ISO 27001「资讯安全管理系统要求」在图书馆的应用
ISO 27001「资讯安全管理系统要求」在 图书馆的应用
The Applications of ISO 27001 in Libraries
吴政睿 Cheng-Juei Wu 辅仁大学图书资讯系专任教授 Prof. of Department of Library & Information Science, Fu-Jen University
【摘要 Abstract】 本文从图书馆的角度来分析 ISO 27001,以了解其对图书馆可能产生的冲击.首先,介绍国际 ISO 27001(或国内 CNS 27001) 「资讯安全管理系统要求」标准的主要内容.其次,藉由一件图书 馆资讯安全事件来分析 ISO 27001 的应用. In this work, we analyze the impacts of ISO 27001 from the library's point of view. Firstly, the principles and structure of ISO 27001, which is Information technology – Security techniques – Information security management systems – Requirements, are introduced. Then, an information security event is analyzed to see how the ISO 27001 standard can be used in libraries. 【关键词 Keyword】 资讯安全;资讯安全管理系统
ISO 27001; Information Security; Information Security Management System; ISMS
壹,前言
现代的组织在运作上是非常依赖资 讯系统,组织的各种资讯(含机密资 料)基本上也是存放在资讯系统中,再 加上各不同组织间往来非常密切和频 繁,例如一个商业公司须要与各式各样 的供应商和客户往来,其间往往会有大 量的资料相互流通.这使得如何预防机
89
密资料的不当泄露,成为一个非常重要 的课题,甚至是攸关组织生死存亡的课 题;又如一个高科技厂商的研发产品机 密被竞争对手提早获知,往往会蒙受非 常巨大的损失.另一方面,由於各国大 都制订有智慧财产权或个人资料机密保 护等相关法律,因此,机密资料的不当 泄露也可能衍生为法律事件,造成组织 非常大的困扰或损失.由以上的分析可
台湾图书馆管理季刊 第四卷第二期 / 97 年 4 月
知,建立一个有效的资讯安全管理机制 来确保资讯系统的安全和持续运作,是 现代社会组织生存不可或缺的一环. 为了制定一个有效的管理机制来确 保资讯系统的安全和持续运作,国际标 准 ISO/IEC 27001 「 Information Technology – Security Techniques – Information Security Management Systems – Requirements」乃应运而生 (注 1) 其前身为英国国家标准 , BS7799 – 2 , 而 国 内 根 据 ISO/IEC 27001(以下简称 ISO 27001)也制定 了 CNS 27001「资讯技术 – 安全技 术 – 资讯安全管理系统 – 要求事项」 (以下简称「资讯安全管理系统要求」 ) . (注 2) 正如前述,由於数位资讯的普及, 可保护机密资料的一个资讯安全管理系 统 ( Information Security Management ,成为许多重视 System,简称 ISMS) 机密资料保护组织生存不可或缺的一 环,因此,纷纷依据 ISO 27001 的规 范,建立资讯安全管理系统(ISMS) , 并寻求资讯安全认证.例如:金融机构 ,企业(注 4-5) ,医院(注 (注 3) ,电信业(注 7) ,寿险业(注 8) , 6) 行政机关(注 9) ,主机代管业(注 . 10) 随著行政院与教育部对於资讯安全 的重视,各大学也追随商业公司或制造 商的脚步,纷纷著手进行资讯安全认证 的相关准备工作.大学图书馆为大学内 不可或缺的一环,同时也是资讯收集,
90
处理与传播的主要机构之一,自然无法 置身事外,必须要正视此一课题或时代 趋势. 透过 ISO 27001 的资讯安全认证即 可确保资讯系统的安全和持续运作,因 此,以下将先介绍 ISO 27001「资讯安全 管理系统要求」的基本观念和主要内 容,然后以一件图书馆资讯安全事件 (或资安事件)来分析 ISO 27001 的应 用. 由於国内有 CNS 27001「资讯安全 管理系统要求」标准,以下文章中关於 ISO 27001 的名词及其解释,将以 CNS 27001 中所使用(或翻译)的词汇为 主,且不再一一指明其在 CNS 27001 中的出处.

下一页