a) 文件发布前得到批准,以确保文件是充分的;
b) 必要时对文件进行评审、更新并再次批准;
c) 确保文件的更改和现行修订状态得到识别;
d) 确保在使用时,可获得相关文件的最新版本;
e) 确保文件保持清晰、易于识别;
f) 确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和最终的销毁;
g) 确保外来文件得到识别;
h) 确保文件的分发得到控制;
i) 防止作废文件的非预期使用;
j) 若因任何目的需保留作废文件时,应对其进行适当的标识。
信息安全管理体系的文件应包括:
a) 文件化的安全方针[见4.2.1 b)]和控制目标;
b) 信息安全管理体系的范围[见4.2.1a)];
c) 支持ISMS的程序和控制;
d) 风险评估方法的描述[见4.2.1c)];
e) 风险评估报告[见4.2.1c)到4.2.1g)];
f) 风险处理计划[见4.2.2 b)];
g) 组织为确保其信息安全过程有效策划、运作和控制及如何测量控制措施有效性所需的文件化的程序[见4.2.3 c)];
h) 本标准所要求的记录(见4.3.3);
i) 适用性声明。