166原文為：the provision of training to, the mentoring of，or the reassignment of current employees。Mentoring這個詞匯不太常見，其解釋為：mentoring是一種工作關(guān)系。mentor通常是處在比mentee更高工作職位上的有影響力的人。他／她有比‘mentee’更豐富的工作經(jīng)驗和知識，并用心支持mentee的職業(yè)（發(fā)展）。這三種方法是著眼于現(xiàn)有員工的能力解決辦法，即：1）培訓(xùn)使其有合適的能力，例如，參加ISO/IEC 27001: 2005審核員的培訓(xùn)；2）找人輔導(dǎo)，類似于師徒關(guān)系，這個途徑可能更有效，但是實施起來比較麻煩；3）重新分配工作，這個途徑跟后面找牛人的方式已經(jīng)差不多了，只不過是在現(xiàn)有的人中重新分配。

167譯文和原文的句式有些不同：the hiring or contracting of competent persons，上面的三種途徑都不行，就只能重新招有能力的人。

169信息安全方針就跟組織戰(zhàn)略一樣，是信息安全的方向，應(yīng)該讓所有的人意識到。例如，在討論信息化戰(zhàn)略的時候，是建設(shè)“信息化企業(yè)”還是建設(shè)“企業(yè)信息化”。信息化企業(yè)的目標是組織要以信息化帶動主營業(yè)務(wù)，是綱，而企業(yè)信息化是手段的改變，是組織要將主營業(yè)務(wù)轉(zhuǎn)移到新媒介上，對信息安全也是。

170條款b）和c）方向是很靠譜的，就是不太容易評價。讓員工做每一件事都明白對信息安全管理體系的貢獻不太容易，這需要很了解這個體系。條款c）好一點，至少應(yīng)該讓員工明白背離信息安全管理體系要求會得到什么樣的懲罰。