logo 圖書館資訊安全政策

目的

為確保圖書館(以下簡稱「本館」)所屬之資訊資產機密性、完整性及可用性,以符合相關法令、法規之要求,使其免於遭受內、外部蓄意或意外之威脅,並衡酌本館之業務需求,訂定本政策。

一、資訊安全政策的適用範圍:

本政策適用範圍為本館之內部人員、委外服務廠商與訪客等。

二、本館網站資訊安全保護:

為了保護本館網站資料的安全及確保本網站能24 小時無間斷提供服務,本館經由下列方式來維持網站的正常運作:

(1)使用網路入侵偵測系統,對網路與系統的運行狀況進行監測,當發現異常,自動發出警訊通報給網管人員,記錄各種攻擊企圖、攻擊行為或者攻擊結果。
(2)裝設防火牆,依據預先設定的安全策略管制所有網路封包的進出,允許或禁止網路上特定之資料存取行為,避免網站遭到破壞或竊取等非法使用。
(3)安裝授權防毒軟體,定期掃毒,以提供使用者更安全的網頁瀏覽環境。
(4)定期進行備份作業,將所有資料備份到備援主機。
(5)接收來自相關作業系統廠商或應用程式廠商所寄發的安全維護通知,並依照建議內容安裝適當的修改程式(PATCH)。

三、內部系統存取控制:

(1)於本館館員工作手冊中明訂,資訊之存取應與本身業務相關之範圍為主,未經授權不得存取業務範圍外資訊資產,並嚴守業務相關機密。
(2)館員自動化應用系統資訊之使用,皆採個人帳密登入,依所屬業務內容設定使用權限,僅限業務授權者使用,並予以控制,例如:新增、刪除或執行等,而系統之存取操作皆有記錄,可供日後查核。
(3)離職人員立即取消各項資訊資源之所有權限,並列入離職之必要手續。館員職務調整及調動時,依系統存取授權規定,限期調整其權限。
(4)對系統服務廠商以遠端登入方式進行系統維修者,依作業需要核臨時性系統辨識及通行密碼,使用完畢後即取消其使用權限。
(5)讀者使用個人化資訊服務遺忘密碼時,由讀者臨櫃身份確認後,再由館員於自動化系統線上重新設定。

四、系統發展及維護管理:

(1)自行開發或委外發展系統之維護、更新、上線執行及版本異動作業,予以安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。
(2)對廠商之軟硬體系統建置及維護人員,基於實際作業需要核發短期性及臨時性之系統辨識及通行密碼使用,完畢後即取消其使用權限。
(3)委託廠商建置及維護重要之軟硬體設施,必須在本館資訊人員監督與陪同下始得進行。
(4)禁止架設非關本館業務使用之網頁伺服器與測試網站伺服器,以避免造成資安漏洞,成為入侵途徑,影響其他正常系統運作,造成無法復原之系統毀損。

五、對於本館讀者的宣告:

(1)使用者自我保護措施:請妥善保管您的密碼及或任何個人資料,不要將個人資料,尤其是密碼提供給任何人。若您是與他人共享電腦或使用公共電腦,在您完成網路申辦後,切記要關閉瀏覽器視窗,以防止他人讀取您的個人資料或冒用您的名義辦理申辦作業。
(2)個人資料之蒐集及運用:當您參與線上活動報名、網路問卷調查、訂閱電子報或其他相關服務時,可能會請您提供姓名、學號、電話、e-mail 或其他相關資料。圖書館網站所蒐集的個人資料,將依其蒐集之特定目的,做為讀者服務、答覆問題、抽獎結果通知等之用,不會將其做為超出蒐集之特定目的以外 的用途,亦不會任意對其他第三者揭露。
(3)禁止於圖書館內使用點對點互連 P2P(Peer-to-Peer)軟體及相關工具,從事違法下載、複製、拷貝受著作權法保護之電腦軟體與著作。
(4)違反本規範、影響網路正常運作、無故佔用大量網路資源及流量異常者,管理單位得先暫停該使用者之網路使用權利。情節重大、違反校規或法令者,則轉請本校相關單位處置。

(5)安全宣告的修改:圖書館將會視需要修改網站上所提供的安全宣告說明,以落實保障您網路安全的立意。當本館完成安全宣告的修改時,當立即將其刊登於本館的網站中。