新员工入职安全检查清单

每位新员工入职都需要创建数十个账号并分配访问权限。如果在这个过程中忽视安全，就会留下持续数月的隐患。通过钉钉或飞书发送临时密码、给所有新人用同一个默认密码、推迟双因素认证设置——这些都是常见但危险的做法。

本指南为IT管理员和团队负责人提供实用的入职安全检查清单。

入职前准备（D-3至D-1）

账号开通

在新员工首日上班前准备好所有必要账号。

项目	详情	优先级
企业邮箱	创建公司域名邮箱	必须
钉钉/飞书	工作通讯工具账号	必须
云存储	坚果云/企业网盘权限	必须
项目管理	Teambition/Jira/飞书文档	高
VPN	远程访问VPN配置	视情况
代码仓库	Gitee/GitHub邀请	开发岗

设备准备

• 电脑配置公司安全策略
• 启用磁盘加密（BitLocker/FileVault）
• 安装终端安全软件
• 配置自动锁屏（1分钟）
• 设置远程擦除功能（MDM）

入职当天

第一步：密码策略培训

入职首日必须讲解密码策略。

最低要求：

• 长度：12位以上
• 组合：大小写字母、数字、特殊字符
• 禁止：姓名、生日、连续数字、常见词汇
• 禁止重复使用历史密码
• 更换周期：每90天更换

部署密码管理器：

• 推荐企业级密码管理器（1Password Business、Bitwarden）
• 所有工作账号密码存入管理器
• 只需记住一个主密码

第二步：双因素认证（2FA）设置

入职当天为所有关键账号设置双因素认证。

账号	2FA方式	优先级
企业邮箱	认证器应用	必须
钉钉/飞书	认证器应用	必须
云存储	认证器应用	必须
VPN	硬件密钥（YubiKey）或认证器	必须
Gitee/GitHub	认证器或硬件密钥	开发岗必须
管理面板	硬件密钥推荐	管理岗必须

注意： 短信验证容易被SIM卡交换攻击，优先使用认证器应用或硬件密钥。

第三步：安全传递初始密码

安全传递临时密码至关重要。

错误做法：

• 通过钉钉或微信发送密码
• 在邮件中列出所有账号密码
• 把密码写在便签纸上
• 所有新人使用同一个密码

正确做法：

• 通过LOCK.PUB密码保护备忘录传递初始密码（24小时过期）
• 强制首次登录时修改密码
• 每个服务使用不同的初始密码

入职第一周（D+1至D+7）

安全意识培训

在第一周内完成基础安全培训。

必修内容：

1. 钓鱼识别：识别可疑邮件和链接
2. 密码管理：密码管理器使用方法
3. 设备安全：锁屏、磁盘加密、设备丢失处理
4. 数据分类：机密、内部、公开数据的处理规范
5. 事件上报：安全事件发生时的报告流程

权限配置

按最小权限原则分配访问权限。

角色	访问范围	权限级别
普通员工	所属团队资源	读/写
团队主管	团队+跨团队资源	读/写/管理
IT管理员	全公司系统	完全管理
外部协作者	限定项目	只读

持续监控

30天审查

入职30天后检查以下项目。

• 所有初始密码已更改
• 所有必要服务已启用2FA
• 无多余的访问权限
• 密码管理器使用正常
• 安全培训已完成

季度审计

• 审查并撤销不必要的访问权限
• 确认密码更换情况
• 审查安全事件日志
• 确认离职员工账号已即时停用

在入职流程中使用LOCK.PUB

LOCK.PUB可以帮助安全传递入职时的初始密码。

使用流程

1. 为每个服务创建单独的密码保护备忘录（24小时过期）
2. 将备忘录链接发送到新员工企业邮箱
3. 面对面或电话告知访问密码
4. 新员工查看后立即修改密码
5. 备忘录自动过期——不会残留在邮件中

离职安全检查清单

• 立即停用/删除所有账号
• 必要时设置邮件转发
• 立即更改所有共享密码
• 立即撤销VPN和远程访问权限
• 回收并重置公司设备
• 删除云存储访问权限
• 删除代码仓库访问权限
• 回收门禁卡

总结

以安全为先的入职流程能提升整个组织的安全水平。从账号开通到密码策略、双因素认证、安全培训和权限管理，每一步都不可忽视。传递初始密码时，不要使用钉钉或邮件，请使用带过期功能的安全工具。

在LOCK.PUB创建密码保护备忘录，为新员工入职提供安全的凭证传递方案。

创建加密备忘录 →