請回顧一下管理系統的定義：「管理系統是組織的一組相互關聯或相互作用的要素，用於建立政策和目標以及實現這些目標的過程」，簡單的說，一套管理系統的核心，在於過程 (Process)。

很多介紹ISMS的文章，只要講到文件一定會提到四個層次，其中過程會放在第二層，但第二層也會說明程序 (Procedure)，然後在第三層提供程序的指引 (Guidelines) 或步驟 (Steps) 或工作指示 (Work Instruction)，再於第四層放表單 (Form)，為什麼要這樣放？前面的「何謂文件化資訊」有簡單的介紹，這裡要再深入一點，將它們的差別區分出來，這樣後面在面對文件化的要求時，才會對要放在哪一層有個底。

ISO 27000:2018中對過程的定義是：

Process is a set of interrelated or interacting activities which transforms inputs into outputs. (ISO 27000:2018 3.54)
過程是一組將輸入轉換為輸出之相互關聯或交互作用的活動。

簡單的說，一個過程必定會有輸入以及輸出，並且必定有一組相互關聯或交互作用的活動，例如軟體開發中的系統分析過程 (System Analysis Process)，輸入是需求規格書，輸出是系統分析書，中間則是許多系統分析的工作 (Tasks) 或活動 (Activities)，過程是可重覆使用的，只要在同一個過程中投入指定的輸入，即可得到指定的輸出，而這也是一套系統所必須達到的，因此在管理系統內會有多個實現政策和目標的「過程」。

過程指出了管理系統內某一項目標要達成時輸入、輸出及包含的活動，但其實過程並沒有指出「要做什麼活動」才能達到過程所需，這就是程序所需要定義的：

Procedure is specified way to carry out an activity or a process. (ISO 9000:2015)
程序是執行活動或過程的指定方式。

就字面上的意思來看，程序包含了有一個固定的流程，這個流程會將輸入轉換為輸出，只要依照這套固定的流程走，就一定能將指定的輸入轉換成指定的輸出，所以，過程內的活動會以程序來說明，簡言之，過程是較抽象較上層的概念，而程序則是較落地的執行作法，程序會比過程交代的細節會比較多，包含每個程序內的流程步驟，有些組織或制度會把程序設計得更加細緻，執行的人不需要想太多，照著做就可以了，這種程序稱為標準作業程序 (Standard Operation Procedure, SOP)。

然而，過程雖然有了程序把執行的方法落地，卻不一定能將所有的情境都匡列進來，能做成SOP的基本上都已經極度標準化，不需要考慮其他可能的影響因子，但許多組織的管理過程及程序無法做到SOP程度，尤其是非製造業的產業，受外來因子影響的程度相對較大，故同一套程序可能會有不同的執行方法，這時組織就需要對這些程序如何執行再進一步的細緻化定義或說明，這樣的說明即為指引，或稱為工作指示。

Work instruction is a detailed description of how to perform tasks. (ISO 10013:2021 3.1)
工作指示是一份如何執行工作的細節說明。

工作指示會清楚交代一件工作要如何執行、步驟、標準的方法、需要的素材以及輸出的預期結果等，按照指示即可由輸入產生規定的輸出，當程序無法清楚交代完整的細節時，多一份工作指示或指引會使程序的執行更容易得到正確的結果。

而過程要實現的目標即為管理系統的政策 (Policy)，其階層如下圖，政策的部份留在下一回，先知道就好。

主條文 4.4 要求組織要依其標準建立、實作、維持及持續改善ISMS，包括所需「過程」及其「互動」。

在主條文5 (Clause 5) 開始一直到主條文10 (Clause 10)，描述了一套ISMS所要執行的各項要求，在導入ISMS時，要將這些要求轉換為一套可執行的過程、定義出執行過程的程序、說明執行程序所需要的工作指示或指引，以及定義並產生證明過程已被執行的證據，也就是ISMS系統的實現 (realization)。

Management system realization is a process of establishing, documenting, implementing, maintaining and continuity improving a management system. (改寫自ISO 9000:2015 3.4.3)
管理系統的實現是一套建立、文件化、實作、維護與持續改善管理系統的過程。