企業帳號若缺乏定期審查,過時或多餘的存取權限將成為資安漏洞的溫床。Account Review(帳號審查)是系統性核查使用者帳號與權限的管控程序,確保存取範圍與實際職務需求一致。
什麼是 Account Review?
Account Review 是定期由管理者或系統自動執行的權限盤點流程,核查對象涵蓋內部員工、外部承包商及服務帳號。審查目標包含三類問題帳號:離職後未停用的帳號、職務異動後未調整的權限,以及長期閒置的服務帳號。
審查週期通常依風險等級而定:特權帳號每季審查一次,一般帳號每半年執行一次。審查結果須留存紀錄,以符合 ISO 27001、SOC 2 等合規框架的稽核要求。
落實最小權限原則的實務步驟
最小權限原則(Least Privilege)要求每位使用者僅持有完成職務所需的最低限度存取權限。Account Review 是落實此原則的核心機制,執行時建議依循以下三步驟:
第一步,匯出現有帳號清單,包含帳號狀態、最後登入時間與所屬群組。第二步,與 HR 系統比對,識別離職人員或職務異動者。第三步,由資源擁有者確認每筆帳號的業務必要性,並執行撤銷或調整。
💡 重點整理
- 定期執行:特權帳號每季、一般帳號每半年至少審查一次。
- 自動化輔助:整合 IdP(如 Okta、Azure AD)自動標記閒置帳號。
- 留存稽核軌跡:每筆審查決策須記錄核准者與時間戳記。
- 職責分離:帳號申請者與審查核准者不得為同一人。
Account Review 並非一次性任務,而是需要制度化的持續流程。結合自動化工具與明確的審查責任歸屬,才能真正將最小權限原則落地,降低因帳號失控所帶來的資安風險。
📚 參考文獻
- NIST SP 800-53 Rev. 5 — Security and Privacy Controls for Information Systems and Organizations,Control AC-2 Account Management:https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
- Microsoft Entra ID — Access Reviews 官方文件:https://learn.microsoft.com/en-us/entra/id-governance/access-reviews-overview
- ISO/IEC 27001:2022 — Annex A, Control 5.18 Access Rights(存取權限管理)
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言