Mao Yihong, Huang Shuiqing: On the Choice of Standards for Information Security Management of Digital Library 057
                                      茆意宏摇 黄水清:数字图书馆信息安全管理依从标准的选择


   括软件、硬件和数据)、人员、用户及各种服务。                  织的信息安全风险评估和风险控制的方法与流
   数字图书馆信息安全管理的目的是保证数字图                    程,另外还有其他辅助性的标准,如术语、度量、
   书馆的保密性、完整性和可用性,数字图书馆从                   认证机构、审核等。 ISO 27000 系列标准的内容
   现有信息安全管理标准中选定依从标准,须同                    可以覆盖数字图书馆信息安全管理的全过程。
   时具备以下四个条件:标准以组织为保护对象;                      第三,ISO 27000 系列标准为通用标准,适合
   标准的内容包括信息安全管理过程,既有风险                    所有行业。 ISO 27000 起 源 于 BS 7799, 而 BS
   评估,也有风险控制;标准为通用标准,适用于                   7799 由英国贸易工业部立项、英国标准协会制
   所有行业;标准本身为国际标准,并在本国已被                   定,业界、政府和商业机构共同倡导。 BS 7799
   接受。 按照这四个条件对前面介绍过的所有标                   的目的是提供一套开发、实施和测量的有效信
   准(或指南)进行过滤,符合第一个条件的信息                   息安全管理规则,并为贸易伙伴间的信任提供

   安全管理标准(或指南) 有 GAO/ AIMD - 99 -          通用框架。 在立项之初,BS 7799 就定位为跨行
   139、NIST 风 险 管 理 框 架、 OCTAVE 方 法、 AS/   业的通用标准。 ISO 27000 适用于所有的行业,
   NZS 4360:1999、ISO 27000、国内的《信息安全等       同样也适用于数字图书馆。
   级保护管理办法》;符合第二个条件的有 NIST                    第四,ISO 27000 是具有广泛影响的国际标
   风险管理框架、AS/ NZS 4360:1999、ISO 27000;     准,并已转化为中国国家标准。 目前,已经有 80
   符合第三个条件的标准最多,有 GAO/ AIMD -              多个国家和地区开展了 ISO 27000 的认证工作。
   99 - 139、NIST 风险管理框架、OCTAVE 方法、         ISO 27001 的等同标准 GB/ T 22080 - 2008 和
   AS/ NZS 4360:1999、ISO 27000、CTCPEC、TCSEC、  ISO 27002 的等同标准 GB/ T 22081 - 2008 已正
   ITSEC、CC ( 包 括 等 同 标 准 GB/ T 18336)、 FC、  式公布并实施。 同时,ISO 27000 系列标准中的
   GB17859 - 1999、国内的《信息安全等级保护管            ISO/ IEC 2007《信息安全管理体系审核指南》 系
   理办 法 》; 符 合 第 四 个 条 件 的 标 准 只 有         由我国提交。 我国数字图书馆信息安全管理选
   ISO 27000。                              用 ISO 27000 作为依从标准,既符合业界习惯,
                                           也遵守了国家法令。
   4摇 ISO 27000 对数字图书馆信息安全管                   第五,ISO 27000 实施过程中采用的 PDCA
   理的适用性                                   过程模式,可直接应用于数字图书馆信息安全
                                           管理。
       按照数字图书馆信息安全管理标准的遴选                     PDCA 循环最早由美国质量统计控制之父
   原则,依次考察前面介绍过的所有信息安全管                    休哈特(Shewhart)于 20 世纪 30 年代提出,后来
   理标准,数字图书馆信息安全管理最合适的依                    由他的学生质量管理专家戴明(Deming)进行了
   从标准应该是 ISO 27000。                       改进。 PDCA 是由英语单词 Plan(计划)、Do(执
       首先,ISO 27000 的保护对象为组织,包括完           行)、Check(检查) 和 Act(纠正) 的第一个字母
   整的组织机构和组织机构中的某一部分。 数字                   拼成的。 PDCA 是全面质量管理所应遵循的科
   图书馆是一种特定的组织,由多个分支组织组                    学程序。 全面质量管理活动的过程,就是质量
   成,同时包含信息系统、人员、用户、服务等多种                  计划的制订和组织实现的过程,这个过程就是
   成份,并且是建立在网络平台上的信息系统。                    按照 PDCA 循环,通过周而复始地执行“ Plan鄄
   ISO 27000 的原则与方法能够满足数字图书馆               Do鄄Check鄄Act冶中的每一步骤,保证组织的最佳
   这种组织类型在信息安全管理方面的要求。                     实践能够持续地被文档化、加强和改进             [17] 。 ISO
       其次,ISO 27000 系列标准是一个完整的标            27001 引入了 PDCA 过程模式作为建立、实施
   准族,由多个标准组成,涉及信息安全管理体系                   ISMS 并 持 续 改 进 其 有 效 性 的 方 法。 在 建 立

   建设 的 各 个 方 面。 ISO 27000 的 核 心 是 ISO     ISMS 的过程中,PDCA 循环中的各个环节应作
   27001 和 ISO 27002,这两个标准分别描述了组           如下理解:P———策划,根据组织的商务运作需

                                                              2010 年 7 月摇 July, 2010