1、.信息手冊

i.重要的是確定組織架構(gòu)、總共的人員數(shù)量，每個部門的人員數(shù)

ii.信息角色和職責

iii.確定授權(quán)的管理者代表

2、適應性聲明

i.與ISO27001標準的附錄A條款的對應表，確定哪些條款適用、哪些條款不適用

ii.不適用的條款需要寫明不適應的理由

3、信息風險識別與評價管理程序

i.信息資產(chǎn)識別與評價

ii.對資產(chǎn)價值、威脅、脆弱性的評分

4、風險評估”相關(guān)的記錄文檔