信息技术的发展使得当代图书馆正逐步从传统图书馆向数字图书馆转型。由传统图书馆与数字图书馆结合而成的当代高校图书馆,属于复合图书馆的范畴。大多数情况下,高校的数字图书馆是校园网的一个重要组成部分,其服务主要依赖于开放性的网络系统。随着高校图书馆的业务与服务和网络之间的结合越来越紧密,对网络的依赖性越来越大,网络脆弱性、复杂性及易受攻击性等一系列网络安全问题日益严重。因此,为了确保信息资源准确无误的为用户服务,且确保图书馆各项业务持续稳定的开展,图书馆信息安全管理显得愈加重要,信息安全成为了高校图书馆现代化建设的重点之一。本文共分为六章。第一章对信息安全领域及图书馆信息安全的研究现状进行整理,并提出了本文的研究背景和意义。第二章介绍了信息安全风险评估有关概念、实施流程、评估方法和工具等相关内容。第三章从信息安全特点、面临的主要危害、影响因素及解决策略等方面整理及分析了数字图书馆信息安全问题。第四章介绍了德国IT基线保护手册(ITBPM)的“资产-威胁-安全措施”模型,说明了资产与威胁识别以及安全控制措施选取的具体方式,同时与其他信息安全标准进行了比较分析,指出运用IT基线保护手册的优势。第五章作为一个案例应用分析,将ITBPM’‘资产-威胁-安全措施”模块的优势与风险评估方法相结合,对高校图书馆进行风险评估分析,并根据评估结果利用ITBPM选取安全措施。第六章是总结与展望。目前多数采用IS027000系列标准对图书馆信息安全管理问题进行研究分析。但是由于IS027000标准本身具有局限性,在安全策略的提出上相对不完善,而且没有给出一个对控制目标进行权重分配的标准,导致在进行风险评估时,不同的评估人员可能会得到不同的评估结果。同时,IS027000系列标准在实施时需要对评估人员进行培训,增加了实施安全管理的难度和成本。此外,威胁的穷举是信息安全风险评估的难点,威胁识别不足也会成为一个极大的风险管理漏洞。论文选用图书馆作为研究对象,对图书馆进行ITBPM与传统风险评估方法相结合的风险评估分析,按照ITBPM资产分类模块对图书馆信息资产进行识别后,再对照ITBPM列出的资产面临的威胁进行识别分析；然后根据GB/T20984-2007提供的脆弱性识别内容对资产存在的脆弱性进行识别,在确认图书馆已有安全措施后,对图书馆信息资产进行综合的风险计算和分析；再按照资产模块从ITBPM中选取可实施的标准安全措施；最后对实施安全措施后的图书馆信息资产再次进行风险值的计算,验证对图书馆实施基于ITBPM的风险评估方法的有效性。将ITBPM用于风险评估分析,尤其在分析组织所面临风险时,不但避免穷举威胁和讨论时间的浪费,更能善用国际信息安全专家的智慧,确保组织风险识别无所遗漏。因此,本文对高校图书馆进行基于ITBPM的信息安全风险评估分析,为实现图书馆信息安全建设提出了一种更为高效简化可行的风险评估方法。