6.2 Cele bezpieczeństwa informacji i planowanie ich realizacji

Organizacja powinna ustanowić cele bezpieczeństwa informacji na odpowiednich poziomach i w odpowiednich funkcjach.

Cele bezpieczeństwa informacji powinny:

a) być zgodne z polityką bezpieczeństwa informacji;

b) być mierzalne (jeśli to możliwe);

c) uwzględniać obowiązujące wymagania dotyczące bezpieczeństwa informacji oraz wyniki oceny ryzyka i postępowania z ryzykiem;

d) podlegać monitorowaniu;

e) być komunikowane;

f) być aktualizowane w miarę potrzeb;

g) być dostępne jako udokumentowana informacja.

Podczas planowania realizacji celów bezpieczeństwa informacji organizacja powinna określić:

h) jakie działania zostaną podjęte;

i) jakie zasoby będą wymagane;

j) kto będzie odpowiedzialny;

k) kiedy realizacja zostanie zakończona;

l) jak będą oceniane wyniki działań.