确保重复（执行的）信息安全风险评估产生一致的

120本句原文为：ensures that repeated information security risk assessments produce consistent.valid and comparable results。

本句应该为：确保重复（执行的）信息安全风险评估产生一致的、有效的和可比较的结果。原文中没有执行。

121此处原文为：risks associated with the loss of confidentiality, integrity and availability for.nformation。

122负责人，owner。ISO/IEC 27001：2013中的负责人说的是风险负责人(risk owner)，ISO/IEC 27001：2005中的负责人是资产负责人(asset owner)，表述的这种改变是有道理的。一般而言，风险管理可以分为三代.详细请参考：赵战生，

谢宗晓编著，《信息安全风险评估概念、方法和实践》，中国标准出版社。第一代信息安全风险管理是计算集中时代的检查表，第二代信息安全风险管理就是经典六因素法[仁r(A，T，v，C，L，J)]为代表的关注资产的方法，现在应该发展到第三代信息安全风险管理，以目标为导向，以对象为评估基本单元。也就是说，传统的保护资产的导向已经不是信息安全风险评估的主要目的，而且这容易导致忽略资产之间的关联，因此责任人直接针对风险( risk)， 要比对应到资产(asset)好。

1231SO/IEC 27001: 2005中有一个对owner的脚注：术语“责任人”不是指该人员实际上对资产拥有所有权(The term 'owner' does not mean that the person actually has any property rights to the asset)。ISO/IEC 27001：2013中由于责任人是

对应到风险的，这种解释已经没有必要了。但是风险的责任人有时候还是不好界定，或者说最终可能还是要落实到资产责任人。注意，这里所说的资产是广义的。