ISO27001标准详解ppt课件.pptx

ISO27001标准详解,1,主题,信息安全管理体系管理框架,ISO27001控制措施,ISO27001与知识产权保护,2, 信息安全管理体系背景介绍 信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失： 一.直接损失：丢失订单，减少直接收入，损失生产率； 二.间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉； 三.法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。,ISO27001的内容,3, 信息安全管理体系背景介绍 所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理“。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。,ISO27001的内容,4, 信息安全管理体系标准发展历史 目前，在信息安全管理体系方面，ISO/IEC27001:2005-信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。 BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995信息安全管理实施细则，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，适用于大、中、小组织。2000年12月，BS7799-1：1999信息安全管理实施细则通过了国际标准化组织ISO的认可，正式成为国际标准- ISO/IEC17799：2000信息技术-信息安全管理实施细则，后来该标准已升版为,ISO27001的内容,5, 信息安全管理体系标准发展历史 ISO/IEC17799：2005。2002年9月5日，BS7799-2:2002正式发布，2002版标准主要在结构上做了修订，引入了PDCA(Plan-Do-Check-Act)的过程管理模式，建立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模式。2005年，BS 7799-2: 2002正式转换为国际标准ISO/IEC27001：2005。,ISO27001的内容,6, 信息安全管理体系要求 11个控制领域 39个控制目标 133个控制措施,ISO27001的内容,7, 必须的ISMS文件： 1、ISMS方针文件，包括ISMS的范围； 2、风险评估程序和风险处理程序； 3、文件控制程序和记录控制程序； 4、内部审核程序和管理评审程序（尽管没有强制）； 5、纠正措施和预防措施控制程序； 6、控制措施有效性的测量程序； 7、适用性声明,ISO27001的内容,8,对外 增强顾客信心和满意 改善对安全方针及要求的符合性 提供竞争优势 对内 改善总体安全 管理并减少安全事件的影响 便利持续改进 提高员工动力与参与 提高盈利能力,形成文件的ISMS的益处,9, PDCA方法 纠正和预防措施 内部审核 ISMS管理评审,ISMS的持续改进,10, 0.1总则 0.2过程方法 过程方法的定义：组织内各过程系统的应用，连同这些过程 的识别和相互作用及其管理，可以被称为“过程方法”。 过程方法鼓励其使用者以强调以下方面的重要性：, ,理解业务信息安全要求以及建立信息安全方针和目标的需求 在管理组织的整体业务风险中实施并运作控制 监控并评审ISMS的绩效及有效性 在客观测量基础上持续改进,0 介绍,11,PDCA模型,12, 1.1总则 本标准规定了在组织整体业务风险的范围内制定、实施、运行、监控、评审、保持和改进文件化信息安全管理系统的要求 1.2应用 适用于各种类型、不同规模和提供不同产品的组织 可以考虑删减，但条款4、5、6、7和8是不能删减的,1 范围,13, ISO/IEC 17799：2005 信息技术安全技术信息安全管理实施指南,2 引用标准,14,信息 是经过加工的数据或消息，信息是对决策者有价值的数据 资产 任何对组织有价值的事物 可用性 确保授权用户可以在需要时可以获得信息和相关资产 保密性 确保信息仅为被授权的用户获得,3 术语和定义,15, 完整性 确保信息及其处理方法的准确性和完整性 信息安全 保护信息的保密性、完整性、可用性；另外也包括其他属 性，如：真实性、可核查性、不可抵赖性和可靠性 信息安全事件 已识别出的发生的系统、服务或网络状态表明可能违反信息安全策略或防护措施失效的事件，或以前未知的与安全相关的情况,3术语和定义（续）,16, 信息安全事故 信息安全事故是指一个或系列非期望的或非预期的信息安全事件，这些信息安全事件可能对业务运营造成严重影响或威 胁信息安全。 信息安全管理体系（ISMS） 全面管理体系的一部分，基于业务风险方法，旨在建立、实施、运行、监控、评审、维持和改进信息安全 适用性声明 基于风险评估和风险处理过程的结果和结论，描述与组织的信息安全管理体系相关并适用的控制目标和控制的文件,3 术语和定义（续）,17,残余风险 实施风险处置后仍旧残留的风险 风险接受 接受风险的决定。 风险分析 系统地使用信息以识别来源和估计风险。,3 术语和定义（续）,18,风险评估 风险分析和风险评价的全过程。 风险评价 将估计的风险与既定的风险准则进行比较以确定重要风险的过程。 风险管理 指导和控制一个组织关于风险的协调活动。 风险处置 选择和实施措施以改变风险的过程。 14,3术语和定义（续）,19,组织应根据整体业务活动和风险，建立、实施、运行、监 控、评审、保持并改进文件化的信息安全管理体系。为了 适应标准的需要，过程运用PDCA模式,4.1 总要求,20, 确定ISMS范围（划分业务或重要资产均可） 确定信息安全方针 定义系统化的风险评估方法 风险识别 风险评估 识别并评价风险处理，并对其处理进行选择 选择风险处理的控制目标和控制方式 编制适用性声明 获得剩余风险的管理认可，并授权实施和运行ISMS,4.2.1 建立和管理 ISMS,21, 阐明风险处理计划，它为信息安全风险管理（见第5章）指出了 适当的管理措施、职责和优先级；, ,实施风险处理计划以达到确定的控制目标，应考虑资金需求以 及角色和职责分配； 实施所选择的控制方法以满足控制目标. 确定如何测量所选择的一个/组控制措施的有效性，并规定这些 测量措施如何用于评估控制的有效性以得出可比较的、可重复 的结果 实施培训和教育 运作管理 资源管理 实施过程和其它控制以便能对安全事故及时检查并做出反应,4.2.2 实施和运行 ISMS,22, 执行监视和评审程序和其它控制措施 对ISMS的有效性进行定期的评审 测量控制措施的有效性，以证实安全要求已得到满足 评审剩余风险水平和可接受风险 按照计划的间隔实施内部ISMS的审核 对ISMS实施规律性的管理评审 更新安全计划，考虑监视和评审活动的发现 记录对ISMS的有效性或绩效可能会产生影响的行为和事件,4.2.3 监控和评审 ISMS,23, 实施ISMS中已识别的改进措施 采用合适的纠正性和预防性措施 与所有相关方交流结果、行为和协议 确保改进活动达到预想的目标,4.2.4 维持和改进 ISMS,24, 4.3.1 总则 4.3.2文件控制 4.3.3记录控制,4.3 文件要求,25, ISMS文件应包括： 文件化的安全方针和控制目标 ； ISMS的范围，支持ISMS的程序和控制措施 ； 支持ISMS 的程序和控制措施； 风险评估方法的描述 风险评估报告； 风险处理计划； 组织需要文件化的过程以确保信息安全过程得到有效计划、 运行和实施； 本标准所要求的记录 适用性声明,4.3.1 总则,26, ,文件发布前要得到批准，以确保文件的适当性； 根据需要评审和修订文件，并重新批准 确保文件的更改和现行修订情况得到识别； 确保在使用时能得到有关文件的适当版本； 确保文件保持清晰，易于识别； 确保文件可以为需要者所获得，并根据适用于他们类别的程序 进行转移、存储和最终的销毁； 确保外来文件得到识别； 确保文件的分发受控； 防止废旧文件的非预期使用； 若因任何原因而保留作废文件时，应做适当的标识,4.3.2 文件控制,27, 应建立并保持记录，以提供满足本规范的要求和信息安全管理体系有效运行的证据 建立程序文件，以规定记录的识别、贮存、保护、恢复、保存时间和处置所需的控制 如：记录控制程序 记录应清晰易读，具有标识和可追溯性 考虑任何相关的法律要求 如：来访登记表（本）、审核记录、授权访问记录,4.3.3 记录控制,28,ISMS 文 件,方针 范围、风险评价 适用性声明,描述过程：,who,what,when,where,描述任务及具体的活动如何 完成,提供符合ISMS条款3.6要求的可感证据,第一层次,第二层次,第三层次,第四层次,安全手册,程,序,作业指导书 检查表、表格,记,录,管理框架,与ISO27001条款 4有关的方针,29, 第一层次（安全手册）：管理框架概要，包括信息安全方针、控制目标以及在适用性声明上给出的实施的控制方法。应引用下一层次的文件 第二层次（程序）：采用的程序，规定实施要求的控制方法。描述安全过程的“WHO、WHAT、WHEN、WHERE”以及部门间的控制方法；可以按照ISO27001顺序，也可按照过程顺序；引用下一层次文件 25,ISMS 文 件,30, 第三层次：解释具体任务或活动的细节如何执行具体的任务。包括详细的作业指导书、表格、流程图、服务标准、系统手册，等等。 第四层次（记录）：按照第一、二、三层次文件开展的活动的客观证据。可能是强制性的，或者是ISO27001各个条款隐含的要求。例如：访问者登记簿、审核记录、访问的授权。 26,ISMS 文 件,31,5.1管理承诺 5.2资源管理 5.2.1提供资源 5.2.2培训、意识和能力,5 管理职责,32, 管理者应通过如下所示向ISMS的建立、实施、运作、 监管、审核、维持和改进提供承诺的证据： a) 建立信息安全方针； b) 确保信息安全目标和计划的建立； c) 为信息安全定岗并建立岗位职责； d) 向本组织宣传达到信息安全目标和符合信息安全方针的重要性， 以及本组织的法律责任和持续改进的需求；, ,e) 为ISMS的发展、实施、运作和维持提供充足的资源； f )确定接受风险的准则和可接受的风险等级； g)确保ISMS内部审核的实施； h)进行ISMS管理评审。,5.1 管理承诺,33, 组织应确定并提供以下方面所需资源： 建立、实施、运作和维持ISMS； 确保信息安全程序支持业务需要； 识别和定位法律法规要求和合同安全责任； 通过正确的应用所有的已被实施的控制方法来维持适当的安 全； 必要时进行评审，并对审核结果采取适当的行动 ； 在有需要的地方改进ISMS的有效性,5.2.1 提供资源,34, ,确定员工在执行与ISMS相关的工作时所必需具备的能力； 提供能力培训，必要时，聘请专业人士以满足需要； 评价所提供的培训和采取的行动的有效性； 保持教育、培训、技能、经验和资格的记录,组织应确保所有相关人员认识其信息安全活动的相关性和重要性，并知道怎样为实现ISMS的目标做出贡献 30,5.2.2 培训、意识和能力,35, 组织应按策划的时间间隔对ISMS进行内审,以决定ISMS的控制目标、控制行为、过程和程序是否 与本标准的要求和相关法律法规相适应 与已识别信息安全需求相适应 有效地实施和维护 达到预期目标 文件化内审程序、保持内审记录 31,6 ISMS内部审核,36, 7.1 总则 7.2 评审输入 7.3 评审输出,7 ISMS的管理评审,37, 定期管理评审，以确保适宜性、充分性和有效性 评审应包括评价ISMS的改进机会和变更需要，包括安全 方针和安全目标 评审结果应清楚地写入文件，保持评审的记录 33,7.1总则,38, ,ISMS审核和评审的结果； 相关方的反馈； 在组织中被用于改进ISMS性能和有效性的技术、产 品或程序； 预防和纠正措施的状况； 以前风险评估中没有准确定位的薄弱点或威胁； 有效性测量的结果； 以往管理评审的跟踪措施； 任何可能影响ISMS的变更； 改进的建议,7.2评审输入,39, ISMS有效性的改进信息 风险评估和风险处理计划的更新 修改影响信息安全的程序，必要时，对可能影响ISMS的内部或外部事件做出反应，变更包括如下 ：, ,业务需求 安全需求 影响现有业务需求的业务过程 法律法规环境 风险等级或/和可接受风险水平, 资源需求 对如何测量控制措施的有效性的改进,7.3评审输出,40,8.1 持续改进 8.2 纠正措施 8.3 预防措施,8 ISMS的改进,41, 组织应通过信息安全方针、安全目标、审核结果、监督事件的分析、纠正和预防措施以及管理评审来持续改进ISMS的有效性,8.1持续改进,42, 建立文件化的纠正措施程序以满足如下要求 识别ISMS的实施和/或运行的不合格 确定不合格原因 评价确保不合格不再发生的措施的需求 确定和实施所需的纠正措施 记录所采取的措施结果 评审所采取的纠正措施,8.2纠正措施,43, 建立文件化的预防措施程序以满足如下要求： 识别潜在的不合格及其原因 评价预防不符合发生所需的措施 确定和实施所需的预防措施 记录所采取的措施的结果 评审所采取的预防措施,8.3 预防措施,44,预防 预防是主动的 意图为防止问题发生 在过程策划和设计阶段 控制 增值 成本更低 更大的顾客信心 所有ISO标准的主要关 注点,预防与探测,探测 探测是被动的 意图为探测发生的问题 在过程输出阶段控制 不增加价值 成本很大 顾客信心有限 需要，但远不是重点,45, ,管理者承诺 组织 资源 关注预防 培训 沟通 参与 系统评审,ISMS的有效实施,46,主题,信息安全管理体系管理框架,ISO27001控制方法,ISO27001与知识产权保护,47,ISO27001:2005 控制目标和控制方法,附录：A,48,11大控制域,信息资产,保密性,完整性,可用性,安全方针,信息安全组织,资产管理,人力资源安全 物理和环境安全 通信与操作安全,信息安全事件管理 信息系统的获取 开发和维护 访问控制,业务持续性管理,符合性,49,A.5 安全方针,50, 评审与评价,A.5 信息安全方针,方,针,积极预防、全面管理、 控制风险、保障安全。,目标：根据业务需求和,相关法律、法规，为 信息安全提供管理指,导和支持。 信息安全方针文件,51, 信息安全方针文件应经管理层批准认可，并向所有雇员和有关外部组织发布、传达。 47,A.5.1信息安全方针文件,52, 应按策划的时间间隔或当发生重大变化时，对信息安全方针文档进行评审，以确保其持续的适宜性、充分性和有效性。 48,A.5.2信息安全方针评审,53,A.6 信息安全组织,54,A.6.1 内部组织,目标：在组织内部管理信息安全。 信息安全的管理承诺 信息安全协调 信息安全职责划分 信息处理设备的授权过程 保密协议 与权威机构的联系 与专业的利益团体保持联系 信息安全的独立评审,55,A.6.1.1 信息安全的管理 承诺 A.6.1.2 信息安全协调 A.6.1.3 信息安全职责划 分 A.6.1.4 信息处理设施的 授权过程 A.6.1.5 保密协议 A.6.1.6 与权威机构的联 系 A.6.1.7 与专业的利益团 体保持联系 A.6.1.8 信息安全的独立 评审,控制措施： 管理应通过明确的指导、已证实的承诺、明确的任务委派和信息安全职 责的确认来积极支持组织内部的安全。 控制措施： 来自组织不同部门的代表应保持信息安全活动与有关角色和工作职责的 协调。 控制措施： 应明确规定所有的信息安全职责。 控制措施： 应定义和实施对新的信息处理设施的管理授权过程。 控制措施： 应识别和定期评审反映组织信息保护需要的保密或不许泄露协议的需求 控制措施： 应保持与相关权威机构的适当联系。 控制措施： 应与专业的利益团体或专家安全论坛以及专业协会保持适当的联系。 控制措施： 对组织信息安全的管理方法和实施情况（如信息安全的控制目标、措施 、方针、过程、流程）应按计划的时间间隔进行独立评审，或是在,信息安全实施发生重大变更时进行独立评审。,56,A.6.2外部组织,目标：保持被外部组织访问、处理、通信或管 理的组织信息和信息处理设施的安全。 关于外部组织风险的识别 当与顾客接触时强调安全 第三方合同中的安全要求,57,58,A.7 资产管理,59,A.7.1资产责任,目标：实现并保持组织资产的适当保护。 资产的清单 资产所有者关系 可接受的资产使用,60,1术语“所有者”是为控制生产、开发、保持、使用和保护资产而赋予 管理职责的个人或实体。术语 “所有者”不指对资产有实际所有权的人员。,61, 分类指南, 信息的标识与处理,目标：确保信息受到适当程度的保护。,限,制,高度机密,秘 保,密 密,限,制,直到2007/1/1 保护标识,A.7.2 资产分类与控制,62,63,A.8 人力资源安全,64,目标：确保员工、合同方和第三方用户明白他们的职责， 适合于他们被赋予的任务，减少因盗窃、欺诈或设施 误用造成的风险。 任务和职责 人员考察 雇用条款和条件,A.8.1雇佣前,65,66,A.8.2雇佣期间,目标：确保所有的员工、合同方和第三方用户了,解信息安全威胁和相关事宜、他们的责任和义务，,并在他们的日常工作中支持组织的信息安全方针，,减少人为错误的风险。 管理职责 信息安全意识、教育与培训 惩戒程序,67,68,A.8.3雇佣的终止或变更,目标：确保员工、合同方和第三方用户离开组织或雇佣变更时以一种有序的方式进行应有合适的职责确保管理雇员、合同方和第三方用户从组织的退出，并确保他们归还所有设备及删除他们的所有访问权力。 终止职责 资产归还 撤销访问权限 66,69,70,A.9 物理与环境安全,71,A.9.1安全区域,目标：防止对组织办公场所和信息的非授权物理 访问、破坏和干扰。 物理安全边界 物理进入控制 办公室、房间和设施的安全 防范外部和环境的威胁 在安全区域工作 公共访问和装卸区域,72,73,A.9.2 设备安全,目标：防止资产的丢失、损坏或被盗，以及对 组织活动的中断。 设备的定置和保护 支持性设施 线缆安全 设备维护 场外设备的安全 设备的安全处理或再利用 资产迁移,74,75,A.10 通信与操作管理,74,76,A.10.1操作程序及职责,目标：确保信息处理设施的正确和安全操作。 文件化的操作程序 变更管理 职责分离 开发、测试和运营设施的 分离,77,78,A.10.2第三方服务交付管理,目标：实施并保持信息安全的适当水平，确保 第三方交付的服务符合协议要求。 服务交付 监控和评审第三方服务 管理第三方服务的变更,79,80,A.10.3系统规划和验收,目标：最小化系统失效的风险。 容量管理 系统验收,81,82,A.10.4 防范恶意代码和移动代码,目标：保护软件和信息的完整性。 防范恶意代码 防范移动代码,83,84,A.10.5 备份,目标：保持信息和信息处理设施的完整性和可用性。 信息备份,85,A.10.5.1,信息备份,控制措施： 应根据既定的备份策略对信息和软件进行备份并 定期测试。,86, 网络控制 网络服务的安全,A.10.6 网络安全管理,目标：确保网络中的信息和支持性基础设施 得到保护。,87,88,A.10.7 媒介处置,目标：防止对资产的未授权泄漏、修改、移动 或损坏，及对业务活动的干扰。 可移动计算机介质的管理 介质处理 信息处理程序 系统文档的安全,89,90,A.10.8 信息交换,目标：应保持组织内部或组织与外部 组织之间交换信息和软件的安全。 信息交换策略和程序 交换协议 物理媒体传输 电子信息 业务信息系统,91,92, 在线交易 公共可用信息,A.10.9 电子商务服务,目标：确保电子商务的安全及他们的安全使用。 电子商务,93,94,A.10.10 监控,目标：检测非授权的信息处理活动。 审计日志 监视系统的使用 日志信息保护 管理员和操作者日志 故障记录 时钟同步,95,96,A.11 访问控制,97,A.11.1 访问控制业务需求,目标：控制对信息的访问。 访问控制策略 系统管理员 菜 单,98,A.11.1.1,访问控制策 略,控制措施： 应建立文件化的访问控制策略，并根据对访问的 业务和安全要求进行评审。,99, 用户注册 特权管理, 用户口令管理 用户访问权限的评审,A.11.2 用户访问管理,你无权访问 本系统,目标：确保授权用户的访问，并预防信息 系统的非授权访问。,100,101,A.11.3 用户责任,目标：预防未授权用户的访问，信息和信 息处理设施的破坏或被盗。 口令使用 无人值守的用户设备 清理桌面及清除屏幕 策略,102,103,A.11.4 网络访问控制,目标：防止对网络服务未经授权的访问。 网络服务使用策略 外部连接用户的鉴别 网络设备的识别 远程诊断和配置端口保护 网内隔离 网络连接控制 网络路由控制,104,105,A.11.5 操作系统访问控制,目标：防止对操作系统的非授权访问。 安全登陆程序 用户标识和鉴别 口令管理系统 系统实用程序的使用 终端时限 连接时间限制,106,107,A.11.6应用系统和信息访问控制,目标：防止对应用系统中信息的非授权访问。 信息访问限制 敏感系统隔离,108,109,A.11.7 移动计算与远程工作,目标：确保在使用移动计算和远程工作设施时信息的安全。 移动计算和通信 远程工作,110,111,A.12 信息系统的获取、开发和维护,112, 安全要 求分析 与规范,A.12.1 信息系统的安全要求,规 范,商务案例 。如企业新购的ERP 系统在购买之后就 进行常规的测试和 需求处理。,安全要求,目标：确保安全成为信息系统的一部分。,113,114,A.12.2 应用系统的正确处理,目标：防止应用系统信息的错误、丢失、非授 权的修改或误用。 输入数据确认 内部处理的控制 消息完整性 输出数据确认,115,116,A.12.3 加密控制,目标：通过加密手段来保护信息的保密性、真 实性或完整性。 使用加密控制的策略 密钥管理,117,118,A.12.4 系统文档的安全,目标：确保系统文档的安全。 操作软件的控制 系统测试数据的保护 源代码的访问控制,119,120, ,变更控制程序 操作系统变更后的技术评审 软件包变更限制 信息泄漏 软件开发外包,A.12.5 开发与支持过程中的安全,目标：保持应用系统软件和信息的安全。,121,122,A.12.6技术漏洞管理,目标：减少由利用公开的技术漏洞带来的风险。 控制技术漏洞,123,A.12.6.1,控制技术漏洞,控制措施： 应及时获得组织所使用的信息系统的技术漏洞的信息，评估组织对此类技术漏洞的保护，并采取适当的措施。,124,A.13 信息安全事件管理,125,A.13.1 报告信息事件和弱点,目标：确保与信息系统有关的安全事件和弱点 的沟通能够及时采取纠正措施。 报告安全事件 报告安全弱点,126,127,A.13.2 对安全事件与故障做出 响应,目标：确保与信息系统有关的安全事件和弱点 的沟通能够及时采取纠正措施。 职责和程序 从信息安全事故中 学习 收集证据,128,129,A.14 业务持续性管理,130,目标:防止业务活动的中断，保护关键业务流程不会受信 息系统重大失误或灾难的影响，并确保他们的及时恢复 在业务连续性管理过程中包含的信息安全 业务连续性和风险评估 制定并实施包含信息安全的连续性计划 业务连续性计划框架 BCP 的测试、保持和再评估,A.14.1 业务连续性管理的信息 安全方面,131,132,A.15 符合性,133,目标：避免违反法律、法规、规章、合同要求和其他的安全要求 适用法律要求的识别 知识产权 组织记录的保护 数据保护以及个人信息的隐私 防止信息处理设备的误用 密码控制方法的规定,A.15.1 符合法律要求,134,135,目标：确保系统