基于ISO 27002的數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制研究.pdf

1、計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展促進(jìn)了傳統(tǒng)圖書館與信息技術(shù)的融合，數(shù)字圖書館作為一種新生事物誕生，成為現(xiàn)代社會(huì)重要的信息服務(wù)部門。隨著數(shù)字資源的積累與網(wǎng)絡(luò)存取的開(kāi)放，數(shù)字圖書館的信息安全問(wèn)題逐漸引起人們的重視，成為數(shù)字圖書館實(shí)踐與研究中的熱點(diǎn)和前沿問(wèn)題。
　　 ISO/IEC27002作為信息安全風(fēng)險(xiǎn)控制的國(guó)際標(biāo)準(zhǔn)，為各行各業(yè)的組織制定信息安全策略和進(jìn)行有效的信息安全控制提供通用的最佳慣例。本文致力于將ISO27002引入數(shù)字圖書館領(lǐng)域的

2、信息安全管理中，根據(jù)數(shù)字圖書館特定的業(yè)務(wù)流程、系統(tǒng)環(huán)境、技術(shù)水平和安全要求等篩選適用于數(shù)字圖書館風(fēng)險(xiǎn)管理的核心控制措施，進(jìn)而研究制定數(shù)字圖書館特定領(lǐng)域的風(fēng)險(xiǎn)控制慣例。
　　 本文首先概述、調(diào)研和分析了國(guó)內(nèi)數(shù)字圖書館建設(shè)現(xiàn)狀、信息安全管理和風(fēng)險(xiǎn)控制的研究現(xiàn)狀以及風(fēng)險(xiǎn)控制的實(shí)施現(xiàn)狀；其次，以關(guān)鍵詞統(tǒng)計(jì)、文獻(xiàn)分析、專家咨詢、問(wèn)卷調(diào)查等多種方式相結(jié)合研究得到數(shù)字圖書館的通用業(yè)務(wù)流程，并將業(yè)務(wù)流程與資產(chǎn)相映射，形成數(shù)字圖書館業(yè)務(wù)流程與資產(chǎn)

3、關(guān)聯(lián)表；再次，通過(guò)ISO27002控制措施對(duì)數(shù)字圖書館風(fēng)險(xiǎn)管理的適用性調(diào)查，結(jié)合專家意見(jiàn)，分析篩選得到適用于數(shù)字圖書館的核心控制措施90項(xiàng)，參考控制措施29項(xiàng)。并將核心控制措施與資產(chǎn)映射，得到資產(chǎn)與核心控制措施關(guān)聯(lián)表，同時(shí)形成業(yè)務(wù)流程、資產(chǎn)與核心控制措施的三維關(guān)系。然后，按照風(fēng)險(xiǎn)控制的流程，分風(fēng)險(xiǎn)評(píng)估結(jié)果分析、風(fēng)險(xiǎn)控制目標(biāo)確立、風(fēng)險(xiǎn)控制措施選擇與實(shí)施三大步驟研究制定了數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制慣例。以此為基礎(chǔ)，調(diào)查分析了30家數(shù)字圖書館

4、風(fēng)險(xiǎn)控制實(shí)施的情況。最后，選取了一個(gè)高校數(shù)字圖書館針對(duì)風(fēng)險(xiǎn)控制管理的流程進(jìn)行了實(shí)證研究。
　　 本文的創(chuàng)新之處在于首次將ISO27002標(biāo)準(zhǔn)引入數(shù)字圖書館信息安全管理領(lǐng)域。將標(biāo)準(zhǔn)中的控制措施對(duì)數(shù)字圖書館的業(yè)務(wù)、資產(chǎn)、技術(shù)現(xiàn)狀及風(fēng)險(xiǎn)管理要求等的適用性進(jìn)行調(diào)查、分析，總結(jié)得到數(shù)字圖書館風(fēng)險(xiǎn)管理的核心控制措施；結(jié)合業(yè)務(wù)流程、資產(chǎn)和核心控制措施的三維關(guān)系，制定了數(shù)字圖書館信息安全管理的核心控制慣例，增強(qiáng)了安全管理的可操作性，為各數(shù)字圖書