資訊安全管理制度 (Information Security Management Systems,ISMS) 著眼於管理本部重要的資訊資產,以『規劃—執行—檢查—行動』模式來建置與維護,確保此制度有效運作,因此所有活動:
一、 定義資訊安全政策
二、 說明資訊安全管理系統的範圍
三、 評鑑風險
四、 訂定控管目標與機制
五、 實施風險處理計畫
六、 撰寫適用聲明書
七、 實施與操作
八、 監控、定期審查及稽核
九、 採行矯正與預防措施
均要有適當的文件記載或紀錄說明之。此系統的文件架構為:
一、第一階:本手冊,主要包含資訊安全政策控管程序與適用聲明書
二、第二階:資訊安全程序書,包含所有控管程序的內容說明
三、第三階:各種管理要點、檢查項目與表單
四、第四階:各項活動的紀錄