105這句話也比較空泛。總之，這三個條款都不是針對操作性的，而是表達態度的。

106與6.1的標題相同。

107整合并應用，原文為：integrate and implement。這兩個詞匯或許可以換個說法，就是整合著應用。

108注意這里的“信息安全管理體系過程”和“信息安全風險評估過程”不是一樣的過程，后者有“方法”的含義。

109有效性，effectiveness。

110這里也要注意一個變化，在ISO/IEC 27001: 2005中，風險管理和風險評估前面沒有加“信息安全”這個定語。ISO/IEC 27001: 2013中描述比較準確，出現的時候都加了定語，包括原來的“風險”，都修改成了“信息安全風險”。

111也不一定是加了“信息安全”這個限定詞，也可以這樣斷句，“信息安全風險一評估”，在ISO/IEC 27000: 2009中有專門的“信息安全風險”的定義：potential that a threat(2.45) will exploit a vulnerability(2.46) of an asset(2.3)or group of assets and thereby cause harm to the organization。threat、vulnerability和asset后面的編號是ISO/IEC 27000: 2009中的標識。