226这里的编号是原文的参考书目编号,不是我们加的。
227条款5到18没有下划线,应该指的是ISO/IEC 27002: 2013。
228information security policies,开始看到ISO/IEC 27001:2013,以为没有变化,其实在ISO/IEC 27001:2005中,该章节为.nformation security policy。从policy到policies,含义产生了质的变化。在ISO/IEC 27001:2005中,policy与正文中是保持一致的,但是在ISO/IEC 27001:2013中,正文中的policy和附录中的policies不是一回事。针对这个问题,我们将policy译为“方针”,将policies译为“策略”。
229策略原文为policies。policy译为方针,源白IS0 9000,又被沿用到GB/T 22080-2008/ISO/IEC 27001:2005,是个翻译非常精确的词汇,因为英文中policy可大可小,方针或策略都行,但是汉语中却不如此。但是加上ISO/IEC 27002: 2013 中的描述,这里不但有“方针”也有“策略”,如果用复数形式policies,感觉还是策略更贴切一些。
230从这个标题看,与ISO/IEC 27001:2005相比,只是把“信息安全方针文件”拆开了描述,方针就是方针,言简意赅, 但是各个安全控制域在这里只是涉及方向,是提纲挈领的,不能和具体的要求混淆。具体要求也叫策略,如上所述, 我们建议针对某些领域的方向,也叫策略,而不是方针。按照中文的习惯,方针应该是言简意赅的,高度概念化的, 最好不要哕嗦。
231在IS0 9000中,质量方针和质量手册的做法可以借鉴,质量方针言简意赅,质量手册则建立了一个庞大的框架。
232在ISO/IEC 27001:2005中目标和控制措施都是使用斜体(Objective.Control)标识的,在ISO/IEC 27001:2013中“控制措施”还是斜体,但是“目标”没有。