《用IS027000规范数字图书馆信息安全管理》-毕业论文（设计）.docVIP

w 用IS027000规范数字图书馆信息安全管理 [摘要]对《数字图书馆信息安全管理》一书的主要内容进行评价，认为该书在深入对比分析一系列国际信息安全管理标准和规范的基础上，将在企业和政府机构广泛应用的is027000系列标准引入到数字图书馆信息安全管理领域，并从理论和实践上构建数字图书馆信息安全管理的理论体系和实践防范体系，对于认识和推动数字图书馆信息安全的研究与实践具有重要的指导意义。 [关键词]数字图书馆　信息安全管理　is027000规范　评介 目前数字图书馆信息安全问题的主要解决之道是依赖计算机和网络安全等技术措施进行防范保护，虽然近几年也有学者从人员管理、设备管理、灾难恢复制度、人员培训、法律法规等角度进行探讨，但是数字图书馆信息安全领域“重技术、轻管理”的现象非常明显，这与信息安全领域“三分技术、七分管理”的黄金定律是相违背的。因此，如何在危机四伏的信息和网络环境中，在技术水平不变的情况下依靠管理的改进大幅度提升数字图书馆信息安全等级，建立一套具有可操作性的管理体系标准以规范数字图书馆的信息安全管理过程，已成为当前数字图书馆信息安全领域的重点课题。 南京农业大学信息学院黄水清教授的新作《数字图书馆信息安全管理》是基于其主持的国家社会科学基金课题完成的研究成果，由南京大学出版社新近出版。此书较好地回答了上述问题，是国内第一部系统阐述数字图书馆信息安全管理体系的论著，填补了国内该领域的空白。作者在深入对比分析一系列国际信息安全管理标准和规范的基础上，将在企业和政府机构广泛应用的is027000系列标准引入到数字图书馆信息安全管理领域，并从理论和实践两个层面出发，构建了数字图书馆信息安全管理的理论体系和实践防范体系，对于推动数字图书馆信息安全的研究与实践具有十分重要的意义。 黄水清教授指出：“数字图书馆信息安全即保持数字图书馆各项信息的保密性、完整性和可用性，使得数字图书馆传递给用户的信息具有真实性、可核查性、抗抵赖和可靠性。其中，保密性、完整性和可用性是数字图书馆信息安全的完整体系和内核，真实性、可核查性、抗抵赖和可靠性是数字图书馆提供给用户的信息服务的质量标准。”该书的所有研究紧紧围绕这一定义展开，从标准选择、方法选取、模板制定、实践验证4个部分进行研究、探索和实践。 与信息安全领域的其他国际标准规范相比较，is027000是一个通用的、普适性的信息安全管理标准族，核心是is027001和is027002，分别描述了组织信息安全风险评估和风险控制的方法和流程，适用于任何规模和行业的组织。将is027000采用的策划一实施一检查一措施(pdca)过程模式应用于数字图书馆，可以确保数字图书馆的安全管理实践持续地被文档化、加强和改进。而数字图书馆的业务流程具有趋同性，与is027000从业务流程人手进行资产、威胁、脆弱性识别以保障风险评估和风险控制过程的要求相一致。同时，is027000的控制措施涵盖了信息安全风险控制的各种可能，数字图书馆的信息安全风险控制措施只需根据其行业特点从中选取即可。通过比较，作者确定is027000是适用于数字图书馆信息安全管理的最佳依从标准，能够用于指导建立数字图书馆领域的信息安全管理体系，并且，可以通过制定数字图书馆信息安全风险评估与风险控制模板的方式减少具体实施过程中的难度与成本。 《数字图书馆信息安全管理》一书在第四章和第五章着力阐述了数字图书馆信息安全管理方法的选取问题。信息安全管理包括风险评估和风险控制两大过程，两大过程整体遵循pdca的过程模式，不断循环评估～控制一再评估的过程。其中，风险评估模型主要包括资产、威胁和脆弱性三大要素，作者分别用模糊数学、构建威胁场景和通用缺陷评估系统(cvss)的方法构建了数字图书馆的资产价值评估模型、威胁等级识别模型和脆弱性等级识别模型，然后以is027005中的风险矩阵模型的一种变形为基础，综合三个子模型，得到数字图书馆的风险评估模型。风险控制模型主要包括资产、业务和控制措施三大要素，作者提出基于投资约束和风险防范策略的风险控制决策模型，将资产、威胁、脆弱性与资产、业务、控制措施两个坐标体系联动。该风险评估和风险控制模型是本书数字图书馆信息安全管理研究的方法论。 数字图书馆是一种具有相同或高度相似的业务流程的特殊组织。作者选取了全国30家数字图书馆作为调查对象，通过调查总结得出数字图书馆的业务流程。以此为基础，分别就资产、威胁和脆弱性的识别与估值问题展开多次深入调查，并采用上述风险评估模型进行计算和分析，提出风险等级划分方法，形成了数字图书馆信息安全风险评估的模板。另外，通过调查、访谈等方式，作者从is027002中总结分析得到适用于数字图书馆信息安全的控制措施集合，并根据风险控制模型的计算和分析，构建了数字图书馆信息安全风险控制的模板。数字