应建立并保持记录，以提供信息安全管理体系符合要求并有效运作的证据。记录应该被保护并控制。ISMS应该考虑任何相关的法律和法规要求以及合同责任。记录应保持清晰、易于识别和检索。记录的标识、储存、保护、检索、保存期限以及处置所需的控制应该被文件化并实施。

记录中应该包含4.2中所列出的所有过程的业绩，以及发生的、与ISMS相关的重大安全事件。

举例

记录的实例：来宾登记簿、审核记录以及访问授权表