高校信息安全风险评估论文

高校信息安全风险评估论文 篇1：

IT服务管理体系实践之信息安全管理

摘 要：本文在信息安全风险评估的基础上，对信息安全管理作出了有益的探索，除信息安全管理的原则外，文中还对信息安全管理的主要因素分别作出包括目标和方针的简要解释，并给出了与之相关的管理文档名称和应包含的主要内容。

关键词：信息安全；安全风险评估；信息安全因素

一、引言

随着计算机及网络技术与应用的不断发展，数字化校园方兴未艾，给学校的教学、科研和管理工作带来了诸多便捷，但是另一方面，伴随而来的计算机系统安全问题越来越引起人们的关注。信息安全管理不是一个简单的技术问题，而是一个复杂的系统工程，应把信息安全管理与信息安全技术手段结合起来，对高校系统中的各个环节进行统一的规划和综合考虑，并兼顾环境和系统内部不断发生的变化，建立系统化的管理体系。根据国家网络与信息安全等级保护的要求，网络与信息安全包括两大部分：技术问题和管理制度。据有关机构统计表明：网络与信息安全事件大约有70％以上的问题是由管理因素造成的，诸如政策法规的不完善、管理制度的不健全、安全意识的淡薄和操作过程的失误等，“三分技术，七分管理”。管理是贯穿信息安全整个过程的生命线。

二、安全管理的原则

为了保证对用户提供的服务和用户自身信息系统安全管理的一致性，在对信息系统的规划设计、开发建设、运行维护和变更废弃进行安全性考虑时，应充分遵循以下安全原则。

（1）全面统筹原则：信息安全保障工作贯穿于信息化全过程，坚持统筹规划、突出重点，安全与发展并进，管理与技术并重，应急防御与长效机制相结合；

（2）规范化原则：遵循国内、国际的信息安全标准及行业规范，对信息系统实行等级保护；

（3）责任制原则：对用户的计算机信息系统安全保护工作实行“谁主管谁负责”、“预防为主、综合治理”、“制度防范和技术防范相结合”的原则，加强制度建设，逐级建立计算机信息系统安全保护责任制；

（4）实用性原则：在确保信息安全的前提下，讲究实效，避免重复投资和盲目投资，积极采用国家法律法规允许的、成熟的先进技术和专业安全服务，降低成本，保障安全稳定运行。

以风险评估为基础选择控制目标与控制方式等，进一步分析建立信息安全管理体系应包括的因素。

三、安全风险评估

通过安全风险评估，在坚持科学、客观、公正原则的基础上，全面、完整地了解系统当前的安全状况，分析系统所面临的各种风险，根据测评结果得出系统存在的安全问题，并对严重的问题提出相应的风险控制策略。

其目标包括：了解系统的安全现状；分析系统的安全需求；制定安全策略和实施安全措施的依据。

方针包括：对重要信息资产进行威胁和弱点的分析和评估，并结合法律法规的要求，制定并执行适当的风险处理计划，以缓解所识别的信息安全风险。

主要工作任务包括：对需要评估的系统进行调研、方案编写、现场检测、资产分析、威胁分析、脆弱性分析和风险分析。评估人员要遵循相应的国家政策文件和实施指南，凭借对国家政策、理论的深刻理解和丰富的项目经验，对学校重要信息系统进行全面风险评估，及时、准确地掌握被评估信息系统的安全风险状况，为相关管理部门制定安全策略、采取安全措施提供决策支持。

测评依据的政策文件包括：《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）；《北京市公共服务网络与信息系统安全管理规定》（2006)北京市政府令第163号；北京市《关于落实〈中共中央办公厅、国务院办公厅转发国家信息化工作领导小组关于加强信息安全保障工作意见通过〉的实施计划》（2004）3号。

四、安全管理因素分析

安全管理因素应包括人员安全、物理安全、网络安全、系统安全、数据安全、应用安全和恶意软件防护，所有这些构成了安全管理的基础。其中实现方式应从管理制度和技术两方面入手。以下分别对各个因素做一简要分析。

1．人员安全

目标：降低人为差错、盗窃、欺诈或滥用设施的风险。

方针：应制定并实施对员工与合同工等能访问部门IT资产人员的甄选、定位与监管的政策与规定。人员安全的目标是确保员工行为符合要求并能够忠于职守，提高对安全事务的认识程度。

为了加强学校信息安全保障能力，建立健全学校的安全管理体系，提高整体的网络与信息安全水平，保证网络通信畅通和业务系统的正常运营，提高网络服务质量，在学校安全体系框架下，应制定《组织体系和职责》，主要描述学校各院、系，机关各部、处及直、附属单位安全组织体系的结构及其在安全组织体系中承担的职责。

另外，《安全岗位人员管理办法》是学校信息安全组织体系的重要组成部分，其详细描述了学校各安全岗位人员的管理考核办法；专、兼职安全管理员的岗位技能要求，及岗位工作内容；单位安全岗位人员的录用、审计、调动、离职等人员安全控制管理。

2．物理安全

目标：防止信息资产的损失、损坏或泄露及生产活动的中断；防止未经授权的活动对工作场所和信息的访问、干扰及破坏。

方针：重要生产设备，诸如服务器，路由器及防火墙等，应遵循信息资产管理方针被识别及管理，并被置于安全场所以减少物理及环境威胁。

《机房运行管理制度》主要规定了学校机房日常运行维护的职责、机房日常运行维护工作内容，包括机房人员管理、设备管理、日常巡检等内容。

3．网络安全

目标：通过对网络信息及其支持设施的保护，保护网络传输信息的机密性和完整性，并按要求维护网络服务的可用性。

方针：对网络设备、网络活动进行监控、管理和追踪，以确保网络传输信息的机密性，以及对所连接服务的授权访问。包括制定网络使用策略、安全策略及操作规程，以及相关规范等。

《网络安全管理规范》阐述了在对网络进行设计时需要遵守的安全规范。包括在网络冗余、地址分配、网络传输、路由控制方面需要执行的安全标准。

4.系统安全

目标：数据安全管理旨在降低由于未授权的访问、信息泄露、数据损坏对部门数据造成的威胁。

方针：数据安全管理包括访问、存储、传输、处理和借用数据的安全管理，应针对基于风险分析的数据分级制定安全规范与策略。根据不同数据类型的不同机密性要求，进行不同程度的机密性保护，确保数据不被泄漏和窃取。

《主机操作系统安全规范》的目的是指导主机操作系统的安全配置。各类主机操作系统由于设计缺陷，不可避免地存在着各种安全漏洞而带来安全隐患。如果没有对操作系统进行安全配置，操作系统的安全性远远不能达到它的安全设计级别。绝大部分的入侵事件都是利用操作系统的安全漏洞和不安全配置的隐患得手的。为提高操作系统的安全性，确保系统安全高效运行，必须对操作系统进行安全配置。各业务系统管理员可根据规范和业务情况制定各主机操作系统的安全配置规程。从而规范主机操作系统的安全配置，提高主机操作系统的抗攻击能力，提高主机操作系统的性能，提高主机操作系统的稳定性。

《运行维护管理办法》规范了系统管理员的组织职责、操作程序和操作记录、登录规程和口令管理，并定期进行安全巡查。

5．数据安全

目标：为确保环境数据（包括数据库系统、用户数据和数据传输）的安全，对各级数据系统用户进行统一安全管理。

方针：加强和完善对系统数据库及数据的日志管理。实现数据备份的完整性和可用性，通过采用最小化原则加强对各级数据库用户的权限访问进行严格审查和控制。

《数据安全规范》应阐述学校数据的分级、标注及处置；数据的存储安全、数据传输的安全、数据安全等级变更；数据备份和恢复；以及与数据保护密切相关的密码和密钥安全。根据数据资产的特点，学校所属数据信息资产的安全等级划分遵循和参考以下原则：

（1）数据的保密性原则，即访问数据所需要的授权和认证。

（2）数据的完整性原则，即只有在获得认证和授权的情况下才能对数据进行修改和变更。

（3）数据的可用性原则，即能在任何需要的时候获取所需数据。

6．应用安全

目标：通过规范单位应用系统从需求、设计、开发、测试、验收过程中的安全问题，以及应用系统使用中的安全问题，达到提高单位应用安全水平的目的。

方针：网络与信息系统的安全控制或安全性是通过系统的开发设计予以实现的，在设计阶段采取控制措施远比在实施过程中或者实施结束之后落实控制措施更廉价。若在系统设计阶段未充分考虑系统的安全性，则系统本身就存在着先天不足。因此，应在网络基础设施、应用系统（包括为最终用户开发的程序）的开发与维护阶段，正确识别、确认、批准所有安全需求（包括备用安排，如手工方式），并将之文档化。

《应用系统安全规范》涉及的主要内容包括：单位应用系统的需求、设计、开发、测试、验收过程注意的安全问题；单位应用系统在用户管理和访问控制方面应该注意的问题；以及单位应用系统安全审计等。其依据以下原则：

（1）在安全体系设计时，要充分考虑“应用安全实现的可控性”，以便尽可能地降低安全系统与应用系统结合过程的风险。

（2）保持安全系统与应用系统的相互独立性，避免功能实现上的交叉或跨越。

（3）避免程序级别的低层接口，免除两者结合时应用系统的二次编程开发。

（4）增强安全系统的适用性，最大程度地提供便捷可靠的结合方式。

（5）建立完善的安全控制机制，包括：用户标识与认证、逻辑访问控制、公共访问控制、审计与跟踪等。

7．恶意软件防护

目标：恶意软件包括但不限于木马、蠕虫，间谍软件以及计算机病毒。恶意软件管理旨在提高工作人员对恶意软件的安全意识，以降低恶意软件的危害。

方针：建立有效的计算机及其他移动设备软件病毒防护、发现及查杀机制。应实施防止恶意软件的侦查监控与防护控制，并提高相关用户防范意识。

《病毒防护管理办法》规范学校病毒防护的安全管理，加强各单位信息服务器及办公终端病毒的防护，确保系统的安全。

《安全策略管理办法》规范学校安全策略的制定、发布、修改、废止、检查和监督落实，建立科学、严谨的管理办法。

《安全补丁管理办法》规范信息系统安全补丁的识别和安装过程，降低信息系统安全漏洞带来的安全风险，提高信息系统的抗攻击能力。安全补丁的管理流程包括补丁的跟进和通告、补丁的获取、补丁的测试、补丁的加载、补丁的验证和补丁的归档，必须按照流程逐步落实。

五、结束语

制度建设是安全前提。通过推行规范化管理，克服传统管理中凭借个人的主观意志驱动管理模式，不会因为人员的去留而改变，先进的管理方法和经验可以得到很好的继承。

参考文献：

[1]Gad J Selig著，中治研国际信息技术研究院译.实施IT治理：方法论、模型、全球最佳实践[M].中国经济出版社.

[2]信息安全管理体系.http://baike.baidu.com/view/2944243.htm[DB/OL].

[3]GBT 22239-2008:信息安全技术 信息系统安全等级保护基本要求[S].

[4]GBT 22240-2008.信息安全技术 信息系统安全等级保护定级指南[S].

[5]ISO/IEC17799:Information technology-Code of practice for information security management[S].

[6]BS7799-2:Information security management-Specification for information security management systems[S].

[7]GB 17859-1999:计算机信息系统安全保护等级划分准则[S].

[8]信息保障技术框架. Information Assurance Technical Framework（IATF）[S].（编辑：杨馥红）

作者：梁艺军,高强

高校信息安全风险评估论文 篇2：

基于ISO/IEC 27001：2013的高校图书馆信息安全管理体系构建研究

〔摘要〕文章从高校图书馆面临的信息安全风险入手，阐述了高校图书馆信息安全的需求；基于需求，全面研究了最新的“ISO/IEC 27001：2013”国际信息安全管理标准在高校图书馆中的适用性；由此提出了“基于ISO/IEC 27001：2013的高校图书馆信息安全管理体系框架”；并指出信息安全管理体系构建应遵守“投资与风险平衡”、“技术与管理平衡”、“信息系统建设与信息安全管理体系建设同步”的原则，认为信息化会不断拓展和深化，信息风险会永恒存在。

〔关键词〕信息安全；管理体系；高校图书馆；ISO/IEC 27001：2013；信息资产；信息风险

DOI：10.3969/j.issn.1008-0821.2017.04.001

〔

Study on the Construction of Information Security Management

System Based on ISO/IEC 27001：2013 in University LibraryLiu Wangguo1Zhou Xiuxia1Huo Mingyue2

（1.Library，Northeast Normal University，Changchun 130024，China；

2.Library，Changchun University of Chinese Medicine，Changchun 130017，China）

〔

〔Key words〕information security；management system；university library；ISO/IEC 27001：2013；information assets；information risk

高校圖书馆是高校信息资源的集散地，随着图书馆数字化进程的加快，数字资源海量聚集，信息安全成为高校图书馆亟待解决的重要问题。但是高校图书馆信息安全“重技术、轻管理”，信息安全管理体系建设更是一片空白，多数高图书馆的管理层对信息资产所面临威胁的严重性认识不足，缺乏明确的信息安全战略规划、科学系统的信息安全管理制度、相对有效的管理措施等。管理是信息安全的根本。高校图书馆急需建立一套完备、规范的信息安全管理体系来规范信息安全管理，控制信息安全风险，提升信息安全防御能力。

ISO/IEC 27001：2013是国际上通用的最新的信息安全标准，国际联机计算机图书馆中心（OCLC）就实施了符合ISO 27001：2013标准的信息安全管理体系，并注册登记取得了认证，同时还拥有了注册信息安全专业人员、信息技术审计人员、业务持续规划和灾难恢复领域的全职专家等[1]。其他大量企业、政府部门等的应用认证已证明了其的优选性，高校图书馆引入ISO/IEC 27001：2013来构建信息安全管理体系是图书馆信息安全的迫切需求，也是高校图书馆信息安全管理必然的选择。

1高校图书馆信息安全需求分析高校是信息安全泄漏的重灾区。据2015年5月补天漏洞响应平台的数据显示，自2014年4月至2015年3月的12个月间，高校网站的漏洞多达3 495个，涉及高校网站1 088个，占全国高校总数的近40%[2]。高校图书馆作为高校的信息资源中心，其信息安全性可想而知。

而笔者对吉林省35所高校图书馆的问卷调查也很好地证明了这一点。在关于“在过去的一年中图书馆受到过何种网络攻击”的问题中，约70%的被调查者选择了“病毒攻击”；约43%的被调查者选择了“网络钓鱼”；约40%的被调查者选择了“木马攻击”；约31%的被调查者选择了“系统漏洞”；约29%的被调查者选择了“垃圾邮件”；约17%的被调查者选择了“篡改网页”；约20%的被调查者选择了“其他攻击方式”。可见，图书馆仍面临着各种不安全因素，安全事件频频发生，信息安全环境令人堪忧。

身处这样的环境，高校图书馆信息安全需要满足：

1）物理安全需求：即图书馆指计算机、网络设备、机房等环境的安全等，这是整个图书馆信息安全的前提。

2）网络安全需求：即图书馆网络系统的硬件、软件及其中数据受到保护，不受偶然的或者恶意的破坏、更改、泄露等，保证系统连续可靠地运行，网络服务不中断。

3）数据安全需求；即指图书馆系统内的数据在任何条件下都能保持其保密性、完整性、可靠性、可用性和一致性。

4）系统安全需求：包括避免病毒对于系统的威胁；黑客对于网络的破坏和入侵；内部工作人员的操作失误与恶意访问等。

5）管理安全需求。管理安全需求是高校图书馆信息安全的最高需求，包括信息安全经费投入、信息组织机构建设、信息安全战略规划、信息安全目标确定、信息安全管理制度制定、信息安全队伍培养、信息安全管理机制确认等诸多方面的需求。

2ISO/IEC 27001：2013高校图书馆信息安全管理适用性研究各国专家、各种机构根据不同的信息安全管理的需求制定了众多标准，如CC标准、BS-7799标准、COBIT标准、ITIL标准、ISO/IEC13335标准、ISO/IEC 27000系列标准等。其中，ISO/IEC 27000系列标准是应用最为广泛的信息安全标准之一，而ISO/IEC 27001是ISO/IEC 27000系列标准的主标准，目前的有效版本是ISO/IEC 27001：2013。

ISO/IEC 27001：2013全称为“信息技术-安全技术-信息安全管理体系-要求”。标准包含了14控制域、35个控制目标、114个控制措施，是建立信息安全管理系统（ISMS）的一整套管理标准。ISO/IEC 27001：2013标准重视领导和人员对信息安全的职责与治理，重视信息安全绩效的评估，重视风险评估方法的应用，更重视与业务工作的融合和信息安全管理的长效机制，是一套比较完备的信息安全管理规范。

归纳ISO/IEC 27001：2013对图书馆信息安全管理的适用性，具体表现为以下几个方面：

2.1ISO/IEC 27000系列标准为通用标准

ISO/IEC 27000系列标准为通用标准，采用了国际标准的通用架构，具有很好的兼容性，更易与其他管理体系进行融合。ISO27000系列标准的起源是BS7799，在BS7799立项初始，其性质就被定义为跨行业的通用标准。它的目的是能够提供一套具有可开发性、可实施性与可测量性的信息安全管理规范。因而，ISO27000系列标准对所有行业都有普适性，自然也适用于高校图书馆。

2.2ISO/IEC 27001：2013重视信息资产

ISO/IEC 27001：2013标准把信息看作是组织的资产，认为其对组织的生存、发展起着关键作用，要识别信息资产并起保护责任；并且要求信息安全风险管理要聚焦信息，而信息是融合在整个业务流程中，因此，信息安全管理还要以业务价值为基础。而图书馆却正是专门从事信息管理与信息价值识别、服务的机构，信息是图书馆最重要的资产，其日常业务与信息安全紧密相连，因而与ISO/IEC 27001：2013标准有着天然的联系和契合性。

2.3ISO/IEC 27001：2013风险评估方法的普适性

ISO/IEC 27001：2013中提出了组织应确立并应用一个信息安全风险评估过程，即信息风险评估应该包括：建立并保持信息安全风险准则，确保重复执行的信息安全风险评估产生一致的、有效的和可比的结果，识别信息安全风险，分析信息安全风险，评价信息安全风险，处置信息安全风险，保留信息安全风险处置结果的信息文件。虽然该标准并没有解释实施的具体方法，但是由于该方法本身的普适性，ISO27001中的風险评估方法在高校图书馆中运作起来并不困难。

2.4ISO/IEC 27001：2013标准覆盖信息安全管理的全过程ISO/IEC 27001：2013标准共包含14控制域、35个控制目标、114个控制措施。涉及信息安全策略、信息安全组织、人力资源安全、资产管理、访问控制、密码术、物理与环境安全、操作安全、通信安全、系统获取开发和维护、供应商关系、信息安全事件管理、业务连续性管理的信息安全方面、符合性等诸方面。基本上涵盖了信息安全管理的整个过程及一个组织可能涉及信息安全的方方面面，因此，其也必然能够满足高校图书馆对信息安全管理的要求[3]。

2.5ISO/IEC 27001：2013采用了PDCA模式

PDCA是全面质量管理所应遵循的一种科学程序，包括P、D、C、A 4个步骤，即P（Plan，建立），D（Do，实施运行），C（Check，监视审核），A（Act，保持和改进）。

PDCA循环周而复始，一个循环结束后即进入下一个PDCA循环；大环套小环，一环扣一环，小环保大环，推动大循环；阶梯式上升，每循环一次解决一部分问题，到新的循环又有新的目标与内容[4]。ISO/IEC 27001：2013引入PDCA循环模式，是为建立、实施信息安全管理体系并持续改进其有效性的方法；而有关图书馆管理应用PDCA循环模式的研究也很常见，将PDCA循环模式应用于高校图书馆信息安全管理是没有问题的。

3基于ISO/IEC 27001：2013的高校图书馆信息安全管理体系构建高校图书馆信息安全管理体系是以一个技术保障为基础，以组织、管理体系为核心，符合图书馆业务规律的有机整体。以ISO/IEC 27001：2013标准为依据构建的高校图书馆信息安全管理体系，能够保障图书馆信息安全管理体系的有效性，保障信息资产的保密性、完整性和可用性[5]。

信息化会不断拓展和深化，信息风险会永恒存在。高校图书馆信息安全管理体系构建应遵守“投资与风险平衡”、“技术与管理平衡”、“信息系统建设与信息安全管理体系建设同步”的原则，依据ISO/IEC 27001：2013标准中罗列的控制域、控制目标以及控制措施，将信息安全规范管理的理念融入到图书馆日常的规划发展、组织管理、政策制定、信息资产管理、物理环境安全管理等各项工作中，逐层建立起了信息安全管理的规范；并且，通过采用不断循环的PDCA模式，保证了高校图书馆持续处于信息安全风险受控状态。高校图书馆基于ISO/IEC 27001：2013标准构建的信息安全管理框架如图1所示。

3.1信息安全战略规划

信息安全战略规划是高校图书馆在一个时期内（一般不超过5年）制定的具有全局性、层次性、协调性和相对稳定性的谋划，它是高校图书馆信息安全发展的总体思路，是信息安全管理的指导依据。

高校图书馆的信息安全管理规划需要综合考虑以下几方面因素，如图2所示。

1）业务驱动/数字化：以图书馆的业务发展目标、发展规划（包括数字图书馆的发展规划）为基础，保证与图书馆发展规划的目标保持一致，这是信息安全管理规划的出发点，也是最终点。围绕这一主旨，图书馆要实现最高管理者对信息安全的承诺，定义出信息安全管理的使命、目标和管理方法，并以此制定出物理安全策略、操作安全策略、系通信安全策略、资产安全策略、风险控制策略、应急响应策略、人力资源安全策略等的信息安全总体规划，为图书馆的发展起到保驾护航的作用。

2）信息安全目标：在ISO/IEC 27001：2013中明确指出，信息安全管理体系的目标就是通过应用风险管理过程以保证信息资产的保密性、完整性和可用性，并给予相关利益方风险已得到充分管理的信心。这个相关利益方既是指图书馆所处的高校和图书馆的用户，也指那些与图书馆有直接或间接联系的承包商、数据库商等。除此之外，还应考虑：①与信息安全战略规划建立联系，并保持一致；②成本与信息安全目标的平衡；③信息安全风险的预测、识别与控制措施的应用；④可通过绩效评价来衡量信息安全目标的有效性、可操作性等。

3）符合性要求：这是ISO27001：2013的控制目标要求，其主要要求高校图书馆的信息安全战略规划及其之后的计划、策略、实施、操作等，要与国家法律条例、政策规定、图书馆的规章制度、规则等保持一致，及其以后在信息安全实施操作中也要保证相关流程合乎这些要求[6]。

4）外部环境：外部环境也是影响高校图书馆信息安全战略规划的重要因素，并且因为其组成复杂，对图书馆的影响有好有坏，难以控制，更应该引起高校图书馆的重视。综合考虑外部环境的构成，其主要包括以下几个方面：①高校信息化的变迁，包括信息化规划的更新、信息化相关政策的制定、信息化设备的购置、信息安全环境等；②有关信息安全的新技术、新威胁、新系统等的出现应用等；③图书馆用户信息安全意识、信息技能等的变化；④政策环境的变动。譬如2014年，教育部出台了《教育行业信息系统安全等级保护定级工作指南（试行）》，高校图书馆就要将信息系统安全等级保护定级工作纳入信息安全战略规划中予以考虑；⑤意外事故，如雷击、地震、火灾、时间较长的断电、断网等。

5）内部需求：信息安全是图书馆的整体需求，其信息安全管理规划也应从图书馆的全局出发，综合考虑。首先，需要建立一个合适的平衡点，保证图书馆在可以接受的信息风险范围内投入最少的经费；其次，需要考虑图书馆内各部门的业务发展对信息安全的需求，以及需求的优先级别；再次，应考虑图书馆内人力资源的管理、教育、培训以及信息安全管理相关制度的建立等等。

3.2信息安全组织架构

高校图书馆信息安全管理体系涉及了图书馆的方方面面，从普通馆员到馆长，都负有信息安全的管理责任，一般的，一个相对完善的高校图书馆信息安全管理组织架构包括以下方面，如图3所示：图3高校图书馆信息安全管理组织架构

1）决策层：主要指高校图书馆的信息安全领导小组，其是高校图书馆信息安全管理工作的顶层设计和统筹规划者，由负责数字图书馆建设或具体负责信息安全的馆领导（下文统称为首席安全官）牵头，可包括其他馆领导和个别部门主管。决策层主要负责信息安全战略的规划、信息安全管理策略的制定、信息安全管理组织架构组建，信息安全人员责任分配等。

2）管理层：由图书馆信息安全管理部门的主管和其他部门主管组成，主要负责图书馆信息安全工作计划和方针的制定，日常信息安全管理制度、文件化操作规程的制定，信息安全事件管理，信息风险的预测、控制，各部门，信息安全工作实施情况的监督和审计等，其直接向风险直接向首席安全官汇报。

3）审计层：一般由聘请的信息安全专家、首席安全官（CSO）、图书馆党委书记、馆员代表以及用户代表组成。其主要是建立图书馆内部的审核制度、审核标准、审核方式和审核流程，制定审核计划，定期对图书馆信息安全管理体系的运行情况进行审核，审核结果要和图书馆员的考核挂钩，以此提高图书馆员的信息安全意识，规范图书馆员的信息行为。同时，可以考虑建立图书馆的BCP/DRP机制，以及信息安全应急响应机制等，建立和完善图书馆的业务连续性管理框架[7]。

4）执行层：一般由图书馆信息安全管理部门的馆员和其他部门具体负责信息安全的信息安全员组成，信息安全管理部门的馆员主要包括机房管理员、网络及服务器管理员、数据库管理员和信息系统管理员等。执行层是落实图书馆的信息安全计划、实施各种信息安全策略、全面进行日常图书馆的信息安全管理、安全服务支持、安全事件控制、信息安全规范的馆员团队；尤其是各部门的信息安全员，还具体负责本部门的信息安全行为规范和信息安全素养培训等。执行层是保障图书馆信息安全措施全面落实的中间层，并通过不断的实践，推动信息安全管理体系自身的不断完善。

5）用户层：以最小特权的原则，图书馆可以采用“按用户授权，按需求行权”的方法实现对用户的信息安全管理。即按照用户信息需求的层级分别授予不同的系统、资源、服务等的访问、利用权限。此外，还应采用信息安全教育、培训、宣讲、活动等形势，不断提升用户的信息安全素质，提升用户自觉规范信息行为的自觉。

3.3信息资产管理

图书馆实施有效的信息安全体系的基础就是信息资产的识别、管理与保护，以此来提高图书馆整体的信息安全管理水平，并及时规避信息隱患和信息风险。

图书馆的信息资产有多种存在形式，包括无形信息资产和有形信息资产，有形信息资产还包括硬件、软件、数据、文件等。图书馆的信息资产管理包括对各类信息资产的识别、分级管理、周期性管理和记录等。

3.3.1信息资产识别

通常信息资产的保密性、完整性和可用性是公认的能够反映资产安全特性的3个要素。而资产的识别就是一个信息资产收集→信息资产识别→信息资产分类→信息资产赋值的全过程、对信息资产进行识别对于高校图书馆整个信息安全管理体系的工作具有至关重要的作用。

遵循最小泄露原则，高校图书馆通常将信息资产分成绝密、机密、秘密、内部公开和外部公开五个级别。通过对不同的信息资产赋予不同的安全级别，施行不同的管理、访问、服务、存储策略，以保证高校图书馆信息安全的同时，尽可能提供服务。

3.3.2信息资产的周期性管理

周期性管理主要是对实体信息资产和软件信息资产的管理。它是指从实体信息资产和软信息资产的需求开始，从调研、分析、采购、安装、使用、维护、更替到淘汰的全部生命历程。通过对信息资产实行全周期性管理，能够有效监测信息资产的运行状态、信息资产的可靠性和经济性，在达到信息资产合理、最优化利用目标的同时，兼顾信息软件资产的开发、设计、更新，信息硬件资产的技术更新和设备更替等。

3.3.3信息资产的记录

信息资产的记录应该包括ISO/IEC 27001：2013所要求的信息记录以及确定对高校图书馆信息安全管理体系有效的、必要的文件信息。高校图书馆信息安全管理的规模、复杂程度、活动的类型、过程、服务和人员能力等多方面的因素决定了信息资产记录的详略程度。从安全宜用的角度，高校图书馆在对信息资产进行分发、访问、检索、使用、存储、更改与处置等过程中，都应当进行明确的信息资产记录[4]。

3.4信息安全风险评估

信息安全风险评估是一个系统工程，具体包括以下步骤。

3.4.1风险识别

风险识别是信息安全风险评估的首要环节，是指采用一种系统的方法，来识别图书馆隐藏在信息资产中的潜在风险，并識别风险的轻重缓急，找出较为重大的风险。

风险识别是一个复杂的过程，其包括信息资产识别、威胁识别、薄弱点识别、已有的安全措施确认等环节。每一个环节都是信息安全风险识别必不可少的，往往某一信息资产可能面临多个威胁或不同的信息资产面临的安全威胁有其独特性，这都需要依据ISO/IEC 27001：2013标准要求，对信息资产进行细致周密地分析，科学统计分析威胁发生的概率、及发生后所造成的损失等。

3.4.2风险评估

图书馆在识别信息安全风险后，要评估信息风险可能导致的潜在后果，评估风险发生的实际可能性，确定风险级别，将风险分析结果同建立的风险准则对比，按优先级排序，并将整个信息安全风险评估过程文件化。

在图书馆风险评估的过程中，可以采用定量分析方法，如因子分析法、聚类分析法等；也可以采用定性分析方法，如因素分析法、逻辑分析法等；还可以将定量与定性方法相结合，采用综合分析的方法。学者黄水清等研究了一种定性方法，简单、操作性强，其公式为[8]：

风险大小=资产价值×威胁发生的可能性×薄弱点大小。

信息风险评估是一项持续的、长期的工作，需要定期开展。

3.4.3风险处置

风险评估后要进行风险处置。风险处置首先，要考虑风险评估的结果，对照已经拟定的风险处理计划，进行风险控制计划的调整；其次，根据控制经费与信息风险平衡的原则，对不同的信息风险以降低风险为主要原则，可以适当选择以下降低风险的方式：避免风险；转移风险；减少风险；减少薄弱点；减少威胁可能的影响程度；探测信息安全事件，对其做出反应并恢复。再次，依照ISO/IEC 27001：2013标准要求，从114项控制措施中选取适当的措施来降低风险大小。最后，将信息安全风险处置过程文件化。

3.5访问控制

访问控制是按访问者的身份及其所归属的某项定义组或是按信息资产的安全等级等来限制访问者对某些信息项、某些控制功能的使用的一种信息安全策略，也是高校图书馆比较通用的一项信息安全技术。

与其他的组织相比，图书馆具有典型的为大量的流动性用户服务的特征，且服务的用户组成复杂，包括图书馆馆员、教师、学生、各类服务商、校友、社会组织、社会人员等，针对不同的信息系统，可能存在不同的访问控制模式。因此，要实现高校图书馆的访问控制，首先，要明确信息安全组织各层的访问控制职责；其次，从对象、任务、角色等不同角度制定访问控制策略；再次，进行规范的访问控制管理，其主要包括馆员基于业务管理需要的访问和用于基于授权和非授权的访问管理，以及特殊访问权的管理等。

3.6信息安全防护管理

随着高校图书馆信息安全问题的日益突出，信息安全防护成为图书馆的关注点，这也是ISO/IEC 27001：2013标准体系的要求。

3.6.1技术防范

技术防范是信息安全防护管理的主要手段，其主要采用的方法有恶意软件防范、数据备份、密码技术、日志监控、通信安全控制、技术脆弱性管理等。以技术脆弱性管理为例，应遵循“最低权限”原则，即只安装业务发展和服务必须的软件，并要考虑所安装的软件间的兼容和冲突，尽量安装少的、兼容的软件。

3.6.2管理防范

信息安全防范是一个整体的、体系化的工程，是技术与管理的有机结合体，其中管理尤其起了重要的作用。为了减少人为因素带来的损失，高校图书馆应重点围绕“人”这一因素，从提高安全意识、规范信息行为、访问信息控制、信息行为审计、违规行为处罚等多个角度制定详细的管理规程，使“人”明确自己的责任，规范自己的行为，从而起到安全防范的作用。

3.6.3制度防范

制度防范是信息安全防范的重要手段之一，应从图书馆的整体信息安全出发，针对信息安全面临的威胁和薄弱点制订系统化、体系化的安全防范制度，以规范图书馆的信息管理，降低信息安全风险。信息安全制度应包括图书馆服务器管理制度、存储设备管理制度、网络管理制度、数据库管理制度、数据备份制度、密码管理制度、介质安全管理制度、档案文件管理制度、信息资产生命周期管理制度等。信息安全制度要尽量全面、科学、细致、规范。

3.7信息安全事件控制

对于信息安全事件的控制，高校图书馆应当建立起一套合理有效的管理与改进机制，其应该包括以下几方面的内容：第一，应建立信息安全事件控制的负责组织，明确其职责，制定科学的管理规程和信息安全事件响应方案，以快捷有效、有序地响应信息安全事件；第二，各部门的信息安全管理员有责任记录并报告部门所辖内信息系统和服务的弱点，汇集在信息安全事件控制负责组织处，以便其对图书馆的信息安全弱点有整体地把握；第三，信息安全事件一旦发生，应尽快通过适当的管理渠道报告信息安全事态；第四，信息安全事件控制组织要及时对信息安全事态的做出判断和评估；第五，按照规程对信息安全事件做出响应，应急响应的技术手段有日志分析、事件鉴别、灾难恢复、计算机犯罪取證、攻击者追踪等；第六，对信息安全事件进行总结，以降低未来事件发生的可能性；第七，按照规程识别、收集、获取和保存信息安全事件的证据信息。信息安全事件控制组织要保证在最快的时间内对信息安全事件做出正确响应并及时进行恢复，以保障图书馆业务的连续性，并为安全事件的追踪提供支持。

3.8信息安全文化建设

信息安全保障是由许多过程组成的，在这些过程中，有人与技术的合作，有人与人的合作。归根结底，安全主要依赖于人的规范行为。高校图书馆的信息安全管理体系最终要统筹解决的是信息安全中的“人为因素”，是人的问题。建立组织的信息安全文化，也是一种有效的信息安全管理方式，已经被众多的案例所证明，同样的，也适用于高校图书馆。高校图书馆通过信息安全文化的建设，最终要实现将“人”从信息安全“人为因素”变为信息资产[10]。

信息安全文化建设是高校图书馆信息安全管理的重要内容。当信息安全渗透到所有图书馆人员和用户的精神深处，成为其一种潜意识的行为规范，图书馆信息安全管理就进入了良性循环的轨道。从深层次来说，信息安全文化是图书馆信息安全价值观念、团体意识、心理归宿、心理预期、思维模式、工作作风和行为规范的总和，其可以通过：建立信息安全价值观、建立信息安全行为规范、建立信息安全绩效评估机制、建立畅通的沟通渠道、建立教育培训体系、保证全体馆员对信息安全事务参与等途径；并结合各种信息安全的检查、评比、竞赛等活动，在图书馆内全面营造信息安全管理的文化氛围，以强化全体馆员的信息安全意识，规范信息安全行为。

4结语

依据新的国际信息安全管理标准，构建高校图书馆信息安全管理体系，化解信息安全风险，是当下之需，也是长远之计。ISO/IEC 27001：2013提供了一套较为完备的信息安全控制目标和控制措施，但是如何将这些控制目标和控制措施与高校图书馆的实际业务工作相结合，在图书馆中实施符合自身发展需要的信息安全管理体系是需要更深入研究的。本文抛砖引玉，希望能推动本领域研究的进一步深入。

参考文献

[1]OCLC.OCLC致力于提供安全的图书馆服务[EB/OL].http：∥www.oclc.org/zhcn-asiapacific/policies/security.html，2016-03-12.

[2]杨烨.千余高校网站存信息泄漏风险[EB/OL].http：∥www.jjckb.cn/2015-05/20/content548240.htm，2016-03-12.

[3]茆意宏，黄水清.数字图书馆信息安全管理依从标准的选择[J].中国图书馆学报，2010，（4）：54-60.

[4]万会龙.扣紧企业管理薄弱环节——戴明环环环相扣的管理模式解读[J].施工企业管理，2009，（6）：70.

[5]ISO/IEC 27001：2013.Information Technology—Security Techniques—Information Security Management Systems—Requirements[S].Geneva：International Organization for Standardization，2013.

[6]白云广，谢宗晓.ISO/IEC 27001：2013概述与改版分析[J].中国标准导报，2014，（12）：45-48.

[7]朱璇.基于ISO27001的信息安全管理体系的研究和实现[D].上海：上海交通大学，2009：5-11.

[8]黄水清，任妮.数字图书馆信息安全风险评估的方法与模型[J].图书情报工作，2014，（2）：14-20.

[9]北京英伦凯悦管理咨询有限公司.ISO27001标准附录“A.11访问控制”解析[EB/OL].http：∥www.iso27001.org.cn/iso27001/biaozhun/show265.html，2016-03-12.

[10]Derek L.Nazareth a，Jae Choi b.A system dynamics model for information security management[J].Information & Management，2015，52：123-134.

作者：刘万国 周秀霞 霍明月

高校信息安全风险评估论文 篇3：

融合驱动创新 共享创造价值

中国信息技术服务产业联盟

2015年，在全球经济增速趋缓的背景下，新一代信息技术却依然保持快速地发展，全球信息技术服务产业也保持稳中有增的态势。全球信息技术服务产业的区域分布特点鲜明：欧洲、中东和非洲市场年度合同金额最大，亚太市场增长最为强劲。各主要经济体国家以数字经济为驱动，开启新一轮产业布局；产业加速转型融合，IT巨头加快并购整合步伐；开源技术将成为信息技术创新的主流模式之一。

今年受我国经济下行压力增大、行业市场竞争加剧等多种因素的影响，我国信息技术服务产业增速放缓，但仍保持平稳较快增长态势。2014年中国信息技术服务占全球份额已经达到30%，中国信息技术服务产业已经进入发展黄金期，将进一步促进经济的转型发展。当前，中国信息技术服务产业结构不断优化，产业链向高端不断延伸，呈现比较鲜明的趋势：互联网+将引发新的信息革命；智能制造将成为中国工业制造未来的主攻方向；创新创业潮流将推动技术创新呈现多元化趋势；跨界融合成为产业发展的主旋律；智慧城市将迎来黄金发展期；020将撬动国内万亿元消费市场。面对各种新机遇和挑战，中国信息技术服务产业联盟将在今后一如既往地促进我国信息技术服务产业不断向高端、高附加值业务等方向进行创新发展，更好地培育和服务好国内信息技术服务企业。

鼓励信息技术服务产业的传统企业转型

推动信息技术服务产业整体战略布局，加快研发创新和应用推广。在云计算、物联网、移动互联网、大数据、互联网+、智能制造等新兴领域的国家整体战略布局指引下，加快智慧城市建设、两化深度融合和各行业领域信息化建设工作落地。面向云计算、物联网、移动互联网、大数据等新一代信息技术，着眼于数据处理和运营服务环节，加强面向行业的数据监测、商业决策、数据分析、横向扩展存储等解决方案研发与产业化，发展行业数据分析的深加工处理服务和内容增值服务。面向互联网+和智能制造领域，进一步推动制造业服务化发展，建立智能制造标准体系。

鼓励信息技术服务产业的传统企业加快转型升级步伐。信息技术服务企业转型主要有三种路径：即向互联网转型、技术纵向延伸、并购整合，而在向互联网转型过程中，只有那些具备庞大用户基础、极强用户转化能力、极强的平台粘性以及清晰盈利模式的企业才有望脱颖而出；技术的纵向延伸我们认为当前的物联网、大数据、云计算三大前沿技术以点带面开始逐步全行业铺开；并购则是具备协同效应如客户互补、产品互补且在行业地位较高的龙头才有望胜出。

营造良好产业政策环境促进信息技术服务创新

在云服务、信息系统集成、服务外包、数据服务、移动互联网等行业实施准入制度或资质细分管理，加强对行业的监管，规范行业市场秩序。

发展信息安全风险评估、信息系统等级保护咨询、信息系统安全方案设计咨询、信息系统安全集成、信息安全工程监理、信息系统安全运维、网络安全应急处理、数据与系统容灾备份、电子认证、信息安全测评、信息安全认证、信息安全培训、电子取证、安全审计等信息安全服务和前瞻性、系统性研究工作，提高国内企业的信息安全服务能力。

完善数据、软件等托管、个人隐私保护以及安全管理等方面的政策措施与标准规范，明确数据托管要求，对事关国家信息安全、企业信息和用户隐私的敏感数据，禁止在第三方平台上托管。呼吁政府主管部门尽快研究制定并出台“数据保护法”、“个人信息保护法”、“移动互联网信息安全保护管理办法”等法律法规和管理规范。

加强信息技术服务产业联盟、开源社区等组织机构的建设，推进信息技术服务企业、互联网企业与工业企业深度合作，推动基于网络的协同创新，打造互联网的产业链及生态体系。

积极推进信息技术服务产品化、标准化进程，支持国内重点信息技术服务企业开展信息技术服务支撑工具软件研发与产业化。引导信息技术服务企业把握云计算、大数据、移动互联、物联网等技术变革和商业模式创新带来的新机遇，深化产业融合，实现业务升级。推动国内重点信息技术服务企业发展信息技术整体解决方案，提供信息系统开发以及数据收集、处理、挖掘等一体化服务。

鼓励国内企业兼并重组提升国际竞争力

支持企业通过并购重组不断丰富产品类型、完善产品结构，加快向价值链高端延伸并扩展客户资源，突破其由于业务单一、政策依赖强、竞争加剧等因素带来的企业利润减少等发展瓶颈。

支持龙头企业加强对具有业务特色、独特技术和研发能力以及客户IT系统的外包合作伙伴等企业并购，同时面向云计算、大数据、物联网、移动互联网等新兴领域，并购具备自主知识产权核心技术的成长性好、未来市场前景广阔的创新型信息技术服务企业，获得关键领域核心技术，完善专利布局。

支持具备条件的优势企业开展海外并购，加快“走出去”步伐。通过开展产品、技术、资本等活动，加大政策性贷款的支持力度，探索利用产业基金等资金渠道，支持企业重点开展研发、品牌、营销等多领域的海外并购。支持企业在海外进行股权投资、创业投资、绿地投资与技术合作，建立研发中心，构建全球产业链生态体系。支持企业加强拓展海外市场的能力建设，充分依托我国的市场、人才等优势，借力全球创新资源，加大要素整合力度，增强全球交付能力，提高国际竞争力。

强化信息安全保障体系提高信息安全服务能力

依托国内企业、科研院所、高校等多方力量，集中研究并逐步实现突破云计算等新一代信息系统安全防护及系统恢复核心技术。大力发展开源社区和技术服务平台，为互联网企业特别是中小微企业提供自主信息安全的基础技术支持。支持安全产品研发及推广，扶持互联网企业采购并部署信息安全产品和服务，对中小微企业政府可通过统一采购等方式提供产品和服务支持。

强化信息系统安全检查及管理，结合云计算、物联网等新一代信息系统特点，建立信息系统安全运行核查机制，完善相应应急预案。在《信息系统灾难恢复规范》的基础上，不断健全信息系统安全防护国家标准体系。加强政企及合作组织的交流与协作，重点围绕自主信息安全技术创新、信息共享平台建设、应急联系机制完善等主题，共同维护网络安全环境。

我国自主信息安全的能力和水平正在稳步提升。我国自主信息安全的技术水平、产业基础、人员素质以及国际大环境都较以往有很大的改善，部分环节的核心技术、信息安全能力快速提升，使国家对推动国产化进度以及在对外态度上更有自信。