质量方针和质量手册的做法可以借鉴

226这里的编号是原文的参考书目编号，不是我们加的。

227条款5到18没有下划线，应该指的是ISO/IEC 27002: 2013。

228information security policies，开始看到ISO/IEC 27001：2013，以为没有变化，其实在ISO/IEC 27001：2005中，该章节为.nformation security policy。从policy到policies，含义产生了质的变化。在ISO/IEC 27001：2005中，policy与正文中是保持一致的，但是在ISO/IEC 27001：2013中，正文中的policy和附录中的policies不是一回事。针对这个问题，我们将policy译为“方针”，将policies译为“策略”。

229策略原文为policies。policy译为方针，源白IS0 9000，又被沿用到GB/T 22080-2008/ISO/IEC 27001：2005，是个翻译非常精确的词汇，因为英文中policy可大可小，方针或策略都行，但是汉语中却不如此。但是加上ISO/IEC 27002: 2013 中的描述，这里不但有“方针”也有“策略”，如果用复数形式policies，感觉还是策略更贴切一些。

230从这个标题看，与ISO/IEC 27001：2005相比，只是把“信息安全方针文件”拆开了描述，方针就是方针，言简意赅， 但是各个安全控制域在这里只是涉及方向，是提纲挈领的，不能和具体的要求混淆。具体要求也叫策略，如上所述， 我们建议针对某些领域的方向，也叫策略，而不是方针。按照中文的习惯，方针应该是言简意赅的，高度概念化的， 最好不要哕嗦。

231在IS0 9000中，质量方针和质量手册的做法可以借鉴，质量方针言简意赅，质量手册则建立了一个庞大的框架。

232在ISO/IEC 27001：2005中目标和控制措施都是使用斜体(Objective.Control)标识的，在ISO/IEC 27001：2013中“控制措施”还是斜体，但是“目标”没有。