編章節內容

名  稱:

證券暨期貨市場各服務事業資通系統安全防護基準參考指引 

修正日期: 民國 113 年 01 月 09 日
主題分類: 資訊作業
   第 二 章 存取控制
第 4 條
(帳號管理)
一、組織應建立資通系統帳號管理機制,包含帳號之申請、建立、修改、
    啟用、停用及刪除之程序。
二、組織如有核准臨時或緊急使用之資通系統帳號,於作業結束後,應即
    時刪除或禁用該等資通系統帳號。
三、組織應禁用資通系統閒置帳號。
四、組織應定期(至少每半年一次)審查資通系統帳號及權限之適切性。
五、第一類組織應定義核心系統之閒置時間或可使用期限與核心系統之使
    用情況及條件(如:帳號類型與功能限制、操作時段限制、來源位址
    限制、連線數量及可存取資源等)。
六、第一類組織核心系統逾越所定之許可閒置時間或可使用期限時,系統
    宜自動將使用者帳號登出。
七、第一類組織應依組織規定之情況及條件,使用核心系統。
八、提供網際網路下單服務之組織,應每日針對核心系統帳號、非客戶帳
    號登入嘗試紀錄等進行監控及分析,如發現帳號違常使用時回報管理
    者並進行後續處理。
九、組織不得使用客戶之顯性資料(如統一編號、身分證號、手機號碼、
    電子郵件帳號、信用卡號、存款帳號等)作為唯一之識別,否則應另
    行增設使用者代號以資識別。
第 5 條
(最小權限)
一、資通系統帳號授權應採最小權限原則,僅允許使用者(或代表使用者
    行為之程序)依組織部門權責及業務功能,完成作業所需之授權存取
    。
二、組織應定義人員角色及責任並區隔相互衝突的角色。
第 6 條
(遠端存取)
一、組織應訂定遠端連線管理辦法,建立使用限制、組態需求、連線需求
    及文件化,對於任一允許之遠端存取類型,均應先取得授權,並留存
    相關紀錄。
二、組織應於伺服器端完成資通系統帳號權限登入驗證作業。
三、組織應監控使用外部網路遠端連線存取組織內部網段之連線。
四、資通系統應採用連線加密機制。
五、資通系統遠端存取之來源應為組織已核准之存取控制點。