司法院及所屬各機關資訊安全管理要點捌、系統存取控制管理

二十八、各機關應依執行法定任務之實際需要，賦予各級人員必要的系統存取權限；其使用本院所提供之資訊系統或網路服務者，依其工作性質及內容，授權使用權限表公告於司法院內網（網址：http://www.intraj ），並由本院資訊管理處定期檢討修正。 各機關相關人員因業務之必要，須於前項授權使用權限表外特別授權使用者，應由該機關備文向本院資訊管理處提出申請授權。各機關人員取得系統及網路使用授權，限於公務使用，並應保持行政中立，禁止發表個人政治立場、或為人身攻擊等非公務用途之利用。

二十九、各機關應建立系統使用者註冊管理措施，加強使用者通行密碼管理，各機關應依作業系統及安全管理需求，要求使用者定期更新密碼。 對機關內外擁有系統存取特別權限之人員，應建立使用人員名冊，加強安全控管，密碼更新周期最長以不超過六個月為原則。 各機關應定期及於系統異動、人員職務異動時，審查使用者之存取權限，並做必要之調整。

三十、識別碼及密碼使用人僅得為公務之需要查詢資料，不得擅自為公務以外之利用。查詢資料及相關使用規範，依電腦處理個人資料保護法之規定。

三十一、各機關委託廠商建置及維護重要之軟硬體設施，應在機關相關人員監督及陪同下始得為之。

三十二、各機關對系統服務廠商以遠端登入方式進行系統維修者，應加強安全控管，並建立人員名冊，課其相關安全保密責任。

三十三、各機關之重要資料委外建檔，不論在機關內外執行，均應採行妥適之安全管制措施，防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。

三十四、各機關應確立資訊系統稽核項目，建立資訊安全稽核措施，定期或不定期進行資訊安全稽核作業；系統中之稽核紀錄檔案，應禁止任意刪除及修改。