é comum encontrar nesta política orientações sobre a análise e a gerência de riscos, princípios de conformidades dos sistemas com a política de segurança da informação e padrões mínimos de qualidade a serem incorporados aos sistemas de informação.

uma das primeiras atividades para a definição da política de segurança é classificar as informações em quatro níveis: públicas, secretas, internas e confidenciais.

a análise de riscos engloba tanto a análise de ameaças e vulnerabilidades quanto a análise de impactos, sendo considerada ponto-chave da política de segurança.

é recomendável que a política de segurança contenha os passos a serem seguidos para violações, de acordo com o grau de criticidade, visando aplicar ações corretivas sobre as vulnerabilidades e punição dos envolvidos.

é uma proposta viável para a implantação desta política: identificar recursos críticos, definir os objetivos de segurança a atingir, elaborar a proposta da política, analisar os riscos, discutir entre os envolvidos, aprovar e implementar.