基于ISO/IEC 27001：2013的高校圖書館信息安全管理體系構建研究

劉萬國+周秀霞+霍明月

〔摘要〕文章從高校圖書館面臨的信息安全風險入手，闡述了高校圖書館信息安全的需求；基于需求，全面研究了最新的“ISO/IEC 27001：2013”國際信息安全管理標準在高校圖書館中的適用性；由此提出了“基于ISO/IEC 27001：2013的高校圖書館信息安全管理體系框架”；并指出信息安全管理體系構建應遵守“投資與風險平衡”、“技術與管理平衡”、“信息系統建設與信息安全管理體系建設同步”的原則，認為信息化會不斷拓展和深化，信息風險會永恒存在。

〔關鍵詞〕信息安全；管理體系；高校圖書館；ISO/IEC 27001：2013；信息資產；信息風險

DOI：10.3969/j.issn.1008-0821.2017.04.001

〔中圖分類號〕G250.71〔文獻標識碼〕A〔文章編號〕1008-0821（2017）04-0003-06

Study on the Construction of Information Security Management

System Based on ISO/IEC 27001：2013 in University LibraryLiu Wangguo1Zhou Xiuxia1Huo Mingyue2

（1.Library，Northeast Normal University，Changchun 130024，China；

2.Library，Changchun University of Chinese Medicine，Changchun 130017，China）

〔Abstract〕Starting with information security risks faced by these libraries，this article explained university libraries demand for information security，and comprehensively explored the latest international information security management standards“ISO/IEC 27001：2013”s applicability in university library.On accordance with the standard of“ISO/IEC 27001：2013”，this thesis proposed a management system of university library security that was an“organism frame”.Building such a system should obey the following principles，“balance between investment and risk”，“balance between technology and management”and“synchronization in both the information system and information security management system construction”.Informationization would go wider and deeper continuously，while the risk would exist perpetually.

〔Key words〕information security；management system；university library；ISO/IEC 27001：2013；information assets；information risk

高校圖書館是高校信息資源的集散地，隨著圖書館數字化進程的加快，數字資源海量聚集，信息安全成為高校圖書館亟待解決的重要問題。但是高校圖書館信息安全“重技術、輕管理”，信息安全管理體系建設更是一片空白，多數高圖書館的管理層對信息資產所面臨威脅的嚴重性認識不足，缺乏明確的信息安全戰略規劃、科學系統的信息安全管理制度、相對有效的管理措施等。管理是信息安全的根本。高校圖書館急需建立一套完備、規范的信息安全管理體系來規范信息安全管理，控制信息安全風險，提升信息安全防御能力。

ISO/IEC 27001：2013是國際上通用的最新的信息安全標準，國際聯機計算機圖書館中心（OCLC）就實施了符合ISO 27001：2013標準的信息安全管理體系，并注冊登記取得了認證，同時還擁有了注冊信息安全專業人員、信息技術審計人員、業務持續規劃和災難恢復領域的全職專家等[1]。其他大量企業、政府部門等的應用認證已證明了其的優選性，高校圖書館引入ISO/IEC 27001：2013來構建信息安全管理體系是圖書館信息安全的迫切需求，也是高校圖書館信息安全管理必然的選擇。

1高校圖書館信息安全需求分析高校是信息安全泄漏的重災區。據2015年5月補天漏洞響應平臺的數據顯示，自2014年4月至2015年3月的12個月間，高校網站的漏洞多達3 495個，涉及高校網站1 088個，占全國高校總數的近40%[2]。高校圖書館作為高校的信息資源中心，其信息安全性可想而知。

而筆者對吉林省35所高校圖書館的問卷調查也很好地證明了這一點。在關于“在過去的一年中圖書館受到過何種網絡攻擊”的問題中，約70%的被調查者選擇了“病毒攻擊”；約43%的被調查者選擇了“網絡釣魚”；約40%的被調查者選擇了“木馬攻擊”；約31%的被調查者選擇了“系統漏洞”；約29%的被調查者選擇了“垃圾郵件”；約17%的被調查者選擇了“篡改網頁”；約20%的被調查者選擇了“其他攻擊方式”。可見，圖書館仍面臨著各種不安全因素，安全事件頻頻發生，信息安全環境令人堪憂。

身處這樣的環境，高校圖書館信息安全需要滿足：

1）物理安全需求：即圖書館指計算機、網絡設備、機房等環境的安全等，這是整個圖書館信息安全的前提。

2）網絡安全需求：即圖書館網絡系統的硬件、軟件及其中數據受到保護，不受偶然的或者惡意的破壞、更改、泄露等，保證系統連續可靠地運行，網絡服務不中斷。

3）數據安全需求；即指圖書館系統內的數據在任何條件下都能保持其保密性、完整性、可靠性、可用性和一致性。

4）系統安全需求：包括避免病毒對于系統的威脅；黑客對于網絡的破壞和入侵；內部工作人員的操作失誤與惡意訪問等。

5）管理安全需求。管理安全需求是高校圖書館信息安全的最高需求，包括信息安全經費投入、信息組織機構建設、信息安全戰略規劃、信息安全目標確定、信息安全管理制度制定、信息安全隊伍培養、信息安全管理機制確認等諸多方面的需求。

2ISO/IEC 27001：2013高校圖書館信息安全管理適用性研究各國專家、各種機構根據不同的信息安全管理的需求制定了眾多標準，如CC標準、BS-7799標準、COBIT標準、ITIL標準、ISO/IEC13335標準、ISO/IEC 27000系列標準等。其中，ISO/IEC 27000系列標準是應用最為廣泛的信息安全標準之一，而ISO/IEC 27001是ISO/IEC 27000系列標準的主標準，目前的有效版本是ISO/IEC 27001：2013。

ISO/IEC 27001：2013全稱為“信息技術-安全技術-信息安全管理體系-要求”。標準包含了14控制域、35個控制目標、114個控制措施，是建立信息安全管理系統（ISMS）的一整套管理標準。ISO/IEC 27001：2013標準重視領導和人員對信息安全的職責與治理，重視信息安全績效的評估，重視風險評估方法的應用，更重視與業務工作的融合和信息安全管理的長效機制，是一套比較完備的信息安全管理規范。

歸納ISO/IEC 27001：2013對圖書館信息安全管理的適用性，具體表現為以下幾個方面：

2.1ISO/IEC 27000系列標準為通用標準

ISO/IEC 27000系列標準為通用標準，采用了國際標準的通用架構，具有很好的兼容性，更易與其他管理體系進行融合。ISO27000系列標準的起源是BS7799，在BS7799立項初始，其性質就被定義為跨行業的通用標準。它的目的是能夠提供一套具有可開發性、可實施性與可測量性的信息安全管理規范。因而，ISO27000系列標準對所有行業都有普適性，自然也適用于高校圖書館。

2.2ISO/IEC 27001：2013重視信息資產

ISO/IEC 27001：2013標準把信息看作是組織的資產，認為其對組織的生存、發展起著關鍵作用，要識別信息資產并起保護責任；并且要求信息安全風險管理要聚焦信息，而信息是融合在整個業務流程中，因此，信息安全管理還要以業務價值為基礎。而圖書館卻正是專門從事信息管理與信息價值識別、服務的機構，信息是圖書館最重要的資產，其日常業務與信息安全緊密相連，因而與ISO/IEC 27001：2013標準有著天然的聯系和契合性。

2.3ISO/IEC 27001：2013風險評估方法的普適性

ISO/IEC 27001：2013中提出了組織應確立并應用一個信息安全風險評估過程，即信息風險評估應該包括：建立并保持信息安全風險準則，確保重復執行的信息安全風險評估產生一致的、有效的和可比的結果，識別信息安全風險，分析信息安全風險，評價信息安全風險，處置信息安全風險，保留信息安全風險處置結果的信息文件。雖然該標準并沒有解釋實施的具體方法，但是由于該方法本身的普適性，ISO27001中的風險評估方法在高校圖書館中運作起來并不困難。

2.4ISO/IEC 27001：2013標準覆蓋信息安全管理的全過程ISO/IEC 27001：2013標準共包含14控制域、35個控制目標、114個控制措施。涉及信息安全策略、信息安全組織、人力資源安全、資產管理、訪問控制、密碼術、物理與環境安全、操作安全、通信安全、系統獲取開發和維護、供應商關系、信息安全事件管理、業務連續性管理的信息安全方面、符合性等諸方面。基本上涵蓋了信息安全管理的整個過程及一個組織可能涉及信息安全的方方面面，因此，其也必然能夠滿足高校圖書館對信息安全管理的要求[3]。

2.5ISO/IEC 27001：2013采用了PDCA模式

PDCA是全面質量管理所應遵循的一種科學程序，包括P、D、C、A 4個步驟，即P（Plan，建立），D（Do，實施運行），C（Check，監視審核），A（Act，保持和改進）。

PDCA循環周而復始，一個循環結束后即進入下一個PDCA循環；大環套小環，一環扣一環，小環保大環，推動大循環；階梯式上升，每循環一次解決一部分問題，到新的循環又有新的目標與內容[4]。ISO/IEC 27001：2013引入PDCA循環模式，是為建立、實施信息安全管理體系并持續改進其有效性的方法；而有關圖書館管理應用PDCA循環模式的研究也很常見，將PDCA循環模式應用于高校圖書館信息安全管理是沒有問題的。

3基于ISO/IEC 27001：2013的高校圖書館信息安全管理體系構建高校圖書館信息安全管理體系是以一個技術保障為基礎，以組織、管理體系為核心，符合圖書館業務規律的有機整體。以ISO/IEC 27001：2013標準為依據構建的高校圖書館信息安全管理體系，能夠保障圖書館信息安全管理體系的有效性，保障信息資產的保密性、完整性和可用性[5]。

信息化會不斷拓展和深化，信息風險會永恒存在。高校圖書館信息安全管理體系構建應遵守“投資與風險平衡”、“技術與管理平衡”、“信息系統建設與信息安全管理體系建設同步”的原則，依據ISO/IEC 27001：2013標準中羅列的控制域、控制目標以及控制措施，將信息安全規范管理的理念融入到圖書館日常的規劃發展、組織管理、政策制定、信息資產管理、物理環境安全管理等各項工作中，逐層建立起了信息安全管理的規范；并且，通過采用不斷循環的PDCA模式，保證了高校圖書館持續處于信息安全風險受控狀態。高校圖書館基于ISO/IEC 27001：2013標準構建的信息安全管理框架如圖1所示。

3.1信息安全戰略規劃

信息安全戰略規劃是高校圖書館在一個時期內（一般不超過5年）制定的具有全局性、層次性、協調性和相對穩定性的謀劃，它是高校圖書館信息安全發展的總體思路，是信息安全管理的指導依據。

高校圖書館的信息安全管理規劃需要綜合考慮以下幾方面因素，如圖2所示。

1）業務驅動/數字化：以圖書館的業務發展目標、發展規劃（包括數字圖書館的發展規劃）為基礎，保證與圖書館發展規劃的目標保持一致，這是信息安全管理規劃的出發點，也是最終點。圍繞這一主旨，圖書館要實現最高管理者對信息安全的承諾，定義出信息安全管理的使命、目標和管理方法，并以此制定出物理安全策略、操作安全策略、系通信安全策略、資產安全策略、風險控制策略、應急響應策略、人力資源安全策略等的信息安全總體規劃，為圖書館的發展起到保駕護航的作用。

2）信息安全目標：在ISO/IEC 27001：2013中明確指出，信息安全管理體系的目標就是通過應用風險管理過程以保證信息資產的保密性、完整性和可用性，并給予相關利益方風險已得到充分管理的信心。這個相關利益方既是指圖書館所處的高校和圖書館的用戶，也指那些與圖書館有直接或間接聯系的承包商、數據庫商等。除此之外，還應考慮：①與信息安全戰略規劃建立聯系，并保持一致；②成本與信息安全目標的平衡；③信息安全風險的預測、識別與控制措施的應用；④可通過績效評價來衡量信息安全目標的有效性、可操作性等。

3）符合性要求：這是ISO27001：2013的控制目標要求，其主要要求高校圖書館的信息安全戰略規劃及其之后的計劃、策略、實施、操作等，要與國家法律條例、政策規定、圖書館的規章制度、規則等保持一致，及其以后在信息安全實施操作中也要保證相關流程合乎這些要求[6]。

4）外部環境：外部環境也是影響高校圖書館信息安全戰略規劃的重要因素，并且因為其組成復雜，對圖書館的影響有好有壞，難以控制，更應該引起高校圖書館的重視。綜合考慮外部環境的構成，其主要包括以下幾個方面：①高校信息化的變遷，包括信息化規劃的更新、信息化相關政策的制定、信息化設備的購置、信息安全環境等；②有關信息安全的新技術、新威脅、新系統等的出現應用等；③圖書館用戶信息安全意識、信息技能等的變化；④政策環境的變動。譬如2014年，教育部出臺了《教育行業信息系統安全等級保護定級工作指南（試行）》，高校圖書館就要將信息系統安全等級保護定級工作納入信息安全戰略規劃中予以考慮；⑤意外事故，如雷擊、地震、火災、時間較長的斷電、斷網等。

5）內部需求：信息安全是圖書館的整體需求，其信息安全管理規劃也應從圖書館的全局出發，綜合考慮。首先，需要建立一個合適的平衡點，保證圖書館在可以接受的信息風險范圍內投入最少的經費；其次，需要考慮圖書館內各部門的業務發展對信息安全的需求，以及需求的優先級別；再次，應考慮圖書館內人力資源的管理、教育、培訓以及信息安全管理相關制度的建立等等。

3.2信息安全組織架構

高校圖書館信息安全管理體系涉及了圖書館的方方面面，從普通館員到館長，都負有信息安全的管理責任，一般的，一個相對完善的高校圖書館信息安全管理組織架構包括以下方面，如圖3所示：圖3高校圖書館信息安全管理組織架構

1）決策層：主要指高校圖書館的信息安全領導小組，其是高校圖書館信息安全管理工作的頂層設計和統籌規劃者，由負責數字圖書館建設或具體負責信息安全的館領導（下文統稱為首席安全官）牽頭，可包括其他館領導和個別部門主管。決策層主要負責信息安全戰略的規劃、信息安全管理策略的制定、信息安全管理組織架構組建，信息安全人員責任分配等。

2）管理層：由圖書館信息安全管理部門的主管和其他部門主管組成，主要負責圖書館信息安全工作計劃和方針的制定，日常信息安全管理制度、文件化操作規程的制定，信息安全事件管理，信息風險的預測、控制，各部門，信息安全工作實施情況的監督和審計等，其直接向風險直接向首席安全官匯報。

3）審計層：一般由聘請的信息安全專家、首席安全官（CSO）、圖書館黨委書記、館員代表以及用戶代表組成。其主要是建立圖書館內部的審核制度、審核標準、審核方式和審核流程，制定審核計劃，定期對圖書館信息安全管理體系的運行情況進行審核，審核結果要和圖書館員的考核掛鉤，以此提高圖書館員的信息安全意識，規范圖書館員的信息行為。同時，可以考慮建立圖書館的BCP/DRP機制，以及信息安全應急響應機制等，建立和完善圖書館的業務連續性管理框架[7]。

4）執行層：一般由圖書館信息安全管理部門的館員和其他部門具體負責信息安全的信息安全員組成，信息安全管理部門的館員主要包括機房管理員、網絡及服務器管理員、數據庫管理員和信息系統管理員等。執行層是落實圖書館的信息安全計劃、實施各種信息安全策略、全面進行日常圖書館的信息安全管理、安全服務支持、安全事件控制、信息安全規范的館員團隊；尤其是各部門的信息安全員，還具體負責本部門的信息安全行為規范和信息安全素養培訓等。執行層是保障圖書館信息安全措施全面落實的中間層，并通過不斷的實踐，推動信息安全管理體系自身的不斷完善。

5）用戶層：以最小特權的原則，圖書館可以采用“按用戶授權，按需求行權”的方法實現對用戶的信息安全管理。即按照用戶信息需求的層級分別授予不同的系統、資源、服務等的訪問、利用權限。此外，還應采用信息安全教育、培訓、宣講、活動等形勢，不斷提升用戶的信息安全素質，提升用戶自覺規范信息行為的自覺。

3.3信息資產管理

圖書館實施有效的信息安全體系的基礎就是信息資產的識別、管理與保護，以此來提高圖書館整體的信息安全管理水平，并及時規避信息隱患和信息風險。

圖書館的信息資產有多種存在形式，包括無形信息資產和有形信息資產，有形信息資產還包括硬件、軟件、數據、文件等。圖書館的信息資產管理包括對各類信息資產的識別、分級管理、周期性管理和記錄等。

3.3.1信息資產識別

通常信息資產的保密性、完整性和可用性是公認的能夠反映資產安全特性的3個要素。而資產的識別就是一個信息資產收集→信息資產識別→信息資產分類→信息資產賦值的全過程、對信息資產進行識別對于高校圖書館整個信息安全管理體系的工作具有至關重要的作用。

遵循最小泄露原則，高校圖書館通常將信息資產分成絕密、機密、秘密、內部公開和外部公開五個級別。通過對不同的信息資產賦予不同的安全級別，施行不同的管理、訪問、服務、存儲策略，以保證高校圖書館信息安全的同時，盡可能提供服務。

3.3.2信息資產的周期性管理

周期性管理主要是對實體信息資產和軟件信息資產的管理。它是指從實體信息資產和軟信息資產的需求開始，從調研、分析、采購、安裝、使用、維護、更替到淘汰的全部生命歷程。通過對信息資產實行全周期性管理，能夠有效監測信息資產的運行狀態、信息資產的可靠性和經濟性，在達到信息資產合理、最優化利用目標的同時，兼顧信息軟件資產的開發、設計、更新，信息硬件資產的技術更新和設備更替等。

3.3.3信息資產的記錄

信息資產的記錄應該包括ISO/IEC 27001：2013所要求的信息記錄以及確定對高校圖書館信息安全管理體系有效的、必要的文件信息。高校圖書館信息安全管理的規模、復雜程度、活動的類型、過程、服務和人員能力等多方面的因素決定了信息資產記錄的詳略程度。從安全宜用的角度，高校圖書館在對信息資產進行分發、訪問、檢索、使用、存儲、更改與處置等過程中，都應當進行明確的信息資產記錄[4]。

3.4信息安全風險評估

信息安全風險評估是一個系統工程，具體包括以下步驟。

3.4.1風險識別

風險識別是信息安全風險評估的首要環節，是指采用一種系統的方法，來識別圖書館隱藏在信息資產中的潛在風險，并識別風險的輕重緩急，找出較為重大的風險。

風險識別是一個復雜的過程，其包括信息資產識別、威脅識別、薄弱點識別、已有的安全措施確認等環節。每一個環節都是信息安全風險識別必不可少的，往往某一信息資產可能面臨多個威脅或不同的信息資產面臨的安全威脅有其獨特性，這都需要依據ISO/IEC 27001：2013標準要求，對信息資產進行細致周密地分析，科學統計分析威脅發生的概率、及發生后所造成的損失等。

3.4.2風險評估

圖書館在識別信息安全風險后，要評估信息風險可能導致的潛在后果，評估風險發生的實際可能性，確定風險級別，將風險分析結果同建立的風險準則對比，按優先級排序，并將整個信息安全風險評估過程文件化。

在圖書館風險評估的過程中，可以采用定量分析方法，如因子分析法、聚類分析法等；也可以采用定性分析方法，如因素分析法、邏輯分析法等；還可以將定量與定性方法相結合，采用綜合分析的方法。學者黃水清等研究了一種定性方法，簡單、操作性強，其公式為[8]：

風險大小=資產價值×威脅發生的可能性×薄弱點大小。

信息風險評估是一項持續的、長期的工作，需要定期開展。

3.4.3風險處置

風險評估后要進行風險處置。風險處置首先，要考慮風險評估的結果，對照已經擬定的風險處理計劃，進行風險控制計劃的調整；其次，根據控制經費與信息風險平衡的原則，對不同的信息風險以降低風險為主要原則，可以適當選擇以下降低風險的方式：避免風險；轉移風險；減少風險；減少薄弱點；減少威脅可能的影響程度；探測信息安全事件，對其做出反應并恢復。再次，依照ISO/IEC 27001：2013標準要求，從114項控制措施中選取適當的措施來降低風險大小。最后，將信息安全風險處置過程文件化。

3.5訪問控制

訪問控制是按訪問者的身份及其所歸屬的某項定義組或是按信息資產的安全等級等來限制訪問者對某些信息項、某些控制功能的使用的一種信息安全策略，也是高校圖書館比較通用的一項信息安全技術。

與其他的組織相比，圖書館具有典型的為大量的流動性用戶服務的特征，且服務的用戶組成復雜，包括圖書館館員、教師、學生、各類服務商、校友、社會組織、社會人員等，針對不同的信息系統，可能存在不同的訪問控制模式。因此，要實現高校圖書館的訪問控制，首先，要明確信息安全組織各層的訪問控制職責；其次，從對象、任務、角色等不同角度制定訪問控制策略；再次，進行規范的訪問控制管理，其主要包括館員基于業務管理需要的訪問和用于基于授權和非授權的訪問管理，以及特殊訪問權的管理等。

3.6信息安全防護管理

隨著高校圖書館信息安全問題的日益突出，信息安全防護成為圖書館的關注點，這也是ISO/IEC 27001：2013標準體系的要求。

3.6.1技術防范

技術防范是信息安全防護管理的主要手段，其主要采用的方法有惡意軟件防范、數據備份、密碼技術、日志監控、通信安全控制、技術脆弱性管理等。以技術脆弱性管理為例，應遵循“最低權限”原則，即只安裝業務發展和服務必須的軟件，并要考慮所安裝的軟件間的兼容和沖突，盡量安裝少的、兼容的軟件。

3.6.2管理防范

信息安全防范是一個整體的、體系化的工程，是技術與管理的有機結合體，其中管理尤其起了重要的作用。為了減少人為因素帶來的損失，高校圖書館應重點圍繞“人”這一因素，從提高安全意識、規范信息行為、訪問信息控制、信息行為審計、違規行為處罰等多個角度制定詳細的管理規程，使“人”明確自己的責任，規范自己的行為，從而起到安全防范的作用。

3.6.3制度防范

制度防范是信息安全防范的重要手段之一，應從圖書館的整體信息安全出發，針對信息安全面臨的威脅和薄弱點制訂系統化、體系化的安全防范制度，以規范圖書館的信息管理，降低信息安全風險。信息安全制度應包括圖書館服務器管理制度、存儲設備管理制度、網絡管理制度、數據庫管理制度、數據備份制度、密碼管理制度、介質安全管理制度、檔案文件管理制度、信息資產生命周期管理制度等。信息安全制度要盡量全面、科學、細致、規范。

3.7信息安全事件控制

對于信息安全事件的控制，高校圖書館應當建立起一套合理有效的管理與改進機制，其應該包括以下幾方面的內容：第一，應建立信息安全事件控制的負責組織，明確其職責，制定科學的管理規程和信息安全事件響應方案，以快捷有效、有序地響應信息安全事件；第二，各部門的信息安全管理員有責任記錄并報告部門所轄內信息系統和服務的弱點，匯集在信息安全事件控制負責組織處，以便其對圖書館的信息安全弱點有整體地把握；第三，信息安全事件一旦發生，應盡快通過適當的管理渠道報告信息安全事態；第四，信息安全事件控制組織要及時對信息安全事態的做出判斷和評估；第五，按照規程對信息安全事件做出響應，應急響應的技術手段有日志分析、事件鑒別、災難恢復、計算機犯罪取證、攻擊者追蹤等；第六，對信息安全事件進行總結，以降低未來事件發生的可能性；第七，按照規程識別、收集、獲取和保存信息安全事件的證據信息。信息安全事件控制組織要保證在最快的時間內對信息安全事件做出正確響應并及時進行恢復，以保障圖書館業務的連續性，并為安全事件的追蹤提供支持。

3.8信息安全文化建設

信息安全保障是由許多過程組成的，在這些過程中，有人與技術的合作，有人與人的合作。歸根結底，安全主要依賴于人的規范行為。高校圖書館的信息安全管理體系最終要統籌解決的是信息安全中的“人為因素”，是人的問題。建立組織的信息安全文化，也是一種有效的信息安全管理方式，已經被眾多的案例所證明，同樣的，也適用于高校圖書館。高校圖書館通過信息安全文化的建設，最終要實現將“人”從信息安全“人為因素”變為信息資產[10]。

信息安全文化建設是高校圖書館信息安全管理的重要內容。當信息安全滲透到所有圖書館人員和用戶的精神深處，成為其一種潛意識的行為規范，圖書館信息安全管理就進入了良性循環的軌道。從深層次來說，信息安全文化是圖書館信息安全價值觀念、團體意識、心理歸宿、心理預期、思維模式、工作作風和行為規范的總和，其可以通過：建立信息安全價值觀、建立信息安全行為規范、建立信息安全績效評估機制、建立暢通的溝通渠道、建立教育培訓體系、保證全體館員對信息安全事務參與等途徑；并結合各種信息安全的檢查、評比、競賽等活動，在圖書館內全面營造信息安全管理的文化氛圍，以強化全體館員的信息安全意識，規范信息安全行為。

4結語

依據新的國際信息安全管理標準，構建高校圖書館信息安全管理體系，化解信息安全風險，是當下之需，也是長遠之計。ISO/IEC 27001：2013提供了一套較為完備的信息安全控制目標和控制措施，但是如何將這些控制目標和控制措施與高校圖書館的實際業務工作相結合，在圖書館中實施符合自身發展需要的信息安全管理體系是需要更深入研究的。本文拋磚引玉，希望能推動本領域研究的進一步深入。

參考文獻

[1]OCLC.OCLC致力于提供安全的圖書館服務[EB/OL].http：∥www.oclc.org/zhcn-asiapacific/policies/security.html，2016-03-12.

[2]楊燁.千余高校網站存信息泄漏風險[EB/OL].http：∥www.jjckb.cn/2015-05/20/content548240.htm，2016-03-12.

[3]茆意宏，黃水清.數字圖書館信息安全管理依從標準的選擇[J].中國圖書館學報，2010，（4）：54-60.

[4]萬會龍.扣緊企業管理薄弱環節——戴明環環環相扣的管理模式解讀[J].施工企業管理，2009，（6）：70.

[5]ISO/IEC 27001：2013.Information Technology—Security Techniques—Information Security Management Systems—Requirements[S].Geneva：International Organization for Standardization，2013.

[6]白云廣，謝宗曉.ISO/IEC 27001：2013概述與改版分析[J].中國標準導報，2014，（12）：45-48.

[7]朱璇.基于ISO27001的信息安全管理體系的研究和實現[D].上海：上海交通大學，2009：5-11.

[8]黃水清，任妮.數字圖書館信息安全風險評估的方法與模型[J].圖書情報工作，2014，（2）：14-20.

[9]北京英倫凱悅管理咨詢有限公司.ISO27001標準附錄“A.11訪問控制”解析[EB/OL].http：∥www.iso27001.org.cn/iso27001/biaozhun/show265.html，2016-03-12.

[10]Derek L.Nazareth a，Jae Choi b.A system dynamics model for information security management[J].Information & Management，2015，52：123-134.