跳轉到

帳號管理

資訊安全政策範本分為基礎版與進階版,各版本分別再分為四個等級類型,請衡量組織的狀況作適當的調整。

「帳號管理」包含章節內容中的「帳號權限管理與追蹤」。

等級說明

等級 說明
優先 需優先且必須達成的項目。
建議 完成或達成該項目會更好。
須知 需先瞭解相關的背景知識。
選用 額外的建議或其他的選項。

基礎版本

適用於剛開始建立資訊安全政策的小型公民團體

優先

  1. 密碼強度規定:所有帳號的密碼必須包含至少 12 個字元,並包括大寫字母、小寫字母、數字及特殊符號。
  2. 定期更換密碼:所有帳號需每六個月定期更換密碼,以增加安全性。
  3. 多因素驗證:如有可能,啟用多因素驗證(2FA)來增加帳號安全性。
  4. 帳號註銷規範:若會員離開團體,其帳號需立即被停用並註銷。
  5. 權限最小化原則:每位成員僅被賦予完成其職責所需的最低權限。
  6. 帳號稽核記錄:保持帳號使用和權限變更的紀錄,以便後續追蹤和審查。
  7. 臨時帳號使用規範:臨時帳號使用期限不得超過五天,且使用完畢後需立即停用。

建議

  1. 密碼管理軟體:鼓勵所有成員使用密碼管理軟體來存儲和管理密碼。
  2. 登入通知:設定異常登入通知功能,以利迅速回應潛在的安全威脅。
  3. 帳號共用限制:嚴格禁止共用帳號,確保每人使用單一的個人帳號。
  4. 密碼恢復程序:制定明確的密碼恢復程序,以避免濫用和資安風險。
  5. 權限複審:定期(每三個月)複審成員的權限,確保符合當前職務需求。
  6. 成員離職清單:保有成員離職清單並定期檢查,確認該成員的帳號已被停用。
  7. 帳號命名規範:統一帳號命名規範,以利管理和識別。

須知

  1. 密碼破解技術:了解常見的密碼破解方法以便制定更有效的密碼策略。
  2. 多因素驗證的工作原理:學習多因素驗證的基本概念和操作方法。
  3. 帳號稽核工具:熟悉如何使用帳號稽核工具來追蹤和分析帳號活動。
  4. 權限控制模型:了解角色和權限管理的基本原則及其應用。
  5. 賬號鎖定政策:學習設置賬號鎖定機制以防範暴力破解。
  6. 安全日誌:理解日誌記錄的重要性及如何分析日誌資料。
  7. 個人資料保護法:熟悉國內外相關個人資料保護法律法規。

選用

  1. 單一登錄(SSO):如有可能,採用單一登錄技術以簡化管理和增強安全性。
  2. 安全培訓:定期舉辦資訊安全培訓,提高成員的安全意識。
  3. 密碼歷史機制:設置密碼歷史機制以防止成員重複使用舊密碼。
  4. 自動登出:啟用長時間不活動後自動登出的功能,減少風險。
  5. 外部帳號評估:定期評估和清理不再需要的外部帳號。
  6. 機敏資料標註:標註並管理存儲於帳號內的機敏資料。
  7. 針對行動裝置的安全規範:制定和宣導針對行動裝置的資訊安全規範。

進階版本

適用於已有一定資訊安全政策基礎且規模較大的公民團體

進階版本

優先

  1. 強制多因素驗證(MFA:所有帳號強制啟用多因素驗證。
  2. 密碼複雜度加強:密碼必須包含至少 16 個字元且不可包含連續字元。
  3. 動態密碼系統(OTP:加入動態密碼系統以加強帳號安全。
  4. 帳號鎖定機制:連續失敗登入達三次,帳號自動鎖定並需管理員解鎖。
  5. 監控和通報策略:設定即時監控系統,發現異常活動立即通報相關單位。
  6. 權限審核制度化:大幅度修改權限時,需經過組織內部的審核程序。
  7. 定期安全稽核:每半年進行一次全組織範圍的帳號和權限安全稽核。

建議

  1. 角色分離原則:確保不同角色之間有明確分離,防範內部竊取風險。
  2. 資料數據加密儲存:儲存在帳號中的重要資料需進行加密處理。
  3. 密碼分發管理器:使用密碼分發管理器來管理和分發高安全等級密碼。
  4. 自動化權限管理:積極採用自動化工具來進行權限分配和管理。
  5. 多元驗證手段:在關鍵系統中,加入不同種類的驗證手段如生物識別驗證等。
  6. 使用者行為分析:根據日常行為,定期分析使用者行為並調整安全策略。
  7. 外部專家顧問:不定期邀請資安專家顧問來進行安全評估及建議。

須知

  1. 進階加密技術:學習並了解進階加密技術及其應用。
  2. 風險評估模型:具備風險評估的基礎知識,能夠對潛在風險進行評估。
  3. 零信任架構:了解零信任架構的概念和適用場景。
  4. 安全事件反應流程:學習及熟悉處理安全事件的基本流程和原則。
  5. 驗證方法新趨勢:持續關注新的驗證方法和技術動向,如生物識別技術。
  6. 雲端安全最佳實踐:熟悉雲端平台的安全最佳實踐和策略。
  7. 資料遮罩技術(Data Masking):了解並應用資料遮罩技術來保護機敏資料。

選用

  1. 行為式驗證(Behavioral Authentication):考慮採用行為式驗證以提升安全性。
  2. 數位身分識別:使用更先進的數位身分識別技術如Public Key Infrastructure (PKI)。
  3. 自學工具:使用自學工具來提升團體內成員資安知識。
  4. 災後恢復計畫(DRP):制定並測試災後恢復計畫以保障資料和服務的持續性。
  5. 細粒度訪問控制:實施細粒度訪問控制來進一步細分成員的訪問權限。
  6. 機器學習風險評估:採用機器學習技術來進行更準確的風險評估和漏洞檢測。
  7. 持續改進機制:設定持續改進機制,定期根據最新威脅和漏洞進行政策更新。