Термин "политика безопасности" является не совсем точным переводом английского словосочетания "security policy". Здесь имеются в виду не отдельные правила или их наборы (это процедурный уровень), а стратегию организации в области ИБ. Под политикой безопасности понимают совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.
Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы на основе объектно-ориентированного подхода, с возможностью варьировать не только уровень детализации, но и видимые грани объектов.
На практике политику безопасности рассматривают на трех уровнях детализации.
К верхнему уровню можно отнести решения, затрагивающие организацию в целом, носящие общий характер и исходящие от руководства организации. Для политики верхнего уровня цели организации в области ИБ формулируются в терминах целостности, доступности и конфиденциальности.
Примерный список подобных решений может содержать:

• решение сформировать или пересмотреть комплексную программу обеспечения ИБ, назначение ответственных за продвижение программы;
• формулировка целей, которые преследует организация в области ИБ, определение общих направлений в достижении этих целей;
• обеспечение базы для соблюдения законов и правил;
• формулировка административных решений по вопросам реализации программы безопасности, рассматриваемые на уровне организации в целом.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности. В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь.
Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.
В документ, характеризующий политику безопасности организации рекомендуется включать следующие разделы: вводный (подтверждающий озабоченность высшего руководства проблемами ИБ); организационный (содержащий описание подразделений, комиссий, групп и т.д.,