Offboarding ICT: Quy trình thu hồi tài khoản – bảo mật dữ liệu khi nhân viên nghỉ việc

Nhân viên nghỉ việc nhưng email – dữ liệu vẫn còn? Tìm hiểu quy trình offboarding ICT chuẩn 2025 để tránh lộ thông tin, mất dữ liệu và rủi ro bảo mật.

Trong rất nhiều doanh nghiệp, khi nhân viên nghỉ việc, bộ phận nhân sự chỉ xử lý bàn giao tài sản và giấy tờ. Tuy nhiên, phần quan trọng nhất – offboarding ICT – lại bị xem nhẹ hoặc thậm chí quên hẳn. Hậu quả là tài khoản email, quyền truy cập dữ liệu, phần mềm nội bộ hay các tài khoản SaaS vẫn còn hiệu lực.

Để tránh những hệ quả này, doanh nghiệp cần một quy trình offboarding ICT rõ ràng, nhất quán và được áp dụng 100% cho mọi nhân sự. Hãy cùng Máy tính CDC đi vào tìm hiểu quy trình offboarding ICT chuẩn 2025, dựa trên kinh nghiệm thực tế của hàng loạt doanh nghiệp SME.

Rủi ro lớn nhất khi không thu hồi tài khoản: Dữ liệu đi theo nhân viên

1. Dữ liệu nội bộ bị mang ra ngoài mà không ai biết

Nếu tài khoản Google Drive, M365 hoặc NAS chưa thu hồi, nhân viên cũ vẫn có thể:

• Tải toàn bộ tài liệu ra thiết bị cá nhân
• Chuyển quyền sở hữu file cho email bên ngoài
• Xóa dữ liệu quan trọng mà không để lại dấu vết
• Mang theo thông tin khách hàng, quy trình, báo giá

Đây là rủi ro lớn nhất trong mọi doanh nghiệp, đặc biệt với các bộ phận Sale, Marketing, Kế toán và Dự án.

2. Tài khoản bị truy cập gây rối hoặc sử dụng cho mục đích xấu

Một số trường hợp đã xảy ra ở SME:

• Nhân viên cũ đăng nhập Facebook Business → gỡ quyền admin
• Truy cập email cũ → xoá thư, tải tài liệu
• Dùng tài khoản cũ để xem thông tin nội bộ
• Lợi dụng quyền truy cập cũ để tiếp cận khách hàng

Tất cả đều bắt nguồn từ một điều: không vô hiệu hóa tài khoản đúng chuẩn.

3. Lộ thông tin nhạy cảm – đặc biệt là phòng kế toán

Kế toán là phòng ban “nhạy cảm” nhất về dữ liệu. Nếu tài khoản OneDrive/Google Drive của kế toán chưa khóa, doanh nghiệp có thể mất:

• Bảng lương
• Hoá đơn, chứng từ
• Báo cáo tài chính
• Dữ liệu thuế

Chỉ cần một thao tác tải file là doanh nghiệp có thể bị lộ toàn bộ tài chính của cả năm.

Quy trình offboarding ICT chuẩn 2025 doanh nghiệp nào cũng nên áp dụng

Để tránh rủi ro, quy trình offboarding ICT cần được thực hiện theo từng bước, rõ ràng, có checklist và có người chịu trách nhiệm.

1. Khoá tài khoản email và SaaS ngay khi có quyết định nghỉ việc

Đây là bước quan trọng nhất và phải làm ngay lập tức:

• Khoá tài khoản Google/M365
• Thu hồi session trên tất cả thiết bị
• Reset mật khẩu hoặc vô hiệu hóa user
• Tắt quyền đăng nhập SSO

Việc này đảm bảo nhân viên cũ không còn truy cập từ thiết bị cá nhân.

2. Chuyển giao toàn bộ tài liệu trước khi khóa

Không nên khoá tài khoản ngay lập tức nếu chưa:

• Sao lưu tài liệu
• Chuyển quyền sở hữu tài liệu Drive/M365
• Bàn giao tài liệu dự án hoặc data khách hàng
• Xuất file quan trọng ra kho dữ liệu chung

Nếu không, doanh nghiệp sẽ tự “nhốt” dữ liệu của chính mình.

3. Thu hồi quyền truy cập các hệ thống nội bộ

Các doanh nghiệp thường có:

• CRM/ERP
• Phần mềm chấm công
• Hệ thống kế toán
• Công cụ quản lý dự án
• Email marketing
• Zalo OA/Facebook Business/TikTok Ads

Tất cả phải được thu hồi quyền truy cập trước khi tài khoản email bị vô hiệu hóa hoàn toàn.

4. Loại user khỏi nhóm chat – nhóm dự án – tài khoản nội bộ

Đây là bước nhiều người bỏ quên:

• Loại khỏi nhóm Teams / Slack / Zalo
• Thu hồi quyền quản trị fanpage / Google My Business
• Loại khỏi nhóm dự án
• Thu hồi quyền truy cập folder chung
• Đổi mật khẩu tài khoản dịch vụ dùng chung (nếu có)

Nếu để sót, nhân viên cũ vẫn có thể theo dõi hoạt động nội bộ.

5. Thu hồi máy tính – reset theo chuẩn bảo mật

Máy tính của nhân viên nghỉ việc phải được:

• Kiểm tra dữ liệu còn sót
• Sao lưu tài liệu cần thiết
• Reset Windows
• Xoá session cũ
• Gỡ quyền truy cập mapped drive
• Kiểm tra lại phần mềm bản quyền

Việc reset đảm bảo không còn dữ liệu cá nhân hoặc dữ liệu nội bộ nằm trên máy.

6. Cập nhật danh sách user – tránh tồn tại tài khoản “ma”

Doanh nghiệp cần:

• Ghi nhận user đã nghỉ
• Cập nhật danh sách email
• Thu hồi license để tránh phí phát sinh
• Đánh dấu vào hệ thống HRM/ITAM
• Xóa tài khoản sau 30–90 ngày tùy chính sách

Tài khoản “ma” là lỗ hổng bảo mật nguy hiểm nhất.

Công cụ hỗ trợ offboarding ICT hiệu quả: M365 và Google Workspace

Cả Google Workspace và Microsoft 365 đều có công cụ hỗ trợ offboarding rất hữu ích:

Google Workspace

• Transfer file từ user cũ sang user mới
• Chuyển quyền sở hữu Google Drive
• Gỡ quyền Login từ xa trên mọi thiết bị
• Audit log để kiểm tra xem user đã tải file nào

Microsoft 365

• Block sign-in ngay lập tức
• Convert mailbox sang Shared Mailbox
• Chuyển email sang người quản lý
• OneDrive file move
• Thu hồi MFA và session thiết bị
• Audit log để kiểm tra truy cập bất thường

Doanh nghiệp nên chuẩn hóa mọi thao tác offboarding bằng chính các công cụ này, tránh làm thủ công hoặc bỏ sót.

Kết luận: Offboarding ICT là bước nhỏ nhưng quyết định an toàn dữ liệu doanh nghiệp

Một tài khoản bị bỏ quên có thể giống như một cánh cửa mở vào phòng dữ liệu của bạn – không ai kiểm soát, không ai giám sát và không ai biết chuyện gì xảy ra bên trong. Doanh nghiệp càng phát triển, quy trình offboarding ICT càng phải rõ ràng, nhất quán và được thực hiện đúng 100%.