Um ein standardkonformes Informationssicherheitsmanagementsystem zu erhalten werden auf den unterschiedlichen Ebenen einer Organisation verschiedene Formen von Dokumentation benötigt.

Auf einer sehr abstrakten Ebene findet man häufig ein Dokument um das Leitbild darzustellen - beispielsweise eine Informationssicherheitsleitlinie. Bereits konkreter ausgestaltet werden die davon abgeleiteten Richtlinien - beispielsweise Richtlinien für Risikomanagement, Cloud-Anwendungen, Social Media Nutzung, Passwörter, Backup und Widerherstellung, Schulung und Sensibilisierung, etc..

Auf einer noch konkreteren Ebene befinden sich Konzepte und Umsetzungsdokumentation - beispielsweise Betriebshandbücher, Handlungsanweisungen für Beschäftigte oder die Dokumentation von sog. Incidents oder Changes innerhalb des IT-Betriebes.