La política de seguridad informática define los requisitos generales de seguridad para un sistema, incluyendo lo permitido y prohibido. Estas políticas deben refinarse para proporcionar indicaciones precisas y deben comunicarse claramente a los usuarios. Una política efectiva cubre todos los aspectos de seguridad, se ajusta a las necesidades de la organización, es duradera y define estrategias generales para situaciones repetidas.