212管理評審在ISO/IEC 27001: 2005中描述非常詳細，分為7.1概述，7.2評審輸入和7.3評審輸出。但是在本版本中則變得簡化多了。其實管理評審比較形式化，當然也非常重要，但是畢竟步驟清晰、目標明確，沒有必要要求的太多， 只要管理層能批示信息安全管理體系的相關問題就行了。

213這句乍看起來和ISO/IEC 27001: 2005是一樣的，其實有最重要的變化，就是“主語”變了，原來的管理者(Manage- ment)變成了現在的最高管理者(Top Management)。

214適宜性、充分性和有效性，原文為suitability, adequacy and effectiveness。

215本句原文為：changes in external and internal issues that are relevant to the information security management system。我們將issue譯成了“要點”，其本意為“議題”，更多的翻譯為“問題”。但是感覺議題不太符合中文習慣，問題又顯得好像有麻煩一樣，這個詞匯在4.1出現過，此處與其保持了一致。

216這里不知道什么原因，風險評估和風險管理又不加限定詞了。

217對輸出的要求與ISO/IEC 27001: 2005相比大大的簡化了，這是個進步。既然管理評審是最高管理者的責任，噦嗦一大堆，最高管理者不關心細節，就是關心，他們恐怕也不懂（絕大部分的最高管理者都不是IT從業人員），描述簡潔， 切中要害是最好的。

218 -個新的東西，如果想讓內行聽懂，最重要的是抓住關鍵點，如果讓外行聽懂，最重要的則是概念化。其實，這也是IS0 9000能夠迅速普及的原因之一。管理體系能否被接受當然有很多方面的原因，完整的產業鏈和高度的概念化都是不可或缺的因素。關于標準，尤其是網絡相關的技術標準如何被廣泛接受，Tanenbaum Andrew S.和Wetherall David J.有非常精彩的描述，請參考：嚴偉和潘愛民譯，《計算機網絡》（第五版），清華大學出版社，2012年。