Das ISMS wird durch mehrere Dokumente beschrieben, die hierarchisch aufeinander aufbauen.

5.1 Die ISLL ist das übergeordnete strategische Basisdokument zur Gewährleistung der Informationssicherheit für den Geltungsbereich. Sie dient der Aufrechterhaltung des ressortübergreifenden ISMS.

5.2 Die ISRL gestalten das ressortübergreifende ISMS taktisch aus und legen für einzelne organisatorische oder technische Bereiche Sicherheitsanforderungen für den Geltungsbereich verbindlich fest.

5.3 Die Sicherheitskonzepte für die Informationssicherheit dokumentieren auf operativer Ebene die für Services, Fachverfahren und sonstige Verwaltungsaufgaben der Sicherheitsdomänen ermittelten Risiken, die Sicherheitsmaßnahmen zur Risikoreduzierung und die nach der Maßnahmenumsetzung verbleibenden Risiken.

5.4 Die Risikobeschreibungen für die Informationssicherheit dokumentieren für Services und Fachverfahren die ermittelten Risiken, die umgesetzten Sicherheitsmaßnahmen der Service- und Fachverfahrenseigentümer und die verbleibenden Risiken nach der Maßnahmenumsetzung. Sie dienen dazu, die Leistungsempfänger über die wesentlichen sicherheitsrelevanten Informationen zu unterrichten.