30 分鐘完成新創公司的季度權限審查(無需 IT 團隊)
適合新創公司的實用、可重複執行的季度權限審查流程——無需 IT 部門,無需企業 IAM 工具。
30 分鐘完成新創公司的季度權限審查(無需 IT 團隊)
季度權限審查是一種定期、有計畫地稽核公司工具、資料與系統存取權的流程。對新創公司而言,每季執行一次約需 30 分鐘,能及時發現員工異動期間累積的存取漂移(access drift),且僅需一份試算表和創辦人每季 30 分鐘的時間。你不需要 Okta、IT 團隊,也不需要合規顧問,就能做好這件事。
為什麼要季度審查,而非年度審查
以一家 20 人的新創公司為例,18% 的年度人員流動率意味著每年約有 3–4 人改變狀態。再加上合約進出的承包商、一兩次升職,以及幾次工具遷移——等你進行年度審查時,已累積了整整一年的存取漂移。
季度審查能在問題還小的時候及時攔截。一月離職的設計師仍有 Figma 存取權——四月就能發現。二月晉升為技術主管的初級開發者,同時保有舊的唯讀權限和新的管理員權限——下一輪審查就會浮現。
一次性稽核只是起點。SaaS 存取擴散若每年才審視一次,只會不斷複利累積。季度節奏才能在 15–50 人規模時維持可管理性,直到貴司規模大到需要企業 IAM 工具之前。
需要審查的五大類別
將季度審查分成五大類別,大多數新創公司在有現成範本的情況下,30 分鐘內即可完成全部審查。
1. 異動職位的正職員工。 調出人員名單,標記上次審查以來有升職、換組別或職責變動的人。升職是累積過多權限最常見的來源——升職的設計師不會自動失去使用初級職位時所擁有的客戶 Figma 板存取權。將其現有職位與現有工具存取權交叉比對。詳見我們關於員工換職位時如何處理存取權的完整清單。
2. 完成專案的承包商與自由工作者。 任何合約已在上季結束、但尚未正式完成所有工具撤銷的人員——這在專案型承包商中尤其常見,他們往往從 Slack 被移除,卻仍保有 Notion、GitHub 或 Google Drive 分享資料夾的存取權。
3. 離職員工。 確認上季所有離職人員的存取權均已撤銷——不只是 Google Workspace 帳號,而是所有單獨開通的工具。
4. 閒置帳號。 超過 60 天未登入的帳號——可能是育嬰假、某個不再使用該工具的職位,或只是某位離職者被遺忘的帳號。標記後確認狀態,並移除或停用。
5. 共用憑證。 任何多人共用同一組帳密的工具——這是最難追蹤但最關鍵的類別:若共用憑證在某人離職後未更換,所有知道密碼的人仍然擁有實際存取權。
如何在 30 分鐘內完成審查
你不需要企業 IAM 平台。一份 Google 試算表加上各工具的管理員後台就已足夠。以下是逐步流程。
步驟一:調出目前的人員名單(5 分鐘)。 匯出或截圖現有員工清單,包含正職員工和所有在職承包商,標記上次審查以來狀態有所異動的人:新進、離職、升職或合約結束。這就是本季的異動日誌。
步驟二:列出所有工具(5 分鐘)。 若尚未建立工具總清單,現在就建。從最明顯的開始:Slack、Notion、GitHub、Figma、Google Workspace、專案管理工具(Linear、Jira、Asana)、CRM,以及任何財務或 HR 工具。加上密碼管理器中團隊保存的共用帳號。
步驟三:對照異動日誌核查存取權(10 分鐘)。 針對異動日誌中的每個人,逐一核查其在工具清單上的存取狀態。已離職?所有工具存取權應全數撤銷。已升職?舊職位的存取權應清理。承包商專案結束?不只是 Slack,每個工具都要確認。
步驟四:抽查閒置帳號(5 分鐘)。 在最關鍵的工具(GitHub、Notion、CRM、任何財務工具)中查看最後登入時間——大多數 SaaS 工具的管理員後台均提供此資訊。超過 60 天未登入的帳號一律標記。聯絡帳號持有者的主管,或對照人員名單確認——若仍在職,請其確認是否仍需存取;若已離職,立即移除帳號。
步驟五:對成員有異動的共用憑證進行輪換(5 分鐘)。 針對密碼管理器中每組共用憑證,確認自上次輪換以來是否有人離開或加入。若曾擁有該憑證存取權的人已離職,當天就要輪換密碼,不得例外。
完成後,你應該有一份簡短的待辦清單:需移除的帳號、需降級的權限、需輪換的密碼。目標是在 48 小時內完成所有項目。若每季持續發現超過 10–15 個問題,這是一個訊號——在有效執行季度節奏之前,你的初始存取探索需要更徹底的一次性盤點。
快速參考清單
| 類別 | 需確認的項目 | 時間 |
|---|---|---|
| 職位異動 | 升職/換組員工——舊權限仍在? | 3 分鐘 |
| 承包商合約結束 | 專案型承包商——是否從所有工具移除,而非僅限通訊軟體? | 5 分鐘 |
| 離職員工 | 完整核查整份工具清單的離職撤銷 | 5 分鐘 |
| 閒置帳號 | 最後登入超過 60 天——帳號仍有必要? | 5 分鐘 |
| 共用憑證 | 有存取權的人員離職後是否已輪換密碼? | 5 分鐘 |
| 待辦清單 | 移除、降級、輪換——所有項目於 48 小時內完成 | 7 分鐘 |
何時該自動化,何時保持手動
人數少於 25 人時,手動流程完全可行。一份定期更新的 Google 試算表,記錄工具清單與員工名單,已足夠應付。手動流程的成本大約是創辦人或營運主管每季 30 分鐘——每年約 2 小時。這個時間是值得的。
一旦超過 30–40 人,或每年有超過 25 位承包商流動,手動流程就開始失效。屆時你有兩個選擇:引入從入職起追蹤工具存取的輕量存取管理層,或接受季度審查會越來越耗時且遺漏越來越多問題。Optserv 在員工生命週期中追蹤存取授予,如此一來到了季度審查時,異動日誌已預先建立並完成交叉比對。
常見問題
新創公司應該多久審查一次使用者存取權? 對大多數 10–50 人的新創公司而言,每季是合適的預設頻率。年度審查遺漏太多——18% 的流動率下,一年的積累很難釐清。除非有高頻率承包商輪動,或屬於受監管行業(金融科技、醫療),否則每月審查過於繁重。每季節奏恰到好處:足夠頻繁以在問題複利之前攔截,又不至於成為負擔。
新創公司為了 SOC 2 合規需要進行存取審查嗎? SOC 2 Type II 稽核人員通常要求特權帳號至少每季審查一次,所有帳號每年至少一次。若貴司正在準備 SOC 2,季度節奏加上書面記錄(有日期的 Google 試算表或匯出日誌)是最低要求。你不需要企業工具——對稽核人員而言,有記錄、一致執行的季度審查在新創階段已足夠。
季度存取審查與一次性存取稽核有何不同? 一次性稽核是探索性工作:從頭釐清目前誰擁有什麼存取權。季度審查是維護性工作:在已知基線的前提下,確認過去 90 天內有哪些異動並加以清理。若尚未做過稽核,先從那裡開始——它提供的基線能讓後續季度審查快速完成。
若發現一個帳號早幾個月前就應移除,怎麼辦? 立即移除,然後追查是如何遺漏的:是那個工具不在清單上?還是沒有標準流程?記錄原因,並將該工具或步驟加入季度範本。審查節奏的價值取決於它所驅動的行動——發現問題只有在真正解決問題時才有意義。
在不增加負擔的情況下保持存取權乾淨
季度存取審查是一個 30 分鐘的習慣,能預防數個月的清理工作。每季初執行:調出異動日誌、對照工具清單核查、標記閒置帳號、輪換受影響的共用憑證、在 48 小時內完成所有待辦項目。
若希望異動日誌預先建立——入職時自動開通存取、職位異動時追蹤、離職時自動標記——Optserv 處理整個生命週期層,讓季度審查從偵查工作變成確認工作。
資料來源
- Vanta: 如何執行季度使用者存取審查
- AccountableHQ: 如何進行季度存取審查
- AccessOwl: 使用者存取審查最佳實踐
- Zluri: 季度使用者存取審查:時機指南
作者:Optserv Team
Run your entire team from one place.
Optserv handles hiring, onboarding, access management, and offboarding — built for startups that want to operate like grown-ups without the enterprise overhead.
Try Optserv free