记录是阐明所取得的结果或提供所完成活动的证据的文件。信息安全管理体系记录是信息安全管理体系运行结果的证据，是一种特殊的文件。

组织在编写信息安全管理体系文件时，应该考虑任何相关的法律和法规要求以及合同责任，根据安全控制与管理要求确定组织所需要的信息安全管理记录，以提供信息安全管理体系符合要求并有效运作的证据。

记录可以是书面记录，也可以是电子媒体记录，每一种记录应保持清晰、易于识别和检索。记录内容与格式设计应符合组织业务运作的实际并反映业务活动的结果，且方便记录人使用。

记录中应该包含PDCA循环中所有过程的业绩，以及发生的与ISMS相关的所有安全事件。