Information technology — Security techniques — Information security management systems — Requirements- Planning
信息安全管理體系要求-規劃(3)

5.2 Information security objectives and planning to achieve them 
5.2  信息安全目標和規劃實現
The organization shall establish information security objectives at relevant functions and levels. The information security objectives shall:
組織應在相關職能和層次上建立信息安全目標。信息安全目標應：
a)   be consistent with the information security policy;
b)   be measurable (if practicable);
c)   take into account applicable information security requirements, and results from risk assessment and risk treatment;
d)   be monitored;
e)   be communicated;
f)    be updated as appropriate;
g)   be available as documented information.
The organization shall retain documented  information on the  information security objectives. When planning how to achieve its information security objectives, the organization shall determine:
h)   what will be done;
i)    what resources will be required;
j)    who will be responsible;
k)   when it will be completed; and
l)    how the results will be evaluated.
a)   符合信息安全政策；
b)   可測量（如可行）；
c)   考慮到適用的信息安全要求，以及風險評估和風險處理的結果；
d)   被監控；
e)   溝通；
f)    酌情更新；
g)   應保留文件記錄。
組織應保留關于信息安全目標的文件記錄信息。 當規劃如何實現其信息安全目標時，組織應確定：
h)   要做什么；
i)    需要什么資源；
j)    由誰負責；
k)   什么時候完成
l)    如何評價結果。
5.3 Planning of changes
5.3  變更計劃
When the organization determines the need for changes to the information security management system, the changes shall be carried out in a planned manner.
當組織確定信息安全管理體系需要變更時，應按有計劃的方式進行變更。

溫馨提示：獲取完整版ISO27001最新2022版中英文對照資料，可咨詢中培課程顧問或撥打客服電話了解18513851518