158从条款f到j),跟信息安全风险处置计划的内容差不多,当然这也是大部分的项目管理的内容,一个项目需要做什么、谁做、时间要求、资源要求以及结果评价。关于信息安全风险处置计划的内容请参考:赵战生,谢宗晓编著,《信息安全风险评估概念、方法和实践》,中国标准出版社。
159条款f)到j)的英文原文比较口语,如下:f)what will be done; g)what resources will be required;h)who will be responsi -ble;i) when it will be completed; and j) how the results will be evaluated。
160在这里,需要是need,不是require。
161整体上,对资源要求的描述比较笼统。
162这句话翻译的有点拗口,基本意思就是确定人员必要的能力,这些能力是在其负责的工作中的影响信息安全绩效的
那些,而不是全部的工作能力。原文为:determine the necessary competence of person (s) doing work under its control that affects its information security performance。这个条款与ISO/IEC 27001:2005的描述看起来很相似,但是限定的更细了,其中为:determining the necessary competencies for personnel performing work effecting the ISMS(确定从事影响ISMS 工作的人员所必要的能力)。
163该句原文为:ensure that these persons are competent on the basis of appropriate education,training, or experience。
164本条款强调的是能力的持续获得或提高,为新加的。原文为:where applicable, take actions to acquire the necessary competence,and evaluate the effectiveness of the actions takeno这里描述的非常准确,先加了一个限定条件where appli- cable,说明不是所有的能力都可以这样获取的,例如,信息安全事件的处理人员应该有较快的反应速度和迅速的决断能力,这个在工作中不太容易获取,或者至少是很难在短时间获取的。
165合适的,原文为appropriateo Appropriate比较强调合适的、恰好的,就是很适合的意思。Applicable则强调适用的,也就是不是所有的地方都行。