五、 文件化資訊
ISO 27001標準內要求必須文件化的資訊如下：
• 資訊管理系統的範圍(4.3)
• 資訊安全政策(5.2e)
• 風險評估程序(6.1.2)
• 風險處理過程(6.1.3)
• 適用性聲明書(6.1.3d)
• 資訊安全風險處理計畫(6.1.3e)
• 資訊安全目標(6.2)
• 人員能力證明(7.2d)
• 適當實施各項ISMS流程(8.1)
• 資訊安全風險評鑑結果(8.2)
• 資訊安全風險處理結果(8.3)
• 監控與量測結果的證據(9.1)
• 內部稽核流程與稽核結果的證據(9.2)
• 管理審查結果證據(9.3)
• 不符合事項的性質與任何採取的後續措施(10.1f)
• 任何矯正措施的結果(10.1g)
以往類似ISO標準文件化資訊的要求是建立一個四階文件架構，規範所有政策、程序、執行作法及表單，以目前的標準要求來看，對文件架構並沒有太多的要求，著重的是文件的有效性，就是說這份文件到底能證明甚麼，流程中有沒有規範可以依循等等。如何建立一個良好的文件化管理架構？所有想要導入ISMS的組織第一件事想要問的是：到底需要多少的文件才能滿足管理系統的需求？進一步的說，多少文件才能滿足外部稽核員的要求，可以順利拿到證書？其實這個答案很簡單，重點不在數量而在品質，因為在7.5.1的要求中，組織可以自行決定所需要的文件，考量的因素是組織的規模，以及其活動、過程、產品與服務的類型、過程的複雜性與相互作用以及人員的能力。標準一開頭就告訴我們，本標準適用任何類型的組織，試想一個僅有五個人的組織，如果設定五十幾份表單去管控日常的資訊安全作業，這個組織人力光用在填寫資訊安全表單上，其他事情就無法正常作業，這不是ISO標準想要達到的目的。又如果一個大型且作業流程複雜的組織僅使用五個表單去管控日常的資訊安全作業，其效果是值得考量的，標準沒有敘述需要多少的文件來支持整個資訊安全管理系統，僅要求必須的文件(上面的列表)以及ISMS的有效性所必需的文件化資訊。有關文件化資訊的建立、更新及管制，條文已經說得很清楚了，這邊僅針對幾項重要的問題進行探討：
(一) 文件格式
標準並沒有規範紙本文件是唯一的媒介，所以電子檔案、系統LOG以及其他足以紀錄顯示的方式都可以使用，相關的語言、標示及圖表則需要在設計規劃階段就事先決定，所有的要求都是為了達成容易使用、閱讀並具有證據力及有效性。一般在設計文件時，比較容易忽略的是日期的標示，例如：風險評鑑的資料如果沒有日期標示，那如何顯示風險評鑑是何時做的，因為有些資料的重複性高，非常容易混淆，日期、版本都是一個已經被證明的良好管控文件的方法。
(二) 內容
事實證明複雜的描述容易產生誤解，所以內容部分以清楚明瞭、簡潔易懂為主，適當時以圖表或流程方式展現，容易讓閱讀者清楚知道應該如何做及做甚麼。
(三) 文件安全性
管理系統的文件及記錄本身就屬於資訊安全要保護的對象，所以文件的安全性及存取限制一定要做好規範及管理。
(四) 文件應用
設計文件有很多目的，有些是為了證明有效性、有些用來管控、有些用來改善作業流程，文件能夠得到適當的應用，才是文件存在的意義，千萬不要為了記錄而記錄，忽略文件本身的用處，例如：組織保存防毒系統中控台所有使用者曾經中毒的紀錄，這項紀錄不是為了保存而保存，組織應定期針對這些紀錄執行分析，找到經常中毒的使用者、經常入侵的病毒、反覆不斷的病毒等，進一步分析使用者的習性、病毒入侵的管道等等資訊，藉以改善目前防範病毒的控制措施，降低因中毒發生的損失，這才是這些紀錄真正存在的意義，所以各類文件應用才是最後的用途。