Questo insieme di regole pu essere scritto sotto forma di politiche, procedure e altri tipi di documenti, oppure sotto forma di processi e tecnologie consolidati che non sono documentati. La ISO 27001 definisce quali documenti sono richiesti, cio quali devono essere prodotti come requisito minimo.