372這里滿足不是用的meet，而是in accordance with。 這兩個詞還是有區別的，“符合”更強調兩個東西之間的一致性。

374在ISO/IEC 27002: 2013的“其他信息”中：ISO/IEC 27007[12]，‘‘Guidelines for information security management systems audi- ting" and ISO/IEC TR 27008[13l, "Guidelines for auditors on information security controls" also provide guidance for carrying out the independent review。這里必須分清幾個概念的不同，A.18.2.1中所說的獨立評審，其實類似于audit（就是管理體系審核的概念），而在A.12.7.1中討論的audit,從ISO/IEC 27002: 2013判斷則比較專注于細節。從ISO/IEC 27001: 2013 中，這幾個概念就很容易混淆。因為在正文中就有9.3內部審核(internal audit)，要求跟A.18.3.1 Independent review of information security多有相似之處，尤其都可以參考ISO/IEC 27007和ISO/IEC TA 27008，但是用了同一個詞匯的

A.12.7.1Information systems audit controls則描述的是不同的事。

375在ISO/IEC 27001: 2005中用的是check（核查），ISO/IEC 27001: 2005修改成了review（評審）。

SEl/IEE己7DEll:己口i]標準f&i賣及改版分析

參考文獻卵6

[1] ISO/IEC 27002: 2013, Information technology - Security Techniques - Code of practice for information security controls.

[2] ISO/IEC 27003, Information technology - Security techniques - Information security management system implementation guidance.

[3] ISO/IEC 27004, Information technology - Security techniques -- Information security management - Measurement.

[4] ISO/IEC 27005, Information technology - Security techniques - Information security risk management.

[5] IS0 31000: 2009, Risk management - Principles and guidelines.

[6] ISO/IEC Directives,'Part l, Consolidated ISO Supplement - Procedures spe - cific to ISO, 2012.