140本句对应原文为:compare the controls determined in生1.3 b)above with those in Annex A and verify that no necessary con -trols have been omitted。
141这里“遗漏”有两个英文词汇.ISO/IEC 27001:2013用的是omit(有遗漏、忽略、删掉等含义),ISO/IEC 27001: 2005 和ISO/IEC 27001: 2013脚注中用的是overlook(有忽视、忽略等含义)。
1426.1.3 b)与c)是ISO/IEC 27001:2013非常重要的变化,虽然在ISO/IEC 27001:2005中也强调“附录A所列的控制目
标和控制措施并不是所有的控制目标和控制措施,组织也可能需要选择另外的控制目标和控制措施(The control ob - jectives and controls listed in AnnexA are not exhaustive and additional control objectives and controls may also be selected)”。 下面是选择控制措施过程的对比:
143对附录A的使用方法,从原来作为出发点设计控制目标和控制措施,改成了查漏补缺的表,这在重要性上是完全不同的。当然,适用性声明还是跟原来一样,这可能导致在实际应用中跟以前不会产生变化。这个改变如前所述,可能更是一种态度,这个态度就是备注中反复强调的,附录A没有穷尽控制措施,组织可以根据自己的情况设计或从其他来源中选择。