劉萬(wàn)國(guó)+周秀霞+霍明月

〔摘要〕文章從高校圖書(shū)館面臨的信息安全風(fēng)險(xiǎn)入手，闡述了高校圖書(shū)館信息安全的需求；基于需求，全面研究了最新的“ISO/IEC 27001：2013”國(guó)際信息安全管理標(biāo)準(zhǔn)在高校圖書(shū)館中的適用性；由此提出了“基于ISO/IEC 27001：2013的高校圖書(shū)館信息安全管理體系框架”；并指出信息安全管理體系構(gòu)建應(yīng)遵守“投資與風(fēng)險(xiǎn)平衡”、“技術(shù)與管理平衡”、“信息系統(tǒng)建設(shè)與信息安全管理體系建設(shè)同步”的原則，認(rèn)為信息化會(huì)不斷拓展和深化，信息風(fēng)險(xiǎn)會(huì)永恒存在。

〔關(guān)鍵詞〕信息安全；管理體系；高校圖書(shū)館；ISO/IEC 27001：2013；信息資產(chǎn)；信息風(fēng)險(xiǎn)

DOI：10.3969/j.issn.1008-0821.2017.04.001

〔中圖分類號(hào)〕G250.71〔文獻(xiàn)標(biāo)識(shí)碼〕A〔文章編號(hào)〕1008-0821（2017）04-0003-06

Study on the Construction of Information Security Management

System Based on ISO/IEC 27001：2013 in University LibraryLiu Wangguo1Zhou Xiuxia1Huo Mingyue2

（1.Library，Northeast Normal University，Changchun 130024，China；

2.Library，Changchun University of Chinese Medicine，Changchun 130017，China）

〔Abstract〕Starting with information security risks faced by these libraries，this article explained university libraries demand for information security，and comprehensively explored the latest international information security management standards“ISO/IEC 27001：2013”s applicability in university library.On accordance with the standard of“ISO/IEC 27001：2013”，this thesis proposed a management system of university library security that was an“organism frame”.Building such a system should obey the following principles，“balance between investment and risk”，“balance between technology and management”and“synchronization in both the information system and information security management system construction”.Informationization would go wider and deeper continuously，while the risk would exist perpetually.

〔Key words〕information security；management system；university library；ISO/IEC 27001：2013；information assets；information risk

高校圖書(shū)館是高校信息資源的集散地，隨著圖書(shū)館數(shù)字化進(jìn)程的加快，數(shù)字資源海量聚集，信息安全成為高校圖書(shū)館亟待解決的重要問(wèn)題。但是高校圖書(shū)館信息安全“重技術(shù)、輕管理”，信息安全管理體系建設(shè)更是一片空白，多數(shù)高圖書(shū)館的管理層對(duì)信息資產(chǎn)所面臨威脅的嚴(yán)重性認(rèn)識(shí)不足，缺乏明確的信息安全戰(zhàn)略規(guī)劃、科學(xué)系統(tǒng)的信息安全管理制度、相對(duì)有效的管理措施等。管理是信息安全的根本。高校圖書(shū)館急需建立一套完備、規(guī)范的信息安全管理體系來(lái)規(guī)范信息安全管理，控制信息安全風(fēng)險(xiǎn)，提升信息安全防御能力。

ISO/IEC 27001：2013是國(guó)際上通用的最新的信息安全標(biāo)準(zhǔn)，國(guó)際聯(lián)機(jī)計(jì)算機(jī)圖書(shū)館中心（OCLC）就實(shí)施了符合ISO 27001：2013標(biāo)準(zhǔn)的信息安全管理體系，并注冊(cè)登記取得了認(rèn)證，同時(shí)還擁有了注冊(cè)信息安全專業(yè)人員、信息技術(shù)審計(jì)人員、業(yè)務(wù)持續(xù)規(guī)劃和災(zāi)難恢復(fù)領(lǐng)域的全職專家等[1]。其他大量企業(yè)、政府部門等的應(yīng)用認(rèn)證已證明了其的優(yōu)選性，高校圖書(shū)館引入ISO/IEC 27001：2013來(lái)構(gòu)建信息安全管理體系是圖書(shū)館信息安全的迫切需求，也是高校圖書(shū)館信息安全管理必然的選擇。

1高校圖書(shū)館信息安全需求分析高校是信息安全泄漏的重災(zāi)區(qū)。據(jù)2015年5月補(bǔ)天漏洞響應(yīng)平臺(tái)的數(shù)據(jù)顯示，自2014年4月至2015年3月的12個(gè)月間，高校網(wǎng)站的漏洞多達(dá)3 495個(gè)，涉及高校網(wǎng)站1 088個(gè)，占全國(guó)高?？倲?shù)的近40%[2]。高校圖書(shū)館作為高校的信息資源中心，其信息安全性可想而知。

而筆者對(duì)吉林省35所高校圖書(shū)館的問(wèn)卷調(diào)查也很好地證明了這一點(diǎn)。在關(guān)于“在過(guò)去的一年中圖書(shū)館受到過(guò)何種網(wǎng)絡(luò)攻擊”的問(wèn)題中，約70%的被調(diào)查者選擇了“病毒攻擊”；約43%的被調(diào)查者選擇了“網(wǎng)絡(luò)釣魚(yú)”；約40%的被調(diào)查者選擇了“木馬攻擊”；約31%的被調(diào)查者選擇了“系統(tǒng)漏洞”；約29%的被調(diào)查者選擇了“垃圾郵件”；約17%的被調(diào)查者選擇了“篡改網(wǎng)頁(yè)”；約20%的被調(diào)查者選擇了“其他攻擊方式”?？梢?jiàn)，圖書(shū)館仍面臨著各種不安全因素，安全事件頻頻發(fā)生，信息安全環(huán)境令人堪憂。

身處這樣的環(huán)境，高校圖書(shū)館信息安全需要滿足：

1）物理安全需求：即圖書(shū)館指計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、機(jī)房等環(huán)境的安全等，這是整個(gè)圖書(shū)館信息安全的前提。

2）網(wǎng)絡(luò)安全需求：即圖書(shū)館網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其中數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的破壞、更改、泄露等，保證系統(tǒng)連續(xù)可靠地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

3）數(shù)據(jù)安全需求；即指圖書(shū)館系統(tǒng)內(nèi)的數(shù)據(jù)在任何條件下都能保持其保密性、完整性、可靠性、可用性和一致性。

4）系統(tǒng)安全需求：包括避免病毒對(duì)于系統(tǒng)的威脅；黑客對(duì)于網(wǎng)絡(luò)的破壞和入侵；內(nèi)部工作人員的操作失誤與惡意訪問(wèn)等。

5）管理安全需求。管理安全需求是高校圖書(shū)館信息安全的最高需求，包括信息安全經(jīng)費(fèi)投入、信息組織機(jī)構(gòu)建設(shè)、信息安全戰(zhàn)略規(guī)劃、信息安全目標(biāo)確定、信息安全管理制度制定、信息安全隊(duì)伍培養(yǎng)、信息安全管理機(jī)制確認(rèn)等諸多方面的需求。

2ISO/IEC 27001：2013高校圖書(shū)館信息安全管理適用性研究各國(guó)專家、各種機(jī)構(gòu)根據(jù)不同的信息安全管理的需求制定了眾多標(biāo)準(zhǔn)，如CC標(biāo)準(zhǔn)、BS-7799標(biāo)準(zhǔn)、COBIT標(biāo)準(zhǔn)、ITIL標(biāo)準(zhǔn)、ISO/IEC13335標(biāo)準(zhǔn)、ISO/IEC 27000系列標(biāo)準(zhǔn)等。其中，ISO/IEC 27000系列標(biāo)準(zhǔn)是應(yīng)用最為廣泛的信息安全標(biāo)準(zhǔn)之一，而ISO/IEC 27001是ISO/IEC 27000系列標(biāo)準(zhǔn)的主標(biāo)準(zhǔn)，目前的有效版本是ISO/IEC 27001：2013。

ISO/IEC 27001：2013全稱為“信息技術(shù)-安全技術(shù)-信息安全管理體系-要求”。標(biāo)準(zhǔn)包含了14控制域、35個(gè)控制目標(biāo)、114個(gè)控制措施，是建立信息安全管理系統(tǒng)（ISMS）的一整套管理標(biāo)準(zhǔn)。ISO/IEC 27001：2013標(biāo)準(zhǔn)重視領(lǐng)導(dǎo)和人員對(duì)信息安全的職責(zé)與治理，重視信息安全績(jī)效的評(píng)估，重視風(fēng)險(xiǎn)評(píng)估方法的應(yīng)用，更重視與業(yè)務(wù)工作的融合和信息安全管理的長(zhǎng)效機(jī)制，是一套比較完備的信息安全管理規(guī)范。

歸納ISO/IEC 27001：2013對(duì)圖書(shū)館信息安全管理的適用性，具體表現(xiàn)為以下幾個(gè)方面：

2.1ISO/IEC 27000系列標(biāo)準(zhǔn)為通用標(biāo)準(zhǔn)

ISO/IEC 27000系列標(biāo)準(zhǔn)為通用標(biāo)準(zhǔn)，采用了國(guó)際標(biāo)準(zhǔn)的通用架構(gòu)，具有很好的兼容性，更易與其他管理體系進(jìn)行融合。ISO27000系列標(biāo)準(zhǔn)的起源是BS7799，在BS7799立項(xiàng)初始，其性質(zhì)就被定義為跨行業(yè)的通用標(biāo)準(zhǔn)。它的目的是能夠提供一套具有可開(kāi)發(fā)性、可實(shí)施性與可測(cè)量性的信息安全管理規(guī)范。因而，ISO27000系列標(biāo)準(zhǔn)對(duì)所有行業(yè)都有普適性，自然也適用于高校圖書(shū)館。

2.2ISO/IEC 27001：2013重視信息資產(chǎn)

ISO/IEC 27001：2013標(biāo)準(zhǔn)把信息看作是組織的資產(chǎn)，認(rèn)為其對(duì)組織的生存、發(fā)展起著關(guān)鍵作用，要識(shí)別信息資產(chǎn)并起保護(hù)責(zé)任；并且要求信息安全風(fēng)險(xiǎn)管理要聚焦信息，而信息是融合在整個(gè)業(yè)務(wù)流程中，因此，信息安全管理還要以業(yè)務(wù)價(jià)值為基礎(chǔ)。而圖書(shū)館卻正是專門從事信息管理與信息價(jià)值識(shí)別、服務(wù)的機(jī)構(gòu)，信息是圖書(shū)館最重要的資產(chǎn)，其日常業(yè)務(wù)與信息安全緊密相連，因而與ISO/IEC 27001：2013標(biāo)準(zhǔn)有著天然的聯(lián)系和契合性。

2.3ISO/IEC 27001：2013風(fēng)險(xiǎn)評(píng)估方法的普適性

ISO/IEC 27001：2013中提出了組織應(yīng)確立并應(yīng)用一個(gè)信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程，即信息風(fēng)險(xiǎn)評(píng)估應(yīng)該包括：建立并保持信息安全風(fēng)險(xiǎn)準(zhǔn)則，確保重復(fù)執(zhí)行的信息安全風(fēng)險(xiǎn)評(píng)估產(chǎn)生一致的、有效的和可比的結(jié)果，識(shí)別信息安全風(fēng)險(xiǎn)，分析信息安全風(fēng)險(xiǎn)，評(píng)價(jià)信息安全風(fēng)險(xiǎn)，處置信息安全風(fēng)險(xiǎn)，保留信息安全風(fēng)險(xiǎn)處置結(jié)果的信息文件。雖然該標(biāo)準(zhǔn)并沒(méi)有解釋實(shí)施的具體方法，但是由于該方法本身的普適性，ISO27001中的風(fēng)險(xiǎn)評(píng)估方法在高校圖書(shū)館中運(yùn)作起來(lái)并不困難。

2.4ISO/IEC 27001：2013標(biāo)準(zhǔn)覆蓋信息安全管理的全過(guò)程ISO/IEC 27001：2013標(biāo)準(zhǔn)共包含14控制域、35個(gè)控制目標(biāo)、114個(gè)控制措施。涉及信息安全策略、信息安全組織、人力資源安全、資產(chǎn)管理、訪問(wèn)控制、密碼術(shù)、物理與環(huán)境安全、操作安全、通信安全、系統(tǒng)獲取開(kāi)發(fā)和維護(hù)、供應(yīng)商關(guān)系、信息安全事件管理、業(yè)務(wù)連續(xù)性管理的信息安全方面、符合性等諸方面。基本上涵蓋了信息安全管理的整個(gè)過(guò)程及一個(gè)組織可能涉及信息安全的方方面面，因此，其也必然能夠滿足高校圖書(shū)館對(duì)信息安全管理的要求[3]。

2.5ISO/IEC 27001：2013采用了PDCA模式

PDCA是全面質(zhì)量管理所應(yīng)遵循的一種科學(xué)程序，包括P、D、C、A 4個(gè)步驟，即P（Plan，建立），D（Do，實(shí)施運(yùn)行），C（Check，監(jiān)視審核），A（Act，保持和改進(jìn)）。

PDCA循環(huán)周而復(fù)始，一個(gè)循環(huán)結(jié)束后即進(jìn)入下一個(gè)PDCA循環(huán)；大環(huán)套小環(huán)，一環(huán)扣一環(huán)，小環(huán)保大環(huán)，推動(dòng)大循環(huán)；階梯式上升，每循環(huán)一次解決一部分問(wèn)題，到新的循環(huán)又有新的目標(biāo)與內(nèi)容[4]。ISO/IEC 27001：2013引入PDCA循環(huán)模式，是為建立、實(shí)施信息安全管理體系并持續(xù)改進(jìn)其有效性的方法；而有關(guān)圖書(shū)館管理應(yīng)用PDCA循環(huán)模式的研究也很常見(jiàn)，將PDCA循環(huán)模式應(yīng)用于高校圖書(shū)館信息安全管理是沒(méi)有問(wèn)題的。

3基于ISO/IEC 27001：2013的高校圖書(shū)館信息安全管理體系構(gòu)建高校圖書(shū)館信息安全管理體系是以一個(gè)技術(shù)保障為基礎(chǔ)，以組織、管理體系為核心，符合圖書(shū)館業(yè)務(wù)規(guī)律的有機(jī)整體。以ISO/IEC 27001：2013標(biāo)準(zhǔn)為依據(jù)構(gòu)建的高校圖書(shū)館信息安全管理體系，能夠保障圖書(shū)館信息安全管理體系的有效性，保障信息資產(chǎn)的保密性、完整性和可用性[5]。

信息化會(huì)不斷拓展和深化，信息風(fēng)險(xiǎn)會(huì)永恒存在。高校圖書(shū)館信息安全管理體系構(gòu)建應(yīng)遵守“投資與風(fēng)險(xiǎn)平衡”、“技術(shù)與管理平衡”、“信息系統(tǒng)建設(shè)與信息安全管理體系建設(shè)同步”的原則，依據(jù)ISO/IEC 27001：2013標(biāo)準(zhǔn)中羅列的控制域、控制目標(biāo)以及控制措施，將信息安全規(guī)范管理的理念融入到圖書(shū)館日常的規(guī)劃發(fā)展、組織管理、政策制定、信息資產(chǎn)管理、物理環(huán)境安全管理等各項(xiàng)工作中，逐層建立起了信息安全管理的規(guī)范；并且，通過(guò)采用不斷循環(huán)的PDCA模式，保證了高校圖書(shū)館持續(xù)處于信息安全風(fēng)險(xiǎn)受控狀態(tài)。高校圖書(shū)館基于ISO/IEC 27001：2013標(biāo)準(zhǔn)構(gòu)建的信息安全管理框架如圖1所示。

3.1信息安全戰(zhàn)略規(guī)劃

信息安全戰(zhàn)略規(guī)劃是高校圖書(shū)館在一個(gè)時(shí)期內(nèi)（一般不超過(guò)5年）制定的具有全局性、層次性、協(xié)調(diào)性和相對(duì)穩(wěn)定性的謀劃，它是高校圖書(shū)館信息安全發(fā)展的總體思路，是信息安全管理的指導(dǎo)依據(jù)。

高校圖書(shū)館的信息安全管理規(guī)劃需要綜合考慮以下幾方面因素，如圖2所示。

1）業(yè)務(wù)驅(qū)動(dòng)/數(shù)字化：以圖書(shū)館的業(yè)務(wù)發(fā)展目標(biāo)、發(fā)展規(guī)劃（包括數(shù)字圖書(shū)館的發(fā)展規(guī)劃）為基礎(chǔ)，保證與圖書(shū)館發(fā)展規(guī)劃的目標(biāo)保持一致，這是信息安全管理規(guī)劃的出發(fā)點(diǎn)，也是最終點(diǎn)。圍繞這一主旨，圖書(shū)館要實(shí)現(xiàn)最高管理者對(duì)信息安全的承諾，定義出信息安全管理的使命、目標(biāo)和管理方法，并以此制定出物理安全策略、操作安全策略、系通信安全策略、資產(chǎn)安全策略、風(fēng)險(xiǎn)控制策略、應(yīng)急響應(yīng)策略、人力資源安全策略等的信息安全總體規(guī)劃，為圖書(shū)館的發(fā)展起到保駕護(hù)航的作用。

2）信息安全目標(biāo)：在ISO/IEC 27001：2013中明確指出，信息安全管理體系的目標(biāo)就是通過(guò)應(yīng)用風(fēng)險(xiǎn)管理過(guò)程以保證信息資產(chǎn)的保密性、完整性和可用性，并給予相關(guān)利益方風(fēng)險(xiǎn)已得到充分管理的信心。這個(gè)相關(guān)利益方既是指圖書(shū)館所處的高校和圖書(shū)館的用戶，也指那些與圖書(shū)館有直接或間接聯(lián)系的承包商、數(shù)據(jù)庫(kù)商等。除此之外，還應(yīng)考慮：①與信息安全戰(zhàn)略規(guī)劃建立聯(lián)系，并保持一致；②成本與信息安全目標(biāo)的平衡；③信息安全風(fēng)險(xiǎn)的預(yù)測(cè)、識(shí)別與控制措施的應(yīng)用；④可通過(guò)績(jī)效評(píng)價(jià)來(lái)衡量信息安全目標(biāo)的有效性、可操作性等。

3）符合性要求：這是ISO27001：2013的控制目標(biāo)要求，其主要要求高校圖書(shū)館的信息安全戰(zhàn)略規(guī)劃及其之后的計(jì)劃、策略、實(shí)施、操作等，要與國(guó)家法律條例、政策規(guī)定、圖書(shū)館的規(guī)章制度、規(guī)則等保持一致，及其以后在信息安全實(shí)施操作中也要保證相關(guān)流程合乎這些要求[6]。

4）外部環(huán)境：外部環(huán)境也是影響高校圖書(shū)館信息安全戰(zhàn)略規(guī)劃的重要因素，并且因?yàn)槠浣M成復(fù)雜，對(duì)圖書(shū)館的影響有好有壞，難以控制，更應(yīng)該引起高校圖書(shū)館的重視。綜合考慮外部環(huán)境的構(gòu)成，其主要包括以下幾個(gè)方面：①高校信息化的變遷，包括信息化規(guī)劃的更新、信息化相關(guān)政策的制定、信息化設(shè)備的購(gòu)置、信息安全環(huán)境等；②有關(guān)信息安全的新技術(shù)、新威脅、新系統(tǒng)等的出現(xiàn)應(yīng)用等；③圖書(shū)館用戶信息安全意識(shí)、信息技能等的變化；④政策環(huán)境的變動(dòng)。譬如2014年，教育部出臺(tái)了《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南（試行）》，高校圖書(shū)館就要將信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作納入信息安全戰(zhàn)略規(guī)劃中予以考慮；⑤意外事故，如雷擊、地震、火災(zāi)、時(shí)間較長(zhǎng)的斷電、斷網(wǎng)等。

5）內(nèi)部需求：信息安全是圖書(shū)館的整體需求，其信息安全管理規(guī)劃也應(yīng)從圖書(shū)館的全局出發(fā)，綜合考慮。首先，需要建立一個(gè)合適的平衡點(diǎn)，保證圖書(shū)館在可以接受的信息風(fēng)險(xiǎn)范圍內(nèi)投入最少的經(jīng)費(fèi)；其次，需要考慮圖書(shū)館內(nèi)各部門的業(yè)務(wù)發(fā)展對(duì)信息安全的需求，以及需求的優(yōu)先級(jí)別；再次，應(yīng)考慮圖書(shū)館內(nèi)人力資源的管理、教育、培訓(xùn)以及信息安全管理相關(guān)制度的建立等等。

3.2信息安全組織架構(gòu)

高校圖書(shū)館信息安全管理體系涉及了圖書(shū)館的方方面面，從普通館員到館長(zhǎng)，都負(fù)有信息安全的管理責(zé)任，一般的，一個(gè)相對(duì)完善的高校圖書(shū)館信息安全管理組織架構(gòu)包括以下方面，如圖3所示：圖3高校圖書(shū)館信息安全管理組織架構(gòu)

1）決策層：主要指高校圖書(shū)館的信息安全領(lǐng)導(dǎo)小組，其是高校圖書(shū)館信息安全管理工作的頂層設(shè)計(jì)和統(tǒng)籌規(guī)劃者，由負(fù)責(zé)數(shù)字圖書(shū)館建設(shè)或具體負(fù)責(zé)信息安全的館領(lǐng)導(dǎo)（下文統(tǒng)稱為首席安全官）牽頭，可包括其他館領(lǐng)導(dǎo)和個(gè)別部門主管。決策層主要負(fù)責(zé)信息安全戰(zhàn)略的規(guī)劃、信息安全管理策略的制定、信息安全管理組織架構(gòu)組建，信息安全人員責(zé)任分配等。

2）管理層：由圖書(shū)館信息安全管理部門的主管和其他部門主管組成，主要負(fù)責(zé)圖書(shū)館信息安全工作計(jì)劃和方針的制定，日常信息安全管理制度、文件化操作規(guī)程的制定，信息安全事件管理，信息風(fēng)險(xiǎn)的預(yù)測(cè)、控制，各部門，信息安全工作實(shí)施情況的監(jiān)督和審計(jì)等，其直接向風(fēng)險(xiǎn)直接向首席安全官匯報(bào)。

3）審計(jì)層：一般由聘請(qǐng)的信息安全專家、首席安全官（CSO）、圖書(shū)館黨委書(shū)記、館員代表以及用戶代表組成。其主要是建立圖書(shū)館內(nèi)部的審核制度、審核標(biāo)準(zhǔn)、審核方式和審核流程，制定審核計(jì)劃，定期對(duì)圖書(shū)館信息安全管理體系的運(yùn)行情況進(jìn)行審核，審核結(jié)果要和圖書(shū)館員的考核掛鉤，以此提高圖書(shū)館員的信息安全意識(shí)，規(guī)范圖書(shū)館員的信息行為。同時(shí)，可以考慮建立圖書(shū)館的BCP/DRP機(jī)制，以及信息安全應(yīng)急響應(yīng)機(jī)制等，建立和完善圖書(shū)館的業(yè)務(wù)連續(xù)性管理框架[7]。

4）執(zhí)行層：一般由圖書(shū)館信息安全管理部門的館員和其他部門具體負(fù)責(zé)信息安全的信息安全員組成，信息安全管理部門的館員主要包括機(jī)房管理員、網(wǎng)絡(luò)及服務(wù)器管理員、數(shù)據(jù)庫(kù)管理員和信息系統(tǒng)管理員等。執(zhí)行層是落實(shí)圖書(shū)館的信息安全計(jì)劃、實(shí)施各種信息安全策略、全面進(jìn)行日常圖書(shū)館的信息安全管理、安全服務(wù)支持、安全事件控制、信息安全規(guī)范的館員團(tuán)隊(duì)；尤其是各部門的信息安全員，還具體負(fù)責(zé)本部門的信息安全行為規(guī)范和信息安全素養(yǎng)培訓(xùn)等。執(zhí)行層是保障圖書(shū)館信息安全措施全面落實(shí)的中間層，并通過(guò)不斷的實(shí)踐，推動(dòng)信息安全管理體系自身的不斷完善。

5）用戶層：以最小特權(quán)的原則，圖書(shū)館可以采用“按用戶授權(quán)，按需求行權(quán)”的方法實(shí)現(xiàn)對(duì)用戶的信息安全管理。即按照用戶信息需求的層級(jí)分別授予不同的系統(tǒng)、資源、服務(wù)等的訪問(wèn)、利用權(quán)限。此外，還應(yīng)采用信息安全教育、培訓(xùn)、宣講、活動(dòng)等形勢(shì)，不斷提升用戶的信息安全素質(zhì)，提升用戶自覺(jué)規(guī)范信息行為的自覺(jué)。

3.3信息資產(chǎn)管理

圖書(shū)館實(shí)施有效的信息安全體系的基礎(chǔ)就是信息資產(chǎn)的識(shí)別、管理與保護(hù)，以此來(lái)提高圖書(shū)館整體的信息安全管理水平，并及時(shí)規(guī)避信息隱患和信息風(fēng)險(xiǎn)。

圖書(shū)館的信息資產(chǎn)有多種存在形式，包括無(wú)形信息資產(chǎn)和有形信息資產(chǎn)，有形信息資產(chǎn)還包括硬件、軟件、數(shù)據(jù)、文件等。圖書(shū)館的信息資產(chǎn)管理包括對(duì)各類信息資產(chǎn)的識(shí)別、分級(jí)管理、周期性管理和記錄等。

3.3.1信息資產(chǎn)識(shí)別

通常信息資產(chǎn)的保密性、完整性和可用性是公認(rèn)的能夠反映資產(chǎn)安全特性的3個(gè)要素。而資產(chǎn)的識(shí)別就是一個(gè)信息資產(chǎn)收集→信息資產(chǎn)識(shí)別→信息資產(chǎn)分類→信息資產(chǎn)賦值的全過(guò)程、對(duì)信息資產(chǎn)進(jìn)行識(shí)別對(duì)于高校圖書(shū)館整個(gè)信息安全管理體系的工作具有至關(guān)重要的作用。

遵循最小泄露原則，高校圖書(shū)館通常將信息資產(chǎn)分成絕密、機(jī)密、秘密、內(nèi)部公開(kāi)和外部公開(kāi)五個(gè)級(jí)別。通過(guò)對(duì)不同的信息資產(chǎn)賦予不同的安全級(jí)別，施行不同的管理、訪問(wèn)、服務(wù)、存儲(chǔ)策略，以保證高校圖書(shū)館信息安全的同時(shí)，盡可能提供服務(wù)。

3.3.2信息資產(chǎn)的周期性管理

周期性管理主要是對(duì)實(shí)體信息資產(chǎn)和軟件信息資產(chǎn)的管理。它是指從實(shí)體信息資產(chǎn)和軟信息資產(chǎn)的需求開(kāi)始，從調(diào)研、分析、采購(gòu)、安裝、使用、維護(hù)、更替到淘汰的全部生命歷程。通過(guò)對(duì)信息資產(chǎn)實(shí)行全周期性管理，能夠有效監(jiān)測(cè)信息資產(chǎn)的運(yùn)行狀態(tài)、信息資產(chǎn)的可靠性和經(jīng)濟(jì)性，在達(dá)到信息資產(chǎn)合理、最優(yōu)化利用目標(biāo)的同時(shí)，兼顧信息軟件資產(chǎn)的開(kāi)發(fā)、設(shè)計(jì)、更新，信息硬件資產(chǎn)的技術(shù)更新和設(shè)備更替等。

3.3.3信息資產(chǎn)的記錄

信息資產(chǎn)的記錄應(yīng)該包括ISO/IEC 27001：2013所要求的信息記錄以及確定對(duì)高校圖書(shū)館信息安全管理體系有效的、必要的文件信息。高校圖書(shū)館信息安全管理的規(guī)模、復(fù)雜程度、活動(dòng)的類型、過(guò)程、服務(wù)和人員能力等多方面的因素決定了信息資產(chǎn)記錄的詳略程度。從安全宜用的角度，高校圖書(shū)館在對(duì)信息資產(chǎn)進(jìn)行分發(fā)、訪問(wèn)、檢索、使用、存儲(chǔ)、更改與處置等過(guò)程中，都應(yīng)當(dāng)進(jìn)行明確的信息資產(chǎn)記錄[4]。

3.4信息安全風(fēng)險(xiǎn)評(píng)估

信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)系統(tǒng)工程，具體包括以下步驟。

3.4.1風(fēng)險(xiǎn)識(shí)別

風(fēng)險(xiǎn)識(shí)別是信息安全風(fēng)險(xiǎn)評(píng)估的首要環(huán)節(jié)，是指采用一種系統(tǒng)的方法，來(lái)識(shí)別圖書(shū)館隱藏在信息資產(chǎn)中的潛在風(fēng)險(xiǎn)，并識(shí)別風(fēng)險(xiǎn)的輕重緩急，找出較為重大的風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)識(shí)別是一個(gè)復(fù)雜的過(guò)程，其包括信息資產(chǎn)識(shí)別、威脅識(shí)別、薄弱點(diǎn)識(shí)別、已有的安全措施確認(rèn)等環(huán)節(jié)。每一個(gè)環(huán)節(jié)都是信息安全風(fēng)險(xiǎn)識(shí)別必不可少的，往往某一信息資產(chǎn)可能面臨多個(gè)威脅或不同的信息資產(chǎn)面臨的安全威脅有其獨(dú)特性，這都需要依據(jù)ISO/IEC 27001：2013標(biāo)準(zhǔn)要求，對(duì)信息資產(chǎn)進(jìn)行細(xì)致周密地分析，科學(xué)統(tǒng)計(jì)分析威脅發(fā)生的概率、及發(fā)生后所造成的損失等。

3.4.2風(fēng)險(xiǎn)評(píng)估

圖書(shū)館在識(shí)別信息安全風(fēng)險(xiǎn)后，要評(píng)估信息風(fēng)險(xiǎn)可能導(dǎo)致的潛在后果，評(píng)估風(fēng)險(xiǎn)發(fā)生的實(shí)際可能性，確定風(fēng)險(xiǎn)級(jí)別，將風(fēng)險(xiǎn)分析結(jié)果同建立的風(fēng)險(xiǎn)準(zhǔn)則對(duì)比，按優(yōu)先級(jí)排序，并將整個(gè)信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程文件化。

在圖書(shū)館風(fēng)險(xiǎn)評(píng)估的過(guò)程中，可以采用定量分析方法，如因子分析法、聚類分析法等；也可以采用定性分析方法，如因素分析法、邏輯分析法等；還可以將定量與定性方法相結(jié)合，采用綜合分析的方法。學(xué)者黃水清等研究了一種定性方法，簡(jiǎn)單、操作性強(qiáng)，其公式為[8]：

風(fēng)險(xiǎn)大小=資產(chǎn)價(jià)值×威脅發(fā)生的可能性×薄弱點(diǎn)大小。

信息風(fēng)險(xiǎn)評(píng)估是一項(xiàng)持續(xù)的、長(zhǎng)期的工作，需要定期開(kāi)展。

3.4.3風(fēng)險(xiǎn)處置

風(fēng)險(xiǎn)評(píng)估后要進(jìn)行風(fēng)險(xiǎn)處置。風(fēng)險(xiǎn)處置首先，要考慮風(fēng)險(xiǎn)評(píng)估的結(jié)果，對(duì)照已經(jīng)擬定的風(fēng)險(xiǎn)處理計(jì)劃，進(jìn)行風(fēng)險(xiǎn)控制計(jì)劃的調(diào)整；其次，根據(jù)控制經(jīng)費(fèi)與信息風(fēng)險(xiǎn)平衡的原則，對(duì)不同的信息風(fēng)險(xiǎn)以降低風(fēng)險(xiǎn)為主要原則，可以適當(dāng)選擇以下降低風(fēng)險(xiǎn)的方式：避免風(fēng)險(xiǎn)；轉(zhuǎn)移風(fēng)險(xiǎn)；減少風(fēng)險(xiǎn)；減少薄弱點(diǎn)；減少威脅可能的影響程度；探測(cè)信息安全事件，對(duì)其做出反應(yīng)并恢復(fù)。再次，依照ISO/IEC 27001：2013標(biāo)準(zhǔn)要求，從114項(xiàng)控制措施中選取適當(dāng)?shù)拇胧﹣?lái)降低風(fēng)險(xiǎn)大小。最后，將信息安全風(fēng)險(xiǎn)處置過(guò)程文件化。

3.5訪問(wèn)控制

訪問(wèn)控制是按訪問(wèn)者的身份及其所歸屬的某項(xiàng)定義組或是按信息資產(chǎn)的安全等級(jí)等來(lái)限制訪問(wèn)者對(duì)某些信息項(xiàng)、某些控制功能的使用的一種信息安全策略，也是高校圖書(shū)館比較通用的一項(xiàng)信息安全技術(shù)。

與其他的組織相比，圖書(shū)館具有典型的為大量的流動(dòng)性用戶服務(wù)的特征，且服務(wù)的用戶組成復(fù)雜，包括圖書(shū)館館員、教師、學(xué)生、各類服務(wù)商、校友、社會(huì)組織、社會(huì)人員等，針對(duì)不同的信息系統(tǒng)，可能存在不同的訪問(wèn)控制模式。因此，要實(shí)現(xiàn)高校圖書(shū)館的訪問(wèn)控制，首先，要明確信息安全組織各層的訪問(wèn)控制職責(zé)；其次，從對(duì)象、任務(wù)、角色等不同角度制定訪問(wèn)控制策略；再次，進(jìn)行規(guī)范的訪問(wèn)控制管理，其主要包括館員基于業(yè)務(wù)管理需要的訪問(wèn)和用于基于授權(quán)和非授權(quán)的訪問(wèn)管理，以及特殊訪問(wèn)權(quán)的管理等。

3.6信息安全防護(hù)管理

隨著高校圖書(shū)館信息安全問(wèn)題的日益突出，信息安全防護(hù)成為圖書(shū)館的關(guān)注點(diǎn)，這也是ISO/IEC 27001：2013標(biāo)準(zhǔn)體系的要求。

3.6.1技術(shù)防范

技術(shù)防范是信息安全防護(hù)管理的主要手段，其主要采用的方法有惡意軟件防范、數(shù)據(jù)備份、密碼技術(shù)、日志監(jiān)控、通信安全控制、技術(shù)脆弱性管理等。以技術(shù)脆弱性管理為例，應(yīng)遵循“最低權(quán)限”原則，即只安裝業(yè)務(wù)發(fā)展和服務(wù)必須的軟件，并要考慮所安裝的軟件間的兼容和沖突，盡量安裝少的、兼容的軟件。

3.6.2管理防范

信息安全防范是一個(gè)整體的、體系化的工程，是技術(shù)與管理的有機(jī)結(jié)合體，其中管理尤其起了重要的作用。為了減少人為因素帶來(lái)的損失，高校圖書(shū)館應(yīng)重點(diǎn)圍繞“人”這一因素，從提高安全意識(shí)、規(guī)范信息行為、訪問(wèn)信息控制、信息行為審計(jì)、違規(guī)行為處罰等多個(gè)角度制定詳細(xì)的管理規(guī)程，使“人”明確自己的責(zé)任，規(guī)范自己的行為，從而起到安全防范的作用。

3.6.3制度防范

制度防范是信息安全防范的重要手段之一，應(yīng)從圖書(shū)館的整體信息安全出發(fā)，針對(duì)信息安全面臨的威脅和薄弱點(diǎn)制訂系統(tǒng)化、體系化的安全防范制度，以規(guī)范圖書(shū)館的信息管理，降低信息安全風(fēng)險(xiǎn)。信息安全制度應(yīng)包括圖書(shū)館服務(wù)器管理制度、存儲(chǔ)設(shè)備管理制度、網(wǎng)絡(luò)管理制度、數(shù)據(jù)庫(kù)管理制度、數(shù)據(jù)備份制度、密碼管理制度、介質(zhì)安全管理制度、檔案文件管理制度、信息資產(chǎn)生命周期管理制度等。信息安全制度要盡量全面、科學(xué)、細(xì)致、規(guī)范。

3.7信息安全事件控制

對(duì)于信息安全事件的控制，高校圖書(shū)館應(yīng)當(dāng)建立起一套合理有效的管理與改進(jìn)機(jī)制，其應(yīng)該包括以下幾方面的內(nèi)容：第一，應(yīng)建立信息安全事件控制的負(fù)責(zé)組織，明確其職責(zé)，制定科學(xué)的管理規(guī)程和信息安全事件響應(yīng)方案，以快捷有效、有序地響應(yīng)信息安全事件；第二，各部門的信息安全管理員有責(zé)任記錄并報(bào)告部門所轄內(nèi)信息系統(tǒng)和服務(wù)的弱點(diǎn)，匯集在信息安全事件控制負(fù)責(zé)組織處，以便其對(duì)圖書(shū)館的信息安全弱點(diǎn)有整體地把握；第三，信息安全事件一旦發(fā)生，應(yīng)盡快通過(guò)適當(dāng)?shù)墓芾砬缊?bào)告信息安全事態(tài)；第四，信息安全事件控制組織要及時(shí)對(duì)信息安全事態(tài)的做出判斷和評(píng)估；第五，按照規(guī)程對(duì)信息安全事件做出響應(yīng)，應(yīng)急響應(yīng)的技術(shù)手段有日志分析、事件鑒別、災(zāi)難恢復(fù)、計(jì)算機(jī)犯罪取證、攻擊者追蹤等；第六，對(duì)信息安全事件進(jìn)行總結(jié)，以降低未來(lái)事件發(fā)生的可能性；第七，按照規(guī)程識(shí)別、收集、獲取和保存信息安全事件的證據(jù)信息。信息安全事件控制組織要保證在最快的時(shí)間內(nèi)對(duì)信息安全事件做出正確響應(yīng)并及時(shí)進(jìn)行恢復(fù)，以保障圖書(shū)館業(yè)務(wù)的連續(xù)性，并為安全事件的追蹤提供支持。

3.8信息安全文化建設(shè)

信息安全保障是由許多過(guò)程組成的，在這些過(guò)程中，有人與技術(shù)的合作，有人與人的合作。歸根結(jié)底，安全主要依賴于人的規(guī)范行為。高校圖書(shū)館的信息安全管理體系最終要統(tǒng)籌解決的是信息安全中的“人為因素”，是人的問(wèn)題。建立組織的信息安全文化，也是一種有效的信息安全管理方式，已經(jīng)被眾多的案例所證明，同樣的，也適用于高校圖書(shū)館。高校圖書(shū)館通過(guò)信息安全文化的建設(shè)，最終要實(shí)現(xiàn)將“人”從信息安全“人為因素”變?yōu)樾畔①Y產(chǎn)[10]。

信息安全文化建設(shè)是高校圖書(shū)館信息安全管理的重要內(nèi)容。當(dāng)信息安全滲透到所有圖書(shū)館人員和用戶的精神深處，成為其一種潛意識(shí)的行為規(guī)范，圖書(shū)館信息安全管理就進(jìn)入了良性循環(huán)的軌道。從深層次來(lái)說(shuō)，信息安全文化是圖書(shū)館信息安全價(jià)值觀念、團(tuán)體意識(shí)、心理歸宿、心理預(yù)期、思維模式、工作作風(fēng)和行為規(guī)范的總和，其可以通過(guò)：建立信息安全價(jià)值觀、建立信息安全行為規(guī)范、建立信息安全績(jī)效評(píng)估機(jī)制、建立暢通的溝通渠道、建立教育培訓(xùn)體系、保證全體館員對(duì)信息安全事務(wù)參與等途徑；并結(jié)合各種信息安全的檢查、評(píng)比、競(jìng)賽等活動(dòng)，在圖書(shū)館內(nèi)全面營(yíng)造信息安全管理的文化氛圍，以強(qiáng)化全體館員的信息安全意識(shí)，規(guī)范信息安全行為。

4結(jié)語(yǔ)

依據(jù)新的國(guó)際信息安全管理標(biāo)準(zhǔn)，構(gòu)建高校圖書(shū)館信息安全管理體系，化解信息安全風(fēng)險(xiǎn)，是當(dāng)下之需，也是長(zhǎng)遠(yuǎn)之計(jì)。ISO/IEC 27001：2013提供了一套較為完備的信息安全控制目標(biāo)和控制措施，但是如何將這些控制目標(biāo)和控制措施與高校圖書(shū)館的實(shí)際業(yè)務(wù)工作相結(jié)合，在圖書(shū)館中實(shí)施符合自身發(fā)展需要的信息安全管理體系是需要更深入研究的。本文拋磚引玉，希望能推動(dòng)本領(lǐng)域研究的進(jìn)一步深入。

參考文獻(xiàn)

[1]OCLC.OCLC致力于提供安全的圖書(shū)館服務(wù)[EB/OL].http：∥www.oclc.org/zhcn-asiapacific/policies/security.html，2016-03-12.

[2]楊燁.千余高校網(wǎng)站存信息泄漏風(fēng)險(xiǎn)[EB/OL].http：∥www.jjckb.cn/2015-05/20/content548240.htm，2016-03-12.

[3]茆意宏，黃水清.數(shù)字圖書(shū)館信息安全管理依從標(biāo)準(zhǔn)的選擇[J].中國(guó)圖書(shū)館學(xué)報(bào)，2010，（4）：54-60.

[4]萬(wàn)會(huì)龍.扣緊企業(yè)管理薄弱環(huán)節(jié)——戴明環(huán)環(huán)環(huán)相扣的管理模式解讀[J].施工企業(yè)管理，2009，（6）：70.

[5]ISO/IEC 27001：2013.Information Technology—Security Techniques—Information Security Management Systems—Requirements[S].Geneva：International Organization for Standardization，2013.

[6]白云廣，謝宗曉.ISO/IEC 27001：2013概述與改版分析[J].中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2014，（12）：45-48.

[7]朱璇.基于ISO27001的信息安全管理體系的研究和實(shí)現(xiàn)[D].上海：上海交通大學(xué)，2009：5-11.

[8]黃水清，任妮.數(shù)字圖書(shū)館信息安全風(fēng)險(xiǎn)評(píng)估的方法與模型[J].圖書(shū)情報(bào)工作，2014，（2）：14-20.

[9]北京英倫凱悅管理咨詢有限公司.ISO27001標(biāo)準(zhǔn)附錄“A.11訪問(wèn)控制”解析[EB/OL].http：∥www.iso27001.org.cn/iso27001/biaozhun/show265.html，2016-03-12.

[10]Derek L.Nazareth a，Jae Choi b.A system dynamics model for information security management[J].Information & Management，2015，52：123-134.