No processo de certificação da norma ABNT NBR ISO/IEC 27001, são exigidos documentos sobre o tratamento de riscos da segurança da informação. Especificamente, deve-se listar e justificar a exclusão e a inclusão de quaisquer controles do Anexo A da norma, bem como indicar quais deles estão implementados. Ao documento gerado nesse processo de certificação, dá-se o nome de