Este documento describe los pasos necesarios para elaborar una política de seguridad informática efectiva. Primero, se debe formar un comité de seguridad multidisciplinario que defina la política. Luego, se debe elaborar un documento final que incluya la definición de la política, declaraciones de la administración y atribución de responsabilidades. Finalmente, la política debe hacerse oficial mediante su aprobación y comunicación a todos los interesados.