(3)  任意的文件 

    除了上述必须的文件外，组织可以根据其实际的业务活动和风险的需要，而确定某些文件（包括某些程序文件和方针类文件）。这些文件就是所谓的任意的文件(discretionary documents)。这类文件的内容可随组织的不同而有所不同，主要取决于:

1)  组织的业务活动及风险；

2)  安全要求的严格程度；

3)  管理的体系的范围和复杂程度。

    这里，需要特别提出的是，isms的特点之一是风险评估和风险管理。组织需要哪些isms文件及其复杂程度如何，通常可根据风险评估决定。如果风险评估的结果，发现有不可接受的风险，那么就应识别处理这些风险的可能方法，包括形成相关文件。

(4)文件的符合性 

isms文件的符合性包括符合相关法律法规的要求、符合iso/iec 27001:2005标准4-8章的所有要求和符合本组织的实际要求。为此：

1)  参考相关法律法规要求和标准要求

    在编写isms文件时,编写者应参考相关法律法规要求和标准的相应条款的要求，例如，在编写isms方针时，要参考iso/iec 27001 “4.2.1b) 定义isms方针”；编写适用性声明时，要参考iso/iec 27001 “4.2.1 j) 准备适用性声明”；编写文件控制程序时，要参考iso/iec 27001 “4.3.2文件控制”等等。

2)  文件化本组织的最好实践

    为了易于操作，编写者最好把本组织当前的最好实践写下来，补充标准的要求，形成统一格式的文件。

3)  保持一致性

    a） 同一个文件中，上下文不能有不一致(或矛盾)的地方

    b） 同一个体系的不同文件之间不能有矛盾的地方

    c） 不同体系的文件之间不能有不一致的地方

    如果组织同时运行多个管理体系，例如质量管理体系(qms)、环境管理体系(ems)和isms等，那么各个体系的文件之间应相互协调，避免产生不一致的地方。此外，在文字的表达上，应准确，无二义。

   更多iso/iec 27001信息请关注潜龙认证咨询