基于ISO/IEC 27001:2013的高校图书馆信息安全管理体系构建研究
发布时间:2021-08-15 02:53
文章从高校图书馆面临的信息安全风险入手,阐述了高校图书馆信息安全的需求;基于需求,全面研究了最新的"ISO/IEC 27001:2013"国际信息安全管理标准在高校图书馆中的适用性;由此提出了"基于ISO/IEC 27001:2013的高校图书馆信息安全管理体系框架";并指出信息安全管理体系构建应遵守"投资与风险平衡"、"技术与管理平衡"、"信息系统建设与信息安全管理体系建设同步"的原则,认为信息化会不断拓展和深化,信息风险会永恒存在。
【文章来源】:现代情报. 2017,37(04)北大核心CSSCI
【文章页数】:7 页
【部分图文】:
基于ISO27001:2013的高校图书馆信息安全管理体系框架
枨螅?湫?息安全管理规划也应从图书馆的全局出发,综合考虑。首先,需要建立一个合适的平衡点,保证图书馆在可以接受的信息风险范围内投入最少的经费;其次,需要考虑图书馆内各部门的业务发展对信息安全的需求,以及需求的优先级别;再次,应考虑图书馆内人力资源的管理、教育、培训以及信息安全管理相关制度的建立等等。3.2信息安全组织架构高校图书馆信息安全管理体系涉及了图书馆的方方面面,从普通馆员到馆长,都负有信息安全的管理责任,一般的,一个相对完善的高校图书馆信息安全管理组织架构包括以下方面,如图3所示:图3高校图书馆信息安全管理组织架构1)决策层:主要指高校图书馆的信息安全领导小组,其是高校图书馆信息安全管理工作的顶层设计和统筹规划者,由负责数字图书馆建设或具体负责信息安全的馆领导(下文统称为首席安全官)牵头,可包括其他馆领导和个别部门主管。决策层主要负责信息安全战略的规划、信息安全管理策略的制定、信息安全管理组织架构组建,信息安全人员责任分配等。2)管理层:由图书馆信息安全管理部门的主管和其他部门主管组成,主要负责图书馆信息安全工作计划和方针的制定,日常信息安全管理制度、文件化操作规程的制定,信息安全事件管理,信息风险的预测、控制,各部门,信息安全工作实施情况的监督和审计等,其直接向风险直接向首席安全官汇报。3)审计层:一般由聘请的信息安全专家、首席安全官(CSO)、图书馆党委书记、馆员代表以及用户代表组成。其主要是建立图书馆内部的审核制度、审核标准、审核方式和审核流程,制定审核计划,定期对图书馆信息安全管理体系的运行情况进行审核,审核结果要和图书馆员—6—2017年4月第37卷第4期基于ISO/IEC27001:2013的高校图书馆信息安全管理体系?
嬖凇8?校图书馆信息安全管理体系构建应遵守“投资与风险平衡”、“技术与管理平衡”、“信息系统建设与信息安全管理体系建设同步”的原则,依据ISO/IEC27001:2013标准中罗列的控制域、控制目标以及控制措施,将信息安全规范管理的理念融入到图书馆日常的规划发展、组织管理、政策制定、信息资产管理、物理环境安全管理等各项工作中,逐层建立起了信息安全管理的规范;并且,通过采用不断循环的PDCA模式,保证了高校图书馆持续处于信息安全风险受控状态。高校图书馆基于ISO/IEC27001:2013标准构建的信息安全管理框架如图1所示。图1基于ISO27001:2013的高校图书馆信息安全管理体系框架3.1信息安全战略规划信息安全战略规划是高校图书馆在一个时期内(一般不超过5年)制定的具有全局性、层次性、协调性和相对稳定性的谋划,它是高校图书馆信息安全发展的总体思路,是信息安全管理的指导依据。高校图书馆的信息安全管理规划需要综合考虑以下几方面因素,如图2所示。1)业务驱动/数字化:以图书馆的业务发展目标、发展规划(包括数字图书馆的发展规划)为基础,保证与图书馆发展规划的目标保持一致,这是信息安全管理规划的出发点,也是最终点。围绕这一主旨,图书馆要实现最高管理者对信息安全的承诺,定义出信息安全管理的使命、图2高校图书馆信息安全战略规划的影响因素目标和管理方法,并以此制定出物理安全策略、操作安全策略、系通信安全策略、资产安全策略、风险控制策略、—5—2017年4月第37卷第4期现代情报JournalofModernInformationApr.,2017Vol.37No.4
【参考文献】:
期刊论文
[1]ISO/IEC 27001:2013概述与改版分析[J]. 白云广,谢宗晓. 中国标准导报. 2014(12)
[2]数字图书馆信息安全风险评估的方法与模型[J]. 黄水清,任妮. 图书情报工作. 2014(02)
[3]数字图书馆信息安全管理依从标准的选择[J]. 茆意宏,黄水清. 中国图书馆学报. 2010(04)
[4]扣紧企业管理薄弱环节——戴明环环环相扣的管理模式解读[J]. 万会龙. 施工企业管理. 2009(06)
硕士论文
[1]基于ISO27001的信息安全管理体系的研究和实现[D]. 朱璇.上海交通大学 2009
本文编号:3343697
【文章来源】:现代情报. 2017,37(04)北大核心CSSCI
【文章页数】:7 页
【部分图文】:
基于ISO27001:2013的高校图书馆信息安全管理体系框架
枨螅?湫?息安全管理规划也应从图书馆的全局出发,综合考虑。首先,需要建立一个合适的平衡点,保证图书馆在可以接受的信息风险范围内投入最少的经费;其次,需要考虑图书馆内各部门的业务发展对信息安全的需求,以及需求的优先级别;再次,应考虑图书馆内人力资源的管理、教育、培训以及信息安全管理相关制度的建立等等。3.2信息安全组织架构高校图书馆信息安全管理体系涉及了图书馆的方方面面,从普通馆员到馆长,都负有信息安全的管理责任,一般的,一个相对完善的高校图书馆信息安全管理组织架构包括以下方面,如图3所示:图3高校图书馆信息安全管理组织架构1)决策层:主要指高校图书馆的信息安全领导小组,其是高校图书馆信息安全管理工作的顶层设计和统筹规划者,由负责数字图书馆建设或具体负责信息安全的馆领导(下文统称为首席安全官)牵头,可包括其他馆领导和个别部门主管。决策层主要负责信息安全战略的规划、信息安全管理策略的制定、信息安全管理组织架构组建,信息安全人员责任分配等。2)管理层:由图书馆信息安全管理部门的主管和其他部门主管组成,主要负责图书馆信息安全工作计划和方针的制定,日常信息安全管理制度、文件化操作规程的制定,信息安全事件管理,信息风险的预测、控制,各部门,信息安全工作实施情况的监督和审计等,其直接向风险直接向首席安全官汇报。3)审计层:一般由聘请的信息安全专家、首席安全官(CSO)、图书馆党委书记、馆员代表以及用户代表组成。其主要是建立图书馆内部的审核制度、审核标准、审核方式和审核流程,制定审核计划,定期对图书馆信息安全管理体系的运行情况进行审核,审核结果要和图书馆员—6—2017年4月第37卷第4期基于ISO/IEC27001:2013的高校图书馆信息安全管理体系?
嬖凇8?校图书馆信息安全管理体系构建应遵守“投资与风险平衡”、“技术与管理平衡”、“信息系统建设与信息安全管理体系建设同步”的原则,依据ISO/IEC27001:2013标准中罗列的控制域、控制目标以及控制措施,将信息安全规范管理的理念融入到图书馆日常的规划发展、组织管理、政策制定、信息资产管理、物理环境安全管理等各项工作中,逐层建立起了信息安全管理的规范;并且,通过采用不断循环的PDCA模式,保证了高校图书馆持续处于信息安全风险受控状态。高校图书馆基于ISO/IEC27001:2013标准构建的信息安全管理框架如图1所示。图1基于ISO27001:2013的高校图书馆信息安全管理体系框架3.1信息安全战略规划信息安全战略规划是高校图书馆在一个时期内(一般不超过5年)制定的具有全局性、层次性、协调性和相对稳定性的谋划,它是高校图书馆信息安全发展的总体思路,是信息安全管理的指导依据。高校图书馆的信息安全管理规划需要综合考虑以下几方面因素,如图2所示。1)业务驱动/数字化:以图书馆的业务发展目标、发展规划(包括数字图书馆的发展规划)为基础,保证与图书馆发展规划的目标保持一致,这是信息安全管理规划的出发点,也是最终点。围绕这一主旨,图书馆要实现最高管理者对信息安全的承诺,定义出信息安全管理的使命、图2高校图书馆信息安全战略规划的影响因素目标和管理方法,并以此制定出物理安全策略、操作安全策略、系通信安全策略、资产安全策略、风险控制策略、—5—2017年4月第37卷第4期现代情报JournalofModernInformationApr.,2017Vol.37No.4
【参考文献】:
期刊论文
[1]ISO/IEC 27001:2013概述与改版分析[J]. 白云广,谢宗晓. 中国标准导报. 2014(12)
[2]数字图书馆信息安全风险评估的方法与模型[J]. 黄水清,任妮. 图书情报工作. 2014(02)
[3]数字图书馆信息安全管理依从标准的选择[J]. 茆意宏,黄水清. 中国图书馆学报. 2010(04)
[4]扣紧企业管理薄弱环节——戴明环环环相扣的管理模式解读[J]. 万会龙. 施工企业管理. 2009(06)
硕士论文
[1]基于ISO27001的信息安全管理体系的研究和实现[D]. 朱璇.上海交通大学 2009
本文编号:3343697
本文链接:https://www.wllwen.com/tushudanganlunwen/3343697.html
