二十、存取控制機制：各業務單位應將其存取控制需求，明確告知資訊單 位以利其執行及維持有效之存取控制機制。

二十一、系統存取管理： （一）資訊單位應建立系統使用者註冊管理制度，並落實使用者 通行密碼之管理。 （二）系統存取權限之配賦，應以執行業務及職務所需者為限。 （三）使用者第一次使用應用系統（AP）時，應更新初始密碼後 方可繼續作業。 （四）對於使用者忘記密碼之處理，應執行身分確認程序，方可 再次使用系統。 （五）應視應用系統（AP）特性限定其作業時間，以減少未經授 權人員存取系統之機會。 （六）系統通行密碼長度應至少八碼，並包含英文字母、數字與 特殊符號之組合。 （七）系統帳號應定期更換通行密碼，更新期限最長不得超過六 個月。 （八）系統帳號應避免共用，以利鑑別使用者；若在特殊情況下 需共用帳號，應取得權責單位主管授權，並實施補償性控 管機制。 （九）系統管理者帳號權限應至少每半年實施一次檢討及評估。 （十）系統應有安全身分鑑別及防止暴力破解帳號密碼機制。 （十一）多人共同使用或無人看管之工作站與設備應有適當的安 全保護措施，防止未經授權之系統存取。

二十二、網路存取控制： （一）各機關應視資訊系統或服務之性質儘可能限制網路存取之 設備（例如只開放授權之IP位址或網路卡（ MAC）、使用 強制性通道存取資訊系統或網路資源）。 （二）各機關對於遠端登入方式作業，應採取特別之安全控管機 制。

二十三、金鑰管理：代表組織身分之加密金鑰應有明確之啟動與止動日期 ，並於可用期間，保護其不被修改、遺失和破壞。