Политика определяет отношение организации к вопросам безопасности, вовлечение всехее служащих в создание благоприятной среды для безопасной работы. Однако наличие документов и внедрение необходимых технических средств еще не являются залогом защищенности компании.
Поэтому организация всегда должна быть готова быстро и адекватно среагировать на инцидент и вернуть информационную систему в нормальное состояние за допустимый период времени. Для этого создаются и постоянно совершенствуются соответствующие планы действий.
Вместе с тем политика безопасности не должна быть чем то незыблемым, а должна меняться в соответствии с внешними изменениями. Согласно рекомендациям аналитиков, политику следует менять не реже, чем каждые четыре года. За это время она успевает полностью устареть. На практике же многие организации, внедрившие особо жесткий контроль безопасности, каждые 6 –12 месяцев пересматривают теоретические и практические аспекты политики.