5.1.1.存取控制政策宜考量下列事項：

1. 營運應用系統的安全要求與風險。

2. 資訊傳播和授權政策，以及資訊的安全等級與分級。

3. 不同系統與網路間存取控制與資訊分級政策的一致性。

4. 有關保護資料或服務存取的適當法規及所有的契約責任與義務。

5. 存取控制角色的區隔與特權存取管理，資訊存取權限之設定以工作所需之最小權限與最少資訊為原則。

6. 存取權限申請授權程序。

7. 存取控制措施定期(宜每半年)審查的要求。

8. 存取權限的移除。

9. 關於使用者身分和安全鑑別資訊之使用和管理的重要事件歸檔。

5.4.1.使用資訊系統或服務的授權流程，應實作正式之使用者存取權限配置程序。

5.4.2.查證存取等級授與的適當性，且符合存取政策及職務區隔等要求。

5.4.3.確保授權程序完成後才開啟存取權限。

5.4.4.維護資訊系統與服務之使用者存取權限紀錄。

5.4.5.變更角色或工作的使用者須立即調整其存取權限；已離開施行單位的使用者宜立即移除或封鎖其存取權限。

5.4.6.資訊系統或服務的擁有者宜定期(宜每半年)審查存取權限，並依規定進行帳號清查，系統管理者將查核結果紀錄呈各權責主管審查。

5.5.1.嚴格管制系統存取特別權限。

5.5.2.針對有必要特別保護的系統，賦予使用者系統存取特別權限，並依下列的授權程序管理：

1. 宜確認系統存取特別權限之事項，例如作業系統、資料庫管理系統、應用系統、需賦予系統存取特別權限的人員名單，並由權責主管應審查其合適性。

2. 宜依執行業務的需求，視個案逐項考量賦予使用者系統存取特別權限；系統存取特別權限之配予，宜以執行業務及職務所必要者為限。

3. 宜建立申請系統存取特別權限之授權程序，並只能在完成正式授權程序後，才能配予使用者；另外，宜將系統存取特別權限之授權資料建檔。

5.6.1.宜忠實記錄系統啟動及結束作業時間、系統錯誤、更正作業及建立日誌條目的人員或程序等事項，限定僅由系統管理者或具讀取權限者存取。

5.6.2.作業人員的系統作業紀錄，宜定期交由客觀的第三者檢查。

5.7.1.本機關資通系統之操作及維護以現場操作為原則，避免使用遠距工作，如有需求，應填寫「遠端連線申請單」，經相關權責主管核准後，執行權限開放。

5.7.2.針對遠距工作之連線應採適當之防護措施，均應先取得授權，建立使用限制、組態需求、連線需求及文件化，使用者之權限檢查作業應於伺服器端完成。

5.7.3.資通安全推動小組應定期審查已授權之遠距工作需求是否適當。