一、充份授權

1. 企業或機構應指派專責人員(Chief Information Security Officer，簡稱CISO(資安長))，統籌辦理資安制度相關事宜。
2. 企業或機構應設置資安組織(如:資訊安全管理委員會)，明訂組織各個角色應盡權責與義務(如:編列○○任務小組)。
3. 資安是建立在企業或機構整體營運中的一部份，與資訊長是獨立的不同單位且無從屬關係，唯有定義明確的資安長才能充份的以全局視野規劃、推廣，享高階主管層級的決策權，決策才有機會不打折扣的傳達高階主管。

ISMS程序書：
1階(戰略/目標):訂定資安政策
2~3階(戰術/達成目標的各項方法):訂定程序與指引(資安組織)
4階(落實1~4階程序書所產生的文件):訂定資安組織名冊與工作說明

建立：資訊安全管理委員會、文管小組、推動小組、處理小組、稽核小組、技術審查小組、教育訓練小組、…(依組織需求增列或合併)

二、制度建立所需資源如期到位

1. 資源泛指制度所需人力、技術、預算，資源不到位的決策終將是黃梁一夢，當個笑話聽聽就好別當真。

資訊安全管理制度建置暨維護計劃
附件1:工作事項與成本分析
附件2:預算一覽表
附件3:服務建議書範本
附件4:優良廠商清冊
附件5:廠商報價單

三、制度建立的動機

1. 翻成白話文供參:企業或機構的求生慾有多強，資安制度沒有建立不做好會有什麼引影響?

風險管理報告
附件1:風險事件與後續追蹤發現事項彙整表(最近○年內)
附件2:資安事件通報與處理追蹤彙整表
附件3:客訢彙整表

四、利害相關方的期許

1. 內部希望資安制度的建立可以解決什麼問題?
2. 外部希望資安制度的建立可以解決什麼問題? (如:滿足客戶對供應商的資安資格要求，或者是公務機關可符合資通安全管理法對機構要求事項)

五、合規標準與依據

依組織層級設定資安制度建立各階段可量測目標。

1. ISMS內部文件一覽表
2. ISMS外部文件管制表(法遵依據來源與範圍)