基于ISO27001的数字图书馆信息安全风险评估探析

2020-07-08 16:25李阳
写真地理 2020年6期
关键词:安全风险

李阳

摘 要:  本文基于ISO27001标准,针对数字图书馆信息安全风险进行评估研究,建立了数字图书馆价值、威胁因素、薄弱运营内容判断模型,最终提出了保障数字图书馆信息安全管理的可行性措施,希望能够为相关的单位提供参考借鉴。

关键词:  ISO27001;数字图书馆信息;安全风险;评估探析

【中图分类号】TP393     【文献标识码】A     【文章编号】1674-3733(2020)06-0189-01

作为当代信息研究和分析的重要内容。信息安全风险评估是分析资产估值、分析威胁因素的关键体系。通过ISO27001标准参考对比,可建立一个科学、方便操作的评估策略,以此来分析数字图书馆建设存在的信息安全问题,为保证其建设业务连贯性奠定基础。

1 分析当前常见的信息安全风险评估技术

针对当前常见的信息安全管理技术,目前我国主流的信息风险评估技术有PDCA循环分析法、树状矩阵分析法、层次分析法等,其中ISO27001可以实现资产风险识别等任务。但是没有针对风险进行分级既定。现针对ISO27001的流程和运用要求,针对数字图书馆的应用进行了研究分析,最终提出了一种基于模糊计算的风险评估模型体系,进一步为数字图书馆的规范运用保驾护航。

2 ISO27001原则简介

ISO27001属于国家信息技术、安全技术、信息安全管理体系的标准规范要求,于2005年正式发布。其主要的信息安全评估步骤如下:

2.1 定义方法。

按照风险管理对象以及其内容,选用合理的业务识别等任务,可以完成相应的法律界定、信息监督和数据流管理。

2.2 风险识别。

ISO27001可以实现数据风险研究和定义,可针对ISMS控制范围所有资产进行排查研究,并分析其中可能存在的一些风险问题,控制数据的薄弱点,最终全满提升和优化整个系统的保密性和稳定性。

2.3 评价风险。

评估风险不当可能造成业务开展不当,风险处理不及时等问题。针对此,该阶段应当加强控制资产保密性和信息完整性,接恶化资产的主要威胁和薄弱信息点,建立可供实施的安全控制因素,进而评估安全失效过程中可能发生的问题,最终评价风险的等级,且在现有的标准下建立更为完善的优化或接受方案。

3 基于 ISO2700体系下数字图书资源风险评估体系模型建设

ISO2700实现了数据研究和风险评估,界定了具体的数据处理方法,但是没有界定具体的参数指标值,对此设计人员应当针对资产识别、威胁识别、薄弱点识别等内容进行建模分析,可建立如图1所示的风险评估框架流程。

具体而言,数字图书馆在实现以上流程时候,分别涉及处理以下工作内容。首先,资产识别处理过程完成了数字图书馆的业务流程梳理,实现了电子信息档案、软件资产、人员服务资产等内容资产汇总,可将得到的资产清单赋值估值,判断资源的合理性和实用性。其次,威胁识别分析控制,该过程中,系统的环境、人员以及自然等因素构成了资产威胁清单,可在此阶段设置威胁发生频率分析等级并判断威胁程度。再者,识别薄弱点,针对资产以及薄弱内容进行研究,并针对结合技术以及管理等角度数字图书体系建设的特点,最终形成一个综合的建设体系。最后,可以设计危险等级控制系统,分析系统的薄弱点,可设计通用弱电评价体系,分析威胁强度以及威胁发生的表现,进而构建一个专业性的数字图书分析系统。全面评估分析薄弱点等级内容。且最终可以资产价值、威胁等级以及薄弱等级几项内容构建风险矩阵,分别计算出每一类问题可能存在的风险值。

4 基于数字图书馆信息安全模型评估建设

基于以上几点流程,拟采用风险矩阵的处理方式连接模糊数学、威胁场景、CVSS资产价值评估模型。

4.1 资产价值评估体系。

该体系按照 ISO27000规定的组织资产完整性、保密性和可用性属性,按照人为赋值可能带来的影响,在运用模糊数学处理方式,减少客观影响。

4.2 威胁等级识别模型。

针对威胁事件的发生频率和影响因素,分为了系统、自然环境、人员因素、环境因素几个内容,最终得到一个1-5级的控制值。

4.3 薄弱點识别控制。

结合薄弱点的大小以及被利用程度,拟选用的等级评估的方式完成参数赋值。

4.4 风险矩阵表。

结合以上几点模型,最终针对 ISO27000得出了数字图书信息管理的风险矩阵表(如图2所示)。

5 结语

综上所述, ISO27001标准属于我国产业风险评估的重要指标,本文以数字图书馆为研究对象,分析 ISO27001标准在其风险管理和资产评估方面的应用,希望能够为相关单位提供参考借鉴。

参考文献

[1] 任妮,黄水清.新版ISO 27000要求下的数字图书馆信息安全管理[J].图书与情报,2015(06):38-46.

[2] 刘万国,周秀霞,霍明月.基于ISO/IEC 27001:2013的高校图书馆信息安全管理体系构建研究[J].现代情报,2017,37(04):3-8+32.

[3] 孟猛,朱庆华,袁勤俭,朱学芳.基于非线性规划的数字图书馆信息安全风险组合评估研究[J].情报杂志,2017,36(06):128-133+180.

[4] 李婵,张文德,蓝以信.数字图书馆信息系统安全动态风险评估模型[J].情报科学,2015,33(05):76-80.

[5] 黄水清,陈双喜,任妮.基于ISO27001的数字图书馆信息安全风险评估模型研究[J].现代图书情报技术,2009(06):44-49.

猜你喜欢
安全风险
基于大运行体系电网调控运行安全风险与对策
750kV输电线路带电作业的安全风险控制
利用风险矩阵对输电线路直升机巡检风险评估
烟囱爆破的施工安全管理方法分析
电力调度运行的安全风险及其防范对策
探析防范高校游泳教学过程中的安全风险对策
铁路客运安全风险管理现状分析与措施研究
变电站倒闸操作的安全风险与防范措施探讨
智慧校园安全管理研究
电力系统调度控制中存在的安全风险及应对措施