帳號管理政策規範
政策規範
- 定期檢查 Google 帳號的裝置登入狀態,移除未使用裝置的授權。登入時確認使用的帳號,避免使用到私人帳號,在多帳號情況下需注意此狀況。
- 透過 Google 帳號登入第三方服務時,檢查並限制授予最小必要的權限。需要擴展權限時,應先由資安負責人評估。(目前最小的授權為:使用者名稱、使用者信箱資訊。郵件、行事曆、通訊錄的授權需提交資安負責人評估、確認。)
- 為保護同步資料,建議啟用「iCloud 進階資料保護」。避免將帳號建立在 Apple 無法直接管理資料中心的國家。
- 定期追蹤共同公用帳號是否從共用表中移轉到正確的登入方式,並確認該共用表的存取權限人員名單。
- 即將到職員工帳號建立應不早於到職日前一週,避免帳號正式啟用期間的安全等級不足(二階段認證未完成設定)。
- 離職員工的帳號應不晚於解除勞動契約日期、當日 19:00 停用其帳號。
- 部門或專案成員,可於風險評估後使用密碼管理器管理共同公用帳號。
- 臨時開通給予外部人員使用的帳號,請於行事曆設定帳號應進行停用、移除的提醒時間。
- 定期更新與檢視組織內擁有最高權限、特殊權限的人員,並重新評估其持有權限的必要性。
- 透過 Google Workspace 管理頁面,定期確認目前已授權給予第三方服務項目,必要時,可禁止使用其第三方服務。
安全建議執行
| 安全檢查 | 優先等級 | 說明細節 |
|---|---|---|
| 檢視裝置登入 | 優先 |
Google 帳號設定、安全性、管理所有裝置,檢視與移除未使用裝置授權。(透過網址連入請再次確認登入帳號,如果有多組 Google 帳號使用) |
| 第三方應用程式與服務連結 | 優先 |
透過 Google 帳號登入其他服務時,請確認最小服務授權,如僅提供 Email、帳戶暱稱。如第三方服務需取得 Gmail、行事曆、聯絡人、雲端硬碟服務權限,請告知會內帳戶管理員評估是否必要使用。(檢查你的 Google 帳號) |
| 匿名帳號 | 建議 |
如登入服務信任不足或專案需要隱匿,可使用具有轉寄、匿名、別名(alias) Email 方式建立帳號。 |
| iCloud 進階資料保護 | 建議 |
iCloud 同步資料最好啟用「iCloud 進階資料保護」,開啟後除了 iCloud 郵件、聯絡人、行事曆 Apple 依舊有能力存取外,其他服務則只有你可以存取。 |
| 常用工作帳號 | 須知 |
會內常用服務與帳號:Google、Slack、Trello、Github、NetiCRM、Gandi。(!請調整組織內常用且需注意的帳號。) |
| iCloud 帳號 | 須知 |
建立 iCloud 帳號時請勿選取到 Apple 無法直接管理資料中心的國家(如:中國),其資料與金鑰都將被第三方調閱的可能。 |
檢查表
| 檢查項目 | 確認 |
|---|---|
| 檢視 Google 登入帳號與裝置登入授權狀態,移除未使用裝置授權。 | ☐ |
| 檢視第三方應用程式與服務連結,移除不需要的網站服務登入授權。 | ☐ |
| 評估專案參與或工作內容機敏等級,可申請 YubiKey 提升帳戶防護。 | ☐ |