IT 离职管理完整清单(附模板)
员工离职时,IT 有 24 小时撤销访问权限,14 天回收资产,30 天收尾所有遗留问题。跳过任何一步,你就制造了一个安全漏洞、一项合规发现,或一次续订惊喜。以下清单帮你全部封堵。
IT 离职管理是每家公司都在以某种形式做的事,但很少有人写下来。结果是执行参差不齐:核心员工处理得还不错,某个时区不同的承包商被遗忘了,知道最多背景的上级直到第三天才告知 IT。
以下清单是经过实践检验的、有序的版本。可以原封不动地使用,也可以根据你的技术栈调整——但请把它写在你未来能找到的地方。
离职前准备
仅适用于计划性离职。即时解雇时跳过。
- HR 通知 IT 离职日期和最后工作日。
- IT 从资产清单中调取该用户的资产和访问权限摘要。
- 上级识别该员工持有的关键知识/数据;编写交接方案。
- 上级识别其负责的供应商关系和合同的接管人。
- 决定:邮件转发给谁、自动回复内容、日历交接、Slack 私信转发。
- 确认资产归还物流(办公室取还 vs. 远程员工快递寄回方案)。
当天访问权限撤销
24 小时窗口——大多数损害在这里发生或不发生。
- 工作日结束时停用身份提供商账号(Google、Microsoft、Okta)。这必须自动级联到所有已连接的 SaaS 应用。
- 撤销 MFA 令牌、硬件密钥(YubiKey)和身份验证器 App 会话。
- 强制退出所有活跃 SaaS 会话(Slack、Notion、Salesforce 等)。
- 重置该用户有权访问的共享账号密码。
- 撤销 VPN、RDP、跳板机和 SSH 密钥访问。
- 从生产访问列表中移除(AWS IAM、GCP IAM、Kubernetes RBAC、数据库账号)。
- 撤销对 Stripe、支付处理商、托管账号、域名注册商的管理员访问。
- 设置邮件自动回复并注明交接联系人;配置邮件转发给上级。
- 日历已移交/会议所有权已重新分配。
- 资产归还已安排,确认取件时间或已发送快递标签。
最常被遗漏的一步
未连接到身份提供商的 SaaS 应用。使用邮箱密码直接登录的工具(或员工用工作邮箱注册但自己付费的应用),在停用 IdP 账号时不会自动停用。请为每位员工明确列出这些应用。
资产回收与许可证清理
大多数节省效益——以及审计发现——所在的环节。
- 追踪硬件归还:笔记本电脑、显示器、外设、手机、安全密钥、门禁卡。每项在资产台账中逐一确认。
- 归还设备按认证擦除标准清除数据。清除证书存档于对应资产记录。
- 设备根据保修状态标记为"在库/可再分配"或"待报废处理"。
- 回收该员工持有的所有 SaaS 许可证席位。这应通过 IdP 级联自动发生——请验证是否已执行。
- 按层级许可的产品(Microsoft E5、Salesforce Enterprise、Adobe Creative Cloud)显式降级或重新分配。
- 未连接 IdP 的独立计费 SaaS(账单独立于 IdP 的工具)手动取消或转移。
- 合同负责人重新分配给新的内部负责人。任何合同不得默认转给"IT@company.com"。
- 邮件转发保持活跃 30 天,以接收遗漏的通信。
- 根据当地劳动法导出个人数据(通常要求在 30 天内应请求提供)。
审计追踪与最终核查
让你在一年后面对审计方时处于有利位置的工作。
- 核查所有可能有该用户的系统。在整个 SaaS 组合中按邮箱搜索。漏掉的在这里清理。
- 验证该用户的邮箱不再出现在任何活跃访问矩阵或共享文件夹权限列表中。
- 确认硬件已完全报废或重新分配;"待归还"状态不得超过 30 天。
- 生成最终访问撤销报告并存档于该用户的离职记录。
- 关闭邮件转发;邮箱按保留政策归档。
- 如用户根据 GDPR/CCPA 申请删除个人数据,执行删除并保留证明记录。
- 关闭离职工单,附审计追踪。
值得追踪的 5 项离职指标
- 当天访问撤销率。目标:当天结束前 100% 撤销 IdP 连接的访问。
- 14 天设备归还率。目标:办公室员工 90%+,远程员工 80%+。
- 许可证回收平均时长。目标:IdP 连接的 SaaS 当天回收,独立账号 7 天内回收。
- 幽灵资产数量。分配给已停用用户的设备。目标:0。
- 离职相关审计发现项。目标:每次审计周期 0 项。
特殊情况处理
承包商和外包机构
合作周期通常较短,但访问权限与正式员工相同。在系统中为合同设置结束日期;在合作期满时(而非等到正式解除合同时)自动触发离职工作流。
非自愿解除劳动关系
访问权限撤销在通知谈话之前执行。硬件回收提前安排。设置邮件自动回复,但内容须经 HR 和法务审查。
并购/分拆
批量离职需要同样的操作手册,只是规模放大。先跑小批次试点;规模扩大时的特殊情况与单个案例相同,只是同时出现 100 次。
员工身故
需要特别谨慎地处理。大多数步骤仍然适用,但执行时间线可以放宽。与 HR 和家属密切协作处理个人数据。
让流程真正运转的工具
没有工具支撑时,清单靠人来执行,但每一步的失败率都会上升。正确的配置:
- 一个能级联到所有已连接 SaaS 的 IdP(Google / Microsoft / Okta)。
- 一个追踪硬件归还 SLA 的 IT 资产管理平台。
- 一个在所有步骤完成前阻止工单关闭的离职工单工作流。
- 一个每月标记幽灵资产的核对机制。
InventorIA 原生覆盖第 2 和第 4 步——IdP 将用户标记为非活跃状态的那一刻,硬件回收、许可证回收和合同重新分配工作流会自动触发。审计追踪自动生成。