212管理评审在ISO/IEC 27001: 2005中描述非常详细,分为7.1概述,7.2评审输入和7.3评审输出。但是在本版本中则变得简化多了。其实管理评审比较形式化,当然也非常重要,但是毕竟步骤清晰、目标明确,没有必要要求的太多, 只要管理层能批示信息安全管理体系的相关问题就行了。
213这句乍看起来和ISO/IEC 27001: 2005是一样的,其实有最重要的变化,就是“主语”变了,原来的管理者(Manage- ment)变成了现在的最高管理者(Top Management)。
214适宜性、充分性和有效性,原文为suitability, adequacy and effectiveness。
215本句原文为:changes in external and internal issues that are relevant to the information security management system。我们将issue译成了“要点”,其本意为“议题”,更多的翻译为“问题”。但是感觉议题不太符合中文习惯,问题又显得好像有麻烦一样,这个词汇在4.1出现过,此处与其保持了一致。
216这里不知道什么原因,风险评估和风险管理又不加限定词了。
217对输出的要求与ISO/IEC 27001: 2005相比大大的简化了,这是个进步。既然管理评审是最高管理者的责任,哕嗦一大堆,最高管理者不关心细节,就是关心,他们恐怕也不懂(绝大部分的最高管理者都不是IT从业人员),描述简洁, 切中要害是最好的。
218 -个新的东西,如果想让内行听懂,最重要的是抓住关键点,如果让外行听懂,最重要的则是概念化。其实,这也是IS0 9000能够迅速普及的原因之一。管理体系能否被接受当然有很多方面的原因,完整的产业链和高度的概念化都是不可或缺的因素。关于标准,尤其是网络相关的技术标准如何被广泛接受,Tanenbaum Andrew S.和Wetherall David J.有非常精彩的描述,请参考:严伟和潘爱民译,《计算机网络》(第五版),清华大学出版社,2012年。