資訊安全管理文件管理程序書 -.docVIP

基隆市教育網路中心 存取控制管理程序書 機密等級：文件編號：NC-KL-B-008版 次：發行日期：.11.13 修　訂　紀　錄 版次 修訂日期 修訂頁次 修訂者 修訂內容摘要 2008/1/18 王言俊 初版 1.1 2008/12/12 P1、P2 王言俊 2適用範圍、4名詞定義格式 1.2 2010/11/5 1.封面 2.內文頁首 王言俊 修改機密等級。由限閱改為一般。 1.3 2012/11/5 P2、P8 王言俊 5.1.7、6.1 修改「電腦處理個人資料保護法」為「個人資料保護法 1.4 2012/11/13 P5、P8 王言俊 修改5.3.9為使用者帳號清查及存取權限應定期審查，週期不得超過1年，並登載於「帳號清查結果報告」。 增加6.4「帳號清查結果報告」 目錄 1 目的 1 2 適用範圍 1 3 權責 1 4 名詞定義 1 5 作業說明 2 5.1 存取控制政策 2 5.2 帳號與密碼管理 3 5.3 使用者存取管理 4 5.4 作業系統存取控制 5 5.5 應用系統之存取控制 6 5.6 網路存取控制 6 5.7 遠端存取之限制 7 5.8 資料庫存取控制 7 5.9 系統被入侵時的異常處理 7 6 相關文件 8 目的 保護資訊資產，降低未經授權存取系統之風險，以達成本安全控管之目的。 適用範圍 。權責 本相關人員、約聘人員與委外廠商人員：遵守本程序書之相關規定，以確保本相關軟體與資料等資訊資產之安全。名詞定義 機密性 (Confidentiality) 確保只有經授權的人，才可以存取資訊。 完整性 (Integrity) 確保資訊與處理方法的正確性與完整性。 可用性 (Availability) 確保經授權的使用者在需要時可以取得資訊及相關資產。 可接受風險值 各類資訊資產之最低風險容忍度。 殘餘風險 (Residual Risk) 在採用相關控制措施之後剩餘的風險。 威脅 (Threat) 可能對系統或組織造成傷害之意外事件。 弱點 (Vulnerability) 因資訊資產本身狀況或所處環境之下，可能受到威脅利用而造成資產受到損害之因子。 風險 (Risk) 可能對團體或組織的資產發生損失或傷害的潛在威脅，通常產生之影響及發生來衡量。作業說明 存取控制政策 資訊資產之存取應與本身業務相關之範圍為主，任何人未經授權不得存取業務範圍外之資訊資產。應正確地使用資訊資產，以維護資訊資產之可用性、完整性與機密性。 非因業務需求不得將系統存取帳號提供給外部人員，若因業務需要開放帳號予外部人員，應有適當安全控管措施，該安控措施應考量業務需求及資訊資產之機密性，授與適當之存取權限及有效日期。 被賦予系統管理最高權限之人員及掌理重要技術及作業控制之特定人員，應經審慎之授權評估。 因處理系統當機與異常狀況需視狀況授與適當存取權限，並避免共用帳號。 可攜帶式電腦儲存媒體，例如：筆記型電腦、隨身碟、光碟、磁帶等，應採取適當管控措施，防止未經授權資料、系統、網路存取或病毒傳播。 資料、資訊之存取，必須符合「個人資料保護法」及「智慧財產權」等相關法規之法令規定，或契約對資料保護及資料存取使用管控之權責規定。公用程式路徑之存取權限應適當控管，禁止一般使用者存取。針對無人看管的資訊資產設備，應有適當控管程序，以防經未授權之存取或濫用。 個人桌上型電腦、可攜式電腦應設定於一定時間不使用或離開後，應自動清除螢幕上的資訊並登出或鎖定系統，以避免被未授權之存取。帳號與密碼管理 新購置之應用軟體或系統，安裝完成後應立即更新預設之密碼，並刪除或關閉不必要之帳號。 使用者帳號管理 使用者帳號申請應填寫「資訊服務申請表」，經部門主管核准後，由帳號管理人員進行使用者帳號建立作業。 管理者帳號 系統管理者應避免共用系統管理者帳號，系統管理者帳號與密碼應存放於安全之處。 系統管理者密碼設置，至少碼，且應符合密碼設置原則(密碼應同時包含英文字母及數字)。 密碼管理 使用者首次使用系統時，應立即更改密碼設定，並妥善保管帳號與維持密碼之機密性，保存帳號密碼之檔案應以加密方式處理。 使用者應避免將帳號密碼記錄在書面上，張貼在個人電腦、螢幕或其他容易洩漏秘密之場所。 使用者禁止共用帳號密碼。 使用者發現密碼可能遭破解時，應立即更改密碼。 使用者每次存取系統時應輸入密碼登入系統，避免使用記錄密碼功能，導致開機時自動登入系統。 資訊資產價值為4以上之資訊系統使用者應至少3個月更換密碼一次，一般資訊系統之使用者應至少6個月更換密碼一次，並禁止重複使用相同的密碼。 使用者密碼設置至少6碼，且應符合密