Організація повинна мати виключно політику безпеки, без необхідності детальних процедур.

Організація має документально оформити сферу застосування СУІБ, політику безпеки, аналіз ризиків та заходи контролю.

Усі документи повинні оновлюватися щороку незалежно від змін у середовищі загроз.

 Сертифікація можлива без документування процесів управління ризиками.