任妮 黃水清

摘 要：文章對比了2013版與2005版ISO27 000標準族的差異，分析了新老標準變化對數字圖書館信息安全風險評估和風險控制的影響，指出數字圖書館信息安全的風險評估可延用2005版的方法與模型，并在對數字圖書館信息安全風險控制核心控制要素和參考控制要素逐一分析的基礎上，構建了符合新版標準要求的數字圖書館信息安全風險控制方法。

關鍵詞：數字圖書館;信息安全;ISO 27000;ISO 27001;ISO 27002;風險管理

中圖分類號： G250.76 ?文獻標識碼： A ? DOI： 10.11968/tsyqb.1003-6938.2015125

Information Security Management of Digital Libraries Based on the ISO 27001：2013 and ISO 27002：2013

Abstract The 2013 version of ISO 27000 standards was compared with that of 2005 and ?the influence of the standards change on risk assessment and risk control of digital library information security was analyzed， and then it is pointed out that the information security risk assessment method and model of digital library based on version 2005 can be used in version 2013. Based on the analysis of the core control elements and reference ones one by one， this article built the information security risk control method of the digital library according to the new version standards.

Key words digital library; information security; ISO 27000; ISO 27001; ISO 27002; risk management

1 引言

ISO 27000標準族是目前國際上最為通行的信息安全管理體系指導標準和最佳實踐。在ISO網站能查到的最新統計數據截止到2013年底，全球通過ISO 27000認證的機構總共有22293個，涉及100多個國家，且認證數量保持每年兩位數的增長速度[1]。2008年，ISO 27000標準族的主標準ISO 27001：2005和ISO 27002：2005分別對應轉化為中國國家標準GB/T 22080-2008和GB/T 22081-2008，用于國內機構的信息安全管理體系建設和認證[2]。綜合考慮數字圖書館的業(yè)務流程和信息安全管理要求，遵循ISO 27000是數字圖書館信息安全管理實踐包括落實信息安全等級保護條例的最佳選擇[3]。按照ISO 27000的思想，數字圖書館信息安全管理應該包括風險評估和風險控制兩大過程。其中，風險評估用于識別數字圖書館所面臨的安全風險，并計算具體風險的等級值作為實施風險控制的依據。風險控制則根據風險評估的結果選擇和實施適合的安全控制措施，目的是將風險始終控制在數字圖書館可以接受的范圍內[4]。風險評估和風險控制在ISO 27000標準族中分別對應于ISO 27001和ISO 27002兩個主標準，在已發(fā)布的版本中有2005和2013兩個版本。此前，根據2005年發(fā)布的ISO 27001：2005與ISO 27002：2005的思想和原則，國內已經在數字圖書館信息安全風險管理的過程方法、風險評估方法模型以及核心控制要素等方面提出了一系列的解決方案[5-8]。

而在2013年發(fā)布的ISO 27001：2013和ISO 27002：2013中，對信息安全風險管理又提出了新的要求。數字圖書館信息安全管理有必要適應新版標準的變化，根據2013版ISO 27000標準族的要求對風險評估與風險控制過程進行相應的調整。

本文的研究目的在于對比2013版與2005版ISO 27000標準族的差異，分析2013版ISO 27000的思想、特點、框架、內容等方面的變化及對數字圖書館信息安全風險評估和風險控制的影響，進而指導新版國際標準下的數字圖書館信息安全風險管理的具體實踐。

2 2013版ISO27000標準族的特點

2013年10月19日，在ISO 27001：2005使用了8年后，業(yè)界期待已久的新版信息安全管理體系ISO 27001：2013正式發(fā)布，ISO 27002：2005也隨后同步更新為ISO 27002：2013，ISO 27000標準族的兩個主標準都更新到位。ISO 27003、27004、27005等相關標準亦正在修訂之中。較之2005版，ISO 27001：2013和ISO 27002：2013標準從框架、結構、內容、邏輯、要求等方面均有大幅改進，為指導組織建立、實施、保持和持續(xù)改進信息安全管理體系規(guī)定了要求，并提供了更加靈活的實施空間[9]。相比之下，新標準更貼合實際，具備更強的可操作性，其主要特點有：

（1）結構上有重大變動。新版ISO 27001：2013采用了標準化的ISO Annex SL通用架構——ISO導則83 作為整個標準的結構性要求（同ISO 22301）[9]。ISO 27001從2008版的8章拓展到2013版的10章，并且對于PDCA過程方法的展開從章節(jié)架構上進行了調整。在ISO 27001：2013中，除了前三章節(jié)（范圍、規(guī)范性引用文件、術語和定義）沒有大的變化外，其它章節(jié)都進行了調整，包括完整的Plan（計劃）、Do（運行）、Check（檢查）、Act（改進）四個環(huán)節(jié)[10]。經過上述調整，ISO 27001：2013的結構更為清晰、嚴謹，在管理體系間的兼容性方面得到加強，有利于不同管理體系間的接軌與整合。ISO 27002：2013則刪除了ISO 27002：2005中的第4章“風險評估與處置”，新增加了第2章“規(guī)范性引用文件”，使得安全控制域分章描述前的章節(jié)仍保持為4章。同時，因為增加了3個控制域，總章節(jié)數從15章增加到18章。

（2）定位上有所區(qū)別。ISO 27001：2005指出，組織的信息安全管理應由該組織的管理層負責，而ISO 27001：2013則強調，信息安全由組織的最高管理者負責。兩個版本用詞上的細微區(qū)別，反映的卻是新版標準對信息安全的定位在戰(zhàn)略意義上的提升[11]。另外，在信息安全管理體系構建主體方面，ISO 27001：2005以資產和技術為主體，而ISO 27001：2013以組織業(yè)務關系為主體[12]。以組織業(yè)務關系為主體，將使信息安全管理體系的構建流程更為連貫合理，并且可以減少交叉重復。老版標準濃墨重彩地強調了過程方法和PDCA，而新版標準在繼續(xù)遵循PDCA框架的前提下不再花大量的篇幅說明過程方法、模型這些其它標準中定義過的通用概念，而是重在提出目標要求，對PDCA框架下具體方法的選擇不作規(guī)定[11]。同樣，在風險評估的方法方面，新標準不再強調對資產、威脅、脆弱性等風險要素的識別，組織可以根據自身情況，靈活自由地選用任意可行的風險評估方法，或繼續(xù)使用現行的方法[9]。可見，新版標準從管理者、主體、方法流程方面都做了重新定位，新的定位使操作更加實用、方便、靈活和有效。

（3）要求上有所改進。2005版共有11個控制域、39個安全類別、133項控制要素，而ISO 27001：2013附錄A和ISO 27002：2013的正文嚴格對應，包含了14個控制域、35個安全類別、113項控制要素。新版標準對老版中的部分控制域進行了分解，對相近或類似的控制要素進行了整合，同時刪除了部分過時的、過于具體的控制要素[9]。另外，針對近幾年信息技術的發(fā)展，新增了部分控制要素，使得控制域和控制要素更加簡潔明了并突顯重點。同時，對檢查的要求也更加明確和嚴格，要求包括監(jiān)視、測量、分析、評價等環(huán)節(jié)，并以5W1H（測什么、如何測、何時測、何時分析、誰來分析、誰負責評價）等方式提出了監(jiān)視和測量的要求[9]。整體而言，新版標準減少了對技術實現的關注，增加了對管理控制的要求，與信息安全領域“三分技術、七分管理”的黃金定律更加吻合。

3 新標準要求下的數字圖書館信息安全風險評估

2005版和2013版的ISO 27000標準族都把信息安全風險管理劃分為風險評估和風險控制兩個過程。而且，新老版本的標準又都把風險評估概括為建立準則、選擇方法、識別風險、分析風險、評價風險5個環(huán)節(jié)。在ISO 27001：2005中，對風險評估的具體方法沒有作詳細規(guī)定，但整個風險識別與風險分析過程是依托于對資產價值、威脅、脆弱性、已實施的風險控制措施4種風險要素的識別、賦值和計算展開的。實際評估過程中，常常把已實施的風險控制措施的效果合并到脆弱性的識別、賦值與計算中。因此，遵循ISO 27001：2005標準實施的風險評估過程是以資產、威脅、脆弱性的識別、賦值、計算為核心的。在此基礎上，可以再依據選定的風險評估方法和模型計算出各風險項的風險值，并確定可接受風險與不可接受風險，對不可接受風險依照ISO 27002：2005規(guī)定的方法進入風險控制過程。

依據ISO 27001：2005的規(guī)范，已經有學者對數字圖書館的信息安全風險評估制定了詳細的資產、威脅、脆弱性素識別、賦值與計算方法[4-5]。通過理論分析與實際評估結果的比較，還選定了與ISO 27001：2005相容的GB/T 20984-2007中的相乘法作為數字圖書館風險評估的具體方法與計算模型[7]?？梢哉f，以ISO 27001：2005的要求、原則與規(guī)范為準繩，數字圖書館已經形成了以資產、威脅、脆弱性等風險要素為核心的包括信息安全風險評估全過程的完整行為準則、操作規(guī)范及具體評估方法與計算模型。

與ISO 27001：2005不同，ISO 27001：2013在風險識別和風險分析過程中不再強調資產價值、威脅、脆弱性、已實施的控制措施等風險要素，這意味著任何組織在依照ISO 27001：2013評估信息安全風險時，只須最終結果達到ISO 27001：2013的要求即可，在具體方法的選用方面可以更加寬泛和靈活。換句話說，符合ISO 27001：2013評估目的與要求的任意方法都是允許和可接受的，選用之前的方法包括ISO 27001：2005中推薦方法當然也是可行的。ISO 27001：2013在指導制定和實施信息安全管理體系過程中多次強調組織需要、組織要求，風險評估的過程方法可繁可簡，完全取決于組織的需要和要求。組織可以根據自身的情況，選用合適的風險評估方法，或繼續(xù)使用現行的方法[9]。

ISO 27001：2013雖然放棄了對風險評估具體方法和過程的推薦，并多次強調只須達到組織的需要與要求即可，但對ISO 27001：2005中的方法卻并不排斥。具體到數字圖書館的信息安全風險評估，既然依照ISO 27001：2005中的方法已經形成了完整和可操作的風險評估具體方法，并經過實際評估證明可行，同時又滿足了ISO 27001：2013的所有要求，因此，在新版ISO 27000標準族要求下，數字圖書館信息安全風險評估無需變動，可采用之前依據ISO 27001：2005制定的方法與過程。

4 新老標準中的信息安全風險控制及數字圖書館控制要素的選取

4.1 新老標準中的控制域、安全類別與控制要素對比

2005版標準中共有11個控制域，2013版改為14個控制域。其中，保持不變的有“安全方針”“信息安全組織”“資產管理”“人力資源管理”“物理和環(huán)境安全”“訪問控制”“信息安全事件管理”“業(yè)務連續(xù)性管理”“符合性”等9個控制域，“通信與操作管理”控制域在新標準中被拆分為“操作安全”和“通信安全”2項，“信息系統獲取、開發(fā)和維護”在新標準中被拆分成“密碼”與“系統獲取、開發(fā)和維護”兩項。新標準還新增了“供應關系”控制域[10-11]。

在安全類別方面，2005版共有39項安全類別，2013版減少為35項安全類別。在新版標準中，2005版中的安全類別有的完全保留、有的被拆分成多個、有的多個被整合成一個，還有的被直接刪去。2013版標準中完全新增的安全類別有3項，它們是：移動設備和遠程辦公、供應商關系中的信息安全、冗余。

在控制要素方面，2005版共有133項控制要素，2013版減少為113項控制要素。同樣，在新版標準中，2005版中的控制要素有的完全保留、有的名稱或內容略有變化、有的被拆分成多個、有的調整了所屬控制域，還有的被直接刪去。

4.2 數字圖書館風險控制要素的篩選及在新老標準中的對應關系

基于2005版ISO 27001的附錄A和ISO 27002的正文，通過對30家數字圖書館的實際調查，文獻[4]得到了適合數字圖書館的風險控制87項核心控制要素，分布于11個控制域和33個安全類別，另有參考控制要素34項，分布于10個控制域和22個安全類別。所謂核心控制要素，是指對數字圖書館信息安全風險控制非常重要、作用很大的控制要素。而參考控制要素，則是重要性一般、有時會有一定作用的控制要素。除此之外的即為ISO 27002中對數字圖書館不起作用或沒有應用場所的控制要素，不應該出現在數字圖書館風險控制的控制要素列表中。數字圖書館控制要素選取的目標就是區(qū)分這三類控制要素，數字圖書館風險控制要素列表中僅包含核心控制要素與參考控制要素[4]。

對2013版與2005版ISO 27001的附錄A和ISO 27002的正文經過逐條、逐項進行關聯對照和分析，尋找上述87項核心控制要素、34項參考控制要素在新版標準中的對應位置，再對2013版的新增控制要素作認真分析，并結合數字圖書館信息安全管理的現實情況，最終得到ISO 27002：2013標準下數字圖書館的核心控制要素和參考控制要素。其中，核心控制要素75項，分布于13個控制域和29個控制類別，參考控制要素32項，分布于11個控制域和17個安全類別（見表1、表2）。

5 新老標準中的數字圖書館風險控制要素對比分析

5.1 新老標準中的數字圖書館信息安全管理核心控制要素對比分析

數字圖書館核心控制要素在新老標準中的變化共有4種情況：刪除、保留、新增和調整。

因為已經從2013版中被刪除，那些已刪除的核心控制要素在表1并沒有出現。之前根據2005版標準得到的87項數字圖書館核心控制要素中，有21項未收入2013版標準，因此，數字圖書館的核心控制要素應該將這21項刪去。21項被刪去的核心控制要素具體名稱為：

信息安全的管理承諾、信息安全協調、與政府部門的聯系、服務交付、控制移動代碼、信息處理規(guī)程、系統文件安全、業(yè)務信息系統、監(jiān)視系統的使用、故障日志、外部連接的用戶鑒別、遠程診斷和配置端口的保護、網絡連接控制、網絡路由控制、用戶標識和鑒別、敏感系統隔離、輸入數據確認、內部處理的控制、消息完整性、信息泄露、業(yè)務連續(xù)性和風險評估。

保留的核心控制要素在表1中用“完全對應”表示。在基于新版標準的75項數字圖書館核心控制要素中共有42項的名稱、詳細內容、控制目標及控制域歸類等與老版標準完全一致。按照老版標準的篩選依據[6]，該42項控制要素仍舊屬于數字圖書館的核心控制要素（見表1）。

新增的核心控制要素在表1中用“新增”表示。2013版新增各項控制要素中，有7項應該作為數字圖書館的核心控制要素。具體內容與理由如下：

（1）用戶訪問設置。數字圖書館的用戶類型多樣，如館員和讀者，館員和讀者又可以再分為多種類型，每一類用戶都存在對應的訪問權限設置問題。明確規(guī)定不同用戶的訪問權限并有正式的用戶設置過程非常有必要。因此，將“用戶訪問設置”確定為核心控制要素。

（2）供應商關系的信息安全策略、供應協議中的安全問題、信息與通信技術供應鏈。數字圖書館的電子資源、硬件設備、系統平臺以及網絡服務等工作均涉及采購或外包，期間與各類供應商的合作非常密切，應該與供應商就信息安全問題達成一致并形成文件，建立相關的信息安全要求，并在協議中確定相關的信息安全風險要求，以確保數字圖書館與供應商合作關系中的信息安全。因此，將“供應商關系的信息安全策略”“供應商協議中的安全問題”“信息與通信技術供應鏈”確定為核心控制要素。

（3）信息安全事件的評估和確定、信息安全事件的響應。對于任何組織而言，都應該對已經發(fā)生的信息安全高度重視。數字圖書館也不例外，應該及時地評估確定已發(fā)生的信息安全事件并按照一定的程序予以處理，使信息安全事件的影響和損失最小化。因此，將“信息安全事件的評估和確定”“信息安全事件的響應”確定為核心控制要素。

（4）信息處理設施的可用性。與數字圖書館有關的服務器、存儲、網絡、電源等信息處理設施都應該有充分冗余，以確保在任何變化和狀況下都能滿足其可用性的要求。因此，將“信息處理設施的可用性”確定為核心控制要素。

調整的情況最復雜，在表1中的“名稱變化、內容一致”“名稱變化、描述略變”“調整歸類”“拆分”4種情況都屬于調整?；?005版ISO 27001和ISO 27002得到的數字圖書館信息安全87項核心控制要素中，有26項經過一定的調整后依舊出現在2013版的標準中，這些控制要素仍是數字圖書館信息安全管理的核心控制要素。調整變化主要有三種形式：名稱改變而內容表述完全一致、名稱改變且內容表述略有變化、控制要素的控制域歸類發(fā)生變化。

名稱改變、內容表述完全一致、控制域歸類也完全一致的核心控制要素共有8項（見表1）。

名稱改變且內容表述也略有變化、但控制域歸類完全一致的核心控制要素共有7項。包括有（括號前的為2013版中的編號與名稱，括號中為2005版中的編號與名稱）：①3.3.1終止或責任變更（4.2.1終止職責），新標準中強調對于責任終止和變更情況不僅要有規(guī)定，還應該傳達給所有相關人員知曉;②5.2.4用戶秘密認證信息的管理（7.2.3用戶口令管理）、5.3.1秘密認證信息的使用（7.3.1口令使用），新標準中用戶認證信息的范圍不僅包括口令，還包括密鑰數據和其他存儲在產生認證碼的硬件（如智能卡）的數據;③5.4.4特權實用程序的使用（7.5.4系統實用工具的使用），新標準中將限制和嚴格控制的范圍縮小在可能超越、有特權的系統和應用程序中;④11.1.6從信息安全事件中學習（9.2.2對信息安全事件的總結），老的標準強調從安全事件中學習總結的方法，而新標準強調的是結果，要從中獲取知識、減少未來相關事件發(fā)生的可能性;⑤12.1.1計劃信息安全連續(xù)性（10.1.1在業(yè)務連續(xù)性管理過程中包含信息安全），新標準更加細化，強調即便在不利的情況下（如危機或災難）也要確保信息安全管理的連續(xù)性;⑥12.1.2實施信息安全的連續(xù)性（10.1.3制定和實施包含信息安全的連續(xù)性計劃），老標準強調在關鍵業(yè)務流程中斷和失效時要保持信息安全，而新標準則強調在任何不利的情況下都要保持信息安全的連續(xù)性。

控制域歸類發(fā)生變化的核心控制要素共有11項（見表1）。其中，“2.1.2職責分割”是將老標準中“2信息安全組織”中的核心控制要素“信息處理設施的授權過程”和“6通信和操作管理”中的參考控制要素“責任分割”中的要求進行合并，且改名為“職責分割”，統一置放于控制域“2信息安全組織”中，該項控制要素從組織的宏觀層面強調各類職責和權限的分割，以降低對組織資產的濫用。而“2.2.1移動設備策略”是將老標準中“7訪問控制”中的參考控制要素“移動計算和通訊”調整到控制域“2信息安全組織”中，且改名為“移動設備策略”。對于數字圖書館而言，隨著移動網絡的發(fā)展普及，數字圖書館的業(yè)務流程也逐步到移動終端，應該加強相關管理措施，因此調整為核心控制要素。其他9項控制要素的名稱和內容沒有變化，而其控制域歸類發(fā)生了變化（見表3）。該9項控制要素在2005版中就屬于核心控制要素，因此在2013版中仍保留為數字圖書館的核心控制要素。

5.2 新老標準中的數字圖書館信息安全管理參考控制要素對比分析

數字圖書館參考控制要素在新老標準中的變化共有5種情況：刪除、保留、新增、拆分和調整。

2005版的數字圖書館參考控制要素中有10項未出現在2013版的數字圖書館參考控制要素中。其中，“移動計算和通訊”“責任分割”2項在2013版中被調整為核心控制要素?！疤幚砼c顧客有關的安全問題”“防止濫用信息處理設施”“會話超時”“聯機時間的限定”“輸出數據確認”“網絡上的設備標識”“信息系統審計工具的保護”“業(yè)務連續(xù)性計劃框架”8項被2013版標準刪除，故也未出現在新版的數字圖書館參考控制要素中。

保留的參考控制要素用“完全對應”表示，共有16項。

新增的參考控制要素用“新增”表示，共有7項。具體內容與理由如下：

（1）項目管理中的信息安全、安全開發(fā)策略、安全系統工程原則、安全開發(fā)環(huán)境、系統安全測試。上述5項控制要素更傾向于在系統工程、項目開發(fā)或軟件研發(fā)的過程中對信息安全管理、環(huán)境、測試等方面的要求，而數字圖書館本身自行開發(fā)的項目工程比較少，無須在這方面作嚴格的要求。因此，上述5項控制要素列入參考控制要素。

（2）時鐘同步。對于系統的監(jiān)視與日志分析有較大的幫助，“時鐘同步”可以作為參考控制要素加以限制。

（3）限制軟件安裝。該項控制要素要求組織制定軟件安裝管理規(guī)則，并嚴格執(zhí)行和監(jiān)督，而數字圖書館的員工因工作性質的不同對軟件安裝的要求差異較大，實際工作中可以列出禁止安裝的軟件清單（如游戲軟件）或必須安裝的軟件清單（如安全防護軟件），不需要規(guī)定只能安裝哪些軟件。因此，“限制軟件安裝”可作為參考控制要素。

拆分的參考控制要素用“拆分”表示。2005版的數字圖書館參考控制要素中只有“信息標識與處置”存在這種情況，該項控制要素在2013版中被拆分為“信息的標記”“資產的處置”2項。

調整參考控制要素有“名稱變化，描述略變”和“名稱變化，內容一致”兩種表現，共有7項。其中，“名稱變化，描述略變”的有2項，“名稱變化，內容一致”的有5項。

6 結語

本文結合數字圖書館的實際情況和之前的相關研究成果，對2013版ISO 27000系列標準下的數字圖書館風險評估和風險控制做了對比與分析。2013版的標準在風險評估方面更加強調組織的需要與要求，強調評估結果與組織需求的結合，而具體方法的選用則更加寬泛和靈活，數字圖書館信息安全的風險評估可繼續(xù)延用依據2005版標準制定的方法和模型。2013版標準的風險控制在2005版基礎上有較大改變，相應地，數字圖書館信息安全風險控制的核心控制要素與參考控制要素也有比較大的變動。新標準下的數字圖書館風險控制要素是在2005版的基礎上經刪除、保留、新增、拆分和調整得來的，更具操作性和實踐指導意義。綜合數字圖書館的風險評估與風險控制，就形成了2013版ISO 27000系列標準要求下的數字圖書館信息安全管理整體解決方法。

參考文獻：

[1] The ISO Survey of Management System Standard Certifications-2013[EB/OL].[2015-08-17].http：//www.iso.org/iso/iso_sur

vey_executive-summary.pdf？v2013.

[2] GB/T 22080：2008，信息技術-安全技術-信息安全管理體系-要求[S].北京：中國標準出版社，2008.

[3] 茆意宏，黃水清.數字圖書館信息安全管理依從標準的選擇[J].中國圖書館學報，2010（4）：54-59.

[4] 黃水清.數字圖書館信息安全管理[M].南京：南京大學出版社，2011.

[5] 黃水清，茆意宏，熊健.數字圖書館信息安全風險評估[J].現代圖書情報技術，2010（7/8）：33-38.

[6] 黃水清，任妮.數字圖書館信息安全風險控制[J].現代圖書情報技術，2010（7/8）：39-44.

[7] 黃水清，任妮.數字圖書館信息安全風險評估的方法與模型[J].圖書情報工作， 2014（2）：14-20.

[8] 黃水清.數字圖書館信息安全管理的過程方法[J].圖書情報工作，2013（11）：5-11.

[9] 老李飛刀.ISO 27001：2013 新版解讀精要[EB/OL].[2015-08-18].http：//www.srxh1314.com/ iso27001-2013-resolve-2.html.

[10] ISO/IEC 27001：2013. Information Technology—Security Techniques—Information Security Management Systems—Requirements[S]. Geneva： International Organization for Standardization，2013.

[11] 白云廣.ISO/IEC27001：2013概述與改版分析[J].中國標準導報，2014（12）：45-48.

[12] 安言咨詢. ISO27001：2013新版信息安全管理體系標準變化精解[EB/OL].[2015-08-18].http：//wenku.baidu.com/view

/73d382e826fff705cd170a2f.html.

[13] GB/T20984-2007，信息安全技術信息安全風險評估規(guī)范[S].北京：國家質量監(jiān)督檢驗檢疫總局，2007.

[14] ISO/IEC 27005：2008. Information technology—Security techniques—Information security risk management[S].Geneva：International Organization for Standardization，2008.