如何在新創公司進行「誰有存取權」稽核（不需要 IT 團隊）

「誰有存取權」稽核，是對所有在你 SaaS 工具中仍持有有效帳號的人員——包括現職員工、離職員工、承包商或自由工作者——進行系統性檢查。對於沒有專職 IT 團隊的新創公司來說，這份稽核第一次做約需 30 分鐘，而且幾乎每次都會找到至少一個早該在幾週或幾個月前就被撤銷的帳號。本指南將帶你逐步完成整個流程。

為什麼每間新創都需要這份稽核

研究數據顯示，89% 的離職員工在離開後仍保有至少一個企業應用程式的存取權。對於快速移動的新創公司來說——外部承包商輪替、待了三個月的實習生、已停止合作的外包公司——這個問題會不斷累積。

孤立帳號不只是理論上的風險。有一個被廣泛引用的案例：前 Cash App 員工在離職後數個月，仍因帳號從未被撤銷而存取了 820 萬名客戶的資料。你不需要到 Cash App 的規模，同樣的模式就能對你造成傷害。一個仍有 Figma 存取權的前承包商，可以下載你的設計系統；一個持有有效 GitHub 席位的離職工程師，仍然可以讀取私人程式庫。

除了安全性之外，費用也是一大考量：每個被遺忘的活躍席位都是持續發生的費用。Slack、Notion、Linear、Figma——這些工具每個席位每月約 NT$300–600 元，加起來相當可觀。

這份稽核是一切的基礎，也是你開始自動化之前必須先做的事。

步驟 0：開始前先盤點你的 SaaS 工具清單

在稽核存取權之前，你需要先知道要稽核什麼。打開一份試算表，列出公司使用的每個需要登入的工具。如果你使用 Google Workspace 或 Microsoft 365 作為身份驗證平台，從那裡開始——但不能只看那裡。大多數新創公司都有大量的影子 IT：個別員工用公司信箱或個人信用卡自行申請、從未告知他人的工具。

依以下類別逐一確認，確保涵蓋所有工具：

• 通訊： Slack、Zoom、Loom、Intercom
• 設計： Figma、Canva、Adobe CC
• 工程： GitHub、GitLab、Vercel、AWS、Linear、Jira
• 文件 / 知識庫： Notion、Confluence、Google Workspace
• 資安： 1Password、Dashlane、Bitwarden
• 財務 / 人資： QuickBooks、Gusto、Deel、任何人資工具
• 行銷： Webflow、HubSpot、Mailchimp、Ahrefs
• 其他： 團隊可能共用的任何 API 金鑰或權杖

10–30 人的新創公司通常有 15–30 個工具。這就是你的稽核範圍。

4 步驟稽核流程

步驟 1：從每個工具匯出成員清單

針對工具清單中的每個工具，進入管理員設定，匯出或截圖當前的成員清單。你需要的資訊包括：姓名、電子郵件、角色，以及最後登入時間。

大多數工具會在「設定 → 成員」、「設定 → 團隊」或帳單頁面中提供這些資訊。Google Workspace 的管理控制台可提供完整的使用者清單及每位使用者的最後登入時間戳記；GitHub 組織設定可讓你查看所有成員及外部協作者；Figma 管理面板則會顯示所有成員及其最後活躍日期。

將每個人的姓名和電子郵件加入試算表的欄位中，並標記對應的工具。第一次不需要做到完美——你在建立全貌，不是在為 SOC 2 準備稽核記錄。速度比完整性更重要。

步驟 2：建立目前的在職人員清單

整理截至今日的實際員工名單。如果你還沒有人資工具，薪資記錄或你自己的記憶就夠了。加入仍應有存取權的承包商和活躍自由工作者。這就是你的「應有存取權」清單。

這份清單與步驟 1 中匯出的成員清單之間的差距，就是孤立帳號所在之處。

步驟 3：交叉比對並標記孤立帳號

逐工具進行檢查。對於每個工具成員清單中的每個人，確認：他們是否在你的在職人員清單上？

不在清單上的人應被標記為孤立帳號。在試算表中建立一個分頁或區塊：「待撤銷帳號」，記錄工具名稱、當事人電子郵件、其在該工具中的角色，以及你發現的日期。

特別注意 GitHub 的「外部協作者」——這些人常常因為不在主要成員清單中而被完全忽略。Figma 的訪客存取、Notion 中開放給外部信箱的共享頁面，以及任何連結外部工作區的 Slack 頻道，也都要留意。

不需要先聯絡當事人。你不是在徵求許可——你在做存取衛生管理。直接進入步驟 4。

步驟 4：撤銷孤立帳號的存取權

逐工具、有條不紊地移除每個被標記的帳號。對於管理員角色，先撤銷管理員權限，再完全移除帳號。對於共用憑證（如共用的 1Password 保險庫），在移除當事人帳號後，務必輪換密碼——單純移除帳號並不會讓他們可能已複製的憑證失效。

在試算表中記錄每次撤銷的資訊：工具、電子郵件、撤銷日期、撤銷執行人。這將成為你日後合規所需的稽核記錄。

最容易藏有孤立帳號的工具

並非所有工具的風險都相同。根據新創公司的實際運作方式，以下這些工具累積孤立帳號的速度最快：

GitHub — 外部協作者在專案結束後往往會持續留著好幾個月。工程師通常是依專案被加入程式庫，卻幾乎不會被移除。請同時檢查組織成員和程式庫層級的外部協作者。

Figma — 訪客存取很容易授予，卻幾乎從不被稽核。你曾與之合作過一次性專案的設計師，很可能仍有你主要檔案的檢視或編輯權限。

Notion — 工作區訪客會快速累積。任何你邀請來對文件留言的外部人員，現在可能仍在那裡。請至「設定 → 成員 → 訪客」查看。

1Password — 當有人離職，他們的帳號需要從保險庫中移除。僅重設主密碼並沒有幫助，因為他們的帳號仍然存在。移除後，務必輪換他們可能已看過的任何共用憑證。

AWS / Vercel / 雲端基礎設施 — 這是風險最高的。擁有 IAM 存取權或部署權杖的前工程師能造成嚴重損害。請檢查 IAM 使用者、存取金鑰，以及任何在離職時未輪換的 API 權杖。

Slack — 通常是第一個被撤銷的，但要檢查連結外部工作區的共用頻道——當內部帳號被停用時，這些頻道不一定會被清理。

從一次性稽核到持續自動化

試算表稽核確實有效，能找出真實問題，而且只需要 30–60 分鐘。問題在於頻率：每次有人離職、每次承包商輪替結束、以及每季至少要重新執行一次。對於 10 人規模的新創公司來說尚可接受；但當公司成長到 25 人、自由工作者流動率偏高時，這就變成了真正的時間負擔——而且稽核間隔正是風險所在。

打破這個手動循環的關鍵，是將存取撤銷直接綁定在你的離職流程中。當有人在人資系統中的狀態改變，存取撤銷就會自動在所有連線工具中觸發。不需要清單，不需要指定某人記得，也不會有遺漏。

如果你還不熟悉自動存取撤銷的運作方式，什麼是自動存取撤銷？ 提供了一份淺顯易懂的入門說明。關於為何大多數人資工具預設不處理這件事，請參閱離職缺口：為何 HR 軟體不會撤銷存取權。如果你主要與自由工作者合作，自由工作者離開後，誰還有你的存取權？ 詳細說明了承包商相關的特定風險。

這正是 Optserv 要解決的問題。當你將某人標記為離職，Optserv 就會在 Slack、Notion、Figma、GitHub、1Password 及工具堆疊中的其他工具上觸發撤銷流程——不需要你手動逐一登入。

手動稽核 vs. 自動化存取生命週期

手動稽核是從未做過的人最好的起點。自動化方案則是在你親眼見證稽核能發現什麼，且不想每季手動執行之後的進化方向。

常見問題

我應該多久進行一次「誰有存取權」稽核？

至少每季一次。此外，每次重大人事異動後也應執行——包括員工離職、承包商合約到期，或外包公司合作結束。如果是手動執行，每季是小型團隊實際可行的頻率。若透過離職流程自動化，則等同於持續執行。

進行「誰有存取權」稽核需要特殊軟體嗎？

不需要。第一次只需要一份試算表和各工具的管理員存取權即可。上述工具（GitHub、Figma、Notion、Slack、Google Workspace、AWS）都內建了成員管理頁面。限制不在於工具，而在於逐一手動檢查所需的時間，以及你必須記得去做這件事。

存取審查與「誰有存取權」稽核有什麼差別？

存取審查是正式的合規術語——這是企業級 IAM 系統（Okta、Lumos、Sailpoint）定期執行的流程，用來確認每位使用者的權限是否符合其當前職責。「誰有存取權」稽核是適合創辦人的輕量版本：你不是在評估角色層級的權限，而只是在檢查不該再有存取權的人是否仍然擁有它。先從稽核開始，等到準備 SOC 2 認證時再考慮正式的存取審查。

如果發現前員工在某個地方仍有管理員存取權，我該怎麼做？

立即撤銷，不需要事先通知。你沒有義務在移除當事人的系統存取權之前警告他們——而等待只會給他們更多時間在有意圖的情況下採取行動。撤銷後，確認他們最近是否有匯出資料（大多數工具會在活動記錄中記錄這些操作）。輪換任何他們可能曾存取過的共用憑證或 API 金鑰。記錄你發現了什麼、何時發現，以及你採取了哪些行動。

這是 SOC 2 的要求嗎？

是的。存取審查在 SOC 2 Type II 中有明確要求（CC6.1 和 CC6.3 控制項）。具體頻率因情況而異，但每季審查是稽核師通常要求的標準。執行並記錄你的「誰有存取權」稽核，就是這些控制項的證明基礎——即使你目前尚未取得 SOC 2 認證，從現在開始養成習慣也能讓日後的認證流程容易許多。

停止手動執行這份稽核

Optserv 將存取撤銷直接綁定在你的離職流程中——當有人的狀態改變，每個連線工具都會自動更新。不需要試算表，不需要每季的緊急處理，也不會有孤立帳號。在 app.optserv.ai 免費開始使用。

資料來源

• Torii：《什麼是 SaaS 中的孤立存取權？》（2026）——89% 的離職員工在離開後仍保有應用程式存取權
• CloudEagle：《如何修復 SaaS 離職的安全漏洞》（2026）——30% 以上的企業需要超過 3 天才能完成所有存取撤銷
• CloudFuze：《離職風險：孤立帳號如何造成資料外洩》——Cash App 事件參考
• Pathlock：《2026 年頂尖使用者存取審查軟體》——SOC 2 存取審查控制標準（CC6.1、CC6.3）

撰文：Optserv Team