Para uma correta implementação de um sistema de gestão da segurança da informação em uma organização, é importante criar um documento que descreva tanto os controles que são pertinentes ao SGSI da organização, quanto aqueles controles que não são pertinentes e não serão usados, fazendo assim a ligação entre a avaliação de riscos e o tratamento da segurança da informação.

O nome desse documento é