确保重复(执行的)信息安全风险评估产生一致的
120本句原文为:ensures that repeated information security risk assessments produce consistent.valid and comparable results。
本句应该为:确保重复(执行的)信息安全风险评估产生一致的、有效的和可比较的结果。原文中没有执行。
121此处原文为:risks associated with the loss of confidentiality, integrity and availability for.nformation。
122负责人,owner。ISO/IEC 27001:2013中的负责人说的是风险负责人(risk owner),ISO/IEC 27001:2005中的负责人是资产负责人(asset owner),表述的这种改变是有道理的。一般而言,风险管理可以分为三代.详细请参考:赵战生,
谢宗晓编著,《信息安全风险评估概念、方法和实践》,中国标准出版社。第一代信息安全风险管理是计算集中时代的检查表,第二代信息安全风险管理就是经典六因素法[仁r(A,T,v,C,L,J)]为代表的关注资产的方法,现在应该发展到第三代信息安全风险管理,以目标为导向,以对象为评估基本单元。也就是说,传统的保护资产的导向已经不是信息安全风险评估的主要目的,而且这容易导致忽略资产之间的关联,因此责任人直接针对风险( risk), 要比对应到资产(asset)好。
1231SO/IEC 27001: 2005中有一个对owner的脚注:术语“责任人”不是指该人员实际上对资产拥有所有权(The term 'owner' does not mean that the person actually has any property rights to the asset)。ISO/IEC 27001:2013中由于责任人是
对应到风险的,这种解释已经没有必要了。但是风险的责任人有时候还是不好界定,或者说最终可能还是要落实到资产责任人。注意,这里所说的资产是广义的。