86在5.1 a）中是確保建立了信息安全方針和目標(biāo)。這里是建立，也就是說(shuō)確定信息安全方針的責(zé)任。

87此處“恰當(dāng)?shù)摹庇迷~為appropriate，適當(dāng)?shù)摹⑦m合的、恰當(dāng)?shù)摹Ｗ⒁猓畔踩结樀淖罱K目的還是實(shí)現(xiàn)組織目標(biāo)，因此必須對(duì)組織目標(biāo)而言，這個(gè)方針（其實(shí)就是信息安全的戰(zhàn)略）必須是適合的。

88信息安全目標(biāo)在ISO/IEC 27001: 2005中就已經(jīng)講述的很清楚了。

89 Purpose和objective都是目標(biāo)。purpose既指以堅(jiān)決、審慎的行動(dòng)去達(dá)到的目的，又指心中渴望要實(shí)現(xiàn)的目標(biāo)，objec-tive與object基本同義，指具體或很快能達(dá)到的目的。

90或者后面是新的變化，provides the framework for setting information security objectives，這個(gè)提醒很重要。在實(shí)際的應(yīng)用中，最開(kāi)始就確定信息安全具體目標(biāo)其實(shí)是困難的，例如，信息安全事件年發(fā)生率低于多少次？服務(wù)器宕機(jī)時(shí)間低于多長(zhǎng)時(shí)間？這些問(wèn)題在設(shè)計(jì)的最開(kāi)始，尤其是缺乏歷史數(shù)據(jù)的情況下，很難有準(zhǔn)確的目標(biāo)。但是框架應(yīng)該是確定的，就是我們到底要考核哪些指標(biāo)，對(duì)哪些參數(shù)設(shè)置目標(biāo)是必須先確定的，只有確定了這些指標(biāo)，才能為后續(xù)的工作實(shí)踐確立方向。set，我們此處翻譯為“布置”，有自上而下的含義。

91這里“適當(dāng)?shù)摹庇迷~為applicable。注意跟appropriate是同義詞，但是有區(qū)別。appropriate指專門(mén)適合于某人或某事，語(yǔ)氣較重，強(qiáng)調(diào)“恰如其分”。applicable強(qiáng)調(diào)適用的、適當(dāng)?shù)摹⒖蓪?shí)施的。