【圖資處公告】資通系統安全存取宣導
主旨:資通系統安全存取宣導
宣導事項:
一、 存取控制政策
(一) 資訊資產之存取應與本身業務相關之範圍為主,任何人未經授權不得存取業務範圍外之資訊資產。
(二) 應正確使用資訊資產,以維護資訊資產之可用性、完整性與機密性。
(三) 非因業務需求不得將系統存取帳號提供他人,若因業務需要開放帳號予他人時,應有適當安全控管措施,該控管措施應考量業務需求及資訊資產之機密性,授與適當之存取權限及有效日期。
(四) 被賦予系統管理最高權限之人員及掌理重要技術及作業控制之特定人員,應經審慎之授權評估。
(五) 處理系統異常狀況時為避免紀錄混淆,應授與適當存取權限,惟不得使用共用帳號。
(六) 可攜帶式電腦儲存媒體,例如:筆記型電腦、隨身碟、光碟、磁帶、行動裝置等,應採取適當管控措施,防止未經授權資料、系統、網路存取或病毒傳播。
(七) 對資料、資訊之存取,必須符合「個人資料保護法」及「智慧財產權」等相關法令規定,並遵循合約中有關資料保護及資料存取使用管控之規定。
二、 系統公用程式路徑之存取權限應適當控管,禁止一般使用者存取。
三、 使用者存取權限
(一) 各項系統資源使用權限應有適當之申請、註冊及註銷作業管理程序,並維護相關資料與紀錄,以備查核。
(二) 使用者職務異動時,應提出申請且進行權限變更。
(三) 使用者離職時,資訊人員應於離職當日停用使用者帳號。
(四) 重要系統之授權管理,必須依執行業務系統別之需求,例如資料庫管理系統、網路資源系統、監控管理系統、密或機密性報表系統等賦予系統存取權限,且以執行業務及職務所必要的最低資源存取授權為限。
(五) 各項設備與系統相關之使用權限(例如使用者帳號、密碼,作業權限)應有記錄並妥善保管該項文件。
(六) 使用者存取權限應定期審查,週期不得超過1年。
(七) 系統稽核資料應由專人定期審核,系統管理者不得新增、刪除或修改稽核資料。
(八) 針對無人看管的資訊資產設備,應有適當控管程序,以防未經授權之存取或濫用。
(九) 個人桌上型電腦、筆記型電腦應設定於10分鐘不使用或離開後,即自動啟動螢幕保護程式並登出或鎖定系統,以避免被未授權之存取。
四、密碼(通行碼)管理
(一) 密碼保護原則:
帳號使用人應善盡保密之責,使用帳號、通行碼登入系統時,應盡到善良使用者的責任,並遵守密碼複雜度原則如P@sSw0rD(英文字母、大小寫、數字及特殊字元)避免張貼在個人電腦或終端機螢幕或其他容易洩露之場所,防範不法人士以社交工程(Social Engineering)方法騙取帳號及通行碼入侵。
(二) 密碼設定原則:
1.除特殊原因外,密碼長度應8個字元(含)以上。
2.密碼宜採英文字母、數字與特殊符號混合。
3.密碼宜避免具有意涵之內容,如姓名、出生日期、國民身分證統一編號、車牌號碼等,或通行碼與帳號相同。
4. 使用者密碼應定期更新。
五、系統存取權限之檢討評估
(一) 作業系統中只允許必要之帳號存在,非必要之帳號應予刪除,特別是訪客(Guest)與匿名(Anonymous)帳號一定要取消其登入之權限。
(二) 系統管理人員如有必要賦予使用者系統最高權限,宜另外建立擁有相同權限之帳號並填寫「帳號權限異動申請表」,並依下列的授權程序管理:
1. 確認申請人員:
確認系統存取最高權限事項,例如作業系統、資料庫管理系統、以及須賦予系統存取最高權限的人員名單。
2. 核定原則:
業務需求,視個案逐項考量賦予使用者系統存取最高權限;系統存取最高權限配賦,應以執行業務及職務所必要者為限。
3. 授權原則:
應建立申請系統存取最高權限授權程序,並只能在完成正式授權程序後,才能配賦給使用者;另外,應將系統存取最高權限之申請及授權資料建檔,以明責任及備日後查考。
(三) 為釐清相關作業權責,應避免帳號共用之情形。
(四) 資通系統存取權限之賦予應符合最小權限原則,避免使用者擁有過大的權限,造成資料及系統之危害。
(五) 為有效控管資料及系統存取,各資通系統使用人應定期檢討及評估使用存取權限,每年至少辦理一次系統存取權限清查,並定期檢討系統存取特別權限核發情形,防止有人未經正式的授權程序取得特別權限。
(六) 重要系統之存取使用應留存查核記錄。