跳轉到

檔案存取權限

為提升公民團體的資安抵禦能力,以下針對資料機密等級、存取控制和資料標記設定了一套流程。

1. 機密等級

機密資料(Top Secret)

  • 範例:涉密的策略計畫、成員個資、捐款者名單等。
  • 存取限制:僅限極少數授權人員存取,如高層管理者和關鍵專案負責人。
  • 保護措施
    • 儲存:所有機密資料需加密儲存,且存放在安全的伺服器或加密硬碟中。
    • 傳輸:使用加密通訊軟體傳輸,如 Signal 或 PGP 加密的電子郵件。

內部機密資料(Confidential)

  • 範例:未公開的內部報告、專案規劃文件等。
  • 存取限制:僅限相關專案或業務的內部人員存取。
  • 保護措施
    • 儲存:使用加密硬碟或伺服器存儲。
    • 傳輸:確保資料在傳輸過程中經過加密,如利用 SSH 或 SSL 等通道。

內部資料(Internal Use Only)

  • 範例:組織運作手冊、內部通訊等。
  • 存取限制:內部所有員工可存取,但不可對外分享。
  • 保護措施:明確標示「僅供內部使用」,提醒員工勿對外泄露。

公開資料(Public Use)

  • 範例:公開的宣傳材料、網站內容、新聞稿等。
  • 存取限制:可對外公開分享,不需特別存取限制。
  • 保護措施:需確保資料的準確性和完整性,避免誤導或錯誤信息。

2. 存取控制

最小權限原則(Principle of Least Privilege)

  • 實施方法
    • 為每位使用者設定最小的存取權限,即僅能存取其工作必需的資料。
    • 使用權限管理工具(如 LDAP 或 IAM 系統)追蹤和管理使用者的存取權限。
    • 定期(建議每季一次)審查和更新使用者的存取權限,取消不需要的權限。

分離職能(Segregation of Duties)

  • 實施方法
    • 定義和區隔不同職能的責任,例如:資金管理與審核職能由不同人員負責。
    • 避免單一員工擁有多重機敏權限,減少內部風險。
    • 實施定期內部稽核,確保分離職能的落實。

3. 資料標記

標籤與分級(Labeling and Classification)

  • 實施方法
    • 依照上述機密等級為所有資料進行標記。
    • 例:「機密」資料標註「Top Secret」,「內部」資料標註「Internal Use Only」。
    • 每次新產生資料時,應即時進行分類和標記,保證資料在整個生命週期內得到適當的保護。