3.创建学习型和谐社区。
整体而言,新版标准减少了对技术实现的关注,增加了对管理控制的要求,与信息安全领域三分技术、七分管理的黄金定律更加吻合。在ISO 27001:2013中,除了前三章节(范围、规范性引用文件、术语和定义)没有大的变化外,其它章节都进行了调整,包括完整的Plan(计划)、Do(运行)、Check(检查)、Act(改进)四个环节[10]。
因为已经从2013版中被删除,那些已删除的核心控制要素在表1并没有出现。经过上述调整,ISO 27001:2013的结构更为清晰、严谨,在管理体系间的兼容性方面得到加强,有利于不同管理体系间的接轨与整合。本文的研究目的在于对比2013版与2005版ISO 27000标准族的差异,分析2013版ISO 27000的思想、特点、框架、内容等方面的变化及对数字图书馆信息安全风险评估和风险控制的影响,进而指导新版国际标准下的数字图书馆信息安全风险管理的具体实践。
4 新老标准中的信息安全风险控制及数字图书馆控制要素的选取4.1 新老标准中的控制域、安全类别与控制要素对比2005版标准中共有11个控制域,2013版改为14个控制域。因此,上述5项控制要素列入参考控制要素。
组织可以根据自身的情况,选用合适的风险评估方法,或继续使用现行的方法[9]。
可见,新版标准从管理者、主体、方法流程方面都做了重新定位,新的定位使操作更加实用、方便、灵活和有效。近年来,我国现代计算机技术、网络技术、信息通讯技术飞速发展,在这种网络环境下,卫生学校图书馆应顺应时代潮流,摒弃传统服务理念,创新读者服务模式,提升读者服务质量。
而网络环境下,数字图书馆、数据库的存在使读者可以随时随地获取图书馆所拥有的信息资源,信息服务即时、同步。同时,图书馆应重视信息资源建设,首先,加强对信息资源的搜集、筛选、加工,丰富馆藏,重视图书馆馆藏资源网络化和数字化建设,优化图书馆网站主页,以为读者获取信息资源提供一个合理的网络平台。
第二,大力推进web技术在图书馆的应用,为读者提供多层次、人性化、高水平的医药学专业信息服务,参考咨询服务和查收查引服务等就是其中的典型代表。二是服务内容单一,服务内容以满足读者图书借阅、信息查询等为主,而针对于医药专业特色服务及深层次的信息咨询服务还存在很多欠缺。