除了在新人報到時部門主管會幫使用者決定該使用的系統權限外，隨著人員部門與業務的異動，針對原有的系統權限也應該進行檢討，這些權限的異動必須要能夠稽查以避免人員擁有過多的權限，而造成資安上的漏洞。

稽核重點：人員的系統權限是否依據權限申請流程處理？

提供資料：使用者權限申請單
上一篇我們提到了使用者帳號與權限的管控如何執行，本篇所要討論的是使用者權限的變更與申請。

使用者的權限，除了新人報到的時候所提出的申請之外，隨著負責的業務範圍異動或者部門的調度，原先的權限可能不符使用（例如原先是業務，後來轉調負責產品線的營運），或者同時兼任兩種職務，而需要再新增不同的權限功能。

所以在權限申請的定義上，我們必須要能夠區分出，新增權限與舊有權限間的關係；例如：新增權限的生效日為何？舊有權限是否需移除？移除的期限為何？如果同時兼任兩種角色，則原先的角色是否需調整...等等諸如此類的定義，資訊部門人員於接收到權限申請時，就必須依照上面所填寫的資訊以及主管核准為依據進行權限的調整，在申請表格的設計上可以加上表單的編號，於執行完畢後存檔（如果有系統會比較方便），以利資訊查核以及日後的追蹤。

而由於我們公司業務上的屬性，客戶以及產品線會依據負責的人員不同，系統的資料可能會有移轉的需求，資料的移轉也必須符合資料修改的程序進行辦理。（只是目前系統上沒有整合完善，使用者在申請上顯得很複雜，往往不知如何辦理，這是需要改善的項目之一）

全系列文章列表