ISO/IEC 27003(資訊安全管理系統實作指引, ISMS-implementation guidance)附錄A
階段1: 取得管理階層核可啟動ISMS專案
步驟3
活動:定義ISMS的目標、資訊安全需求及營運要求(Define objectives, information security needs, business requirements for ISMS)
輸入:步驟1,2
輸出:ISMS目標、資訊安全需求及營運要求的摘要(Summary of the objectives, information security needs and business requirements for the ISMS)
對應ISO27001條款:N/A
在完成了步驟1,2，取得了組織的營運目標的清單以及現有的管理系統的說明後，就可以開始著手進行ISMS目標、資訊安全需求及營運要求的定義。
要定義目標可從風險管理(risk management), 效率(efficiency)及業務優勢(business advantage)幾個面向著手，自我進行下列問題之提問與回答，如：
＊如何執行ISMS，會使資訊安全風險管理變的更好？
＊如何執行ISMS來改善資訊安全的管理？
＊如何利用ISMS來建立組織的競爭優勢？
資訊安全需求及營運要求則可從下列幾個面向著手，如：
＊關鍵業務和組織領域
＊敏感或有價值的資訊
＊有那些法令強制的資訊安全措施
＊和資訊安全有關的協議
＊行業特殊的資訊安全措施
＊有那些常見之威脅
＊有那些資訊安全措施可提昇組織的競爭力
＊營運持續的要求

＊＊＊如想瞭解更細部的說明，可以參考ISO/IEC 27003第5.2節＊＊＊

相關連結
30天ISMS導入分享－２
http://ithelp.ithome.com.tw/question/10077172
30天ISMS導入分享－３
http://ithelp.ithome.com.tw/question/10077459