Information är värd att skydda. Därför bör man formalisera hur man behandlar och säkerställer informationen. Det görs i en informationssäkerhetspolicy.
Detta avsnitt redovisar vilka delar som bör ingå i en informationssäkerhetspolicy och varför. Rekommendationerna beskriver en lägsta säkerhetsnivå men exakt vilken nivå som krävs bestäms naturligtvis av varje organisations särskilda behov och, i vissa fall, av lagstiftning. Avsnittet bygger till stora delar på Krisberedskapsmyndighetens skrift Basnivå för it-säkerhet (BITS) samt på SIS Ledningssystem för informationssäkerhet (SS-ISO/IEC 17799).
Texten har stort fokus på hur man med olika medel säkerställer och begränsar den digitala åtkomsten till information och system. Ett komplett säkerhetstänkande innefattar naturligtvis också rutiner för fysisk säkerhet.