就像出国自助旅行需要携带目地国的地图一样，企业组织为了达成信息安全管理策略而展开存取控管规划，也像是落实信息安全管理的重要蓝图。大部分的企业组织却漠视这份计划，或是草草订出系统管理员及企业领导阶层的访问权限，其他权限则放任各部门主管自行定义与管理，才会容易产生数据被窃或其他无法预期的危害事件。

例如，最近万众瞩目的APT攻击事件，系统管理员发现邮件服务器收到许多莫名奇妙的退信，甚至塞满邮件队列，经调查分析才发现有外点员工的邮件账号、密码被盗用发信。过一阵子，系统管理员竟发现有不明外部IP成功登录公司的重要系统，让公司的信息安全警戒亮起红灯。后来运用“弱密码检测”来分析员工的密码设置习惯，发现有些人的密码设置过于简单，才会让外部黑客猜中他的密码。黑客运用社交工程手法已将该公司的组织及系统架构摸得一清二楚，所以才会运用某些被猜中的账号、密码再试着登录到公司重要系统，通常入侵成功率颇高， 当然黑客也收获很多(如窃取公司机密文件....)。

以上例而言，黑客能成功入侵的原因可能很复杂，包含密码设置过于简单、社交工程手法、运用人性好奇心及习惯逻辑...等，但是公司确实要重新检索系统访问控制规划书，从中找出改善访问权限控制的实施方案。存取安全评估作业应该是周而复始的，因为计划应随变化而调整，如何找出变化，就要通过有效的审核及系统安全评估，换言之就是也要用上Plan-Do-Check-Act管理手法。

建议企业考虑部署分权及存取控管计划，可注意以下参考点：

1. 进行信息资产的风险分析，找出风险值高、重要性高的标的(如系统、文件..)，并规划安全保护措施。

2. 针对高风险的存取标的规划适当的存取者，若还需要细化到限定某些用户只能使用哪些功能，就可运用矩阵图来展开人与功能的访问权限控制列表。其中要特别注意的是要注记是否有特权管理员(如拥有所有功能或某些机敏性数据访问权限者)，或主管权限的代理人机制。

3. 要强化内部人员的密码设置强度，例如运用教育训练或倡导来帮助员工了解哪些是不安全的密码设置方式，很多信息部门发现再多的教育倡导仍效果不彰，可能是员工懒惰不配合，企业内部才依旧存在许多让弱密码。这种情形下，可通过专业的信息安全厂商来检测内部是否存在“弱密码”，找出积习已深的“弱密码”用户，再请他们改变密码设置方式，会是有效的治标又治本的方法。

4. 检索文件传输的数据流，找出人员的接触点，针对接触点来思考安全控制模式。如果公司基于管理人力吃紧，可采用“全关再开”的管制模式，例如全面禁止使用IM，有需要者再申请开放使用。另一种模式就是”先观察再渐进管制”，运用内容管制系统将员工的使用行为留下记录，可做进阶统计或进而观察到内部员工在上班时使用哪些不必要的网络服务类型，基于维护生产力及信息安全目的，再适时对员工倡导须禁用或管制的文件传输管道。

5. 经常或定期去审核系统登录记录，例如从防火墙及邮件服务器的流量记录中，可以观察Email使用流量是否有异常，若察觉有流量异常增高的现象，可通过邮件审核管理系统来查明是否有违反管理策略、疑似有问题的邮件记录，还能运用来进行邮件过滤、审核。检查系统记录要点包括：

· 检索获得授权的系统存取行为，包含用户账号、收发邮件的日期和时间、事件类型、内容及附加文件..等相关记录。

· 检索所有特别权限的操作，包含管理员账号及主管账号使用情形。

· 要特别留意是否有未经授权之存取记录，包含系统存取动作失败或被拒绝、违反策略行为及通知、企图改变系统安全设置及控制…等相关记录。

· 留意系统警报或故障之相关记录，包含控制面板警报或信息、系统日志异常情况、网络管理警报、访问控制系统警报…等。

持续运用Plan(规划)-Do(执行)-Check(检查)-Act(改善行动)来管理访问权限，通过审核检查或是发生危害事件找出问题点后，要针对问题点规画改善程序并严加管制，才能让访问控制列表不仅是一份文件，而成为PDCA良好的管理循环，企业组织才能实现高质量的信息安全管理制度。