52这里所说讨论的情境( context),倒是有环境的含义了。此处原文为context of the organization,即组织的情境、环境或上下文。这部分在ISO/IEC 27001:2005中也有,但是没这么强调H;来,这些内容在ISO/IEC 27003中有比较详细的介绍。
56要点,原文为issues,有重要问题的含义。注意,ISO/IEC 27001:2005中没有这个词汇,即使出现与此处的含义也完
全不同。例如.4.3.2 a)approve documents for adequacy prior to issue;这里的issue指的是文件发布。
57 Lsl是原文参考书目的顺序编号。
58 IS0 31000: 2009,在ISO/IEC 27001:2005中没有提及。目前www.iso.o唱在售的版本为IS0 31000: 2009 Risk manage-
ment--Principles and guidelines风险管理原则与指导,该标准的原则是通用的,不针对具体的行业或组织。但是这个标准的目的并不是要提高风险管理在不同组织之间的统一性,恰恰相反,设计与实施应考虑组织所采用的风险管理计划与框架应该考虑特定组织的需求,特殊的目标、情境、结构、运作、过程、功能、计划、产品、服务、资产和特定实践(Although IS0 31000: 2009 provides generic guidelines,it is not intended to promote uniformity of risk manage - ment across organizations. The design and implementation of risk management plans and frameworks will need to take into ac - count the varying needs of a specific organization, its particular objectives, context, structure, operations, processes, functions,projects,products,services,or assets and specific practices employed)。这个逻辑和ISO/IEC 27001完全相同。IS031000: 2009还有两个相关标准,分别为:ISO Guide 73: 2009,Risk management-Vocabulary和ISO/IEC 31010: 2009,Risk manage- ment - Risk assessment techniques。不仅IS0 31000: 2009引用了ISO Guide 73: 2009的术语和定义,其他关于风险管理的标准一般也引用该标准,例如ISO/IEC 27005。ISO/IEC 31010: 2009关注风险评估的概念、过程和风险评估技术的选择。
59 IS0 31000: 2009的条款5.3及其下面的章节为:5.3 Establishing the context;5.3.1 General 5.3.2 Establishing the external
context;5.3.3 Establishing the internal context;5.3.4 Establishing the context of the risk management process;5.3.5 De - fining risk criteria。可见,本节的描述基本来自IS031000:2009的条款5.30在具体实施中,应该研究一下该标准。但是要注意,IS031000跟ISO/IEC 27005不同,按照前面所示的分析单元来看,IS031000是针对组织层次的,ISO/IEC 27005 其实比较关注信息系统,虽然在讨论影响的时候要考虑对组织的影响,但是毫无疑问其观察单元( Unit of observed) 不是组织。