Učestalost napada na informacijske sustave tvrtki i institucija koji sadrže povjerljive i/ili osjetljive podatke (npr. osobni podaci korisnika, korisnička imena i lozinke, povjerljivi dokumenti, itd.), pokazala je potrebu za propisivanjem pravila kojima će se zaštititi materijalne i intelektualne vrijednosti neke organizacije. Jasno je da napade nije moguće predvidjeti, a ponekad niti spriječiti, ali moguće je poduzeti sve mjere opreza kako bi se šteta koju je napad prouzročio smanjila na najmanju moguću razinu. Skup jasno definiranih pravila koja obuhvaćaju sva područja na kojima je moguće izvršiti neku vrstu napada naziva se sigurnosnom politikom. Sigurnosnom politikom jasno se određuju pravila ponašanja i odgovornosti vezane uz informacijski sustav na radnom mjestu kako bi se minimizirala šteta nastala namjernim ili nenamjernim djelovanjem. Sigurnosna politika također ima ulogu osvještavanja zaposlenika o važnosti informacijske sigurnosti, ali i edukacije o sigurnosti te mogućim rizicima i posljedicama sigurnosnih incidenata. U dokumentu je moguće saznati više o prijetnjama sa kojima su suočeni informacijski sustavi kako bi se korisnicima dočarao stvarni opseg zlonamjernih djelatnosti ili manjka pažnje i opreza pri korištenju računala, te njihov utjecaj na poslovanje organizacije. Također, moguće je saznati više o standardima na temelju kojih je moguće izraditi sigurnosnu politiku organizacije. U posljednjem dijelu dokumenta opisan je jedan primjer uspostave sigurnosne politike, i to onaj prema smjernicama standarda ISO/IEC 27002.
