信息安全管理体系文件必须包括如下方面（）

• A、ISMS方针和目标
• B、ISMS的范围
• C、支持ISMS的程序和控制措施
• D、风险评估方法的描述
• E、风险评估报告
• F、风险处理计划
• G、组织为确保其信息安全过程的有效规划，运行和控制以及描述如何测量控制措施的有效性所需的形成文件的程序
• H、所要求的记录
• I、适用性声明