建立并保持一个文件化的信息安全管理体系是ISO27001标准的一个总要求，编写信息安全管理体系文件是组织建立信息安全管理体系的重要基础工作，也是一个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进必不可少的依据。

编写信息安全管理体系文件的基本原则与要求：

□ 体系文件要满足标准要求；

□  文件要符合组织业务运作与安全控制的实际，文件应具有可操作性；

□ 不同层次的文件之间应保持衔接与协调一致，防止出现相互矛盾，如程序文件规定的与信息安全管理手册叙述的要保持一致；

□ 在正式编写文件之前，应根据标准对文件化的要求、标准对文件化程序的要求及信息安全管理体系策划的结果，列出信息安全管理体系文件清单，下达文件编写计划；

□ 文件编写后可能要经过不止一次的修改与完善，在正式发布实施之前，要对文件进行审核，确保符合标准与组织的实际，文件经过管理者批准后予以实施，在文件实施的过程中仍可对文件进行修订，但更改应按照文件控制程序所规定的方法进行。