捌、系統存取控制
|
三十一、各單位使用之資訊系統應訂定相關作業手冊,以確保員工正確及
安全地操作使用。
|
三十二、各單位應依資訊安全政策,賦予各級人員必要的系統存取權限;
單位員工之系統存取權限,應以執行法定任務所必要者為限。對
被賦予系統管理最高權限之人員及掌理重要技術及作業控制之特
定人員,應經審慎之授權評估。
|
三十三、對離(休)職人員,應立即取消使用單位內各項資訊資源之所有
權限,並列入單位人員離(休)職之必要手續。單位人員職務調
整及調動,應依系統存取授權規定,限期調整其權限。
|
三十四、各單位如有其權責業務之資訊系統,應依各單位業務之特性,建
立系統使用者註冊管理制度,加強使用者通行密碼管理,並要求
使用者定期更新;使用者通行密碼之更新周期,由單位視作業系
統及安全管理需求決定,最長以不超過六個月為原則。
|
三十五、對單位內外擁有系統存取特別權限之人員,應建立使用人員名冊
,加強安全控管,並縮短密碼更新周期。
|
三十六、開放外界連線作業,應事前簽訂契約或協定,明定其應遵守之資
訊安全規定、標準、程序及應負之責任。
|
三十七、對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控
管,並建立人員名冊,課其相關安全保密責任。
|
三十八、重要資料委外建檔,不論在單位內外執行,均應採取適當及足夠
之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不當備
份等情形發生。
|
三十九、單位如有其權責業務之資訊系統,得依各單位業務之特性及視資
訊安全管理需要,建立資訊安全稽核制度,定期或不定期辦理或
配合有關單位進行資訊安全稽核作業;系統中之稽核紀錄檔案,
應禁止任意刪除及修改。
|