日昨有提到密碼設定問題，根據美國國家標準技術研究院(簡稱NIST)，針對密碼，其規範圍是增加密碼的強度(Strength)。

NIST有關密碼的規範：https://pages.nist.gov/800-63-3/sp800-63b.html

當然，規範主要是針對層級比較高的單位，例如國防部等等，密碼需要被政府單位所認證，基於國安考量，這樣認證規範有其存在的必要性。

至於台灣有沒有相關密碼的規範法令？ 答案是有的，主要也是用在政府單位，可以參考下列連結!

民國101年9月通過的政府機關密碼統合辦法：http://law.moj.gov.tw/Law/LawSearchResult.aspx?p=A&t=A1A2E1F1&k1=%E5%AF%86%E7%A2%BC

以下根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容，我們繼續討論第六部分的6.9及6.10。

六、人力資源安全　（人事、資訊及業務單位）
6.9針對人員(含第三方使用者)之調動、離職或退休，是否立即取消或調整其識別碼、通行碼、存取權限及安全責任？

6.10員工離職或第三方使用者於聘雇終止時，是否依規定繳回其使用或保管之資訊資產並移除其存取權限？

說明：此項說明一個重點：1.終止雇用合約，取消權限。

大部分公司，不外乎就這三個階層：高階、中階以及低階。資訊管理單位，在每個人離職後，很重要的是保密協定簽訂。然而，我們看一些台灣大型公司主管，很多在離職之後，就會帶著機密離開前公司，轉戰新的公司，也不怕原公司的法律訴訟，這該如何解決呢？

因為這後續延伸會與法律有關，我在此就簡單釐清一些觀念，首先，這一定是法律事件，故必須用法律來解決。我國刑法第三百十七條有規定，依法令或契約有守因「業務」知悉或「持有」工商秘密之義務，而無故洩漏之者，得處一年以下有期徒刑、拘役或一千元以下罰金。

看不懂，沒關係!

我只提一個重點，爭端源頭在於是否有利益？

注意，所有爭端就在於利益，進入法律訴訟就交給專業的律師解決，在此，本人就不贅述了。

但是資安人員，切記一件事，請明訂出三個階層關閉權限的辦法，一定要寫清楚，避免公司甚麼過錯都找上資安部門，只要符合規定，有照表操課，基本上，資安立場站穩了，有任何爭議，就隨時依據狀況調整辦法，如此，就沒有任何立場不明確的問題了。