166原文為：the provision of training to, the mentoring of，or the reassignment of current employees。Mentoring這個詞匯不太常見，其解釋為：mentoring是一種工作關系。mentor通常是處在比mentee更高工作職位上的有影響力的人。他／她有比‘mentee’更豐富的工作經驗和知識，并用心支持mentee的職業（發展）。這三種方法是著眼于現有員工的能力解決辦法，即：1）培訓使其有合適的能力，例如，參加ISO/IEC 27001: 2005審核員的培訓；2）找人輔導，類似于師徒關系，這個途徑可能更有效，但是實施起來比較麻煩；3）重新分配工作，這個途徑跟后面找牛人的方式已經差不多了，只不過是在現有的人中重新分配。

167譯文和原文的句式有些不同：the hiring or contracting of competent persons，上面的三種途徑都不行，就只能重新招有能力的人。

169信息安全方針就跟組織戰略一樣，是信息安全的方向，應該讓所有的人意識到。例如，在討論信息化戰略的時候，是建設“信息化企業”還是建設“企業信息化”。信息化企業的目標是組織要以信息化帶動主營業務，是綱，而企業信息化是手段的改變，是組織要將主營業務轉移到新媒介上，對信息安全也是。

170條款b）和c）方向是很靠譜的，就是不太容易評價。讓員工做每一件事都明白對信息安全管理體系的貢獻不太容易，這需要很了解這個體系。條款c）好一點，至少應該讓員工明白背離信息安全管理體系要求會得到什么樣的懲罰。