seja redigido um documento com a política de segurança da informação e esse documento seja aprovado pela direção e levado ao conhecimento de todos os funcionários da empresa.

seja redigido um documento com a política de segurança da informação, devendo este estar separado da política geral da empresa, visto que informações sensíveis podem estar presentes no documento.

esteja sujeita às análises críticas da direção e aos incidentes de segurança, o que deve ser feito em intervalos regulares, previstos na política, para que mudanças constantes não impactem negativamente a credibilidade da política de segurança.

exista definição dos comportamentos de todos os seus funcionários, exceto os funcionários terceirizados prestadores de serviço nas dependências da empresa, por isso a empresa deve investir bastante em engenharia social.