43裁剪,tailor。这里“裁剪”一词用在了风险评估和处置,而不是用在ISO/IEC 27001。但是,到底什么是可以裁剪的,原则。一般.,要求类,,的是可以裁剪的。
44意义不大。可能是为了持续的强调不要设计“放之四海而皆准”的管理体系或风险评估。这种描述和前面的讨论是一样的,理念是完全正确的,但是并没有可操作的流程来保证“适合组织的需求”。如同“因材施教”,是个非常好的理念,但是根本没有可操作的方法,怎么判断学生是什么材料,这需要非常强大的师资保障,如果过度强调这个理念,不但不会提高教育质量,反而落入没有标准、无法证伪的诡辩状态。当然,m现这种情况的原因在于毫无益处的吹毛求疵,这些争论往往抓住一点,而不考虑可操作性,站在道德正确的角度去讨论问题。最后博弈的结果就是公开言论和公开文档都先占据道德正确的位置, 之后再在安全的范围内解决可操作性问题。因此,我们在理解标准时,在满足符合性的前提下,应该根据自己组织的实际,不要机械的理解,裁剪成自己想要的样子。
45需求,need,要求,requirement。
46本句原文为This International Standard also includes requirements for the assessment and treatment of information security
risks tailored to the needs of the organization。注意,这里主语This International Standard是重复出现的,按照常见的句式,加上前面的句子,可能会这样:This International Standard specifies the requirements for establishing,implementing, maintaining and continually improving an information security management system within the context of the organization, also including requirements for the assessment and treatment of information security risks tailored to the needs of the organization。 如果改成伴随状语可能就成了强调主句,没有并列的含义了。