Универсального шаблона для системы управления информационной безопасностью не существует, ведь у банка и у коммерческого предприятия, например, требования к такой системе будут различными.
Для того чтобы система была эффективной, руководство организации обязано проводить политику информационной безопасности и разъяснять сотрудникам, что обеспечение безопасности является обязанностью всего коллектива. Разработка и внедрение мероприятий без определения единой политики информационной безопасности приведет к тому, что все попытки улучшений в данной сфере будут носить фрагментарный характер.
От того, насколько продумана и правильно разработана политика информационной безопасности, насколько четко определены полномочия и ответственность разных категорий сотрудников, зависит эффективность функционирования всей системы, включая технические средства защиты. Кроме того, политика является базисом для разработки мероприятий по обеспечению безопасности и проведения аудита безопасности.
Таким образом, политика безопасности должна основываться на решении трех ключевых задач: обеспечении доступности, достоверности и конфиденциальности информации.