確認導入範圍

旨在確認企業或機構的決心，與實際要推廣的範圍。

訂定資安目標

資安目標可以參考同業或客戶官網揭露資訊，後續依資安制度運行時可適時調整(決策執行程序需全程文件化紀錄)，逐步改善。

程序書階層

（一）政策性（第一階文件）

    說明本ISMS之目標、方向及執行原則。

（二）規範性（第二階文件）

    針對ISMS所需訂定之行政規則。規範性文件名稱可命名為規
    範、要點、注意事項等。

（三）程序性（第三階文件）

    針對規範性文件中之規定，敘述相關作業之辦理程序。

（四）空白表單、紀錄及其他（第四階文件）

    1.空白表單：ISMS作業所需使用之空白表單。
    2.紀錄：ISMS作業已填寫資料之表單。
    3.其他：ISMS作業所產生之文件、報告、計畫及相關參考資料。

Q&A

現實環境與1~4程序書內容不一致，是否無法通過 ISMS 審查取得資安資格?

ISMS的精神是持續改善，程序書是企業或機構現在訂定的標準，標準與實際作業不一致的時侯，應識別、分析、歸類問題，儘可能的把問題根本原因找出來，並制定改善計劃。
內稽和外稽共同會看的其中一點是，組織是否識別問題，應變處理與改善計劃是否如期完成?無法完成的計劃是遇到什麼新問題?是否有向上呈報?上級主管與利害相關方的審查結果為何?計劃無法如期完成對企業或組織將會產生哪些衝擊(或損害)?

取得ISMS證書之後為什麼需要復核(SA)?

隨者時間往前推進，已審查過的企業或組織仍然可能因為內在因素(預算不足或其它資源不到位)或外在因素(法令或標準改版、客戶要求、被攻擊)變化，已審查過的結果可能在第2年變得不合時宜，藉著復核程序確認ISMS程序書是否適時更新且符合現況。

指派或分配 ISMS 程序書權責單位與工作內容

1. 依企業或機構的組織架構圖，以及實際營運的單位，指派適當人選加入 ISMS 程序書編寫行列。
2. 程序書內容可指定多個單位共同審查程序、標準或現況調整。

建議

1. 進行業務衝擊分析(Business ImpactAnalysis, BIA)，了解在所有業務範疇內，依業務的重要性來決定導入的範圍。
2. 參考企業或機關的關鍵核心業務內容，指定驗證範圍，
3. 依據法令要求，選定導入範圍及驗證範圍。

名詞說明

1. 導入範圍:哪些人/組織/環境...需要遵守 ISMS ?
2. 驗證範圍:向驗證機構申請到場審查哪些標的?，例如:流程/系統/建築物...詳如 ISO/IEC 27006:2015、驗證機構認證規範)
3. 關鍵核心業務:沒做好企業/機構會倒、高階主管與○○長會被抓去關

訪談過程應全程紀錄且留存備查:
1. 會議紀錄、簽到表
2. 差異分析檢核表
3. 差異分析報告

資料來源:
ISMS/PIMS顧問輔導
ISMS 資訊安全管理系統
政府機關為何要導入ISMS
公司為何要執行 ISMS資安管理系統 ?
JCIC「全組織一次通過」 ISO 27001資安驗證經驗分享