-
-
一、應建立資通系統帳號管理機制,包含帳號之申請、建立、修改、啟用、停用及刪除之程序。
-
二、如有核准臨時或緊急使用之資通系統帳號,於作業結束後,應即時刪除或禁用該等資通系統帳號。
-
三、核心系統應定期(至少每年一次)審查資通系統帳號及權限之適切性,並視審查結果停用資通系統閒置帳號。非核心系統宜定期審查帳號及權限之適切性。
-
四、第一類投信投顧業者應定義核心系統之閒置時間或可使用期限與核心系統之使用情況及條件(如:帳號類型與功能限制、操作時段限制、來源位址限制、連線數量及可存取資源等)。
-
五、第一類投信投顧業者應依公司規定之情況及條件使用核心系統,逾越所定之許可閒置時間或可使用期限時,系統宜自動將使用者帳號登出或其他管控措施。
-
六、提供網際網路交易服務之公司,應每日針對網際網路交易服務系統帳號、非客戶帳號登入嘗試紀錄等進行監控及分析,如發現帳號違常使用時回報管理者並進行後續處理。
-
七、提供網際網路交易服務之系統,不得使用客戶之顯性資料(如統一編號、身分證號、手機號碼、電子郵件帳號、信用卡號、存款帳號等)作為唯一之識別,否則應另行增設使用者代號、或發送一次性及具有時效性符記(如:網站連結或一次性密碼One-timepassword,OTP,至使用者登記之電子信箱或手機)或其他可供識別方式,以資識別。
-
八、資通系統帳號應定義人員角色及責任,授權應採最小權限原則,僅允許使用者(或代表使用者行為之程序)依公司部門權責及業務功能,完成作業所需之授權存取。
-
九、應訂定遠端連線管理辦法,建立使用限制、組態需求、連線需求及文件化,對於任一允許之遠端存取類型,均應先取得授權,並留存相關紀錄。
-
十、應於伺服器端完成資通系統帳號權限登入驗證作業。
-
十一、公司應監控使用外部網路遠端連線存取公司內部網段之連線。
-
十二、資通系統之遠端存取應採用連線加密機制。
-
十三、資通系統遠端存取之來源應為公司已核准之存取控制點。