在ISO/IEC 27001标准正部分(5.2 police)和附录A部分(A.5.1 policies for information security)都提到了policy和policies,标准正部分(5.2 policy)使用的是单数policy,而附录部分(A.5.1 policies for information security)使用的复数policies,首先从这一点看,这两个地方的policy(policies)可能有着不同的含义,其次标准的正文和附录A属于不同的两个层次(顶层管理和底层执行)的要求,这也决定了这两处的policy(policies)有着不同的含意。
在翻译ISO/IEC 27001标准的时候,很多人将标准正部分的policy和附录A部分的policies都翻译成方针或都翻译成政策,这样翻译虽然不算错误,但会给人理解造成误导和困难。因此,ISO/SAE 21434可能为了要避免这种歧义,将底层执行的policies用rules替代了。
所以,policy翻译为方针,与其他管理体系标准(如,ISO 9001)中的方针意涵一样,policies翻译为政策,为各模块底层控制要求的概述,相当于rules(规则),这样翻译更为恰当,理解起来不容易混淆和更为清晰。
