13同樣是文件化的要求，這里的原文描述是：The organization shall retain documented information about the.nformation se -curity risk assessment process。對(duì)比前文用的則是The scope shall be available as documented information。

135句式與原文與6.1.2基本相同。

136本句原文為：select appropriate information security risk treatment options，taking account of the risk assessment results，考慮風(fēng)險(xiǎn)評(píng)估的結(jié)果沒(méi)有專門(mén)強(qiáng)調(diào)，而是直接用伴隨狀語(yǔ)。

137信息安全風(fēng)險(xiǎn)處置選項(xiàng)[information security risk treatment option (s)]，上一條款中也有這個(gè)詞匯，在ISO/IEC 27001：2005中包括：1）風(fēng)險(xiǎn)處理(applying appropriate controls)；2）風(fēng)險(xiǎn)接受(knowingly and objectively accepting risks，pro - viding they ciearly satisfy the organization's policies and the criteria for accepting risks)；3)風(fēng)險(xiǎn)規(guī)避（avoiding risks）；4）風(fēng)險(xiǎn)轉(zhuǎn)移（transferring the associated business risks to other parties，e.g.insurers，s uppliers）。在ISO/IEC 27001中討論這幾個(gè)選項(xiàng)其實(shí)沒(méi)必要，因?yàn)镮SO/IEC 27005中有詳細(xì)的介紹。

138本句原文為：determine all controls that are necessary to implement the information security risk treatment option (s) chosen。 139這句翻譯的不是很清晰，原文為：Organizations can design controls as required，or identify them from any source。句子中用的can，不是may，語(yǔ)氣重一些。該備注強(qiáng)調(diào)的重點(diǎn)是，控制措施能自己設(shè)汁，也可以從任何來(lái)源中識(shí)別。當(dāng)然， 來(lái)源就包括很多了，例如，本標(biāo)準(zhǔn)的附錄A是最基本的，COBIT (Control Objectives for Information and related Technolo- gy, http: //www.isaca.org/)、NIST（National Institute of Standards and Technology，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）公布的相關(guān)技術(shù)文檔等都可以。

想了解更多IT資訊，請(qǐng)?jiān)L問(wèn)中培偉業(yè)官網(wǎng)：中培偉業(yè)