201這一句調整了順序，實際原文為：The organization shall perform information security risk assessments at planned intervals or when significant changes are proposed or occur, taking account of the criteria established ）.這與ISO/IEC 27005保持了一致，與ISO/IEC 27001：2005的要求也是一樣的。

202條款8.2與8.3描述都比較簡單，是真正關注“運行”，對流程和方法的要求在6.1.2和6.1.3中，基本的邏輯關系如下圖所示：

203信息安全風險處置計劃是在前面制定的。

204注意這兩種說法，“信息安全績效（the information security performance）”和“信息安全管理體系有效性(the effec -tiveness of the information security management system)".

205這節內容比較容易理解，跟前面的信息安全風險計劃等要素都是一樣的，原文為：a）what needs to be monitored and measured, including information security processes and controls;b) the methods for monitoring, measurement, analysis and e -valuation, as applicable, to ensure valid results;c) when the monitoring and measuring shall be performed;d) who shall monitor and measure;e) when the results from monitoring and measurement shall be analysed and evaluated; and f) who shall analyse and evaluate these resultS。

206可比較和可再現的結果，comparable and reproducible resultSo在ISO/IEC 27005: 2005中是說信息安全風險評估的，在ISO/IEC 27005: 2013中對信息安全風險評估中沒提這個要求，倒轉移到監視和評審章節上了。

想了解更多IT資訊，請訪問中培偉業官網：中培偉業