文章從高校圖書館面臨的信息安全風(fēng)險(xiǎn)入手,闡述了高校圖書館信息安全的需求;基于需求,全面研究了最新的"ISO/IEC 27001:2013"國際信息安全管理標(biāo)準(zhǔn)在高校圖書館中的適用性;由此提出了"基于ISO/IEC 27001:2013的高校圖書館信息安全管理體系框架";并指出信息安全管理體系構(gòu)建應(yīng)遵守"投資與風(fēng)險(xiǎn)平衡"、"技術(shù)與管理平衡"、"信息系統(tǒng)建設(shè)與信息安全管理體系建設(shè)同步"的原則,認(rèn)為信息化會不斷拓展和深化,信息風(fēng)險(xiǎn)會永恒存在。 

【文章來源】：現(xiàn)代情報(bào). 2017,37(04)北大核心CSSCI

【文章頁數(shù)】：7 頁

【部分圖文】：

基于ISO27001:2013的高校圖書館信息安全管理體系框架

棖螅?湫?息安全管理規(guī)劃也應(yīng)從圖書館的全局出發(fā)，綜合考慮。首先，需要建立一個合適的平衡點(diǎn)，保證圖書館在可以接受的信息風(fēng)險(xiǎn)范圍內(nèi)投入最少的經(jīng)費(fèi);其次，需要考慮圖書館內(nèi)各部門的業(yè)務(wù)發(fā)展對信息安全的需求，以及需求的優(yōu)先級別;再次，應(yīng)考慮圖書館內(nèi)人力資源的管理、教育、培訓(xùn)以及信息安全管理相關(guān)制度的建立等等。3.2信息安全組織架構(gòu)高校圖書館信息安全管理體系涉及了圖書館的方方面面，從普通館員到館長，都負(fù)有信息安全的管理責(zé)任，一般的，一個相對完善的高校圖書館信息安全管理組織架構(gòu)包括以下方面，如圖3所示:圖3高校圖書館信息安全管理組織架構(gòu)1)決策層:主要指高校圖書館的信息安全領(lǐng)導(dǎo)小組，其是高校圖書館信息安全管理工作的頂層設(shè)計(jì)和統(tǒng)籌規(guī)劃者，由負(fù)責(zé)數(shù)字圖書館建設(shè)或具體負(fù)責(zé)信息安全的館領(lǐng)導(dǎo)(下文統(tǒng)稱為首席安全官)牽頭，可包括其他館領(lǐng)導(dǎo)和個別部門主管。決策層主要負(fù)責(zé)信息安全戰(zhàn)略的規(guī)劃、信息安全管理策略的制定、信息安全管理組織架構(gòu)組建，信息安全人員責(zé)任分配等。2)管理層:由圖書館信息安全管理部門的主管和其他部門主管組成，主要負(fù)責(zé)圖書館信息安全工作計(jì)劃和方針的制定，日常信息安全管理制度、文件化操作規(guī)程的制定，信息安全事件管理，信息風(fēng)險(xiǎn)的預(yù)測、控制，各部門，信息安全工作實(shí)施情況的監(jiān)督和審計(jì)等，其直接向風(fēng)險(xiǎn)直接向首席安全官匯報(bào)。3)審計(jì)層:一般由聘請的信息安全專家、首席安全官(CSO)、圖書館黨委書記、館員代表以及用戶代表組成。其主要是建立圖書館內(nèi)部的審核制度、審核標(biāo)準(zhǔn)、審核方式和審核流程，制定審核計(jì)劃，定期對圖書館信息安全管理體系的運(yùn)行情況進(jìn)行審核，審核結(jié)果要和圖書館員—6—2017年4月第37卷第4期基于ISO/IEC27001:2013的高校圖書館信息安全管理體系?

嬖�。�?校圖書館信息安全管理體系構(gòu)建應(yīng)遵守“投資與風(fēng)險(xiǎn)平衡”、“技術(shù)與管理平衡”、“信息系統(tǒng)建設(shè)與信息安全管理體系建設(shè)同步”的原則，依據(jù)ISO/IEC27001:2013標(biāo)準(zhǔn)中羅列的控制域、控制目標(biāo)以及控制措施，將信息安全規(guī)范管理的理念融入到圖書館日常的規(guī)劃發(fā)展、組織管理、政策制定、信息資產(chǎn)管理、物理環(huán)境安全管理等各項(xiàng)工作中，逐層建立起了信息安全管理的規(guī)范;并且，通過采用不斷循環(huán)的PDCA模式，保證了高校圖書館持續(xù)處于信息安全風(fēng)險(xiǎn)受控狀態(tài)。高校圖書館基于ISO/IEC27001:2013標(biāo)準(zhǔn)構(gòu)建的信息安全管理框架如圖1所示。圖1基于ISO27001:2013的高校圖書館信息安全管理體系框架3.1信息安全戰(zhàn)略規(guī)劃信息安全戰(zhàn)略規(guī)劃是高校圖書館在一個時期內(nèi)(一般不超過5年)制定的具有全局性、層次性、協(xié)調(diào)性和相對穩(wěn)定性的謀劃，它是高校圖書館信息安全發(fā)展的總體思路，是信息安全管理的指導(dǎo)依據(jù)。高校圖書館的信息安全管理規(guī)劃需要綜合考慮以下幾方面因素，如圖2所示。1)業(yè)務(wù)驅(qū)動/數(shù)字化:以圖書館的業(yè)務(wù)發(fā)展目標(biāo)、發(fā)展規(guī)劃(包括數(shù)字圖書館的發(fā)展規(guī)劃)為基礎(chǔ)，保證與圖書館發(fā)展規(guī)劃的目標(biāo)保持一致，這是信息安全管理規(guī)劃的出發(fā)點(diǎn)，也是最終點(diǎn)。圍繞這一主旨，圖書館要實(shí)現(xiàn)最高管理者對信息安全的承諾，定義出信息安全管理的使命、圖2高校圖書館信息安全戰(zhàn)略規(guī)劃的影響因素目標(biāo)和管理方法，并以此制定出物理安全策略、操作安全策略、系通信安全策略、資產(chǎn)安全策略、風(fēng)險(xiǎn)控制策略、—5—2017年4月第37卷第4期現(xiàn)代情報(bào)JournalofModernInformationApr.，2017Vol.37No.4

【參考文獻(xiàn)】：
期刊論文
[1]ISO/IEC 27001:2013概述與改版分析[J]. 白云廣,謝宗曉.  中國標(biāo)準(zhǔn)導(dǎo)報(bào). 2014(12)
[2]數(shù)字圖書館信息安全風(fēng)險(xiǎn)評估的方法與模型[J]. 黃水清,任妮.  圖書情報(bào)工作. 2014(02)
[3]數(shù)字圖書館信息安全管理依從標(biāo)準(zhǔn)的選擇[J]. 茆意宏,黃水清.  中國圖書館學(xué)報(bào). 2010(04)
[4]扣緊企業(yè)管理薄弱環(huán)節(jié)——戴明環(huán)環(huán)環(huán)相扣的管理模式解讀[J]. 萬會龍.  施工企業(yè)管理. 2009(06)

碩士論文
[1]基于ISO27001的信息安全管理體系的研究和實(shí)現(xiàn)[D]. 朱璇.上海交通大學(xué) 2009



本文編號：3343697