PAPA-资讯存取问题.docVIP

PAPA－資訊存取問題 資工一甲 陳莉雯 U92B150 資訊系統存取控制規定1、應訂定資訊系統存取控制規定，界定存取控制之需求，並以書面、電子或其他方式記錄之。 2、應將業務系統之存取控制需求，明確告知系統服務提供者，以利其執行及維持有效 的存取控制機制。 3、業務應用系統擁有者，應訂定系統存取控制政策，並明定使用單位及使用人員的系統存取權利。 4、資訊系統存取控制規定之研擬，應考量事項如下： （1）個別業務應用系統之安全需求。 （2）資訊傳佈及資料應用之名義及授權規定。 （3）相關法規或契約對資料保護及資料存取之規定。 二、使用者之存取管理 （一）使用者註冊管理 1、對於多人使用的資訊系統，應建立正式的使用者註冊管理程序。 2、使用者註冊管理程序，應考量的事項如下：（1）查核使用者是否已經取得使用該資訊系統之正式授權。 （2）查核使用者被授權的程度是否與業務目的相稱，是否符合資訊安全政策及規定（例如:有無違反權責分散原則。） （3）應以書面、電子或其他方式，告知使用者之系統存取權利。 （4）要求使用者簽訂約定，使其確實瞭解系統存取的各項條件及要求。 （5）在系統使用者尚未完成正式授權程序前，資訊服務提供者不得對其提供系統存取服務。 （6）應建立及維持系統使用者之註冊資料紀錄，以備日後查考。 （7）使用者調整職務及離（休）職時，應儘速註銷其系統存取權利。 （8）應定期檢查及取銷閒置不用的識別碼及帳號。 （9）閒置不用的識別碼不應重新配賦給其他的使用者。 （二）系統存取特別權限之管理 1、應嚴格管制系統存取特別權限。 2、應特別保護的系統，如有必要賦予使用者系統存取特別權限，應依下列的授權程序管理： （1）應確認系統存取特別權限之事項，例如作業系統、資料庫管理系統、以及須賦予系統存取特別權限的人員名單。 （2）執行業務之需求，視個案逐項考量賦予使用者系統存取特別權限；系統存取特別權限之配賦，應以執行業務及職務所必要者為限。（3）建立申請系統存取特別權限之授權程序，並只能在完成正式授權程序後，才能配賦給使用者；另外，應將系統存取特別權限之授權資料建檔，以明責任及備日後查考。 （三）使用者通行碼之管理 1、應建立使用者通行碼之管理制度。 2、建立通行碼管理制度，應考量下列事項： （1）應儘量以簽訂書面約定之方式，要求使用者善盡保護個人通行碼之責 任；如屬於群組軟體之使用者，應確保工作群組的通行碼，僅限群組成員使用。 （2）為維持通行碼的機密性，應以配賦臨時性通行碼，並強迫使用者立即更改通行碼的方式處理；使用者忘記通行碼時，可提供臨時性的通行碼，以利系統辨認使用者。 （3）應以安全的方法將臨時的通行碼交付使用者，避免經由第三者，或是以未受保護的電子郵遞等電子方式交付給使用者，並應建立確認使用者是否收到臨時的通行碼的機制。 （4）系統如經評估須建立更高等級的安全機制，可利用電子簽章等安全等 級更高的存取控制技術。 （四）系統存取權限之檢討評估 1、為有效控管資料及系統存取，應定期檢討及評估使用者之存取權限。 2、系統存取權限之評估，應考量事項如下： （1）系統存取權限評估，以每六個月評估一次為原則。 （2）系統存取特別權限之評估，以每三個月評估一次為原則。 （3）定期檢討系統存取特別權限之核發情形，防止有人未經正式的授權程序取得特別權限。 、網路存取之安全控制 （一）網路服務之限制 1、個別使用者或是從特定端末機存取電腦及網路服務之安全規定，應依業務存取控制 規定辦理。 2、使用者應在授權範圍內存取網路系統服務事項。 （二）強制性的通道 1、從使用者端末機連接電腦系統之線路，應適當加以控制（例如建立強制性的通道），以減少未經授權存取系統或電腦設施之風險。 2、應建立強制性的通道，防止未被授權的使用者從不同的管道進入電腦系統。 3、建立強制性的通道應考量的安全措施如下： （1）指定專線及電話號碼。 （2）自動將通訊埠連上特定的應用系統及安全通道。 （3）限制使用者只能選擇特定的路線。 （4）防止無限制的網路漫遊。 （三）使用者身分鑑別 1、開放機關以外的使用者從公眾網路，或從機關網路以外的網路與本機關連線作業， 應建立遠端使用者身分鑑別機制，以降低未經授權存取系統的風險。 2、可考量使用「詰問及回應」（challenge/response）或資料加密等安全技術，鑑別 網路使用者之身分。 （四）網路節點之身分鑑別 1、應建立遠端電腦系統（尤其是開放使用者從公眾網路進入系統）與本機關連線作業 之身分鑑別安全機制。 2、建立遠端電腦系統連線作業之身分鑑別機制，應評估業務的可能風險及對業務的衝 擊及影響，設定適當的安全水準。 3、可使用「詰問及回應」或線上加密(非對稱型)等技術，執行網路節點身分鑑別，同 時也可使用專屬私用網路使用者位址之檢