新版ISO27000要求下的數(shù)字圖書館信息安全管理

任妮 黃水清

摘 要：文章對比了2013版與2005版ISO27 000標(biāo)準(zhǔn)族的差異，分析了新老標(biāo)準(zhǔn)變化對數(shù)字圖書館信息安全風(fēng)險評估和風(fēng)險控制的影響，指出數(shù)字圖書館信息安全的風(fēng)險評估可延用2005版的方法與模型，并在對數(shù)字圖書館信息安全風(fēng)險控制核心控制要素和參考控制要素逐一分析的基礎(chǔ)上，構(gòu)建了符合新版標(biāo)準(zhǔn)要求的數(shù)字圖書館信息安全風(fēng)險控制方法。

關(guān)鍵詞：數(shù)字圖書館;信息安全;ISO 27000;ISO 27001;ISO 27002;風(fēng)險管理

中圖分類號： G250.76 ?文獻(xiàn)標(biāo)識碼： A ? DOI： 10.11968/tsyqb.1003-6938.2015125

Information Security Management of Digital Libraries Based on the ISO 27001：2013 and ISO 27002：2013

Abstract The 2013 version of ISO 27000 standards was compared with that of 2005 and ?the influence of the standards change on risk assessment and risk control of digital library information security was analyzed， and then it is pointed out that the information security risk assessment method and model of digital library based on version 2005 can be used in version 2013. Based on the analysis of the core control elements and reference ones one by one， this article built the information security risk control method of the digital library according to the new version standards.

Key words digital library; information security; ISO 27000; ISO 27001; ISO 27002; risk management

1 引言

ISO 27000標(biāo)準(zhǔn)族是目前國際上最為通行的信息安全管理體系指導(dǎo)標(biāo)準(zhǔn)和最佳實踐。在ISO網(wǎng)站能查到的最新統(tǒng)計數(shù)據(jù)截止到2013年底，全球通過ISO 27000認(rèn)證的機(jī)構(gòu)總共有22293個，涉及100多個國家，且認(rèn)證數(shù)量保持每年兩位數(shù)的增長速度[1]。2008年，ISO 27000標(biāo)準(zhǔn)族的主標(biāo)準(zhǔn)ISO 27001：2005和ISO 27002：2005分別對應(yīng)轉(zhuǎn)化為中國國家標(biāo)準(zhǔn)GB/T 22080-2008和GB/T 22081-2008，用于國內(nèi)機(jī)構(gòu)的信息安全管理體系建設(shè)和認(rèn)證[2]。綜合考慮數(shù)字圖書館的業(yè)務(wù)流程和信息安全管理要求，遵循ISO 27000是數(shù)字圖書館信息安全管理實踐包括落實信息安全等級保護(hù)條例的最佳選擇[3]。按照ISO 27000的思想，數(shù)字圖書館信息安全管理應(yīng)該包括風(fēng)險評估和風(fēng)險控制兩大過程。其中，風(fēng)險評估用于識別數(shù)字圖書館所面臨的安全風(fēng)險，并計算具體風(fēng)險的等級值作為實施風(fēng)險控制的依據(jù)。風(fēng)險控制則根據(jù)風(fēng)險評估的結(jié)果選擇和實施適合的安全控制措施，目的是將風(fēng)險始終控制在數(shù)字圖書館可以接受的范圍內(nèi)[4]。風(fēng)險評估和風(fēng)險控制在ISO 27000標(biāo)準(zhǔn)族中分別對應(yīng)于ISO 27001和ISO 27002兩個主標(biāo)準(zhǔn)，在已發(fā)布的版本中有2005和2013兩個版本。此前，根據(jù)2005年發(fā)布的ISO 27001：2005與ISO 27002：2005的思想和原則，國內(nèi)已經(jīng)在數(shù)字圖書館信息安全風(fēng)險管理的過程方法、風(fēng)險評估方法模型以及核心控制要素等方面提出了一系列的解決方案[5-8]。

而在2013年發(fā)布的ISO 27001：2013和ISO 27002：2013中，對信息安全風(fēng)險管理又提出了新的要求。數(shù)字圖書館信息安全管理有必要適應(yīng)新版標(biāo)準(zhǔn)的變化，根據(jù)2013版ISO 27000標(biāo)準(zhǔn)族的要求對風(fēng)險評估與風(fēng)險控制過程進(jìn)行相應(yīng)的調(diào)整。

本文的研究目的在于對比2013版與2005版ISO 27000標(biāo)準(zhǔn)族的差異，分析2013版ISO 27000的思想、特點、框架、內(nèi)容等方面的變化及對數(shù)字圖書館信息安全風(fēng)險評估和風(fēng)險控制的影響，進(jìn)而指導(dǎo)新版國際標(biāo)準(zhǔn)下的數(shù)字圖書館信息安全風(fēng)險管理的具體實踐。

2 2013版ISO27000標(biāo)準(zhǔn)族的特點

2013年10月19日，在ISO 27001：2005使用了8年后，業(yè)界期待已久的新版信息安全管理體系ISO 27001：2013正式發(fā)布，ISO 27002：2005也隨后同步更新為ISO 27002：2013，ISO 27000標(biāo)準(zhǔn)族的兩個主標(biāo)準(zhǔn)都更新到位。ISO 27003、27004、27005等相關(guān)標(biāo)準(zhǔn)亦正在修訂之中。較之2005版，ISO 27001：2013和ISO 27002：2013標(biāo)準(zhǔn)從框架、結(jié)構(gòu)、內(nèi)容、邏輯、要求等方面均有大幅改進(jìn)，為指導(dǎo)組織建立、實施、保持和持續(xù)改進(jìn)信息安全管理體系規(guī)定了要求，并提供了更加靈活的實施空間[9]。相比之下，新標(biāo)準(zhǔn)更貼合實際，具備更強(qiáng)的可操作性，其主要特點有：

（1）結(jié)構(gòu)上有重大變動。新版ISO 27001：2013采用了標(biāo)準(zhǔn)化的ISO Annex SL通用架構(gòu)——ISO導(dǎo)則83 作為整個標(biāo)準(zhǔn)的結(jié)構(gòu)性要求（同ISO 22301）[9]。ISO 27001從2008版的8章拓展到2013版的10章，并且對于PDCA過程方法的展開從章節(jié)架構(gòu)上進(jìn)行了調(diào)整。在ISO 27001：2013中，除了前三章節(jié)（范圍、規(guī)范性引用文件、術(shù)語和定義）沒有大的變化外，其它章節(jié)都進(jìn)行了調(diào)整，包括完整的Plan（計劃）、Do（運(yùn)行）、Check（檢查）、Act（改進(jìn)）四個環(huán)節(jié)[10]。經(jīng)過上述調(diào)整，ISO 27001：2013的結(jié)構(gòu)更為清晰、嚴(yán)謹(jǐn)，在管理體系間的兼容性方面得到加強(qiáng)，有利于不同管理體系間的接軌與整合。ISO 27002：2013則刪除了ISO 27002：2005中的第4章“風(fēng)險評估與處置”，新增加了第2章“規(guī)范性引用文件”，使得安全控制域分章描述前的章節(jié)仍保持為4章。同時，因為增加了3個控制域，總章節(jié)數(shù)從15章增加到18章。

（2）定位上有所區(qū)別。ISO 27001：2005指出，組織的信息安全管理應(yīng)由該組織的管理層負(fù)責(zé)，而ISO 27001：2013則強(qiáng)調(diào)，信息安全由組織的最高管理者負(fù)責(zé)。兩個版本用詞上的細(xì)微區(qū)別，反映的卻是新版標(biāo)準(zhǔn)對信息安全的定位在戰(zhàn)略意義上的提升[11]。另外，在信息安全管理體系構(gòu)建主體方面，ISO 27001：2005以資產(chǎn)和技術(shù)為主體，而ISO 27001：2013以組織業(yè)務(wù)關(guān)系為主體[12]。以組織業(yè)務(wù)關(guān)系為主體，將使信息安全管理體系的構(gòu)建流程更為連貫合理，并且可以減少交叉重復(fù)。老版標(biāo)準(zhǔn)濃墨重彩地強(qiáng)調(diào)了過程方法和PDCA，而新版標(biāo)準(zhǔn)在繼續(xù)遵循PDCA框架的前提下不再花大量的篇幅說明過程方法、模型這些其它標(biāo)準(zhǔn)中定義過的通用概念，而是重在提出目標(biāo)要求，對PDCA框架下具體方法的選擇不作規(guī)定[11]。同樣，在風(fēng)險評估的方法方面，新標(biāo)準(zhǔn)不再強(qiáng)調(diào)對資產(chǎn)、威脅、脆弱性等風(fēng)險要素的識別，組織可以根據(jù)自身情況，靈活自由地選用任意可行的風(fēng)險評估方法，或繼續(xù)使用現(xiàn)行的方法[9]?？梢姡掳鏄?biāo)準(zhǔn)從管理者、主體、方法流程方面都做了重新定位，新的定位使操作更加實用、方便、靈活和有效。

（3）要求上有所改進(jìn)。2005版共有11個控制域、39個安全類別、133項控制要素，而ISO 27001：2013附錄A和ISO 27002：2013的正文嚴(yán)格對應(yīng)，包含了14個控制域、35個安全類別、113項控制要素。新版標(biāo)準(zhǔn)對老版中的部分控制域進(jìn)行了分解，對相近或類似的控制要素進(jìn)行了整合，同時刪除了部分過時的、過于具體的控制要素[9]。另外，針對近幾年信息技術(shù)的發(fā)展，新增了部分控制要素，使得控制域和控制要素更加簡潔明了并突顯重點。同時，對檢查的要求也更加明確和嚴(yán)格，要求包括監(jiān)視、測量、分析、評價等環(huán)節(jié)，并以5W1H（測什么、如何測、何時測、何時分析、誰來分析、誰負(fù)責(zé)評價）等方式提出了監(jiān)視和測量的要求[9]。整體而言，新版標(biāo)準(zhǔn)減少了對技術(shù)實現(xiàn)的關(guān)注，增加了對管理控制的要求，與信息安全領(lǐng)域“三分技術(shù)、七分管理”的黃金定律更加吻合。

3 新標(biāo)準(zhǔn)要求下的數(shù)字圖書館信息安全風(fēng)險評估

2005版和2013版的ISO 27000標(biāo)準(zhǔn)族都把信息安全風(fēng)險管理劃分為風(fēng)險評估和風(fēng)險控制兩個過程。而且，新老版本的標(biāo)準(zhǔn)又都把風(fēng)險評估概括為建立準(zhǔn)則、選擇方法、識別風(fēng)險、分析風(fēng)險、評價風(fēng)險5個環(huán)節(jié)。在ISO 27001：2005中，對風(fēng)險評估的具體方法沒有作詳細(xì)規(guī)定，但整個風(fēng)險識別與風(fēng)險分析過程是依托于對資產(chǎn)價值、威脅、脆弱性、已實施的風(fēng)險控制措施4種風(fēng)險要素的識別、賦值和計算展開的。實際評估過程中，常常把已實施的風(fēng)險控制措施的效果合并到脆弱性的識別、賦值與計算中。因此，遵循ISO 27001：2005標(biāo)準(zhǔn)實施的風(fēng)險評估過程是以資產(chǎn)、威脅、脆弱性的識別、賦值、計算為核心的。在此基礎(chǔ)上，可以再依據(jù)選定的風(fēng)險評估方法和模型計算出各風(fēng)險項的風(fēng)險值，并確定可接受風(fēng)險與不可接受風(fēng)險，對不可接受風(fēng)險依照ISO 27002：2005規(guī)定的方法進(jìn)入風(fēng)險控制過程。

依據(jù)ISO 27001：2005的規(guī)范，已經(jīng)有學(xué)者對數(shù)字圖書館的信息安全風(fēng)險評估制定了詳細(xì)的資產(chǎn)、威脅、脆弱性素識別、賦值與計算方法[4-5]。通過理論分析與實際評估結(jié)果的比較，還選定了與ISO 27001：2005相容的GB/T 20984-2007中的相乘法作為數(shù)字圖書館風(fēng)險評估的具體方法與計算模型[7]。可以說，以ISO 27001：2005的要求、原則與規(guī)范為準(zhǔn)繩，數(shù)字圖書館已經(jīng)形成了以資產(chǎn)、威脅、脆弱性等風(fēng)險要素為核心的包括信息安全風(fēng)險評估全過程的完整行為準(zhǔn)則、操作規(guī)范及具體評估方法與計算模型。

與ISO 27001：2005不同，ISO 27001：2013在風(fēng)險識別和風(fēng)險分析過程中不再強(qiáng)調(diào)資產(chǎn)價值、威脅、脆弱性、已實施的控制措施等風(fēng)險要素，這意味著任何組織在依照ISO 27001：2013評估信息安全風(fēng)險時，只須最終結(jié)果達(dá)到ISO 27001：2013的要求即可，在具體方法的選用方面可以更加寬泛和靈活。換句話說，符合ISO 27001：2013評估目的與要求的任意方法都是允許和可接受的，選用之前的方法包括ISO 27001：2005中推薦方法當(dāng)然也是可行的。ISO 27001：2013在指導(dǎo)制定和實施信息安全管理體系過程中多次強(qiáng)調(diào)組織需要、組織要求，風(fēng)險評估的過程方法可繁可簡，完全取決于組織的需要和要求。組織可以根據(jù)自身的情況，選用合適的風(fēng)險評估方法，或繼續(xù)使用現(xiàn)行的方法[9]。

ISO 27001：2013雖然放棄了對風(fēng)險評估具體方法和過程的推薦，并多次強(qiáng)調(diào)只須達(dá)到組織的需要與要求即可，但對ISO 27001：2005中的方法卻并不排斥。具體到數(shù)字圖書館的信息安全風(fēng)險評估，既然依照ISO 27001：2005中的方法已經(jīng)形成了完整和可操作的風(fēng)險評估具體方法，并經(jīng)過實際評估證明可行，同時又滿足了ISO 27001：2013的所有要求，因此，在新版ISO 27000標(biāo)準(zhǔn)族要求下，數(shù)字圖書館信息安全風(fēng)險評估無需變動，可采用之前依據(jù)ISO 27001：2005制定的方法與過程。

4 新老標(biāo)準(zhǔn)中的信息安全風(fēng)險控制及數(shù)字圖書館控制要素的選取

4.1 新老標(biāo)準(zhǔn)中的控制域、安全類別與控制要素對比

2005版標(biāo)準(zhǔn)中共有11個控制域，2013版改為14個控制域。其中，保持不變的有“安全方針”“信息安全組織”“資產(chǎn)管理”“人力資源管理”“物理和環(huán)境安全”“訪問控制”“信息安全事件管理”“業(yè)務(wù)連續(xù)性管理”“符合性”等9個控制域，“通信與操作管理”控制域在新標(biāo)準(zhǔn)中被拆分為“操作安全”和“通信安全”2項，“信息系統(tǒng)獲取、開發(fā)和維護(hù)”在新標(biāo)準(zhǔn)中被拆分成“密碼”與“系統(tǒng)獲取、開發(fā)和維護(hù)”兩項。新標(biāo)準(zhǔn)還新增了“供應(yīng)關(guān)系”控制域[10-11]。

在安全類別方面，2005版共有39項安全類別，2013版減少為35項安全類別。在新版標(biāo)準(zhǔn)中，2005版中的安全類別有的完全保留、有的被拆分成多個、有的多個被整合成一個，還有的被直接刪去。2013版標(biāo)準(zhǔn)中完全新增的安全類別有3項，它們是：移動設(shè)備和遠(yuǎn)程辦公、供應(yīng)商關(guān)系中的信息安全、冗余。

在控制要素方面，2005版共有133項控制要素，2013版減少為113項控制要素。同樣，在新版標(biāo)準(zhǔn)中，2005版中的控制要素有的完全保留、有的名稱或內(nèi)容略有變化、有的被拆分成多個、有的調(diào)整了所屬控制域，還有的被直接刪去。

4.2 數(shù)字圖書館風(fēng)險控制要素的篩選及在新老標(biāo)準(zhǔn)中的對應(yīng)關(guān)系

基于2005版ISO 27001的附錄A和ISO 27002的正文，通過對30家數(shù)字圖書館的實際調(diào)查，文獻(xiàn)[4]得到了適合數(shù)字圖書館的風(fēng)險控制87項核心控制要素，分布于11個控制域和33個安全類別，另有參考控制要素34項，分布于10個控制域和22個安全類別。所謂核心控制要素，是指對數(shù)字圖書館信息安全風(fēng)險控制非常重要、作用很大的控制要素。而參考控制要素，則是重要性一般、有時會有一定作用的控制要素。除此之外的即為ISO 27002中對數(shù)字圖書館不起作用或沒有應(yīng)用場所的控制要素，不應(yīng)該出現(xiàn)在數(shù)字圖書館風(fēng)險控制的控制要素列表中。數(shù)字圖書館控制要素選取的目標(biāo)就是區(qū)分這三類控制要素，數(shù)字圖書館風(fēng)險控制要素列表中僅包含核心控制要素與參考控制要素[4]。

對2013版與2005版ISO 27001的附錄A和ISO 27002的正文經(jīng)過逐條、逐項進(jìn)行關(guān)聯(lián)對照和分析，尋找上述87項核心控制要素、34項參考控制要素在新版標(biāo)準(zhǔn)中的對應(yīng)位置，再對2013版的新增控制要素作認(rèn)真分析，并結(jié)合數(shù)字圖書館信息安全管理的現(xiàn)實情況，最終得到ISO 27002：2013標(biāo)準(zhǔn)下數(shù)字圖書館的核心控制要素和參考控制要素。其中，核心控制要素75項，分布于13個控制域和29個控制類別，參考控制要素32項，分布于11個控制域和17個安全類別（見表1、表2）。

5 新老標(biāo)準(zhǔn)中的數(shù)字圖書館風(fēng)險控制要素對比分析

5.1 新老標(biāo)準(zhǔn)中的數(shù)字圖書館信息安全管理核心控制要素對比分析

數(shù)字圖書館核心控制要素在新老標(biāo)準(zhǔn)中的變化共有4種情況：刪除、保留、新增和調(diào)整。

因為已經(jīng)從2013版中被刪除，那些已刪除的核心控制要素在表1并沒有出現(xiàn)。之前根據(jù)2005版標(biāo)準(zhǔn)得到的87項數(shù)字圖書館核心控制要素中，有21項未收入2013版標(biāo)準(zhǔn)，因此，數(shù)字圖書館的核心控制要素應(yīng)該將這21項刪去。21項被刪去的核心控制要素具體名稱為：

信息安全的管理承諾、信息安全協(xié)調(diào)、與政府部門的聯(lián)系、服務(wù)交付、控制移動代碼、信息處理規(guī)程、系統(tǒng)文件安全、業(yè)務(wù)信息系統(tǒng)、監(jiān)視系統(tǒng)的使用、故障日志、外部連接的用戶鑒別、遠(yuǎn)程診斷和配置端口的保護(hù)、網(wǎng)絡(luò)連接控制、網(wǎng)絡(luò)路由控制、用戶標(biāo)識和鑒別、敏感系統(tǒng)隔離、輸入數(shù)據(jù)確認(rèn)、內(nèi)部處理的控制、消息完整性、信息泄露、業(yè)務(wù)連續(xù)性和風(fēng)險評估。

保留的核心控制要素在表1中用“完全對應(yīng)”表示。在基于新版標(biāo)準(zhǔn)的75項數(shù)字圖書館核心控制要素中共有42項的名稱、詳細(xì)內(nèi)容、控制目標(biāo)及控制域歸類等與老版標(biāo)準(zhǔn)完全一致。按照老版標(biāo)準(zhǔn)的篩選依據(jù)[6]，該42項控制要素仍舊屬于數(shù)字圖書館的核心控制要素（見表1）。

新增的核心控制要素在表1中用“新增”表示。2013版新增各項控制要素中，有7項應(yīng)該作為數(shù)字圖書館的核心控制要素。具體內(nèi)容與理由如下：

（1）用戶訪問設(shè)置。數(shù)字圖書館的用戶類型多樣，如館員和讀者，館員和讀者又可以再分為多種類型，每一類用戶都存在對應(yīng)的訪問權(quán)限設(shè)置問題。明確規(guī)定不同用戶的訪問權(quán)限并有正式的用戶設(shè)置過程非常有必要。因此，將“用戶訪問設(shè)置”確定為核心控制要素。

（2）供應(yīng)商關(guān)系的信息安全策略、供應(yīng)協(xié)議中的安全問題、信息與通信技術(shù)供應(yīng)鏈。數(shù)字圖書館的電子資源、硬件設(shè)備、系統(tǒng)平臺以及網(wǎng)絡(luò)服務(wù)等工作均涉及采購或外包，期間與各類供應(yīng)商的合作非常密切，應(yīng)該與供應(yīng)商就信息安全問題達(dá)成一致并形成文件，建立相關(guān)的信息安全要求，并在協(xié)議中確定相關(guān)的信息安全風(fēng)險要求，以確保數(shù)字圖書館與供應(yīng)商合作關(guān)系中的信息安全。因此，將“供應(yīng)商關(guān)系的信息安全策略”“供應(yīng)商協(xié)議中的安全問題”“信息與通信技術(shù)供應(yīng)鏈”確定為核心控制要素。

（3）信息安全事件的評估和確定、信息安全事件的響應(yīng)。對于任何組織而言，都應(yīng)該對已經(jīng)發(fā)生的信息安全高度重視。數(shù)字圖書館也不例外，應(yīng)該及時地評估確定已發(fā)生的信息安全事件并按照一定的程序予以處理，使信息安全事件的影響和損失最小化。因此，將“信息安全事件的評估和確定”“信息安全事件的響應(yīng)”確定為核心控制要素。

（4）信息處理設(shè)施的可用性。與數(shù)字圖書館有關(guān)的服務(wù)器、存儲、網(wǎng)絡(luò)、電源等信息處理設(shè)施都應(yīng)該有充分冗余，以確保在任何變化和狀況下都能滿足其可用性的要求。因此，將“信息處理設(shè)施的可用性”確定為核心控制要素。

調(diào)整的情況最復(fù)雜，在表1中的“名稱變化、內(nèi)容一致”“名稱變化、描述略變”“調(diào)整歸類”“拆分”4種情況都屬于調(diào)整?；?005版ISO 27001和ISO 27002得到的數(shù)字圖書館信息安全87項核心控制要素中，有26項經(jīng)過一定的調(diào)整后依舊出現(xiàn)在2013版的標(biāo)準(zhǔn)中，這些控制要素仍是數(shù)字圖書館信息安全管理的核心控制要素。調(diào)整變化主要有三種形式：名稱改變而內(nèi)容表述完全一致、名稱改變且內(nèi)容表述略有變化、控制要素的控制域歸類發(fā)生變化。

名稱改變、內(nèi)容表述完全一致、控制域歸類也完全一致的核心控制要素共有8項（見表1）。

名稱改變且內(nèi)容表述也略有變化、但控制域歸類完全一致的核心控制要素共有7項。包括有（括號前的為2013版中的編號與名稱，括號中為2005版中的編號與名稱）：①3.3.1終止或責(zé)任變更（4.2.1終止職責(zé)），新標(biāo)準(zhǔn)中強(qiáng)調(diào)對于責(zé)任終止和變更情況不僅要有規(guī)定，還應(yīng)該傳達(dá)給所有相關(guān)人員知曉;②5.2.4用戶秘密認(rèn)證信息的管理（7.2.3用戶口令管理）、5.3.1秘密認(rèn)證信息的使用（7.3.1口令使用），新標(biāo)準(zhǔn)中用戶認(rèn)證信息的范圍不僅包括口令，還包括密鑰數(shù)據(jù)和其他存儲在產(chǎn)生認(rèn)證碼的硬件（如智能卡）的數(shù)據(jù);③5.4.4特權(quán)實用程序的使用（7.5.4系統(tǒng)實用工具的使用），新標(biāo)準(zhǔn)中將限制和嚴(yán)格控制的范圍縮小在可能超越、有特權(quán)的系統(tǒng)和應(yīng)用程序中;④11.1.6從信息安全事件中學(xué)習(xí)（9.2.2對信息安全事件的總結(jié)），老的標(biāo)準(zhǔn)強(qiáng)調(diào)從安全事件中學(xué)習(xí)總結(jié)的方法，而新標(biāo)準(zhǔn)強(qiáng)調(diào)的是結(jié)果，要從中獲取知識、減少未來相關(guān)事件發(fā)生的可能性;⑤12.1.1計劃信息安全連續(xù)性（10.1.1在業(yè)務(wù)連續(xù)性管理過程中包含信息安全），新標(biāo)準(zhǔn)更加細(xì)化，強(qiáng)調(diào)即便在不利的情況下（如危機(jī)或災(zāi)難）也要確保信息安全管理的連續(xù)性;⑥12.1.2實施信息安全的連續(xù)性（10.1.3制定和實施包含信息安全的連續(xù)性計劃），老標(biāo)準(zhǔn)強(qiáng)調(diào)在關(guān)鍵業(yè)務(wù)流程中斷和失效時要保持信息安全，而新標(biāo)準(zhǔn)則強(qiáng)調(diào)在任何不利的情況下都要保持信息安全的連續(xù)性。

控制域歸類發(fā)生變化的核心控制要素共有11項（見表1）。其中，“2.1.2職責(zé)分割”是將老標(biāo)準(zhǔn)中“2信息安全組織”中的核心控制要素“信息處理設(shè)施的授權(quán)過程”和“6通信和操作管理”中的參考控制要素“責(zé)任分割”中的要求進(jìn)行合并，且改名為“職責(zé)分割”，統(tǒng)一置放于控制域“2信息安全組織”中，該項控制要素從組織的宏觀層面強(qiáng)調(diào)各類職責(zé)和權(quán)限的分割，以降低對組織資產(chǎn)的濫用。而“2.2.1移動設(shè)備策略”是將老標(biāo)準(zhǔn)中“7訪問控制”中的參考控制要素“移動計算和通訊”調(diào)整到控制域“2信息安全組織”中，且改名為“移動設(shè)備策略”。對于數(shù)字圖書館而言，隨著移動網(wǎng)絡(luò)的發(fā)展普及，數(shù)字圖書館的業(yè)務(wù)流程也逐步到移動終端，應(yīng)該加強(qiáng)相關(guān)管理措施，因此調(diào)整為核心控制要素。其他9項控制要素的名稱和內(nèi)容沒有變化，而其控制域歸類發(fā)生了變化（見表3）。該9項控制要素在2005版中就屬于核心控制要素，因此在2013版中仍保留為數(shù)字圖書館的核心控制要素。

5.2 新老標(biāo)準(zhǔn)中的數(shù)字圖書館信息安全管理參考控制要素對比分析

數(shù)字圖書館參考控制要素在新老標(biāo)準(zhǔn)中的變化共有5種情況：刪除、保留、新增、拆分和調(diào)整。

2005版的數(shù)字圖書館參考控制要素中有10項未出現(xiàn)在2013版的數(shù)字圖書館參考控制要素中。其中，“移動計算和通訊”“責(zé)任分割”2項在2013版中被調(diào)整為核心控制要素?！疤幚砼c顧客有關(guān)的安全問題”“防止濫用信息處理設(shè)施”“會話超時”“聯(lián)機(jī)時間的限定”“輸出數(shù)據(jù)確認(rèn)”“網(wǎng)絡(luò)上的設(shè)備標(biāo)識”“信息系統(tǒng)審計工具的保護(hù)”“業(yè)務(wù)連續(xù)性計劃框架”8項被2013版標(biāo)準(zhǔn)刪除，故也未出現(xiàn)在新版的數(shù)字圖書館參考控制要素中。

保留的參考控制要素用“完全對應(yīng)”表示，共有16項。

新增的參考控制要素用“新增”表示，共有7項。具體內(nèi)容與理由如下：

（1）項目管理中的信息安全、安全開發(fā)策略、安全系統(tǒng)工程原則、安全開發(fā)環(huán)境、系統(tǒng)安全測試。上述5項控制要素更傾向于在系統(tǒng)工程、項目開發(fā)或軟件研發(fā)的過程中對信息安全管理、環(huán)境、測試等方面的要求，而數(shù)字圖書館本身自行開發(fā)的項目工程比較少，無須在這方面作嚴(yán)格的要求。因此，上述5項控制要素列入?yún)⒖伎刂埔亍?/p>

（2）時鐘同步。對于系統(tǒng)的監(jiān)視與日志分析有較大的幫助，“時鐘同步”可以作為參考控制要素加以限制。

（3）限制軟件安裝。該項控制要素要求組織制定軟件安裝管理規(guī)則，并嚴(yán)格執(zhí)行和監(jiān)督，而數(shù)字圖書館的員工因工作性質(zhì)的不同對軟件安裝的要求差異較大，實際工作中可以列出禁止安裝的軟件清單（如游戲軟件）或必須安裝的軟件清單（如安全防護(hù)軟件），不需要規(guī)定只能安裝哪些軟件。因此，“限制軟件安裝”可作為參考控制要素。

拆分的參考控制要素用“拆分”表示。2005版的數(shù)字圖書館參考控制要素中只有“信息標(biāo)識與處置”存在這種情況，該項控制要素在2013版中被拆分為“信息的標(biāo)記”“資產(chǎn)的處置”2項。

調(diào)整參考控制要素有“名稱變化，描述略變”和“名稱變化，內(nèi)容一致”兩種表現(xiàn)，共有7項。其中，“名稱變化，描述略變”的有2項，“名稱變化，內(nèi)容一致”的有5項。

6 結(jié)語

本文結(jié)合數(shù)字圖書館的實際情況和之前的相關(guān)研究成果，對2013版ISO 27000系列標(biāo)準(zhǔn)下的數(shù)字圖書館風(fēng)險評估和風(fēng)險控制做了對比與分析。2013版的標(biāo)準(zhǔn)在風(fēng)險評估方面更加強(qiáng)調(diào)組織的需要與要求，強(qiáng)調(diào)評估結(jié)果與組織需求的結(jié)合，而具體方法的選用則更加寬泛和靈活，數(shù)字圖書館信息安全的風(fēng)險評估可繼續(xù)延用依據(jù)2005版標(biāo)準(zhǔn)制定的方法和模型。2013版標(biāo)準(zhǔn)的風(fēng)險控制在2005版基礎(chǔ)上有較大改變，相應(yīng)地，數(shù)字圖書館信息安全風(fēng)險控制的核心控制要素與參考控制要素也有比較大的變動。新標(biāo)準(zhǔn)下的數(shù)字圖書館風(fēng)險控制要素是在2005版的基礎(chǔ)上經(jīng)刪除、保留、新增、拆分和調(diào)整得來的，更具操作性和實踐指導(dǎo)意義。綜合數(shù)字圖書館的風(fēng)險評估與風(fēng)險控制，就形成了2013版ISO 27000系列標(biāo)準(zhǔn)要求下的數(shù)字圖書館信息安全管理整體解決方法。

參考文獻(xiàn)：

[1] The ISO Survey of Management System Standard Certifications-2013[EB/OL].[2015-08-17].http：//www.iso.org/iso/iso_sur

vey_executive-summary.pdf？v2013.

[2] GB/T 22080：2008，信息技術(shù)-安全技術(shù)-信息安全管理體系-要求[S].北京：中國標(biāo)準(zhǔn)出版社，2008.

[3] 茆意宏，黃水清.數(shù)字圖書館信息安全管理依從標(biāo)準(zhǔn)的選擇[J].中國圖書館學(xué)報，2010（4）：54-59.

[4] 黃水清.數(shù)字圖書館信息安全管理[M].南京：南京大學(xué)出版社，2011.

[5] 黃水清，茆意宏，熊健.數(shù)字圖書館信息安全風(fēng)險評估[J].現(xiàn)代圖書情報技術(shù)，2010（7/8）：33-38.

[6] 黃水清，任妮.數(shù)字圖書館信息安全風(fēng)險控制[J].現(xiàn)代圖書情報技術(shù)，2010（7/8）：39-44.

[7] 黃水清，任妮.數(shù)字圖書館信息安全風(fēng)險評估的方法與模型[J].圖書情報工作， 2014（2）：14-20.

[8] 黃水清.數(shù)字圖書館信息安全管理的過程方法[J].圖書情報工作，2013（11）：5-11.

[9] 老李飛刀.ISO 27001：2013 新版解讀精要[EB/OL].[2015-08-18].http：//www.srxh1314.com/ iso27001-2013-resolve-2.html.

[10] ISO/IEC 27001：2013. Information Technology—Security Techniques—Information Security Management Systems—Requirements[S]. Geneva： International Organization for Standardization，2013.

[11] 白云廣.ISO/IEC27001：2013概述與改版分析[J].中國標(biāo)準(zhǔn)導(dǎo)報，2014（12）：45-48.

[12] 安言咨詢. ISO27001：2013新版信息安全管理體系標(biāo)準(zhǔn)變化精解[EB/OL].[2015-08-18].http：//wenku.baidu.com/view

/73d382e826fff705cd170a2f.html.

[13] GB/T20984-2007，信息安全技術(shù)信息安全風(fēng)險評估規(guī)范[S].北京：國家質(zhì)量監(jiān)督檢驗檢疫總局，2007.

[14] ISO/IEC 27005：2008. Information technology—Security techniques—Information security risk management[S].Geneva：International Organization for Standardization，2008.