计算机和网络技术的发展促进了传统图书馆与信息技术的融合,数字图书馆作为一种新生事物诞生,成为现代社会重要的信息服务部门。随着数字资源的积累与网络存取的开放,数字图书馆的信息安全问题逐渐引起人们的重视,成为数字图书馆实践与研究中的热点和前沿问题。ISO/IEC 27002作为信息安全风险控制的国际标准,为各行各业的组织制定信息安全策略和进行有效的信息安全控制提供通用的最佳惯例。本文致力于将ISO 27002引入数字图书馆领域的信息安全管理中,根据数字图书馆特定的业务流程、系统环境、技术水平和安全要求等筛选适用于数字图书馆风险管理的核心控制措施,进而研究制定数字图书馆特定领域的风险控制惯例。本文首先概述、调研和分析了国内数字图书馆建设现状、信息安全管理和风险控制的研究现状以及风险控制的实施现状；其次,以关键词统计、文献分析、专家咨询、问卷调查等多种方式相结合研究得到数字图书馆的通用业务流程,并将业务流程与资产相映射,形成数字图书馆业务流程与资产关联表；再次,通过ISO 27002控制措施对数字图书馆风险管理的适用性调查,结合专家意见,分析筛选得到适用于数字图书馆的核心控制措施90项,参考控制措施29项。并将核心控制措施与资产映射,得到资产与核心控制措施关联表,同时形成业务流程、资产与核心控制措施的三维关系。然后,按照风险控制的流程,分风险评估结果分析、风险控制目标确立、风险控制措施选择与实施三大步骤研究制定了数字图书馆信息安全风险控制惯例。以此为基础,调查分析了30家数字图书馆风险控制实施的情况。最后,选取了一个高校数字图书馆针对风险控制管理的流程进行了实证研究。本文的创新之处在于首次将ISO 27002标准引入数字图书馆信息安全管理领域。将标准中的控制措施对数字图书馆的业务、资产、技术现状及风险管理要求等的适用性进行调查、分析,总结得到数字图书馆风险管理的核心控制措施；结合业务流程、资产和核心控制措施的三维关系,制定了数字图书馆信息安全管理的核心控制惯例,增强了安全管理的可操作性,为各数字图书馆的信息安全管理实施提供了具体的方向性指导；以问卷调查的方式分析并证实了目前国内数字图书馆领域信息安全管理的问题和差距；另外,本文统计、分析、调查得到的数字图书馆基本业务流程也属创新范畴,对风险评估和风险控制的实施都有指导参考作用。