風險處理計劃是針對風險評估報告中識別出的風險，制定相應的應對措施，包括風險規避、風險轉移、風險降低和風險接受等策略。例如，對于高風險的信息系統漏洞，企業采取立即修復漏洞的風險降低措施；對于一些不可避免且影響較小的風險，如因辦公區域偶爾停電可能導致的短暫業務中斷風險，企業選擇風險接受策略，但同時會制定應急發電等備用方案，以降低風險發生時的影響 。

風險評估和控制措施記錄

這部分資料是對風險評估和控制措施實施過程的詳細記錄，是證明企業切實落實信息安全風險管理的關鍵證據。它包括風險評估過程中所使用的各類數據來源、分析過程記錄，以及針對不同風險所采取的控制措施的執行記錄。例如，在執行訪問控制措施時，記錄用戶賬號的創建、修改、刪除時間和操作人，以及對不同用戶授予和變更訪問權限的審批流程和相關文件，確保所有的風險控制措施都有跡可循、有據可查。

內部審核記錄

內部審核記錄能夠有力地證明企業已按照規定進行了全面的內部審核，并對審核過程中發現的問題及時采取了有效的改進措施。這些記錄包括年度內部審核計劃，明確了審核的時間安排、范圍和重點；內審檢查表，用于審核員在審核過程中對照檢查各項信息安全管理活動是否符合要求；首次 / 末次會議記錄，記錄了內部審核的啟動和總結會議內容；內審報告，詳細闡述了審核的結果，包括發現的符合項和不符合項；不符合報告及糾正措施驗證記錄，針對不符合項詳細說明問題描述、原因分析、制定的糾正措施以及對糾正措施實施效果的驗證情況 。

管理評審記錄

管理評審記錄是企業高層管理者對信息安全管理體系進行定期評審的重要體現，展示了管理層對體系的重視和持續改進的決心。它包括管理評審計劃，規劃了評審的時間、參與人員和評審內容；會議簽到表，記錄參與評審的人員信息；評審記錄及報告，詳細記錄評審過程中對體系的適宜性、充分性和有效性的討論結果，以及管理層針對體系運行中存在的問題做出的決策和改進方向；整改計劃和跟蹤驗證記錄，針對評審中提出的問題制定具體的整改計劃，并跟蹤整改措施的實施情況，驗證整改效果 。