226這里的編號是原文的參考書目編號，不是我們加的。

227條款5到18沒有下劃線，應該指的是ISO/IEC 27002: 2013。

228information security policies，開始看到ISO/IEC 27001：2013，以為沒有變化，其實在ISO/IEC 27001：2005中，該章節為.nformation security policy。從policy到policies，含義產生了質的變化。在ISO/IEC 27001：2005中，policy與正文中是保持一致的，但是在ISO/IEC 27001：2013中，正文中的policy和附錄中的policies不是一回事。針對這個問題，我們將policy譯為“方針”，將policies譯為“策略”。

229策略原文為policies。policy譯為方針，源白IS0 9000，又被沿用到GB/T 22080-2008/ISO/IEC 27001：2005，是個翻譯非常精確的詞匯，因為英文中policy可大可小，方針或策略都行，但是漢語中卻不如此。但是加上ISO/IEC 27002: 2013 中的描述，這里不但有“方針”也有“策略”，如果用復數形式policies，感覺還是策略更貼切一些。

230從這個標題看，與ISO/IEC 27001：2005相比，只是把“信息安全方針文件”拆開了描述，方針就是方針，言簡意賅， 但是各個安全控制域在這里只是涉及方向，是提綱挈領的，不能和具體的要求混淆。具體要求也叫策略，如上所述， 我們建議針對某些領域的方向，也叫策略，而不是方針。按照中文的習慣，方針應該是言簡意賅的，高度概念化的， 最好不要噦嗦。

231在IS0 9000中，質量方針和質量手冊的做法可以借鑒，質量方針言簡意賅，質量手冊則建立了一個龐大的框架。

232在ISO/IEC 27001：2005中目標和控制措施都是使用斜體(Objective.Control)標識的，在ISO/IEC 27001：2013中“控制措施”還是斜體，但是“目標”沒有。