身份與存取管理

「身份與存取管理」（Identity and Access Management, IAM）是一套結合政策、流程與技術的資訊安全框架，其核心目標是確保「正確的實體」（人員或系統）能在「正確的時間」以「正確的權限」存取「正確的資源」。IAM不僅是使用者登入的帳號密碼管理，而是涵蓋了數位身份從建立、變更、到停用註銷的完整生命週期管理。在風險管理體系中，IAM是實現存取控制的基礎，直接對應國際標準 ISO/IEC 27001:2022 的附錄A管制措施（如A.5.15存取控制、A.5.16身份管理），亦是滿足《個人資料保護法》第12條所要求之「安全維護計畫」中，關於人員存取權限管理的重要技術手段。相較於單純的認證（Authentication），IAM更強調授權（Authorization）與稽核（Auditing），確保所有存取行為皆符合最小權限原則（Principle of Least Privilege）且可追溯。

在企業風險管理中，IAM的應用旨在降低未授權存取導致的資料外洩與營運中斷風險。具體導入步驟如下： 1. **身份盤點與整合**：首先，盤點企業內部所有應用系統（如ERP、CRM、HR系統）的使用者帳號，並將這些分散的身份來源整合至中央身份目錄服務（如Active Directory, LDAP），建立單一身份來源（Single Source of Truth）。 2. **角色與權限模型設計**：依據職務分工（Separation of Duties）與最小權限原則，設計角色為基礎的存取控制模型（RBAC）。與各業務部門合作，定義不同角色（如會計、銷售、人資）應有的系統存取權限，避免權限過度授予。 3. **自動化生命週期管理**：建置自動化流程，當新人報到時，系統根據其角色自動開通所需權限；當員工離職或調職時，則自動停用或變更權限。這能將離職員工帳號未及時停用所造成的風險降低超過90%。 台灣某高科技製造業導入IAM後，新人帳號開通時間從3天縮短至半天，離職人員權限回收達成率100%，並順利通過ISO 27001年度稽核，大幅提升了合規性與營運效率。

台灣企業導入IAM時，普遍面臨以下三大挑戰： 1. **遺留系統整合困難**：許多製造業或傳統產業仍使用缺乏標準API的舊式系統（Legacy Systems），導致IAM整合技術難度高、成本昂貴。 **對策**：採用分階段導入策略，優先整合風險最高或雲端化的新系統。對於遺留系統，可評估使用代理（Proxy）或閘道（Gateway）等中介方案，或在系統更新換代時再納入整合，預期時程約12-18個月。 2. **角色權責定義不清**：業務單位常因權責劃分模糊，無法明確定義各職務所需權限，導致角色模型（RBAC）難以落地，權限仍過於寬鬆。 **對策**：成立由IT、資安、人資及各業務單位主管組成的治理委員會，透過工作坊共同梳理流程與權責。優先針對法規要求高的部門（如財會）進行試點，建立成功範例後再推廣至全公司，預期時程約3-6個月。 3. **資安專業人才與預算限制**：中小企業普遍缺乏具備IAM規劃與維運經驗的專業人才，且相關軟硬體投資預算有限。 **對策**：優先考慮採用雲端身份即服務（IDaaS）解決方案，以訂閱制取代高昂的初期建置成本。同時，尋求如積穗科研等外部專業顧問協助，進行初期規劃、導入與技術轉移，確保專案成功。

積穗科研股份有限公司專注台灣企業IAM相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact