拟定 ISMS 程序书撰写方向

确认导入范围

旨在确认企业或机构的决心，与实际要推广的范围。

订定资安目标

资安目标可以参考同业或客户官网揭露资讯，後续依资安制度运行时可适时调整(决策执行程序需全程文件化纪录)，逐步改善。

程序书阶层

（一）政策性（第一阶文件）

    说明本ISMS之目标、方向及执行原则。

（二）规范性（第二阶文件）

    针对ISMS所需订定之行政规则。规范性文件名称可命名为规
    范、要点、注意事项等。

（三）程序性（第三阶文件）

    针对规范性文件中之规定，叙述相关作业之办理程序。

（四）空白表单、纪录及其他（第四阶文件）

    1.空白表单：ISMS作业所需使用之空白表单。
    2.纪录：ISMS作业已填写资料之表单。
    3.其他：ISMS作业所产生之文件、报告、计画及相关参考资料。

Q&A

现实环境与1~4程序书内容不一致，是否无法通过 ISMS 审查取得资安资格?

ISMS的精神是持续改善，程序书是企业或机构现在订定的标准，标准与实际作业不一致的时侯，应识别、分析、归类问题，尽可能的把问题根本原因找出来，并制定改善计划。
内稽和外稽共同会看的其中一点是，组织是否识别问题，应变处理与改善计划是否如期完成?无法完成的计划是遇到什麽新问题?是否有向上呈报?上级主管与利害相关方的审查结果为何?计划无法如期完成对企业或组织将会产生哪些冲击(或损害)?

取得ISMS证书之後为什麽需要复核(SA)?

随者时间往前推进，已审查过的企业或组织仍然可能因为内在因素(预算不足或其它资源不到位)或外在因素(法令或标准改版、客户要求、被攻击)变化，已审查过的结果可能在第2年变得不合时宜，藉着复核程序确认ISMS程序书是否适时更新且符合现况。

指派或分配 ISMS 程序书权责单位与工作内容

1. 依企业或机构的组织架构图，以及实际营运的单位，指派适当人选加入 ISMS 程序书编写行列。
2. 程序书内容可指定多个单位共同审查程序、标准或现况调整。

建议

1. 进行业务冲击分析(Business ImpactAnalysis, BIA)，了解在所有业务范畴内，依业务的重要性来决定导入的范围。
2. 参考企业或机关的关键核心业务内容，指定验证范围，
3. 依据法令要求，选定导入范围及验证范围。

名词说明

1. 导入范围:哪些人/组织/环境...需要遵守 ISMS ?
2. 验证范围:向验证机构申请到场审查哪些标的?，例如:流程/系统/建筑物...详如 ISO/IEC 27006:2015、验证机构认证规范)
3. 关键核心业务:没做好企业/机构会倒、高阶主管与○○长会被抓去关

访谈过程应全程纪录且留存备查:
1. 会议纪录、签到表
2. 差异分析检核表
3. 差异分析报告

资料来源:
ISMS/PIMS顾问辅导
ISMS 资讯安全管理系统
政府机关为何要导入ISMS
公司为何要执行 ISMS资安管理系统 ?
JCIC「全组织一次通过」 ISO 27001资安验证经验分享