基于ISO27001的数字图书馆信息安全风险评估探析

李阳

摘 要：  本文基于ISO27001标准，针对数字图书馆信息安全风险进行评估研究，建立了数字图书馆价值、威胁因素、薄弱运营内容判断模型，最终提出了保障数字图书馆信息安全管理的可行性措施，希望能够为相关的单位提供参考借鉴。

关键词：  ISO27001;数字图书馆信息;安全风险;评估探析

【中图分类号】TP393     【文献标识码】A     【文章编号】1674-3733（2020）06-0189-01

作为当代信息研究和分析的重要内容。信息安全风险评估是分析资产估值、分析威胁因素的关键体系。通过ISO27001标准参考对比，可建立一个科学、方便操作的评估策略，以此来分析数字图书馆建设存在的信息安全问题，为保证其建设业务连贯性奠定基础。

1 分析当前常见的信息安全风险评估技术

针对当前常见的信息安全管理技术，目前我国主流的信息风险评估技术有PDCA循环分析法、树状矩阵分析法、层次分析法等，其中ISO27001可以实现资产风险识别等任务。但是没有针对风险进行分级既定。现针对ISO27001的流程和运用要求，针对数字图书馆的应用进行了研究分析，最终提出了一种基于模糊计算的风险评估模型体系，进一步为数字图书馆的规范运用保驾护航。

2 ISO27001原则简介

ISO27001属于国家信息技术、安全技术、信息安全管理体系的标准规范要求，于2005年正式发布。其主要的信息安全评估步骤如下：

2.1 定义方法。

按照风险管理对象以及其内容，选用合理的业务识别等任务，可以完成相应的法律界定、信息监督和数据流管理。

2.2 风险识别。

ISO27001可以实现数据风险研究和定义，可针对ISMS控制范围所有资产进行排查研究，并分析其中可能存在的一些风险问题，控制数据的薄弱点，最终全满提升和优化整个系统的保密性和稳定性。

2.3 评价风险。

评估风险不当可能造成业务开展不当，风险处理不及时等问题。针对此，该阶段应当加强控制资产保密性和信息完整性，接恶化资产的主要威胁和薄弱信息点，建立可供实施的安全控制因素，进而评估安全失效过程中可能发生的问题，最终评价风险的等级，且在现有的标准下建立更为完善的优化或接受方案。

3 基于 ISO2700体系下数字图书资源风险评估体系模型建设

ISO2700实现了数据研究和风险评估，界定了具体的数据处理方法，但是没有界定具体的参数指标值，对此设计人员应当针对资产识别、威胁识别、薄弱点识别等内容进行建模分析，可建立如图1所示的风险评估框架流程。

具体而言，数字图书馆在实现以上流程时候，分别涉及处理以下工作内容。首先，资产识别处理过程完成了数字图书馆的业务流程梳理，实现了电子信息档案、软件资产、人员服务资产等内容资产汇总，可将得到的资产清单赋值估值，判断资源的合理性和实用性。其次，威胁识别分析控制，该过程中，系统的环境、人员以及自然等因素构成了资产威胁清单，可在此阶段设置威胁发生频率分析等级并判断威胁程度。再者，识别薄弱点，针对资产以及薄弱内容进行研究，并针对结合技术以及管理等角度数字图书体系建设的特点，最终形成一个综合的建设体系。最后，可以设计危险等级控制系统，分析系统的薄弱点，可设计通用弱电评价体系，分析威胁强度以及威胁发生的表现，进而构建一个专业性的数字图书分析系统。全面评估分析薄弱点等级内容。且最终可以资产价值、威胁等级以及薄弱等级几项内容构建风险矩阵，分别计算出每一类问题可能存在的风险值。

4 基于数字图书馆信息安全模型评估建设

基于以上几点流程，拟采用风险矩阵的处理方式连接模糊数学、威胁场景、CVSS资产价值评估模型。

4.1 资产价值评估体系。

该体系按照 ISO27000规定的组织资产完整性、保密性和可用性属性，按照人为赋值可能带来的影响，在运用模糊数学处理方式，减少客观影响。

4.2 威胁等级识别模型。

针对威胁事件的发生频率和影响因素，分为了系统、自然环境、人员因素、环境因素几个内容，最终得到一个1-5级的控制值。

4.3 薄弱點识别控制。

结合薄弱点的大小以及被利用程度，拟选用的等级评估的方式完成参数赋值。

4.4 风险矩阵表。

结合以上几点模型，最终针对 ISO27000得出了数字图书信息管理的风险矩阵表（如图2所示）。

5 结语

综上所述， ISO27001标准属于我国产业风险评估的重要指标，本文以数字图书馆为研究对象，分析 ISO27001标准在其风险管理和资产评估方面的应用，希望能够为相关单位提供参考借鉴。

参考文献

[1] 任妮，黄水清.新版ISO 27000要求下的数字图书馆信息安全管理[J].图书与情报，2015（06）：38-46.

[2] 刘万国，周秀霞，霍明月.基于ISO/IEC 27001：2013的高校图书馆信息安全管理体系构建研究[J].现代情报，2017，37（04）：3-8+32.

[3] 孟猛，朱庆华，袁勤俭，朱学芳.基于非线性规划的数字图书馆信息安全风险组合评估研究[J].情报杂志，2017，36（06）：128-133+180.

[4] 李婵，张文德，蓝以信.数字图书馆信息系统安全动态风险评估模型[J].情报科学，2015，33（05）：76-80.

[5] 黄水清，陈双喜，任妮.基于ISO27001的数字图书馆信息安全风险评估模型研究[J].现代图书情报技术，2009（06）：44-49.