13同樣是文件化的要求，這里的原文描述是：The organization shall retain documented information about the.nformation se -curity risk assessment process。對比前文用的則是The scope shall be available as documented information。

135句式與原文與6.1.2基本相同。

136本句原文為：select appropriate information security risk treatment options，taking account of the risk assessment results，考慮風險評估的結果沒有專門強調，而是直接用伴隨狀語。

137信息安全風險處置選項[information security risk treatment option (s)]，上一條款中也有這個詞匯，在ISO/IEC 27001：2005中包括：1）風險處理(applying appropriate controls)；2）風險接受(knowingly and objectively accepting risks，pro - viding they ciearly satisfy the organization's policies and the criteria for accepting risks)；3)風險規避（avoiding risks）；4）風險轉移（transferring the associated business risks to other parties，e.g.insurers，s uppliers）。在ISO/IEC 27001中討論這幾個選項其實沒必要，因為ISO/IEC 27005中有詳細的介紹。

138本句原文為：determine all controls that are necessary to implement the information security risk treatment option (s) chosen。 139這句翻譯的不是很清晰，原文為：Organizations can design controls as required，or identify them from any source。句子中用的can，不是may，語氣重一些。該備注強調的重點是，控制措施能自己設汁，也可以從任何來源中識別。當然， 來源就包括很多了，例如，本標準的附錄A是最基本的，COBIT (Control Objectives for Information and related Technolo- gy, http: //www.isaca.org/)、NIST（National Institute of Standards and Technology，美國國家標準與技術研究院）公布的相關技術文檔等都可以。

想了解更多IT資訊，請訪問中培偉業官網：中培偉業