九、 資訊安全目標
條文5.2是訂定資訊安全政策，要求組織在政策中必須包含資訊安全目標或訂定目標的框架，條文6.2則詳細敘述目標的架構及要求，不論原先在政策中如何闡述目標，其相關的要求還是要符合條文6.2的要求，所以必須在適當的階層或對應的業務功能中設定目標，而第四章全景分析的資訊非常適合來當作目標的基礎資訊，例如：利害關係者(客戶)的期待是他的個人資料不要外洩，從政策上來說，必須訂定資料安全保護及存取控制相對應的政策，客戶資料外洩事件件數可以當作一個目標來設定，確認有沒有達到客戶的期待。如果5.2已經敘述了政策必須包含目標，為什麼不在5.2中把目標訂定的需求一併敘述？如此安排，顯示ISO 27001標準還有其他的考量，因為目標可以當作風險準則設定的一個基準，前面有提到需要設定風險評估準則、衝擊準則以及接受準則，這些準則都可以參考所設的目標，才能正確的評估風險並決定是否接受風險。再拿前面的個人資料外洩事件的目標來看，個人資料保護法規範外洩個人資料賠償上限每人每一事件二萬元，因此衝擊準則就可以用這些資訊來訂定，組織自行評估能承受多少的罰款，如果是每年一百萬，則組織只能外洩五十件個人資料，超過就會變成無法承擔的風險，且必須有相對應的控制措施去降低風險，所以訂定的風險處理計畫也跟目標是有關連性的，必須將資訊安全目標嵌入風險評鑑及風險處理中，這些目標才會符合組織的需要，而不是訂定一些虛無縹緲的目標，看起來很好，卻完全無法達到持續改善的作用。
訂定資訊安全目標時需要考量適當時可以量測，所以在主管機關頒布的資通安全維護計畫內就區分兩種類型：量化型(例如：某系統可用率)及質化型(例如：提升人員資訊安全意識)的目標，在資訊安全目標的陳述上可以參考下列做法：
• 數值以及它們的限制，例如：資訊安全事件數以及上限。
• 資訊安全管理系統執行的量測，例如：內部稽核及管理審查的次數。
• 資訊安全管理系統有效性的量測(條文9.1)，例如：不符合事項改善的期限及百分比。
• ISO 27001標準的符合性，例如：定期對資訊安全政策進行審查。
• 資訊安全管理系統內程序的符合性。
• 計劃與行動的完成，例如：風險處理計畫完成的時限與完成度。
• 風險準則接受度，例如：資訊安全事件造成損失。
設定完目標後，組織應規劃如何去完成目標，此處因為條文要求組織應保存資訊安全目標的文件化資訊，所以有關目標的資訊及計畫應該具備的基本資訊包含如何完成目標、達成目標所需要的資源、目標負責人、目標計畫時程、如何檢討目標是否達成等相關事項，目標設定後應持續檢討是否有修正的必要，並定期與利害關係者進行溝通目標是否適切，如有修正也應適時溝通及呈報權責人員。