058                   Journal of Library Science in China



   求(包括顾客的信息安全要求)及有关法律法规                   就是普适性的。 但 ISO 27001 没有提出实施风
   要求,确定安全管理范围与策略,通过风险评估                   险评估的具体方法,在 BS 7799 的时代,实际的
   建立控制目标与方式,包括必要的过程与商务                    风险评估过程无一例外地直接引用 ISO 13335 -
   持续性计划;D———实施,按照组织的策略、程                  3 的方法。 现在 ISO 13335 - 3 已被国际标准化
   序、规章等规定的要求,也就是按照所选定的控                   组织废止,其内容被纳入 ISO 27005,成为 ISO
   制目标与方式进行信息安全控制;C———检查,                  27000 系列标准的组成部分。 ISO 27005 中规定
   根据策略、目标、安全标准及法律法规要求,对                   的资产、威胁、脆弱性识别及定性、定量风险估
   安全管理过程和信息系统的安全进行监视与验                    算方法运用于数字图书馆也不存在困难。
   证,并报告结果;A———措施,对策略适宜性评审                    第七,ISO 27000 的控制目标与控制措施覆
   与评估,评价 ISMS 的有效性,采取措施,持续改               盖了信息管理的全过程,能满足数字图书馆信
   进 [18] 。 PDCA 循环周而复始,一个循环结束后            息安全管理控制的要求。
   即进入下一个 PDCA 循环;大环套小环,一环扣                   ISO 27002 将可以实施的安全控制划分为
   一环,小环保大环,推动大循环;阶梯式上升,每                  11 个方面,包括 39 个控制目标、133 项控制措
   循环一次解决一部分问题,到新的循环又有新                    施,涉及信息安全的策动、组织、资产、人员、环
                     [19]                  境、通信、访问控制、系统、安全事故、业务连续
   的目标与内容(见图 1)        。 国内已有 9 篇研究
   PDCA 应用于图书馆管理的文章,其中一篇直接                 性、政策法规的符合性,已包括了信息安全管理
   讨论了将 PDCA 应用于数字图书馆管理的问                  控制各个可能的方面,数字图书馆信息安全管
   题 [20] 。 PDCA 应用于数字图书馆信息安全管理            理控制的控制域、控制目标与控制措施不可能
   当无问题。                                   超出 ISO 27002 的定义。 因此,ISO 27002 能满
                                           足数字图书馆对信息安全管理控制的要求。

                                           5摇 ISO 27000 应用于数字图书馆信息安
                                           全管理的基本思路


                                              ISO 27000 系列标准理论上适用于任何组
                                           织,但是在其具体的推广与实施过程中,却存在
                                           许多困难。 这是因为 ISO 27000 作为通用标准,
                                           要兼顾各种组织类型与安全需求,使得标准中
                                           规定的风险评估、风险控制等规定趋于原则性,
                                           当以 ISO 27000 标准为依据建立信息安全管理
                                           体系时操作难度较大。 同时,各种组织的业务

          图 1 PDCA 循环的基本模式                 与资产差异性极大,安全等级要求不一,要把
                                           ISO 27000 标准中原则性的规定落实到具体的信
       第六,ISO 27000 提出的风险评估方法论与            息安全管理体系,工作量巨大。 此外,信息安全
   具体的风险评估方法,适用于数字图书馆信息                    管理本质上是一个管理过程,组织的信息安全
   安全的风险评估。                                管理体系建立过程基本上等同于管理再造过
       ISO 27001 提出的风险评估的方法论由三             程。 这些原因造成 ISO 27000 实施周期长,费用
   个步骤组成:定义组织的风险评估方法、识别风                   高。 类似数字图书馆这样规模的小型组织的
   险、分析并评价风险。 这样的三步骤流程在数                   ISO 27000 认证,时间可能长达几个月甚至跨年
   字图书馆中运作起来并不困难,因为作为国际                    度,费用高达几十万元。 如果按照这种时间进
   标准的 ISO 27001 提出的风险评估方法论本身              度与资金耗费应用 ISO 27000 对数字图书馆实

   总第三六卷摇 第一八八期摇 Vol. 36. No. 188