207這句話專門強調了保留的信息是作為證據的，可能與實際中這部分重視程度不夠有關系，或者ISO/IEC 27005: 2005強調不夠有關系，總而言之，本部分是信息安全管理體系實施的難點。

208就這部分來說，由于存在15019011，再創新已經很困難了，無非就是描述的邏輯性更強，意思更清楚。

209此處原文為to provide.nformation on whether the information security management system，直譯成中文后不太符合習慣， 由于提供的是信息(.nformation)，這些信息是關于……。

210注意，符合是兩個層次：1）the organization's own requirements for its information security management system，組織的信息安全管體系與組織自己的信息安全管理體系要求，有點噦嗦，意思就是現有的信息安全管理體系與應有的信息安全管理體系是否相符合；2）the requirements of this International Standard，現有的信息安全管理體系與本標準是否相符合。

211從條款c）到g）跟外審的流程基本一致，附上本段的原文統一一下詞匯：c）plan，establish，implement and maintain an audit programme (s), including the frequency, methods, responsibilities, planning requirements and reporting. The audit pro -

gramme(s)shall take into consideration the importance of the processes concerned and the results of previous audits;d) define the audit criteria and scope for each audit;e) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process;f) ensure that the results of the audits are reported to relevant management; and g) retain documented infor - mation as evidence of the audit programme(s)and the audit results。更詳細的信息請參考：魏軍，謝宗曉主編，《信息安全管理體系審核指南》，中國標準出版社。