237 a set of.

238本条款中，除了policy变成了policies，ISO/IEC 27001：2013和ISO/IEC 27001：2005中的表述几乎一样。

239与ISO/IEC 27001：2005中的描述完全不同，这里要比旧版本明确多了，而且还特意提了“启动”这个事。原文为：To establish a management framework to and control the implementation and operation of information security within the organiza- tion。要注意，不仅仅是“信息安全管理体系”的实施和运行，是“信息安全”的。

240这里跟ISO/IEC 27002: 2005中的A.6.1.3基本一致。但是旧版本没有设计残余风险问题，因为残余风险在ISO/IEC 27001: 2005的正文中专门要求过，在ISO/IEC 27001：2013中则删掉了。因此，ISO/IEC 27002: 2013中专门有：Respon

sibilities for information security risk management activities and in particular for acceptance of residual risks should be defined （信息安全风险管理活动的责任尤其是残余风险的接受宜被确定）。

241分割用的是：Segregation，这个条款在ISO/IEC 27001：2005中为A.10.1.3，被列入通信与操作管理中。责任分割，貌似是操作的事，其实最本质的还是责任问题。责任分割不仅能防止对组织资产的蓄意滥用，也能防止误用的风险(Segregation of duties is a method for reducing the risk of accidental or deliberate misuse of an organization's assetS).

242此处原文为：Conflicting duties and areas of responsibility shall be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organization's assetS。

243本文的原文为：contact with authority，和ISO/IEC 27002:2005保持了一致。在GB/T 22080-2008 /ISO/IEC 27001：2005中翻

译为“与政府部门的联系”，一般而言，一般情况下the authority才专门指政府或政府部门。所有的有支配力的人或者集团、当局、官方等都可以称为authority。尤其是在中国的情境中，更不能将这个范围缩小为政府机构，例如，供电、保险和银行等都是垄断性国企，和政府差不多，倒不如直接理解为“权力部门”。在ISO/IEC 27002: 2013中提到过的权利部门。