Information technology — Security techniques — Information security management systems — Requirements- Planning
信息安全管理体系要求-规划(3)

5.2 Information security objectives and planning to achieve them 
5.2  信息安全目标和规划实现
The organization shall establish information security objectives at relevant functions and levels. The information security objectives shall:
组织应在相关职能和层次上建立信息安全目标。信息安全目标应：
a)   be consistent with the information security policy;
b)   be measurable (if practicable);
c)   take into account applicable information security requirements, and results from risk assessment and risk treatment;
d)   be monitored;
e)   be communicated;
f)    be updated as appropriate;
g)   be available as documented information.
The organization shall retain documented  information on the  information security objectives. When planning how to achieve its information security objectives, the organization shall determine:
h)   what will be done;
i)    what resources will be required;
j)    who will be responsible;
k)   when it will be completed; and
l)    how the results will be evaluated.
a)   符合信息安全政策；
b)   可测量（如可行）；
c)   考虑到适用的信息安全要求，以及风险评估和风险处理的结果；
d)   被监控；
e)   沟通；
f)    酌情更新；
g)   应保留文件记录。
组织应保留关于信息安全目标的文件记录信息。 当规划如何实现其信息安全目标时，组织应确定：
h)   要做什么；
i)    需要什么资源；
j)    由谁负责；
k)   什么时候完成
l)    如何评价结果。
5.3 Planning of changes
5.3  变更计划
When the organization determines the need for changes to the information security management system, the changes shall be carried out in a planned manner.
当组织确定信息安全管理体系需要变更时，应按有计划的方式进行变更。

温馨提示：获取完整版ISO27001最新2022版中英文对照资料，可咨询中培课程顾问或拨打客服电话了解18513851518