這個章節的重點就是權限。
最小權限原則，全部關掉只開放給有特殊身份的授權人員。
所以稽核的重點就在於該開的要開，該關的要關。

其實這裡也對應到 CISSP 的 IAAA 噢！
識別(Identification)、驗證(Authentication)、授權(Authorization)、問責(Accountability)
如果想要更詳盡可以參考 CISSP 進階參考線上課程：https://thorteaches.com/cissp-iaaa/

A.9 存取控制

A.9.1 存取控制之營運要求事項

目標：限制對資訊及資訊處理設施之存取。

A.9.1.1 存取控制政策

存取控制政策應依據營運及資訊安全要求事項，建立、文件化及審查之。

• 存取控制政策或作業規範

A.9.1.2 對網路及網路服務之存取

應僅提供予使用者存取其已被特定授權使用之網路及網路服務

• 網路服務存取管理之方式，有提供服務網路服務，如何控管？
  在疫情期間，有相關居家辦公的政策，如果有提供 VPN 的服務，那是不是有相關的管理方式？
  如：網段區隔、權限切分、服務的申請表單(新增/停用)

A.9.2 使用者存取管理

確保經授權使用者對系統及服務之存取，並防止未經授權之存取，如：最小權限原則。

A.9.2.1 使用者註冊及註銷

應實作正式之使用者註冊及註銷過程，俾能指派存取權限。

• 組織要有對使用者註冊及註銷之程序，如：到職、離職、職務異動。

A.9.2.2 使用者存取權限之配置

應實作正式之使用者存取權限配置程序，以對所有型式之使用者對所有系統及服務，指派或撤銷存取權限。

• 針對一般使用的的權限管理方式，最常見的作法是抽驗新進人員及離職人員有沒有停用或移除權限。

A.9.2.3 具特殊存取權限之管理

應限制及控制具特殊存取權限之配置及使用。

• 針對特權使用者的權限管理方式，抽驗管理者的權限及異動記錄。

A.9.2.4 使用者之秘密鑑別資訊的管理

應以正式之管理過程控制秘密鑑別資訊的配置。

• 秘密鑑別資訊: 通行碼、Token、生物辦識，任何屬於秘密鑑別資訊的管理。

A.9.2.5 使用者存取權限之審查

資產擁有者應定期審查使用者之存取權限。

• 定期審查的紀錄
  這個常常會收到受稽方的反彈，使用者那麼多，是要怎麼逐一審查呢？
  標準作法：看政策是否有相應的規定，大部份的受稽方會完整盤點權限。
  或是盤點核心權限、異動人員盤點、抽驗部門盤點 等作法。

A.9.2.6 存取權限之移除或調整

所有員工及外部使用者對資訊及資訊處理設施之存取權限，一旦其聘用、契約或協議終止時，均應予以移除；或於其聘用、契約或協議變更時均須調整之。

• 申請異動或審查之後的權限異動調整，如抽驗職務異動、離職人員之權限。

A.9.3 使用者責任

目標：令使用者對保全其鑑別資訊負責。

A.9.3.1 秘密鑑別資訊之使用

於使用秘密鑑別資訊時，應要求使用者遵循組織之實務規定。

• 使用者對其秘密鑑別資訊的使用原則，如：機敏資訊的紙本不能拿來墊便當訂飲料。

A.9.4 系統及應用存取控制

目標：防止系統及應用遭未經授權之存取。

A.9.4.1 資訊存取限制

應依存取控制政策，限制對資訊及應用系統功能之存取。

• 核對權限細部的存取限制，最小權限原則，如：可讀、可寫、可不可以執行或是可不可以看到。

A.9.4.2 保全登入程序

當存取控制政策要求時，應以保全登入程序，控制對系統及應用之存取。

• 登入系統的流程應該會有保全的方式，例如：帳號密碼、雙因素、跳板機的控管方式為何？

A.9.4.3 通行碼管理系統

通行碼管理系統應為互動式，並應確保嚴謹通行碼。

這裡的通行碼指的就是密碼(Password)

• 通行碼的管理應採取互動式的機制，如到期時會主動提醒要更換、要符合複雜性，幾代不可重覆，輸入不符合時會主動提醒。

其實之前稽核學校的時候，提到說臺灣學術網路各級與學校資通安全，密碼長度為 6 碼，但資通安全規定是 8 碼，這裡有問過前輩，可以提口頭改善建議嗎？
前輩提到以主管機關的要求為主，稽核不同的組織要以不同組織的政策為主。

A.9.4.4 具特殊權限公用程式之使用

應限制及嚴密控制可能篡越系統及應用控制措施之公用程式的使用。

• 可以影響到系統的特殊公用程式的使用要管理，可能包含但不限於你寫到的，一些受稽方提供的特殊系統管理工具也可以涵蓋，最常見的就是系統管理工具的權限、Terminal 的權限。

A.9.4.5 對程式源碼之存取控制

應限制對程式源碼之存取。

• 對程式原始碼要進行存取控制，重點在利用版控軟體的角色存取控制。

參考文獻

國家標準(CNS)網路服務系統：https://www.cnsonline.com.tw/

恐怖遊戲推薦：

嚴懲(Infliction)

Infliction 是一場互動式的噩夢，在一個看上去很正常的郊區住宅中，對潛伏其中的黑暗進行一次可怕的探索。徘徊遊蕩在一個曾經幸福美滿的家庭的廢墟裡，通過閱讀信件和日記、聽取語音郵件和拼湊線索，來瞭解這些引導你來到這裡的可怕事件。

Steam：https://store.steampowered.com/app/692100/Infliction/