O texto da questão está correto, a não ser pela seguinte frase: "... sem que nada seja descartado".
Corroborando a parte correta da questão, o tópico 4 da ISO 27001:2006 trata do Sistema de gestão de segurança da informação. Dentro do tópico, temos o item 4.3Requisitos de documentação. Dentro dele temos o sub-item 4.3.2 Controle de documentos. Esse sub-item cita que os documentos requeridos pelo SGSI devem ser:
Protegidos; e
Controlados.
Um procedimento documentado deve ser estabelecido para definir as ações de gestão necessárias para:
Assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis nos locais de uso;
Assegurar que os documentos permaneçam:
Legíveis; e
Prontamente identificáveis;
Assegurar que os documentos:
Estejam disponíveis àqueles que deles precisam; e
Sejam:
Transferidos;
Armazenados; e
Descartados conforme os procedimentos aplicáveis à sua classificação.
Destaco, em relação aos itens acima, que os documentos requeridos pelo SGSI sejam descartados conforme os procedimentos aplicáveis à sua classificação.