207這句話專門強(qiáng)調(diào)了保留的信息是作為證據(jù)的，可能與實(shí)際中這部分重視程度不夠有關(guān)系，或者ISO/IEC 27005: 2005強(qiáng)調(diào)不夠有關(guān)系，總而言之，本部分是信息安全管理體系實(shí)施的難點(diǎn)。

208就這部分來說，由于存在15019011，再創(chuàng)新已經(jīng)很困難了，無非就是描述的邏輯性更強(qiáng)，意思更清楚。

209此處原文為to provide.nformation on whether the information security management system，直譯成中文后不太符合習(xí)慣， 由于提供的是信息(.nformation)，這些信息是關(guān)于……。

210注意，符合是兩個層次：1）the organization's own requirements for its information security management system，組織的信息安全管體系與組織自己的信息安全管理體系要求，有點(diǎn)噦嗦，意思就是現(xiàn)有的信息安全管理體系與應(yīng)有的信息安全管理體系是否相符合；2）the requirements of this International Standard，現(xiàn)有的信息安全管理體系與本標(biāo)準(zhǔn)是否相符合。

211從條款c）到g）跟外審的流程基本一致，附上本段的原文統(tǒng)一一下詞匯：c）plan，establish，implement and maintain an audit programme (s), including the frequency, methods, responsibilities, planning requirements and reporting. The audit pro -

gramme(s)shall take into consideration the importance of the processes concerned and the results of previous audits;d) define the audit criteria and scope for each audit;e) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process;f) ensure that the results of the audits are reported to relevant management; and g) retain documented infor - mation as evidence of the audit programme(s)and the audit results。更詳細(xì)的信息請參考：魏軍，謝宗曉主編，《信息安全管理體系審核指南》，中國標(biāo)準(zhǔn)出版社。