、授權、群組、共用信箱、MFA 狀態、離職帳號 | 只有舊 IT 有 admin、前員工仍可收信、共用密碼無人知誰用過 | 建立公司控制 admin;檢查 MFA 和帳戶生命週期 |
| 網絡與設備 | 路由器、防火牆、Wi-Fi、NAS、打印機、CCTV、VPN、保養資料 | 設備密碼遺失、firmware 過舊、VPN 帳號未停用、無網絡圖 | 畫出網絡圖;分級更換密碼;記錄保養和替換優先次序 |
| 備份與還原 | 備份位置、頻率、保留期、加密、最近還原測試、負責人 | 以為有 backup,但未試過 restore;備份也被同一 admin 帳號控制 | 做一次抽樣還原測試;把結果寫入月報 |
| CRM、AI、API、SaaS | 系統 owner、API key、Webhook、整合流程、表單通知、付款資料 | 網站查詢、WhatsApp bot、CRM lead flow 斷線但無人即時知道 | 建立整合清單;安排監察和異常通知 |
第 1 週:先處理 ownership,不要急住改系統
交接第一週最忌「一入場就改設定」。如果未確認備份、權限和回復方法,任何改動都可能放大風險。比較穩妥的做法,是先確認公司能否控制核心資產。
- 確認域名持有人:WHOIS 未必顯示全部資料,但公司內部要知道註冊商、付款卡、登入電郵和 2FA 裝置。
- 建立公司控制的 admin:Microsoft 365、Google Workspace、CMS、hosting、CRM、analytics 都應有公司可控制的管理員。
- 保留舊供應商權限但降低風險:未完成交接前不要即時刪除舊帳戶,先改成可審計、有限權限或臨時有效期。
- 要求舊供應商交出文件:網絡圖、設備清單、備份設定、授權紀錄、近期工單和未完成事項。
- 列出付款和續期:domain、hosting、SSL、SaaS、軟件授權和保養合約要知道何時到期、誰付款。
如果公司同時有 SEO 服務 或網站改版,Search Console、Google Analytics、Tag Manager、CMS 和 DNS 更要同時交接。否則新 IT 解決了電郵,卻可能令網站查詢表單、追蹤或搜尋排名受影響。
第 2 週:盤點設備、SaaS 和支援範圍
第二週要把「IT 支援範圍」由口頭理解變成可管理清單。很多月費爭議不是因為供應商惡意,而是合約沒有寫清楚:電腦、打印機、Wi-Fi、網站、電郵、CRM、AI chatbot、NAS、CCTV、門禁、POS、ERP,哪些包、哪些不包。
| 盤點項目 | 應記錄欄位 | 買家決策提示 |
|---|---|---|
| 員工與帳號 | 姓名、部門、電郵、SaaS 權限、MFA、離職日期、共用帳號 | 如果沒有 offboarding 流程,IT 外判應先補員工入職離職權限表 |
| 端點設備 | 電腦型號、序號、OS、保養、加密、endpoint protection、使用者 | 不要只數電腦數量;舊機、無加密和無防護才是風險來源 |
| 網絡設備 | 位置、IP、用途、登入方式、保養、firmware、備援安排 | 如果公司依賴 VPN 或分店網絡,應把 P1 SLA 寫得比普通 helpdesk 更嚴格 |
| SaaS 與授權 | 服務名稱、owner、付款、授權數、整合、資料類型、續期日 | CRM、會計、HR、電商和 WhatsApp 工具通常涉及個人資料和營運資料 |
| 網站與查詢流程 | CMS、hosting、DNS、表單收件、WhatsApp CTA、tracking、backup | 網站不是純 marketing 資產,出事會直接影響 leads 和搜尋表現 |
第 3 週:補保安缺口,尤其是資料和備份
IT 外判交接時,保安改善要有先後次序。立即把所有密碼一次過改掉,看似安全,但如果未確認 recovery email、MFA 裝置和 backup,反而可能鎖死公司自己的系統。
較實際的順序是:
- 確認所有核心系統都有公司可控制的 owner account。
- 開啟或重設高權限帳戶 MFA,避免只靠一個舊手機或個人電郵。
- 停用或降權離職員工、前供應商和不明共用帳號。
- 更換 DNS、hosting、CMS、firewall、NAS、CRM 等高風險密碼。
- 檢查備份是否獨立、加密、可還原,並抽樣 restore。
- 把資料處理、事故通知、交還資料和刪除資料寫入合約或支援條款。
香港私隱專員公署的外判資料處理指引提醒,機構把個人資料處理交給資料處理者時,仍要採取合約或其他方法保障資料。換句話說,公司不能因為「交咗畀 IT 外判」就完全不理權限、保留期和事故通知。
第 4 週:把支援流程變成可量度,而不是靠人情
交接最後一週,要把新 IT 外判服務由「識人幫手」變成可量度的支援流程。對香港中小企來說,最有用的不是厚厚的 ITIL 文件,而是清楚知道:急件如何報、誰決定優先級、多久回覆、何時升級、每月交付甚麼報告。
- P1 業務中斷:網站、電郵、CRM、支付、主要網絡或整個部門不能工作,應有即時通報和升級人。
- P2 重要功能受影響:部分使用者或功能故障,有 workaround,但會影響客戶或營運。
- P3 一般支援:單一電腦、打印機、軟件設定、帳號權限或非緊急問題。
- P4 改善和諮詢:新工具、流程自動化、網站功能、SEO tracking、AI chatbot 或系統優化。
如果公司主要靠 WhatsApp 溝通,可以保留 WhatsApp 作入口,但仍應每月整理支援紀錄、重複問題、未完成項目、風險等級和改善建議。這樣老闆或營運主管才知道 IT 月費換來甚麼,而不是只在出事時才想起 IT。
網站、SEO 和 IT 外判要一起交接,否則很容易互相卸責
很多香港中小企把網站交給 web agency,把電郵和電腦交給 IT 外判,把 SEO 交給另一間公司。這不是不可以,但交接時一定要界定邊界,否則出事時會變成「DNS 是 IT」、「redirect 是網站公司」、「tracking 是 SEO」、「表單是 CRM」互相推。
如果公司正在做 香港網頁設計、網站改版 或 網站維護,IT onboarding 必須加入以下項目:
- 網站備份和 staging 是否可用。
- DNS、MX、SPF、DKIM、DMARC 是否記錄清楚。
- Search Console、Analytics、Tag Manager 是否屬公司帳戶。
- 表單、WhatsApp CTA、CRM lead flow、電郵通知是否有測試紀錄。
- 改版或轉 hosting 時,301 redirect、canonical、robots 和 sitemap 是否有人負責。
- 網站、SEO、IT 外判各自的 P1 聯絡人和處理時間。
Google Search Central 的網站遷移文件亦提醒,URL 或網站架構變動需要計劃 redirect、sitemap 和監察搜尋影響。IT 外判如果接手 hosting 或 DNS,但不理解 SEO 基礎,可能在技術上「搬到站」,但商業上令詢盤下跌。
供應商比較:交接期應問 12 條實戰問題
比較 IT 外判公司時,不要只問月費和包幾多次上門。以下問題更能分辨供應商是否懂得接手現實中的中小企環境。
- 你們第一週會要求我們提供哪些 admin 權限和文件?
- 如果舊 IT 不合作,你們如何協助盤點域名、DNS、電郵和設備?
- 會否提供 30 日 onboarding 報告?包括哪些風險級別?
- 如何處理離職員工帳號和不明共用密碼?
- 備份會否做還原測試?測試結果如何記錄?
- Microsoft 365、Google Workspace、NAS、firewall、VPN 是否在支援範圍?
- 網站、DNS、hosting、SSL、Search Console 和表單追蹤是否懂得一併檢查?
- 資料處理、保密、分判和事故通知會否寫入條款?
- P1 至 P4 的回應時間、升級人和溝通渠道是甚麼?
- 月報會包括支援紀錄、重複問題和改善建議嗎?
- 如果日後終止服務,資料和文件如何交還?
- 除了 helpdesk,能否支援 SEO、AI chatbot、CRM 或系統整合的技術邊界?
LoftyGroup 的 IT 外判交接方法
LoftyGroup 做 IT 外判或技術支援時,會先把「營運不中斷」和「資產可控」放在報價前面。對中小企而言,最重要不是買一份看起來很大的支援套餐,而是知道哪些系統最影響現金流、客戶查詢和日常營運。
常見交接輸出包括:
- IT 資產和帳戶清單:domain、DNS、hosting、電郵、SaaS、設備、授權。
- 風險優先表:P1 停機風險、保安風險、付款續期風險、資料風險。
- 網站和 SEO 技術檢查:canonical、robots、sitemap、redirect、表單和 CTA。
- 備份和還原測試紀錄:哪些資料已備份、如何還原、誰負責監察。
- 支援流程:WhatsApp、email、ticket、急件升級、月報和改善 roadmap。
- 後續改善:IT 外判、SEO、系統開發、AI chatbot 或網站維護的分階段方案。
外部參考:交接時要留意的資料、SEO 和供應商責任
以下資料不是用來堆砌引用,而是幫公司在交接時把責任寫清楚:
- PCPD:Outsourcing the Processing of Personal Data to Data Processors,可作資料處理外判合約和保安責任參考。
- CLIC 個人資料外判責任解釋,提醒資料使用者仍需為獲授權資料處理者行為承擔責任。
- Google Search Central:Site moves and migrations,適合網站、URL、hosting 或 domain 轉移時參考。
- Google Search Central:Canonical URL guidance,適合檢查網站交接後 canonical 是否正確。
下一步:先做一次 30 分鐘交接風險初查
如果你正準備轉 IT 外判公司、舊 IT 回覆慢、公司網站和電郵由不同供應商處理,或者你不確定誰擁有 domain、DNS、Microsoft 365、網站後台和備份,建議先做一次簡短交接初查。
可以把現有網站、電郵平台、員工人數、主要 SaaS、是否有 NAS 或 VPN、以及最擔心的停機情況發給 LoftyGroup WhatsApp。我們可先幫你整理 30 日交接優先次序,再決定是否需要完整 IT 外判、網站維護、SEO 技術支援或系統整合方案。
FAQ:IT 外判交接常見問題
IT 外判交接通常要幾耐?
香港中小企如果已有清楚帳戶清單、設備清單和供應商聯絡,一般可用 2 至 4 星期完成基本交接;如果牽涉 Microsoft 365、Google Workspace、網站、CRM、NAS、VPN、門禁或多個舊供應商,應預留 30 至 60 日分階段處理,避免一次過轉移造成停機。
轉 IT 外判公司前最容易漏咩?
最常漏的是域名、DNS、SSL、網站後台、雲端備份、離職員工帳號、共用 admin 密碼、路由器和防火牆登入、軟件授權、第三方 API key、以及誰負責保管還原測試紀錄。這些項目未交清,日後出事很難追責。
新 IT 外判公司應唔應該即刻改晒密碼?
不應盲目一次過改晒。較安全做法是先盤點權限、確認備份、建立新管理員帳號和 MFA,再分批更換高風險密碼及停用不明帳戶。網站、DNS、電郵和支付相關系統要先確認回復方法。
IT 外判 onboarding 要唔要簽資料處理條款?
如果外判公司會接觸客戶資料、員工資料、CRM、電郵、表單查詢、網站後台或備份,合約應寫明資料保密、權限、分判、保留期、事故通知、刪除或交還資料安排。香港公司仍要為個人資料使用承擔責任,不能只把責任推給外判商。
LoftyGroup 可以幫公司做 IT 外判交接審查嗎?
可以。LoftyGroup 可協助香港中小企檢查網站、DNS、hosting、Microsoft 365 或 Google Workspace、備份、CRM、AI chatbot、內部系統和支援流程,整理 30 日交接清單、風險優先次序和後續改善 roadmap。
需要香港網頁設計或 IT 外判報價?
把你的公司背景、網站目標、預算範圍、功能清單和上線時間傳給 LoftyGroup,我們可以協助整理需求、評估技術方案,並提供清晰報價方向。
- WhatsApp:+852 9175 0707
- 電郵:info@loftygroup.com.hk
- 地址:Unit 2305, 23/F, Metroplaza Tower II, 223 Hing Fong Road, Kwai Fong, N.T., Hong Kong
最後更新:2026年6月23日。內容會按香港中小企網站、SEO、IT 外判及 AI 應用需求持續更新。
