常見解答
如何處理離職員工的 IT?
當有人離開你的公司時,應該在同一天檢查並調整他們的 IT 存取權限。使用一份簡單的離職(offboarding)清單,可以在不把事情變成危機的情況下,保護電子郵件、檔案、手機、應用程式以及客戶資訊。
簡短答案
用一份可重複使用的離職(offboarding)清單來處理離職員工的 IT。基本做法很簡單:移除或限制存取權限、收回公司裝置、保存商務資料,並更新哪些人可以核准付款、查看檔案或登入關鍵應用程式。
不論員工是和平離職還是不愉快離職,這都很重要。多數人在員工離開後遇到的問題並不戲劇化。常見的是一些小縫隙,例如舊的電子郵件登入仍可使用、個人手機仍在接收公司的訊息、或沒有人知道某個重要檔案存放在哪裡。
如果你有獨立的託管式 IT 服務商(MSP,Managed Service Provider;指會在持續性的基礎上管理與支援企業 IT 的公司),通常能協助你建立並落實流程。如果你還沒有,NodeBridge IT 能幫你找尋符合你公司的獨立服務商。
為什麼這對你的公司很重要
如果離職流程太急,存取權限可能會比應該的時間更久才關閉。這可能影響電子郵件、雲端檔案儲存、會計工具、客戶關係軟體、薪資、團隊聊天、電話系統,以及遠端登入。也可能造成仍在職員工的困惑。
還有一個企業營運持續性(business continuity)問題。如果有人負責供應商登入、報表、客戶檔案或共享信箱,你需要一個清楚的交接。好的流程能保護公司,並讓接手的人更快開始工作。
對部分公司而言,還可能涉及法規或合規要求。規定會因產業與州而不同。例如,HIPAA(Health Insurance Portability and Accountability Act:用於保護健康資訊的法案)或 PCI(payment card security,支付卡安全要求)可能會影響存取權限應如何管理與文件化。
什麼叫做做得好
理想的離職(offboarding)應該在最後一天之前就開始(如果可以)。先決定存取權限要在何時變更。有些情況是就在工作日結束時;也有些情況需要立刻進行。接著使用一份涵蓋「人員、裝置、帳號與資料」的單一清單。
至少要檢查電子郵件、檔案儲存、商務應用程式、會計系統、薪資、遠端存取、行動裝置,以及任何實體鑰匙或識別證。需要的地方就停用或重設登入存取權限。多因素驗證(MFA,Multi-Factor Authentication)代表密碼之外的第二步驟,例如手機上的代碼。這應該從前員工的個人裝置中移除,並轉移給正確的公司負責人或目前在職人員。
收集公司擁有的筆電、手機、平板以及鑰匙。端點(endpoint)指任何連到你公司系統的裝置,例如筆電、桌機或手機。確保每個端點都有被清點、歸還並在再使用前完成檢查。
必要時,在關閉帳號之前先保存商務資訊。包含電子郵件、共享文件、瀏覽器書籤、筆記,以及與客戶、專案或供應商相關的檔案。目標不是保留個人資料;而是保留商務紀錄,並確保團隊仍能繼續運作。
適用小型企業的實用離職清單
你不需要一份巨大的政策才開始。你需要一份短、固定的清單,並指定由某個人負責。在許多小型企業中,負責人通常是辦公室經理(office manager)、營運主管(operations lead)或企業主(business owner);若需要,會配合外部 IT 支援。
把這份清單當作起點,再依你的企業與實際使用的應用程式做調整。
- 設定離職日期,並明確規定存取權限要在何時變更。
- 建立員工曾使用的每一個系統清單:包含電子郵件、檔案儲存、薪資、會計、排程、客戶工具、聊天、電話系統、遠端存取,以及產業特定軟體。
- 對關鍵帳號停用或變更登入存取權限。
- 檢查共享信箱存取、行事曆存取,以及轉寄規則。
- 從用於公司電子郵件或應用程式的個人手機與平板移除存取權限。
- 收回公司裝置、充電器、鑰匙、識別證以及安全性代幣(security tokens)。
- 確認目前由誰擁有重要檔案、客戶關係,以及供應商聯絡資訊。
- 在關閉員工帳號前先保存必要的商務資料。
- 更新與帳單、付款、退款、薪資以及銀行相關流程的核准權限。
- 變更員工可能已知的共享密碼。盡可能避免使用共享密碼。
- 如有需要,更新團隊聯絡名單、緊急聯絡人、網站上的工作人員頁面,以及語音信箱問候語。
- 文件化已移除的項目、已收回的物品,以及仍需要後續處理的事項。
常見的漏洞:老闆常漏掉的事
很多公司只想到員工的電腦登入。但實務上,更常見的漏洞往往出在雲端應用程式與第三方服務。想想電子報(email newsletters)、薪資入口網站、線上銀行的聯絡人、物流/出貨帳戶、預約系統(appointment systems)、POS 收銀工具、社群媒體、網域(domain)註冊商的存取、以及電話電信業者(phone carriers)。
另一個常見漏點是「共享存取」。如果好幾個人都知道同一組密碼,某位員工離開就是更換密碼的訊號。更乾淨的做法是以角色為基礎的權限管理(role-based access),讓每個人都有自己的登入帳密,而且只擁有所需的存取權限。
你也應該知道你的 IT 支援是否使用工具來管理裝置。例如,RMM(Remote Monitoring and Management;遠端監控與管理)是 IT 服務商可能用來觀察裝置狀態、並執行支援工作的軟體。EDR(Endpoint Detection and Response;端點偵測與回應)則是協助偵測裝置上可疑活動的軟體。如果你的服務商使用這些工具,他們應該知道在有人離開時,需要更新哪些裝置與使用者帳號。
修補(Patching)代表對裝置與系統套用軟體與安全性更新。如果一台回收回來的筆電放著一段時間沒有使用,在另一位員工使用前可能需要檢查並更新。這也是為什麼清楚盤點裝置很重要。
什麼時候該找外部協助
如果你的公司員工超過少數幾位、使用許多雲端應用程式、處理敏感資料,或在多個地點有人員流動,建立正式流程會更值得。有好的服務商可以協助你盤點系統、制定離職清單,並確保責任分工清楚。
有些公司也希望在規劃、預算與風險上得到更全面的建議。你可能會聽到 vCIO(virtual Chief Information Officer,虛擬首席資訊官),這是一種部分服務商提供的策略性 IT 規劃角色。它能協助成長中的企業針對入職、離職、軟體存取、備份與裝置汰換制定政策。
備份也很重要,但它和離職(offboarding)不是同一件事。3-2-1 備份做法是保留 3 份資料副本,放在 2 種不同媒體上,並保留 1 份在異地(offsite)。這能支援在問題發生後的復原,但它不能取代有人離開時的存取權限審查。同時,沒有任何認真的服務商會承諾零停機時間或不可被駭入的網路。
如果你不確定需要哪種支援層級,可以先從我們的 答案 開始,或瀏覽常見的 服務。如果你想找尋獨立的託管式 IT 服務商,請取得配對。NodeBridge IT 是免費的配對服務。我們不管理、監控、保護、修復或存取你的系統。
誠實提醒
NodeBridge IT 是免費配對服務,不是 IT 供應商。此處資訊為一般性與教育性內容——簽約前,請以書面方式向任何供應商確認涵蓋範圍、SLA 與價格。無人能保證正常運作、資安或復原能力。
當員工離開時,當天就用簡單的清單移除存取權限、收回裝置,並保護商務資料。
常見問題
我們是否應該在員工最後一天結束前就先關閉存取權限?
視情況與職務而定。對於例行離職,許多公司會在最後一個工作日結束時變更存取權限。若是較高風險的情況,存取權限可能需要立即變更。請事先規劃時間點。
如果員工用自己的手機來收/看公司的電子郵件怎麼辦?
請確保公司電子郵件與商務應用程式從該個人裝置中移除,並把任何 MFA(多因素驗證)方式轉移給正確的人。如果你使用行動裝置管理(mobile device management)工具,你的 IT 服務商可以建議最乾淨的處理流程。
我們需要保留員工的電子郵件帳號保持啟用嗎?
有時候是需要一段短時間的,特別是如果那裡仍會收到客戶訊息或核准通知。常見做法是保留必要的商務紀錄,設定適當的轉接/過渡訊息,並把重要郵件導向目前在職的員工。
小型企業裡,離職清單應由誰負責?
通常應該由一位內部人員協調,常見的是企業主、辦公室經理、人資(HR)主管或營運主管。外部 IT 支援能協助技術步驟,但仍需要由公司內的人確保整份清單都能完成。
我們沒有 IT 人員。這是問題嗎?
不一定,但書面清單會更重要。如果你的公司依賴許多應用程式、遠端工作,或處理敏感的客戶資料,與獨立的託管式 IT 服務商合作,讓離職處理能一致且有流程,可能會有幫助。
這件事是不是每一家公司都該文件化?
是。即使是非常小的公司,也應該為離職流程準備基本的書面做法。這能節省時間、降低困惑,並降低舊的存取權限仍然保持開放的機率。