【106缺失TOP10系列文章】A.9.2.4使用者的機密授權資訊之管理-周冠吉主導稽核員分享

A.9.2.4（2007版11.1.3）使用者的機密授權資訊之管理

說明：應以正式之管理過程控制秘密鑑別資訊的配置。

名詞說明： 

使用者，指的是：系統授權使用的人，包含師生、同仁、協力廠商與Guest。
秘密鑑別資訊，指的是：可用來驗證使用者身分的資訊，最常見的像是密碼、憑證、加密金鑰和智慧卡等。

那該如何進行秘密鑑別資訊的控管呢?

(1)進行通知或交付秘密鑑別資訊(如：通行碼)給使用者時，應使用較安全地管道進行通知或交付；使用者收到秘密鑑別資訊後，單位宜建立確認收到通知之機制，以避免資訊外流至他方。(如：限制5分鐘內登入使用之臨時性通行碼)
(2)單位應要求使用者善盡保護個人秘密鑑別資訊之責任(如：通行碼)，如：以簽訂書面約定、教育訓練宣導或其他方式。
(3)使用者第一次登入應用系統，則該應用系統即須要求使用者變更密碼，否則不能登入使用該應用系統。
(4)使用者遺失或忘記秘密鑑別資訊(如：通行碼)時，系統需安全地提供臨時性的通行碼管道(如：簡訊、email…等)，以利系統識別使用者，並於系統登入後即要求變更通行碼。
(5)應用系統如經單位評估須建立更高等級的安全控管機制，則可使用電子數位簽章等或安全等級更高的存取控制技術。

受稽單位容易發生不符合事項的狀況：

(1)單位未制定驗證使用者身分的秘密鑑別資訊的管理制度（如：通行碼、加密金鑰或憑證資訊等）。
(2)協力廠商連線至應用系統進行維護或變更設定時，單位未有相關要求與規範，以約定協力廠商應注意與配合事項(如：善盡保護個人秘密鑑別資訊之責任)，以符合校園資訊安全要求。
(3)使用者第一次登入應用系統時，應用系統沒有立即要求使用者進行密碼的變更。
(4)使用者離職後，應用系統未移除該離職者的相關秘密鑑別資訊(如：門禁卡、智慧卡)。
(5)交付或傳送秘密鑑別資訊給使用者時，單位沒有將使用者資料或敏感資料進行加密。
(6)單位使用電子郵件傳送秘密鑑別資訊時，沒有進行相關管控?(如：加密處理)
(7)單位使用失效的或憑證位元數較低的安全性憑證。

有哪些注意事項可以避免被開立該款缺失?

(1)單位應制定驗證使用者身分的秘密鑑別資訊的管理制度與管理。
(2)單位與協力廠商簽署相關協議，以約定協力廠商應遵循之資安要求與準則(如：通行碼之保管、連線時間之管制….等)。
(3)單位進行秘密鑑別資訊傳輸時，應注意是否有進行管控(如：加密處理)。
(4)單位應制定與落實應用系統於第一次登入或使用者取得臨時通行碼時，應即變更通行碼資訊。系統需安全地提供臨時性的通行碼管道。
(5)單位應定期審視有無非授權或失效的秘密鑑別資訊留存於應用系統。
(6)單位應以安全有效之使用者帳號管理系統，鑑別使用者身分。
安全有效之使用者帳號管理系統，應至少考量事項如下：
　(a)要求必須使用通行碼，以明定系統之使用責任。
　(b)應允許使用者自行選擇及更改通行碼；系統應具備資料輸入錯誤的更正功能。
　(c)要求使用者必須使用至少8碼以上之通行碼。
　(d)要求使用者定期更改通行碼。
　(e)以更頻繁之次數定期更新系統存取特別權限之通行碼。
　(f)在登入系統程序中，系統不應顯示使用者之帳號與密碼相關資料。
　(g)在軟體完成安裝作業後，應立即更改廠商預設的密碼。
(7)部分單位(如：醫療機構)針對密碼的使用和變更要求，實務方面可能難以實施，因此也可考慮實施通行碼以外的其他身分驗證機制(如：個人生物特徵)。