1、数字图书馆安全管理指南 第一条 为 促进数字图书馆事业的发展, 对 数字图书馆 的运行 必须 实施严格的安全管理 ,以 保障数字图书馆建设和服务有序进行, 特制定本指南。 第二条 本指南中所称 “ 数字图书馆安全管理 ” ,是指保护数字图书馆中的 信息系统 相关 资产 免受任何可能的威胁和损失,保持其中 信息 资源完整性和可用性并保障其实现所设定信息服务和其它功能的行为 。 数字图书馆中的信息系统相关资产 可包含物理资源、软件 资源与 信息资源等 。其中 信息 资源 是指以数字形式发布、存取和利用的信息资源总和。 第三条 在数字图书馆建设 和服务过程 中,应注意在全国或区域合作时统一协调信 息
2、安全政策与信息安全技术措施 , 加强在信息安全领域与其他合作方的交流。 除了参照本 指南 ,应 遵守 国家和地方各级有关部门与 信息 安全相关的法律、法规、条例、规章等,并根据自身实际情况进行补充完善。 第四条 数字图书馆安全 主要应关注以下 相关要素, 包括安全 政策、过程 管理 、访问控制 、 信息 资源 安全 、 备份与容灾 、 环境 安全 、 应急响应与安全公告 等 内容 。 数字图书馆安全管理是基于数字图书馆的服务目标,结合业务流程,对所有这些要素进行适当调配、组织,确保其正常发挥作用的完整体系。 第五条 数字图书馆 安全政策 应 根据具体 的建设目标和 战略 , 制定有效的信息技术
3、 安全策略 ,对数字图书馆的建设、运行、维护和服务进行持续的监控、评估和改进,并形成完整的规章制度与流程规范。 第六条 过程管理 1. 数字图书馆安全过程管理 是 确立 数字图书馆安全 目标,建立组织架构 ,明确职责, 进行 角色分配 、 风险 评估 、 安全审计 、 系统分类 、 制订预案 、事故处理 、 回顾检查 和改进 的过程 进行 管理, 并 通过持续的执行这些过程 管理 使 数字图书馆 的 安全水平得到不断的提高。 2. 应 摸清现有系统的情况, 对 其范围内的 信息系统相关 资产 所 面对的各种威胁和脆弱性进行评估 , 对已存在的或规划的安全措施进行鉴定 , 了解其弱点、威胁和风险
4、所在,制订相应的对 策和预案,实现安全管理的目标。 第七条 访问控制 1. 建立全面的用户访问 控制 管理 , 避免 系统的未授权访问 。并 应明确告知用户其可访问的权限,明确其权利及所承担的责任。 2. 应尽量关闭网络设备与主机系统不必要的服务端口,减少系统被非法利用与攻击的可能。利用应用与系统的分类采用不同的防护手段等级划分不同的防护区域,使外部非法访问内部服务器的可能降低。 第八条 信息 资源安全 1. 信息 资源包括购买 信息 、自建 信息 及购买 的 资源远程访问控制权限等。信息 资源的安全性因素还包括 保护 其依赖的软 硬 件资源。在 信息 资源保存与服务中,需要充分考虑保留与保护
5、能保障其可操作性的相应的软件及硬件环境 。 2. 信息 资源安全管理通过对资源进行分类、核查和维护,确保其得到有效的保护。 第九条 备份与容灾 1. 可以 根据 需要 分类分级制订 备份与容灾 预案 ,其中包括但不限于 媒体退化、维护失败、人为失误、技术故障 、 日志 记录 和 业务连续性方案 等 。 2. 应根据信息安全目标与资源情况制定备份策略,如 选择 本地备份、异地备份与多机 系统等备份方式。根据应用与资源的特性合理选择备份介质、频率周期,并定期检查及测试备份内容与恢复程序,确保在预定的时间内正确恢复。在必要时可采用多系统 热备的方案。 3. 容灾指 利用技术、管理手段以及相关资源确保
6、既定的数字图书馆关键数据、处理系统和关键业务在灾难发生后可以恢复和重续运营的过程。 通常采用异地备份与多系统热备的方案。异地备份应注意信息资源的加密与传输中的一致性,以 确保可靠安全与运营恢复。 第十条 环境 安全 1. 环境安全 的基本要求是确定物理环境安全区域,明确责任部门与人员,建立相关规章制度,并注意在防火、防水、配电、温湿度控制、防静电、防雷及电磁防护等物理安全方面达到相关标准 要求 。 2. 对机房环境安全应注意出入人员管理,加强对来访人员的控制,有必要时加强门禁控制与视频 监控手段。 第十一条 应急响应 与 安全公告 1. 应急响应包括应急计划和应急措施两个方面。应急计划的制定至少应考虑紧急反应、阻止事件发展、恢复措施三个因素。应急措施可以包括应急预案、软硬件备份、 信息 资源 备份和快速恢复措施 等 。 相关计划与措施 都应注意做好 测试、培训、演练与维护。 2. 应根据数字图书馆运行情况发布相关的 安全预警 信息,并根据安全事件的发展情况 向 公众或定义的用户群体发布公告 信息 。 第十二条 本指南由全国数字图书馆建设与服务联席会议制定、解释和修改,由文化部社会文化司批准发布。
