1. "依照ISO27001標準"，這句話要確認貴司是否有 ISO 顧問公司，如果有，可以請對方提供範本，再修改為公司適合即可
2. 如果沒有，一開始很難寫成 ISO 標準，可以先從一般資訊規範與規章開始，再逐步編修、同時參照公司其他部門意見與需求
3. 要找外面也有，Google 找資訊顧問公司很多，但費用不貲，要先知道公司預算有多少
4. 我也可以幫忙，半導體、傳產、代工，我都寫過，還是前一句：公司預算有多少，之後再議

可以照著27001中的控制項
一一寫出控制的辦法，例如說這次改為2022版有多了組態管理，就可以參考政府GCB訂出適合公司自己的Config Baseline

可以先確認公司要你作這件事的目的。

依https://zh.wikipedia.org/zh-tw/ISO/IEC_27001 描述
ISO/IEC 27001，其名稱是《資訊科技—安全技術—資訊安全管理系統—要求》（Information technology — Security techniques — Information security management systems — Requirements）是資訊安全管理的國際標準......

關於ISO27001的重點應該是資訊"安全"，不是"資訊管理辦法"，資訊管理辦法若不考慮合規性等其他面向，IT相關部門集合起來，召集討論會議自己建立資訊管理辦法即可。

如果是要取得認證，僅依你這樣被指派的狀況描述，我會建議你找顧問公司。
Google一下，目前會有非常多顧問輔導公司，花點時間聯繫幾家，初步談過後會有一個預算的概念可呈報。
要導入ISMS不是只有弄出文件就好，且每家公司的狀況不同，核心系統不同，關注議題不同，不是參考標準直接寫就可以的。

主管交辦的事項，如果當下沒說清楚(也有可能他也還沒想清楚)，建議您先想一下，整理問題後再去問清楚，不然很容易作白工...

您可以先問清楚主管的需求，這些管理辦法寫出來後到底是要作什麼??
是應付長官用?還是以後您們要執行的規範?

如果只是應付長官，那就網路上隨便抄，越嚴謹越唬人越好。

如果是未來的執行的規範，那就依現狀或依您們能作到的最佳情況寫，有牽涉到其他部門要配合的，一定要請主管協助作跨部門討論確認過再寫，不然只是害死自己及未來接手的人....

通常導入ISO27001都會找顧問公司協助，他們會提供範本並和公司導入相關單位進行一段期間的會談和辦法修正，並且要針對缺失和需求給予建議作法。
您可以找敦陽、精誠資訊...很多公司都有這塊服務喔。
文件是不太可能自己搞定的。

請問業界有沒有已經導入ISO27001認證，還是有被駭的新聞事件?