新員工到職安全檢查清單

每位新員工到職都需要建立數十個帳號並分配存取權限。如果在這個過程中忽視資安，就會留下持續數月的漏洞。透過LINE傳送臨時密碼、所有新人用同一組預設密碼、延後雙重驗證設定——這些都是常見但危險的做法。

本指南為IT管理者和團隊負責人提供實用的到職安全檢查清單。

到職前準備（D-3至D-1）

帳號建立

在新員工第一天上班前準備好所有必要帳號。

項目	詳情	優先順序
公司信箱	建立公司網域信箱	必要
Slack/Teams	工作通訊工具帳號	必要
雲端儲存	Google Drive/OneDrive權限	必要
專案管理	Jira/Notion/Asana帳號	高
VPN	遠端存取VPN設定	視需求
程式碼倉庫	GitHub/GitLab邀請	開發職

設備準備

• 電腦套用公司資安政策
• 啟用磁碟加密（BitLocker/FileVault）
• 安裝端點防護軟體
• 設定自動螢幕鎖定（1分鐘）
• 設定遠端清除功能（MDM）

到職當天

步驟一：密碼政策說明

到職首日必須說明密碼政策。

最低要求：

• 長度：12位以上
• 組合：大小寫字母、數字、特殊字元
• 禁止：姓名、生日、連續數字、常見字詞
• 禁止重複使用歷史密碼
• 更換週期：每90天更換

部署密碼管理器：

• 推薦企業級密碼管理器（1Password Business、Bitwarden）
• 所有工作帳號密碼存入管理器
• 只需記住一組主密碼

步驟二：雙重驗證（2FA）設定

到職當天為所有關鍵帳號設定雙重驗證。

帳號	2FA方式	優先順序
公司信箱	驗證器應用程式	必要
Slack/Teams	驗證器應用程式	必要
雲端儲存	驗證器應用程式	必要
VPN	硬體金鑰或驗證器	必要
GitHub/GitLab	驗證器或硬體金鑰	開發職必要
管理面板	硬體金鑰建議	管理職必要

注意： 簡訊驗證容易遭SIM卡交換攻擊，優先使用驗證器應用程式或硬體金鑰。

步驟三：安全傳遞初始密碼

安全傳遞臨時密碼至關重要。

錯誤做法：

• 透過LINE傳送密碼
• 在郵件中列出所有帳號密碼
• 把密碼寫在便利貼上

正確做法：

• 透過LOCK.PUB密碼保護備忘錄傳遞初始密碼（24小時到期）
• 強制首次登入時修改密碼
• 每個服務使用不同的初始密碼

到職第一週（D+1至D+7）

資安教育訓練

在第一週內完成基礎資安訓練。

必修內容：

1. 釣魚辨識：辨識可疑郵件和連結
2. 密碼管理：密碼管理器使用方法
3. 設備安全：螢幕鎖定、磁碟加密、設備遺失處理
4. 資料分級：機密、內部、公開資料的處理規範
5. 事件通報：資安事件發生時的通報流程

權限設定

按最小權限原則分配存取權限。

角色	存取範圍	權限等級
一般員工	所屬團隊資源	讀/寫
團隊主管	團隊+跨團隊資源	讀/寫/管理
IT管理員	全公司系統	完全管理
外部協作者	限定專案	唯讀

持續監控

30天審查

到職30天後檢查以下項目。

• 所有初始密碼已更改
• 所有必要服務已啟用2FA
• 無多餘的存取權限
• 密碼管理器使用正常
• 資安訓練已完成

季度稽核

• 審查並撤銷不必要的存取權限
• 確認密碼更換狀況
• 審查資安事件紀錄
• 確認離職員工帳號已即時停用

在到職流程中使用LOCK.PUB

LOCK.PUB可以幫助安全傳遞到職時的初始密碼。

使用流程

1. 為每個服務建立個別的密碼保護備忘錄（24小時到期）
2. 將備忘錄連結發送到新員工公司信箱
3. 面對面或電話告知存取密碼
4. 新員工查看後立即修改密碼
5. 備忘錄自動到期——不會殘留在信箱中

離職安全檢查清單

• 立即停用/刪除所有帳號
• 必要時設定郵件轉寄
• 立即更改所有共用密碼
• 立即撤銷VPN和遠端存取權限
• 回收並重設公司設備
• 刪除雲端儲存存取權限
• 刪除程式碼倉庫存取權限
• 回收門禁卡

結語

以資安為先的到職流程能提升整個組織的安全水準。從帳號建立到密碼政策、雙重驗證、資安訓練和權限管理，每一步都不可忽視。傳遞初始密碼時，不要使用LINE或郵件，請使用帶到期功能的安全工具。

在LOCK.PUB建立密碼保護備忘錄，為新員工到職提供安全的憑證傳遞方案。

建立加密備忘錄 →