新版ISO 27000要求下的數(shù)字圖書館信息安全管理*

任　妮　黃水清（.南京農(nóng)業(yè)大學(xué)信息科學(xué)技術(shù)學(xué)院江蘇南京20095）（2.江蘇省農(nóng)業(yè)科學(xué)院農(nóng)業(yè)經(jīng)濟(jì)與信息研究所江蘇南京2004）

·圖書館與圖書館事業(yè)·

新版ISO 27000要求下的數(shù)字圖書館信息安全管理*

任妮黃水清
（1.南京農(nóng)業(yè)大學(xué)信息科學(xué)技術(shù)學(xué)院江蘇南京210095）
（2.江蘇省農(nóng)業(yè)科學(xué)院農(nóng)業(yè)經(jīng)濟(jì)與信息研究所江蘇南京210014）

文章對(duì)比了2013版與2005版ISO27 000標(biāo)準(zhǔn)族的差異，分析了新老標(biāo)準(zhǔn)變化對(duì)數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的影響，指出數(shù)字圖書館信息安全的風(fēng)險(xiǎn)評(píng)估可延用2005版的方法與模型，并在對(duì)數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制核心控制要素和參考控制要素逐一分析的基礎(chǔ)上，構(gòu)建了符合新版標(biāo)準(zhǔn)要求的數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制方法。

數(shù)字圖書館；信息安全；ISO 27000；ISO 27001；ISO 27002；風(fēng)險(xiǎn)管理

1　引言

ISO 27000標(biāo)準(zhǔn)族是目前國(guó)際上最為通行的信息安全管理體系指導(dǎo)標(biāo)準(zhǔn)和最佳實(shí)踐。在ISO網(wǎng)站能查到的最新統(tǒng)計(jì)數(shù)據(jù)截止到2013年底，全球通過ISO 27000認(rèn)證的機(jī)構(gòu)總共有22293個(gè)，涉及100多個(gè)國(guó)家，且認(rèn)證數(shù)量保持每年兩位數(shù)的增長(zhǎng)速度。2008年，ISO 27000標(biāo)準(zhǔn)族的主標(biāo)準(zhǔn)ISO 27001:2005和ISO 27002:2005分別對(duì)應(yīng)轉(zhuǎn)化為中國(guó)國(guó)家標(biāo)準(zhǔn)GB/T 22080-2008和GB/T 22081-2008，用于國(guó)內(nèi)機(jī)構(gòu)的信息安全管理體系建設(shè)和認(rèn)證。綜合考慮數(shù)字圖書館的業(yè)務(wù)流程和信息安全管理要求，遵循ISO 27000是數(shù)字圖書館信息安全管理實(shí)踐包括落實(shí)信息安全等級(jí)保護(hù)條例的最佳選擇。按照ISO 27000的思想，數(shù)字圖書館信息安全管理應(yīng)該包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制兩大過程。其中，風(fēng)險(xiǎn)評(píng)估用于識(shí)別數(shù)字圖書館所面臨的安全風(fēng)險(xiǎn)，并計(jì)算具體風(fēng)險(xiǎn)的等級(jí)值作為實(shí)施風(fēng)險(xiǎn)控制的依據(jù)。風(fēng)險(xiǎn)控制則根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果選擇和實(shí)施適合的安全控制措施，目的是將風(fēng)險(xiǎn)始終控制在數(shù)字圖書館可以接受的范圍內(nèi)。風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制在ISO 27000標(biāo)準(zhǔn)族中分別對(duì)應(yīng)于ISO 27001和ISO 27002兩個(gè)主標(biāo)準(zhǔn)，在已發(fā)布的版本中有2005和2013兩個(gè)版本。此前，根據(jù)2005年發(fā)布的ISO 27001:2005與ISO 27002:2005的思想和原則，國(guó)內(nèi)已經(jīng)在數(shù)字圖書館信息安全風(fēng)險(xiǎn)管理的過程方法、風(fēng)險(xiǎn)評(píng)估方法模型以及核心控制要素等方面提出了一系列的解決方案。而在2013年發(fā)布的ISO 27001:2013和ISO 27002: 2013中，對(duì)信息安全風(fēng)險(xiǎn)管理又提出了新的要求。數(shù)字圖書館信息安全管理有必要適應(yīng)新版標(biāo)準(zhǔn)的變化，根據(jù)2013版ISO 27000標(biāo)準(zhǔn)族的要求對(duì)風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)控制過程進(jìn)行相應(yīng)的調(diào)整。

本文的研究目的在于對(duì)比2013版與2005版ISO 27000標(biāo)準(zhǔn)族的差異，分析2013版ISO 27000的思想、特點(diǎn)、框架、內(nèi)容等方面的變化及對(duì)數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的影響，進(jìn)而指導(dǎo)新版國(guó)際標(biāo)準(zhǔn)下的數(shù)字圖書館信息安全風(fēng)險(xiǎn)管理的具體實(shí)踐。

2　2013版ISO27000標(biāo)準(zhǔn)族的特點(diǎn)

2013年10月19日，在ISO 27001:2005使用了8年后，業(yè)界期待已久的新版信息安全管理體系ISO 27001:2013正式發(fā)布，ISO 27002:2005也隨后同步更新為ISO 27002:2013，ISO 27000標(biāo)準(zhǔn)族的兩個(gè)主標(biāo)準(zhǔn)都更新到位。ISO 27003、27004、27005等相關(guān)標(biāo)準(zhǔn)亦正在修訂之中。較之2005版，ISO 27001:2013和ISO 27002:2013標(biāo)準(zhǔn)從框架、結(jié)構(gòu)、內(nèi)容、邏輯、要求等方面均有大幅改進(jìn)，為指導(dǎo)組織建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系規(guī)定了要求，并提供了更加靈活的實(shí)施空間。相比之下，新標(biāo)準(zhǔn)更貼合實(shí)際，具備更強(qiáng)的可操作性，其主要特點(diǎn)有：

（1）結(jié)構(gòu)上有重大變動(dòng)。新版ISO 27001:2013采用了標(biāo)準(zhǔn)化的ISO Annex SL通用架構(gòu)——ISO導(dǎo)則83作為整個(gè)標(biāo)準(zhǔn)的結(jié)構(gòu)性要求（同ISO 22301）。ISO 27001從2008版的8章拓展到2013版的10章，并且對(duì)于PDCA過程方法的展開從章節(jié)架構(gòu)上進(jìn)行了調(diào)整。在ISO 27001:2013中，除了前三章節(jié)（范圍、規(guī)范性引用文件、術(shù)語(yǔ)和定義）沒有大的變化外，其它章節(jié)都進(jìn)行了調(diào)整，包括完整的Plan（計(jì)劃）、Do（運(yùn)行）、Check（檢查）、Act（改進(jìn)）四個(gè)環(huán)節(jié)。經(jīng)過上述調(diào)整，ISO 27001:2013的結(jié)構(gòu)更為清晰、嚴(yán)謹(jǐn)，在管理體系間的兼容性方面得到加強(qiáng)，有利于不同管理體系間的接軌與整合。ISO 27002:2013則刪除了ISO 27002:2005中的第4章“風(fēng)險(xiǎn)評(píng)估與處置”，新增加了第2章“規(guī)范性引用文件”，使得安全控制域分章描述前的章節(jié)仍保持為4章。同時(shí)，因?yàn)樵黾恿?個(gè)控制域，總章節(jié)數(shù)從15章增加到18章。

（2）定位上有所區(qū)別。ISO 27001:2005指出，組織的信息安全管理應(yīng)由該組織的管理層負(fù)責(zé)，而ISO 27001:2013則強(qiáng)調(diào)，信息安全由組織的最高管理者負(fù)責(zé)。兩個(gè)版本用詞上的細(xì)微區(qū)別，反映的卻是新版標(biāo)準(zhǔn)對(duì)信息安全的定位在戰(zhàn)略意義上的提升。另外，在信息安全管理體系構(gòu)建主體方面，ISO 27001:2005以資產(chǎn)和技術(shù)為主體，而ISO 27001:2013以組織業(yè)務(wù)關(guān)系為主體。以組織業(yè)務(wù)關(guān)系為主體，將使信息安全管理體系的構(gòu)建流程更為連貫合理，并且可以減少交叉重復(fù)。老版標(biāo)準(zhǔn)濃墨重彩地強(qiáng)調(diào)了過程方法和PDCA，而新版標(biāo)準(zhǔn)在繼續(xù)遵循PDCA框架的前提下不再花大量的篇幅說明過程方法、模型這些其它標(biāo)準(zhǔn)中定義過的通用概念，而是重在提出目標(biāo)要求，對(duì)PDCA框架下具體方法的選擇不作規(guī)定。同樣，在風(fēng)險(xiǎn)評(píng)估的方法方面，新標(biāo)準(zhǔn)不再?gòu)?qiáng)調(diào)對(duì)資產(chǎn)、威脅、脆弱性等風(fēng)險(xiǎn)要素的識(shí)別，組織可以根據(jù)自身情況，靈活自由地選用任意可行的風(fēng)險(xiǎn)評(píng)估方法，或繼續(xù)使用現(xiàn)行的方法。可見，新版標(biāo)準(zhǔn)從管理者、主體、方法流程方面都做了重新定位，新的定位使操作更加實(shí)用、方便、靈活和有效。

（3）要求上有所改進(jìn)。2005版共有11個(gè)控制域、39個(gè)安全類別、133項(xiàng)控制要素，而ISO 27001:2013附錄A和ISO 27002:2013的正文嚴(yán)格對(duì)應(yīng)，包含了14個(gè)控制域、35個(gè)安全類別、113項(xiàng)控制要素。新版標(biāo)準(zhǔn)對(duì)老版中的部分控制域進(jìn)行了分解，對(duì)相近或類似的控制要素進(jìn)行了整合，同時(shí)刪除了部分過時(shí)的、過于具體的控制要素。另外，針對(duì)近幾年信息技術(shù)的發(fā)展，新增了部分控制要素，使得控制域和控制要素更加簡(jiǎn)潔明了并突顯重點(diǎn)。同時(shí)，對(duì)檢查的要求也更加明確和嚴(yán)格，要求包括監(jiān)視、測(cè)量、分析、評(píng)價(jià)等環(huán)節(jié)，并以5W1H（測(cè)什么、如何測(cè)、何時(shí)測(cè)、何時(shí)分析、誰來分析、誰負(fù)責(zé)評(píng)價(jià)）等方式提出了監(jiān)視和測(cè)量的要求。整體而言，新版標(biāo)準(zhǔn)減少了對(duì)技術(shù)實(shí)現(xiàn)的關(guān)注，增加了對(duì)管理控制的要求，與信息安全領(lǐng)域“三分技術(shù)、七分管理”的黃金定律更加吻合。

3　新標(biāo)準(zhǔn)要求下的數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估

2005版和2013版的ISO 27000標(biāo)準(zhǔn)族都把信息安全風(fēng)險(xiǎn)管理劃分為風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制兩個(gè)過程。而且，新老版本的標(biāo)準(zhǔn)又都把風(fēng)險(xiǎn)評(píng)估概括為建立準(zhǔn)則、選擇方法、識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)、評(píng)價(jià)風(fēng)險(xiǎn)5個(gè)環(huán)節(jié)。在ISO 27001:2005中，對(duì)風(fēng)險(xiǎn)評(píng)估的具體方法沒有作詳細(xì)規(guī)定，但整個(gè)風(fēng)險(xiǎn)識(shí)別與風(fēng)險(xiǎn)分析過程是依托于對(duì)資產(chǎn)價(jià)值、威脅、脆弱性、已實(shí)施的風(fēng)險(xiǎn)控制措施4種風(fēng)險(xiǎn)要素的識(shí)別、賦值和計(jì)算展開的。實(shí)際評(píng)估過程中，常常把已實(shí)施的風(fēng)險(xiǎn)控制措施的效果合并到脆弱性的識(shí)別、賦值與計(jì)算中。因此，遵循ISO 27001:2005標(biāo)準(zhǔn)實(shí)施的風(fēng)險(xiǎn)評(píng)估過程是以資產(chǎn)、威脅、脆弱性的識(shí)別、賦值、計(jì)算為核心的。在此基礎(chǔ)上，可以再依據(jù)選定的風(fēng)險(xiǎn)評(píng)估方法和模型計(jì)算出各風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值，并確定可接受風(fēng)險(xiǎn)與不可接受風(fēng)險(xiǎn)，對(duì)不可接受風(fēng)險(xiǎn)依照ISO 27002:2005規(guī)定的方法進(jìn)入風(fēng)險(xiǎn)控制過程。

依據(jù)ISO 27001:2005的規(guī)范，已經(jīng)有學(xué)者對(duì)數(shù)字圖書館的信息安全風(fēng)險(xiǎn)評(píng)估制定了詳細(xì)的資產(chǎn)、威脅、脆弱性素識(shí)別、賦值與計(jì)算方法。通過理論分析與實(shí)際評(píng)估結(jié)果的比較，還選定了與ISO 27001:2005相容的GB/T 20984-2007中的相乘法作為數(shù)字圖書館風(fēng)險(xiǎn)評(píng)估的具體方法與計(jì)算模型?？梢哉f，以ISO 27001:2005的要求、原則與規(guī)范為準(zhǔn)繩，數(shù)字圖書館已經(jīng)形成了以資產(chǎn)、威脅、脆弱性等風(fēng)險(xiǎn)要素為核心的包括信息安全風(fēng)險(xiǎn)評(píng)估全過程的完整行為準(zhǔn)則、操作規(guī)范及具體評(píng)估方法與計(jì)算模型。

與ISO 27001:2005不同，ISO 27001:2013在風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)分析過程中不再?gòu)?qiáng)調(diào)資產(chǎn)價(jià)值、威脅、脆弱性、已實(shí)施的控制措施等風(fēng)險(xiǎn)要素，這意味著任何組織在依照ISO 27001:2013評(píng)估信息安全風(fēng)險(xiǎn)時(shí)，只須最終結(jié)果達(dá)到ISO 27001:2013的要求即可，在具體方法的選用方面可以更加寬泛和靈活。換句話說，符合ISO 27001:2013評(píng)估目的與要求的任意方法都是允許和可接受的，選用之前的方法包括ISO 27001:2005中推薦方法當(dāng)然也是可行的。ISO 27001:2013在指導(dǎo)制定和實(shí)施信息安全管理體系過程中多次強(qiáng)調(diào)組織需要、組織要求，風(fēng)險(xiǎn)評(píng)估的過程方法可繁可簡(jiǎn)，完全取決于組織的需要和要求。組織可以根據(jù)自身的情況，選用合適的風(fēng)險(xiǎn)評(píng)估方法，或繼續(xù)使用現(xiàn)行的方法。

ISO 27001:2013雖然放棄了對(duì)風(fēng)險(xiǎn)評(píng)估具體方法和過程的推薦，并多次強(qiáng)調(diào)只須達(dá)到組織的需要與要求即可，但對(duì)ISO 27001:2005中的方法卻并不排斥。具體到數(shù)字圖書館的信息安全風(fēng)險(xiǎn)評(píng)估，既然依照ISO 27001:2005中的方法已經(jīng)形成了完整和可操作的風(fēng)險(xiǎn)評(píng)估具體方法，并經(jīng)過實(shí)際評(píng)估證明可行，同時(shí)又滿足了ISO 27001:2013的所有要求，因此，在新版ISO 27000標(biāo)準(zhǔn)族要求下，數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估無需變動(dòng)，可采用之前依據(jù)ISO 27001:2005制定的方法與過程。

4　新老標(biāo)準(zhǔn)中的信息安全風(fēng)險(xiǎn)控制及數(shù)字圖書館控制要素的選取

4.1新老標(biāo)準(zhǔn)中的控制域、安全類別與控制要素對(duì)比

2005版標(biāo)準(zhǔn)中共有11個(gè)控制域，2013版改為14個(gè)控制域。其中，保持不變的有“安全方針”“信息安全組織”“資產(chǎn)管理”“人力資源管理”“物理和環(huán)境安全”“訪問控制”“信息安全事件管理”“業(yè)務(wù)連續(xù)性管理”“符合性”等9個(gè)控制域，“通信與操作管理”控制域在新標(biāo)準(zhǔn)中被拆分為“操作安全”和“通信安全”2項(xiàng)，“信息系統(tǒng)獲取、開發(fā)和維護(hù)”在新標(biāo)準(zhǔn)中被拆分成“密碼”與“系統(tǒng)獲取、開發(fā)和維護(hù)”兩項(xiàng)。新標(biāo)準(zhǔn)還新增了“供應(yīng)關(guān)系”控制域。

在安全類別方面，2005版共有39項(xiàng)安全類別，2013版減少為35項(xiàng)安全類別。在新版標(biāo)準(zhǔn)中，2005版中的安全類別有的完全保留、有的被拆分成多個(gè)、有的多個(gè)被整合成一個(gè)，還有的被直接刪去。2013版標(biāo)準(zhǔn)中完全新增的安全類別有3項(xiàng)，它們是：移動(dòng)設(shè)備和遠(yuǎn)程辦公、供應(yīng)商關(guān)系中的信息安全、冗余。

在控制要素方面，2005版共有133項(xiàng)控制要素，2013版減少為113項(xiàng)控制要素。同樣，在新版標(biāo)準(zhǔn)中，2005版中的控制要素有的完全保留、有的名稱或內(nèi)容略有變化、有的被拆分成多個(gè)、有的調(diào)整了所屬控制域，還有的被直接刪去。

4.2數(shù)字圖書館風(fēng)險(xiǎn)控制要素的篩選及在新老標(biāo)準(zhǔn)中的對(duì)應(yīng)關(guān)系

基于2005版ISO 27001的附錄A和ISO 27002的正文，通過對(duì)30家數(shù)字圖書館的實(shí)際調(diào)查，文獻(xiàn)［4］得到了適合數(shù)字圖書館的風(fēng)險(xiǎn)控制87項(xiàng)核心控制要素，分布于11個(gè)控制域和33個(gè)安全類別，另有參考控制要素34項(xiàng)，分布于10個(gè)控制域和22個(gè)安全類別。所謂核心控制要素，是指對(duì)數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制非常重要、作用很大的控制要素。而參考控制要素，則是重要性一般、有時(shí)會(huì)有一定作用的控制要素。除此之外的即為ISO 27002中對(duì)數(shù)字圖書館不起作用或沒有應(yīng)用場(chǎng)所的控制要素，不應(yīng)該出現(xiàn)在數(shù)字圖書館風(fēng)險(xiǎn)控制的控制要素列表中。數(shù)字圖書館控制要素選取的目標(biāo)就是區(qū)分這三類控制要素，數(shù)字圖書館風(fēng)險(xiǎn)控制要素列表中僅包含核心控制要素與參考控制要素。

對(duì)2013版與2005版ISO 27001的附錄A和ISO 27002的正文經(jīng)過逐條、逐項(xiàng)進(jìn)行關(guān)聯(lián)對(duì)照和分析，尋找上述87項(xiàng)核心控制要素、34項(xiàng)參考控制要素在新版標(biāo)準(zhǔn)中的對(duì)應(yīng)位置，再對(duì)2013版的新增控制要素作認(rèn)真分析，并結(jié)合數(shù)字圖書館信息安全管理的現(xiàn)實(shí)情況，最終得到ISO 27002:2013標(biāo)準(zhǔn)下數(shù)字圖書館的核心控制要素和參考控制要素。其中，核心控制要素75項(xiàng)，分布于13個(gè)控制域和29個(gè)控制類別，參考控制要素32項(xiàng)，分布于11個(gè)控制域和17個(gè)安全類別（見表1、表2）。

5　新老標(biāo)準(zhǔn)中的數(shù)字圖書館風(fēng)險(xiǎn)控制要素對(duì)比分析

5.1新老標(biāo)準(zhǔn)中的數(shù)字圖書館信息安全管理核心控制要素對(duì)比分析

數(shù)字圖書館核心控制要素在新老標(biāo)準(zhǔn)中的變化共有4種情況：刪除、保留、新增和調(diào)整。

因?yàn)橐呀?jīng)從2013版中被刪除，那些已刪除的核心控制要素在表1并沒有出現(xiàn)。之前根據(jù)2005版標(biāo)準(zhǔn)得到的87項(xiàng)數(shù)字圖書館核心控制要素中，有21項(xiàng)未收入2013版標(biāo)準(zhǔn)，因此，數(shù)字圖書館的核心控制要素應(yīng)該將這21項(xiàng)刪去。21項(xiàng)被刪去的核心控制要素具體名稱為：

信息安全的管理承諾、信息安全協(xié)調(diào)、與政府部門的聯(lián)系、服務(wù)交付、控制移動(dòng)代碼、信息處理規(guī)程、系統(tǒng)文件安全、業(yè)務(wù)信息系統(tǒng)、監(jiān)視系統(tǒng)的使用、故障日志、外部連接的用戶鑒別、遠(yuǎn)程診斷和配置端口的保護(hù)、網(wǎng)絡(luò)連接控制、網(wǎng)絡(luò)路由控制、用戶標(biāo)識(shí)和鑒別、敏感系統(tǒng)隔離、輸入數(shù)據(jù)確認(rèn)、內(nèi)部處理的控制、消息完整性、信息泄露、業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估。

保留的核心控制要素在表1中用“完全對(duì)應(yīng)”表示。在基于新版標(biāo)準(zhǔn)的75項(xiàng)數(shù)字圖書館核心控制要素中共有42項(xiàng)的名稱、詳細(xì)內(nèi)容、控制目標(biāo)及控制域歸類等與老版標(biāo)準(zhǔn)完全一致。按照老版標(biāo)準(zhǔn)的篩選依據(jù)，該42項(xiàng)控制要素仍舊屬于數(shù)字圖書館的核心控制要素（見表1）。

新增的核心控制要素在表1中用“新增”表示。2013版新增各項(xiàng)控制要素中，有7項(xiàng)應(yīng)該作為數(shù)字圖書館的核心控制要素。具體內(nèi)容與理由如下：

（1）用戶訪問設(shè)置。數(shù)字圖書館的用戶類型多樣，如館員和讀者，館員和讀者又可以再分為多種類型，每一類用戶都存在對(duì)應(yīng)的訪問權(quán)限設(shè)置問題。明確規(guī)定不同用戶的訪問權(quán)限并有正式的用戶設(shè)置過程非常有必要。因此，將“用戶訪問設(shè)置”確定為核心控制要素。

（2）供應(yīng)商關(guān)系的信息安全策略、供應(yīng)協(xié)議中的安全問題、信息與通信技術(shù)供應(yīng)鏈。數(shù)字圖書館的電子資源、硬件設(shè)備、系統(tǒng)平臺(tái)以及網(wǎng)絡(luò)服務(wù)等工作均涉及采購(gòu)或外包，期間與各類供應(yīng)商的合作非常密切，應(yīng)該與供應(yīng)商就信息安全問題達(dá)成一致并形成文件，建立相關(guān)的信息安全要求，并在協(xié)議中確定相關(guān)的信息安全風(fēng)險(xiǎn)要求，以確保數(shù)字圖書館與供應(yīng)商合作關(guān)系中的信息安全。因此，將“供應(yīng)商關(guān)系的信息安全策略”“供應(yīng)商協(xié)議中的安全問題”“信息與通信技術(shù)供應(yīng)鏈”確定為核心控制要素。

（3）信息安全事件的評(píng)估和確定、信息安全事件的響應(yīng)。對(duì)于任何組織而言，都應(yīng)該對(duì)已經(jīng)發(fā)生的信息安全高度重視。數(shù)字圖書館也不例外，應(yīng)該及時(shí)地評(píng)估確定已發(fā)生的信息安全事件并按照一定的程序予以處理，使信息安全事件的影響和損失最小化。因此，將“信息安全事件的評(píng)估和確定”“信息安全事件的響應(yīng)”確定為核心控制要素。

（4）信息處理設(shè)施的可用性。與數(shù)字圖書館有關(guān)的服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、電源等信息處理設(shè)施都應(yīng)該有充分冗余，以確保在任何變化和狀況下都能滿足其可用性的要求。因此，將“信息處理設(shè)施的可用性”確定為核心控制要素。

調(diào)整的情況最復(fù)雜，在表1中的“名稱變化、內(nèi)容一致”“名稱變化、描述略變”“調(diào)整歸類”“拆分”4種情況都屬于調(diào)整。基于2005版ISO 27001和ISO 27002得到的數(shù)字圖書館信息安全87項(xiàng)核心控制要素中，有26項(xiàng)經(jīng)過一定的調(diào)整后依舊出現(xiàn)在2013版的標(biāo)準(zhǔn)中，這些控制要素仍是數(shù)字圖書館信息安全管理的核心控制要素。調(diào)整變化主要有三種形式：名稱改變而內(nèi)容表述完全一致、名稱改變且內(nèi)容表述略有變化、控制要素的控制域歸類發(fā)生變化。

表1　基于ISO 27002:2013的數(shù)字圖書館信息安全管理核心控制要素列表

表1　基于ISO 27002:2013的數(shù)字圖書館信息安全管理核心控制要素列表（續(xù)）

表2　基于ISO 27002:2013的數(shù)字圖書館信息安全管理參考控制要素列表

名稱改變、內(nèi)容表述完全一致、控制域歸類也完全一致的核心控制要素共有8項(xiàng)（見表1）。

名稱改變且內(nèi)容表述也略有變化、但控制域歸類完全一致的核心控制要素共有7項(xiàng)。包括有（括號(hào)前的為2013版中的編號(hào)與名稱，括號(hào)中為2005版中的編號(hào)與名稱）：①3.3.1終止或責(zé)任變更（4.2.1終止職責(zé)），新標(biāo)準(zhǔn)中強(qiáng)調(diào)對(duì)于責(zé)任終止和變更情況不僅要有規(guī)定，還應(yīng)該傳達(dá)給所有相關(guān)人員知曉；②5.2.4用戶秘密認(rèn)證信息的管理（7.2.3用戶口令管理）、5.3.1秘密認(rèn)證信息的使用（7.3.1口令使用），新標(biāo)準(zhǔn)中用戶認(rèn)證信息的范圍不僅包括口令，還包括密鑰數(shù)據(jù)和其他存儲(chǔ)在產(chǎn)生認(rèn)證碼的硬件（如智能卡）的數(shù)據(jù)；③5.4.4特權(quán)實(shí)用程序的使用（7.5.4系統(tǒng)實(shí)用工具的使用），新標(biāo)準(zhǔn)中將限制和嚴(yán)格控制的范圍縮小在可能超越、有特權(quán)的系統(tǒng)和應(yīng)用程序中；④11.1.6從信息安全事件中學(xué)習(xí)（9.2.2對(duì)信息安全事件的總結(jié)），老的標(biāo)準(zhǔn)強(qiáng)調(diào)從安全事件中學(xué)習(xí)總結(jié)的方法，而新標(biāo)準(zhǔn)強(qiáng)調(diào)的是結(jié)果，要從中獲取知識(shí)、減少未來相關(guān)事件發(fā)生的可能性；⑤12.1.1計(jì)劃信息安全連續(xù)性（10.1.1在業(yè)務(wù)連續(xù)性管理過程中包含信息安全），新標(biāo)準(zhǔn)更加細(xì)化，強(qiáng)調(diào)即便在不利的情況下（如危機(jī)或?yàn)?zāi)難）也要確保信息安全管理的連續(xù)性；⑥12.1.2實(shí)施信息安全的連續(xù)性（10.1.3制定和實(shí)施包含信息安全的連續(xù)性計(jì)劃），老標(biāo)準(zhǔn)強(qiáng)調(diào)在關(guān)鍵業(yè)務(wù)流程中斷和失效時(shí)要保持信息安全，而新標(biāo)準(zhǔn)則強(qiáng)調(diào)在任何不利的情況下都要保持信息安全的連續(xù)性。

控制域歸類發(fā)生變化的核心控制要素共有11項(xiàng)（見表1）。其中，“2.1.2職責(zé)分割”是將老標(biāo)準(zhǔn)中“2信息安全組織”中的核心控制要素“信息處理設(shè)施的授權(quán)過程”和“6通信和操作管理”中的參考控制要素“責(zé)任分割”中的要求進(jìn)行合并，且改名為“職責(zé)分割”，統(tǒng)一置放于控制域“2信息安全組織”中，該項(xiàng)控制要素從組織的宏觀層面強(qiáng)調(diào)各類職責(zé)和權(quán)限的分割，以降低對(duì)組織資產(chǎn)的濫用。而“2.2.1移動(dòng)設(shè)備策略”是將老標(biāo)準(zhǔn)中“7訪問控制”中的參考控制要素“移動(dòng)計(jì)算和通訊”調(diào)整到控制域“2信息安全組織”中，且改名為“移動(dòng)設(shè)備策略”。對(duì)于數(shù)字圖書館而言，隨著移動(dòng)網(wǎng)絡(luò)的發(fā)展普及，數(shù)字圖書館的業(yè)務(wù)流程也逐步到移動(dòng)終端，應(yīng)該加強(qiáng)相關(guān)管理措施，因此調(diào)整為核心控制要素。其他9項(xiàng)控制要素的名稱和內(nèi)容沒有變化，而其控制域歸類發(fā)生了變化（見表3）。該9項(xiàng)控制要素在2005版中就屬于核心控制要素，因此在2013版中仍保留為數(shù)字圖書館的核心控制要素。

表3　新老標(biāo)準(zhǔn)中控制域歸類發(fā)生變化的核心控制要素列表

5.2新老標(biāo)準(zhǔn)中的數(shù)字圖書館信息安全管理參考控制要素對(duì)比分析

數(shù)字圖書館參考控制要素在新老標(biāo)準(zhǔn)中的變化共有5種情況：刪除、保留、新增、拆分和調(diào)整。

2005版的數(shù)字圖書館參考控制要素中有10項(xiàng)未出現(xiàn)在2013版的數(shù)字圖書館參考控制要素中。其中，“移動(dòng)計(jì)算和通訊”“責(zé)任分割”2項(xiàng)在2013版中被調(diào)整為核心控制要素?！疤幚砼c顧客有關(guān)的安全問題”“防止濫用信息處理設(shè)施”“會(huì)話超時(shí)”“聯(lián)機(jī)時(shí)間的限定”“輸出數(shù)據(jù)確認(rèn)”“網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)”“信息系統(tǒng)審計(jì)工具的保護(hù)”“業(yè)務(wù)連續(xù)性計(jì)劃框架”8項(xiàng)被2013版標(biāo)準(zhǔn)刪除，故也未出現(xiàn)在新版的數(shù)字圖書館參考控制要素中。

保留的參考控制要素用“完全對(duì)應(yīng)”表示，共有16項(xiàng)。

新增的參考控制要素用“新增”表示，共有7項(xiàng)。具體內(nèi)容與理由如下：

（1）項(xiàng)目管理中的信息安全、安全開發(fā)策略、安全系統(tǒng)工程原則、安全開發(fā)環(huán)境、系統(tǒng)安全測(cè)試。上述5項(xiàng)控制要素更傾向于在系統(tǒng)工程、項(xiàng)目開發(fā)或軟件研發(fā)的過程中對(duì)信息安全管理、環(huán)境、測(cè)試等方面的要求，而數(shù)字圖書館本身自行開發(fā)的項(xiàng)目工程比較少，無須在這方面作嚴(yán)格的要求。因此，上述5項(xiàng)控制要素列入?yún)⒖伎刂埔亍?/p>

（2）時(shí)鐘同步。對(duì)于系統(tǒng)的監(jiān)視與日志分析有較大的幫助，“時(shí)鐘同步”可以作為參考控制要素加以限制。

（3）限制軟件安裝。該項(xiàng)控制要素要求組織制定軟件安裝管理規(guī)則，并嚴(yán)格執(zhí)行和監(jiān)督，而數(shù)字圖書館的員工因工作性質(zhì)的不同對(duì)軟件安裝的要求差異較大，實(shí)際工作中可以列出禁止安裝的軟件清單（如游戲軟件）或必須安裝的軟件清單（如安全防護(hù)軟件），不需要規(guī)定只能安裝哪些軟件。因此，“限制軟件安裝”可作為參考控制要素。

拆分的參考控制要素用“拆分”表示。2005版的數(shù)字圖書館參考控制要素中只有“信息標(biāo)識(shí)與處置”存在這種情況，該項(xiàng)控制要素在2013版中被拆分為“信息的標(biāo)記”“資產(chǎn)的處置”2項(xiàng)。

調(diào)整參考控制要素有“名稱變化，描述略變”和“名稱變化，內(nèi)容一致”兩種表現(xiàn)，共有7項(xiàng)。其中，“名稱變化，描述略變”的有2項(xiàng)，“名稱變化，內(nèi)容一致”的有5項(xiàng)。

6　結(jié)語(yǔ)

本文結(jié)合數(shù)字圖書館的實(shí)際情況和之前的相關(guān)研究成果，對(duì)2013版ISO 27000系列標(biāo)準(zhǔn)下的數(shù)字圖書館風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制做了對(duì)比與分析。2013版的標(biāo)準(zhǔn)在風(fēng)險(xiǎn)評(píng)估方面更加強(qiáng)調(diào)組織的需要與要求，強(qiáng)調(diào)評(píng)估結(jié)果與組織需求的結(jié)合，而具體方法的選用則更加寬泛和靈活，數(shù)字圖書館信息安全的風(fēng)險(xiǎn)評(píng)估可繼續(xù)延用依據(jù)2005版標(biāo)準(zhǔn)制定的方法和模型。2013版標(biāo)準(zhǔn)的風(fēng)險(xiǎn)控制在2005版基礎(chǔ)上有較大改變，相應(yīng)地，數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制的核心控制要素與參考控制要素也有比較大的變動(dòng)。新標(biāo)準(zhǔn)下的數(shù)字圖書館風(fēng)險(xiǎn)控制要素是在2005版的基礎(chǔ)上經(jīng)刪除、保留、新增、拆分和調(diào)整得來的，更具操作性和實(shí)踐指導(dǎo)意義。綜合數(shù)字圖書館的風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)控制，就形成了2013版ISO 27000系列標(biāo)準(zhǔn)要求下的數(shù)字圖書館信息安全管理整體解決方法。

［1］The ISO Survey of Management System Standard Certifications-2013［EB/OL］.［2015-08-17］.http://www.iso.org/iso/iso_sur vey_executive-summary.pdf？v2013.

［2］GB/T 22080:2008，信息技術(shù)-安全技術(shù)-信息安全管理體系-要求［S］.北京:中國(guó)標(biāo)準(zhǔn)出版社，2008.

［3］茆意宏，黃水清.數(shù)字圖書館信息安全管理依從標(biāo)準(zhǔn)的選擇［J］.中國(guó)圖書館學(xué)報(bào)，2010（4）：54-59.

［4］黃水清.數(shù)字圖書館信息安全管理［M］.南京:南京大學(xué)出版社，2011.

［5］黃水清，茆意宏，熊健.數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估［J］.現(xiàn)代圖書情報(bào)技術(shù)，2010（7/8）:33-38.

［6］黃水清，任妮.數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制［J］.現(xiàn)代圖書情報(bào)技術(shù)，2010（7/8）:39-44.

［7］黃水清，任妮.數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估的方法與模型［J］.圖書情報(bào)工作，2014（2）:14-20.

［8］黃水清.數(shù)字圖書館信息安全管理的過程方法［J］.圖書情報(bào)工作，2013（11）:5-11.

［9］老李飛刀.ISO 27001:2013新版解讀精要［EB/OL］.［2015-08-18］.http://www.srxh1314.com/iso27001-2013-resolve-2.html.

［10］ISO/IEC 27001:2013.Information Technology—Security Techniques—Information Security Management Systems—Requirements［S］.Geneva:International Organization for Standardization，2013.

［11］白云廣.ISO/IEC27001:2013概述與改版分析［J］.中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2014（12）:45-48.

［12］安言咨詢.ISO27001：2013新版信息安全管理體系標(biāo)準(zhǔn)變化精解［EB/OL］.［2015-08-18］.http://wenku.baidu.com/view /73d382e826fff705cd170a2f.html.

［13］GB/T20984-2007，信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范［S］.北京:國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，2007.

［14］ISO/IEC 27005:2008.Information technology—Security techniques—Information security risk management［S］.Geneva:International Organization for Standardization，2008.

Information Security Management of Digital Libraries Based on the ISO 27001:2013 and ISO 27002:2013

The 2013 version of ISO 27000 standards was compared with that of 2005 andthe influence of the standards change on risk assessment and risk control of digital library information security was analyzed，and then it is pointed out that the information security risk assessment method and model of digital library based on version 2005 can be used in version 2013.Based on the analysis of the core control elements and reference ones one by one，this article built the information security risk control method of the digital library according to the new version standards.

digital library；information security；ISO 27000；ISO 27001；ISO 27002；risk management

G250.76

ADOI：10.11968/tsyqb.1003-6938.2015125

*本文系國(guó)家哲學(xué)社會(huì)科學(xué)基金重點(diǎn)項(xiàng)目“數(shù)字圖書館信息安全管理標(biāo)準(zhǔn)規(guī)范研究”（項(xiàng)目編號(hào)：12ATQ001）研究成果之一。

2015-11-19；責(zé)任編輯：魏志鵬

任妮，女，南京農(nóng)業(yè)大學(xué)信息科技學(xué)院博士研究生，江蘇省農(nóng)業(yè)科學(xué)院農(nóng)業(yè)經(jīng)濟(jì)與信息研究所助理研究員；黃水清，男，南京農(nóng)業(yè)大學(xué)信息科技學(xué)院教授，博士生導(dǎo)師。