圖書館資訊安全政策

目的

為確保圖書館（以下簡稱「本館」）所屬之資訊資產機密性、完整性及可用性，以符合相關法令、法規之要求，使其免於遭受內、外部蓄意或意外之威脅，並衡酌本館之業務需求，訂定本政策。

一、資訊安全政策的適用範圍：

本政策適用範圍為本館之內部人員、委外服務廠商與訪客等。

二、本館網站資訊安全保護：

為了保護本館網站資料的安全及確保本網站能24 小時無間斷提供服務，本館經由下列方式來維持網站的正常運作：

（1）使用網路入侵偵測系統，對網路與系統的運行狀況進行監測，當發現異常，自動發出警訊通報給網管人員，記錄各種攻擊企圖、攻擊行為或者攻擊結果。
（2）裝設防火牆，依據預先設定的安全策略管制所有網路封包的進出，允許或禁止網路上特定之資料存取行為，避免網站遭到破壞或竊取等非法使用。
（3）安裝授權防毒軟體，定期掃毒，以提供使用者更安全的網頁瀏覽環境。
（4）定期進行備份作業，將所有資料備份到備援主機。
（5）接收來自相關作業系統廠商或應用程式廠商所寄發的安全維護通知，並依照建議內容安裝適當的修改程式(PATCH)。

三、內部系統存取控制：

（1）於本館館員工作手冊中明訂，資訊之存取應與本身業務相關之範圍為主，未經授權不得存取業務範圍外資訊資產，並嚴守業務相關機密。
（2）館員自動化應用系統資訊之使用，皆採個人帳密登入，依所屬業務內容設定使用權限，僅限業務授權者使用，並予以控制，例如：新增、刪除或執行等，而系統之存取操作皆有記錄，可供日後查核。
（3）離職人員立即取消各項資訊資源之所有權限，並列入離職之必要手續。館員職務調整及調動時，依系統存取授權規定，限期調整其權限。
（4）對系統服務廠商以遠端登入方式進行系統維修者，依作業需要核臨時性系統辨識及通行密碼，使用完畢後即取消其使用權限。
（5）讀者使用個人化資訊服務遺忘密碼時，由讀者臨櫃身份確認後，再由館員於自動化系統線上重新設定。

四、系統發展及維護管理：

（1）自行開發或委外發展系統之維護、更新、上線執行及版本異動作業，予以安全管制，避免不當軟體、暗門及電腦病毒等危害系統安全。
（2）對廠商之軟硬體系統建置及維護人員，基於實際作業需要核發短期性及臨時性之系統辨識及通行密碼使用，完畢後即取消其使用權限。
（3）委託廠商建置及維護重要之軟硬體設施，必須在本館資訊人員監督與陪同下始得進行。
（4）禁止架設非關本館業務使用之網頁伺服器與測試網站伺服器，以避免造成資安漏洞，成為入侵途徑，影響其他正常系統運作，造成無法復原之系統毀損。

五、對於本館讀者的宣告：

（1）使用者自我保護措施：請妥善保管您的密碼及或任何個人資料，不要將個人資料，尤其是密碼提供給任何人。若您是與他人共享電腦或使用公共電腦，在您完成網路申辦後，切記要關閉瀏覽器視窗，以防止他人讀取您的個人資料或冒用您的名義辦理申辦作業。
（2）個人資料之蒐集及運用：當您參與線上活動報名、網路問卷調查、訂閱電子報或其他相關服務時，可能會請您提供姓名、學號、電話、e-mail 或其他相關資料。圖書館網站所蒐集的個人資料，將依其蒐集之特定目的，做為讀者服務、答覆問題、抽獎結果通知等之用，不會將其做為超出蒐集之特定目的以外的用途，亦不會任意對其他第三者揭露。
（3）禁止於圖書館內使用點對點互連 P2P（Peer-to-Peer）軟體及相關工具，從事違法下載、複製、拷貝受著作權法保護之電腦軟體與著作。
（4）違反本規範、影響網路正常運作、無故佔用大量網路資源及流量異常者，管理單位得先暫停該使用者之網路使用權利。情節重大、違反校規或法令者，則轉請本校相關單位處置。
（5）安全宣告的修改：圖書館將會視需要修改網站上所提供的安全宣告說明，以落實保障您網路安全的立意。當本館完成安全宣告的修改時，當立即將其刊登於本館的網站中。