信息安全目标在ISO/IEC 27001: 2005中就已经讲述的很清楚了

86在5.1 a）中是确保建立了信息安全方针和目标。这里是建立，也就是说确定信息安全方针的责任。

87此处“恰当的”用词为appropriate，适当的、适合的、恰当的。注意，信息安全方针的最终目的还是实现组织目标，因此必须对组织目标而言，这个方针（其实就是信息安全的战略）必须是适合的。

88信息安全目标在ISO/IEC 27001: 2005中就已经讲述的很清楚了。

89 Purpose和objective都是目标。purpose既指以坚决、审慎的行动去达到的目的，又指心中渴望要实现的目标，objec-tive与object基本同义，指具体或很快能达到的目的。

90或者后面是新的变化，provides the framework for setting information security objectives，这个提醒很重要。在实际的应用中，最开始就确定信息安全具体目标其实是困难的，例如，信息安全事件年发生率低于多少次？服务器宕机时间低于多长时间？这些问题在设计的最开始，尤其是缺乏历史数据的情况下，很难有准确的目标。但是框架应该是确定的，就是我们到底要考核哪些指标，对哪些参数设置目标是必须先确定的，只有确定了这些指标，才能为后续的工作实践确立方向。set，我们此处翻译为“布置”，有自上而下的含义。

91这里“适当的”用词为applicable。注意跟appropriate是同义词，但是有区别。appropriate指专门适合于某人或某事，语气较重，强调“恰如其分”。applicable强调适用的、适当的、可实施的。