Een gedocumenteerde verklaring waarin de controledoelstellingen en controles worden beschreven die relevant en toepasbaar zijn op het Information Security Management System (ISMS) van de organisatie. Een belangrijk onderdeel van een ISMS gedefinieerd in ISO/IEC 27001:2005.