ISO/IEC 27001: 2005 和ISO/IEC 27001

140本句对应原文为：compare the controls determined in生1.3 b）above with those in Annex A and verify that no necessary con -trols have been omitted。

141这里“遗漏”有两个英文词汇.ISO/IEC 27001：2013用的是omit（有遗漏、忽略、删掉等含义），ISO/IEC 27001: 2005 和ISO/IEC 27001: 2013脚注中用的是overlook（有忽视、忽略等含义）。

1426.1.3 b)与c）是ISO/IEC 27001：2013非常重要的变化，虽然在ISO/IEC 27001：2005中也强调“附录A所列的控制目

标和控制措施并不是所有的控制目标和控制措施，组织也可能需要选择另外的控制目标和控制措施(The control ob - jectives and controls listed in AnnexA are not exhaustive and additional control objectives and controls may also be selected)”。 下面是选择控制措施过程的对比：

143对附录A的使用方法，从原来作为出发点设计控制目标和控制措施，改成了查漏补缺的表，这在重要性上是完全不同的。当然，适用性声明还是跟原来一样，这可能导致在实际应用中跟以前不会产生变化。这个改变如前所述，可能更是一种态度，这个态度就是备注中反复强调的，附录A没有穷尽控制措施，组织可以根据自己的情况设计或从其他来源中选择。