(帳號管理)
一、組織應建立資通系統帳號管理機制,包含帳號之申請、建立、修改、
啟用、停用及刪除之程序。
二、組織如有核准臨時或緊急使用之資通系統帳號,於作業結束後,應即
時刪除或禁用該等資通系統帳號。
三、組織應禁用資通系統閒置帳號。
四、組織應定期(至少每半年一次)審查資通系統帳號及權限之適切性。
五、第一類組織應定義核心系統之閒置時間或可使用期限與核心系統之使
用情況及條件(如:帳號類型與功能限制、操作時段限制、來源位址
限制、連線數量及可存取資源等)。
六、第一類組織核心系統逾越所定之許可閒置時間或可使用期限時,系統
宜自動將使用者帳號登出。
七、第一類組織應依組織規定之情況及條件,使用核心系統。
八、提供網際網路下單服務之組織,應每日針對核心系統帳號、非客戶帳
號登入嘗試紀錄等進行監控及分析,如發現帳號違常使用時回報管理
者並進行後續處理。
九、組織不得使用客戶之顯性資料(如統一編號、身分證號、手機號碼、
電子郵件帳號、信用卡號、存款帳號等)作為唯一之識別,否則應另
行增設使用者代號以資識別。 |