226這里的編號(hào)是原文的參考書目編號(hào)，不是我們加的。

227條款5到18沒(méi)有下劃線，應(yīng)該指的是ISO/IEC 27002: 2013。

228information security policies，開(kāi)始看到ISO/IEC 27001：2013，以為沒(méi)有變化，其實(shí)在ISO/IEC 27001：2005中，該章節(jié)為.nformation security policy。從policy到policies，含義產(chǎn)生了質(zhì)的變化。在ISO/IEC 27001：2005中，policy與正文中是保持一致的，但是在ISO/IEC 27001：2013中，正文中的policy和附錄中的policies不是一回事。針對(duì)這個(gè)問(wèn)題，我們將policy譯為“方針”，將policies譯為“策略”。

229策略原文為policies。policy譯為方針，源白IS0 9000，又被沿用到GB/T 22080-2008/ISO/IEC 27001：2005，是個(gè)翻譯非常精確的詞匯，因?yàn)橛⑽闹衟olicy可大可小，方針或策略都行，但是漢語(yǔ)中卻不如此。但是加上ISO/IEC 27002: 2013 中的描述，這里不但有“方針”也有“策略”，如果用復(fù)數(shù)形式policies，感覺(jué)還是策略更貼切一些。

230從這個(gè)標(biāo)題看，與ISO/IEC 27001：2005相比，只是把“信息安全方針文件”拆開(kāi)了描述，方針就是方針，言簡(jiǎn)意賅， 但是各個(gè)安全控制域在這里只是涉及方向，是提綱挈領(lǐng)的，不能和具體的要求混淆。具體要求也叫策略，如上所述， 我們建議針對(duì)某些領(lǐng)域的方向，也叫策略，而不是方針。按照中文的習(xí)慣，方針應(yīng)該是言簡(jiǎn)意賅的，高度概念化的， 最好不要噦嗦。

231在IS0 9000中，質(zhì)量方針和質(zhì)量手冊(cè)的做法可以借鑒，質(zhì)量方針言簡(jiǎn)意賅，質(zhì)量手冊(cè)則建立了一個(gè)龐大的框架。

232在ISO/IEC 27001：2005中目標(biāo)和控制措施都是使用斜體(Objective.Control)標(biāo)識(shí)的，在ISO/IEC 27001：2013中“控制措施”還是斜體，但是“目標(biāo)”沒(méi)有。