8.1 Робоче планування й контроль Організація повинна планувати, впроваджувати й контролювати процеси, необхідні для вико нання вимог інформаційної безпеки, а також впроваджувати дії, визначені в 6.1. Організація також повинна впроваджувати плани для досягнення цілей інформаційної безпеки, визначених в 6.2. Організація повинна зберігати документовану інформацію в обсязі, необхідному для впевненості, що процес виконується як було заплановано. Організація повинна контролювати заплановані зміни та переглядати наслідки непередбачених змін, застосовуючи дії для усунення будь-яких шкідливих дій, за потреби. Організація повинна гарантувати, що процеси, віддані на аутсорсинг, визначені й контрольовані.