整合并应用,原文为:integrate and implement
2018-04-16 15:11:06 | 来源:中培企业IT培训网
105这句话也比较空泛。总之,这三个条款都不是针对操作性的,而是表达态度的。
106与6.1的标题相同。
107整合并应用,原文为:integrate and implement。这两个词汇或许可以换个说法,就是整合着应用。
108注意这里的“信息安全管理体系过程”和“信息安全风险评估过程”不是一样的过程,后者有“方法”的含义。
109有效性,effectiveness。
110这里也要注意一个变化,在ISO/IEC 27001: 2005中,风险管理和风险评估前面没有加“信息安全”这个定语。ISO/IEC 27001: 2013中描述比较准确,出现的时候都加了定语,包括原来的“风险”,都修改成了“信息安全风险”。
111也不一定是加了“信息安全”这个限定词,也可以这样断句,“信息安全风险一评估”,在ISO/IEC 27000: 2009中有专门的“信息安全风险”的定义:potential that a threat(2.45) will exploit a vulnerability(2.46) of an asset(2.3)or group of assets and thereby cause harm to the organization。threat、vulnerability和asset后面的编号是ISO/IEC 27000: 2009中的标识。