在ISO/IEC 27002: 2013还给了一个很讨巧的建议

338在ISO/IEC 27002: 2013还给了一个很讨巧的建议：If adequate testing of the patches is not possible,e.g.because of costs or lack of resources,a delay in patching can be considered to evaluate the associated risks, based on the experience reported by other users. The use of ISO/IEC 27031 can be beneficial（如果不能对补丁进行充分的测试，如由于成本和资源缺乏，那么可以考虑推迟打补丁，以便基于其他用户的报告的经验来评价相关的风险。使用ISO/IEC 27031会有益处的）。最后那一句是lSO/IEC 27002: 2013新加的。意思就是说，没钱搞测试的话，就让有钱的那些主儿先搞，看看情况再说。

339原文为：Ruies governing the installation of software by users shall be established and implemented，这里的管理是gover_ ning，一般有统治的含义，强调“管”，弱化“理”。

340软件安装的限制在ISO/IEC 27002: 2005中要求没有现在这么明确，虽然在实践中都有专门的规程，在其A.12.5.1 Change control procedures的“其他信息”中：Changing software can impact the operational environment。

341这个控制措施没有太具体的指导意见，内容如下表所示