身分驗證資安政策
資訊安全政策範本分為基礎版與進階版,各版本分別再分為四個等級類型,請衡量組織的狀況作適當的調整。
等級說明
| 等級 | 說明 |
|---|---|
| 優先 | 需優先且必須達成的項目。 |
| 建議 | 完成或達成該項目會更好。 |
| 須知 | 需先瞭解相關的背景知識。 |
| 選用 | 額外的建議或其他的選項。 |
基礎版本
適用於剛開始建立資訊安全政策的小型公民團體
優先
- 每位成員應自行設定一組唯一的登入帳號及密碼,且不得與其他成員共用。
- 密碼應至少包含 12 個字元,並包含大小寫字母、數字及特殊符號(如:
!@#$%^&*)。 - 所有帳號每三個月須更換一次密碼。
- 發現帳號異常登入須立即通報負責人,並立即變更密碼。
- 禁止使用個人姓名、生日或簡單字典單詞作為密碼。
- 成員離開位置時需登出帳戶,或啟用螢幕鎖定功能。
- 禁止在公共設備上儲存登入密碼。
建議
- 使用雙因素認證(2FA)增強帳號安全。
- 建議定期進行帳號登入的安全培訓或簡報會議。
- 利用密碼管理器紀錄各個平台的登入資訊,避免重複使用密碼。
- 定期巡查成員是否遵循安全政策(如:密碼強度)。
- 建議使用長密碼(如 16 個字元以上)的形式增強安全性。
- 當心釣魚攻擊,避免點擊可疑連結,輸入登入資訊。
- 使用安全的網路環境進行登入,避免在公共 Wi-Fi 進行帳號操作。
須知
- 學習密碼管理器的使用方式與其優缺點。
- 瞭解何謂雙因素認證及其運作模式。
- 了解成員登入習慣,釐清可能的安全風險。
- 深入了解釣魚攻擊的手法,提升網路安全警覺性。
- 學習如何辨識安全的網頁,例如檢查網址是否為 HTTPS。
- 了解密碼強度的基本概念與其重要性。
- 採取基本防護措施,例如設定救援金鑰做為密碼重設的手段。
選用
- 使用生物認證技術(如指紋辨識、Face ID)以取代傳統密碼登入。
- 設定忘記密碼的流程並設置安全問題。
- 定期檢查並更新軟體以確保系統安全。
- 檢討並調整成員登入行為與政策,使其更符合實際需求。
- 對於特定重要的系統或資料庫進行額外的登入防護。
- 聘請第三方進行定期的安全性測試。
- 採購硬體安全金鑰以進行更高度的安全登入。
進階版本
適用於已有一定資訊安全政策基礎且規模較大的公民團體
進階版本
優先
- 強制實施雙因素認證(2FA),以及對重要帳戶啟用多重因素認證(MFA)。
- 密碼必須至少包含12個字元,必須含有大寫字母、小寫字母、數字及至少一個特殊符號。
- 禁止重複使用舊密碼,以防止重複登入攻擊。
- 所有帳號每90天須更換密碼,並禁止連續使用前三次密碼。
- 密碼管理器的主密碼須設置得尤為強壯,並啟用雙因素認證。
- 定期進行帳號安全審查和異常登錄行為檢測。
- 資安異常事件、攻擊或威脅須即時通報至最高管理層。
建議
- 多數成員應參與資安培訓,特別是針對帳號登入與密碼管理的技巧與知識。
- 採用綜合的身份識別與存取管理系統(IAM),統一管理帳號與身分認證。
- 建議使用高可信度的密碼管理軟體(如 Bitwarden、1Password)。
- 定期更新密碼管理器的資料庫,以刪除不再使用的帳戶。
- 確保網路環境的安全性,如使用 VPN 進行遠端登入。
- 定期審核安全策略,調整密碼政策以應對新的安全威脅。
- 避免在相同應用程式上設置多個帳號以减少增加被盜風險。
須知
- 瞭解密碼洩露風險及其後果,定期查詢資料外洩的相關報告。
- 深入掌握密碼管理器的各項功能,包括備份與恢復。
- 熟悉常見的社交工程攻擊手法,提升防範意識。
- 了解多重因素認證實施的多種形式(如實體硬體金鑰、OTP 一次性密碼、備用碼)。
- 了解基於風險的登入控制策略,以根據行為異常篩選並限制登入。
- 熟悉相關法規及資安合規要求,例如 GDPR 基本原則。
- 學習使用資源存取控制策略(如 ACL)以保護機敏資訊。
選用
- 採用零信任架構以確保每次登入都進行驗證,無論內部或外部網路。
- 持續監測帳號活動,使用異常行為檢測技術即時回應可能的威脅。
- 探索人工智慧(AI)或機器學習技術,以提高異常登入行為的辨識。
- 使用定期自動化安全測試工具,檢查帳號登入的漏洞及弱點。
- 為高風險帳號啟用限速登入策略,以防止暴力破解攻擊。
- 將資安事件應變計畫納入培訓,確保所有成員清楚應對方式。
- 定期審查並更新所有安全政策和程序,確保其持續有效。