9.7 存取

發布日期：106.06.06

9.7存取

組織應有正式指導綱要以規範何人在何種情況下有權存取檔案。

組織運作所處的法規環境，應針對須納入檔案系統運作的存取權利、條件與限制建立廣泛的原則。其中可能涵蓋像隱私權、安全、資訊與檔案公開等領域的特定立法，檔案也可能包含個人的、商業的、作業上敏感的資訊。因此，在某些情況下，存取這類檔案或相關資訊是不該被允許的。

有關存取方面的限制可適用於組織內或外部使用者。受限的檔案只有當營運需要或法規特別要求時才應該被識別。此一限制應被強制規定一明確期間以確保對於此等檔案的額外監測不致超過所需的期間。此外，符合組織需求與法規規範的限制檔案應有規範期間並確保此等受限制的檔案未超過規範期間。然而，賦予檔案存取限制的需要，可以隨著時間而改變。

為確保適當的存取控制措施，可藉由同時對檔案與個人設定存取狀態來完成。管理存取過程時，應識別下列事項：：

(1)檔案可根據在特別時間的存取狀態而加以分類。

(2)檔案只提供給經授權的使用者閱覽。

(3)加密的檔案可在需要及授權情形下被閱讀。

(4)只有經授權的人才能執行檔案處理流程與異動過程。

(5)組織內部具有特定營運職權的單位，可以針對與其職權相關的檔案，進行存取限制的設定。

不論檔案格式，使用者存取許可與功能業務職責之間的監測與對應是一項會發生在所有檔案系統的持續性過程。在電子檔案系統中，尤其是可透過分散式系統存取者，可能會從其他應用軟體接收有關使用者身分識別的協定。