他のマネジメントシステム（ISO9001,ISO14001等）の取得をされていない組織で、初めてISO27001の取得を計画する場合は、コンサルタントを利用するのが無難です。
ISO27001の中に、「ISMSの確立」という条項の中で、実施するべきことが、詳細に記述されておりますが、マネジメントシステムの知識が、ある程度必要となります。
コンサルティングを依頼する場合は、事前に、次のことを整理しておくと、無駄な時間が節約され、費用も節約できるでしょう。
◎社内で使用される情報の種類・使用目的・使用方法・使用者・責任者・メディア等
◎情報を使用するに必要な、ハードウエア・ユーティリティー・ソフトウエア
◎現在ある社員教育関係資料や記録類
◎派遣会社等の利用状況と契約内容　等
◎社内の規則（情報に関係するもの）
無いものは、事前に準備しないで、コンサルタント開始後にしたほうが無難です。
取得のための体制は、組織の大きさによって変わります。小さな組織では、必ずしも、事務局のような専任の組織は要しませんが、責任を持って運用管理する人、セキュリティに関しての情報を交換したり、決定したりする組織を用意することが大切です。

まずは、責任者か事務局が、「仕事の流れ」「現場の状況」など現状の情報の扱い方を確認しながら、「チェックリスト」などに基づき簡単な現状調査・分析から始めると良いでしょう。自社の情報管理の大体の強み弱みをつかみましょう。
もうひとつ、適用範囲を決定しましょう。適用範囲に含むべき「事業特徴（業務、製品やサービスの性質）」「組織的」「物理的（所在地・施設・設備・配線など）」、「含まれる情報資産と技術」、「人的（要員）」などです。

適用範囲の決定です。情報セキュリティではまずどこを守るのかという範囲を決めるために、内と外との境界をはっきりさせることが不可欠になります。しかし、実際には、同居ビルなどのように社屋と社外の区別がはっきりしないとか、組織では出向者や協力社員との権限責任があいまいであるとか、取引先に設置したネットワーク機器や端末装置は誰か管理しているのかなど、内と外の境界がはっきりしないことが多く見受けられます。
　守るべき範囲はどこまでを指すのか、境界について境界の内と外で認識は一致しているのか、新たに境界線を引かないといけないのか、などについてまずは調査することから始めて下さい。

セキュリティ強化をいきなり採りたくなりますが、まずは、取得の時期、推進体制、自社主導かコンサルを雇うのかといった部分を検討すべきです。ISMS取得プロジェクトの中でセキュリティを高めるかどうかは1つの検討材料でしかありません。ですので間違ってもいきなりセキュリティ強化を行わないでください。