:::
現在位置:
- 最新訊息
- 最新訊息內容
檢送本部修正之「法務部及所屬機關資訊系統存取控制管理規範」第四點、第五點、第七點規定(含修正總說明及對照表)1份,並自一百十三年十一月七日生效,請查照。
| 主管機關: |
法務部資訊處 |
|
發文機關: |
法務部 |
|
發文日期: |
113.11.08 |
|
發文字號: |
法資字第11311512340號 函 |
| 異動性質: |
修正 |
|
主 旨: |
檢送本部修正之「法務部及所屬機關資訊系統存取控制管理規範」第四點、第五點、第七點規定(含修正總說明及對照表)1份,並自一百十三年十一月七日生效,請查照。 |
|
法規名稱: |
法務部及所屬機關資訊系統存取控制管理規範 |
|
說 明: |
一、旨揭規範一併建置於本部主管法規資料庫部內版及部外版。
二、旨揭規範因未涉及外國人、機構或團體,故無英譯之必要。 |
|
法規內文: |
法務部及所屬機關資訊系統存取控制管理規範
第四點、第五點、第七點修正
四、系統登入作業管理
(一)系統應限制連續登入失敗之上限為五次,登入失敗次數達上限者,應暫時停止該帳戶一定時間之登入,或鎖定該帳戶直到系統管理人員(或帳號管理人員)確認該帳戶擁有人身分後應其要求解除鎖定。
(二)系統之登入程序應避免於登入畫面提供帳號、密碼之提示訊息;登入失敗之因應訊息亦不揭露系統設計相關資訊。
(三)資通系統防護需求「高」等級之系統使用者除採一般識別碼外,應依業務需求考量是否須採用其他適切之身分鑑別技術。
(四)系統於登入作業完成後,應以可顯示前一次登入成功或失敗之時間或相關訊息為原則。
(五)含有機密或敏感公務資料之系統,應考量業務需求,設定可開放連線之時間或連線逾時自動登出之機制,以防止未經授權存取。
五、密碼安全管理
(一)除系統程式使用之帳號及系統採用多重身分認證方式外,一般靜態密碼之強度及使用應符合下列規定:
1.禁止使用空白密碼。
2.密碼長度至少為八個字元,管理者密碼至少為十個字元。
3.密碼變更時,新密碼不得與前三次密碼相同。
4.密碼設定應包括數字及英文字母,建議包括特殊字元。
5.系統之密碼以至少每六個月更換一次為原則。
6.避免使用與個人有關資料(如生日、身分證字號、單位簡稱、電話號碼等)作為密碼。
(二)使用者密碼須妥善保管,避免他人知悉。
七、存取事件紀錄
(一)系統應啟動系統紀錄功能,系統管理人員不得刪除系統稽核檔案。
(二)系統紀錄檔應定期備份,並由專人負責保管。
(三)各系統應視其重要性及系統支援程度,在不影響日常作業之情況下,將以下事件列入紀錄:
1.系統管理人員及具備特殊權限帳號者之登入成功及失敗事件。
2.使用者帳號異動及對密碼檔案之讀取與變更。
3.程式原始碼及程式執行碼之變更。
4.以非應用程式功能對系統使用之資料庫資料所作之資料變更。
5.系統設定檔之存取及變更。
(四)存取事件紀錄應使用系統內部時鐘,並與國家時間同步。
|
| 立法理由: |
|