香港中小企揀 IT 外判公司時,不應只問「每月幾錢」。真正要先問的是:哪些系統受支援、故障多久有人回覆、資料誰可存取、備份如何還原、網站和電郵出事誰負責,以及合作完結時帳號和文件怎樣交回。
IT 外判做得好,可以讓公司不用自建完整 IT 團隊,也能處理網站維護、雲端工具、電郵、備份、資安、AI chatbot、CRM 和系統支援。做得差,則會變成「平時沒事,出事無人認」:網站停機、電郵收不到、員工離職帳號未關、客戶資料散落不同平台,最後由老闆和營運團隊承擔風險。
本文用 LoftyGroup 常見的顧問檢查框架,整理香港中小企簽 IT 外判或 managed IT support 合約前應該寫清楚的 SLA、資安、交接和報價項目。
先分清:你買的是臨時技術支援,還是長期 IT 管理?
很多報價都叫 IT 外判,但實際範圍可以相差很遠。臨時技術支援通常是有問題才叫人處理;長期 IT 管理則會定期檢查網站、備份、帳號、權限、雲端服務、資安更新和使用量,並用月報把風險和改善項目列出。
如果公司只是偶爾需要設定電郵或修電腦,按次支援可能足夠。但如果公司依賴網站查詢、WhatsApp、CRM、電商、預約、內部系統或雲端文件營運,就應把 IT 外判視為營運風險管理,而不是單純維修服務。
IT 外判 SLA 應該怎樣寫?先把優先級分清楚
SLA 最常見的錯誤,是只寫「盡快處理」或「24 小時支援」。這些字眼不足以管理風險。合約應該把不同類型事件分級,並分開寫回應時間、處理時間、臨時緩解方案和升級機制。
| 事件級別 | 例子 | 建議合約寫法 | 買家要問清楚 |
|---|---|---|---|
| P1 緊急停擺 | 網站下線、電郵全公司不能收發、付款或預約系統不能用、疑似資料外洩。 | 列明支援時段、初次回應時間、升級聯絡人、臨時恢復方案和事故報告。 | 是否包括非辦公時間?是否有電話或 WhatsApp 緊急通道? |
| P2 重要功能受影響 | CRM 部分用戶不能登入、網站表格偶發失效、雲端檔案同步錯誤。 | 列明當日或下一個工作天處理、是否需要遠端或現場支援。 | 會否先提供 workaround,避免銷售或客服停工? |
| P3 一般支援 | 新增帳號、重設權限、電腦設定、插件小更新、報表調整。 | 列明工單處理時限、每月包括時數或次數、超出後收費。 | 哪些項目屬月費內,哪些屬項目收費? |
| P4 改善和規劃 | SEO 技術優化、網站速度改善、CRM 流程重整、AI chatbot 擴充。 | 以獨立小項目或 roadmap 處理,不應混入日常救火 SLA。 | 是否有月報和季度改善建議? |
報價比較清單:不要只看月費
香港 managed IT services 競爭頁面常見賣點包括固定月費、全方位支援、雲端管理、資安監察和 helpdesk。這些方向有參考價值,但買家更應把報價拆成可驗收項目。否則「月費平」可能只是少包了備份、網站維護、資安監察、現場支援或緊急處理。
- 支援多少名用戶、多少部電腦、多少個電郵帳號?
- 支援時段是辦公時間、延長時間,還是 24/7 緊急支援?
- 是否包括網站 hosting、CMS 更新、插件更新、SSL、DNS 和 domain 管理?
- 是否包括 Microsoft 365、Google Workspace、雲端檔案權限和離職帳號處理?
- 是否包括備份檢查和還原測試,還是只「有備份」?
- 是否包括 endpoint protection、MFA、密碼政策和基本資安檢查?
- 是否包括每月 IT 健康報告、風險清單和改善建議?
- 現場支援、緊急支援、系統開發、SEO 技術改動和 AI chatbot 擴充怎樣收費?
- 合約完結時會否交回管理員帳號、DNS、hosting、文件、流程圖和備份位置?
資安和個人資料:外判不等於責任外判
香港 PCPD 關於資料處理者的指引重點之一,是資料使用者需要用合約或其他方式,防止轉交予資料處理者的個人資料被保留過久,並防止未授權或意外存取、處理、刪除、遺失或不當使用。換句話說,即使 IT 供應商代管網站、CRM、電郵或備份,公司本身仍然需要管理供應商風險。
中小企不一定需要大型企業級合規文件,但至少要在合約和流程上寫清楚以下事項:
- 最小權限:供應商只取得完成工作所需的帳號和權限,不應長期共用超級管理員帳號。
- MFA 和密碼:後台、雲端、DNS、hosting、CMS 和 CRM 都應啟用多重驗證或強密碼政策。
- 資料保留:備份、測試資料、舊表格匯出和客服紀錄要有保留期限和刪除流程。
- 事故通報:疑似外洩、帳號被盜、網站被植入惡意碼時,誰在多久內通知誰。
- 離職和換供應商:員工或供應商離開時,如何停用帳號、交回資料和更新密碼。
網站、SEO 和 IT 外判要連在一起看
很多公司把網頁設計、SEO、hosting、電郵和 IT 支援分開找不同供應商。這不是一定錯,但責任邊界要非常清楚。網站變慢時,是 hosting、圖片、CMS、外掛、DNS 還是第三方 script?重新製作網站時,舊 URL、301 redirect、canonical、robots、sitemap 和 Search Console 由誰處理?
Google Search Central 的網站遷移文件提醒,URL 改動需要計劃,否則可能影響搜尋結果。對香港中小企來說,這代表 IT 外判合約若包括網站維護,就不應只寫「更新網站」,而要列明 SEO 技術責任。
- 香港網頁設計項目應在上線前確認 title、meta、H1、canonical 和 sitemap。
- SEO 服務應與技術維護配合,避免內容做好但網站速度、索引或轉址出錯。
- 系統開發和 CRM 整合應把權限、資料保留和備份列入需求,而不是上線後才補。
- AI Chatbot若接觸客戶查詢,要設人工接手、敏感資料提示和紀錄保留規則。
交接條款:最容易被忽略,也最容易出事
IT 外判合作最怕「所有東西都有人做,但沒有文件」。初期看似省事,換人、換供應商或遇到事故時就會變成黑盒。合約應要求供應商維護一份基本資產清單和交接文件。
| 交接項目 | 應包含內容 | 缺失風險 |
|---|---|---|
| 帳號和權限 | 管理員帳號、角色分配、MFA、離職停權流程。 | 離職員工或舊供應商仍可登入。 |
| 網站和網域 | domain、DNS、hosting、CMS、SSL、部署方式、備份位置。 | 網站下線時無法快速定位責任。 |
| 雲端和電郵 | Microsoft 365 或 Google Workspace 設定、群組、共享資料夾、保留政策。 | 客戶文件散落私人帳號或離職帳號。 |
| 系統和整合 | CRM、API、Webhook、付款、WhatsApp、AI chatbot 和通知流程。 | 小改動可能影響銷售、客服或報價流程。 |
LoftyGroup 建議的 IT 外判評估流程
LoftyGroup 通常不會一開始就用固定套餐套落每間公司。比較穩陣的做法,是先確認業務依賴哪些系統,再把支援分成「日常維護」、「緊急支援」、「改善項目」和「長期數碼化 roadmap」。
- 盤點:列出網站、domain、電郵、雲端、CRM、表格、付款、AI、內部系統和關鍵帳號。
- 分級:判斷哪些系統停 1 小時已影響收入,哪些可安排在工作日處理。
- 補風險:檢查備份、MFA、權限、離職流程、網站 SEO 技術和資料保留。
- 定 SLA:按 P1 至 P4 分級設定回應、處理、升級和報告方式。
- 做 roadmap:把網站重做、SEO、AI chatbot、CRM 或系統開發拆成可預算的階段。
外部參考與競爭內容觀察
本地 IT 外判和 managed IT services 搜尋結果普遍強調固定月費、helpdesk、24/7 支援、雲端、資安、備份和中小企成本效益。本文補上的,是買家在簽約前可直接使用的 SLA、資料責任、SEO 技術邊界和交接檢查框架。
- PCPD:Outsourcing the Processing of Personal Data to Data Processors,用作資料處理者責任和合約控制參考。
- CLIC:資料處理外判下的資料保障原則,用作 DPP 2(3) 和 DPP 4(2) 買家風險參考。
- Google Search Central:Site moves and migrations,用作網站改版和 URL 變更的 SEO 風險參考。
下一步:先做一份 IT 風險和支援範圍清單
如果你準備比較 IT 外判報價,建議先不要急著要求供應商給最低月費。更有效的第一步,是列出公司依賴哪些系統、哪些資料最敏感、哪些故障會直接影響收入,以及現有帳號和備份是否可交接。
你可以把公司人數、現有網站、電郵和雲端平台、常見 IT 問題、需要支援的系統和期望支援時段,透過 LoftyGroup WhatsApp 傳給我們。LoftyGroup 可先協助判斷你需要的是基本 IT 支援、網站維護、系統開發,還是完整 IT 外判管理方案。
FAQ:IT 外判合約與 SLA 常見問題
香港中小企 IT 外判合約最少要寫甚麼?
最少要寫清楚服務範圍、回應時間、處理時間、支援時段、例行維護、備份、資安責任、資料存取權限、緊急事故通報、月報、退出交接和額外收費方式。不要只寫「包 IT 支援」,否則故障、離職交接、資料外洩或系統升級時很難追責。
SLA 回應時間和修復時間有甚麼分別?
回應時間是供應商收到求助後多久確認和開始處理;修復時間是問題多久內恢復到可接受狀態。電郵設定、打印機、網站下線、伺服器故障和疑似資料外洩應該有不同優先級,不能全部用同一個承諾。
IT 外判公司會否直接接觸客戶個人資料?
視乎服務而定。若供應商管理網站表格、CRM、電郵、雲端檔案、備份或客服系統,就可能接觸個人資料。香港企業仍要以合約或其他方式要求處理者防止資料保留過久、未授權存取、遺失或不當使用。
每月 IT 外判報價應該怎樣比較?
不要只比較月費。要把用戶數、設備數、支援時段、現場支援次數、備份、資安監察、網站維護、雲端授權、緊急支援、月報和項目型改動分開列出,否則最平方案可能在真正需要時變成逐項收費。
找 LoftyGroup 評估 IT 外判前要準備甚麼?
建議準備公司人數、裝置數、現有網站和系統、電郵和雲端平台、常見 IT 問題、最重要的營運系統、是否處理個人資料、期望支援時段、現有供應商資料和預算範圍。LoftyGroup 可先協助整理支援範圍和風險清單。
需要香港網頁設計或 IT 外判報價?
把你的公司背景、網站目標、預算範圍、功能清單和上線時間傳給 LoftyGroup,我們可以協助整理需求、評估技術方案,並提供清晰報價方向。
- WhatsApp:+852 9175 0707
- 電郵:info@loftygroup.com.hk
- 地址:Unit 2305, 23/F, Metroplaza Tower II, 223 Hing Fong Road, Kwai Fong, N.T., Hong Kong
最後更新:2026年6月16日。內容會按香港中小企網站、SEO、IT 外判及 AI 應用需求持續更新。
