四、系統登入作業管理
（一）系統應限制連續登入失敗之上限為五次，登入失敗次數達上限者，
      應暫時停止該帳戶一定時間之登入，或鎖定該帳戶直到系統管理人
      員（或帳號管理人員）確認該帳戶擁有人身分後應其要求解除鎖定
      。
（二）系統之登入程序應避免於登入畫面提供帳號、密碼之提示訊息；登
      入失敗之因應訊息亦不揭露系統設計相關資訊。
（三）資通系統防護需求「高」等級之系統使用者除採一般識別碼外，應
      依業務需求考量是否須採用其他適切之身分鑑別技術。
（四）系統於登入作業完成後，應以可顯示前一次登入成功或失敗之時間
      或相關訊息為原則。
（五）含有機密或敏感公務資料之系統，應考量業務需求，設定可開放連
      線之時間或連線逾時自動登出之機制，以防止未經授權存取。