这句话专门强调了保留的信息是作为证据的

207这句话专门强调了保留的信息是作为证据的，可能与实际中这部分重视程度不够有关系，或者ISO/IEC 27005: 2005强调不够有关系，总而言之，本部分是信息安全管理体系实施的难点。

208就这部分来说，由于存在15019011，再创新已经很困难了，无非就是描述的逻辑性更强，意思更清楚。

209此处原文为to provide.nformation on whether the information security management system，直译成中文后不太符合习惯， 由于提供的是信息(.nformation)，这些信息是关于……。

210注意，符合是两个层次：1）the organization's own requirements for its information security management system，组织的信息安全管体系与组织自己的信息安全管理体系要求，有点哕嗦，意思就是现有的信息安全管理体系与应有的信息安全管理体系是否相符合；2）the requirements of this International Standard，现有的信息安全管理体系与本标准是否相符合。

211从条款c）到g）跟外审的流程基本一致，附上本段的原文统一一下词汇：c）plan，establish，implement and maintain an audit programme (s), including the frequency, methods, responsibilities, planning requirements and reporting. The audit pro -

gramme(s)shall take into consideration the importance of the processes concerned and the results of previous audits;d) define the audit criteria and scope for each audit;e) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process;f) ensure that the results of the audits are reported to relevant management; and g) retain documented infor - mation as evidence of the audit programme(s)and the audit results。更详细的信息请参考：魏军，谢宗晓主编，《信息安全管理体系审核指南》，中国标准出版社。