信息安全管理应与业务的连续性过程融为一体。对数字图书馆的关键业务应该实行业务连续性管理,以通过预防性和恢复性措施的结合,将信息安全事件对数字图书馆的影响减到最少,并从资产的损失中恢复到可接受的水平。首先,应该建立并保持业务连续性的管理过程,将关键要素集合在一起,识别关键业务及其优先次序,处理业务连续性所需的信息安全要求。其次,应该以风险评估的方式识别能够引起业务过程中断的信息安全事件,包括中断发生的可能性、影响以及对信息安全造成的后果等。最后,应该制定并实施连续性计划,保证在关键业务中断或出现故障后,可以按要求使其恢复正常,保证信息的可用性。另外,有的大型数字图书馆的关键业务很多,相关技术和服务人员足够且分工明确的,此时可以考虑为每个关键业务制定单一的业务连续性决策框架,并可以定期地测试和更新业务连续性计划,确保它们是最新的和有效的。
综上所述,可以得到以下结论:在业务连续性管理过程中包含信息安全、业务连续性和风险评估、制定和实施包含信息安全的连续性计划应该作为数字图书馆信息安全管理的核心控制要素,业务连续性计划框架,测试、维护和再评估业务连续性计划可以作为数字图书馆信息安全管理的参考控制要素。
11.符合性符合性控制域共有符合法律要求、符合安全策略和标准以及技术符合性、信息系统审计考虑三个安全类别。(1)符合法律要求符合法律要求安全类别共包括可用法律的识别、知识产权(IPR)、保护组织的记录、数据保护和个人信息的隐私、防止滥用信息处理设施、密码控制措施的规则六项控制要素,在表8-1中的序号分别为85、16、51、17、76、77。可用法律的识别、知识产权(IPR)、保护组织的记录、数据保护和个人信息的隐私、密码控制措施的规则应该作为数字图书馆信息安全管理的核心控制要素,防止滥用信息处理设施可以作为数字图书馆信息安全管理的参考控制要素。
……
展开