Una política de seguridad de la información adecuadamente estructurada en realidad consistirá en varios documentos diferentes:
- Un documento chárter para su Sistema de Gestión de Seguridad de la Información (SGSI), que especifica la autoridad general del equipo de seguridad y documenta el soporte de la gestión.
- Un documento de Política de Seguridad de la Información, que sirve como un paraguas, o política maestra para todos los asuntos de seguridad. Todas las demás políticas relacionadas con la seguridad harán referencia a este documento. Este documento principal especificará las normas de seguridad y / o normativas que se deben seguir, un cronograma anual de revisión de políticas / procesos, etc. Algunos también especificarán los límites de cualquier acción disciplinaria que se pueda tomar.
- Varias políticas de propósito específico, cada una adaptada para reflejar las necesidades del negocio y los requisitos reglamentarios.