组织的基本信息，包括名称、地址、法律地位证明（如营业执照）等。

组织的组织架构图和职责描述，明确信息安全管理的责任和角色。

信息安全政策：阐述组织对信息安全管理的承诺、目标和原则。

ISMS手册：概述组织的信息安全管理体系，包括范围、结构、过程等。

程序文件：详细描述ISMS中的各个过程，如风险评估、安全控制、内部审核等。

记录表格：用于记录ISMS运行中的关键活动和事件，如安全事件记录、内部审核记录等。

风险评估报告：详细描述组织面临的信息安全风险、威胁和脆弱性，以及评估结果和采取的控制措施。

风险处理计划：针对评估出的风险，制定风险处理计划和实施时间表。

安全控制措施列表：列出组织已实施的信息安全控制措施，包括技术、管理和操作层面的控制措施。

控制措施实施证据：提供相关证据，证明控制措施已得到有效实施，如安全策略文档、配置设置、访问控制记录等。

内部审核报告：记录内部审核的过程、发现的问题和采取的纠正措施。

管理评审记录：记录Zui高管理者对ISMS的评审过程、结论和改进建议。

培训计划和记录：记录员工接受的信息安全培训计划和实施情况。

能力评估记录：记录员工在信息安全方面的能力和技能评估结果。

供应商清单：列出组织的供应商和合作伙伴，以及与其相关的信息安全要求。

供应商安全协议和合同：与供应商和合作伙伴签订的安全协议和合同，确保他们符合组织的信息安全要求。

安全事件记录：记录组织发生的信息安全事件和事故，包括发生时间、原因、影响和处理情况。

事故调查报告：对重大信息安全事故进行调查，并编写调查报告，包括原因分析、责任追究和改进建议。

适用的法律法规和标准清单。

组织的信息资产清单，包括重要数据和系统的描述和分类。

信息安全管理体系运行的证据，如安全控制活动的记录和监测报告。