整体上，对资源要求的描述比较笼统

158从条款f到j），跟信息安全风险处置计划的内容差不多，当然这也是大部分的项目管理的内容，一个项目需要做什么、谁做、时间要求、资源要求以及结果评价。关于信息安全风险处置计划的内容请参考：赵战生，谢宗晓编著，《信息安全风险评估概念、方法和实践》，中国标准出版社。

159条款f）到j）的英文原文比较口语，如下：f）what will be done; g）what resources will be required;h）who will be responsi -ble;i) when it will be completed; and j) how the results will be evaluated。

160在这里，需要是need，不是require。

161整体上，对资源要求的描述比较笼统。

162这句话翻译的有点拗口，基本意思就是确定人员必要的能力，这些能力是在其负责的工作中的影响信息安全绩效的

那些，而不是全部的工作能力。原文为：determine the necessary competence of person (s) doing work under its control that affects its information security performance。这个条款与ISO/IEC 27001：2005的描述看起来很相似，但是限定的更细了，其中为：determining the necessary competencies for personnel performing work effecting the ISMS（确定从事影响ISMS 工作的人员所必要的能力）。

163该句原文为：ensure that these persons are competent on the basis of appropriate education，training, or experience。

164本条款强调的是能力的持续获得或提高，为新加的。原文为：where applicable, take actions to acquire the necessary competence，and evaluate the effectiveness of the actions takeno这里描述的非常准确，先加了一个限定条件where appli- cable，说明不是所有的能力都可以这样获取的，例如，信息安全事件的处理人员应该有较快的反应速度和迅速的决断能力，这个在工作中不太容易获取，或者至少是很难在短时间获取的。

165合适的，原文为appropriateo Appropriate比较强调合适的、恰好的，就是很适合的意思。Applicable则强调适用的，也就是不是所有的地方都行。