各會員公司之營運環境管理人員應遵循下列事項： 一、應建立人員之註冊、異動及撤銷註冊程序，用以配置適當之存取權限 ；人員離調職時應儘速移除權限。 二、應列管硬體設備、應用軟體、系統軟體之最高權限帳號及具程式異動 、參數變更權限之帳號。 三、應確認人員之身分及存取權限，必要時得限定其使用之機器或網路位 置（IP）。 四、人員超過一定時間未操作個人電腦時，應設定密碼啟動螢幕保護程式 或登出系統。 五、登入作業系統進行系統異動或資料庫存取時，應留存操作紀錄，除利 用系統代登外，應於使用後儘速變更密碼；但因故無法變更密碼者， 應建立監控機制，避免未授權變更，並於使用後覆核其操作紀錄。 六、帳號應採一人一號管理，避免多人共用同一個帳號為原則，如有共用 需求，申請及使用須有其他補強管控方式（如使用後更換密碼、代登 入機制、密碼拆分保管等），並留存操作紀錄且應能區分人員身分。 七、採用固定密碼進行身分確認者應符合下列要求： （一）訂定密碼檢核邏輯。 （二）提供給人員使用之帳號於使用後三個月內應變更密碼。 （三）提供給系統使用之帳號應採取適當之管控措施（如限制人工登入、 監控告警）。 八、加解密程式或具變更權限之公用程式（如資料庫工具程式）應列管並 限制使用，防止未經授權存取並保留稽核軌跡。 九、最高權限帳號使用時應先取得權責主管或授權人員同意並保留稽核軌 跡。 十、具最高權限帳號、特殊功能（如程式或軟體異動、參數或組態變更權 限等）權限帳號應和日常維運用帳號區隔，並每月抽查使用結果，以 防範未經授權使用；如為核心資通系統，應於該等帳號被使用後，覆 核使用結果。 十一、提供網際網路服務之伺服器及 AD （網域服務）主機，對於最高權 限帳號及特殊功能權限帳號，應採雙因子認證或納入特權帳號管理 系統強化授權及監控。 十二、應針對第一類及第二類電腦系統依最小權限 （least privilege） 及僅知原則（need-to-know）配發權限予人員使用並定期審查帳號 、權限之合理性及異常存取紀錄，以符合職務分工及牽制原則。