员工离职,HR 走完流程、工牌交了、电脑收了,很多公司就以为”交接完了”。但真正的隐患往往在看不见的地方:他还能不能连回公司内网?邮箱、共享盘、各种系统的账号有没有真正停掉?今天讲清楚离职时到底要收回哪些访问权限、为什么传统做法容易留口子、以及怎么做到”人一走、权限当天全断”。
先说结论
离职管理最大的风险,不是”忘了收电脑”,而是那些分散在各处、容易被漏掉的访问权限——远程访问通道、共享文件、邮箱、各类业务系统账号。只要有一个没断,离职人员(或拿到他账号的人)就可能继续访问公司数据。正确做法是把身份和访问权限统一管起来,做到离职时一个动作、所有授权同时回收,而不是去十几个系统里一个一个手工删。
离职没收干净,会出什么事
- 带走客户和数据:邮箱、CRM、网盘账号还能登,离职后随手就能把客户资料、报价、源码导走。
- 远程通道还开着:VPN/远程访问账号没停,在家就能连回内网,公司完全没感知。
- 共享盘长期裸奔:文件服务器按”谁来都行”配置,离职人员的电脑或账号一直有访问权。
- 合规和审计过不了:等保、客户安全审查都会查”离职人员权限是否及时回收”,留口子直接扣分。
- 报复性删改:极端情况下,心怀不满的离职者用残留权限删数据、改配置,损失难以挽回。
离职时到底要收回哪些权限
很多公司只盯着”电脑和工牌”,其实下面这些才是容易漏的地方,建议做成一张离职权限回收清单,逐项打勾:
| 类别 | 要做的事 |
|---|---|
| 远程访问 | 停掉 VPN/零信任/远程桌面账号,确保人在外面再也连不进内网 |
| 邮箱与办公 | 停用企业邮箱、IM、协同办公账号,必要时设离职自动回复或转交 |
| 业务系统 | CRM、ERP、财务、工单、代码仓库等逐个停号或降权 |
| 文件与共享盘 | 收回文件服务器/网盘访问权,转移其名下的关键文档 |
| 设备 | 回收电脑/手机,清除其上保存的登录凭据和证书 |
| 第三方与外部 | 域名、云服务、SaaS、社交媒体等以个人身份绑定的账号一并交接 |
为什么传统做法总是收不干净
- 账号太分散:十几个系统各有各的账号体系,离职时要一个一个登进去删,漏一个就是隐患。
- 靠人记、靠手工:没有清单、没有流程,全凭管理员记忆,人一忙就漏。
- 权限给得太粗:很多系统”进来就是全网通”,降权困难,只能整个停掉,影响交接。
- 没人审计:不知道某个离职账号到底还能访问什么,也查不到他最后做过什么。
正确做法:统一身份 + 一键回收
要彻底解决,核心是把”谁能访问什么”集中管理起来,而不是散落在各个系统里。落地思路:
- 统一身份入口:员工访问内网系统都先经过一道统一的身份验证,账号和权限集中在一处管理。
- 最小权限授权:按岗位只开放该用的那几个系统/那几台机器,而不是”进来就能访问一切”。
- 离职一键回收:在统一入口禁用这个人,他对所有被授权资源的访问立刻全断,不用去每个系统手工删。
- 全程可审计:谁、什么时候、访问了什么都有记录,离职复盘和合规检查都拿得出证据。
对中小企业,最省心的是用 SaaS 化的零信任方案。以 sTrust 为例:员工访问内网资源都要先验证身份,业务系统对公网”隐身”,按账号、按资源精细授权;员工离职时在后台禁用账号,他的远程访问权限一键回收、立刻生效,不用再跑去十几个系统逐个删。控制面在国内、已备案、可配合等保 2.0,软件方式开通不用买硬件,国内直连连得稳。北京企业要本地落地实施,也可以让 思文力得 把账号体系、网络和远程接入一起打包做掉。
立刻可以做的三件事
- 先列清单:把公司所有需要账号的系统列出来,做成统一的”入职开通 / 离职回收”清单。
- 先收远程通道:离职第一时间停掉 VPN/远程访问账号,这是危害最大、最容易被忽略的一条。
- 逐步收口:把分散的账号尽量收敛到统一身份入口,让以后每次离职都能”一个动作断干净”。
常见问题
Q:员工离职,只把电脑收回来、改个 Wi-Fi 密码,够不够?
A:远远不够。只要他的远程访问账号、邮箱、各系统账号还能用,换个设备照样能登回来。重点是停账号、收权限,不是收设备。
Q:我们系统太多,离职时总漏删账号怎么办?
A:根本办法是把身份和访问权限统一管理,做到在一个入口禁用就全部失效;短期内至少要有一张离职回收清单,逐项打勾。
Q:零信任能解决离职权限回收的问题吗?
A:能。零信任把”先验证身份、再按授权访问”做成统一机制,离职时禁用账号即可一键回收其对内网资源的全部访问权,且过程可审计。
Q:中小企业没有专职 IT/安全,怎么落地?
A:用 SaaS 化的零信任方案(如 sTrust),软件开通、不用买硬件,账号开通和回收都在后台点几下;也可以交给 IT 运维服务方统一配置和维护。
还在担心离职员工”人走了还能连回来”?
sTrust 零信任远程访问:统一身份入口、按账号按资源精细授权、离职一键回收立刻生效,业务系统对公网隐身、可配合等保 2.0,软件开通不用买硬件、国内直连连得稳。访问 strust.siwenlide.com 免费试用;北京企业本地落地可拨 400-686-2011 或访问 siwenlide.com。