4 phút để đọc
Một nhân sự rời khỏi công ty, tài khoản email bị vô hiệu hóa. Nhưng họ vẫn còn quyền truy cập vào hệ thống CRM thông qua một token cũ chưa bị thu hồi. Sau vài tuần, một đối tác bất ngờ phản ánh có dấu hiệu rò rỉ thông tin. Từ một hành động tưởng đã khép lại, rủi ro bảo mật bắt đầu lộ diện.
Rất nhiều doanh nghiệp đang offboard nhân sự theo cách “ngắt email là xong”. Nhưng thực tế, quyền truy cập có thể nằm rải rác ở nhiều hệ thống: cloud, phần mềm bên thứ ba, tài khoản SSO, API key… Nếu không có quy trình kiểm soát chặt chẽ, doanh nghiệp rất dễ để sót các “cửa hậu” – và đánh mất cả dữ liệu lẫn sự an toàn pháp lý.
Vậy làm sao offboard nhân sự mà không thu hồi sót quyền truy cập?
Bài viết này sẽ cung cấp cho bạn một quy trình cụ thể, dễ áp dụng, để đảm bảo mọi quyền truy cập đều được xử lý đúng và đầy đủ nhất.
💡 Key takeaways:
- Luôn lập danh sách đầy đủ các hệ thống, tài khoản và quyền mà nhân sự được cấp
- Ưu tiên thu hồi tài khoản qua SSO, token API, phiên đăng nhập và thiết bị vật lý
- Audit lại toàn bộ quyền truy cập còn tồn đọng sau khi nhân sự nghỉ
- Tuân thủ các yêu cầu bảo mật trong Nghị định 13, GDPR, ISO 27001 và SOC 2
Vì sao thu hồi quyền truy cập là bước quan trọng?
Khi nhân sự nghỉ việc, việc thu hồi quyền không chỉ là trách nhiệm của HR. Đây là một phần trong bảo mật vận hành và quản trị rủi ro.
Nếu bạn là người phụ trách nội bộ, IT hay compliance, thì đây là những gì bạn đang bảo vệ:
- Tránh truy cập trái phép: Nhân sự cũ vẫn có thể đăng nhập vào tài khoản cũ nếu chưa bị khóa.
- Bảo vệ dữ liệu cá nhân: Theo Nghị định 13, tổ chức phải chấm dứt mọi truy cập trái phép vào dữ liệu cá nhân.
- Giảm thiểu rủi ro vận hành: Một tài khoản tồn dư có thể bị lợi dụng, dẫn đến mất dữ liệu, rò rỉ thông tin hoặc bị khai thác qua social engineering.
- Tuân thủ tiêu chuẩn bảo mật: Nhiều chứng chỉ như ISO 27001, SOC 2 yêu cầu tổ chức kiểm soát vòng đời quyền truy cập.
Những lỗi thường gặp trong quy trình offboarding
Nhiều doanh nghiệp đang xử lý offboarding theo kiểu thủ công hoặc không đầy đủ, dẫn đến các lỗi phổ biến:
- Không có danh sách hệ thống đầy đủ: Không biết rõ nhân sự từng truy cập hệ thống nào.
- Chỉ ngắt email nội bộ: Bỏ sót quyền truy cập cloud, công cụ bên thứ ba hoặc hệ thống dùng SSO.
- Quên thu hồi token hoặc API key: Token đăng nhập vẫn còn hiệu lực, cho phép tiếp tục truy cập.
- Không kiểm tra lại sau offboarding: Không thực hiện audit để rà soát quyền tồn đọng.
- Thiếu phối hợp giữa HR và IT: HR lo thủ tục, IT không được thông báo hoặc xử lý muộn.
Quy trình offboarding an toàn, không sót quyền truy cập
Dưới đây là các bước cụ thể để bạn áp dụng ngay vào quy trình offboarding nội bộ:
1. Lập danh sách tất cả quyền truy cập
Ngay từ khi onboarding, hãy ghi nhận các hệ thống mà nhân sự được cấp quyền. Khi offboarding, bạn cần:
- Tổng hợp các tài khoản: email, cloud, phần mềm nội bộ, phần mềm bên ngoài
- Kiểm tra hệ thống đăng nhập qua SSO, đặc biệt nếu dùng Google Workspace, Azure, Okta
- Liệt kê quyền cấp qua API key, SSH key, tài khoản CLI
2. Vô hiệu hóa tài khoản
Thực hiện tắt tất cả tài khoản được cấp, bao gồm:
- Email công ty
- Tài khoản SSO
- VPN, công cụ quản lý truy cập nội bộ
- Tài khoản dự án (Google Drive, Slack, Jira, GitHub…)
Ưu tiên khóa sớm vào ngày cuối cùng làm việc. Nếu có thể, dùng công cụ IAM (Identity & Access Management) để tự động hóa.
3. Thu hồi thiết bị và phương thức xác thực
- Thu hồi laptop, USB, điện thoại công việc
- Gỡ quyền xác thực MFA (Google Authenticator, OTP token)
- Đảm bảo không còn thiết bị vật lý nào có thể đăng nhập được
4. Thu hồi token, API key và phiên đăng nhập
- Revoke các token đang còn hiệu lực: API key, SSH key, personal access token
- Thực hiện force logout khỏi tất cả phiên đang đăng nhập
- Kiểm tra các công cụ như GitHub, GitLab, AWS, GCP để xóa token liên quan
5. Audit toàn bộ quyền truy cập còn lại
- Kiểm tra xem nhân sự cũ còn được gán quyền quản trị hay chia sẻ tài liệu nào không
- Đảm bảo file, dự án, tài khoản đã được chuyển giao cho người kế nhiệm
- Đối chiếu với checklist để xác nhận mọi quyền truy cập đã bị thu hồi
6. Ghi log và lưu hồ sơ
- Lưu lại log người thực hiện, thời điểm thu hồi quyền
- Đảm bảo có bằng chứng để kiểm tra nội bộ hoặc đánh giá compliance
- Rà soát yêu cầu từ các khung pháp lý như:
- Nghị định 13/2023 (VN): Yêu cầu ngăn chặn truy cập trái phép dữ liệu cá nhân
- GDPR: Giới hạn truy cập dữ liệu không cần thiết
- ISO 27001 & SOC 2: Bắt buộc kiểm soát quyền người dùng và ghi log sự kiện
Checklist offboarding an toàn
- Liệt kê đầy đủ hệ thống và tài khoản truy cập
- Vô hiệu hóa toàn bộ tài khoản nội bộ và bên ngoài
- Thu hồi thiết bị và phương thức xác thực
- Revoke token, khóa phiên đăng nhập
- Audit lại quyền truy cập còn tồn đọng
- Ghi log và lưu hồ sơ đầy đủ
- Rà soát compliance theo Nghị định 13 / GDPR / SOC 2
💡 Nếu bạn quan tâm đến checklist đầy đủ về Quản lý phân quyền giúp onboard, offboard dễ dàng và tự động hóa, mời bạn đọc tài liệu độc quyền mà CyStack đã biên soạn dưới đây.
Kết luận
Việc offboard nhân sự đúng cách không chỉ giúp doanh nghiệp dọn dẹp hệ thống, mà còn ngăn chặn truy cập trái phép, bảo vệ dữ liệu và đảm bảo tuân thủ pháp lý. Để tránh bỏ sót quyền truy cập, doanh nghiệp cần có quy trình rõ ràng, checklist cụ thể và công cụ hỗ trợ phù hợp. Đừng đợi sự cố xảy ra mới kiểm tra – hãy chuẩn hóa quy trình từ hôm nay.
