140本句對應原文為：compare the controls determined in生1.3 b）above with those in Annex A and verify that no necessary con -trols have been omitted。

141這里“遺漏”有兩個英文詞匯.ISO/IEC 27001：2013用的是omit（有遺漏、忽略、刪掉等含義），ISO/IEC 27001: 2005 和ISO/IEC 27001: 2013腳注中用的是overlook（有忽視、忽略等含義）。

1426.1.3 b)與c）是ISO/IEC 27001：2013非常重要的變化，雖然在ISO/IEC 27001：2005中也強調“附錄A所列的控制目

標和控制措施并不是所有的控制目標和控制措施，組織也可能需要選擇另外的控制目標和控制措施(The control ob - jectives and controls listed in AnnexA are not exhaustive and additional control objectives and controls may also be selected)”。 下面是選擇控制措施過程的對比：

143對附錄A的使用方法，從原來作為出發點設計控制目標和控制措施，改成了查漏補缺的表，這在重要性上是完全不同的。當然，適用性聲明還是跟原來一樣，這可能導致在實際應用中跟以前不會產生變化。這個改變如前所述，可能更是一種態度，這個態度就是備注中反復強調的，附錄A沒有窮盡控制措施，組織可以根據自己的情況設計或從其他來源中選擇。