ISO/IEC 27003(資訊安全管理系統實作指引, ISMS-implementation guidance)附錄A
階段5: 設計ISMS
步驟22
活動:設計組織安全(Design organizational security)
輸入:步驟20
輸出:
組織結構和其資訊安全相關的角色和職責(Organization structure,and its information security related roles and responsibilities)
ISMS相關文件的識別(Identification of ISMS-related Documentation)
ISMS紀錄和說明其使用和存儲的範本(Templates for ISMS records and instructions for their use and storage)
資訊安全政策文件(Information security policy document)
資訊安全政策和程序基準（如果適用, 擬訂具體政策、程序等之計畫。）(Baseline of information security policies and procedures (and if applicable plans for developing specific policies, procedures etc.)
對應ISO27001條款:5.1.c), 4.3, A.5.1.1
階段5(設計ISMS)的第一個步驟為「設計組織安全」，輸入為「管理授權實施及運行 ISMS的紀錄」，輸出為「組織結構和其資訊安全相關的角色和職責」、「ISMS相關文件的識別」、「ISMS紀錄和說明其使用和存儲的範本」、「資訊安全政策文件」及「資訊安全政策和程序基準（如果適用, 擬訂具體政策、程序等之計畫。）」。

＊如想瞭解更細部的說明，可以參考ISO/IEC 27003第9.2節

相關連結
30天ISMS導入分享－２０
http://ithelp.ithome.com.tw/question/10081361