捌、系統存取控制

三十一、各單位使用之資訊系統應訂定相關作業手冊，以確保員工正確及
        安全地操作使用。

三十二、各單位應依資訊安全政策，賦予各級人員必要的系統存取權限；
        單位員工之系統存取權限，應以執行法定任務所必要者為限。對
        被賦予系統管理最高權限之人員及掌理重要技術及作業控制之特
        定人員，應經審慎之授權評估。

三十三、對離（休）職人員，應立即取消使用單位內各項資訊資源之所有
        權限，並列入單位人員離（休）職之必要手續。單位人員職務調
        整及調動，應依系統存取授權規定，限期調整其權限。

三十四、各單位如有其權責業務之資訊系統，應依各單位業務之特性，建
        立系統使用者註冊管理制度，加強使用者通行密碼管理，並要求
        使用者定期更新；使用者通行密碼之更新周期，由單位視作業系
        統及安全管理需求決定，最長以不超過六個月為原則。

三十五、對單位內外擁有系統存取特別權限之人員，應建立使用人員名冊
        ，加強安全控管，並縮短密碼更新周期。

三十六、開放外界連線作業，應事前簽訂契約或協定，明定其應遵守之資
        訊安全規定、標準、程序及應負之責任。

三十七、對系統服務廠商以遠端登入方式進行系統維修者，應加強安全控
        管，並建立人員名冊，課其相關安全保密責任。

三十八、重要資料委外建檔，不論在單位內外執行，均應採取適當及足夠
        之安全管制措施，防止資料被竊取、竄改、販售、洩漏及不當備
        份等情形發生。

三十九、單位如有其權責業務之資訊系統，得依各單位業務之特性及視資
        訊安全管理需要，建立資訊安全稽核制度，定期或不定期辦理或
        配合有關單位進行資訊安全稽核作業；系統中之稽核紀錄檔案，
        應禁止任意刪除及修改。