86在5.1 a）中是確保建立了信息安全方針和目標。這里是建立，也就是說確定信息安全方針的責任。

87此處“恰當的”用詞為appropriate，適當的、適合的、恰當的。注意，信息安全方針的最終目的還是實現組織目標，因此必須對組織目標而言，這個方針（其實就是信息安全的戰略）必須是適合的。

88信息安全目標在ISO/IEC 27001: 2005中就已經講述的很清楚了。

89 Purpose和objective都是目標。purpose既指以堅決、審慎的行動去達到的目的，又指心中渴望要實現的目標，objec-tive與object基本同義，指具體或很快能達到的目的。

90或者后面是新的變化，provides the framework for setting information security objectives，這個提醒很重要。在實際的應用中，最開始就確定信息安全具體目標其實是困難的，例如，信息安全事件年發生率低于多少次？服務器宕機時間低于多長時間？這些問題在設計的最開始，尤其是缺乏歷史數據的情況下，很難有準確的目標。但是框架應該是確定的，就是我們到底要考核哪些指標，對哪些參數設置目標是必須先確定的，只有確定了這些指標，才能為后續的工作實踐確立方向。set，我們此處翻譯為“布置”，有自上而下的含義。

91這里“適當的”用詞為applicable。注意跟appropriate是同義詞，但是有區別。appropriate指專門適合于某人或某事，語氣較重，強調“恰如其分”。applicable強調適用的、適當的、可實施的。