ISO27001体系文件的内容

信息安全管理体系所要求的文件应该被保护并予以控制。应该建立一个文件化的程序，定义所需的管理活动，以：
a) 文件发布前得到批准，以确保文件是充分的；
b) 必要时对文件进行评审、更新并再次批准；
c) 确保文件的更改和现行修订状态得到识别；
d) 确保在使用时，可获得相关文件的最新版本；
e) 确保文件保持清晰、易于识别；
f) 确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和最终的销毁；
g) 确保外来文件得到识别；
h) 确保文件的分发得到控制；
i) 防止作废文件的非预期使用；
j) 若因任何目的需保留作废文件时，应对其进行适当的标识。
信息安全管理体系的文件应包括：
a) 文件化的安全方针[见4.2.1 b）]和控制目标；
b) 信息安全管理体系的范围[见4.2.1a）]；
c) 支持ISMS的程序和控制；
d) 风险评估方法的描述[见4.2.1c)]；
e) 风险评估报告[见4.2.1c)到4.2.1g）]；
f) 风险处理计划[见4.2.2 b）]；
g) 组织为确保其信息安全过程有效策划、运作和控制及如何测量控制措施有效性所需的文件化的程序[见4.2.3 c）]；
h) 本标准所要求的记录（见4.3.3）；
i) 适用性声明。