執行27001的方法與步驟雖然有相關標準可以提供檢驗與參考，但是標準要導入卻不是那麼容易，弄起來也非常繁雜。本篇主要先點出一個大架構，針對如何著手準備27001進行整理與概括描述。

建立專責團隊

在企業內部籌組資安小組負責推動與擬訂導入27001標準認證的計畫，此專責小組必須與各部門之間溝通，再通過各部門的主管進行資訊安全上的修改建議。再建立小組的同時開始思考哪些資訊安全是符合本企業的、預計花多久時間以及成本進行此標準的建置(認證就算沒過也是要收錢der…)並確認是否有其他輔助措施協助推動。部門間最怕的就是沒有令牌做事情，正所謂叫天天不應、叫地地不靈。

研擬執行計畫

專責團隊負責研擬資安計畫的細節項目，包括資訊安全的目標、對象、計畫與紀錄風險管控表(risk register)，再風險演變成問題前先定義清楚、分析與解決。此階段的目的也是釐清部門之間的權責角色以及確保未來組內外溝通上可以順利進行。

開始推動 ISMS
由於ISO27001裡主要還是針對規範要求進行描述，開始推動ISMS時可以採用(類)滾動式修正法(continual improvement methodology)，像是Plan-Do-Check-Act模型。先定義出想要執行的部分，嘗試小規模的測試，審核該測試並分析結果，最後才真正依照測試的結果開始做出改善。整套流程可以想成建立ISMS、實施並操作ISMS、檢核審查ISMS，最後持續改善ISMS。

(未完待續...)