信息安全方针和信息安全目标
74信息安全方针和信息安全目标,information security policy and the.nformation security objectives。
75兼容,compatible,这个词汇的意思是可以并存的、兼容的、协调的,应该说compatible没有alignment更准确。com-patible只能保证没有冲突,alignment的要求更高,不仅是没有冲突,而且是要保持校准的,也就是说信息安全方针应该随着整体战略的变化而变化。
76整合,integration,一体化,强调之后的统一,例如,economic integration,经济一体化。但是这种要求与组织过程的结合其实没有embedded更形象,当然,用embedded就显得信息安全管理体系的要求很零碎,且依附在业务过程上。
77组织的过程,organization's processes。
78这两个条款5.1 a)与b)非常好,虽然在ISO/IEC 27001:2005中也强调了与业务流程整合的重要性,但是正文中并不明确,也没有专门的强制性条款。事实上,在应用中,这是必须的,安全不能成为负担,应该尽量降低安全对正常业务的负面作用。如果更彻底一点,就应该把原文修改为:a)ensuring the information security policy and the information security objectives are established and are aligned (compatible) with the strategic direction of the organization; b)ensuring the embeddedness (integration) of the information security management system requirements into the organization's processeSo括弧内为原文用词。