Page 56 - 《中国图书馆学报》2010年第4期

P. 56

Mao Yihong, Huang Shuiqing: On the Choice of Standards for Information Security Management of Digital Library 055
茆意宏摇黄水清:数字图书馆信息安全管理依从标准的选择

的方法与原则,组织可以对其所拥有的资产进南。它们或者在某个历史时期产生过重大影
行识别,同时明确各项资产安全责任的归属,对响,或者在某个特定的领域为了某个特定的目
资产存在的脆弱性与面临的安全威胁进行规范的得到广泛应用,如系统安全工程能力成熟模
的评估。在风险控制方面,信息安全管理标准型( SSE鄄CMM) [9] 、可信计算机系统评估准则
规定了针对组织及信息系统中的内容进行管理 (TCSEC) [4] 、信息安全技术标准(ITSEC) [4] 、可
和控制的规则,这些内容与人员、流程、实体安信计算机产品评估准则( CTCPEC) [10] 、信息技
全以及一般意义上的安全管理有关 [3] 。术安全性评估通用准则(CC) [11] 、美国信息技术
没有标准就没有规范,没有规范就无法生安全联邦准则(FC) [4] 。
产出在信息安全方面有保证的满足社会需求的当前,世界上最著名的信息安全管理标准
产品,无法形成信息安全产业的规模化。信息是国际标准化组织的 ISO 27000 系列标准。 ISO
安全管理标准是一种多学科、综合性、规范性很 27000 系列标准所针对的是组织的资产,其核心
强的标准,其目的在于保证信息系统的安全运是 ISO 27001 与 ISO 27002,适合于任何规模和
行。信息安全管理标准可以规范人们的安全防行业的组织,尤其适合于受信息安全影响较大
范行为,提高组织内外各类人员的信息安全意的关键性组织 [12 - 13] 。 ISO 27000 的前身———英
识及组织的整体信息安全水平。国标准 BS 7799,自 1998 年颁布后就在全世界范
围内得到广泛的认可,有 40 多个国家和地区开
2摇国内外主要的信息安全管理标准展了 BS 7799 信息安全管理体系的认证。 ISO
27000 标准公布后,已为更多的国家和地区所接
对信息安全标准的研究最早出现在 20 世纪受。截至 2010 年 1 月 21 日,已有 80 多个国家
60 年代的西方发达国家。 60 年代后期,以大型与地区开展了 ISO 27000 信息安全管理体系的
机为代表的计算机系统在多种场合得到应用, 认证工作,全球通过 ISO 27001 认证的组织已经
世界上最早的计算机网络也在这一时期萌芽, 达到 6037 家,其中日本最多,达到 3378 家 [14] 。
信息安全管理有了最初的动因与需求。已开发和规划中的 ISO 27000 系列标准
包含:
2. 1摇国外的信息安全管理标准誗 ISO/ IEC 27000:2009 概况与术语
在业界有影响的国外信息安全管理标准, 誗 ISO/ IEC 27001:2005 信息安全管理体系
均诞生于欧美发达国家,其中的部分标准或为要求
国际标准化组织接受成为国际标准,或在某些誗 ISO/ IEC 27002:2005 信息安全管理体系
领域成为业界的操作规范,起到事实上的行业最佳实践
标准的作用。这些标准与规范包括美国审计总誗 ISO/ IEC 27003 信息安全管理体系实施
署的 GAO/ AIMD - 99 - 139 风险评估指南 [4] 、美指南(正在开发)
国国家标准与技术研究所(NIST)的风险管理框誗 ISO/ IEC 27004 信息安全管理度量和改
架 [5] 、卡内基·梅隆大学软件工程研究所进(正在开发)
(CMU/ SEI) 的 OCTAVE ( Operationally Critical 誗 ISO/ IEC 27005:2008 信息安全风险管理
Threat, Asset, Vulnerability Evaluation) 方法 [6] 、指南
澳大利亚和新西兰联合开发的风险管理标准誗 ISO/ IEC 27006:2007 信息安全管理体系
[7 - 8]
AS/ NZS 4360:1999 、国际标准化组织的 ISO 审核认证机构要求
27000 标准系列。誗 ISO/ IEC 27007 信息安全管理体系审核
上述标准是目前在业界得到广泛应用的普指南
适性的信息安全管理标准。此外,国外还有一上述标准或指南,相互支持和参照,共同为
些与信息安全管理有关的其他标准和操作指组织实施信息安全最佳实践和建立信息安全管

2010 年 7 月摇 July, 2010

51 52 53 54 55 56 57 58 59 60 61