整合并应用，原文为：integrate and implement

105这句话也比较空泛。总之，这三个条款都不是针对操作性的，而是表达态度的。

106与6.1的标题相同。

107整合并应用，原文为：integrate and implement。这两个词汇或许可以换个说法，就是整合着应用。

108注意这里的“信息安全管理体系过程”和“信息安全风险评估过程”不是一样的过程，后者有“方法”的含义。

109有效性，effectiveness。

110这里也要注意一个变化，在ISO/IEC 27001: 2005中，风险管理和风险评估前面没有加“信息安全”这个定语。ISO/IEC 27001: 2013中描述比较准确，出现的时候都加了定语，包括原来的“风险”，都修改成了“信息安全风险”。

111也不一定是加了“信息安全”这个限定词，也可以这样断句，“信息安全风险一评估”，在ISO/IEC 27000: 2009中有专门的“信息安全风险”的定义：potential that a threat(2.45) will exploit a vulnerability(2.46) of an asset(2.3)or group of assets and thereby cause harm to the organization。threat、vulnerability和asset后面的编号是ISO/IEC 27000: 2009中的标识。