Er behoort een reeks beleidsregels voor informatiebeveiliging te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.
Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante wijzigingen voordoen te worden beoordeeld om de voortdurende geschiktheid, toereikendheid en doeltreffendheid te waarborgen.