5.1.1.存取控制政策宜考量下列事項:
營運應用系統的安全要求與風險。
資訊傳播和授權政策,以及資訊的安全等級與分級。
不同系統與網路間存取控制與資訊分級政策的一致性。
有關保護資料或服務存取的適當法規及所有的契約責任與義務。
存取控制角色的區隔與特權存取管理,資訊存取權限之設定以工作所需之最小權限與最少資訊為原則。
存取權限申請授權程序。
存取控制措施定期(宜每半年)審查的要求。
存取權限的移除。
關於使用者身分和安全鑑別資訊之使用和管理的重要事件歸檔。
5.4.1.使用資訊系統或服務的授權流程,應實作正式之使用者存取權限配置程序。
5.4.2.查證存取等級授與的適當性,且符合存取政策及職務區隔等要求。
5.4.3.確保授權程序完成後才開啟存取權限。
5.4.4.維護資訊系統與服務之使用者存取權限紀錄。
5.4.5.變更角色或工作的使用者須立即調整其存取權限;已離開施行單位的使用者宜立即移除或封鎖其存取權限。
5.4.6.資訊系統或服務的擁有者宜定期(宜每半年)審查存取權限,並依規定進行帳號清查,系統管理者將查核結果紀錄呈各權責主管審查。
5.5.1.嚴格管制系統存取特別權限。
5.5.2.針對有必要特別保護的系統,賦予使用者系統存取特別權限,並依下列的授權程序管理:
宜確認系統存取特別權限之事項,例如作業系統、資料庫管理系統、應用系統、需賦予系統存取特別權限的人員名單,並由權責主管應審查其合適性。
宜依執行業務的需求,視個案逐項考量賦予使用者系統存取特別權限;系統存取特別權限之配予,宜以執行業務及職務所必要者為限。
宜建立申請系統存取特別權限之授權程序,並只能在完成正式授權程序後,才能配予使用者;另外,宜將系統存取特別權限之授權資料建檔。
5.6.1.宜忠實記錄系統啟動及結束作業時間、系統錯誤、更正作業及建立日誌條目的人員或程序等事項,限定僅由系統管理者或具讀取權限者存取。
5.6.2.作業人員的系統作業紀錄,宜定期交由客觀的第三者檢查。
5.7.1.本機關資通系統之操作及維護以現場操作為原則,避免使用遠距工作,如有需求,應填寫「遠端連線申請單」,經相關權責主管核准後,執行權限開放。
5.7.2.針對遠距工作之連線應採適當之防護措施,均應先取得授權,建立使用限制、組態需求、連線需求及文件化,使用者之權限檢查作業應於伺服器端完成。
5.7.3.資通安全推動小組應定期審查已授權之遠距工作需求是否適當。