適用人員: 技術人員(開發人員)。
適用法規: 資通安全責任等級分級辦法 - 附表十資通系統防護基準.PDF

技術面分類提要

• 網路架構的檢視
• 端點的安全防護
• 應用開發的防護基準
  • 開發過程的程序與記錄
  • 傳輸與資料的加密與保護
  • 帳號管理與存取權限
  • 委外注意事項
  • 其他(除舊佈新)

帳號的管理大概是所有事項中最最麻煩的部分，法規規定的部份很多。不只在最初的階段就要設想調全，所有相關的系統應用，幾乎都圍繞著帳號的權限。以下說明要點。

建立帳號的注意事項: 參考應辦事項及稽核表

• 管理面:

  • 帳號的生命周期，從申請到刪除都要經過流程記錄。尤其在人員離職時要停用或刪除帳號。
  • 不得共用帳號。原則上需要知道系統是被誰修改。如果需要共用的情況則建議主要管理者開放適當的權限給其他使用者編輯。

• 技術面

  • 密碼的要求。除了密碼複雜度，還包括帳號初次登入時需改變密碼、帳號鎖定機制、密碼不得循環等。
  • 加入情況限制。例如來源 IP、多重驗證、使用時間等。使用時間還包括需要設定閒置的時間，超過時應將帳號登出。
  • 監控: 在帳號異常使用時，需要有回報及應變機制。
  • 權限越小越好。例如權限應為群組或個人分別建立，區別一般使用者與管理者，並依業務性質限制能存取的範圍。

以資料庫舉例，帳號應有以下配合應辦事項的欄位:

p.s. table 轉 markdown 線上工具