一、充份授权

1. 企业或机构应指派专责人员(Chief Information Security Officer，简称CISO(资安长))，统筹办理资安制度相关事宜。
2. 企业或机构应设置资安组织(如:资讯安全管理委员会)，明订组织各个角色应尽权责与义务(如:编列○○任务小组)。
3. 资安是建立在企业或机构整体营运中的一部份，与资讯长是独立的不同单位且无从属关系，唯有定义明确的资安长才能充份的以全局视野规划、推广，享高阶主管层级的决策权，决策才有机会不打折扣的传达高阶主管。

ISMS程序书：
1阶(战略/目标):订定资安政策
2~3阶(战术/达成目标的各项方法):订定程序与指引(资安组织)
4阶(落实1~4阶程序书所产生的文件):订定资安组织名册与工作说明

建立：资讯安全管理委员会、文管小组、推动小组、处理小组、稽核小组、技术审查小组、教育训练小组、…(依组织需求增列或合并)

二、制度建立所需资源如期到位

1. 资源泛指制度所需人力、技术、预算，资源不到位的决策终将是黄梁一梦，当个笑话听听就好别当真。

资讯安全管理制度建置暨维护计划
附件1:工作事项与成本分析
附件2:预算一览表
附件3:服务建议书范本
附件4:优良厂商清册
附件5:厂商报价单

三、制度建立的动机

1. 翻成白话文供参:企业或机构的求生慾有多强，资安制度没有建立不做好会有什麽引影响?

风险管理报告
附件1:风险事件与後续追踪发现事项汇整表(最近○年内)
附件2:资安事件通报与处理追踪汇整表
附件3:客欣汇整表

四、利害相关方的期许

1. 内部希望资安制度的建立可以解决什麽问题?
2. 外部希望资安制度的建立可以解决什麽问题? (如:满足客户对供应商的资安资格要求，或者是公务机关可符合资通安全管理法对机构要求事项)

五、合规标准与依据

依组织层级设定资安制度建立各阶段可量测目标。

1. ISMS内部文件一览表
2. ISMS外部文件管制表(法遵依据来源与范围)