管理评审在ISO/IEC 27001: 2005中描述非常详细

212管理评审在ISO/IEC 27001: 2005中描述非常详细，分为7.1概述，7.2评审输入和7.3评审输出。但是在本版本中则变得简化多了。其实管理评审比较形式化，当然也非常重要，但是毕竟步骤清晰、目标明确，没有必要要求的太多， 只要管理层能批示信息安全管理体系的相关问题就行了。

213这句乍看起来和ISO/IEC 27001: 2005是一样的，其实有最重要的变化，就是“主语”变了，原来的管理者(Manage- ment)变成了现在的最高管理者(Top Management)。

214适宜性、充分性和有效性，原文为suitability, adequacy and effectiveness。

215本句原文为：changes in external and internal issues that are relevant to the information security management system。我们将issue译成了“要点”，其本意为“议题”，更多的翻译为“问题”。但是感觉议题不太符合中文习惯，问题又显得好像有麻烦一样，这个词汇在4.1出现过，此处与其保持了一致。

216这里不知道什么原因，风险评估和风险管理又不加限定词了。

217对输出的要求与ISO/IEC 27001: 2005相比大大的简化了，这是个进步。既然管理评审是最高管理者的责任，哕嗦一大堆，最高管理者不关心细节，就是关心，他们恐怕也不懂（绝大部分的最高管理者都不是IT从业人员），描述简洁， 切中要害是最好的。

218 -个新的东西，如果想让内行听懂，最重要的是抓住关键点，如果让外行听懂，最重要的则是概念化。其实，这也是IS0 9000能够迅速普及的原因之一。管理体系能否被接受当然有很多方面的原因，完整的产业链和高度的概念化都是不可或缺的因素。关于标准，尤其是网络相关的技术标准如何被广泛接受，Tanenbaum Andrew S.和Wetherall David J.有非常精彩的描述，请参考：严伟和潘爱民译，《计算机网络》（第五版），清华大学出版社，2012年。