職業訓練局資訊科技資源使用政策

 

  1. 簡介

    1. 目的
      《職業訓練局資訊科技資源使用政策》旨在確保所有VTC資訊科技資源的使用都是適當,安全,高效而且與VTC目標一致的。

    2. 範圍
      本文件與資訊保安委員會不時宣布或載於VTC資訊保安網站的所有其他通行政策、規則、恰當使用範例和標準統稱為「資訊科技資源使用政策」(下稱「使用政策」或「本政策」) ,用於規管VTC職員,學生,校友,來賓以及已獲得VTC 資訊科技資源訪問權限的任何其他人(下稱「用戶」)怎樣使用VTC的資訊科技資源。

    3. 政策聲明
      VTC會不時檢討和更新使用政策,加入局方認為需要或適當的修訂,而修訂將於宣布或公布後即時生效。

      使用VTC的資訊科技資源即代表接納本使用政策。在無損局方的法律權益,倘用戶違反本政策,局方保留向有關用戶行使所有的權利和索取補救,亦可無須事先通知而暫停或永久終止他們使用VTC的資訊科技資源。VTC可採取紀律行動及向有關當局報告。

      對VTC資源的訪問為局方酌情提供之設施,不應視為用戶之權利,VTC可隨時撤回該等資源。

  2. 定義

    VTC向其用戶提供VTC 資訊科技資源,以進行支持VTC正常運行的活動,包括但不限於學術,教與學,研究,諮詢和行政活動(下稱「授權目的」)。

  3. VTC 資訊科技資源的使用原則

    用戶在使用VTC 資訊科技資源時必須遵守以下原則。不當使用VTC IT資源將被視為不合規。
    1. 用戶應以有效,符合道德標準和合法的方式使用VTC 資訊科技資源。
    2. 用戶應僅將VTC 資訊科技資源用於支持授權目的。用戶不得將其用於任何非法或未經授權的目的。
    3. 用戶應避免違反任何適用的法律或法規。
    4. 用戶應避免干擾VTC 資訊科技資源的正常運行以及其他VTC 資訊科技資源用戶的工作。
    5. 訪問VTC IT資源的權利並不意味著將權利轉售或轉讓給他人。用戶不得:
      • 允許未經授權的用戶訪問VTC的系統或網絡;和
      • 將VTC擁有的應用程序或數據傳輸給未經授權的用戶。
    6. 用戶不得提供虛假或誤導性信息以獲取對VTC 資訊科技資源的訪問權。
    7. 用戶不得損壞或試圖損壞VTC 資訊科技資源。
    8. 用戶應避免浪費任何VTC 資訊科技資源。
    9. 用戶不得損害VTC信息和數據的機密性,完整性和可用性。
    10. 用戶不得參與任何未經授權的閱覽、竄改、截取、以電子方式竊聽網絡間的任何網絡通訊或網絡系統上保留的數據。

  4. 用戶權利和責任

    用戶具有以下權利和責任:
    1. 用戶有責任遵守以下政策的守則條文及其精神。用戶應遵守並遵守相關的VTC IT政策和適用的法律法規,包括但不限於與版權,私隱和計算機犯罪有關的條例。違例者可能會受到紀律處分和/或承擔民事/刑事責任。
    2. 使用VTC 資訊科技資源發起的任何活動需由用戶負責。
    3. 用戶有責任選擇安全的密碼/身份驗證,並在所有情況下均將密碼保密。
    4. 用戶有責任保護自己的文件和數據免遭其他用戶讀取,寫入和/或記錄。用戶不得下載應用程序/數據文件,也不得打開來自未知來源的附件。
    5. 用戶有責任向信息技術服務部盡快報告任何系統安全違規或懷疑的系統安全違規。
    6. 用戶有責任採取適當的安全措施以保護VTC 資訊科技資源免受物理損壞或損失。
    7. 用戶有權在使用VTC 資訊科技資源時不受騷擾,無論是物理,口頭,電子還是任何其他形式的濫用。

  5. 版權和許可權

    1. 未經許可,嚴禁在用戶的辦公室計算機中安裝,修改和/或使用任何軟件。
    2. 版權作品(包括互聯網資源)僅可用於合法目的。未經版權所有者或許可機構的同意,嚴禁複製或公開分發受版權保護的作品。用戶需對可能引起的侵犯版權的法律後果負責。
    3. 傳送任何可能侵犯他人知識產權或其他產權(例如商標、版權、專利或肖像權)的材料。

  6. 監察VTC資訊科技資源的使用情況

    1. 監察的目的
      局方監察VTC資訊科技資源使用情況,目的如下:
      1. 維持一個穩定的資訊科技環境
      2. 提供必要的信息予VTC管理層,以確保VTC資訊科技資源適當和有效使用。
      3. 識別並解決對VTC IT環境的威脅以進行持續改進
      4. 檢測政策違規或弱點

    2. 監察的範圍
      VTC保留權利對有關VTC資訊科技資源的活動進行記錄。

    3. 監察所得資料的用途
      監察過程所收集的記錄及電郵資料會用作分析,以確保用戶遵從VTC政策。除非因法律程序、紀律處分,或調查懷疑違反VTC政策的個案而需要繼續保存監察記錄,否則局方只會保存有關檔案一段特定時間(通常1年),然後刪除。VTC保留查閱監察記錄資料的權利。只有獲得高層管理人員授權,並在有需要的情況下,才可查閱監察記錄的資料。

  7. 執行

    根據事件的嚴重性,可能針對不當使用VTC 資訊科技資源而對用戶採取紀律處分。任何涉及違反香港法律法規的案件,將移交給有關部門採取進一步行動。VTC可以 在有需要的情況下暫停或終止其訪問VTC 資訊科技資源。

  8. 相關法律法規

    用戶應嚴格遵守適用的法律和法規,包括但不限於:

    1. 第106章《電訊條例》
      • 章節27A – 藉電訊而在未獲授權下取用電腦資料
    2. 第200章 《刑事罪行條例》
      • 章節59 和60 – 關於誤用電腦的解釋
      • 章節161 – 有犯罪或不誠實意圖而取用電腦
    3. 第210章 《盜竊罪條例》
      • 章節11 – 關於盜竊的解釋,包括非法地導致任何電腦無法正常運行,以並非該電腦的擁有人所設立的電腦運作方式運作
    4. 第486章《個人資料(私隱)條例》
    5. 第528章《版權條例》
    6. 第593章《非應邀電子訊息條例》

    任何違反法律的行為將報告給有關當局,VTC將按照有關當局的要求採取適當的行動。

  9. 使用政策的詮釋和查詢

    本政策的條文並非詳盡無遺。資訊保安委員會對本政策擁有最終的詮釋權。如對條文詮釋有疑問,用戶有責任以書面聯絡資訊保安委員會。為謹慎行事,對於可能屬不當使用VTC資訊科技資源的行為,除非及直至資訊保安委員會批准有關行為並對本政策作出相應修訂,否則用戶應將有關行為視作「不能接受」,並且避免作出有關行為。

    如對本政策有任何疑問,請電郵至infosec@vtc.edu.hk,與資訊保安委員會聯絡。


附錄A:資訊科技設施或服務特定政策

概述了一些VTC 資訊科技資源的具體政策。 VTC 資訊科技資源的所有用戶亦受下述政策的規管,並應知悉有關政策。

A.1 電腦及網絡戶口

電腦及網絡戶口是用戶使用VTC資訊科技資源的鑰匙。用戶必須小心閱讀本政策後才啟動電腦及網絡戶口。啟動電腦及網絡戶口即代表用戶已經閱讀、明白和同意遵守本政策。
  1. 電腦及網絡戶口不可轉讓及容許他人使用
  2. 如發現或懷疑任何人有損害系統安全的行為,用戶應即時向就讀院校或單位的技術支援人員/代表匯報。


A.2 VTC網絡使用情況

VTC網絡是指VTC提供的所有VTC場所中的網絡(包括有線和無線網絡),供用戶執行與授權用途有關的活動
  1. 嚴禁下載、上載或傳發與授權用途無關的大檔案。
  2. 應避免在網絡上進行會導致可供使用頻寬被完全佔據的實驗。為授權用途而進行的網絡實驗應在VTC網絡以外的環境進行,以免損害VTC網絡的正常運作。
  3. 嚴禁安裝未經許可的互聯網連線(例如透過撥號或寬頻方式連接互聯網)、伺服器(例如 DHCP服務器)、網絡器材(例如調碼解調器、交換器)、遠端控制軟件(例如Terminal Service)及無線接達點;此等行為會導致VTC網絡出現保安漏洞。如因教學、諮詢或行政用途而有需要進行這類活動,應在VTC網絡以外的環境進行。


A.3 電郵服務

VTC電郵是職員與學生的正式溝通渠道,只可用於授權用途,例如教學。VTC電郵戶口不得用於其他用途。例如:
  1. 註冊公眾網站,如論壇/討論群組、社交網絡、相片或短片分享平台、聊天室或拍賣網站
  2. 進行商業活動,如市場營銷或商業交易
  3. 向大量收件人寄出無關或連鎖郵件
  4. 廣播有可能騷擾或冒犯他人的信息

用戶必須盡全力確保其電郵及所有電郵附件沒有病毒、木馬程式、蠕蟲程式或任何其他有害或可造成損害的內容。建議用戶備份重要的郵件和附件,並刪除過時的郵件和附件。

如局方有合理懷疑用戶違反了VTC政策,局方保留權利可查閱涉事用戶電子郵件的內容。

在要求存取電郵內容時,必須先得到不低於DED級別的高層管理人員授權,並由資訊保安委員會主席授權的人士,執行相關操作。

    A.3.1 廣播電郵/群組電郵

    提供群組電郵/郵寄名單功能,是為了方便用戶進行為授權用途的通訊,而非任何其他用途。用戶不得濫用是項功能。按以下原則(數值僅提供指引,無損VTC決定事件是否違反本政策的酌情權),用戶即會被視為濫用上述功能/VTC的資訊科技資源(除非能提出反證):如用戶
    1. 在一封電郵中,把郵件寄往超過收件人的人數限制
    2. 利用群組電郵功能寄出電郵,而郵件大小(包括附件)超過限制
    3. 向已表示拒絕接收有關電郵的收件人寄出該電郵,或沒有從群組電郵/郵寄名單適時刪除上述收件人的資料。

    寄件者須負責在發出大量郵寄電郵前先取得收件人的同意,並在收件人提出取消接收郵件的要求後,適時遵從有關要求。


    A.3.2 虛假/匿名電郵

    用戶應使用VTC分配的電子郵件地址發送電子郵件。 以其他用戶的名義發送電子郵件(即虛假電子郵件)和/或發送匿名電子郵件應被視為不誠實行為,並可能受到紀律處分,視乎VTC的情況和判斷而定。


    A.3.3 不雅電郵

    1. 傳送垃圾電郵(於局內或對外大量發出的商業電郵),不單浪費VTC資訊科技資源,並且可能對本局的形象造成負面影響,一律嚴禁。
    2. 電郵應使用適當的語言並遵守基本禮儀。發件人不應以不良語言騷擾電子郵件收件人。
    3. 寄出連鎖郵件、廣播/傳發信息、發布信息,而當中含有人身攻擊/批評,或未經證實事件/傳聞,或騷擾/冒犯VTC其他用戶的其他任何形式的網絡通訊,以及使用虛假身份/電郵地址,均屬不負責任的使用行為,應避免使用。


A.4 視頻會議,訊息和協作服務

  1. 建議用戶在使用視頻會議技術時注意虛擬會議的安全隱患及其職責,以確保通信安全。
  2. 協作設備應與VTC內部網絡分開。 如果必須連接到VTC內部網絡,則應根據所有已建立的VTC資訊保安政策來管理協作設備。
  3. 用戶應遵守並遵循使用協作服務(例如OneDrive,SharePoint,Office Online等)的最佳做法,並避免將機密和/或不雅材料上傳到在線工作區。


A.5 影印服務

  1. VTC提供的影印服務不適用於用戶個人使用或任何其他與工作/學術無關的列印或複印。
  2. 用戶應適時於列印機領取已列印的文件,以免被盜或棄置。


最後修改日期: 2024年6月3日