304正如A.9.4.3所對應(yīng)的術(shù)語，密碼和口令是完全不同的概念。

305密碼的使用不同于普通的商品，要依據(jù)《商用密碼產(chǎn)品使用管理規(guī)定》（國家密碼管理局公告第8號），下載地址： http: //www. oscca.gov.cn/Column/Column 2.htm，國家商用密碼管理辦公室官網(wǎng)。

307根據(jù)《商用密碼產(chǎn)品使用管理規(guī)定》（國家密碼管理局公告第8號），企業(yè)不能研制密碼算法，當(dāng)然，一般情況下企業(yè)也不會無聊到自己設(shè)計密碼算法的程度。我們對密碼的使用不需要了解其技術(shù)細(xì)節(jié)，只需要明白密碼產(chǎn)品或密碼

算法的基本功能及其強度等參數(shù)，知道怎么購買就行了。

308注意，這里不是常見的保密性、完整性和可用性，而是用真實性( authenticity)代替了可用性。密碼術(shù)是不能解決“可用性”問題的。

309此處原文為：A policy on the use，protection and lifetime of cryptographic keys shall be developed and implemented through their whole lifecycle。首先，這里用的詞匯不是規(guī)程(procedures)或過程(process)，而是直接用的策略.(policy)，此外強調(diào)了整個生命周期。

310在ISO/IEC 27001：2005中為A.9，除了將A.11.3用戶職責(zé)中的A.11.3.2和A.11.3.3移到這里，其他幾乎沒有變化。

311強調(diào)的是物理訪問，physical access。

312事故，accident。

313組織運行，原文為organization's operations，感覺“組織操作”不是很順，雖然A.12為操作安全(operations securi ty)，也是這個詞匯。

314干擾是ISO/IEC 27001: 2013中新加的。