ERRADA.
Realmente as normas 27001 e 27002 citam várias vezes a necessidade de procedimentos formais relacionados aos controles, por exemplo:
* Deve existir um processo disciplinar formal para os funcionários que tenham cometido uma violação da segurança da informação.
* Deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.
* A concessão de senhas deve ser controlada por meio de um processo de gerenciamento formal.
Entretanto, em nenhum momento há menção sobre a exigência de um documento formal para que os usuários de uma organização tenham acesso ao servidor de arquivos. Isso é totalmente operacional e as normas 27001 e 27002 não entram nesse "como fazer". Essa questão cabe à organização.