158從條款f到j），跟信息安全風險處置計劃的內容差不多，當然這也是大部分的項目管理的內容，一個項目需要做什么、誰做、時間要求、資源要求以及結果評價。關于信息安全風險處置計劃的內容請參考：趙戰生，謝宗曉編著，《信息安全風險評估概念、方法和實踐》，中國標準出版社。

159條款f）到j）的英文原文比較口語，如下：f）what will be done; g）what resources will be required;h）who will be responsi -ble;i) when it will be completed; and j) how the results will be evaluated。

160在這里，需要是need，不是require。

161整體上，對資源要求的描述比較籠統。

162這句話翻譯的有點拗口，基本意思就是確定人員必要的能力，這些能力是在其負責的工作中的影響信息安全績效的

那些，而不是全部的工作能力。原文為：determine the necessary competence of person (s) doing work under its control that affects its information security performance。這個條款與ISO/IEC 27001：2005的描述看起來很相似，但是限定的更細了，其中為：determining the necessary competencies for personnel performing work effecting the ISMS（確定從事影響ISMS 工作的人員所必要的能力）。

163該句原文為：ensure that these persons are competent on the basis of appropriate education，training, or experience。

164本條款強調的是能力的持續獲得或提高，為新加的。原文為：where applicable, take actions to acquire the necessary competence，and evaluate the effectiveness of the actions takeno這里描述的非常準確，先加了一個限定條件where appli- cable，說明不是所有的能力都可以這樣獲取的，例如，信息安全事件的處理人員應該有較快的反應速度和迅速的決斷能力，這個在工作中不太容易獲取，或者至少是很難在短時間獲取的。

165合適的，原文為appropriateo Appropriate比較強調合適的、恰好的，就是很適合的意思。Applicable則強調適用的，也就是不是所有的地方都行。