6.2 Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken

De organisatie moet voor relevante functies en op relevante niveaus informatiebeveiligingsdoel- stellingen vaststellen.

De informatiebeveiligingsdoelstellingen moeten:

a) consistent zijn met het informatiebeveiligingsbeleid;

b) meetbaar zijn (indien praktisch uitvoerbaar);

c) rekening houden met van toepassing zijnde informatiebeveiligingseisen en de resultaten van risicobeoordeling en -behandeling;

d) worden gemonitord;

e) worden gecommuniceerd;

f) passend bij de situatie worden geactualiseerd;

g) beschikbaar zijn als gedocumenteerde informatie. [Tekst verwijderd]*

Bij het opstellen van planningen voor het bereiken van de informatiebeveiligingsdoelstellingen moet de organisatie vaststellen:

h) wat er zal worden gedaan;

i) welke middelen er nodig zijn;

j) wie verantwoordelijk is;

k) wanneer het zal zijn voltooid; en

l) hoe de resultaten zullen worden geëvalueerd.