答案
如何处理离职员工的 IT?
当有人离开你的公司时,应在同一天就审核其 IT 访问权限。一个简单的离职交接(offboarding)清单有助于在不把事情变成危机的情况下,保护电子邮件、文件、电话、应用以及客户信息。
简短答案
用可重复的离职交接清单来处理离职员工的 IT。基础其实很简单:移除或限制访问权限、收回公司设备、保存业务数据,并更新哪些人可以批准付款、查看文件或登录关键应用。
这同样适用于员工是否“好聚好散”的情况。员工离开后出现的大多数问题并不戏剧化。通常是一些小漏洞,比如旧的邮箱登录仍然有效、个人手机仍在接收公司的信息、或者没有人知道某个重要文件存放在哪里。
如果你有独立的托管式 IT 服务提供商(MSP),也就是会持续管理和支持企业 IT 的公司,通常可以帮助你制定并落实流程。如果你没有,NodeBridge IT 可以帮助你找适合你业务的独立提供商。
这对你的业务为什么重要
一旦离职交接被匆忙推进,访问权限可能会比应有的时间更久仍然开放。这会影响电子邮件、云端文件存储、会计工具、客户关系软件、薪资发放、团队聊天、电话系统以及远程登录。它也可能让仍在岗位上的员工产生困惑。
还有业务连续性问题。如果某个人负责供应商登录、报表、客户文件或共享收件箱,你需要一个清晰的交接。好的流程既能保护公司,也能让接手的人更快进入状态。
对一些公司来说,还存在法律或合规要求。具体取决于行业和所在州。例如,HIPAA(健康保险携带和责任法案,用于保护健康信息)或 PCI(指支付卡安全要求)可能会影响访问权限应如何被管理和记录。
良好做法是什么
理想的离职交接应尽量在最后一天之前就开始:先确定访问权限应在何时变化。有些情况下是工作日结束;另一些情况下需要立即执行。然后使用一份覆盖人员、设备、账户和数据的单一清单。
至少要审核:电子邮件、文件存储、业务应用、会计系统、薪资、远程访问、移动设备,以及任何实体钥匙或门禁卡。需要时要禁用或重置登录权限。“多因素认证”(Multi-factor authentication,MFA)意味着在密码之外再增加一步,例如手机上的验证码。应将这些认证方式从前员工的个人设备移除,并转交给合适的业务负责人或当前员工。
收集公司拥有的笔记本电脑、手机、平板以及钥匙。端点(endpoint)指任何连接到你公司系统的设备,比如笔记本、台式机或手机。确保每一台端点都能被清点、归还,并在再次使用前完成审核。
如有需要,在关闭账户之前先保存业务信息。这包括:电子邮件、共享文档、浏览器书签、备注,以及与客户、项目或供应商绑定的文件。目标不是保留个人材料,而是保留业务记录,并确保团队能够继续开展工作。
适用于小型企业的实用离职交接清单
你不需要一份庞大的政策来开始。你需要一份简短、稳定的清单,并明确由某个人负责。在许多小型企业里,这个负责人通常是办公室经理、运营负责人或企业所有者;如有需要,也会与外部 IT 支持协作。
把它当作起点,然后根据你的业务以及你实际使用的应用进行调整。
- 确定离职日期以及访问权限应变更的具体时间。
- 列出员工曾使用的每一项系统:电子邮件、文件存储、薪资、会计、排程、客户工具、聊天、电话系统、远程访问,以及行业专用软件。
- 对关键账户禁用或更改登录权限。
- 审核共享邮箱的访问权限、日历访问权限,以及转发规则。
- 从用于公司电子邮件或应用的个人手机和平板中移除访问权限。
- 收集公司设备、充电器、钥匙、门禁卡以及安全令牌。
- 确认目前由谁拥有重要文件、客户关系和供应商联系人。
- 在关闭员工账户之前保存所需的业务数据。
- 更新费用、付款、退款、薪资以及与银行相关工作流的审批权限。
- 更改员工可能已知的共享密码。在可能的情况下避免使用共享密码。
- 如需要,更新团队联系人列表、紧急联系人、网站上的员工页面,以及语音信箱问候语。
- 记录已移除的内容、已收回的物品,以及仍需后续跟进的事项。
负责人常忽略的常见缺口
许多公司只关注员工的电脑登录。但现实中,更大的缺口往往出现在云端应用和第三方服务。比如:电子邮件通讯订阅、薪资门户、在线银行联系人、物流/运输账户、预约系统、收银点(POS)工具、社交媒体、域名注册商的访问权限,以及电话运营商账户。
另一个常见遗漏是共享访问。如果多人都知道同一个密码,而其中一名员工离开了,这就应该促使你更改密码。更清洁的做法是基于角色的访问控制(role-based access):每个人拥有自己的登录,并且仅获取所需的访问权限。
你也应当了解你的 IT 支持是否使用工具来管理设备。例如,RMM(远程监控与管理)是 IT 提供商可能使用的软件,用于观察设备健康状态并执行支持任务。EDR(端点检测与响应)是帮助识别设备上可疑活动的软件。如果你的提供商使用这些工具,他们应该知道离职人员离开后,需要更新哪些设备和用户账户。
打补丁(Patching)指对设备和系统应用软件与安全更新。如果一台收回的笔记本电脑闲置了一段时间,可能需要在交由下一位员工使用前进行审核与更新。这也是为什么设备清点(inventory)很重要。
何时需要寻求外部帮助
如果你的企业员工超过几位、使用了很多云端应用、处理敏感数据,或在多个地点有人员流动,那么拥有正式流程是值得的。一个好的提供商可以帮助你梳理系统、制作离职交接清单,并确保责任边界清晰。
有些公司还希望在规划、预算和风险方面获得更广泛的指导。你可能会听到 vCIO(虚拟首席信息官,virtual Chief Information Officer)。这是一些提供商提供的战略型 IT 规划岗位。它可以帮助成长中的企业为入职、离职交接、软件访问、备份以及设备更换制定政策。
备份也同样重要,但它与离职交接不是同一件事。“3-2-1 备份”方法意味着保留数据的 3 份副本,放在 2 种不同类型的介质上,并将其中 1 份保存在异地。这可以在出现问题后支持恢复,但它并不能替代人员离开时的访问审核。此外,诚实的提供商也不会承诺零停机时间或不可被入侵的网络。
如果你不确定需要什么级别的支持,可以先查看我们的 answers 或浏览常见的 services。如果你想找独立的托管式 IT 服务提供商,get matched。NodeBridge IT 是免费的匹配服务。我们不管理、监控、加固、修复或访问你的系统。
一则坦诚说明
NodeBridge IT 是一项免费的匹配服务,不是IT服务商。这里提供的信息是一般性与教学用途——在您签约前,请与任何服务商以书面形式确认服务范围、SLA与价格。没有任何人能够保证正常运行时间、安全性、事故预防或数据恢复。
当员工离开时,用一个简单的清单在同一天移除其访问权限、收回设备,并保护业务数据。
常见问题
我们应该在员工最后一天结束前就关闭访问权限吗?
这取决于具体情况和岗位。对于常规离职,许多公司会在最后一个工作日结束时变更访问权限。若是高风险情况,访问权限可能需要立即变更。应提前规划好时间安排。
如果员工用自己的手机来处理公司的电子邮件怎么办?
确保从个人设备中移除公司电子邮件和业务应用,并将所有 MFA 方法转交给合适的人。如果你使用移动设备管理(MDM)工具,你的 IT 提供商可以建议最清洁的处理流程。
我们需要保留员工的电子邮件账户处于激活状态吗?
有时需要在短期内保持激活,尤其当那里仍会接收客户消息或审批请求时。常见做法是保留所需的业务记录,设置合适的过渡提示,并把重要邮件转交给当前员工处理。
小型企业中离职交接清单应由谁负责?
通常应由企业内部某个人协调,往往是所有者、办公室经理、人力资源负责人或运营经理。外部 IT 支持可以协助完成技术步骤,但企业里仍应有负责人确保整份清单都被完成。
我们没有 IT 人员。这会是问题吗?
不一定,但这会让“书面清单”更重要。如果你的企业依赖许多应用、远程办公或敏感的客户数据,与独立托管式 IT 服务提供商合作,能帮助离职交接以一致方式处理。
这种事情是否每家企业都应该记录?
是的。即便是非常小的公司,也应该为离职准备一个基础的书面流程。这样可以节省时间、减少困惑,并降低旧访问权限一直保持开放的风险。