信息安全管理体系所要求的文件应该被保护并予以控制。应该建立一个文件化的程序，定义所需的管理活动，以

a) 文件发布前得到批准，以确保文件是充分的；

b) 必要时对文件进行评审、更新并再次批准；

c) 确保文件的更改和现行修订状态得到识别；

d) 确保在使用时，可获得相关文件的最新版本；

e) 确保文件保持清晰、易于识别；

f) 确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和最终的销毁；

g) 确保外来文件得到识别；

h) 确保文件的分发得到控制；

i) 防止作废文件的非预期使用；

j) 若因任何目的需保留作废文件时，应对其进行适当的标识。