Organisaatiolla on ylimmän johdon laatima ja hyväksymä tietoturvapolitiikka. Politiikka sisältää ainakin seuraavat asiat:
- perustan organisaation tietoturvatavoitteiden asettamiselle
- sitoutumisen tietoturvallisuutta koskevien vaatimusten täyttämiseen
- sitoutumisen tietoturvallisuuden hallintajärjestelmän jatkuvaan parantamiseen
Lisäksi tehtävän omistaja varmistaa, että:
- tietoturvapolitiikka soveltuu organisaation toiminta-ajatukseen
- politiikka on tiedotettu koko organisaatiolle
- politiikka on tarvittaessa sidosryhmien saatavilla