El documento describe las etapas para elaborar una política de seguridad informática, incluyendo objetivos y ámbito, entrevistas con usuarios, investigación de documentación existente, reuniones para redactar la política, creación de un glosario de términos, y establecer responsabilidades y penalidades. Las etapas clave son recopilar información sobre necesidades de seguridad, analizar la documentación actual, redactar la política en reuniones con partes interesadas, y definir roles y consecuencias.
9. En este punto debe constar la presentación del tema de la norma con relación a sus propósitos y contenidos, buscando identificar resumidamente cuáles estándares la política trata de establecer, además de la amplitud que tendrá en relación a entornos, individuos, áreas y departamentos de la organización involucrados.
11. Las entrevistas tratan de identificar junto a los usuarios y administradores de la organización las preocupaciones que ellos tienen con los activos, los procesos de negocio, áreas o tareas que ejecutan o en la cual participan. Las entrevistas tratan de identificar las necesidades de seguridad existentes en la organización.
12.
13. En esta etapa se identifican y analizan los documentos existentes en la organización y los que tienen alguna relación con el proceso de seguridad en lo referente a la reducción de riesgos, disminución de trabajo repetido y falta de orientación. Entre la documentación existente, se pueden considerar: libros de rutinas, metodologías, políticas de calidad y otras.
16. Es importante aclarar cualquier duda conceptual que pueda surgir en el momento de la lectura de la política. Así todos los lectores deben tener el mismo punto de referencia conceptual de términos. Por lo tanto se recomienda que la política cuente con un glosario específico donde se especifiquen los términos y conceptos presentes en toda la política de seguridad.
19. En las entrevistas realizadas es importante recabar todas las preocupaciones en materia de seguridad de los empleados, ya que esto nos permite tener una imagen amplia de lo que requiere ser incluido en el documento de política de seguridad.
20. Es importante que el glosario incluido en la política de seguridad, aclare todos los conceptos que pudieran quedar poco claros a la totalidad de las personas que leerán dicha política, esto con el fin de que el documento sea comprendido y aplicado en su totalidad.
21. Las reuniones del comité de seguridad representan una gran oportunidad para pulir e incrementar la claridad del documento final de política, en ellas es recomendable incluir empleados de las diferentes áreas de negocios para considerar sus puntos de vista.