För att en informationssäkerhetspolicy ska fylla sitt syfte, att ange inriktningen för säkerhetsarbetet, gäller det att den är förankrad i ledningen, klart visar ambitionsnivå och riktning. Den ska också vara utformad på ett sådant sätt att den går att förankra i organisationen och hos eventuella samarbetspartners.