外包商工具存取稽核清單（20 分鐘完成）

如果你的設計公司或開發公司在過去一年內更換過五名以上外包商，其中至少一人今天仍能存取你們團隊使用的某個工具。這不是猜測，是基本規律。本清單帶你完成一次 20 分鐘稽核：找出孤立的存取帳號、釐清誰擁有哪些權限，並撤銷所有不該保留的存取。不需要 IT 團隊。

為什麼這對設計與開發公司格外重要

創意工作室、開發公司與設計機構高度依賴外包商。大多數公司每年的外包商流動率達 10–30%。每當一名外包商結束專案離開，除非有人主動移除，否則他們依然保有工具存取權。根據 WorkForImpact 研究，2026 年有 77% 的組織曾因孤立應用程式存取而遭遇資安事件。對你的公司而言，風險不抽象：那是一位早已結案的外包商，仍能讀取 Notion 策略文件、推送程式碼到 GitHub，或從 Figma 下載客戶設計稿。

這類事件的完整情境，可參閱外包商離職後誰還能存取你的工具。本清單是解法。

稽核範圍

大多數設計與開發公司使用以下這類工具組合。請全部納入稽核，不要只檢查「重要的」那幾個——外包商往往從感覺低風險的工具中溜走。

目標不是完美地建立所有帳號目錄，而是找出不該有存取權的人。優先從敏感度最高的工具開始：Figma（客戶智財）、GitHub（原始碼）、Notion（策略文件）、1Password（憑證）。

第一步：建立外包商名單

在稽核存取之前，你需要一份「誰有、誰不該有存取權」的清單。從兩個來源整理：

現役外包商： 目前在進行中專案或長期委案的人。這些人應該有存取權——確認他們用的是哪些工具，並確保範圍與需求相符。

過去 12 個月的外包商： 這裡藏著孤立帳號。從請款紀錄（過去一年付了哪些款項？）、專案管理工具（誰被指派到已關閉的專案？）和電子郵件收件匣（你 CC 了哪些人參與客戶往來？）整理出名單。

建立一份簡單的試算表：姓名｜合約結束日期｜應有的工具存取｜現在絕對不該有的工具。

格式不必完美。重點是有一個可交叉比對的單一資料來源。哪怕只是 10–20 個名字，也足以找出最明顯的漏洞。

第二步：逐一匯出各工具的成員清單

逐工具查詢並匯出或截圖完整成員清單。以下是設計與開發公司最常使用工具的操作位置：

• Figma： 設定 → 成員 → 匯出成員清單。若有多個 Team，也請逐一檢查每個 Team 的成員。
• GitHub： 組織頁面 → People 標籤。同時檢查 Members 和 Outside Collaborators——外包商常以「Outside Collaborator」身分留存且被遺忘。
• Notion： 設定 → Members。同時檢查 Full Members 和 Guests。Notion 中的訪客，即使從工作區移除，若頁面有個別分享，仍保有存取權。
• Slack： Admin → Members。也查看已停用帳號——Slack 保留訊息記錄，但啟用中帳號仍可驗證並進入連結的應用程式。
• 1Password： Admin Console → People。有 Vault 存取權的外包商在專案結束後仍可檢視憑證。
• Vercel / Netlify： Team → Members。同時確認 team 層級與專案層級的成員。
• AWS： IAM → Users。若外包商曾取得 IAM 憑證，請輪換或刪除。
• Linear / Jira： 設定 → Members。專案層級的成員資格與工作區成員資格是獨立管理的。

第三步：與外包商名單交叉比對

現在開始比對。針對名單中的每一位過去外包商，瀏覽工具成員匯出資料，回答：他們還在任何工具裡嗎？

答案通常是「是」，而且往往橫跨兩三個工具。問題是這是否有意為之。將每個人標記為以下其中一種：

• 應保留存取權 — 仍在進行中的專案，或刻意保留（例如下季預計回來的設計師）。
• 應撤銷存取 — 專案已結案、合約已終止、沒有現行合作關係。
• 不確定 — 不記得是否還有後續合作。這是最常見的類別。以「先撤銷、需要再重新邀請」處理。重新加入只要 30 秒，處理資料外洩要花好幾個月。

如果某個名字出現在工具成員清單，卻不在你的外包商名單上，請特別標記。這些是「幽靈帳號」——可能由某位組員直接添加，繞過了任何入職流程。需要立即處理。

第四步：撤銷孤立存取

逐一處理「應撤銷」清單。以下是設計與開發公司最常犯錯的幾個要點：

Figma： 從 Team 移除的同時，也要確認沒有個別檔案的直接分享。Figma 的檔案層級分享，在從 Team 移除後依然有效。

GitHub： 從組織移除的同時，也要撤銷對方可能建立的個人存取 Token。在組織設定的 Developer Settings 下確認有無範圍過廣的 OAuth 應用程式。

1Password： 不只是從 Vault 移除——確認他們是否曾取得 Secret Key。若有，請輪換受影響的 Vault 密碼。

Slack： 停用帳號，而非只是從頻道移除。停用帳號後無法登入；僅從頻道移除，帳號仍然存在，且可能保有連結應用程式的存取權。

Google Workspace： 立即暫停帳號——暫停後無法存取 Docs、Drive 和 Gmail，但資料保留。將他們建立的任何檔案轉移擁有權。

AWS IAM： 刪除 IAM 使用者，或至少輪換所有相關金鑰並撤銷任何活躍工作階段。

完成後，特別針對 GitHub 和 Figma 再做一次快速複查——這兩個工具的權限模型最複雜，也最容易出現稽核漏洞。

稽核之後該做什麼

一次性稽核比完全不做好，但它不是一套系統。今天清理的存取，90 天後又會再度失控——除非你解決根本原因：沒有離職流程。

最低可行方案：建立一份專案結案清單，每當外包商完成任務時觸發。四個項目——（1）最終款項結清、（2）Figma 移除、（3）GitHub 移除、（4）Slack 停用帳號。指派給負責專案管理的人，在合約結束後 48 小時內完成。

更好的方案是接入一套生命週期工具，追蹤誰在哪些工具有存取權，並讓你在外包商離職時以單一流程撤銷所有存取。這正是自動化存取撤銷在平台層面所做的事——是 20 分鐘季度稽核和零分鐘自動化離職的差別。

若想了解如何為貴司或公司建立更完整的存取庫存（不只是一次性稽核），可參閱新創存取稽核指南。

手動稽核 vs. 自動化生命週期工具

現在執行本清單以清除積壓問題，再決定是否要自動化日後的離職流程，讓稽核永遠不必再跑。

常見問題

設計公司應多久執行一次外包商存取稽核？

每季至少一次。若貴司每年外包商人數超過 10 人，建議每月執行，或建立自動化離職流程，讓存取在專案結案時立即撤銷，而非三個月後才處理。

外包商同時參與多個專案，部分已結案，部分仍在進行中，該怎麼處理？

將其存取範圍限制在進行中的專案。即使仍在合作，也請將其從已完成專案相關工具中移除。每個專案應有獨立的檔案架構（Figma 專案、GitHub 儲存庫、Notion 頁面），這樣才能在不影響現有工作的前提下縮小存取範圍。

從 Slack 頻道移除成員與停用帳號有何差別？

從頻道移除，帳號依然存在——對方仍可登入並查看私訊記錄。停用帳號則完全阻止登入。對於已離職的外包商，應一律停用帳號，而非僅從頻道移除。

撤銷存取時，需要通知外包商嗎？

只有在仍有合作關係或可能造成混淆的情況下才需要。超過 60 天未有往來的外包商，直接撤銷即可，無需通知。如果對方聯絡說無法存取某工具，那正是確認撤銷生效的訊號。

試試 Optserv

Optserv 是專為外包商高流動率的設計公司與新創團隊打造的生命週期 + 存取管理平台。當外包商結案，一個離職流程即可同步從 Figma、GitHub、Slack、Notion、1Password 及所有連線工具移除其存取——無需手動稽核。免費開始使用 app.optserv.ai/signup。

資料來源

• WorkForImpact，2026 Disconnected App Security Report——77% 的組織曾因孤立或未撤銷的應用程式存取而遭遇資安事件。
• Figma Help Center——檔案層級分享權限與 Team 成員資格獨立運作。
• GitHub Docs——組織設定中的 Outside Collaborators 管理。
• Slack Help Center——停用成員與從頻道移除的差異。

作者：Optserv 團隊