Serverfault 对“我们现在应该做什么来清理这个烂摊子”有一个很好的规范答案，所以我会尝试“我们应该做些什么来防止这种情况再次发生”。

• 您的组织需要建立“员工离职”流程并坚持下去。
• 您的组织将需要确定他们是否应该对所有终止一视同仁，或者在“敌对”和“非敌对”终止之间区别对待，或者在普通员工和有权访问敏感信息的员工之间区别对待。
• IT 需要记录关闭员工可能拥有的每个帐户的程序，包括 IT 无法控制的帐户。
• IT 需要保留员工帐户登记册，以便他们立即识别任何给定员工拥有的帐户。（这可能是很多工作。）
• IT 需要拥有所有通用帐户的列表以及谁知道它们的密码。他们还需要删除尽可能多的通用帐户，最好是全部删除。
• 当做出“敌对”终止的决定时，HR 需要提前与 IT 会面并制定计划，以便在员工得知他们已被终止时所有帐户都被禁用。
• 在关闭账户的同时，他们的计算机硬件和身份证需要得到保护。

IT、人力资源和高级管理人员都需要对上述内容做出承诺。

此外，从您的问题中也可以听到您的备份程序不好 - 修复它。（不要忘记保护您的备份。特别是，尽量不要让任何有权删除原件和备份的人。）

鉴于您的情况，以下是我会做的。

1. 从以前的备份中恢复电子邮件。如果他们删除了它们，那么假设他们有什么要隐藏的。
2. 联系可以审核您的系统的专业人员，并确保没有后门或网络漏洞在终止后仍未修补（网络邮件/vpn 凭据/黑莓、RDC 连接、文件等）
3. 比较从终止当天到前一天晚上的文件备份。恢复任何可能已被删除的文件。
4. 招募您的公关/传播团队，因为您将不得不对发送的电子邮件进行一些损害控制。
5. 正如格雷厄姆所说，您需要制定一套政策以及一份“员工离职清单”来防止这种情况发生。
6. 您需要与人力资源和高级管理层坐下来讨论终止程序，因为它们通常需要精心安排（即确保员工在发生时不在计算机旁，并让 IT 在发生时锁定系统等）
7. 根据审核级别（根据您的情况判断，我将假设您没有太多）查看自离开以来哪些文件已被访问和修改。
8. 密切关注离开系统的电子邮件——如果员工仍有朋友，他们可能仍在向已离职的朋友泄露商业机密/私人公司信息。

希望有帮助！