:::

國立臺灣圖書館資訊安全管理規範

日期:2016/9/7
資料來源:國立臺灣圖書館
點閱:1770

中華民國105年8月11日第841次館務會議訂定


一、 目的

國立臺灣圖書館(以下簡稱本館)為確保所屬之資訊資產免於遭受內、外部蓄意或意外之威脅,並衡酌本館之業務需求,確保資訊之機密性、完 整性與可用性,特訂定本規範。

二、 依據

本規範係依據「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」及「教育體系資通安全管理規範」辦理。

三、 目標

為維護本館資訊資產之機密性、完整性與可用性,並保護個人資料之安全,期藉由本館全體同仁共同努力以達成下列目標:

 (一)

確保本館資訊處理之正確性,人員所使用之電腦軟體、硬體、周邊及網路系統之可靠性,並確保上述資源免受干擾、破壞、入侵之 行為或企圖。

 (二)

確保本館所提供資訊服務之完整性與可用性,提供使用者便利和穩定的資訊服務。

 (三)

建立本館資訊業務永續運作計畫,確保本館資訊服務持續運作。

 (四)

確保本館資訊服務執行符合相關法令規定之要求。

四、 適用對象

本規範適用範圍為本館編制人員(任用及聘任)、駐衛警察、約聘(僱)人員、技工工友、臨時人員、派遣人員、委外人員、兼任人員、委外服 務廠商、訪客與讀者等。

五、 組織

本館由館長擔任資訊安全長,資訊中心主管為執行秘書,資訊中心為幕僚單位,統籌資訊安全政策、計畫、資源調度等事項之協調研議,並得視 需要成立跨組室資訊安全推動小組。

六、 範圍

為避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本館造成各種可能之風險及危害。爰依 ISO27001資安系統規範下列管理事項:

 (一)

資訊資產安全管理。

 (二)

網路安全管理。

 (三)

資訊系統安全管理。

 (四)

病毒防護管理。

 (五)

系統發展及維護安全管理。

 (六)

營運持續管理。

 (七)

人力資源安全管理。

 (八)

資訊安全教育訓練。

七、 責任

本館為維護資訊資產之安全,落實資訊安全管理責任,依前項範圍訂定相關管理規範或實施計畫,並定期實施成效之評估。

(一)

資訊資產安全管理。


  1. 資訊機房的建置必須遵循國家在資訊機房場地選擇、環境安全、布線施工方面的標準,確保實體環境安全。
  2. 應建立資訊機房管理制度,對裝置安全管理、媒體安全管理、人員存取控制管理等作出詳細的規定。
  3. 應定期對資訊機房各項安全措施和安全管理制度的有效性和實施狀況進行檢查,發現問題,及時改進。

 (二)

網路安全管理。

  1. 應部署網路管理系統,管理網路資源和裝置,即時監控網路系統的執行狀態,降低網路故障帶來的安全風險。
  2. 應對關鍵的通訊線路、網路裝置提供容錯設計,防止關鍵線路和裝置的單點故障造成通訊服務中斷。
  3. 應部署網路安全存取措施,包含防火牆和入侵偵測,建立多層次的、立體的網路安全防護系統。
  4. 應定期對網路安全措施和安全管理制度的有效性和實施狀況進行檢查,發現問題,及時改進。

 (三)

資訊系統安全管理。


  1. 應建立主機弱點分析機制,發現和彌補系統軟體中存在的不當設定和安全性漏洞。
  2. 應建立主機系統軟體版本維護機制,及時升級系統版本和更新程式版本,保持系統軟體的最新狀態。
  3. 應建立主機系統軟體備份和恢復機制,在災難事系發生之後,能夠快速實現系統恢復。
  4.  應建立主機系統管理標準,包含系統軟體版本管理、主機弱點分析、主機稽核記錄檔檢查和分析,以及系統軟 體的備份和恢復等內容。

 (四)

病毒防護管理。


  1. 任何內部使用者不得故意製造、執行、傳播、引用可以自我複製、破壞或影響電腦記憶體、儲存媒體、作業系統、應用程式 的電腦程式。
  2. 內部網路的電腦在連上網路之前,都應當安裝和設定防毒軟體,並且透過管理中心進行更新,任何使用者不得禁用病毒掃描 和防護功能。
  3. 內部網路的所有電腦系統均應定期進行完整的系統掃描。
  4. 協力廠商資料和程式在安裝到內部網路的系統前,必須在隔離受控的模擬系統上進行病毒掃描測試。

 (五)

系統發展及維護安全管理。


  1. 本館在資訊系統規劃階段,應將資訊安全需求納入;新發展的資訊系統,或現有資訊系統之強化,皆應明訂資訊安全需求。
  2. 本館系統管理人員應造冊列管供廠商使用之短期或臨時性帳號,限定其使用範圍,並適時變更密碼,於使用期限屆滿時應立 即取消其帳號。
  3. 協力廠商建置及維護之軟硬體設施,應在本館相關人員監督及陪同下始得為之。

 (六)

營運持續管理。


  1. 本館應綜合考慮效能和管理等因素,採用先進的系統和資料備份技術,在指定範圍內建立統一的系統和資料備份機制,防止 資料損毀。
  2. 應建立日常資料備份管理制度,對備份週期和媒體保管進行統一規定。
  3. 應建立災難復原計畫,提供災難復原方法,在災難事件發生之後,快速對被破壞的資訊系統進行恢復。
  4. 應建立災難復原計畫,對人員進行災難復原教育訓練,並定期進行災難復原的模擬演練。

 (七)

人力資源安全管理。


  1. 本館全體人員與委外服務廠商人員,必須簽署保密協定及切結遵守本規範。
  2. 本館全體人員及委外服務廠商均有責任透過適當通報機制,通報資訊安全事件或弱點。
  3. 為避免資訊資產因未授權之存取而使機密性或敏感性資料遭不當使用,應建立分級的使用者授權與存取控制管理機制。
  4. 對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考 核。
  5. 各業務主管人員,應負責督導所屬員工之資訊作業安全,防範不法及不當行為。

 (八)

資訊安全教育訓練。


本館資訊安全教育訓練由資訊中心辦理,必要時得會同人事與相關業務單位辦理。其內容涵蓋安全法令、資訊安全政策、資訊安 全技術、緊急應變及回復作業程序 等。
八、 審查與修訂

本規範由資訊中心每年至少審查或修訂1次,以反映政府法令、技術及業務等最新發展現況,並確保本館業務永續運作之能力。

九、 實施

本規範經館務會議通過後實施,修訂時亦同。