就像出國自助旅行需要攜帶目地國的地圖一樣，企業組織為了達成信息安全管理策略而展開存取控管規劃，也像是落實信息安全管理的重要藍圖。大部分的企業組織卻漠視這份計劃，或是草草訂出系統管理員及企業領導階層的訪問權限，其他權限則放任各部門主管自行定義與管理，才會容易產生數據被竊或其他無法預期的危害事件。

例如，最近萬眾矚目的APT攻擊事件，系統管理員發現郵件服務器收到許多莫名奇妙的退信，甚至塞滿郵件隊列，經調查分析才發現有外點員工的郵件賬號、密碼被盜用發信。過一陣子，系統管理員竟發現有不明外部IP成功登錄公司的重要系統，讓公司的信息安全警戒亮起紅燈。后來運用“弱密碼檢測”來分析員工的密碼設置習慣，發現有些人的密碼設置過于簡單，才會讓外部黑客猜中他的密碼。黑客運用社交工程手法已將該公司的組織及系統架構摸得一清二楚，所以才會運用某些被猜中的賬號、密碼再試著登錄到公司重要系統，通常入侵成功率頗高， 當然黑客也收獲很多(如竊取公司機密文件....)。

以上例而言，黑客能成功入侵的原因可能很復雜，包含密碼設置過于簡單、社交工程手法、運用人性好奇心及習慣邏輯...等，但是公司確實要重新檢索系統訪問控制規劃書，從中找出改善訪問權限控制的實施方案。存取安全評估作業應該是周而復始的，因為計劃應隨變化而調整，如何找出變化，就要通過有效的審核及系統安全評估，換言之就是也要用上Plan-Do-Check-Act管理手法。

建議企業考慮部署分權及存取控管計劃，可注意以下參考點：

1. 進行信息資產的風險分析，找出風險值高、重要性高的標的(如系統、文件..)，并規劃安全保護措施。

2. 針對高風險的存取標的規劃適當的存取者，若還需要細化到限定某些用戶只能使用哪些功能，就可運用矩陣圖來展開人與功能的訪問權限控制列表。其中要特別注意的是要注記是否有特權管理員(如擁有所有功能或某些機敏性數據訪問權限者)，或主管權限的代理人機制。

3. 要強化內部人員的密碼設置強度，例如運用教育訓練或倡導來幫助員工了解哪些是不安全的密碼設置方式，很多信息部門發現再多的教育倡導仍效果不彰，可能是員工懶惰不配合，企業內部才依舊存在許多讓弱密碼。這種情形下，可通過專業的信息安全廠商來檢測內部是否存在“弱密碼”，找出積習已深的“弱密碼”用戶，再請他們改變密碼設置方式，會是有效的治標又治本的方法。

4. 檢索文件傳輸的數據流，找出人員的接觸點，針對接觸點來思考安全控制模式。如果公司基于管理人力吃緊，可采用“全關再開”的管制模式，例如全面禁止使用IM，有需要者再申請開放使用。另一種模式就是”先觀察再漸進管制”，運用內容管制系統將員工的使用行為留下記錄，可做進階統計或進而觀察到內部員工在上班時使用哪些不必要的網絡服務類型，基于維護生產力及信息安全目的，再適時對員工倡導須禁用或管制的文件傳輸管道。

5. 經常或定期去審核系統登錄記錄，例如從防火墻及郵件服務器的流量記錄中，可以觀察Email使用流量是否有異常，若察覺有流量異常增高的現象，可通過郵件審核管理系統來查明是否有違反管理策略、疑似有問題的郵件記錄，還能運用來進行郵件過濾、審核。檢查系統記錄要點包括：

· 檢索獲得授權的系統存取行為，包含用戶賬號、收發郵件的日期和時間、事件類型、內容及附加文件..等相關記錄。

· 檢索所有特別權限的操作，包含管理員賬號及主管賬號使用情形。

· 要特別留意是否有未經授權之存取記錄，包含系統存取動作失敗或被拒絕、違反策略行為及通知、企圖改變系統安全設置及控制…等相關記錄。

· 留意系統警報或故障之相關記錄，包含控制面板警報或信息、系統日志異常情況、網絡管理警報、訪問控制系統警報…等。

持續運用Plan(規劃)-Do(執行)-Check(檢查)-Act(改善行動)來管理訪問權限，通過審核檢查或是發生危害事件找出問題點后，要針對問題點規畫改善程序并嚴加管制，才能讓訪問控制列表不僅是一份文件，而成為PDCA良好的管理循環，企業組織才能實現高質量的信息安全管理制度。