风险评估报告；

f)  风险处理计划；

g)  为确保信息安全/信息技术服务管理进程中的计划、运行和控制的有效性而必需的文件化程序；

h)  ISMS/ITSMS程序所要求的记录

i)  适用性声明（见《适用性声明》）

7.5.2创建和更新

公司相关部门制定并实施《文件管理程序》，创建和更新文件化信息时，应确保适当的：

a) 标识和描述（例如标题、日期、作者或编号）；

b)  格式（例如语言、软件版本、图表）和介质（例如纸质、电子介质）；

c) 对适宜性和充分性的评审和批准。

7.5.3文件化信息的控制

7.5.3.1 应控制信息安全/信息技术服务管理体系和本标准所要求的形成文件的信息，以确保：

a) 无论何时何处需要这些信息，均可获得并使用；

b) 予以妥善保护（如防止失密、不当使用或不完整）。

7.5.3.2  为控制形成文件的信息，适用时，组织应关注下列活动：

a) 分发、访问、检索和使用；

b) 储存和防护，包括保持可读性；

c) 变更控制（如：版本控制）；

d) 保留和处置。

对策划和运行信息安全/信息技术服务管理体系所必需的来自外部的原始的形成文件的信息，公司应进行适当识别和控制。具体见《文件控制程序》 。

7.5.4服务管理体系的文件化信息控制

服务管理体系的文件化信息包括：

a) 服务管理体系范围；

b) 服务管理的方针和目标；

c) 服务管理策划；

d) 变更管理方针、信息安全方针和服务连续性计划（一个或多个）；

e) 组织的服务管理体系的过程；

f) 服务要求；

g) 服务目录；

h) 服务等级协议；

i) 与外部供应商的合同；

j) 与内部供应商和充当供应商的客户的协议；

k) 本标准要求的程序；

l) 证明符合本标准和组织的服务管理体系要求的记录。

注：条款 7.5.4 提供了服务管理体系的重要文件化信息列表。本标准对于文件化信息和记录还有其它的要求。

7.6 组织知识

组织应确定和保持必要的知识，以支持服务管理体系和服务的运行。这些知识对适用的人员应是相关的、可用的、有用的。

注：对于组织来说其服务管理体系、服务和相关方是特定的。使用和共享知识以用来支持实现预期结果和运行服务管理体系及服务。

8. 运行

8.1  运行规划和控制

公司应策划、实施和控制用来满足信息安全/信息技术服务要求过程，并实施在 6.1 中确定的行动。 组织还应当实施计划，以实现在