版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、自1991年數(shù)字圖書館概念被提出以來,其研究和實(shí)踐在全球范圍內(nèi)蓬勃發(fā)展。然而數(shù)字圖書館廣泛依賴于計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和數(shù)據(jù)通信技術(shù)等高科技專業(yè)技術(shù)而存在和發(fā)展,其面臨的安全風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)高于傳統(tǒng)圖書館。信息安全問題成為數(shù)字圖書館研究和實(shí)踐的重大命題。美國(guó)的圖書館在經(jīng)歷了技術(shù)保障、管理保障和制度保障三個(gè)發(fā)展階段后,開始嘗試建立信息安全管理體系,通過風(fēng)險(xiǎn)評(píng)估、建立預(yù)防機(jī)制和主動(dòng)干預(yù)等方式應(yīng)對(duì)各類突發(fā)信息安全問題。而我國(guó)圖書館在信息安全方面大多數(shù)還
2、處于技術(shù)保障階段。據(jù)調(diào)查,我國(guó)100%的數(shù)字圖書館每年至少發(fā)生一次信息安全事件,而信息安全意識(shí)薄弱、信息安全管理人員不足、缺乏信息安全管理策略等原因首當(dāng)其沖。可見,貫徹“三分技術(shù),七分管理”的黃金定律,建立信息安全管理體系對(duì)于數(shù)字圖書館信息安全保障而言勢(shì)在必行。
為了能夠給數(shù)字圖書館信息安全管理體系的建立提供符合國(guó)際標(biāo)準(zhǔn)與國(guó)家標(biāo)準(zhǔn)的、具有可操作性的完整解決方案,同時(shí)解決數(shù)字圖書館標(biāo)準(zhǔn)與規(guī)范建設(shè)中較少涉獵的信息安全規(guī)范化管理的關(guān)
3、鍵性問題,完善數(shù)字圖書館標(biāo)準(zhǔn)規(guī)范體系,推動(dòng)數(shù)字圖書館信息安全領(lǐng)域的規(guī)范化、標(biāo)準(zhǔn)化,將ISO27000的基本原則與思想完整地引入數(shù)字圖書館信息安全領(lǐng)域,使數(shù)字圖書館信息安全規(guī)范化管理工作與先進(jìn)的國(guó)際標(biāo)準(zhǔn)相接軌。本文對(duì)數(shù)字圖書館信息安全規(guī)范化管理的實(shí)施框架、方法模型和標(biāo)準(zhǔn)規(guī)范草案進(jìn)行研究,解決了數(shù)字圖書館信息安全規(guī)范化管理過程中涉及的關(guān)鍵性問題,形成建議方案,為制定數(shù)字圖書館行業(yè)目標(biāo)明確、體系完備、功能實(shí)用、可操作性強(qiáng)的信息安全管理標(biāo)準(zhǔn)規(guī)范
4、奠定基礎(chǔ)。具體研究?jī)?nèi)容和成果包括以下五個(gè)方面:
(1)數(shù)字圖書館信息安全規(guī)范化管理的實(shí)施框架研究
通過對(duì)ISO/IEC27001標(biāo)準(zhǔn)中涉及的PDCA過程方法、主要因素、管理流程等內(nèi)容進(jìn)行梳理分析,結(jié)合數(shù)字圖書館自身的需求和特點(diǎn),完成了ISO/IEC27001過程模式在圖書館領(lǐng)域的轉(zhuǎn)化。包括:明確了數(shù)字圖書館信息安全管理的PDCA過程方法與內(nèi)涵;梳理了數(shù)字圖書館信息安全管理從制定方案到風(fēng)險(xiǎn)評(píng)估再到風(fēng)險(xiǎn)控制的管理流程,以
5、及其中每個(gè)過程的實(shí)施流程;分析并確定了風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的主要影響因素,其中,風(fēng)險(xiǎn)評(píng)估的主要因素包括直接因素(資產(chǎn),威脅,脆弱性,控制措施)與間接因素(保密性,完整性,可用性,保密性、完整性、可用性對(duì)資產(chǎn)價(jià)值的重要程度,威脅發(fā)生的可能性,威脅發(fā)生后對(duì)資產(chǎn)的保密性、完整性、可用性產(chǎn)生的損失)兩種類型,風(fēng)險(xiǎn)控制的主要因素包括直接因素(實(shí)施成本和有效性)和間接因素(時(shí)間、人力、費(fèi)用、難度、對(duì)每項(xiàng)風(fēng)險(xiǎn)的有效性等)兩種類型。
(2)數(shù)字
6、圖書館信息安全風(fēng)險(xiǎn)評(píng)估方法模型研究
從已有的信息安全風(fēng)險(xiǎn)評(píng)估方法和模型總結(jié)入手,分析了現(xiàn)有風(fēng)險(xiǎn)評(píng)估模型在平衡定量與定性關(guān)系、可操作性、結(jié)果可接受性等方面存在的問題,闡述了現(xiàn)有的風(fēng)險(xiǎn)評(píng)估方法不適用于數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估的原因。進(jìn)而,確定了數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估方法和模型的選擇依據(jù)。最終,研究構(gòu)建了具有可操作性的基于GB/T20984的數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估模型、基于多因素模糊綜合評(píng)判矩陣的資產(chǎn)價(jià)值和威脅大小的計(jì)算模
7、型、以及基于多渠道加權(quán)平均的脆弱性大小計(jì)算模型,詳細(xì)闡述了評(píng)估模型的數(shù)據(jù)采集和分析計(jì)算策略,并通過實(shí)證研究的方式對(duì)該風(fēng)險(xiǎn)評(píng)估方法模型的可行性及實(shí)際評(píng)估效果進(jìn)行了驗(yàn)證。
(3)數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制方法模型研究
從已有的信息安全風(fēng)險(xiǎn)控制方法和模型總結(jié)入手,分析了現(xiàn)有風(fēng)險(xiǎn)控制模型存在與風(fēng)險(xiǎn)評(píng)估環(huán)節(jié)相脫離、操作繁瑣復(fù)雜等問題,并闡述了現(xiàn)有的風(fēng)險(xiǎn)控制方法不適用于數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估的原因,明確了基于ISO27000
8、、與風(fēng)險(xiǎn)評(píng)估相銜接的、半定量方法或綜合分析方法更適用于數(shù)字圖書館的信息安全風(fēng)險(xiǎn)控制?;诖饲疤?,對(duì)ISO/IEC27002:2005和ISO/IEC27002:2013中的風(fēng)險(xiǎn)控制措施進(jìn)行了調(diào)研分析,最終確定了基于ISO/IEC27002的數(shù)字圖書館風(fēng)險(xiǎn)控制核心要素和參考要素集合。并以數(shù)字圖書館領(lǐng)域成本最低、成效最佳的風(fēng)險(xiǎn)控制要求,構(gòu)建了基于線性規(guī)劃和模糊數(shù)學(xué)的風(fēng)險(xiǎn)控制決策模型,并詳細(xì)闡述了控制決策模型的數(shù)據(jù)采集和分析計(jì)算策略,確保了該
9、模型的可操作性和有效性。
(4)數(shù)字圖書館信息安全管理的標(biāo)準(zhǔn)規(guī)范草案研究
在對(duì)數(shù)字圖書館信息安全管理過程模式、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的方法模型進(jìn)行研究的基礎(chǔ)上,結(jié)合ISO/IEC27001和ISO/IEC27002在電信、金融、醫(yī)療行業(yè)的標(biāo)準(zhǔn)轉(zhuǎn)化和應(yīng)用分析,探討了在數(shù)字圖書館領(lǐng)域信息安全標(biāo)準(zhǔn)規(guī)范形成和實(shí)施推廣過程中還應(yīng)注意的問題,包括標(biāo)準(zhǔn)確立的目的、意義、范圍、結(jié)構(gòu)、流程、核心、實(shí)施障礙、推行策略等方面內(nèi)容。最終,初步制
10、定并撰寫了數(shù)字圖書館信息安全管理標(biāo)準(zhǔn)的草案,為數(shù)字圖書館信息安全規(guī)范化管理提供了長(zhǎng)效的機(jī)制保障。
(5)數(shù)字圖書館信息安全規(guī)范化管理的實(shí)證研究
選擇了國(guó)內(nèi)某知名的大學(xué)城圖書館作為實(shí)證研究對(duì)象,嚴(yán)格按照數(shù)字圖書館信息安全管理標(biāo)準(zhǔn)草案中涉及的流程、方法、要求等進(jìn)行了實(shí)證研究,包括該圖書館信息安全管理的目標(biāo)、范圍、方法、團(tuán)隊(duì)、計(jì)劃等前期準(zhǔn)備工作,資產(chǎn)、威脅、脆弱性等識(shí)別、估值、計(jì)算等風(fēng)險(xiǎn)評(píng)估工作,控制措施的影響要素識(shí)別、有
11、效性計(jì)算、措施推薦等風(fēng)險(xiǎn)控制工作,并最終根據(jù)實(shí)施結(jié)果和實(shí)際訪談?wù){(diào)研,對(duì)該數(shù)字圖書館已建立的信息安全管理體系進(jìn)行審查,驗(yàn)證了數(shù)字圖書館信息安全風(fēng)險(xiǎn)管理的方法流程和標(biāo)準(zhǔn)規(guī)范的合理性和有效性。
本文研究旨在建立通用、規(guī)范、可行、有效的數(shù)字圖書館信息安全管理的實(shí)施框架,解決數(shù)字圖書館規(guī)范化管理過程中的關(guān)鍵問題。研究成果的創(chuàng)新性體現(xiàn)在:(1)構(gòu)建了可操作性強(qiáng)、周期可控的數(shù)字圖書館信息安全管理的實(shí)施框架。該框架不僅能夠滿足ISO27000
12、思想要求和數(shù)字圖書館的具體要求,而且能夠?qū)⒃跀?shù)字圖書館的調(diào)研實(shí)施周期縮短在一個(gè)月之內(nèi),節(jié)省了數(shù)字圖書館信息安全管理的時(shí)間與資金成本。(2)構(gòu)建了具有可操作性和有效性的數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的應(yīng)用模型。該模型模型使得風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制定量化計(jì)算流程簡(jiǎn)化有效,同時(shí)又能符合數(shù)字圖書館的信息安全管理要求和現(xiàn)狀。(3)以2013版ISO27002為依據(jù)篩選適合于數(shù)字圖書館領(lǐng)域的核心控制要素和參考控制要素。該要素集合為數(shù)字圖書館風(fēng)險(xiǎn)控
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 淺談高校數(shù)字圖書館信息安全管理
- 淺談圖書館中文期刊庫房的規(guī)范化管理
- 煤炭數(shù)字圖書館暨安全生產(chǎn)數(shù)字圖書館
- 圖書館數(shù)字化信息的安全保障策略研究
- 圖書館數(shù)字化信息的安全保障策略研究.pdf
- 公共圖書館數(shù)字化信息服務(wù)規(guī)范問題研究.pdf
- 數(shù)字圖書館信息安全保障體系研究.pdf
- 圖書館數(shù)字化信息服務(wù)中的行為規(guī)范研究.pdf
- 基于案例實(shí)施的數(shù)字圖書館信息安全風(fēng)險(xiǎn)管理研究.pdf
- 復(fù)合圖書館數(shù)字化管理的研究.pdf
- 論數(shù)字圖書館個(gè)性化信息服務(wù)
- 數(shù)字圖書館的個(gè)性化信息檢索研究.pdf
- 數(shù)字圖書館個(gè)性化信息推薦系統(tǒng).pdf
- 數(shù)字圖書館信息存儲(chǔ)策略研究.pdf
- 某高校圖書館信息安全管理研究.pdf
- 數(shù)字化圖書館建設(shè)研究
- 數(shù)字圖書館個(gè)性化信息推送服務(wù)研究.pdf
- 個(gè)性化數(shù)字圖書館研究.pdf
- 數(shù)字圖書館的個(gè)性化信息服務(wù).pdf
- 數(shù)字圖書館的個(gè)性化信息服務(wù)研究.pdf
評(píng)論
0/150
提交評(píng)論