基于ISO/IEC 27001：2013的高校图书馆信息安全管理体系构建研究

刘万国+周秀霞+霍明月

〔摘要〕文章从高校图书馆面临的信息安全风险入手，阐述了高校图书馆信息安全的需求；基于需求，全面研究了最新的“ISO/IEC 27001：2013”国际信息安全管理标准在高校图书馆中的适用性；由此提出了“基于ISO/IEC 27001：2013的高校图书馆信息安全管理体系框架”；并指出信息安全管理体系构建应遵守“投资与风险平衡”、“技术与管理平衡”、“信息系统建设与信息安全管理体系建设同步”的原则，认为信息化会不断拓展和深化，信息风险会永恒存在。

〔关键词〕信息安全；管理体系；高校图书馆；ISO/IEC 27001：2013；信息资产；信息风险

DOI：10.3969/j.issn.1008-0821.2017.04.001

〔中图分类号〕G250.71〔文献标识码〕A〔文章编号〕1008-0821（2017）04-0003-06

Study on the Construction of Information Security Management

System Based on ISO/IEC 27001：2013 in University LibraryLiu Wangguo1Zhou Xiuxia1Huo Mingyue2

（1.Library，Northeast Normal University，Changchun 130024，China；

2.Library，Changchun University of Chinese Medicine，Changchun 130017，China）

〔Abstract〕Starting with information security risks faced by these libraries，this article explained university libraries demand for information security，and comprehensively explored the latest international information security management standards“ISO/IEC 27001：2013”s applicability in university library.On accordance with the standard of“ISO/IEC 27001：2013”，this thesis proposed a management system of university library security that was an“organism frame”.Building such a system should obey the following principles，“balance between investment and risk”，“balance between technology and management”and“synchronization in both the information system and information security management system construction”.Informationization would go wider and deeper continuously，while the risk would exist perpetually.

〔Key words〕information security；management system；university library；ISO/IEC 27001：2013；information assets；information risk

高校圖书馆是高校信息资源的集散地，随着图书馆数字化进程的加快，数字资源海量聚集，信息安全成为高校图书馆亟待解决的重要问题。但是高校图书馆信息安全“重技术、轻管理”，信息安全管理体系建设更是一片空白，多数高图书馆的管理层对信息资产所面临威胁的严重性认识不足，缺乏明确的信息安全战略规划、科学系统的信息安全管理制度、相对有效的管理措施等。管理是信息安全的根本。高校图书馆急需建立一套完备、规范的信息安全管理体系来规范信息安全管理，控制信息安全风险，提升信息安全防御能力。

ISO/IEC 27001：2013是国际上通用的最新的信息安全标准，国际联机计算机图书馆中心（OCLC）就实施了符合ISO 27001：2013标准的信息安全管理体系，并注册登记取得了认证，同时还拥有了注册信息安全专业人员、信息技术审计人员、业务持续规划和灾难恢复领域的全职专家等[1]。其他大量企业、政府部门等的应用认证已证明了其的优选性，高校图书馆引入ISO/IEC 27001：2013来构建信息安全管理体系是图书馆信息安全的迫切需求，也是高校图书馆信息安全管理必然的选择。

1高校图书馆信息安全需求分析高校是信息安全泄漏的重灾区。据2015年5月补天漏洞响应平台的数据显示，自2014年4月至2015年3月的12个月间，高校网站的漏洞多达3 495个，涉及高校网站1 088个，占全国高校总数的近40%[2]。高校图书馆作为高校的信息资源中心，其信息安全性可想而知。

而笔者对吉林省35所高校图书馆的问卷调查也很好地证明了这一点。在关于“在过去的一年中图书馆受到过何种网络攻击”的问题中，约70%的被调查者选择了“病毒攻击”；约43%的被调查者选择了“网络钓鱼”；约40%的被调查者选择了“木马攻击”；约31%的被调查者选择了“系统漏洞”；约29%的被调查者选择了“垃圾邮件”；约17%的被调查者选择了“篡改网页”；约20%的被调查者选择了“其他攻击方式”。可见，图书馆仍面临着各种不安全因素，安全事件频频发生，信息安全环境令人堪忧。

身处这样的环境，高校图书馆信息安全需要满足：

1）物理安全需求：即图书馆指计算机、网络设备、机房等环境的安全等，这是整个图书馆信息安全的前提。

2）网络安全需求：即图书馆网络系统的硬件、软件及其中数据受到保护，不受偶然的或者恶意的破坏、更改、泄露等，保证系统连续可靠地运行，网络服务不中断。

3）数据安全需求；即指图书馆系统内的数据在任何条件下都能保持其保密性、完整性、可靠性、可用性和一致性。

4）系统安全需求：包括避免病毒对于系统的威胁；黑客对于网络的破坏和入侵；内部工作人员的操作失误与恶意访问等。

5）管理安全需求。管理安全需求是高校图书馆信息安全的最高需求，包括信息安全经费投入、信息组织机构建设、信息安全战略规划、信息安全目标确定、信息安全管理制度制定、信息安全队伍培养、信息安全管理机制确认等诸多方面的需求。

2ISO/IEC 27001：2013高校图书馆信息安全管理适用性研究各国专家、各种机构根据不同的信息安全管理的需求制定了众多标准，如CC标准、BS-7799标准、COBIT标准、ITIL标准、ISO/IEC13335标准、ISO/IEC 27000系列标准等。其中，ISO/IEC 27000系列标准是应用最为广泛的信息安全标准之一，而ISO/IEC 27001是ISO/IEC 27000系列标准的主标准，目前的有效版本是ISO/IEC 27001：2013。

ISO/IEC 27001：2013全称为“信息技术-安全技术-信息安全管理体系-要求”。标准包含了14控制域、35个控制目标、114个控制措施，是建立信息安全管理系统（ISMS）的一整套管理标准。ISO/IEC 27001：2013标准重视领导和人员对信息安全的职责与治理，重视信息安全绩效的评估，重视风险评估方法的应用，更重视与业务工作的融合和信息安全管理的长效机制，是一套比较完备的信息安全管理规范。

归纳ISO/IEC 27001：2013对图书馆信息安全管理的适用性，具体表现为以下几个方面：

2.1ISO/IEC 27000系列标准为通用标准

ISO/IEC 27000系列标准为通用标准，采用了国际标准的通用架构，具有很好的兼容性，更易与其他管理体系进行融合。ISO27000系列标准的起源是BS7799，在BS7799立项初始，其性质就被定义为跨行业的通用标准。它的目的是能够提供一套具有可开发性、可实施性与可测量性的信息安全管理规范。因而，ISO27000系列标准对所有行业都有普适性，自然也适用于高校图书馆。

2.2ISO/IEC 27001：2013重视信息资产

ISO/IEC 27001：2013标准把信息看作是组织的资产，认为其对组织的生存、发展起着关键作用，要识别信息资产并起保护责任；并且要求信息安全风险管理要聚焦信息，而信息是融合在整个业务流程中，因此，信息安全管理还要以业务价值为基础。而图书馆却正是专门从事信息管理与信息价值识别、服务的机构，信息是图书馆最重要的资产，其日常业务与信息安全紧密相连，因而与ISO/IEC 27001：2013标准有着天然的联系和契合性。

2.3ISO/IEC 27001：2013风险评估方法的普适性

ISO/IEC 27001：2013中提出了组织应确立并应用一个信息安全风险评估过程，即信息风险评估应该包括：建立并保持信息安全风险准则，确保重复执行的信息安全风险评估产生一致的、有效的和可比的结果，识别信息安全风险，分析信息安全风险，评价信息安全风险，处置信息安全风险，保留信息安全风险处置结果的信息文件。虽然该标准并没有解释实施的具体方法，但是由于该方法本身的普适性，ISO27001中的風险评估方法在高校图书馆中运作起来并不困难。

2.4ISO/IEC 27001：2013标准覆盖信息安全管理的全过程ISO/IEC 27001：2013标准共包含14控制域、35个控制目标、114个控制措施。涉及信息安全策略、信息安全组织、人力资源安全、资产管理、访问控制、密码术、物理与环境安全、操作安全、通信安全、系统获取开发和维护、供应商关系、信息安全事件管理、业务连续性管理的信息安全方面、符合性等诸方面。基本上涵盖了信息安全管理的整个过程及一个组织可能涉及信息安全的方方面面，因此，其也必然能够满足高校图书馆对信息安全管理的要求[3]。

2.5ISO/IEC 27001：2013采用了PDCA模式

PDCA是全面质量管理所应遵循的一种科学程序，包括P、D、C、A 4个步骤，即P（Plan，建立），D（Do，实施运行），C（Check，监视审核），A（Act，保持和改进）。

PDCA循环周而复始，一个循环结束后即进入下一个PDCA循环；大环套小环，一环扣一环，小环保大环，推动大循环；阶梯式上升，每循环一次解决一部分问题，到新的循环又有新的目标与内容[4]。ISO/IEC 27001：2013引入PDCA循环模式，是为建立、实施信息安全管理体系并持续改进其有效性的方法；而有关图书馆管理应用PDCA循环模式的研究也很常见，将PDCA循环模式应用于高校图书馆信息安全管理是没有问题的。

3基于ISO/IEC 27001：2013的高校图书馆信息安全管理体系构建高校图书馆信息安全管理体系是以一个技术保障为基础，以组织、管理体系为核心，符合图书馆业务规律的有机整体。以ISO/IEC 27001：2013标准为依据构建的高校图书馆信息安全管理体系，能够保障图书馆信息安全管理体系的有效性，保障信息资产的保密性、完整性和可用性[5]。

信息化会不断拓展和深化，信息风险会永恒存在。高校图书馆信息安全管理体系构建应遵守“投资与风险平衡”、“技术与管理平衡”、“信息系统建设与信息安全管理体系建设同步”的原则，依据ISO/IEC 27001：2013标准中罗列的控制域、控制目标以及控制措施，将信息安全规范管理的理念融入到图书馆日常的规划发展、组织管理、政策制定、信息资产管理、物理环境安全管理等各项工作中，逐层建立起了信息安全管理的规范；并且，通过采用不断循环的PDCA模式，保证了高校图书馆持续处于信息安全风险受控状态。高校图书馆基于ISO/IEC 27001：2013标准构建的信息安全管理框架如图1所示。

3.1信息安全战略规划

信息安全战略规划是高校图书馆在一个时期内（一般不超过5年）制定的具有全局性、层次性、协调性和相对稳定性的谋划，它是高校图书馆信息安全发展的总体思路，是信息安全管理的指导依据。

高校图书馆的信息安全管理规划需要综合考虑以下几方面因素，如图2所示。

1）业务驱动/数字化：以图书馆的业务发展目标、发展规划（包括数字图书馆的发展规划）为基础，保证与图书馆发展规划的目标保持一致，这是信息安全管理规划的出发点，也是最终点。围绕这一主旨，图书馆要实现最高管理者对信息安全的承诺，定义出信息安全管理的使命、目标和管理方法，并以此制定出物理安全策略、操作安全策略、系通信安全策略、资产安全策略、风险控制策略、应急响应策略、人力资源安全策略等的信息安全总体规划，为图书馆的发展起到保驾护航的作用。

2）信息安全目标：在ISO/IEC 27001：2013中明确指出，信息安全管理体系的目标就是通过应用风险管理过程以保证信息资产的保密性、完整性和可用性，并给予相关利益方风险已得到充分管理的信心。这个相关利益方既是指图书馆所处的高校和图书馆的用户，也指那些与图书馆有直接或间接联系的承包商、数据库商等。除此之外，还应考虑：①与信息安全战略规划建立联系，并保持一致；②成本与信息安全目标的平衡；③信息安全风险的预测、识别与控制措施的应用；④可通过绩效评价来衡量信息安全目标的有效性、可操作性等。

3）符合性要求：这是ISO27001：2013的控制目标要求，其主要要求高校图书馆的信息安全战略规划及其之后的计划、策略、实施、操作等，要与国家法律条例、政策规定、图书馆的规章制度、规则等保持一致，及其以后在信息安全实施操作中也要保证相关流程合乎这些要求[6]。

4）外部环境：外部环境也是影响高校图书馆信息安全战略规划的重要因素，并且因为其组成复杂，对图书馆的影响有好有坏，难以控制，更应该引起高校图书馆的重视。综合考虑外部环境的构成，其主要包括以下几个方面：①高校信息化的变迁，包括信息化规划的更新、信息化相关政策的制定、信息化设备的购置、信息安全环境等；②有关信息安全的新技术、新威胁、新系统等的出现应用等；③图书馆用户信息安全意识、信息技能等的变化；④政策环境的变动。譬如2014年，教育部出台了《教育行业信息系统安全等级保护定级工作指南（试行）》，高校图书馆就要将信息系统安全等级保护定级工作纳入信息安全战略规划中予以考虑；⑤意外事故，如雷击、地震、火灾、时间较长的断电、断网等。

5）内部需求：信息安全是图书馆的整体需求，其信息安全管理规划也应从图书馆的全局出发，综合考虑。首先，需要建立一个合适的平衡点，保证图书馆在可以接受的信息风险范围内投入最少的经费；其次，需要考虑图书馆内各部门的业务发展对信息安全的需求，以及需求的优先级别；再次，应考虑图书馆内人力资源的管理、教育、培训以及信息安全管理相关制度的建立等等。

3.2信息安全组织架构

高校图书馆信息安全管理体系涉及了图书馆的方方面面，从普通馆员到馆长，都负有信息安全的管理责任，一般的，一个相对完善的高校图书馆信息安全管理组织架构包括以下方面，如图3所示：图3高校图书馆信息安全管理组织架构

1）决策层：主要指高校图书馆的信息安全领导小组，其是高校图书馆信息安全管理工作的顶层设计和统筹规划者，由负责数字图书馆建设或具体负责信息安全的馆领导（下文统称为首席安全官）牵头，可包括其他馆领导和个别部门主管。决策层主要负责信息安全战略的规划、信息安全管理策略的制定、信息安全管理组织架构组建，信息安全人员责任分配等。

2）管理层：由图书馆信息安全管理部门的主管和其他部门主管组成，主要负责图书馆信息安全工作计划和方针的制定，日常信息安全管理制度、文件化操作规程的制定，信息安全事件管理，信息风险的预测、控制，各部门，信息安全工作实施情况的监督和审计等，其直接向风险直接向首席安全官汇报。

3）审计层：一般由聘请的信息安全专家、首席安全官（CSO）、图书馆党委书记、馆员代表以及用户代表组成。其主要是建立图书馆内部的审核制度、审核标准、审核方式和审核流程，制定审核计划，定期对图书馆信息安全管理体系的运行情况进行审核，审核结果要和图书馆员的考核挂钩，以此提高图书馆员的信息安全意识，规范图书馆员的信息行为。同时，可以考虑建立图书馆的BCP/DRP机制，以及信息安全应急响应机制等，建立和完善图书馆的业务连续性管理框架[7]。

4）执行层：一般由图书馆信息安全管理部门的馆员和其他部门具体负责信息安全的信息安全员组成，信息安全管理部门的馆员主要包括机房管理员、网络及服务器管理员、数据库管理员和信息系统管理员等。执行层是落实图书馆的信息安全计划、实施各种信息安全策略、全面进行日常图书馆的信息安全管理、安全服务支持、安全事件控制、信息安全规范的馆员团队；尤其是各部门的信息安全员，还具体负责本部门的信息安全行为规范和信息安全素养培训等。执行层是保障图书馆信息安全措施全面落实的中间层，并通过不断的实践，推动信息安全管理体系自身的不断完善。

5）用户层：以最小特权的原则，图书馆可以采用“按用户授权，按需求行权”的方法实现对用户的信息安全管理。即按照用户信息需求的层级分别授予不同的系统、资源、服务等的访问、利用权限。此外，还应采用信息安全教育、培训、宣讲、活动等形势，不断提升用户的信息安全素质，提升用户自觉规范信息行为的自觉。

3.3信息资产管理

图书馆实施有效的信息安全体系的基础就是信息资产的识别、管理与保护，以此来提高图书馆整体的信息安全管理水平，并及时规避信息隱患和信息风险。

图书馆的信息资产有多种存在形式，包括无形信息资产和有形信息资产，有形信息资产还包括硬件、软件、数据、文件等。图书馆的信息资产管理包括对各类信息资产的识别、分级管理、周期性管理和记录等。

3.3.1信息资产识别

通常信息资产的保密性、完整性和可用性是公认的能够反映资产安全特性的3个要素。而资产的识别就是一个信息资产收集→信息资产识别→信息资产分类→信息资产赋值的全过程、对信息资产进行识别对于高校图书馆整个信息安全管理体系的工作具有至关重要的作用。

遵循最小泄露原则，高校图书馆通常将信息资产分成绝密、机密、秘密、内部公开和外部公开五个级别。通过对不同的信息资产赋予不同的安全级别，施行不同的管理、访问、服务、存储策略，以保证高校图书馆信息安全的同时，尽可能提供服务。

3.3.2信息资产的周期性管理

周期性管理主要是对实体信息资产和软件信息资产的管理。它是指从实体信息资产和软信息资产的需求开始，从调研、分析、采购、安装、使用、维护、更替到淘汰的全部生命历程。通过对信息资产实行全周期性管理，能够有效监测信息资产的运行状态、信息资产的可靠性和经济性，在达到信息资产合理、最优化利用目标的同时，兼顾信息软件资产的开发、设计、更新，信息硬件资产的技术更新和设备更替等。

3.3.3信息资产的记录

信息资产的记录应该包括ISO/IEC 27001：2013所要求的信息记录以及确定对高校图书馆信息安全管理体系有效的、必要的文件信息。高校图书馆信息安全管理的规模、复杂程度、活动的类型、过程、服务和人员能力等多方面的因素决定了信息资产记录的详略程度。从安全宜用的角度，高校图书馆在对信息资产进行分发、访问、检索、使用、存储、更改与处置等过程中，都应当进行明确的信息资产记录[4]。

3.4信息安全风险评估

信息安全风险评估是一个系统工程，具体包括以下步骤。

3.4.1风险识别

风险识别是信息安全风险评估的首要环节，是指采用一种系统的方法，来识别图书馆隐藏在信息资产中的潜在风险，并識别风险的轻重缓急，找出较为重大的风险。

风险识别是一个复杂的过程，其包括信息资产识别、威胁识别、薄弱点识别、已有的安全措施确认等环节。每一个环节都是信息安全风险识别必不可少的，往往某一信息资产可能面临多个威胁或不同的信息资产面临的安全威胁有其独特性，这都需要依据ISO/IEC 27001：2013标准要求，对信息资产进行细致周密地分析，科学统计分析威胁发生的概率、及发生后所造成的损失等。

3.4.2风险评估

图书馆在识别信息安全风险后，要评估信息风险可能导致的潜在后果，评估风险发生的实际可能性，确定风险级别，将风险分析结果同建立的风险准则对比，按优先级排序，并将整个信息安全风险评估过程文件化。

在图书馆风险评估的过程中，可以采用定量分析方法，如因子分析法、聚类分析法等；也可以采用定性分析方法，如因素分析法、逻辑分析法等；还可以将定量与定性方法相结合，采用综合分析的方法。学者黄水清等研究了一种定性方法，简单、操作性强，其公式为[8]：

风险大小=资产价值×威胁发生的可能性×薄弱点大小。

信息风险评估是一项持续的、长期的工作，需要定期开展。

3.4.3风险处置

风险评估后要进行风险处置。风险处置首先，要考虑风险评估的结果，对照已经拟定的风险处理计划，进行风险控制计划的调整；其次，根据控制经费与信息风险平衡的原则，对不同的信息风险以降低风险为主要原则，可以适当选择以下降低风险的方式：避免风险；转移风险；减少风险；减少薄弱点；减少威胁可能的影响程度；探测信息安全事件，对其做出反应并恢复。再次，依照ISO/IEC 27001：2013标准要求，从114项控制措施中选取适当的措施来降低风险大小。最后，将信息安全风险处置过程文件化。

3.5访问控制

访问控制是按访问者的身份及其所归属的某项定义组或是按信息资产的安全等级等来限制访问者对某些信息项、某些控制功能的使用的一种信息安全策略，也是高校图书馆比较通用的一项信息安全技术。

与其他的组织相比，图书馆具有典型的为大量的流动性用户服务的特征，且服务的用户组成复杂，包括图书馆馆员、教师、学生、各类服务商、校友、社会组织、社会人员等，针对不同的信息系统，可能存在不同的访问控制模式。因此，要实现高校图书馆的访问控制，首先，要明确信息安全组织各层的访问控制职责；其次，从对象、任务、角色等不同角度制定访问控制策略；再次，进行规范的访问控制管理，其主要包括馆员基于业务管理需要的访问和用于基于授权和非授权的访问管理，以及特殊访问权的管理等。

3.6信息安全防护管理

随着高校图书馆信息安全问题的日益突出，信息安全防护成为图书馆的关注点，这也是ISO/IEC 27001：2013标准体系的要求。

3.6.1技术防范

技术防范是信息安全防护管理的主要手段，其主要采用的方法有恶意软件防范、数据备份、密码技术、日志监控、通信安全控制、技术脆弱性管理等。以技术脆弱性管理为例，应遵循“最低权限”原则，即只安装业务发展和服务必须的软件，并要考虑所安装的软件间的兼容和冲突，尽量安装少的、兼容的软件。

3.6.2管理防范

信息安全防范是一个整体的、体系化的工程，是技术与管理的有机结合体，其中管理尤其起了重要的作用。为了减少人为因素带来的损失，高校图书馆应重点围绕“人”这一因素，从提高安全意识、规范信息行为、访问信息控制、信息行为审计、违规行为处罚等多个角度制定详细的管理规程，使“人”明确自己的责任，规范自己的行为，从而起到安全防范的作用。

3.6.3制度防范

制度防范是信息安全防范的重要手段之一，应从图书馆的整体信息安全出发，针对信息安全面临的威胁和薄弱点制订系统化、体系化的安全防范制度，以规范图书馆的信息管理，降低信息安全风险。信息安全制度应包括图书馆服务器管理制度、存储设备管理制度、网络管理制度、数据库管理制度、数据备份制度、密码管理制度、介质安全管理制度、档案文件管理制度、信息资产生命周期管理制度等。信息安全制度要尽量全面、科学、细致、规范。

3.7信息安全事件控制

对于信息安全事件的控制，高校图书馆应当建立起一套合理有效的管理与改进机制，其应该包括以下几方面的内容：第一，应建立信息安全事件控制的负责组织，明确其职责，制定科学的管理规程和信息安全事件响应方案，以快捷有效、有序地响应信息安全事件；第二，各部门的信息安全管理员有责任记录并报告部门所辖内信息系统和服务的弱点，汇集在信息安全事件控制负责组织处，以便其对图书馆的信息安全弱点有整体地把握；第三，信息安全事件一旦发生，应尽快通过适当的管理渠道报告信息安全事态；第四，信息安全事件控制组织要及时对信息安全事态的做出判断和评估；第五，按照规程对信息安全事件做出响应，应急响应的技术手段有日志分析、事件鉴别、灾难恢复、计算机犯罪取證、攻击者追踪等；第六，对信息安全事件进行总结，以降低未来事件发生的可能性；第七，按照规程识别、收集、获取和保存信息安全事件的证据信息。信息安全事件控制组织要保证在最快的时间内对信息安全事件做出正确响应并及时进行恢复，以保障图书馆业务的连续性，并为安全事件的追踪提供支持。

3.8信息安全文化建设

信息安全保障是由许多过程组成的，在这些过程中，有人与技术的合作，有人与人的合作。归根结底，安全主要依赖于人的规范行为。高校图书馆的信息安全管理体系最终要统筹解决的是信息安全中的“人为因素”，是人的问题。建立组织的信息安全文化，也是一种有效的信息安全管理方式，已经被众多的案例所证明，同样的，也适用于高校图书馆。高校图书馆通过信息安全文化的建设，最终要实现将“人”从信息安全“人为因素”变为信息资产[10]。

信息安全文化建设是高校图书馆信息安全管理的重要内容。当信息安全渗透到所有图书馆人员和用户的精神深处，成为其一种潜意识的行为规范，图书馆信息安全管理就进入了良性循环的轨道。从深层次来说，信息安全文化是图书馆信息安全价值观念、团体意识、心理归宿、心理预期、思维模式、工作作风和行为规范的总和，其可以通过：建立信息安全价值观、建立信息安全行为规范、建立信息安全绩效评估机制、建立畅通的沟通渠道、建立教育培训体系、保证全体馆员对信息安全事务参与等途径；并结合各种信息安全的检查、评比、竞赛等活动，在图书馆内全面营造信息安全管理的文化氛围，以强化全体馆员的信息安全意识，规范信息安全行为。

4结语

依据新的国际信息安全管理标准，构建高校图书馆信息安全管理体系，化解信息安全风险，是当下之需，也是长远之计。ISO/IEC 27001：2013提供了一套较为完备的信息安全控制目标和控制措施，但是如何将这些控制目标和控制措施与高校图书馆的实际业务工作相结合，在图书馆中实施符合自身发展需要的信息安全管理体系是需要更深入研究的。本文抛砖引玉，希望能推动本领域研究的进一步深入。

参考文献

[1]OCLC.OCLC致力于提供安全的图书馆服务[EB/OL].http：∥www.oclc.org/zhcn-asiapacific/policies/security.html，2016-03-12.

[2]杨烨.千余高校网站存信息泄漏风险[EB/OL].http：∥www.jjckb.cn/2015-05/20/content548240.htm，2016-03-12.

[3]茆意宏，黄水清.数字图书馆信息安全管理依从标准的选择[J].中国图书馆学报，2010，（4）：54-60.

[4]万会龙.扣紧企业管理薄弱环节——戴明环环环相扣的管理模式解读[J].施工企业管理，2009，（6）：70.

[5]ISO/IEC 27001：2013.Information Technology—Security Techniques—Information Security Management Systems—Requirements[S].Geneva：International Organization for Standardization，2013.

[6]白云广，谢宗晓.ISO/IEC 27001：2013概述与改版分析[J].中国标准导报，2014，（12）：45-48.

[7]朱璇.基于ISO27001的信息安全管理体系的研究和实现[D].上海：上海交通大学，2009：5-11.

[8]黄水清，任妮.数字图书馆信息安全风险评估的方法与模型[J].图书情报工作，2014，（2）：14-20.

[9]北京英伦凯悦管理咨询有限公司.ISO27001标准附录“A.11访问控制”解析[EB/OL].http：∥www.iso27001.org.cn/iso27001/biaozhun/show265.html，2016-03-12.

[10]Derek L.Nazareth a，Jae Choi b.A system dynamics model for information security management[J].Information & Management，2015，52：123-134.