二十、存取控制機制 （一）各業務單位應將其存取控制需求，明確告知資訊單位以利其執行及維持有效之 存取控制機制。

二十一、系統存取管理 （一）資訊單位應建立系統使用者註冊管理制度，並落實使用者通行密碼之管理。 （二）系統存取權限之配賦，應以執行業務及職務所需者為限。 （三）使用者第一次使用應用系統（AP）時，應更新初始密碼後方可繼續作業。 （四）對於使用者忘記密碼之處理，應有身分確認程序，方可再次使用系統。 （五）應視應用系統（AP）特性限定其作業時間，以減少未經授權人員存取系統之 機會。 （六）系統通行密碼長度應至少八碼，並包含英文字母、數字與特殊符號之組合。 （七）系統帳號應定期更換通行密碼，更新期限最長不得超過六個月。 （八）原則上系統帳號應避免共用以利鑑別使用者；若在特殊情況下需共用帳號應 取得權責單位主管授權並且實施補償性控管機制。 （九）系統管理者帳號權限應至少每半年實施一次檢討及評估。 （十）系統應有安全身分鑑別及防止暴力破解帳號密碼機制。 （十一）多人共同使用或無人看管之工作站與設備應有適當的安全保護措施，防止 未經授權之系統存取。

二十二、網路存取控制 （一）應視資訊系統或服務之性質儘可能限制網路存取之設備（例如只開放授權之 IP位址或網路卡 （MAC）、使用強制性通道存取資訊系統或網路資源）。 （二）機關對於遠端登入方式作業，應採取特別之安全控管機制。

二十三、金鑰管理 （一）代表組織身分之加密金鑰應有明確之啟動與止動日期，並於可用期間，保護 其不被修改、遺失和破壞。