程序文件应该包括哪些内容？

程序文件是信息安全管理手册的支持性文件，是为了完成体系要求所用的控制方法、实现方针目标应遵循的原则及全部活动予以控制和改善的各项规定。信息安全管理体系程序通常要求形成文件，信息安全管理体系的程序文件包括两部分，一是实施控制目标与控制方式的安全控制程序(例如防范恶意软件控制程序)，另一部分为覆盖信息安全管理体系的管理与运作的程序(例如风险评估管理程序)。程序文件应描述安全控制或管理的责任及相关活动。程序文件通常包括5W1H：目的与范围(Why)、做什么(What)、谁来做(Who)、何时（When）、何地(Where)以及如何做(How)。