27000咨詢 潮州ISO27000體系認(rèn)證認(rèn)證咨詢

ISO27001信息安全管理體系的認(rèn)證有效期是三年，期間每年要接受發(fā)證機(jī)構(gòu)的監(jiān)督審核，三年證收到期后，要接受認(rèn)證機(jī)構(gòu)的再認(rèn)證(也稱為復(fù)評(píng)或換證)。

ISO27000認(rèn)證在企業(yè)風(fēng)險(xiǎn)管理中非常之重要，強(qiáng)調(diào)對(duì)一個(gè)組織運(yùn)行所必需的IT系統(tǒng)和信息的保密性、完整性、可用性的保護(hù)，提高投資回報(bào)率，降低由信息安全事故造成的損失及業(yè)務(wù)中斷的風(fēng)險(xiǎn)。ISO27000體系是目前世界上的“信息安全管理標(biāo)準(zhǔn)”，成為“信息安全管理”之國(guó)際通用語(yǔ)言，并被全球五千多家機(jī)構(gòu)和企業(yè)所采用。其方法是通過(guò)“風(fēng)險(xiǎn)”、“風(fēng)險(xiǎn)管理”切入企業(yè)的信息安全需求，有效降低企業(yè)面臨的風(fēng)險(xiǎn)。建立信息安全管理體系(ISMS)已成為各種組織，特別是高科技產(chǎn)業(yè)、機(jī)構(gòu)等管理運(yùn)營(yíng)風(fēng)險(xiǎn)不可缺少的重要機(jī)制。在某些行業(yè)，如軟件，ISO27000認(rèn)證已經(jīng)成為客戶要求必備條件。

ISO27000認(rèn)證 (信息安全管理體系標(biāo)準(zhǔn))概述

ISO/IEC 27000標(biāo)準(zhǔn)是國(guó)際標(biāo)準(zhǔn)化組織專門為信息安全管理體系建立的一系列相關(guān)標(biāo)準(zhǔn)的總稱，已經(jīng)預(yù)留了ISO/IEC 27000到ISO/IEC 27059共60個(gè)標(biāo)準(zhǔn)號(hào)，到目前為止，正式發(fā)布的信息安全管理體系(ISMS)標(biāo)準(zhǔn)有8個(gè)，其中兩個(gè)已經(jīng)轉(zhuǎn)化成國(guó)家標(biāo)準(zhǔn)。全部標(biāo)準(zhǔn)從ISO/IEC 27000到ISO/IEC 27037.以及ISO 27799和其他，基本可以分為以下四部分。

第一部分是要求和支持性指南，包括ISO/IEC 27000到ISO/IEC 27005.是信息安全管理體系的基礎(chǔ)和基本要求;第二部分是有關(guān)認(rèn)證認(rèn)可和審核的指南，包括ISO/IEC 27006到ISO/IEC 27008.面向認(rèn)證機(jī)構(gòu)和審核人員;第三部分是面向?qū)ｉT行業(yè)的信息安全管理要求，如金融業(yè)、電信業(yè)，或者專門應(yīng)用于某個(gè)具體的安全域，如數(shù)字證據(jù)、業(yè)務(wù)連續(xù)性方面;第四部分是由ISO 技術(shù)委員會(huì)TC215單獨(dú)制定的(而非和IEC共同制定)應(yīng)用于健康行業(yè)的標(biāo)準(zhǔn)ISO 27799.以及一些處于研究階段并以新項(xiàng)目提案方式體現(xiàn)的成果，比如供應(yīng)鏈安全、存儲(chǔ)安全等。部分標(biāo)準(zhǔn)見附表。本文向大家介紹一下ISO/IEC27000族主要標(biāo)準(zhǔn)。

ISO/IEC 27000是信息安全管理的概述和術(shù)語(yǔ)，是最基礎(chǔ)的標(biāo)準(zhǔn)之一。它提供了ISMS標(biāo)準(zhǔn)族中所涉及的通用術(shù)語(yǔ)和基本原則，由于ISMS每個(gè)標(biāo)準(zhǔn)都有自己的術(shù)語(yǔ)和定義，以及使用環(huán)境和行業(yè)的差別，不同標(biāo)準(zhǔn)的術(shù)語(yǔ)間往往會(huì)有一些細(xì)微的差異，致使在使用過(guò)程中相對(duì)缺乏協(xié)調(diào)，而ISO/IEC 27000就是用于實(shí)現(xiàn)這種一致性。ISO/IEC 27000標(biāo)準(zhǔn)有三個(gè)章節(jié)，第一章是標(biāo)準(zhǔn)的范圍說(shuō)明;第二章對(duì)ISO 27000系列的各個(gè)標(biāo)準(zhǔn)進(jìn)行介紹，說(shuō)明了各個(gè)標(biāo)準(zhǔn)之間的關(guān)系;第三章給出了共63個(gè)與ISO 27000系列標(biāo)準(zhǔn)相關(guān)的術(shù)語(yǔ)和定義。

ISO/IEC 27001：2005是《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》，等同轉(zhuǎn)化為中國(guó)國(guó)家標(biāo)準(zhǔn)GB/T 22080-2008/ISO/IEC 27001:2005.于2008年6月19發(fā)布，同年11月1日正式實(shí)施。同ISO 9001標(biāo)準(zhǔn)的性質(zhì)一樣，它是ISMS的規(guī)范性標(biāo)準(zhǔn)，也是ISO/IEC 27000系列最核心的兩個(gè)標(biāo)準(zhǔn)之一，適用于所有類型的組織。它著眼于組織的整體業(yè)務(wù)風(fēng)險(xiǎn)，通過(guò)對(duì)業(yè)務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)其信息安全管理體系，確保其信息資產(chǎn)的保密性、可用性和完整性。它還規(guī)定了為適應(yīng)不同組織或部門的需求而制定的安全控制措施的實(shí)施要求，也是獨(dú)立第三方認(rèn)證及實(shí)施審核的依據(jù)。

ISO/IEC 27002:2005是《信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則》，等同轉(zhuǎn)化為中國(guó)國(guó)家標(biāo)準(zhǔn)GB/T 22081-2008/ISO/IEC 27002:2005.也是ISO/IEC 27000系列最核心的兩個(gè)標(biāo)準(zhǔn)之一。它從11個(gè)方面提出39個(gè)控制目標(biāo)和133個(gè)控制措施，這些控制目標(biāo)和措施是信息安全管理的最佳實(shí)踐。從應(yīng)用角度看，該標(biāo)準(zhǔn)具有專用和通用的二重性。作為ISO 27000標(biāo)準(zhǔn)族系列的成員之一，它是配合ISO/IEC 27001標(biāo)準(zhǔn)來(lái)使用的，體現(xiàn)其專用性;同時(shí)，它提出的信息安全控制目標(biāo)和控制措施又是從信息安全工作實(shí)踐中總結(jié)出來(lái)的，不管組織是否建立和實(shí)施ISMS，均可從中選擇適合自己的思路、方法和手段來(lái)實(shí)現(xiàn)目標(biāo)，這又體現(xiàn)其通用性。

ISO/IEC 27003是《信息安全管理體系實(shí)施指南》，該標(biāo)準(zhǔn)適用于所有類型、所有規(guī)模和所有業(yè)務(wù)形式的組織，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)符合ISO/IEC 27001的信息安全管理體系提供實(shí)施指南。它給出了ISMS實(shí)施的關(guān)鍵成功因素，按照PDCA的模型，明確了計(jì)劃、實(shí)施、檢查、糾正每個(gè)階段的活動(dòng)內(nèi)容和詳細(xì)指南。

ISO/IEC 27004是《信息安全管理測(cè)量》，該標(biāo)準(zhǔn)闡述信息安全管理的測(cè)量和指標(biāo)，用于測(cè)量信息安全管理的實(shí)施效果，為組織測(cè)量信息安全控制措施和ISMS過(guò)程的有效性提供指南。它分為信息安全測(cè)量概述、管理責(zé)任、測(cè)量和測(cè)量改進(jìn)、測(cè)量操作、數(shù)據(jù)分析和測(cè)量結(jié)果報(bào)告、信息安全管理項(xiàng)目的評(píng)估和改進(jìn)共6個(gè)關(guān)鍵部分，該標(biāo)準(zhǔn)還詳細(xì)描述了測(cè)量過(guò)程機(jī)制，分析了如何收集基準(zhǔn)測(cè)量單位，以及如何利用分析技術(shù)和決策準(zhǔn)則來(lái)生成信息安全的臨界指標(biāo)等。

ISO/IEC 27005是《信息安全風(fēng)險(xiǎn)管理》，該標(biāo)準(zhǔn)描述了信息安全風(fēng)險(xiǎn)管理的要求，可以用于風(fēng)險(xiǎn)評(píng)估，識(shí)別安全需求，支撐信息安全管理體系的建立和維持。作為信息安全風(fēng)險(xiǎn)管理的指南，該標(biāo)準(zhǔn)還介紹了一般性的風(fēng)險(xiǎn)管理過(guò)程，重點(diǎn)闡述風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié)。在附錄中它給出了資產(chǎn)、影響、脆弱性以及風(fēng)險(xiǎn)評(píng)估的方法，即列出了常見的威脅和脆弱性，最后給出了根據(jù)不同通訊系統(tǒng)、不同安全威脅選擇控制措施的方法。

ISO/IEC 27006是《信息安全管理對(duì)認(rèn)證機(jī)構(gòu)的認(rèn)可要求》，該標(biāo)準(zhǔn)主要是對(duì)從事ISMS認(rèn)證的機(jī)構(gòu)提出了要求和規(guī)范，即一個(gè)機(jī)構(gòu)具備了怎樣的條件才能從事ISMS認(rèn)證業(yè)務(wù)，所有提供ISMS認(rèn)證服務(wù)的機(jī)構(gòu)需要按照該標(biāo)準(zhǔn)的要求證明其能力和可靠性。

ISO/IEC 27007是《信息安全管理的審核指南》，該標(biāo)準(zhǔn)對(duì)提供ISMS認(rèn)證的第三方認(rèn)證機(jī)構(gòu)的審核員的工作提供支持，內(nèi)部審核員也可以參考本標(biāo)準(zhǔn)完成內(nèi)部審核活動(dòng)，還可為任何依據(jù)ISO/IEC 27002標(biāo)準(zhǔn)來(lái)管理信息安全風(fēng)險(xiǎn)、審查組織措施有效性的人員提供指導(dǎo)和支持。

ISO/IEC 27008是《信息安全管理的控制措施審核員指南》，該標(biāo)準(zhǔn)是對(duì)所有審核員在考察組織基于業(yè)務(wù)風(fēng)險(xiǎn)而采取信息安全控制措施方面提供工作指導(dǎo)，它通過(guò)比較信息安全風(fēng)險(xiǎn)管理過(guò)程中內(nèi)部、外部、第三方的所有管理體系要求與控制措施之間的關(guān)系來(lái)判定其有效性，也判別其控制措施的有效程度，滿足信息安全治理的要求。

ISO/IEC 27010是《部門間通信的信息安全管理》，該標(biāo)準(zhǔn)提供了如何針對(duì)信息安全風(fēng)險(xiǎn)、控制措施約束以及如何在不同物理場(chǎng)地跨組織通信的情況下進(jìn)行數(shù)據(jù)共享的方法，尤其是對(duì)跨重要設(shè)施進(jìn)行通信時(shí)所產(chǎn)生的問(wèn)題和影響提供了有效支持。通過(guò)對(duì)同一物理場(chǎng)地通信、不同物理場(chǎng)地通信、危機(jī)時(shí)與政府機(jī)構(gòu)間的通信、常規(guī)商務(wù)環(huán)境下為滿足正常合同要求而進(jìn)行雙向業(yè)務(wù)通信的一系列分析，該標(biāo)準(zhǔn)明確了不同組織之間安全信息交換的方法、模型、過(guò)程、協(xié)議、控制措施和工作機(jī)制。

ISO/IEC 27001認(rèn)證標(biāo)準(zhǔn)范圍:

ISO/IEC 27001《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》，旨在為所有類型的組織，包括政府、銀行、電訊、研究機(jī)構(gòu)、外包服務(wù)企業(yè)、軟件服務(wù)企業(yè)等，在建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系時(shí)提供模型，并規(guī)定了為適應(yīng)不同組織或其部門的需要而制定安全控制措施的實(shí)施要求。ISO/IEC 27001標(biāo)準(zhǔn)涉及了最廣泛意義上的信息安全，為組織實(shí)施、維護(hù)和管理信息安全提供了最好的商業(yè)操作指南和原則，并可以用作第三方認(rèn)證的依據(jù)。2008年6月19日，我國(guó)等同采用發(fā)布了GB/T 22080-2008標(biāo)準(zhǔn)。

ISO/IEC 27001：2005標(biāo)準(zhǔn)包括

11大控制領(lǐng)域、39個(gè)控制目標(biāo)和133項(xiàng)控制措施，為組織提供全方位的信息安全保障。

ISO/IEC 27001：2005標(biāo)準(zhǔn)特點(diǎn)：

● 注重體系的完整性，是一套科學(xué)的信息安全管理體系

● 基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估，體現(xiàn)預(yù)防控制為主的思想

● 以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，采用PDCA的過(guò)程方法

● 強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律法規(guī)及其他合同方要求

● 強(qiáng)調(diào)確保信息的保密性、完整性和可用性

● 用于保護(hù)組織信息資產(chǎn)，防止信息資產(chǎn)遭受危害的管理工具，通過(guò)對(duì)所有潛在信息風(fēng)險(xiǎn)進(jìn)行分析，確定預(yù)防措施。減少、防止信息威脅的發(fā)生

● 適用于各種類型、不同規(guī)模和業(yè)務(wù)性質(zhì)的組織

● 與其他管理體系兼容(例如ISO9000標(biāo)準(zhǔn)等)

ISO/IEC 27001認(rèn)證 申請(qǐng)認(rèn)證條件

● 具備獨(dú)立的法人資格或經(jīng)獨(dú)立的法人授權(quán)的組織;

● 按照ISO/IEC 27001標(biāo)準(zhǔn)的要求建立文件化的信息安全管理體系;

● 已經(jīng)按照文件化的體系運(yùn)行三個(gè)月以上，并在進(jìn)行認(rèn)證審核前按照文件的要求進(jìn)行了至少一次管理評(píng)審和內(nèi)部質(zhì)量體系審核。

ISO27000認(rèn)證 (信息安全管理體系)咨詢流程：

信息安全管理體系建設(shè)項(xiàng)目劃分成五個(gè)大的階段，并包含25項(xiàng)關(guān)鍵的活動(dòng)，如果每項(xiàng)前后關(guān)聯(lián)的活動(dòng)都能很好地完成，最終就能建立起有效的ISMS，實(shí)現(xiàn)信息安全建設(shè)整體藍(lán)圖，接受ISO27001審核并獲得認(rèn)證更是水到渠成的事情。

1現(xiàn)狀調(diào)研：從日常運(yùn)維、管理機(jī)制、系統(tǒng)配置等方面對(duì)組織信息安全管理安全現(xiàn)狀進(jìn)行調(diào)研，通過(guò)培訓(xùn)使組織相關(guān)人員全面了解信息安全管理的基本知識(shí)。

2 風(fēng)險(xiǎn)評(píng)估：對(duì)組織信息資產(chǎn)進(jìn)行資產(chǎn)價(jià)值、威脅因素、脆弱性分析，從而評(píng)估組織信息安全風(fēng)險(xiǎn)，選擇適當(dāng)?shù)拇胧⒎椒▽?shí)現(xiàn)管理風(fēng)險(xiǎn)的目的。

3 管理策劃：根據(jù)組織對(duì)信息安全風(fēng)險(xiǎn)的策略，制定相應(yīng)的信息安全整體規(guī)劃、管理規(guī)劃、技術(shù)規(guī)劃等，形成完整的信息安全管理系統(tǒng)。

4 體系實(shí)施階段：ISMS建立起來(lái)(體系文件正式發(fā)布實(shí)施)之后，要通過(guò)一定時(shí)間的試運(yùn)行來(lái)檢驗(yàn)其有效性和穩(wěn)定性。

5 認(rèn)證審核階段：經(jīng)過(guò)一定時(shí)間運(yùn)行，ISMS達(dá)到一個(gè)穩(wěn)定的狀態(tài)，各項(xiàng)文檔和記錄已經(jīng)建立完備，此時(shí)，可以提請(qǐng)進(jìn)行認(rèn)證。

ISO/IEC 27001認(rèn)證(信息安全管理)認(rèn)證流程:

第一步：按照ISO27001(BS7799-2：2005)建立框架 。

第二步：認(rèn)證機(jī)構(gòu)評(píng)估費(fèi)用和正式審核時(shí)間。

第三步：向認(rèn)證機(jī)構(gòu)遞交正式申請(qǐng)。

第四步：(可選項(xiàng))認(rèn)證機(jī)構(gòu)將進(jìn)行預(yù)審，在正式審核前排除一些重大的確失，同時(shí)讓客戶熟悉審核的方法危險(xiǎn)評(píng)估，審查方針，范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方。

第五步：認(rèn)證機(jī)構(gòu)將進(jìn)行第一階段審核，主要進(jìn)行方針，范圍和采用程序的審核，查看風(fēng)險(xiǎn)評(píng)估的結(jié)果、處理方法和適用性聲明，檢查體系中遺漏和繁瑣需要修改的地方。

第六步：認(rèn)證機(jī)構(gòu)將進(jìn)行第二階段審核，主要進(jìn)行實(shí)施審核，查看程序規(guī)定的執(zhí)行情況。認(rèn)證機(jī)構(gòu)通常將現(xiàn)場(chǎng)審核并給出建議。

第七步：如果能順利完成審核，在確定清楚認(rèn)證范圍后，發(fā)放信息安全體系證書。在滿足持續(xù)審核情況下，三年有效。

ISO27001認(rèn)證 (信息安全管理體系)的益處：

信息安全管理體系標(biāo)準(zhǔn)(ISO27001)可有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)，類似于質(zhì)量管理體系認(rèn)證的 ISO9000標(biāo)準(zhǔn)。當(dāng)您的組織通過(guò)了ISO27001的認(rèn)證,就相當(dāng)于通過(guò)ISO9000的質(zhì)量認(rèn)證一般，表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。根據(jù) ISO27001 對(duì)您的信息安全管理體系進(jìn)行認(rèn)證，可以帶來(lái)以下幾個(gè)好處:

引入信息安全管理體系就可以協(xié)調(diào)各個(gè)方面信息管理，從而使管理更為有效。保證信息安全不是僅有一個(gè)防火墻，或找一個(gè)24小時(shí)提供信息安全服務(wù)的公司就可以達(dá)到的。它需要全面的綜合管理。

通過(guò)進(jìn)行ISO27001信息安全管理體系認(rèn)證，可以增進(jìn)組織間電子電子商務(wù)往來(lái)的信用度，能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任，隨著組織間的電子交流的增加通過(guò)信息安全管理的記錄可以看到信息安全管理明顯的利益，并為廣大用戶和服務(wù)提供商提供一個(gè)基礎(chǔ)的設(shè)備管理。同時(shí)，把組織的干擾因素降到最小，創(chuàng)造更大收益。

通過(guò)認(rèn)證能保證和證明組織所有的部門對(duì)信息安全的承諾。

通過(guò)認(rèn)證可改善全體的業(yè)績(jī)、消除不信任感。

獲得國(guó)際認(rèn)可的機(jī)構(gòu)的認(rèn)證證書，可得到國(guó)際上的承認(rèn)，拓展您的業(yè)務(wù)。

建立信息安全管理體系能降低這種風(fēng)險(xiǎn)，通過(guò)第三方的認(rèn)證能增強(qiáng)投資者及其他利益相關(guān)方的投資信心。

組織按照ISO27001標(biāo)準(zhǔn)建立信息安全管理體系，會(huì)有一定的投入，但是若能通過(guò)認(rèn)證機(jī)關(guān)的審核，獲得認(rèn)證，將會(huì)獲得有價(jià)值的回報(bào)。企業(yè)通過(guò)認(rèn)證將可以向其客戶、競(jìng)爭(zhēng)對(duì)手、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強(qiáng)信息安全性的依據(jù),信任、信用及信心,使客戶及利益相關(guān)方感受到組織對(duì)信息安全的承諾。

通過(guò)認(rèn)證能夠向政府及行業(yè)主管部門證明組織對(duì)相關(guān)法律法規(guī)的符合性。

ISO27000信息安全管理證書樣本：

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://bqlw.net/zs/202308/ccaa_54794.html