資通系統的帳號管控，關係著公司或機關的重要營運系統是否安全。使用者的操作歷程是否恰當，除了系統的帳號需要特別列入清查與稽核項目之外，人員的使用權限使否有被清楚的規範也是資通安全的重點，若機密資料是隨手可以取得，那麼就跟沒有設定權限是一樣的意思。

帳號權限清查重點：

• 資通系統使用者清單與組織人員是否一致？
• 新進人員與離職人員帳號申請與移除是否確實？
• 系統角色/群組是否有清楚的定義其可執行的權限範圍？

一般組織在人員報到與離職都會有相關的人事處理程序需要辦理，人員依其負責之業務，申請屬於該業務範圍可以使用之系統權限，並於離職時刪除相關系統的帳號及使用權限。除了帳號的建立與刪除之外，使用者是否只能看到負責業務範圍所能夠看到的資訊，也是相關的帳號權限清查重點之一。

帳號權限清查人員，應該藉由在職人員名冊、新進人員與離職人員名冊以及系統使用者清單的相互勾稽，來查核帳號的對應關係；使用者申請的帳號與權限是否確實於系統中建立或移除？甚至應該查詢使用者最近一次的登錄時間為何？如果使用者很久沒有登錄或者從未登入過系統，這樣該帳號是否有存在的必要？或者是人員已經離職，而相關帳號移除的動作沒有處理？

另外，除了確認角色/群組清單以及其執行權限功能外，也應該測試使用者登錄系統後，是否僅能執行系統賦予的功能與權限？若確定帳號權限設定沒有問題，應該通知資訊單位檢查程式碼是否有疏失。離職人員帳號是否能夠登入？如果人員已離職卻還有登錄記錄，這樣資安上面就有重大缺失，表示系統安全管控做得不確實。

由於近年來資訊的普及造就機關營運的系統愈來愈多，除了常用的核心業務資訊系統之外，也有許多屬於各自獨立的系統，甚至還有物聯網（如監控CCTV、門禁系統、環控系統…）或工控設備的使用帳號。相關帳號的建立，不見得是藉由系統自動執行帳號的建立與刪除工作，所以人為處理的過程中，難免會有遺忘或遺漏的動作，這時候就要藉由流程的機制，落實這部份的處理，以避免產生資安上面的漏洞。

除了帳號的管控如何執行，帳號權限清查地重點更著重在使用者的權限是否被清楚的定義與規範。不同單位人員的角色甚至單位內不同分工人員的角色應該都是擁有不同權限的；例如：前線人員可以於系統中新增或修改資料，後線人員只可以在系統中查詢或統計資料，前線與後線同仁的權限，因著不同分工而執行權限也有所相對的差異（這邊僅簡單的舉例，實際權限設定要複雜許多）。

所以組織針對各項業務所負責的工作去規範每一種角色可以執行的系統功能，人員再依據角色的賦予而擁有系統的使用權限。而有些工作因為涵蓋層面較廣（如資訊單位），其可能擁有系統的最高權限，而擁有這樣權限的人，其系統操作行為，更應該被管理與掌控，以避免不當的人為弊端產生。

最後，還有一個重點是：是否有定期檢討使用者的帳號與權限，是否各部門主管都清楚部門人員的系統權限與角色定義。這樣做的好處是讓各單位主管可以了解該部門人員所擁有的系統執行權限，如果發現人員因業務所需，需要擁有更多的權限時，就可以與資訊單位討論如何設定人員的權限，以利人員工作的執行，反之亦然。建議最少一年檢討一次，這樣也可以檢查出很多系統管控上沒有注意到的事情。

建議至少每半年實施一次系統帳號與權限清查工作，確認帳號管控動作是否落實，以利加強公司或機關的資安管控。