Page 60 - 《中国图书馆学报》2010年第4期
P. 60
Mao Yihong, Huang Shuiqing: On the Choice of Standards for Information Security Management of Digital Library 059
茆意宏摇 黄水清:数字图书馆信息安全管理依从标准的选择
施信息安全管理,建立数字图书馆的信息安全 誗 总结数字图书馆的业务流程;
管理体系,估计国内大多数数字图书馆都难以 誗 归 纳 与 数 字 图 书 馆 各 项 业 务 相 关 的
接受。 资产;
数字图书馆是众多的组织类型中的一种。 誗 解决数字图书馆的资产估值问题;
根据夏立新对数字图书馆特点的归纳 [21] ,数字 誗 解决资产的威胁估值问题;
图书馆以数字化方式存储信息,以网状化方式 誗 解决资产的脆弱性估值问题;
组织信息,以智能化方式检索信息,以网络化方 誗 建立数字图书馆信息安全的风险评估
式传播信息,并以用户为中心开展服务。 无论 模型;
是前台还是后台业务,所有的数字图书馆都大 誗 建立数字图书馆信息安全的风险控制
体相同。 数字图书馆以计算机和网络为平台, 模型;
完成信息从采集、加工、存储到检索、传递的服 誗 解决数字图书馆风险控制的控制措施选
务全过程。 数字图书馆的工作基本相同,业务 择问题。
流程基本一致,或者说业务流程趋同。 从信息 遵循上述思路,我们将 ISO 27000 系列标准
安全管理的角度看,业务流程趋同是数字图书 应用于数字图书馆领域,在对国内数字图书馆
馆的最大优势,因为风险评估与风险控制都是 与信息安全有关的各种现实情况进行调查的基
从分析业务流程开始的。 有什么样的业务,决 础上,总结共同业务,得到数字图书馆的业务流
定了需要什么样的安全级别,决定了有什么样 程,建立了数字图书馆业务流程与资产关联表、
的资产,也决定了资产将面临什么样的安全威 数字图书馆资产—威胁—脆弱性对照表,计算
胁及存在什么样的脆弱性,同时也决定了可供 和分析了数字图书馆面临的各项风险,提出了
选择的可能的控制措施。 数字图书馆信息安全风险等级的划分方法,筛
总之,应用 ISO 27000 这样的信息安全管理 选得到数字图书馆信息安全管理的核心控制要
标准为数字图书馆建立信息安全管理体系时, 素,确定了数字图书馆信息安全风险控制的目
数字图书馆反映出如下特点:业务流程趋同、安 标,给出了数字图书馆控制措施的选择与实施,
全等级要求相近、资产类型相似、威胁与脆弱性 建立了数字图书馆信息安全的风险评估与风险
便于归纳、控制措施便于选择。 基于数字图书 控制的数学模型,形成了数字图书馆信息安全
馆信息安全管理的上述特点,我们便有可能为 风险评估和风险控制模板。
数字图书馆应用 ISO 27000 建立信息安全管理
体系总结出某种模板。 在这个模板中,包括了 参考文献:
数字图书馆常见的业务,列出了数字图书馆各 [ 1 ]摇 科飞管理咨询公 司. 信 息 安 全 管 理 概 论: BS
项业务可能用到的资产,和资产面对的安全威 7799 理解与 实施 [ M]. 北京: 机械 工 业 出 版
胁与脆弱性,及与之相关的信息安全控制措施。 社,2002.
有了这个模板,数字图书馆信息安全的风险评 [ 2 ]摇 CEAC 国家信息化计算机教育认证项目电子政
估与风险控制一定程度上可以变成从列表中选 务与信息安全认证专项组,北京大学电子政务
研究院电子政务与信息安全技术实验室. 信息
择参数的过程。 如此,则可能把应用 ISO 27000
安全 管 理 基 础 [ M]. 北 京: 人 民 邮 电 出 版
对数字图书馆实施信息安全管理、建立信息安
社,2008.
全管理体系的时间与经济成本控制在国内的数
[ 3 ] 摇 王英梅,王胜开,陈国顺,等. 信息安全风险评
字图书馆界可接受的程度。
估[M]. 北京:电子工业出版社,2007.
按照这个思路,将 ISO 27000 应用于数字图 [ 4 ]摇 科飞管理咨询公司. 信息安全风险评估[M]. 北
书馆信息安全管理,设计各数字图书馆建立信 京:中国标准出版社,2005.
息安全管理体系时可借鉴的某种具体模式,面 [ 5 ]摇 严霄凤,高炽扬. 美国联邦信息安全风险管理
临着以下任务: 框架及其相关标准研究[ J]. 信息安全与通信
2010 年 7 月摇 July, 2010
