信息安全方针就跟组织战略一样，是信息安全的方向

166原文为：the provision of training to, the mentoring of，or the reassignment of current employees。Mentoring这个词汇不太常见，其解释为：mentoring是一种工作关系。mentor通常是处在比mentee更高工作职位上的有影响力的人。他／她有比‘mentee’更丰富的工作经验和知识，并用心支持mentee的职业（发展）。这三种方法是着眼于现有员工的能力解决办法，即：1）培训使其有合适的能力，例如，参加ISO/IEC 27001: 2005审核员的培训；2）找人辅导，类似于师徒关系，这个途径可能更有效，但是实施起来比较麻烦；3）重新分配工作，这个途径跟后面找牛人的方式已经差不多了，只不过是在现有的人中重新分配。

167译文和原文的句式有些不同：the hiring or contracting of competent persons，上面的三种途径都不行，就只能重新招有能力的人。

169信息安全方针就跟组织战略一样，是信息安全的方向，应该让所有的人意识到。例如，在讨论信息化战略的时候，是建设“信息化企业”还是建设“企业信息化”。信息化企业的目标是组织要以信息化带动主营业务，是纲，而企业信息化是手段的改变，是组织要将主营业务转移到新媒介上，对信息安全也是。

170条款b）和c）方向是很靠谱的，就是不太容易评价。让员工做每一件事都明白对信息安全管理体系的贡献不太容易，这需要很了解这个体系。条款c）好一点，至少应该让员工明白背离信息安全管理体系要求会得到什么样的惩罚。