体系文件通常可分为四级文件：

一级文件涵盖组织ISMS总体方针、目标、组织结构以及政策适用声明等内容，是指导性文件；

二级文件体现的是ISO27001标准各控制域的管理策略，是从要求层面考虑的；

三级文件是安全控制措施与组织业务流程相结合的管理程序，一定程度上可以看作是执行层面上的业务流程安全控制措施指导书或业务安全操作流程手册；

四级文件是一些管理程序对应存在的工具模板、记录、表单等。当然，组织的ISMS文件形式上并非一定要拘泥于上述划分，但应确保满足标准的各项要求。

体系文件建设的难点在于安全控制项（要求）与组织既有业务流程的契合度是否足够高，许多组织存在将标准中控制要求“填鸭式”地“组装”到现有流程当中而不考虑业务的兼容性，这样的制度文档通常看似“漂亮”，但事实上在业务执行过程当中会产生诸多不合理的要求与步骤，几乎不具有实践意义。

程序文件编纂过程中的一个关键点在于梳理角色职责的映射关系（RACI）。在ISMS的建设过程中，由于在不同业务环节中增加了部分安全控制措施，或多或少地会延长相关业务流程，而若这些新增的安全控制措施责任人（包括实施者）不明确，则势必会造成业务混乱、角色/部门间的矛盾甚至是安全控制措施的真空。所以在每份程序文件中，角色与职责的对应矩阵都应被清晰的展示，这也是程序文件具有可操作性的必要前提。

再者，程序文件中业务流程安全控制的可检查性同样是信息安全管理体系落地的关键。不同安全控制措施的有效性需要通过对应的检查流程进行验证，必要时可附加四级文件描述相关的检查标准（定期、定量、定点等）。由于检查工作也是需要对应到相关责任人（包括实施者），可操作性同样必不可少（RACI中体现）。