5.2.秘密鑑別資訊之使用
5.2.秘密鑑別資訊之使用
5.2.1施行單位於使用秘密鑑別資訊(如通行碼、加密金鑰或憑證資訊等)時,應要求使用者遵循單位之規定。使用者宜:
維持秘密鑑別資訊的機密性,確保不洩露給包括授權人員的任何一方。
避免保留秘密鑑別資訊的紀錄(例如:在紙張、軟體檔案或手持裝置),除非其能被安全地存放,且該存放經過核准(例如:密碼庫)。
只要秘密鑑別資訊有可能遭受破解的跡象,宜立即更改。
不要與他人共用個人的秘密鑑別資訊。
自動登入程序中內含秘密鑑別資訊做為機密鑑別資訊並儲存時,宜確保適當地保護通行碼。
公務與非公務使用目的勿使用相同秘密鑑別資訊。
5.3.1.對於多人使用的資訊系統,建立正式的使用者註冊程序。
5.3.2.使用者註冊管理程序,宜考量:
查核使用者是否已經取得使用該資訊系統的正式授權。
查核使用者被授權的程度是否與業務目的相稱,以及符合資訊安全政策與規定。
以書面或其他方式告知使用者系統存取權利。
要求使用者簽訂約定,使其確實了解系統存取的各項條件及要求。
在系統使用者尚未完成正式授權程序前,資訊服務提供者不得對其提供系統存取服務。
宜建立及維持系統使用者之註冊資料記錄,以備日後查考。
使用者調整職務及離(休)職時,宜盡速註銷其系統存取權利。
宜定期(宜每半年)檢查及取消閒置不用的識別碼及帳號。
閒置不用的識別碼不宜重新配予其他的使用者。