86在5.1 a）中是確保建立了信息安全方針和目標(biāo)。這里是建立，也就是說確定信息安全方針的責(zé)任。

87此處“恰當(dāng)?shù)摹庇迷~為appropriate，適當(dāng)?shù)摹⑦m合的、恰當(dāng)?shù)摹Ｗ⒁猓畔踩结樀淖罱K目的還是實現(xiàn)組織目標(biāo)，因此必須對組織目標(biāo)而言，這個方針（其實就是信息安全的戰(zhàn)略）必須是適合的。

88信息安全目標(biāo)在ISO/IEC 27001: 2005中就已經(jīng)講述的很清楚了。

89 Purpose和objective都是目標(biāo)。purpose既指以堅決、審慎的行動去達(dá)到的目的，又指心中渴望要實現(xiàn)的目標(biāo)，objec-tive與object基本同義，指具體或很快能達(dá)到的目的。

90或者后面是新的變化，provides the framework for setting information security objectives，這個提醒很重要。在實際的應(yīng)用中，最開始就確定信息安全具體目標(biāo)其實是困難的，例如，信息安全事件年發(fā)生率低于多少次？服務(wù)器宕機(jī)時間低于多長時間？這些問題在設(shè)計的最開始，尤其是缺乏歷史數(shù)據(jù)的情況下，很難有準(zhǔn)確的目標(biāo)。但是框架應(yīng)該是確定的，就是我們到底要考核哪些指標(biāo)，對哪些參數(shù)設(shè)置目標(biāo)是必須先確定的，只有確定了這些指標(biāo)，才能為后續(xù)的工作實踐確立方向。set，我們此處翻譯為“布置”，有自上而下的含義。

91這里“適當(dāng)?shù)摹庇迷~為applicable。注意跟appropriate是同義詞，但是有區(qū)別。appropriate指專門適合于某人或某事，語氣較重，強調(diào)“恰如其分”。applicable強調(diào)適用的、適當(dāng)?shù)摹⒖蓪嵤┑摹?/p>