ISO27000策划的具体工作有哪些？

在完成现状调查与风险评估工作之后，组织 要根据已确立的信息方针的总体要求与信息管理体系 范围、风险评估的结果，明确组织信息结构与职责、选择控制目标与控制方式、编写风险处理计划和控制概要、制定业务持 续性计划。

组织信息结构与职责

组织信息结构是实施信息管理体系的基础与组织，在职责划分和编写体系文件之前，须进行职能分析和组织结构。在组织结构时，要坚持精简的原则， 尽量避部门职能的交叉，调整组织的原有管理体系的组织结构使其适应信息管理体系标准中的管理需求；结合组织的类型、规 模及特点，设置管理体系运行的管理部门，使其负责管理体系的建立、实施、协调及监督管理，不断地发现管理体系运行中的问题， 以便及时调整、改进。

选择控制目标与控制方式

组织应根据风险评估的结果，并考虑控制 费用与风险平衡的原则，选择适合组织的控制目标与控制方式。

编写控制概要
   
控制概要中应对根据风险评估结果选择的控制目标与控制方式进行详细的说明。

制定业务持续性计划

为降-低信息事或自然灾害对组织业务持续性的影响，组织应在 风险评估的基础上编制业务持续性计划并保持计划。