識別(Identification)與認證(Authentication)
1 內部使用者之識別與認證：
1.1 組織內外所有可能接觸組織資訊系統、管制區域、或其他存有機敏性資料控制點之人員或設備，皆必須配有唯一且可被組織識別之識別碼或通行證件，持有人有義務保管，並嚴禁借於他人使用。
1.2 組織內儘可能避免有使用公用識別碼或公用通行證件之情況，以確保能達到『可歸責性』Accountability。
1.3 前述所提之識別碼或證件之唯一識別性必須可以透過密碼、Tokens、生物辨識、或其他多重認證技術(Multifactor Authentication)之機制來達成，以確保其可歸責性。
1.4 被存取或通行之設備與區域都必須確實記錄存取者之識別碼、時間、地點、存取之標的物。組織必須確保這些記錄不被變更或刪除。
1.5 為避免因單一認證技術被破解，組織內各資訊系統在各種情況下存取一般帳號時，應儘可能使用多重認證技術。
1.6 資訊系統透過網路存取特權帳號時，所使用之多重認證技術中，其中一種技術必須是與資訊系統相獨立之設備。

2 設備之識別與認證(Device Identification and Authentication)：
2.1 組織內所有之設備都必須有一個唯一之識別碼，資訊系統在與設備連線時，需使用此識別碼進行連線。
2.2 組織必須備有一設備清冊，此清冊需記錄所有之設備名稱、所在位置、唯一之識別碼、保管人、保管單位、可存取之授權清單，並隨時保持更新。
2.3 資訊系統在與設備完成連線之前，必須完成與設備間之雙向認證，且必須以加密技術確保雙方認證與連線之安全。
2.4 資訊系統在與設備完成遠端連線之前，必須完成與設備間之雙向認證，且必須以加密技術確保雙方認證與連線之安全。
2.5 如果從外部攜入之私人或非組織可控管之設備，需經組織之資訊權責單位確認無任何危害後，給予一組唯一之識別碼後始可在組織內部使用。該設備所有使用情況應被確實完整記錄。

3 識別碼管理(Identifier Management)：
3.1 資訊系統必須為能存取其內容或服務之使用者（例如：使用者帳號、…）以及設備（例如：MAC, Internet IP, …）建立唯一之識別碼。
3.2 組織必須建立一套授權程序，以便能為使用者或是設備建立唯一之識別碼。
3.3 儘量避免重覆使用曾經建立之識別碼名稱，即便該識別碼名稱已不再使用。
3.4 組織應依其組織政策、資訊安全政策、設備管理政策制定識別碼可以使用之期限，當人員異動、離職、設備汰換、或其他特別情況，應將已不再允許使用之識別碼進行失效作業。
3.5 在必要情況下，應避免以使用者之帳號作為對外之電子郵件地址，以避免被惡意程式破解，進而以使用者之帳號作為進行非法行為之代罪羔羊。
3.6 每一個資訊系統之管理者識別碼以及密碼應妥善保管，嚴禁洩露予其他非管理人員，必要時，需進行更換。
3.7 如無合理且必要之理由，嚴禁使用公用之識別碼。

4 Authenticator Management（例如：密碼、Tokens, Key Cards, 生物特性、…）：
4.1 資訊系統用以連線之識別碼以及認證符號，在使用時，應加密或進行編碼，以防洩露。
4.2 應要求Authenticator有一定的強度或複雜度，例如：必須達到一定的長度、需英文與數字交替使用、不可與識別碼相同、大小寫交替使用、使用特殊字元、…。
4.3 應定期要求變更Authenticator之內容。
4.4 資訊系統在儲存以及傳輸Authenticator時，需對其進行加密。
4.5 在修改Authenticator時，必須限制至少不可與前三次設定之內容相同。
4.6 當使用Authenticator對資訊系統進行驗證時，必須啟動輸入錯誤三次即鎖定該識別碼之使用，以避免惡意程式進行阻斷式之攻擊。
4.7 應向高階主管宣導，避免為求方便，而排除在前數項之規範限制外。
4.8 嚴禁員工將密碼記錄於可被輕易取得之處，例如：寫在便利貼並將之張貼於電腦螢幕上。
4.9 外部使用者與設備之識別與鑑別：
4.9.1 對於欲存取組織內部資訊資源之外部使用者或設備，組織必須提供一組唯一之識別碼與Authenticator，以確保能識別這些外部使用者以及設備。
4.9.2 所有外部使用者或設備在組織內部運作時，所有過程皆需有記錄。
4.9.3 每次外部使用者或設備之運作目的結束後，組織應取消其身份之有效性，待下一次欲使用時，再重新申請與重新授權。