用IS027000规范数字图书馆信息安全管理

论文核心提示:

《数字图书馆信息安全管理》一书突破了传统数字图书馆信息安全管理的方法和观念,将IS027000系列标准引入数字图书馆信息安全管理领域,在不改变技术环境的前提下寻求通过管理的手段全面改善数字图书馆的信息安全等级,构建了数字图书馆风险评估和风险控制的方法及模型

  [摘要]对《数字图书馆信息安全管理世纪论文网代发中心(www.21cnlunwen.com)给您提供优质的服务》一书的主要内容进行评价,认为该书在深入对比分析一系列国际信息安全管理标准和规范的基础上,将在企业和政府机构广泛应用的IS027000系列标准引入到数字图书馆信息安全管理领域,并从理论和实践上构建数字图书馆信息安全管理的理论体系和实践防范体系,对于认识和推动数字图书馆信息安全的研究与实践具有重要的指导意义。
  [关键词]数字图书馆 信息安全管理 IS027000规范 评介
  [分类号]G250.76
  目前数字图书馆信息安全问题的主要解决之道是依赖计算机和网络安全等技术措施进行防范保护,虽然近几年也有学者从人员管理、设备管理、灾难恢复制度、人员培训、法律法规等角度进行探讨,但是数字图书馆信息安全领域“重技术、轻管理”的现象非常明显,这与信息安全领域“三分技术、七分管理”的黄金定律是相违背的。因此,如何在危机四伏的信息和网络环境中,在技术水平不变的情况下依靠管理的改进大幅度提升数字图书馆信息安全等级,建立一套具有可操作性的管理体系标准以规范数字图书馆的信息安全管理过程,已成为当前数字图书馆信息安全领域的重点课题。
  南京农业大学信息学院黄水清教授的新作《数字图书馆信息安全管理》是基于其主持的国家社会科学基金课题完成的研究成果,由南京大学出版社新近出版。此书较好地回答了上述问题,是国内第一部系统阐述数字图书馆信息安全管理体系的论著,填补了国内该领域的空白。作者在深入对比分析一系列国际信息安全管理标准和规范的基础上,将在企业和政府机构广泛应用的IS027000系列标准引入到数字图书馆信息安全管理领域,并从理论和实践两个层面出发,构建了数字图书馆信息安全管理的理论体系和实践防范体系,对于推动数字图书馆信息安全的研究与实践具有十分重要的意义。
  黄水清教授指出:“数字图书馆信息安全即保持数字图书馆各项信息的保密性、完整性和可用性,使得数字图书馆传递给用户的信息具有真实性、可核查性、抗抵赖和可靠性。其中,保密性、完整性和可用性是数字图书馆信息安全的完整体系和内核,真实性、可核查性、抗抵赖和可靠性是数字图书馆提供给用户的信息服务的质量标准。”该书的所有研究紧紧围绕这一定义展开,从标准选择、方法选取、模板制定、实践验证4个部分进行研究、探索和实践。
  与信息安全领域的其他国际标准规范相比较,IS027000是一个通用的、普适性的信息安全管理标准族,核心是IS027001和IS027002,分别描述了组织信息安全风险评估和风险控制的方法和流程,适用于任何规模和行业的组织。将IS027000采用的策划一实施一检查一措施(PDCA)过程模式应用于数字图书馆,可以确保数字图书馆的安全管理实践持续地被文档化、加强和改进。而数字图书馆的业务流程具有趋同性,与IS027000从业务流程人手进行资产、威胁、脆弱性识别以保障风险评估和风险控制过程的要求相一致。同时,IS027000的控制措施涵盖了信息安全风险控制的各种可能,数字图书馆的信息安全风险控制措施只需根据其行业特点从中选取即可。通过比较,作者确定IS027000是适用于数字图书馆信息安全管理的最佳依从标准,能够用于指导建立数字图书馆领域的信息安全管理体系,并且,可以通过制定数字图书馆信息安全风险评估与风险控制模板的方式减少具体实施过程中的难度与成本。
  《数字图书馆信息安全管理》一书在第四章和第五章着力阐述了数字图书馆信息安全管理方法的选取问题。信息安全管理包括风险评估和风险控制两大过程,两大过程整体遵循PDCA的过程模式,不断循环评估~控制一再评估的过程。其中,风险评估模型主要包括资产、威胁和脆弱性三大要素,作者分别用模糊数学、构建威胁场景和通用缺陷评估系统(CVSS)的方法构建了数字图书馆的资产价值评估模型、威胁等级识别模型和脆弱性等级识别模型,然后以IS027005中的风险矩阵模型的一种变形为基础,综合三个子模型,得到数字图书馆的风险评估模型。风险控制模型主要包括资产、业务和控制措施三大要素,作者提出基于投资约束和风险防范策略的风险控制决策模型,将资产、威胁、脆弱性与资产、业务、控制措施两个坐标体系联动。该风险评估和风险控制模型是本书数字图书馆信息安全管理研究的方法论。
  数字图书馆是一种具有相同或高度相似的业务流程的特殊组织。作者选取了全国30家数字图书馆作为调查对象,通过调查总结得出数字图书馆的业务流程。以此为基础,分别就资产、威胁和脆弱性的识别与估值问题展开多次深入调查,并采用上述风险评估模型进行计算和分析,提出风险等级划分方法,形成了数字图书馆信息安全风险评估的模板。另外,通过调查、访谈等方式,作者从IS027002中总结分析得到适用于数字图书馆信息安全的控制措施集合,并根据风险控制模型的计算和分析,构建了数字图书馆信息安全风险控制的模板。数字图书馆风险评估和风险控制模板的制定过程是数字图书馆信息安全管理体系建立和实施的全过程,但是模板的形成降低了风险管理的难度、提高了工作效率,这就达到了本书的研究目标:大多数数字图书馆可以采取查询资产报表的方式评估组织各项资产的风险等级并采取有效措施。
  以国际通用的行业标准来规范数字图书馆的信息安全管理,在国内尚属首次。为对本书的研究成果进行验证,作者选取了国内一个有代表性的数字图书馆,综合运用书中构建的风险评估和风险控制模型与方法,建立了该数字图书馆的信息安全管理体系,计算并确定了其风险等级以及应采取的控制措施。该实例确定了以IS027000进行数字图书馆管理的适用性和可操作性,同时证实了本书构建的数字图书馆信息安全风险评估和风险控制模板的实用性和可行性。
  综上所述,《数字图书馆信息安全管理》一书突破了传统数字图书馆信息安全管理的方法和观念,将IS027000系列标准引入数字图书馆信息安全管理领域,在不改变技术环境的前提下寻求通过管理的手段全面改善数字图书馆的信息安全等级,构建了数字图书馆风险评估和风险控制的方法及模型,制定了便于查找和操作的图书馆信息安全的风险评估与风险控制模板,这些研究和成果在国内外数字图书馆领域都属创新,对于数字图书馆信息安全管理领域具有重要的学术价值和指导实践的意义,为数字图书馆信息安全管理的标准规范发展奠定了厚实基础。尽管在第三方认证和系统开发方面仍存在进一步深化的空间,但是此书仍不失为一部具有时代特色和突出创新点的数字图书馆信息安全管理著作。当代数字图书馆所面临的信息安全问题迫使我们要时刻警醒信息环境的潜在危险,高度重视数字图书馆的信息安全问题,如《数字图书馆信息安全管理》一书提倡的那样——加强数字图书馆信息安全管理的战略制订与执行层面的实施工作,用IS027000规范数字图书馆信息安全管理,将为数字图书馆事业的可持续发展起到保驾护航的作用。

 
图书馆管理快速发表服务   本中心提供图书馆管理发表服务论文推荐发表,论文指导服务 专业水准,发表全程跟中服务,。
期刊类别多杂志期刊都发表,省部级、国家级、核心期刊、EI、会议的职称论文发表。
王编辑 : “王编辑QQ”:375623535   张编辑 : 张编辑QQ在线:812445863

文章类型:图书馆管理发表及相关期刊推荐

更多

[本论文关键字]: