员工离职后的远程设备回收制度该怎么建 - 保密网

今年年初，一家互联网公司发生了这样一件事。一名运营经理在办理离职手续时，公司HR只收回了门禁卡和工牌，说是他的工作电脑因为是远程办公发放的，让他自己留着用了。三个月后，这家公司发现竞争对手抢先发布了一个新功能，跟他们正在研发的功能一模一样。调查后发现，那名已经离职的运营经理留着公司配发的笔记本电脑，里面存着新产品研发的内部讨论纪要。

这个案例听起来有点难以置信，但它确实发生了。远程办公设备在员工离职后能不能安全回收，直接关系到公司商业秘密的后续保护。而现实中，很多企业的设备回收流程存在严重缺口。

我总结了一下目前企业远程设备回收的常见问题，大致可以归纳为四类。

首要类是根本不知道设备在哪。有些企业在远程办公初期为了赶效率，匆匆忙忙给员工配发了电脑和手机，但没有建立完整的资产台账。等到员工离职时，HR说不清楚这个员工当时领了什么设备，IT部门也不确定有没有发过，最后设备就这么不了了之了。我见过一家快速扩张的公司，一年内发了三百多台设备，但能追踪到去向的不到两百台。

第二类是只回收硬件不处理数据。这比首要类情况好一些，至少设备是回来了。但回来的设备如果没有做数据擦除就直接给下一个人用，上一任员工的数据就会暴露给下一任使用者。如果下一任使用者跟上一任有业务关联，可能无意中就能看到前任的工作文档和客户信息，这本身就是一个隐私和合规问题。

第三类是数据擦了但擦得不彻底。有些IT部门处理旧设备时只是格式化硬盘或者删除用户账户，但格式化不等于数据不可恢复。用专业的数据恢复工具，格式化后的硬盘仍然能恢复出大部分数据。真正安全的标准是执行符合国家标准的磁盘擦除操作，或者直接对硬盘进行物理销毁。

第四类是设备回收了但远程访问权限忘了关闭。设备回收之后，如果邮箱、云盘、内部系统等远程访问权限没有同步撤销，离职员工仍然可以通过其他设备登录公司系统。我曾经在安全审计中发现一个案例，一个员工的账号在他离职后七个月还是活跃状态，期间有人用这个账号登录了产品管理系统。

针对这些情况，北京企密安信息安全技术有限公司在给客户设计方案时，会建议建立一个完整的远程设备全生命周期管理制度。

这套制度的起点是资产登记。每台设备发放时就要登记设备序列号、MAC地址、硬盘序列号、领取人姓名、领取日期和有效期。设备信息纳入统一的资产管理平台，跟员工信息打通。员工离职流程启动时，系统自动触发设备回收任务。

然后是数据清除环节。设备回收后，必须执行符合国家信息安全技术标准的存储介质信息清除和销毁操作。对于含有核心商业秘密的设备，建议直接对硬盘进行物理销毁，不留任何恢复的可能。

接着是权限清理。设备回收的同时，必须立即关闭离职员工对内部系统的所有访问权限。包括邮箱、VPN、云盘、OA系统、代码仓库等。这个操作应该在员工离职通知发出的同时自动触发，不能等到第二天。

还有一个很重要的环节是设备回收的签字确认。员工交回设备时，需要双方当面确认设备状态，签署设备交接确认单。设备经过数据清除后，还需要出具清除证明并存档备案。

另外，对于因为疫情等特殊原因实在无法收回设备的，应该在离职流程中要求员工签署远程数据清除承诺书，并在IT部门的远程协助下执行数据擦除操作。擦除完成后，员工需要提供设备硬盘已清除的截图或视频作为凭证。

建立制度不难，难的是坚持执行。我建议企业每季度对远程办公设备进行一次盘点，把账面上的设备和实际在用的设备逐一核对，及时发现账实不符的情况。同时设备回收制度的执行情况也应该纳入内部审计的范围。

离职设备和离职员工的管理，是企业保密体系的最后一道防线。这道防线破了，前面的所有努力都可能白费。

常见问题

问：员工离职后不肯归还远程办公设备怎么办？
答：如果设备是公司资产，员工离职后有义务归还。建议在劳动合同和保密协议中明确约定远程办公设备的归属和返还义务。如果员工坚持不归还，可以先发书面催交通知，设置合理的交回期限。多次沟通无效的，可以通过法律途径解决。

问：硬盘物理销毁的话，设备就不能用了，这样会不会太浪费？
答：对于含有核心商业秘密的设备，物理销毁是成本最低的风险控制方式。一块硬盘的成本可能是几百到一千元，但一次数据泄露可能造成的损失是以百万计甚至千万计的。不过对于不含敏感数据的设备，使用符合标准的磁盘擦除软件反复覆盖数据后可以继续使用。