一般管理文件通常依照ISMS的四階文件分類：

A. 政策性文件
B. 規範性文件
C. 程序性文件
D. 表單型文件

此部分，一般由顧問公司承擔。這組織的文件系統是資安政策落實的基石。若缺乏經費，可考慮向同類型的機關借閱其文件，然後修改以符合本機關的需求。但要注意，若目標是獲得ISO 27001認證，則不宜做大幅度修改，因為標準制定了必須的內容要求。

其中，文件管理是資安驗證的核心。驗證過程包括文檔審核，確認文件是否滿足標準要求、是否已進行相應的管理，以及是否有相應的佐證資料支援。無論是截圖還是相關表單，佐證資料都至關重要，而不是空口說白話。

文件管理主要涉及三方面：

1. 定期更新文件內容：以保持其有效性，如根據新法規更新、更新利害關係人清單、工作圈小組、資訊資產清單和風險等，並保存最新版本。

2. 定期修訂表單：根據同仁的反饋進行調整，使之更為易用，或根據新政策增加新表單（例如，IoT資訊資產盤點），並公布最新表單。

3. 保持文件的版本控制：包括標示版本編號、修訂日期。過期的版本需標明並歸檔，以防誤用，但也方便日後查詢，查看繳交的版次就知道有沒有看過。

除了以上是文管人員要做的以外，所有的相關承辦人員要蒐集相關表單，例如開帳號要有申請帳號表單而非嘴巴說就開、防火牆除了申請表單以外，還需定期紀錄表單，確認規則是否有誤開。

大多數的問題都能在文件部分解決，查看並重複驗證就可以看出資安做的如何