在不少企業看來，電腦汰換多被視為硬件老化後的例行安排，但從資訊保安角度來看，每一部準備退役的裝置，其實都可能藏着客戶資料、內部文件、帳戶憑證，以至商業機密。若處理不當，即使只是員工私自帶走一部舊筆電，或將硬碟交給沒有專業背景的小型回收商，也足以引發嚴重的資料外洩事件，成為典型的網絡安全例子。若企業打算在電腦汰換與回收過程中加強資訊安全，就應訂立一套具體而清晰的政策，而非僅依靠零散的內部指示。

建立資產與資料盤點清單

制定電腦汰換與回收政策之前，企業首先要弄清楚自己擁有多少裝置，以及每一類裝置大致存放着甚麼類型的資料，包括桌上電腦、手提電腦，還應涵蓋伺服器、網絡儲存設備、外置硬碟以至流動裝置。透過建立資產清單，標示設備型號、序號、使用部門與主要用途，管理層才能對資訊風險有具體概念。其後，企業應為資料敏感度劃分層級，例如一般文件、內部機密及高度機密等，並在資產清單中註明各設備主要處理的資料類別。這樣一來，日後在安排汰換及回收時，便能按敏感程度選擇相應的保安措施，而不會所有設備都一視同仁，或全部交由同一套簡單流程處理。

清晰劃分責任與操作流程

有了資產及資料盤點的基礎，下一步便是釐清責任分工和操作流程。企業應指定資訊保安或 IT 部門作為牽頭單位，與人力資源、財務及法務等部門協調，訂立一套固定程序，規定誰有權批准設備汰換，誰負責技術操作，誰則需保存相關紀錄。當某部門申請汰換設備時，申請過程應以書面或系統表格記錄，包括設備編號、使用者、資料敏感度以及預計處理方式。經過審批後，IT 部門按照既定程序進行備份、資料移除與設備重置，完成後再交由負責回收的團隊或服務商接手。透過這樣的分工，既能減少責任模糊的情況，也方便日後追溯每一部設備的去向。

訂立標準化的資料處理步驟

企業需要為回收前的資料處理訂立明確標準，避免個別員工各自為政：

• 所有準備退役的電腦，都應先完成業務所需的資料備份，並由負責人確認備份可成功還原，避免日後出現「舊機已處理但重要資料不見」的情況。

• 必須移除或停用各類帳戶及憑證，包括 AD 帳戶、雲端服務登入資料、VPN 設定等，以免舊設備在離開公司後仍保留進入企業系統的通道。

• 一般裝置可透過合規工具多次覆寫硬碟，而保存高度機密資料或涉及法規要求的設備，則可考慮採用專業的物理銷毀方式，例如消磁或碎毀硬碟。

• 政策文件應清楚列明各級敏感度對應的處理方法，並要求技術人員按指引執行，而非單靠「格式化」這類表面操作。

審慎揀選回收商與數據銷毀服務

當企業準備將已處理的設備交由第三方回收時，揀選合作夥伴同樣需要原則和標準：

優先選擇具認證與專業能力的服務商

當企業準備將已處理的設備交由第三方回收時，揀選合作夥伴同樣需要清晰的原則與標準。企業宜優先考慮具備相關環保和資訊安全認證的回收商，尤其是具備完善流程、能提供專業電腦回收及數據銷毀服務的供應商。與服務商接洽時，企業應要求對方清楚說明處理流程，並提供相應證書與紀錄，例如數據銷毀證明及設備處理報告，讓管理層能夠追蹤每一批設備的去向及處理方式。

在合約中明確列出保安與責任條款

雙方在簽訂合約時，亦應事先在條款中清楚列出資料保安相關要求，避免日後出現爭議。企業可在合約內規定回收商必須採用何種數據抹除或銷毀標準、紀錄保存年期，以及在處理過程中應遵守的操作規範，同時就資料外洩風險訂明責任分配與賠償安排。若因回收商疏忽而引致資料洩漏，合約便可作為追究責任的重要依據。

H2：整合電腦汰換政策打造長期防線

當企業願意把這些做法整理成具體政策，並在日常運作中持續執行與檢討，設備退役時的資料外洩風險自然會大幅下降，不但有助保障客戶與員工的個人資料及商業機密，也能減少合規風險和公眾信任流失的機會，令硬件更新過程真正成為企業長期網絡安全策略的一部分。