19原文為：organization's needs and objectives,security requirements,the organizational processes used and the size and struc -

ture of the organizationo此處描述與1SO/IEC 27001：2005稍有變化，不同之處是the processes employed，修改為the or ganizational processes usedO兩者區別不大，就是指代關系更清楚了一些。

20本句為新加。這句話比較原則性，用哲學語言講就是世界是變化的。ISO/IEC 27001：2005本來有一句很實在的話，反

倒被刪除了，如下：例如，簡單的情況可采用簡單的ISMS解決方案(e.g.a simple situation requires a simple ISMS solu- tion)。

21保密性、完整性和可用性，對應詞匯為confidentiality, integrity and availabilityo注意，不是信息安全定義中的7個屬

性，ISO/IEC 27001：2013和ISO/IEC 27001：2005 -樣，反復被強調的是3個屬性。另外4個屬性為：真實性(authen- ticity)、可核查性(accountability)、不可否認性(non-repudiation)和可靠性(reliability)等。

22在ISO/IEC 27001：2013中對信息安全只強調保密性、完整性和可用性是有其邏輯的，因為ISO/IEC 27000：2009中將其

定義為：preservation of confidentiality (2.9),integrity (2. 25) and availability (2.7)of information.NOTE In addition, other voperties, such as authenticity《2.6k accountability《2.2),non-repudiation《2. 27), and reliability(2- 33) can also be involvea.注意斜體部分，其他4個屬性是以“備注”的形式給出來的。但是在ISO/IEC 27001：2005中只強調這3個屬性不太符合邏輯，因為在其術語與定義中引用ISO/IEC 27002：2005將信息安全定義為：preservation of confidentiality, integrity and availability of information;}in addition,,other properties,such as authenticity, accountability,non-repudiation,and reliability cari also be involved。斜體部分討論這4個屬性時，是并列關系。

23相關利益方，interested parties。這是標準中出現比較頻繁的術語。 24此處程度副詞用的是adequately。