Page 57 - 《中国图书馆学报》2010年第4期
P. 57
056 Journal of Library Science in China
理体系而发挥作用。 理体系认证方面,截至 2010 年 1 月 21 日,我国
ISO 27000 系列标准是通用的、普适性的信 获得信息安全管理体系认证证书的机构已有
息安全管理国际标准。 为了照顾各行业的不同 205 家 [14] 。
特点,ISO 还计划针对不同行业开发一组标准,
已完成的有电信行业的 ISO/ IEC 27011,正在开 3摇 数字图书馆信息安全管理标准遴选
发的有电子政务行业的 ISO/ IEC 27012。 的原则
2. 2摇 国内的信息安全管理标准 数字图书馆是一种特定的信息组织,也需
从 20 世纪 90 年代末开始,我国先后公布了 要遵循信息安全管理标准。 那么,如何选择和
一系列的国内信息安全标准与法规。 公安部、 确定数字图书馆信息安全管理遵循的标准呢?
国家保密局、国家密码管理局、国务院信息化工 世界上现有的信息安全管理标准(或操作
作办公室等制定、颁布了一批信息安全的行业 指南),可以从四个不同的角度进行分类:淤有
标准,国家信息安全标准化委员会相继转化了 的是以信息产品或信息系统为保护对象,有的
一批国际信息安全管理标准。 我国信息安全标 以整个组织为保护对象;于有的标准包括信息
准在这些标准化组织的有效领导下取得了长足 安全管理的风险评估与风险控制全部过程,有
的进步 [2] 。 的标准只包括其中的部分环节;盂有的只是某
1999 年 9 月 13 日,《计算机信息系统安全 个地区、某个区域或某个国家的标准,有的则是
保护等级划分准则》(GB 17859 - 1999) 经国家 由国际标准化组织制定的国际标准;榆有的是
质量技术监督局发布,并于 2001 年 1 月 1 日起 适用于全行业的普适标准(或指南),有的只适
实施,该准则是由公安部提出并组织制定的强 用于特定的行业。
制性国家标准 [15] 。 数字图书馆既可以从现有的通用信息安全
2001 年 3 月 8 日,国家质量技术监督局正 管理标准中选择,也可以单独研发数字图书馆
式颁布了由 ISO/ IEC 15408:1999(CC)转化而来 信息安全管理标准。 能有专为数字图书馆量身
的国家标准《信息技术 安全技术 信息技术安全 定做的信息安全管理标准应是最理想的,不过
性评估准则》 (GB/ T 18336 - 2001),并于 2001 目前世界上还没有出现这样的标准。 主要原因
年 12 月 1 日起实施 [11] 。 在于数字图书馆行业的特殊性不够强,同时独
2007 年 6 月 22 日,公安部、国家保密局、国 立开发信息安全管理标准的成本代价太高,缺
家密码管理局、国务院信息化工作办公室等四 乏可行性。 相比之下,选择国际通用的信息安
部委制定完成并审批通过了《信息安全等级保 全管理标准来直接使用或加以细化更为可行。
护管理办法》,将信息系统的安全保护等级划分 比如信息安全管理标准 ISO 27011 与 ISO 27012
为五级 [16] 。 是 ISO 27001、ISO 27002 等标准分别在电信行
目前,我国已完成信息安全管理体系国际 业、政府机构领域的细化和补充,是在 ISO 27000
标准 ISO/ IEC 27001: 2005 和 ISO/ IEC 27002: 系列标准中作为特定行业的专业标准存在,其
2005 的转化工作,转化后对应的国家标准《信息 基本理念、原则与规范完全遵循 ISO 27000 的要
技术 安全技术 信息安全管理体系 要求》(GB/ T 求。 数字图书馆信息安全管理目前虽不能像电
22080 - 2008)和《信息技术 安全技术 信息安全 信行业、政府机构那样发布自己的标准,但可以
管理实用规则》 (GB/ T 22081 - 2008) 已于 2008 借鉴和模仿 ISO 27011 与 ISO 27012 的思路,从
年 6 月发布,2008 年 11 月 1 日正式实施。 此 通用标准中选定一个依从标准,再为该标准应
外,ISO 27000 系列标准中的《信息安全管理体 用于数字图书馆信息安全管理制定一些模板和
系审核指南》系由我国提交,经批准已成为国际 准则,方便数字图书馆的具体实施。
标准,标准号为 ISO/ IEC 27007。 在信息安全管 作为一个信息组织,数字图书馆有设施(包
总第三六卷摇 第一八八期摇 Vol. 36. No. 188
