這是一個典型的「資訊安全治理（Information Security Governance）」與「職責分離（Separation of Duties, SoD）」問題，反映出帳號權限審查制度在落實責任與風險控管之間的平衡難題。您目前流程設計在原則上是合理的，但這次稽核暴露出的是: 流程落實力與稽核覆核強度不足，而非單純缺一層「誰來看誰」的問題。

改善建議：導入「三層權限審查機制」

以 SoD 為原則，設計以下分層審查制度：

第一層：使用單位主管主責初審

對部門內員工的帳號與職務相符性負最終業務責任。
要求主管對每一個權限打勾確認並簽章留存（可電子簽核）。

第二層：資訊安全或稽核單位稽查性抽查

不是系統管理員來覆核，而是由資訊安全單位（CISO 下轄）或稽核部門定期抽查結果，特別針對「高風險職務」「高權限帳號」加強查核。

可設計「權限異常警示報表」（如：擁有管理員權限卻無此職務）。

第三層：系統管理員僅技術執行

嚴格限制其職責為：設定帳號、依照核准單據調整權限、不介入「判斷誰該有什麼權限」。可配合工具紀錄操作軌跡，防止私設帳號。

補強「使用單位審查不確實」的做法

除了流程分層外，還可配合以下手段提升審查品質：

權限異常報表自動產生

例如：相同職稱卻有不同權限、離職未移除帳號、同時擁有申請與核准角色等。
簽核責任納入KPI或內控制度 使用單位主管若漏審導致稽核缺失，應反映在年度考核或內部控制稽核報告中。

定期教育訓練與權限手冊

針對使用單位主管提供簡明扼要的權限分級說明，幫助其了解審查標準。

高風險權限雙人審核

比如：財務系統、主資料維護等敏感系統，須由主管 + 資安稽核共同確認。

AI揭露:

以上回答來自 ChatGPT o3: https://chatgpt.com/share/6879966b-373c-8002-887a-5a9f5770ced8

我遇到的狀況還有一個，非RD與品證單位的人要申請查看RD或者是品證單位的共用資料夾，這時候我會要求一定要申請者的單位最高主管核准後，也要給RD或者品證單位最高主管核准，我才會開啟查看的權限，並且一定要有申請單的核准。

1.不可能由系統管理者覆核,系統管理者只能作權限設定的工作。
2.貴司的帳號權限審查流程稍作修改即可，如下:

1.系統管理員定期提供「帳號與權限審查清單」給各使用單位主管。
2.使用單位主管負責審查其單位人員的帳號與權限是否符合其職務與工作需求。
3.若需要調整權限，需由使用單位**主管核准後**提出權限變更申請，若涉及其他部門管理的資料，則需權責部門主管會簽核可。
4.系統管理員調整權限後,再提供該人員的「權限審查清單」給使用單位主管覆核。

在正規的作法上，適用者提出需求，要有表單紀錄，同時有單位主管核准的權限。
另外資訊人員再依據表單紀錄，進行權限變更。
資訊人員權限變更後，再通知資訊人員主管複合。
接下來在表單紀錄上，確認有使用者，單位主管，資訊人員，資訊主管的核決紀錄。
這就是標準的四眼原則。

資訊人員必須要每半年或一年，整理出所有的權限設定，並確認權限紀錄無異常，由資訊人員主管簽名。(看需求是不是要留紙本，重點是要有紀錄)
這邊主要是確認權限設定有無異常。

另外就是稽核程序，分為內部稽核與外部稽核。
一般來說，都是先執行內部稽核，外部稽核有主管機關或其他要求，外部稽核是依照實際的狀況與需求來判斷。
內部稽核由資訊安全主管負責，指派資訊安全人員稽核，或者由資訊安全主管自己執行。
在內部稽核程序的權限設定這一塊，就是抽查表單紀錄，然後看表單紀錄與實際的設定內容是不是正確，同時檢查剛剛的半年或一年的資訊內部確認程序中留下的紀錄是不是都符合。

流程都符合給白牌(White report)，如果有不符合一定都是黃牌(Yellow Report)，如果有重大異常，或者權限過度擴張嚴重影響資訊安全，就是給紅牌(Red Report)。

資訊安全主管(或稱內部稽核官)，稽核時還需要看AD 或者權限設定系統(忘記名稱叫啥)上面的LOG，確保不會出現有設定後又移除的狀況。

資訊安全主管將內部稽核報告呈報給總經理或董事會，然後就看是白黃紅，只要是黃就要求限期改善，紅(Red Report)就有人要倒大楣了，或者把整個資訊部門翻掉。

光權限設定程序就是這樣，這還只是權限設定，還不包括權限移除。

從這個流程就可以看到，這至少有三個環節，每個環節兩個人，而且環環相扣，另外就要看公司董事會對內部稽核報告書的重視程度，愈重視的公司，對整個環節愈嚴謹，就比較不會有人亂搞。

1.依照職務/部門+機密等級設定權限，簡化權限的賦予
2.職務/部門負責人負責審查是否賦予
3.如果有權限不該給，可以調整該權限的機密等級，多個門檻
4.雖然主管對權限都很無感，出事就推給資訊人員，但該負責任的就該負責，資訊人員不該介入

一般來說，系統管理員的確需要最大權限。
但那只是指操作上的最大權限。而非執行面上的最大權限。

有系統管理身份的人員，一般來說需要特別列表出來。
且最好不要太多人知道這個系統帳號。
一般來說，就老闆跟MIS系統人員知道就行。
且平常並不能使用這個帳號。(只能在特殊情況才能使用)

再權限處理方面，一般就是依角色來定義即可。
例如:部門性、作業性。也可以部門加工作性質來定義。

而用戶只能去繼承角色。
這樣再控管上才會比較方便。由其人多的公司。
一個一個設定權限有時真的會漏掉。
用角色來管理會比較容易。

如果特殊情況，需要給與個人單一權限。原則上盡量不要。
但不得已，最好將有單一權限的製表一份出來。提報給公司。
也需要有理由為何需要個人單一權限。
畢竟一但有個人單一權限的話。就不容易有角色管理。
很容易就LOSS給忘記了。