105這句話(huà)也比較空泛。總之，這三個(gè)條款都不是針對(duì)操作性的，而是表達(dá)態(tài)度的。

106與6.1的標(biāo)題相同。

107整合并應(yīng)用，原文為：integrate and implement。這兩個(gè)詞匯或許可以換個(gè)說(shuō)法，就是整合著應(yīng)用。

108注意這里的“信息安全管理體系過(guò)程”和“信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程”不是一樣的過(guò)程，后者有“方法”的含義。

109有效性，effectiveness。

110這里也要注意一個(gè)變化，在ISO/IEC 27001: 2005中，風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)評(píng)估前面沒(méi)有加“信息安全”這個(gè)定語(yǔ)。ISO/IEC 27001: 2013中描述比較準(zhǔn)確，出現(xiàn)的時(shí)候都加了定語(yǔ)，包括原來(lái)的“風(fēng)險(xiǎn)”，都修改成了“信息安全風(fēng)險(xiǎn)”。

111也不一定是加了“信息安全”這個(gè)限定詞，也可以這樣斷句，“信息安全風(fēng)險(xiǎn)一評(píng)估”，在ISO/IEC 27000: 2009中有專(zhuān)門(mén)的“信息安全風(fēng)險(xiǎn)”的定義：potential that a threat(2.45) will exploit a vulnerability(2.46) of an asset(2.3)or group of assets and thereby cause harm to the organization。threat、vulnerability和asset后面的編號(hào)是ISO/IEC 27000: 2009中的標(biāo)識(shí)。